เรียนรู้การปกป้องข้อมูลด้วย DLP จากกรณีศึกษาธนาคารระดับโลก BRAC Bank
สวัสดีค่ะ มาพบกับบทความที่อัพเดทความรู้ในการจัดการข้อมูลที่กลายเป็นจุดสนใจขององค์กรในยุคนี้ โดยแฟร์จะพยายามหาบทความที่เป็นความรู้ทางด้าน Information Technology, IT compliance และ Cyber Security ที่จะช่วยในเรื่องนี้มาฝาก ๆ เพื่อนทุกคนค่ะ ซึ่งในวันนี้อยากจะมาแบ่งปันกรณีศึกษาต่อยอดจาก กฎหมายที่น่าจะฮอตฮิตที่สุดในบ้านเราตอนนี้ คือ PDPA
ทุกวันนี้แฟร์เชื่อว่าทุก ๆ ท่านคงไม่มีใครไม่เคยได้ยินคำว่า PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 และเชื่อว่าองค์กรต่าง ๆ ก็ได้ลงมือเตรียมความพร้อมปฏิบัติตาม พ.ร.บ. ดังกล่าวนี้มาบ้างแล้ว อย่างน้อยก็ได้ดำเนินการทางด้าน จัดทำทะเบียนข้อมูลส่วนบุคคล บันทึกกิจกรรมการประมวลผล เอกสารข้อความยินยอมและเอกสารอื่น ๆ ที่จำเป็นต่อกฎหมาย แต่หนึ่งสิ่งที่ยังเป็นประเด็นที่ท้าทายอยู่ก็คือ การป้องกันการละเมิดของข้อมูลส่วนบุคคล เช่น การนำข้อมูลส่วนบุคคลส่งออกไปยังบุคคลอื่นที่ไม่มีส่วนเกี่ยวข้องแบบไม่ตั้งใจ การนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด การถูกแฮกข้อมูลและนำข้อมูลส่วนบุคคลไปขายต่อยังตลาดมืด (Dark Web) เป็นต้น
โดยหนึ่งในเครื่องมือที่ช่วยแก้ไขปัญหานี้ได้คือ Data Loss Prevention (DLP) เครื่องมือที่จะช่วยให้องค์กรได้ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้อย่างมีประสิทธิภาพมากขึ้น โดยในปัจจุบันในประเทศไทยได้มีการบังคับใช้ กฎหมาย PDPA ซึ่งมีจุดมุ่งหมายเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
ด้วยเหตุนี้ทำให้องค์กรทั้งภาครัฐและเอกชนต้องเตรียมความพร้อมเพื่อให้สอดรับกับข้อบังคับนี้ ไม่เช่นนั้นอาจก่อให้เกิดโทษทั้งทางกฎหมายโดยอาจมีโทษทั้งจำและปรับสูงถึง 5 ล้านบาท และก่อให้เกิดความเสียหายทางธุรกิจในทางด้านชื่อเสียงและความเชื่อมั่นจากทางคู่ค้าและลูกค้าที่ใช้สินค้าหรือบริการของบริษัท
วันนี้เราจะทำให้เห็นภาพมากขึ้นว่า DLP ช่วยธุรกิจได้อย่างไรในแง่ของการรักษาความปลอดภัยให้กับข้อมูลสำคัญขององค์กร โดยยกตัวอย่างกรณีศึกษาจาก ธนาคาร BRAC ประเทศบังกลาเทศที่รักษาความปลอดภัยข้อมูลที่มีความอ่อนไหวของลูกค้า SME นับล้านรายด้วยการใช้ Forcepoint DLP มาเป็นเครื่องมือหลัก
อ้างอิงจาก Forcepoint Customer Story — BRAC Bank ภาคธุรกิจ SME ที่เพิ่มขึ้นของประเทศบังกลาเทศอาศัยบริการด้านการธนาคารที่มีวิสัยทัศน์ของธนาคาร BRAC เพื่อเป็นแรงผลักดันให้มีการเติบโตทางเศรษฐกิจและเพิ่มโอกาสในการจ้างงานของประเทศ นอกจากนี้ยังหมายถึงการมอบความไว้วางใจให้ธนาคารรักษาความลับของข้อมูลอีกด้วย ด้วยเหตุนี้ธนาคาร BRAC จึงได้มีการหันไปใช้ Forcepoint DLP ในการอุดการรั่วไหลของข้อมูลและปกป้องข้อมูลลูกค้าที่มีความอ่อนไหว เพื่อรักษาความไว้วางใจที่ได้รับจากลูกค้า
