กสทช. เข้าตรวจระบบรักษาความปลอดภัยข้อมูลลูกค้า ที่สำนักงาน AIS

By mk Founder on Tag: AIS, NBTC, Privacy
AIS

จากกรณี พนักงาน AIS แอบนำบันทึกการโทรและพิกัดลูกค้าไปให้บุคคลภายนอก เมื่อวานนี้ (26 ก.ย.) เจ้าหน้าที่ของ กสทช. เข้าไปตรวจสอบระบบรักษาความปลอดภัยของลูกค้าที่สำนักงาน AIS มีรายละเอียดดังนี้

  • AIS Shop จะแนะนำให้ลูกค้าเข้าไปดูข้อมูลย้อนหลังผ่านเว็บ E-Service ด้วยตัวเอง เพื่อรักษาความเป็นส่วนตัวของลูกค้า
  • หน่วยวิเคราะห์ข้อมูลของ AIS เป็นห้องแยกเฉพาะ ห้ามนำมือถือ/แฟลชไดรฟ์เข้า, มีเครื่องสแกนโลหะ, ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้, มีระบบสำเนาอีเมลทุกฉบับถึงหัวหน้างาน, มีระบบตรวจสอบ log ย้อนหลัง
  • ห้องทำงานพิเศษหรือ Control Room มีพนักงานเพียง 4 คนที่เข้าถึงข้อมูลส่วนบุคคลของลูกค้าได้ และมีระบบ Double Password ของพนักงานตาม token และหัวหน้างานที่เปลี่ยนรหัสผ่านทุกเดือน

ที่มา - อีเมลประชาสัมพันธ์ AIS

นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส กล่าวว่า “ช่วงบ่ายของวันจันทร์ที่ 26 ก.ย. ที่ผ่านมา กสทช. ได้นำทีมคณะกรรมการสอบสวนข้อเท็จจริง เข้าไปตรวจสอบระบบรักษาความปลอดภัยข้อมูลของลูกค้า โดยมีรายละเอียดดังนี้

ตรวจสอบขั้นตอนการรับเรื่องการขอข้อมูลรายละเอียดการโทรย้อนหลัง ที่เอไอเอส ช็อป

พนักงานจะแนะนำให้ลูกค้าเข้าไปดูข้อมูลรายละเอียดการโทรย้อนหลัง ทั้งเบอร์ปลายทาง, เวลาและระยะเวลาที่โทรได้ด้วยตนเองผ่านเว็บ E-Service (www.ais.co.th/eservice) ทั้งนี้เพื่อความปลอดภัยของข้อมูลลูกค้า

ตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า

AIS มีระบบรักษาความปลอดภัย 4 ชั้น เพื่อเข้าไปในบริเวณสถานที่ปฏิบัติงาน เริ่มตั้งแต่

ชั้นที่ 1 – พนักงานทุกคนจะต้องเก็บอุปกรณ์มือถือ, Flashdrive, กล้องถ่ายรูป และ อุปกรณ์บันทึกข้อมูลต่างๆ ไว้ใน Locker ก่อน และต้องผ่านการตรวจจับโลหะ เพื่อให้มั่นใจว่าพนักงานไม่มีการนำอุปกรณ์ดังกล่าวเข้าไป

ชั้นที่ 2 – พนักงานต้องแสดงบัตรของตนเอง และทำการแตะบัตรเพื่อทำการเปิดประตูเข้าด้วยตนเอง เพื่อเข้าไปยังพื้นที่หน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า พนักงานที่ไม่มีสิทธิ์เข้าพื้นที่หน่วยวิเคราะห์ข้อมูลจะไม่สามารถใช้บัตรเปิดประตูได้

ชั้นที่ 3 – นอกจากนี้ในขณะปฏิบัติงาน ก็มีมาตรการป้องกันไม่ให้พนักงานสามารถนำข้อมูลของลูกค้าออกไปได้ ดังนี้
- พนักงานทุกคนไม่สามารถเชื่อมต่อ Internet ได้
- พนักงานทุกคนไม่สามารถทำสำเนาข้อมูลออกมาจากเครื่องคอมพิวเตอร์ผ่านทางช่องเสียบต่างๆ ส่วนการส่งอีเมล์ผ่านทางระบบ Intranet ภายในองค์กร จะมีระบบ Copy Double Mail อัตโนมัติ โดยอีเมล์ทุกฉบับที่ส่งออก ทั้งหัวข้อ เนื้อความและเอกสารแนบ จะถูกสำเนาส่งไปที่หัวหน้างานโดยอัตโนมัติ
- หัวหน้างานจะตรวจสอบการทำงานของพนักงานย้อนหลังทุกสัปดาห์ ด้วยระบบ CAS (Centralized Access System) ที่จัดเก็บหน้าจอการทำงานของพนักงานทุกคน
- ดำเนินการจัดหาระบบการตรวจสอบ Log และ CAS อย่างอัตโนมัติด้วยเทคโนโลยี Rule Based เพื่อให้การตรวจสอบ Log เป็นไปอย่างมีประสิทธิภาพ รวดเร็ว พบสิ่งที่ต้องสงสัยได้อย่างรวดเร็วทันการณ์
- มีกล้องตรวจจับทั่วบริเวณ

ชั้นที่ 4 – ห้องทำงานพิเศษ (Control Room) มีพนักงานเพียง 4 คน ที่มีหน้าที่วิเคราะห์ข้อมูลเชิงลึกของลูกค้า มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าภายในห้องนี้ได้ และบริษัทได้นำระบบ Double Password มาใช้ โดยพนักงานจะใส่ Password ใน Token ซึ่งจะเปลี่ยนทุกๆ นาที และหัวหน้างานจะใส่ Password ซึ่งจะเปลี่ยนทุกๆ เดือน นอกจากนั้นยังมอบหมายให้หัวหน้างานตรวจสอบ Log การเข้าถึงและการใช้ข้อมูลทุกวัน

นอกจากนี้ กสทช.ยังได้ตรวจสอบด้านการดักฟังข้อมูลเสียง ซึ่งเอไอเอสยืนยันว่าไม่สามารถทำได้ ไม่ว่าจะเป็นเรื่องของการดักฟังข้อมูลเสียงหรือข้อความ เนื่องจากบริษัทมีนโยบายในเรื่องมาตรการระบบรักษาความปลอดภัยข้อมูลของลูกค้า ที่เอไอเอสให้ความสำคัญอย่างสูงสุดมาโดยตลอด และด้วยเทคโนโลยีปัจจุบันที่เป็นระบบดิจิทัล ซึ่งเป็นมาตรฐานโลก มีการเข้ารหัสข้อมูลหลายชั้น ตั้งแต่ต้นทางจนถึงปลายทาง จึงทำให้ไม่สามารถดักฟังได้ รวมทั้งระบบวิเคราะห์ข้อมูล และเครื่องมือทุกชนิดที่บริษัทใช้อยู่ ไม่มีระบบหรือเครื่องมือใดสามารถที่จะนำข้อมูลเสียงออกมาได้ ไม่ว่าจะกระทำด้วยวิธีการใดๆ การกระทำดังกล่าวเป็นการกระทำความผิดทางอาญาขั้นร้ายแรง ซึ่งทางบริษัทได้ตระหนักในเรื่องนี้เป็นอย่างยิ่ง และเรื่องดังกล่าวไม่อาจกระทำได้

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Polwath Tue, 27/09/2016 - 17:07

จะตรวจสอบทั้งที ทำไมต้องมีการถ่ายภาพ, แต่งตัวทำนองนั้นที่ดูแล้วไม่เหมาะกับการทำงานแนวตรวจสอบ และการพบปะแนวประชาสัมพันธ์ขณะทำงานแบบนี้ด้วย ผมว่ามันควรที่จะซีเรียสมากและทำตรวจแบบไม่เป็นทางการมากกว่า ไม่ต้องมีการถ่ายภาพหรือออกข่าวระหว่างการทำงาน (ทำได้หากเกี่ยวข้องในกระบวนการตรวจสอบ) แค่บอกผลการตรวจสอบตอนหลังทางสื่อก็พอ เพราะพอผมดูภาพที่ออกมา ดูแล้วเหมือนกับงานผักชีโรยหน้ายังไงอย่างนั้นเลย

สรุปสั้นๆ เข้าตรวจแบบไม่เป็นทางการโดยใช้หมายศาลหรือเอกสารบังคับก็ว่าไป ไม่ต้องถ่ายออกมาประชาสัมพันธ์ และออกผลการตรวจสอบจากทาง กสทช. ไปเลย

lew Tue, 27/09/2016 - 18:42

ผมเห็นคุนแสดงความเห็นแรงๆ หลายครั้ง โดยไม่สนข้อเท็จจริงโดยรอบนัก คงต้องขอให้เบาๆ ลงนะครับ อย่าไปกล่าวหาเขาแบบนี้

อย่างเรื่องหมายศาลที่คุณว่า การตรวจสอบกระบวนการไม่มีที่ไหนเขาทำกันแบบนั้นครับ ไม่รู้ก็ถามกันได้ แถวนี้มีคนทำระบบโดนตรวจสอบกันเยอะพอสมควร

witoong623 Tue, 27/09/2016 - 19:54

ถ้าถ่ายรูปมาลงเรียกว่าผักชีโรยหน้า แล้วถ้าบอกว่าตรวจแล้วอย่างเดียวไม่มีภาพอะไรเลย อย่างงี้คือดีที่สุดแล้วใช่ไหม?

Holy Wed, 28/09/2016 - 09:57

ขอตอบในฐานะคนที่ทำงานในหน่วยงานของรัฐ และมีหน้าที่เข้าไปตรวจสอบเอกชนนะครับ

ถ้าเป็นหน่วยงานของรัฐที่มีอำนาจในการเข้าตรวจสอบอยู่แล้ว (ผมไม่แน่ใจว่า กสทช. มีอำนาจแค่ไหน) จะไปขอหมายศาลเพิ่มอีกคงเป็นเรื่องตลกมากครับ ขอไปศาลคงตอบกลับมาว่า มาขอชั้นทำไม คุณก็เข้าไปตรวจได้อยู่แล้วนี่

การเข้าตรวจก็มีหลายแบบ ตรวจประจำปี (Annual Examination) อันนี้ต้องแจ้งก่อนเพื่อให้เตรียมข้อมูล ตรวจเฉพาะกิจ (Target Examination) ก็มีทั้งแจ้งล่วงหน้า (เพื่อให้เตรียมข้อมูลมานำเสนอ) กับไม่แจ้งล่วงหน้า (ไป Surprise Check ดูหน้างานโดยตรง) และสุดท้ายก็ตรวจเป็นการลับ (Mystery Shopping ปลอมเป็นลูกค้าไป) ซึ่งอันนี้ก็ดูเหมือนเป็นตรวจเฉพาะกิจ ไม่ได้ระบุเลยว่าแจ้งก่อนหรือไม่แจ้ง ข่าวประชาสัมพันธ์ก็มาจากฝั่ง AIS ไม่ใช่ กสทช. คุณรู้ได้อย่างไรครับว่าเขาตรวจไม่ซีเรียส

ส่วนเรื่องเครื่องแบบ ใส่เครื่องแบบของหน่วยงานไปตรวจนี่แหละครับดีที่สุดแล้ว ถ้าผมบอกว่าตัวเองมาจากกสทช. แต่ใส่เสื้อเชิ้ตกางเกงสแลคธรรมดา เขาจะให้เข้าไปดูห้อง Control Room เหรอครับ เกิดใครปลอมบัตรมาก็ซวยเลย

carrot Tue, 27/09/2016 - 18:55

เขาบอกว่ามีระบบ แต่ทำตามระบบหรือเปล่าไม่ได้บอก

เพราะถ้าทำตาม procedure จริง พนักงานเล็กๆจะทำเองยังไง ไม่ก็หัวหน้านั่นล่ะ แต่เขาไล่ลูกน้องออกแล้วนะ จะเอาอะไรกันนักหนา ปุ้ดโธ่

เหมือนไปเรียกฝรั่งมาดูเมืองไทย แล้วบอกว่า อ้า ประเทศไอมีกฎหมายเข้มมากนะ ฆ่าคนนี่ติดคุกเลย

แต่ในทางปฎิบัติ เป็นยังไงก็รู้ๆกันอยู่

PandaBaka Tue, 27/09/2016 - 18:58

สั้นๆ ง่ายๆ ระบบแบบไทยๆ
ระบบน่ะดี แต่ไม่จริงจัง เวลาทำจริงกลายเป็นอีกเรื่อง หลายครั้งหลายคราวพังเพราะเจอพวกลักไก่นี่ล่ะ

winit_a Tue, 27/09/2016 - 19:13

อาจจะคิดด้านลบ ไปหน่อย แต่ผมคิดไปเอง ว่า AIS ต้องการเรียกความเชื่อมั่นจากลูกค้า
โดยให้ กสทช มาตรวจสอบเพื่อให้ AIS ปรีเซ้นระบบที่มี(ปัญหา) ว่ามันปลอดภัย

ผมมองว่าถ้าเค้าทำงานกันจริงๆ(น่ะ) ควรมาตรวจสอบตั้งแต่เป็นกระทู้แนะนำในพันทิพแล้ว ว่าพบความบกพร้อง
ไม่ใช่รอเวลาขนาดนี้

ประมาณว่า AIS เซ็ทฉากเสร็จเมื่อไหร่มาสะกิดด้วย เดี๊ยวเอานักข่าวไปทำข่าวกันได้ผลงานกันทั้งคู่
ได้ออกข่าวบ้างไรบ้าง

เอ๋ สงสัยเราจะคิดเยอะไปเนอะ

nrml Tue, 27/09/2016 - 19:27

ผมว่าตัวระบบก่อนหน้านี้มันก็คงไม่ได้มีปัญหาอย่างที่บนๆ เค้าคุยกัน ถึงแม้จะเข้าไปตรวจสอบก่อนหน้านี้ก็ไม่น่าจะเจออะไรที่ผิดปกติ แต่ที่รั่วมันรั่วจากคนมากกว่า

lew Wed, 28/09/2016 - 00:22

ถ้าระบบจะมีการตรวจแบบไม่บอกล่วงหน้า ก็ต้องมีกระบวนการชัดเจน (ไม่งั้นมีคนมั่วนิ่มว่าเป็นคนตรวจจะยิ่งมั่ว) เรื่องพวกนี้คงอีกไกลครับ ปกติไม่ค่อยให้ทำแบบนี้กันนัมักจะให้บริษัทตรวจสอบเข้าไปตรวจ แล่วส่งรายงานไป

yamaha111 Tue, 27/09/2016 - 22:24

อันที่จริงหลายโรงงานก็ทำประมาณนี้มา 20 ปีแล้ว แต่คนมันจะขโมยย่อมหาช่องโหว่ได้อยู่แล้ว ส่วนระบบ CAS ใช้ในการระวังป้องกันและสุ่มตรวจสอบ ก็ไม่ได้ดูทุกอย่างที่พนักงานทำในแต่ละวัน

ถามผมว่าเอาออกมาได้อย่างไร ตอบตรงนี้เลยว่าไม่รู้แฮะ 555 (แล้วจะโม้ไปเพื่อ ???)