xs
xsm
sm
md
lg

“พร้อมเพย์” อันตรายกว่า Single Gateway ระบบการเงินล้มละลาย “รัฐบาล” พังได้!

เผยแพร่:   โดย: MGR Online


นักวิชาการด้านความปลอดภัยมั่นคงทางไซเบอร์ ชี้ช่องโหว่พร้อมเพย์ ยังไม่มีการสร้างความมั่นใจในระบบ เพราะเสี่ยงยิ่งกว่า Single Gateway แนะรัฐก่อนยกระดับสู่ National E-Payment เร่งประชาสัมพันธ์นโยบายด้านความปลอดภัยและความเป็นส่วนตัว เพื่อลดความตระหนกในวงกว้าง ด้านแหล่งข่าวชี้ เทคโนโลยีที่รัฐบาลนำมาใช้มีความเสี่ยงต่อระบบการเงิน ซึ่งอาจทำให้รัฐบาลพังได้

“พร้อมเพย์ (PromptPay)” การทำธุรกรรมทางการเงินแบบใหม่ โดยใช้เบอร์โทรศัพท์มือถือหรือเลขประจำตัวประชาชนก็สามารถโอนเงิน และรับโอนเงินจากคนอื่นได้สะดวกขึ้น โดยไม่ต้องมีเลขที่บัญชีธนาคาร ซึ่งก่อนที่ภาครัฐเตรียมจะเปิดลงทะเบียนอย่างเป็นทางการในวันที่ 15 กรกฎาคมนี้ ธนาคารหลายแห่งเริ่มเปิดแคมเปญช่วงชิงลูกค้าให้มาเปิดบัญชี เพื่อเป็นบัญชีหลักที่จะผูกกับระบบนี้

อย่างไรก็ตามความสะดวกที่มากับระบบการเงินใหม่ อาจไม่ได้มาพร้อมกับคำว่าสบายเสมอไป แต่อาจมีภัยอันตรายแฝงอยู่ก็เป็นได้ ท่ามกลางกระแสการเปลี่ยนแปลงที่ภาครัฐยังไม่มีการแถลงถึงแนวทางวิธีการป้องกันหากเกิดปัญหาขึ้น

ที่สำคัญควรนำกรณีที่ นายทักษิณ ชินวัตร อดีตนายกรัฐมนตรี นั่งอยู่ในตำแหน่งผู้อำนวยการ และร่วมถือหุ้นบริษัท Scentrics Information Security Technologies ซึ่งเป็นบริษัทพัฒนานวัตกรรมด้านความปลอดภัยบนโลกไซเบอร์ ในประเทศอังกฤษ มาพิจารณาว่าเป็นเรื่องที่จงใจหรือเหตุบังเอิญกับที่เราจะมีการใช้ธุรกรรมทางการเงินแบบใหม่

ยิ่งกว่านั้นการปฏิบัติการแบบ DDoS ด้วยการใช้ F5โจมตีเว็บไซต์ของหน่วยงานราชการ ตลาดหุ้น แบงก์พาณิชย์ ในปีที่ผ่านมา ล้วนมาจากต่างประเทศทั้งนั้น และแม้ว่าไม่ได้สร้างผลกระทบอย่างรุนแรงถึงขั้นวิกฤต

แต่หากรัฐบาลคสช.เปิดโครงการนี้ โดยไม่มีการเตรียมพร้อมในเรื่องการรักษาความปลอดภัยไซเบอร์ในระดับประเทศหากเกิดการโจมตีระบบการเงินของประเทศอาจส่งผลถึงระบบการเงินของประเทศล้มละลายได้เช่นกัน”

นักวิชาการอิสระ ฝากบิ๊กตู่ทบทวนก่อนเดินหน้าระยะที่4

ขณะเดียวกันนักวิชาการด้านความปลอดภัยได้สะท้อนถึงข้อผิดพลาดที่อาจเกิดขึ้น เพราะนโยบายนี้ จะมีการยกระดับขึ้นเป็น National e-Payment ซึ่งเรียกได้ว่า จะพลิกโฉมเปลี่ยนรูปแบบการชำระเงินและการใช้จ่ายเงินในการดำรงชีวิตประจำวันของคนไทยทุกคน ตลอดจนเปลี่ยนรูปแบบการจัดทำบัญชีและการเสียภาษีของบริษัทห้างร้านที่ทำธุรกิจในทุกอุตสาหกรรมทั้งขนาดใหญ่และขนาดเล็กไปจนถึงผู้ประกอบการรายย่อยแบบเบ็ดเสร็จ รวมไปถึงการใช้จ่ายซื้อสินค้าอีคอมเมิร์ซ หรือชำระเงินค่าอาหาร ค่าเดินทางในชีวิตประจำวันด้วย

นายแพทย์สุธี ทุวิรัตน์ ประธานฝ่ายวิจัยและพัฒนา สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ-ภาคพื้นกรุงเทพ กล่าวว่า โครงการ AnyID ซึ่งเปลี่ยนชื่อเป็น ”พร้อมเพย์” โดยนำเสนอเป็นระบบการชำระเงินที่เปลี่ยนแปลงจากปัจจุบัน เริ่มจากรับเงินภาครัฐ ด้วยวิธีการผูกเลขที่บัญชีธนาคารเข้ากับเลขที่บัตรประชาชน และหมายเลขโทรศัพท์มือถือ และในอนาคตจะมีการยกระดับเป็นนโยบาย National E-Payment เข้าสู่สังคม Cashless Society ที่ผู้คนไม่นิยมพกเงินสดอย่างเต็มตัวนั้น ยังมีจุดอ่อนหลายด้าน

เพราะที่ผ่านมานั้นจะเห็นได้ว่ามีแต่เฉพาะการสื่อสารประชาสัมพันธ์ถึงประโยชน์ที่ได้รับ แต่ยังไม่มีการกล่าวถึงสิ่งที่สำคัญ คือ แผนรับมือทางด้านการบริหารจัดการความเสี่ยง หรือการสร้างระบบไซเบอร์ซีเคียวริตี้ เพื่อกำกับดูแลในเรื่องของ Security และ Privacy ระดับประเทศอย่างเป็นรูปธรรม ทั้งการกำหนดหน่วยงานที่จะเป็นผู้กำกับดูแลการชำระเงินในรูปแบบใหม่ ทบทวนกฎหมายและระเบียบที่มีอยู่ในปัจจุบันว่าเหมาะสมเพียงพอหรือไม่ในการคุ้มครองประชาชน เพื่อสร้างความเชื่อมั่นให้กับประชาชน

ทั้งนี้จากเป้าหมายของโครงการถึงระยะที่ 4 ภายในปี 2559 นั้น (โครงการที่ 1, 2, 3, 4 เริ่มเดือน ก.ค.-ธ.ค. 2559) จะขยายระบบการชำระเงิน PromptPay อย่างเต็มรูปแบบ โดยครอบคลุมทั้งการโอนเงินระหว่างบุคคลภาคประชาชน โอนเงินเพื่อชำระค่าสินค้าและบริการของภาคธุรกิจ รวมไปถึงโอนเงินสวัสดิการและค่าใช้จ่ายต่างๆ ของภาครัฐ นำไปสู่การยกระดับเป็น Cashless Society เพื่อลดการใช้เงินสด

ดังนั้นจึงเสนอไปถึงรัฐบาลของพลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรี และหัวหน้าคณะรักษาความสงบแห่งชาติ ( คสช.) ว่า ก่อนดำเนินการตามแผนขยาย ควรมีการเปิดเผยเปิดเผย แนวทางการดำเนินการเพื่อให้ผู้ที่มีส่วนเกี่ยวข้องทุกฝ่าย ทั้งภาคประชาชนและภาคธุรกิจซึ่งเป็นผู้ที่จะได้รับผลกระทบจากการรับชำระเงินผ่านพร้อมเพย์ได้มีส่วนรับรู้และรับทราบอย่างเปิดเผยโปร่งใส

รวมทั้งการเปิดรับฟังข้อเสนอแนะจากสภาพัฒน์ สภาอุตสาหกรรม และทีดีอาร์ไอ ให้มีส่วนร่วมในการกำหนดนโยบาย รวมถึงความเป็นธรรมาภิบาลและความโปร่งใสของผู้ที่อยู่เบื้องหลังที่ร่วมผลักดันโครงการนี้ เพื่อไม่ให้เกิดข้อสงสัยว่ามีผลประโยชน์ทับซ้อนหรือไม่

ความเสี่ยงยิ่งกว่า Single Gateway

นอกจากนี้ สิ่งที่ชี้ให้เห็นว่าโครงการนี้ยังไม่พร้อม และอาจกลายเป็นหายนะ ซึ่งมีความน่ากลัวยิ่งกว่านโยบาย Single Gateway ที่มีการต่อต้านกัน เพราะถือว่าเป็น Single (Payment) Gateway หรือการให้สัมปทานผูกขาดกินรวบระบบการชำระเงินของประเทศไทย ที่มีผลกระทบต่อความมั่นคงของประเทศ

ความเสี่ยงที่ว่านั้น เกิดขึ้นจากรูปแบบและการดำเนินการดังต่อไปนี้

1. Cashless Society ที่มีการออกกฎหมายบังคับให้การชำระเงินของภาคราชการและธุรกิจไม่ว่าจะเป็นรายใหญ่รายย่อย ต้องทำผ่านธนาคารเท่านั้น เป็นการกินรวบการชำระเงินของประเทศ ขณะที่นานาประเทศเริ่มมีการพูดถึง Digital Currency แต่ของประเทศไทยทำผ่านระบบ ITMX (ระบบการจัดการแลกเปลี่ยนธุรกรรมระหว่างธนาคาร) ให้เข้ามาทำหน้าที่ตัวกลางเชื่อมระบบ/รับลงทะเบียนทำ ANY ID ถือว่าเป็นระบบที่เก่าแก่ล้าสมัยและต้องจำกัดให้ทำผ่านธนาคารเท่านั้น

2. การที่จะมีการออกกฎหมายบังคับให้การชำระเงินต้องทำผ่านธนาคารเท่านั้น นับว่าเป็นการให้สัมปทานผูกขาดการชำระเงินของประเทศ ที่มีธนาคารเป็นเสือนอนกิน ผูกขาดค่าธรรมเนียมการชำระเงินของคนไทยทั้งประเทศ ซึ่งในแต่ละวันจะมีการทำธุรกรรมชำระเงินคิดเป็นมูลค่ามหาศาล

3. ถ้ามีการประกาศยกเลิกการใช้เงินสด และให้คนไทยทุกคนต้องชำระเงินผ่านเครือข่ายของธนาคารเท่านั้น จะเป็นการละเมิดสิทธิส่วนบุคคล เพราะธนาคารจะมีข้อมูลเงินเดือน รายได้-รายจ่าย และพฤติกรรมการใช้เงินของคนไทยทั้งประเทศ

“เพราะทุกครั้งที่เงินเปลี่ยนมือ จะมีการบันทึกเข้าระบบชำระเงินของธนาคาร ซึ่งข้อมูลการชำระเงินหรือข้อมูลการเงินเหล่านี้ เมื่อนำไปผูกกับเลขที่บัตรประชาชนและเบอร์มือถือ จะทำให้สามารถสืบย้อนกลับไปในเรื่องส่วนตัวอื่นๆได้ ยกตัวอย่างเช่น อยากจะรู้ว่าคนไหนเคยเข้าโรงพยาบาลและเป็นโรคอะไร ก็แค่ค้นประวัติการชำระเงินให้โรงพยาบาล และค้นใบเสร็จค่ายา ก็จะรู้ว่าเป็นโรคอะไร และอยากจะรู้ว่าตอนนี้ใครอยู่ที่ไหน ก็ดูประวัติการชำระเงินครั้งล่าสุด ก็จะรู้ได้ว่าคนนี้อยู่ที่ไหน ซึ่งมีความน่ากลัวกว่า Single Gateway มาก”

4. เพื่อเป็นการสร้างความเชื่อมั่นให้กับประชาชนว่าธนาคารของประเทสไทยมีมาตรฐานการรักษาความปลอดภัยไซเบอร์ที่ดีพอ ควรจะมีการเปิดเผยข้อมูลธนาคารที่ได้รับการรับรองมาตรฐาน ISO27001 และธนาคารที่ไม่ผ่านการรับรอง ISO27001 ซึ่งมาตรฐานนี้หมายถึง การมีระบบการรักษาความปลอดภัยไอที รวมทั้งมีจำนวนบุคลากรที่ได้รับวุฒิบัตรผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไอที ซึ่งเป็นที่ยอมรับในระดับสากล ได้แก่ CISM, CISSP
นายแพทย์สุธี ทุวิรัตน์ ประธานฝ่ายวิจัยและพัฒนา สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ-ภาคพื้นกรุงเทพ
กฏหมายล้าสมัยไม่รองรับ

