Datablink กับเทคโนโลยี Multi-factor Authentication สำหรับธนาคารและองค์กรขนาดใหญ่ ปกป้องทุกการยืนยันตัวตนและทำ Transaction ให้ปลอดภัย

เมื่อการทำธุรกรรมทางการเงินออนไลน์ กลายเป็นหนึ่งในช่องทางที่สะดวกที่สุดในปัจจุบัน และได้รับความนิยมอย่างแพร่หลาย สิ่งหนึ่งที่เพิ่มขึ้นเป็นเงาตามตัวมาด้วยก็คือ การโจมตีระบบของธนาคารหรือองค์กรเหล่านี้ เพื่อทำการขโมยเงินออกไปด้วยวิธีการที่หลากหลาย ไม่ว่าจะเป็นการทำ Social Engineering เพื่อหลอกขโมยรหัสผ่านหรือ OTP, การทำ Identity Theft, การใช้ Trojan หรือ Malware หรือแม้แต่การสร้างเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูลก็ตาม

Datablink เป็นบริษัทที่มุ่งเน้นการพัฒนาเทคโนโลยีเพื่อช่วยให้การยืนยันตัวตนและการทำ Transaction ทางการเงินต่างๆ มีความปลอดภัยมากยิ่งขึ้น และช่วยแก้ไขปัญหาที่เกิดขึ้นจากการโจมตีระบบในการทำธุรกรรมทางการเงินต่างๆ

 

การขโมยเงินผ่านบัตรเครดิตและเดบิต สร้างความเสียหายถึง 12,000 ล้านเหรียญดอลลาร์สหรัฐต่อปี และการขโมยข้อมูลลูกค้าภายในองค์กร

จากผลการศึกษาพบว่าการขโมยเงินผ่านทางบัตรเครดิตและเดบิตนั้น สร้างความเสียหายทั่วโลกมากถึง 12,000 ล้านเหรียญดอลลาร์สหรัฐต่อปี หรือราวๆ 432,000 ล้านบาทไทย และทำให้สถาบันการเงินหรือองค์กรต่างๆ นั้นเกิดความเสียหายอย่างต่อเนื่องเป็นวงกว้าง ไม่ว่าจะเป็นเงินที่สูญหาย, ความเสียหายที่เกิดขึ้นกับธุรกิจทางอ้อม และการลงทุนทางด้านระบบรักษาความปลอดภัยที่ไม่รู้จบ

นอกจากนี้ ถึงแม้บางองค์กรจะมีการรักษาความปลอดภัยของระบบเครือข่ายภายในองค์กรเป็นอย่างดี แต่เมื่อธุรกิจมีขนาดใหญ่และต้องทำการเชื่อมต่อกับองค์กรของลูกค้าและคู่ค้าภายนอกของบริษัทนั้น การควบคุมความปลอดภัยในส่วนนั้นก็ไม่สามารถบังคับหรือควบคุมได้อย่างครอบคลุม และกลายเป็นช่องทางที่ถูกใช้ในการโจมตีกันอย่างแพร่หลาย และสร้างความเสียหายให้กับองค์กรได้อย่างมหาศาลทั้งในแง่ของสินทรัพย์และชื่อเสียง

 

เมื่อการยืนยันตัวตนด้วย Two-Factor Authentication แบบเดิมไม่เพียงพออีกต่อไป

การยืนยันตัวตนด้วย Two-Factor Authentication นั้น ในทางทฤษฏีจะสามารถช่วยให้องค์กรปลอดภัยจากการถูกขโมยรหัสผ่านได้ เนื่องจากถึงแม้ผู้โจมตีนั้นจะมี Username และ Password ของเป้าหมายที่ครบถ้วน แต่ถ้าหากไม่มีข้อมูลยืนยันตัวตนเสริมอย่างรหัสผ่าน OTP หรือ Hardware Token นั้น ผู้โจมตีก็จะไม่สามารถผ่านด่านการยืนยันตัวตนเข้าไปได้

สิ่งที่ผู้โจมตีพยายามทำก็คือ การโจมตีหลังจากที่ผู้ใช้งานทำการยืนยันตัวตนไปแล้ว หรือหลอกให้ผู้ใช้งานทำการยืนยันตัวตนให้ ตัวอย่างเช่น การทำ Social Engineering เพื่อหลอกให้ผู้ใช้งานบอกรหัสผ่าน OTP และการทำ Man-in-the-Middle ในระดับของ Traffic, Mobile, Computer หรือแม้แต่ในระดับของ Browser เพื่อดักเปลี่ยนการทำ Transaction ของผู้ใช้งานที่เกิดขึ้นหลังจากการยืนยันตัวตนแทน เป็นต้น

