ความปลอดภัยทางไซเบอร์
ด้วยความซับซ้อนและความเชื่อมโยงของโครงสร้างพื้นฐานหลักของธนาคารเพื่อเปลี่ยนผ่านไปสู่นวัตกรรมดิจิทัลเทคโนโลยี (Digital Transformation) ส่งผลให้ธนาคารต้องให้ความสำคัญอย่างยิ่งต่อระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์เพื่อเสถียรภาพและความปลอดภัยของระบบและการดำเนินงานของธนาคาร ตลอดจนเพื่อบรรเทาความเสี่ยงด้ายภัยคุกคามทางไซเบอร์ซึ่งอาจส่งผลให้เกิดความสูญเสียทางการเงินและชื่อเสียง นอกจากนี้ ระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ยังเป็นพื้นฐานที่สำคัญของระบบธนาคารที่ช่วยสร้างและรักษาความเชื่อมั่นของลูกค้า
ธนาคารมีโครงสร้างการบริหารงานผ่านคณะกรรมการและคณะผู้บริหารในการกำกับดูแลทางด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล โดยในระดับคณะกรรมการ ได้มีการแต่งตั้งคณะกรรมการกำกับเทคโนโลยีสารสนเทศทำหน้าที่ในการกำกับดูแลการกำหนดกลยุทธ์ นโยบาย และแผนปฏิบัติการด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ ตลอดจนควบคุมดูแลความเสี่ยงด้านความปลอดภัยทางไซเบอร์ นอกจากนี้ ในระดับบริหาร มีการแต่งตั้งคณะกรรมการความเสี่ยงทางด้าน non-financial risk ทำหน้าที่บริหารความมั่นคงปลอดภัยของข้อมูลและภัยคุกคามทางไซเบอร์ ทั้งนี้ คณะกรรมการธนาคารได้แต่งตั้งประธานเจ้าหน้าที่บริหารความปลอดภัยของข้อมูล (Chief Information Security Officer: CISO) เพื่อปกป้องข้อมูลทางการเงินของลูกค้า โดยประธานเจ้าหน้าที่บริหารความปลอดภัยของข้อมูลมีบทบาทหน้าที่และความรับผิดชอบในการกำหนดทิศทางและกลยุทธ์ของธนาคารในการบริหารจัดการความปลอดภัยทางไซเบอร์ พัฒนาเทคโนโลยีและกระบวนการความปลอดภัยแบบครบวงจร และลดความเสี่ยงที่เกี่ยวกับความปลอดภัยของข้อมูลให้เหลือน้อยที่สุด ทั้งนี้ เพื่อให้เกิดความมั่นใจว่าการดำเนินงานของธนาคารสอดคล้องกับนโยบายและมาตรฐานต่างๆ หน่วยงานตรวจสอบยังได้ดำเนินการทวนสอบผลการดำเนินงานทางด้านภัยคุกคามทางไซเบอร์และให้คำแนะนำเพื่อการปรับปรุงต่อไป
โครงสร้างพื้นฐานและระบบด้านไอทีคือแกนหลักของธนาคาร ธนาคารได้จัดทำนโยบายการบริหารจัดการความเสี่ยงทางไซเบอร์และดิจิทัลซึ่งเผยแพร่และบังคับใช้กับพนักงานทุกคน โดยเนื้อหานโยบายระบุถึงแนวทางการบริหารจัดการเพื่อบริหารความเสี่ยงด้านข้อมูลและมาตรฐานขั้นต่ำในการปกป้องข้อมูลของธนาคารในทุกภาคส่วนขององค์กรตลอดจนผู้ให้บริการที่ธนาคารจัดจ้าง โครงสร้างพื้นฐานและระบบด้านไอทีได้รับการตรวจสอบ พัฒนา และรักษาสภาพเพื่อความมีประสิทธิภาพอยู่อย่างสม่ำเสมอ นอกจากนี้ ธนาคารยังได้ฝึกซ้อมแผนความต่อเนื่องทางธุรกิจเป็นประจำทุกปีเพื่อทดสอบการบริหารสถานการณ์และระยะเวลาเป้าหมายที่ใช้ในการกู้คืนเมื่อเกิดการหยุดชะงัก ทั้งนี้ ธนาคารยังมุ่งปรับปรุงเสถียรภาพของเทคโนโลยีเพื่อให้สามารถรับมือกับภัยคุกคามต่างๆ และให้บริการลูกค้าได้อย่างต่อเนื่อง โดยธนาคารได้กำหนดมาตรฐานขั้นต่ำในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลงทางด้านไอที (IT Resilience Minimum Standard) ขึ้น เพื่อให้มั่นใจว่าระบบไอทีของธนาคารจะไม่หยุดชะงัก
ธนาคารมีระบบในการป้องกัน ตรวจจับ และตอบโต้การโจมตีทางไซเบอร์ โดยมีกรอบการดำเนินงานด้านภัยคุกคามทางไซเบอร์ของธนาคารอ้างอิงจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology – NIST) ประกอบไปด้วย 5 ส่วน ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบโต้ และการกู้คืน ทั้งยังมีเครือข่ายความมั่นคงอีกหลายชั้นเพื่อการป้องกันสูงสุด โดยธนาคารยังติดตามตรวจสอบผลการดำเนินงานตามกรอบดังกล่าวอย่างสม่ำเสมอและนำเสนอรายงานรายไตรมาสต่อคณะกรรมการย่อย นอกจากนี้ ธนาคารยังได้ทดสอบการตอบโต้ในสถานการณ์ฉุกเฉินเป็นประจำทุกปี เพื่อทดสอบระบบความปลอดภัยและตรวจหาจุดที่ต้องปรับปรุงต่อไป
ธนาคารได้พัฒนามาตรฐานขั้นต่ำขึ้น 2 มาตรฐาน ได้แก่ มาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลง (Cybersecurity and Resilience Minimum Standard) และมาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอที (IT Security Monitoring Minimum Standard) โดยมาตรฐานขั้นต่ำสำหรับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงมุ่งเน้นการติดตามตรวจสอบเกี่ยวกับภัยคุกคามทางไซเบอร์และความสามารถในการปรับตัวต่อการเปลี่ยนแปลงและประสิทธิภาพในการดำเนินงานอย่างทันท่วงที ซึ่งเป็นการเตรียมความพร้อมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในปัจจุบันและอนาคต ตลอดจนภัยคุกคามที่คาดไม่ถึงหรือไม่เคยเกิดขึ้นมาก่อน ในขณะที่มาตรฐานขั้นต่ำในการตรวจตราความมั่นคงปลอดภัยทางไอทีมีวัตถุประสงค์เพื่อกำหนดข้อบังคับในการควบคุมที่เกี่ยวข้องกับการตรวจตราความมั่นคงปลอดภัยทางไอที ซึ่งประกอบไปด้วย การตรวจสอบความสอดคล้องทางเทคนิค การตรวจสอบหาช่องโหว่ การทดสอบการเจาะระบบ การทบทวนรหัสความปลอดภัย และการติดตามตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย
ธนาคารได้พัฒนาโปรแกรมการฝึกอบรมออนไลน์ (e-learning) ในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อสร้างความตระหนักและความเข้าใจ ตลอดจนให้ความรู้เกี่ยวกับวิธีการในการป้องกันการโจมตีทางไซเบอร์และการคุกคามทางไซเบอร์แก่พนักงาน โดยธนาคารได้กำหนดให้พนักงานทุกคนต้องผ่านการฝึกอบรมทางด้านความเสี่ยงของข้อมูล เพื่อให้พนักงานทุกคนตระหนักถึงความเสี่ยงของข้อมูลและการป้องกันภัยคุกคามทางไซเบอร์ต่างๆ เช่น มัลแวร์ พิชชิ่ง และสื่อสังคมออนไลน์ ทั้งนี้ คณะกรรมการธนาคารก็ผ่านการฝึกอบรมด้านภัยคุกคามทางไซเบอร์จากหน่วยงานภายนอก ซึ่งมีเนื้อหาครอบคลุมหลักการพื้นฐานในการบริหารภัยคุกคามทางไซเบอร์และการบริหารความเสี่ยงทางไซเบอร์ สถานภาพความปลอดภัย โลกาภิวัฒน์ของอาชญากรรมทางไซเบอร์ สถิติการละเมิดข้อมูล และการคุกคามทางไซเบอร์ในรูปแบบต่างๆ
คุ้มครองข้อมูลส่วนบุคคล
ในยุคดิจิทัล ข้อมูลของลูกค้าจำนวนมหาศาลได้ถูกสร้าง จัดเก็บ และแบ่งปันอย่างรวดเร็วทั้งในรูปแบบที่มีโครงสร้างชัดเจนและไม่ชัดเจน ซึ่งส่งผลให้เกิดความเสี่ยงในการแพร่กระจายของข้อมูลและความปลอดภัยทางไซเบอร์ที่เพิ่มมากขึ้นอย่างมีนัยสำคัญ ทั้งนี้ ด้วยตระหนักดีว่าข้อมูลของลูกค้ามีความสำคัญต่อการคิดค้นและพัฒนานวัตกรรมผลิตภัณฑ์เพื่อตอบสนองความต้องการของลูกค้า ธนาคารจึงยังคงยกให้เรื่องความเป็นส่วนตัวของข้อมูลลูกค้าเป็นวาระสำคัญที่จะต้องยึดมั่น โดยธนาคารให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวของลูกค้าและยึดมั่นในการปกป้องความเป็นส่วนตัวและรักษาความลับของข้อมูลส่วนตัวของลูกค้า สอดคล้องกับกรอบการกำกับดูแลข้อมูลของธนาคาร ตลอดจนกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง
สถาบันการเงินได้รับความไว้วางใจในการเก็บข้อมูลจำนวนมหาศาลของลูกค้า ซึ่งทำให้กรอบการกำกับดูแลและกลยุทธ์การบรรเทาความเสี่ยงในรูปแบบเดิมไม่เพียงพออีกต่อไป การกำกับดูแลข้อมูลมีความสำคัญอย่างยิ่งในการจัดการและประมวลผลข้อมูลอย่างปลอดภัยและมีประสิทธิภาพ จึงมีความจำเป็นที่จะต้องมีการกำหนดโครงสร้างการกำกับดูแลข้อมูลในระดับองค์กร ธนาคารได้พัฒนาโครงสร้างการกำกับดูแลข้อมูลอย่างเหมาะสมภายใต้พื้นฐานหลักการกำกับดูแล 3 ชั้น ควบคุมโดยโครงสร้างองค์กรที่มีการจัดสรรหน้าที่และความรับผิดชอบที่ชัดเจน และอยู่ภายใต้การดูแลของผู้บริหารระดับสูงของธนาคารผ่านการประชุมอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการดำเนินงานจะเป็นไปในทิศทางเดียวกันในทุกขั้นตอนในการดำเนินธุรกิจ คณะกรรมการธนาคารมีความรับผิดชอบสูงสุดในการบริหารจัดการความเสี่ยงทั้งองค์กร โดยธนาคารแต่งตั้งให้หัวหน้ากำกับการปฏิบัติงานดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อให้คำแนะนำและติดตามการปฏิบัติงานทั่วทั้งธนาคารอย่างเป็นอิสระ ในขณะเดียวกันก็ทำหน้าที่เป็นศูนย์กลางของหน่วยงานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล เพื่อจัดการคุณภาพของข้อมูลและบริหารจัดการความเสี่ยงด้านความเป็นส่วนตัวของข้อมูล ทั้งนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลรายงานประธานเจ้าหน้าที่บริหารด้านบริหารความเสี่ยง ซี่งขึ้นตรงต่อประธานเจ้าหน้าที่บริหารเพื่อให้แน่ใจว่าระบบการจัดการความเป็นส่วนตัวนั้นผนวกอยู่ในกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร ยิ่งไปกว่านั้น การกำกับดูแลข้อมูลยังเป็นองค์ประกอบสำคัญในการสร้างความปลอดภัยควบคู่กับการสร้างมาตรการรักษาความปลอดภัยเพื่อตรวจจับ สืบสวน บริหาร และยับยั้งภัยคุกคามความปลอดภัยที่อาจจะเกิดขึ้นหรือกิจกรรมที่น่าสงสัย โดยมาตรการเหล่านี้ประกอบด้วยการบริหารจัดการภัยคุกคามทางไซเบอร์ การควบคุมการเข้าถึงข้อมูลตามบทบาทหน้าที่ ระบบการตรวจสอบในสภาพแวดล้อมทางไอที การตรวจตราปฏิกิริยาและการควบคุม และกระบวนการบริหารจัดการการละเมิดข้อมูล
กลไกในการรักษาความเป็นส่วนตัวของข้อมูลที่ธนาคารดำเนินการนั้นตั้งอยู่บนพื้นฐานของการปกป้องการใช้ข้อมูลของลูกค้าและการปฏิบัติตามระเบียบและกฎหมายที่เกี่ยวข้อง โดยลูกค้าจะต้องให้ความยินยอมในการนำข้อมูลไปใช้และมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ นอกจากนี้ การดำเนินงานทางด้านการปกป้องความเป็นส่วนตัวของข้อมูลของธนาคารครอบคลุมการดำเนินงานของธนาคาร ตลอดจนห่วงโซ่อุปทานของธนาคาร โดยจริยธรรมสำหรับคู่ค้าธุรกิจและนโยบายการจัดจ้างหน่วยงานภายนอกมีข้อกำหนดเกี่ยวกับการปกป้องความเป็นส่วนตัวของข้อมูล รวมทั้งยังมีหลักเกณฑ์ในการคัดเลือกคู่ค้าที่เข้มงวดและกำหนดให้มีการรับรองเกี่ยวกับการบริหารจัดการข้อมูลในภาคผนวกแนบท้ายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การเปิดเผย หรือการละเมิดข้อมูล
การสร้างความตระหนักรู้เกี่ยวกับการบริหารจัดการความเป็นส่วนตัวของข้อมูลให้กับพนักงานผ่านการสื่อสารและการฝึกอบรมให้ความรู้ยังเป็นมาตรการหนึ่งที่มีประสิทธิภาพในการบริหารจัดการความเป็นส่วนตัวของข้อมูลของธนาคาร ธนาคารได้จัดการฝึกอบรมพนักงานเดี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการปกป้องข้อมูล (เช่น การเข้าถึงข้อมูลตามบทบาทหน้าที่ การรั่วไหลของข้อมูล ฯลฯ) และครอบคลุมเนื้อหาที่เกี่ยวข้องกับการบริหารความเสี่ยงทางด้านข้อมูล การป้องกันการโจมตีทางไซเบอร์ การใช้สื่อสังคมออนไลน์ การรั่วไหลของข้อมูล และความเป็นส่วนตัวของข้อมูล
ด้วยปริมาณของข้อมูลจำนวนมหาศาลที่ธนาคารจัดเก็บในการดำเนินธุรกิจประจำวัน คุณภาพของข้อมูลยังมีความสำคัญไม่ยิ่งหย่อนไปกว่าการกำกับดูแลข้อมูลและการปกป้องความเป็นส่วนตัวของข้อมูล เพราะคุณภาพช่วยประเมินจะเป็นประโยชน์ต่อการนำไปใช้ในบริบทต่างๆ ได้อย่างเหมาะสม ธนาคารจึงให้ความสำคัญกับคุณภาพของข้อมูล (กำหนดโดยความแม่นยำ ความตรงต่อเวลา ความสมบูรณ์ และความน่าเชื่อถือ) และการตรวจสอบย้อนกลับข้อมูล (โดยใช้ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูลเพื่อให้สามารถอ่านข้อมูลได้อย่างชัดเจนทั่วทุกกลุ่มในระดับเล็กที่สุด) โดยธนาคารมีระบบการตรวจสอบและถ่วงดุลเพื่อรับรองความเหมาะสมในการบริหารจัดการข้อมูลที่สอดคล้องกับกฎระเบียบภายในและเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง อันได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลักเกณฑ์ด้านความเป็นส่วนตัวของข้อมูลในประกาศธนาคารแห่งประเทศไทย เรื่องการบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
ธนาคารให้ความสำคัญสูงสุดในการจัดการและปกป้องข้อมูลลูกค้าโดยมีเจตนารมณ์ที่จะไม่ยอมรับการละเมิดในทุกรูปแบบ (Zero Tolerance) ธนาคารจัดทำขั้นตอนการปฎิบัติงานที่ระบุรายละเอียดการดำเนินงานเมื่อมีกรณีการละเมิดเกิดขึ้น โดยกล่าวถึงวินัยในการทำงานที่ธนาคารคาดหวังจากพนักงาน กรณีการละเมิด การลงโทษ ตลอดจนการสอบสวนที่จะดำเนินการอย่างเป็นความลับและยุติธรรม เพื่อให้แน่ใจว่ากรณีที่โดนร้องเรียนมีหลักฐานที่ชัดเจนเพื่อใช้พิสูจน์ว่ามีการละเมิดจริง นอกจากนี้ ขั้นตอนการปฏิบัติงานยังกล่าวถึงการยกเลิกข้อกล่าวหา การอุทธรณ์การดำเนินการทางวินัย บุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการลงโทษ ตลอดจนการชดเชยความเสียหาย
เพื่อให้มั่นใจว่าการจัดการข้อมูลเป็นไปตามมาตรฐานสากล ธนาคารมีการจัดการวงจรชีวิตของข้อมูล (data lifecycle management) ซึ่งเป็นกระบวนการการจัดการข้อมูลตั้งแต่การเก็บรวบรวม การจัดเก็บ และทำลายเมื่อถึงเวลาที่ข้อมูลไม่มีความจำเป็นอีกต่อไป ทั้งนี้ เมื่อใดที่ธนาคารมีการประมวลผลข้อมูลส่วนบุคคล มาตรการความเป็นส่วนตัวจะถูกนำไปใช้ ซึ่งประกอบด้วย 5 ขั้นตอนดังแสดงในแผนภาพ นอกจากนี้หลักการการจัดเก็บข้อมูลเฉพาะที่จำเป็นและการจำกัดวัตถุประสงค์ของข้อมูลที่ต้องเก็บจะถูกนำมาพิจารณาในการประมวลผลข้อมูลเช่น การเก็บรวบรวม การใช้งานและการเปิดเผย โดยบุคลากรที่เกี่ยวข้องทั้งหมดในทุกขั้นตอนของวงจรชีวิตข้อมูลต้องปฏิบัติตามนโยบายและขั้นตอนการปฏิบัติงาน ซึ่งหน่วยงานตรวจสอบภายใน หน่วยงานบริหารความเสี่ยงด้านปฏิบัติการธุรกิจ และหน่วยงานบริหารความเสี่ยงด้านปฏิบัติการองค์กร จะดำเนินการทดสอบการควบคุมเกี่ยวกับการบริหารข้อมูลเป็นประจำทุกปี โดยเฉพาะอย่างยิ่ง หน่วยงานตรวจสอบภายในซึ่งเป็นแนวป้องกันที่ 3 จะให้การรับประกันอย่างเป็นอิสระเกี่ยวกับการออกแบบและประสิทธิภาพของการควบคุมภายใน