Nyan Lin Htet

Lawful Interception (LI) in Myanmar (Post-1) Lawful Interception (LI) has become increasingly important in Myanmar. Globalization has connected people, businesses, financial systems, and cloud technologies beyond national boundaries. At the same time, governments and law enforcement agencies face growing challenges related to: (1) Cybercrime (2) Online fraud (Eg; ကျားဖြန့်, Zhà Piàn) (3) Terrorism (4) Data security (5) Cross-border digital investigations Lawful Interception is intended to support national security and lawful investigations under legal authorization. However, the related digital environment also require careful balance between: (1) National security (အမျိုးသားအဆင့် လုံခြုံရေးဆိုင်ရာများ) (2) Privacy rights (3) Freedom of expression (4) Digital rights တဖက်မှာလည်း အလွန်အမင်အငြင်းအခုံဖြစ်နေသည့် အရာကတော့... (1) Mass surveillance (အများအပြား စောင့်ကြည့်ခံရခြင်း) (2) Politcal abuse (နိုင်ငံရေး ထိုးနှက်ချက်) (3) Violations of civil liberties (လှုမှုဝန်းကျင်ဆိုင်ရာ လွှတ်လပ်ခွင...

Technology makes our lives easier, but cybersecurity awareness is now more important than ever. Every click, login, email, and website visit can either strengthen or weaken our digital security. Important Dates to Remember for Cybersecurity Awareness. Cybersecurity awareness should be practiced every day, but these international awareness dates help organizations and individuals strengthen security culture and digital safety practices.... ဆိုက်ဘာလုံခြုံရေး အသိပညာပေးမှုကို နေ့စဉ်လေ့ကျင့်သင့်သော်လည်း ... နိုင်ငံတကာ အသိပညာပေးရက်များ (International awareness) သည် အဖွဲ့အစည်းများနှင့် လူပုဂ္ဂိုလ်များအား လုံခြုံရေးယဉ်ကျေးမှုနှင့် ဒစ်ဂျစ်တယ်ဘေးကင်းရေးလုပ်ဆောင်မှုများကို အားကောင်းစေရန် ကူညီပေးပါသည်... #Awareness #Cyberhygiene #NYANNOVATION

  Cyber security compliance in Myanmar is still evolving, but organizations especially those working with international partners are needed to adopt the structured security controls aligned with global standards. မြန်မာနိုင်ငံရှိ ဆိုက်ဘာလုံခြုံရေး လိုက်နာမှုသည် တိုးတက်ပြောင်းလဲနေဆဲ၊ အထူးသဖြင့် နိုင်ငံတကာမိတ်ဖက်များနှင့် လက်တွဲလုပ်ဆောင်သော အဖွဲ့အစည်းများသည် ကမ္ဘာလုံးဆိုင်ရာစံနှုန်းများနှင့် ကိုက်ညီသော စနစ်တကျဖွဲ့စည်းထားသော လုံခြုံရေးထိန်းချုပ်မှုများကို ပိုမိုလက်ခံကျင့်သုံးလာကြရန်လိုပါသည်။ #9Cybersecurity #PracticesinMyanmar

  မြန်မာမှာ Privacy laws ကို အကျဉ်းချုပ်ပြီး ဒီလိုမှတ်ထားလို့ရပါတယ်။ #1 Law Protecting the privacy and Security of Citizens (2017) Protection for privacy of home, Communications, Personal security, unlawful search and seizure [It was amended in 2026] #2 Cybersecurity Law (2025) Cybersecurity operations, Online Platforms, VPN regulation, digital services, cybercrime investigations, data retention obligations #3 Electronic Transactions Law Electronic records, misuse of electronic data, unauthorized access, and some personal data protections #4 Telecommunications Law (2013) Confidentiality obligations for telecom operators and communications. #5 2008 Constitution - Section 357 Recognizes privacy [Home, property, correspondence, communications]   လက်ရှိ မြန်မာနိုင်ငံမှာ voluntarily adopt လုပ်ပြီး Internal policies, NDAs, ISO controls, စာချုပ်ထဲ ထည့်ပြီး ကိုယ်လိုချင်တာကို လျှို့ဝှက်ချက်ဆိုင်ရာ clauses ဆိုပြီး ဆောင်ရွက်နေကြတာပါ။ www.nyanlinhtet.name

