อินเทอร์เน็ตแบงกิ้งกับความปลอดภัย

โดย ฐิติเมธ โภคชัย
นิตยสารผู้จัดการ( พฤศจิกายน 2545)


กลับสู่หน้าหลัก

การเพิ่มขึ้นของเครือข่ายซึ่งกลายเป็นมากกว่า ความยืดหยุ่น และระบบการปฏิบัติการที่เป็นมากกว่าความมั่นคงแข็งแรง บรรดาแฮกเกอร์หรืออาชญากรบนไซเบอร์ (cybercriminals) ต่างให้ความสนใจ ด้วยการพุ่งเป้าเข้าสู่ระบบการเก็บความลับภายในธนาคารผ่าน web application ส่งผลให้ธนาคารเริ่มให้ความสำคัญต่อระบบความปลอดภัย อันเนื่องมาจากเทคโนโลยีเป็นหนึ่งในความเสี่ยงของโลกธุรกิจ

"เมื่อก่อนธนาคารพาณิชย์ไทยไม่ต้องการความปลอดภัยมากนักเพราะเป็นระบบปิด โดยจะเปิดให้คนผ่านเข้ามาในระบบเฉพาะที่จำเป็น แต่ปัจจุบันแนวคิดเปลี่ยนไป กลายเป็นต้องให้คนเข้ามาในระบบให้มากที่สุด" สุนทร เด่นธรรม หุ้นส่วนหลักในสายงานด้านการบริหารความเสี่ยง ไพร้ซวอเตอร์เฮาส์คูเปอร์ส กล่าว

ฉะนั้นวิธีการปฏิบัติงานหรือการออกแบบได้เปลี่ยนไป จะเห็นว่าการมีเมนเฟรมที่ลดขนาดลงอย่างมาก ในอดีตธนาคารพาณิชย์ไทยไม่ค่อยกังวล อันเนื่องมาจากบางคนเท่านั้นที่มีสิทธิ์เข้าไปในระบบ แต่ทุกวันนี้เป็นระบบเปิด (open system) "ถ้าไปปิดแล้วจะเชื่อมโยงกับคนอื่นได้อย่างไร ซึ่งจะไม่เกิด eBusiness ทำธุรกรรมไม่ได้ แล้ว benefit value ไม่เกิดปัจจัยเหล่านี้ผลักดันให้พวกเขาต้องเปลี่ยนตัวเอง"

อย่างไรก็ดี สังเกตได้ว่าธนาคารพาณิชย์ยังไม่เป็นระบบเปิดแบบสมบูรณ์ เช่น การมีอินเทอร์เน็ตแบงกิ้งให้บริการ แต่ว่า application ที่มีรายละเอียดมากมาย เปิดใช้ไม่กี่ประเภท ที่เหลือยังไม่สามารถดำเนินการได้ เพราะความเสียหายที่เกิดขึ้น จะตามมา "มันจะทะลุมาหลังบ้านหมดซึ่งเป็นปัญหา ดังนั้น อินเทอร์เน็ตแบงกิ้งที่ให้บริการลูกค้าส่วนใหญ่ตัดตอนจากระบบข้างใน ไม่ได้เชื่อมต่อกันหรือเชื่อมต่อแบบมีข้อจำกัดมาก" สุนทรอธิบาย

เหตุผลที่ธนาคารพาณิชย์ไทยยังไม่มีความพร้อมมาจากอินเทอร์เน็ตแบงกิ้ง เพิ่งเกิดขึ้นไม่กี่ปีที่ผ่านมา แต่หากพิจารณา ไม่ว่าจะเป็นธนาคารเล็กหรือขนาดใหญ่จะต้องเปิดให้บริการในรูปแบบออนไลน์ "ไม่ทำ ไม่ได้ เพราะขาด competitive advantage แต่ยังไม่มีกำไรแต่ต้องรักษาภาพลักษณ์ของตนเองรวมถึงการรักษาฐานลูกค้า"

การเปิดบริการอินเทอร์เน็ตแบงกิ้ง ดังกล่าว ถือเป็นการเตรียมตัวเพื่อก้าวไปสู่ eBusiness อย่างเต็มตัวที่จะทำธุรกรรมบนออนไลน์โดยอินเทอร์เน็ตแบงกิ้ง ทุกอย่างเป็น web application และทั้งหมด มีความปลอดภัย ซึ่งในอดีตมีวิธีการดูแลด้วยการให้พนักงานมานั่งตรวจสอบว่าช่อง โหว่อยู่ตรงไหน แต่ปัจจุบันใช้ซอฟต์แวร์เข้ามาช่วยเหลือซึ่งต่างกันมากในด้านประสิทธิภาพและระยะเวลา

"นี่เป็นเรื่องใหม่ที่ทุกคนให้ความสำคัญในระบบความปลอดภัยใน web application เพราะที่ผ่านมาป้องกันในระบบ OS ระดับเครือข่ายเท่านั้น" สุนทรชี้

ในแง่ของระบบความ ปลอดภัยที่ PwC เสนอต่อลูกค้าจะดำเนินการแบบ End-to-End (พิจารณาภาพ ประกอบ) โดยในเรื่องดังกล่าว มีหลายระดับขั้น โดยกรอบนอกสุดเรียกว่า Security Environment ที่องค์กรทุกแห่งจะต้องมีบรรยากาศการควบคุมที่ดี

ขั้นที่ 2 ซึ่งจะมุ่งเน้นไปยัง Techno-logy Platform ที่แต่ละองค์กรจะนำมาใช้งานเพื่อเสริมสร้างและดำรงไว้ซึ่งความปลอดภัย ได้แก่ ระบบการป้องกันในทุกระดับ ไม่ว่าจะเป็นเครือข่ายฐานข้อมูล ระบบปฏิบัติการ ระบบตรวจจับการบุกรุก รวมไปถึงกระบวนการแก้ไขเหตุการณ์ที่เมื่อ เกิดเหตุผิดปกติขึ้น (Incident Response)

สำหรับชั้นในสุด คือการควบคุมระบบ ต่างๆ ภายในขององค์กรเอง Enterprise Application Control ซึ่งสัมพันธ์กับการบริหาร การจัดการ และการกำหนดสิทธิของผู้ใช้ โดยส่วนที่เป็นหัวใจขององค์กรคือ การนำ Identity Management มาควบคุม และบริหาร Enterprise user directory ทำให้สามารถดูแลผู้ใช้ทุกคน ที่เกี่ยวข้องกับระบบสารสนเทศขององค์กรได้อย่างมีประสิทธิภาพและปลอดภัย

"นี่คือระบบความปลอดภัยที่องค์กร ขนาดใหญ่จะต้องมีถึงจะสมบูรณ์" สุนทรกล่าว

กระนั้นก็ตาม ธนาคารพาณิชย์ไทย ไม่จำเป็นต้องทุ่มการลงทุนในระบบความปลอดภัยจากการให้บริการทางอินเทอร์เน็ต เพราะจำนวนผู้ใช้ยังอยู่ระดับต่ำ การบริการ มีข้อจำกัด อาทิ บริษัทหนึ่งต้องการชำระเงินให้กับลูกค้า 3 รายผ่านอินเทอร์เน็ตแบงกิ้งจะต้องได้รับอนุมัติจากธนาคารก่อน และหากต้องการจ่ายให้กับรายที่ 4 ไม่สามารถดำเนินการได้

"ทุกวันนี้ยังเป็น manual ที่ใช้เทคโนโลยี เพราะมีอันตรายมากจนกว่าความปลอดภัยจะมีประสิทธิภาพพอเพียง รวมถึงความไว้วางใจของผู้ใช้บริการ" ดังนั้น ส่วนใหญ่ธนาคารพาณิชย์ไทยมีระบบความปลอดภัยระดับกรอบนอก ซึ่งไม่ใช่ความผิดของพวกเขาที่ไม่ดำเนินการในความปลอดภัยเชิงลึกถึง application และ user "อีกไม่นานพวกเขาจะต้องทำ ไม่เช่นนั้นการลงทุนในอินเทอร์เน็ตแบงกิ้งจะสูญเปล่า" สุนทรชี้ "ขณะนี้การให้บริการ เป็นเพียงระดับพื้นฐานที่อำนวยความสะดวก ได้ระดับเดียว ถ้าจะให้ถึงระดับที่ลูกค้าแทบไม่ต้องเดินไปสาขาต้องเปิดบริการสมบูรณ์แบบ และระดับความปลอดภัยสูงสุดเป็นสิ่งหลีกเลี่ยงไม่ได้เลย"

ด้วยความคิดที่ว่า นโยบายระบบความปลอดภัย เป็นรากฐานของความปลอดภัย ทำให้สุนทรกังวลในเรื่องนี้ เพราะปัจจุบันองค์กรในไทยมีไม่ถึง 5% ที่มีนโยบายแบบนี้ ที่สำคัญพวกเขาเพิ่งตื่นตัวไม่นานมานี้ รวมถึงธนาคารพาณิชย์ด้วย

"ธนาคารบางแห่งเริ่มจ้างผู้เชี่ยวชาญจากภายนอก ไปดูแล บางแห่งยังมีความคิดเดิมๆ ว่า อยากมีผู้เชี่ยวชาญเป็นของตัวเองเพราะไว้วางใจหรือควบคุมได้ แต่บางอย่างคนนอก อาจจะปลอดภัยกว่า"

อย่างไรก็ตาม การลงทุนในระบบความปลอดภัยของธนาคารพาณิชย์ล้วนแต่คำนึงถึงผลตอบแทน ซึ่งเป็นเรื่องปกติเพียงแต่ว่าจะมองในลักษณะไหน เช่น ตัวเม็ดเงินซึ่งหากมีนโยบายในแง่นี้แทบมองไม่เห็นความสำเร็จในรูปผลกำไร

ดังนั้น พวกเขาควรมองไปอีกระดับ ที่เรียกว่า shareholder value เพราะหากเกิดอะไรขึ้นกับระบบความปลอดภัย ผลกระทบคือ ภาพลักษณ์ลูกค้าที่หายไป ที่สำคัญไม่ใช่แค่ผลตอบแทนจากการลงทุนที่ต่ำ หมายถึงมูลค่าทั้งองค์กรจะทรุดลงจากความเสียหาย

"เรื่องเหล่านี้เกิดขึ้นอยู่เสมอกับธนาคารพาณิชย์ไทย เพียงแต่ไม่มีใครพูดถึง เช่น การโจมตีจากไวรัสหรือแฮกเกอร์" สุนทรกล่าว

กลับสู่หน้าหลัก

Creative Commons License
ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง 3.0 ประเทศไทย



(cc) 2008 ASTVmanager Co., Ltd. Some Rights Reserved.