ทำไมข้อมูล "บัตรเครดิต" ถูกขโมยได้?
คนบ้านพริก banprick@hotmail.com
เมื่อต้นปีนี้ วันที่ 18 กุมภาพันธ์ บริษัทบริการ(ขาย)ข้อมูลประชาชน (consumer data services) ในเมืองแอตแลนตาของอเมริกาที่ชื่อว่า CheckPoint ถูกคนร้ายปลอมตัวล้วงตับ ขโมยข้อมูลประชาชนในรัฐแคลิฟอร์เนียไปราว 35,000 คน ซึ่งข้อมูลนี้ประกอบด้วยชื่อ ที่อยู่ เลขที่บัตรประกันสังคม ข้อมูลเครดิตส่วนบุคคล ฯลฯ สร้างความเสียหายและละเมิดสิทธิของผู้คนเป็นจำนวนมาก เรื่องนี้น่าจะเป็นอุทาหรณ์สำหรับทั้งบริษัทข้อมูลเครดิตกลาง และบริษัทข้อมูลเครดิตไทย ว่าอย่าประมาท ควรมีมาตรการและการปฏิบัติที่รัดกุม ควรมีผู้ตรวจสอบอิสระภายนอก ตรวจสอบระบบรักษาความปลอดภัยข้อมูลเป็นระยะ
วันศุกร์ที่ 19 มิถุนายนที่ผ่านมา บริษัทผู้ออก บัตรเครดิต การ์ด ทั้งมาสเตอร์การ์ดและวีซ่า ออกมาให้ข่าวกับหนังสือพิมพ์นิวยอร์ก ไทมส์ว่า ข้อมูล บัตรเครดิต ถูกขโมยไปจำนวน 200,000 ชื่อ ! ข่าวนี้ดูจะเป็นข่าวกรอบเล็กในไทย (แม้ว่าจะมีข้อมูล บัตรเครดิต ของคนไทยผสมโรงเข้าไปพอควร) แต่สำหรับต่างประเทศและบริษัท บัตรเครดิต ต่างๆ เรื่องนี้ไม่ได้เป็นเรื่องเล็กเลย เอฟบีไอวิ่งกันวุ่นทีเดียว
บริษัทอเมริกันที่ทำข้อมูล บัตรเครดิต รั่ว ก็คือบริษัท CardSystems Solutions อยู่ที่เมืองแอตแลนตา รัฐจอร์เจีย (อีกแล้ว) อีกสาขาหนึ่งอยู่ที่เมืองทักสัน รัฐอริโซนา บริษัทแห่งนี้ตามนิยามของบริษัท บัตรเครดิต จะเรียกว่า processor หรือบริษัทผู้ให้บริการเครื่องรูดบัตร และให้บริการระบบอนุมัติจ่ายเงินผ่าน บัตรเครดิต ในรูปแบบอื่นๆ เช่น จ่ายผ่านอินเทอร์เน็ต
บริษัทชนิดนี้มีหลายร้อยแห่งทั่วโลกครับ บริษัทประเภทนี้จะมีข้อกำหนดและเงื่อนไขการให้บริการ และการรักษาความปลอดภัยข้อมูลอย่างเข้มงวดจากบริษัท บัตรเครดิต และธนาคารต่างๆ มากมาย บริษัท บัตรเครดิต ต่างๆ จะมีการจ้างผู้ตรวจสอบอิสระ เข้ามาตรวจสอบระบบรักษาความปลอดภัยข้อมูลของบริษัทเหล่านี้เป็นระยะ เพื่อประกันกระบวนการทำงาน ความถูกต้องของข้อมูลและวิธีการรักษาความปลอดภัยข้อมูล
เพราะถ้าข้อมูลรั่วที่ใดที่หนึ่ง ความปลอดภัยของผู้ถือบัตรก็หมดไป ยิ่งข้อมูลรั่วมากเท่าไร ความเสียหายก็ยิ่งเพิ่มทวีคูณมากขึ้นไปตามนั้น
ประมาณการว่า ข้อมูล บัตรเครดิต ที่อยู่กับ CardSystems มีอยู่ราว 40 ล้านบัตร แต่รั่วแค่ 200,000 บัตร (ตัวเลขโดยประมาณ ตัวเลขจริงอาจจะมากกว่านี้) โดยข้อมูล บัตรเครดิต ของวีซ่า รั่วมากที่สุดคือ 100,000 บัตร มาสเตอร์การ์ดรั่ว 68,000 บัตร ที่เหลืออีก 30,000 บัตร เป็น บัตรเครดิต ยี่ห้ออื่นๆ
ประธานบริษัท CardSystems จอห์น เอ็ม.เพอร์รี่ (www.cardsystems.com) ออกมาให้ข่าวว่า สาเหตุที่ข้อมูล บัตรเครดิต รั่ว ก็เพราะมีโปรแกรมไวรัสของผู้ไม่หวังดี เข้ามาขโมยข้อมูลของบริษัทไป (เข้าใจว่า ไวรัสแอบเข้ามาทางระบบอินเทอร์เน็ตเปย์เมนท์เกตเวย์)
สิ่งที่เป็นข้อโต้เถียงกันอย่างหนักก็คือ บริษัท CardSystems ไม่มีสิทธิที่จะเก็บหรือพักข้อมูล บัตรเครดิต ไว้ที่บริษัทของตน เมื่อคนรูด บัตรเครดิต แล้วมีการอนุมัติการจ่ายเงินเรียบร้อยแล้ว ข้อมูลบัตร ชื่อเจ้าของบัตร เลขที่บัตร วันที่บัตรหมดอายุ รหัสลับบัตร จะต้องถูกลบไป ห้ามเก็บไว้
"บริษัทกำลังทำวิจัยและตรวจสอบว่า ทำไมธุรกรรมการเงินหลายๆ รายการ จึงไม่อนุมัติการจ่ายเงินหรือธุรกรรมไม่สมบูรณ์ เพอร์รี่กล่าวต่อว่า "เราไม่ได้เก็บข้อมูลเอาไว้ แต่ยอมรับว่า บริษัทมีการเก็บข้อมูลเหล่านี้ในรูปแบบไฟล์ เมื่อวิจัยเสร็จก็จะลบทิ้ง
นับเป็นคำแก้ตัวที่ขุ่นๆ มากที่สุดครั้งหนึ่งของผู้บริหารอเมริกัน เพราะถ้าไม่มีการเก็บข้อมูลในรูปแบบไฟล์ แล้วทำไมข้อมูลจึงถูกขโมยไป ที่แย่ไปกว่านั้นก็คือ ข้อมูลเหล่านี้ (จากข่าว) ไม่ได้เก็บในลักษณะการเข้ารหัสเอาไว้ (ไม่ได้ encrypt) ทำให้เปิดอ่านได้โดยง่ายและทันที
สิ่งที่น่าสนใจก็คือ บริษัทวีซ่า และมาสเตอร์การ์ด ล้วนเป็นบริษัท บัตรเครดิต ที่มีความเข้มงวดเรื่องการรักษาความปลอดภัยข้อมูลมายาวนาน ทำไมจึงผิดพลาดได้ หลายคนวิจารณ์ว่า บริษัททั้งสองเก่งเรื่องทฤษฎีและตัวหนังสือสัญญา แต่ การปฏิบัติ เป็นอีกเรื่องหนึ่ง
แม้ว่าเรื่องข้อมูล บัตรเครดิต รั่วนี้ สร้างความเสียหายได้มาก แต่ประชาชนผู้ใช้ บัตรเครดิต ไม่ต้องรับความเสี่ยงครับ บริษัท บัตรเครดิต ก็ไม่รับความเสี่ยงเหมือนกัน (อ้าว) ตามหลักแล้ว เขาคงจะปัดภาระและต้นทุนความเสี่ยงเหล่านี้ไปกับการเพิ่มค่าชาร์จสำหรับ "ร้านค้า แทนครับ
พูดถึงการปัดภาระและความเสี่ยงนี้ ผมคิดว่าคนไทยเรากำลังจะถูกธนาคารและสถาบันการเงินปัดภาระรายจ่ายให้เราอีกแล้ว
เดิมเราเอาสมุดแบงก์ไปฝาก-ถอน หรืออัพเดทข้อมูล เราไม่ต้องเสียค่าใช้จ่าย เป็นบริการเดียวในแบงก์ที่ไม่ต้องเสียเงิน แค่เสียเวลาเข้าแถว เร็วๆ นี้ บริษัทเอทีเอ็มพูล ให้ข่าวดีว่า กำลังจะเพิ่มทุนบริษัทจาก 1 ล้านบาท เป็น 50 ล้านบาท พร้อมทั้งเปลี่ยนชื่อบริษัทเป็นเอทีเอ็มเอ็กซ์ เพื่อทำหน้าที่เป็นตัวกลางในการพัฒนาระบบการชำระเงินให้มีประสิทธิภาพมากยิ่งขึ้น และครอบคลุมระบบการชำระเงินทั้งหมด ทั้งธนาคารพาณิชย์, นอนแบงก์, อีคอมเมิร์ซ, ระบบชำระภาษีให้กับรัฐ กล่าวคือ จากนี้ไป แบงก์จะไร้พรมแดน เราสามารถเอาสมุดธนาคารแห่งหนึ่ง ไปฝาก-ถอนกับต่างธนาคารได้
ฟังผ่านๆ ก็รู้สึกว่าบริการดีขึ้น น่าขอบคุณ แต่ฟังให้ละเอียด พบว่ามีค่าใช้จ่าย ซึ่งน่าจะมากด้วย เพื่อให้คุ้มกับการลงทุนระบบคอมพิวเตอร์ 400-500 ล้านบาท (และคุ้มเงินเดือนผู้บริหาร) ปรากฏการณ์นี้จะเหมือนกับคราวอดีตที่กดเอทีเอ็มแล้วไม่ต้องเสียเงินค่าชาร์จ แต่พอเป็น "เอทีเอ็มพูล สามารถเบิกถอนจากตู้ธนาคารไหนก็ได้ ก็เริ่มมีค่าใช้จ่าย กระทั่งกดเบิกกับตู้เอทีเอ็มธนาคารที่ตนมีบัญชีอยู่ ก็ยังต้องเสียเงิน
"ส่วนการคิดค่าบริการต่างๆ นั้นยังไม่มีข้อสรุป แต่ยืนยันว่าจะลดลงจากปัจจุบันที่คิดจากลูกค้า แน่นอน ทั้งนี้ ในปัจจุบันหากมีการโอนเงินผ่านธนาคาร แต่ต่างธนาคารจะคิด 35 บาทต่อ 2 หมื่นบาท แต่ถ้าต่างธนาคารและโอนไปต่างจังหวัดคิดครั้งละ 55 บาท แต่แบงก์เดียวกันแต่ข้ามเขตคิดขั้นต่ำ 20 บาท แหล่งข่าวจากบริษัทเอทีเอ็มพูลกล่าว
ผมคิดว่านี่เป็นแผนยิงปืนนัดเดียว ได้นกสองตัวเลย เป็นการแปลงพนักงานหน้าเคาน์เตอร์ ให้เป็นแผนกหารายได้ ขณะเดียวกัน ก็สามารถลดธุรกรรมชนิดหน้าเคาน์เตอร์ลดด้วย ดังที่ทราบว่า ธุรกรรมหน้าเคาน์เตอร์ใช้คนดำเนินการมาก เสียค่าจ้าง เสียเวลาและต้นทุนสร้างสาขาธนาคารมาก ถ้าสิ่งเหล่านี้ลดลง แถมได้เงิน แบบนี้ก็จะฮาเลลูยา
ต่อไปเราเอาสมุดไปฝาก-ถอนเงิน กระทั่งธนาคารที่เรามีบัญชีอยู่ ก็คงต้องเสียเงินกระมัง
อนึ่ง บริษัทเอทีเอ็มพูลมี 13 ธนาคารถือหุ้น โดยปี 2546 บริษัทมีสินทรัพย์ 41.5 ล้านบาท มีหนี้สิน 30.5 ล้านบาท มีรายได้แค่ 3.1 ล้านบาท
เอ..พูดเรื่อง บัตรเครดิต อยู่ดีๆ ทำไมมาลงเอยที่แบงก์ในเมืองไทยไปได้ ?!
|
