อธิบายแปดสิ่งจำเป็น

Healthdirect Australia ปฏิบัติตามข้อกำหนดทั้งหมดเพื่อให้บรรลุวุฒิภาวะอย่างน้อยระดับสองในทุกด้านของบริการวิดีโอคอลของ Healthdirect บริการวิดีโอคอลของ Healthdirect ได้รับการประเมินใหม่อีกครั้งเพื่อให้เป็นไปตามมาตรฐาน Essential Eight เมื่อวันที่ 17 สิงหาคม 2566 หากท่านต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการประเมิน แบบจำลองวุฒิภาวะ Essential Eight ของวิดีโอคอล โปรดติดต่อ videocallsupport@healthdirect.org.au

แม้ว่าจะไม่มีกลยุทธ์บรรเทาผลกระทบแบบใดแบบหนึ่งที่รับประกันได้ว่าสามารถป้องกันเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ได้ แต่ ACSC แนะนำให้องค์กรต่างๆ ปรับใช้กลยุทธ์บรรเทาผลกระทบ E8 เป็นพื้นฐาน ซึ่งพื้นฐานนี้ทำให้ผู้ไม่หวังดีสามารถเจาะระบบได้ยากขึ้นมาก นอกจากนี้ การนำ E8 มาใช้ในเชิงรุกยังช่วยประหยัดทั้งเวลา ค่าใช้จ่าย และความพยายามได้มากกว่าเมื่อเทียบกับการรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ขนาดใหญ่ จากภัยคุกคามที่ผู้ไม่หวังดีเผชิญ มีแนวทางปฏิบัติที่แนะนำเพื่อช่วยให้องค์กรต่างๆ สร้างมาตรการรักษาความปลอดภัยไซเบอร์ที่แข็งแกร่งสำหรับระบบของตน เมื่อองค์กรต่างๆ ได้นำกลยุทธ์บรรเทาผลกระทบที่ต้องการไปใช้ในระดับเริ่มต้นแล้ว ควรมุ่งเน้นไปที่การเพิ่มความสมบูรณ์ของการดำเนินการ เพื่อให้สอดคล้องกับวัตถุประสงค์ของกลยุทธ์บรรเทาผลกระทบแต่ละกลยุทธ์ในที่สุด กลยุทธ์ E8 ที่ ACSC แนะนำให้ใช้เป็นพื้นฐานมีดังนี้

