30 สิงหาคม 2559 – ฟอร์ติเน็ตแนะนำกฏและข้อควรปฏิบัติในการยกระดับความปลอดภัยของซอฟท์แวร์ที่ใช้กับระบบเอทีเอ็ม โดยอิงกับคำแนะนำวิธีปฏิบัติ ( Best practice guide ) ด้านความปลอดภัยของซอฟท์แวร์ของสมาคมอุตสาหกรรมเอทีเอ็ม ATM Industry Association ( ATMIA ) เวอร์ชั่น 3 ที่เป็นเวอร์ชั่นล่าสุด พร้อมเสนอใช้โซลูชั่น FortiGate อุปกรณ์ความปลอดภัยเน็กซ์เจเนอเรชั่นไฟร์วอลล์แบบรวมคุณสมบัติครบในตัวเดียวกัน
ATMIA ได้ผลิตคำแนะนำวิธีปฏิบัติเวอร์ชั่นแรกในปี 2009 และเวอร์ชั่น 2 ในปี 2011 ซึ่งหลังจากนั้นไม่นานมีมัลแวร์เอทีเอ็มที่เรียกว่า Black box attacks จู่โจมเครือข่ายเอทีเอ็ม ซึ่งถือเป็นภัยคุกคามครั้งสำคัญในระบบเอทีเอ็มที่เกิดขึ้นในหลายประเทศในหลายภูมิภาค ดังนั้น คำแนะนำวิธีปฏิบัติเวอร์ชั่น 3 นี้จึงรวมถึงคำแนะนำวิธีปฏิบัติด้านบัตรเอทีเอ็มมากขึ้นและให้ข้อมูลอัปเดทด้านความปลอดภัยที่สำคัญมากขึ้น
ATMIA ได้ให้ข้อมูลและคำแนะนำด้านความปลอดภัยที่ชัดเจนไว้หลายสิบข้อ แต่จะไม่รับประกันถึงความถูกต้อง ความครบถ้วน ประสิทธิภาพของคำแนะนำวิธีปฏิบัตินี้ แต่อย่างไร ธนาคารและสถาบันการเงินต่าง ๆ ได้อ้างอิงใช้คำแนะนำวิธีปฏิบัตินี้อย่างกว้างขวาง
สรุปคำแนะนำวิธีปฏิบัติเวอร์ชั่น 3 ที่สำคัญ ๆ มีดังนี้
- PCI DSS ระบุให้ใช้มาตรฐาน Payment Card Industry’s Data Security Standard ( PCI DSS version 3 )
- ผู้เชี่ยวชาญที่ดูแลด้านความปลอดภัยข้อมูลต้องมีกระบวนการในการตรวจสอบระบบไอทีใน 3 มิติความปลอดภัย คือ Confidentiality, Integrity และ Availability
- จัดใช้การเข้ารหัสข้อมูลในระบบเอทีเอ็ม เป็น 3 กรณีที่ต่างกัน คือ ข้อมูลที่อยู่ในตู้ 2. ข้อมูลเข้าและออกนอกตู้ และ 3. การเข้ารหัสและการใช้กุณแจลับไปพร้อมกับการทำธุรกรรมด้านการเงิน
- การที่เพิ่มการใช้โครงสร้างแบบเปิดมากขึ้น อาทิ ระบบปฏิบัติการไมโครซอฟท์, มาตรฐานอินเตอร์เฟส CEN XFS-J/XFS device และเครือข่าย TCP/IP หมายถึงเอทีเอ็มจะมีความเสี่ยงต่อภัยใหม่ ๆ และภัยคุกคามที่มากขึ้น ทั้งที่มาจากภายในและภายนอก
- การที่เอทีเอ็มขยายการใช้และการให้บริการไปในด้านอื่น ๆ มากขึ้นนั้น ต้องแน่ใจว่า ได้จัดการให้เข้ากับนโยบายด้านความปลอดภัยซอฟท์แวร์ไอทีอย่างครบถ้วน
- ยังคงต้องมีระบบความปลอดภัยจริงสำหรับเอทีเอ็ม ( Physical security ) เพื่อให้แน่ใจว่าภัยคุกคามจะไม่สามารถผ่านระบบความปลอดภัยที่อยู่บนซอฟท์แวร์ไปได้
- ถ้าเป็นไปได้ ระบบเอทีเอ็มควรจะอยู่ในเครือข่ายแยก ( Segregated network ) เพื่อลดความเสี่ยงจากภัยอาจเกิดมาจากอุปกรณ์อื่น
- การใช้ระบบไอทีทั่วทั้งองค์กรจะช่วยให้ประหยัดการลงทุนและเอทีเอ็มมีความปลอดภัยมากขึ้น เทคโนโลยีที่ได้พิสูจน์แล้วว่าสามารถช่วยให้เอทีเอ็มมีความแข็งแกร่งมากขึ้น ได้แก่ ไฟร์วอลล์ แอนตี้ไวรัส และ Whitelisting ( การบล็อคหากชื่อ แอปพลิเคชั่น และข้อมูลไม่ได้ถูกบันทึกอยู่ในเซิร์ฟเวอร์ไว้ก่อนแล้ว )
- จัดขั้นตอนด้านการบริหารความปลอดภัย โดยเริ่มจากทำความเข้าใจถึงมูลค่าของสิ่งที่ต้องการจะป้องกัน ขั้นตอนต่อไป คือ การวิเคราะห์ภัยที่อาจเข้ามาคุกคาม และหาช่องโหว่ของสิ่งที่ต้องการจะป้องกัน
- ต้องเข้าใจช่องโหว่ที่ภัยอาจเข้ามาคุกคามเพื่อวิเคราะห์หาผลกระทบต่าง ๆ และทดสอบว่าภัยหนึ่งประเภทสามารถเข้ามาในเครือข่ายเอทีเอ็มด้านใดได้บ้าง และค้นหาวิธีปฏิบัติและตั้งนโยบายเพื่อลดช่องโหว่ดังกล่าว สิ่งที่ควรทำรวมถึง การควบคุมด้านความปลอดภัย การหาช่องโหว่ การประเมินความเสี่ยง การตั้งนโยบายด้านความปลอดภัย
- วัตถุประสงค์เบื้องต้นของเอทีเอ็มคือ การใช้งานได้ตลอดเวลา เอทีเอ็มจึงต้องการการตรวจสอบอยู่ตลอดเวลาเพื่อให้แน่ใจว่าปลอดภัย ควรมีการตรวจสอบ 3 ด้านด้วยกันคือ ATM application monitoring, general ATM health monitoring และ ATM security monitoring
- เทคโนโลยีเสมือนเปิดโอกาสใหม่ ๆ ให้เกิดการทำวิศวกรรมย้อนกลับบนซอฟท์แวร์ของเอทีเอ็มและการเกิดซอฟท์แวร์ที่แปลกปลอมที่จะนำภัยคุกคามเข้ามาด้วย วิธีปฏิบัติที่ดีที่สุดคือ ผู้ค้าซอฟท์แวร์เอทีเอ็ม จะต้องมีเทคโนโลยีวิศวกรรมป้องกันกับย้อนกลับ อาทิ การใช้ Obfuscation, program code virtualization, integration of behavioral analysis, และ Process isolation technologies
- จำเป็นที่จะต้องอัปเดทซอร์ฟแวร์ และแพทช์ต่าง ๆ ให้ทันสมัยอยู่ตลอดเวลา และทูลส์ที่ช่วยกระจายซอฟท์แวร์จากส่วนกลางจะช่วยให้เอทีเอ็มน่าเชื่อถือและลดเวลาที่เครื่องเสียลงได้
- ต้องมีการดูและควบคุมแบบคู่กัน ( Dual-custody controls ) ทั้งนี้ มาตรฐาน PCI Data Security Standard จะไม่อนุญาตให้คนเดียวกันนั้นทำหน้าที่ทั้งพัฒนาและเปลี่ยนแปลงใด ๆ ได้
- ในการใช้กุญแจที่เข้ารหัส ให้ใช้กุญแจระบบ Automated key distribution ( remote key ) และใช้ตามข้อควรปฏิบัติสำหรับการดูแลกุญแจด้วย ในการใช้แผ่นเข้ารหัสอีเล็กทรอนิกส์ PIN Pads ( EPPs ) ให้แน่ใจว่ามีการเข้ารหัส ตลอดการสื่อสารนั้น นอกจากนี้ การใช้โค้ด Message authentication code ( ที่เรียกกันว่า MACing transaction traffic ) เป็นเทคนิคที่สามารถป้องกันการเข้าถึงข้อมูลที่อยู่ระหว่างการส่งจากเอทีเอ็มไปยัง Financial switch ในเครือข่ายได้
- ควรมีการตรวจสอบบริการที่บุคคลที่สามกระทำโดยเฉพาะเมื่อเป็นมนุษย์ลงมือทำให้อยู่เสมอ ในสัญญาการดูแลเอทีเอ็ม ควรระบุความรับผิดชอบในกรณีที่เกิดความเสียหายต่าง ๆ รวมถึงการติดตั้งซอฟท์แวร์ที่ไม่ที่เกี่ยวข้องกับเอทีเอ็ม ทั้งเจ้าหน้าที่ของสถาบันและบุคคลที่สามต้องตรวจสอบสิ่งต่าง ๆ ร่วมกันเสมออย่างน้อยปีละหนึ่งครั้ง เพื่อให้มั่นใจว่าได้ทำตามข้อกำหนดตลอดวงจรด้านความปลอดภัยอย่างเรียบร้อย
- การตรวจสอบวิธีการรับพนักงานซึ่งเป็นขั้นตอนแรกที่ป้องกันภัยที่อาจจะเกิดจากภายในได้ดี นอกจากนี้ ควรมีวิธีการเข้าใช้ทรัพยากรต่าง ๆ และการอนุมัติให้แขกเข้าใช้เครือข่ายอย่างเข้มงวด จัดนโยบายโต๊ะสะอาดให้ทั่วองค์กร จัดการเก็บข้อมูลให้ปลอดภัย
- การใช้งานเอทีเอ็มเป็นขั้นสูงมากขึ้นเรื่อย จึงควรจัดให้มีความถูกต้อง ดังนี้
- ให้ใช้รหัสผ่านจากผู้ผลิต ( Manufacturer’s default )
- ให้ใช้รหัสผ่านกับเอทีเอ็มหลาย ๆ ประเภท
- ใช้รหัสผ่านเพื่อเข้าใช้บริการได้เลย โดยไม่ต้องมีชั้นความปลอดภัยมากขึ้น อาทิ การพิสูจน์ตัวตนแบบสองปัจจัย
- การเปลี่ยนรหัสผ่านโดยไม่ให้มีผลกระทบกับการทำงานของโปรแกรมในขณะนั้น
- ภัยต่าง ๆ สามารถเข้ามาทางช่องโหว่ดังกล่าวและก่อให้เกิดความเสี่ยงได้ดังนี้ การสูญเสียด้านการเงิน การที่ต้องจ่ายเงินค่าบริการเพิ่ม การประนีประนอมเกี่ยวกับข้อมูลที่เป็นความลับ และการติดมัลแวร์ชนิดต่าง ๆ
- ต้องรายงานภัยและการทุจริตแก่เจ้าหน้าที่และหน่วยงานผู้อำนาจทันที เพื่อบังคับใช้กฏหมายท้องถิ่นและระหว่างภูมิภาค และรับผิดชอบภัยนั้นได้ทันการ