ด้วยเหตุนี้ ทำให้การยืนยันตัวตนด้วย Two-factor Authentication นั้นไม่เพียงพออีกต่อไป และ Datablink ก็ได้เข้ามาแก้ไขปัญหาเหล่านี้ด้วยแนวคิดแบบใหม่ๆ เพื่อตอบโจทย์ของลูกค้ากลุ่มสถาบันการเงินและองค์กรขนาดใหญ่โดยเฉพาะ

 

Datablink กับเทคโนโลยีการยืนยันตัวตนแบบ Multi-factor Authentication ที่ปลอดภัยยิ่งกว่า

เมื่อรูปแบบการโจมตีนั้นเปลี่ยนไปจากการขโมย Username และ Password ไปเป็นการทำ Social Engineering และการทำ Man-in-the-Middle แทนนนั้น Datablink จึงได้พัฒนาแนวคิด, ผลิตภัณฑ์ และโซลูชั่นสำหรับการทำธุรกรรมทางการเงินแบบออนไลน์อย่างปลอดภัยโดยเฉพาะเพื่อแก้ไขปัญหาต่างๆ เหล่านี้ และมีแนวทางในการรักษาความปลอดภัยในการทำธุรกรรมเหล่านี้ ด้วยการแก้ปัญหาหลักๆ 3 ประการ ดังนี้

1. ใช้เทคโนโลยี Multi-factor Authentication ทั้งกับการยืนยันตัวตน และการยืนยันการทำธุรกรรม

เทคโนโลยี Multi-factor Authentication ที่ถูกออกแบบมาโดยเฉพาะของ Datablink นี้ มีทั้งส่วนที่เป็น Client สำหรับให้ผู้ใช้งานสร้าง Response เพื่อโต้ตอบใน Challenge ที่เกิดขึ้นในการยืนยันตัวตนละการกำหนดสิทธิ์ได้ทันที ทำให้ถึงแม้ผู้โจมตีจะพยายามโจมตีหลังจากผ่านขั้นตอนการยืนยันตัวตนไปแล้ว ก็ยังจะต้องพบกับการยืนยันการทำ Transaction ในแต่ละครั้ง หรือที่เรียกว่า Transaction Signing นั่นเอง

นอกจากนี้การสร้าง Response นี้ยังมีการนำข้อมูลของ Transaction ที่เกิดขึ้นมาใช้ในการสร้าง และการเปิดอ่าน Response ที่ทำการเข้ารหัสอยู่นั้นก็ต้องทำจากหน้าจอที่มีการทำ Transaction นั้นๆ อยู่เท่านั้น ทำให้การหลอกลวงเพื่อทำ Social Engineering เกิดขึ้นได้ยากมาก

 

2. ผู้ใช้งานสามารถตรวจสอบข้อมูลการทำธุรกรรมได้จากระบบ Multi-factor Authentication เพื่อป้องกันการทำ Man-in-the-Middle ได้เสมอ

ไม่เพียงแต่อุปกรณ์ฝั่ง Client จะทำการสร้าง Response เพื่อให้โต้ตอบใน Challenge เท่านั้น สิ่งที่ทำให้ Datablink เหนือยิ่งกว่าระบบ Multi-factor Authentication ใดๆ ก็คือการที่ข้อมูลของการทำ Transaction ที่เกิดขึ้นนั้น จะถูกแสดงพร้อมๆ กับ Response เสมอ ทำให้ผู้ใช้งานสามารถตรวจสอบได้ทันทีว่า Response อันนี้มีไว้สำหรับยืนยันการทำธุรกรรมใด และถ้าหากข้อมูลการทำธุรกรรมถูกเปลี่ยนแปลงจากการโจมตีแบบ Man-in-the-Middle ก่อนที่จะถูกส่งไปยัง Server นั้น ผู้ใช้งานก็จะทราบได้ทันทีว่า Transaction นั้นๆ ถูกเปลี่ยนแปลงไปแล้ว จากข้อมูลต่างๆ ที่ถูกเข้ารหัสเอาไว้อย่างปลอดภัยที่ส่งมาจาก Server ถึง Client นั่นเอง

วิธีการนี้ไม่เพียงแต่ช่วยป้องกันการโจมตีแบบ Man-in-the-Middle เท่านั้น แต่ยังรวมถึงการป้องกันการทำ Social Engineering ที่ผู้โจมตีจะพยายามหลอกล่อให้เหยื่อทำการบอกรหัสของ Response ให้ ซึ่ง Datablink นี้จะช่วยส่งข้อมูลของ Transaction ที่ผู้ทำ Social Engineering พยายามจะทำมาให้ผู้ใช้งานได้รับทราบ และตัดสินใจได้ว่าควรจะบอกข้อมูลหรือไม่ได้อีกด้วย

