094-9977532

ประเด็นด้านความมั่นคงปลอดภัยคอมพิวเตอร์ หรือ security ในแง่โลกเทคโนโลยีอาจดูเป็นเรื่องไกลตัวสำหรับคนทั่วไปและหลายครั้งความปลอดภัยระบบก็ถูกฝากไว้กับทีมรักษาความมั่นคงปลอดภัยขององค์กร แต่ในโลกสมัยใหม่โดยเฉพาะบริษัทชั้นนำด้านเทคโนโลยีผู้ให้ข้อมูลด้านการเงินอย่าง Refinitiv ความมั่นคงปลอดภัยของระบบเป็นความรับผิดชอบของทุกคน

Refinitiv เป็นผู้ให้บริการแพลตฟอร์มด้านการเงินและการจัดการความเสี่ยง ที่มีกลุ่มลูกค้าเป็นธนาคาร สถาบันการเงิน ไปจนถึงนักเทรดมืออาชีพในกว่า 190 ประเทศทั่วโลก และแน่นอนว่า security สำหรับแพลตฟอร์มข้อมูลและการซื้อขายเงินตราต่างประเทศแบบนี้ ยิ่งต้องให้ความสำคัญเป็นอันดับต้น ๆ ทุกระบบต้องปลอดภัยได้มาตรฐานระดับโลก

เพราะ Cyber Security เป็นเรื่องสำคัญ Refinitiv จึงจัดการแข่งขัน hackathon ขึ้นภายใน เพื่ออัพเดตความรู้และกระตุ้นการให้ความสำคัญด้าน security โดยเฉพาะให้กับพนักงาน

No Description

รู้จัก Refinitiv ผู้ให้บริการข้อมูด้านการเงินแถวหน้าของโลก

Refinitiv เคยเป็นหน่วยธุรกิจด้านการเงินและการจัดการความเสี่ยงของ Thomson Reuters และเข้ามาตั้งสำนักงานในฐานะศูนย์เทคโนโลยี (Technology Center) ในไทยเมื่อปี 2001 ก่อนที่ธุรกิจส่วนนี้จะแยกตัวออกมาจาก Thomson Reuters เป็นบริษัทใหม่ภายใต้ชื่อ Refinitiv เมื่อเดือนตุลาคมปี 2018 (อ่าน รู้จักกับ Refinitiv บริษัทเทคโนโลยีการเงินและการจัดการความเสี่ยงระดับโลก

ถึงแม้ Refinitiv จะมีออฟฟิศของทีมพัฒนาอยู่ในหลายประเทศ
แต่ประเทศไทยเป็นหนึ่งใน strategic development center ของ Refnitiv ความรับผิดชอบของทีมพัฒนาใน Refinitiv ประเทศไทยครอบคลุมในหลาย product หลักของ Refinitiv โดยเฉพาะผลิตภัณฑ์หลักอย่าง Refinitv Workspace (Eikon) ซึ่งคิดเป็นสัดส่วนถึงราว 60-70%

No Description

Hackathon ที่จัดขึ้น ภายในครั้งแรก โดยแข่งขันกันเฉพาะในเอเชีย

ที่ผ่านมา Refinitiv ก็มีการจัดการแข่ง hackathon กันอยู่อย่างต่อเนื่อง แต่เมื่อไม่นานมานี้บริษัทเพิ่งจัด hackathon ด้าน security ครั้งแรก ซึ่งเป็นการจัดแข่งกันกันภายในองค์กร จุดประสงค์ก็เพื่อส่งเสริมและการตุ้นความใส่ใจและส่งเสริมหลักการปฏิบัติที่ถูกต้อง (best practice) ในด้าน security ให้กับพนักงาน รวมถึงนำสิ่งที่ได้จากการแข่งขันไปประยุกต์กับการใช้งานจริงใน Products ของ Refinitiv

การแข่งขันครั้งนี้จัดขึ้น 3 วันติดต่อกัน ซึ่งจะจัดแข่งขันกันเฉพาะในเอเชีย ประกอบด้วย ตัวแทนทีมจากกรุงเทพ ตัวแทนทีมจากกรุงปักกิ่ง ประเทศจีน และตัวแทนทีมจากบังกาลอร์ ประเทศอินเดีย เป็นการแข่งขันทางไกล โดยมีทีมงานกลางช่วยดูแล ในส่วนของการให้คะแนนและการสื่อสาร รวมถึงให้ความช่วยเหลือทางด้านเทคนิคตลอดระยะเวลาของการแข่งขัน

No Description

ส่วนโจทย์การแข่งขันจะแบ่งเป็น 2 ส่วน โจทย์ส่วนแรก จะเป็นคการแก้ไขโค้ดที่มีช่องโหว่ด้านความปลอดภัย จากซอฟต์แวร์จริงของ Refinitiv ด้วยการใช้เครื่องมือสแกนของ RedLock และ VeraCode โดยเครื่องมือสแกนจะบอกรายละเอียดว่าปัญหาด้าน security ของซอฟต์แวร์อยู่ที่ไหน ทำไมถึงเป็นปัญหา ความรุนแรงระดับไหน และควรแก้ไขอย่างไร ผู้เข้าแข่งขันจะต้องแก้ไขโค้ดและอุดช่องโหว่ทั้งหมด

อีกส่วนเป็นการแข่งขันจากการเก็บคะแนนผ่านการเรียน e-learning ด้าน security ที่เปิดให้ผู้เข้าแข่งขันเลือกลงคอร์สได้ตามความสนใจ ยิ่งลงเรียนมากก็จะยิ่งได้คะแนนมาก ซึ่งจะเป็นประโยชน์ให้ผู้แข่งขันได้เพิ่มความรู้ด้าน security และสามารถนำไปใช้กับงานจริงได้

การแข่งขันที่เปลี่ยนวิธีคิดผู้เข้าแข่งขันจากแค่“ควรมี” เป็น “ต้องมี” security

จากการได้สัมภาษณ์พนักงาน Refinitiv 4 คนที่แข่งขันใน Hackathon ครั้งนี้ได้แก่คุณสรวิศ บรรจงเพียร (บิ๊ก), คุณสุภณัฐ บูรณารมย์ (ซุป), คุณพิทยา อึงพินิจพงศ์ (ติ๊ก) และคุณณภาภัช ประชาอนุวงศ์ (เชอร์รี่) ทุกคนพูดไปในทิศทางเดียวกันว่า การแข่งขันครั้งนี้ไม่เหมือน Hackathon ทั่วไป เพราะเป็นการเอาซอฟต์แวร์จริงมาสแกนหาช่องโหว่ ต่างจากการแข่งขัน Hackathon อื่น ๆ ที่มักจะเป็นการจำลองโจทย์ขึ้นมา

นอกจากนี้การแข่งครั้งนี้ยังเป็นตัวช่วยกระตุ้นที่ดี ในแง่การสร้างความตระหนัก (awareness) ด้าน security ให้กับพนักงานใหม่ว่า Refinitiv ให้ความสำคัญกับประเด็นนี้ รวมถึงพนักงานเก่าก็จะได้อัพเดตความรู้ วิธีการที่เป็น best practice ใหม่ ๆ และช่วยให้ตระหนักในหลาย ๆ ประเด็นที่ก่อนหน้านี้คิดไม่ถึง โดยคุณบิ๊กถึงกับบอกว่า Hackathon นี้เปลี่ยนวิธีคิดของทีม จากแค่ว่า “การพัฒนาแอปควรมี security ด้วย” ให้กลายเป็น “ต้องพัฒนาแอปให้มี security ตั้งแต่แรก”

No Description

ขณะที่คุณซุปที่รับผิดชอบการพัฒนาแพลตฟอร์มเทรดบอกว่า hackathon ครั้งนี้ช่วยให้มุมมองด้าน security กว้างขึ้น ได้ความรู้ใหม่ว่า แม้โค้ดที่ตัวเองเขียนจะดีและปลอดภัยแค่ไหนก็ตาม แต่ dependency ส่วนอื่น ๆ เช่นไลบรารีที่นำมาใช้ก็สามารถมีช่องโหว่ได้ ขณะที่การแก้ไขก็ต้องคำนึงถึง ecosystem โดยรวมด้วยว่าไม่กระทบส่วนอื่น ๆ

หรืออย่างกรณีของคุณติ๊กที่อยู่ฝ่าย Financial Data ซึ่งต้องให้ความสำคัญกับ security อยู่แล้ว เพราะดูแลข้อมูลลูกค้า เล่าว่าได้รู้จักเครื่องมือใหม่อย่าง Redlock เอามารันโค้ดสแกนผ่านคลาวด์ เข้าไปในกระบวนการ CI/CD ของโปรเจ็ค ช่วยตรวจสอบโค้ดได้ละเอียดขึ้นในทุก ๆ บิลด์ จากเดิมที่ใช้แค่ Veracode รันสแกนแบบแมนนวลก่อนจะ release ใหญ่ในแต่ละครั้งเท่านั้น

No Description
ตัวแทน Refinitiv ที่เข้าร่วมการแข่งขันและมาให้สัมภาษณ์ จากซ้ายไปขวา
คุณสรวิศ บรรจงเพียร (บิ๊ก), คุณณภาภัช ประชาอนุวงศ์ (เชอร์รี่), คุณพิทยา อึงพินิจพงศ์ (ติ๊ก) และ คุณสุภณัฐ บูรณารมย์ (ซุป)

สรุป

Refinitiv ตระหนักดีว่า security ถือเป็นประเด็นและ practice ที่สำคัญโดยเฉพาะกับองค์กรที่ให้บริการข้อมูลด้านการเงิน และแน่นอนว่ารูปแบบและเครื่องมือจากภัยคุกคาม มีการเปลี่ยนแปลงอย่างต่อเนื่องทุกปี การให้ความรู้ อัพเดต และการสร้างความตื่นรู้ต่อพนักงานอย่างต่อเนื่อง จึงเป็นสิ่งจำเป็นอย่างยิ่ง

Source: Blognone