ธปท.ลุยออกหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศครอบคลุมผู้ประกอบธุรกิจด้านการชำระเงินที่ไม่ใช่สถาบันการเงิน หรือ e-Payment ทุกราย หลังยอดธุรกรรมเพิ่มขึ้น 2 เท่า คนลงทะเบียนพร้อมเพย์ 56 ล้านราย กำหนดรอบบังคับใช้ 29 เม.ย.นี้ เน้นป้องกันภัยคุกคามทางไซเบอร์ขั้นต้นที่จำเป็น-บริหารความเสี่ยงด้านไอที ชี้กลุ่มผู้ประกอบการที่มีนัยสำคัญใช้เวลาถึง 29 ม.ค.65
นางสาวสิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ปัจจุบันผู้ประกอบธุรกิจทางการเงินได้นำเทคโนโลยีมาใช้เพิ่มประสิทธิภาพการให้บริการลูกค้าให้สะดวกรวดเร็วมากขึ้น ประกอบกับที่ผ่านมามีจำนวนผู้ใช้บริการและปริมาณธุรกรรมด้านการชำระเงินอิเล็กทรอนิกส์เพิ่มสูงขึ้นอย่างมาก โดยมีจำนวนผู้ใช้บริการเพิ่มขึ้น 2 เท่าจากปี 2561 มีการทำธุรกรรมเพิ่มขึ้นจาก 80 ครั้งต่อคนต่อปี เพิ่มเป็น 200 ครั้งต่อคนต่อปี และมีผู้ลงทะเบียนใช้บริการรับโอนเงินรูปแบบใหม่ (พร้อมเพย์) อยู่ที่ 56 ล้านคน เติบโต 12.5%
- ด่วน ! วอยซ์ ทีวี ประกาศปิดกิจการทุกแพลตฟอร์ม เลิกจ้าง 100 กว่าคน
- ลูกแม่ค้าขายผัก-พ่อขับแท็กซี่ สู่เก้าอี้ “ปลัดพลังงาน” บทพิสูจน์ชีวิต “ดร.ประเสริฐ สินสุขประเสริฐ”
- NETA X ขาย มิ.ย.นี้ ราคาไม่เกิน 1 ล้านบาท หลัง MOU สรรพสามิต
นอกจากนี้ รูปแบบธุรกิจมีการเชื่อมโยงกับผู้เล่นที่หลากหลายและเชื่อมต่อกับผู้ให้บริการภายนอกมากขึ้น ทำให้ผู้ประกอบธุรกิจต้องเผชิญกับความเสี่ยงด้าน IT และภัยคุกคามทางไซเบอร์เพิ่มสูงขึ้น
ธปท. จึงได้กำหนดหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศสำหรับผู้ประกอบธุรกิจด้านการชำระเงินที่ไม่ใช่สถาบันการเงิน เพิ่มเติมจากหลักเกณฑ์ที่ใช้บังคับอยู่ในปัจจุบัน ซึ่งเป็นหลักเกณฑ์เดียวกันกับที่ ธปท. ใช้ในการกำกับดูแลสถาบันการเงิน เพื่อยกระดับความมั่นคงปลอดภัยของระบบ IT ตลอดจนสร้างความเชื่อมั่นให้กับผู้ใช้บริการ โดยหลักเกณฑ์กำกับดูแลประกอบด้วย 2 ส่วนสำคัญ ได้แก่
ส่วนที่ 1 การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศขั้นต้นที่จำเป็น (Cyber Hygiene) เป็นมาตรการขั้นต้นที่ผู้ประกอบธุรกิจทุกรายต้องดำเนินการ เพื่อยกระดับความมั่นคงปลอดภัยในการป้องกันและรับมือภัยคุกคามทางไซเบอร์ที่สำคัญ ซึ่งครอบคลุมตั้งแต่การตั้งค่าระบบให้มีความปลอดภัย การป้องกันระบบจากมัลแวร์ (Malware) การบริหารจัดการช่องโหว่ การจัดการสิทธิของระบบ การพิสูจน์ตัวตนอย่างปลอดภัย และการทดสอบหาช่องโหว่ โดยจะมีผลบังคับใช้ตั้งแต่วันที่ 29 เมษายน 2564
ส่วนที่ 2 การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ซึ่งมุ่งเน้นให้ผู้ประกอบธุรกิจที่มีนัยสำคัญตามคุณสมบัติที่ประกาศฉบับนี้กำหนด 3 ด้าน คือ 1.มีการเชื่อมต่อโครงสร้างพื้นฐานภายนอก 2.การเชื่อมต่ออินเทอร์เน็ตและไวไฟ และ 3.มีฐานลูกค้า 5 ล้านราย หรือมีธุรกรรม 10 ล้านรายการ
โดยผู้ประกอบการที่มีนัยสำคัญจะต้องดำเนินการให้มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี มีการบริหารความเสี่ยงด้าน IT ที่เหมาะสม มีรักษาความมั่นคงปลอดภัยด้าน IT อย่างรัดกุมตามกรอบหลักการ Confidentiality Integrity Availability รวมถึงมีบริหารจัดการความเสี่ยงของการดำเนินโครงการด้าน IT ที่มีนัยสำคัญอย่างมีประสิทธิภาพ โดยจะมีผลบังคับใช้ตั้งแต่วันที่ 29 มกราคม 2565 เพื่อให้ผู้ประกอบการมีเวลาเตรียมตัว
ทั้งนี้ ผู้ใช้บริการและประชาชนทั่วไปสามารถดูแลความปลอดภัยเบื้องต้นในการทำธุรกรรมอิเล็กทรอนิกส์ได้ด้วยตนเองอย่างต่อเนื่อง เช่น ตั้งรหัสผ่านให้แข็งแรงและปลอดภัย รักษาความลับของชื่อผู้ใช้งานและรหัสผ่าน และหลีกเลี่ยงการให้ข้อมูลส่วนตัวและข้อมูลทางการเงินกับเว็บไซต์หรืออีเมลที่มีความเสี่ยงสูง
ซึ่งจะช่วยป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อีกทางหนึ่ง
“ธปท.ออกหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศเพิ่มเติมหลังจากที่เคยออกมาแล้วนในปี 60 และในปี 63 ที่ออกมาเกี่ยวกับ Mobile Banking แต่ครั้งนี้จะเป็นเกณฑ์ที่ครอบคลุมผู้ประกอบ e-Payment ทุกราย ภายหลังจากเปิดรับฟังความคิดเห็นจากทุกหน่วยงานที่เกี่ยวข้อง
โดยหลักสาระสำคัญมี 2 ส่วน คือ Cyber Hygiene และ IT Risk Management ซึ่งหากทำตามเกณฑ์จะทำให้ผู้ประกอบการดูแลความเสี่ยงได้เท่าทัน และมีการประเมินความเสี่ยงได้ เหมือนที่ประเทศอังกฤษใช้หลักเกณฑ์นี้สามารถป้องกันภัยซเบอร์มากกว่าครึ่ง แต่ภัยไซเบอร์มีการเปลี่ยนแปลงตลอดเวลา ทำให้ผู้ประกอบการต้องประเมินตัวเองตลอดเวลา”
