ความมั่นคงปลอดภัยทางไซเบอร์และการกำกับดูแลปัญญาประดิษฐ์

ยุคนวัตกรรมดิจิทัลทำให้เทคโนโลยีเข้ามามีบทบาทในการใช้ชีวิตประจำวันของมนุษย์มากขึ้น ซึ่งส่งผลให้เกิดความเปลี่ยนแปลงของความคาดหวังและพฤติกรรมของผู้บริโภคที่หันมาใช้เทคโนโลยีในการเข้าถึงบริการและข้อมูลต่างๆ เพื่อเพิ่มความสะดวกและรวดเร็วในการใช้บริการ องค์กรชั้นนำในอุตสาหกรรมต่างๆ รวมถึงผู้ให้บริการทางการเงินจึงตอบสนองต่อความเปลี่ยนแปลงดังกล่าวโดยนำนวัตกรรมและเทคโนโลยีใหม่ๆ มาใช้เพื่อเพิ่มประสิทธิภาพในการดำเนินงานและสร้างประสบการณ์ที่ดีให้กับลูกค้า อาทิ ปัญญาประดิษฐ์ (Artificial Intelligence: AI) การเรียนรู้ของเครื่อง (Machine Learning: ML) เทคโนโลยี Distributed Ledger Technology (DLT) หรือบล็อกเชน (Blockchain) กระบวนการทำงานอัตโนมัติโดยใช้หุ่นยนต์ (Robotic Process Automation: RPA) ซึ่งในขณะที่มีการพัฒนาศักยภาพของนวัตกรรมและเทคโนโลยี ภัยคุกคามทางไซเบอร์ก็พัฒนาระดับความก้าวหน้าเช่นเดียวกัน และมีศักยภาพที่จะสร้างความเสียหายทั้งในระดับประเทศและระดับโลก

ในฐานะผู้ให้บริการทางการเงินอย่างรับผิดชอบ กรุงศรีจึงให้ความสำคัญกับการป้องกันการโจรกรรมข้อมูลทางการเงินการบริหารความเสี่ยงด้านการโจมตีทางไซเบอร์และการกำกับดูแลปัญญาประดิษฐ์ เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ การรั่วไหลของข้อมูลการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์หรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล การใช้ปัญญาประดิษฐ์ที่ขาดมาตรฐานการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตอาจถูกโจมตีหรือดัดแปรงข้อมูล รวมถึงความเสี่ยงด้านไซเบอร์อื่นๆ กรุงศรีจึงมีการดำเนินงานอย่างจริงจังในเรื่องความมั่นคงปลอดภัยทางไซเบอร์และการกำกับดูแลปัญญาประดิษฐ์ เพื่อปกป้องข้อมูลของพนักงาน ลูกค้าและผู้มีส่วนเกี่ยวข้องกับธนาคาร และเพื่อให้เกิดความต่อเนื่องในการดำเนินธุรกิจซึ่งรวมถึงการให้บริการแก่ลูกค้า อีกทั้งยังแสดงถึงความรับผิดชอบในการบริหารจัดการและกำกับดูแลการใช้เทคโนโลยีปัญญาประดิษฐ์อย่างรอบด้าน

แนวทางการบริหารจัดการ

• กำหนด “นโยบายเกี่ยวกับความปลอดภัยสารสนเทศ” เพื่อใช้เป็นแนวทางในการจัดการและปกป้องทรัพย์สินข้อมูลสารสนเทศของธนาคาร และสื่อสารให้พนักงานของธนาคาร และผู้ที่ไม่ใช่พนักงานธนาคารแต่มีส่วนเกี่ยวข้องกับธนาคาร อาทิ คู่สัญญา ลูกจ้างชั่วคราว ผู้ให้บริการ บุคคลภายนอกอื่นๆ ที่ใช้ข้อมูลของธนาคารได้รับทราบถึงนโยบายดังกล่าว และต้องปฏิบัติตามกฎหมายและข้อบังคับต่างๆ ที่เกี่ยวข้องกับนโยบายฉบับนี้ โดยมีการดำเนินงานภายใต้กรอบหลักการที่สำคัญ 3 ประการ คือ
  1. การรักษาความลับของระบบและข้อมูล
  2. ความถูกต้องเชื่อถือได้ของระบบและข้อมูล
  3. ความพร้อมใช้งานของเทคโนโลยีสารสนเทศ
  นโยบายดังกล่าวยังรวมถึงการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศด้วย ทั้งนี้ นโยบายฉบับนี้ครอบคลุมธนาคารและบริษัทในกรุงศรี กรุ๊ป โดยจะต้องนำนโยบายฉบับนี้ไปเป็นแนวทางในการจัดทำนโยบายที่เทียบเท่ากัน รวมทั้งจัดให้มีการทบทวนและปรับปรุงเนื้อหาของนโยบายอย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับการเปลี่ยนแปลงและแนวโน้มของความเสี่ยงในอนาคตที่อาจส่งผลกระทบต่อความปลอดภัยสารสนเทศของธนาคาร
• ควบคุมความมั่นคงปลอดภัยสารสนเทศทั่วทั้งองค์กร ตั้งแต่การว่าจ้าง การโอนย้าย หรือลาออก รวมถึงการแจ้งให้ทราบถึงการเปลี่ยนแปลงโยกย้ายพนักงานหรือทรัพยากรคอมพิวเตอร์ให้กับผู้ดูแลระบบความปลอดภัยสารสนเทศ
• จัดชั้นความลับของข้อมูล มีการเก็บรักษาและทำลายข้อมูลให้เหมาะสมกับชั้นความลับ และมีการบริหารจัดการการเข้ารหัสข้อมูล (Cryptography) พร้อมทั้งการบริหารจัดการกุญแจเข้ารหัส (Key Management) ตลอดช่วงอายุของกุญแจเข้ารหัสที่เชื่อถือได้และเป็นมาตรฐานสากล
• กำหนดให้มีการบริหารจัดการสิทธิและตรวจสอบยืนยันตัวตนตามสิทธิที่กำหนดไว้ ตามความจำเป็นในการใช้งานและระดับความเสี่ยง เพื่อป้องกันการเข้าถึงและเปลี่ยนแปลงระบบหรือข้อมูลโดยผู้ที่ไม่มีสิทธิหรือไม่ได้รับอนุญาต
• จัดให้มีการรักษาความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์และพื้นที่ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการบุกรุกหรือจากภัยธรรมชาติ
• กำหนด “มาตรการการจัดการความมั่นคงปลอดภัยสารสนเทศ” เพื่อใช้เป็นมาตรการรองรับสถานการณ์ต่างๆ โดยมีความสอดคล้องกับมาตรฐานสากล ISO/IEC 27001 ระบบการจัดการความปลอดภัยของข้อมูล และ นโยบายเกี่ยวกับความปลอดภัยสารสนเทศของธนาคาร ซึ่งประกอบไปด้วย 14 มาตรการ ดังนี้
  1. การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
  2. โครงสร้างด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กร
  3. ความมั่นคงปลอดภัยด้านบุคลากร
  4. การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
  5. การรักษาความมั่นคงปลอดภัยของข้อมูล
  6. การควบคุมการเข้าถึง
  7. การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม
  8. การรักษาความมั่นคงปลอดภัยของระบบเครือข่ายสื่อสาร
  9. การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ
  10. การจัดหาและการพัฒนาระบบ
  11. การบริหารจัดการและการรายงานเหตุการณ์ผิดปกติ และปัญหาด้านเทคโนโลยีสารสนเทศ
  12. การจัดทําแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
  13. การบริหารจัดการผู้ให้บริการจากภายนอก
  14. ความมั่นคงปลอดภัยด้านการกํากับดูแลการปฏิบัติตามข้อกําหนด
• กำหนด “แนวทางการรับมือภัยคุกคามไซเบอร์” เพื่อเพิ่มขีดความสามารถในการรักษาความปลอดภัยทางไซเบอร์อย่างสูงสุด พร้อมทั้งป้องกันการคุกคามและรองรับการเปลี่ยนแปลงด้านเทคโนโลยีสารสนเทศ
• นำมาตรฐานอุตสาหกรรม และแนวปฏิบัติที่ดี ด้านการจัดการความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศทั้งในระดับประเทศและระดับสากลมาปรับใช้ในกระบวนการทำงานในองค์กร อาทิ
  • การใช้เครื่องมือตรวจจับมัลแวร์ระดับสูง (Advanced Persistent Threat) การใช้เครื่องมือในการรวบรวมข้อมูลภัยคุกคามทางไซเบอร์ (Cyber Threat Intelligence) จากแหล่งที่น่าเชื่อถือมาช่วยเพิ่มความสามารถในการตรวจจับเหตุการณ์ผิดปกติที่เป็นส่วนหนึ่งของกระบวนการเฝ้าระวังภัยคุกคามทางไซเบอร์โดยศูนย์ปฏิบัติการความปลอดภัยด้านไซเบอร์ (Security Operations Center: SOC)
  • การดำเนินงานตามกรอบการควบคุมความมั่นคงปลอดภัยสำหรับลูกค้าระบบ SWIFT (Society for Worldwide Interbank Financial Telecommunications)
  • การยกระดับการดำเนินงานตามมาตรฐานสากลโดยผ่านการรับรองตามมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (Information Security Management System - ISO/IEC 27001: 2022) ในขอบเขตด้านการบริหารจัดการการให้บริการศูนย์คอมพิวเตอร์หลักของธนาคาร และระบบงานที่สำคัญ จำนวน 2 ระบบ คือ “ระบบบาทเนต” (Bank of Thailand Automated High-value Transfer Network: BAHTNET) ที่ใช้สำหรับการโอนเงินรายใหญ่ และ “ระบบการหักบัญชีเช็คด้วยภาพเช็ค” (Imaged Cheque Clearing System: ICS)
  • การดำเนินงานอื่นๆ เพื่อยกระดับความมั่นคงปลอดภัยทางไซเบอร์ เป็นต้น
• จัดให้มีช่องทางแจ้งข้อมูลหากพบปัญหาต่างๆ อาทิ การได้รับฟิชชิงอีเมล อีเมลที่มีมัลแวร์หรือไวรัส รวมไปถึงความผิดปกติอื่นๆ ที่อาจเป็นผลจากการโจมตีทางไซเบอร์ได้ที่ ฝ่ายปฏิบัติการความปลอดภัยด้านไซเบอร์และระบบเทคโนโลยีสารสนเทศประยุกต์ อีเมล: CSIRT@krungsri.com
• จัดทำกรอบกลยุทธ์ปัญญาประดิษฐ์ เพื่อบริหารจัดการความต้องการด้านปัญญาประดิษฐ์ ให้สอดคล้องกับกลยุทธ์องค์กร พร้อมสนับสนุนการพัฒนาบุคลากร กำหนดมาตรฐานกระบวนการและแพลตฟอร์มเทคโนโลยี บริหารความเสี่ยง ส่งเสริมการใช้งานปัญญาประดิษฐ์ อย่างมีความรับผิดชอบ และสร้างพันธมิตรเชิงกลยุทธ์เพื่อพัฒนาทักษะที่เกี่ยวข้องกับปัญญาประดิษฐ์ภายในองค์กร
• จัดทำนโยบายและกระบวนการกำกับดูแลระบบปัญญาประดิษฐ์ เพื่อเป็นกรอบการทำงานสำหรับการพัฒนา การจัดหา และการใช้งานปัญญาประดิษฐ์อย่างเหมาะสม ส่งเสริมการสร้างนวัตกรรมและการเติบโตอย่างยั่งยืน ควบคู่กับการรักษาหลักธรรมาภิบาล ความโปร่งใส ความรับผิดชอบ และความปลอดภัย สอดคล้องตามหลักจริยธรรม กฎหมาย และข้อบังคับ เพื่อสร้างความเชื่อมั่นให้แก่ลูกค้า คู่ค้า และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม