30 สิงหาคม 2559 ฟอร์ติเน็ตแนะนำกฏและข้อควรปฏิบัติในการยกระดับความปลอดภัยของซอฟท์แวร์ที่ใช้กับระบบเอทีเอ็ม โดยอิงกับคำแนะนำวิธีปฏิบัติ (Best practice guide) ด้านความปลอดภัยของซอฟท์แวร์ของสมาคมอุตสาหกรรมเอทีเอ็ม ATM Industry Association (ATMIA) เวอร์ชั่น 3 ที่เป็นเวอร์ชั่นล่าสุด พร้อมเสนอใช้โซลูชั่น FortiGate อุปกรณ์ความปลอดภัยเน็กซ์เจเนอเรชั่นไฟร์วอลล์แบบรวมคุณสมบัติครบในตัวเดียวกัน
ATMIA ได้ผลิตคำแนะนำวิธีปฏิบัติเวอร์ชั่นแรกในปี 2009 และเวอร์ชั่น 2 ในปี 2011 ซึ่งหลังจากนั้นไม่นานมีมัลแวร์เอทีเอ็มที่เรียกว่า Black box attacks จู่โจมเครือข่ายเอทีเอ็ม ซึ่งถือเป็นภัยคุกคามครั้งสำคัญในระบบเอทีเอ็มที่เกิดขึ้นในหลายประเทศในหลายภูมิภาค ดังนั้น คำแนะนำวิธีปฏิบัติเวอร์ชั่น 3 นี้จึงรวมถึงคำแนะนำวิธีปฏิบัติด้านบัตรเอทีเอ็มมากขึ้นและให้ข้อมูลอัปเดทด้านความปลอดภัยที่สำคัญมากขึ้น
ATMIA ได้ให้ข้อมูลและคำแนะนำด้านความปลอดภัยที่ชัดเจนไว้หลายสิบข้อ แต่จะไม่รับประกันถึงความถูกต้อง ความครบถ้วน ประสิทธิภาพของคำแนะนำวิธีปฏิบัตินี้ แต่อย่างไร ธนาคารและสถาบันการเงินต่างๆ ได้อ้างอิงใช้คำแนะนำวิธีปฏิบัตินี้อย่างกว้างขวาง
สรุปคำแนะนำวิธีปฏิบัติเวอร์ชั่น 3 ที่สำคัญๆ มีดังนี้
1. PCI DSS ระบุให้ใช้มาตรฐาน Payment Card Industry’s Data Security Standard (PCI DSS version 3)
2. ผู้เชี่ยวชาญที่ดูแลด้านความปลอดภัยข้อมูลต้องมีกระบวนการในการตรวจสอบระบบไอทีใน 3 มิติความปลอดภัย คือ Confidentiality, Integrity และ Availability
3. จัดใช้การเข้ารหัสข้อมูลในระบบเอทีเอ็ม เป็น 3 กรณีที่ต่างกัน คือ 1. ข้อมูลที่อยู่ในตู้ 2. ข้อมูลเข้าและออกนอกตู้ และ 3. การเข้ารหัสและการใช้กุณแจลับไปพร้อมกับการทำธุรกรรมด้านการเงิน
4. การที่เพิ่มการใช้โครงสร้างแบบเปิดมากขึ้น อาทิ ระบบปฏิบัติการไมโครซอฟท์, มาตรฐานอินเตอร์เฟส CEN XFS-J/XFS device และเครือข่าย TCP/IP หมายถึงเอทีเอ็มจะมีความเสี่ยงต่อภัยใหม่ๆ และภัยคุกคามที่มากขึ้น ทั้งที่มาจากภายในและภายนอก
5. การที่เอทีเอ็มขยายการใช้และการให้บริการไปในด้านอื่นๆ มากขึ้นนั้น ต้องแน่ใจว่า ได้จัดการให้เข้ากับนโยบายด้านความปลอดภัยซอฟท์แวร์ไอทีอย่างครบถ้วน
6. ยังคงต้องมีระบบความปลอดภัยจริงสำหรับเอทีเอ็ม (Physical security) เพื่อให้แน่ใจว่าภัยคุกคามจะไม่สามารถผ่านระบบความปลอดภัยที่อยู่บนซอฟท์แวร์ไปได้
7. ถ้าเป็นไปได้ ระบบเอทีเอ็มควรจะอยู่ในเครือข่ายแยก (Segregated network) เพื่อลดความเสี่ยงจากภัยอาจเกิดมาจากอุปกรณ์อื่น
8. การใช้ระบบไอทีทั่วทั้งองค์กรจะช่วยให้ประหยัดการลงทุนและเอทีเอ็มมีความปลอดภัยมากขึ้น เทคโนโลยีที่ได้พิสูจน์แล้วว่าสามารถช่วยให้เอทีเอ็มมีความแข็งแกร่งมากขึ้น ได้แก่ ไฟร์วอลล์ แอนตี้ไวรัส และ Whitelisting (การบล็อคหากชื่อ แอปพลิเคชั่น และข้อมูลไม่ได้ถูกบันทึกอยู่ในเซิร์ฟเวอร์ไว้ก่อนแล้ว)
9. จัดขั้นตอนด้านการบริหารความปลอดภัย โดยเริ่มจากทำความเข้าใจถึงมูลค่าของสิ่งที่ต้องการจะป้องกัน ขั้นตอนต่อไป คือ การวิเคราะห์ภัยที่อาจเข้ามาคุกคาม และหาช่องโหว่ของสิ่งที่ต้องการจะป้องกัน
10. ต้องเข้าใจช่องโหว่ที่ภัยอาจเข้ามาคุกคามเพื่อวิเคราะห์หาผลกระทบต่างๆ และทดสอบว่าภัยหนึ่งประเภทสามารถเข้ามาในเครือข่ายเอทีเอ็มด้านใดได้บ้าง และค้นหาวิธีปฏิบัติและตั้งนโยบายเพื่อลดช่องโหว่ดังกล่าว สิ่งที่ควรทำรวมถึง การควบคุมด้านความปลอดภัย การหาช่องโหว่ การประเมินความเสี่ยง การตั้งนโยบายด้านความปลอดภัย
11. วัตถุประสงค์เบื้องต้นของเอทีเอ็มคือ การใช้งานได้ตลอดเวลา เอทีเอ็มจึงต้องการการตรวจสอบอยู่ตลอดเวลาเพื่อให้แน่ใจว่าปลอดภัย ควรมีการตรวจสอบ 3 ด้านด้วยกันคือ ATM application monitoring, general ATM health monitoring และ ATM security monitoring
12. เทคโนโลยีเสมือนเปิดโอกาสใหม่ๆ ให้เกิดการทำวิศวกรรมย้อนกลับบนซอฟท์แวร์ของเอทีเอ็มและการเกิดซอฟท์แวร์ที่แปลกปลอมที่จะนำภัยคุกคามเข้ามาด้วย วิธีปฏิบัติที่ดีที่สุดคือ ผู้ค้าซอฟท์แวร์เอทีเอ็ม จะต้องมีเทคโนโลยีวิศวกรรมป้องกันกับย้อนกลับ อาทิ การใช้ Obfuscation, program code virtualization, integration of behavioral analysis, และ Process isolation technologies
13. จำเป็นที่จะต้องอัปเดทซอร์ฟแวร์ และแพทช์ต่างๆ ให้ทันสมัยอยู่ตลอดเวลา และทูลส์ที่ช่วยกระจายซอฟท์แวร์จากส่วนกลางจะช่วยให้เอทีเอ็มน่าเชื่อถือและลดเวลาที่เครื่องเสียลงได้
14. ต้องมีการดูและควบคุมแบบคู่กัน (Dual-custody controls) ทั้งนี้ มาตรฐาน PCI Data Security Standard จะไม่อนุญาตให้คนเดียวกันนั้นทำหน้าที่ทั้งพัฒนาและเปลี่ยนแปลงใดๆ ได้
15. ในการใช้กุญแจที่เข้ารหัส ให้ใช้กุญแจระบบ Automated key distribution (remote key) และใช้ตามข้อควรปฏิบัติสำหรับการดูแลกุญแจด้วย ในการใช้แผ่นเข้ารหัสอีเล็กทรอนิกส์ PIN Pads (EPPs) ให้แน่ใจว่ามีการเข้ารหัส ตลอดการสื่อสารนั้น นอกจากนี้ การใช้โค้ด Message authentication code (ที่เรียกกันว่า MACing transaction traffic) เป็นเทคนิคที่สามารถป้องกันการเข้าถึงข้อมูลที่อยู่ระหว่างการส่งจากเอทีเอ็มไปยัง Financial switch ในเครือข่ายได้
16. ควรมีการตรวจสอบบริการที่บุคคลที่สามกระทำโดยเฉพาะเมื่อเป็นมนุษย์ลงมือทำให้อยู่เสมอ ในสัญญาการดูแลเอทีเอ็ม ควรระบุความรับผิดชอบในกรณีที่เกิดความเสียหายต่างๆ รวมถึงการติดตั้งซอฟท์แวร์ที่ไม่ที่เกี่ยวข้องกับเอทีเอ็ม ทั้งเจ้าหน้าที่ของสถาบันและบุคคลที่สามต้องตรวจสอบสิ่งต่างๆ ร่วมกันเสมออย่างน้อยปีละหนึ่งครั้ง เพื่อให้มั่นใจว่าได้ทำตามข้อกำหนดตลอดวงจรด้านความปลอดภัยอย่างเรียบร้อย
17. การตรวจสอบวิธีการรับพนักงานซึ่งเป็นขั้นตอนแรกที่ป้องกันภัยที่อาจจะเกิดจากภายในได้ดี นอกจากนี้ ควรมีวิธีการเข้าใช้ทรัพยากรต่างๆ และการอนุมัติให้แขกเข้าใช้เครือข่ายอย่างเข้มงวด จัดนโยบายโต๊ะสะอาดให้ทั่วองค์กร จัดการเก็บข้อมูลให้ปลอดภัย
18. การใช้งานเอทีเอ็มเป็นขั้นสูงมากขึ้นเรื่อย จึงควรจัดให้มีความถูกต้อง ดังนี้
a. ให้ใช้รหัสผ่านจากผู้ผลิต (Manufacturer’s default)
b. ให้ใช้รหัสผ่านกับเอทีเอ็มหลายๆ ประเภท
c. ใช้รหัสผ่านเพื่อเข้าใช้บริการได้เลย โดยไม่ต้องมีชั้นความปลอดภัยมากขึ้น อาทิ การพิสูจน์ตัวตนแบบสองปัจจัย
d. การเปลี่ยนรหัสผ่านโดยไม่ให้มีผลกระทบกับการทำงานของโปรแกรมในขณะนั้น
19. ภัยต่างๆ สามารถเข้ามาทางช่องโหว่ดังกล่าวและก่อให้เกิดความเสี่ยงได้ดังนี้ การสูญเสียด้านการเงิน การที่ต้องจ่ายเงินค่าบริการเพิ่ม การประนีประนอมเกี่ยวกับข้อมูลที่เป็นความลับ และการติดมัลแวร์ชนิดต่างๆ
20. ต้องรายงานภัยและการทุจริตแก่เจ้าหน้าที่และหน่วยงานผู้อำนาจทันที เพื่อบังคับใช้กฏหมายท้องถิ่นและระหว่างภูมิภาค และรับผิดชอบภัยนั้นได้ทันการ
ทั้งนี้ คุณพีระพงศ์ จงวิบูลย์ ผู้อำนวยการขาย แห่งภูมิภาคอินโดจีน (ประเทศไทย เมียนมาร์ ลาว กัมพูชาและเวียตนาม) แห่งฟอร์ติเน็ต ได้อธิบายว่า “ฟอร์ติเน็ตมีโซลูชั่นสำหรับระบบเอทีเอ็มของธนาคารใน 2 ส่วนซึ่งถือว่าเป็นระบบความปลอดภัยที่ครอบคลุมต้นทางจนปลายทางคือ 1) ระบบความปลอดภัยที่ปลายทาง (Endpoint security) ด้วยอุปกรณ์ FortiClient และ 2) สร้างการเข้าเชื่อมโยงและเข้าใช้เครือข่ายที่ปลอดภัย (Secure remote access) ด้วยคุณสมบัติต่างๆ รวมทั้งวีพีเอ็น ด้วยอุปกรณ์ FortiGate VPN ทั้งนี้ FortiGate เป็นอุปกรณ์ความปลอดภัยเน็กซ์เจเนอเรชั่นไฟร์วอลล์แบบรวมคุณสมบัติครบในตัวเดียวกัน ทำงานแบบมัลติเลเยอร์ (Multi-layered security services) เมื่อออกแบบการจัดวางให้เหมาะสม จึงสามารถป้องกันภัยคุกคามได้เต็มที่และสามารถช่วยบริหารใช้ทรัพยากรได้อย่างมีประสิทธิภาพอีกด้วย
มร. แฮราล์ด แฟลชเชอร์ หัวหน้าฝ่ายระบบเอทีเอ็ม ธนาคาร PayLife Bank Gmbh ในประเทศออสเตรีย ผู้ใช้งานโซลูชั่นด้านความปลอดภัยของระบบเอทีเอ็มของฟอร์ติเน็ตตั้งแต่ต้นทางจนปลายทางได้เปิดเผยว่า “ธนาคารมองหาระบบความปลอดภัยแก่ระบบเอทีเอ็มที่ติดตั้งใหม่ของเรา โซลูชั่นจะต้องให้ความปลอดภัยที่ครบถ้วน จึงได้เลือกใช้อุปกรณ์ฟอร์ติเกตหลายๆ รุ่น โดยที่ปลายทาง เราต้องการอุปกรณ์ขนาดเล็กที่ต้องติดตั้งในตู้เอทีเอ็มได้ จึงได้ติดตั้ง FortiGate 30B และได้ติดตั้งอุปกรณ์ FortiGate3810A ตามจุดต่างๆ ในเครือข่ายส่วนกลางทำหน้าที่สร้าง Cluster VPN และได้ติดตั้งอุปกรณ์ FortiGate 310B ไว้ในเครือข่ายส่วนแบ็คเอ็น”
เกี่ยวกับฟอร์ติเน็ต (www.fortinet.com)
ฟอร์ติเน็ต (NASDAQ: FTNT) ปกป้ององค์กร ผู้ให้บริการ หน่วยงานรัฐบาลขนาดใหญ่จากภัยคุกคามต่างๆ ทั่วโลก ฟอร์ติเน็ตช่วยสร้างสถาปัตยกรรมความปลอดภัยที่ต่อเนื่องและฉลาดให้กับลูกค้า และยังเพิ่มศักยภาพการทำงานของเครือข่ายในปัจจุบันและอนาคต โดยใช้ซีเคียวริตี้แฟบลิคที่เป็นผืนผ้าด้านความปลอดภัยถักทอร้อยเรียงคุณสมบัติที่ครบถ้วน ปกป้องการเชื่อมโยงเครือข่าย แอปพลิเคชั่น คลาวด์และโมบาย ทั้งนี้ มีลูกค้ามากกว่า 270,000 รายทั่วโลกให้ความไว้วาใจใช้ฟอร์ติเน็ตปกป้องธุรกิจต่างๆ ของตนเอง รู้จักฟอร์ติเน็ตเพิ่มเติมได้ที่ http://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.
