รายงานความยั่งยืน

ความปลอดภัยด้านไซเบอร์

ด้วยความก้าวหน้าของเทคโนโลยีในยุคปัจจุบันที่การดำเนินชิวิตของผู้คนมีความสะดวกสบาย สามารถดำเนินกิจกรรมต่าง ๆ ออนไลน์ โดยไม่จำเป็นที่ต้องไปที่สถานที่จริงเพื่อยืนยันตัวตน ไม่จำเป็นต้องใช้กระดาษ และไม่จำเป็นต้องใช้เงินสด ส่งผลต่อการให้บริการในยุคปัจจุบันเปลี่ยนไปจากเดิมโดยสิ้นเชิง ในขณะเดียวกันความเสี่ยงที่เกิดขึ้นจากการทำธุรกิจออนไลน์ คือสิ่งที่ก่อให้เกิดความเสียหายได้เช่นกัน ด้วยเหตุนี้ ธนาคารได้ตระหนักถึงแนวโน้มความเสี่ยงด้านภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นต่อเนื่อง ตลอดจนการให้ความสำคัญกับการดูแลความปลอดภัยของข้อมูลลูกค้า และพนักงาน ป้องกันการโจมตี และเข้าถึงข้อมูลของมิจฉาชีพ ที่นำไปสู่ความเสียหาย และชื่อเสียงของธนาคารต่อการให้บริการลูกค้า

คณะกรรมการของธนาคารได้แต่งตั้งผู้อำนวยการฝ่ายอาวุโส นายเชิดศักดิ์ นานา ดำรงตำแหน่ง ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) ขึ้นมา เพื่อรับผิดชอบงานด้านการบริหารจัดการความเสี่ยงทางไซเบอร์ โดยมีหน้าที่ในการสร้าง ดำเนินการ วัดผล และติดตามกลยุทธ์และโปรแกรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ทั่วทั้งธนาคาร รวมถึงรายงานการดำเนินงานแก่คณะกรรมการอย่างสม่ำเสมอเกี่ยวกับการพัฒนาศักยภาพในการตรวจจับและป้องกันภัยคุกคามทางไซเบอร์ ผลการประเมินความมั่นคงปลอดภัยทางไซเบอร์ของธนาคาร และแผนการประจำปีในการปรับปรุงระบบการควบคุมความมั่นคงปลอดภัยทางไซเบอร์ที่มีอย่างต่อเนื่อง

โดยธนาคารมีการดำเนินการจัดการความเสี่ยงทางไซเบอร์ในเชิงรุก โดยได้ติดตั้งโปรแกรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ที่มีการนำกรอบการทำงานและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยในระดับสากลมาใช้เป็นฐานในการดำเนินงาน และได้นำกฎระเบียบและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล มาใช้เป็นพื้นฐานสำหรับกรอบการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของธนาคาร อีกทั้งมีการประเมินการพัฒนาและความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ใหม่ ๆ อย่างสม่ำเสมอ และมีการปรับปรุงการป้องกันภัยคุกคามทางไซเบอร์ของเราอย่างต่อเนื่อง

