ธปท. ลั่นกลองรบเต็มอัตรา ตั้งเกณฑ์ธนาคาร ป้องกันภัยออนไลน์ผ่านโมบายแบงกิ้งทั้งระบบ
รัฐบาลได้ประกาศต่อสู้กับภัยการหลอกลวงในทุกรูปแบบ โดยเฉพาะช่องทางออนไลน์ หรือแก๊งคอลเซ็นเตอร์ ที่มีพฤติกรรมโทรศัพท์เข้ามาหลอกล้วงข้อมูลก่อนจะหลอกล่อให้โอนเงินไปบัญชีปลายทางของขบวนการมิจฉาชีพ ที่ส่วนใหญ่เป็นบัญชีม้า ซึ่งมีทั้งการซื้อจากเจ้าของบัญชี หรือจ้างให้เปิดมาเพื่อใช้เป็นเส้นทางหมุนเวียนการเงินของขบวนการสีดำสนิทเหล่านี้
ในช่วงที่ผ่านมาต้องยอมรับว่า ธนาคารพาณิชย์ ที่ลูกค้าถูกหลอกลวงให้โอนเงินไปในหลักแสนจนถึงหลักหลายสิบล้านนั้น ถูกต้องคำถามมากมายว่า เหตุใดจึงปล่อยให้ลูกค้าส่งคำสั่งโอนเงินจำนวนมากๆ ได้ซ้ำๆ รวมถึงทำไมถึงไม่จัดการปิดบัญชีม้าเหล่านั้น ซึ่งเป็นวงจรสำคัญของขบวนการหลอกโอนเงินทั้งระบบ
ล่าสุด ธนาคารแห่งประเทศไทย (ธปท.) ได้เดินเครื่องลั่นกลองรบเต็มอัตราศึก ผ่านการออกประกาศเรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงิน (ประกาศฯ) ซึ่งได้ประกาศลงในราชกิจจานุเบกษาแล้ว โดยจะและมีผลบังคับใช้เมื่อพ้นกำหนด 30-60 วัน นับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
“สาระสำคัญของการออกประกาศดังกล่าว มีขึ้นเพื่อยกระดับการให้บริการโมบายแบงกิ้งให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอพพลิเคชั่นของสถาบันการเงินอย่างปลอดภัย โดยสถาบันการเงินมีหน้าที่ต้องติดตามดูแล และปรับปรุงระบบงานและบริการโมบายแบงกิ้งให้มีความมั่นคงปลอดภัยตามมาตรฐานสากล เท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคซับซ้อนขึ้น ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ”
ขอบเขตการบังคับใช้ กำหนดไว้ใช้บังคับกับสถาบันการเงินตามกฎหมาย ว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง
หลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ ประกอบด้วยมาตรการ 2 ส่วน ได้แก่ 1.การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud) และ 2.การรักษาความมั่นคงปลอดภัยของบริการโมบายแบงกิ้ง ดังนี้
1.งดเว้นการแนบลิงก์ผ่านช่องทางข้อความสั้น (เอสเอ็มเอส) และช่องทางอีเมล ส่วนช่องทางสื่อสังคมออนไลน์ (social media) ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มีการขอข้อมูลในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล อาทิ ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว รหัส PIN หมายเลขบัตรประชาชนชน วันเดือนปีเกิด เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ (social engineering) หรือการถูกติดตั้งโมบาย มัลแวร์ ยกเว้นหากผู้ใช้บริการร้องขอก็สามารถให้บริการได้
2.มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอพพลิเคชั่นที่ปลอมแปลงหรือแอบอ้างเป็นแอพพลิเคชั่นของสถาบันการเงินที่ให้บริการโมบายแบงกิ้งในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวน์โหลดแอพพลิเคชั่น อาทิ แอพพ์สโตร์ เพลย์สโตร์ รวมทั้งมีกระบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอพพลิเคชั่นปลอมแปลงที่อยู่นอกแพลตฟอร์มดังกล่าว เพื่อลดความเสี่ยงที่ผู้ใช้บริการจนหลงเชื่อและเปิดเผยข้อมูลสำคัญ
