ทำไมเราถึงต้องเข้ารหัสหรือใช้ token

 

การกีดขวางหรือปิดกั้นการทำงาน การขโมยข้อมูลทางปัญญา และการรั่วไหลของข้อมูล เหล่านี้ถือเป็นตัวอย่างของภัยคุกคามความปลอดภัยทางไซเบอร์ที่สำคัญ เราอยู่กับ Pawel Bulat ผู้เชี่ยวชาญจาก Comarch ซึ่งจะมาแชร์ความรู้และประสบการณ์ว่าทำอย่างไรจึงจะช่วยให้ Online banking มีความปลอดภัย

 

มีความเป็นไปได้แค่ไหนที่ธนาคารจะเป็นเป้าหมายของแฮกเกอร์ที่ต้องการล้วงข้อมูล เพื่อขโมยหรือเปลี่ยนแปลงคะ

มีความเป็นไปได้มากครับ วิธีการล้วงข้อมูลนับวันยิ่งมีความซับซ้อนแยบยลมาก ยกตัวอย่าง Meltdown และ Spectre ซึ่งเป็นจุดอ่อนหรือช่องโหว่ที่ถูกค้นพบใน CPU ของ Intel และ AMD เมื่อต้นปี 2018  มันทำให้วงการ IT ทั่วโลกตื่นตกใจ เพราะช่องโหว่นี้ช่วยให้ผู้จู่โจมสามารถเข้าถึงข้อมูลสำคัญจาก Kernel และในส่วนของ user-mode ซึ่งปกติระบบปฏิบัติการจะไม่อนุญาตให้แอพพลิเคชันเข้าถึงข้อมูลในระดับโครงสร้างของ CPU ได้  และที่น่าตกใจไปกว่านั้นคือโปรแกรมนี้สามารถจู่โจมได้จากการทำงานของ JavaScript บนเว็บบราวเซอร์ นั่นหมายความว่าอุปกรณ์อิเล็กทรอนิกส์แทบทุกชนิดในท้องตลาดปัจจุบัน ตั้งแต่มือถือ แท็บเล็ต ไปจนถึง PC และ Server สามารถถูกจู่โจมได้

 

เราสามารถเรียนรู้อะไรจากเหตุการณ์นี้บ้างคะ

สิ่งสำคัญอย่างแรกที่ทุกบริษัทควรทำคือตรวจสอบระบบความปลอดภัยของระบบฮาร์ดแวร์และซอฟท์แวร์อย่างสม่ำเสมอ เพื่อกำจัดการคุกคามที่อาจเกิดขึ้นได้

อย่างที่สองคืออุปกรณ์ทุกอย่างที่เกี่ยวกับธุรกรรมการเงินหรืออื่น ๆ ที่สำคัญ ควรจะมีการป้องกันโดยระบบรักษาความปลอดภัยเฉพาะทาง เช่น การใช้ token เพื่อเข้ารหัส วิธีการเหล่านี้ช่วยเพิ่มความปลอดภัยในการแลกเปลี่ยนข้อมูลที่ดี ในอุปกรณ์ที่ใช้ในทุก ๆ เรื่อง อย่างเช่น smartphone ซึ่งการใช้ token จะช่วยป้องกันจากจู่โจมจากภายนอกที่เราอาจนึกไม่ถึง ได้อย่างมีประสิทธิภาพ

 

แล้ว Token คืออะไรคะ

โดยหลักการแล้วมันเปรียบเสมือนลายเซ็นดิจิทัลที่สร้างโดย USB drive เพื่อใช้ในการ Authentication และ Authorization รวมถึงแลกเปลี่ยนข้อมูลครับ

 

Authentication กับ Authorization มีข้อแตกต่างกันอย่างไรคะ

ทั้งสองมีความแตกต่างและเป็นส่วนสำคัญของระบบความปลอดภัยในโลก IT ครับ โดย Authentication หรือการยืนยันตัวตน ใช้ในการยืนยันผู้ใช้ ในขณะที่การขอใช้สิทธิหรือ Authorization คือการอนุญาตให้ผู้ใช้สามารถเข้าใช้ระบบหรือเข้าถึงข้อมูลได้ในช่วงเวลาที่กำหนดด้วยเหตุผลใดเหตุผลหนึ่ง

 

ที่ Comarch มีการผลิตอุปกรณ์ป้องกัน transaction ด้วยใช่ไหมคะ ไม่ทราบว่ามันมีหลักการทำงานอย่างไรคะ

ใช่แล้วครับ เราผลิตอุปกรณ์ซึ่งแบ่งเป็น 2 ประเภท  อย่างแรกคือ tPro ECC ซึ่งเป็น USB token ที่ได้อธิบายไปแล้วข้างต้น ใช้สำหรับลงลายมือรับรองการเข้าถึงข้อมูล อุปกรณ์และเทคโนโลยีนี้เป็นลิขสิทธิ์ของ Comarch และทำในยุโรป 100%  อย่างที่สองคือ tPro Mobile ซึ่งเป็นการรหัสโดยใช้โทรศัพท์มือถือ

ที่ Comarch ในช่วงต้นปี 2012 เราทำงานกันอย่างหนักเพื่อคิดค้นอุปกรณ์ซึ่งช่วยสร้างความปลอดภัยในการสื่อการผ่านช่องทางต่าง ๆ กับธนาคาร และได้ค้นพบวิธีที่ช่วยสร้างความปลอดภัยในการทำรายการ transaction ได้อย่างมีประสิทธิภาพ

แนวคิดของอุปกรณ์ของเราเป็นอะไรที่ง่ายมาก เมื่อลูกค้าส่งคำสั่งการโอนเงินไปยังธนาคาร ธนาคารจะทำการเข้ารหัสคำสั่งและส่งกลับไปยังอุปกรณ์ที่ออกให้ลูกค้าโดยผ่านช่องทางที่มีความปลอดภัย ซึ่งอุปกรณ์จะทำการถอดรหัสและแสดงรายละเอียดของคำสั่งได้ หลังจากการตรวจสอบอย่างละเอียด ลูกค้าสามารถเลือกว่าข้อมูลตรงตามคำสั่งแรกที่ส่งให้ธนาคารหรือไม่ โดยคำสั่งโอนเงินจะถูกยืนยันถ้าข้อมูลถูกต้องตรงตามคำสั่ง

ซึ่งก็เหมือนกับการส่งจดหมายที่มีลายเซ็นต์รับรองไปยังธนาคารใช่ไหมคะ

ครับ และมีการส่งกลับจากธนาคารมาในกล่องซึ่งมีเพียงคุณเท่านั้นที่รู้รหัสเปิด

ในการเปิดกล่อง คุณจะต้องใช้รหัสเฉพาะเพื่อตรวจสอบหมายเลขบัญชีและจำนวนเงินก่อนจะทำการยืนยันหรือยกเลิกรายการ  ในระหว่างการจัดส่ง หากมีความพยายามใด ๆ ก็ตามที่จะเปิดกล่องออกจะถูกจับได้ทันที

ฟังดูปลอดภัยดีนะคะ

ใช่ครับ ยิ่งไปกว่านั้น token ของเรายังไม่ต้องใช้ระบบปฏิบัติการใด ๆ อีกด้วย ดังนั้นจึงไม่ได้รับผลกระทบจากไวรัสใด ๆ นอกจากนี้แล้วตัวtoken ยังจำเป็นต้องใช้การตอบสนองจากมนุษย์ หรือ human-machine interaction ซึ่งก็คือตัวปุ่มที่ต้องคอยกดและปล่อยเพื่อสร้างลายเซ็นต์ดิจิทัล  ซึ่งเป็นเรื่องยากมากที่รหัสของคุณจะถูกขโมย  และอย่างสุดท้าย ตัว token นี้ยังมาพร้อมกับระบบซึ่งทำการรองรับ Elliptic Curve Cryptography (ECC)

 

ช่วยอธิบายในส่วนของ Elliptic Curve Cryptography หน่อยได้ไหมคะ

อธิบายง่าย ๆ คือ การเข้ารหัสแบบ Elliptic Curve ซึ่งในปัจจุบัน ถูกใช้ในการรับส่ง Bitcoin เป็นต้น จะให้ความปลอดภัยในระดับที่สูงกว่าในจำนวน key ที่เท่ากันเมื่อเทียบกับการเข้ารหัสแบบ RSA นอกจากนี้ด้วยขนาด key ที่เล็กกว่าและความสามารถในการคำนวณที่รวดเร็ว จึงทำให้การ authorization การ authentication รวมทั้งการสร้าง key เป็นไปอย่างรวดเร็วด้วย

 

ขอบคุณค่ะ แล้วมีอย่างอื่นที่แตกต่างอีกไหมคะ

ที่ Comarch เราให้ความสำคัญกับวิธีการป้องกันและรักษาปลอดภัยของข้อมูล ตั้งแต่เริ่มต้นโครงการในช่วงกลางศตวรรษที่ 19 กันเลยทีเดียว โดยจุดประสงค์เพื่อให้มั่นใจว่าข้อมูลมีความปลอดภัยในทุกขั้นตอน นับตั้งแต่รับมาจนถูกนำไปใช้ ซึ่งเราพิถีพิถันกันตั้งแต่ขั้นตอนออกแบบ

 

สำหรับเรา การสร้าง hardware และ software ถือเป็นหนึ่งเดียว อีกหนึ่งคือหน้าที่ของที่ปรึกษาโครงการซึ่งจะทำการตรวจสอบระบบความปลอดภัยทาง IT อีกชั้นนึง เรียกได้ว่าพวกเราคือ one-stop shop หรือการบริการเบ็ดเสร็จ ณ จุดเดียว ในการป้องกันข้อมูลที่มีค่าของคุณ

หรือพูดได้ว่า เราให้ความรับผิดชอบตั้งแต่ต้นจนจบ จาก solution design ขั้นตอนการ implement จนถึง maintenance ต้องขอขอบคุณลูกค้าทุกท่านที่ไว้ใจให้เราได้ช่วยท่าน

หากสนใจข้อมูลเพิ่มเติม สามารถติดตามชม (ISC)2 webinar ในวันที่ 25 กันยายน เวลา 13.00 น. (14:00 (GMT +8))  !

 

ลงทะเบียนได้ที่ https://www.isc2.org/News-and-Events/Webinars/APAC-Webinars

Pawel Bulat, Comarch Project Manager

ผู้เชี่ยวชาญทางด้าน Cyber Securityด้วยประสบการณ์กว่า 10 ปีในอุตสาหกรรม online banking.

ด้วยพนักงานกว่า 6,000คน ทั่วโลก และโครงการต่าง ๆ ที่ได้รับความสำเร็จอย่างมากกับลูกค้าแบรนด์ชั้นนำ Comarch มีความมั่นใจและภูมิใจในการเป็นหนึ่งในผู้นำพัฒนาซอฟท์แวร์ของยุโรป

Comarch Financial Services ส่วนหนึ่งของ Comarch Capital Group ซึ่งพกพาความชำนาญในการพัฒนาซอฟท์แวร์ชั้นสูงและระบบไอทีให้กับสถาบันธนาคาร สถาบันประกันภัยและตลาดทุนชั้นนำต่าง ๆ มากว่า 20 ปี