Home Promotions.co.th News แบงก์ชาติ เตือน ! สิ้นปีนี้ ห้ามมือถือรุ่นเก่า-เวอร์ชั่นต่ำ ใช้ Mobile Banking

แบงก์ชาติ เตือน ! สิ้นปีนี้ ห้ามมือถือรุ่นเก่า-เวอร์ชั่นต่ำ ใช้ Mobile Banking

Businessman using laptop and mobile phone for online communication.

เตรียมโบกมือลา ! มือถือรุ่นเก่า

ตามที่เคยมีกระแสข่าวมาตั้งแต่ช่วงเดือนธันวาคม 2562 ว่า ธนาคารแห่งประเทศไทย (ธปท.) เตรียมออกเกณฑ์รักษาความปลอดภัย โมบายแบงกิ้งของสถาบันการเงินทั้งระบบ หลังพบว่า มีการใช้งานโมบายแบงกิ้งเพิ่มขึ้นอย่างรวดเร็ว ส่งผลให้โทรศัพท์มือถือ จึงถือเป็นอุปกรณ์ที่สำคัญ และมีบทบาทมากขึ้นเรื่อย ๆ ในการทำธุรกรรมทางการเงิน

ด้วยเหตุนี้เอง ธปท. จึงเล็งเห็นว่า ควรดูแลความปลอดภัยบนโมบายแบงกิ้ง เพื่อให้ผู้ใช้บริการใช้งานอย่างปลอดภัยและสบายใจมากขึ้น สอดคล้องกับต่างประเทศ ที่มีการยกระดับความปลอดภัยในการทำธุรกรรมทางการเงินบนโมบายแบงกิ้งเพิ่มขึ้น

และล่าสุด วันที่ 20 สิงหาคม 2563 ธนาคารแห่งประเทศไทย (ธปท.) ได้ออกหนังสือเวียนเรื่องนโยบายการรักษาความมั่นคงปลอดภัยการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security) โดยแนวนโยบายฉบับนี้จะมีผลบังคับใช้ตั้งแต่ 31 ธันวาคม 2563 เป็นต้นไป

สำหรับการยกระดับความมั่นคงปลอดภัยในการให้บริการชำระเงินผ่านช่องทางอุปกรณ์เคลื่อนที่ให้มีการป้องกันและควบคุมความเสี่ยงจากภัยคุกคามไซเบอร์ของ ธปท. ประกอบด้วยมาตรการ 2 ระดับ

มาตรการขั้นต่ำ

(1) ไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ที่เปิดสิทธิให้เข้าถึงระบบปฏิบัติการเข้าใช้งานแอปพลิเคชัน เพื่อลดความเสี่ยงผู้ไม่ประสงค์ดี สามารถเข้าถึงข้อมูลสำคัญของผู้ใช้บริการ และละเมิดหรือหลีกเลี่ยงมาตรการรักษาความมั่นคงปลอดภัยที่ผู้ให้บริการกำหนดไว้

(2) ไม่อนุญาตให้อุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการล้าสมัย มีช่องโหว่ร้ายแรงที่ประกาศจากหน่วยงานด้านความมั่นคงปลอดภัยที่เป็นสากล และกระทบการใช้งานของผู้ใช้บริการในวงกว้าง

(3) ขอสิทธิเข้าถึงทรัพยากรหรือบริการโดยแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่าที่จำเป็น และมีกระบวนการทบทวนการขอสิทธิดังกล่าวอย่างเป็นประจำ เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัวของผู้ใช้บริการ

(4) ป้องกัน Source Code ส่วนสำคัญไม่ให้รั่วไหลจากแอปพลิเคชัน เพื่อลดความเสี่ยงจากผู้ไม่ประสงค์ดี

(5) ป้องกันการฝังข้อมูลสำคัญ หรือ Code ที่ไม่พึงประสงค์บนแอปพลิเคชัน

(6) เข้ารหัสไฟล์ข้อมูลที่จัดเก็บข้อมูลสำคัญบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ เพื่อป้องกันข้อมูลสำคัญของผู้ใช้บริการรั่วไหล

(7) ไม่อนุญาตให้ผู้ใช้บริการใช้แอปพลิเคชันเวอร์ชันต่ำกว่าที่ผู้ให้บริการกำหนด

(8) ป้องกันการโจมตีในลักษณะ Distributed Denial-of-Service ในระดับเครือข่าย

(9) ป้องกันภัยจากการถูกดักจับหรือแก้ไขเปลี่ยนแปลงข้อมูลระหว่างการรับส่ง โดยยืนยันตัวตนด้วยเทคนิค Certificate Pinning หรือวิธีอื่นที่เทียบเท่า และการใช้ช่องทางสื่อสารที่ปลอดภัยในการรับส่งข้อมูล

(10) ป้องกันการสวมรอยการเข้าใช้งานของผู้ใช้บริการ

(11) ป้องกันการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (Server) โดยไม่ได้รับอนุญาต เพื่อลดความเสี่ยงจากข้อมูลรั่วไหลและระบบถูกโจมตี

(12) ตรวจสอบและรับมือแอปพลิเคชันปลอมบนแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ อาทิ Google Play Store, App Store เพื่อลดความเสี่ยงจากการที่ผู้ใช้บริการดาวน์โหลดและติดตั้งแอปพลิเคชันปลอม

มาตรการเพิ่มเติม

(1) ตรวจสอบการเปลี่ยนแปลงแก้ไขแอปพลิเคชัน เมื่อผู้ใช้บริการเข้าใช้งานในทันที เพื่อป้องกันไม่ให้ข้อมูลผู้ใช้บริการรั่วไหลหรือเกิดความเสียหาย จากแอปพลิเคชันที่มีการดัดแปลงแก้ไข โดยฝัง Malicious Code ไว้

(2) กำหนดให้ตั้งค่า PIN หรือรหัสผ่านที่ซับซ้อนในการเข้าใช้งานแอปพลิเคชันเพื่อให้ยากต่อการคาดเดา

(3) แสดงผลข้อมูลผู้ใช้บริการบนแอปพลิเคชันอย่างรัดกุม เช่น การปิดบังข้อมูลสำคัญของผู้ใช้บริการ

(4) ป้องกันภัยคุกคามในระดับแอปพลิเคชัน อาทิ การเข้ารหัสข้อมูลสำคัญระหว่างรับ/ส่ง การป้องกัน DDoS Attack เพื่อยกระดับการป้องกันข้อมูลรั่วไหล หรือป้องกันระบบถูกโจมตีจนไม่สามารถให้บริการได้

(5) ตรวจสอบและรับมือแอปพลิเคชันปลอมบนเว็บไซต์อื่น นอกเหนือจากแพลตฟอร์มอิเล็กทรอนิกส์ที่เป็นที่ยอมรับและน่าเชื่อถือ

ที่มา : ธนาคารแห่งประเทศไทย


READ MORE :
Exit mobile version