การดูแลความปลอดภัย ทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล
ความมุ่งมั่น
ใช้เทคโนโลยีทันสมัยและพนักงานที่มีศักยภาพ เพื่อเสริมสร้างความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะเพิ่มประสิทธิภาพ การทำงาน ความมั่นใจในการปฏิบัติตามข้อบังคับ ทางการ และความเชื่อมั่นให้กับผู้มีส่วนได้เสียทุกกลุ่ม
ความสำคัญ
ในปัจจุบัน ภาคการธนาคารกำลังพึ่งพาเทคโนโลยีดิจิทัล ในการดำเนินธุรกิจมากขึ้นเรื่อย ๆ และข้อมูลได้กลายเป็น ทรัพยากรสำคัญที่ธนาคารขาดไม่ได้ เทคโนโลยีและข้อมูล ช่วยให้ธนาคารสามารถเข้าใจความต้องการของลูกค้า ได้ดีขึ้น และสามารถปรับปรุงพัฒนาผลิตภัณฑ์และบริการ ที่ตอบโจทย์ความต้องการของลูกค้าได้ มากยิ่งขึ้น ในขณะเดียวกัน การเปลี่ยนแปลงดังกล่าวก็นำมาซึ่ง ความเสี่ยงด้านภัยคุกคามทางไซเบอร์และการละเมิดข้อมูล ส่วนบุคคล ซึ่งอาจก่อให้เกิดความเสียหายต่อทรัพย์สินของลูกค้า อีกทั้งส่งผลกระทบต่อความต่อเนื่องในการดำเนิน ธุรกิจ ต้นทุนการดำเนินงาน ตลอดจนความไว้วางใจของ ลูกค้าและผู้มีส่วนได้เสียอื่น ๆ ของธนาคาร ดังนั้น ธนาคารจึงให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยของ เทคโนโลยีสารสนเทศ ความปลอดภัยทางไซเบอร์ และ การคุ้มครองข้อมูลส่วนบุคคล โดยจัดให้มีการจัดการด้านความปลอดภัยทางไซเบอร์ที่มีมาตรฐาน กระบวนการ กำกับดูแลข้อมูลที่รัดกุม มาตรการปกป้องคุ้มครอง ข้อมูลส่วนบุคคลที่มีประสิทธิผล ควบคู่กับการเสริมสร้าง ศักยภาพของพนักงานในการรับมือกับภัยคุกคามทาง ไซเบอร์และปฏิบัติตามแนวทางการรักษาความปลอดภัย ของข้อมูลส่วนบุคคลของธนาคาร เพื่อป้องกันหรือ ลดความเสียหายที่อาจเกิดขึ้นกับลูกค้าและธนาคาร จากการรั่วไหลและสูญหายของข้อมูล และการนำข้อมูลไปใช้ โดยผิดวัตถุประสงค์หรือไม่ได้รับความยินยอมจากเจ้าของข้อมูล
การดูแลความปลอดภัยทางไซเบอร์
ธนาคารกำหนดให้ความเสี่ยงด้านเทคโนโลยีสารสนเทศ ซึ่งรวมถึงภัยคุกคามทางไซเบอร์เป็นประเด็นความเสี่ยงหลักที่ต้องมีการบริหารจัดการอย่างรัดกุม ธนาคารวางกรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ที่เทียบเท่ากับมาตรฐานสากลและกำหนดแผนการรับมือภัยไซเบอร์รูปแบบต่าง ๆ เพื่อให้จัดการผลกระทบที่อาจเกิดขึ้นได้อย่างรวดเร็วและมีประสิทธิผล ธนาคารได้นำเทคโนโลยีมาใช้ในการเฝ้าระวังและตรวจจับสถานการณ์หรือเหตุผิดปกติที่อาจสร้างความเสียหายต่อข้อมูลและระบบสารสนเทศของธนาคาร มีการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลในระบบการให้บริการธนาคารทั้งระบบ พร้อมทั้งมีการตรวจประเมินมาตรฐานดังกล่าวอย่างสม่ำเสมอ ทั้งก่อนและหลังการให้บริการ นอกจากนี้ ธนาคารยังมุ่งมั่นพัฒนาศักยภาพของบุคลากรด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง
ในปี 2567 ธนาคารได้รับรางวัล Best Performance Awards 2024 หน่วยงานที่มีผลการประเมินผ่านเกณฑ์ระดับดีเลิศ ประเภทหน่วยงาน ที่มีความก้าวหน้าด้านความมั่นคงทางไซเบอร์จากเวที “Prime Minister Awards: Thailand Cybersecurity Excellence Award 2024” โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติรางวัลดังกล่าวสะท้อนให้เห็นถึงความมุ่งมั่นในการดำเนินงานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ของธนาคารได้เป็นอย่างดี
การกำกับดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดหน้าที่ความรับผิดชอบตั้งแต่ระดับคณะกรรมการจนถึงระดับการจัดการ เพื่อให้การบริหารจัดการความปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์มีประสิทธิภาพและสอดคล้องกับนโยบายและกลยุทธ์ของธนาคาร
นโยบายและมาตรการดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารจัดทำนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและ ความปลอดภัยทาง ไซเบอร์ที่สอดคล้องกับมาตรฐานสากลและ กฎเกณฑ์ของทางการ เพื่อเป็นแนวทางในการบริหารจัดการ ด้านการรักษาข้อมูลสารสนเทศและรับมือกับการโจมตีทางไซเบอร์ พร้อมทั้งจัดทำคู่มือการรักษาความปลอดภัยสารสนเทศและความปลอดภัยด้านไซเบอร์เพื่อให้เกิดความชัดเจนในทางปฏิบัติ ธนาคารกำหนดให้มีการทบทวนนโยบายเป็นประจำทุกปีเพื่อให้มีความทันสมัยและครอบคลุมเทคโนโลยีและภัยคุกคามทางไซเบอร์ ใหม่ ๆ และในปี 2567 ธนาคารได้ปรับปรุงหลักการบริหารจัดการ ด้านกลยุทธ์การจัดการความเสี่ยงและการจัดการทรัพย์สินให้ สอดคล้องกับกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ NIST Cybersecurity Framework 2.0 โดยเพิ่มเติมด้านการควบคุม การนำเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้งาน ด้านความมั่นคง ปลอดภัยสารสนเทศในการใช้บริการระบบคลาวด์ และด้านความ ปลอดภัยจากการประมวลผลแบบควอนตัม ธนาคารได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ซึ่งเป็นมาตรฐานสากล ด้านความปลอดภัยสำหรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ระหว่างสถาบันการเงิน (BAHTNET) และระบบการหักบัญชีเช็ค ด้วยภาพและการจัดเก็บภาพเช็ค (ICAS) อีกทั้งกำาลังอยู่ระหว่าง การขอรับรองมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI/ DSS)
เพื่อรองรับการทำงานในยุคดิจิทัลที่พนักงานสามารถทำงาน จากที่ใดก็ได้ ธนาคารได้กำหนดระเบียบการใช้งานอุปกรณ์เคลื่อนที่ การเข้าถึงข้อมูลจากภายนอก การจัดการจดหมายอิเล็กทรอนิกส์ และการจัดเก็บข้อมูล ให้สอดคล้องกับนโยบายความมั่นคง ปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ และนโยบายอื่น ๆ ที่เกี่ยวข้องของธนาคาร นอกจากนี้ ธนาคารยังได้ ติดตั้งระบบความปลอดภัยในอุปกรณ์ฮาร์ดแวร์ทั้งหมด มีการตรวจจับมัลแวร์บนอุปกรณ์อย่างสม่ำเสมอ อีกทั้งมีการตรวจสอบ ข้อมูล รั่วไหลจากแหล่งต่าง ๆ เพื่อดำเนินการป้องกันเชิงรุก
การติดตามเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดแนวปฏิบัติที่ชัดเจนในการเฝ้าระวังเหตุการณ์ด้านความปลอดภัยทาง ไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูล พร้อมทั้งกำหนดระยะเวลาในการยกระดับความรุนแรงของเหตุการณ์และแจ้งเหตุให้ผู้เกี่ยวข้องรับทราบ เพื่อให้มีการติดตามและจัดการเหตุอย่างทันท่วงทีก่อนที่ความเสียหายจะลุกลาม นอกจากนี้ ธนาคารยังมุ่งมั่นพัฒนาศักยภาพของพนักงานในหน่วยงานที่เกี่ยวข้องให้มีความพร้อมในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อยู่เสมอ ในปี 2567 ธนาคารได้ส่งพนักงานเข้าร่วมการอบรมเพื่อเพิ่มพูนทักษะ ความปลอดภัยทางไซเบอร์ที่จัดขึ้นโดยหน่วยงานภายในและหน่วยงานภายนอก อีกทั้งได้ส่งพนักงานเข้าร่วมการแข่งขัน Cyber Combat 2024 ซึ่งจัดโดยศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) เพื่อเพิ่มพูนทักษะในการรับมือกับภัยคุกคามทางไซเบอร์ภายใต้สถานการณ์จำลอง
พนักงานที่พบเหตุการณ์ต้องสงสัยด้านเทคโนโลยีสารสนเทศและความปลอดภัยทาง ไซเบอร์สามารถรายงานเหตุการณ์ผ่านหน่วยงาน Service Desk ตามช่องทางที่ธนาคารกำหนดไว้ ในปี 2567 ธนาคารไม่พบกรณีการละเมิดความปลอดภัยข้อมูลสารสนเทศหรือเหตุการณ์ ด้านความปลอดภัยทางไซเบอร์
การเตรียมความพร้อมในการรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
หน่วยงานจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ จัดให้มีการทดสอบและซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ เป็นประจำ ไม่น้อยกว่าปีละ 2 ครั้ง โดยมีการปรับเปลี่ยนสถานการณ์ที่ใช้ในการซักซ้อมอยู่เสมอ และมีการนำผลการซ้อมดังกล่าว ไปใช้ในการปรับปรุงกระบวนการรับมือภัยคุกคามทางไซเบอร์ ของธนาคารให้มีประสิทธิผลมากขึ้น ในปี 2567 ธนาคารจัดซ้อม แผนรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ 3 ครั้ง ประกอบด้วยการซักซ้อมภายในธนาคาร การซักซ้อมระดับ ภาคการธนาคารโดยศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) และการซักซ้อม ระดับประเทศโดยสำนักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (สกมช.) นอกจากนี้ ธนาคารยังมีการสร้างสถานการณ์จำลองผ่านการจัดส่ง Phishing Email ที่มี หัวข้อและเนื้อหาแตกต่างกันตลอดทั้งปีให้แก่กรรมการ ผู้บริหาร และพนักงาน เพื่อทดสอบความเข้าใจเกี่ยวกับ Phishing Email โดยธนาคารจะนำผลการทดสอบมาใช้สื่อสารเพื่อเสริมความเข้าใจ เกี่ยวกับวิธีการสังเกตและรับมือกับ Phishing Email ให้กับ บุคลากรของธนาคารต่อไป ธนาคารจัดให้มีการตรวจสอบการจัดการความปลอดภัยด้าน เทคโนโลยีสารสนเทศเป็นประจำทุกปีโดยหน่วยงานรับรองอิสระ ภายนอก ครอบคลุมการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ และการควบคุมเฉพาะระบบงาน เพื่อให้มั่นใจว่าระบบเทคโนโลยี สารสนเทศของธนาคารได้รับการปกป้องตามมาตรฐานและสามารถ รับมือกับภัยคุกคามได้ นอกจากนี้ ธนาคารได้กำหนดกระบวนการ จัดการช่องโหว่ พร้อมทั้งจัดให้มีการประเมินช่องโหว่ของระบบงานที่สำคัญและการทดสอบเจาะระบบเป็นประจำทุกปี
ความร่วมมือกับหน่วยงานภายนอกเพื่อสร้างความปลอดภัยทางไซเบอร์
ธนาคารสร้างความร่วมมือกับหน่วยงานภายนอกทั้งในระดับประเทศและระดับสากล ได้แก่ ศูนย์ประสานงานด้านความมั่นคง ปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ ประเทศไทย (ThaiCERT) และศูนย์บริการการเงิน การแบ่งปัน และวิเคราะห์ข้อมูล (FS-ISAC) เพื่อแลกเปลี่ยนข้อมูลข่าวสาร ด้านความปลอดภัยทางไซเบอร์ และนำมาพัฒนาขีดความสามารถ ของธนาคารในการเฝ้าระวังและตอบสนองต่อภัยคุกคาม ทางไซเบอร์ และในปี 2567 ธนาคารเข้าร่วมงานสัมมนาประจำปี ด้านความมั่นคงปลอดภัยไซเบอร์หัวข้อ “Tomorrow’s Cybersecurity in the Age of AI” จัดโดย TB-CERT
