บัญชีธนาคารของคุณปลอดภัยจากแฮกเกอร์แค่ไหน?

  โดย ฐิติพล ปัญญาลิมปนันท์   ผู้สื่อข่าวบีบีซีไทย

ปัจจุบันธนาคารพาณิชย์ในไทยผลักดันให้ลูกค้าหันมาทำธุรกรรมการเงินออนไลน์ ซึ่งนอกจากจะช่วยประหยัดเวลา ลดต้นทุนของธนาคาร ธนาคารมักยืนยันว่ามีความปลอดภัย แต่ลูกค้ามั่นใจได้จริงแค่ไหน

พิชญะ โมริโมโต พยายามแฮกเข้าระบบของธนาคารเป็นประจำและมักประสบผลสำเร็จ แต่ต่างจากอาชญากรไซเบอร์ เพราะเขาเป็น “แฮกเกอร์สายขาว” ซึ่งหน้าที่ก็คือช่วยให้เงินฝากในบัญชีของธนาคารปลอดภัยมากยิ่งขึ้น

สิ่งที่เขาพบก็คือระบบการรักษาความปลอดภัยของธนาคารโดยรวมยังมีจุดอ่อน

“ยังไม่ค่อยปลอดภัยเท่าที่ควร ยังมีหลาย ๆ ครั้ง ที่พบช่องโหว่ที่มีความรุนแรงสูงมาก แต่ไม่มีการซ่อมแซม” พิชญะ ผู้มีตำแหน่งผู้ให้คำปรึกษาด้านความปลอดภัย ของบริษัท SEC Consult กล่าว

บริการยิ่งหลากหลายยิ่งเสี่ยงมากขึ้น

ตามระเบียบของธนาคารแห่งประเทศไทย ธนาคารพาณิชย์ทุกแห่งในประเทศจะต้องทดสอบความปลอดภัยของระบบอย่างน้อยปีละ 1 ครั้งโดยผู้ตรวจสอบจากนอกองค์กร นั่นหมายถึงธนาคารต้องจ้างมืออาชีพตรวจสอบด้านความปลอดภัยระบบอย่าง พิชญะ เข้ามาทำงาน

สิ่งที่เขาทำคือจำลองสถานการณ์เหมือนเป็นแฮกเกอร์ที่พยายามเจาะระบบ เพื่อวิเคราะห์ว่าสามารถโจมตีทางใดได้บ้างและรายงานต่อธนาคารเพื่อแก้ไข

พิชญะ อธิบายว่าความเสี่ยงของระบบนั้นขึ้นอยู่กับสิ่งที่เรียกว่า attack surface นั่นคือช่องทางหรือพื้นที่แฮกเกอร์สามารถทำงานได้ กล่าวคือ ยิ่งมีบริการออนไลน์หลายรูปแบบ ยิ่งมีโอกาสเกิดช่องโหว่ได้มากขึ้น

“เขาอาจจะมองว่าถึงมีช่องโหว่จริง แต่เขาก็มีทีมมอร์นิเตอร์และมั่นใจว่าจะระงับเหตุได้ทันท่วงที” พิชญะกล่าว

แต่ในมุมมองของเขา ธนาคารควรจะแก้ไขทันทีและปิดไม่ให้ใช้งานในส่วนนั้นจนกว่าจะแก้ไขเสร็จ ไม่ใช่เลือกดำเนินการเฉพาะเมื่อเรื่องนั้น “กลายเป็นกระแสบนพันทิปหรือเฟซบุ๊ก” เพราะถึงแม้จะมีการสอดส่องตลอดเวลา การเจาะระบบก็ยังเกิดขึ้นได้และเคยเกิดขึ้นมาแล้ว

“เคยได้ยินอยู่หลายเคส แต่เล่าไม่ได้ มีทั้งเคสที่ขโมยเงินได้ หรือทำ DDoS (การจงใจส่งข้อมูลจำนวนมากไปที่ระบบคอมพิวเตอร์) เพื่อทำให้ระบบล่มและโจมตี” เขากล่าว

บลูทีมกับเร้ดทีม:ระบบป้องกันภายในธนาคาร

การโจมตีระบบของธนาคารแนวโน้มเพิ่มขึ้นทุกปี จนทำให้ธนาคารต้องเพิ่มจำนวนผู้ดูแลความปลอดภัย

สันติ เสียงเย็น หนึ่งในทีมผู้ดูแลความปลอดภัยของของธนาคารแห่งหนึ่งของไทยอธิบายว่า ที่ช่องโหว่ไม่ได้รับแก้ไขทันทีนั้นเป็นเพราะต้องเรียงลำดับตามความสำคัญ

“ระบบของธนาคารมันมีเยอะมาก เวลาจะทดสอบหรือแก้ไข ด้วยทรัพยากรที่จำกัด มันจำเป็นที่จะต้องมี priority ที่จะต้องดูแลส่วนที่อันตรายที่สุดก่อน และในส่วนที่ความเสี่ยงต่ำหน่อยก็แก้ไขทีหลัง” สันติกล่าว

เขายืนยันว่าถึงแม้จะพบช่องโหว่ในระบบจริง ก็ยังมีอุปกรณ์ที่ใช้ช่วยแก้ไขและป้องกันรองรับอยู่อีกหลายชั้น

ทีมดูแลความปลอดภัยภายในของธนาคารแต่ละแห่ง จะถูกแบ่งออกเป็นสองฝั่งคือ เร้ดทีม (red team) และ บลูทีม (blue team) เร้ดทีมจะทำตัวเหมือนแฮกเกอร์ที่พยายามเจาะระบบตัวเอง ขณะที่บลูทีมทำหน้าที่สอดส่องและป้องกันจากทั้งทีมสีแดงและแฮกเกอร์จากภายนอก

สันติ ทำงานด้านความปลอดภัยของระบบคอมพิวเตอร์มากว่า 10 ปี เขาเป็นผู้นำเร้ดทีมของธนาคารแห่งหนึ่ง โดยมีสมาชิกทั้งหมด 6 คนทำงานร่วมกับบลูทีมอีก 5 คน ซึ่งธนาคารในไทยส่วนมากอาจมีจำนวนน้อยกว่านี้

“มันมี[ความพยายามแฮก]ทุกวัน แต่ที่สำเร็จนี่น้อยมาก มีคนพยายามลองแฮกทุกวัน ส่วนมากมาจากต่างประเทศ ซึ่งเราก็จะรู้ว่าเป็นใครมาจากประเทศไหน แต่ถ้าแฮกเกอร์ซ่อนตัวมาดีเราก็ไม่สามารถตามกลับไปได้” เขากล่าว

ระบบป้องกันของธนาคารส่วนใหญ่จะมีทีมคอยสอดส่องการใช้งานในระบบ เมื่อมีผู้ใช้งานที่มีท่าทีคล้ายกับพยายามจะโจมตี ระบบจะส่งสัญญาณไปเตือนผู้ดูและระบบพร้อมตรวจสอบต้นตอ รวมทั้งระงับผู้ใช้รายนั้นไว้ก่อนเป็นเวลา 24 ชั่วโมงโดยอัตโนมัติ

สันติกล่าวว่าทีมของเขามีการทดสอบระบบเต็มรูปแบบอย่างน้อยปีละสองครั้ง มากกว่าข้อกำหนดของธนาคารแห่งประเทศไทย และตรวจสอบทุกครั้งที่มีการนำแอปพลิเคชันใหม่มาใช้ ซึ่งลูกค้าธนาคารสามารถมั่นใจได้ในความปลอดภัย

แต่นอกจากข้อมูลที่ถูกเก็บไว้กับทางธนาคารแล้ว เว็บไซต์ชอปปิ้งออนไลน์หลายแห่งในปัจจุบันมีการเก็บข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อความสะดวก

ซึ่งถึงแม้จะมีมาตรฐานความปลอดภัยที่ผู้ให้บริการเหล่านี้ต้องทำตาม สันติกล่าวว่าเป็นส่วนที่ธนาคารไม่สามารถตรวจสอบได้เองและไม่แน่ใจว่ามีผู้ดูแลระบบที่มีประสิทธิภาพแค่ไหน ดังนั้นการเลือกซื้อของจากเว็บที่น่าเชื่อถือก็เป็นสิ่งสำคัญ

ธนาคารต้องร่วมกันป้องกัน

อาชญากรรมไซเบอร์มักเป็นที่รู้จักในรูปแบบการหลอกลวง เช่น การสร้างอีเมลหรือเว็บไซต์ปลอมเพื่อหลอกเอาข้อมูลของเหยื่อ ซึ่งอาศัยความรู้เท่าไม่ถึงการของประชาชน

แต่อาชญากรรมประเภทที่พิชญะและสันติทำงานเพื่อป้องกัน เป็นความเสี่ยงประเภทที่ลูกค้าทั่วไปทำได้แค่ฝากความหวังไว้กับธนาคาร

เมื่อเดือน ส.ค.ปีที่แล้ว ธนาคารออมสินถูกขโมยเงินกว่า 12 ล้านบาท หลังจากมิจฉาชีพเจาะระบบผ่านตู้เอทีเอ็ม

เมื่อเดือน ก.ค. ที่ผ่านมา ข้อมูลบัญชีเงินกู้ของลูกค้ากว่า 4 แสนรายในธนาคารแห่งหนึ่งในอิตาลี ตกอยู่ในความเสี่ยงหลังระบบของธนาคารถูกเจาะ 2 ครั้ง

เมื่อสัปดาห์ที่แล้ว Yahoo ได้ออกมายอมรับว่าจากการถูกแฮกเมื่อเดือน ส.ค.ปี 2556 นั้น อาจทำให้แฮกเกอร์รู้ชื่อ อีเมล วันเกิด เบอร์โทรศัพท์ และรหัสผ่านที่ยังถูกเข้ารหัสเอาไว้ ของผู้ใช้ Yahoo ทั้งหมดในระบบรวมกว่า 3 พันล้านบัญชี

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือ ThaiCERT ได้รับแจ้งเหตุว่ามีการเจาะระบบในไทยทั้งที่สำเร็จและไม่สำเร็จ 1,726 ครั้งในปี 2559 เพิ่มขึ้นเกือบเท่าตัวจาก 947 ครั้งในปี 2556

ด้วยจำนวนอาชญากรรมไซเบอร์ที่เพิ่มขึ้น ธนาคารพาณิชย์ 15 แห่งของไทยได้รวมตัวกันก่อตั้งศูนย์ประสานงาน TB-CERT เพื่อช่วยดูแลและแลกเปลี่ยนความรู้ด้านความปลอดภัยสำหรับธนาคารด้วยกัน เมื่อวันที่ 2 ต.ค. ที่ผ่านมา

โจมตีไซเบอร์ 300 ครั้งต่อนาทีทั่วโลก

ดร.วิรไท สันติประภพ ผู้ว่าการ ธนาคารแห่งประเทศไทย กล่าวในงานเปิดตัวศูนย์ว่า ปัจจุบันทั่วโลกมีการโจมตีทางไซเบอร์มากถึง 300 ครั้งต่อนาทีในปี 2016 เพิ่มจากเฉลี่ย 25 ครั้งต่อวันในปี 2006 และถูกนับให้เป็น 1 ใน 10 ภัยอันตรายของโลกโดย World Economic Forum

ในการสัมภาษณ์กับบีบีซีไทยเมื่อเดือนก.ย.ที่ผ่านมา ศ.ดร.กาญจนา กาญจนสุต ผู้บุกเบิกการใช้อินเทอร์เน็ตในประเทศไทยและผู้ก่อตั้งศูนย์แลกเปลี่ยนข้อมูลอินเทอร์เน็ตบีเคนิกซ์ เตือนว่าประชาชนไม่ควรมั่นใจในความปลอดภัยของอินเทอร์เน็ตจนเกินไป

“เห็นคนใช้อินเทอร์เน็ตไทยเนี่ย มีความเชื่อมั่นในเทคโนโลยีหรือการใช้ทำนู่นทำนี่เหลือเกิน ในขณะที่ตัวเองยังกลัวเลยไม่กล้าใช้ซื้อนู่นซื้อนี่ เพราะเรารู้ว่าภัยมันเยอะและมันยังไม่ปลอดภัย” ศ.ดร.กาญจนากล่าว

“อยากจะให้ผู้ใช้พึงระวังบ้าง อย่าชะล่าใจนัก เพราะว่าเทคโนโลยีมันเข้ามารวดเร็ว โจรผู้ร้ายอาจจะยังตั้งตัวไม่ติด พอตั้งตัวติดเขามาทำอะไรเราก็ไม่รู้ตัวแล้วตอนนั้น เราเห็นข้างล่างเรารู้ว่ามันไม่ปลอดภัย”

———————————————————

ที่มา : ฺBBC Thai / 9 ตุลาคม 2017

Link : http://www.bbc.com/thai/thailand-41548395?ocid=wsthai.chat-apps.in-app-msg.line.trial.link1_.auin