ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของสถาบันการเงิน
โดยพันเอก ดร. เศรษฐพงค์ มะลิสุวรรณ
ประธานกรรมการกิจการโทรคมนาคม และรองประธาน กสทช.
สถาบันการเงินได้มีการชี้ประเด็นปัญหาของความมั่นคงปลอดภัยด้านไซเบอร์และความเสี่ยงด้านไซเบอร์ ที่จะเกิดจากการใช้เทคโนโลยีมาแล้วเป็นเวลากว่าทศวรรษ อย่างไรก็ตามเหตุการณ์ภัยคุกคามในด้านไซเบอร์ที่เกิดขึ้นก็ทำให้เห็นแล้วว่า การจัดการกับความเสี่ยงด้วยวิธีการเดิมๆนั้น ไม่สามารถนำมาใช้แก้ปัญหาในปัจจุบันได้อย่างมีประสิทธิภาพอีกต่อไป
ความเสี่ยงด้านไซเบอร์นั้น เป็นประเด็นมากเกินกว่าปัญหาด้านเทคโนโลยี แต่มันเป็นปัญหาเชิงยุทธศาสตร์ของการทำธุรกิจด้านการเงินไปเสียแล้ว วิธีการต่างๆที่สถาบันการเงินนำมาใช้เพื่อการจัดการกับความเสี่ยงด้านไซเบอร์ดูเหมือนจะก้าวหน้าไม่ทันต่อการเปลี่ยนแปลงของปัญหาเสียแล้ว วิธีการดังกล่าวที่เราเรียกว่า controls and compliance based, perimeter-oriented ซึ่งเราใช้ในการมุ่งเน้นที่จะรักษาข้อมูล back office ซึ่งไม่ได้ครอบคลุมไปถึงปัญหาที่แท้จริงที่เกิดขึ้นในปัจจุบันเลย
การจัดการความเสี่ยงด้านไซเบอร์ (Cyber risk management) เป็นปัญหาที่ซับซ้อนอย่างยิ่ง ซึ่งต้องการการเข้าร่วมของฝ่ายบริหารระดับสูงเข้ามาดูแลอย่างใกล้ชิดในหลายมิติ ไม่ว่าจะเป็นการกำหนด Governance ขององค์กร การพิจารณาเลือกเทคนิกการจัดการความเสี่ยง การวิเคราะห์ภัยคุกคาม การสร้างความร่วมมือให้เกิดทั่วทั้งองค์กร ไปจนถึงการตัดสินใจที่จะเลือกตัวแบบการดำเนินการธุรกิจรูปแบบใหม่ให้สอดคล้องต่อสภาวะแวดล้อมในปัจจุบันและอนาคต
ผู้บริหารระดับสูงของสถาบันการเงินต้องเข้าใจถึงวัตถุประสงค์และเป้าหมายที่แท้จริงของการจัดการความเสี่ยงด้านไซเบอร์ ซึ่งมีเป้าหมายสุดท้ายเพื่อการสร้างองค์กรให้เกิด “การปรับตัวเข้าสู่ไซเบอร์” หรือที่เรียกว่า Cyber resilience โดยจะทำให้องค์กรมีระบบที่มีขีดความสามารถในการดำเนินการธุรกิจได้อย่างปลอดภัย สามารถตรวจจับ (detect) ภัยคุกคามด้านไซเบอร์ (cyber threats) และสามารถตอบโต้ (respond) เหตุการณ์การที่องค์ถูกโจมตีทางไซเบอร์ เพื่อลดโอกาสที่จะทำให้องค์กรหยุดชะงักในการดำเนินธุรกิจ (business disruption) และลดโอกาสที่จะทำให้องค์เกิดความสูญเสียให้น้อยที่สุด
ดังนั้น กลุ่มผู้บริหารระดับสูงจะต้องตระหนักถึงบทบาทหน้าที่ในการที่จะนำพาองค์กรสามารถปรับตัวเข้ากับภัยคุกคามรูปแบบใหม่ได้ และสามารถปรับโครงสร้างองค์กรให้มีความยืดหยุ่นจนมีขีดความสามารถในการต้านทานต่อภัยคุกคามไซเบอร์ รวมทั้งจะต้องพัฒนาบุคคลากรให้มีความตระหนักและมีขีดความสามารถในการทำงานภายใต้สิ่งแวดล้อมไซเบอร์ได้อย่างมีประสิทธิภาพ โดยกลุ่มผู้บริหารระดับสูงขององค์กรสถาบันการเงิน ควรที่จะต้องดำเนินการตามขั้นตอนดังนี้คือ
- กำหนดกระบวนการที่ชัดเจน โปร่งใส ในการดำเนินการเพื่อลดความเสื่ยงต่อภัยคุกคามด้านไซเบอร์
- ทำความเข้าใจระบบนิเวศน์และสิ่งแวดล้อมด้านไซเบอร์ขององค์กร เพื่อให้เข้าใจถึงขอบเขตด้านไซเบอร์ที่จะต้องบริหารจัดการความเสี่ยงในองค์กร
- กำหนดและบ่งชี้ถึงขั้นตอนและกระบวนการใดในองค์กรที่มีความวิกฤตและอ่อนไหวต่อภัยคุกคามด้านไซเบอร์
- กำหนดและบ่งชี้ถึง Asset ขององค์กรที่มีความวิกฤตและอ่อนไหวต่อภัยคุกคามด้านไซเบอร์
- กำหนดและบ่งชี้ภัยคุกคามด้านไซเบอร์ (Cyber threats)
- วางแผนการตอบโต้ภัยคุกคามด้านไซเบอร์ รวมไปถึงการทำมาตรฐาน คู่มือ และการปรับพัฒนาเทคโนโลยีความมั่นคงปลอดภัยไซเบอร์ ให้มีประสิทธิภาพ
สถาบันทางการเงินมีแนวโน้มที่จะถูกโจมตีทางไซเบอร์สูงขึ้นตลอดเวลา ด้วยวิธีการใหม่ๆจากแฮกเกอร์ ทั้งในรูปแบบการจารกรรมข้อมูล ที่เกิดจากคนภายนอกและภายในองค์กร และทั้งจากกลุ่มแฮกเกอร์ที่มีบางประเทศสนับสนุนอยู่เบื้องหลัง (nation-states’ threats) ซึ่งจะทำให้องค์กรเกิดความสูญเสียทั้งเงิน เวลา ทรัพยากร และชื่อเสียง ดังนั้นกลุ่มผู้บริหารระดับสูงจึงควรให้ความสำคัญเป็นอันดับแรกในการบริหารองค์กรนับจากนี้ไป
อ่านเพิ่มเติม https://www.it24hrs.com/2016/cybersecurity-last-answer/