ຄວາມປອດໄພທາງດິຈິຕອລໄດ້ຮັບກົດລະບຽບໃຫມ່, ແລະບໍລິສັດທີ່ດໍາເນີນການຂໍ້ມູນບັດຈໍາເປັນຕ້ອງປັບຕົວ. ດ້ວຍການມາຮອດຂອງເວີຊັນ 4.0 ຂອງມາດຕະຖານຄວາມປອດໄພຂໍ້ມູນອຸດສາຫະກໍາບັດການຈ່າຍເງິນ (PCI DSS), ສ້າງຕັ້ງຂຶ້ນໂດຍສະພາມາດຕະຖານຄວາມປອດໄພ PCI (PCI SSC), ການປ່ຽນແປງແມ່ນມີຄວາມສໍາຄັນແລະມີຜົນກະທົບໂດຍກົງຕໍ່ການປົກປ້ອງຂໍ້ມູນລູກຄ້າແລະວິທີການເກັບຂໍ້ມູນການຈ່າຍເງິນ, ປະມວນຜົນ, ແລະຖ່າຍທອດ. ແຕ່ສິ່ງທີ່ປ່ຽນແປງແທ້ໆ?
ການປ່ຽນແປງຕົ້ນຕໍແມ່ນຄວາມຕ້ອງການຂອງຄວາມປອດໄພດ້ານດິຈິຕອນທີ່ສູງຂຶ້ນ. ບໍລິສັດຈະຕ້ອງລົງທຶນໃນເຕັກໂນໂລຢີທີ່ກ້າວຫນ້າເຊັ່ນການເຂົ້າລະຫັດທີ່ເຂັ້ມແຂງແລະການກວດສອບຫຼາຍປັດໃຈ. ວິທີການນີ້ຕ້ອງການຢ່າງຫນ້ອຍສອງປັດໃຈການກວດສອບເພື່ອຢືນຢັນຕົວຕົນຂອງຜູ້ໃຊ້ກ່ອນທີ່ຈະອະນຸຍາດໃຫ້ເຂົ້າເຖິງລະບົບ, ແອັບພລິເຄຊັນ, ຫຼືການເຮັດທຸລະກໍາ, ເຮັດໃຫ້ການ hack ມີຄວາມຫຍຸ້ງຍາກຫຼາຍ, ເຖິງແມ່ນວ່າອາດຊະຍາກອນເຂົ້າເຖິງລະຫັດຜ່ານຫຼືຂໍ້ມູນສ່ວນຕົວ.
ໃນບັນດາປັດໄຈການກວດສອບການນໍາໃຊ້ແມ່ນ:
- ບາງອັນທີ່ຜູ້ໃຊ້ຮູ້ : ລະຫັດຜ່ານ, PINs, ຫຼືຄໍາຕອບຂອງຄໍາຖາມຄວາມປອດໄພ.
- ບາງຢ່າງທີ່ຜູ້ໃຊ້ມີ : tokens ທາງດ້ານຮ່າງກາຍ, SMS ທີ່ມີລະຫັດການກວດສອບ, ແອັບ authenticator (ເຊັ່ນ: Google Authenticator), ຫຼືໃບຢັ້ງຢືນດິຈິຕອນ.
- ບາງສິ່ງບາງຢ່າງທີ່ຜູ້ໃຊ້ແມ່ນ : ດິຈິຕອນ, ໃບຫນ້າ, ສຽງຫຼື iris recognition biometrics.
"ຊັ້ນຂອງການປົກປ້ອງເຫຼົ່ານີ້ເຮັດໃຫ້ການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດມີຄວາມຫຍຸ້ງຍາກຫຼາຍແລະຮັບປະກັນຄວາມປອດໄພຫຼາຍກວ່າເກົ່າສໍາລັບຂໍ້ມູນທີ່ລະອຽດອ່ອນ," ລາວອະທິບາຍ.
"ໃນສັ້ນ, ພວກເຮົາຈໍາເປັນຕ້ອງສ້າງຄວາມເຂັ້ມແຂງການປົກປ້ອງຂໍ້ມູນຂອງລູກຄ້າໂດຍການປະຕິບັດມາດຕະການເພີ່ມເຕີມເພື່ອປ້ອງກັນການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ", Wagner Elias, CEO ຂອງ Conviso, ຜູ້ພັດທະນາການແກ້ໄຂຄວາມປອດໄພຂອງແອັບພລິເຄຊັນ. ລາວເນັ້ນຫນັກວ່າ "ມັນບໍ່ແມ່ນເລື່ອງຂອງ 'ການປັບຕົວໃນເວລາທີ່ຈໍາເປັນ,' ແຕ່ການປະຕິບັດການປ້ອງກັນ, "ລາວເນັ້ນຫນັກ.
ພາຍໃຕ້ກົດລະບຽບໃຫມ່, ການປະຕິບັດແມ່ນ 2 ໄລຍະຄື: ໄລຍະທໍາອິດ, ມີ 13 ຂໍ້ກໍານົດໃຫມ່, ມີກໍານົດເວລາຂອງເດືອນມີນາ 2024. ໄລຍະທີສອງ, ຄວາມຕ້ອງການເພີ່ມເຕີມ, ປະກອບມີ 51 ຂໍ້ກໍານົດເພີ່ມເຕີມແລະຕ້ອງໄດ້ຮັບການບັນລຸໄດ້ໃນເດືອນມີນາ 31, 2025. ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ຜູ້ທີ່ບໍ່ໄດ້ກະກຽມອາດຈະປະເຊີນກັບການລົງໂທດຮ້າຍແຮງ.
ເພື່ອປັບຕົວເຂົ້າກັບຄວາມຕ້ອງການໃຫມ່, ບາງການປະຕິບັດທີ່ສໍາຄັນປະກອບມີ: ການປະຕິບັດ firewall ແລະລະບົບປ້ອງກັນທີ່ເຂັ້ມແຂງ; ການນໍາໃຊ້ການເຂົ້າລະຫັດໃນການສົ່ງຂໍ້ມູນແລະການເກັບຮັກສາ; ສືບຕໍ່ຕິດຕາມ ແລະ ຕິດຕາມການເຂົ້າຫາ ແລະ ການເຄື່ອນໄຫວທີ່ໜ້າສົງໄສ; ຂະບວນການແລະລະບົບການທົດສອບຢ່າງຕໍ່ເນື່ອງເພື່ອກໍານົດຈຸດອ່ອນ; ແລະສ້າງ ແລະຮັກສານະໂຍບາຍຄວາມປອດໄພຂໍ້ມູນຂ່າວສານຢ່າງເຂັ້ມງວດ.
Wagner ເນັ້ນຫນັກວ່າ, ໃນທາງປະຕິບັດ, ນີ້ຫມາຍຄວາມວ່າບໍລິສັດໃດທີ່ຈັດການການຈ່າຍເງິນບັດຈະຕ້ອງທົບທວນໂຄງສ້າງຄວາມປອດໄພດິຈິຕອນທັງຫມົດຂອງຕົນ. ນີ້ກ່ຽວຂ້ອງກັບການປັບປຸງລະບົບ, ການສ້າງຄວາມເຂັ້ມແຂງນະໂຍບາຍພາຍໃນ, ແລະທີມງານຝຶກອົບຮົມເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ. "ຕົວຢ່າງ, ບໍລິສັດອີຄອມເມີຊຈະຕ້ອງຮັບປະກັນວ່າຂໍ້ມູນລູກຄ້າຖືກເຂົ້າລະຫັດແບບຕົ້ນທາງແລະໃຫ້ຜູ້ໃຊ້ທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນທີ່ມີການເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນ. ໃນທາງກົງກັນຂ້າມ, ລະບົບຕ່ອງໂສ້ຂາຍຍ່ອຍຈະຕ້ອງປະຕິບັດກົນໄກເພື່ອຕິດຕາມຢ່າງຕໍ່ເນື່ອງສໍາລັບຄວາມພະຍາຍາມການສໍ້ໂກງແລະການຮົ່ວໄຫລຂອງຂໍ້ມູນ," ລາວອະທິບາຍ.
ທະນາຄານ ແລະ fintechs ຍັງຈະຕ້ອງໄດ້ເສີມສ້າງກົນໄກການກວດສອບຄວາມຖືກຕ້ອງຂອງເຂົາເຈົ້າ, ຂະຫຍາຍການນໍາໃຊ້ເຕັກໂນໂລຢີເຊັ່ນ: biometrics ແລະການກວດສອບຫຼາຍປັດໃຈ. "ເປົ້າຫມາຍແມ່ນເພື່ອເຮັດໃຫ້ທຸລະກໍາມີຄວາມປອດໄພຫຼາຍຂຶ້ນໂດຍບໍ່ມີການປະນີປະນອມປະສົບການຂອງລູກຄ້າ. ນີ້ຮຽກຮ້ອງໃຫ້ມີຄວາມສົມດູນລະຫວ່າງການປົກປ້ອງແລະການນໍາໃຊ້, ບາງສິ່ງບາງຢ່າງທີ່ຂະແຫນງການເງິນໄດ້ຮັບການປັບປຸງໃນຊຸມປີມໍ່ໆມານີ້," ລາວເນັ້ນຫນັກ.
ແຕ່ເປັນຫຍັງການປ່ຽນແປງນີ້ຈຶ່ງສໍາຄັນ? ມັນບໍ່ແມ່ນເລື່ອງເກີນທີ່ຈະເວົ້າວ່າການສໍ້ໂກງດິຈິຕອນແມ່ນມີຄວາມຊັບຊ້ອນຫຼາຍຂຶ້ນ. ການລະເມີດຂໍ້ມູນສາມາດເຮັດໃຫ້ເກີດການສູນເສຍຫຼາຍລ້ານໂດລາແລະຄວາມເສຍຫາຍທີ່ບໍ່ສາມາດແກ້ໄຂໄດ້ຕໍ່ຄວາມໄວ້ວາງໃຈຂອງລູກຄ້າ.
Wagner Elias ເຕືອນວ່າ: "ຫຼາຍບໍລິສັດຍັງໃຊ້ວິທີການປະຕິກິລິຢາ, ພຽງແຕ່ກັງວົນກ່ຽວກັບຄວາມປອດໄພຫຼັງຈາກການໂຈມຕີເກີດຂຶ້ນ. ພຶດຕິກໍານີ້ແມ່ນຫນ້າເປັນຫ່ວງ, ເພາະວ່າການລະເມີດຄວາມປອດໄພສາມາດນໍາໄປສູ່ການສູນເສຍທາງດ້ານການເງິນຢ່າງຫຼວງຫຼາຍແລະຄວາມເສຍຫາຍທີ່ບໍ່ສາມາດແກ້ໄຂໄດ້ຕໍ່ຊື່ສຽງຂອງອົງການ, ເຊິ່ງສາມາດຫລີກລ້ຽງໄດ້ດ້ວຍມາດຕະການປ້ອງກັນ."
ທ່ານກ່າວຕື່ມອີກວ່າ ເພື່ອຫຼີກລ່ຽງຄວາມສ່ຽງເຫຼົ່ານີ້, ສິ່ງສຳຄັນແມ່ນຕ້ອງນຳໃຊ້ການປະຕິບັດຄວາມປອດໄພຂອງແອັບພລິເຄຊັນ ຕັ້ງແຕ່ເລີ່ມຕົ້ນການພັດທະນາແອັບພລິເຄຊັນໃໝ່, ຮັບປະກັນວ່າແຕ່ລະໄລຍະຂອງວົງຈອນການພັດທະນາຊອບແວມີມາດຕະການປ້ອງກັນຢູ່ແລ້ວ. ນີ້ຮັບປະກັນວ່າມາດຕະການປ້ອງກັນໄດ້ຖືກປະຕິບັດໃນທຸກຂັ້ນຕອນຂອງວົງຈອນຊີວິດຂອງຊອບແວ, ເຊິ່ງມີຄ່າໃຊ້ຈ່າຍຫຼາຍຫຼາຍກ່ວາການແກ້ໄຂຄວາມເສຍຫາຍຫຼັງຈາກເຫດການ."
ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່ານີ້ແມ່ນທ່າອ່ຽງການຂະຫຍາຍຕົວໃນທົ່ວໂລກ. ຕະຫຼາດຄວາມປອດໄພຂອງແອັບພລິເຄຊັນ, ເຊິ່ງມີມູນຄ່າ 11,62 ຕື້ໂດລາໃນປີ 2024, ຄາດວ່າຈະບັນລຸ 25,92 ຕື້ໂດລາໃນປີ 2029, ອີງຕາມ Mordor Intelligence.
Wagner ອະທິບາຍວ່າການແກ້ໄຂເຊັ່ນ DevOps ອະນຸຍາດໃຫ້ທຸກເສັ້ນຂອງລະຫັດຖືກພັດທະນາດ້ວຍການປະຕິບັດທີ່ປອດໄພ, ນອກເຫນືອຈາກການບໍລິການເຊັ່ນ: ການທົດສອບການເຈາະແລະການຫຼຸດຜ່ອນຄວາມອ່ອນແອ. "ການປະຕິບັດການວິເຄາະຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງແລະການທົດສອບອັດຕະໂນມັດເຮັດໃຫ້ບໍລິສັດສາມາດປະຕິບັດຕາມກົດລະບຽບໂດຍບໍ່ມີການປະນີປະນອມປະສິດທິພາບ," ລາວເນັ້ນຫນັກ.
ນອກຈາກນັ້ນ, ການບໍລິການທີ່ປຶກສາພິເສດແມ່ນມີຄວາມສໍາຄັນໃນຂະບວນການນີ້, ຊ່ວຍໃຫ້ບໍລິສັດປັບຕົວເຂົ້າກັບຄວາມຕ້ອງການ PCI DSS 4.0 ໃຫມ່. ລາວອະທິບາຍວ່າ "ໃນບັນດາການບໍລິການທີ່ຄົ້ນຫາຫຼາຍທີ່ສຸດແມ່ນການທົດສອບການເຈາະ, ທີມງານສີແດງ, ແລະການປະເມີນຄວາມປອດໄພຂອງພາກສ່ວນທີສາມ, ເຊິ່ງຊ່ວຍກໍານົດແລະແກ້ໄຂຈຸດອ່ອນກ່ອນທີ່ພວກມັນຈະຖືກຂູດຮີດໂດຍອາຊະຍາກໍາ," ລາວອະທິບາຍ.
ດ້ວຍການສໍ້ໂກງທາງດິຈິຕອນທີ່ມີຄວາມຊັບຊ້ອນເພີ່ມຂຶ້ນ, ການລະເລີຍຄວາມປອດໄພຂອງຂໍ້ມູນບໍ່ແມ່ນທາງເລືອກອີກຕໍ່ໄປ. "ບໍລິສັດທີ່ລົງທຶນໃນມາດຕະການປ້ອງກັນຮັບປະກັນການປົກປ້ອງລູກຄ້າຂອງພວກເຂົາແລະເສີມສ້າງຕໍາແຫນ່ງຕະຫຼາດຂອງພວກເຂົາ. ການປະຕິບັດຄໍາແນະນໍາໃຫມ່ແມ່ນ, ສໍາຄັນທີ່ສຸດ, ເປັນບາດກ້າວທີ່ສໍາຄັນຕໍ່ການສ້າງສະພາບແວດລ້ອມການຈ່າຍເງິນທີ່ປອດໄພແລະເຊື່ອຖືໄດ້ຫຼາຍ," ລາວສະຫຼຸບ.
