26 ส.ค. 2022 เวลา 01:35 • วิทยาศาสตร์ & เทคโนโลยี
"5 วิธีที่ธนาคารรักษาความปลอดภัยข้อมูลของพวกเขา"
5 Ways in Which Banks Secure Their Data
โดย เดวิด สมิธ
เผยแพร่บนเว็บไซต์ Endpoint Protector. 8 มิถุนายน 2565
แปลและเรียบเรียง : พ.อ. ชัยยศ ศุภมิตรกฤษณา
ที่มา : https://www.kratikal.com/
ผู้แปล - ระบบการให้บริการของธนาคารมีความน่าสนใจอย่างมาก การจะเอาเงินไปฝากไว้ที่ไหนนั้นลูกค้าต้องมีความเชื่อมั่น ไม่ต่างจากระบบทางทหาร แต่ในโลกทุกวันนี้ที่มีภัยคุกคามและอาชญากรรมทางคอมพิวเตอร์จำนวนมากนั้น ธนาคารยังสามารถที่จะยอมให้ระบบหลักขององค์กรเชื่อมต่อกับอินเตอร์เน็ตที่ทำให้ลูกค้าทั่วโลกเข้าถึงและใช้บริการได้
ธนาคารปกป้องดูแลระบบขององค์กร ไม่เพียงแต่ป้องกันภัยจากภายนอก แต่รวมถึงภัยภายในองค์กรด้วย ดังนั้นจึงมีข้อกำหนดจำนวนมากให้พนักงานธนาคารต้องปฏิบัติ การใช้คอมพิวเตอร์ขององค์กรเป็นไปอย่างจำกัดและได้รับการตรวจสอบการใช้อย่างจริงจัง เพื่อไม่ให้ข้อมูลรั่วไหลหรือเกิดช่องโหว่จากคนใน บทความนี้เป็นเพียงส่วนหนึ่งที่พูดถึงวิธีการสร้างความเชื่อมั่นให้ลูกค้ามีต่อธนาคาร หากขาดซึ่งความเชื่อมั่นแล้ว ย่อมกระทบถึงความอยู่รอดขององค์กร ดังนั้นการทหารจึงสามารถนำหลักการและวิธีการมาประยุกต์ใช้ได้เช่นเดียวกัน
ทําไมลูกค้าจึงเชื่อมั่นว่าธนาคารของพวกเขาจะรักษาเงินของพวกเขาให้ปลอดภัยและปกป้องข้อมูลอื่น ๆ ทั้งหมดที่พวกเขามีเกี่ยวกับพวกเขา
แม้ว่าธนาคารจะมีข้อมูลส่วนบุคคลและข้อมูลทางการเงินจํานวนมากเกี่ยวกับลูกค้าของตนมาโดยตลอด แต่ทุกวันนี้ข้อมูลทั้งหมดนั้นสามารถเข้าถึงได้ง่ายสําหรับทุกคนที่ได้รับอนุญาตให้เข้าถึง การเติบโตของเทคโนโลยีทางการเงินได้นําไปสู่นวัตกรรมและการเปลี่ยนแปลงมากมายในช่วงสองสามทศวรรษที่ผ่านมา เช่น การโอนเงินผ่านธนาคาร บัตรเครดิต/เดบิต ธนาคารออนไลน์และการชําระเงินผ่านโทรศัพท์มือถือ
ธนาคารไม่เพียงแต่ต้องอัพเกรดระบบของตนเพื่อรองรับการเปลี่ยนแปลงเหล่านี้ แต่ยังเปลี่ยนกระบวนการของพวกเขาเพื่อให้มั่นใจในความปลอดภัยอย่างต่อเนื่องเมื่อใช้เทคโนโลยีใหม่ การปกป้องข้อมูลที่ละเอียดอ่อนและการใช้มาตรการรักษาความปลอดภัยเพื่อป้องกันการโจมตีที่โดยอาชญากรไซเบอร์ รวมถึงความพยายามของการฟิชชิงและมัลแวร์ ก็เป็นสิ่งจําเป็นเช่นกันในปัจจุบัน
