เอไอเอส เปิดให้ กสทช.เข้าตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานของลูกค้าอย่างละเอียดทุกขั้นตอน
นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือเอไอเอส กล่าวว่า ช่วงบ่ายของวันจันทร์ที่ 26 ก.ย.ที่ผ่านมา กสทช.ได้นำทีมคณะกรรมการสอบสวนข้อเท็จจริงเข้าไปตรวจสอบระบบรักษาความปลอดภัยข้อมูลของลูกค้า โดยมีรายละเอียดดังนี้
1.ตรวจสอบขั้นตอนการรับเรื่องการขอข้อมูลรายละเอียดการโทร.ย้อนหลัง ที่เอไอเอส ช็อป โดยพนักงานจะแนะนำให้ลูกค้าเข้าไปดูข้อมูลรายละเอียดการโทร.ย้อนหลัง ทั้งเบอร์ปลายทาง เวลา และระยะเวลาที่โทร.ได้ด้วยตนเองผ่านเว็บ E-Service (www.ais.co.th/eservice) ทั้งนี้ เพื่อความปลอดภัยของข้อมูลลูกค้า
2.ตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า ซึ่งมีระบบรักษาความปลอดภัยถึง 4 ชั้น เพื่อเข้าไปในบริเวณสถานที่ปฏิบัติงาน เริ่มตั้งแต่
ชั้นที่ 1 - พนักงานทุกคนจะต้องเก็บอุปกรณ์มือถือ Flashdrive กล้องถ่ายรูป และอุปกรณ์บันทึกข้อมูลต่างๆ ไว้ใน Locker ก่อน และต้องผ่านการตรวจจับโลหะเพื่อให้มั่นใจว่าพนักงานไม่มีการนำอุปกรณ์ดังกล่าวเข้าไป
ชั้นที่ 2 - พนักงานต้องแสดงบัตรของตนเอง และทำการแตะบัตรเพื่อทำการเปิดประตูเข้าด้วยตนเอง เพื่อเข้าไปยังพื้นที่หน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า พนักงานที่ไม่มีสิทธิเข้าพื้นที่หน่วยวิเคราะห์ข้อมูลจะไม่สามารถใช้บัตรเปิดประตูได้
ชั้นที่ 3 - นอกจากนี้ ในขณะปฏิบัติงานก็มีมาตรการป้องกันไม่ให้พนักงานสามารถนำข้อมูลของลูกค้าออกไปได้ ดังนี้ พนักงานทุกคนไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้ พนักงานทุกคนไม่สามารถทำสำเนาข้อมูลออกมาจากเครื่องคอมพิวเตอร์ผ่านทางช่องเสียบต่างๆ ส่วนการส่งอีเมลผ่านทางระบบอินทราเน็ตภายในองค์กร จะมีระบบ Copy Double Mail อัตโนมัติ โดยอีเมลทุกฉบับที่ส่งออก ทั้งหัวข้อ เนื้อความ และเอกสารแนบจะถูกสำเนาส่งไปที่หัวหน้างานโดยอัตโนมัติ หัวหน้างานจะตรวจสอบการทำงานของพนักงานย้อนหลังทุกสัปดาห์ ด้วยระบบ CAS (Centralized Access System) ที่จัดเก็บหน้าจอการทำงานของพนักงานทุกคน ดำเนินการจัดหาระบบการตรวจสอบ Log และ CAS อย่างอัตโนมัติด้วยเทคโนโลยี Rule Based เพื่อให้การตรวจสอบ Log เป็นไปอย่างมีประสิทธิภาพ รวดเร็ว พบสิ่งที่ต้องสงสัยได้อย่างรวดเร็วทันการณ์ และมีกล้องตรวจจับทั่วบริเวณ
ชั้นที่ 4 - ห้องทำงานพิเศษ (Control Room) โดยมีพนักงานเพียง 4 คน ที่มีหน้าที่วิเคราะห์ข้อมูลเชิงลึกของลูกค้ามีสิทธิเข้าถึงข้อมูลส่วนบุคคลของลูกค้าภายในห้องนี้ได้ และบริษัทได้นำระบบ Double Password มาใช้ โดยพนักงานจะใส่ Password ใน Token ซึ่งจะเปลี่ยนทุกๆ นาที และหัวหน้างานจะใส่ Password ซึ่งจะเปลี่ยนทุกๆ เดือน นอกจากนั้น ยังมอบหมายให้หัวหน้างานตรวจสอบ Log การเข้าถึงและการใช้ข้อมูลทุกวัน
นอกจากนี้ กสทช.ยังได้ตรวจสอบด้านการดักฟังข้อมูลเสียง ซึ่งเอไอเอสยืนยันว่าไม่สามารถทำได้ ไม่ว่าจะเป็นเรื่องของการดักฟังข้อมูลเสียง หรือข้อความ เนื่องจากบริษัทมีนโยบายในเรื่องมาตรการระบบรักษาความปลอดภัยข้อมูลของลูกค้าที่เอไอเอสให้ความสำคัญอย่างสูงสุดมาโดยตลอด และด้วยเทคโนโลยีปัจจุบันที่เป็นระบบดิจิตอล ซึ่งเป็นมาตรฐานโลก มีการเข้ารหัสข้อมูลหลายชั้น ตั้งแต่ต้นทาง จนถึงปลายทาง จึงทำให้ไม่สามารถดักฟังได้ รวมทั้งระบบวิเคราะห์ข้อมูล และเครื่องมือทุกชนิดที่บริษัทใช้อยู่ ไม่มีระบบ หรือเครื่องมือใดสามารถที่จะนำข้อมูลเสียงออกมาได้ ไม่ว่าจะกระทำด้วยวิธีการใดๆ การกระทำดังกล่าวเป็นการกระทำความผิดทางอาญาขั้นร้ายแรง ซึ่งทางบริษัทได้ตระหนักในเรื่องนี้เป็นอย่างยิ่ง และเรื่องดังกล่าวไม่อาจกระทำได้ โดย กสทช.ได้เข้าไปตรวจสอบ และรับทราบข้อมูลต่างๆ ดังกล่าวแล้ว
http://www.manager.co.th/Cyberbiz/ViewNews.aspx?NewsID=9590000097309
" กสทช. เข้าตรวจสอบระบบวิเคราะห์ข้อมูลลูกค้า AIS อย่างละเอียดทุกขั้นตอน "
นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือเอไอเอส กล่าวว่า ช่วงบ่ายของวันจันทร์ที่ 26 ก.ย.ที่ผ่านมา กสทช.ได้นำทีมคณะกรรมการสอบสวนข้อเท็จจริงเข้าไปตรวจสอบระบบรักษาความปลอดภัยข้อมูลของลูกค้า โดยมีรายละเอียดดังนี้
1.ตรวจสอบขั้นตอนการรับเรื่องการขอข้อมูลรายละเอียดการโทร.ย้อนหลัง ที่เอไอเอส ช็อป โดยพนักงานจะแนะนำให้ลูกค้าเข้าไปดูข้อมูลรายละเอียดการโทร.ย้อนหลัง ทั้งเบอร์ปลายทาง เวลา และระยะเวลาที่โทร.ได้ด้วยตนเองผ่านเว็บ E-Service (www.ais.co.th/eservice) ทั้งนี้ เพื่อความปลอดภัยของข้อมูลลูกค้า
2.ตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า ซึ่งมีระบบรักษาความปลอดภัยถึง 4 ชั้น เพื่อเข้าไปในบริเวณสถานที่ปฏิบัติงาน เริ่มตั้งแต่
ชั้นที่ 1 - พนักงานทุกคนจะต้องเก็บอุปกรณ์มือถือ Flashdrive กล้องถ่ายรูป และอุปกรณ์บันทึกข้อมูลต่างๆ ไว้ใน Locker ก่อน และต้องผ่านการตรวจจับโลหะเพื่อให้มั่นใจว่าพนักงานไม่มีการนำอุปกรณ์ดังกล่าวเข้าไป
