กสทช. เข้าตรวจระบบรักษาความปลอดภัยข้อมูลลูกค้า ที่สำนักงาน AIS

จากกรณี พนักงาน AIS แอบนำบันทึกการโทรและพิกัดลูกค้าไปให้บุคคลภายนอก เมื่อวานนี้ (26 ก.ย.) เจ้าหน้าที่ของ กสทช. เข้าไปตรวจสอบระบบรักษาความปลอดภัยของลูกค้าที่สำนักงาน AIS มีรายละเอียดดังนี้

• AIS Shop จะแนะนำให้ลูกค้าเข้าไปดูข้อมูลย้อนหลังผ่านเว็บ E-Service ด้วยตัวเอง เพื่อรักษาความเป็นส่วนตัวของลูกค้า
• หน่วยวิเคราะห์ข้อมูลของ AIS เป็นห้องแยกเฉพาะ ห้ามนำมือถือ/แฟลชไดรฟ์เข้า, มีเครื่องสแกนโลหะ, ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้, มีระบบสำเนาอีเมลทุกฉบับถึงหัวหน้างาน, มีระบบตรวจสอบ log ย้อนหลัง
• ห้องทำงานพิเศษหรือ Control Room มีพนักงานเพียง 4 คนที่เข้าถึงข้อมูลส่วนบุคคลของลูกค้าได้ และมีระบบ Double Password ของพนักงานตาม token และหัวหน้างานที่เปลี่ยนรหัสผ่านทุกเดือน

ที่มา - อีเมลประชาสัมพันธ์ AIS

นางวิไล เคียงประดู่ ผู้ช่วยกรรมการผู้อำนวยการอาวุโส ส่วนงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส กล่าวว่า “ช่วงบ่ายของวันจันทร์ที่ 26 ก.ย. ที่ผ่านมา กสทช. ได้นำทีมคณะกรรมการสอบสวนข้อเท็จจริง เข้าไปตรวจสอบระบบรักษาความปลอดภัยข้อมูลของลูกค้า โดยมีรายละเอียดดังนี้

ตรวจสอบขั้นตอนการรับเรื่องการขอข้อมูลรายละเอียดการโทรย้อนหลัง ที่เอไอเอส ช็อป

พนักงานจะแนะนำให้ลูกค้าเข้าไปดูข้อมูลรายละเอียดการโทรย้อนหลัง ทั้งเบอร์ปลายทาง, เวลาและระยะเวลาที่โทรได้ด้วยตนเองผ่านเว็บ E-Service (www.ais.co.th/eservice) ทั้งนี้เพื่อความปลอดภัยของข้อมูลลูกค้า

ตรวจสอบกระบวนการทำงานของหน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า

AIS มีระบบรักษาความปลอดภัย 4 ชั้น เพื่อเข้าไปในบริเวณสถานที่ปฏิบัติงาน เริ่มตั้งแต่

ชั้นที่ 1 – พนักงานทุกคนจะต้องเก็บอุปกรณ์มือถือ, Flashdrive, กล้องถ่ายรูป และ อุปกรณ์บันทึกข้อมูลต่างๆ ไว้ใน Locker ก่อน และต้องผ่านการตรวจจับโลหะ เพื่อให้มั่นใจว่าพนักงานไม่มีการนำอุปกรณ์ดังกล่าวเข้าไป

ชั้นที่ 2 – พนักงานต้องแสดงบัตรของตนเอง และทำการแตะบัตรเพื่อทำการเปิดประตูเข้าด้วยตนเอง เพื่อเข้าไปยังพื้นที่หน่วยงานวิเคราะห์ข้อมูลการใช้งานลูกค้า พนักงานที่ไม่มีสิทธิ์เข้าพื้นที่หน่วยวิเคราะห์ข้อมูลจะไม่สามารถใช้บัตรเปิดประตูได้

ชั้นที่ 3 – นอกจากนี้ในขณะปฏิบัติงาน ก็มีมาตรการป้องกันไม่ให้พนักงานสามารถนำข้อมูลของลูกค้าออกไปได้ ดังนี้
- พนักงานทุกคนไม่สามารถเชื่อมต่อ Internet ได้
- พนักงานทุกคนไม่สามารถทำสำเนาข้อมูลออกมาจากเครื่องคอมพิวเตอร์ผ่านทางช่องเสียบต่างๆ ส่วนการส่งอีเมล์ผ่านทางระบบ Intranet ภายในองค์กร จะมีระบบ Copy Double Mail อัตโนมัติ โดยอีเมล์ทุกฉบับที่ส่งออก ทั้งหัวข้อ เนื้อความและเอกสารแนบ จะถูกสำเนาส่งไปที่หัวหน้างานโดยอัตโนมัติ
- หัวหน้างานจะตรวจสอบการทำงานของพนักงานย้อนหลังทุกสัปดาห์ ด้วยระบบ CAS (Centralized Access System) ที่จัดเก็บหน้าจอการทำงานของพนักงานทุกคน
- ดำเนินการจัดหาระบบการตรวจสอบ Log และ CAS อย่างอัตโนมัติด้วยเทคโนโลยี Rule Based เพื่อให้การตรวจสอบ Log เป็นไปอย่างมีประสิทธิภาพ รวดเร็ว พบสิ่งที่ต้องสงสัยได้อย่างรวดเร็วทันการณ์
- มีกล้องตรวจจับทั่วบริเวณ

ชั้นที่ 4 – ห้องทำงานพิเศษ (Control Room) มีพนักงานเพียง 4 คน ที่มีหน้าที่วิเคราะห์ข้อมูลเชิงลึกของลูกค้า มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าภายในห้องนี้ได้ และบริษัทได้นำระบบ Double Password มาใช้ โดยพนักงานจะใส่ Password ใน Token ซึ่งจะเปลี่ยนทุกๆ นาที และหัวหน้างานจะใส่ Password ซึ่งจะเปลี่ยนทุกๆ เดือน นอกจากนั้นยังมอบหมายให้หัวหน้างานตรวจสอบ Log การเข้าถึงและการใช้ข้อมูลทุกวัน

นอกจากนี้ กสทช.ยังได้ตรวจสอบด้านการดักฟังข้อมูลเสียง ซึ่งเอไอเอสยืนยันว่าไม่สามารถทำได้ ไม่ว่าจะเป็นเรื่องของการดักฟังข้อมูลเสียงหรือข้อความ เนื่องจากบริษัทมีนโยบายในเรื่องมาตรการระบบรักษาความปลอดภัยข้อมูลของลูกค้า ที่เอไอเอสให้ความสำคัญอย่างสูงสุดมาโดยตลอด และด้วยเทคโนโลยีปัจจุบันที่เป็นระบบดิจิทัล ซึ่งเป็นมาตรฐานโลก มีการเข้ารหัสข้อมูลหลายชั้น ตั้งแต่ต้นทางจนถึงปลายทาง จึงทำให้ไม่สามารถดักฟังได้ รวมทั้งระบบวิเคราะห์ข้อมูล และเครื่องมือทุกชนิดที่บริษัทใช้อยู่ ไม่มีระบบหรือเครื่องมือใดสามารถที่จะนำข้อมูลเสียงออกมาได้ ไม่ว่าจะกระทำด้วยวิธีการใดๆ การกระทำดังกล่าวเป็นการกระทำความผิดทางอาญาขั้นร้ายแรง ซึ่งทางบริษัทได้ตระหนักในเรื่องนี้เป็นอย่างยิ่ง และเรื่องดังกล่าวไม่อาจกระทำได้