“มีสติก่อนคลิก – ใช้สติก่อนแชร์ – ไม่แน่ใจต้องรายงาน” วัฒนธรรมกสิกรไทยด้านความปลอดภัยไซเบอร์

• Facebook
• Twitter
• Line

“ในประวัติศาสตร์จีน มีเพียง 2 ครั้งเท่านั้นที่กำแพงเมืองจีน หรือกรุงปักกิ่งถูกโจมตีผ่านทางกำแพงเมืองจีน เพราะกำแพงเมืองจีนสร้างขึ้นมาเพื่อป้องกันภัยการรุกรานของชนเผ่าต่างๆ ที่อยู่เหนือบนปักกิ่งขึ้นไป ที่ไม่ใช่ชาวฮั่น ครั้งแรกด่านที่ถูกตีทะลุเข้ามาถึงปักกิ่งได้ชื่อว่า ด่าน จวี ยงกวน แปลเป็นภาษาไทย คือ ด่านที่ประชาชนทั่วไปผ่านได้ เมื่อนึกถึงผ่านด่าน ก็ต้องมีนายด่านคอยตรวจว่าใครเดินทางเข้ามาบ้าง ครั้งที่สองปี 1644 ผ่านด่านซ่านไห กวน เป็นกำแพงเมืองจีนส่วนเดียวเท่านั้นที่ทิ่มไปในทะเล”

“มีการโจมตีสองครั้งในประวัติศาสตร์จีนหลังจากสร้างกำแพงเมืองจีนเพื่อป้องกันกรุงปักกิ่ง สาเหตุของการถูกโจมตี คือ คน นายด่านอาจจะถูกติดสินบนหรือทำหน้าที่ไม่เต็มที่ ที่ผมหยิบยกประวัติศาสตร์ขึ้นมา เพราะทุกอย่างเรียนรู้ได้จากประวัติศาสตร์ History repeats itself. เพราะเราเป็นมนุษย์ สองครั้งที่ถูกโจมตีพลาดได้ด้วยคน” นายพิพิธ เอนกนิธิ กรรมการผู้จัดการ ธนาคารกสิกรไทย กล่าวในงาน “สติเดย์” ส่วนหนึ่งของโครงการอบรมและให้ความรู้กับพนักงาน รวมถึงเป็นช่องทางในการสื่อสารจากผู้บริหารระดับสูง

ธนาคารกสิกรไทยได้ให้ความสำคัญกับความปลอดภัยไซเบอร์มาโดยตลอด โดยการจัดสรรทรัพยากรเพื่อพัฒนาระบบเทคโนโลยีสารสนเทศให้มีความมั่นคงปลอดภัย ทั้งในการป้องกัน (prevention) การตรวจจับ (detection) และการตอบสนองต่อเหตุการณ์ (response) ที่มีประสิทธิภาพ แต่ปัจจุบันภัยคุกคามด้านไซเบอร์มีความรุนแรงมากขึ้น โดยมุ่งไปที่การหลอกลวงผู้ใช้เทคโนโลยีให้เปิดเผยข้อมูลสำคัญต่างๆ ของบุคคลและองค์กร

ปัจจัยที่สำคัญที่สุดในการป้องกันภัยไซเบอร์ คือ พนักงานของธนาคารที่ต้องมีความเข้าใจและตระหนักถึงความเสี่ยงและความเสียหายจากภัยคุกคามด้านไซเบอร์ และต้องมีพฤติกรรมด้านความปลอดภัยไซเบอร์ที่ดี และมีการนำมาปฏิบัติอย่างจริงจังจนเป็นวัฒนธรรมองค์กรทางด้านความมั่นคงปลอดภัยไซเบอร์ (cyber hygiene culture)

