x

 
“เวลาพูดถึง Cybersecurity
คนส่วนใหญ่มักคิดว่าเป็นเรื่องการรักษาความปลอดภัยขององค์กร แต่จริง ๆ แล้ว
ถือเป็นเรื่อง “สุขอนามัย” ที่เราทุกคนต้องใส่ใจ
เหมือนกับที่เราต้องล้างมือก่อนกินข้าวจนเป็นนิสัย”
 
ปัจจุบันธุรกรรมทางการเงินอิเล็กทรอนิกส์ที่ขยายตัวอย่างรวดเร็ว ในด้านหนึ่งช่วยเพิ่มประสิทธิภาพ ลดต้นทุนการดำเนินงานและการทำธุรกิจ แต่ในอีกด้าน ก็นำมาซึ่งความเสี่ยงจากภัยไซเบอร์ที่เพิ่มขึ้น โดยในปี 2018 World Economic Forum (WEF) จัดให้ภัยไซเบอร์เป็น 1 ใน 10 ของความเสี่ยงที่สำคัญของโลกยุคใหม่ เรื่องนี้ถึงแม้จะมีความเสี่ยงแต่ก็เป็นเรื่องที่บริหารจัดการได้ BOT พระสยาม MAGAZINE ได้รับเกียรติจาก คุณบรรจง ชีวมงคลกานต์ รองผู้อำนวยการฝ่ายข่าว เวิร์คพอยท์ทีวี มาร่วมสนทนากับ ดร.วิรไท สันติประภพ ผู้ว่าการ ธนาคารแห่งประเทศไทย (ธปท.) เกี่ยวกับความมั่นใจในความปลอดภัยของการทำธุรกรรมทางการเงินในยุคไซเบอร์
 
ภัยไซเบอร์เกิดได้ในทุกมิติของวิถีชีวิต
คุณบรรจง : ในฐานะผู้ที่ใช้ “ธุรกรรมทางการเงินอิเล็กทรอนิกส์” เยอะมาก บางครั้งอดสงสัยไม่ได้ว่า ธนาคารพาณิชย์มีมาตรการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity) ดีแค่ไหน ตรงนี้ ธปท. เข้าไปกำกับดูแลอย่างไร 
 
 
ดร.วิรไท : ก่อนจะตอบคำถามผมขอเริ่มต้นว่า “ความเสี่ยงทางไซเบอร์” หรือ “ภัยไซเบอร์” เป็นเรื่องสำคัญที่สามารถกระทบกับเราทุกคนในทุกมิติของชีวิต ไม่ใช่เฉพาะเรื่องการเงินอย่างเดียว เพียงแต่เรื่องของการเงินอาจทำให้เกิดความเสียหายได้ง่าย คนส่วนใหญ่ยังไม่ได้ตระหนักถึงภัยไซเบอร์มากทั้ง ๆ ที่ ในโลกยุค 4.0 เราใช้เทคโนโลยี ใช้อินเทอร์เน็ตมากขึ้น และระบบต่าง ๆ ก็เชื่อมโยงกันมากขึ้น โดยเฉพาะผ่านสิ่งที่เรียกว่า IoT (Internet of Things) ถ้าเชื่อมโยงต่อเข้าสู่อินเตอร์เน็ตก็มีความเสี่ยงที่จะเกิดภัยไซเบอร์ได้ ดังนั้น Cybersecurity จึงเป็นเรื่องสำคัญเพราะภัยไซเบอร์เกิดขึ้นได้ในทุกมิติ ไม่ใช่แค่เฉพาะเรื่องการเงิน เราจึงต้องเท่าทันกับภัยที่มากับโลกยุคใหม่ เพราะความเสี่ยงเกิดได้ทุกขณะ เราต้องให้ความสำคัญกับ “สุขอนามัยทางไซเบอร์” (Cyber Hygiene)
 