ชั้นที่ 2 - พนักงานต้องแสดงบัตรของตนเอง และทำการแตะบัตรเพื่อทำการเปิดประตูเข้าด้วยตนเอง เพื่อเข้าไปยังพื้นที่หน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า พนักงานที่ไม่มีสิทธิเข้าพื้นที่หน่วยวิเคราะห์ข้อมูลจะไม่สามารถใช้บัตรเปิดประตูได้
ชั้นที่ 3 - นอกจากนี้ ในขณะปฏิบัติงานก็มีมาตรการป้องกันไม่ให้พนักงานสามารถนำข้อมูลของลูกค้าออกไปได้ ดังนี้ พนักงานทุกคนไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้ พนักงานทุกคนไม่สามารถทำสำเนาข้อมูลออกมาจากเครื่องคอมพิวเตอร์ผ่านทางช่องเสียบต่างๆ ส่วนการส่งอีเมลผ่านทางระบบอินทราเน็ตภายในองค์กร จะมีระบบ Copy Double Mail อัตโนมัติ โดยอีเมลทุกฉบับที่ส่งออก ทั้งหัวข้อ เนื้อความ และเอกสารแนบจะถูกสำเนาส่งไปที่หัวหน้างานโดยอัตโนมัติ หัวหน้างานจะตรวจสอบการทำงานของพนักงานย้อนหลังทุกสัปดาห์ ด้วยระบบ CAS (Centralized Access System) ที่จัดเก็บหน้าจอการทำงานของพนักงานทุกคน ดำเนินการจัดหาระบบการตรวจสอบ Log และ CAS อย่างอัตโนมัติด้วยเทคโนโลยี Rule Based เพื่อให้การตรวจสอบ Log เป็นไปอย่างมีประสิทธิภาพ รวดเร็ว พบสิ่งที่ต้องสงสัยได้อย่างรวดเร็วทันการณ์ และมีกล้องตรวจจับทั่วบริเวณ
ชั้นที่ 4 - ห้องทำงานพิเศษ (Control Room) โดยมีพนักงานเพียง 4 คน ที่มีหน้าที่วิเคราะห์ข้อมูลเชิงลึกของลูกค้ามีสิทธิเข้าถึงข้อมูลส่วนบุคคลของลูกค้าภายในห้องนี้ได้ และบริษัทได้นำระบบ Double Password มาใช้ โดยพนักงานจะใส่ Password ใน Token ซึ่งจะเปลี่ยนทุกๆ นาที และหัวหน้างานจะใส่ Password ซึ่งจะเปลี่ยนทุกๆ เดือน นอกจากนั้น ยังมอบหมายให้หัวหน้างานตรวจสอบ Log การเข้าถึงและการใช้ข้อมูลทุกวัน
นอกจากนี้ กสทช.ยังได้ตรวจสอบด้านการดักฟังข้อมูลเสียง ซึ่งเอไอเอสยืนยันว่าไม่สามารถทำได้ ไม่ว่าจะเป็นเรื่องของการดักฟังข้อมูลเสียง หรือข้อความ เนื่องจากบริษัทมีนโยบายในเรื่องมาตรการระบบรักษาความปลอดภัยข้อมูลของลูกค้าที่เอไอเอสให้ความสำคัญอย่างสูงสุดมาโดยตลอด และด้วยเทคโนโลยีปัจจุบันที่เป็นระบบดิจิตอล ซึ่งเป็นมาตรฐานโลก มีการเข้ารหัสข้อมูลหลายชั้น ตั้งแต่ต้นทาง จนถึงปลายทาง จึงทำให้ไม่สามารถดักฟังได้ รวมทั้งระบบวิเคราะห์ข้อมูล และเครื่องมือทุกชนิดที่บริษัทใช้อยู่ ไม่มีระบบ หรือเครื่องมือใดสามารถที่จะนำข้อมูลเสียงออกมาได้ ไม่ว่าจะกระทำด้วยวิธีการใดๆ การกระทำดังกล่าวเป็นการกระทำความผิดทางอาญาขั้นร้ายแรง ซึ่งทางบริษัทได้ตระหนักในเรื่องนี้เป็นอย่างยิ่ง และเรื่องดังกล่าวไม่อาจกระทำได้ โดย กสทช.ได้เข้าไปตรวจสอบ และรับทราบข้อมูลต่างๆ ดังกล่าวแล้ว
http://www.manager.co.th/Cyberbiz/ViewNews.aspx?NewsID=9590000097309