ความท้าทายด้านความปลอดภัยของระบบการเงินบนคลาวด์

ทักทายและเกริ่นนำ

สวัสดีครับผู้อ่านทุกท่าน ในบทความนี้เรามาดูเรื่องที่เหมือนจะไกลตัวแต่จริง ๆ แล้วไม่ได้ไกลเลยนะครับ ใกล้ตัวมาก ๆ นั่นก็คือเรื่องของธนาคารนั่นเอง ทำไมธนาคารถึงสำคัญ เพราะว่าธนาคารคือตู้เซฟที่เก็บเงินของเราไว้ถูกไหมครับ ไม่ว่าเราจะทำธุรกรรมการเงินอะไรก็ตามเราต่างก็ต้องพึ่งพาธนาคารทั้งนั้น เช่น ซื้อของออนไลน์ ใช้บัตรเดบิต/เครดิตสำหรับจ่ายค่าอาหาร ฝากหรือโอนเงิน แน่นอนว่าธนาคารสมัยนี้นั้นต่างก็ใช้เทคโนโลยีเข้ามาช่วย ซึ่งหนึ่งในเทคโนโลยีที่เข้ามาช่วยนั้นก็คือ Cloud นั่นเอง ถ้าสมมติว่าระบบของธนาคารโดนแฮคหรือโจรกรรมข้อมูลแล้วแฮคเกอร์เข้ามาเปลี่ยนแปลงข้อมูลทางการเงินหรือแอบมาโยกย้ายเงินของเราออกไปมันก็คงไม่ดีแน่ ดังนั้นเรามาดูเรื่องของความปลอดภัยกันดีกว่าครับ

ในปัจจุบันสถาบันการเงินและธนาคารต่าง ๆ ก็ใช้บริการของผู้ให้บริการเทคโนโลยีกันทั้งนั้น ซึ่งก็มีธนาคารในประเทศไทยรวมออยู่ในนั้นด้วย โดยธนาคารแห่งประเทศไทยได้ออกมาแสดงความกังวลและแจ้งเตือนไปยังธนาคารหรือสถาบันการเงินต่าง ๆ ที่กำลังจะใช้บริการผู้ให้บริการสารสนเทศภายนอกเลยทีเดียว (อ่านเอกสารแจ้งอย่างเป็นทางการได้ที่ https://www.bot.or.th/Thai/FIPCS/Documents/FPG/2560/ThaiPDF/25600035.pdf)

ข้อแนะนำสำหรับการเลือกผู้บริการคลาวด์ที่ไว้วางใจได้

ควรเลือกใช้บริการ Public Cloud ที่มีมาตรฐานความปลอดภัยที่เชื่อถือได้ เพื่อสนับสนุนให้ธนาคารทั่วโลกใช้บริการ Public Cloud ที่มีความปลอดภัย มร. ไมเคิล มัดด์ เลขาธิการ The Open Computing Alliance ร่วมกับบริษัท Cloud Service Provider ได้นำเสนอหลักการ Secure Information Systems Hosting (SISH) ซึ่งเป็นแนวคิดคุณสมบัติของ Trusted Cloud ที่มีความมั่นคงปลอดภัยสูงกว่าระบบ Cloud ปกติ พร้อมทั้งแนะนำให้ธนาคารในประเทศไทยพิจารณาถึงคุณสมบัติเหล่านี้ของระบบ Cloud ให้ดีก่อนเลือกใช้บริการ

คุณสมบัติ 10 ประการของ SISH Trusted Cloud ประกอบด้วย

1. System and Location Transparency

ผู้ให้บริการระบบคลาวด์จำเป็นต้องมีการซ่อนพรางระบบและอุปกรณ์ฮาร์ดแวร์ของตนไม่ให้ผู้อื่นทราบได้ว่าข้อมูลที่แท้จริงจัดเก็บและประมวลผลอยู่ที่ไหน

