ตามที่สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้ออกประกาศปรับปรุงหลักเกณฑ์เพื่อยกระดับมาตรฐานความปลอดภัยระบบ IT ของผู้ประกอบธุรกิจภายใต้การกำกับดูแล ตั้งแต่วันที่ 3 พ.ย. 2565 ซึ่งเริ่มมีผลบังคับใช้ตั้งแต่วันที่ 1 ก.ค. 2566 ที่ผ่านมาแล้ว มีองค์กรมากมายที่ต้องเร่งปรับเปลี่ยนระบบ IT ภายในเพื่อให้สอดรับกับประกาศดังกล่าวและที่ประกาศมาก่อนหน้า ซึ่งต้องเร่งปรับปรุงให้ทันกับกรอบเวลาที่ทาง ก.ล.ต.วางไว้คือภายในสิ้นปีนี้อีกด้วย
หากแต่องค์กรธุรกิจประเภทใดบ้างที่ได้รับผลกระทบ รวมทั้งรายละเอียดต่าง ๆ ว่าจะต้องทำอะไรบ้างนั้น อาจจะเป็นเรื่องที่ต้องใช้ความเข้าใจและเวลาในการดำเนินการ จะดีกว่าหรือไม่ถ้าหากปรึกษาผู้เชี่ยวชาญที่มีโซลูชันพร้อมให้ใช้งานแล้ว อย่าง “Thales” ผู้นำด้าน Cybersecurity และ Data Protection ที่มีความพร้อมสนับสนุนในเรื่องดังกล่าวทั้งหมด แล้ว Thales มีโซลูชันหรือผลิตภัณฑ์สนับสนุนอะไรได้บ้างนั้น บทความนี้มีคำตอบ
ประกาศแนวปฏิบัติ เพื่อยกระดับความมั่นคงปลอดภัย
ในยุคนี้เรื่องของ “ความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity)” บนระบบ IT ของทุกองค์กรไม่ว่าจะอยู่ในธุรกิจหรืออุตสาหกรรมใด ก็ล้วนต้องให้ความสำคัญทั้งสิ้น ซึ่ง ก.ล.ต. ในฐานะผู้กำกับดูแลในอุตสาหกรรมการเงินและสินทรัพย์ดิจิทัล จึงต้องการยกระดับมาตรฐานของทั้งอุตสาหกรรมไปอีกระดับขั้น เพื่อทำให้ทั้งอุตสาหกรรมยังคงมีความมั่นคงปลอดภัยและสร้างความเชื่อมั่นให้กับผู้ลงทุนได้มากขึ้นในอนาคต ซึ่งนอกจากจะสร้างความเชื่อมั่นให้กับนักลงทุนไทยและจากต่างประเทศแล้ว ยังเป็นการเสริมความมั่นคงปลอดภัยให้แข็งแกร่งเพียงพอกับการถูกคุกคามทางไซเบอร์ในปัจจุบันที่กำลังร้อนแรงอีกด้วย
หากแต่ประกาศของ ก.ล.ต.ที่ออกมานั้นมีรายละเอียดที่ต้องศึกษากันพอสมควร โดยประกาศหนึ่งที่เป็นรายละเอียดเกี่ยวกับการยกระดับด้าน Cybersecurity โดยเฉพาะ นั่นคือ “แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ (นป. 7/2565)” ซึ่งจะมีขอบเขตและสิ่งที่ต้องดำเนินการอยู่แนบท้าย โดยเริ่มบังคับใช้ “ตั้งแต่วันที่ 1 ก.ค. 2566” เช่นเดียวกัน
ที่สำคัญ ในประกาศนั้นยังมีข้อความที่ระบุถึง “ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ” ที่จะกำหนดให้มีผลบังคับใช้ตั้งแต่วันที่ 1 ม.ค. 2567 เพื่อให้ผู้ประกอบธุรกิจมีเวลาเตรียมพร้อมทั้งส่วนของบุคลากรและระบบงานต่าง ๆ ด้วย นั่นแปลว่าผู้ประกอบธุรกิจที่เกี่ยวข้องกับประกาศดังกล่าว จะต้องดำเนินการปรับปรุงระบบ IT ให้แล้วเสร็จ “ภายใน 31 ธ.ค. 2566” ก่อนที่จะเริ่มให้ผู้ตรวจสอบที่มีคุณสมบัติเหมาะสมมาตรวจสอบ (Audit) เพื่อจัดทำผลสรุปให้กับทาง ก.ล.ต. ภายในเดือนมีนาคม 2567 หรือราว ๆ 3 เดือนหลังจากที่ดำเนินการแล้วเสร็จนั่นเอง
ผู้ประกอบธุรกิจใดบ้างที่เกี่ยวข้อง
จากประกาศนั้นจะเห็นว่า “ผู้ประกอบธุรกิจภายใต้การกำกับดูแล ของ ก.ล.ต. ทั้งในภาคตลาดทุนและตลาดสินทรัพย์ดิจิทัล” คือผู้ประกอบการที่เกี่ยวข้องทั้งหมด ซึ่งจะต้องดำเนินการตามประกาศล่าสุดนี้รวมถึง นป. 7/2565 ด้วย โดยธุรกิจที่เกี่ยวข้องนั้น ได้แก่
- ผู้ประกอบธุรกิจหลักทรัพย์ (Securities)
- ผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า (Securities Derivative)
- ศูนย์รับฝากหลักทรัพย์ (Thailand Securities Depository)
- ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล
- ผู้ให้บริการระบบเสนอขายโทเคนดิจิทัล (ICO Portal)
- ผู้ให้บริการระบบคราวด์ฟันดิง (Crowdfunding)
กล่าวโดยสรุป คือผู้ประกอบการที่ “ประกอบธุรกิจเกี่ยวกับหลักทรัพย์ (Securities) หรือการบริหารจัดการสินทรัพย์ (Asset Management)” ในประเทศไทยทั้งหมดที่อยู่ภายใต้การกำกับดูแลของ ก.ล.ต. นั้นจะต้องดำเนินการตามประกาศฉบับใหม่นี้ทั้งหมด
เช่นนี้ ทุกองค์กรที่เข้าข่ายตามประกาศจะมีเวลาจนถึงสิ้นปีนี้ในการดำเนินการ ถึงแม้ว่าบทลงโทษจะยังไม่ได้มีรายละเอียดหรือกำหนดที่ชัดเจนว่า ถ้าหากดำเนินการไม่เสร็จสิ้นภายในสิ้นปีนี้แล้วจะเป็นอย่างไร หากแต่ ก.ล.ต. ก็ถือว่าเริ่มต้นบังคับใช้ประกาศอย่างเป็นทางการแล้ว ซึ่งอาจจะยังคงอะลุ่มอล่วยให้ในช่วงเริ่มต้นนี้เท่านั้น และไม่แน่ว่าบทลงโทษอาจมีประกาศเพิ่มเติมออกมาในช่วงต้นปีหน้านี้เลย ดังนั้น ผู้ประกอบธุรกิจที่เข้าข่ายจึงควรเริ่มพิจารณาปรับปรุงยกระดับระบบไอทีได้แล้วตั้งแต่วันนี้
3 ขั้นตอน เริ่มยกระดับตามแนวปฏิบัติ นป. 7/2565 ภายในสิ้นปีนี้
ภายใต้ประกาศ นป. 7/2565 สิ่งที่ผู้ประกอบธุรกิจจะต้องดำเนินการ มีด้วยกัน 4 หมวดใหญ่ ๆ ได้แก่
- หมวดที่ (1) การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (Information Technology Governance หรือ IT Governance)
- หมวดที่ (2) การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Technology Security หรือ IT Security)
- หมวดที่ (3) การตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit หรือ IT Audit)
- หมวดที่ (4) การทบทวนความเหมาะสมของหมวดที่ (1) (2) และ (3)
โดยรายละเอียดของแนวปฏิบัติในหมวดต่าง ๆ นั้นจะอยู่ในเอกสารแนบท้ายของ นป. 7/2565 โดยมีรายการที่ต้องดำเนินการอยู่ภายในเอกสารจำนวน 70 หน้า พร้อมทั้งมีเอกสารประเด็นคำถามที่พบบ่อย (FAQ) เผยแพร่ไว้ให้ศึกษาเพิ่มเติมได้อีก 47 หน้า ซึ่งหลัก ๆ แล้วผู้ประกอบธุรกิจที่เกี่ยวข้องจะต้องดำเนินการตาม 3 ขั้นตอน เพื่อยกระดับความมั่นคงปลอดภัยของระบบ IT องค์กร ตามประกาศ นป. 7/2565 ดังต่อไปนี้
1. ประเมินความเสี่ยงด้วยตนเอง (Self-assessment)
ขั้นตอนแรกคือให้ผู้ประกอบธุรกิจดำเนินการ “ประเมินความเสี่ยงด้วยตนเอง” ว่าผู้ประกอบธุรกิจนั้นมีความเสี่ยงอยู่ในระดับใด เช่น อยู่ในระดับต่ำ ระดับกลาง หรือระดับสูง โดยทาง ก.ล.ต. จะมีแบบประเมิน Risk Level Assessment (RLA) เป็นไฟล์ MS Excel ที่ผู้ประกอบธุรกิจสามารถนำไปใช้ประเมินได้เองได้ทันที ผ่านข้อมูลต่าง ๆ ที่จะต้องกรอกเข้าไป เช่น จำนวนลูกค้าปัจจุบัน จำนวนรายการธุรกรรมหรือการซื้อขายต่อวันต่อเดือน มูลค่าเงินทั้งหมด เป็นต้น
2. ตรวจสอบรายการที่ต้องดำเนินการในเอกสารแนบท้าย
เมื่อทราบแล้วว่าอยู่ในความเสี่ยงระดับใด หากผลการประเมินระบุว่าเป็นผู้ประกอบธุรกิจที่มีความเสี่ยงในระดับสูง จะต้องดำเนินการตามแนวปฏิบัติ “ครบทุกข้อ” ส่วนผู้ประกอบธุรกิจที่มีความเสี่ยงต่ำหรือปานกลางจะให้เว้นข้อที่ระบุว่า “[ความเสี่ยงสูง]” ในแต่ละข้อของแต่ละหมวด
แต่ถ้าหากผู้ประกอบธุรกิจที่มีขนาดเล็ก ในเอกสารแนบท้ายระบุไว้ชัดเจนว่าให้ดำเนินการตามแนวปฏิบัติขั้นต้นเป็นอย่างน้อยตามภาพด้านล่างนี้ ซึ่งจะเป็นการเลือกทำเฉพาะบางข้อในแต่ละหมวดที่จำเป็นจริง ๆ เท่านั้น
3. ดำเนินการตามรายละเอียดแนบท้าย นป.7/2565
โดยในเอกสารแนบท้ายของ นป. 7/2565 นั้นจะมีรายละเอียดแนวปฏิบัติของ 3 หมวด ซึ่งจะมีข้อกำหนดของสิ่งที่ต้องจัดทำพร้อมแนวปฏิบัติว่าจะต้องทำอย่างไรในข้อนั้น ๆ โดยภาพรวมของแต่ละหมวดนั้นจะมีลักษณะดังต่อไปนี้
- IT Governance ว่าด้วยเรื่องของการกำหนดบทบาทหน้าที่และความรับผิดชอบของคณะกรรมการผู้ประกอบธุรกิจ การกำหนดโครงสร้างการกำกับดูแล เช่น ต้องมีเจ้าหน้าที่ 3 ระดับ (3 Lines of Defenses) พร้อมทั้งนโยบายในการกำกับดูแลความเสี่ยง กำหนดบทบาทหน้าที่
- IT Security เป็นเรื่องการยกระดับ Cybersecurity โดยตรง ซึ่งจะมีรายละเอียดของแต่ละข้อภายในเอกสารแนบท้าย เพื่อจัดการรักษาความมั่นคงปลอดภัยให้ดีขึ้นในระบบ IT หลาย ๆ ส่วน ไม่ว่าจะเป็นเรื่องของทรัพย์สินด้าน IT เรื่องข้อมูล ที่จะต้องมีการควบคุมเข้ารหัส (Cryptographic Control) ควบคุมการเข้าถึง (Access Control) การจัดการกุญแจเข้ารหัส (Key Management) การจัดทำแผนฉุกเฉินด้าน IT (Contingency Planning) เป็นต้น
- IT Audit คือการจัดให้มีผู้ตรวจสอบระบบที่อิสระจากผู้ปฏิบัติงานในแต่ละระดับ ซึ่งจะต้องมีการวางแผนและกำหนดขอบเขตในการตรวจสอบ และจัดทำรายงานผลการตรวจสอบพร้อมแผนการปรับปรุงแก้ไข พร้อมทั้งต้องติดตามความคืบหน้าในอนาคตต่อไปด้วย
เพิ่มเติมเล็กน้อย ในการดำเนินการตรวจสอบของ IT Audit นั้น ถ้าหากเป็นธุรกิจขนาดเล็กหรือผู้ประกอบธุรกิจที่มีความเสี่ยงต่ำจะต้องมีการตรวจสอบด้าน IT อย่างน้อย “ปีละ 1 ครั้ง” โดยที่ต้องมีการตรวจสอบ “เต็มรูปแบบ (Full Scope) ทุก ๆ 2 ปี” แต่ถ้าเป็นผู้ประกอบธุรกิจที่มีความเสี่ยงปานกลางหรือสูง จะต้องตรวจสอบ “เต็มรูปแบบทุก 1 ปี”
Thales ครอบคลุมทุกการยกระดับด้าน Cybersecurity
หากได้ศึกษารายละเอียดใน นป. 7/2565 แล้วรู้สึกว่ามีสิ่งที่ต้องพิจารณาและดำเนินการอยู่มาก จนต้องการที่ปรึกษาหรือผู้เชี่ยวชาญในด้าน Cybersecurity มาช่วยจัดการให้สอดรับกับประกาศจาก ก.ล.ต. ได้อย่างรวดเร็วแล้ว “Thales” ผู้นำด้าน Cybersecurity ระดับโลกนั้นมีโซลูชันหลากหลายที่พร้อมตอบสนองกับความต้องการในทุกส่วน ไม่ว่าจะเป็น
Luna HSM
โซลูชัน Hardware Security Module (HSM) ที่ช่วยปกป้องและบริหารจัดการกุญแจเข้ารหัสอย่างมั่นคงปลอดภัย ด้วยการจัดเก็บกุญแจเข้ารหัสและบริหารจัดการดำเนินการขั้นตอนต่าง ๆ ภายในอุปกรณ์ Hardware Appliance นี้โดยเฉพาะ ที่ทำให้มั่นใจได้ว่า Key ต่าง ๆ ไม่มีการรั่วไหลและสามารถยกระดับเรื่อง Cybersecurity ได้สูงสุด
CipherTrust Data Security Platform
แพลตฟอร์ม Data Security ที่มีโซลูชันบริหารจัดการข้อมูลและกุญแจ (Key) อยู่มากมายที่พร้อมสนับสนุนการยกระดับการเข้ารหัสข้อมูลและควบคุมการเข้าถึงต่าง ๆ ตัวอย่างเช่น
- CipherTrust Manager โซลูชันบริหารจัดการตั้งค่านโยบาย (Policy) การเข้าถึงข้อมูลภายในแพลตฟอร์ม และการจัดการวงจรชีวิตของกุญแจ (Key Lifecycle Management) ในทุกขั้นตอน
- CipherTrust Key Management โซลูชันบริหารจัดการกุญแจเข้ารหัส (Key) สำหรับการเข้าถึงข้อมูลต่าง ๆ เช่น Digital Signature, Certificate ในการเข้าถึง NAS, SAN, HCI หรือฐานข้อมูลต่าง ๆ
- CipherTrust Transparent Encryption โซลูชันทำหน้าที่เข้ารหัส (Encryption) และถอดรหัส (Decryption) ให้กับ File System หรืออุปกรณ์ได้ โดยที่ไม่จำเป็นต้องแก้ไขในระดับแอปพลิเคชัน
- CipherTrust Application Data Protection โซลูชันบริการฟังก์ชันเข้ารหัส Cryptographic ต่าง ๆ ผ่าน API เช่น Key Signing, Hashing รวมไปถึงการทำ Encryption
- CipherTrust Tokenization โซลูชันการปิดบังข้อมูลที่ละเอียดอ่อน (Sensitive Data) ให้กลายเป็นโทเคน (Token) ตัวแทน เพื่อปิดบังข้อมูลจริงได้
SafeNet Trusted Access
โซลูชันที่ครอบคลุมการทำ Single Sign-On, Identity Management และ Access Management อย่างครบวงจรภายในระบบเดียว เพื่อปกป้องการเข้าถึงแอปพลิเคชันและข้อมูลสำคัญขององค์กรให้มีความมั่นคงปลอดภัย ในขณะที่ยังคงสามารถเข้าถึงระบบแอปพลิเคชันและข้อมูลที่ตนเองมีสิทธิ์ใช้งานได้อย่างสะดวกสบายอีกด้วย
สำหรับรายละเอียดเกี่ยวกับผลิตภัณฑ์และโซลูชันต่าง ๆ จาก Thales สามารถอ่านเพิ่มเติมได้ที่นี่
ติดต่อ Thales ยกระดับมาตรฐานระบบไอทีได้อย่างรวดเร็ว
สุดท้ายนี้ เรื่องของการยกระดับมาตรฐานความมั่นคงปลอดภัยของระบบ IT นั้นไม่ใช่เป็นเรื่องของฝ่ายงานใดฝ่ายงานหนึ่ง หรือว่าเป็นความรับผิดชอบของคนใดคนหนึ่งภายในองค์กรเท่านั้น หากแต่ “ทุกคน” ในองค์กรธุรกิจ จะต้องช่วยกันให้ความสำคัญและไปในทิศทางเดียวกันทั้งหมด ไม่ว่าจะเป็นองค์กรธุรกิจขนาดใด หรือเป็นผู้ประกอบธุรกิจที่มีความเสี่ยงมากน้อยเพียงใดก็ตาม
หากผู้ประกอบธุรกิจใดที่ยังคงมี Pain Point ในเรื่องการยกระดับมาตรฐานความมั่นคงปลอดภัยของระบบ IT องค์กรให้ทันกับกรอบเวลาที่ทาง ก.ล.ต. กำหนดไว้ สามารถติดต่อกับทาง Thales ผู้นำในด้าน Cybersecurity และ Data Encryption ที่มีโซลูชันและผลิตภัณฑ์ครบวงจรที่พร้อมสนับสนุนในทุก ๆ ข้อในประกาศของ ก.ล.ต. ได้ทันที โดยสามารถติดต่อได้ที่ทีมงานของ Thales Thailand และศึกษารายละเอียดเกี่ยวกับเทคโนโลยีการเข้ารหัสของ Thales, Thales CyberTrust Data Security Platform พร้อม 10 เหตุผลที่ควรเลือกใช้แพลตฟอร์มจาก Thales ตามลิงก์ต่าง ๆ ได้เลย