Comarch image

ทำไมเราถึงต้องเข้ารหัสหรือใช้ token

การกีดขวางหรือปิดกั้นการทำงาน การขโมยข้อมูลทางปัญญา และการรั่วไหลของข้อมูล เหล่านี้ถือเป็นตัวอย่างของภัยคุกคามความปลอดภัยทางไซเบอร์ที่สำคัญ  ซึ่ง Pawel Bulat ผู้เชี่ยวชาญจาก Comarch จะมาแชร์ความรู้และประสบการณ์ว่าทำอย่างไรจึงจะช่วยให้ Online banking มีความปลอดภัย

มีความเป็นไปได้แค่ไหนที่ธนาคารจะเป็นเป้าหมายของแฮกเกอร์ที่ต้องการล้วงข้อมูล เพื่อขโมยหรือเปลี่ยนแปลง

            มีความเป็นไปได้สูง เพราะวิธีการล้วงข้อมูลนับวันยิ่งมีความซับซ้อนแยบยลมากขึ้น ยกตัวอย่าง Meltdown และ Spectre ซึ่งเป็นจุดอ่อนหรือช่องโหว่ที่ถูกค้นพบใน CPU ของ Intel และ AMD เมื่อต้นปี 2018  มันทำให้วงการ IT ทั่วโลกตื่นตกใจ เพราะช่องโหว่นี้ช่วยให้ผู้จู่โจมสามารถเข้าถึงข้อมูลสำคัญจาก Kernel และในส่วนของ user-mode ซึ่งปกติระบบปฏิบัติการจะไม่อนุญาตให้แอปพลิเคชั่นเข้าถึงข้อมูลในระดับโครงสร้างของ CPU ได้  และที่น่าตกใจไปกว่านั้นคือโปรแกรมนี้สามารถจู่โจมได้จากการทำงานของ JavaScript บนเว็บบราวเซอร์ นั่นหมายความว่าอุปกรณ์อิเล็กทรอนิกส์แทบทุกชนิดในท้องตลาดปัจจุบัน ตั้งแต่มือถือ แท็บเล็ต ไปจนถึง PC และ Server สามารถถูกจู่โจมได้

เราสามารถเรียนรู้อะไรจากเหตุการณ์นี้ได้บ้าง

            สิ่งสำคัญอย่างแรกที่ทุกบริษัทควรทำคือตรวจสอบระบบความปลอดภัยของระบบฮาร์ดแวร์และซอฟท์แวร์อย่างสม่ำเสมอ เพื่อกำจัดภัยคุกคามที่อาจเกิดขึ้นได้

            อย่างที่สองคืออุปกรณ์ทุกอย่างที่เกี่ยวกับธุรกรรมการเงินหรืออื่น ๆ ที่สำคัญ ควรจะมีการป้องกันโดยระบบรักษาความปลอดภัยเฉพาะทาง เช่น การใช้ token เพื่อเข้ารหัส วิธีการเหล่านี้ช่วยเพิ่มความปลอดภัยในการแลกเปลี่ยนข้อมูลที่ดี ในอุปกรณ์ที่ใช้ในทุก ๆ เรื่อง อย่างเช่น smartphone ซึ่งการใช้ token จะช่วยป้องกันการจู่โจมจากภายนอกที่เราอาจจะคาดไม่ถึง ได้อย่างมีประสิทธิภาพ

 แล้ว Token คืออะไร

            โดยหลักการแล้วมันเปรียบเสมือนลายเซ็นดิจิทัลที่สร้างโดย USB drive เพื่อใช้ในการ Authentication และ Authorization รวมถึงแลกเปลี่ยนข้อมูล

Authentication กับ Authorization มีข้อแตกต่างกันอย่างไร

            ทั้งสองมีความแตกต่างและเป็นส่วนสำคัญของระบบความปลอดภัยในโลก IT โดย Authentication หรือการยืนยันตัวตน ใช้ในการยืนยันผู้ใช้ ในขณะที่การขอใช้สิทธิหรือ Authorization คือการอนุญาตให้ผู้ใช้สามารถเข้าใช้ระบบหรือเข้าถึงข้อมูลได้ในช่วงเวลาที่กำหนดด้วยเหตุผลใดเหตุผลหนึ่ง

Comarch มีการผลิตอุปกรณ์ป้องกัน transaction ด้วยหรือไม่ แล้วมีหลักการทำงานอย่างไร

            ทาง Comarch เราผลิตอุปกรณ์ซึ่งแบ่งเป็น 2 ประเภท  อย่างแรกคือ tPro ECC ซึ่งเป็น USB token ที่ได้อธิบายไปแล้วข้างต้น ใช้สำหรับลงลายมือรับรองการเข้าถึงข้อมูล อุปกรณ์และเทคโนโลยีนี้เป็นลิขสิทธิ์ของ Comarch และทำในยุโรป 100%  อย่างที่สองคือ tPro Mobile ซึ่งเป็นการรหัสโดยใช้โทรศัพท์มือถือ

            ในช่วงต้นปี 2012 Comarch เราทำงานกันอย่างหนักเพื่อคิดค้นอุปกรณ์ซึ่งช่วยสร้างความปลอดภัยในการสื่อสารผ่านช่องทางต่าง ๆ กับธนาคาร และได้ค้นพบวิธีที่ช่วยสร้างความปลอดภัยในการทำรายการ transaction ได้อย่างมีประสิทธิภาพ

