จากกรณี พนักงาน AIS แอบนำบันทึกการโทรและพิกัดลูกค้าไปให้บุคคลภายนอก เมื่อวานนี้ (26 ก.ย.) เจ้าหน้าที่ของ กสทช. เข้าไปตรวจสอบระบบรักษาความปลอดภัยของลูกค้าที่สำนักงาน AIS มีรายละเอียดดังนี้
ที่มา - อีเมลประชาสัมพันธ์ AIS
นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส กล่าวว่า “ช่วงบ่ายของวันจันทร์ที่ 26 ก.ย. ที่ผ่านมา กสทช. ได้นำทีมคณะกรรมการสอบสวนข้อเท็จจริง เข้าไปตรวจสอบระบบรักษาความปลอดภัยข้อมูลของลูกค้า โดยมีรายละเอียดดังนี้
ตรวจสอบขั้นตอนการรับเรื่องการขอข้อมูลรายละเอียดการโทรย้อนหลัง ที่เอไอเอส ช็อป
พนักงานจะแนะนำให้ลูกค้าเข้าไปดูข้อมูลรายละเอียดการโทรย้อนหลัง ทั้งเบอร์ปลายทาง, เวลาและระยะเวลาที่โทรได้ด้วยตนเองผ่านเว็บ E-Service (www.ais.co.th/eservice) ทั้งนี้เพื่อความปลอดภัยของข้อมูลลูกค้า
ตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า
AIS มีระบบรักษาความปลอดภัย 4 ชั้น เพื่อเข้าไปในบริเวณสถานที่ปฏิบัติงาน เริ่มตั้งแต่
ชั้นที่ 1 – พนักงานทุกคนจะต้องเก็บอุปกรณ์มือถือ, Flashdrive, กล้องถ่ายรูป และ อุปกรณ์บันทึกข้อมูลต่างๆ ไว้ใน Locker ก่อน และต้องผ่านการตรวจจับโลหะ เพื่อให้มั่นใจว่าพนักงานไม่มีการนำอุปกรณ์ดังกล่าวเข้าไป
ชั้นที่ 2 – พนักงานต้องแสดงบัตรของตนเอง และทำการแตะบัตรเพื่อทำการเปิดประตูเข้าด้วยตนเอง เพื่อเข้าไปยังพื้นที่หน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า พนักงานที่ไม่มีสิทธิ์เข้าพื้นที่หน่วยวิเคราะห์ข้อมูลจะไม่สามารถใช้บัตรเปิดประตูได้
ชั้นที่ 3 – นอกจากนี้ในขณะปฏิบัติงาน ก็มีมาตรการป้องกันไม่ให้พนักงานสามารถนำข้อมูลของลูกค้าออกไปได้ ดังนี้
- พนักงานทุกคนไม่สามารถเชื่อมต่อ Internet ได้
- พนักงานทุกคนไม่สามารถทำสำเนาข้อมูลออกมาจากเครื่องคอมพิวเตอร์ผ่านทางช่องเสียบต่างๆ ส่วนการส่งอีเมล์ผ่านทางระบบ Intranet ภายในองค์กร จะมีระบบ Copy Double Mail อัตโนมัติ โดยอีเมล์ทุกฉบับที่ส่งออก ทั้งหัวข้อ เนื้อความและเอกสารแนบ จะถูกสำเนาส่งไปที่หัวหน้างานโดยอัตโนมัติ
- หัวหน้างานจะตรวจสอบการทำงานของพนักงานย้อนหลังทุกสัปดาห์ ด้วยระบบ CAS (Centralized Access System) ที่จัดเก็บหน้าจอการทำงานของพนักงานทุกคน
- ดำเนินการจัดหาระบบการตรวจสอบ Log และ CAS อย่างอัตโนมัติด้วยเทคโนโลยี Rule Based เพื่อให้การตรวจสอบ Log เป็นไปอย่างมีประสิทธิภาพ รวดเร็ว พบสิ่งที่ต้องสงสัยได้อย่างรวดเร็วทันการณ์