1. การควบคุมแอปพลิเคชัน
   การควบคุมแอปพลิเคชันอนุญาตให้เฉพาะแอปพลิเคชันซอฟต์แวร์ที่เลือกไว้เท่านั้นที่สามารถรันบนคอมพิวเตอร์ได้ มีวัตถุประสงค์เพื่อป้องกันไม่ให้แอปพลิเคชันซอฟต์แวร์ที่ไม่ได้รับอนุมัติทำงาน รวมถึงมัลแวร์
2. แพตช์แอปพลิเค ชัน การแก้ไขและช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันซอฟต์แวร์ เป็นสิ่งสำคัญเนื่องจากผู้ไม่หวังดีจะใช้ช่องโหว่ด้านความปลอดภัยที่รู้จักในแอปพลิเคชันเพื่อโจมตีคอมพิวเตอร์
3. ปิดใช้งานแมโคร Microsoft Office ที่ไม่น่าเชื่อถือ แอปพลิเคชัน Microsoft Office สามารถใช้ซอฟต์แวร์ที่เรียกว่า "แมโคร" เพื่อทำงานอัตโนมัติ ปัจจุบันมีการใช้แมโครมากขึ้นเรื่อยๆ เพื่อเปิดใช้งานการดาวน์โหลดมัลแวร์ แมโครสามารถเปิดทางให้ผู้ไม่หวังดีเข้าถึงข้อมูลสำคัญได้ ดังนั้นควรรักษาความปลอดภัยหรือปิดใช้งานแมโคร
4. การเพิ่มความแข็งแกร่งให้กับแอปพลิเคชันของผู้ใช้ ซึ่งรวมถึงกิจกรรมต่างๆ เช่น การบล็อกการเข้าถึง Adobe Flash Player ของเว็บเบราว์เซอร์ โฆษณาบนเว็บ และโค้ด Java ที่ไม่น่าเชื่อถือบนอินเทอร์เน็ต Flash, Java และโฆษณาบนเว็บเป็นวิธีการยอดนิยมในการแพร่มัลแวร์เพื่อแพร่เชื้อให้กับคอมพิวเตอร์มานานแล้ว
5. จำกัดสิทธิ์ผู้ดูแลระบบ (admin) หมายความว่าสิทธิ์ผู้ดูแลระบบจะใช้เฉพาะในการจัดการระบบ การติดตั้งซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และการติดตั้งแพตช์ซอฟต์แวร์เท่านั้น ควรจำกัดสิทธิ์เหล่านี้เฉพาะผู้ใช้ที่จำเป็นเท่านั้น บัญชีผู้ดูแลระบบเปรียบเสมือน "กุญแจสู่อาณาจักร" ซึ่งผู้ไม่หวังดีจะใช้บัญชีเหล่านี้เพื่อเข้าถึงข้อมูลและระบบต่างๆ ได้อย่างเต็มที่
6. แพตช์ระบบปฏิบัติการ การแก้ไขและแก้ไขช่องโหว่ด้านความปลอดภัยในระบบปฏิบัติการ เป็นสิ่งสำคัญเนื่องจากผู้ไม่หวังดีจะใช้ช่องโหว่ด้านความปลอดภัยที่รู้จักในระบบปฏิบัติการเพื่อโจมตีคอมพิวเตอร์
7. การยืนยันตัวตนแบบหลายปัจจัย คือการที่ผู้ใช้จะได้รับสิทธิ์เข้าถึงหลังจากแสดงหลักฐานแยกกันหลายชุดสำเร็จแล้วเท่านั้น การมีปัจจัยการยืนยันตัวตนหลายปัจจัยทำให้ผู้ไม่หวังดีเข้าถึงข้อมูลของคุณได้ยากขึ้นมาก
8. การสำรองข้อมูลสำคัญทุกวัน หมายถึง การสำรองข้อมูลทั้งหมดเป็นประจำและจัดเก็บไว้ทั้งแบบออฟไลน์หรือออนไลน์ แต่ไม่สามารถเขียนซ้ำหรือลบข้อมูลได้ วิธีนี้ช่วยให้องค์กรสามารถเข้าถึงข้อมูลได้อีกครั้งหากเกิดเหตุการณ์ทางไซเบอร์

แบบจำลองความเป็นผู้ใหญ่แปดประการที่จำเป็น

เพื่อช่วยให้องค์กรต่างๆ ประเมินประสิทธิผลของการนำ E8 ไปปฏิบัติ จึงมีการพัฒนาแบบจำลองวุฒิภาวะขึ้นมา โดยแบบจำลองนี้กำหนดระดับวุฒิภาวะสี่ระดับสำหรับกลยุทธ์การบรรเทาผลกระทบแต่ละกลยุทธ์

• ระดับความเป็นผู้ใหญ่เป็นศูนย์ - จำกัดหรือไม่มีเลยที่สอดคล้องกับเจตนาของกลยุทธ์การบรรเทา
• ระดับวุฒิภาวะที่หนึ่ง - สอดคล้องกับเจตนาของกลยุทธ์การบรรเทาบางส่วน
• ระดับความครบถ้วนสอง - ส่วนใหญ่สอดคล้องกับเจตนาของกลยุทธ์การบรรเทาผลกระทบ
• ระดับความเป็นผู้ใหญ่สาม - สอดคล้องอย่างเต็มที่กับเจตนาของกลยุทธ์การบรรเทาผลกระทบ