เพื่ออัปเดตความรู้และแนวปฏิบัติด้านความมั่นคงปลอดภัย ไซเบอร์ในยุคที่เทคโนโลยี AI เข้ามามีบทบาทสำคัญ นอกจากนี้ผู้บริหารของธนาคารยังได้ร่วมบรรยายแลกเปลี่ยนความรู้ ในงานสัมมนาเชิงปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ สำหรับกรรมการบริษัทในตลาดทุน “Capital Market Cyber Leaders 2024: Trust, Resiliency, Sustainability” จัดโดย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และงานเสวนา “ผนึกกำาลังภาครัฐ ภาคเอกชน ผลักดัน Cloud Security สนับสนุนโยบาย Cloud First Policy” จัดโดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ แห่งชาติ (สกมช.)
ในปี 2567 ธนาคารได้รับรางวัล Best Performance Awards 2024 หน่วยงานที่มีผลการประเมินผ่านเกณฑ์ระดับดีเลิศ ประเภทหน่วยงาน ที่มีความก้าวหน้าด้านความมั่นคงทางไซเบอร์จากเวที “Prime Minister Awards: Thailand Cybersecurity Excellence Award 2024” โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติรางวัลดังกล่าวสะท้อนให้เห็นถึงความมุ่งมั่นในการดำเนินงานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ของธนาคารได้เป็นอย่างดี
การกำกับดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดหน้าที่ความรับผิดชอบตั้งแต่ระดับคณะกรรมการจนถึงระดับการจัดการ เพื่อให้การบริหารจัดการความปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์มีประสิทธิภาพและสอดคล้องกับนโยบายและกลยุทธ์ของธนาคาร
มีหน้าที่ดูแลติดตามการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์ให้มีความเหมาะสมกับธุรกิจของธนาคาร
มีหน้าที่ดูแลติดตามความเสี่ยงด้านเทคโนโลยีสารสนเทศ ซึ่งรวมถึงภัยคุกคาม ทางไซเบอร์
มีหน้าที่กำกับดูแลให้การปฏิบัติการของหน่วยงานเทคโนโลยีสารสนเทศ ให้มีประสิทธิผลและเป็นไปในแนวทางเดียวกันกับการปฏิบัติการทางธุรกิจ
มีหน้าที่สนับสนุนการทำงานของประธานเจ้าหน้าที่บริหารความปลอดภัยข้อมูล สารสนเทศ (CISO) ดังนี้
- กำหนด พัฒนา และทบทวนโครงสร้าง นโยบาย มาตรฐาน และกระบวนการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยด้านสารสนเทศและ ความมั่นคงปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ
- ประเมินความมั่นคงปลอดภัยและตรวจสอบสถานการณ์ควบคุมความมั่นคงปลอดภัยผ่านการบริหารจัดการช่องโหว่และภัยคุกคาม รวมทั้ง ตรวจสอบเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัย
- เสริมสร้างวัฒนธรรมความเสี่ยงด้านความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ในองค์กร
นโยบายและมาตรการดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารจัดทำนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและ ความปลอดภัยทาง ไซเบอร์ที่สอดคล้องกับมาตรฐานสากลและ กฎเกณฑ์ของทางการ เพื่อเป็นแนวทางในการบริหารจัดการ ด้านการรักษาข้อมูลสารสนเทศและรับมือกับการโจมตีทางไซเบอร์ พร้อมทั้งจัดทำคู่มือการรักษาความปลอดภัยสารสนเทศและความปลอดภัยด้านไซเบอร์เพื่อให้เกิดความชัดเจนในทางปฏิบัติ ธนาคารกำหนดให้มีการทบทวนนโยบายเป็นประจำทุกปีเพื่อให้มีความทันสมัยและครอบคลุมเทคโนโลยีและภัยคุกคามทางไซเบอร์ ใหม่ ๆ และในปี 2567 ธนาคารได้ปรับปรุงหลักการบริหารจัดการ ด้านกลยุทธ์การจัดการความเสี่ยงและการจัดการทรัพย์สินให้ สอดคล้องกับกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ NIST Cybersecurity Framework 2.0 โดยเพิ่มเติมด้านการควบคุม การนำเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้งาน ด้านความมั่นคง ปลอดภัยสารสนเทศในการใช้บริการระบบคลาวด์ และด้านความ ปลอดภัยจากการประมวลผลแบบควอนตัม ธนาคารได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ซึ่งเป็นมาตรฐานสากล ด้านความปลอดภัยสำหรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ระหว่างสถาบันการเงิน (BAHTNET) และระบบการหักบัญชีเช็ค ด้วยภาพและการจัดเก็บภาพเช็ค (ICAS) อีกทั้งกำาลังอยู่ระหว่าง การขอรับรองมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI/ DSS)
เพื่อรองรับการทำงานในยุคดิจิทัลที่พนักงานสามารถทำงาน จากที่ใดก็ได้ ธนาคารได้กำหนดระเบียบการใช้งานอุปกรณ์เคลื่อนที่ การเข้าถึงข้อมูลจากภายนอก การจัดการจดหมายอิเล็กทรอนิกส์ และการจัดเก็บข้อมูล ให้สอดคล้องกับนโยบายความมั่นคง ปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ และนโยบายอื่น ๆ ที่เกี่ยวข้องของธนาคาร นอกจากนี้ ธนาคารยังได้ ติดตั้งระบบความปลอดภัยในอุปกรณ์ฮาร์ดแวร์ทั้งหมด มีการตรวจจับมัลแวร์บนอุปกรณ์อย่างสม่ำเสมอ อีกทั้งมีการตรวจสอบ ข้อมูล รั่วไหลจากแหล่งต่าง ๆ เพื่อดำเนินการป้องกันเชิงรุก
การติดตามเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดแนวปฏิบัติที่ชัดเจนในการเฝ้าระวังเหตุการณ์ด้านความปลอดภัยทาง ไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูล พร้อมทั้งกำหนดระยะเวลาในการยกระดับความรุนแรงของเหตุการณ์และแจ้งเหตุให้ผู้เกี่ยวข้องรับทราบ เพื่อให้มีการติดตามและจัดการเหตุอย่างทันท่วงทีก่อนที่ความเสียหายจะลุกลาม นอกจากนี้ ธนาคารยังมุ่งมั่นพัฒนาศักยภาพของพนักงานในหน่วยงานที่เกี่ยวข้องให้มีความพร้อมในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อยู่เสมอ ในปี 2567 ธนาคารได้ส่งพนักงานเข้าร่วมการอบรมเพื่อเพิ่มพูนทักษะ ความปลอดภัยทางไซเบอร์ที่จัดขึ้นโดยหน่วยงานภายในและหน่วยงานภายนอก อีกทั้งได้ส่งพนักงานเข้าร่วมการแข่งขัน Cyber Combat 2024 ซึ่งจัดโดยศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) เพื่อเพิ่มพูนทักษะในการรับมือกับภัยคุกคามทางไซเบอร์ภายใต้สถานการณ์จำลอง
พนักงานที่พบเหตุการณ์ต้องสงสัยด้านเทคโนโลยีสารสนเทศและความปลอดภัยทาง ไซเบอร์สามารถรายงานเหตุการณ์ผ่านหน่วยงาน Service Desk ตามช่องทางที่ธนาคารกำหนดไว้ ในปี 2567 ธนาคารไม่พบกรณีการละเมิดความปลอดภัยข้อมูลสารสนเทศหรือเหตุการณ์ ด้านความปลอดภัยทางไซเบอร์
การเตรียมความพร้อมในการรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
หน่วยงานจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ จัดให้มีการทดสอบและซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ เป็นประจำ ไม่น้อยกว่าปีละ 2 ครั้ง โดยมีการปรับเปลี่ยนสถานการณ์ที่ใช้ในการซักซ้อมอยู่เสมอ และมีการนำผลการซ้อมดังกล่าว ไปใช้ในการปรับปรุงกระบวนการรับมือภัยคุกคามทางไซเบอร์ ของธนาคารให้มีประสิทธิผลมากขึ้น ในปี 2567 ธนาคารจัดซ้อม แผนรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ 3 ครั้ง ประกอบด้วยการซักซ้อมภายในธนาคาร การซักซ้อมระดับ ภาคการธนาคารโดยศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) และการซักซ้อม ระดับประเทศโดยสำนักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (สกมช.) นอกจากนี้ ธนาคารยังมีการสร้างสถานการณ์จำลองผ่านการจัดส่ง Phishing Email ที่มี หัวข้อและเนื้อหาแตกต่างกันตลอดทั้งปีให้แก่กรรมการ ผู้บริหาร และพนักงาน เพื่อทดสอบความเข้าใจเกี่ยวกับ Phishing Email โดยธนาคารจะนำผลการทดสอบมาใช้สื่อสารเพื่อเสริมความเข้าใจ เกี่ยวกับวิธีการสังเกตและรับมือกับ Phishing Email ให้กับ บุคลากรของธนาคารต่อไป ธนาคารจัดให้มีการตรวจสอบการจัดการความปลอดภัยด้าน เทคโนโลยีสารสนเทศเป็นประจำทุกปีโดยหน่วยงานรับรองอิสระ ภายนอก ครอบคลุมการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ และการควบคุมเฉพาะระบบงาน เพื่อให้มั่นใจว่าระบบเทคโนโลยี สารสนเทศของธนาคารได้รับการปกป้องตามมาตรฐานและสามารถ รับมือกับภัยคุกคามได้ นอกจากนี้ ธนาคารได้กำหนดกระบวนการ จัดการช่องโหว่ พร้อมทั้งจัดให้มีการประเมินช่องโหว่ของระบบงานที่สำคัญและการทดสอบเจาะระบบเป็นประจำทุกปี
ความร่วมมือกับหน่วยงานภายนอกเพื่อสร้างความปลอดภัยทางไซเบอร์
ธนาคารสร้างความร่วมมือกับหน่วยงานภายนอกทั้งในระดับประเทศและระดับสากล ได้แก่ ศูนย์ประสานงานด้านความมั่นคง ปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ ประเทศไทย (ThaiCERT) และศูนย์บริการการเงิน การแบ่งปัน และวิเคราะห์ข้อมูล (FS-ISAC) เพื่อแลกเปลี่ยนข้อมูลข่าวสาร ด้านความปลอดภัยทางไซเบอร์ และนำมาพัฒนาขีดความสามารถ ของธนาคารในการเฝ้าระวังและตอบสนองต่อภัยคุกคาม ทางไซเบอร์ และในปี 2567 ธนาคารเข้าร่วมงานสัมมนาประจำปี ด้านความมั่นคงปลอดภัยไซเบอร์หัวข้อ “Tomorrow’s Cybersecurity in the Age of AI” จัดโดย TB-CERT
เพื่ออัปเดตความรู้และแนวปฏิบัติด้านความมั่นคงปลอดภัย ไซเบอร์ในยุคที่เทคโนโลยี AI เข้ามามีบทบาทสำคัญ นอกจากนี้ผู้บริหารของธนาคารยังได้ร่วมบรรยายแลกเปลี่ยนความรู้ ในงานสัมมนาเชิงปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ สำหรับกรรมการบริษัทในตลาดทุน “Capital Market Cyber Leaders 2024: Trust, Resiliency, Sustainability” จัดโดย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และงานเสวนา “ผนึกกำาลังภาครัฐ ภาคเอกชน ผลักดัน Cloud Security สนับสนุนโยบาย Cloud First Policy” จัดโดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ แห่งชาติ (สกมช.)
