ข้อมูลองค์กร ข้อมูลส่วนตัว และการให้พนักงานใช้ notebook

ลองนึกภาพองค์กรแห่งหนึ่ง ซึ่งมีผลประกอบการดี พนักงานมีประสิทธิภาพ และองค์กรนั้น ก็เสริมความสามารถของพนักงานด้วยการอนุญาตให้ใช้ notebook computer (บางท่านก็ถนัดเรียกว่า laptop แบบชาวอเมริกัน) เป็นรายบุคคล … ฟังดูก็ดี เรื่องธรรมดา

ต่อมา พนักงานในองค์กร ก็เริ่มทำงานได้มีประสิทธิภาพมากขึ้น งานยากๆบางชนิด ก็ให้ข้อมูลมาเป็นไฟล์ ดูได้กันที่เครื่อง และเก็บไว้ใน hard disk เพราะเครื่องยุคปัจจุบันมันทั้งเล็ก และเร็ว แถมยังมีความจุสูง … ฟังดูก็ดี เรื่องธรรมดา

อยู่มาวันหนึ่ง พบว่าคอมพิวเตอร์พนักงานถูกขโมย ทางบริษัทก็ตรวจสอบดู เป็นว่าไม่ได้เป็นความประมาทของพนักงาน แถมยังถูกทุบกระจกรถด้วย เมื่อฟ้องตำรวจแล้วก็จบกันไป แถมยังประกันเครื่องหายเอาไว้ เคลมบริษัทประกันได้ครบจำนวน แล้วพนักงานท่านนั้นก็ได้เครื่องใหม่ไปใช้งานต่อไป … ฟังดูก็คล้ายๆเรื่องธรรมดา

แต่หากเครื่อง notebook ที่หายไป มีไฟล์จำนวนมากของบริษัท มีทั้งแผนการเงิน ประวัติพนักงาน เงินเดือนและความดีความชอบที่อยู่ในการดูแล รวมทั้งมี auto-password สำหรับเข้าระบบของบริษัทด้วย คลิ๊กปุ่มเดียว เช็ค email ได้เลย เพราะมีการบันทึกให้เครื่องจำ password ให้ทั้งหมด แล้ว ฝ่ายไอทีของหน่วยงานคงจะต้องทำอะไรบ้าง? มันคงมากกว่าแค่การจัดซื้อ notebook ตัวใหม่แน่นอน

ยิ่งไปกว่านั้น หากพนักงานท่านนั้น ใช้ internet banking กับบัญชีส่วนตัวของตนเองกับธนาคาร และเครื่อง notebook เครื่องนั้น ก็มีไฟล์เกี่ยวกับชื่อบัญชี มี statement เก่าๆของบัญชีเก็บไว้ในเครื่อง เราคงพอสรุปได้ ว่าหากคอมพิวเตอร์ที่หายไปหรือถูกลักขโมยไป ถ้าไปอยู่ในมือของนักวิเคราะห์ เพื่อทำการปลอมเป็นตัวพนักงาน และเข้าเว็บไปถอนเงินหรือโอนเงิน ท่าทางจะไม่ยากนัก

ประเด็นนี้ เราคงต้องถามตัวเองกันบ่อยๆ ว่าหากในหนึ่งชั่วโมงข้างหน้า ท่านเกิดมีเหตุที่คาดไม่ถึง (และคงเป็นไปไม่ได้) ที่ทำให้เครื่องของท่านถูกโจรกรรม และไปตกอยู่ในมือของมิจฉาชีพ ที่ต้องการมากกว่าแค่ตัวเครื่อง ท่าจะทำอย่างๆไร ? หากท่านดูแลทีมไอทีของบริษัท ท่านจะทำอย่างไร? หากท่านเป็นเจ้าของหรือเป็นผู้บริหารของบริษัท ท่านจะทำอย่างไร ? คำถามมีสองชนิด คือ (๑) สูญเสียไปแล้ว จะเยียวยาอย่างไร จึงจะไม่เกิดปัญหาอาชญากรรมคอมพิวเตอร์ กับ (๒) หากได้แก้ตัว จะกำหนดนโยบาย และวิธีการในองค์กรอย่างไร จึงจะทำให้ไม่เกิดความเสี่ยงขึ้น หาก notebook ถูกโจรกรรม หรือหลงลืมไว้แล้วหายไป

องค์กรที่มีข้อมูลภายในที่สำคัญ อยู่ในเครื่องประเภทเคลื่อนที่ เช่น PDA, Laptop, Smart Phone อาจจะต้องทำการประเมินสถานการณ์ และกำหนดระเบียบการในหารนำอุปกรณ์เหล่านั้นไปใช้งานนอกสำนักงาน และจัดมาตรการต่างๆที่ทำให้เกิดการสูญเสียต่อข้อมูลภายในบริษัทมากที่สุด หากองค์กรใด เคยทำมาแล้ว ถ้าจะแบ่งปันความรู้ให้กับองค์กรอื่น ก็จะเป็นสิ่งดี ยิ่งไปกว่านั้น ท่านที่เคยได้ใช้ซอฟต์แวร์ดีๆ มาจัดการกับเครื่อง notebook อย่างเป็นระบบ ก็อาจจะแบ่งปันความรู้เกี่ยวกับสิ่งเหล่านี้ได้

มาตรการต่างๆ อาจจะแบ่งเป็นสามเรื่อง

๑. ในการอนุญาตให้พนักงานถือเครื่อง notebook ไปที่ไหนก็ได้ จะต้องมีข้อกำหนดการใช้งานอย่างไรบ้าง (การแยก user การบังคับให้ทำ Windows login การดูแล Hard disk การบังคับใช้ password ตอนเปิดเครื่อง รวมถึงการเข้ารหัสลับเพื่อแฟ้มข้อมูลต่างๆ ฯลฯ)

๒. การใช้ระบบเข้ารหัสลับข้อมูลใน drive D หรือ drive อื่นๆ

๓. การใช้ master password ควบคุม web browser ให้ปฏิเสธการใช้ autosaved passwords หากผู้ใช้ไม่มี browser master password และ การใช้ master password ควบคุม email client ให้ปฏิเสธการใช้ autosaved passwords หากผู้ใช้ไม่มี master password

ทั้งหมดนี้ สามารถหาคำตอบและโปรแกรมฟรีๆ มาใช้งานได้ แต่แม้จะมีโปรแกรมใช้ฟรี หน่วยงานก็คงยังต้องการคนมาจัดการ หรือให้คำแนะนำ ทำประกาศออกมา รวมทั้งการมีระบบลงทะเบียนต่างๆ เพื่อให้ตามได้ ว่าเครื่องใด ของใคร ป้องกันกันอย่างไร ฯลฯ อยู่ดี หากสิ่งต่างๆเหล่านี้เป็นที่ต้องการ หน่วยงานของรัฐที่มีความชำนาญเรื่องนี้ เช่น เนคเทค ก็อาจจะรับฟังปัญหา และหาทางช่วยได้

ท้ายสุด ต้องขอขอบคุณที่อ่าน ผมจะขอทราบความเห็นจากทุกท่านที่อ่าน ว่าหน่วยงานของท่านควรจะทำมาตรการและวิธีลดความเสี่ยงแบบนี้หรือไม่? หากต้องการ ท่านมีคนช่วยคิด/ทำหรือยัง? ท่านคิดว่าด่วนขนาดไหนครับ?

Advertisements

4 comments on “ข้อมูลองค์กร ข้อมูลส่วนตัว และการให้พนักงานใช้ notebook

  1. เป็นประเด็นที่กำลังห่วงเช่นกันค่ะอาจารย์ และคงรวมเอาไปจัดทำเป็นหนึ่งในกระบวนการบริหารความเสี่ยงด้านสารสนเทศของบริษัท บางส่วนคงใช้ software มาช่วยด้วย หากได้ข้อสรุป คงมีโอกาสมาแชร์กันต่อค่ะ

  2. ข้อมูลนี้นับว่าเป็นการควบคุมความเสี่ยงด้านสารสนเทศที่ดีมากครับ แต่จะทำอย่างไร เพื่อที่จะให้ผู้ใช้เกิดความเข้าใจ ในหลักการแบบนี้ เพราะวัฒนธรรมองค์กรและคนในองค์กรเปงสิ่งที่แก้ยากที่สุด