2. Limits on Data Use

ผู้ให้บริการระบบคลาวด์ต้องไม่นำข้อมูลของธนาคารไปใช้เพื่อจุดประสงค์อื่น นอกเหนือจากธุรกรรมของธนาคารนั้นๆเท่านั้น

3. Data Separation/Isolation

ข้อมูลของธนาคารจำเป็นต้องมีการจัดเก็บแยกออกมาจากข้อมูลอื่นๆ

4. Conditions on Subcontracting

ในกรณีที่ผู้ให้บริการระบบคลาวด์มีการเรียกใช้ผู้บริการรายย่อย ผู้บริการรายย่อยเหล่านั้นจำเป็นต้องให้บริการด้วยเงื่อนไขและมาตรฐานเดียวกันกับผู้ให้บริการระบบคลาวด์

5. Due Diligence and Service Provider Compliance

ผู้ให้บริการระบบคลาวด์จำต้องให้บริการอย่างถูกต้องตามข้อกำหนดหรือมาตรฐานที่วางไว้ และธนาคารเองต้องมีการทำ Risk Management โดยการพิจารณาความเสี่ยงจากการใช้ระบบคลาวด์ด้วย

6. Security and Confidentiality

ธนาคารควรใช้บริการจากผู้ให้บริการระบบคลาวด์ที่ได้รับการการันตีว่ามีมาตรฐานด้านความมั่นคงปลอดภัยและการเก็บรักษาความลับของข้อมูลที่ทันสมัย

7. Review, Monitoring and Control

ผู้ให้บริการระบบคลาวด์จะต้องจัดทำรายงานและให้ข้อมูลแก่ธนาคาร เพื่อแสดงให้เห็นว่าการให้บริการเป็นไปตามข้อกำหนด มาตรฐาน และกฏหมายตามที่ได้ตกลงกันไว้

8. Audit and Access Rights

ผู้ให้บริการระบบคลาวด์ควรมอบสิทธิ์ในการเข้าถึงและตรวจสอบการให้บริการแก่ผู้ตรวจสอบ เพื่อแสดงให้เห็นว่าการให้บริการเป็นไปตามข้อกำหนด มาตรฐาน และกฏหมายตามที่ได้ตกลงกันไว้

9. Resilience and Business Continuity

ผู้ให้บริการระบบคลาวด์จะต้องมีแผนงานที่การันตีได้ว่าสามารถให้บริการได้อย่างต่อเนื่อง โดยที่ระบบจะไม่มีปัญหา หรือถ้ามีปัญหาจำเป็นต้องมีแผนในการรับมือที่ชัดเจนตามมาตรฐาน ISO 27001

10. Conditions on Termination

ธนาคารต้องมีสิทธิ์เด็ดขาดในการสิ้นสุดการใช้บริการ รวมถึงมีข้อกำหนดชัดเจนหลังจากเลิกใช้บริการแล้ว เช่น ข้อมูลของธนาคารจะต้องถูกโอนกลับมาให้ธนาคารทั้งหมด และต้องทำลายข้อมูลทิ้งทันที เป็นต้น

อ่านมาจนถึงจุดนี้แล้วถ้าหากผู้อ่านมีความสนใจในบริการของ AWS โดยเฉพาะถ้าอยากจะปรึกษาเกี่ยวกับการใช้งานเทคโนโลยีคลาวด์โดยนำมาประยุกต์ใช้กับการรักษาข้อมูลของบริษัทของตัวเอง เช่น ในกรณีที่ธนาคารต่าง ๆ ก็นำเข้ามาใช้ตามที่อธิบายไปในด้านบนของบทความ ก็สามารถติดต่อ Cloud HM ได้โดยตรงเลยครับ เพราะเรามีการให้บริการ Cloud Platform ครบวงจร ทั้ง Domestic Cloud และ Global Cloud เพื่อตอบสนองความต้องการรอบด้านของลูกค้าครับ

— Cloud HM