 

3. มีทางเลือกสำหรับอุปกรณ์ในการทำ Multi-factor Authentication ให้เลือกใช้งานได้ตามความสะดวกและความปลอดภัยที่ต้องการ

Datablink มีทางเลือกสำหรับอุปกรณ์ในการทำ Multi-factor Authentication อย่างปลอดภัยนี้ด้วยกัน 4 ทางหลักๆ เพื่อให้เหมาะสมต่อรูปแบบของธุรกรรมต่างๆ ที่เกิดขึ้น, ความสะดวกสบายในการใช้งานและพกพา รวมถึงค่าใช้จ่ายที่แตกต่าง ดังนี้

 

Datablink Device 200

เป็นอุปกรณ์สำหรับทำ Multi-factor Authentication ด้วย Blink Protocol ที่เป็นการส่งสัญญาณกระพริบมาจากหน้าจอ และใช้ DataBlink Device 200 ในการอ่าน พร้อมทำการถอดรหัสข้อมูลที่อ่านได้เหล่านั้นออกมา เพื่อแสดงข้อมูล Response และ Transaction ที่เกิดขึ้นให้ผู้ใช้งานตัดสินใจว่าจะตอบ Response หรือไม่ได้ทันที ทำให้การยืนยันตัวตนและการทำ Transaction ใดๆ มีความปลอดภัยเพิ่มขึ้นเป็นอย่างมาก โดย DataBlink Device 200 นี้สามารถใช้งานได้ยาวนานถึง 5 ปีโดยไม่ต้องชาร์จไฟเพิ่มแต่อย่างใด

ทั้งนี้ Datablink Device 200 นี้ยังสามารถปรับแต่ง Logo ที่แสดงบนอุปกรณ์ให้กลายเป็นแบรนด์ขององค์กรต่างๆ ได้อย่างอิสระ ทำให้การนำไปใช้งานนั้นนอกจากจะเป็นการเสริมความปลอดภัยแล้ว ยังเป็นการสร้างภาพลักษณ์ที่ดีแก่องค์กรอีกด้วย

ตัวอย่างของการใช้งาน Datablink Device 200

 

Datablink Mobile 200

เป็น Mobile Application ที่รองรับทั้ง iOS และ Android สำหรับใช้ในการโต้ตอบ Response ที่ถูกส่งแบบ Push สำหรับใช้ในการยืนยันตัวตนและการทำธุรกรรมโดยเฉพาะ ทำให้ผู้ใช้งานสามารถใช้ Smartphone หรือ Tablet ที่มีอยู่เป็นหนึ่งใน Multi-factor Authentication ได้ทันทีอย่างสะดวกสบาย และไม่ต้องพกพา Hardware ใดๆ เพิ่มเติม

นอกจากนี้ Mobile Application เหล่านี้ยังรองรับการทำ White Labeling เพื่อเปลี่ยนแบรนด์ให้กลายเป็น Application ขององค์กรเองได้ รวมถึง Datablink เองยังมีบริการพัฒนาและดูแล Application ในการทำธุรกรรมสำหรับธนาคารต่างๆ ให้อีกด้วย ทำให้องค์กรต่างๆ สามารถเริ่มต้นให้บริการการทำธุรกรรมออนไลน์แบบปลอดภัยได้อย่างรวดเร็วที่สุด

ตัวอย่างของการใช้งาน Datablink Mobile 200

 

Datablink Mobile 100

เป็นระบบ One Time Password ผ่าน SMS ของโทรศัพท์มือถือ สำหรับการทำ Two-factor Authentication ทั่วๆ ไปแก่ผู้ใช้งานจำนวนมากเป็นหลัก

 

Datablink Card 100

เป็นบัตรแบบพิเศษสำหรับใช้ในการถอดรหัสของ Challenge / Response ที่ถูกส่งมา ซึ่งผู้ใช้งานสามารถพกพาได้ง่ายและไม่ต้องใช้อุปกรณ์อิเล็กทรอนิกส์ใดๆ เพิ่มเติมในการยืนยันตัวตนอย่างปลอดภัย

 

การใช้งานจริงภายในสถาบันการเงินชั้นนำ และองค์กรทุกขนาดทั่วโลก

ในปัจจุบันนี้ มีสถาบันการเงินชั้นนำและองค์กรทุกขนาดทั่วโลกกำลังใช้งาน DataBlink เพื่อเสริมความปลอดภัยในการทำธุรกรรม และลดความเสี่ยงในการถูกโจมตีและถูกขโมยเงินลงไป และมีตัวอย่างกรณีการใช้งานดังนี้

 

1. การรักษาความปลอดภัยในการทำธุรกรรมสำหรับลูกค้าของธนาคาร

ธนาคารแห่งหนึ่งมีการใช้งาน Datablink Device 200 จำนวนมากถึง 3 ล้านอุปกรณ์ เพื่อให้ลูกค้าของธนาคารทุกคนสามารถทำธุรกรรมออนไลน์ได้อย่างปลอดภัย ซึ่ง Datablink Device 200 แต่ละชุดนี้สามารถรองรับการทำธุรกรรมได้มากถึง 10 รูปแบบต่ออุปกรณ์ ครอบคลุมต่อรูปแบบการทำธุรกรรมของลูกค้าได้อย่างครบถ้วน

 

2. การรักษาความปลอดภัยในการทำธุรกรรมร่วมกับคู่ค้าขององค์กร

หลายๆ องค์กรที่มีการเปิดให้คู่ค้าสามารถเข้าถึงข้อมูลต่างๆ และทำ Transaction ได้ผ่าน Portal นั้น ก็นิยมใช้ Datablink เข้าไปเสริมความปลอดภัยให้แก่การยืนยันตัวตน และการทำ Transaction ได้อย่างปลอดภัยยิ่งขึ้น ทำให้สามารถลดความเสี่ยงที่องค์กรจะถูกโจมตีเข้ามาผ่านจากช่องทางเหล่านี้ อีกทั้งยังลดความเสี่ยงที่จะเกิดความสูญเสียจากการทำทุจริตหรือการขโมยเงินผ่านการทำ Transaction ได้อีกด้วย

 

3. การยืนยันตัวตนก่อนเข้าใช้งานระบบเครือข่ายอย่างปลอดภัย

Datablink สามารถทำการ Integrate เข้ากับระบบยืนยันตัวตนที่องค์กรนิยมใช้งานได้อย่างครบถ้วน ไม่ว่าจะเป็น Microsoft Active Directory หรือการทำ Network Authentication ร่วมกับ Firewall, SSL-VPN, Web Portal และอื่นๆ ทำให้การสร้างระบบการยืนยันตัวตนสำหรับองค์กรที่ปลอดภัยนั้น สามารถทำได้ด้วยเทคโนโลยี Multi-factor Authentication ของ Datablink นั่นเอง

 

Promotion สำหรับให้ทดลองใช้งาน Datablink ภายในองค์กรได้ทันที

เพื่อให้องค์กรต่างๆ ได้ทดลองใช้และเข้าใจถึงแนวคิดในการรักษาความปลอดภัยด้วยเทคโนโลยี Multi-factor Authentication ทาง Bangkok System Software ตัวแทนจำหน่ายของ Datablink จึงได้ทำการเตรียมอุปกรณ์ให้องค์กรต่างๆ ได้ทดสอบการใช้งานได้ในงาน CDIC Conference 2015 ซึ่งจะจัดขึ้นในวันที่ 28-29 ตุลาคมนี้ ณ บูธ S-03 รวมถึงออกโปรโมชั่นสำหรับให้องค์กรต่างๆ นำ Datablink ไปทดลองใช้ได้ฟรีๆ เป็นเวลา 1 ปี สำหรับใช้ในการยืนยันตัวตนเข้าระบบเครือข่ายด้วย OTP ผ่านโทรศัพท์มือถือ และการทดลองพัฒนา Software ให้ทำงานร่วมกับระบบของ Datablink ได้อย่างสมบูรณ์ ดังนี้

• 10x Datablink Mobile OTP Token
• 10x Datablink Manager License
• 10x Datablink Windows Network Log-on License
• ทั้งหมดนี้มาพร้อมกับ Subscription 1 ปี รวมบริการติดตั้งและกำหนดค่าร่วมกับระบบอื่นๆ

 

ติดต่อ Bangkok System Software

สำหรับองค์กรที่สนใจ Datablink หรือโซลูชั่นสำหรับรักษาความปลอดภัยในองค์กร สามารถติดต่อทีมงาน Bangkok System Software ได้ทันทีที่คุณคริส IT Security Solution Manager ที่โทร 085-552-2333 หรืออีเมล์ krisnawani@bangkoksystem.com ได้ทันที

 

ข้อมูลเพิ่มเติม

• Datablink Website http://www.datablink.com