ธปท. ห้าม ‘มือถือเวอร์ชันเก่า’ ใช้ ‘โมบายแบงกิ้ง’ ลดเสี่ยงภัยไซเบอร์

ผู้สื่อข่าวรายงานว่า ธนาคารแห่งประเทศไทย (ธปท.) ออกหนังสือเวียนเรื่องนโยบายการรักษาความมั่นคงปลอดภัยการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security) ว่า ขณะนี้ภัยคุกคามทางไซเบอร์มีความหลากหลายและซับซ้อนมากขึ้น อาจส่งผลกระทบต่อการให้บริการ และผู้ใช้บริการชำระเงินผ่านช่องทางอุปกรณ์เคลื่อนที่ได้

ดังนั้น เพื่อยกระดับความมั่นคงปลอดภัยในการให้บริการชำระเงินผ่านช่องทางอุปกรณ์เคลื่อนที่ให้มีการป้องกันและควบคุมความเสี่ยงจากภัยคุกคามไซเบอร์ได้รัดกุม เพียงพอ ตามมาตรฐานสากล จึงได้ออกแนวนโยบายเป็นมาตรการควบคุมรักษาความมั่นคงปลอดภัยเชิงเทคนิค ประกอบด้วยมาตรการ 2 ระดับ คือ

1. มาตรการขั้นต่ำที่จำเป็นต้องดำเนินการเพื่อความรัดกุมด้านความมั่นคงปลอดภัยในการให้บริการ

2. มาตรการเพิ่มเติมที่อาจพิจารณาดำเนินการเพื่อให้เกิดความรัดกุมปลอดภัยยิ่งขึ้น

มาตรการขั้นต่ำ

1. ไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ที่เปิดสิทธิให้เข้าถึงระบบปฏิบัติการ (Rooted/Jailbreak) เข้าใช้งานแอปพลิเคชัน เพื่อลดความเสี่ยงผู้ไม่ประสงค์ดี สามารถเข้าถึงข้อมูลสำคัญของผู้ใช้บริการ และละเมิดหรือหลีกเลี่ยงมาตรการรักษาความมั่นคงปลอดภัยที่ผู้ให้บริการกำหนดไว้

2. ไม่อนุญาตให้อุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการล้าสมัย (Obsolete Operating System) มีช่องโหว่ร้ายแรงที่ประกาศจากหน่วยงานด้านความมั่นคงปลอดภัยที่เป็นสากล และกระทบการใช้งานของผู้ใช้บริการในวงกว้าง

ทั้งนี้ ในกรณีที่ Obsolete OS มีช่องโหว่ที่ไม่กระทบผู้ใช้บริการในวงกว้าง ควรมีมาตรการรองรับเพื่อลดความเสี่ยงของผู้ให้บริการ และผู้ใช้บริการตามความเหมาะสม เช่น การแจ้งเตือนผู้ใช้บริการ การจำกัดวงเงินธุรกรรม และการเพิ่มมาตรการยืนยันตัวตน

3. ขอสิทธิเข้าถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่าที่จำเป็น และมีกระบวนการทบทวนการขอสิทธิดังกล่าวอย่างเป็นประจำ เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัว (Privacy) ของผู้ใช้บริการ

4. ป้องกัน Source Code ส่วนสำคัญไม่ให้รั่วไหลจากแอปพลิเคชัน เพื่อลดความเสี่ยงจากผู้ไม่ประสงค์ดี

5. ป้องกันการฝังข้อมูลสำคัญ หรือ Code ที่ไม่พึงประสงค์ (Malicious Code) บนแอปพลิเคชัน

6. เข้ารหัสไฟล์ข้อมูล (Files Encryption) ที่จัดเก็บข้อมูลสำคัญบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ เพื่อป้องกันข้อมูลสำคัญของผู้ใช้บริการรั่วไหล

7. ไม่อนุญาตให้ผู้ใช้บริการใช้แอปพลิเคชันเวอร์ชันต่ำกว่าที่ผู้ให้บริการกำหนด

8. ป้องกันการโจมตีในลักษณะ Distributed Denial-of-Service (DDoS Attack) ในระดับเครือข่าย (Network Layer)

9. ป้องกันภัยจากการถูกดักจับหรือแก้ไขเปลี่ยนแปลงข้อมูลระหว่างการรับส่ง (Manin the Middle Attack) โดยยืนยันตัวตนด้วยเทคนิค Certificate Pinning หรือวิธีอื่นที่เทียบเท่า และการใช้ช่องทางสื่อสารที่ปลอดภัย (Secure Protocol) ในการรับส่งข้อมูล

10. ป้องกันการสวมรอยการเข้าใช้งานของผู้ใช้บริการ (Session Hijacking)

11. ป้องกันการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (Server) โดยไม่ได้รับอนุญาต เพื่อลดความเสี่ยงจากข้อมูลรั่วไหลและระบบถูกโจมตี

12. ตรวจสอบและรับมือแอปพลิเคชันปลอมบนแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ (Official e-Marketplace) เช่น Google Play Store, App Store เพื่อลดความเสี่ยงจากการที่ผู้ใช้บริการดาวน์โหลดและติดตั้งแอปพลิเคชันปลอม

มาตรการเพิ่มเติม 

1. ตรวจสอบการเปลี่ยนแปลงแก้ไขแอปพลิเคชัน เมื่อผู้ใช้บริการเข้าใช้งานในทันที (Anti-Tampering) เพื่อป้องกันไม่ให้ข้อมูลผู้ใช้บริการรั่วไหลหรือเกิดความเสียหาย จากแอปพลิเคชันที่มีการดัดแปลงแก้ไข โดยฝัง Malicious Code ไว้

2. กำหนดให้ตั้งค่า PIN หรือรหัสผ่านที่ซับซ้อน (PIN/Password Complexity) ในการเข้าใช้งานแอปพลิเคชันเพื่อให้ยากต่อการคาดเดา

3. แสดงผลข้อมูลผู้ใช้บริการบนแอปพลิเคชันอย่างรัดกุม เช่น การปิดบังข้อมูลสำคัญของผู้ใช้บริการ (Sensitive Data Masking)

4. ป้องกันภัยคุกคามในระดับแอปพลิเคชัน (Application Layer) เช่น การเข้ารหัสข้อมูลสำคัญระหว่างรับ/ส่ง การป้องกัน DDoS Attack เพื่อยกระดับการป้องกันข้อมูลรั่วไหล หรือป้องกันระบบถูกโจมตีจนไม่สามารถให้บริการได้

5. ตรวจสอบและรับมือแอปพลิเคชันปลอมบนเว็บไซต์อื่น นอกเหนือจากแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ (Official e-Marketplace) เช่น บน Dark Web เป็นต้น

ทั้งนี้ ให้ใช้บังคับตั้งแต่วันที่ 31 ธันวาคมนี้ เป็นต้นไป

พิสูจน์อักษร: ลักษณ์นารา พักตร์เพียงจันทร์

เรียบเรียง: จารุวรรณ เอี่ยมยิ่งพานิช

ติดตามข่าวสารการลงทุนเพิ่มเติมได้ที่: www.efinancethai.com