นายแพทย์ สุธี กล่าวเสริมว่า กฏหมาย เป็นอีกข้อกังวลที่อาจทำให้เกิดปัญหาความยุ่งยากขึ้น หากว่าการใช้จ่ายในชีวิตประจำวันต้องผ่านระบบพร้อมเพย์ เนื่องจากพรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ซึ่งเป็นกฎหมายแม่บทของการทำธุรกรรมทางอิเล็กทรอนิกส์ของประเทศไทย น่าจะล้าสมัยไปแล้ว เพราะเจตนาของร่างพรบ.ฉบับนี้ ต้องการรับรองสถานะทางกฎหมายว่าอิเล็กทรอนิกส์เทียบเท่ากับกระดาษ เพื่อจะได้ไม่ต้องไปรื้อกฎหมายทุกฉบับ

แต่ปัจจุบันการจะเป็น Digital Thailand ต้องมองเรื่องการไม่ใช้กระดาษ และเปลี่ยนกระบวนการทำงานทั้งหมดให้เป็น Digital by Design รวมไปถึงกฎหมายด้วย เสนอว่าควรยกร่าง พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ใหม่ทั้งหมด และต้องมีการสังคายนากฎหมายในทุกระดับครั้งใหญ่

ภาครัฐชัดเจน 3 ข้อกระตุ้นคนใช้พร้อมเพย์

นอกจากนี้ ยังมีข้อแนะนำในการเปิดใช้บริการพร้อมเพย์ โดยกูรูด้านความปลอดภัยในโลกไซเบอร์ อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ กล่าวว่าการที่รัฐบาลจะนำระบบพร้อมเพย์มาใช้นั้น ควรให้ความสำคัญกับปัญหาในด้านการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risk Management) และ การคุ้มครองข้อมูลส่วนบุคคล (Data privacy) ซึ่งจะช่วยสร้างความมั่นใจ (Trust) และลดปัญหาต่างๆ ที่จะเกิดขึ้นในอนาคตได้

โดยเชื่อว่าภาครัฐมีการวางแผนไว้แล้ว แต่ยังไม่มีการประชาสัมพันธ์อย่างเป็นทางการ จึงเสนอให้ภาครัฐพิจารณานำเรื่องนี้มาสื่อสารถ่ายทอดให้ประชาชนเข้าใจ และเพื่อสร้างความมั่นใจ ซึ่งในปัจจุบันมีอยู่ 2 กลุ่ม คือ กลุ่มที่มีความกลัวและไม่มีความเข้าใจในระบบ จะมีการจินตนาการถึงข้อเสียไปต่างๆ นานา ส่วนอีกกลุ่มคือคนที่มีการศึกษาในเรื่องนี้มาแล้วพอสมควร ในช่วง 3-6 เดือนแรก จะมีการเปิดบัญชีธนาคารไว้เพื่อรับเงินเพียงอย่างเดียว และติดตามถึงความปลอดภัยและความเป็นส่วนตัว

สำหรับในแง่ของแฮกเกอร์ ไม่สามารถระบุได้ว่าจะมีการโจมตีเข้ามาอย่างไร หากยังไม่มีการเปิดใช้ อย่างไรก็ตามรัฐบาลควรให้สำคัญกับ 3 เรื่อง คือ

1. Cybersecurity Risk Management ควรมีการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ มีการวิเคราะห์ความเสี่ยงในแต่ละประเภท และทำอย่างไรให้มีผลกระทบจากความเสี่ยงน้อยที่สุด เพราะปัจจุบันการทำธุรกรรมการเงินในรูปแบบ อินเทอร์เน็ต แบงกิ้ง โมบายแบงค์กิ้ง ก็ยังคงมีความเสี่ยงอยู่ในระดับหนึ่ง และหากมีข้อมูลรั่วไหลเพราะถูกแฮก ควรมีการเตรียมแผนฉุกเฉิน การเตรียมความพร้อมกับ security incident เพราะผู้ที่รับผิดชอบ คือธนาคารต้นทาง ปลายทาง และ ITMX แนะภาครัฐควรมีแผนบริหารความต่อเนื่องทางธุรกิจ หรือ Business Resilience และควรมี ผู้บริหารระดับสูงด้านความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer หรือ CISO ) มาบริหารจัดการ

2.Incident Response หมายความว่า หากมีการโอนเงินผิดพลาด โดยมีการพิสูจน์ตัวตนได้ เช่น ใส่หมายเลขโทรศัพท์มือถือผิด ทำให้โอนผิด จะมีกระบวนการจัดการแก้ไขอย่างไร เช่น ธนาคารจะมีกระบวนการคืนเงินให้ภายในเวลาที่ตกลงกันไว้ ซึ่งเหตุการณ์นี้อาจไม่เกิดขึ้นในช่วงแรก เพราะระบบพร้อมเพย์ ช่วงแรกนำมาใช้เพื่อการรับเงินเท่านั้น

แต่ในอนาคตเมื่อนำมาใช้จ่ายในชีวิตประจำวัน ระบบ Request to Pay ที่มีการร้องขอการชำระให้ร้านค้าและองค์กรต่างๆ มีโอกาสเกิดความผิดพลาด Human Error จากผู้ใช้ เพราะการใช้พร้อมเพย์เป็นเรื่องใหม่ ทั้งขั้นตอน และวิธีการใช้ ดังนั้นในช่วงแรกๆ น่าคงต้องมีปัญหาบ้าง ซึ่งหากมีการประชาสัมพันธ์เรื่องแผนการแก้ไข เชื่อว่าจะมีคนลงทะเบียนใช้บริการเพิ่มมากขึ้น
อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ
3. Data Privacy เนื่องจากขั้นตอนที่ต้องผ่าน ธนาคารต้นทาง ปลายทาง และ ITMX จึงควรมีการประกาศให้ชัดเจน ถึงนโยบายความเป็นส่วนตัว หรือ นโยบายการปกป้องสิทธิของประชาชน ไม่ให้มีการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต รวมทั้งมีมาตรการการจำแนกประเภทข้อมูล (Data Classification) ว่าข้อมูลประเภทไหน สามารถนำไปใช้ หรือส่งต่อให้ภาครัฐ เช่น กรมสรรพากร ธนาคารแห่งประเทศไทย เป็นต้น

ในส่วนของการโอนเงินที่ต้องผ่านธนาคารต้นทาง และปลายทางนั้น จากการวิเคราะห์ข้อมูลจะทำให้สามารถรู้ได้ถึงไลฟ์สไตล์ และรสนิยมของประชาชนแต่ละคน ต้องแสดงให้เห็นชัดเจนถึงแผนการจัดการ และวิธีปฏิบัติในการปกป้องความเป็นส่วนตัว ต้องพิจารณาว่าธนาคารมีสิทธิจะนำข้อมูลเหล่านี้ไปวิเคราะห์ได้หรือไม่ โดยการจัดการในส่วนนี้ ยังไม่มีการกล่าวถึงความเป็นส่วนตัวที่ประชาชนเป็นเจ้าของ

แต่เชื่อว่าภาครัฐน่าจะมีแผนการบริหารจัดการที่เตรียมไว้แล้ว เพื่อสร้างความมั่นใจว่า ธนาคารที่เป็นตัวกลางจะไม่นำข้อมูลเหล่านี้ไปต่อยอดในการนำเสนอบริการด้านอื่นๆ

อาจารย์ปริญญาย้ำว่า สิ่งที่เป็นความเสี่ยงที่จะเกิด คือ คนบางกลุ่มที่ไม่ได้มีการศึกษาระบบพร้อมเพย์อย่างดี อาจจะพบปัญหาตามมา เพราะระหว่างความง่าย ความปลอดภัย และความสะดวก มีความห่างกันไม่มากนัก เช่นกรณีการหลุดโพสต์แชร์สิ่งที่ไม่เหมาะสม ซึ่งในยุคก่อนมือถือเป็นฟีเจอร์โฟน ใช้งานเพียงโทรเข้าออกเท่านั้น แต่เมื่อมีสมาร์ทโฟน ก็มีเหตุการณ์ภาพหลุด คลิปหลุดเกิดขึ้นมากมาย

แม้ว่าพร้อมเพย์ คือ การโอนเงินที่มีธนาคารเป็นตัวกลาง ซึ่งมีข้อดีเพราะได้รับความเชื่อถือ แต่ภาครัฐต้องมองทะลุไปถึงเทคโนโลยีการโอนเงินอื่นๆ ที่จะเข้ามาเป็นทางเลือก เช่นเดียวกับกระแสของฟินเทค หรือ ไฟแนนเชียล เทคโนโลยี กระทั่ง Blockchain เทคโนโลยีธุรกรรมการเงินที่ไม่ต้องอาศัยคนกลาง ซึ่งเป็นเรื่องของอนาคตอันใกล้ ที่เชื่อว่าจะมีคนบางกลุ่มหันมาใช้ทำธุรกรรมทางการเงิน และอาจทำให้พร้อมเพย์ไม่ประสบความสำเร็จเท่าที่ควร เพราะยังคงต้องเสียค่าธรรมเนียมในการโอนเงินให้กับธนาคารอยู่

กำลังโหลดความคิดเห็น