เทคโนโลยีที่เจริญก้าวหน้าอย่างรวดเร็ว เป็นเสมือนดาบสองคมที่มีมนุษย์เป็นเจ้าของ คมหนึ่งมอบความสะดวกสบายให้แก่มนุษย์ แต่เมื่อใช้ไปในทางที่ไม่ถูกต้อง อีกคมหนึ่งก็จะกลับมาทิ่มแทงมนุษย์เอง
'แฮกเกอร์' เป็นตัวอย่างของมนุษย์ผู้มีความสามารถ ทว่าใช้ความสามารถที่มีในทางที่ผิด จากข่าวเรื่องแฮกเกอร์ขโมยข้อมูลบัตรเครดิตจากเว็บไซต์ชื่อดังเมื่อต้นปี คงทำให้ลูกค้าและพ่อค้าออนไลน์ทั้งหลายเข็ดขยาด แต่เหตุการณ์นี้ก็ทำให้เจ้าของเว็บไซต์อีคอมเมิร์ซทั้งหลายต้องหันมาปรับ ปรุงเว็บไซต์ของตนเป็นการใหญ่ ในคอลัมน์นี้เรามีคำแนะนำ 13 ข้อ ที่จะช่วยให้เว็บไซต์ของคุณปลอดภัย โปรดปฏิบัติตาม ไม่เช่นนั้น เว็บไซต์ของคุณอาจเป็นรายต่อไปที่ถูกอาชญากรคอมพิวเตอร์เล่นงาน!
หากคุณ เป็นเจ้าของเว็บไซต์อีคอมเมิร์ซและเก็บข้อมูลสำคัญของลูกค้าไว้ ไม่ว่าจะเป็นหมายเลขบัตรเครดิต วันหมดอายุบัตร หรือข้อมูลส่วนตัวอื่นๆ ของผู้ถือบัตร คุณควร
ถือเป็นเรื่องสำคัญที่จะรักษาข้อมูลเหล่านี้ให้ปลอดภัยและเป็นความลับที่สุด ต่อไปนี้เป็นคำแนะนำของเรา
1. เข้ารหัสข้อมูลบัตรเครดิต : เก็บข้อมูลบัตรเครดิตของลูกค้าให้อยู่ในรูปแบบของการเข้ารหัสเสมอ
เหตุผล : เพราะระบบอื่นๆ จากทั้งภายนอกและภายในอาจเข้าถึงฐานข้อมูลสำคัญนี้ได้ ข้อมูลจะถูกเปิดเผยอย่างง่ายดายถ้าไม่ได้อยู่ในรูปแบบของการเข้ารหัส ดังนั้น การเข้ารหัสข้อมูล จะทำให้ข้อมูลเป็นความลับ ที่ถึงแม้จะได้ไปก็ไม่สามารถนำไปใช้ประโยชน์ได้
2. เข้ารหัสข้อมูลสำรอง : ต้องเก็บข้อมูลสำรอง (back up files) ไว้ในรูปแบบของการเข้ารหัสด้วยเช่นกัน
เหตุผล : การเก็บข้อมูลสำคัญสำรองไว้ในรูปแบบของการเข้ารหัสก็เป็นสิ่งจำเป็น ถึงแม้ข้อมูลสำรองนั้นจะถูกเก็บไว้ต่างหาก ไม่ได้ติดต่อกับระบบอื่นๆ ก็ตาม เพราะวันหนึ่ง เมื่อข้อมูลเกิดการรั่วไหล คุณก็ยังมั่นใจได้ว่าข้อมูลสำคัญของคุณยังคงปลอดภัย
3. ใช้กุญแจเข้ารหัสที่ปลอดภัย : สร้างและเก็บกุญแจเข้ารหัส (encryption key) ในฮาร์ดแวร์ที่ปลอดภัย หรือใช้อุปกรณ์เก็บรักษากุญแจเข้ารหัสที่เรียกว่า 'อุปกรณ์แทมเพอร์รีซิสแทนต์'(tamper-resistant hardware)
เหตุผล : ถ้าแฮกเกอร์สามารถขโมยกุญแจเข้ารหัสของคุณไปได้ ข้อมูลสำคัญที่คุณเข้ารหัสไว้ก็จะถูกไขไปใช้อย่างง่ายดาย ดังนั้นการเก็บกุญแจเข้ารหัสในอุปกรณ์ที่ปลอดภัย มีส่วนสำคัญในการช่วยให้ข้อมูลที่คุณเข้ารหัสยังคงเป็นความลับเสมอ
4. จำกัดคนเข้าใช้ข้อมูล : จำกัดให้เฉพาะบุคคลที่เกี่ยวข้องเข้าใช้ข้อมูล
เหตุผล : คุณจะแน่ใจได้ว่า เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น ที่จะเข้าไปยุ่งเกี่ยวกับการเข้ารหัส และเข้าถึงข้อมูลได้
5. เข้าและถอดรหัสในอุปกรณ์ที่ปลอดภัย : อาจใช้อุปกรณ์สำหรับเข้าและถอดรหัสโดยเฉพาะ
เหตุผล : การเข้าและถอดรหัสในอุปกรณ์ที่ปลอดภัย จะทำให้กุญแจเข้ารหัสไม่ถูกเปิดเผย แฮกเกอร์ก็จะไม่สามารถไขข้อมูลของคุณได้ นอกจากนี้อุปกรณ์เฉพาะที่ใช้สำหรับการเข้าและถอดรหัส ยังสามารถทำงานได้เร็วกว่าเครื่องคอมพิวเตอร์ธรรมดามาก
คุณควรลบข้อมูล บัตรเครดิตของลูกค้าทิ้งทันทีที่เสร็จสิ้นกระบวนการขาย การปล่อยข้อมูลเหล่านี้ทิ้งไว้ เป็นการเสี่ยงต่อการถูกเปิดเผยโดยไม่จำเป็น
6. กระจายความรู้และอำนาจจัดการ : เจ้าหน้าที่ที่จัดการเกี่ยวกับกุญแจเข้ารหัส ไม่ควรจะมีเพียงคนเดียว งานควบคุมการเข้ารหัส การเข้าถึงข้อมูล และการปฏิบัติการต่างๆ บนแพลตฟอร์ม** ควรจะมีผู้รับผิดชอบอยู่ 2-3 คน และแต่ละคนไม่ควรจะรู้ถึงข้อมูลลับของกันและกัน อาทิ องค์ประกอบของกุญแจเข้ารหัสที่แต่ละคนถือไว้ รหัสผ่านของแต่ละคน หมายเลขบ่งชี้ตัวบุคคล (PINs) หรือข้อมูลลับอื่นๆ ที่ใช้ในกระบวนการจัดการกุญแจเข้ารหัส
เหตุผล : การกระจายความรับผิดชอบจะช่วยลดข้อผิดพลาด ทำให้เกิดการกระจายความรู้และการคานอำนาจ เป็นผลให้ข้อมูลปลอดภัยมากขึ้น
7. ใช้กุญแจที่มีประสิทธิภาพในการเข้ารหัส : ใช้กุญแจเข้ารหัสที่มีความแข็งแรงเพียงพอ เช่น กุญแจ triple DES 128 บิต** หรือ กุญแจเข้ารหัสอื่นๆ ที่สามารถป้องกันการเจาะล้วงข้อมูล
เหตุผล : เมื่อเทคโนโลยีพัฒนาขึ้น ดูเหมือนว่าประสิทธิภาพของกุญแจเข้ารหัสแบบเดิมๆ จะแย่ลง คุณต้องพัฒนาระบบเข้ารหัสและเลือกกุญแจเข้ารหัสให้ทันกับเทคโนโลยีอยู่เสมอ เพื่อป้องกันการโจรกรรมข้อมูลด้วยเทคโนโลยีที่ทันสมัยกว่า
8. ป้องกันการเข้าถึงไฟล์เซิร์ฟเวอร์ : ไฟล์เซิร์ฟเวอร์ควรอยู่ด้านหลัง 'ไฟร์วอลล์'** และให้สิทธิ์การเข้าถึงเฉพาะกับแอพพลิเคชันที่ได้รับการรับรองเท่านั้น เหตุผล : ไฟร์วอลล์จะแยกระบบภายในให้รอดพ้นจากการถูกบุกรุกจากภายนอก โดยการควบคุมระบบเน็ตเวิร์กระหว่างจุดที่เป็นอินเทอร์เฟซของเน็ตเวิร์ก แพลตฟอร์มการทำงานภายใน และแพล็ตฟอร์มที่เก็บข้อมูลสำคัญ
9. ทำระบบเน็ตเวิร์กให้ปลอดภัย : เซิร์ฟเวอร์จะต้องอยู่ในระบบเน็ตเวิร์กที่มีความน่าเชื่อถือ ที่ใช้ IP address ภายในและติดต่อกับฐานข้อมูลโดยผ่านไฟร์วอลล์เท่านั้น
เหตุผล : คอมพิวเตอร์แต่ละเครื่องจะติดต่อกันโดยตรงได้ก็ต่อเมื่อใช้ IP address ภายในวงเดียวกัน คุณจะสามารถจำกัดได้ว่าใครจะเป็นผู้ติดต่อกับฐานข้อมูล ส่วนการให้เน็ตเวิร์กภายนอกติดต่อกับฐานข้อมูลผ่านทางไฟร์วอลล์จะทำให้คุณ มั่นใจได้ว่า เฉพาะเครื่องที่ได้รับอนุญาตเท่านั้นที่จะเข้าถึงข้อมูลสำคัญได้
10. อนุญาตให้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเข้าไปในเขตหวงห้าม : ในห้องที่ตั้งเครื่องเซิร์ฟเวอร์, เทปแบ็กอัพ และเก็บอุปกรณ์สำคัญเช่น อุปกรณ์เข้ารหัส ควรจำกัดให้เข้าได้เฉพาะบุคคลที่มีสิทธิ์เท่านั้น ไม่ควรให้เจ้าหน้าที่โอเปอเรชันที่ทำงานซัพพอร์ตอื่นๆ เช่น งานแบ็กอัพระบบ (operational support staff) เข้าไปในห้องนั้น โดยคุณควรจะจัดพื้นที่เฉพาะให้เจ้าหน้าที่เหล่านี้ทำงาน เจ้าหน้าที่โอเปอเรชันนี้ไม่ใช่เจ้าหน้าที่ที่ทำงานพัฒนาระบบ งานบำรุงรักษาอุปกรณ์เข้ารหัส หรืองานจัดการกุญแจเข้ารหัส
เหตุผล : การกำหนดเขตหวงห้าม และจำนวนเจ้าหน้าที่ที่เข้าเขตดังกล่าวได้ ช่วยให้ระบบรักษาความปลอดภัยข้อมูลมีความแข็งแกร่งมากยิ่งขึ้น และการกำหนดหน้าที่ของแต่ละฝ่ายอย่างชัดเจน จะป้องกันบุคคลที่ไม่พึงประสงค์เข้าถึงตัวข้อมูล
11. ลบข้อมูลเก่าๆ ทิ้ง : หมั่นลบข้อมูลบัตรเครดิตเก่าๆ ที่ไม่ใช้แล้วทิ้ง
เหตุผล : การปล่อยข้อมูลเก่าๆ เหล่านี้ทิ้งไว้ เป็นการเสี่ยงต่อการถูกเปิดเผยโดยไม่จำเป็น
12. ตรวจตราเซิร์ฟเวอร์และแอพพลิเคชันอยู่เสมอ : ตรวจสอบและลบไฟล์ที่ไม่จำเป็นออกจากเซิร์ฟเวอร์และแอพพลิเคชันต่างๆ เป็นประจำ
เหตุผล : บางครั้งคุณอาจสร้างไฟล์ที่ไม่ได้เข้ารหัสขึ้นมาโดยไม่ได้ตั้งใจ ไฟล์เหล่านี้อาจเป็นไฟล์ชั่วคราว (temporary file) ที่สร้างขึ้นมาระหว่างการทำงาน การลบไฟล์เหล่านี้เป็นการลดความเสี่ยงต่อการถูกเปิดเผยข้อมูล
ถ้าคุณเป็น ลูกค้า ก็ควรตรวจสอบดูว่าเว็บไซต์ที่คุณซื้อของด้วยนั้นมีความน่าเชื่อถือแค่ไหน ไม่เช่นนั้นยอดค้างชำระในบัตรเครดิตของคุณอาจสูงขึ้นโดยที่คุณไม่ได้ใช้!
