“ธปท.” ออกมาตราการดูแลความปลอดภัยให้ประชาชน เพื่อยกระดับความปลอดภัย Mobile banking ทั้งระบบ โดยให้เวลาสถาบันการเงินปรับปรุงระบบและแจ้งลูกค้าตั้งแต่วันนี้จนถึงเดือนพฤษภาคม 2563
น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า การใช้ mobile banking มีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง โดยปี 61 จำนวนลูกค้า mobile banking มีจำนวน 41 ล้านบัญชี มีปริมาณธุรกรรมจำนวน 2,700 ล้านรายการ และล่าสุดใน 9 เดือนแรกปี 62 Mobile banking มีผู้ใช้งาน 55 ล้านบัญชี และที่ผ่านมา ยอดธุรกรรม mobile banking มีมากกว่า 3,200 ล้านรายการ ธปท.จึงเห็นความสำคัญของความปลอดภัย
ธปท.ออกแนวนโยบายเพื่อยกระดับการรักษาความปลอดภัย Mobile banking ทั้งระบบ ปัจจุบันธุรกิจสถาบันการเงินมีการนำเทคโนโลยีมาใช้ในการเพิ่มประสิทธิภาพและการให้บริการแก่ลูกค้า ทำให้เกิดความสะดวก รวดเร็ว มีต้นทุนถูกลง และลูกค้าสามารถเข้าถึงบริการได้ง่ายขึ้น แต่การใช้เทคโนโลยีสารสนเทศ ทำให้สถาบันการเงินต้องเผชิญต่อความเสี่ยงใหม่ๆ ด้านเทคโนโลยีสารสนเทศ (IT Risk) และจากภัยคุกคามทางไซเบอร์ (Cyber Attack)
เพื่อยกระดับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศและความเสี่ยงจากภัยไซเบอร์ เพื่อสร้างความมั่นคงปลอดภัยให้แก่ระบบของสถาบันการเงินและประชาชนผู้ใช้บริการ โดยได้ปรับปรุงการกำกับดูแลความเสี่ยงด้าน IT อย่างต่อเนื่อง พัฒนากรอบการประเมินความมั่นคงปลอดภัยไซเบอร์ มีเกณฑ์การดูแลความเสี่ยงจากการใช้บริการหรือการเชื่อมต่อกับบุคคลภายนอก (3rd party) กำหนดให้สถาบันการเงินมีกรรมการที่มีความรู้หรือประสบการณ์ด้าน IT มีผู้บริหารระดับสูงที่ดูแลด้าน security (CISO) ตลอดจนกำหนดเกณฑ์ให้สถาบันการเงินยกระดับการทดสอบระบบในการรับมือภัยไซเบอร์ที่เสมือนจริงมากขึ้น (Red teaming)
นอกจากนี้ การทำธุรกรรมทางการเงินผ่าน Mobile banking มีปริมาณสูงและเติบโตอย่างต่อเนื่อง เพื่อดูแลความมั่นคงปลอดภัยของการใช้บริการผ่านช่องทางดังกล่าวให้มีความรัดกุมตามมาตรฐานสากล รวมทั้งสร้างความเชื่อมั่นให้แก่ประชาชนผู้ใช้บริการ ธปท. จึงออก “แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principle for Mobile Banking Security)
แนวนโยบายประกอบด้วยมาตรการด้านความปลอดภัยของระบบ Mobile Banking 2 ระดับ คือ
มาตรการขั้นต่ำที่สถาบันการเงินต้องดำเนินการ เช่น การไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ไม่ปลอดภัย ทั้งการนำไปเปิดสิทธิให้เข้าถึงระบบปฏิบัติการ (rooted/jailbroken) หรือใช้ระบบปฏิบัติการที่ล้าสมัย ซึ่งผู้ผลิตมีการประกาศให้ลูกค้าทราบอย่างต่อเนื่อง (obsolete operating system) การเข้ารหัสไฟล์ข้อมูล การจำกัดการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (server) รวมทั้งต้องมีการสร้างความรู้ความเข้าใจในการใช้เทคโนโลยีทางการเงินให้แก่ประชาชนด้วย เป็นต้น
มาตรการเพิ่มเติมที่สถาบันการเงินสามารถพิจารณาดำเนินการตามความเหมาะสม เพื่อเพิ่มความปลอดภัยของการบริการให้แข็งแกร่งยิ่งขึ้น เช่น การกำหนดให้ PIN และ Password มีความซับซ้อนคาดเดาได้ยาก หรือการเพิ่มการตรวจสอบแอปพลิเคชันปลอมให้ครอบคลุมขึ้น ทั้งนี้ จะมีเวลาให้เวลาสถาบันการเงินในการปรับปรุงระบบและสื่อสารกับลูกค้า และมีผลบังคับใช้ในเดือนพฤษภาคม 2563 ต่อไป