ဘဏ္လံုျခံဳေရးအေျကာင္း တေစ့တေစာင္း

ဘဏ္လံုျခံဳေရးအေျကာင္း တေစ့တေစာင္း
------------------------------------------------
အခုုတေလာ ျပည္တြင္းက ဘဏ္တခ်ိဳ႕မွာ Internet Banking စနစ္ကိုု Hijack လုုပ္ျပီး ေငြအေျမာက္အမ်ား ထုုတ္ယူသြားတဲ႔ ျဖစ္စဥ္ေတြနဲ႔ Cheque စနစ္ကိုု အတုုလုုပ္ျပီး ေငြသိန္းေပါင္းမ်ားစြာ ထုုတ္ယူသြားခဲ႔တဲ႔ ျဖစ္စဥ္ေတြကိုု သတင္းေတြမွာ ဖတ္ျပီးၾကျပီး ျဖစ္မွာပါ…။

ဒီလိုု Internet Banking စနစ္ကိုု Hijack လုုပ္ျပီး ATM စနစ္ကေန ေငြခိုုးထုုတ္တဲ႔ ျဖစ္စဥ္ေတြက အခုုမွ မဟုုတ္ပါဘူး..။ ဟိုုအရင္ေတြကလည္း ဒီလိုု ျဖစ္စဥ္ေတြ အၾကိမ္ၾကိမ္ျဖစ္ဖူးပါတယ္။ဒါေၾကာင္႔လဲ ျပည္တြင္း ဘဏ္စနစ္ေတြမွာ ႏိုုင္ငံရပ္ျခားက လုုံျခဳံေရးပညာရွင္ေတြကိုုယ္တိုုင္ သူတိုု႔ရဲ႕ ေဒၚလာသန္းေပါင္းမ်ားစြာ တန္ေၾကးရွိတဲ႔ အဆင္႔ျမင္႔လုုံျခဳံေရးစနစ္ေတြကိုု လာေရာက္တပ္ဆင္ေပးခဲ႔တာ ျမင္သိၾကားသိထားပါတယ္…။ ဒါေပမယ္႔ အမွန္တကယ္ Core Banking ၾကီးတခုုလုုံးကိုု ကာကြယ္ႏုုိင္ရဲ႕လားဆိုုတာက ေမးခြန္းထုုတ္စရာျဖစ္ေနပါတယ္..။

စစ္တပ္ေတြမွာ ခံစစ္သီအိုုရီတခုု ရွိပါတယ္..။အဲဒါက” ျပီးျပည္႔စုုံေသာ ခံစစ္စခန္းဆိုုတာ မရွိ” ပါဘူးတဲ႔ ဆိုုလိုုတာက ခံစစ္စခန္းတခုုဟာ အျမဲတမ္း ျပင္ဆင္ေနရပါတယ္… ရန္သူလာႏိုုင္တဲ႔ လမ္းေၾကာင္းေတြ၊ ရန္သူတိုုက္ႏိုုင္တဲ႔ နည္းဗ်ဴဟာေတြ.. ေနာက္ျပီး ရန္သူ ဘာလက္နက္သုုံးျပီး ဘယ္အခ်ိန္မွာ တိုုက္လာႏိုုင္လဲဆိုုတဲ႔ဟာေတြကိုု ဘက္ေပါင္းစုုံက စဥ္းစားျပီး ကိုုယ္ရဲ႕ ခံစစ္စခန္းကိုု ျပင္ဆင္ေနၾကရပါတယ္…။ ရန္သူလာေရာက္တိုုက္ခိုုက္ခ်ိန္ဟာ ခံစစ္ျပင္ဆင္မႈလုုပ္ငန္း ျပီးဆုုံးပါတယ္..။ ကိုုယ္႔ရဲ႕ စခန္းမက်ဆုုံးခဲ႔ဘူးဆိုုရင္ ခံစစ္ျပင္ဆင္မႈ ေအာင္ျမင္ပါတယ္…။

ဒီလိုုပါပဲ Cyber Security လုုပ္ငန္းေတြ ေဆာင္ရြက္တဲ႔ အခါမွာ ဘယ္ေလာက္ပဲ တန္ဖိုုးၾကီးတဲ႔ Software System ေတြ၊ ပညာရွင္ေတြ ရွိေနပါေစ… Hijack လုုပ္ခံရတာ…၊ DDoS နဲ႔ တိုုက္ခုုိက္ခံရတာ၊ Sniffing လုုပ္ခံရတာ၊ ေနာက္ဆုုံး Server ၾကီးကိုု Hack လုုပ္ခံလုုိက္ရတာဟာ အဲဒီအဖြဲ႔အစည္းရဲ႕ Security လုုပ္ငန္းစဥ္ၾကီး က်ရႈံးတာပါပဲ…။

iBanking စနစ္ကိုုပဲ ရည္ရြယ္ျပီး ေရးပါဦးမယ္..။ ျပည္တြင္းဘဏ္ၾကီးတခ်ိဳ႕မွာ အေမရိကန္ႏုုိင္ငံထုုတ္ကုုန္ Software ေတြသုုံးျပီး ႏိုုင္ငံျခားက Cyber လုုံျခဳံေရးပညာရွင္ေတြကိုု လစာေၾကးၾကီးၾကီး ေပးထားျပီး ခန္႔ထားတာ ရွိပါတယ္…။ Cyber Security လုုပ္ငန္းေတြကိုု လုုပ္ေဆာင္တဲ႔အခါမွာ Security Rules ေတြကိုု အေျခခံျပီး လုုပ္ေဆာင္ရတာမွန္ေပမယ္႔ ဒီအခ်က္ေတြကေန ေဖာက္ထြက္ျပီး Penetration Testing လုုပ္ေဆာင္ရတာေတြလည္း ရွိပါတယ္… ။

