เตรียมโบกมือลา ! มือถือรุ่นเก่า
ตามที่เคยมีกระแสข่าวมาตั้งแต่ช่วงเดือนธันวาคม 2562 ว่า ธนาคารแห่งประเทศไทย (ธปท.) เตรียมออกเกณฑ์รักษาความปลอดภัย โมบายแบงกิ้งของสถาบันการเงินทั้งระบบ หลังพบว่า มีการใช้งานโมบายแบงกิ้งเพิ่มขึ้นอย่างรวดเร็ว ส่งผลให้โทรศัพท์มือถือ จึงถือเป็นอุปกรณ์ที่สำคัญ และมีบทบาทมากขึ้นเรื่อย ๆ ในการทำธุรกรรมทางการเงิน
ด้วยเหตุนี้เอง ธปท. จึงเล็งเห็นว่า ควรดูแลความปลอดภัยบนโมบายแบงกิ้ง เพื่อให้ผู้ใช้บริการใช้งานอย่างปลอดภัยและสบายใจมากขึ้น สอดคล้องกับต่างประเทศ ที่มีการยกระดับความปลอดภัยในการทำธุรกรรมทางการเงินบนโมบายแบงกิ้งเพิ่มขึ้น
และล่าสุด วันที่ 20 สิงหาคม 2563 ธนาคารแห่งประเทศไทย (ธปท.) ได้ออกหนังสือเวียนเรื่องนโยบายการรักษาความมั่นคงปลอดภัยการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security) โดยแนวนโยบายฉบับนี้จะมีผลบังคับใช้ตั้งแต่ 31 ธันวาคม 2563 เป็นต้นไป
สำหรับการยกระดับความมั่นคงปลอดภัยในการให้บริการชำระเงินผ่านช่องทางอุปกรณ์เคลื่อนที่ให้มีการป้องกันและควบคุมความเสี่ยงจากภัยคุกคามไซเบอร์ของ ธปท. ประกอบด้วยมาตรการ 2 ระดับ
มาตรการขั้นต่ำ
(1) ไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ที่เปิดสิทธิให้เข้าถึงระบบปฏิบัติการเข้าใช้งานแอปพลิเคชัน เพื่อลดความเสี่ยงผู้ไม่ประสงค์ดี สามารถเข้าถึงข้อมูลสำคัญของผู้ใช้บริการ และละเมิดหรือหลีกเลี่ยงมาตรการรักษาความมั่นคงปลอดภัยที่ผู้ให้บริการกำหนดไว้
(2) ไม่อนุญาตให้อุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการล้าสมัย มีช่องโหว่ร้ายแรงที่ประกาศจากหน่วยงานด้านความมั่นคงปลอดภัยที่เป็นสากล และกระทบการใช้งานของผู้ใช้บริการในวงกว้าง
(3) ขอสิทธิเข้าถึงทรัพยากรหรือบริการโดยแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่าที่จำเป็น และมีกระบวนการทบทวนการขอสิทธิดังกล่าวอย่างเป็นประจำ เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัวของผู้ใช้บริการ
(4) ป้องกัน Source Code ส่วนสำคัญไม่ให้รั่วไหลจากแอปพลิเคชัน เพื่อลดความเสี่ยงจากผู้ไม่ประสงค์ดี
(5) ป้องกันการฝังข้อมูลสำคัญ หรือ Code ที่ไม่พึงประสงค์บนแอปพลิเคชัน
(6) เข้ารหัสไฟล์ข้อมูลที่จัดเก็บข้อมูลสำคัญบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ เพื่อป้องกันข้อมูลสำคัญของผู้ใช้บริการรั่วไหล
(7) ไม่อนุญาตให้ผู้ใช้บริการใช้แอปพลิเคชันเวอร์ชันต่ำกว่าที่ผู้ให้บริการกำหนด
(8) ป้องกันการโจมตีในลักษณะ Distributed Denial-of-Service ในระดับเครือข่าย
(9) ป้องกันภัยจากการถูกดักจับหรือแก้ไขเปลี่ยนแปลงข้อมูลระหว่างการรับส่ง โดยยืนยันตัวตนด้วยเทคนิค Certificate Pinning หรือวิธีอื่นที่เทียบเท่า และการใช้ช่องทางสื่อสารที่ปลอดภัยในการรับส่งข้อมูล
(10) ป้องกันการสวมรอยการเข้าใช้งานของผู้ใช้บริการ
(11) ป้องกันการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (Server) โดยไม่ได้รับอนุญาต เพื่อลดความเสี่ยงจากข้อมูลรั่วไหลและระบบถูกโจมตี
(12) ตรวจสอบและรับมือแอปพลิเคชันปลอมบนแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ อาทิ Google Play Store, App Store เพื่อลดความเสี่ยงจากการที่ผู้ใช้บริการดาวน์โหลดและติดตั้งแอปพลิเคชันปลอม
มาตรการเพิ่มเติม
(1) ตรวจสอบการเปลี่ยนแปลงแก้ไขแอปพลิเคชัน เมื่อผู้ใช้บริการเข้าใช้งานในทันที เพื่อป้องกันไม่ให้ข้อมูลผู้ใช้บริการรั่วไหลหรือเกิดความเสียหาย จากแอปพลิเคชันที่มีการดัดแปลงแก้ไข โดยฝัง Malicious Code ไว้
(2) กำหนดให้ตั้งค่า PIN หรือรหัสผ่านที่ซับซ้อนในการเข้าใช้งานแอปพลิเคชันเพื่อให้ยากต่อการคาดเดา
(3) แสดงผลข้อมูลผู้ใช้บริการบนแอปพลิเคชันอย่างรัดกุม เช่น การปิดบังข้อมูลสำคัญของผู้ใช้บริการ
(4) ป้องกันภัยคุกคามในระดับแอปพลิเคชัน อาทิ การเข้ารหัสข้อมูลสำคัญระหว่างรับ/ส่ง การป้องกัน DDoS Attack เพื่อยกระดับการป้องกันข้อมูลรั่วไหล หรือป้องกันระบบถูกโจมตีจนไม่สามารถให้บริการได้
(5) ตรวจสอบและรับมือแอปพลิเคชันปลอมบนเว็บไซต์อื่น นอกเหนือจากแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ
ที่มา : ธนาคารแห่งประเทศไทย