รีเซต

ภาคธนาคาร ชี้รู้ทันไซเบอร์ เริ่มที่ผู้บริหาร แนะ 3 ส.ต้องระวัง

ภาคธนาคาร ชี้รู้ทันไซเบอร์ เริ่มที่ผู้บริหาร แนะ 3 ส.ต้องระวัง
มติชน
30 มีนาคม 2565 ( 15:49 )
70

เมื่อเวลา 10.40 น. วันที่ 30 มีนาคม นายชัชวัฒน์ อัศวรักวงศ์ ประธานกรรมการศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) (Chairman of TB-CERT) กล่าวในวงเสวนาเรื่อง เปิดมุมมองความปลอดภัยไซเบอร์ 2022 ในงานสัมมนาเรื่อง “ไทยกับความปลอดภัยไซเบอร์ 2022” ผ่านรูปแบบไลฟ์สตรีมมิ่งผ่านเฟซบุ๊ก เครือมติชน ไลน์ออฟฟิเชียลมติชน และยูทูบมติชนทีวี ที่อาคารสํานักงาน บริษัท มติชน จํากัด (มหาชน) ว่า เรื่องของภาคการเงินการธนาคาร ตอบได้ยากว่า เสี่ยงมากเสี่ยงน้อยแค่ไหน แต่โดยธรรมชาติของโจรแล้ว เขาเห็นเงินที่ไหนเขามาที่นั้น เขาเห็นโอกาสที่ไหนเขาจะมาที่นั้น ในวงของธนาคารเอง ถ้าพูดถึงเรื่องความเข้มแข็งหรือเปล่าอ่อนไหวหรือเปล่า ในวงธนาคารให้ความสำคัญกับไซเบอร์ซีเคียวริตี้มานานหลายปี ธุรกิจธนาคารอยู่ได้ด้วยความน่าเชื่อถือ เป็นกลไกหลักของภาคเศรษฐกิจ ถ้าเกิดว่ากระบวนการในการใช้จ่าย ฝาก ถอน โอนเงิน มีปัญหาโดนโจมตี ทำให้ความน่าเชื่อถือของสถาบันการเงิน โดยรวมหรือของประเทศชาติหายไปด้วย เลยเป็นที่มาของภาคธนาคารที่ให้ความสำคัญมาอย่างต่อเนื่อง

 

“ผมคงไม่อยากจะบอกว่าธนาคารเข้มแข็ง เก่งแล้ว ปลอดภัยแล้ว พูดไม่ได้ อันหนึ่ง คือ การโจมตีทางไซเบอร์ ไม่มีอะไรแน่นอน ความเข้มแข็งจริง ไม่ได้แปลว่าจะโดนแฮก ความเข้มแข็งในเชิงไซเบอร์ซีเคียวริตี้ แปลว่า การป้องกันต้องดีเยี่ยมอยู่แล้ว ต้องป้องกันให้มากที่สุด เท่าที่เราจะลงแรงความสามารถลงไปได้ เทคโนโลยีอะไรที่มันต้องมีที่ป้องกัน มั่นใจได้ว่าธนาคารได้พยายามซื้อมา และทำให้ดีที่สุด” นายชัชวัฒน์ กล่าว

 

นายชัชวัฒน์ กล่าวว่า แต่การจัดการเรื่องไซเบอร์ มันนอกเหนือจากเทคโนโลยี มีเรื่องของกระบวนการ การให้ความรู้ความเข้าใจกับบุคคลากร รวมไปถึงทักษะสกิลของคนด้วย เพราะฉะนั้นต้องผสมผสานกัน ความเข้มแข็งแปลว่า ไม่ควรโดนแฮก แต่เราป้องกันไม่ได้ไม่มีอะไรร้อยเปอร์เซ็น เหมือนเราไปห้ามโจรไม่ให้แฮกเราก็ไม่ได้ ห้ามโจรว่าไม่ให้เข้ามาในหมู่บ้าน ฉันป้องกัน ฉันปลอดภัยดี คุณอย่าเข้ามาเลย ไม่มีอยู่จริง โจรเขาอยู่ด้านมืด พยายามจะโจมตีเราอยู่แล้ว สิ่งที่เข้มแข็งคือป้องกันให้ดีที่สุด และถ้าเกิดเหตุเราต้องรู้ให้เร็วที่สุด อันนี้คือปัจจัยความเข้มแข็งอยู่ตรงนี้ ท่านอาจเข้าใจว่าเข้มแข็งแปลว่าไม่โดนแฮกเลย ไม่มีอยู่จริง ความเข้มแข็งแปลว่าป้องกันให้ดีที่สุด ถ้าเกิดเหตุต้องรู้ให้เร็วที่สุด และตอบสนองต่อเหตุการณ์ให้เร็วที่สุด เพื่อให้ลดผลกระทบที่เกิดขึ้น ไม่ว่าจะเกิดกับภาคธนาคารหรือโดยรวมของประเทศ

ในวงของธนาคาร เราพยายามสร้างเรื่องพวกนี้อย่างต่อเนื่อง ไม่ว่าจะเป็นการป้องกันรับมือ อย่างที่ช่วงแรก มีการพูดว่ามีการซักซ้อม Cyber Drill ในระดับประเทศ เช่นเดียวกันกับภาคธนาคารที่มีการซ้อม เราพยายามจะซ้อมว่าขนาดของ Worst Case Scenario (สถานการณ์เลวร้ายที่สุด) ถ้าโดนโจมตีจะทำกันอย่างไร เพราะอย่างที่บอกไม่มีอะไรป้องกันได้ร้อยเปอร์เซ็นแน่ ฉะนั้นเราต้องคิดถึงสถานการณ์เลวร้ายที่สุด เพื่อรับมือว่าถ้าเกิดเกิดเหตุจะรับมืออย่างไร เราจะทำให้ประชาชนจะมั่นใจว่าสถาบันการเงินยังน่าเชื่อถืออยู่ และผลกระทบที่เกิดขึ้นน้อยที่สุด อันนี้คือสิ่งที่ธนาคารผลักดันกันในวงร่วมกัน และที่สำคัญไม่ใช่แค่ธนาคารใดธนาคารหนึ่งเข้มแข็งแล้วจะปลอดภัย

นายชัชวัฒน์ กล่าวว่า ธนาคารเองจึงมีที่มาที่ไปในการจัดตั้ง “TB-CERT” ย่อมาจาก Thailand Banking Sector Computer Emergency Response Team คือการรวมตัวกันของธนาคารสมาชิก ทุกธนาคารส่งทีมซีเคียวริตี้มาเป็นสมาชิก เพื่อร่วมมือกัน ถ้าเกิดใครพบตรวจเหตุผิดปกติ เราจะแชร์กัน เราจะมีการส่งต่อข้อมูลกัน ธนาคารผมเจอแบบนี้นะ ธนาคารคุณเจอไหม ถ้าไม่เจอเอาข้อมูลไปวิเคราะห์หน่อย แล้วไปป้องกันเชิงรุก ไม่ต้องรอให้เจอแล้วถึงจะมารับมือ อันนี้ก็คือการก่อตั้ง TB-CERT

TB-CERT เป็นกลาง ไม่ยึดติดกับอะไร เอาหลักการเป็นหลักในการรับมือภัยไซเบอร์ ในเชิงภาพรวมของสถาบันการเงิน เราจะให้ความเห็นแบบอิสระ นอกเหนือจากการแชร์ข้อมูลแล้ว เรายังมี 3 เรื่อง เรื่องแรก การออกมาตรฐาน ในสถาบันการเงิน เรามีการใช้แอพพลิเคชั่น เรามีการใช้เทคโนโลยีใหม่ๆ อยู่เรื่อยๆ การที่ทำให้ปลอดภัยมีมาตรฐานเหมือนกัน เราจะร่วมออกมาตรฐานร่วมกับธนาคารแห่งประเทศไทย (ธปท.) เพื่อให้มาตรฐานใช้ได้จริง ไม่ใช่ว่าไม่รู้ว่าออกมาโดยใคร แล้วมาบังคับใช้ อีกเรื่อง คือ การให้ความรู้ประชาชน พยายามให้ตระหนักรู้ภัยเกี่ยวกับไซเบอร์ เกี่ยวกับสถาบันการเงิน เราจะให้ข้อมูลอยู่เรื่อยๆ ส่วนเรื่องสุดท้าย เป็นเรื่องใหญ่ของทุกภาคส่วนคือเรื่องคน เราพยายามจะเพิ่มศักยภาพ เพิ่มสกิลให้คน ให้สมาชิกของเราด้วย สมาชิกของธนาคารที่ทำงานด้านไซเบอร์ซีเคียวริตี้จะได้มีความพร้อม ถ้าเกิดมีเหตุภัยโจมตีเข้ามา เราจะได้รับมือได้ทัน ไม่ว่าจะจัด Cyber Combat เราจัดแข็งขันเหมือนกัน ให้ตั้งทีมมาแฮกแข่งกัน ว่า ใครทำคะนนดีที่สุด เพื่อให้สร้างสกิลผ่านการเล่นเกม เพื่อให้เกิดบรรยากาศ และจัดการจัดประชุม Webinar อยู่เรื่อยๆ เพื่อเสริมสร้างความมั่นใจให้กับบุคลากรภาคธนาคาร

