งานด้านความปลอดภัยที่มักจะถูกมองข้ามโดยลูกค้าและ agency

ก่อนอื่นต้องแยกนิดหนึ่งครับ จั่วหัวแบบนี้อาจจะมีดราม่าภายหลังได้ งานด้านความปลอดภัยหากเป็นในแวดวง IT/MIS จะถูกตั้งค่าไว้ระดับสูงอยู่แล้วและถูกตั้งความสำคัญเป็นระดับต้นๆ เช่นพวกงานระดับ ERP และ enterprise software อื่นๆ หรือเว็บไซด์การเงิน ธนาคาร และ web application ต่างๆ

ที่ผมจะเขียนผมหมายถึงในพวกงาน creative งาน campaign หรือแม้ corporate website มีหลายๆครั้งมากๆที่ลูกค้าและ agency มักจะตีค่างานส่วนนี้ต่ำมากจนถึงไม่เห็นความสำคัญเลย ยกตัวอย่างเคสต่อไปนี้ครับ

เคสแรก ของคนอื่นบังเอิญไปเห็นมา: brand สายการบิน brand หนึ่ง ออก campaign บน Facebook ให้ผู้ร่วมสนุกมาเล่นเกมส์ชิงตั๋วเครื่องบินไปกลับพร้อม pocket money สู่ประเทศที่คนไทยปรารถนามากประเทศหนึ่ง campaign นี้เล่นบน Facebook App เป็น mini game 3 เกมส์ กติกาคือคนที่ได้คะแนนสูงสุดจะเป็นผู้ชนะในแต่ละเดือนและเนื่องจากของรางวัลมันน่าสนใจคนจึงมาเล่นกันเยอะ มีหน้า scoreboard สรุปให้ดูว่าผู้เล่นคนไหนได้คะแนนสูงสุดบ้าง เล่นมาเกือบ 1 เดือน จนกระทั่งมีคนเห็นความผิดปกติกับผู้เล่นต่ำแหน่งที่หนึ่งมีคะแนนสูงมากๆ ทิ้งห่างอันดับ 2 แบบไม่เห็นฝุ่น คนจึงตั้งข้อสังเกตุว่ามันเป็นไปไม่ได้ที่จะเล่นได้คะแนนสูงขนาดนั้นต้องมีโกงแน่ๆ เจ้าของเพจเลยไปตรวจสอบแล้วพบว่าโดนโกงจริงๆมีการเข้ามา hack ให้ user ดังกล่าวได้คะแนนโดยไม่ต้องเล่นเกมส์ สุดท้าย campaign นี้ต้องยกเลิกไป เสียหายค่าโปรโมต ค่า develop และค่าอื่นๆ

เคสที่สอง เจอกับตัว ไปรับงาน website มางานหนึ่งเป็น brand ระดับโลก มีระบบ cms หลังบ้านนิดหน่อย คิดราคาออกมา 150,000 บาท ลูกค้าฝ่าย marketing เจ้าของงาน happy เริ่มงานกันอย่างราบรื่น ทำ design เสนอเรียบร้อยดี เหมือนจะจบอย่างไว แต่แล้วนรกก็แตก จะว่าไปคงต้องโทษตัวเอง ที่อ่อนด้อยประสบการณ์ คิดว่าทำ brand ระดับโลกก็คงเหมือนงานอื่นๆ คิดราคาครอบคลุมส่วน design และ development แต่ brand ระดับนี้เค้าต้องมีทีมงาน Regional (กรณีนี้เบสที่ Australia) มาตรวจสอบด้าน technical ก่อนจะนำเว็บขึ้นใช้จริงได้ เริ่มโดยส่งเอกสารมาให้ศึกษาและมีเอกสารด้าน technical มากมายให้กรอกก็ทำส่งไปแต่เริ่มรู้แล้วว่าพายุกำลังจะมา แค่จะอัพโหลด file ขึ้น testing server เราต้องส่งเอกสารไปขอให้ทีมงาน regional อัพโหลด file ให้ หลังจากนั้นทาง regional ให้ทีมเข้ามา scan website ใน testing server เพื่อตรวจสอบเรื่องความปลอดภัยต่างๆของเว็บ และแน่นอน ตกกระจาย เค้าก็ส่งเอกสารมาว่าต้องแก้ไขอย่างไรบ้าง เราก็ทำไป ทาง marketing ก็จี้มาเว็บจะขึ้นได้หรือยัง?? แก้เสร็จแจ้งเค้า scan คร้งที่สอง ยังตกอยู่ ก็กลับมาแก้อีกครั้งแต่ครั้งนี้เค้าแจ้งว่าถ้าครั้งหน้า scan แล้วตกอีก เค้าต้องคิดเงินเรา US$5000! ตอนนั้นแค่ค่า programmer ก็ไม่คุ้มที่เก็บจากลูกค้าแล้ว เลยเป็นประเด็นกันว่าทำไม marketing ไม่แจ้งเราแต่แรกว่างานของเค้าต้องผ่านขั้นตอนมากมายเช่นนี้แถมอาจจะต้องเสียเงินอีก ถ้ารู้จะได้คิดเงินมากกว่านี้ ได้คำตอบกลับมาว่าเค้าเองก็ไม่ทราบเหมือนกัน – – ” ด้วยความรับผิดชอบเราก็ต้องทำต่อให้เสร็จ โชคดีที่ scan ครั้งที่ 3 ผ่าน เลยจบกันด้วยดี