3.จำกัดการใช้บริการโมบายแบงกิ้งของผู้ใช้บริการไว้เพียง 1 บัญชีหรือผู้ใช้งานต่อ 1 บริการโมบายแบงกิ้งของแต่ละสถาบันการเงิน และจำกัดการใช้บริการดังกล่าว โดยให้ใช้งานบน 1 อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น
4.ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่านบริการโมบายแบงกิ้งบนอุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ ที่สามารถป้องกันการใช้รูปภาพ วิดีโอ หรือการปลอมแปลงชีวมิติในรูปแบบต่างๆ ได้ อาทิ การใช้เทคโนโลยี liveness detection เพื่อให้มั่นใจว่าผู้ใช้บริการเป็นผู้ทำธุรกรรมด้วยตัวเอง ซึ่งต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมดังกล่าวอย่างน้อยในกรณี คือ การทำธุรกรรมโอนเงินในแต่ละครั้งมีมูลค่าตั้งแต่ 50,000 บาทขึ้นไป หรือการทำธุรกรรมโอนเงินมูลค่ารวมกันครบทุก 200,000 บาท ในรอบระยะเวลา 1 วัน หรือการปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน ให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป
ทั้งนี้ กรณีที่ผู้ใช้บริการมีข้อจำกัดในการใช้เทคโนโลยีเปรียบเทียบใบหน้า อาทิ เป็นคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนดข้างต้นได้ โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำแทน อย่างการทำธุรกรรมโอนเงินระหว่างบัญชีตัวเอง การทำธุรกรรมโอนเงินประจำอัตโนมัติที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนดข้างต้นได้
5.กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงินผ่านบริการโมบายแบงกิ้งให้เหมาะสมกับระดับความเสี่ยงของกลุ่มผู้ใช้บริการ เพื่อลดความเสียหายเมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือในการทุจริต อาทิ กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า 15 ปีให้กำหนดวงเงินสูงสุดของการทำธุรกรรมถอนหรือโอนเงินรวมกันไม่เกิน 50,000 บาทต่อวัน โดยสถาบันการเงินสามารถใช้แนวทางหรือข้อกำหนดที่ได้จัดทำร่วมกันมาใช้ประกอบการจัดระดับความเสี่ยง หรือกำหนดเพดานวงเงินสูงสุดของกลุ่มผู้ใช้บริการได้ และในกรณีที่ผู้ใช้บริการขอยกเว้นการกำหนดวงเงินตามกลุ่มความเสี่ยงที่กำหนดไว้ โดยสถาบันการเงินต้องมีกระบวนการพิจารณาการขอยกเว้นที่ชัดเจนและรัดกุมด้วย
ในประกาศยังครอบคลุมถึงคำสั่งให้มีการรักษาความมั่นคงปลอดภัยของบริการโมบายแบงกิ้ง เพื่อป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริตทางการเงินที่ส่งผลกระทบต่อผู้ใช้บริการและความเชื่อมั่นต่อระบบสถาบันการเงิน ซึ่งรวมตั้งแต่ 1.การรักษาความมั่นคงปลอดภัยของข้อมูลสำคัญของผู้ใช้บริการอย่างรัดกุม เพื่อป้องกันข้อมูลสำคัญของผู้ใช้บริการรั่วไหล หรือถูกเปลี่ยนแปลงแก้ไข ทั้งขณะจัดเก็บ แสดงผล และรับ-ส่งข้อมูลระหว่างอุปกรณ์เคลื่อนที่ของผู้ใช้บริการและระบบงานของสถาบันการเงิน โดยต้องดำเนินการอย่างน้อย อาทิ แสดงข้อมูลสำคัญของผู้ใช้บริการเท่าที่จำเป็น ข้อมูลส่วนบุคคลของสถาบันการเงินต้องเข้ารหัสข้อมูล (data encryption) ด้วยวิธีการที่ปลอดภัยตามมาตรฐานสากล และทำลายข้อมูลเมื่อสิ้นสุดการใช้งานข้อมูล
2.การรักษาความมั่นคงปลอดภัยของแอพพลิเคชั่น โดยต้องติดตามดูแลและปรับปรุงแอพพลิเคชั่นให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลและเท่าทันภัยคุกคามรูปแบบใหม่อยู่เสมอ อาทิ แอพพลิเคชั่นของสถาบันการเงินต้องขอสิทธิเข้าถึงทรัพยากรหรือ บริการบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่าที่จำเป็น และมีการทบทวนการขอสิทธิทุกครั้งที่มีการเปลี่ยนแปลงแอพพลิเคชั่นอย่างมีนัยสำคัญ เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัวของผู้ใช้บริการ รวมถึงเป็นช่องโหว่ที่อาจถูกใช้โดยผู้อื่นที่กระทำการโดยทุจริต ไม่ให้บริการบนแอพพลิเคชั่นเวอร์ชันเก่าที่อาจมีช่องโหว่ เพราะอาจทำให้เกิดความเสี่ยงในการสวมรอยทำธุรกรรมแทนผู้ใช้บริการได้ รวมถึงตรวจสอบการเปลี่ยนแปลงแก้ไขแอพพลิเคชั่นทุกครั้งในทันทีที่ผู้ใช้บริการเข้าใช้งาน เพื่อป้องกันไม่ให้ข้อมูลผู้ใช้บริการรั่วไหลหรือเกิดความเสียหายจากแอพพลิเคชั่นที่มีการดัดแปลงแก้ไข
3.การรักษาความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีกระทำการทุจริตโดยอาศัยช่องโหว่ของระบบปฏิบัติการเข้าถึงโมบายแบงกิ้งและบัญชีของผู้ใช้บริการ อาทิ ไม่อนุญาตให้แอพพลิเคชั่นของสถาบันการเงินใช้งานบนอุปกรณ์เคลื่อนที่ที่ตรวจพบว่ามีการเปิดสิทธิให้เข้าถึงระบบปฏิบัติการ (rooted/jailbroken) ไม่อนุญาตให้แอพพลิเคชั่นสถาบันการเงินใช้งาน หากมีแอพพลิเคชั่นกำลังทำงานและมีพฤติกรรมการทำงานที่เสี่ยงจะก่อให้เกิดการสวมรอยทำธุรกรรมแทนผู้ใช้บริการโดยไม่จำเป็น โดยเฉพาะแอพพลิเคชั่นที่สามารถควบคุมอุปกรณ์เคลื่อนที่จากระยะไกลได้
“กรณีสถาบันการเงินมีการให้บริการบนอุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการที่มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ หรือการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ สถาบันการเงินต้องจัดให้มีแนวทางการควบคุมความเสี่ยงเพิ่มเติม โดยการแจ้งเตือนถึงความเสี่ยงจากกรณีดังกล่าว รวมทั้งจำกัดวงเงินการทำธุรกรรมของกลุ่มผู้ใช้บริการดังกล่าวให้ทำธุรกรรมโอนเงินได้ไม่เกินวันละ 5,000 บาท“
ทั้งนี้ สถาบันการเงินต้องติดตามและปรับปรุงการรักษาความมั่นคงปลอดภัยของการให้บริการโมบายแบงกิ้งให้เท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ เป็นไปตามมาตรฐานสากลอย่างต่อเนื่อง โดยกรณีที่พบช่องโหว่ใหม่ สถาบันการเงินต้องเร่งดำเนินการให้มีแนวทางป้องกัน เพื่อปิดช่องโหว่ภายในกรอบเวลาที่เหมาะสม หรือดำเนินการให้แล้วเสร็จภายในระยะเวลาที่ธนาคารแห่งประเทศไทยกำหนด หากไม่ทันสามารถทำการขอผ่อนผันการปฏิบัติตามหลักเกณฑ์ได้ภายใน 7 วัน โดยธนาคารแห่งประเทศไทยจะพิจารณาให้แล้วเสร็จภายใน 30 วันทำการ นับแต่วันที่ได้รับคำขอและเอกสารถูกต้องครบถ้วน ซึ่งอาจมีการกำหนดเงื่อนไขใดๆ ให้ถือปฏิบัติเพิ่มเติมด้วยก็ได้
เน้นย้ำว่าประกาศนี้ สถาบันการเงินที่ให้บริการโมบายแบงกิ้งต้องดูแลให้บริการมีมาตรการควบคุมเป็นไปตามประกาศฯ ฉบับนี้ ไม่ว่าผู้ใช้บริการเข้าใช้ผ่านแอพพลิเคชั่นของสถาบันการเงินเอง หรือเข้าใช้งานผ่านแอพพลิเคชั่นของผู้ให้บริการอื่น โดยสถาบันการเงินจะต้องแจ้งให้ผู้ใช้บริการรับทราบถึงความเสี่ยงที่อาจได้รับหากเกิดเหตุการณ์ภัยทุจริตอย่างชัดเจน