ธุรกรรมดิจิทัลพุ่งต้องบริหารความเสี่ยงแบบใหม่

นายพิพิธกล่าวว่า โลกปัจจุบันที่ธุรกรรมดิจิทัลนับวันจะเพิ่มมากขึ้นด้วยความก้าวหน้าทางเทคโนโลยี แต่ก็มีภัยทางไซเบอร์เกิดขึ้นอย่างต่อเนื่องเช่นกัน โดยมีการเกิดขึ้นของจุดอ่อนหรือช่องโหว่ (vulnerability) วันละมากกว่า 50 ช่องโหว่ มีการแฮกเกิดขึ้นในทุกๆ 39 วินาที และมีการโจมตีด้วยมัลแวร์ประเภท ransomware มากกว่า 4,000 ครั้งต่อวัน

“สิ่งเหล่านี้เป็นภัยใกล้ตัว ทำให้เราต้องมีความตื่นตัว และตระหนักว่าการป้องกันภัยไซเบอร์เป็นเรื่องที่สำคัญ ทั้งต่อตนเองและองค์กร” นายพิพิธกล่าว

ธนาคารกสิกรไทยได้ยกระดับความปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง เพราะปริมาณธุรกรรมบนช่องทางดิจิทัลเพิ่มขึ้นจำนวนมากตลอด 4-5 ปีที่ผ่านมา ปัจจุบัน 90% ของการทำธุรกรรมผ่านระบบดิจิทัลของธนาคาร มากกว่าการทำธุรกรรมรวมกันของทุกช่องทางไปแล้ว และสูงกว่าการทำธุรกรรมผ่านช่องทางเดิมๆ ดังนั้นจึงไม่สามารถใช้การกำกับดูแลแบบเดิมได้

นายพิพิธกล่าวว่า การทำธุรกรรมผ่านช่องทางดิจิทัลที่เพิ่มขึ้นเร็วมาก ทำให้ธนาคารเห็นว่าการบริหารความเสี่ยงของธนาคารต้องมีการจัดการใหม่ ในปี 1997 ความเสี่ยงจากปล่อยสินเชื่อ หรือ credit risk ทำให้ธนาคารพาณิชย์พัง แต่ยุคนี้ไม่คิดว่าความเสี่ยงจากการให้เงินกู้จะทำให้ธนาคารพาณิชย์พัง เพราะมีการวางระบบและการกำกับดูแลอย่างดี

“แต่ความเสี่ยงด้านดิจิทัล ไม่มีใครสามารถประมาทได้ อาจจะส่งผลกระทบรุนแรงต่อธนาคารพาณิชย์ เป็นเรื่องที่น่ากลัว มองไม่เห็น คนไม่มีความรู้พอ ไม่มีวัฒนธรรมที่จะพร้อมรองรับกับโลกที่เดินไปเร็วขนาดนี้”

ในช่วงที่ผ่านมาธนาคารได้ให้ความรู้แก่พนักงานร่วม 25,000 คนเกี่ยวกับการหลอกลวงในรูปแบบ phishing พร้อมกับได้ขยายไปสู่บริษัทในเครือ

“ภัยไซเบอร์จะกลายเป็นเรื่องใหญ่ที่กำลังจะมาถึง หากไม่มีการบริหารความเสี่ยง และเราเริ่มกับคน 25,000 คนในกสิกรไทยก่อน แล้วเราจะทำงานร่วมมือกับคนที่อยู่ในระบบนิเวศทั้งหมด เพื่อเตรียมพร้อมกับภัยไซเบอร์” นายพิพิธกล่าว

“มีสติก่อนคลิก ใช้สติก่อนแชร์ ไม่แน่ใจต้องรายงาน”

ภัยไซเบอร์มีการพัฒนามากขึ้น เป็นภัยที่มองไม่เห็น จึงต้องยกระดับบริหารจัดการใหม่ทั้งหมด จึงเป็นที่มาของการยกระดับการรักษาความมั่นคงและความปลอดภัยเมื่อ 3 ปีก่อน มีการดำเนินการอย่างเป็นขั้นตอน จนปัจจุบันถึงขั้นตอนที่เกี่ยวข้องกับคน

“การทำความเข้าใจและให้ความรู้กับคน ต้องทำให้เป็นเรื่องง่าย ทำให้เห็นถึงประโยชน์ ขณะเดียวกันต้องเห็นโทษ ผู้บริหารต้องให้ความสำคัญและจริงจัง ซึ่งในด้านเทคโนโลยีไม่ได้เป็นเรื่องยาก เพราะในช่วง 2-3 ปีที่ผ่านมาธนาคารได้ลงทุนในการพัฒนาโครงสร้างพื้นฐานในการรักษาความปลอดภัย แต่ที่ยากคือ การทำให้ทุกคนเข้าใจ และทำให้ทุกคนแสดงพฤติกรรมอันใหม่ขึ้นมา เพราะนี่คือวัฒนธรรมใหม่ที่เราต้องปฏิบัติ ซึ่งไม่ได้มีประโยชน์สำหรับพนักงานที่ทำงานกับธนาคารเท่านั้น แต่มีประโยชน์ต่อบุคคลรอบตัวพนักงานเอง ทั้งครอบครัว เพื่อนหรือญาติ ที่มีการใช้บริการด้านต่างๆในไซเบอร์ ซึ่งมีความเสี่ยงเช่นกัน” นายพิพิธกล่าว

เมื่อเร็วๆนี้ ธนาคารได้ประกาศให้ cyber security & IT resilience หรือ การยกระดับมาตรฐานความปลอดภัยทางไซเบอร์ และความสามารถในการจัดการทางไอทีที่รวดเร็ว เป็น 1 ใน 8 กลยุทธ์ยกระดับองค์กร

นายพิพิธกล่าวว่า กลยุทธ์ที่ใช้ในการจัดการความเสี่ยงด้านไซเบอร์ประกอบด้วย การป้องกัน (prevention) การตรวจจับ (detection) การตอบสนองต่อเหตุการณ์ (response) และที่สำคัญคือ ต้องมีการสร้างวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ หรือ “cyber hygiene culture”

โครงการ cyber hygiene culture ที่ธนาคารได้ริเริ่ม คือ สร้างพฤติกรรมและปลูกฝังพนักงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ดี โดยกำหนดพฤติกรรมเป้าหมายผ่าน slogan “มีสติก่อนคลิก ใช้สติก่อนแชร์ ไม่แน่ใจต้องรายงาน” มีความหมายคือ

• มีสติก่อนคลิก หมายถึง มีสติในการคลิกอีเมล และให้พึงระวังจากการถูกหลอกโดยฟิชชิ่งอีเมล
• ใช้สติก่อนแชร์ ทั้งข้อมูลลูกค้า และข้อมูลสำคัญของตนเอง เช่น รหัสผ่าน
• ไม่แน่ใจต้องรายงาน เมื่อใดก็ตามที่เห็นความผิดปกติต่างๆ ทางด้านภัยไซเบอร์ ต้องรายงานไปยังหน่วยงาน cyber security ของธนาคารทันที

นายพิพิธกล่าวว่า ในระยะต่อไปธนาคารต้องมีความร่วมมือกับพันธมิตรมากขึ้น ดังนั้นการเชื่อมโยงระหว่างกันก็ต้องมีความมั่นคงปลอดภัย ธนาคารจึงต้องเร่งดำเนินการสร้างวัฒนธรรม cyber hygiene culture เพราะนอกจากจะเป็นผลดีกับธนาคารโดยตรงแล้ว ยังมีผลดีต่อพันธมิตรที่จะเข้ามาทำงานร่วมกับธนาคาร สร้างนวัตกรรมได้อย่างรวดเร็วและช่วยให้ธนาคารขยายพันธมิตรได้เร็วขึ้นอีกด้วย ตลอดจนสร้างมาตรฐานความมั่นคงและความปลอดภัยที่จะกลายเป็นข้อได้เปรียบในการแข่งขัน

“วัฒนธรรมความมั่นคงและความปลอดภัยบนไซเบอร์เริ่มกลายเป็นข้อได้เปรียบในการแข่งขันแล้ว เพราะเป็น peace of mind สำหรับลูกค้าและ trustworthiness ดังนั้นเราจะทำเรื่องนี้”

“สติเดย์” “Safe@Home Safe@Bank”

ธนาคารกสิกรไทยซึ่งมีส่วนแบ่งบริการโมบายแบงกิง ถึง 50% ของตลาดจากบริการเค พลัส หรือ K PLUS จึงได้จัดงาน “สติเดย์” เพื่อให้ความรู้และสร้างความตระหนักให้กับพนักงานเกี่ยวกับภัยคุกคามในรูปแบบการหลอกลวงที่อาจจะเกิดขึ้นกับพนักงาน

ธนาคารได้จัดงาน “สติเดย์” ขึ้นในวันที่ 4 กุมภาพันธ์ 2563 ที่ผ่านมา โดยได้รับความร่วมมือจากองค์กรชั้นนำต่างๆ ได้แก่ Microsoft, AIS, PwC และ KBTG ซึ่งมี คุณชุติมา สีบำรุงสาสน์ รองกรรมการผู้จัดการ สายงานบริหารและพัฒนาทรัพยากรบุคคล บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด บรรยายเรื่อง อยู่อย่างไรจึงจะปลอดภัยบนโลกไซเบอร์ พร้อมกับการเสวนาภายใต้หัวข้อการสร้างวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ โดย คุณกานติมา เลอเลิศยุติธรรม หัวหน้าคณะผู้บริหารด้านทรัพยากรบุคคล บริษัท แอดวานซ์
อินโฟร์ เซอร์วิส จำกัด (มหาชน) คุณวิไลพร ทวีลาภพันทอง หุ้นส่วน บริษัท ไพร้ซวอเตอร์เฮาส์คูเปอร์ส คอนซัลติ้ง (ประเทศไทย) จำกัด และ คุณชัชวัฒน์ อัศวรักวงศ์ Deputy Managing Director บริษัท กสิกร ซอฟต์ จำกัด

นอกจากนี้ยังมีกิจกรรมภายในสำหรับพนักงานธนาคารกสิกรไทยและบริษัทในเครือ โดยจัดภายใต้ธีม “Safe@Home Safe@Bank” มีวัตถุประสงค์คือ

1) เพื่อให้พนักงานมีความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ โดยเน้นที่ภัยคุกคามใกล้ตัวที่ควรรู้และแนวทางการป้องกันภัยคุกคามให้กับตนเอง
2) เพื่อผลักดันให้พนักงานสร้างพฤติกรรมด้านความปลอดภัยไซเบอร์ที่ดี และมุ่งสู่วัฒนธรรมองค์กรที่ดี
3) เพื่อสร้างการรับรู้ของพนักงานต่อการให้ความสำคัญจากผู้บริหารในด้านความปลอดภัยไซเบอร์

“พนักงานเองไม่ได้ใช้อีเมลเฉพาะที่แบงก์ แต่มีบัญชีอีเมลส่วนตัว มีไลน์ มีเฟซบุ๊กก็ต้องใช้ อย่างปลอดภัย ซึ่งเชื่อว่าต่อไปจะสร้างมาตรฐานขึ้นมาได้” นายพิพิธกล่าว

Cyber Ambassador ฑูตวัฒนธรรมไซเบอร์ปลอดภัย

การสร้างวัฒนธรรมองค์กรทางด้านความมั่นคงปลอดภัยไซเบอร์ cyber hygiene culture ขับเคลื่อนด้วย ambassador จำนวน 200 คน ซึ่งเป็นพนักงานจากหน่วยงานต่างๆ มาร่วมกันทำหน้าที่เผยแพร่ความรู้ กระตุ้นเตือน และให้คำแนะนำกับเพื่อนพนักงานในหน่วยงานของตนเอง นอกจากนั้นธนาคารยังจัดให้มีชุดความรู้จัดแบ่งออกเป็นกลุ่ม เช่น ชุดความรู้สำหรับกลุ่มผู้บริหารที่ต้องเข้าห้องเรียนรับการอบรม ส่วนระดับพนักงานจะเปิดคอร์สสั้นๆ เชิงปฏิบัติการมากขึ้น และที่สำคัญทุกคนที่เข้าคอร์สต้องสอบให้ผ่าน

“นอกจากนี้ธนาคารเตรียมการทดสอบวัฒนธรรมองค์กรหลายรูปแบบสำหรับพนักงานไว้เป็นระยะ ซึ่งครอบคลุมทุกคนในองค์กรตั้งแต่ระดับประธานเจ้าหน้าที่บริหารลงมาถึงระดับผู้บริหาร และพนักงาน เพื่อสร้างความตระหนัก ซึ่งในแง่การสร้างความตระหนักรู้ ผมเชื่อว่ารู้กันหมดแล้ว แต่ต้องมีการทำให้พฤติกรรมเปลี่ยน ต้องมีการสร้างความตระหนักรู้ มีความเชื่อ เกิดการทดลองทำ จนกลายเป็นการทำที่ต่อเนื่อง พฤติกรรมก็จะเปลี่ยน” นายพิพิธกล่าว

เพื่อให้พนักงานตระหนักและมีการเรียนรู้มากขึ้น ธนาคารได้ใช้ระบบแจ้งเตือนอีเมลที่เข้ามา ในกรณีที่เป็นอีเมลจากภายนอก ซึ่งกรณีที่พนักงานได้รับอีเมลจากภายนอกและไม่แน่ใจว่าจะปลอดภัยหรือไม่ก็ควรรายงาน

ธนาคารกสิกรไทยได้ร่วมมือกับสมาคมธนาคารไทยเพื่อ ขยายวงวัฒนธรรม cyber hygiene culture ให้ความรู้ในวงกว้างมากขึ้น เพราะไม่ใช่มีเพียงประชาชนทั่วไปเท่านั้นที่ทำธุรกรรมโอนเงิน แต่ยังเกี่ยวข้องกับบริษัทเทเลคอม โรงพยาบาล หน่วยงานราชการ ที่มีการส่งข้อมูลไปมากับธนาคารตลอดเวลา และควรร่วมกันทั้งประเทศ

“เรายินดีที่จะแชร์ข้อมูล เรื่องนี้ เพราะเป็นการสร้าง stability ให้เกิด trustworthiness ให้เกิด resilience ให้กับการใช้บริการบนไซเบอร์เพราะประเทศกำลังเดินบนเส้นทางนี้” นายพิพิธกล่าว

“ผมว่าวัฒนธรรมนี้เป็นวัฒนธรรมใหม่ของสังคม และทั้งประเทศต้องช่วยกันทำงาน ต้องช่วยกันสร้างกฎกติกามารยาทใหม่ หน่วยงานรัฐจะต้องเริ่ม เพื่อที่จะได้เร็วขึ้น”

เตรียมเปิดศูนย์ CSOC ระวังภัย 24 ชั่วโมง

ขณะนี้ธนาคารได้จัดสร้างศูนย์ Cyber Security Operation Center หรือ CSOC เรียบร้อยแล้ว โดยกำหนดจะเปิดตัวเดือนเมษายนนี้ เป็นระบบตรวจสอบว่าในแต่ละจุดปฏิบัติงานของธนาคารกำลังมีการโจมตีเกิดขึ้นหรือไม่ ซึ่งเป็นการตรวจสอบรวมทั้งธนาคาร ทำให้เห็นว่าความพยายามที่จะโจมตี หรือ attempt มีตรงไหน มีกี่ครั้ง สำเร็จหรือไม่สำเร็จ มีการเฝ้าระวัง 24 ชั่วโมง

CSOC เป็นการยกระดับเพื่อสร้างความสบายใจให้กับลูกค้าและ ระบบนิเวศทั้งธนาคาร และนอกเหนือจากแบงก์ที่ต้องมาเชื่อมต่อกันในลักษณะที่ปลอดภัย สังคมก็ปลอดภัย ได้ใช้ไซเบอร์ด้วยความรู้สึกปลอดภัยเต็มที่ ไม่เกิดความวิตก