การคุ้มครองข้อมูลส่วนบุคคล
ธนาคารให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันมิให้เจ้าของข้อมูลได้รับความเสียหายจากการถูกนำข้อมูลไปใช้ แสวงหาประโยชน์โดยมิชอบ ธนาคารได้กำหนดหลักการและแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎเกณฑ์อื่น ๆ ที่เกี่ยวข้อง อีกทั้งกำหนดผู้รับผิดชอบ ในการตรวจสอบและดูแลข้อมูล การให้สิทธิการเข้าถึงข้อมูล การจำแนกและจัดชั้นความลับของข้อมูลเพื่อกำหนดระดับการรักษา ความมั่นคงปลอดภัยของข้อมูลให้สอดคล้องกับระดับความเสี่ยงและผลกระทบของการละเมิดข้อมูลส่วนบุคคล ธนาคารได้กำหนดให้ความเสี่ยง ด้านข้อมูลส่วนบุคคลเป็นหนึ่งในความเสี่ยงที่สำคัญของธนาคาร และได้มอบหมายให้หน่วยงานคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลมีส่วนร่วมในกระบวนการบริหารความเสี่ยง ตั้งแต่การระบุความเสี่ยง การจัดการความเสี่ยง ไปจนถึงการควบคุมความเสี่ยง
การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของธนาคารเป็นไปตามกฎหมายที่เกี่ยวข้อง และสอดคล้องตามนโยบาย และแนวทางปฏิบัติของธนาคาร ธนาคารได้กำหนดหน้าที่และความรับผิดชอบของคณะกรรมการ ผู้บริหารระดับสูง และหน่วยงานต่าง ๆ ที่เกี่ยวข้องไว้อย่างชัดเจน รวมทั้งดูแลให้มีการควบคุมความเสี่ยงตามหลักแนวทางป้องกัน 3 ชั้น โดยมีการตรวจสอบการปฏิบัติด้านการ คุ้มครองข้อมูลส่วนบุคคลโดยสายตรวจสอบและควบคุมซึ่งเป็นอิสระจากหน่วยงานที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคล นอกจากนี้ ธนาคารได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล สังกัดหน่วยงานกำากับดูแล และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล (DPO) เพื่อให้ทำาหน้าที่ดูแลงานด้านการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ
นโยบายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลและมาตรฐาน คุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้ครอบคลุมกลุ่มธุรกิจ ของธนาคาร รวมถึงพันธมิตรทางธุรกิจและผู้ให้บริการภายนอก พร้อมทั้งกำหนดให้มีการทบทวนอย่างสม่ำเสมอเพื่อให้เหมาะสม กับการเปลี่ยนแปลงของธุรกิจและกฎหมายที่ เกี่ยวข้อง ธนาคารจัดทำคู่มือปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลใน กระบวนการทำงานของหน่วยงานต่าง ๆ เพื่อให้ผู้ปฏิบัติงานเกิด ความเข้าใจและสามารถปฏิบัติได้อย่างถูกต้อง พนักงานทุกคน ต้องรับทราบและปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามอาจส่งผลให้ถูกลงโทษทางวินัยไป จนถึงถูกเลิกจ้าง รวมถึงอาจมีความผิดทางอาญาหรือมีโทษตาม กฎหมายที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลรับทราบถึงรายละเอียดการคุ้มครองข้อมูล และสิทธิของเจ้าของข้อมูล ธนาคารได้เผยแพร่หนังสือแจ้ง การคุ้มครองข้อมูลส่วนบุคคล ผ่านทางเว็บไซต์ สาขา และช่องทาง การให้บริการธนาคารดิจิทัล เจ้าของข้อมูลสามารถสอบถามข้อมูล เพิ่มเติมและขอใช้สิทธิของเจ้าของข้อมูลได้ที่สาขาหรือช่องทาง บริการอื่น ๆ ของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลหรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของธนาคาร
ธนาคารจัดให้มีการขอความยินยอมจากเจ้าของข้อมูลในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยธนาคารจัดทำหนังสือ ขอและให้ความยินยอมเพื่อแจ้งรายละเอียดแก่เจ้าของข้อมูลพิจารณาให้ความยินยอมก่อนหรือในขณะที่ทำการประมวลผลข้อมูล (การให้ความยินยอมดังกล่าวไม่ถือเป็นส่วนหนึ่งของเงื่อนไขการให้บริการของธนาคาร) ธนาคารมีการติดตามการใช้ข้อมูลส่วนบุคคลของลูกค้า เพื่อวัตถุประสงค์อื่นตามที่กฎหมายอนุญาต เช่น เพื่อการตลาด การวิเคราะห์วิจัยเพื่อพัฒนาคุณภาพผลิตภัณฑ์และบริการ เป็นต้น ธนาคารมีสัดส่วนลูกค้าที่ให้ความยินยอมในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นคิดเป็นร้อยละ 77 ของลูกค้าทั้งหมด
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
เพื่อให้การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคลมีความชัดเจน เป็นระบบระเบียบ และสามารถตอบสนองต่อเหตุการณ์ ได้อย่างมีประสิทธิภาพ ธนาคารได้กำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบการดำเนินการที่สอดคล้องกับกฎเกณฑ์ของทางการและนโยบาย คุ้มครองข้อมูลส่วนบุคคลของธนาคาร พร้อมทั้งจัดทำแบบฟอร์มการรายงานเหตุ การละเมิดข้อมูลส่วนบุคคลเพื่อให้หน่วยงานที่เผชิญเหตุ ใช้รายงานต่อผู้รับผิดชอบของหน่วยงานและจัดส่งให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต่อไป
เจ้าของข้อมูลสามารถแจ้งเรื่องร้องเรียนเกี่ยวกับเหตุละเมิดข้อมูลส่วนบุคคลผ่านช่องทางการร้องเรียนของธนาคาร หรือติดต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคล เมื่อได้รับการแจ้งเหตุ ธนาคารจะดำเนินการตรวจสอบข้อเท็จจริง อย่างโปร่งใสและเป็นธรรม หากพบว่ามีการละเมิดเกิดขึ้นจริง ธนาคารจะดำเนินการกับผู้กระทำผิดตามบทลงโทษที่ธนาคารกำาหนดไว้ เยียวยา ผู้เสียหายอย่างเหมาะสม และหาแนวทางป้องกันไม่ให้เกิดเหตุซ้ำ ในปี 2567 ธนาคารได้รับข้อร้องเรียนเรื่องการละเมิดข้อมูลส่วนบุคคล ทั้งสิ้น 14 กรณี ผ่านช่องทางรับเรื่องร้องเรียนของธนาคาร 13 กรณี และผ่านหน่วยงานกำกับดูแลของทางการ 1 กรณี ธนาคารได้ดำเนินการ ตรวจสอบและยุติข้อร้องเรียนตามแนวทางปฏิบัติของธนาคารเป็นที่เรียบร้อย โดยไม่พบกรณีการละเมิดที่มีผลกระทบที่มีนัยสำคัญ
การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของธนาคารเป็นไปตามกฎหมายที่เกี่ยวข้อง และสอดคล้องตามนโยบาย และแนวทางปฏิบัติของธนาคาร ธนาคารได้กำหนดหน้าที่และความรับผิดชอบของคณะกรรมการ ผู้บริหารระดับสูง และหน่วยงานต่าง ๆ ที่เกี่ยวข้องไว้อย่างชัดเจน รวมทั้งดูแลให้มีการควบคุมความเสี่ยงตามหลักแนวทางป้องกัน 3 ชั้น โดยมีการตรวจสอบการปฏิบัติด้านการ คุ้มครองข้อมูลส่วนบุคคลโดยสายตรวจสอบและควบคุมซึ่งเป็นอิสระจากหน่วยงานที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคล นอกจากนี้ ธนาคารได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล สังกัดหน่วยงานกำากับดูแล และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล (DPO) เพื่อให้ทำาหน้าที่ดูแลงานด้านการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ
นโยบายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลและมาตรฐาน คุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้ครอบคลุมกลุ่มธุรกิจ ของธนาคาร รวมถึงพันธมิตรทางธุรกิจและผู้ให้บริการภายนอก พร้อมทั้งกำหนดให้มีการทบทวนอย่างสม่ำเสมอเพื่อให้เหมาะสม กับการเปลี่ยนแปลงของธุรกิจและกฎหมายที่ เกี่ยวข้อง ธนาคารจัดทำคู่มือปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลใน กระบวนการทำงานของหน่วยงานต่าง ๆ เพื่อให้ผู้ปฏิบัติงานเกิด ความเข้าใจและสามารถปฏิบัติได้อย่างถูกต้อง พนักงานทุกคน ต้องรับทราบและปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามอาจส่งผลให้ถูกลงโทษทางวินัยไป จนถึงถูกเลิกจ้าง รวมถึงอาจมีความผิดทางอาญาหรือมีโทษตาม กฎหมายที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลรับทราบถึงรายละเอียดการคุ้มครองข้อมูล และสิทธิของเจ้าของข้อมูล ธนาคารได้เผยแพร่หนังสือแจ้ง การคุ้มครองข้อมูลส่วนบุคคล ผ่านทางเว็บไซต์ สาขา และช่องทาง การให้บริการธนาคารดิจิทัล เจ้าของข้อมูลสามารถสอบถามข้อมูล เพิ่มเติมและขอใช้สิทธิของเจ้าของข้อมูลได้ที่สาขาหรือช่องทาง บริการอื่น ๆ ของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลหรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของธนาคาร
ธนาคารจัดให้มีการขอความยินยอมจากเจ้าของข้อมูลในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยธนาคารจัดทำหนังสือ ขอและให้ความยินยอมเพื่อแจ้งรายละเอียดแก่เจ้าของข้อมูลพิจารณาให้ความยินยอมก่อนหรือในขณะที่ทำการประมวลผลข้อมูล (การให้ความยินยอมดังกล่าวไม่ถือเป็นส่วนหนึ่งของเงื่อนไขการให้บริการของธนาคาร) ธนาคารมีการติดตามการใช้ข้อมูลส่วนบุคคลของลูกค้า เพื่อวัตถุประสงค์อื่นตามที่กฎหมายอนุญาต เช่น เพื่อการตลาด การวิเคราะห์วิจัยเพื่อพัฒนาคุณภาพผลิตภัณฑ์และบริการ เป็นต้น ธนาคารมีสัดส่วนลูกค้าที่ให้ความยินยอมในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นคิดเป็นร้อยละ 77 ของลูกค้าทั้งหมด