  SOA (Statement of Applicability) အရေးကြီးသလား? Me: "အရေးကြီးပါတယ်" ISO certification audit မှာ Mandatory document တစ်ခုပါပဲ။ SOA မရှိရင် certification process မှာ major issue ဖြစ်နိုင်ပါတယ်။ SOA ဆိုတာ က organization က ဘယ် security controls တွေကို အသုံးပြုမလဲ၊ ဘယ် control တွေ မလိုအပ်လဲ၊ ဘာကြောင့် include/exclude လုပ်ထားလဲ ဆိုတာကို တရားဝင် မှတ်တမ်းတင်ထားတဲ့ Control list + justification document ဖြစ်ပါတယ်။ Public information type ပါ။   SOA ရဲ့ ရည်ရွယ်ချက် က (၁) Risk Treatment ပြရန် (၂) Auditor အတွက် Evidence (၃) Security Baseline (Posture) ကိုသတ်မှတ်ပေးပါတယ်။   ဒါနဲ့ သင့် အဖွဲ့အစည်းမှာရော ဘယ်သူက SOA ကိုရေးသလဲ? ပြောပေးပါအုံး

  လိုက်နာမှု မရှိဖူး၊ လိုက်နာမှု မရှိဖူး၊ လုပ်ထုံးလုပ်နည်း နှင့် မညီဖူး ဆိုပြီး သင့် အမြဲကြားဖူးမှာပေါ့။ ကမ္ဘာကြည့် ကြည့်လိုက်သည့် အခါ ကျတော့ "Compliance is not security" ဆိုတာကို သင် မြင်အောင်ကြည့်ရမယ်။ ဘာလို့ဆို ကြည့်လေဗျာ.... Microsoft, Okata တို့ Solarwinds တို့ မှာMajor breaches ဖြစ်ခဲ့တာပဲ. သူတို့တွေလည်း ISO တို့ SOC2 compliant ဖြစ်တာပဲ။ ဒါပေမဲ့ Why are security breaches happening? ကျွန်တော် Global expert တွေပြောနေကျသည့် အတိုင်းပါပဲ "Security without compliance is overconfidence; Compliance without security is Ignorance" ပေ့ါ။ or time to consider moving on to a place where security is truly valued... လို့ရေးသားလိုက်ပါရစေ www.nyanlinhtet.name

 RACI  RACI ဆိုတာ အလုပ်တစ်ခု၊ လုပ်ငန်း တစ်ခု မှာ ဘယ်သူ က တာဝန်ခံ၊ တာဝန်ယူ/ရှိ ပုဂ္ဂိုလ်၊ အတိုင်ပင်ခံ နှင့် သတင်းပို့ရမည်ဆိုတာကို ဇယား သတ်မှတ်ပြီး အလုပ်တာဝန်ခွဲဝေကြပါတယ်။ ဒီဇယား သည်Project Management အလေ့အကျင့် များ ထဲက တခု ကို ကောက်နုတ်တင်ပြပါသည်။  မှတ်ချက်။ စာ‌ဖတ်သူ မြန်မာများ အတွက် မြန်မာပြန်တင်ဆက်ခြင်းဖြစ်ပါသည်။  နားလည်မှုများ၊ မူပိုင်ခွင့်များ နှင့် အခြားအကြောင်းရာများ အတွက် ဆက်သွယ်လိုလျှင် nyanlinhtetpublic@gmail.com သို့ ဆက်သွယ်နိုင်ပါသည်။ Publication notice -  https://www.nyanlinhtet.name/p/publications.html https://www.nyanlinhtet.name/p/resum.html More info -  https://www.nyanlinhtet.name/2023/01/technical-links-from-me.html https://itilmyanmar.blogspot.com/ https://pmpmyanmar.blogspot.com/ Updated 2024-July-16, RACI matrix ဟာ PM အတွက် secret weapon တစ်ခုဖြစ်ပါတယ်။ Project tracking (adaptive) stage ကနေ စပြီး ပါဝင်ဆောင်ရွက်နေရတော့မှာပါ။  "Eliminates all project failure reasons"

Computer Security - The 20 things every employee should know Beware of phishing and spyware Protect your identity Be responsible and be aware Choose your password wisely Practice safe access Protect your work outside the office Reduce e-mail risks Suspect e-mail hoaxes Work wisely with the Web Avoid Internet dangers Master instant messaging Use firewalls and patches Use PDAs safely Back up and secure data Manage data wisely Secure your workspace Beware of social engineers User corporate resources only for work Call the experts when things go wrong  Keep things in context Source: McGraw-Hill Professional Education, The employee handbook for securing the workplace, Ben Rothke, CISSP Credit to rightful owner

အတွေ့အကြုံ ဝေဌာ လိုသည့် သဘောဖြစ်ပါသည်။ လုပ်ဖော်ကိုင်ဖက်တွေနှင့် ညီငယ်ညီမငယ်များ၊ IT security fields အတွင်း လုပ်ကိုင်ဆောင်ရွက် တာဝန်ယူဦးစီးညွှန်ကြားနေသည့် အသိပညာရှင်၊ အတက်ပညာရှင်များ အတွက် ရည်ရွယ်ဖော်ပြလိုက်ပါသည်။ သတင်းအချက်လုံခြုံရေး နှင့် လက်ရှိဖြစ်ပေါ်နေသည့် နည်းပညာ နှင့် သတင်းအချက်အလက်လုံခြုံရေး အခြေအနေအပေါ် နိုင်ငံတကာ နည်းပညာ ကုမ္ပဏီကြီး တစ်ခု အနေဖြင့် မိမိ အပါအဝင် မည်သို့၊ လုပ်ကိုင် ဆောင်ရွက်နေကြသည်၊ မည်သို့ ကြိုတင် ကာကွယ် ဖန်တီးနေကြသည့်ကို သိစေရန်ဖြစ်ပါသည်။ သက်ဆိုင်ရာ ကုမ္ပဏီ ၏ သတင်းလုံခြုံရေး အတွက် အမည်နာမ သုံးစွဲခြင်း (ကန့်သက် စာများ) ကို ရှောင်ကျဉ်သွားပါမည်။ အပိုင်းအလိုက်ကြိုးစား၍ ဖော်ပြသွားပါမည်။ 2015 ခုနှစ်က ကျွန်တော် ကုမ္ပဏီ ကိုယ်စားပြု ထိုင်းနိုင်ငံ (Bangkok) တွင် တက်ရောက် ခဲ့ရသည့် Security Workshop အတွက် ကျွန်တော်တို့ IT professionals လေးမျိုးခွဲခြားပြီး တွေ့ခဲ့ရပါသည်။ IT security manager  CIO/COO ASIA Pacific CISSP,  Information Security Office, Japan (HQ) CERT team of HQ အဖွဲ့တွေပါဝင်ပါတယ်။ Security workshop ၏ ရည်ရွယ်ချက်ကတော့ အောက်ပါအတိုင်းဖြစ်ပါသည်။ မရည်ရွယ်...

