ความมั่นคงปลอดภัยทางไซเบอร์

ยุคนวัตกรรมดิจิทัลทำให้เทคโนโลยีเข้ามามีบทบาทในการใช้ชีวิตประจำวันของมนุษย์มากขึ้น ซึ่งส่งผลให้เกิดความเปลี่ยนแปลงของความคาดหวังและพฤติกรรมของผู้บริโภคที่หันมาใช้เทคโนโลยีในการเข้าถึงบริการและข้อมูลต่างๆ เพื่อเพิ่มความสะดวกและรวดเร็วในการใช้บริการ องค์กรชั้นนำในอุตสาหกรรมต่างๆ รวมถึงผู้ให้บริการทางการเงินจึงตอบสนองต่อความเปลี่ยนแปลงดังกล่าวโดยนำนวัตกรรมและเทคโนโลยีใหม่ๆ มาใช้เพื่อเพิ่มประสิทธิภาพในการดำเนินงานและสร้างประสบการณ์ที่ดีให้กับลูกค้า อาทิ ปัญญาประดิษฐ์ (Artificial Intelligence: AI) การเรียนรู้ของเครื่อง (Machine Learning: ML) เทคโนโลยี Distributed Ledger Technology (DLT) หรือบล็อกเชน (Blockchain) กระบวนการทำงานอัตโนมัติโดยใช้หุ่นยนต์ (Robotic Process Automation: RPA) ซึ่งในขณะที่มีการพัฒนาศักยภาพของนวัตกรรมและเทคโนโลยี ภัยคุกคามทางไซเบอร์ก็พัฒนาระดับความก้าวหน้าเช่นเดียวกัน และมีศักยภาพที่จะสร้างความเสียหายทั้งในระดับประเทศและระดับโลก

ในฐานะผู้ให้บริการทางการเงินอย่างรับผิดชอบ กรุงศรีจึงให้ความสำคัญกับการป้องกันการโจรกรรมข้อมูลทางการเงินการบริหารความเสี่ยงด้านการโจมตีทางไซเบอร์ เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ การรั่วไหลของข้อมูลการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์หรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล รวมถึงความเสี่ยงด้านไซเบอร์อื่นๆ กรุงศรีจึงมีการดำเนินงานอย่างจริงจังในเรื่องความมั่นคงปลอดภัยทางไซเบอร์ เพื่อปกป้องข้อมูลของพนักงาน ลูกค้าและผู้มีส่วนเกี่ยวข้องกับธนาคาร และเพื่อให้เกิดความต่อเนื่องในการดำเนินธุรกิจซึ่งรวมถึงการให้บริการแก่ลูกค้า

แนวทางการบริหารจัดการ

• กำหนด “นโยบายเกี่ยวกับความปลอดภัยสารสนเทศ” เพื่อใช้เป็นแนวทางในการจัดการและปกป้องทรัพย์สินข้อมูลสารสนเทศของธนาคาร และสื่อสารให้พนักงานของธนาคารและผู้ที่ไม่ใช่พนักงานธนาคารแต่มีส่วนเกี่ยวข้องกับธนาคาร เช่น คู่สัญญา ลูกจ้างชั่วคราว ผู้ให้บริการ บุคคลภายนอกอื่นๆ ที่ใช้ข้อมูลของธนาคารได้รับทราบถึงนโยบายดังกล่าวและต้องปฏิบัติตามกฎหมายและข้อบังคับต่างๆ ที่เกี่ยวข้องกับนโยบายฉบับนี้ โดยมีการดำเนินงานภายใต้กรอบหลักการที่สำคัญ 3 ประการ คือ การรักษาความลับของระบบและข้อมูล (Confidentiality) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (Integrity) และความพร้อมใช้งานของเทคโนโลยีสารสนเทศ (Availability) รวมถึงการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ ทั้งนี้ นโยบายฉบับนี้ครอบคลุมธนาคาร และบริษัทในกลุ่มธุรกิจทางการเงินที่ธนาคารถือหุ้นเกินร้อยละ 50 (“บริษัทในเครือ”) โดยบริษัทในเครือจะต้องนำนโยบายฉบับนี้ไปเป็นแนวทางในการจัดทำนโยบายที่เทียบเท่ากัน รวมทั้งจัดให้มีการทบทวนและปรับปรุงเนื้อหาของนโยบายอย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับการเปลี่ยนแปลงและแนวโน้มของความเสี่ยงในอนาคตที่อาจส่งผลกระทบต่อความปลอดภัยสารสนเทศของธนาคาร