            แนวคิดอุปกรณ์ของเรานั้นง่ายมาก เมื่อลูกค้าส่งคำสั่งการโอนเงินไปยังธนาคาร ธนาคารจะทำการเข้ารหัสคำสั่งและส่งกลับไปยังอุปกรณ์ที่ออกให้ลูกค้าโดยผ่านช่องทางที่มีความปลอดภัย ซึ่งอุปกรณ์จะทำการถอดรหัสและแสดงรายละเอียดของคำสั่งได้ หลังจากการตรวจสอบอย่างละเอียด ลูกค้าสามารถเลือกได้ว่าข้อมูลตรงตามคำสั่งแรกที่ส่งให้ธนาคารหรือไม่ โดยคำสั่งโอนเงินจะถูกยืนยันถ้าข้อมูลถูกต้องตรงตามคำสั่ง

วิธีนี้เหมือนกับการส่งจดหมายที่มีลายเซ็นรับรองไปยังธนาคารใช่หรือไม่

            ใช่ และมีการส่งกลับจากธนาคารมาในกล่องซึ่งมีเพียงคุณเท่านั้นที่รู้รหัสเปิด

            ในการเปิดกล่อง คุณจะต้องใช้รหัสเฉพาะเพื่อตรวจสอบหมายเลขบัญชีและจำนวนเงินก่อนจะทำการยืนยันหรือยกเลิกรายการ  ในระหว่างการจัดส่ง หากพบว่ามีความพยายามใด ๆ ก็ตามที่จะเปิดกล่องออกจะถูกจับได้ทันที

เป็นวิธีที่มั่นใจได้ว่าปลอดภัย

            คุณสามารถมั่นใจได้ และยิ่งไปกว่านั้น token ของเรายังไม่ต้องใช้ระบบปฏิบัติการใด ๆ อีกด้วย ดังนั้นจึงไม่ได้รับผลกระทบจากไวรัสใด ๆ นอกจากนี้แล้วตัว token ยังจำเป็นต้องใช้การตอบสนองจากมนุษย์ หรือ human-machine interaction ซึ่งก็คือตัวปุ่มที่ต้องคอยกดและปล่อยเพื่อสร้างลายเซ็นดิจิทัล  ซึ่งเป็นเรื่องยากมากที่รหัสของคุณจะถูกขโมย  และอย่างสุดท้าย ตัว token นี้ยังมาพร้อมกับระบบซึ่งทำการรองรับ Elliptic Curve Cryptography (ECC)

 Elliptic Curve Cryptography คืออะไร

            อธิบายง่าย ๆ คือ การเข้ารหัสแบบ Elliptic Curve ซึ่งในปัจจุบัน ถูกใช้ในการรับส่ง Bitcoin เป็นต้น จะให้ความปลอดภัยในระดับที่สูงกว่าในจำนวน key ที่เท่ากันเมื่อเทียบกับการเข้ารหัสแบบ RSA นอกจากนี้ด้วยขนาด key ที่เล็กกว่าและความสามารถในการคำนวณที่รวดเร็ว จึงทำให้การ authorization การ authentication รวมทั้งการสร้าง key เป็นไปอย่างรวดเร็วด้วย

Comarch แตกต่างจากที่อื่นอย่างไร

            ที่ Comarch เราให้ความสำคัญกับวิธีการป้องกันและรักษาปลอดภัยของข้อมูล ตั้งแต่เริ่มต้นโครงการในช่วงกลางศตวรรษที่ 19 กันเลยทีเดียว โดยจุดประสงค์เพื่อให้มั่นใจว่าข้อมูลมีความปลอดภัยในทุกขั้นตอน นับตั้งแต่รับมาจนถูกนำไปใช้ ซึ่งเราพิถีพิถันกันตั้งแต่ขั้นตอนออกแบบ

            สำหรับเรา การสร้าง hardware และ software ถือเป็นหนึ่งเดียว อีกหนึ่งคือหน้าที่ของที่ปรึกษาโครงการซึ่งจะทำการตรวจสอบระบบความปลอดภัยทาง IT อีกชั้นนึง เรียกได้ว่าพวกเราคือ one-stop shop หรือการบริการเบ็ดเสร็จ ณ จุดเดียว ในการป้องกันข้อมูลที่มีค่าของคุณ

            หรือพูดได้ว่า เราให้ความรับผิดชอบตั้งแต่ต้นจนจบ จาก solution design ขั้นตอนการ implement จนถึง maintenance ต้องขอขอบคุณลูกค้าทุกท่านที่ไว้ใจให้เราได้ช่วยท่าน

 

Pawel Bulat, Comarch Project Manager

            ผู้เชี่ยวชาญทางด้าน Cyber Security ด้วยประสบการณ์กว่า 10 ปีในอุตสาหกรรม online banking.

            ด้วยพนักงานกว่า 6,000คน ทั่วโลก และโครงการต่าง ๆ ที่ได้รับความสำเร็จอย่างมากกับลูกค้าแบรนด์ชั้นนำ Comarch มีความมั่นใจและภูมิใจในการเป็นหนึ่งในผู้นำพัฒนาซอฟท์แวร์ของยุโรป

            Comarch Financial Services ส่วนหนึ่งของ Comarch Capital Group ซึ่งพกพาความชำนาญในการพัฒนาซอฟท์แวร์ชั้นสูงและระบบไอทีให้กับสถาบันธนาคาร สถาบันประกันภัยและตลาดทุนชั้นนำต่าง ๆ มากว่า 20 ปี

 

click here for english

 

comarch logo color medium

Comarch (Thailand) Company Limited
No.3, Promphan 3 Building, Unit No.1709-1710
Ladprao Soi 3, Ladprao Rd., Chom Phon, Chatuchak
Bangkok 10900, Thailand

https://www.comarch.com/cyber-security/