
การดำเนินงานด้านความปลอดภัยทางด้านไซเบอร์
ความปลอดภัยด้านข้อมูลลูกค้า
ธนาคารตระหนักถึงบทบาท และความสำคัญของการเก็บรักษาข้อมูล และความเป็นส่วนตัวของลูกค้า โดยข้อมูลส่วนบุคคลของลูกค้าจะถูกเก็บรักษาไว้ตามหลักเกณฑ์การรักษาข้อมูลที่เป็นความลับของธนาคาร ทั้งนี้ธนาคารมีนโยบายและกระบวนการการรักษาความปลอดภัยข้อมูลสารสนเทศ และมาตรฐานการรักษาความปลอดภัยสารสนเทศ ที่สอดคล้องกับหลักเกณฑ์ของธนาคารแห่งประเทศไทย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และมาตรฐาน ISO/IEC27001:2013 PCI DSS NIST และมาตรฐานสากลอื่นๆ เพื่อใช้เป็นแนวทางในการบริหารความเสี่ยง และการรักษาความปลอดภัยของข้อมูลสารสนเทศ
นอกจากนี้ธนาคารยังมีการประชาสัมพันธ์เรื่องการเก็บรักษาข้อมูลส่วนบุคคลของตนเอง รวมทั้งสื่อสารวิธีการป้องกันภัยคุกคามทางไซเบอร์ ผ่านช่องทางต่าง ๆ เพื่อให้ลูกค้าตระหนักถึงความสำคัญของการเก็บรักษาข้อมูลส่วนบุคคลของตนเอง โดยไม่เปิดเผนให้บุคคลอื่นทราบ และสามารถใช้สื่อออนไลน์ได้อย่างปลอดภัย ทั้งนี้การเปิดเผยข้อมูลส่วนบุคคลของลูกค้าธนาคารจะกระทำภายใต้กรอบของกฎหมายโดยเคร่งครัด
การรักษาความปลอดภัยสารสนเทศ ด้านการกำกับดูแลด้านความปลอดภัยสารสนเทศของธนาคาร
ธนาคารมีการกำหนดโครงสร้างการกำกับดูแลความปลอดภัยสารสนเทศตามกรอบการบริหารความเสี่ยงและแนวทางป้องกัน 3 ชั้น (3rd Line of Defense) โดยมีคณะกรรมการต่าง ๆ พิจารณาความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ตั้งแต่คณะกรรมการเทคโนโลยีสารสนเทศ คณะกรรมการบริหารความเสี่ยง คณะกรรมการตรวจสอบ จนถึงคณะกรรมการธนาคาร
ในด้านการกำกับด้านความปลอดภัยสารสนเทศ ธนาคารมีหน่วยงานรักษาความปลอดภัยสารสนเทศ และมีการแต่งตั้ง ผู้บริหารเพื่อดำรงตำแหน่ง CISO (Chief Information Security Officer) ซึ่งมีบทบาทหน้าที่ในการกำกับดูแลด้านความปลอดภัยเทคโนโลยีสารสนเทศ เพื่อให้ธนาคารมีความพร้อมที่จะทนทานต่อการโจมตีทางไซเบอร์ (Cyber Resilience)
ใบรับรองตามมาตรฐานสากล (Certificate)
ธนาคารได้รับการรับรองความปลอดภัยตามมาตรฐาน ISO27001:2013 (ISMS: Information Security Management Systems) สำหรับสินเชื่อเพื่อการนำเข้า (Trade Finance) บริการการค้าต่างประเทศทางอิเล็กทรอนิกส์ (Trade Online) บริการโอนเงินผ่านระบบบาทเนต (BAHTNET) ระบบการหักบัญชีเช็คด้วยภาพเช็ค (ICAS) และศูนย์คอมพิวเตอร์ (Data Center)
นอกจากนี้ สำหรับ Cloud ของธนาคาร ธนาคารได้ใบรับรองมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC27001:2013 และ CSA STAR ซึ่งเป็นมาตรฐานด้านความปลอดภัยบนระบบคลาวด์ที่ได้รับการยอมรับในระดับโลก ครอบคลุมการให้บริการ Vayu Cloud โดยเพิ่มขอบเขตการรับรองในส่วนของ New Data Center และ CLOUD COMPUTING SERVICE ON INFRASTRUCTURE AS A SERVICE (IAAS)
ธนาคารมีนโยบายและกระบวนการการรักษาความปลอดภัยข้อมูลสารสนเทศ ซึ่งได้รับการอนุมัติจากคณะกรรมการธนาคาร และกำหนดมาตรฐานการรักษาความปลอดภัยสารสนเทศของธนาคาร มีความสอดคล้องกับมาตรฐานสากล ISO27001:2013, PCI-DSS (Payment Card Industry Data Security Standard) โดยเนื้อหาในเอกสารครอบคลุมหัวข้อดังต่อไปนี้
- องค์กรในการรักษาความปลอดภัยข้อมูลสารสนเทศ
- การจัดหมวดหมู่และการป้องกันของทรัพย์สินข้อมูลสารสนเทศ
- การรักษาความปลอดภัยด้านบุคลากร
- การรักษาความปลอดภัยทางกายภาพและสภาพแวดล้อม
- การจัดการด้านปฏิบัติการคอมพิวเตอร์
- การจัดการสิทธิการใช้งานทางตรรกะภาพ
- การจัดการและพัฒนาระบบงาน
- การบริหารและจัดการด้านซอฟต์แวร์
- การรักษาความปลอดภัยระบบเครือข่าย
- การรักษาความปลอดภัยระบบสื่อสาร
- การจัดการเหตุการณ์ผิดปกติ
- แผนรองรับการดำเนินธุรกิจให้ต่อเนื่อง
- การปฏิบัติตามนโยบาย
การสร้างความตระหนักรู้ด้านการรักษาความปลอดภัยสารสนเทศ (Security Awareness)
ธนาคารกระตุ้นการเสริมสร้างความตระหนักรู้ด้านการรักษาความปลอดภัยสารสนเทศในองค์กรหลากหลายรูปแบบ อันได้แก่
- การส่งเสริมความรู้เกี่ยวกับภัยคุกคามใหม่ๆ และความรู้เกี่ยวกับการรักษาความปลอดภัยสารสนเทศ ตลอดจนอัพเดตความรู้กฎหมายที่เกี่ยวข้อง ให้กับคณะกรรมการธนาคาร และผู้บริหารระดับสูงของธนาคาร เพื่อให้เท่าทันภัยคุกคามที่เพิ่มมากขี้น แบบ Online Classroom
- สร้างกิจกรรมส่งเสริมในรูปแบบ Event Online ให้พนักงานทั่วประเทศได้เข้าร่วมกิจกรรมในรูปแบบใหม่ ผ่านช่องทาง Online โดยเน้นให้พนักงานได้มีส่วนร่วม และได้เป็นส่วนหนึ่งที่ร่วมกันเสริมสร้างความตระหนักรู้ด้านภัยไซเบอร์ต่าง ๆ พร้อมสอดแทรกองค์ความรู้ด้าน การรักษาความปลอดภัยข้อมูลลูกค้า
- การทดสอบจำลองภัยคุกคามทางอีเมล (Cyber Drill: Phishing Email Simulation Testing) โดยมีการทดสอบประจำปีอย่างน้อยปีละ 2 ครั้ง เป็นการทดสอบการส่งอีเมลหลอกลวงให้กับพนักงานและผู้บริหาร เพื่อให้พนักงานตะหนักว่าภัยคุกคามสามารถเกิดขึ้นได้ทุกเวลา ฉะนั้นควรเตรียมความพร้อมให้รู้เท่าทันภัยอยู่เสมอ
- เผยแพร่ข่าวสาร พร้อมข้อมูลที่มีประโยชน์ ผ่านช่องทางต่าง ๆ ไม่ว่าจะเป็น ทางอีเมล, Intranet, แอพพลิเคชั่น One Krungthai พร้อมแจ้งรายละเอียด ช่องทางการแจ้งเหตุสิ่งผิดปกติทางด้านความปลอดภัยสารสนเทศ ให้พนักงานและผู้บริหารอยู่เสมอ
การพัฒนาระบบอย่างปลอดภัย
ธนาคารให้ความสำคัญอย่างยิ่ง ในการพัฒนาระบบอย่างปลอดภัย โดยเริ่มจากกระบวนการกลั่นกรองภายในธนาคาร มีคณะกรรมการเฉพาะในการรีวิวตั้งแต่ Secure by design บนพื้นฐานความต้องการ การใช้งานของระบบ สำหรับการพัฒนาระบบ อ้างอิงจากมาตรฐานสากล หรือ Security Common รวมถึง กฎหมาย กฎระเบียบที่ประกาศ และบังคับใช้ในปัจจุบัน
และมีการดูแลกำกับความปลอดภัยของระบบ ตั้งแต่การรีวิวการเขียน Source code ให้มีความปลอดภัย การทดสอบระบบ Application และระบบเครือข่าย (Network) ที่มีการเชื่อมต่อกับระบบเครือข่ายสื่อสารสาธารณะ (Internet Facing) มีการทดสอบเจาะระบบในลักษณะ Red Teaming ที่ผู้ทดสอบทำการทดสอบเจาะระบบเพื่อประเมินความพร้อมในการรับมือของธนาคาร (Intelligence-led Penetration Test) ทั้งในด้านป้องกัน (Protection) การตรวจจับ (Detection) การตอบสนองต่อเหตุการณ์และการรับมือภัยคุกคาม (Response) ทั้งความพร้อมด้านบุคคลากร กระบวนการ และเทคโนโลยี ซึ่งจะช่วยยกระดับความเข้มแข็งด้านความปลอดภัยเพิ่มเติมจากการทดสอบเจาะระบบเชิงเทคนิค ที่ธนาคารทำเป็นประจำอยู่แล้ว
รวมถึงการบริหารจัดการช่องโหว่ Vulnerability Management เพื่อเสริมสร้างความปลอดภัยให้ ระบบงานของธนาคารมีความปลอดภัย เพิ่มความมั่นใจในการทำธุรกรรมให้กับลูกค้าของธนาคาร และเพิ่มทักษะความรู้ความสามารถให้พนักงานผู้ซึ่งทำหน้าที่พัฒนาระบบ โดยการส่งเสริมความรู้ ทางด้านการพัฒนาระบบให้มีความปลอดภัย (Secure coding) เป็นประจำทุกปี
การรับมือภัยคุกคามทางไซเบอร์
ธนาคารมีได้จัดตั้งศูนย์ปฏิบัติการเฝ้าระวังความปลอดภัย Cyber Security Operation Center (CSOC) ที่ Monitoring ภัยคุกคามของธนาคาร และมีกระบวนการ Cyber Incident Response ไปยังหน่วยงานที่เกี่ยวข้อง รวมถึงหน่วยงานกำกับภายนอกธนาคารต่าง ๆ เช่น ธนาคารแห่งประเทศไทย ,Thailand Banking Sector Computer Emergency Response Team (TB- Cert) พร้อมมีการเข้าร่วมการฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์ (Cyber Tabletop Exercise) กับ ธนาคารแห่งประเทศไทย และธนาคารพันธมิตรที่เกี่ยวข้อง นอกจากนี้ธนาคารรับข่าวสารจากหลากหลายภาคส่วน เช่น Financial Services Information Sharing and Analysis Center (FS-ISAC) ซึ่งหน่วยงานวิเคราะห์ข้อมูลด้านความปลอดภัยสารสนเทศของภาคธุรกิจการเงิน การธนาคารทั่วโลก เพื่อเพิ่มขีดความสามารถในการเฝ้าระวังและตรวจจับภัยคุกคามอย่างทันถ่วงที และเพิ่มทักษะความสามารถให้ทีมในการบริหารจัดการภัยคุกคามได้อย่างรวดเร็ว
การรับมือภัยคุกคามทางไซเบอร์
ปัจจุบันภัยคุกคามทางไซเบอร์มีความซับซ้อน และแนวโน้มเพิ่มขึ้น ภัยคุกคามเหล่านี้ส่งผลกระทบหลากหลายรูปแบบทั้งทางตรง และทางอ้อม ไม่ว่าจะเป็นภัยคุกคามจากไวรัสคอมพิวเตอร์ ภัยคุกคามจากซอฟต์แวร์เรียกค่าไถ่ ภัยคุกคามจากการหลอกลวงทางอินเทอร์เน็ต จนถึงภัยคุกคามจากการเจาะระบบเพื่อขโมย ข้อมูลสำคัญ ข้อมูลส่วนบุคคล เป็นต้น ธนาคารมีความตระหนักถึงอันตรายจากภัยคุกคามไซเบอร์ ดังกล่าว จึงยกระดับเพื่อเพิ่มขีดความสามารถในการป้องกัน เฝ้าระวังตรวจตรา รับมือ และแก้ไข ให้รู้เท่าทันภัยคุกคามทางไซเบอร์ในยุคดิจิตอล โดยจัดตั้งศูนย์เฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์ของธนาคาร (Hybrid CSOC - Cyber Security Operation Center) ให้เทียบเท่าระดับสากล ซึ่งได้รับการออกแบบ จัดหาระบบความปลอดภัย จัดหาบุคคลากร และปรับปรุงกระบวนการทำงาน และกำกับดูแล อย่างครบวงจร ในรูปแบบอัตโนมัติ (Security Orchestration, Automation and Response) และค้นหาภัยคุกคามแบบเชิงรุก (Threat Hunting) โดยทีมงานผู้เชียวชาญที่มีประสบการณ์จากในประเทศและต่างประเทศ ให้บริการเฝ้าระวังตลอด 24 ชั่วโมง หากพบเหตุผิดปกติทั่วไปจะดำเนินการตอบสนองโดยทันที หากพบเหตุผิดปกติที่มีความซับซ้อนจะได้รับการวิเคราะห์และตรวจสอบเชิงลึก โดยผู้เชี่ยวชาญเฉพาะด้าน เพื่อหาแนวทางในการจัดการ
หากเป็นเหตุการณ์ระดับที่ส่งผลกระทบรุนแรงมาก จะรายงานและยกระดับการจัดการ (Incident Escalation Process) ไปยังผู้บริหารด้านการรักษาความปลอดภัยระดับสูง (CISO - Chief Information Security Officer), ผู้บริหารด้านเทคโนโลยีสารสนเทศระดับสูง (CIO - Chief Information Officer), ผู้บริหารสูงสุดของธนาคาร (CEO - Chief Executive Officer) ตามลำดับ และดำเนินการซักซ้อมรับมือภัยคุกคามทางไซเบอร์เชิงรุก ภายในธนาคาร เพื่อปรับปรุงระบบความปลอดภัย ทักษะผู้ปฎิบัติงาน กระบวนการทำงาน กระบวนการสื่อสารภายในและภายนอกให้ดียิ่งขึ้น รวมถึงเข้าร่วมซักซ้อมการรับมือภัยภัยคุกคามทางไซเบอร์ กับหน่วยงานภายนอก เช่น ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร, หน่วยงานกำกับทางด้านการเงิน (ธนาคารแห่งประเทศไทย, สํานักงานคณะกรรมการกํากับหลักทรัพย์, ตลาดหลักทรัพย์, สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย), สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ธนาคารเป็นสมาชิก FS-ISAC (Financial Services - Information Sharing and Analysis Center) เพื่อให้สามารถรับรู้ข่าวกรองภัยไซเบอร์ ลักษณะการโจมตีของสถาบันการเงินทั่วโลกที่มีการวิเคราห์ข้อมูลและแบ่งปันข่าวกรองภัยไซเบอร์ แล้วนำมาป้องกันและตรวจสอบ ระบบของธนาคารล่วงหน้า (Proactive Defensive) รวมถึงการติดตามข่าวกรองภัยไซเบอร์ภายนอก(Cyber Threat Intelligence Service) ที่เกี่ยวข้องกับธนาคารและลูกค้า พร้อมแจ้งเดือนลูกค้าแต่ละบุคคลโดยตรง
เพื่อสร้างความมั่นใจ ในความพร้อมการตอบสนองต่อเหตุการณ์ผิดปกติ ได้อย่างมีประสิทธิภาพและทันท่วงที รวมถึงมีความพร้อม ทนทาน ยืดหยุ่น ต่อการโจมตีทางไซเบอร์ (Cyber Resilience)