  3. กรณีที่พนักงานแอบเปิดใช้บัญชีส่วนตัวของผู้บริหารไปเปิด easy net สามารถโอนเงินของผู้บริหารใช้มาได้กว่า 3 ปี โดยผู้บริหารเพิ่งทราบเรื่อง เพราะจะเปิดใช้ easy net ของบัญชีตัวเอง แบบนี้เป็นความผิดได้หรือไม่คะ หรือ เป็นความผิดผู้บริหารที่ให้ข้อมูลส่วนตัวกับลูกน้องเอง และเป็นความผิดที่ของผู้บริหารที่ให้ลูกชาย(อายุ 14)รู้ pass word เมื่อพนักงานขอ ลูกชายก็ให้เพราะบอกว่าแม่สั่งงานที่เขาต้องเปิดเมล์บล๊อกของผู้บริหาร กรณีนี้แจ้งความได้หรือไม่ หรือ เป็นความผิดของผู้บริหารเองที่ไม่คอยตรวจสอบบัญชีส่วนตัว หรือการทำแบบนี้เป็นเรื่องธรรมดาใครๆก็เจอ เพราะนักกฏหมายที่ปรึกษามองว่าเป็นเรื่องเล็ก รู้สึกขำๆด้วยซ้ำ ทั้งนี้ นักกฏหมายสนิทกับครอบครัวของพนักงานคนนี้เลยมองว่าเป็นเรื่องไม่เป็นเรื่อง หรือมันเป็นเรื่องไม่เป็นเรื่องจริงๆคะ

    • การมีความเสี่ยงใหม่ๆเกิดขึ้นโดยไม่ทราบ น่าจะเป็นด้านมืดของ ไอที ที่ชาวไอทีมืออาชีพทั้งหลายควรระมัดระวัง

      แม้เราจะไม่ทำอะไรเลย ก็อาจจะมีคนโทรมาบอกว่า “ท่านได้ใช้บัตรเครดิตของธนาคารxxx เร็วๆนี้หรือเปล่า” ไม่ว่าเราจะตอบว่าใช้หรือไม่ใช้ เขาก็อาจจะบอกเราว่า “โทรมาจาก ธนาคารxxx เนื่องจากมีรายการพบว่าเหมือนมีการโอนเงินเข้าบัญชีเงินฝากของท่าน และระบบแจ้งว่าเหมือนมีการฟอกเงิน ทำให้การฝากถอนในบัญชีจะติดขัด หากต้องการเคลียร์ ก็ต้องไปพูดกับ พันตำรวจเอกyyy ที่สน.zzz เพื่อเคลียร์รายการนี้ออกไปโดยเร็ว” จากนั้นก็อาจจะมีการถามชื่อ และเลขบัญชี และมีการแจ้งหมายเลขโทรศัพท์ให้โทรไปเสมือนจริง และเมื่อโทรไปแล้ว ท่านก็อาจจะได้ยินเสียงคนรับสายเหมือนสถานตำรวจ และมีการแจ้งชื่อ นามสกุลของตำรวจจริง ที่สน.จริงแห่งหนึ่ง เพื่อแนะนำให้ท่านโอนเงินค่าธรรมเนียมในการเคลียร์ตัวเองจากปัญหาการฟอกเงิน โดนท่านจะต้องไปโอนทันที่ที่ตู้เอทีเอ็ม อย่าวางหู เขาจะคอยแนะนำเราตลอดทางจนกว่าจะเคลียร์ปัญหาให้เสร็จทั้งหมด

      เรื่องข้างบนนี้เป็นเรื่องจริงที่ผมได้รับทราบจากเพื่อนที่โดนหลอกจนตัวเองตกใจ บอกชื่อ นามสกุลจริงและเลขบัตรประชาชนให้แก่มิจฉาชีพไปทั้งหมด แล้วเพิ่งนึกออก ว่าที่จริง คนที่โทรมาและทำให้ตกใจเล่น มันไม่รู้อะไรเกี่ยวกับเราเลย โดนหลอกถามจนเกือบจะไปโอนเงินจริงๆ แต่ตั้งสติได้ทัน ขึงโทรมาปรึกษาก่อนที่ “จะออกไปโอนเงิน” ทางฝั่งที่โทรเข้ามา พยายามเกลี้ยกล่อมให้ไปโอนทันทีโดยไม่วางหู แถมทั้งหลอกทั้งขู่ว่าวางหูไม่ได้ เขาทราบหมดว่าตอนนี้เราอยู่ตรงไหน ต้องไปโอนทันที ฯลฯ เรียกว่ามีแรงกดดันสารพัดชนิด