- มีกล้องตรวจจับทั่วบริเวณชั้นที่ 4 – ห้องทำงานพิเศษ (Control Room) มีพนักงานเพียง 4 คน ที่มีหน้าที่วิเคราะห์ข้อมูลเชิงลึกของลูกค้า มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าภายในห้องนี้ได้ และบริษัทได้นำระบบ Double Password มาใช้ โดยพนักงานจะใส่ Password ใน Token ซึ่งจะเปลี่ยนทุกๆ นาที และหัวหน้างานจะใส่ Password ซึ่งจะเปลี่ยนทุกๆ เดือน นอกจากนั้นยังมอบหมายให้หัวหน้างานตรวจสอบ Log การเข้าถึงและการใช้ข้อมูลทุกวัน
นอกจากนี้ กสทช.ยังได้ตรวจสอบด้านการดักฟังข้อมูลเสียง ซึ่งเอไอเอสยืนยันว่าไม่สามารถทำได้ ไม่ว่าจะเป็นเรื่องของการดักฟังข้อมูลเสียงหรือข้อความ เนื่องจากบริษัทมีนโยบายในเรื่องมาตรการระบบรักษาความปลอดภัยข้อมูลของลูกค้า ที่เอไอเอสให้ความสำคัญอย่างสูงสุดมาโดยตลอด และด้วยเทคโนโลยีปัจจุบันที่เป็นระบบดิจิทัล ซึ่งเป็นมาตรฐานโลก มีการเข้ารหัสข้อมูลหลายชั้น ตั้งแต่ต้นทางจนถึงปลายทาง จึงทำให้ไม่สามารถดักฟังได้ รวมทั้งระบบวิเคราะห์ข้อมูล และเครื่องมือทุกชนิดที่บริษัทใช้อยู่ ไม่มีระบบหรือเครื่องมือใดสามารถที่จะนำข้อมูลเสียงออกมาได้ ไม่ว่าจะกระทำด้วยวิธีการใดๆ การกระทำดังกล่าวเป็นการกระทำความผิดทางอาญาขั้นร้ายแรง ซึ่งทางบริษัทได้ตระหนักในเรื่องนี้เป็นอย่างยิ่ง และเรื่องดังกล่าวไม่อาจกระทำได้
Comments
ระบบเค้าอือหือเลย กว่าจะเริ่มทำงานได้นี่คงปาเข้าไปครึ่งชั่วโมง
ในระบบสำคัญ และต้องดูแลข้อมูลสำคัญมากๆ ก็แบบนี้กันทั้งนั้น เผลอๆ มีรายละเอียดปลีกย่อยเยอะกว่านี้อีกครับ
จะตรวจสอบทั้งที ทำไมต้องมีการถ่ายภาพ, แต่งตัวทำนองนั้นที่ดูแล้วไม่เหมาะกับการทำงานแนวตรวจสอบ และการพบปะแนวประชาสัมพันธ์ขณะทำงานแบบนี้ด้วย ผมว่ามันควรที่จะซีเรียสมากและทำตรวจแบบไม่เป็นทางการมากกว่า ไม่ต้องมีการถ่ายภาพหรือออกข่าวระหว่างการทำงาน (ทำได้หากเกี่ยวข้องในกระบวนการตรวจสอบ) แค่บอกผลการตรวจสอบตอนหลังทางสื่อก็พอ เพราะพอผมดูภาพที่ออกมา ดูแล้วเหมือนกับงานผักชีโรยหน้ายังไงอย่างนั้นเลย
สรุปสั้นๆ เข้าตรวจแบบไม่เป็นทางการโดยใช้หมายศาลหรือเอกสารบังคับก็ว่าไป ไม่ต้องถ่ายออกมาประชาสัมพันธ์ และออกผลการตรวจสอบจากทาง กสทช. ไปเลย
Get ready to work from now on.
อันนี้คือข่าวที่มาจากหน่วยงานประชาสัมพันธ์ของ AIS ไม่ได้มาจาก กสทช. ไม่ใช่เหรอครับ
กสทช. กำหนดให้แต่งเครื่องแบบทุกวันจันทร์ครับ
I need healing.
ผมเห็นคุนแสดงความเห็นแรงๆ หลายครั้ง โดยไม่สนข้อเท็จจริงโดยรอบนัก คงต้องขอให้เบาๆ ลงนะครับ อย่าไปกล่าวหาเขาแบบนี้
อย่างเรื่องหมายศาลที่คุณว่า การตรวจสอบกระบวนการไม่มีที่ไหนเขาทำกันแบบนั้นครับ ไม่รู้ก็ถามกันได้ แถวนี้มีคนทำระบบโดนตรวจสอบกันเยอะพอสมควร
lewcpe.com, @wasonliw
+1
ไม่ได้จะซ้ำเติมครับ แค่จะบอกว่าเห็นเป็นเช่นนั้นเหมือนกัน
+10
ถ้าถ่ายรูปมาลงเรียกว่าผักชีโรยหน้า แล้วถ้าบอกว่าตรวจแล้วอย่างเดียวไม่มีภาพอะไรเลย อย่างงี้คือดีที่สุดแล้วใช่ไหม?
ขอตอบในฐานะคนที่ทำงานในหน่วยงานของรัฐ และมีหน้าที่เข้าไปตรวจสอบเอกชนนะครับ
ถ้าเป็นหน่วยงานของรัฐที่มีอำนาจในการเข้าตรวจสอบอยู่แล้ว (ผมไม่แน่ใจว่า กสทช. มีอำนาจแค่ไหน) จะไปขอหมายศาลเพิ่มอีกคงเป็นเรื่องตลกมากครับ ขอไปศาลคงตอบกลับมาว่า มาขอชั้นทำไม คุณก็เข้าไปตรวจได้อยู่แล้วนี่
การเข้าตรวจก็มีหลายแบบ ตรวจประจำปี (Annual Examination) อันนี้ต้องแจ้งก่อนเพื่อให้เตรียมข้อมูล ตรวจเฉพาะกิจ (Target Examination) ก็มีทั้งแจ้งล่วงหน้า (เพื่อให้เตรียมข้อมูลมานำเสนอ) กับไม่แจ้งล่วงหน้า (ไป Surprise Check ดูหน้างานโดยตรง) และสุดท้ายก็ตรวจเป็นการลับ (Mystery Shopping ปลอมเป็นลูกค้าไป) ซึ่งอันนี้ก็ดูเหมือนเป็นตรวจเฉพาะกิจ ไม่ได้ระบุเลยว่าแจ้งก่อนหรือไม่แจ้ง ข่าวประชาสัมพันธ์ก็มาจากฝั่ง AIS ไม่ใช่ กสทช. คุณรู้ได้อย่างไรครับว่าเขาตรวจไม่ซีเรียส
ส่วนเรื่องเครื่องแบบ ใส่เครื่องแบบของหน่วยงานไปตรวจนี่แหละครับดีที่สุดแล้ว ถ้าผมบอกว่าตัวเองมาจากกสทช. แต่ใส่เสื้อเชิ้ตกางเกงสแลคธรรมดา เขาจะให้เข้าไปดูห้อง Control Room เหรอครับ เกิดใครปลอมบัตรมาก็ซวยเลย
น่าจะเพิ่ม scan ม่านตาด้วยเพื่อให้ได้เจาะจงเป็นรายบุคคล
+1
ดักฟังเสียงไม่ได้ สรุปใครหลอกใคร หนังสายลับ หรือ คำพูดคนในชีวิตจริง
เกิดเรื่องเมื่อไหร่ แล้ว เข้าไปตรวจเมื่อไหร่
ไปตอนนี้ ไปแล้วแล้วเจอแต่ทุ่งผักชีสิ
ทำได้ขนาดนี้ แล้วมันหลุดออกไปได้ยังไงครับ
เขาบอกว่ามีระบบ แต่ทำตามระบบหรือเปล่าไม่ได้บอก
