ประเด็นด้านความมั่นคงปลอดภัยคอมพิวเตอร์ หรือ security ในแง่โลกเทคโนโลยีอาจดูเป็นเรื่องไกลตัวสำหรับคนทั่วไปและหลายครั้งความปลอดภัยระบบก็ถูกฝากไว้กับทีมรักษาความมั่นคงปลอดภัยขององค์กร แต่ในโลกสมัยใหม่โดยเฉพาะบริษัทชั้นนำด้านเทคโนโลยีผู้ให้ข้อมูลด้านการเงินอย่าง Refinitiv ความมั่นคงปลอดภัยของระบบเป็นความรับผิดชอบของทุกคน

Refinitiv เป็นผู้ให้บริการแพลตฟอร์มด้านการเงินและการจัดการความเสี่ยง ที่มีกลุ่มลูกค้าเป็นธนาคาร สถาบันการเงิน ไปจนถึงนักเทรดมืออาชีพในกว่า 190 ประเทศทั่วโลก และแน่นอนว่า security สำหรับแพลตฟอร์มข้อมูลและการซื้อขายเงินตราต่างประเทศแบบนี้ ยิ่งต้องให้ความสำคัญเป็นอันดับต้น ๆ ทุกระบบต้องปลอดภัยได้มาตรฐานระดับโลก

เพราะ Cyber Security เป็นเรื่องสำคัญ Refinitiv จึงจัดการแข่งขัน hackathon ขึ้นภายใน เพื่ออัพเดตความรู้และกระตุ้นการให้ความสำคัญด้าน security โดยเฉพาะให้กับพนักงาน

รู้จัก Refinitiv ผู้ให้บริการข้อมูด้านการเงินแถวหน้าของโลก

Refinitiv เคยเป็นหน่วยธุรกิจด้านการเงินและการจัดการความเสี่ยงของ Thomson Reuters และเข้ามาตั้งสำนักงานในฐานะศูนย์เทคโนโลยี (Technology Center) ในไทยเมื่อปี 2001 ก่อนที่ธุรกิจส่วนนี้จะแยกตัวออกมาจาก Thomson Reuters เป็นบริษัทใหม่ภายใต้ชื่อ Refinitiv เมื่อเดือนตุลาคมปี 2018 (อ่าน รู้จักกับ Refinitiv บริษัทเทคโนโลยีการเงินและการจัดการความเสี่ยงระดับโลก

ถึงแม้ Refinitiv จะมีออฟฟิศของทีมพัฒนาอยู่ในหลายประเทศ
แต่ประเทศไทยเป็นหนึ่งใน strategic development center ของ Refnitiv ความรับผิดชอบของทีมพัฒนาใน Refinitiv ประเทศไทยครอบคลุมในหลาย product หลักของ Refinitiv โดยเฉพาะผลิตภัณฑ์หลักอย่าง Refinitv Workspace (Eikon) ซึ่งคิดเป็นสัดส่วนถึงราว 60-70%

Hackathon ที่จัดขึ้น ภายในครั้งแรก โดยแข่งขันกันเฉพาะในเอเชีย

ที่ผ่านมา Refinitiv ก็มีการจัดการแข่ง hackathon กันอยู่อย่างต่อเนื่อง แต่เมื่อไม่นานมานี้บริษัทเพิ่งจัด hackathon ด้าน security ครั้งแรก ซึ่งเป็นการจัดแข่งกันกันภายในองค์กร จุดประสงค์ก็เพื่อส่งเสริมและการตุ้นความใส่ใจและส่งเสริมหลักการปฏิบัติที่ถูกต้อง (best practice) ในด้าน security ให้กับพนักงาน รวมถึงนำสิ่งที่ได้จากการแข่งขันไปประยุกต์กับการใช้งานจริงใน Products ของ Refinitiv

การแข่งขันครั้งนี้จัดขึ้น 3 วันติดต่อกัน ซึ่งจะจัดแข่งขันกันเฉพาะในเอเชีย ประกอบด้วย ตัวแทนทีมจากกรุงเทพ ตัวแทนทีมจากกรุงปักกิ่ง ประเทศจีน และตัวแทนทีมจากบังกาลอร์ ประเทศอินเดีย เป็นการแข่งขันทางไกล โดยมีทีมงานกลางช่วยดูแล ในส่วนของการให้คะแนนและการสื่อสาร รวมถึงให้ความช่วยเหลือทางด้านเทคนิคตลอดระยะเวลาของการแข่งขัน

ส่วนโจทย์การแข่งขันจะแบ่งเป็น 2 ส่วน โจทย์ส่วนแรก จะเป็นคการแก้ไขโค้ดที่มีช่องโหว่ด้านความปลอดภัย จากซอฟต์แวร์จริงของ Refinitiv ด้วยการใช้เครื่องมือสแกนของ RedLock และ VeraCode โดยเครื่องมือสแกนจะบอกรายละเอียดว่าปัญหาด้าน security ของซอฟต์แวร์อยู่ที่ไหน ทำไมถึงเป็นปัญหา ความรุนแรงระดับไหน และควรแก้ไขอย่างไร ผู้เข้าแข่งขันจะต้องแก้ไขโค้ดและอุดช่องโหว่ทั้งหมด

อีกส่วนเป็นการแข่งขันจากการเก็บคะแนนผ่านการเรียน e-learning ด้าน security ที่เปิดให้ผู้เข้าแข่งขันเลือกลงคอร์สได้ตามความสนใจ ยิ่งลงเรียนมากก็จะยิ่งได้คะแนนมาก ซึ่งจะเป็นประโยชน์ให้ผู้แข่งขันได้เพิ่มความรู้ด้าน security และสามารถนำไปใช้กับงานจริงได้

การแข่งขันที่เปลี่ยนวิธีคิดผู้เข้าแข่งขันจากแค่“ควรมี” เป็น “ต้องมี” security

จากการได้สัมภาษณ์พนักงาน Refinitiv 4 คนที่แข่งขันใน Hackathon ครั้งนี้ได้แก่คุณสรวิศ บรรจงเพียร (บิ๊ก), คุณสุภณัฐ บูรณารมย์ (ซุป), คุณพิทยา อึงพินิจพงศ์ (ติ๊ก) และคุณณภาภัช ประชาอนุวงศ์ (เชอร์รี่) ทุกคนพูดไปในทิศทางเดียวกันว่า การแข่งขันครั้งนี้ไม่เหมือน Hackathon ทั่วไป เพราะเป็นการเอาซอฟต์แวร์จริงมาสแกนหาช่องโหว่ ต่างจากการแข่งขัน Hackathon อื่น ๆ ที่มักจะเป็นการจำลองโจทย์ขึ้นมา

นอกจากนี้การแข่งครั้งนี้ยังเป็นตัวช่วยกระตุ้นที่ดี ในแง่การสร้างความตระหนัก (awareness) ด้าน security ให้กับพนักงานใหม่ว่า Refinitiv ให้ความสำคัญกับประเด็นนี้ รวมถึงพนักงานเก่าก็จะได้อัพเดตความรู้ วิธีการที่เป็น best practice ใหม่ ๆ และช่วยให้ตระหนักในหลาย ๆ ประเด็นที่ก่อนหน้านี้คิดไม่ถึง โดยคุณบิ๊กถึงกับบอกว่า Hackathon นี้เปลี่ยนวิธีคิดของทีม จากแค่ว่า “การพัฒนาแอปควรมี security ด้วย” ให้กลายเป็น “ต้องพัฒนาแอปให้มี security ตั้งแต่แรก”

ขณะที่คุณซุปที่รับผิดชอบการพัฒนาแพลตฟอร์มเทรดบอกว่า hackathon ครั้งนี้ช่วยให้มุมมองด้าน security กว้างขึ้น ได้ความรู้ใหม่ว่า แม้โค้ดที่ตัวเองเขียนจะดีและปลอดภัยแค่ไหนก็ตาม แต่ dependency ส่วนอื่น ๆ เช่นไลบรารีที่นำมาใช้ก็สามารถมีช่องโหว่ได้ ขณะที่การแก้ไขก็ต้องคำนึงถึง ecosystem โดยรวมด้วยว่าไม่กระทบส่วนอื่น ๆ

หรืออย่างกรณีของคุณติ๊กที่อยู่ฝ่าย Financial Data ซึ่งต้องให้ความสำคัญกับ security อยู่แล้ว เพราะดูแลข้อมูลลูกค้า เล่าว่าได้รู้จักเครื่องมือใหม่อย่าง Redlock เอามารันโค้ดสแกนผ่านคลาวด์ เข้าไปในกระบวนการ CI/CD ของโปรเจ็ค ช่วยตรวจสอบโค้ดได้ละเอียดขึ้นในทุก ๆ บิลด์ จากเดิมที่ใช้แค่ Veracode รันสแกนแบบแมนนวลก่อนจะ release ใหญ่ในแต่ละครั้งเท่านั้น

ตัวแทน Refinitiv ที่เข้าร่วมการแข่งขันและมาให้สัมภาษณ์ จากซ้ายไปขวา
คุณสรวิศ บรรจงเพียร (บิ๊ก), คุณณภาภัช ประชาอนุวงศ์ (เชอร์รี่), คุณพิทยา อึงพินิจพงศ์ (ติ๊ก) และ คุณสุภณัฐ บูรณารมย์ (ซุป)

สรุป

Refinitiv ตระหนักดีว่า security ถือเป็นประเด็นและ practice ที่สำคัญโดยเฉพาะกับองค์กรที่ให้บริการข้อมูลด้านการเงิน และแน่นอนว่ารูปแบบและเครื่องมือจากภัยคุกคาม มีการเปลี่ยนแปลงอย่างต่อเนื่องทุกปี การให้ความรู้ อัพเดต และการสร้างความตื่นรู้ต่อพนักงานอย่างต่อเนื่อง จึงเป็นสิ่งจำเป็นอย่างยิ่ง