กฎระเบียบของธนาคารมีการเปลี่ยนแปลงอยู่ตลอดเวลาตามข้อกําหนดระบบธนาคารสมัยใหม่ ธนาคารมีความรับผิดชอบทางกฎหมายในการรักษาข้อมูลของลูกค้าให้ปลอดภัยและปกป้องข้อมูลจากการโจมตีทางไซเบอร์หรือการเข้าถึงโดยไม่ได้รับอนุญาต ในบทความนี้เราจะเห็นว่าธนาคารสมัยใหม่และบริษัทที่ให้บริการทางการเงินมั่นใจว่าพวกเขาปฏิบัติตามความรับผิดชอบนี้ได้อย่างไร
แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของข้อมูลสําหรับธนาคาร
ในการรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อน ธนาคารต้องปฏิบัติตามแนวทาง 360 องศา (360 degrees approach) เพื่อให้แน่ใจว่าการละเมิดข้อมูลจะไม่เกิดขึ้นภายในหรือภายนอกองค์กร นี่หมายถึงการรักษาความปลอดภัยทั้งกระบวนการตั้งแต่ต้นจนจบในส่วนที่บริการลูกค้า และกระบวนการภายในที่เกี่ยวข้องกับพนักงาน ผู้ขาย ระบบ และกระบวนการ ต่อไปนี้เป็นวิธีการบางอย่างในการทําเช่นนี้
1. การรับรองความถูกต้อง (Authentication)
การรับรองความถูกต้องกําหนดให้ทุกธุรกรรมในธนาคารเกิดขึ้นหลังจากยืนยันตัวตนของบุคคลที่เริ่มทําธุรกรรม สิ่งนี้ใช้กับลูกค้าที่เข้าสู่ระบบออนไลน์หรือระบบธนาคารบนเครื่องมือถือ หรือผู้ที่มาใช้บริการที่ธนาคารด้วยตนเอง หรือกับผู้ที่ใช้บัตรเครดิต/เดบิตที่เครื่อง POS และตู้เอทีเอ็ม นอกจากนี้ยังใช้กับพนักงานธนาคารที่สามารถเข้าถึงข้อมูลของลูกค้าและธนาคารได้
แม้ว่าการรับรองความถูกต้องก่อนหน้านี้จะต้องใช้ ID และรหัสผ่านหรือ PIN แต่ขณะนี้ธนาคารหลายแห่งได้ใช้การยืนยันแบบ 2 ขั้นตอน และหลายขั้นตอน เพื่อให้แน่ใจว่าบุคคลนั้นเป็นคนที่อ้างว่าเป็นจริงๆ ธนาคารยังใช้เทคนิคการพิสูจน์ตัวตนด้วยข้อมูลทางชีวภาพ (biometric) เพื่อยืนยันตัวตนของลูกค้า รวมถึงข้อมูลชีวภาพเชิงพฤติกรรมเมื่อพวกเขาโต้ตอบกับระบบธนาคาร เช่น IVR
2. เส้นทางการตรวจสอบ (Audit Trails)
ประวัติการทําธุรกรรมธนาคารมีให้ในรูปแบบใบแจ้งยอดหรือสมุดบัญชีเงินฝากเสมอ นอกจากนี้ระบบธนาคารยังรักษาเส้นทางการตรวจสอบสําหรับทุกเหตุการณ์ที่เกิดขึ้นระหว่างการโต้ตอบของลูกค้ากับระบบ ไม่ว่าจะเป็นลูกค้าที่ใช้ธนาคารทางโทรศัพท์หรือธนาคารออนไลน์ เวลาของการโต้ตอบจะถูกบันทึกพร้อมกับรายละเอียดของการโต้ตอบ ข้อมูลนี้ได้รับการสํารองข้อมูลทุกวันและไม่เคยถูกกําจัดออกอย่างสมบูรณ์ แต่จะถูกเก็บถาวรตามช่วงเวลาที่กําหนด
ที่มา : https://www.eskadenia.se/
3. โครงสร้างพื้นฐานที่ปลอดภัย (Secure Infrastructure)
โครงสร้างพื้นฐานที่ปลอดภัยหมายถึงระบบฐานข้อมูลและเซิร์ฟเวอร์ที่จัดเก็บข้อมูลตามขอบเขตที่กําหนดไว้เพื่อรักษาความปลอดภัย ข้อมูลที่เกิดขึ้นจะถูกเข้ารหัสในระบบธนาคารหลักใด ๆ หากต้องการการทดสอบ จําเป็นต้องปิดบังข้อมูลสําคัญ เช่น หมายเลขบัญชีธนาคาร ชื่อลูกค้า และที่อยู่
การเข้าถึงระบบบริการหลักถูกจํากัด ผู้ขายที่จัดการกับโครงสร้างพื้นฐานโดยทั่วไปจะแตกต่างจากผู้ขายที่จัดการกับแอปพลิเคชัน พนักงานธนาคารมักจะได้รับอุปกรณ์พิเศษที่การเข้าถึงเว็บไซต์สังคมออนไลน์ อีเมลส่วนตัว และพอร์ต USB จะถูกบล็อก พนักงานสามารถเข้าถึงเครือข่ายของธนาคารขณะใช้ Wi-Fi สาธารณะ ต้องผ่าน VPN เท่านั้น
4. กระบวนการที่ปลอดภัย (Secure Processes)
ธนาคารได้กําหนดกระบวนการหลายอย่างเพื่อให้แน่ใจว่ามีการนําไปใช้และได้ผ่านการทดสอบความปลอดภัย ซึ่งรวมถึงการอัปเดตระบบตรวจสอบว่าลูกค้าเป็นบุคคลที่ลูกค้ากล่าวอ้างจริง ๆ (KYC : Know Your Customer) ในฝั่งลูกค้า ข้อตกลงการไม่เปิดเผยข้อมูล (NDA : Non-disclosure agreement) ในฝั่งพนักงานและผู้ขาย และการรักษาความปลอดภัยโซนพิเศษภายในสถานที่และศูนย์ข้อมูลระยะไกล
รูป KYC   ที่มา : https://www.d1asia.co.th/
ด้วยวิธีการการป้องกันการสูญหายของข้อมูล (DLP : Data Loss Prevention) ธนาคารสามารถบรรเทาภัยคุกคามจากภายในและปกป้องข้อมูลส่วนบุคคลของลูกค้า เช่น ชื่อและหมายเลขบัตรเครดิต วิธีการเหล่านี้ยังสามารถช่วยให้เป็นไปตามข้อกําหนดการปฏิบัติตามกฎระเบียบการปกป้องข้อมูล เช่น ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR : The EU General Data Protection Regulation)
รูปกระบวนการ DLP  ที่มา : https://www.manageengine.com/
ดังนั้นจึงมั่นใจได้ว่าความปลอดภัยของธนาคารเป็นไปตามมาตรฐานที่เป็นเอกฉันท์และรักษาข้อมูลของลูกค้าให้ปลอดภัย
นอกจากนี้ยังมีการดําเนินการกระบวนการที่เกี่ยวข้องกับกฎระเบียบระดับโลกและระดับท้องถิ่น และการประเมินความเสี่ยงเพื่อให้แน่ใจว่ากระบวนการเหล่านี้สอดคล้องกับข้อกําหนด
5. การสื่อสารอย่างต่อเนื่อง
ธนาคารยังสื่อสารกับลูกค้าเป็นประจําเกี่ยวกับการอัพเกรดระบบ การแนะนําขั้นตอนการรับรองความถูกต้องใหม่ ฯลฯ นอกเหนือจากใบแจ้งยอดบัญชี ลูกค้ายังสามารถกําหนดขีดจํากัดและการแจ้งเตือนตามเงื่อนไขต่างๆ เพื่อให้แน่ใจว่าพวกเขาได้รับแจ้งหากมีกิจกรรมที่ไม่คาดคิดเกิดขึ้นเกี่ยวกับบัญชีของตน
แม้ว่าจะมีช่องทางการสื่อสารหลายช่องทาง แต่การตั้งค่าก็มีความยืดหยุ่นเพื่อตอบสนองความสะดวกสบายของลูกค้า ดังนั้นธนาคารจึงทํางานตลอดเวลาเพื่อให้แน่ใจว่าพวกเขาทําทุกอย่างที่ต้องทําเพื่อรักษาความปลอดภัยข้อมูลของพวกเขา
โฆษณา