เวลาพูดถึง Cybersecurity คนส่วนใหญ่มักคิดว่าเป็นเรื่องการรักษาความปลอดภัยขององค์กร แต่จริง ๆ แล้วถือเป็นเรื่อง “สุขอนามัย” ที่เราทุกคนต้องใส่ใจ เหมือนกับที่เราต้องล้างมือก่อนกินข้าวจนเป็นนิสัย เรื่องนี้ก็เช่นกัน ต้องเริ่มจากเรื่องพื้นฐาน ข้อควรระวังข้อแรกคือ ต้องเข้าใจความเสี่ยงเหล่านั้นก่อน แนวทางต่อมาคือ การป้องกัน “ไม่เปิดประตูบ้านทิ้งไว้” โดยไม่ได้ตั้งใจ หลายกรณี ภัยคุกคามทางไซเบอร์เกิดจากผู้ใช้บริการไม่เข้าใจ เช่น เอา Username และ Password ของตนไปให้คนอื่น เหมือนสมัยที่เอทีเอ็มเข้ามาใหม่ ๆ บางคนจดรหัสเอทีเอ็มแปะไว้ที่หลังบัตร ซึ่งไม่ต่างจากการเปิดประตูบ้านทิ้งไว้โดยไม่ระวัง
 
Cybersecurity เกิดได้ในระบบนิเวศที่ส่งเสริมให้เกิดความรู้ความเข้าใจทางเทคโนโลยีการเงิน
คุณบรรจง : ในโลกยุคใหม่ เราได้ยินข่าวบ่อย ๆ ว่ามี “แก๊ง Call Center” มาล้วงข้อมูลความลับของผู้ใช้บริการ ทั้ง ๆ ที่ ธปท. พยายามประชาสัมพันธ์และเตือนภัยอย่างต่อเนื่อง 
 
ดร.วิรไท: เราต้องเตือนบ่อย ๆ เพราะเป็นภัยในระบบนิเวศใหม่ และเวลาที่เราพูดถึงระบบนิเวศ แปลว่าปัญหาที่เกิดขึ้นอาจไม่สามารถแก้ให้จบได้ด้วยคนใดคนหนึ่ง ต้องเกิดจากความร่วมมือร่วมใจของทุกคนในระบบนิเวศ เริ่มตั้งแต่ประชาชนผู้ใช้บริการ สถาบันการเงินผู้ให้บริการ และโครงสร้างพื้นฐานต่าง ๆ เช่น เครือข่ายโทรศัพท์มือถือ ซึ่งเป็นกลไกสำคัญของการให้บริการทางการเงินผ่านช่องทางอิเล็กทรอนิกส์ รวมถึงตัวผู้กำกับดูแล เช่น ธปท. กสทช. รวมถึงหน่วยงานอื่น ๆ ที่เกี่ยวข้อง เช่น หน่วยงานด้านการปราบปรามผู้กระทำผิด ฯลฯ ฉะนั้น เรื่องนี้ต้องมองเป็นองค์รวมที่ต้องสร้างระบบนิเวศที่มีมาตรฐานด้านความปลอดภัยไซเบอร์ที่สูงขึ้น 
 
