TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Jeremy King, Stephen W. Orfei และ Troy Leach ผู้บริหารระดับสูงจาก PCI Security Standards Council (PCI SSC) ออกมาอัปเดตถึงแผนงานและ Roadmap ของ PCI SSC ประจำปี 2017 นี้ ชี้มาตรฐาน PCI-DSS ถูกอัปเดตตลอดเวลา เพื่อให้พร้อมรับมือกับภัยคุกคามสมัยใหม่ เช่น Ransomware และแนวโน้มการเข้าสู่ยุคดิจิทัล ไม่ว่าจะเป็นการนำอุปกรณ์พกพา (BYOD) หรือระบบ Cloud เข้ามาใช้ในองค์กร
“PCI APAC Community Meeting นี้ถูกจัดขึ้นเพื่อให้ความรู้ เสริมพลัง และป้องกันภัยคุกคามไซเบอร์ที่กำลังเป็นประเด็นสำคัญในยุคดิจิทัล เราพร้อมนำเสนอมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดสำหรับปกป้องข้อมูลสำคัญขององค์กร ที่สำคัญคือเรามีแนวทางในการผลักดันประเด็นด้านความมั่นคงปลอดภัยเข้าสู่ระดับบอร์ดและผู้บริหาร เพื่อให้ธุรกิจตระหนักถึงความสำคัญด้านความมั่นคงปลอดภัย” — Jemery King, International Director จาก PCI กล่าวเปิดงาน
ปกป้องข้อมูลการชำระเงินให้มั่นคงปลอดภัยที่สุด
Stephen W. Orfei ผู้จัดการทั่วไปของ PCI ระบุว่า จุดประสงค์หลักของ PCI ในปี 2017 ยังคงเป็นการปกป้องข้อมูลการชำระเงินให้มีความมั่นคงปลอดภัยสูงสุด ไม่ว่าจะเป็นการกำหนดมาตรฐาน การให้แนวทางปฏิบัติที่ดีที่สุด (Best Practices) และการพัฒนาบุคลากรมให้มีความสามารถ เพื่อช่วยให้ธุรกิจสามารถตรวจจับ รับมือ และป้องกันการโจมตีไซเบอร์และ Data Breach ได้ โดยเฉพาะอย่างยิ่งเมื่อข้อมูลการชำระเงินต้องอยู่บนอุปกรณ์สมาร์ทโฟน แท็บเล็ต และระบบ Cloud
มาตรฐาน PCI ในปี 2017 จะโฟกัสที่ 5 ประเด็นสำคัญ ได้แก่ Payment Applications, Payment Terminals, Payment Card Production and Provisioning, Point-to-point Encryption และ Token Service Providers ซึ่งทาง PCI มี Resource ให้ผู้ที่สนใจสามารถเข้าถึงและดาวน์โหลดได้ฟรี ไม่ว่าจะเป็น มาตรฐาน, แนวทางปฏิบัติที่ดีที่สุด, Infographic, คำแนะนำประเด็นต่างๆ เช่น ATM, Ransomware, รหัสผ่าน และ Webinar
10 ภัยคุกคามหลักที่จำเป็นต้องควบคุม
PCI SSC มี Security Advisors มากถึง 29 คน ซึ่งจะคอยอัปเดตภัยคุกคามและประเด็นด้านความมั่นคงปลอดภัยให้กับองค์กรทั่วโลก รวมไปถึงประสานงานกับ QSA เพื่อให้สามารถตรวจประเมินและให้คำแนะนำได้ตรงประเด็นกับสถานการณ์ล่าสุด
สำหรับปี 2017 นี้ Orfei ได้กล่าวถึงภัยคุกคามสำคัญ 10 ประการที่ทุกองค์กรควรให้ความสนใจและวางมาตรการควบคุม ได้แก่ Weak Passwords, SQL Injection, Spear Phishing, Malware, Remote Access Vector Attack, Poor Patching, Card-Not-Present Fraud, Contactless Payments Vulnerabilities, Account Takeover และ Man in the Middle Attack
แผนงานหลักในปี 2017
เพื่อตอบรับกระแส Digital Transformation ที่ทุกองค์กรทั่วโลก โดยเฉพาะ Startup และ SMB ต่างเริ่มนำเทคโนโลยีเข้ามาใช้สนับสนุนการดำเนินงานเชิงธุรกิจ PCI จึงได้วางแผนงานหลักที่จะดำเนินการในปี 2017 ไว้ 3 รายการ ดังนี้
- เพิ่มโซลูชันด้านความมั่นคงปลอดภัยให้แก่พ่อค้ารายย่อย – มีการจัดตั้ง Small Merchant Task Force สำหรับช่วยเหลือพ่อค้ารายย่อย เช่น ธุรกิจ e-Commerce ขนาดเล็ก ที่มีทรัพยากรบุคคลจำกัด ให้ตระหนักถึงความสำคัญของความมั่นคงปลอดภัย และมี Resource เช่น คู่มือและคำแนะนำต่างๆ ที่เข้าใจได้ง่าย และให้บริการฟรี
- สร้างพันธมิตรกับองค์กรและอุตสาหกรรมทั่วโลก – เช่นเดียวกับการจัดงานในกรุงเทพฯ นี้ PCI SSC จะทำงานร่วมกับนานาประเทศและองค์กรต่างๆ ทั่วโลกอย่างใกล้ชิดมากยิ่งขึ้น เพื่อให้ระบบการชำระเงินผ่านบัตรของทุกประเทศมีความมั่นคงปลอดภัย และลดปัญหาอาชญากรรมไซเบอร์
- ให้คำแนะนำสำหรับความเสี่ยงและเทคโนโลยีที่เกิดขึ้นใหม่ – ออกมาตรฐานและแนวทางปฏิบัติใหม่ๆ ให้สอดคล้องกับความเสี่ยงและเทคโนโลยีในปัจจุบัน รวมไปถึงพยายามทำให้ความมั่นคงปลอดภัยเป็นเรื่องง่ายที่องค์กรทุกระดับสามารถเข้าถึงและนำไปปรับใช้ได้
อัปเดตแนวโน้มสำคัญ 4 ประการ
Troy Leach, CTO จาก PCI ระบุถึง Roadmap ของ PCI ในปี 2017 ซึ่งทาง PCI ต้องการอัปเดตประเด็นสำคัญ 4 ประการให้สอดคล้องกับแนวโน้มด้านความมั่นคงปลอดภัยล่าสุด ดังนี้
- Inter-connectivity – ยกระดับความมั่นคงปลอดภัยของ 3rd Parties เพื่อให้ Ecosystem ของกระบวนการชำระเงินผ่านบัตรมีความมั่นคงปลอดภัยสูงสุด ที่สำคัญคือ 3rd Parties เหล่านั้นต้องเข้าถึงข้อมูลด้านความมั่นคงปลอดภัยต่างๆ ของ PCI และนำไปปรับใช้ได้ง่าย
- Authentication – โฟกัสที่การพิสูจน์ตัวตนแบบ Multi-factor Authentication การป้องกัน Card-Not-Present Fraud และการทำให้การทำธุรกรรมผ่านอุปกรณ์พกพามีความมั่นคงปลอดภัย
- Encryption Attacks – ผลักดันให้องค์กรทั่วโลกเปลี่ยนการให้วิทยาการเข้ารหัสลับแบบเก่า ไปใช้เทคโนโลยีและอัลกอริธึมใหม่ที่มีความมั่นคงปลอดภัยมากยิ่งขึ้น รวมไปถึงหาวิธีรับมือกับการโจมตีในปัจจุบัน เช่น Ransomware
- Agile with Software Programming – ออกมาตรฐานและแนวทางปฏิบัติสำหรับการทำ Secure Design ให้รองรับกับโมเดลการพัฒนาซอฟต์แวร์รูปแบบใหม่ๆ ในปัจจุบัน เช่น Agile
เนื่องจากปัจจุบันนี้มีการทำธุรกรรมการเงินผ่านทางสมาร์ทโฟนและแท็บเล็ตมากยิ่งขึ้น PCI จึงได้มีการปรับปรุงมาตรฐานและแนวทางปฏิบัติต่างๆ เพื่อให้การทำธุรกรรมเหล่านั้นบนอุปกรณ์พกพามีความมั่นคงปลอดภัยกว่าเดิม ไม่ว่าจะเป็นเรื่องการทำ Tokenization, Over the Air Provisioning, PIN on mPOS และ 3D Secure 2.0 (มาตรฐานเกี่ยวกับการพิสูจน์ตัวตน)
กระตุ้นรัฐบาลให้สนับสนุนทุกอุตสาหกรรมในประเทศไทย
Jeremy King, International Director จาก PCI ให้คำแนะนำแก่ประเทศไทยว่า ถึงแม้ว่า PCI จะนำเสนอมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดเพื่อให้ข้อมูลการชำระเงินมีความมั่นคงปลอดภัย แต่สิ่งสำคัญที่สุดคือรัฐบาลและหน่วยงานที่เกี่ยวข้อง เช่น ธนาคารแห่งประเทศไทยต้องให้การสนับสนุนด้วย ไม่ว่าจะเป็นการสร้างความตระหนักให้แก่อุตสาหกรรมในประเทศไทย การออกกฎข้อบังคับ การพัฒนาบุคลากร และการผลักดันให้นำแนวทางปฏิบัติและมาตรฐานต่างๆ เข้ามาใช้เพื่อยกระดับความมั่นคงปลอดภัยในองค์กรให้พร้อมรับกับการนำเทคโนโลยีเข้ามาใช้ในยุค Thailand 4.0
“ปัญหาสำคัญด้านความมั่นคงปลอดภัยในภูมิภาคเอเชียแปซิฟิกรวมถึงประเทศไทย คือ การส่งข้อมูล Username/Password ในรูปของ Cleartext ซึ่งไม่มีการเข้ารหัสข้อมูล รวมไปถึงการ Hardcode รหัสผ่านลงในโปรแกรม ดังนั้นเรื่องแรกที่คนไทยควรแก้ไขคือการบริหารจัดการรหัสผ่านให้มั่นคงปลอดภัย” — Jeremy King กล่าวใน Panel Discussion
เกี่ยวกับ PCI Security Standards Council
PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover , JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibanks, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน
PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย
ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร
