| ที่มา | นสพ.มติชนรายวัน |
|---|---|
| ผู้เขียน | ทีมข่าวเศรษฐกิจ |
| เผยแพร่ |
ภายใต้การเดินหน้าตามนโยบายประเทศไทย 4.0 นโยบายสำคัญคือ การปรับโครงสร้างเศรษฐกิจไปสู่เศรษฐกิจดิจิทัล ที่จะเป็นแรง
ขับเคลื่อนการเจริญเติบโตของเศรษฐกิจในระยะข้างหน้า โดยที่ผ่านมารัฐบาลได้ดำเนินโครงการต่างๆ เพื่อส่งเสริมให้เศรษฐกิจดิจิทัลเกิดขึ้น
ซึ่งภาคการเงินก็มีส่วนสำคัญที่มีส่วนช่วยในการดำเนินการโดยเฉพาะจากธนาคารพาณิชย์เพราะเป็นบริการพื้นฐาน
ขณะนี้ประชาชนมีความเข้าใจ คุ้นเคย และไว้ใจการใช้เทคโนโลยีดิจิทัลมากขึ้น จากเดิมไม่มั่นใจกับการใช้ระบบพร้อมเพย์ที่สามารถใช้หมายเลขโทรศัพท์มือถือ หรือบัตรประจำตัวประชาชนในการรับเงินหรือโอนเงินแทนเลขบัญชีของธนาคารได้ ปัจจุบันเมื่อเห็นประโยชน์และความปลอดภัยของระบบพบว่าได้รับการตอบรับดี ตัวเลขผู้ใช้งานอยู่ที่กว่า 40 ล้านเลขหมาย มีจำนวนธุรกรรมสะสมรวมกว่า 162 ล้านรายการ หรือ 8 แสนรายการต่อวัน มูลค่ารวมกว่า 6.3 แสนล้านบาท ขณะที่แนวโน้มการเปลี่ยนมาทำธุรกรรมผ่านโมบายแบงกิ้งก็เพิ่มขึ้นต่อเนื่องทั้งระบบ มีรวมกว่า 34.5 ล้านบัญชี นั่นเพราะเกิดความเชื่อมั่น เชื่อใจ ซึ่งถือเป็นหัวใจสำคัญของภาคการเงิน แต่สัปดาห์ที่ผ่านมาความเชื่อใจที่กำลังก่อตัวแข็งแรงมากขึ้นกลับถูกสั่นคลอน!
กสิกร-กรุงไทยถูกแฮกข้อมูลลูกค้า
จากกรณีธนาคารแห่งประเทศไทย (ธปท.) ได้รับรายงานจาก ธนาคารกสิกรไทย และ ธนาคารกรุงไทย ว่าถูกเจาะ (แฮก) ข้อมูลเพื่อนำข้อมูลลูกค้าไปขายต่อ โดยของธนาคารกสิกรไทยเป็นข้อมูลของลูกค้าองค์กรของธนาคารประมาณ 3 พันราย ที่ใช้เว็บที่ให้บริการหนังสือค้ำประกัน ขณะที่ธนาคารกรุงไทยเป็นข้อมูลลูกค้ารายย่อยที่สมัครสินเชื่อผ่านทางช่องออนไลน์ รวมทั้งสิ้น 1.2 แสนราย โดยในจำนวนนี้เป็นนิติบุคคลประมาณ 3 พันราย
ยังนับเป็นโชคดีที่ข้อมูลที่โดนแฮกไม่เกี่ยวกับธุรกรรมการเงินของลูกค้า เป็นเพียงข้อมูลสาธารณะที่หาได้ทั่วไป อาทิ ชื่อ หมายเลขโทรศัพท์ รวมถึงธนาคารทั้งสองแห่งเร่งดำเนินการปิดช่องโหว่อย่างทันที และได้ยกระดับมาตรการป้องกันภัยทางไซเบอร์ขึ้นด้วย พร้อมกับ ธปท.ได้กำชับไปยังธนาคารให้เพิ่มความเข้มงวดเรื่องความปลอดภัยขึ้นอีก รวมถึงได้ร่วมทำงานกับผู้กำกับดูแลภาคการเงินอย่างใกล้ชิด และได้ประสานงานกับสํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. (เอ็ตด้า) ที่มีศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (Thailand Computer Emergency Response Team : ThaiCERT) หรือไทยเซิร์ต หน่วยงานดูแลด้านมั่นคงปลอดภัย (ซีเคียวริตี้)ทางไซเบอร์ในทันที
กระทรวงการคลัง โดย อภิศักดิ์ ตันติวรวงศ์ รัฐมนตรีว่าการกระทรวงการคลัง ได้ชื่นชมการทำงานของ ธปท.ที่สามารถป้องกันปัญหาที่อาจเกิดความเสียหายได้ทันท่วงที
ทั้งนี้ ธปท.มีหน่วยงานตรวจสอบด้านไอที หรือไอทีออดิท ที่จะเข้าไปตรวจสอบเรื่องมาตรฐานความปลอดภัยของธนาคารทุกปี เชื่อว่าน่าจะสร้างความมั่นใจให้กับประชาชนได้ ขณะที่ธนาคารพาณิชย์เองก็ตื่นตัวกับเรื่องนี้อยู่แล้ว หลังเกิดเหตุดังกล่าว ทุกธนาคารได้ออกมาแสดงให้เห็นถึงความพร้อมในการป้องกันภัยอย่าง พิพิธ เอนกนิธิ กรรมการผู้จัดการ ธนาคารกสิกรไทย เปิดแถลงข่าวด่วนว่า ธนาคารได้ปิดช่องโหว่ในทันที และเพิ่มระดับการเฝ้าระวัง-ป้องกันที่มากขึ้น
สมคิด จิรานันตรัตน์ ประธาน กสิกร บิซิเนส-เทคโนโลยี กรุ๊ป ระบุว่า ธนาคารจะยกระดับความปลอดภัยทางไซเบอร์ให้เพิ่มมากขึ้น ทั้งการเพิ่มผู้เชี่ยวชาญด้านระบบไอที รวมทั้งนำเทคโนโลยีปัญญาประดิษฐ์ (เอไอ)เข้ามาช่วยตรวจสอบป้องกันแฮกเกอร์เข้ามาในระบบ
ส่วนธนาคารกรุงไทย ผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย ระบุว่า ผลจากการตรวจพบควบคู่กับมาตรการเฝ้าระวังป้องกันข้อมูลลูกค้าอย่างทันท่วงที ทำให้สามารถหยุดการรั่วไหลของข้อมูลได้ในวงจำกัด และไม่มีความเสียหายทางการเงินแต่อย่างใด “ถือเป็นความท้าทายของธนาคารต้องพัฒนาปรับปรุงระบบรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง จึงตั้งงบลงทุนด้านไอที 10,000 ล้านบาท”
ทีบี เซิร์ตผนึกแลกเปลี่ยนข้อมูลเชิงลึก
ไม่เฉพาะมาตรการของแต่ละธนาคารเท่านั้นที่ให้ความสำคัญเรื่องการรักษาความปลอดภัยของข้อมูลลูกค้าและระบบสารสนเทศของธนาคารมาตลอด ช่วงปลายปี 2560 สมาคมธนาคารไทยได้มีการจัดตั้งศูนย์ประสานงานความมั่นคงปลอดภัยสารสนเทศภาคการธนาคาร หรือทีบี เซิร์ต
(Thailand Banking Sector Computer Emergency Response Team : TB CERT) ซึ่งเป็นความร่วมมือของธนาคารสมาชิกในการตอบสนองต่อเหตุการณ์ฉุกเฉินทางเทคโนโลยีสารสนเทศ เหตุการณ์ที่เกิดขึ้นถือเป็นความท้าทายต่อการรับมือปัญหาภัยไซเบอร์ ซึ่งทีบี เซิร์ตได้มีการแลกเปลี่ยนข้อมูลเชิงลึกกันระหว่างธนาคารเพื่อร่วมกันวิเคราะห์ปัญหาและสาเหตุที่เกิดขึ้นให้ได้อย่างรวดเร็วที่สุด พร้อมทั้งแชร์ข้อมูลแนวทางการป้องกันเพื่อให้สมาชิกอื่นๆ พร้อมรับมือกับภัยไซเบอร์ และช่วยป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้กับองค์กรของตนที่อาจจะเป็นเป้าถูกโจมตีได้
อีกเซ็คเตอร์สำคัญของภาคการเงิน อย่างธุรกิจประกัน คณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) โดย สุทธิพล ทวีชัยการ เลขาธิการ คปภ.กล่าวว่า ภัยไซเบอร์เป็นสิ่งที่ คปภ.ไม่สามารถมองข้ามได้ เป็นภัยที่พัฒนารูปแบบขึ้นตามยุคสมัยส่งผลกระทบรุนแรงในวงกว้าง จึงจัดเตรียมแผนรับมือภัยคุกคามไซเบอร์ (Incident Response plan) ได้มีหนังสือถึงสมาคมประกันชีวิตไทยและสมาคมประกันวินาศภัยไทยให้ติดตามเฝ้าระวังและเตรียมพร้อมรับมือกับภัยไซเบอร์ รวมถึงรายงานผลกระทบต่อสำนักงาน คปภ.อย่างใกล้ชิด ทั้งนี้เพื่อสร้างความเชื่อมั่น ลดผลกระทบต่อภาคอุตสาหกรรมประกันภัย
แบงก์-ฟินเทคยกระดับป้องภัยไซเบอร์
ธนาคารพาณิชย์อื่นๆ ได้มีการตรวจสอบระบบพร้อมยกระดับความปลอดภัยแล้วเช่นกัน ฐากร ปิยะพันธ์ ผู้บริหารสายงานดิจิทัลแบงกิ้งและนวัตกรรม ธนาคารกรุงศรีอยุธยา ในเครือมิตซูบิชิ ยู เอฟเจ ไฟแนนเชียล กรุ๊ป ประเทศญี่ปุ่น ระบุว่า ธนาคารได้เฝ้าระวังภัยด้านเทคโนโลยีเพิ่มมากขึ้น ยอมรับว่าการที่เทคโนโลยีมีการพัฒนาต่อเนื่อง นอกจากจะเป็นผลดีแล้วก็มีผลเสียเรื่องของความเสี่ยงตามมาเช่นกัน ยิ่งเทคโนโลยีพัฒนามากเท่าไร ความเสี่ยงก็มีมากเท่านั้น ทำให้ธนาคารไม่สามารถหยุดการเรียนรู้ด้านเทคโนโลยีต่างๆ ที่เข้ามาได้ รวมถึงได้ร่วมมือกับ ธปท.และสมาคมธนาคารไทยอย่างเคร่งครัดในการเรียนรู้จุดอ่อนจุดแข็งด้านต่างๆ ที่มีการนำนวัตกรรมมาใช้ โดยเฉพาะการให้บริการผ่านมือถือและออนไลน์
รูปแบบต่างๆ เพื่อป้องกันการถูกโจรกรรม ทำให้ลูกค้าปลอดภัย
ด้าน อาทิตย์ นันทวิทยา กรรมการผู้จัดการใหญ่และประธานเจ้าหน้าที่บริหาร ธนาคารไทยพาณิชย์ กล่าวว่า ธนาคารมีการลงทุนอย่างต่อเนื่องทั้งการพัฒนาไอทีเทคโนโลยีใหม่และการรักษาความปลอดภัย เพราะทั้งสองระบบต้องทำไปควบคู่กัน สิ่งที่ธนาคารให้ความสำคัญคือการป้องกันการโจรกรรมข้อมูลที่จะมีผลต่อความเชื่อมั่นและความไว้วางใจของลูกค้า จึงได้ลงทุนในระดับสูงทั้งในด้านซีเคียวริตี้และไอที แต่ยอมรับว่ายังไม่สามารถการันตีได้ว่าธนาคารจะไม่เสี่ยงต่อการถูกโจรกรรมข้อมูล แต่สะท้อนหน้าที่ของธนาคารต้องรักษาความปลอดภัยของลูกค้าอย่างดี ขณะที่ฟินเทค อย่าง “โอมิเสะ” ผู้ให้บริการระบบชำระเงินให้ความสำคัญเรื่องการรักษาความปลอดของข้อมูลลูกค้ามากที่สุดเช่นกัน ต้องมีการพัฒนาระบบให้ได้มาตรฐาน ซึ่ง อิศราดร หะริณสุต ประธานเจ้าหน้าที่บริหารฝ่ายปฏิบัติการและผู้ร่วมก่อตั้ง บริษัท โอมิซะ จำกัด กล่าวว่า ระบบของโอมิเสะต้องได้มาตรฐานสากล คือมาตรฐาน PCI DSS (Payment Card Industry Data Security Standard) ที่พัฒนาขึ้นโดยค่ายบัตรเครดิต 5 ค่ายหลัก ได้แก่ Visa, MasterCard, American Express, Discover และ JCB โดยมุ่งเน้นที่การยกระดับความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อปกป้องข้อมูลส่วนตัวของผู้ถือบัตร ทุกไตรมาสจะต้องมีการทดสอบระบบและทำเป็นรายงานส่งให้กับบริษัทผู้สอบมาตรฐาน โดยทุกปีจะมีการสอบมาตรฐานและให้ใบอนุญาตใหม่ หากข้อมูลรั่วไหลบริษัทที่ให้การรับรองจะต้องเสียค่าปรับ
คาดภัยไซเบอร์สร้างความเสียหาย6ล้านล้าน
ภาสกร ประถมบุตร รองผู้อำนวยการกลุ่มโครงการพิเศษและผู้อำนวยการศูนย์พัฒนาดิจิทัลและนวัตกรรม สำนักงานส่งเสริมเศรษฐกิจดิจิทัล (ดีป้า) ให้ข้อมูลว่า รายงานของเว็บไซต์ CSO ระบุว่าปี 2560 มีการคาดการณ์อาชญากรรมทางไซเบอร์จะสร้างความเสียหายทั่วโลกรวมกว่า 6 ล้านล้านดอลลาร์สหรัฐ ภายในปี 2564 หรืออีก 3 ปีข้างหน้า สะท้อนแนวโน้มที่ข้อมูลจะถูกเจาะหรือแฮกมากขึ้น ยิ่งปัจจุบันอยู่ในยุคของปัญญาประดิษฐ์ (เอไอ) ซึ่งไม่ได้มีด้านบวกใช้วิเคราะห์ข้อมูลเพิ่มประสิทธิภาพในการทำงานเพียงอย่างเดียว แต่ด้านลบก็มี เพราะแฮกเกอร์ยุคปี 2018 ฉลาดขึ้นสามารถใช้เอไอในการวิเคราะห์ข้อมูลเช่นกัน นอกจากนี้ยังพบว่าแฮกเกอร์มีการนำเอาแมชชีนเลิร์นนิ่ง รวมทั้งนำเทคโนโลยีขั้นสูง (ดีพเทคโนโลยี) เข้ามาใช้ด้วย ดังนั้นเทคโนโลยีที่พัฒนาไปเร็วก็เหมือนดาบสองคมได้เช่นกัน เพราะไม่รู้ว่าแฮกเกอร์มีเอี่ยวกับบริษัทที่ขายเทคโนโลยีหรือไม่ หรือจะเป็นการแฮกเพื่อหาช่องโหว่ในการพัฒนามากขึ้นไปเรื่อยๆ
“ภาสกร” ระบุอีกว่า ภาคที่มีความเสี่ยงถูกแฮกคือภาคการเงิน อาทิ ธนาคาร ประกัน ภาคธุรกิจเฮลธ์แคร์ องค์กรไม่แสวงหากำไร มูลนิธิ เป็นต้น และแนวโน้มในอนาคตคือภาคการผลิต โดยเฉพาะการผลิตโดยใช้ระบบออโตเมชั่นมากขึ้น เช่น ใช้หุ่นยนต์ในการผลิต ใช้โดรนส่งของ รถยนต์ไร้คนขับ อาจจะมีช่องโหว่ใหม่เกิดขึ้น เพราะเป็นเทคโนโลยีอินเตอร์เน็ตออฟธิงส์ (IoTs) ทั้งนี้ รูปแบบการแฮกที่จะพบมาก คือมัลแวร์เรียกค่าไถ่ (Ransamware) มัลแวร์ที่มาจากคอมพิวเตอร์ เช่น โทรจัน การแฮกที่มาในรูปแบบอีเมล์ปลอม หรือการใช้รูปแบบอีเมล์การปลอมอีเมล์ของบริษัท (Social engineering) การแฮกผ่าน DoS หรือ DDoS รวมทั้งการฟิชชิ่งที่หลอกลวงเพื่อขโมยข้อมูลส่วนตัว เป็นต้น ซึ่งทุกองค์กรจะต้องมีการลงทุนระบบไอทีทั้งซอฟต์แวร์และฮาร์ดแวร์ มีการเทรนพนักงาน มีการนำไซเบอร์ซีเคียวริตี้เฟรมเวิร์กมาทำมาตรฐานด้านความปลอดภัยขององค์กร
“กรณีที่เกิดขึ้นกับธนาคารแม้จะกระทบความเชื่อมั่นการผลักดันไปสู่ดิจิทัล แต่เป็นการส่งสัญญาณบวกว่าอย่าละเลยเรื่องนี้ เป็นเรื่องดีและเป็นมุมบวกที่ทำให้คนตระหนัก เพราะถ้าโดนแต่ไม่กล้าเปิด กลัวเสียชื่อเสียงจะเป็นผลเสียมากกว่า”
เรื่องไซเบอร์ซีเคียวริตี้ไม่ใช่แค่ระดับไอทีแมนเท่านั้น แต่ระดับบอร์ดบริหารต้องให้ความสำคัญ ซึ่ง พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เคยปรารภว่าควรมีการซ้อมรับการโจมตีของแฮกเกอร์ มีการจำลองสถานการณ์เพื่อว่าหากเกิดการแฮกจะต้องดำเนินงานต่อไปได้
ธปท.เตรียมออกแนวปฏิบัติ-ลุยตรวจโมบายแบงกิ้ง
ด้านผู้กำกับดูแล อย่าง ธปท. บุษกร ธีระปัญญาชัย ผู้อำนวยการ ฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ ธปท.ระบุว่า ธนาคารพาณิชย์มีบริการและเทคโนโลยีใหม่ๆ มาให้บริการลูกค้า แต่สิ่งที่มาพร้อมกันคือความเสี่ยงจากการใช้เทคโนโลยี ส่วนนโยบายของรัฐบาลที่มุ่งเดินหน้าสู่ยุค 4.0 ธปท.มองว่าต้องบาลานซ์เรื่องความเสี่ยงต่างๆ ที่อาจเกิดขึ้นด้วย ทั้งเรื่องไซเบอร์ซีเคียวริตี้ ข้อมูลส่วนบุคคล
ยิ่งปัจจุบันมีฐานผู้ใช้งานผ่านโมบายแบงกิ้งมากขึ้น จึงต้องมั่นใจว่ามีความปลอดภัยเพียงพอ ธปท.จึงออกไปตะลุยตรวจโมบายแบงกิ้งซีเคียวริตี้ให้มีระบบมาตรการรักษาความปลอดภัยรัดกุม พยายามอุดช่องโหว่ที่แฮกเกอร์จะเข้ามาได้
ความเสี่ยงด้านไอทีสามารถเกิดขึ้นได้ ธปท.ในฐานะหน่วยงานกำกับดูแลไม่ได้นิ่งนอนใจ มีการเตรียมความพร้อมในช่วง 2 ปีที่ผ่านมา และตั้งแต่ต้นปีที่ผ่านมา ธปท.ได้ออกเกณฑ์การกำกับดูแลการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management) ของสถาบันการเงิน และภายในเดือนสิงหาคมหรือภายในกันยายนนี้ ธปท.จะเตรียมออกแนวทางการให้สถาบันการเงินมีการป้องกันเกี่ยวกับภัยไซเบอร์ซึ่งมีแนวโน้มที่จะทวีความรุนแรงและสร้างความเสียหายเพิ่มมากขึ้น แม้ว่าจะมีการป้องกันอย่างเข้มข้นแต่ไม่สามารถรับประกันได้ว่าจะป้องกันได้ 100% เพราะแฮกเกอร์มีการพัฒนามากขึ้นเช่นกัน
ความเสี่ยงด้านไอทีและภัยไซเบอร์ไม่เฉพาะกับธุรกิจการเงินเท่านั้น แต่ถือเป็นความเสี่ยงสำคัญของทุกองค์กรที่ต้องเตรียมรับมือในยุคดิจิทัล ทุกภาคส่วนต้องร่วมมือกัน แลกเปลี่ยนข้อมูลและเรียนรู้ ทั้ง ธปท. ก.ล.ต. กสทช. เจ้าหน้าที่ตำรวจ และภาครัฐอื่นๆ
และระหว่างนี้รัฐบาลกำลังจัดตั้งหน่วยงานดูแลด้านการรักษาความปลอดภัย (Nation Cyber Security Agency) เพื่อรองรับเศรษฐกิจดิจิทัล โดยจะนำร่องใช้ใน 6 กลุ่ม อาทิ ภาคการเงิน เฮลธ์แคร์ พลังงาน บริการสาธารณูปโภคภาครัฐ เป็นต้น และจะสนับสนุนให้กลุ่มเหล่านี้รวมตัวกันจัดตั้งศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ซึ่งในส่วนของสถาบันการเงินได้จัดตั้งทีบี เซิร์ตไปแล้ว สำหรับภาคส่วนอื่นกำลังจะจัดตั้งตามมา เพื่อเตรียมพร้อมรับมือภัยคุกคามไซเบอร์ทางการเงิน นอกจากนี้จะมีกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ (ไซเบอร์เคียวริตี้) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาด้วย
ทั้งหมดคาดหวังว่าจะช่วยเรียกความเชื่อมั่นประชาชนและผลักดันไปสู่เศรษฐกิจดิจิทัลในที่สุดได้!!!
