การกำกับสถาบันการเงิน กับการยกระดับความปลอดภัยไซเบอร์***

ทั้งในทวีปเอเชียและทั่วโลก โดยแนวโน้มจะเป็นทิศทาง 1 ใน 10 แนวโน้ม ด้านความมั่นคงปลอดภัยไซเบอร์ ในปี 2017 โดย ACIS/Cybertron Cybersecurity Research LAB ที่หน่วยงานกำกับดูแลสถาบันการเงิน ตลาดทุน ธุรกิจหลักทรัพย์ ธุรกิจจัดการลงทุน ธุรกิจสัญญาซื้อขายล่วงหน้า และธุรกิจประกัน ยกตัวอย่างในประเทศไทย ได้แก่ ธนาคารแห่งประเทศไทย หรือ ธปท.(BOT), สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. (SEC) 

รวมทั้ง สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ คปภ.(OIC.) ตลอดจนหน่วยงานดูแลสถาบันการเงินในต่างประเทศ ไม่ว่าจะเป็น Monetary Authority of Singapore (MAS) ของสิงคโปร์ ,Hong Kong Monetary Authority (HKMA) ของฮ่องกง ล้วนแต่ให้ความสำคัญในเรื่อง “Cybersecurity” เป็นประเด็นสำคัญ โดยมีการพัฒนาจาก “Information Security state” มาเป็น “Cybersecurity state” และเข้าสู่ภาวะ “Cyber Resilience” ในที่สุด

เมื่อกล่าวถึงหน่วยงานที่มีหน้าที่กำกับสถาบันการเงินที่ได้รับการยอมรับและมีความน่าเชื่อถือสูง ถ้าในระดับโลกมักจะอ้างอิงไปที่ Federal Financial Institutions Examination Council (FFIEC) ประเทศสหรัฐ และ Bank of England (BOE) ประเทศอังกฤษ จะเห็นได้ว่าหน่วยงานกำกับสถาบันการเงินในระดับโลกนั้นได้ให้ความสำคัญกับเรื่อง “Cybersecurity” เป็นอย่างมาก โดย FFIEC ออก “Cybersecurity Assessment Tool” และ Bank of England ได้ออก “Intelligence Led Testing Framework” เป็นต้น (รู้จักกันในนาม CBEST Vulnerability Testing Framework) เป็นต้น

สำหรับหน่วยงานกำกับสถาบันการเงิน ที่เป็นผู้นำในเอเซียได้แก่ HKMA (Hong Kong Monetary Authority) โดยเมื่อเดือน พ.ค. 2559 ทาง HKMA ได้ประกาศ Cyber Fortification Initiative (CFI) ซึ่งมีรายละเอียดที่น่าสนใจทั้งหมด 3 เรื่อง ได้แก่

1.Intelligence-Led Cyber Attack Simulation Testing (iCAST) ซึ่ง HKMA มีการระบุถึงหน่วยงานใหม่เกี่ยวกับการทำ Penetration Testing ได้แก่ CREST Ethical Security Tester จากประเทศอังกฤษ โดยเน้นเรื่อง Security Testing และPenetrating Testing ขณะที่การทำ Penetration Testing ในปัจจุบันมุ่งเน้นไปที่ช่องโหว่ทางด้านเทคนิค แต่ iCAST มุ่งเน้นเพิ่มในมุมด้านกระบวนการ (Process) และจุดอ่อนของมนุษย์ (People) ที่พวกเราทราบกันดีว่า เป็นจุดอ่อนที่อ่อนแอที่สุด จากแนวคิด PPT (People, Process and Technology)

2. Cyber Intelligence Sharing Platform (CISP) ซึ่งHKMA ต้องการให้สถาบันการเงินร่วมมือร่วมใจในการแชร์ แลกเปลี่ยนข้อมูล ซึ่งกันและกัน โดยการแชร์และแลกเปลี่ยนข้อมูลซึ่งจำเป็นจะต้องมี Platform มารองรับ ซึ่งคาดว่าจะเริ่มดำเนินการได้ในปีนี้ ( พ.ศ. 2560) “Threat Intelligence ”และ "Information Sharing"กำลังเป็นประเด็นสำคัญที่สถาบันการเงินที่จำเป็นต้องให้ความสำคัญกับสองเรื่องนี้ เพราะเป็นข้อกำหนดของหน่วยงานกำกับสถาบันการเงินวันนี้ทั่วโลก เมื่อวิเคราะห์จาก CFI จะเห็นได้ชัดเจน