“คนที่พยายาม จะบุกรุกวงมาที่ธนาคารมีอยู่เยอะมาก มีทุกวัน ทุกวินาที คนที่บอกว่าโดนโจมตีน้อย แปลว่า อาจจะไม่ได้เห็นเข้ามา ไม่มีอุปกรณ์ที่เห็นว่าเขาบุกรุกมารึเปล่า บางคนมองว่าภาคธนาคารโดนโจมตีเยอะ จะบอกว่าเรามีประสิทธิภาพที่เราสร้าง เราต้องรู้เร็วถึงจะจัดการทัน” นายชัชวัฒน์ กล่าว

นายชัชวัฒน์ กล่าวว่า อยากจะเสริมเรื่องการจัดการไซเบอร์ ต้องมาจาก Top-Down (ท็อปดาวน์) อันดับแรกผู้บริหารระดับสูง ต้องเข้าใจว่ามันสำคัญ ถ้าผู้บริหารระดับสูงเห็นว่าไม่สำคัญ ผมว่า น่าจะเกิดยาก ในวงธนาคารให้ความสำคัญกับเรื่องนี้มาก เมื่อ 2 ปีที่แล้วถึงขั้น เชิญกรรมการของทุกธนาคารไปอบรมไปให้ความรู้เรื่องไซเบอร์ซีเคียวริตี้ พอหลังจากการอบรมแล้ว กลายเป็นวาระประจำของการประชุมบอร์ด ถามหาว่าเป็นอย่างไร รับมือป้องกันอย่างไร เป็น It’s a must ไม่ใช่รายงานกันขำๆ ตอนนี้ในโลกโซเชียลมีข่าวเรื่องโจมตีไซเบอร์กันเยอะ บอร์ดจะส่งมาถามเองเลย ว่าเรื่องนี้เป็นอย่างไร เราดูแลดีหรือยัง เลยเน้นย้ำว่าเรื่องของท็อปดาวน์สำคัญที่สุด รวมถึงองค์กรกำกับด้วย ทั้งบอร์ดและองค์กรกำกับกลไกในการทำงานมันจะเดิน

เรื่องที่สอง การจัดการไซเบอร์ เป็นการกำจัดความเสี่ยงได้ส่วนหนึ่ง ซึ่งต้องมีการประเมินว่ามีความเสี่ยงอะไร อะไรคือทรัพย์สินที่มีค่าของเรา อยู่ตรงไหน มีเท่าไหร่ ถ้าเกิดเราไม่รู้ว่ามีเครื่องคอมพิวเตอร์อยู่เท่าไหร่ ก็ไม่ต้องไปพูดถึงว่าจะป้องกันอย่างไร เป็นจุดที่ต้องทำในสิ่งไม่รู้ ต้องรู้ให้ได้ เพื่อที่เราจะจัดการได้

เรื่องที่สาม การจัดการไซเบอร์ซีเคียวริตี้ ไม่ใช่เรื่องแค่เทคโนโลยี หรือไอที มันเป็นเรื่องของภาพทั้งกระบวนการ และคน ซึ่งตอนนี้ธนาคารให้ความสำคัญเรื่องของคนเป็นลำดับต้นๆ อย่างหน่วยงานที่โดนฟิชชิ่งเมลเข้ามาฉบับเดียว กดลิงก์ทีเดียวพังเลย เขาต้องการแค่รูเดียวทำลายองค์กรเรา ความตระหนักรู้ของพนักงานจึงสำคัญที่สุด หลายองค์กรต้องการให้เป็นวัฒนธรรม เราคาดหวังว่าแสดงพฤติกรรมอย่างเป็นธรรมชาติ ไม่ใช่ว่าฉันทำเพราะถูกบังคับ มีกฎหมายบังคับ ถ้าเขาหลบเลี่ยงได้เขาจะหลบ แต่ถ้าเกิดเขาเข้าใจจนเป็นวัฒนธรรมการใช้ชีวิต อย่างตอนนี้เราเดินออกมาข้างนอกต้องใส่หน้ากาก เป็นวัฒนธรรมที่ต้องใช้ชีวิตในช่วงนี้ เช่นเดียวกัน อยากให้พนักงานของเราและทุกหน่วยงาน จะใช้งานคอมพิวเตอร์ ต้องรู้จักดูแลรหัสผ่านอย่างไร ได้รับเอสเอ็มเอสให้เงินฟรี ไม่มีทางเป็นไปได้ จึงอยากให้เกิดการรักษาความมั่นคงปลอดภัยไซเบอร์ที่จำเป็น (Cyber Hygiene) ในระดับประเทศ

เรื่องสุดท้าย เราต้องเซ็ท Foundation (รากฐาน) ก่อน ไม่ใช่ว่าทุกองค์กรต้องทำไซเบอร์ซีเคียวริตี้ ต้องไปซื้อเทคโนโลยีสุดยอดมาติดตั้ง ถ้าเกิดว่าเราไม่รู้ว่าของที่มีค่าที่สุดในการป้องกัน จัดลับความเสี่ยงออกมาว่าอันไหนเสี่ยงต่ำเสี่ยงน้อย ถ้าเราไม่มีรากฐานที่ดี เราเอาเทคโนโลยีสุดยอดมาก็ไม่มีประโยชน์ เช่น เรามีคอมพิวเตอร์ 100 เครื่องต้องจัดการ แต่เราไม่รู้ว่ามีทั้งหมด 100 เครื่อง โดยซื้อโปรแกรมแอนตี้ไวรัส 80 เครื่อง เพราะไม่รู้ว่าอีก 20 เครื่องอยู่ไหน เขาก็โจมตีมาที่ 20 เครื่องที่เหลือแทน องค์กรก็เจ๊งอยู่ดี สิ่งที่ฝากตั้งรากฐานให้ดีก่อนที่จะมองไปถึงขั้นสูง

นายชัชวัฒน์ กล่าวว่า เป็นนิมิตหมายที่ดีที่เรามีหน่วยงาน สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เป็นรูปธรรม คอยผลักดันส่งเสริมให้ระดับประเทศกับกลุ่มหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) สกมช. ได้พยายามผลักดันเรื่องของการอบรม พัฒนาบุคลากรให้มากขึ้น ที่อยากจะเสริมคือเรื่องของการศึกษาไซเบอร์ซีเคียวริตี้ระดับคนทำงาน แตเราต้องททำอย่างไรให้นักเรียน หรือมหาวิทยาลัยมีหลักสูตรแบบนี้ ไม่ใช่ว่าสอนแต่เขียนโปรแกรมให้ใช้งานได้ แต่จะมีซักกี่มหาวิทยาลัยสอนให้เขียนโปรแกรมให้ปลอดภัย ถ้านักศึกษาไม่รู้ว่า Secure by Design หรือพัฒนาโปรแกรมให้ปลอดภัยคืออะไร ก็ออกมาพัฒนาแอพพลิเคชั่นไม่ปลอดภัย การสร้างพื้นฐานที่ดีต้องสร้างที่ระดับการศึกษา นักเรียนควรจะรู้ เด็กควรจะรู้ความปลอดภัยในการใช้โซเชียล ควรจะผลักดันตั้งแต่เด็กๆ

ส่วนในภาคประชาชน ไม่ใช่เรื่องการโจมตีทางไซเบอร์โดยตรง อย่างเรื่องแก๊งคอลเซ็นเตอร์ ที่อย่างน้อยทุกคนต้องเจอให้หลอกลวงทำสิ่งต่างๆ ซึ่งทาง TB-CERT ได้มีการสื่อสารกับประชาชน ว่าไม่ต้องตื่นตระหนกกับสายที่รับมา หรือถ้าเกิดว่าเราทำพฤติกรรมอย่างที่แก๊งคอลเซ็นเตอร์ว่า ก็ควรมีการตรวจสอบ หรือตัว “เอ๊ะ” ที่จะให้ปลอดภัย ไม่เป็นเหยื่อของแก๊งเหล่านี้ ต่อมาเอสเอ็มเอสฟิชชิ่งปลายปีที่แล้วมาเพียบเลย เราแค่มี 3 ส คือ สงสัย สังเกต ส่งข่าวแจ้งต่อ ต้องระวังกันต่อ ถ้ายิ่งมีเหยื่อโจรจะได้ใจ แต่ถ้าส่งมา แล้วไม่มีการกดลิงก์กลับ เรื่องนี้ก็จะค่อยๆหายไปเอง

“เรื่องสุดท้าย Fake News (ข่าวปลอม) ซึ่งกระทบในวงกว้าง ยกตัวอย่างเรื่อง ตู้เอทีเอ็มมีไฟกระพริบไม่ควรใช้จะโดนแฮ็ก เป็นข่าวปลอมที่วนมา 5 ปีแล้ว สมมติว่ามีข่าวปลอมว่ามีหน่วยงานทำข้อมูลรั่ว ทำให้หน่วยงานนั้นได้รับผลกะทบ สุดท้าย “ต้องมีสติก่อนคลิก” ไม่ว่าจะอีเมล เอสเอ็มเอส ไลน์ “ใช้สติก่อนแชร์” ให้เราเอ๊ะไว้ก่อน ไม่แน่ใจให้รายงานกับหน่วยงานที่เกี่ยวข้อง ภาคประชาชนจะได้ปลอดภัยขึ้น” นายชัชวัฒน์ กล่าว

ข่าวที่เกี่ยวข้อง