แบงก์ชาติออกเกณฑ์การกำกับดูแล IT Risk สำหรับผู้ประกอบธุรกิจ e-Payment ที่ไม่ใช่สถาบันการเงิน

ก่อนอื่นเลยแอดมินขออธิบายเพื่อสร้างความเข้าใจตรงกันก่อนว่า e-Payment คืออะไร?

e-Payment = ระบบจ่ายเงินอิเล็กทรอนิกส์

หรือถ้าพูดในภาษาที่เข้าใจง่ายๆ คือระบบที่สามารถใช้โอนเงิน หรือชำระเงินได้ผ่านทางอินเตอร์เน็ต ดังนั้นหลักเกณฑ์ใหม่นี้จะบังคับใช้กับ “ผู้ให้บริการและผู้ประกอบกิจการด้านการชำระเงิน ที่ไม่ใช่สถาบันการเงิน” เท่านั้น…. นั่นเท่ากับว่า หลังจากนี้ ผู้ประกอบธุรกิจ e-Payment จะต้องปฏิบัติตามและใช้หลักเกณฑ์เดียวกันกับที่สถาบันการเงินใช้ โดยหากองค์กรไหนจะนำวิธีการหรือหลักเกณฑ์นี้ไปปรับใช้ แอดมินว่า ก็เป็นประโยชน์ดีนะครับ

โดยหลักเกณฑ์ดังกล่าวมีวัตถุประสงค์เพื่อช่วยยกระดับความมั่นคงปลอดภัยของระบบ IT ให้มีความปลอดภัยมากยิ่งขึ้น ซึ่งตัวข้อกำหนดจะมีทั้งหมด 2 ส่วนใหญ่ๆ ได้แก่

1. การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management)

วันที่เริ่มบังคับใช้ : 29 มกราคม 2565

รายละเอียด:

• IT Governance: แนวปฏิบัติให้องค์กรมีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี มีการบริหารความเสี่ยงด้าน IT ที่เหมาะสม ตามระดับความเสี่ยง และจัดโครงสร้างการกำกับดูแลให้สอดคล้องตามหลัก 3rd line of defense (Internal Audit) เพื่อทำหน้าที่ตรวจสอบการปฏิบัติงานในภาพรวมของระบบงานต่าง ๆ ว่ามีการทำงานที่ประสานกันได้ดีหรือไม่อย่างไร (Framework/Standard ที่นิยมใช้กันเช่น COBIT)
• IT Security: การดูแลรักษาความมั่นคงปลอดภัยทางด้าน IT ครอบคลุม Security Triad ครบทั้ง 3 ด้านคือ Confidentiality, Integrity, Availability (Framework/Standard ที่นิยมใช้กันเช่น NIST, ISO27001)
• IT Project Management: บริหารจัดการความเสี่ยงของการดำเนินโครงการด้าน IT อย่างมีประสิทธิภาพ

2. การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศขั้นต้นที่จำเป็น (Cyber Hygiene)

วันที่เริ่มบังคับใช้ : 29 เมษายน 2564

รายละเอียด: เป็นมาตรการที่มุ่งเน้นและเตรียมการทางด้านการป้องกันและรับมือภัยคุกคามทางไซเบอร์เป็นหลัก ซึ่งประกอบด้วย

• การตั้งค่าระบบให้มีความปลอดภัย (Security Baseline and hardening)

กำหนดและตั้งค่าให้สอดคล้องกับมาตรฐานสากลและสภาพแวดล้อมด้าน IT ซึ่งแต่ล่ะองค์กรควรที่จะต้องมีการจัดทำ Security configuration baseline เสียก่อน เพื่อกำหนดว่าอุปกรณ์หรือ Application ต่าง ๆ ที่ใช้งานอยู่นั้นควรที่จะมีการตั้งค่าด้านความปลอดภัยอย่างไร ที่เหมาะสมกับการใช้งานขององค์กรตัวเองมากที่สุดและที่สำคัญคือต้องปลอดภัยด้วยเช่นกัน โดยปัจจุบันวิธีที่นิยมทำกันมากที่สุดคือใช้ CIS Benchmarks (https://www.cisecurity.org/) เป็น Checklist ตั้งต้น และนำมาปรับใช้และทำเป็น Baseline สำหรับใช้ในองค์กรตัวเอง ตามตัวอย่างในภาพด้านล่าง ซึ่งมีตัวอย่างให้เลือกนำไปใช้หลากหลายอุปกรณ์และมีการแบ่งแยกเป็นยี่ห้อของอุปกรณ์ต่าง ๆ ด้วย โดยที่ถ้าหากยี่ห้อที่เราใช้ไม่มีอยู่ใน List ตัวอย่าง ก็สามารถใช้ Checklist ของอุปกรณ์ยี่ห้ออื่นในกลุ่มเดียวกันมาปรับใช้แทนได้เช่นกัน

• การป้องกันระบบจาก Malware (Malware Protection)

ตรวจจับและป้องกัน Malware (Malware เป็นคำกว้างๆ ซึ่งหมายถึงซอฟต์แวร์ที่เป็นอันตรายต่อระบบคอมพิวเตอร์ ครอบคลุมถึง ไวรัส เวิร์ม โทรจัน) ซึ่งการป้องกันที่นิยมในปัจจุบันที่จะมีด้วยกัน 2 ประเภทคือ Network Based protection คือการป้องกันในระดับของ Network เช่น Firewall , IPS เป็นต้น และ Host based protection คือป้องกันในระดับของเครื่องคอมพิวเตอร์หรืออุปกรณ์ปลายทาง (Endpoint) เช่น Antivirus software เป็นต้น

• การบริหารจัดการช่องโหว่ (Security Patch Management)

มีการบริหารจัดการ Patch โดยมีการควบคุมที่รัดกุมปลอดภัย และติดตั้งได้อย่างเหมาะสมทันการณ์ ซึ่งก่อนติดตั้ง Patch ทุกครั้งควรมีการตรวจสอบความถูกต้องและประเมินความเสี่ยงทุกครั้งอย่างระมัดระวัง โดยที่ Patch ดังกล่าวควรที่จะต้องทำการทดสอบก่อนที่จะทำการติดตั้งบนระบบที่ให้บริการจริง และมีการทำ Version Control เพื่อบันทึกการดำเนินการการเปลี่ยนแปลงทุกครั้ง

• การจัดการสิทธิสูงของระบบ (Privilege User ID Management)

Privileged ID หมายถึงสิทธิ์สูงสุดของการเข้าระบบงาน เช่น ระบบปฏิบัติการ ระบบงาน ระบบฐานข้อมูล อุปกรณ์เครือข่าย เป็นต้น ซึ่งการเบิกใช้สิทธิ์ดังกล่าวควรกระทำเฉพาะเมื่อมีความจำเป็นเท่านั้น

• การพิสูจน์ตัวตนอย่างปลอดภัย (Multi — Factor Authentication)

มีการพิสูจน์ตัวตนแบบ Multi-Factor Authentication (MFA) ในบัญชีผู้ใช้ที่มีสิทธิ์สูงหรือบัญชีผู้ใช้งานที่มีความเสี่ยง ซึ่งการทำ MFA คือการใช้ปัจจัยหรือข้อมูลหลายๆ อย่าง ในการตรวจสอบเพื่อยืนยันตัวบุคคล ยกตัวอย่างที่พบเห็นกันบ่อย ๆ เลยคือ เวลาที่เราต้องการทำรายการโอนเงินผ่านทางระบบ Internet Banking ซึ่งนอกจากจะต้องทราบ Username & Password สำหรับ Login เข้าระบบแล้ว จะมีการส่ง SMS OTP มาที่โทรศัพท์มือถือของเราอีกครั้งเพื่อยืนยันซ้ำเมื่อเราทำรายการโอนเงิน เป็นต้น

• การทดสอบหาช่องโหว่ (VA & Pentest)

คือการตรวจประเมินช่องโหว่และทดสอบเจาะระบบ เพื่อเป็นการจำลองว่าหากมีผู้ไม่หวังดีหรือ Hacker ต้องการเข้ามาทำอันตรายระบบของเราจริง ๆ จะสามารถเข้ามาทางช่องทางไหนได้บ้าง และวิธีการใดบ้าง เป็นต้น เพื่อที่เมื่อเราทราบถึงจุดอ่อนของระบบเรา เราจะได้ทำการปิดช่องโหว่นั้น ๆ ให้เสร็จสิ้น ก่อนที่ Hacker จะใช้ช่องทางดังกล่าวมาโจมตีเรา ซึ่งควรทำการตรวจประเมินอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงกับระบบอย่างมีนัยสำคัญ ซึ่งในช่วงไม่กี่ปีที่ผ่านมานี้แอดมินพบว่าทุกข้อกำหนดหรือแนวปฏิบัติทางด้าน Cybersecurity มีการบังคับและแนะนำให้ดำเนินการและให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก

สำหรับวันนี้แอดมินมาเล่าให้ฟังพอเป็นน้ำจิ้มก่อน ในครั้งถัดๆ ไป ถ้าต้องการหรือสนใจเรื่องไหนลงลึกเป็นพิเศษสามารถพิมพ์ทิ้งไว้หรือ Inbox มาที่ Facebook page ของ DATAFARM ได้เลยนะครับ

Ref:

• https://www.bot.or.th/Thai/Phrasiam/Documents/Phrasiam_2_2556/no.%209.pdf
• https://www.bot.or.th/Thai/AboutBOT/Activities/Documents/MediaBriefing2021/150264_ITRisk.pdf
• https://www.bot.or.th/Thai/FIPCS/Documents/FPG/2561/ThaiPDF/25610021.pdf
• https://www.bot.or.th/Thai/FinancialInstitutions/PruReg_HB/FSINotifications/Cyber%20resilience%20framework%202019.pdf
• https://www.cisecurity.org/