สำหรับประชาชนหลักการเริ่มต้นคือ ต้องไม่เปิดประตูบ้านทิ้งไว้ให้โจรเข้ามาได้ง่าย ๆ อย่างเรื่อง Username และ Password หรือ รหัส OTP ที่สถาบันการเงินส่งให้ทางโทรศัพท์มือถือ เพื่อใช้ยืนยันตัวตนในการทำธุรกรรมออนไลน์ บางครั้ง พอมิจฉาชีพโทรมา ผู้ใช้บริการก็เผลอบอกข้อมูลเหล่านี้ หรือบางกรณีมิจฉาชีพใช้เทคโนโลยีขั้นสูงดูดข้อมูลเหล่านี้ออกไป ซึ่งเรื่องนี้ กสทช. ติดตามอย่างใกล้ชิดและวางเกณฑ์กำกับดูแลเอาไว้ นอกจากนี้ ยังมีความเสี่ยงอื่นที่ประชาชนอาจยังไม่ตระหนักเช่น ในการทำธุรกรรมทางการเงินผ่านโทรศัพท์หรือ Internet Banking ไม่ควรใช้ Wi-Fi สาธารณะ แต่ควรใช้ Wi-Fi มาตรฐานสูงที่ต้องมีการ Login ด้วย Password เพราะบางครั้งมิจฉาชีพอาจตั้งชื่อ Wi-Fi ให้เป็นทางการ หรือเอาเครื่องมือบางอย่างไปติดไว้ เพื่อดูดเอาข้อมูล Login และรหัสในการเข้า Mobile Banking เป็นต้น เรื่องนี้ถือเป็นหลักการพื้นฐานที่ต้องช่วยกันประชาสัมพันธ์ให้ประชาชนเข้าใจมากขึ้น 
 
อีกเรื่องสำคัญที่ประชาชนอาจยังไม่ทราบ คือ การตั้ง “เพดาน” หรือวงเงินสูงสุดในการทำธุรกรรมทางการเงินในแต่ละวัน หรือแต่ละรายการ เพื่อจำกัดความเสียหายกรณีที่เกิดความผิดพลาด หรือมีใครล้วงข้อมูลออกไปได้ และถ้าจำเป็นต้องทำธุรกรรมมากเป็นพิเศษ เราสามารถเข้าไปขอยกเว้นเฉพาะรายการนั้น หรือเฉพาะวันนั้น นี่เป็นอีกหลักการเบื้องต้นที่ผู้ใช้บริการควรรู้และรักษาสิทธิของตน เรื่องสุดท้าย คือ นอกจากความรู้ความเข้าใจทางการเงิน (Financial Literacy) วันนี้ประชาชนต้องมีรู้ความเข้าใจเรื่องเทคโนโลยีทางการเงิน (Financial Technology Literacy) ควบคู่ไปด้วย โดยเริ่มจากเข้าใจเรื่องที่อาจเป็นความเสี่ยงต่าง ๆ เพื่อจะได้เข้าใจวิธีการปิดความเสี่ยงและวิธีการบริหารความเสี่ยง  
 
กลุ่มที่สำคัญมากในระบบนิเวศ ได้แก่ สถาบันการเงิน ในฐานะผู้ให้บริการ ต้องมีระบบที่ดีและมีมาตรฐานด้านความปลอดภัยที่สูง เนื่องจากทุกวันนี้ มีความพยายามเจาะระบบของสถาบันการเงินทั่วโลกอยู่ตลอดเวลา วันละหลายครั้ง สถาบันการเงินจึงต้องทำทั้ง 4 เรื่องหลักดังต่อไปนี้ (1) ต้องมีระบบป้องกันให้ดี (Prevention) พูดง่าย ๆ คือ “กำแพงบ้านต้องสูงพอ  และต้องเท่าทัน” ถ้าโจรยิ่งเก่งขึ้น กำแพงยิ่งต้องสูง (2) ต้องมีระบบการตรวจจับที่ดี (Detection) เพื่อสอดส่องว่ามีโจรหลุดเข้ามาได้หรือไม่ (3) ต้องมีการรับมือและตอบสนองอย่างรวดเร็ว (Response) กรณีถ้าโจรหลุดเข้ามา ต้องมีกลไกและกระบวนการที่สามารถตอบสนองได้อย่างทันท่วงทีเพื่อไม่ให้ลามไปสู่ระบบอื่น และ (4) การกู้ระบบกลับมาในเวลาที่รวดเร็ว (Recovery) 
 
 
Response และ Recovery เป็นสิ่งสำคัญ
คุณบรรจง : กระบวนการทั้ง 4 ขั้นตอนที่ท่านผู้ว่าการบอกจริง ๆ ผมคิดว่า เราเจอมาหมดแล้ว และช่วงที่ผ่านมาเรามี แนวทางรับมืออย่างไรบ้าง
 
ดร.วิรไท : เรื่องนี้ถือเป็นความท้าทายของโลก และไม่ใช่เฉพาะระบบการเงิน องค์กรขนาดใหญ่ทุกแห่งจำเป็นต้องคิดถึงการวางระบบให้รัดกุมทั้ง 4 เรื่อง โดยเฉพาะ 2 เรื่องหลัง คือ Response กับ Recovery เมื่อก่อนคนอาจคิดว่าจะทำอย่างไรไม่ให้ภัยไซเบอร์เกิดกับระบบของเรา จึงเน้นที่การสร้างระบบป้องกันที่ดี (Prevention) และระบบตรวจจับที่เร็ว (Detection) แต่วันนี้ด้วยความเสี่ยงที่เพิ่มขึ้น สมมติฐานเปลี่ยนเป็นว่า ถ้าสักวันเกิดภัยไซเบอร์ขึ้นเราจะมีกระบวนการรับมืออย่างไร คือต้องมีกลไกหรือกระบวนการตอบสนองที่รวดเร็ว (Response) และถ้าระบบถูกกระทบก็ต้องสามารถกู้ระบบกลับมาได้ในเวลาไม่ช้า (Recovery) และต้องมั่นใจว่าข้อมูลที่กู้กลับมาเป็นข้อมูลที่ถูกต้อง ไม่ใช่ข้อมูลที่ถูกปรับเปลี่ยน ซึ่งแนวทางที่กล่าวมา เป็นแนวทางตามหลักสากลที่ ธปท. ใช้กำกับดูแลสถาบันการเงินในเรื่อง Cybersecurity
 
นอกจากนี้ ธปท. ได้ออกมาตรฐานใหม่เรื่องการกำกับดูแลความเสี่ยงทางด้านไอทีในปีนี้ เพื่อให้สถาบันการเงินมีแนวทางปฏิบัติที่ชัดเจน โดยหัวใจสำคัญคือ การตัดสินใจในเรื่องความเสี่ยงด้านไอทีเป็นเรื่องที่คณะกรรมการระดับสูงสุดต้องให้ความสำคัญ อาทิ การจัดสรรทรัพยากรในเรื่องนี้อย่างเหมาะสม การกำหนดแนวนโยบายและแนวปฏิบัติตั้งแต่กลไกการป้องกันไปถึงการกู้ระบบ ฯลฯ อีกทั้งยังได้กำหนดให้ต้องมีผู้รู้ผู้เชี่ยวชาญเรื่องไอทีอย่างน้อย 1 คนนั่งเป็นกรรมการของสถาบันการเงิน
 
ในภาพรวมของระบบการเงินสิ่งที่ธนาคารกลางต้องป้องกัน คือ ป้องกันไม่ให้คนที่อ่อนแอกลายเป็น “ประตูผี” หรือจุดเปราะบางของระบบต่อเข้ากับระบบกลางของประเทศ เพราะระบบการเงินเชื่อมโยงถึงกันหมด ฉะนั้น ถ้ามีคนที่อ่อนแอเพียง 1 - 2 คน แม้คนอื่นจะพยายามตั้งระบบดีอย่างไร “โจร” ก็สามารถเข้าไปสู่ระบบของคนอื่นไปได้ทั่ว เราจึงต้องกำหนดให้สถาบันการเงินต้องยกระดับมาตรฐานด้าน IT Security ให้ได้ตามมาตรฐานสากล ก่อนที่จะได้รับอนุญาตให้เชื่อมกับระบบใหญ่ แน่นอนว่าสิ่งเหล่านี้เป็นต้นทุนที่เพิ่มขึ้นของสถาบันการเงิน แต่ถ้าจะให้บริการทางการเงิน นี่ก็เป็นแนวปฏิบัติที่ต้องทำ และต้องทำมากขึ้นด้วย 
 
อีกเรื่องที่สำคัญมากคือ ระบบการเงินมีความเชื่อมโยงกันทั้งระบบ ดังนั้น Cybersecurity จึงไม่ใช่เรื่องที่สถาบันการเงินจะมาแข่งกันว่าใครเก่งกว่ากัน แต่เป็นเรื่องที่ทุกสถาบันการเงินต้องร่วมมือกัน ตัวอย่างที่เห็นได้ชัดคือ 3 ปีที่แล้ว มีการก่อกวนเครือข่าย (Distributed Denial of Service Attack หรือ DDos Attack) เกิดขึ้นกับเว็บไซต์ของธนาคารพาณิชย์ขนาดใหญ่ของไทยหลายแห่ง มีการส่งสัญญาณปลอมเข้าไปในระบบเป็นจำนวนมากทำให้ระบบติดขัด (Traffic Jam) ส่งผลให้ลูกค้าไม่สามารถเข้าไปทำธุรกรรมได้จากนั้นปัญหาก็ลามไปหลายธนาคาร เหตุการณ์นี้ส่งผลให้ธนาคารต้องร่วมมือกันจัดตั้งระบบแลกเปลี่ยนข้อมูลภัยไซเบอร์ระหว่างธนาคาร แลกเปลี่ยนข้อมูล Threat หรือภัยที่อาจจะกำลังเกิดขึ้น โดยหัวใจสำคัญอยู่ที่สถาบันการเงินต้องเปลี่ยนวิธีคิด (Mindset) ว่าเรื่องนี้เป็นเรื่องที่ต้องทำงานร่วมกันเพื่อสร้างความเข้มแข็งของระบบไม่ใช่เรื่องที่จะเอามาโฆษณาแข่งขันกัน ปีที่ผ่านมาสถาบันการเงินไทยร่วมมือกันทำเรื่องเหล่านี้หลายด้าน รวมทั้งการกำหนดมาตรฐานขั้นต่ำในด้านต่าง ๆ เช่น ถ้าเกิดปัญหาต้องกู้ระบบกลับมาภายในกี่ชั่วโมง ฯลฯ เพื่อให้ทุกสถาบันการเงินมีมาตรฐานที่สูงใกล้เคียงกัน 
 
การกำกับดูแลความปลอดภัยระบบข้อมูลลูกค้า
คุณบรรจง : ปัจจุบันที่มีการพูดถึง Big Data กันมาก หลายคนอาจกังวลใจว่าธนาคารอาจเอาข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมไปใช้ประโยชน์ในเชิงพาณิชย์ ธปท. มองว่ามีความเสี่ยงอย่างไรบ้าง
 
ดร.วิรไท : มีประเด็นที่ต้องให้ความสำคัญอย่างน้อย 2 มิติ มิติแรก คือการเจาะเอาข้อมูลถือเป็นภัยทางไซเบอร์ที่สำคัญ เวลาที่พวกแฮ็กเกอร์เข้ามาเจาะข้อมูลอาจมีวัตถุประสงค์หลายอย่าง เช่น เรียกค่าไถ่ ทำให้ระบบทำงานไม่ได้ หรือเข้ามาสร้างธุรกรรมปลอมเพื่อโอนเงินออก เป็นต้น อีกมิติที่สถาบันการเงินหรือหน่วยงานที่มีฐานข้อมูลเยอะ ๆ มักตกเป็นเป้า คือการเจาะเอาข้อมูลลูกค้าออกไปทีละเป็นหมื่นเป็นแสนรายการ อันนี้ก็เป็นภัยที่เกิดขึ้นทั่วโลก การรักษาความปลอดภัยในเรื่องระบบข้อมูลถือเป็นเรื่องสำคัญมาก โดยเฉพาะข้อมูลที่มีความอ่อนไหว มาตรฐานความปลอดภัยทางไซเบอร์จึงต้องสูงมาก  รวมถึงต้องมีวิธีดูแลความปลอดภัยของข้อมูลที่เรียกว่า “Data Governance” เช่น การแยกส่วนข้อมูลแล้วเก็บแยกส่วนกัน เพื่อที่ว่าถ้าข้อมูลหลุดออกไป ผู้โจรกรรมจะไม่สามารถเข้าถึงข้อมูลดิบของผู้เสียหายรายบุคคลได้ทั้งหมด หรือทำข้อมูลให้อยู่ในรูปของโค้ด (Encrypted) เพื่อไม่ให้สามารถดูข้อมูลดิบได้ง่าย ๆ เป็นต้น
ข้อมูลเป็นเรื่องที่จะสำคัญมากขึ้นในโลกยุคดิจิทัล มีคนบอกว่าข้อมูลจะสำคัญมากกว่าทอง หรือน้ำมันด้วยซ้ำไป เพราะว่าข้อมูลเป็นตัวเชื่อมโยงแพลตฟอร์มต่าง ๆ เข้าด้วยกัน และโลกยุคใหม่ การทำธุรกรรมทางการเงินต่าง ๆ ต้องอาศัยข้อมูล และไม่ใช่แค่ข้อมูลทางการเงินแต่เพียงอย่างเดียว แต่รวมถึงข้อมูลพฤติกรรมด้วย ซึ่งข้อมูลเหล่านี้เราต้องถือหลักว่าเป็นข้อมูลของลูกค้า ถ้าสถาบันการเงินจะใช้ข้อมูลเอาไปเชื่อมกับองค์กรอื่น หรือจะเอาไปให้องค์กรอื่นใช้ ต้องขออนุญาต (Consent) จากลูกค้าก่อน แต่บ่อยครั้งที่เราก็มักไม่ได้อ่าน พอมีข้อความอะไรขึ้นมาก็กดตกลงทันที นั่นเท่ากับว่าอนุญาตให้นำข้อมูลไปใช้ได้โดยปริยาย ฉะนั้นในส่วนของประชาชนเองก็ต้องตระหนักถึงสิทธิความเป็นเจ้าของข้อมูล ขณะที่ผู้ให้บริการก็ต้องมีแนวปฏิบัติในเรื่องของการรักษาข้อมูล ซึ่งประเด็นเหล่านี้จะยิ่งชัดมากขึ้น เมื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลผ่าน สนช.ออกมา 
 
คุณบรรจง : ตราบที่เทคโนโลยียังคงก้าวหน้าอย่างต่อเนื่อง ธุรกรรมทางการเงินในยุคดิจิทัลก็ต้องเดินหน้าต่อไป สิ่งที่จะเกิดขึ้นกับอนาคตต่อไปในยุค Thailand 4.0 ภาพอนาคตของระบบการเงินในระยะต่อไปจะเป็นอย่างไร
 
ดร.วิรไท : ปฏิเสธไม่ได้ว่า เทคโนโลยีดิจิทัลเป็นเรื่องสำคัญกับเราทุกคน เป็นรูปแบบใหม่ของวิถีชีวิตของพวกเรา เราจึงต้องปรับตัวให้เข้ากับโลกยุคดิจิทัล ต้องเท่าทันกับเทคโนโลยี ต้องเข้าใจความเสี่ยงต่าง ๆ ที่มากับเทคโนโลยี และต้องบริหารจัดการความเสี่ยงเหล่านั้นให้ได้ เพื่อจะให้เทคโนโลยีทางการเงินสมัยใหม่สามารถช่วยเพิ่มศักยภาพให้กับเรา ช่วยลดต้นทุนการใช้ชีวิตของเรา และเปิดโอกาสใหม่ ๆ ให้กับเรา ผมคิดว่าคนไทยทุกคนต้องใส่ใจและต้องให้ความสนใจโดยเฉพาะการสร้างสุขอนามัยในเรื่องของการป้องกันภัยไซเบอร์