3. Professional Development Programme (PDP)

ทาง HKMA ได้ให้ความสำคัญกับการพัฒนาบุคลาการทางด้านความมั่นคงปลอดภัยไซเบอร์เป็นอย่างมาก โดยการส่งเสริมให้สถาบันการเงิน ควรมีบุคลากรผู้เชี่ยวชาญด้านไซเบอร์ที่ได้มาตรฐาน มีใบรับรองความรู้ความสามารถเป็นที่ยอมรับกันทั่วโลกในระดับสากล มีรายละเอียดดังนี้

ในปัจจุบันและอนาคต สถาบันการเงินและระบบการชำระเงินจะต้องพบกับปัญหาความเสี่ยงจากภัยคุกคามทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้ (Cyber Inherent Risk) หน่วยงานที่มีหน้าที่กำกับดูแลสถาบันการเงินจึงจำเป็นต้องให้ความสำคัญกับเรื่องการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) โดยยกระดับความพร้อมในการกำกับดูแลและบริหารจัดการความเสี่ยง ด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของสถาบันการเงิน ด้วยการกำหนดให้สถาบันการเงินมีการเตรียมความพร้อม ทั้งทางด้าน บุคลากร กระบวนการ และเทคโนโลยี (People, Process and Technology (PPT concept)) ในมุมมองทั้ง 7 ประกอบด้วย

1.ธรรมาภิบาล (Governance)

2.การระบุความเสี่ยง (Identify)

3.การป้องกันความเสี่ยง (Protect)

4.การตรวจจับความเสี่ยง (Detect)

5.การตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ (Response) และการกู้คืนและการฟื้นฟูความเสียหาย (Recovery)

6.การตระหนักถึงสถานการณ์ความเสี่ยง (Situation Awareness)

7.การบริหารจัดการความเสี่ยงจากหน่วยงานภายนอก (Third Party Risk Management)

 

โดยส่วนใหญ่มีการอ้างอิงมาจาก NIST Cybersecurity Framework ที่มีวัตถุประสงค์เพื่อควบคุมสถานการณ์ และฟื้นฟูระบบให้คืนสู่สภาวะปกติให้เร็วที่สุด (Cyber Resilience) เมื่อมีเหตุการณ์การโจมตีทางไซเบอร์ ทั้งนี้เพื่อลดผลกระทบทอาจเกิดขึ้นกับ Service Level Agreement (SLA) กับลูกค้าของสถาบันการเงิน ยกตัวอย่าง Hong  Kong Monetary Authority (HKMA) ได้ออกประกาศกรอบการประเมินความพร้อมด้าน Cyber Resilience เพี่อให้สถาบันการเงิน ภายใต้การกำกับดูแลใช้เป็นแนวทาง Best Practices ในการประเมินระดับความเสี่ยงทางไซเบอร์ และกำหนดแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์ และการรักษาความมั่นคงปลอดภัยทางไซเบอร์ให้เหมาะสมกับการประเมินวุฒิภาวะระดับความเสี่ยงทางไซเบอร์ของสถาบันการเงิน (Cyber Resilience Maturity Level)

สถาบันการเงินทั่วโลกรวมทั้งประเทศไทย มีความจำเป็นต้องปรับตัวจากการเปลี่ยนแปลงเพื่อรองรับ Cybersecurity สำหรับการเข้าสู่สภาวะ Cyber Resilience แต่ต้องปรับจาก Information Security state เข้าสู่ Cybersecurity state เสียก่อน โดยการศึกษา NIST Cybersecurity Framework ให้เข้าใจอย่างถ่องแท้ และนำ NIST Cybersecurity Framework ไปทำ Gap Analysis ในองค์กร ให้เห็นสภาวะปัจจุบันได้เข้าใจถึง “AS-IS” กับ “TO-BE” ตลอดจน Maturity Level ในปัจจุบันขององค์กร เพื่อรองรับ Cyber Resilience Assessment Framework ที่หน่วยงานกำกับสถาบันการเงินในประเทศไทย คงจะมีการประกาศข้อกำหนดเหล่านี้ ในรูปแบบของกรอบการประเมินความพร้อม ด้าน Cyber Resilience ในเวลาอีกไม่นานนี้ ทั้งนี้เพื่อประโยชน์ ของประชาชนคนไทยทุกคน ที่กำลังมุ่งหน้าสู่ Thailand 4.0 ในที่สุด 

*** ชื่อเต็มเรื่อง: 

การยกระดับมาตรฐานของหน่วยงานกํากับดูแลสถาบันการเงินในเรื่องความมั่นคงปลอดภัยไซเบอร์วันนี้และอนาคต

Cyber Resilience Assessment Framework (C-RAF) and Intelligence-Led Cyber Attack Simulation Testing (iCAST)