สถาบันการเงินได้มีการชี้ประเด็นปัญหาของความมั่นคงปลอดภัยด้านไซเบอร์และความเสี่ยงด้านไซเบอร์ ที่จะเกิดจากการใช้เทคโนโลยีมาแล้วเป็นเวลากว่าทศวรรษ อย่างไรก็ตามเหตุการณ์ภัยคุกคามในด้านไซเบอร์ที่เกิดขึ้นก็ทำให้เห็นแล้วว่า การจัดการกับความเสี่ยงด้วยวิธีการเดิมๆนั้น ไม่สามารถนำมาใช้แก้ปัญหาในปัจจุบันได้อย่างมีประสิทธิภาพอีกต่อไป

cyber-risk-management-cyber-threats-01

ความเสี่ยงด้านไซเบอร์นั้น เป็นประเด็นมากเกินกว่าปัญหาด้านเทคโนโลยี แต่มันเป็นปัญหาเชิงยุทธศาสตร์ของการทำธุรกิจด้านการเงินไปเสียแล้ว วิธีการต่างๆที่สถาบันการเงินนำมาใช้เพื่อการจัดการกับความเสี่ยงด้านไซ เบอร์ดูเหมือนจะก้าวหน้าไม่ทันต่อการเปลี่ยนแปลงของปัญหาเสียแล้ว วิธีการดังกล่าวที่เราเรียกว่า controls and compliance based, perimeter-oriented ซึ่งเราใช้ในการมุ่งเน้นที่จะรักษาข้อมูล back office ซึ่งไม่ได้ครอบคลุมไปถึงปัญหาที่แท้จริงที่เกิดขึ้นในปัจจุบันเลย

การจัดการความเสี่ยงด้านไซเบอร์ (Cyber risk management) เป็นปัญหาที่ซับซ้อนอย่างยิ่ง ซึ่งต้องการการเข้าร่วมของฝ่ายบริหารระดับสูงเข้ามาดูแลอย่างใกล้ชิดในหลาย มิติ ไม่ว่าจะเป็นการกำหนด Governance ขององค์กร การพิจารณาเลือกเทคนิกการจัดการความเสี่ยง การวิเคราะห์ภัยคุกคาม การสร้างความร่วมมือให้เกิดทั่วทั้งองค์กร ไปจนถึงการตัดสินใจที่จะเลือกตัวแบบการดำเนินการธุรกิจรูปแบบใหม่ให้สอด คล้องต่อสภาวะแวดล้อมในปัจจุบันและอนาคต

ผู้บริหารระดับสูงของสถาบันการเงินต้องเข้าใจถึงวัตถุประสงค์และเป้าหมาย ที่แท้จริงของการจัดการความเสี่ยงด้านไซเบอร์ ซึ่งมีเป้าหมายสุดท้ายเพื่อการสร้างองค์กรให้เกิด “การปรับตัวเข้าสู่ไซเบอร์” หรือที่เรียกว่า Cyber resilience โดยจะทำให้องค์กรมีระบบที่มีขีดความสามารถในการดำเนินการธุรกิจได้อย่าง ปลอดภัย สามารถตรวจจับ (detect) ภัยคุกคามด้านไซเบอร์ (cyber threats) และสามารถตอบโต้ (respond) เหตุการณ์การที่องค์ถูกโจมตีทางไซเบอร์ เพื่อลดโอกาสที่จะทำให้องค์กรหยุดชะงักในการดำเนินธุรกิจ (business disruption) และลดโอกาสที่จะทำให้องค์เกิดความสูญเสียให้น้อยที่สุด

ดังนั้น กลุ่มผู้บริหารระดับสูงจะต้องตระหนักถึงบทบาทหน้าที่ในการที่จะนำพาองค์กร สามารถปรับตัวเข้ากับภัยคุกคามรูปแบบใหม่ได้ และสามารถปรับโครงสร้างองค์กรให้มีความยืดหยุ่นจนมีขีดความสามารถในการต้าน ทานต่อภัยคุกคามไซเบอร์ รวมทั้งจะต้องพัฒนาบุคคลากรให้มีความตระหนักและมีขีดความสามารถในการทำงาน ภายใต้สิ่งแวดล้อมไซเบอร์ได้อย่างมีประสิทธิภาพ โดยกลุ่มผู้บริหารระดับสูงขององค์กรสถาบันการเงิน ควรที่จะต้องดำเนินการตามขั้นตอนดังนี้คือ

  1. กำหนดกระบวนการที่ชัดเจน โปร่งใส ในการดำเนินการเพื่อลดความเสื่ยงต่อภัยคุกคามด้านไซเบอร์
  2. ทำความเข้าใจระบบนิเวศน์และสิ่งแวดล้อมด้านไซเบอร์ขององค์กร เพื่อให้เข้าใจถึงขอบเขตด้านไซเบอร์ที่จะต้องบริหารจัดการความเสี่ยงใน องค์กร
  3. กำหนดและบ่งชี้ถึงขั้นตอนและกระบวนการใดในองค์กรที่มีความวิกฤตและอ่อนไหวต่อภัยคุกคามด้านไซเบอร์
  4. กำหนดและบ่งชี้ถึง Asset ขององค์กรที่มีความวิกฤตและอ่อนไหวต่อภัยคุกคามด้านไซเบอร์
  5. กำหนดและบ่งชี้ภัยคุกคามด้านไซเบอร์ (Cyber threats)
  6. วางแผนการตอบโต้ภัยคุกคามด้านไซเบอร์ รวมไปถึงการทำมาตรฐาน คู่มือ และการปรับพัฒนาเทคโนโลยีความมั่นคงปลอดภัยไซเบอร์ ให้มีประสิทธิภาพ

สถาบันทางการเงินมีแนวโน้มที่จะถูกโจมตีทางไซเบอร์สูงขึ้นตลอดเวลา ด้วยวิธีการใหม่ๆจากแฮกเกอร์ ทั้งในรูปแบบการจารกรรมข้อมูล ที่เกิดจากคนภายนอกและภายในองค์กร และทั้งจากกลุ่มแฮกเกอร์ที่มีบางประเทศสนับสนุนอยู่เบื้องหลัง (nation-states’ threats) ซึ่งจะทำให้องค์กรเกิดความสูญเสียทั้งเงิน เวลา ทรัพยากร และชื่อเสียง ดังนั้นกลุ่มผู้บริหารระดับสูงจึงควรให้ความสำคัญเป็นอันดับแรกในการบริหาร องค์กรนับจากนี้ไป

ความเสี่ยงด้านไซเบอร์ของสถาบันการเงิน