ก่อนหน้านี้เราอาจได้เห็นข่าวใหญ่ว่าเครื่องเอทีเอ็มของธนาคารออมสินถูกโจรกรรมเงินกว่า 12 ล้านบาท โดยคนร้ายได้ทำการฝังมัลแวร์ลงไปในตู้เอทีเอ็ม และใช้บัตรกดเงินสดออกไป ดังนั้นที่เราเคยมองว่า Cyber Crime เป็นเรื่องไกลตัว จึงไม่ถูกอีกต่อไป
ส่วนตัวคนเขียนนับถือผู้บริหารธนาคารออมสินที่กล้าออกมาเปิดเผยข้อมูลดังกล่าว เพราะถ้าเลือกที่จะปกปิดข้อมูล ประเทศไทยก็ยังคิดว่า Cyber Crime เป็นเรื่องไกลตัว แล้วเรื่องนี้ก็จะหายเข้ากลีบเมฆเหมือนที่องค์กรหลาย ๆ องค์กรเลือกที่ปกปิดข้อมูลเพราะกลัวกระทบกับความเชื่อมั่นของบริษัท การที่ผู้บริหารกล้าออกมาเปิดเผยข้อมูลทำให้ธนาคารพาณิชย์หลายแห่งเห็นภาพการโจมตีที่ชัดเจน และเตรียมให้ความสำคัญกับระบบความปลอดภัยมากขึ้น
.
มีข่าวลือว่าในอีกไม่กี่ปีข้างหน้าธนาคารในประเทศไทยหลายแห่งเตรียมนำระบบสแกนม่านตา และ แสกนลายนิ้วมือมาใช้กับตู้เอทีเอ็ม แต่คงต้องใช้เวลาอีกสักพัก เราจึงมีข้อแนะนำกฎและข้อควรปฏิบัติในการยกระดับความปลอดภัยของซอฟต์แวร์จากฟอร์ติเน็ต ที่ใช้กับระบบ ATM โดยอิงกับคำแนะนำวิธีปฏิบัติ (Best Practice Guide) ด้านความปลอดภัยของซอฟต์แวร์ของสมาคมอุตสาหกรรมเอทีเอ็ม ATM Industry Association (ATMIA) ซึ่งได้ผลิตคำแนะนำวิธีปฏิบัติเวอร์ชันแรกในปี 2009 และเวอร์ชัน 2 ในปี 2011 และหลังจากนั้นไม่นาน ก็มีมัลแวร์เอทีเอ็มที่เรียกว่า Black Box attacks จู่โจมเครือข่ายเอทีเอ็มซึ่งถือเป็นภัยคุกคามครั้งสำคัญในระบบเอทีเอ็มที่เกิดขึ้นในหลายประเทศในหลายภูมิภาค
.
ดังนั้น คำแนะนำวิธีปฏิบัติเวอร์ชัน 3 นี้จึงรวมถึงคำแนะนำวิธีปฏิบัติด้านบัตรเอทีเอ็มมากขึ้นและให้ข้อมูลอัพเดตด้านความปลอดภัยที่สำคัญมากขึ้น ATMIA ได้ให้ข้อมูลและคำแนะนำด้านความปลอดภัยที่ชัดเจนไว้หลายสิบข้อ แต่จะไม่รับประกันถึงความถูกต้อง ความครบถ้วน ประสิทธิภาพของคำแนะนำวิธีปฏิบัตินี้ แต่อย่างไรก็ตาม
ธนาคารและสถาบันการเงินต่าง ๆ ได้อ้างอิงใช้คำแนะนำวิธีปฏิบัตินี้อย่างกว้างขวางเกี่ยวกับการป้องการป้องกัน ATM Hacking คือ
1. PCI DSS ระบุให้ใช้มาตรฐาน Payment Card Industry’s Data Security Standard (PCI DSSversion 3)
2. ผู้เชี่ยวชาญที่ดูแลด้านความปลอดภัยข้อมูลต้องมีกระบวนการในการตรวจสอบระบบไอทีใน 3 มิติความปลอดภัย คือ Confidentiality, Integrity และ Availability
3. ใช้การเข้ารหัสข้อมูลในระบบเอทีเอ็ม เป็น 3 กรณีที่ต่างกัน คือ 1. ข้อมูลที่อยู่ในตู้ 2. ข้อมูลเข้าและออกนอกตู้ และ 3. การเข้ารหัสและการใช้กุณแจลับไปพร้อมกับการทำธุรกรรมด้านการเงิน
4. เพิ่มการใช้โครงสร้างแบบเปิดมากขึ้น อาทิ ระบบปฏิบัติการไมโครซอฟท์, มาตรฐานอินเทอร์เฟซ CEN XFS-J/XFS device และเครือข่าย TCP/IP เพราะเอทีเอ็มจะมีความเสี่ยงต่อภัยใหม่ ๆ และภัยคุกคามที่มากขึ้น ทั้งที่มาจากภายในและภายนอก
5. การที่เอทีเอ็มขยายการใช้และการให้บริการไปในด้านอื่น ๆ มากขึ้นนั้น ต้องแน่ใจว่า ได้จัดการให้เข้ากับนโยบายด้านความปลอดภัยของซอฟต์แวร์ไอทีอย่างครบถ้วน
6. ยังคงต้องมีระบบความปลอดภัยจริงสำหรับเอทีเอ็ม (Physical Security) เพื่อให้แน่ใจว่าภัยคุกคามจะไม่สามารถผ่านระบบความปลอดภัยที่อยู่บนซอฟต์แวร์ไปได้
7. ถ้าเป็นไปได้ ระบบเอทีเอ็มควรจะอยู่ในเครือข่ายแยก (Segregated Network) เพื่อลดความเสี่ยงจากภัยที่อาจเกิดมาจากอุปกรณ์อื่น
8. การใช้ระบบไอทีทั่วทั้งองค์กรจะช่วยให้ประหยัดการลงทุนและเอทีเอ็มมีความปลอดภัยมากขึ้น ซึ่งเทคโนโลยีที่ได้พิสูจน์แล้วว่าสามารถช่วยให้เอทีเอ็มมีความแข็งแกร่งมากขึ้น ได้แก่ ไฟร์วอลล์ แอนตี้ไวรัส และ Whitelisting (การบล็อกหากชื่อแอพพลิเคชันและข้อมูลไม่ได้ถูกบันทึกอยู่ในเซิร์ฟเวอร์ไว้ก่อนแล้ว)
9. จัดขั้นตอนด้านการบริหารความปลอดภัย โดยเริ่มจากทำความเข้าใจถึงมูลค่าของสิ่งที่ต้องการจะป้องกัน ขั้นตอนต่อไปคือการวิเคราะห์ภัยที่อาจเข้ามาคุกคาม และหาช่องโหว่ของสิ่งที่ต้องการจะป้องกัน
10. ต้องเข้าใจช่องโหว่ที่ภัยอาจเข้ามาคุกคามเพื่อวิเคราะห์หาผลกระทบต่าง ๆ และทดสอบว่าภัยหนึ่งประเภทสามารถเข้ามาในเครือข่ายเอทีเอ็มด้านใดได้บ้าง พร้อมทั้งค้นหาวิธีปฏิบัติและตั้งนโยบายเพื่อลดช่องโหว่ดังกล่าว สิ่งที่ควรทำรวมถึงการควบคุมด้านความปลอดภัย การหาช่องโหว่ การประเมินความเสี่ยง การตั้งนโยบายด้านความปลอดภัย
11. วัตถุประสงค์เบื้องต้นของเอทีเอ็มคือการใช้งานได้ตลอดเวลา เอทีเอ็มจึงต้องการการตรวจสอบอยู่ตลอดเวลาเพื่อให้แน่ใจว่าปลอดภัย ควรมีการตรวจสอบ 3 ด้านด้วยกันคือ ATM Application Monitoring, General ATM Health Monitoring และ ATM Security Monitoring
12. จำเป็นที่จะต้องอัพเดตซอฟต์แวร์และแพตช์ต่าง ๆ ให้ทันสมัยอยู่ตลอดเวลา และทูลส์ที่ช่วยกระจายซอฟต์แวร์จากส่วนกลางจะช่วยให้เอทีเอ็มน่าเชื่อถือและลดเวลาที่เครื่องเสียลงได้
13. ต้องมีการดูและควบคุมแบบคู่กัน (Dual-Custody Controls) ทั้งนี้ มาตรฐาน PCI Data Security Standard จะไม่อนุญาตให้คนเดียวกันนั้นทำหน้าที่ทั้งพัฒนาและเปลี่ยนแปลงใด ๆ ได้
14. ในการใช้กุญแจที่เข้ารหัส ให้ใช้กุญแจระบบ Automated Key Distribution (Remote Key) และใช้ตามข้อควรปฏิบัติสำหรับการดูแลกุญแจด้วย ในการใช้แผ่นเข้ารหัสอิเล็กทรอนิกส์ PIN Pads (EPPs) ให้แน่ใจว่ามีการเข้ารหัส ตลอดการสื่อสารนั้น นอกจากนี้การใช้โค้ด Message Authentication Code (ที่เรียกกันว่า MACing Transaction Traffic) เป็นเทคนิคที่สามารถป้องกันการเข้าถึงข้อมูลที่อยู่ระหว่างการส่งจากเอทีเอ็มไปยัง Financial Switch ในเครือข่ายได้
15. ควรมีการตรวจสอบบริการที่บุคคลที่สามกระทำโดยเฉพาะ ในสัญญาการดูแลเอทีเอ็ม ควรระบุความรับผิดชอบในกรณีที่เกิดความเสียหายต่าง ๆ รวมถึงการติดตั้งซอฟต์แวร์ที่ไม่เกี่ยวข้องกับเอทีเอ็ม ทั้งเจ้าหน้าที่ของสถาบันและบุคคลที่สามต้องตรวจสอบสิ่งต่าง ๆ ร่วมกันเสมออย่างน้อยปีละครั้ง เพื่อให้มั่นใจว่าได้ทำตามข้อกำหนดตลอดวงจรด้านความปลอดภัยอย่างเรียบร้อย
16. การตรวจสอบวิธีการรับพนักงานซึ่งเป็นขั้นตอนแรกที่ป้องกันภัยที่อาจจะเกิดจากภายในได้ดี นอกจากนี้ ควรมีวิธีการเข้าใช้ทรัพยากรต่าง ๆ และการอนุมัติให้แขกเข้าใช้เครือข่ายอย่างเข้มงวด จัดนโยบายโต๊ะสะอาดให้ทั่วองค์กร จัดการเก็บข้อมูลให้ปลอดภัย
17. ภัยต่าง ๆ สามารถเข้ามาทางช่องโหว่ดังกล่าวและก่อให้เกิดความเสี่ยงได้ คือการสูญเสียด้านการเงิน การที่ต้องจ่ายเงินค่าบริการเพิ่ม การประนีประนอมเกี่ยวกับข้อมูลที่เป็นความลับ และการติดมัลแวร์ชนิดต่าง ๆ
18. ต้องรายงานภัยและการทุจริตแก่เจ้าหน้าที่และหน่วยงานผู้มีอำนาจทันที เพื่อบังคับใช้กฎหมายท้องถิ่นและระหว่างภูมิภาค และรับผิดชอบภัยนั้นได้ทันการณ์
