การกำกับดูแลข้อมูลและความปลอดภัยทางไซเบอร์

ธนาคารมุ่งก้าวสู่การเป็นองค์กรที่ขับเคลื่อนด้วยข้อมูล (Data Driven Organisation) เพื่อสร้างประสบการณ์ที่แตกต่างให้แก่ลูกค้า ด้วยการนำข้อมูลเชิงลึกที่ผ่านการวิเคราะห์อย่างเป็นระบบมาใช้ในการเพิ่มประสิทธิภาพการตัดสินใจเชิงนโยบายและกลยุทธ์ ตลอดจนต่อยอดผลิตภัณฑ์และบริการอย่างต่อเนื่อง ด้วยความสำคัญของข้อมูลซึ่งถือเป็นหัวใจในการเสริมสร้างขีดความสามารถทางการแข่งขัน ธนาคารจึงได้พัฒนากรอบการกำกับดูแลข้อมูล (SCB Data Governance Framework) ขึ้น เพื่อการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพและเกิดประสิทธิผลสูงสุด พร้อมจัดตั้งหน่วยงานกำกับดูแลข้อมูล (Data Governance Office) ซึ่งมีหน้าที่หลักในการศึกษาและทำความเข้าใจเกี่ยวกับข้อกำหนดหรือแนวปฏิบัติที่เป็นเลิศในด้านการกำกับดูแลข้อมูล รวมถึงการนำมาประยุกต์ใช้กับการดำเนินงานของธนาคาร โดยหน่วยงานกำกับดูแล ข้อมูลจะทำงานร่วมกับหน่วยงานที่เกี่ยวข้องภายในธนาคาร เพื่อปรับปรุงกระบวนการ ขั้นตอน และวิธีการใช้และดูแลข้อมูลความลับของลูกค้าและของธนาคารให้มีความรัดกุม

ความปลอดภัยทางไซเบอร์

ด้วยบริบทการดำเนินธุรกิจในปัจจุบันที่ข้อมูลส่วนใหญ่ขององค์กรจะถูกเก็บอยู่ในรูปแบบอิเล็กทรอนิกส์ ธนาคารจึงให้ความสำคัญอย่างยิ่งต่อการพัฒนาระบบความปลอดภัยสารสนเทศ ซึ่งรวมถึงการเคารพและรักษาสิทธิของข้อมูล ความเป็นส่วนตัวของลูกค้า โดยธนาคารได้กำหนดนโยบายความปลอดภัยสารสนเทศของธนาคาร และกลุ่มธุรกิจทางการเงิน ธนาคารไทยพาณิชย์ จำกัด (มหาชน) เพื่อให้พนักงานธนาคารและพนักงานบริษัทในกลุ่มธุรกิจทางการเงิน ที่รวมถึงพนักงานทดลองงานและพนักงานตามสัญญาจ้างชั่วคราว อีกทั้งคู่ค้าและที่ปรึกษาทุกคน ได้รับทราบและปฏิบัติตาม ภายใต้แนวปฏิบัติด้านความปลอดภัยเทคโนโลยี สารสนเทศ บนพื้นฐานของหลักการ Confidentiality- Integrity-Availability (CIA) ทั้งนี้ นโยบายดังกล่าวได้กำหนดหน้าที่และความรับผิดชอบที่ชัดเจนสำหรับการพัฒนา การนำไปใช้ และการติดตามการปฏิบัติตามนโยบายความปลอดภัยสารสนเทศ โดยมีคณะกรรมการเทคโนโลยีทำหน้าที่กลั่นกรอง และสนับสนุนให้มีการดำเนินงานเป็นไปตามนโยบาย พร้อมทั้งทบทวนและประเมินระดับความเหมาะสมของระบบความปลอดภัยสารสนเทศให้สอดคล้องกับยุทธศาสตร์ของธนาคาร และมีหน่วยงานตรวจสอบทำหน้าที่ตรวจสอบ และให้คำแนะนำในการปรับปรุงความปลอดภัยให้มีประสิทธิภาพอีกด้วย

ธนาคารประยุกต์ใช้แนวทางการดำเนินงานด้านไซเบอร์แบบเชิงรุก อาทิ การนำระบบติดตามภัยคุกคามด้านไซเบอร์ (Cybersecurity Threat Intelligent Surveillance) พร้อมทั้งพัฒนาเทคโนโลยี บุคลากร กระบวนการตรวจสอบภัยด้านไซเบอร์อย่างต่อเนื่อง เพื่อให้ธนาคารสามารถประเมินสถานการณ์และป้องกันการสูญเสียได้อย่างมีประสิทธิภาพ สำหรับการป้องกัน ความเสี่ยงด้านดังกล่าวจากภายในองค์กร ธนาคารได้ปรับใช้เทคโนโลยีการเรียนรู้ของเครื่อง (Machine Learning) ในการสำรวจพฤติกรรมของพนักงานหรือแฮกเกอร์ซึ่งช่วยให้สามารถคาดเดาพฤติกรรม หรือเหตุการณ์ความเสี่ยงต่อความปลอดภัยของข้อมูลลูกค้าและธนาคาร

