นักวิชาการคอมพิวเตอร์ มธ. ชี้ประเทศไทยควรทบทวนความปลอดภัยในธุรกรรมการเงินออนไลน์
หลังพบสถิติโจรกรรมการเงินขึ้นอย่างต่อเนื่อง
*นักวิชาการคอมพิวเตอร์ มธ. เผยต่างชาติ ให้ความสำคัญด้านความปลอดภัยของข้อมูลมากกว่าไทยหลายขั้น อาทิ การใช้ระบบการยืนยันตนเองสามระดับ (3-Factor Authentication) เพื่อทำธุรกรรมออนไลน์
กรุงเทพฯ 22 มีนาคม 2560 – นักวิชาการคอมพิวเตอร์ คณะวิทยาศาสตร์และเทคโนโลยี มธ. แนะประเทศไทยควรทบทวนระบบความปลอดภัยการทำธุรกรรมทางการเงินออนไลน์ หลังพบสถิติการโจรกรรมทางการเงินออนไลน์เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยควรพิจารณาถึงเรื่องความสมดุลระหว่างระบบความปลอดภัยทางการเงินและความสะดวกสบายของผู้ใช้บริการ ซึ่งปัจจุบันการทำธุรกรรมทางการเงินออนไลน์ (Online Banking) ในประเทศไทยใช้ระบบการยืนยันตนเองสองระดับ (2FA - 2-Factor Authentication) โดยใช้ Username และ Password ในการ Logon เข้าสู่ระบบ หลังจากนั้นในการทำธุรกรรมที่สำคัญจะต้องใส่ รหัสที่ใช้ครั้งเดียว (OTP – One Time Password) ที่ส่งผ่านระบบ SMS (Short Message Service) ไปยังโทรศัพท์ของผู้ที่ทำธุรกรรมการเงินนั้นๆ ซึ่งยังมีความเสี่ยงสูงในการสูญเสียบัญชีจากการใช้งานในกรณีที่โทรศัพท์มือถือสูญหายหรือถูกขโมย ในขณะที่ต่างประเทศหลายประเทศ เช่น ประเทศอังกฤษ จะมีการใช้ระบบการยืนยันตนเองสามระดับ (3-Factor Authentication) เริ่มจากการบังคับให้ผู้ใช้ตั้งรหัสผ่านที่มีความยาวมากขึ้น และในการ Logon เข้าสู่ระบบ ออนไลน์ แต่ละครั้งผู้ใช้ไม่ได้ใส่ค่ารหัสผ่านทั้งหมด แต่ระบบจะมีการสุ่มถามตัวอักษรในตำแหน่งต่างๆ ของรหัสผ่านที่ไม่ซ้ำกัน นอกจากนี้ผู้ใช้ที่จะทำธุรกรรมการเงินออนไลน์จะต้องมีบัตรสมาร์ทการ์ดหรือชิปการ์ด และทางธนาคารจะแจกการ์ดรีดเดอร์ (Card Reader) เพื่อให้ผู้ใช้ที่ต้องการทำธุรกรรมทางการเงินออนไลน์ต้องมีบัตรสมาร์ทการ์ดพร้อมใส่ค่าพินของบัตรที่ถูกต้องจึงจะสามารถทำธุรกรรมการเงินที่สำคัญได้ ทั้งนี้เมื่อเทียบสถิติการร้องเรียนกรณีโจรกรรมทางการเงินออนไลน์ของประเทศไทย ในไตรมาสที่ 3 ปี 2558 กับช่วงเดียวกันในปี 2559 นั้น พบว่ามีจำนวนสูงขึ้นถึง 82.47 เปอร์เซ็นต์
ผศ.ดร.วิลาวรรณ รักผกาวงศ์ หัวหน้าสาขาวิชาวิทยาการคอมพิวเตอร์ คณะวิทยาศาสตร์และเทคโนโลยี มธ. เปิดเผยว่า ภาครัฐ สถาบันการเงิน และประชาชนควรพิจารณาถึงเรื่องความสมดุลระหว่างระบบความปลอดภัยทางการเงินและความสะดวกสบายของผู้ใช้บริการ โดยเห็นได้จากกรณีล่าสุดเรื่องบริการ “พร้อมเพย์” (PromptPay) ที่ประชาชนเริ่มตื่นตัวกับเรื่องความปลอดภัยของระบบดังกล่าวมากขึ้นอย่างต่อเนื่อง ไม่ว่าจะเป็นการผูกหมายเลขโทรศัพท์หรือบัตรประชาชนเข้ากับบัญชีธนาคาร แม้ว่าในการทำธุรกรรมผ่าน ”พร้อมเพย์” จะใช้ในการรับเงินเป็นหลัก กล่าวคือ ถ้าเราเป็นคนรับเงินก็จะบอกหมายเลขโทรศัพท์หรือบัตรประชาชนแทนที่จะบอกเบอร์บัญชีและธนาคาร ซึ่งหมายถึงข้อมูลส่วนตัวที่สำคัญคือหมายเลขโทรศัพท์หรือหมายเลขบัตรประชาชน รวมถึงชื่อและนามสกุลจะต้องเปิดเผยให้กับผู้ที่จะโอนเงินมาให้ ซึ่งอาจมีมีความเสี่ยงมากขึ้น เนื่องจากมิจฉาชีพสามารถสรรหากลโกงต่างๆ เพื่อหลอกลวงหาประโยชน์ในรูปแบบที่คาดเดาได้ยาก เช่น SMS ปลอมเพื่อหลอกว่าได้มีการโอนเข้าบัญชีที่ผูกกับหมายเลขโทรศัพท์นั้น หรืออาจโทรศัพท์มาโดยอ้างว่าเจ้าหน้าที่หน่วยงานของรัฐหรือธนาคาร ซึ่งอาจจะทำให้เจ้าของบัญชีหลงเชื่อได้ โดยทั่วไปนโยบายของผู้ให้บริการทางการเงินของประเทศไทยจะให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้มาเป็นอันดับแรก และจะให้ความสำคัญกับความปลอดภัยเป็นอันดับรอง โดยไม่ได้คำนึงว่าความสะดวกสบายมักจะแปรผกผันกับเรื่องความปลอดภัย
หนึ่งในตัวอย่างที่เห็นได้ชัดกับประเด็นดังกล่าวคือ การให้บริการซื้อตั๋วชมภาพยนต์ผ่านตู้ให้บริการอัตโนมัติ ซึ่งเป็นช่องทางที่ทำให้ผู้ใช้สะดวกมากขึ้นในการชมภาพยนตร์ แต่ไม่ได้คำนึงถึงความปลอดภัยในกรณีที่มีผู้นำบัตรที่เก็บได้หรือขโมยมาใช้งาน เนื่องจากตู้จำหน่ายตั๋วอัตโนมัติดังกล่าว ไม่มีขั้นตอนการพิสูจน์ตัวตนของผู้ถือบัตรก่อนที่จำหน่ายตั๋ว
นอกจากนี้ประเด็นการใช้งานการกดเงินสดที่ตู้เอทีเอ็ม ในประเทศไทยนั้นเมื่อทำรายการเสร็จเรียบร้อย ธนบัตรจะออกมาก่อนตัวบัตรเอทีเอ็ม/เครดิต/เดบิตที่ใช้กด และในบางกรณีก่อนที่บัตรจะออกยังมีการนำเสนอโปรโมชั่นต่างๆ อีกหนึ่งขั้น อันทำให้เกิดเหตุการณ์การลืมบัตรฯ ไว้ที่ตู้เอทีเอ็มจำนวนมาก โดยเหตุผลหลักที่เป็นเช่นนี้ ก็เพื่ออำนวยความสะดวกกับพฤติกรรมผู้บริโภคของไทย ที่นิยมทำหลายธุรกรรม (transaction) ในการใช้ตู้เอทีเอ็มหนึ่งครั้ง เพื่อไม่ให้ผู้บริโภคต้องเสียบบัตรดังกล่าวหลายรอบ ซึ่งในขณะที่การกดเงินสดที่ตู้เอทีเอ็มในต่างประเทศหลายประเทศนั้น เมื่อทำรายการ บัตรฯ จะออกมาให้ผู้ใช้รับไปก่อนธนบัตร ซึ่งทำให้โอกาสการลืมบัตรไว้ที่ตู้เอทีเอ็มนั้นน้อยกว่ามาก ผศ.ดร.วิลาวรรณ กล่าวต่อ
ผศ.ดร.วิลาวรรณ กล่าวเพิ่มเติมว่า ประเทศไทยจะคำนึงถึงความปลอดภัยเมื่อเกิดปัญหาก่อน ดังเช่นปัญหาเรื่องการปลอมแปลงบัตรฯ ที่ใช้แถบแม่เหล็กสามารถถูกคัดลอกข้อมูลได้โดยง่าย สามารถผลิตบัตรฯปลอมได้จำนวนมากโดยใช้ระยะเวลาอันสั้น ซึ่งหลากหลายประเทศในยุโรปได้ยกเลิกบัตรแถบแม่เหล็กมานานแล้วและไปใช้บัตรสมาร์ทการ์ดที่มี “ชิป” โดยบัตรฯ ดังกล่าว ตามหลักวิชาการปัจจุบันนั้น ยังไม่สามารถปลอมแปลงหรือทำซ้ำได้ จึงมีความปลอดภัยกว่าบัตรแบบแถบแม่เหล็ก แต่ในประเทศไทยเพิ่งจะเริ่มให้ความสำคัญหลังจากเกิดปัญหากับลูกค้าจำนวนมากในหลายธนาคาร ทำให้ธนาคารแห่งประเทศสั่งการให้ธนาคารทุกแห่งในประเทศไทยเปลี่ยนการใช้บัตรมาเป็นแบบ” ชิปการ์ด” ภายในปี 2562
ผศ.ดร.วิลาวรรณ กล่าวเสริมว่า อีกหนึ่งประเด็นสำคัญคือเรื่องระบบการทำธุรกรรมทางการเงินออนไลน์หรือผ่านโทรศัพท์มือถือ (Online Banking / Mobile Banking) ในประเทศไทยใช้ระบบการยืนยันตนเองสองระดับ (2FA - 2-Factor Authentication) คือ ระดับแรกระบบจะต้องใช้ สิ่งที่ผู้ใช้ทราบ (Something you know) นั่นก็คือ ชื่อบัญชีผู้ใช้งานและรหัสผ่าน (Username and Password) จากนั้นเมื่อมีการทำรายการ ระบบจะทำการตรวจสอบระดับที่สอง คือ สิ่งที่ผู้ใช้มี (Something you have) โดยในประเทศไทยเลือกใช้วิธีการส่ง ชุดรหัสผ่านที่ใช้ครั้งเดียว (OTP – One Time Password) มายังโทรศัพท์มือถือ ที่ลงทะเบียนไว้กับทางสถาบันการเงิน การใช้วิธีดังกล่าวมีช่องโหว่ในเรื่องหากเกิดเหตุโทรศัพท์โดนขโมยหรือตกอยู่ในมือของผู้ไม่ประสงค์ดี ตัวรหัสผ่านครั้งเดียวนี้ก็จะไม่สามารถป้องกันอะไรได้เลย ในขณะที่ประเทศหลายประเทศในยุโรป เช่น ประเทศอังกฤษ จะมีการใช้ระบบการยืนยันตนเองสามระดับ (3-Factor Authentication) เริ่มจากการบังคับให้ผู้ใช้ตั้งรหัสผ่านที่มีความยาวหรือซับซ้อนมากขึ้น และในการ Logon เข้าสู่ระบบออนไลน์ แต่ละครั้งผู้ใช้ไม่ได้ใส่ค่ารหัสผ่านทั้งหมด แต่ระบบจะมีการสุ่มถามตัวอักษรในตำแหน่งต่างๆ ของรหัสผ่านที่ไม่ซ้ำกัน เช่น ให้ป้อนรหัสผ่านตำแหน่งที่ 5, 2, 4 เป็นต้น ซึ่งกระบวนการดังกล่าว จะทำให้การส่งข้อมูลทุกครั้งไม่เหมือนเดิม เป็นการเพิ่มความปลอดภัยในการใช้งานอีกระดับหนึ่ง นอกจากนี้ ผู้ใช้ที่จะทำธุรกรรมการเงินออนไลน์จะต้องมีบัตรสมาร์ทการ์ด และทางธนาคารจะแจกการ์ดรีดเดอร์ (Card Reader) ในการทำธุรกรรมออนไลน์ ผู้ใช้จะต้องใช้บัตรสมาร์คทาร์ดใส่ในการ์ดรีดเดอร์และใส่ค่าพินของบัตรที่ถูกต้องจึงจะสามารถผ่านขั้นตอนเพื่อทำธุรกรรมการเงินที่สำคัญได้ จึงป็นการเพิ่มความปลอดภัยในการใช้งานออนไลน์อีกระดับหนึ่ง
จากตัวอย่างต่างๆ ที่ยกมาข้างต้น สะท้อนให้เห็นว่า นโยบายการให้บริการทางการเงินของประเทศไทยให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้บริการ มากกว่าด้านความปลอดภัยของข้อมูลและการใช้บริการ ซึ่งตรงกันข้ามกับต่างประเทศหลากหลายประเทศ ที่ให้ความสำคัญกับด้านความปลอดภัยเป็นหลัก โดยเมื่อเทียบสถิติการร้องเรียนกรณีโจรกรรมทางการเงินออนไลน์ ในไตรมาสที่ 3 ปี 2558 กับช่วงเดียวกันในปี 2559 นั้น พบว่ามีจำนวนสูงขึ้นถึง 82.47 เปอร์เซ็นต์ (ที่มา: ศูนย์คุ้มครองผู้ใช้บริการทางการเงิน) ซึ่งจะต้องหันกลับมาพิจารณาทั้งในส่วนผู้ให้บริการ คือสถาบันการเงินต่างๆ และผู้ใช้บริการ ว่าควรจะปรับตัวอย่างไรกับประเด็นนี้ ผศ.ดร.วิลาวรรณ กล่าวทิ้งท้าย
สอบถามเพิ่มเติมได้ที่ สาขาวิทยาการคอมพิวเตอร์ หมายเลขโทรศัพท์ 02-986-9156 หรือติดต่อฝ่ายประชาสัมพันธ์ คณะวิทยาศาสตร์และเทคโนโลยี มธ. ศูนย์รังสิต หมายเลขโทรศัพท์ 02-564-4440-59 ต่อ 2010 เว็บไซต์ www.sci.tu.ac.th