Pentest လုုပ္ေဆာင္ခ်က္ေတြရဲ႕ နည္းလမ္းဟာ အကန္႔အသတ္မဲ႔တာေၾကာင္႔ ဘယ္ေလာက္ပဲ လုုံျခဳံေကာင္းမြန္တဲ႔ စနစ္ျဖစ္ပါေစ တခ်ိန္ခ်ိန္မွာ က်ိဳးေပါက္သြားရတာခ်ည္းပါပဲ…။ Pentester ေတြဟာ ပညာအရည္အခ်င္း၊ အသက္အရြယ္၊ ဘြဲ႔ ဒီဂရီသတ္မွတ္ခ်က္ေတြနဲ႔ ညီခ်င္မွ ညီပါမယ္… သူတိုု႔ရဲ႕ ၾကိဳးစားအားထုုတ္မႈေပၚမူတည္ျပီး Rules ေတြကိုု ေက်ာ္ျဖတ္ႏုိင္စြမ္းရွိပါတယ္…။ ျမန္မာႏိုုင္ငံမွာလည္းပဲ ဒီလိုု ပညာရွင္ေတြအမ်ားၾကီးရွိတာေၾကာင္႔ Bank ေတြအေနနဲ႔ သူတိုု႔ကိုု လစာနဲ႔ အခြင္႔အေရးေကာင္းေတြေပးအပ္ျပီး ေန႔စဥ္ Pentest လုုပ္ေဆာင္ေနသင္႔ပါတယ္..။ Pentester ေတြရဲ႕ေတြ႔ရွိခ်က္အလိုုက္ ေန႔စဥ္၊ အပတ္စဥ္၊ လစဥ္ စသျဖင္႔ Banking System ေတြကို ပိုုမိုုေကာင္းမြန္ေအာင္ ျပင္ဆင္ၾကရပါမယ္…။ စက္ေတြမွာ Software ေတြ run ထားရုုံနဲ႔ Banking System ၾကီးကိုု လုုံျခဳံေအာင္ မလုုပ္ထားႏုုိင္ပါဘူး..။

ေနာက္တခါ Bank ေတြအေနနဲ႔ ႏိုုင္ငံတကာက Bank ေတြလိုု ျပင္ပပညာရွင္ေတြနဲ႔ Third party အဖြဲ႔အစည္းေတြကိုု ဖိတ္ေခၚျပီး Pentest လုုပ္ခိုုင္းတာ၊ ေတြ႔ရွိတဲ႔ Exploit ေတြ၊ Bug ေတြရဲ႕ value အလိုုက္ ဆုုေၾကးေငြေတြ ခ်ီးျမွင္႔တာေတြ လုုပ္ေဆာင္သင္႔ပါတယ္..။ အရင္က ဒီလိုု Pentest လုုပ္ခဲ႔ၾကေသာ္ျငားလည္း Ethic မရွိတဲ႔ ဘဏ္တခ်ိဳ႕ေၾကာင္႔ ျပည္တြင္းက ပညာရွင္ေတြဟာ ခ်ီးေျမွာက္ခံရဖိုု႔ေနေနသာ အသိအမွတ္ေတာင္ အျပဳမခံရပါဘူး။ ျပည္တြင္းက Bank တခုုဆိုုရင္ သူတိုု႔ရဲ႕ Admin Panel ထဲကိုု အလြယ္တကူ၀င္ေရာက္ႏိုုင္တာကိုု သြားျပတာေတာင္မွ အေရးမၾကီးပါဘူးဆိုုတဲ႔ တုုန္႔ျပန္ခ်က္ကိုု ေပးလိုုက္ပါတယ္…။ ဘဏ္တခုုေအာင္ျမင္တယ္ဆိုုတာ ျပည္သူလူထုုရဲ႕ယုုံၾကည္မႈက အဓိကက်ပါတယ္…။ အဲဒီဘဏ္ဟာ အေပၚမွာ ေရးသားခဲ႔သလိုု လုုံျခဳံေကာင္းမြန္မႈ မရွိရင္ ဘယ္သူမွ ယုုံၾကည္ျပီး ကိုုယ္ရဲ႕ေငြေတြလာအပ္မွာမဟုုတ္ပါဘူး….။

ဒါေၾကာင္႔ တိုုင္းျပည္ရဲ႕ ဂုုဏ္ကိုုေဆာင္မယ္႔ ဘဏ္ေတြရဲ႕ Banking စနစ္ေတြ လုုံျခဳံေကာင္းမြန္ဖိုု႔က Software ေတြ၊ Bank IT Department ေတြနဲ႔တင္ မလုုံေလာက္ဘဲ Third Party အဖြဲ႔အစည္းေတြနဲ႔ ၀ိုုင္း၀န္းပူးေပါင္းေဆာင္ရြက္မွသာ ေအာင္ျမင္တဲ႔ Security System ၾကီးတခုုကိုု တည္ေဆာက္ႏုုိင္မွာ ျဖစ္ေၾကာင္း ေရးသားလိုုက္ရပါတယ္….
crd..