Cybersecurity Management

การยกระดับมาตรฐานหน่วยงานกํากับสถาบันการเงินกับความมั่นคงทางไซเบอร์

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 22 สิงหาคม 2561

การรองรับภัยคุกคามทางไซเบอร์ทำให้หน่วยงานที่มีหน้าที่กำกับดูแลสถาบันการเงิน ต้องให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ โดยยกระดับความพร้อมในการกำกับดูแลและบริหารจัดการความเสี่ยง การรักษาความมั่นคงปลอดภัยทางไซเบอร์

ในช่วง 2 ปีที่ผ่านมา (พ.ศ. 2558-2559) มีการยกระดับมาตรฐานและกฎระเบียบของหน่วยงานกํากับดูแลสถาบันการเงิน ในเรื่องความมั่นคงปลอดภัยไซเบอร์ทั้งในทวีปเอเชียและทั่วโลก

หน่วยงานกำกับดูแลสถาบันการเงิน ตลาดทุน ธุรกิจหลักทรัพย์ ธุรกิจจัดการลงทุน ธุรกิจสัญญาซื้อขายล่วงหน้า และธุรกิจประกัน ในประเทศไทย เช่น ธนาคารแห่งประเทศไทย หรือ ธปท. (BOT) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. (SEC) และสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ คปภ. (OIC)

ตลอดจนหน่วยงานดูแลสถาบันการเงินในต่างประเทศ ไม่ว่าจะเป็น Monetary Authority of Singapore (MAS) ของสิงคโปร์ Hong Kong Monetary Authority (HKMA) ของฮ่องกง ล้วนแต่ให้ความสำคัญในเรื่อง “Cybersecurity” โดยมีการพัฒนาจาก “Information Security State” มาเป็น “Cybersecurity State” และเข้าสู่ภาวะ “Cyber Resilience” ในที่สุด

หน่วยงานที่มีหน้าที่กำกับสถาบันการเงินที่ได้รับการยอมรับและมีความน่าเชื่อถือสูง อย่าง Federal Financial Institutions Examination Council (FFIEC) ประเทศสหรัฐ ได้ให้ความสำคัญกับเรื่อง “Cybersecurity” เป็นอย่างมาก โดยออก “Cybersecurity Assessment Tool”

ขณะที่ Bank of England (BOE) ประเทศอังกฤษ ออก “Intelligence Led Testing Framework” ซึ่งรู้จักกันในนาม CBEST Vulnerability Testing Framework

และ HKMA (Hong Kong Monetary Authority) ประกาศ Cyber Fortification Initiative (CFI) ในเดือน พ.ค. 2559 ซึ่งมีรายละเอียดที่น่าสนใจทั้งหมด 3 เรื่อง ได้แก่

1. Intelligence-Led Cyber Attack Simulation Testing (iCAST)

HKMA ระบุถึงหน่วยงานใหม่เกี่ยวกับการทำ Penetration Testing ได้แก่ CREST Ethical Security Tester จากประเทศอังกฤษ โดยเน้นเรื่อง Security Testing และ Penetrating Testing

ขณะที่การทำ Penetration Testing ในปัจจุบันมุ่งเน้นไปที่ช่องโหว่ทางด้านเทคนิค แต่ iCAST มุ่งเน้นเพิ่มในมุมด้านกระบวนการ (Process) และจุดอ่อนของมนุษย์ (People) ที่พวกเราทราบกันดีว่า เป็นจุดอ่อนที่อ่อนแอที่สุด จากแนวคิด PPT (People, Process and Technology)

2. Cyber Intelligence Sharing Platform (CISP)

HKMA ต้องการให้สถาบันการเงินร่วมมือร่วมใจในการแชร์ แลกเปลี่ยนข้อมูลซึ่งกันและกัน โดยการแชร์และแลกเปลี่ยนข้อมูลจำเป็นจะต้องมีแพลตฟอร์มรองรับ ซึ่งคาดว่าจะเริ่มดำเนินการได้ในปี 2560

“Threat Intelligence” และ “Information Sharing” กำลังเป็นประเด็นสำคัญที่สถาบันการเงินที่ต้องให้ความสำคัญ เพราะเป็นข้อกำหนดของหน่วยงานกำกับสถาบันการเงินทั่วโลก เมื่อวิเคราะห์จาก CFI จะเห็นได้ชัดเจน

3. Professional Development Programme (PDP)

ทาง HKMA ได้ให้ความสำคัญกับการพัฒนาบุคลาการทางด้านความมั่นคงปลอดภัยไซเบอร์เป็นอย่างมาก โดยส่งเสริมให้สถาบันการเงินมีบุคลากรผู้เชี่ยวชาญด้านไซเบอร์ที่ได้มาตรฐาน มีใบรับรองความรู้ความสามารถเป็นที่ยอมรับกันทั่วโลกในระดับสากล มีรายละเอียดดังนี้

ในปัจจุบันและอนาคต สถาบันการเงินทั่วโลกรวมทั้งประเทศไทย มีความจำเป็นต้องปรับตัวจากการเปลี่ยนแปลงเพื่อรองรับ Cybersecurity

หน่วยงานที่มีหน้าที่กำกับดูแลสถาบันการเงิน จึงต้องให้ความสำคัญกับเรื่องการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) โดยยกระดับความพร้อมในการกำกับดูแลและบริหารจัดการความเสี่ยง การรักษาความมั่นคงปลอดภัยทางไซเบอร์ของสถาบันการเงิน ด้วยการกำหนดให้สถาบันการเงินมีการเตรียมความพร้อมทั้งทางด้านบุคลากร กระบวนการ และเทคโนโลยี (People, Process and Technology (PPT concept)) ในมุมมองทั้ง 7 ประกอบด้วย

1. ธรรมาภิบาล (Governance)

2. การระบุความเสี่ยง (Identify)

3. การป้องกันความเสี่ยง (Protect)

4. การตรวจจับความเสี่ยง (Detect)

5. การตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ (Response) และการกู้คืนและการฟื้นฟูความเสียหาย (Recovery)

6. การตระหนักถึงสถานการณ์ความเสี่ยง (Situation Awareness)

7. การบริหารจัดการความเสี่ยงจากหน่วยงานภายนอก (Third Party Risk Management)

โดยส่วนใหญ่มีการอ้างอิงมาจาก NIST Cybersecurity Framework ที่มีวัตถุประสงค์เพื่อควบคุมสถานการณ์ และฟื้นฟูระบบให้คืนสู่สภาวะปกติให้เร็วที่สุด (Cyber Resilience) เมื่อมีเหตุการณ์การโจมตีทางไซเบอร์

ทั้งนี้เพื่อลดผลกระทบที่อาจเกิดขึ้นกับ Service Level Agreement (SLA) กับลูกค้าของสถาบันการเงิน

ยกตัวอย่าง Hong Kong Monetary Authority (HKMA) ได้ออกประกาศกรอบการประเมินความพร้อมด้าน Cyber Resilience เพี่อให้สถาบันการเงินภายใต้การกำกับดูแลใช้เป็นแนวทาง Best Practices ในการประเมินระดับความเสี่ยงทางไซเบอร์

และกำหนดแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์ และการรักษาความมั่นคงปลอดภัยทางไซเบอร์ให้เหมาะสมกับการประเมินวุฒิภาวะระดับความเสี่ยงทางไซเบอร์ของสถาบันการเงิน (Cyber Resilience Maturity Level)

สถาบันการเงินทั่วโลกรวมทั้งประเทศไทย จำเป็นต้องปรับตัวจากการเปลี่ยนแปลงเพื่อรองรับ Cybersecurity สำหรับการเข้าสู่สภาวะ Cyber Resilience แต่ต้องปรับจาก Information Security state เข้าสู่ Cybersecurity State เสียก่อน

โดยศึกษา NIST Cybersecurity Framework ให้เข้าใจอย่างถ่องแท้ และนำ NIST Cybersecurity Framework ไปทำ Gap Analysis ในองค์กร ให้เห็นสภาวะปัจจุบัน

เพื่อให้เข้าใจถึง “AS-IS” กับ “TO-BE” ตลอดจน Maturity Level ในปัจจุบันขององค์กร เพื่อรองรับ Cyber Resilience Assessment Framework ที่หน่วยงานกำกับสถาบันการเงินในประเทศไทยจะมีการประกาศข้อกำหนดเหล่านี้ ในรูปแบบของกรอบการประเมินความพร้อมด้าน Cyber Resilience ในเวลาอีกไม่นานนี้ ทั้งนี้เพื่อประโยชน์ของประชาชนคนไทยทุกคน ที่กำลังมุ่งหน้าสู่ Thailand 4.0 ในที่สุด