เพราะถ้าทำตาม procedure จริง พนักงานเล็กๆจะทำเองยังไง ไม่ก็หัวหน้านั่นล่ะ แต่เขาไล่ลูกน้องออกแล้วนะ จะเอาอะไรกันนักหนา ปุ้ดโธ่
เหมือนไปเรียกฝรั่งมาดูเมืองไทย แล้วบอกว่า อ้า ประเทศไอมีกฎหมายเข้มมากนะ ฆ่าคนนี่ติดคุกเลย
แต่ในทางปฎิบัติ เป็นยังไงก็รู้ๆกันอยู่
สั้นๆ ง่ายๆ ระบบแบบไทยๆ
ระบบน่ะดี แต่ไม่จริงจัง เวลาทำจริงกลายเป็นอีกเรื่อง หลายครั้งหลายคราวพังเพราะเจอพวกลักไก่นี่ล่ะ
+1
ตามข่าวเก่า มาตรการเหล่านี้เพิ่มมาหลังเกิดเรื่องครับ
lewcpe.com, @wasonliw
อาจจะคิดด้านลบ ไปหน่อย แต่ผมคิดไปเอง ว่า AIS ต้องการเรียกความเชื่อมั่นจากลูกค้า
โดยให้ กสทช มาตรวจสอบเพื่อให้ AIS ปรีเซ้นระบบที่มี(ปัญหา) ว่ามันปลอดภัย
ผมมองว่าถ้าเค้าทำงานกันจริงๆ(น่ะ) ควรมาตรวจสอบตั้งแต่เป็นกระทู้แนะนำในพันทิพแล้ว ว่าพบความบกพร้อง
ไม่ใช่รอเวลาขนาดนี้
ประมาณว่า AIS เซ็ทฉากเสร็จเมื่อไหร่มาสะกิดด้วย เดี๊ยวเอานักข่าวไปทำข่าวกันได้ผลงานกันทั้งคู่
ได้ออกข่าวบ้างไรบ้าง
เอ๋ สงสัยเราจะคิดเยอะไปเนอะ
ผมว่าตัวระบบก่อนหน้านี้มันก็คงไม่ได้มีปัญหาอย่างที่บนๆ เค้าคุยกัน ถึงแม้จะเข้าไปตรวจสอบก่อนหน้านี้ก็ไม่น่าจะเจออะไรที่ผิดปกติ แต่ที่รั่วมันรั่วจากคนมากกว่า
ถ้าระบบจะมีการตรวจแบบไม่บอกล่วงหน้า ก็ต้องมีกระบวนการชัดเจน (ไม่งั้นมีคนมั่วนิ่มว่าเป็นคนตรวจจะยิ่งมั่ว) เรื่องพวกนี้คงอีกไกลครับ ปกติไม่ค่อยให้ทำแบบนี้กันนัมักจะให้บริษัทตรวจสอบเข้าไปตรวจ แล่วส่งรายงานไป
lewcpe.com, @wasonliw
มาตรวจตอนนี้ตรวจเพือ ผมแนะนำว่ามาตัวแบบไม่บอก ทุก 3 เดือนสิระบบมีมาตราฐานแน่นอน ตัวทุกเจ้าด้วยนะ
คำถามคือระบบแน่นขนาดนี้ แล้วตกลงคนร้ายเอาข้อมูลออกมาได้ไงครับ
สงสัยใช่ รูบิค ครับ สโนว์เดน สไตล์
เชื่อว่า ระบบหลังบ้าน มี password ก็เข้า db ได้หมด
อันที่จริงหลายโรงงานก็ทำประมาณนี้มา 20 ปีแล้ว แต่คนมันจะขโมยย่อมหาช่องโหว่ได้อยู่แล้ว ส่วนระบบ CAS ใช้ในการระวังป้องกันและสุ่มตรวจสอบ ก็ไม่ได้ดูทุกอย่างที่พนักงานทำในแต่ละวัน
ถามผมว่าเอาออกมาได้อย่างไร ตอบตรงนี้เลยว่าไม่รู้แฮะ 555 (แล้วจะโม้ไปเพื่อ ???)
อยู่ที่คน ตอนเซ็นสัญญา ต้องเอาให้รัดกุม