จนถึงปี 2544 ภาคธุรกิจ SMEs ของบังกลาเทศได้พบเจอกับความท้าทายครั้งใหญ่นั่นคือ ในขณะที่พวกเขาต้องการเริ่มต้นธุรกิจที่จะช่วยให้เศรษฐกิจเติบโตและเพิ่มโอกาสการจ้างงานครั้งสำคัญ แทบจะเป็นไปไม่ได้เลยที่จะได้รับเงินทุนที่จำเป็นจากธนาคารที่มีอยู่ ด้วยเหตุนี้ Sir Fazle Hasan Abed KCMG ผู้ที่ได้รับแรงบัลดาลใจจากองค์กรแม่ที่ไม่แสวงหาผลกำไร (NGO) ที่ใหญ่ที่สุดในโลก BRAC ได้ก้าวเข้ามาเพื่อให้บริการด้านการธนาคารสำหรับผู้ที่ไม่มีบัญชีธนาคาร ซึ่งช่วยผู้ประกอบการหน้าใหม่ได้เริ่มต้นทำธุรกิจได้
การเติบโตอย่างมากของธนาคาร BRAC และการก้าวขึ้นเป็นธนาคารพาณิชย์เอกชนที่ใหญ่ที่สุดแห่งหนึ่งของบังกลาเทศภายในสองทศวรรษที่ผ่านมานั้นส่วนใหญ่เป็นผลมาจากวิสัยทัศน์ในการให้บริการผู้ที่ไม่มีบัญชีธนาคารและการนำผู้ประกอบการระดับรากหญ้ามาอยู่ภายใต้การธนาคารที่เป็นระบบเนื่องด้วยพอร์ตสินเชื่อส่วนใหญ่ประกอบด้วยธุรกิจ SMEs ธนาคาร BRAC จึงมีบทบาทสำคัญในการขับเคลื่อนการจ้างงานซึ่งเป็นเสาหลักสำคัญของการเติบโตของเศรษฐกิจบังคลาเทศ และทางธนาคารเองก็ยังได้รับความไว้วางใจให้ปกป้องข้อมูลที่สำคัญและอ่อนไหวของผู้ประกอบการหลายล้านรายที่ทางธนาคารช่วยให้ประสบความสำเร็จอีกด้วย
ในฐานะผู้ดูแลข้อมูลลับของลูกค้ากว่า 2 ล้านคน การปกป้องข้อมูลนี้ไม่เพียงแต่เป็นข้อกำหนดด้านข้อบังคับทางกฎหมาย แต่สำหรับธนาคาร BRAC มันยังมีความจำเป็นทางธุรกิจอีกด้วย เนื่องจากความไว้วางใจของลูกค้าและชื่อเสียงของแบรนด์ของธนาคารนั้นขึ้นอยู่กับข้อมูลดังกล่าว
B.M. Zahid-ul Haque หัวหน้าฝ่ายรักษาความปลอดภัยข้อมูลของธนาคาร BRAC กล่าว “สิ่งที่สำคัญที่สุดที่เราพยายามปกป้อง นอกเหนือจากการรักษาความลับของข้อมูลลูกค้า คือ ชื่อเสียงของธนาคาร BRAC ซึ่งประเมินค่าไม่ได้สำหรับเรา” และ “หากมีการการรั่วไหลของข้อมูล อาจมีผลกระทบในวงกว้าง ซึ่งไม่เพียงแต่ส่งผลเสียต่อลูกค้าและนักลงทุนของเรา แต่ยังสร้างความเสียหายอย่างร้ายแรงหรือไม่ก็ทำลายชื่อเสียงของธนาคาร”
ความท้าทายหลัก สำหรับธนาคารในการรับรองความปลอดภัยและความถูกต้องสมบูรณ์ของข้อมูล
- การขาดความสามารถในการมองเห็นและควบคุมข้อมูลความลับที่ถูกใช้ทั่วทั้งองค์กร: ข้อมูลที่เป็นความลับสามารถส่งต่อผ่านอีเมลหรือโปรแกรมส่งข้อความโต้ตอบแบบทันที (เช่น Line หรือ Messenger) ถูกคัดลอกไปยัง USB หรือพิมพ์ออกมาเป็นเอกสารโดยที่ธนาคารไม่ได้รับการแจ้งเตือน
การกระทำเหล่านี้สร้างความเสี่ยงที่จะสูญเสียข้อมูลผ่านการส่งข้อมูลโดยไม่ได้รับอนุญาต ไม่ว่าจะโดยบังเอิญหรือจงใจ จากภายในองค์กรไปยังภายนอก
การอุดช่องโหว่ที่อาจเกิดขึ้นจากการแบ่งปันข้อมูลโดยไม่ได้รับอนุญาตถือเป็นเป้าหมายหลักของธนาคาร Haque กล่าวว่า “เราตระหนักดีว่าการมีนโยบายและการควบคุมเพื่อลดความเสี่ยงของการรั่วไหลของข้อมูลที่สำคัญไปยังภายนอกองค์กรเป็นกลยุทธ์ในการปกป้องข้อมูลและสร้างมาตรการรักษาความปลอดภัยที่แข็งแกร่ง”
เพื่อจัดการกับความท้าทายและลดความเสี่ยงของการสูญเสียข้อมูล Haque และทีมงานได้เริ่ม ค้นหาและประเมินตัวเลือก DLP Solution ที่มีอยู่ในตลาดด้วยเกณฑ์และตัวแปรสำคัญต่างๆ ซึ่งรวมถึงการ RFP, การเปรียบเทียบด้านการทำงาน, ความปลอดภัย, ความสามารถในการขยายเครือข่าย, ผลลัพธ์ของการนำเสนอ, ผลของ PoC (proof-of-concept), ชื่อเสียงของ OEM, การสนับสนุนทางเทคนิค, ความคิดเห็นของผู้ใช้จริง และการตรวจสอบตัวเลือกตามบทวิเคราะห์ที่จัดทำโดยผู้เชี่ยวชาญ รวมไปถึงการพิจารณาเรื่องต้นทุน
“เราต้องการ DLP Solution ที่ไม่ใช่แค่ให้การรักษาความปลอดภัยในระดับที่สูงขึ้นเท่านั้น แต่ยังให้การมองเห็น ควบคุม และความสามารถในการปรับตัวที่มากขึ้นอีกด้วย จากความสำเร็จที่ผ่านมา continuous innovation ซึ่งทำให้การปรับใช้ DLP ง่ายสำหรับองค์กรและการมุ่งเน้นไปที่การพัฒนา DLP รุ่นต่อไป Forcepoint ได้สร้างมาตรฐานสำหรับเทคโนโลยี DLP ในอุตสาหกรรม ดังนั้นมันจึงตรงกับความต้องการของเรา” Haque กล่าว
หลังจากได้ตัวเลือกที่ต้องการแล้ว ธนาคาร BRAC ได้จัดตั้งทีมภายในองค์กรที่ทำงานอย่างใกล้ชิดกับ Forcepoint และคู่ค้าหรือพันธมิตรที่นำ DLP ไปใช้ในระยะเริ่มต้นเพื่อการใช้งานที่ราบรื่นและเป็นขั้นตอน กุญแจสำคัญคือการบูรณาการ DLP ร่วมกับระบบที่มีอยู่ ซึ่งก็สามารถจัดการได้สำเร็จด้วยการสนับสนุนจากทางทีมที่จัดตั้งขึ้นและความร่วมมือจากผู้บริหารระดับสูง
Forcepoint DLP ได้ช่วย BRAC Bank ในการระบุ ติดตาม และรักษาความปลอดภัยของข้อมูลที่เป็นความลับและข้อมูลที่ถูกแยกไว้ทุกประเภท มันจำกัดการส่งไฟล์ที่เฉพาะเจาะจงหรือที่ถูกจัดประเภทไว้ไปยังภายนอก หรือการส่งไปยังผู้ที่ไม่ได้รับอนุญาตให้เข้าถึง ไม่ว่าจะผ่านช่องทางอินเทอร์เน็ตและเครือข่ายในองค์กร (Intranet) เช่นเดียวกับช่องทาง Network เช่น อีเมล, FTP, https, SMB protocol, การส่งข้อความออนไลน์ผ่าน Messenger หรือ Line, เว็บเมล เช่น Outlook, Gmail และอื่น ๆ
รวมไปถึงครอบคลุมทรัพยากรขององค์กรทั้งหมด เช่นคอมพิวเตอร์ของพนักงาน Server ของลูกค้า เครื่องพิมพ์ เว็บไซต์และ SharePoint ตลอดจนที่จัดเก็บข้อมูลแบบพกพา เช่น USB, CD/DVD, โทรศัพท์และแท็บเล็ต Forcepoint DLP ช่วยให้ธนาคารได้รับการมองเห็นอย่างสมบูรณ์ ให้ความสามารถในการสอบสวนและให้มุมมองแบบองค์รวมของข้อมูลที่ถูกจัดไว้ทั่วทั้งองค์กร
“Forcepoint DLP ได้นำการพัฒนาไปอีกระดับของภาพรวมความปลอดภัยมาสู่ธนาคาร BRAC ระดับการควบคุมของ Forcepoint ว่าข้อมูลใดบ้างที่ออกจากองค์กรผ่านช่องทางที่เป็นไปได้ทั้งหมด ทำให้เรามั่นใจที่จะรู้ว่าเรากำลังป้องกันการสูญเสียข้อมูลสำคัญ สิ่งนี้ช่วยกระชับความสัมพันธ์ของเรากับลูกค้าด้วยการพิสูจน์ความไว้วางใจที่พวกเขามอบให้เรา” Haque กล่าวสรุป
Forcepoint DLP ได้มีส่วนช่วยธนาคาร BRAC ในการลดความเสี่ยงด้านของข้อมูลสูญหาย และรักษาระดับความเชื่อมั่นของลูกค้าโดยการติดตามและควบคุมการเคลื่อนไหว หรือส่งผ่านของข้อมูลทั้งภายในและนอกบริษัท และนอกจากนี้ยังช่วยให้ธนาคารจัดการข้อมูลของลูกค้าได้อย่างเป็นระบบอีกด้วย
กล่าวโดยสรุป หลังจากการติดตั้ง Forcepoint DLP แล้วได้ผลลัพธ์ดังนี้:
- ช่วยให้ธนาคารจัดการข้อมูลของลูกค้าได้อย่างเป็นระบบ และได้รับการมองเห็นข้อมูลความลับที่ถูกแยกประเภทไว้อย่างชัดเจน
- สามารถติดตามการเคลื่อนไหวของข้อมูลและควบคุมการไหลของข้อมูลได้ตามนโยบายที่กำหนด
- สามารถแน่ใจว่ามีการป้องกันข้อมูลที่อ่อนไหวของลูกค้าและรักษาความไว้วางใจของลูกค้าที่มีต่อธนาคาร
ทั้งหมดที่กล่าวมาเราจะเห็นได้ DLP ได้เพิ่มประสิทธิภาพการดูแลข้อมูลลูกค้าที่อ่อนไหวไม่ให้รั่วไหลออกไปโดยทั้งที่ตั้งใจและไม่ตั้งใจ ส่งผลดีกับองค์กรทั้งในด้านการจัดการข้อมูลที่ถูกแยกไว้อย่างเป็นระบบและตามความสำคัญ สร้างชื่อเสียงที่ดีให้กับองค์กรในระยะยาว ส่งผลให้มีความสัมพันธ์ที่ดีระหว่างคู่ค้าและลูกค้า และที่สำคัญยังเป็นหนึ่งในเครื่องมือที่ช่วยให้นโยบายการดูแลข้อมูลตามข้อบังคับ PAPD เป็นไปตามข้อกำหนด
ก็หวังว่าทุกคนที่ได้อ่านบทความนี้จะมีความเข้าใจมากขึ้นเกี่ยวกับ DLP Solution นะคะ ถ้ามีข้อสงสัยอยากสอบถามเพิ่มเติมเกี่ยวกับเรื่องนี้ หรือสนใจในตัว Forcepoint DLP เองสามารถติดต่อมาได้เลยค่ะ และถ้าสนใจบทความอื่นเพิ่มเติมก็สามารถติดตามได้ที่ https://www.facebook.com/SRSIntegration/
และหากสนใจ อยากรู้จัก SRS Integration ว่า Service ของเรามีอะไรบ้างสามารถคลิกได้ที่ link นี้ค่ะ https://www.srsi.co.th/
Case Story Reference:
https://www.forcepoint.com/customer-stories/brac-bank