ทั้งนี้ คุณพีระพงศ์ จงวิบูลย์ ผู้อำนวยการขาย แห่งภูมิภาคอินโดจีน ( ประเทศไทย เมียนมาร์ ลาว กัมพูชาและเวียตนาม ) แห่งฟอร์ติเน็ต ได้อธิบายว่า “ฟอร์ติเน็ตมีโซลูชั่นสำหรับระบบเอทีเอ็มของธนาคารใน 2 ส่วนซึ่งถือว่าเป็นระบบความปลอดภัยที่ครอบคลุมต้นทางจนปลายทางคือ 1 ) ระบบความปลอดภัยที่ปลายทาง ( Endpoint security ) ด้วยอุปกรณ์ FortiClient และ 2 ) สร้างการเข้าเชื่อมโยงและเข้าใช้เครือข่ายที่ปลอดภัย ( Secure remote access ) ด้วยคุณสมบัติต่าง ๆ รวมทั้งวีพีเอ็น ด้วยอุปกรณ์ FortiGate VPN ทั้งนี้ FortiGate เป็นอุปกรณ์ความปลอดภัยเน็กซ์เจเนอเรชั่นไฟร์วอลล์แบบรวมคุณสมบัติครบในตัวเดียวกัน ทำงานแบบมัลติเลเยอร์ ( Multi-layered security services ) เมื่อออกแบบการจัดวางให้เหมาะสม จึงสามารถป้องกันภัยคุกคามได้เต็มที่และสามารถช่วยบริหารใช้ทรัพยากรได้อย่างมีประสิทธิภาพอีกด้วย
มร. แฮราล์ด แฟลชเชอร์ หัวหน้าฝ่ายระบบเอทีเอ็ม ธนาคาร PayLife Bank Gmbh ในประเทศออสเตรีย ผู้ใช้งานโซลูชั่นด้านความปลอดภัยของระบบเอทีเอ็มของฟอร์ติเน็ตตั้งแต่ต้นทางจนปลายทางได้เปิดเผยว่า “ธนาคารมองหาระบบความปลอดภัยแก่ระบบเอทีเอ็มที่ติดตั้งใหม่ของเรา โซลูชั่นจะต้องให้ความปลอดภัยที่ครบถ้วน จึงได้เลือกใช้อุปกรณ์ฟอร์ติเกตหลาย ๆ รุ่น โดยที่ปลายทาง เราต้องการอุปกรณ์ขนาดเล็กที่ต้องติดตั้งในตู้เอทีเอ็มได้ จึงได้ติดตั้ง FortiGate 30B และได้ติดตั้งอุปกรณ์ FortiGate3810A ตามจุดต่าง ๆ ในเครือข่ายส่วนกลางทำหน้าที่สร้าง Cluster VPN และได้ติดตั้งอุปกรณ์ FortiGate 310B ไว้ในเครือข่ายส่วนแบ็คเอ็น”
เกี่ยวกับฟอร์ติเน็ต
ฟอร์ติเน็ต ( NASDAQ: FTNT ) ปกป้ององค์กร ผู้ให้บริการ หน่วยงานรัฐบาลขนาดใหญ่จากภัยคุกคามต่าง ๆ ทั่วโลก ฟอร์ติเน็ตช่วยสร้างสถาปัตยกรรมความปลอดภัยที่ต่อเนื่องและฉลาดให้กับลูกค้า และยังเพิ่มศักยภาพการทำงานของเครือข่ายในปัจจุบันและอนาคต โดยใช้ซีเคียวริตี้แฟบลิคที่เป็นผืนผ้าด้านความปลอดภัยถักทอร้อยเรียงคุณสมบัติที่ครบถ้วน ปกป้องการเชื่อมโยงเครือข่าย แอปพลิเคชั่น คลาวด์และโมบาย ทั้งนี้ มีลูกค้ามากกว่า 270, 000 รายทั่วโลกให้ความไว้วาใจใช้ฟอร์ติเน็ตปกป้องธุรกิจต่าง ๆ ของตนเอง รู้จักฟอร์ติเน็ตเพิ่มเติมได้ที่ http://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.