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
เพื่อให้การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคลมีความชัดเจน เป็นระบบระเบียบ และสามารถตอบสนองต่อเหตุการณ์ ได้อย่างมีประสิทธิภาพ ธนาคารได้กำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบการดำเนินการที่สอดคล้องกับกฎเกณฑ์ของทางการและนโยบาย คุ้มครองข้อมูลส่วนบุคคลของธนาคาร พร้อมทั้งจัดทำแบบฟอร์มการรายงานเหตุ การละเมิดข้อมูลส่วนบุคคลเพื่อให้หน่วยงานที่เผชิญเหตุ ใช้รายงานต่อผู้รับผิดชอบของหน่วยงานและจัดส่งให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต่อไป
เจ้าของข้อมูลสามารถแจ้งเรื่องร้องเรียนเกี่ยวกับเหตุละเมิดข้อมูลส่วนบุคคลผ่านช่องทางการร้องเรียนของธนาคาร หรือติดต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคล เมื่อได้รับการแจ้งเหตุ ธนาคารจะดำเนินการตรวจสอบข้อเท็จจริง อย่างโปร่งใสและเป็นธรรม หากพบว่ามีการละเมิดเกิดขึ้นจริง ธนาคารจะดำเนินการกับผู้กระทำผิดตามบทลงโทษที่ธนาคารกำาหนดไว้ เยียวยา ผู้เสียหายอย่างเหมาะสม และหาแนวทางป้องกันไม่ให้เกิดเหตุซ้ำ ในปี 2567 ธนาคารได้รับข้อร้องเรียนเรื่องการละเมิดข้อมูลส่วนบุคคล ทั้งสิ้น 14 กรณี ผ่านช่องทางรับเรื่องร้องเรียนของธนาคาร 13 กรณี และผ่านหน่วยงานกำกับดูแลของทางการ 1 กรณี ธนาคารได้ดำเนินการ ตรวจสอบและยุติข้อร้องเรียนตามแนวทางปฏิบัติของธนาคารเป็นที่เรียบร้อย โดยไม่พบกรณีการละเมิดที่มีผลกระทบที่มีนัยสำคัญ
การสร้างวัฒนธรรมด้านความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล
ความเข้าใจที่ถูกต้องของพนักงานทุกคนเป็นหัวใจสำคัญของการสร้างวัฒนธรรมความ มั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคลให้เกิดขึ้นในองค์กร ธนาคารมีการดำเนินการต่าง ๆ เพื่อยกระดับความรู้ความเข้าใจ ดังนี้
ในปัจจุบัน พร้อมทั้งแนะนำพฤติกรรมที่ช่วยให้ปลอดภัยจากภัยคุกคาม ทางไซเบอร์ นอกจากนี้ ยังมีการจัดบูธกิจกรรมให้ความรู้และเล่นเกมตอบคำถามชิงรางวัล
การสร้างความตระหนักรู้เกี่ยวกับภัยการเงินออนไลน์ให้กับสังคม
จำนวนผู้ตกเป็นเหยื่อการฉ้อโกงทางออนไลน์กำลังมีแนวโน้ม สูงขึ้นเรื่อย ๆ นำมาซึ่งความเสียหายด้านการเงินและด้านจิตใจ อย่างรุนแรงต่อผู้ตกเป็นเหยื่อ เพื่อแก้ไขปัญหาดังกล่าว ธนาคาร ได้ให้ความร่วมมือกับหน่วยงานภาครัฐที่เกี่ยวข้องในการดำเนิน มาตรการป้องกันต่าง ๆ เช่น การตรวจจับและติดตามบัญชีม้า การกระตุ้นเตือนเมื่อโอนเงินออนไลน์ และการเพิ่มการยืนยันตัวตน สำหรับการโอนเงินมูลค่าสูง นอกจากนี้ ธนาคารยังมุ่งสร้าง ความตระหนักรู้เกี่ยวกับภัยการเงินออนไลน์ให้กับลูกค้าและ ประชาชนทั่วไปอย่างต่อเนื่อง โดยการเผยแพร่ความรู้เกี่ยวกับ รูปแบบการหลอกลวง การสังเกตข้อพิรุธ วิธีการระวังป้องกัน และสิ่งที่ควรทำเมื่อตกเป็นเหยื่อ ผ่านช่องทางการสื่อสารต่าง ๆ ของธนาคารทั้งทางออนไลน์และออฟไลน์ อีกทั้งยังได้จัด การบรรยายเรื่อง “การแนะแนวทางด้านความปลอดภัยคุกคามทางไซเบอร์ในยุคที่เทคโนโลยีเปลี่ยนแปลงอย่างรวดเร็ว” ร่วมกับ สหกรณ์บริการคนตาบอดแห่งประเทศไทย ภายใต้โครงการ Fin Lit for the Blind เพื่อให้ผู้ที่มีความบกพร่องทางการมองเห็นมีความรู้เท่าทันกลโกงของมิจฉาชีพ
- กำหนดให้คณะกรรมการธนาคารเข้าร่วมอบรมหลักสูตรที่เกี่ยวข้องการบริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยี สารสนเทศและความปลอดภัยทางไซเบอร์ที่จัดโดยธนาคารหรือหน่วยงานกำกับดูแลของทางการ เช่น สำานักงาน คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ธนาคารแห่งประเทศไทย เป็นต้น
- จัดทำหลักสูตรภาคบังคับสำหรับผู้บริหารและพนักงานเพื่อสร้างความตระหนักถึงความสำคัญของการป้องกันภัยคุกคาม ทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ หลักสูตรการคุ้มครองข้อมูลส่วนบุคคล หลักสูตรความตระหนักรู้ เกี่ยวกับการโจรกรรมข้อมูลในรูปแบบ Phishing Email และหลักสูตรความมั่นคงปลอดภัยด้านสารสนเทศและ ความปลอดภัยทางไซเบอร์
- กำหนดให้พนักงานในหน่วยงานที่เกี่ยวข้องต้องเข้ารับการอบรมหลักสูตรการคุ้มครองข้อมูลส่วนบุคคลที่เฉพาะเจาะจง กับบทบาทของหน่วยงาน
- จัดโครงการ PDPA Awareness Campaign เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับการปฏิบัติงานอย่างถูกต้องภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผ่านชุดข้อมูลความรู้ในรูปแบบบทความ จดหมายข่าว อินโฟกราฟิก และ วีดิทัศน์ พร้อมทั้งเปิดช่องทางให้ส่งคำถามถึง DPO
- สื่อสารข่าวสารความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ ผ่านช่องทางการสื่อสารภายในอย่างต่อเนื่อง ในปี 2567 มีการสื่อความในหลากลายหัวข้อ เช่น “Security Tips: ป้องกัน Link อันตรายในอีเมลด้วย Safe Links บน Microsoft Outlook”, “แจ้งเตือน! การระบาดของอีเมลเรียกค่าไถ่ หรือ Extortion Emails”, “Security News: ปรับจริง! กรณี ตัวอย่างทำาข้อมูลส่วนบุคคลรั่วไหล” เป็นต้น
- จัดกิจกรรม Cybersecurity Talk เพื่อให้พนักงานนำความรู้ไปปรับใช้ในการทำงานและในชีวิตประจำวัน ในปี 2567 มีการจัดกิจกรรมในหัวข้อ “แฉยับ Web ลับสุด Dark (Dark web)”, “ไขข้อข้องใจกับ Security ว่าด้วย การรักษาความปลอดภัยของข้อมูลที่ เก็บใน Database” และ “AI and Human Behavior: Navigating the Intersection for Enhanced Digital Security”
- จัดกิจกรรม Bangkok Bank Cybersecurity Day 2024 เพื่อให้ ความรู้และสร้างความตื่นตัวในการรับมือกับภัยคุกคามทางไซเบอร์แก่ผู้บริหารและพนักงาน โดยในงานมีการจัดสัมมนาเพื่อแบ่งปันประสบการณ์ความรู้เรื่อง Ransomware และเทคนิคที่ แฮกเกอร์ใช้หลอกลวง
ในปัจจุบัน พร้อมทั้งแนะนำพฤติกรรมที่ช่วยให้ปลอดภัยจากภัยคุกคาม ทางไซเบอร์ นอกจากนี้ ยังมีการจัดบูธกิจกรรมให้ความรู้และเล่นเกมตอบคำถามชิงรางวัล
- จัดกิจกรรม Cybersecurity Hero Season 1 เพื่อสร้างวัฒนธรรม องค์กรด้านความปลอดภัยทางไซเบอร์ที่มุ่งปรับพฤติกรรมของ พนักงานให้ตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์ และการรับมือภัยคุกคามทางไซเบอร์ ผ่านกิจกรรมที่ให้พนักงาน รายงานข้อมูล Phishing Email และภัยคุกคามทางไซเบอร์ที่แอบอ้างเป็นธนาคาร เพื่อเก็บสะสมคะแนนแลกของรางวัล
การสร้างความตระหนักรู้เกี่ยวกับภัยการเงินออนไลน์ให้กับสังคม
จำนวนผู้ตกเป็นเหยื่อการฉ้อโกงทางออนไลน์กำลังมีแนวโน้ม สูงขึ้นเรื่อย ๆ นำมาซึ่งความเสียหายด้านการเงินและด้านจิตใจ อย่างรุนแรงต่อผู้ตกเป็นเหยื่อ เพื่อแก้ไขปัญหาดังกล่าว ธนาคาร ได้ให้ความร่วมมือกับหน่วยงานภาครัฐที่เกี่ยวข้องในการดำเนิน มาตรการป้องกันต่าง ๆ เช่น การตรวจจับและติดตามบัญชีม้า การกระตุ้นเตือนเมื่อโอนเงินออนไลน์ และการเพิ่มการยืนยันตัวตน สำหรับการโอนเงินมูลค่าสูง นอกจากนี้ ธนาคารยังมุ่งสร้าง ความตระหนักรู้เกี่ยวกับภัยการเงินออนไลน์ให้กับลูกค้าและ ประชาชนทั่วไปอย่างต่อเนื่อง โดยการเผยแพร่ความรู้เกี่ยวกับ รูปแบบการหลอกลวง การสังเกตข้อพิรุธ วิธีการระวังป้องกัน และสิ่งที่ควรทำเมื่อตกเป็นเหยื่อ ผ่านช่องทางการสื่อสารต่าง ๆ ของธนาคารทั้งทางออนไลน์และออฟไลน์ อีกทั้งยังได้จัด การบรรยายเรื่อง “การแนะแนวทางด้านความปลอดภัยคุกคามทางไซเบอร์ในยุคที่เทคโนโลยีเปลี่ยนแปลงอย่างรวดเร็ว” ร่วมกับ สหกรณ์บริการคนตาบอดแห่งประเทศไทย ภายใต้โครงการ Fin Lit for the Blind เพื่อให้ผู้ที่มีความบกพร่องทางการมองเห็นมีความรู้เท่าทันกลโกงของมิจฉาชีพ
เครื่องมือช่วยเหลือ
ธนาคารพร้อมให้คำปรึกษาและดูแลคุณ
ในทุกธุรกรรมทางการเงิน
เครื่องมือช่วยเหลือ
ธนาคารพร้อมให้คำปรึกษาและดูแลคุณในทุกธุรกรรมทางการเงิน
เว็บไซต์นี้ใช้คุกกี้ เพื่อมอบประสบการณ์การใช้งานที่ดีให้กับท่าน และเพื่อพัฒนาคุณภาพการให้บริการเว็บไซต์ที่ตรงต่อความต้องการของท่านมากยิ่งขึ้น ท่านสามารถทราบรายละเอียดเกี่ยวกับคุกกี้ได้ที่
นโยบายการใช้คุกกี้