ล่าสุดเป็นงาน community website ให้กับ brand ระดับโลกอีกเหมือนกันแต่คราวนี้เป็น brand ของฝั่งตะวันออก งานนี้เราทราบอยู่แล้วว่าจะต้องมีการติดต่อกับทีมจาก Regional (เบสที่ Singapore) ในเรื่องของงานด้านความปลอดภัย ที่สำคัญกว่านั้น งานนี้เราดูแลเรื่อง web hosting ให้ด้วย ทำให้ต้องมีการตรวจสอบระดับ server เพิ่มขึ้น (เทียบจากเคสที่ 2 ที่ใช้ hosting ของลูกค้าเอง) โชคดีที่งานนี่เราชวนบริษัท partner ที่เก่งกาจด้าน development และมี server เป็นของตัวเอง มี system engineer ดูแลอย่างดี วันก่อน development director และ system engineer ได้ไปประชุมกับฝ่าย IT ของลูกค้ามา ทราบมาว่า scan เว็บครั้งแรกได้รับ report 500 หน้ากลับมาเพื่อแก้ไข coding ต่างๆ ตอนนี้ก็กำลังปรับปรุงกันอยู่ ทราบมาว่าถ้า scan ครั้งหน้าตก ก็จะถูกปรับเงินระดับแสนบาทเหมือนกัน

พูดถึงเรื่อง hosting เลยนึกได้ว่ามีงานหนึ่งเป็น campaign landing page เล็กๆ ของบริษัทการเงินมี office อยู่ทั่วโลก แต่เนื่องจาก office ในไทยไม่มี web hosting เองจึงให้เราจัดหาให้ เราเห็นว่า scope งานไม่ใหญ่มากจึงแนะนำให้เช่า shared host ก็พอ ทาง marketing ไม่ขัดข้อง เราเองก็ไม่ทราบเหมือนกันว่าจะมีประเด็นด้านความปลอดภัยภายหลัง เพราะเมื่อทาง regional ทราบว่ามีการขึ้นเว็บในชื่อของ brand ของประเทศไทยเอง เค้าก็ส่งทีมงาน regional มาติดต่อกับเรา ส่งเอกสารด้านความปลอดภัยมาให้กรอก ในนั้นละเอียดถึงขั้นที่ว่า สถานที่ที่ server ตั้งอยู่มีการรักษาความปลอดภัยระดับไหน เช่น ระดับ military มีเวรยามตลอด 24 ชั่วโมง มีกล้องวงจรปิด มีการแสกนลายนิ้วมือ ฯลฯ (ก็คือระดับที่  CAT บางรัก ที่หลายๆบริษัทไปเช่าพื้นที่วาง server กันละครับ ต้องระดับนั้น) นอกนั้นเป็นคำถามเรื่อง technical ต่างๆของ server แต่เนื่องด้วยเราเช่าแค่ shared host กับบริษัทให้บริการ web hosting ทั่วไปปีละไม่กี่พันบาทการจะให้เค้ามากรอกข้อมูลภาษาอังกฤษเป็นร้อยๆข้อนั้นแทบเป็นไปไม่ได้เลย

ถามว่า agency ส่วนใหญ่สนใจเรื่องพวกนี้ไหมครับ เท่าที่เจอมา ถ้าไม่ใช่ agency ที่เคยรับงานระดับนี้หรือเป็น digital agency ตัวจริง ส่วนใหญ่ไม่รู้และไม่ใส่ใจด้วย จะว่าไปก็เหมือนเคสที่สองที่ผมรับงานมาแต่ไม่ได้ประเมินงานส่วนความปลอดภัยเอาไว้ จริงๆถ้าไม่มีการบังคับจากทางลูกค้า agency ส่วนใหญ่ก็ไม่ได้ให้ความสำคัญกับงานด้านความปลอดภัยมาก ลูกค้าเองถ้าไม่ได้เป็น brand ระดับโลกที่มี policy ด้านนี้ก็ไม่ค่อยจะสนใจงานด้านนี้เช่นกัน เพราะอะไรหรือครับ? เพราะมันราคาสูงกว่ากันเยอะไงครับ การเขียนระบบเพื่อรักษาความปลอดภัยระดับสูงนั้นต้องใช้ทีมงานที่มีประสบการณ์สูงมาก ราคาค่าตัวก็จะสูงตาม โดยทั่วไปเราจึงเห็น web campaign และ website ที่มีระบบด้านความปลอดภัยในระดับที่พอรับได้ แต่จะให้ได้งานระดับสูงจริงๆมันต้องลงทุนสูงมาก เราก็ต้องมาดูว่ามันคุ้มที่จะลงทุนไหม ถ้าทำ web campaign เล่นแค่ 2-3 อาทิตย์ หรือจะคุ้มกว่าที่ป้องกันการโดน hack ให้เสียชื่อเสียงทั้งคนทำและเจ้าของ brand หรือสู้เอาเงินส่วนนั้นไปลง media ชวนคนมาร่วมเล่นเยอะๆดีกว่า คงต้องประเมินดูทั้งฝั่งลูกค้าและ agency ครับ