กรุงเทพฯ--22 ม.ค.--ข้อมูลเครดิตแห่งชาติ
นายสุรพล โอภาสเสถียร ผู้จัดการใหญ่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด (เครดิตบูโร) เปิดเผยว่าตามที่ได้ปรากฏข่าวสารเผยแพร่ออกไปในวงกว้างว่า ที่ประเทศเกาหลีใต้ พนักงานของ Korea Credit Bureau ได้ขโมยข้อมูลลูกค้าของบริษัทบัตรเครดิตที่ตนได้เข้าไปทำงานในฐานะ Temporary Consultant จนทำให้ผู้บริหารระดับสูงและ CEO ของบริษัทบัตรเครดิตทั้ง 3 แห่ง ที่ถูกขโมยข้อมูลนั้นต้องออกมาขอโทษอย่างเป็นทางการต่อประชาชนเจ้าของบัตรเครดิต พร้อมกับการลาออกไปนั้น ขณะที่ทางการเกาหลีใต้ได้เข้าไปตรวจสอบและอยู่ระหว่างกำหนดเกณฑ์และระเบียบเพื่อการยกระดับการรักษาความมั่นคงปลอดภัยในข้อมูลที่อยู่กับบริษัทบัตรเครดิตให้มากยิ่งขึ้น
เครดิตบูโรจึงขอนำเสนอข้อมูลที่ได้มีการรวบรวมตลอดจนได้รับจากการประสานงานต่างประเทศโดยมีรายละเอียดดังนี้
1. ผู้กระทำความผิดเป็นเจ้าหน้าที่ของ Korea Credit Bureau หรือ KCB จริงและทำงานในหน้าที่ Anti Fraud Operation ได้รับการมอบหมายให้เข้าไปทำงานในฐานะ Temporary Consultant เพื่อการติดตั้ง Fraud Detection System ให้บริษัทบัตรเครดิตตามที่ปรากฏในข่าวอย่างน้อย 3 แห่ง คือ KB Kookmin Bank, Lotte Card, Nonghyup Bank
2. ผู้กระทำความผิดมีหน้าที่ติดต่อประสานงานกับบริษัทบัตรเครดิต โดยทำหน้าที่เป็น Temporary Consultant ซึ่งจะได้รับสิทธิจากบริษัทบัตรเครดิตเหล่านั้นให้เข้าถึง รับรู้รับทราบ และได้รับอนุญาตให้ดาวน์โหลดข้อมูลจากฐานข้อมูลบริษัทบัตรเครดิตที่มีอยู่
3. โดยหลักการแล้วงานทางด้านการป้องกันการทุจริตจากการใช้บัตรเครดิตจะต้องมีการนำเอาข้อมูลกรณีต่างๆ ที่เป็นความเสี่ยงจากการทุจริตที่เกิดจากการแจ้งของผู้ถือบัตร หรือกรณีที่เกิดขึ้นจริงมาประมวลเพื่อกำหนดเป็น ปัจจัยเชิงพฤติกรรมว่ามีกรณีใดบ้างที่อาจเข้าข่ายการกระทำทุจริต เมื่อมีการใช้บัตรจริงและเข้าข่ายปัจจัยดังกล่าวจะได้มีการจัดทำเป็นระบบแจ้งเตือนเจ้าของบัตร หรือระงับการอนุมัติรายการใช้จ่ายในรายการนั้นๆ ได้ทันท่วงที ที่เรียกว่า Fraud Detection System อันจะนำมาซึ่งการป้องกันการเกิดความเสียหายทั้งผู้ถือบัตรและบริษัทที่ออกบัตร เช่น มีการใช้บัตรซื้อทอง สิ่งของมีค่าในจำนวนเกิน 10,000-30,000 บาท ในเวลาและสถานที่ใกล้เคียงกันหลายครั้ง ขณะที่ติดต่อผู้ถือบัตรทางโทรศัพท์ไม่ได้ เป็นต้น
4. ผู้กระทำความผิดเมื่อได้รับสิทธิพิเศษมากกว่าปกติอันเนื่องจากหน้าที่. จึงดาวน์โหลดข้อมูลตามข่าวที่ปรากฏอันประกอบด้วย ชื่อ เลขบัตรประชาชน เลขที่บัตรประกันสังคม ที่อยู่ เบอร์โทรศัพท์ เลขบัตรเครดิต วันหมดอายุของบัตร จากบริษัทบัตรเครดิต เป็นต้น เพราะมองเห็นโอกาสจากช่องโหว่นี้
5. ข้อมูลที่ถูกลักลอบคัดลอกออกไปจากบริษัทบัตรเครดิตนั้น จากรายงานข่าวพบว่ามีมาตรฐานการป้องกันต่ำมากคือ ไม่มีการเข้ารหัสหรือ encrypt ข้อมูล ทำให้ขโมยและนำมาแปลเพื่อใช้งานได้ง่าย และข้อมูลได้มีการขโมยมาตั้งแต่ กุมภาพันธ์ มิถุนายน ธันวาคม 2556 แต่เพิ่งมีการตรวจพบและรายงานข่าวออกมา
6. ข้อมูลที่ถูกขโมยคัดลอกไปนี้ได้นำไปขายต่อกับบริษัทการตลาดที่ต้องอาศัยข้อมูลเพื่อการขายสินค้า โดยเฉพาะเมื่อทราบว่าลูกค้ารายนี้คือใคร ลูกค้ารายนี้มีเบอร์โทรติดต่อได้ง่ายเบอร์อะไร มีวงเงินเท่าใด เป็นต้น
7. ผลกระทบต่อเจ้าของบัญชีบัตรเครดิตประมาณ 20 ล้านคน และปัจจุบันจากรายงานข่าวมีลูกค้าประมาณ 1.15 ล้านรายได้โทรศัพท์เข้าคอลเซ็นเตอร์ และไปยังสาขาของธนาคารผู้ออกบัตรเครดิต เพื่อยกเลิกบัตรเครดิตหรือยกเลิกการสมัครบัตรเครดิตใบใหม่
8. ผู้ที่ต้องรับผิดชอบในความเสียหายของผู้ถือบัตรคือ บริษัทบัตรเครดิต เพราะเหตุว่ามีระบบการรักษาความลับความปลอดภัยในฐานข้อมูลของตนเองต่ำกว่าที่ควรจะเป็น ซึ่งทางการก็จะได้ดำเนินการลงโทษต่อไป และผู้บริหารได้ลาออกไปแล้ว สำหรับผู้กระทำความผิดที่เป็นเจ้าหน้าที่ของ KCB นั้นก็จะได้ถูกทางการดำเนินคดีตามความผิดที่ได้กระทำต่อไป
เครดิตบูโรขอเรียนว่า จากข้อมูลข่าวที่ปรากฏและการประสานงานกับต่างประเทศแล้วสรุปได้ว่า การทุจริตดังกล่าวเป็นการกระทำของพนักงานของ KCB ที่ไปดำเนินการลักลอบคัดลอกข้อมูลลูกค้าผู้ถือบัตรของบริษัทบัตรเครดิตตามโครงการติดตั้ง Fraud Detection System ในฐานะที่ตนเองเป็น Temporary Consultant ไม่ใช่เป็นเรื่องการลักลอบคัดลอกข้อมูลจากฐานข้อมูลของตัว KCB เองที่เป็นเครดิตบูโรในเกาหลีใต้ เพราะตัวของ KCB นั้น จากข้อมูลที่ปรากฏพบว่ามีมาตรฐาน ISO 27001 Information Security Management Standard : ISMS และก็มีมาตรฐานการดูแลฐานข้อมูลของตนในระดับสากลและไม่ปรากฏว่ามีการลงโทษหรือกล่าวโทษตัวองค์กรเครดิตบูโรหรือตัวของ KCB แต่อย่างใด
สำหรับการทำงานของเครดิตบูโรในประเทศไทย ถือเอาเรื่องมาตรฐานความมั่นคงปลอดภัยในระบบสารสนเทศเป็นเรื่องที่สำคัญสูงสุดขององค์กร ปัจจุบันเครดิตบูโรได้รับมาตรฐาน ISO 27001 Information Security Management Standard : ISMS และทำงานอยู่ภายใต้การกำกับของคณะกรรมการคุ้มครองข้อมูลเครดิตซึ่งมีท่านผู้ว่าการธนาคารแห่งประเทศไทย เป็นประธาน มีการตรวจสอบคำขอการเข้าถึงข้อมูล การเก็บข้อมูลหลักฐานการเข้าถึงข้อมูลหรือ Log Management System ตลอดเวลา ข้อมูลจะต้องมีการเข้ารหัสเพื่อการจัดเก็บ มีการกำหนด User และรหัสลับ ที่เข้มงวด เครดิตบูโรไม่อนุญาตให้พนักงานไม่ว่าระดับใดเข้าถึงฐานข้อมูลลูกค้าที่อยู่ในความดูแลของบริษัทบัตรเครดิตโดยเด็ดขาด นอกจากนี้บทลงโทษต่อผู้กระทำความผิดกฎหมายเครดิตบูโรในประเทศไทยนั้นรุนแรงมาก บางบทมาตรากำหนดโทษไว้สูงถึง 10 ปี โดยในส่วนของการเข้าถึงข้อมูลเครดิตบูโรนั้น เครดิตบูโรได้วางหลักเกณฑ์ไว้อย่างเคร่งครัด ดังนี้
1. เข้าถึงได้เฉพาะพนักงานผู้ที่มีหน้าที่เกี่ยวข้องเท่านั้น คณะกรรมการ ผู้จัดการใหญ่และผู้บริหารระดับสูงไม่สามารถเข้าถึงข้อมูลดังกล่าวได้
2. การเข้าถึงทุกครั้งต้องมีเหตุและการร้องขอ (Request) ที่ชัดเจนตามข้อกำหนดที่ได้ระบุไว้และไม่เป็นการฝ่าฝืนกฎหมาย
3. การเข้าถึงข้อมูล จะมีระบบป้องกันโดยกำหนด User / Password ให้ผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลเท่านั้น
4. การเข้าถึงข้อมูล จะถูกกำหนดไว้ว่า สามารถเข้าถึงได้ที่ช่องทางใดและการเข้ามานั้นมาจากช่องทางใด โดย User/Password ใดและด้วยเหตุผลอะไร อีกทั้งการเข้าถึงข้อมูลทุกครั้งจะถูกบันทึก ชื่อผู้เข้าใช้ วัน เวลาเป็นวินาทีที่เรียกว่า Log System
5. ในการเรียกดูข้อมูลและการเข้าถึงฐานข้อมูลโดยตรงจะต้องมีบันทึกขอเข้าใช้งานในระบบที่มีการอนุมัติเป็นขั้นตอนทุกครั้งมีการตรวจสอบการเข้าถึงข้อมูลโดยหัวหน้างาน
6. สำหรับข้อมูลที่สถาบันการเงินส่งมาให้กับเครดิตบูโรนั้น จะเป็นข้อมูลสินเชื่อลูกค้าของสถาบันการเงินนั้นๆ ที่ได้รับการเข้ารหัสข้อมูลขั้นสูง ข้อมูลเครดิตบูโรที่ถูกส่งมาก็จะถูกเก็บรักษาเป็นความลับไว้เป็นอย่างดี อนึ่ง เครดิตบูโรไม่มีการจัดเก็บข้อมูลเบอร์โทรศัพท์ของลูกค้าผู้เป็นเจ้าของข้อมูลไม่ว่าจะเป็นเบอร์โทรศัพท์บ้านหรือเบอร์โทรศัพท์เคลื่อนที่ (เบอร์มือถือ) ไว้ในฐานข้อมูลของเครดิตบูโรเลยแม้แต่รายการเดียว
7. เมื่อสถาบันการเงินจะขอเรียกดูข้อมูลเครดิตบูโรของคนที่ยื่นขอสินเชื่อรายใด จะต้องได้รับความยินยอมจากผู้ขอสินเชื่อรายนั้นก่อน เครดิตบูโรจึงจะเปิดเผยข้อมูลเครดิตบูโรของผู้ขอสินเชื่อได้ เพื่อให้สถาบันการเงินนำไปวิเคราะห์สินเชื่อและออกบัตรเครดิต จะเอาไปใช้ในเรื่องอื่นๆ ไม่ได้ หากฝ่าฝืนมีโทษทางอาญา อาจถึงขั้นติดคุก ไม่รวมถึงการที่จะถูกปรับเป็นเงินจำนวนมาก เป็นต้น
นายสุรพลกล่าวทิ้งท้ายว่า จากที่ได้กล่าวมาข้างต้นเครดิตบูโรยังคงยึดมั่นการดำเนินธุรกิจภายใต้ปรัชญาที่ต้องคุ้มครองสิทธิของเจ้าของข้อมูล ให้เป็นความลับและมีความปลอดภัยสูงสุด มีความรับผิดชอบต่อสังคม เศรษฐกิจ รวมถึงการดำเนินงานภายใต้ของเขตของ พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต อย่างเคร่งครัด
ข้อมูลสอบถามเพิ่มเติมได้ที่ Call Center 0-2643-1250 อีเมล consumer@ncb.co.th หรือเว็บไซต์เครดิตบูโร www.ncb.co.th