Wednesday, September 28, 2011

สาวยาคูลท์ ความเสี่ยงชั้นสูงขององค์กร

หมายเหตุ บทความนี้ไม่ได้ต้องการทำลายชื่อเสียงหรือองค์กรใด เพียงแค่มีเจตนาจะยกประเด็นตัวอย่างใกล้ตัวเพื่อให้เกิดความตระหนักเท่านั้น หากบทความนี้ทำให้บุคคลหรือองค์กรใดเสียหาย ผมต้องขอกราบขออภัยมา ณ ที่นี้ด้วย และในบทความนี้ผู้เขียนได้เสนอแนะวิธีการป้องกันและแก้ไขความเสี่ยงนี้ด้วย

เมื่อวานนี้ผมได้มีโอกาสไปฟังสัมนา (นานๆทีจะได้เป็นผู้ฟัง) ในงาน "การประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับ (ร่าง)หลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์" ที่จัดโดยกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร คณะกรรมการธุรกรรมอิเล็กทรอนิกส์ และคณะอนุกรรมการความมั่นคงปลอดภัย มีเซสชั่นตอนเช้าที่ดร.ยรรยง เต็งอำนวย อาจารย์จากภาควิชาวิศวกรรมคอมพิวเตอร์ จุฬาลงกรณ์มหาวิทยาลัย (เป็นอ.ที่ปรึกษาของผมตอนเรียนป.โทด้วย) ท่านได้พูดถึงเรื่องหนึ่งซึ่งมันใกล้ตัวเรามาก และผมจึงอยากจะหยิบยกเรื่องราวของอ.ที่บรรยายในงานนี้มาเป็นอุทาหรณ์สำหรับผู้อ่านทุกท่าน อ.ยรรยงได้กล่าวถึงจุดอ่อนของระบบ ระบบในองค์กรเรามีมากมาย เราจำเป็นจะต้องป้องกันทุกจุด หากมีจุดใดจุดหนึ่งรั่วก็จะส่งผลเสียหายต่อองค์กรได้เลย เหมือนกับโซ่ที่ใช้ล่ามช้าง หรือไดโนเสาร์ (มุขของอ.ที่เล่นในงาน) หากมีข้อใดข้อหนึ่งอ่อนหรือเชื่อมกันไม่สนิท ดังรูปที่ 1 ก็อาจจะทำให้โซ่ขาดได้เมื่อช้างหรือไดโนเสาร์ดึง ดังนั้นองค์กรของเราก็เช่นกัน ต่อให้องค์กรสั่งซื้อโปรแกรมป้องกันไวรัส 3,000 ชุด ซื้อไฟร์วอลล์ตัวละ3ล้าน แต่คนในองค์กรยังใช้รหัสผ่านห่วยๆ (เดาง่าย เช่น 1234 password หรือ qwerty เป็นต้น) เหล่าแฮกเกอร์หรือผู้ร้ายก็สามารถสร้างความเสียหายให้แก่องค์กรของเราได้
รูปที่ 1 โซ่ที่มีจุดอ่อน 
เครดิตภาพจาก http://englishpecah.blogspot.com/ 

อีกตัวอย่างก็เรื่องของการอนุญาตให้บุคคลภายนอกเข้ามาในองค์กรของเราได้โดยไม่มีการตรวจสอบอย่างดี อ.ยรรยงก็ได้ยกตัวอย่างของบุคคลที่สามารถเข้าออกทุกห้องในองค์กรของเราได้โดยที่รปภ.ไม่ยืนยันตัวตนเลย  นั่นก็คือ สาวยาคูลท์ นั่นเอง สาวยาคูลท์เป็นบุคคลที่สามารถเข้าออกตึกและสำนักงานที่ไม่ได้มีระบบป้องกันที่รอบคอบ เพราะหน้าที่ของเธอคือการส่งยาคูลท์ให้ถึงมือลูกค้าที่อาจจะเป็น ผอ.ฝ่าย หัวหน้างาน ที่มีห้องทำงานส่วนตัว หรือแม้กระทั่งพนักงานทั่วไปเองก็ตาม
รูปที่ 2 เครื่องแต่งกายพนักงานส่งยาคูลท์ 
เครดิตภาพประกอบ http://www.pocketonline.net/g2engine/d/68349-1/yakulggirl.jpg 

หลายๆคนคงสงสัยใช่มั้ยครับว่าแล้วยังไง ทำไมคนส่งยาคูลท์ถึงเป็นความเสี่ยงชั้นสูง ก็เนื่องด้วยทุกคนไว้วางใจสาวยาคูลท์ที่มาส่งยาคูลท์และเก็บเงินเรา ด้วยชุดแต่งกายที่มีเอกลักษณ์เฉพาะตัว และต้องมีกระเป๋าใส่ขวดยาคูลท์มาด้วย แต่ลองมองให้ลึกกว่านี้นะครับ ลองคิดดูว่าถ้าหากมีโจรปลอมตัวเป็นสาวยาคูลท์หรือโจรจ้างสาวยาคูลท์ให้แสร้งทำทีว่าเอายาคูลท์มาส่งให้ผอ.ฝ่ายของเราในองค์กร แล้วเข้าไปในห้องผอ.ฝ่ายได้โดยที่องค์กรของเราไม่ทำการตรวจสอบว่าคนๆนี้เป็นพนักงานของบริษัทยาคูลท์จริงๆหรือไม่ หรือไม่ตรวจสอบว่าเขาเป็นใคร มีเจตนาไม่ดีหรือไม่ ถ้าหากโจรในคราบสาวยาคูลท์คนนี้เข้าไปในห้องของผอ.ได้แล้ว เขาก็อาจจะหาทางขโมยเอกสาร ข้อมูลลับ หรือสื่อบันทึกข้อมูล เช่น ไดร์ฟ USB หรือแม้กระทั่งแผ่นซีดีและดีวีดี เป็นต้น เอาของใส่กระเป๋ายาคูลท์ (ดังรูปที่ 3) แล้วเดินออกจากตึกไปได้อย่างสบายใจ เพราะรปภ.เองของหลายๆหน่วยงานไม่ได้ตรวจสิ่งของที่อยู่ในกระเป๋านั้นเอง หรือนอกจากนี้ก็อาจจะไม่ได้มาขโมยเป็นสิ่งของ แต่เป็นข้อมูลไม่ว่าจะเป็นการแอบอ่านจดหมายและเอกสารที่ทิ้งไว้บนโต๊ะ อีเมล์หรือหน้าจอเครื่องคอมพิวเตอร์ที่เปิดทิ้งไว้ หรือการแอบดักฟังการสนทนาของเรากับผู้อื่นอีกด้วย

 รูปที่ 3 กระเป๋ายาคูลท์ 
เครดิตภาพประกอบ http://www.tarad2home.com/upload/post/1/14/143/1438/143812072010083936.jpg

อย่างไรก็ตามหลายๆองค์กรที่มีความตระหนักในเรื่องนี้ ก็ได้มีมาตรการป้องกันโดยการเอนุญาตให้สาวยาคูลท์ฝากไว้ที่รปภ.เท่านั้น แล้วให้พนักงานที่สั่งซื้อลงมาเอาไปเอง ผมคิดว่าเป็นวิธีการแก้ไขปัญหาที่ตรงจุดและง่ายที่สุด อีกทั้งสาวยาคูลท์คงจะดีใจที่ไม่ต้องเดินไปหาตามห้องให้เหนื่อยและเสียเวลาอีกด้วย


นอกจากนี้อีกความเสี่ยงที่ผมคิดมาตลอดเลยว่าถ้าผมอยากจะขโมยของหรือข้อมูลความลับ ผมจะขอปลอมตัวเองเป็นแม่บ้าน (เนื่องจากผมเป็นผู้ชายอ้วนๆคนนึง เป็นแม่บ้านคงดูน่ากลัวมาก ขอเป็นช่างไฟฟ้า ช่างซ่อมอาคาร ฯลฯ) แล้วผมจะเข้าไปตรวจระบบไฟฟ้าในห้องต่างๆ เดินเข้าเดินออกห้องนั้นห้องนี้ และก็ทำสิ่งเดียวกับที่ตัวอย่างสาวยาคูลท์ทำ นั่นคือการขโมยของ ขโมยข้อมูลต่างๆในองค์กร หรือนอกจากนี้จะเข้าต่อสายดักฟังโทรศัพท์ของผู้บริหาร หรือแม้กระทั่งแอบต่อ Access Point ทิ้งไว้หลังตู้ในห้องผู้บริหาร ทำให้ผมสามารถเชื่อมต่อเน็ตเวิร์กเข้าสู่องค์กรได้จากข้างนอกตึกได้อีกด้วย

ฝากไว้นะครับ ลองหันมามองในองค์กรเราดูบ้างนะครับว่ามีความเสี่ยงเหล่านี้บ้างหรือไม่ ลองๆช่วยกันป้องกันนะครับ หรือเสนอแนะได้ในเฟซบุคด้านบนนะครับ

No comments: