ธนาคารแห่งประเทศไทยออกประกาศหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (information technology risk) ของสถาบันการเงินที่อยู่ในกำกับดูแลของธนาคารแห่งประเทศไทย
ประกาศฉบับนี้เน้นความมั่นคงปลอดภัยทางไซเบอร์เป็นหลัก แต่เนื้อหาก็ครอบคลุมความเสี่ยงหลัก 3 ประการของความมั่นคงของระบบไอที คือ ความลับข้อมูล (confidentiality), ความถูกต้องข้อมูล (integrity), และความพร้อมใช้งาน (availability)
ช่วงสองปีที่ผ่านมามีรายงานระบบธนาคารออนไลน์ล่มช่วงสิ้นเดือนหลายครั้ง รวมไปถึงเหตุการณ์โดนแฮกเช่นเมื่อธนาคารออมสินถูกแฮกตู้เอทีเอ็มเมื่อปี 2016
ข้อกำหนดปลีกย่อยตามประกาศนี้มีหลายอย่าง เช่น กรรมการบริษัทจะต้องมีความรู้ด้านเทคโนโลยีสารสนเทศอย่างน้อยหนึ่งคน และคนอื่นๆ ต้องได้รับการอบรมความรู้ด้านไอทีและความเสี่ยง, บุคคลากรต้องมีความสามารถเพียงพอตามหน้าที่ เช่นมีใบรับรอง, ระบบมีการทดสอบ ตั้งแต่การทดสอบฟังก์ชั่นการใช้งาน ทดสอบความปลอดภัย และทดสอบประสิทธิภาพ
ในแง่ของเหตุการณ์พร้อมเพย์ดูดเงินลูกค้านานห้าชั่วโมงและล่มไปรวม 9 ชั่วโมง ประกาศฉบับนี้ระบุให้มีการกำหนด "ระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก" (maximum tolerance period of disruption - MTDP) แล้ว ในอนาคตเมื่อระบบมีปัญหาเราคงได้พิจารณาจากระยะเวลานี้แทนที่จะเป็นระยะเวลาคืนเงินเหมือนในปัจจุบัน
ประกาศมีผลบังคับ 1 เมษายนนี้
ที่มา - ราชกิจจานุเบกษา, เอกสารรับฟังความเห็น ธนาคารแห่งประเทศไทย