• ควบคุมความมั่นคงปลอดภัยสารสนเทศในองค์กรตั้งแต่การว่าจ้าง การโอนย้าย หรือลาออก รวมถึงการแจ้งให้ทราบถึงการเปลี่ยนแปลงโยกย้ายพนักงานหรือทรัพยากรคอมพิวเตอร์ให้กับผู้ดูแลระบบความปลอดภัยสารสนเทศ
• จัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างครบถ้วน รวมถึงต้องจัดให้มีการบำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ เพื่อให้มีความพร้อมใช้งานและสามารถรองรับการดำเนินธุรกิจได้อย่างต่อเนื่อง
• จัดชั้นความลับของข้อมูล (Information Classification) มีการเก็บรักษาและทำลายข้อมูลให้เหมาะสมกับชั้นความลับและมีการบริหารจัดการการเข้ารหัสข้อมูล (Cryptography) พร้อมทั้งการบริหารจัดการกุญแจเข้ารหัส (Key Management) ตลอดช่วงอายุของกุญแจเข้ารหัสที่เชื่อถือได้และเป็นมาตรฐานสากล
• กำหนดให้มีการบริหารจัดการสิทธิและตรวจสอบยืนยันตัวตนตามสิทธิที่กำหนดไว้ตามความจำเป็นในการใช้งานและระดับความเสี่ยง เพื่อป้องกันการเข้าถึงและเปลี่ยนแปลงระบบหรือข้อมูลโดยผู้ที่ไม่มีสิทธิหรือไม่ได้รับอนุญาต
• จัดให้มีการรักษาความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์และพื้นที่ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการบุกรุกหรือจากภัยธรรมชาติ
• จัดให้มีการบริหารจัดการเหตุการณ์ผิดปกติและปัญหาที่เกิดจากการใช้เทคโนโลยีสารสนเทศอย่างเหมาะสมและทันท่วงที โดยมีการบันทึก วิเคราะห์ และรายงานเหตุการณ์ผิดปกติและปัญหา และการแก้ไขให้คณะกรรมการ IT Management รับทราบ
• จัดให้มีการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศเพื่อให้ธนาคารมีแนวทางรองรับเหตุการณ์ผิดปกติที่ระบบเกิดหยุดชะงักหรือเกิดความเสียหาย โดยที่ธุรกิจดำเนินการต่อไปได้อย่างต่อเนื่องและสามารถกู้คืนระบบให้กลับคืนสู่สภาพปกติภายในระยะเวลาที่ยอมรับได้
• กำหนด “มาตรการการจัดการความมั่นคงปลอดภัยสารสนเทศ” เพื่อใช้เป็นมาตรการรองรับสถานการณ์ต่างๆ โดยมีความสอดคล้องกับ “นโยบายเกี่ยวกับความปลอดภัยสารสนเทศ” ซึ่งประกอบไปด้วย 14 มาตรการย่อย ดังนี้
  1. มาตรการการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
  2. มาตรการการรักษาความมั่นคงปลอดภัยของระบบเครือข่ายสื่อสาร
  3. มาตรการโครงสร้างด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กร
  4. มาตรการการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ
  5. มาตรการความมั่นคงปลอดภัยด้านบุคลากร
  6. มาตรการการจัดหาและการพัฒนาระบบ
  7. มาตรการความมั่นคงปลอดภัยด้านการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
  8. มาตรการการบริหารจัดการเหตุการณ์ผิดปกติและปัญหาด้านเทคโนโลยีสารสนเทศ
  9. มาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล
  10. มาตรการการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
  11. มาตรการการควบคุมการเข้าถึง
  12. มาตรการการบริหารจัดการผู้ให้บริการจากภายนอก
  13. มาตรการการรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม
  14. มาตรการความมั่นคงปลอดภัยด้านการกำกับดูแลการปฏิบัติตามข้อกำหนด
• กำหนด “แนวทางการรับมือภัยคุกคามไซเบอร์” เพื่อเพิ่มขีดความสามารถในการรักษาความปลอดภัยทางไซเบอร์อย่างสูงสุด พร้อมทั้งป้องกันการคุกคามและรองรับการเปลี่ยนแปลงด้านเทคโนโลยีสารสนเทศ อาทิ การฝึกซ้อมการจำลองการโจมตีแบบฟิชชิง (Phishing Simulation Exercise) การฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์ (Cyber Tabletop Exercise) โดยจำลองสถานการณ์เพื่อฝึกซ้อมการตอบสนองของผู้ที่เกี่ยวข้อง โดยเลือกสถานการณ์จากการโจมตีที่เกิดขึ้นจริงกับองค์กรที่ดำเนินธุรกิจในลักษณะใกล้เคียงกัน ซึ่งการฝึกซ้อมดังกล่าวมีวัตถุประสงค์เพื่อเพิ่มระดับความรู้ ความเข้าใจ และความคุ้นเคยกับกระบวนการตอบสนองให้ผู้ที่เกี่ยวข้องสามารถรับมือภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ
• นำมาตรฐานอุตสาหกรรม (Industry Standard) และแนวปฏิบัติที่ดี (Best Practice) ด้านการจัดการความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศทั้งในระดับประเทศและระดับสากลมาปรับใช้ในกระบวนการทำงานในองค์กร อาทิ การใช้เครื่องมือตรวจจับมัลแวร์ระดับสูง (Advanced Persistent Threat) การใช้เครื่องมือในการรวบรวมข้อมูลภัยคุกคามทางไซเบอร์ (Cyber Threat Intelligence) จากแหล่งที่น่าเชื่อถือมาช่วยเพิ่มความสามารถในการตรวจจับเหตุการณ์ผิดปกติที่เป็นส่วนหนึ่งของกระบวนการเฝ้าระวังภัยคุกคามทางไซเบอร์โดยศูนย์ปฏิบัติการความปลอดภัยด้านไซเบอร์ (Security Operations Center: SOC) การดำเนินงานตามกรอบการควบคุมความมั่นคงปลอดภัยสำหรับลูกค้าระบบ SWIFT (Society for Worldwide Interbank Financial Telecommunications) การดำเนินงานตามกระบวนการที่ผ่านการตรวจรับรองตามมาตรฐานสากล ISO/IEC 27001 (ISO 27001 Certification) สำหรับระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ใน 2 ระบบ คือ ระบบบาทเนต (Bank of Thailand Automated High-value Transfer Network: BAHTNET) ที่ใช้สำหรับการโอนเงินรายใหญ่ และระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค (Imaged Cheque Clearing and Archive System: ICAS) ตามข้อกำหนดของธนาคารแห่งประเทศไทย และการดำเนินงานอื่นๆ เพื่อยกระดับความมั่นคงปลอดภัยทางไซเบอร์
• จัดให้มีช่องทางแจ้งข้อมูลหากพบปัญหาต่างๆ เช่น การได้รับฟิชชิงอีเมล อีเมลที่มีมัลแวร์ ไวรัส รวมไปถึงความผิดปกติอื่นๆ ที่อาจเป็นผลจากการโจมตีทางไซเบอร์ได้ที่ฝ่ายปฏิบัติการความปลอดภัยด้านไซเบอร์และระบบเทคโนโลยีสารสนเทศประยุกต์ (Cyber Security Department)