      ในกรณีที่ธนาคารมีบริการใหม่ๆให้กับผู้ใช้ และผู้ใช้ต้องมีความรับผิดชอบโดยต้องไม่บอกรหัสลับแก่ผู้ใด ดังเช่นที่คุณ Klaiupsorn พูดถึง แต่ผู้ใช้มีการผิดพลาด ไปบอกลูกของตัวเอง คงเป็นความรู้เท่าไม่ถึงการณ์ หรือไม่สามารถประเมินความเสี่ยงที่อาจจะเกิดขึ้นได้ หากผู้บริหารได้รับรหัสลับที่ตัวเองคาดว่าจะไม่ใช้เลย ผู้บริหารควรหาทางเลือกที่ตัวเองจะไม่ต้องใช้ และให้ยุติบริการนั้นเสียเลยตั้งแต่ต้นเพื่อปิดความเสี่ยง จะดีกว่าถือเอาไว้เป็นความเสี่ยง

      และในกรณีทั่วไปที่เราควรทราบ ก็คือ หากมีคนที่ไม่รู้จัก โทรเข้ามา อ้างว่าโทรศัพท์มาจากธนาคาร และแจ้งข่าวร้ายอะไรกับเราบางอย่างให้เราวิตก หรือแจ้งข่าวดีให้เราเกิดควาอยากได้ทรัพย์ ขอให้ทั้งสติ และใช้ลำดับง่ายๆดังนี้ คือ ๑. ถามชื่อ นามสกุล ฐานะการงานและหน้าที่ของคนที่โทรมา รวมทั้งหมายเลขโทรกลับ ๒.หากเขาบอกว่าเรากำลังจะได้สิ่งที่เราไม่ควรได้ เช่น การคืนเงินภาษี ที่เราไม่เคยคิดว่าจะได้คืน ก็ไม่ควรไปสนใจอะไรทั้งสิ้น วางหูได้เลย ๓. รีบติดต่อธนาคารของเรา (หรือโทรหาสรรพากร) โดยหาเลขหมายจากสมุดโทรศัพท์ หรือสอบถาม ๑๑๓๓ เพื่อติดต่อธนาคารจริง (หรือสรรพากร) เพื่อสอบถามถึงการแจ้งข่าวดังกล่าว ร้อนทั้งร้อย จะพบว่าทางธนาคารจะตอบเราว่า “หากมีเรื่องแบบนี้ จะไม่ใช้วิธีการติดต่อทางโทรศัพท์​จะส่งมาเป็นจดหมายลงทะเบียน” หมายเลขที่เราจดไว้ หรือหมายเลขบัญชีที่เขาให้เราไปกดตู้เอทีเอ็มเพื่อโอนเงินค่าธรรมเนียม จะเป็นข้อมูลสำคัญในการล่าผู้กระทำการฉ้อโกงเหล่านี้ครับ

      เมื่อสัปดาห์ก่อน ผมเองก็ได้รับโทรศัพท์จากหมายเลขที่ชึ้นว่า “blocked” พอรับสาย มันก็พูดออกมาเหมือนเครื่องจักร บอกว่า “โทรจากธนาคารxxx เพื่อแจ้งว่าธนาคารเพิ่งอายัดบัญชีเงินฝากไป หากต้องการติดต่อเพิ่มเติม ให้กด ๑ ฯลฯ…” ผมฟังดูแล้วรีบวางหูเลยครับ เรื่องแบบนี้อันตรายมากครับ แถมยังกวนประสาท กวนเวลาของคนธรรมดามาก ใครโดนแล้วน่าจะมาเล่าสู่กันฟังครับ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s