ธนาคารได้มีการกำหนดมาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ เพื่อให้เป็นแนวทางสำหรับพนักงานของธนาคารในการปฏิบัติงานให้มีความเหมาะสมกับการดำเนินงานในปัจจุบันและมีความปลอดภัยจากภัยคุกคามไซเบอร์มากยิ่งขึ้น และเพื่อให้มาตรฐานดังกล่าว มีความน่าเชื่อถือรวมถึงมีความสอดคล้องกับการเปลี่ยนแปลงในปัจจุบัน โดยได้มีการอ้างอิงตามมาตรฐานสากล เช่น Swift CSCF, PCI DSS, NIST และ ISO/IEC 27001:2013 (ISMS: Information Security Management Systems) ที่ธนาคารนำมาใช้รับรองสำหรับสินเชื่อเพื่อการนำเข้า (Trade Finance) บริการการค้าต่างประเทศทางอิเล็กทรอนิกส์ (Trade Online) บริการโอนเงินผ่านระบบบาทเนต (BAHTNET) ระบบการหักบัญชีเช็คด้วยภาพเช็ค (ICAS) ศูนย์คอมพิวเตอร์ (Data Center) รวมถึงระบบ Cloud ของธนาคารที่ได้มาตรฐาน CSA Cloud รวมทั้งอ้างอิงข้อกฎหมายและข้อกำหนดของธนาคารแห่งประเทศไทย โดยมาตรฐานการรักษาความปลอดภัยดังกล่าวทบทวนและปรับปรุงอย่างน้อยปีละ 1 ครั้งและได้ดำเนินการทดสอบตอบสนองต่อเหตุการณ์ผิดปกติทางไซเบอร์ หรือ Incident Response โดยหากเมื่อพบเหตุผิดปกติทั่วไปจะดำเนินการตอบสนองโดยทันที หากพบเหตุผิดปกติที่มีความซับซ้อนจะได้รับการวิเคราะห์และตรวจสอบเชิงลึกโดยผู้เชี่ยวชาญเฉพาะด้าน เพื่อหาแนวทางในการจัดการ หากเป็นเหตุการณ์ระดับที่ส่งผลกระทบรุนแรงมาก จะรายงานและยกระดับการจัดการ (Incident Escalation Process) ไปยังผู้บริหารด้านการรักษาความปลอดภัยระดับสูง (CISO: Chief Information Security Officer), ผู้บริหารด้านเทคโนโลยีสารสนเทศระดับสูง (CIO: Chief Information Officer), ผู้บริหารสูงสุดของธนาคาร (CEO:Chief Executive Officer) ตามลำดับ เพื่อปรับปรุงระบบความปลอดภัย ทักษะผู้ปฏิบัติงาน กระบวนการทำงาน กระบวนการสื่อสารภายในและภายนอกให้ดียิ่งขึ้น รวมถึงเข้าร่วมซักซ้อมการรับมือกับภัยคุกคามทางไซเบอร์ กับหน่วยงานภายนอก เช่น ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร, หน่วยงานกำกับทางด้านการเงิน (ธนาคารแห่งประเทศไทย สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ ตลาดหลักทรัพย์แห่งประเทศไทย สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

นอกจากนี้ ธนาคารได้จัดตั้งศูนย์เฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์ของธนาคาร (Hybrid CSOC: Cyber Security Operation Center) ตามมาตรฐานสากล ซึ่งได้รับการออกแบบ จัดหาระบบความปลอดภัย จัดหาบุคคลากร และปรับปรุงกระบวนการทำงาน และกำกับดูแล อย่างครบวงจร ในรูปแบบอัตโนมัติ (Security Orchestration, Automation and Response) และค้นหาภัยคุกคามแบบเชิงรุก (Threat Hunting) โดยทีมงานผู้เชี่ยวชาญที่มีประสบการณ์จากในประเทศและต่างประเทศ ให้บริการเฝ้าระวังตลอด 24 ชั่วโมง และธนาคารยังได้เป็นสมาชิก FS-ISAC (Financial Services - Information Sharing and Analysis Center) เพื่อให้สามารถรับรู้ข่าวกรองภัยไซเบอร์ ลักษณะการโจมตีของสถาบันการเงินทั่วโลกที่มีการวิเคราะห์ข้อมูลและแบ่งปันข่าวกรองภัยไซเบอร์ แล้วนำมาป้องกันและตรวจสอบ ระบบของธนาคารล่วงหน้า (Proactive Defensive) รวมถึงการติดตามข่าวกรองภัยไซเบอร์ภายนอก (Cyber Threat Intelligence Service) ที่เกี่ยวข้องกับธนาคารและลูกค้า พร้อมแจ้งเตือนลูกค้าแต่ละบุคคลโดยตรง เพื่อสร้างความมั่นใจ ในความพร้อมการตอบสนองต่อเหตุการณ์ผิดปกติ ได้อย่างมีประสิทธิภาพและทันท่วงที รวมถึงมีความพร้อม ทนทาน ยืดหยุ่น ต่อการโจมตีทางไซเบอร์ (Cyber Resilience)


การสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์

ธนาคารให้ความสำคัญกับการปลูกฝังวัฒนธรรมการตระหนักรู้ด้านไซเบอร์ทั่วทั้งองค์กร เพื่อปลูกฝังจิตสำนึกเกี่ยวกับความรับผิดชอบในการรักษาความปลอดภัยทางไซเบอร์ และช่วยรับมือกับการโจมตีทางไซเบอร์หลากหลายประเภท ผ่านช่องทางการสื่อสารทางออนไลน์ เช่น อีเมล เว็บไซต์ แอปพลิเคชัน Krungthai One พร้อมทั้งมีการสื่อสารไปยังลูกค้าเพื่อเป็นการกระตุ้นการตระหนักรู้เกี่ยวกับการรักษาความปลอดภัยด้านไซเบอร์ เช่น การส่งเสริมความตระหนักทางด้าน Phishing Email / SMS และเกี่ยวกับภัยคุกคามใหม่ ๆ จัดกิจกรรม “Krungthai Security Awareness 2022” - The PROTECTER เพื่อสร้างความรู้ ความเข้าใจในแนวทางป้องกันภัยคุกคามทางอิเล็กทรอนิกส์ โดยมีวิทยากรผู้ทรงคุณวุฒิระดับประเทศ และนักวิชาการจากสถาบันการศึกษาชั้นนำ มาให้ความรู้เรื่องภาพรวมสถานการณ์ภัยไซเบอร์ การรู้เท่าทัน และการป้องกันภัยจากไซเบอร์ ผ่านระบบออนไลน์ ทำให้พนักงานสาขา รวมถึงจัดทำแผนการอบรมด้าน Cyber Security ในหลายรูปแบบ เพื่อให้เข้าถึงพนักงานทั้งหมดของธนาคาร และแผนการอบรมจะปรับตามบริบท และภัยคุกคามที่เกิดขึ้นในแต่ละปี เช่น
  • จัดอบรมด้านความปลอดภัยทางไซเบอร์ โดยเชิญวิทยากรที่มีความรู้ความเชี่ยวชาญในด้านต่าง ๆ เพื่อมาอบรมให้ความรู้กับพนักงาน เกี่ยวกับความปลอดภัยทางไซเบอร์ แนวทางวิธีการป้องกันที่เหมาะสมกับภัยคุกคามทางด้านไซเบอร์ ตามมาตรฐานการรักษาความปลอดภัยสารสนเทศ
  • จัดกิจกรรม E-learning ให้กับพนักงานของธนาคาร เกี่ยวกับความรู้เรื่องและให้ทำแบบทดสอบด้านความปลอดภัยทางไซเบอร์
  • การทดสอบจำลองภัยคุกคามทางอีเมล (Cyber Drill: Phishing Email Simulation Testing) โดยมีการทดสอบประจำปีอย่างน้อยปีละ 2 ครั้ง เป็นการทดสอบการส่งอีเมลหลอกลวงให้กับพนักงานและผู้บริหาร เพื่อให้พนักงานตระหนักว่าภัยคุกคามสามารถเกิดขึ้นได้ทุกเวลา ฉะนั้นควรเตรียมความพร้อมให้รู้เท่าทันภัยอยู่เสมอ
  • เผยแพร่ข่าวสาร พร้อมข้อมูลที่มีประโยชน์ ผ่านช่องทางต่าง ๆ ไม่ว่าจะเป็น ทางอีเมล, Intranet, แอปพลิเคชัน  One Krungthai พร้อมแจ้งรายละเอียด ช่องทางการแจ้งเหตุสิ่งผิดปกติทางด้านความปลอดภัยสารสนเทศ ให้พนักงานและผู้บริหารอยู่เสมอ
ข้อมูลเกี่ยวข้องที่น่าสนใจ