พร้อมกันนี้ เพื่อบริหารจัดการและป้องกันความเสี่ยงที่อาจเกิดขึ้นจากผู้ให้บริการภายนอกที่ธนาคารร่วมงานด้วย ธนาคารได้กำหนดนโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing) ซึ่งรวมถึงการให้บริการะบบคลาวด์ (Cloud Computing) นโยบายดังกล่าวครอบคลุมแนวทางการดำเนินงาน อาทิ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (Security) การรักษาความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (Integrity) และการคุ้มครองผู้ใช้บริการของธนาคาร (Consumer Protection) โดยธนาคารได้กำ หนดผู้มีอำนาจอนุมัติสำหรับการใช้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศในแต่ละประเภท ตลอดจนจัดให้มีการตรวจสอบการใช้บริการจากผู้ให้บริการภายนอก และรายงานให้ธนาคารแห่งประเทศไทยรับทราบเป็นประจำทุกปี เพื่อให้ธนาคารมั่นใจได้ว่า ผู้ให้บริการภายนอกต้องให้บริการอย่างต่อเนื่องแก่ผู้ใช้บริการเสมือนกับธนาคารเป็นผู้ดำเนินการเอง ตลอดจนผู้ให้บริการภายนอกรับผิดชอบเสมือนกับให้บริการเอง

การบริหารความเสี่ยงทางไซเบอร์

การมีระบบเทคโนโลยีสารสนเทศ เครือข่าย และระบบโครงสร้างพื้นฐานที่มีความน่าเชื่อถือ มีความพร้อมใช้งานตลอดเวลา และสามารถฟื้นฟูได้อย่างรวดเร็วเป็นสิ่งสำคัญในการรักษา ความไว้วางใจของลูกค้าและความสามารถในการดำเนินธุรกิจ ธนาคารจึงดำเนินนโยบายการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศร่วมกับนโยบายบริหารความต่อเนื่องทางธุรกิจและการจัดการวิกฤตการณ์ (Business Continuity Management (BCM) and Crisis Management Policy) และนโยบายอื่น ๆ ที่เกี่ยวข้องซึ่งรวมถึง Cyber Security Incident Response Plan นอกจากนี้ ธนาคารมีการทดสอบและซักซ้อมเพื่อการพัฒนาศักยภาพบุคลากรที่เกี่ยวข้อง รวมถึงด้านเทคโนโลยีและกระบวนการตอบสนองต่อภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ในรูปแบบที่หลากหลาย ซึ่งประกอบด้วย

  • การทดสอบ Phishing Stimulation
  • การทดสอบการโจมตีแบบเสมือนในรูปแบบจำลองเทคนิคการโจมตีทางไซเบอร์ (Red-Team Exercise) ตามกลุ่มโจมตีทางไซเบอร์ (Cyberthreat Actor)
  • การทดสอบ Table-Top ร่วมกับหน่วยงานที่เกี่ยวข้องกับแผน Cyber Security Incident Response Plan
  • การทดสอบกู้ระบบแบบ Surprise Stimulation

การจัดการตามมาตรฐานสากล

ธนาคารได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ด้านระบบบริหารความปลอดภัยเทคโนโลยีสารสนเทศ (Information Security Management System: ISMS) มาอย่างต่อเนื่องเป็นปีที่ 8 นับตั้งแต่ปี 2558

การบริหารจัดการด้านมาตรการรักษาความปลอดภัยและความลับของข้อมูลในช่วง Work From Home

จากสถานการณ์การแพร่ระบาดของโควิด-19 และวิถีชีวิตใหม่ (New Normal) ส่งผลให้ธนาคารอาจมีความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์เพิ่มขึ้น จากการที่พนักงานต้องปฏิบัติงานจากที่บ้านและต้องทำการเชื่อมต่อข้อมูลระยะไกลเข้ากับระบบสารสนเทศของธนาคาร ซึ่งเป็นการเปิดโอกาสให้เกิดการโจรกรรมข้อมูล หรือเกิดการโจมตีระบบของธนาคาร ในขณะเดียวกันสถานการณ์นี้ได้ผลักดันให้เกิดการเติบโตของการใช้แอปพลิเคชันบนอุปกรณ์พกพา (Mobile Devices) ในการทำธุรกรรมทางการเงินต่าง ๆ อย่างก้าวกระโดด ดังนั้น ธนาคารจึงต้องมีการบริหารจัดการความเสี่ยงด้านไซเบอร์อย่างเหมาะสม อีกทั้งต้องมีความพร้อมเพื่อให้ระบบแอปพลิเคชันบนอุปกรณ์พกพาสามารถรองรับปริมาณการทำธุรกรรมจำนวนมากได้ และเตรียมความพร้อมเพื่อแก้ไขระบบแอปพลิเคชันบนอุปกรณ์พกพาให้กลับมาเป็นปกติได้อย่างรวดเร็วที่สุดหากเกิดปัญหา เพื่อให้ธนาคารสามารถให้บริการลูกค้าได้อย่างต่อเนื่อง โดยต้องทำการพิสูจน์ตัวตนแบบ Two-Factor Authentication ใช้ช่องทางที่มีการเข้ารหัสข้อมูล อาทิ เครือข่ายเสมือนส่วนตัว (Virtual Private Network: VPN) ที่สามารถป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลได้