สมาคมธนาคารไทยแนะ ธนาคารควรใช้บริการ Public Cloud ที่ได้มาตรฐานความปลอดภัย SISH

oca_logo

ด้วยคุณสมบัติการขยายระบบได้อย่างไร้ขีดจำกัด การดูแลรักษาที่ง่าย และการสนับสนุนนักพัฒนาแอพพลิเคชันให้ทำงานได้สะดวกสบายมากยิ่งขึ้น ในขณะที่มีต้นทุนและเสียค่าใช้จ่ายต่ำกว่าการใช้อุปกรณ์ฮาร์ดแวร์ เหล่านี้ทำให้บริการ Public Cloud เป็นที่น่าสนใจของหลายองค์กร ไม้เว้นแม้แต่ธนาคาร

Public Cloud อาจเพิ่มช่องทางให้แฮ็คเกอร์เข้ามาโจมตี

อย่างไรก็ตาม การปรับระบบไปใช้บริการ Public Cloud ไม่ว่าจะเป็น Iaas, PaaS หรือ SaaS ต่างเป็นการเพิ่มช่องทางให้ผู้ไม่ประสงค์ดีสามารถโจมตีระบบเพื่อขโมยข้อมูลได้ง่ายยิ่งขึ้น ธนาคารจึงควรตระหนักถึงเครื่องความปลอดมั่นคงปลอดภัยบนโลกไซเบอร์ควบคู่ไปกับการให้มอบประสบการณ์ในการใช้บริการอันแสนยอดเยี่ยมให้กับลูกค้า

“สภาพแวดล้อมของการทำงานทุกวันนี้ พนักงานธนาคารทำงานบนแอพลิเคชั่นต่างๆ ขององค์กรเองและเข้าถึงข้อมูลที่สำคัญจากระบบเซิฟเวอร์ (On-premise) และระบบคลาวด์ผ่านอุปกรณ์ทุกประเภท ซึ่งทำให้มีโอกาสสูงที่จะเป็นการเปิดช่องทางให้กับกับการโจมตีทางไซเบอร์” คุณยศ กิมสวัสดิ์ ประธานสำนักระบบการชำระเงิน สมาคมธนาคารไทย กล่าว “เมื่อปีที่แล้วเราพบว่า อาชญากรไซเบอร์ยุคนี้มีเชี่ยวชาญอย่างมากและสามารถโจมตีเป้าหมายได้จากทุกที่ทุกเวลาทั่วโลก ดังนั้นธนาคารจำเป็นต้องเร่งดำเนินการเพื่อแก้ไขปัญหาภัยคุกคามด้านความปลอดภัยและปรับปรุงระบบรักษาความปลอดภัยด้วย”

ttt_cloud_with_padlock-Maksim_Kabakou
Credit: Maksim Kabakou/ShutterStock

ควรเลือกใช้บริการ Public Cloud ที่มีมาตรฐานความปลอดภัยที่เชื่อถือได้

เพื่อสนับสนุนให้ธนาคารทั่วโลกใช้บริการ Public Cloud ที่มีความปลอดภัย มร. ไมเคิล มัดด์ เลขาธิการ The Open Computing Alliance ร่วมกับบริษัท Cloud Service Provider ได้นำเสนอหลักการ Secure Information Systems Hosting (SISH) ซึ่งเป็นแนวคิดคุณสมบัติของ Trusted Cloud ที่มีความมั่นคงปลอดภัยสูงกว่าระบบ Cloud ปกติ พร้อมทั้งแนะนำให้ธนาคารในประเทศไทยพิจารณาถึงคุณสมบัติเหล่านี้ของระบบ Cloud ให้ดีก่อนเลือกใช้บริการ

คุณสมบัติ 10 ประการของ SISH Trusted Cloud ประกอบด้วย

1. System and Location Transparency
ผู้ให้บริการระบบคลาวด์จำเป็นต้องมีการซ่อนพรางระบบและอุปกรณ์ฮาร์ดแวร์ของตนไม่ให้ผู้อื่นทราบได้ว่าข้อมูลที่แท้จริงจัดเก็บและประมวลผลอยู่ที่ไหน

2. Limits on Data Use
ผู้ให้บริการระบบคลาวด์ต้องไม่นำข้อมูลของธนาคารไปใช้เพื่อจุดประสงค์อื่น นอกเหนือจากธุรกรรมของธนาคารนั้นๆเท่านั้น

3. Data Seperation/Isolation
ข้อมูลของธนาคารจำเป็นต้องมีการจัดเก็บแยกออกมาจากข้อมูลอื่นๆ

4. Conditions on Subcontracting
ในกรณีที่ผู้ให้บริการระบบคลาวด์มีการเรียกใช้ผู้บริการรายย่อย ผู้บริการรายย่อยเหล่านั้นจำเป็นต้องให้บริการด้วยเงื่อนไขและมาตรฐานเดียวกันกับผู้ให้บริการระบบคลาวด์

5. Due Diligence and Service Provider Compliance
ผู้ให้บริการระบบคลาวด์จำต้องให้บริการอย่างถูกต้องตามข้อกำหนดหรือมาตรฐานที่วางไว้ และธนาคารเองต้องมีการทำ Risk Management โดยการพิจารณาความเสี่ยงจากการใช้ระบบคลาวด์ด้วย

6. Security and Confidentiality
ธนาคารควรใช้บริการจากผู้ให้บริการระบบคลาวด์ที่ได้รับการการันตีว่ามีมาตรฐานด้านความมั่นคงปลอดภัยและการเก็บรักษาความลับของข้อมูลที่ทันสมัย

7. Review, Monitoring and Control
ผู้ให้บริการระบบคลาวด์จะต้องจัดทำรายงานและให้ข้อมูลแก่ธนาคาร เพื่อแสดงให้เห็นว่าการให้บริการเป็นไปตามข้อกำหนด มาตรฐาน และกฏหมายตามที่ได้ตกลงกันไว้

8. Audit and Access Rights
ผู้ให้บริการระบบคลาวด์ควรมอบสิทธิ์ในการเข้าถึงและตรวจสอบการให้บริการแก่ผู้ตรวจสอบ เพื่อแสดงให้เห็นว่าการให้บริการเป็นไปตามข้อกำหนด มาตรฐาน และกฏหมายตามที่ได้ตกลงกันไว้

9. Resilience and Business Continuity
ผู้ให้บริการระบบคลาวด์จะต้องมีแผนงานที่การันตีได้ว่าสามารถให้บริการได้อย่างต่อเนื่อง โดยที่ระบบจะไม่มีปัญหา หรือถ้ามีปัญหาจำเป็นต้องมีแผนในการรับมือที่ชัดเจนตามมาตรฐาน ISO 27001

10. Conditions on Termination
ธนาคารต้องมีสิทธิ์เด็ดขาดในการสิ้นสุดการใช้บริการ รวมถึงมีข้อกำหนดชัดเจนหลังจากเลิกใช้บริการแล้ว เช่น ข้อมูลของธนาคารจะต้องถูกโอนกลับมาให้ธนาคารทั้งหมด และต้องทำลายข้อมูลทิ้งทันที เป็นต้น

ต้องมีการจำแนกข้อมูลและระบบป้องกันข้อมูลสูญหาย

นอกจากคุณสมบัติ SISH 10 ประการแล้ว ธนาคารควรมีระบบจำแนกและจัดเก็บข้อมูลแบ่งตามระดับความสำคัญเพื่อให้สามารถกำหนดนโยบายเพื่อควบคุมและป้องกันข้อมูลเหล่านั้นไม่ให้รั่วไหลสู่ภายนอกได้ เช่น

  • ระดับ 1 – Low – ข้อมูลการสื่อสารภายในทั่วไป ไม่เกี่ยวข้องกับลูกค้า ไม่มีการเข้ารหัส และไม่มีความเสี่ยงต่อธุรกิจ
  • ระดับ 2 – Medium – ข้อมูลการสื่อสารภายในและภายนอก ข้อมูลเกี่ยวกับตัวตนของลูกค้า มีการเข้ารหัสที่เหมาะสม และมีความเสี่ยงปานกลางต่อชื่อเสียงในกรณีที่ข้อมูลสูญหาย
  • ระดับ 3 – High – ข้อมูลสำคัญ เช่น กุญแจสำหรับเข้ารหัส กุญแจสำหรับการสำรองข้อมูล จำเป็นต้องเข้ารหัสด้วยอัลกอริธึมที่มีความปลอดภัยสูง และส่งผลกระทบต่อธุรกิจอย่างรุนแรงในกรณีที่ข้อมูลรั่วไหลสู่ภายนอก

“ภัยคุกคามแบบใหม่ การโจมตีรูปแบบใหม่และเทคโนโลยีใหม่ๆ เกิดขึ้นตลอดเวลา” มร. มัดด์ กล่าว “ปัจจุบันองค์กรธุรกิจสามารถเลือกได้ว่าจะใช้เงินลงทุนมหาศาลในการสร้างแพลตฟอร์มการรักษาความปลอดภัยที่ทันสมัย คล่องตัวและครบวงจรของตนเอง หรือยกความเสี่ยงด้านความปลอดภัยไปให้ผู้ให้บริการระบบคลาวด์ที่เชื่อถือได้ และอยู่ในธุรกิจการป้องกันและการรักษาความปลอดภัยข้อมูลของลูกค้าเป็นผู้รับผิดชอบ และเป็นผู้คาดการณ์เกี่ยวกับภัยคุกคามใหม่ๆ ที่จะเกิดขึ้นในอนาคตว่าจะมีลักษณะอย่างไรและมีวิธีการป้องกันและตอบโต้ต่อภัยคุกคามเหล่านั้นอย่างไร”

oca_sish_1


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …