รายงานความยั่งยืน

การดำเนินงานด้านความปลอดภัยทางด้านไซเบอร์

       ปัจจุบันเทคโนโลยีและระบบดิจิทัลได้เข้ามามีบทบาทต่อวิถีชีวิตของผู้คนมากขึ้น ทั้งในด้านการดำเนินชีวิตประจำวันและด้านการดำเนินธุรกิจ เทคโนโลยยีทำให้พฤติกรรมของผู้บริโภคเปลี่ยนไป สามารถเข้าถึงสินค้า บริการ และข้อมูลต่างๆ ได้ง่าย สะดวก รวมเร็ว แต่ขณะเดียวกันเทคโนโลยีก็นำมาซึ่งภัยคุกคาม กระทบต่อความมั่นคงปลอดภัยด้านไซเบอร์ที่มีแนวโน้มเพิ่มขึ้น ภัยคุกคามเหล่านี้ส่งผลกระทบหลากหลายรูปแบบทั้งทางตรงและทางอ้อม ไม่ว่าจะเป็นภัยคุกคามจากไวรัสคอมพิวเตอร์ ภัยคุกคามจากซอฟต์แวร์เรียกค่าไถ่ ภัยคุกคามการหลอกลวงทางอินเทอร์เน็ต ไปจนถึงภัยคุกคามจากการเจาะระบบเพื่อขโมยข้อมูลสำคัญ 

       ธนาคารตระหนักถึงความเสี่ยงจากภัยคุกคามดังกล่าว ซึ่งถือเป็นความเสี่ยงของปัจจัยสำคัญในการรักษาเสถียรภาพในการดำเนินธุรกิจและภาพลักษณ์ของธนาคาร รวมถึงการรักษาความความเชื่อมั่นในการใช้บริการของลูกค้า จึงได้ดำเนินงานตามมาตรฐาน ISO/IEC 27001:2013 (ISMS: Information Security Management Systems) สำหรับการทำธุรกรรมทางการเงิน และศูนย์คอมพิวเตอร์ มาใช้เป็นแนวทางปฏิบัติทั้งในเรื่องระบบการจัดการความปลอดภัยด้านสารสนเทศ การประเมินระดับสมรรถนะความพร้อมรับมือภัยไซเบอร์ (Maturity level) ตามกรอบของ NIST CSF (Cyber Security Framework) ของสหรัฐอเมริกา รวมถึงได้ใช้บริการรับข่าวกรองจาก FS-ISAC (Financial Services - Information Sharing and Analysis Center) ในการรับข้อมูลข่าวกรองไซเบอร์ (Cyber Threat Intelligence) ลักษณะการโจมตีของสถาบันการเงินอื่นทั่วโลก เพื่อนำมาป้องกันระบบของธนาคารได้ล่วงหน้า ก่อนถูกโจมตี

       นอกจากนี้ ธนาคารได้ดำเนินโครงการต่างๆ เพื่อเป็นการป้องกัน ปราบปรามภัยไซเบอร์ ตาม พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พรบ.คุ้มครองข้อมูลส่วนบุคคล และกฎระเบียบของธนาคารแห่งประเทศไทย เช่น 

  • IT Security Awareness เพื่อสร้างความตระหนักรู้กับพนักงานทั้งทางออนไลน์ และจัดอบรมในเรื่องการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของธนาคาร ให้พนักงานรู้ทันและพร้อมรับมือกับภัยคุกคามทางไซเบอร์ในช่องทางต่างๆ เช่น eMail, Website, Mobile  นอกจากนี้ยังรวมไปถึงการสร้างความตระหนักรู้ให้กับพนักงานสายงานเทคโนโลยี เกี่ยวกับการพัฒนาโปรแกรมให้มีความปลอดภัยผ่านการอบรมจากผู้เชี่ยวชาญเฉพาะทางเพื่อให้นักพัฒนาระบบมีความรู้เพิ่มเติมในการพัฒนาระบบให้มีความปลอดภัย  พร้อมทั้งมีการสื่อสารไปยังลูกค้าเกี่ยวกับการรักษาความปลอดภัย เช่น  การสร้างความตระหนักรู้ทางด้าน Phishing Email / SMS  และเกี่ยวกับภัยคุกคามใหม่ ๆ 

  • Data Protection Assessment (DPA) and Data Loss Prevention (DLP) ประเมินข้อมูลสำคัญของแต่ละหน่วยงานภายในธนาคาร ส่งเสริมให้พนักงานจะเกิดความรู้และความเข้าใจในการจัดการกับข้อมูล เอกสารในระดับชั้นความลับต่าง ๆ ได้อย่างถูกต้อง เหมาะสม และปลอดภัย โดยธนาคารได้พัฒนาระบบป้องกันการรั่วไหลของข้อมูลสำคัญต่าง ๆ ไม่ให้รั่วไหลสู่ภายนอก ซึ่งอาจส่งผลกระทบเชิงลบต่อชื่อเสียงธนาคาร ลูกค้าประชาชน

  • การควบคุมการเข้าถึงเครือข่ายภายในของธนาคาร Network Access Control (NAC) ดำเนินการป้องกันการนำเครื่องคอมพิวเตอร์ภายนอกมาเชื่อมต่อเครือข่ายภายในธนาคาร เพื่อป้องกันความเสี่ยงในการเข้าถึงข้อมูลสำคัญของธนาคารโดยไม่ได้รับอนุญาต


ข้อมูลเกี่ยวข้องที่น่าสนใจ