13. แยกเซิร์ฟเวอร์และฐานข้อมูลออกมาต่างหาก - เซิร์ฟเวอร์และฐานข้อมูลควรจะถูกแยกออกมาจากอุปกรณ์ที่ติดกับเน็ตเวิร์กอินเทอร์เฟซ
เหตุผล : การแยกเก็บข้อมูลสำคัญอย่างข้อมูลบัตรเครดิตไว้คนละเครื่องกับข้อมูลอื่นๆ เป็นการกันข้อมูลสำคัญนี้ให้ออกห่างจากข้อมูลที่เข้าร่วมกระบวนการออนไลน์
หาก คุณเป็นลูกค้าออนไลน์ ก็ควรจะตรวจสอบว่าเว็บไซต์ที่คุณซื้อของด้วยนั้น ปฏิบัติตามคำแนะนำข้างต้นหรือไม่ เพื่อให้มั่นใจว่าข้อมูลสำคัญของคุณจะถูกเก็บอย่างปลอดภัย และไม่เสี่ยงต่อการถูกแฮกโดยอาชญากรไซเบอร์ สำหรับเจ้าของเว็บไซต์ เมื่อคุณสงสัยว่ามีการขโมยข้อมูลเกิดขึ้นในไซต์ของคุณแล้ว ควรรีบแจ้งให้ลูกค้าทราบในทันที
สรุปข่าวอาชญากรรมในโลกไซเบอร์ในต้นปีนี้ จาก
www.zdnet.in.th
13 มกราคม 2543
แฮกเกอร์ป่วนเมือง ทำลายข้อมูล ขโมยพาสเวิร์ด
เจ้า หน้าที่ตำรวจจับกุมแฮ็กเกอร์หนุ่มวัย 16 ปี ชาวเมืองเวสต์ ฮิลส์ รัฐแคลิฟอร์เนีย และสอบสวนพบว่ามีส่วนเกี่ยวข้องกับแก๊ง 'โกลบอล เฮล' (Global Hell) ที่สร้างความเสียหายให้กับ ISP มาแล้วเป็นจำนวนไม่ต่ำกว่า 27 แห่ง ทั้งขโมยพาสเวิร์ดลูกค้า และทำลายข้อมูลต่างๆ โดยหน่วยงานที่ได้รับความเสียหายจากแก๊งค์ โกลบอล เฮลนี้ ส่วนใหญ่จะอยู่ในอเมริกา
จอมโจรไซเบอร์เรียกค่าไถ่ร้านค้าบนเน็ต!
เกิด คดีแบลคเมล์บนอินเทอร์เน็ตขึ้นกับบริษัท อียูนิเวิร์ส (eUniverse Inc.) ที่เมืองวอลลิงฟอร์ด รัฐคอนเนคติกัต อียูนิเวิร์สเป็นร้านค้าปลีกออนไลน์ จัดจำหน่ายซีดีไปทั่วโลก ถูกขโมยข้อมูลหมายเลขบัตรเครดิตของลูกค้า โดยโจรวัย 18 ปี ชาวรัสเซีย ที่ใช้ชื่อเรียกตัวเองว่า แมกซัส (Maxus) อ้างว่าเขาครอบครองหมายเลขบัตรเครดิตของลูกค้าไว้ถึง 300,000 ราย และเรียกค่าไถ่ข้อมูลเหล่านี้จากอียูนิเวิร์สเป็นเงินถึง 100,000 ดอลลาร์ แต่อียูนิเวิร์สปฏิเสธการจ่ายค่าไถ่ แมกซัสจึงนำข้อมูลหมายเลขบัตรเครดิตของลูกค้าอียูนิเวิร์ส ขึ้นออนไลน์ ที่เว็บไซต์ของตน และเขียนเชิญชวนให้คนคลิ้กเข้ามาเอาข้อมูลบัตรเครดิต ต่อมาเอฟบีไอได้ปิดเว็บไซต์นี้ไป และบริษัทได้เพิ่มการป้องกันความปลอดภัยสำหรับฐานข้อมูลลูกค้ามากขึ้น
ที่มา
www.nonstopbit.com