မြန်မာနိုင်ငံ အင်တာနက်ကမ္ဘာ လုံခြုံမှု အခြေအနေ Update! (User-Version)      မြန်မာနိုင်ငံ အတွင်း ကျရောက်နေသော Cyber လုံခြုံရေး အခြေအနေသည့် Ransoware (မိမိ Data များကို encrypt ဝှက်စာ လုပ်၍ ငွေကြေး တောင်းသည့် အဖျောက်အမှောင့်) ဟုခေါ်သည့် အန္တရာယ် ကျရောက်မှု အနည်းဆုံးဖြစ်နေပါတယ်။ Banking Sector တွင် Trojans (သူလျှို software အန္တရာယ်) ရှိနေပါတယ်။ အများဆုံး လုံခြုံရေး ဆိုင်ရာ စိုးရိမ်ရသည့် နေရာမှာ နေစဉ့် သုံးစွဲနေသည့် Mobile Device များ တွင် (%)ရာခိုင်နှုန်း အများဆုံး ဖြစ်နေပါတယ်။ Phot o Credit to UCSY Teachers Data source from Check-point Learn more about me @  www.nyanlinhtet.name

Point-of-Sale A Point-of-Sale attack is malware designed to steal sensitive information from POS systems. Stolen information from credit cards is considered as the goal of a major POS attack. POS systems are the popular target for the criminals because of their role to process financial transactions. Small businesses without having an advanced information security resources to secure their retail environments  are at increased attack. A company was attacked with POS malware in 2013, which is considered as one of the major attacks in the recent years.

SQL injection is technique that exploits a security vulnerability occurring in the application and/or database layer of an application. The vulnerability is present when user input (typically via HTML forms0 is either not validated or incorrectly filtered for string literal escape characters embedded in SQL (structured query language) statements. It is an instance of a more general class of vulnerabilities that can occur whenever one programming or scripting language is embedded inside another. Source: FEMA (TEEX)

Session Hijacking Session Hijacking refers to the exploitation of a valid computer session via theft of a cookie or session key, used to gain unauthorized access to information or services. When an attacker is able to steal the cookie containing session access data, (s)he can make requests as if (s)he were the actual user. If a persistent cookie is stolen, then the impersonation can continue for a prolonged period of time. Source: FEMA (TEEX)

Man-in-the-Middle A Man-in-the-Middle attack occurs when a malicious user inserts themselves into a conversation between two parties. She/he can monitor, alter, and inject messages into a conversation between two parties without their acknowledgement. It can be abbreviated as MITM, MitM, MiM, or MIM. This type of attack deals with real time processing of transactions or transfer of other sensitive data. Source: FEMA (TEEX)

Advanced Persistent Threat (APT) is a long-term targeted attack on a system. At first, it penetrate a network without interruption of the regular services and then collects valuable information over a long period of time. This type of threat is categorized as highly complex because they are persistent, evasive, and targeted in comparison with the traditional attack. As these are advanced threats, the entire process of stealing information may take many years. One of the most common example of an APT is Stuxnet. Source: FEMA (TEEX)

A backdoor into an information system s a method of bypassing normal user identification and authentication while securing access to that system. Often a computer programmer will install a backdoor into a software application or component so that (s) he can gain access into the system without the system recording who (s) he is. A backdoor can be created without modifying the source code of a program by rewriting the complier so that it recognizes code during compilation that triggers inclusion of a backdoor. Source: FEMA TEEX

A time bomb is a computer program that will cease to function after a predetermined date or time is reached. Time bombs are often set by application developers to extort money or other compensation from former employers. They are also set by software developing organizations so that software will no longer function after a license period has expired. The term "time bomb" should not be applied to a declared trial application program that stops functioning a specific number of days after it is installed. In such a cause, the term "trialware" applies. Source: FEMA TEEX

Distributed denial-of-service(DDoS) attack is a combination of compromised systems attacking a single computing system causing a denial of service. The incoming traffic to the targeted system eventually forces it to shutdown making it incapable of providing service to legitimate users. Generally there are two types of DDoS attacks. Network centric attack: Service is overloaded by consuming the bandwidth. Application-layer attack: A service or database is overloaded with application calls. The excessiveness of the traffic to the target system causes a denial of service. Source: FEMA TEEX A&M Engineering Extension Service

MACCS Project (Infra and Info Security) http:// www.nttdata.com /global/ en /industries/public-sector/case/ casestudy-04.html http://www.mcf.org.mm/images/pdf/08-myanmar-automated-cargo-clearance-system-maccs-u-win-thant-custom.pdf