เร็ว ๆ นี้คงไม่มีใครที่ไม่ทราบข่าวเกี่ยวกับการโกงเงินตู้เอทีเอ็ม (ATM-Automatic Teller Machine) หรือเครื่องให้บริการทางการเงินอัตโนมัติ หรือบางผู้เชี่ยวชาญเรียกว่า “ATM Jackpotting” ของธนาคารออมสิน เพราะมีการกล่าวถึงกันเป็นจำนวนมากในช่วงนี้
ทั้งข่าวหน้าหนึ่งในหนังสือพิมพ์แทบทุกฉบับ ข่าวในรายการวิทยุและโทรทัศน์ รวมถึงการให้สัมภาษณ์ของผู้บริหารธนาคารและผู้เชี่ยวชาญในเรื่องความมั่นคงปลอดภัยสารสนเทศ
ผู้เขียนต้องขอยอมรับว่าผู้บริหารของธนาคารออมสินนั้นมีจิตใจที่เยี่ยมยอดมาก เพราะกล้าที่จะออกมาบอกว่าเกิดเหตุการณ์อะไรขึ้นกับธนาคาร ซึ่งจริง ๆ แล้วข่าวแบบนี้จะถูกปิดกันเงียบเพราะไม่มีผลกระทบกับลูกค้า เนื่องจากการกระทำนี้เป็นการโกงเงินของธนาคารโดยตรงจากตู้เอทีเอ็ม ซึ่งไม่เกี่ยวกับเงินในบัญชีของลูกค้าของธนาคาร (มองง่าย ๆ ก็เหมือนกับการงัดตู้เอทีเอ็ม แล้วหยิบเงินออกมา) แต่ถ้าจะกระทบกับลูกค้า ก็คือไม่มีตู้เอทีเอ็มให้กดเงิน เพราะธนาคารได้ปิดการให้บริการสำหรับตู้ที่มีปัญหาหรือคาดว่าจะมีปัญหา
แต่อย่างไรก็ตาม ทางธนาคารก็ได้เตรียมแผนรองรับไว้แล้ว คือให้ลูกค้าของธนาคารสามารถไปทำธุรกรรมการเงินจากตู้ของธนาคารอื่น ๆ โดยไม่เสียค่าธรรมเนียมในช่วงนี้ (ลองเช็กอีกทีนะครับว่าค่าธรรมเนียมอะไรบ้าง)
บทความฉบับนี้ ผู้เขียนคงไม่เขียนเกี่ยวกับวิธีการและเหตุการณ์ที่เกิดขึ้น เพราะท่านสามารถหาข้อมูลได้จากแหล่งข้อมูลที่น่าเชื่อถือได้ในหลาย ๆ แหล่ง แต่บทความฉบับนี้ผู้เขียนต้องการจะให้ข้อมูลเกี่ยวกับวิธีการป้องกันหรือแนวทางในการตรวจสอบเบื้องต้นสำหรับผู้ที่มีหน้าที่เกี่ยวข้อง ผู้ดูแลระบบเอทีเอ็ม ผู้ตรวจสอบทางด้านเทคโนโลยีสารสนเทศ หรือแม้แต่ผู้ที่สนใจทั่วไป
จากเหตุการณ์ดังกล่าว ผู้เขียนอยากจะชี้ให้เห็นว่าปัจจัยหรือองค์ประกอบที่อาจเป็นสาเหตุทำให้เกิดเหตุการณ์ดังกล่าว หรือปัจจัยที่ควรพิจารณาเพื่อใช้เป็นแนวทางในการควบคุมการให้บริการตู้เอทีเอ็มมีดังต่อไปนี้
– การควบคุมเรื่องการเข้าถึงทางกายภาพ (Physical Access Control)
– การควบคุมเรื่องการเข้าถึงทางตรรกะ (Logical Access Control)
– การควบคุมเรื่องโปรแกรมประสงค์ร้าย (Malicious Software Control-Malware)
– การควบคุมเรื่องการบริหารจัดการโปรแกรมอุดช่องโหว่ (Patch Control)
– การควบคุมเรื่องการประสานงานกับผู้เชี่ยวชาญเพื่อติดตามข่าวสารทางด้านความมั่นคงปลอดภัยสารสนเทศ (Contact with Specialist Control)
– การควบคุมเรื่องการเฝ้าติดตามการทำงานของระบบ (System Monitoring Control)
– การควบคุมเรื่องการกระทบยอดเงิน (Data Reconcile Control)
– การควบคุมเรื่องบุคลากร (Human Resource Security Control)
– การควบคุมเรื่องปัญหาทางด้านความมั่นคงปลอดภัยสารสนเทศ (Incident and Problem Control)
– การควบคุมเรื่องแผนรองรับเหตุการณ์ฉุกเฉิน (Business Continuity Plan / Disaster Recovery Plan-BCP/DRP)
หัวข้อดังกล่าวเป็นเพียงสิ่งที่ผู้เขียนคิดว่าอาจจะเป็นปัจจัยที่ทำให้เกิดเหตุการณ์ดังกล่าวและน่าจะเป็นประโยชน์สำหรับผู้ดูแลระบบที่จะนำไปประยุกต์ใช้ในการปฏิบัติงาน และเป็นประโยชน์สำหรับผู้ตรวจสอบทางด้านเทคโนโลยีสารสนเทศที่จะนำไปใช้เป็นแนวทางในการตรวจสอบ โดยแต่ละหัวข้อผู้เขียนขอให้รายละเอียดเพิ่มเติมดังต่อไปนี้
ปัจจัยพิจารณา เช่น การควบคุมเรื่องการเข้าถึงทางกายภาพ (Physical Access Control) ซึ่งแนวทางการควบคุมหรือตรวจสอบก็คือ สถานที่ตั้งตู้เอทีเอ็มต้องอยู่ในที่ที่ปลอดภัย พร้อมทั้งให้ความรู้กับเจ้าของสถานที่หรือผู้ที่เกี่ยวข้องที่ธนาคารนำตู้ไปติดตั้ง เพื่อให้ช่วยสอดส่องดูแลการกระทำที่ผิดปกติและจะได้ระงับเหตุได้ทันท่วงที วิธีการควบคุมเรื่องกุญแจหรืออุปกรณ์ที่ใช้ในการเปิดหรือปิดตู้
ปัจจัยพิจารณาต่อมาคือ การควบคุมเรื่องการเฝ้าติดตามการทำงานของระบบ (System Monitoring Control) ซึ่งแนวทางการควบคุมคือ ติดตั้งอุปกรณ์เพื่อแจ้งเตือนไปยังผู้ดูแลระบบของธนาคาร เช่น มีคนเปิดตู้, ระบบ Network ของตู้มีปัญหา เป็นต้น ติดตั้งช่องทางการแจ้งเตือนหรือสื่อสารกับเจ้าหน้าที่ตำรวจในพื้นที่ใกล้เคียง ติดตั้งกล้องวงจรปิดและบำรุงรักษาให้พร้อมใช้งานอยู่เสมอ รวมถึงกำหนดระยะเวลาที่เหมาะสมในการสำรองข้อมูล พร้อมทั้งให้ความรู้กับผู้ดูแลระบบในการดูหรือวิเคราะห์การแจ้งเตือน (Alert Message) ที่ได้รับมาจากตู้ต่าง ๆ
การควบคุมเรื่องการบริหารจัดการโปรแกรมอุดช่องโหว่ (Patch Control) แนวทางการคือ ควรมีการติดต่อกับผู้ขาย (Vendor) หรือเจ้าของโปรแกรมอย่างสม่ำเสมอ ไม่ว่าจะเป็น Application, OS, Network หรือ Database เพื่อติดตั้ง Patch (โปรแกรมอุดช่องโหว่) แต่เดี๋ยวก่อน ท่านจะต้องพิจารณาเรื่องผลกระทบก่อนติดตั้งด้วย เพราะ Patch บางอย่างอาจจะส่งผลให้ระบบท่านทำงานไม่ได้ ซึ่งในกรณีที่พบว่า Patch นั้นมีผลกับระบบงานของท่านก็ควรหารือกับผู้เกี่ยวข้องเพื่อหาแนวทางการแก้ไข นอกจากนี้ควรทดสอบให้แน่ใจบนเครื่องทดสอบก่อนนำมาติดตั้งบนระบบงานจริง พร้อมทั้งควรติดตามข่าวสารเรื่องภัยทางด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ เพื่อจะได้หาวิธีป้องกันได้ทันท่วงที
สิ่งสำคัญต่อมาคือการควบคุมเรื่องบุคลากร (Human Resource Security Control) แนวทางการควบคุมที่ดีคือ ควรมีกระบวนการในการคัดสรรบุคลากร (Background Check) ให้มั่นใจว่าเป็นคนที่ไม่มีความเสี่ยงที่จะมาทำไม่ดีกับองค์กร กำหนดระเบียบวินัยเพื่อให้พนักงานปฏิบัติตามและมีหัวหน้าที่คอยสอดส่องดูแลการปฏิบัติงานให้เป็นไปตามหน้าที่และมีประสิทธิผลต่อองค์กรและต้องมีการกำหนดบทลงโทษที่เหมาะสมหากพนักงานทำผิดวินัย
การควบคุมปัญหาทางด้านความมั่นคงปลอดภัยสารสนเทศ (Incident and Problem Control) แนวทางคือควรมีการกำหนดวิธีการจัดการกับปัญหาทางด้านความมั่นคงปลอดภัยหรือปัญหาเกี่ยวกับการใช้งานระบบสารสนเทศ เช่น ช่องทางการรับและแก้ปัญหา การบันทึกและติดตามปัญหา การวิเคราะห์หาต้นเหตุของปัญหา (Root Cause Analysis) และการสื่อสารกับผู้แจ้งปัญหา และควรมีการกำหนดแผนเพื่อรองรับเหตุการณ์ฉุกเฉิน ซึ่งจากเหตุการณ์นี้ท่านจะเห็นว่าธนาคารมีการเตรียมความพร้อมที่ดีพอสมควร ซึ่งดูได้จากการให้ข้อมูลกับสื่อมวลชน การแจ้งเหตุและประสานงานกับธนาคารแห่งประเทศไทยที่เป็นหน่วยงานกำกับดูแลสถาบันการเงิน
การปิดให้บริการตู้ที่มีความเสี่ยงที่จะถูกโกงเงิน การประสานงานกับธนาคารอื่นเพื่อแจ้งเหตุเพื่อให้ป้องกันได้ทันท่วงที การประสานกับธนาคารอื่น ๆ เพื่อให้ลูกค้าสามารถทำธุรกรรมทางการเงินข้ามตู้ได้โดยไม่เสียค่าธรรมเนียมทั่วประเทศ
อย่างไรก็ตาม ปัจจัยและแนวทางการตรวจสอบ/ควบคุมข้างต้นเป็นเพียงมุมมองที่ผู้เขียนเสนอเพื่อเป็นข้อมูลประกอบการพิจารณาเบื้องต้น หรือเป็นข้อมูลเริ่มต้นที่ท่านผู้ดูแลระบบสามารถนำไปใช้ในการปฏิบัติงาน หรือผู้ตรวจสอบทางด้านเทคโนโลยีสารสนเทศสามารถนำไปใช้ในการตรวจสอบได้
กษิภัท ธนิตธนาคุณ
กรรมการผู้จัดการบริษัท เคที ไอที โซลูชั่น จำกัด