ThaiPublica > เกาะกระแส > ธปท.เข้มความปลอดภัยโมบายแบงกิ้ง สั่งแบงก์ปรับปรุงระบบให้รัดกุมภายในพ.ค.’63

ธปท.เข้มความปลอดภัยโมบายแบงกิ้ง สั่งแบงก์ปรับปรุงระบบให้รัดกุมภายในพ.ค.’63

22 ธันวาคม 2019


นางสาวสิริธิดา พนมวัน ณ อยุธยา(ซ้าย) ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน และนางบุษกร ธีระปัญญาชัย ผู้อำนวยการอาวุโส ฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีสารสนเทศ ธปท. แถลงข่าว

ปัจจุบันธุรกิจสถาบันการเงินมีการนำเทคโนโลยีมาใช้ในการเพิ่มประสิทธิภาพและการให้บริการกับลูกค้า ทำให้เกิดความสะดวก รวดเร็ว มีต้นทุนถูกลง และลูกค้าสามารถเข้าถึงบริการได้ง่ายขึ้น แต่การใช้เทคโนโลยีสารสนเทศ ทำให้สถาบันการเงินต้องเผชิญกับความเสี่ยงใหม่ๆ ด้านเทคโนโลยีสารสนเทศ (IT Risk) และจากภัยคุกคามทางไซเบอร์ (Cyber Attack)

ธนาคารแห่งประเทศไทย (ธปท.) เห็นความสำคัญในเรื่องดังกล่าว จึงได้ยกระดับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศและความเสี่ยงจากภัยไซเบอร์ เพื่อสร้างความมั่นคงปลอดภัยให้กับระบบของสถาบันการเงินและประชาชนผู้ใช้บริการ โดยได้ปรับปรุงการกำกับดูแลความเสี่ยงด้าน IT อย่างต่อเนื่อง พัฒนากรอบการประเมินความมั่นคงปลอดภัยไซเบอร์ มีเกณฑ์การดูแลความเสี่ยงจากการใช้บริการหรือการเชื่อมต่อกับบุคคลภายนอก (3rd party) กำหนดให้สถาบันการเงินมีกรรมการที่มีความรู้หรือประสบการณ์ด้าน IT มีผู้บริหารระดับสูงที่ดูแลด้าน security (CISO) ตลอดจนกำหนดเกณฑ์ให้สถาบันการเงินยกระดับการทดสอบระบบในการรับมือภัยไซเบอร์ที่เสมือนจริงมากขึ้น (Red teaming)

นอกจากนี้ การทำธุรกรรมทางการเงินผ่าน Mobile banking มีปริมาณสูงและเติบโตอย่างต่อเนื่อง โดยนางสาวสิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงิน และเทคโนโลยีทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ใน 9 เดือนแรกปี 2562 มีผู้ใช้งานโมบายแบงกิ้ง (Mobile Banking) 55 ล้านบัญชี และที่ผ่านมายอดธุรกรรมโมบายแบงกิ้งมีมากกว่า 3,200 ล้านรายการ

สำหรับปี 2561 จำนวนลูกค้าโมบาย แบงกิ้ง มีจำนวน 41 ล้านบัญชี มีปริมาณธุรกรรมจำนวน 2,700 ล้านรายการ

เพื่อดูแลความมั่นคงปลอดภัยของการใช้บริการผ่านช่องทางดังกล่าวให้มีความรัดกุมตามมาตรฐานสากล รวมทั้งสร้างความเชื่อมั่นให้กับประชาชนผู้ใช้บริการ ธปท. จึงออก “แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principle for Mobile Banking Security)”

แนวนโยบายประกอบด้วยมาตรการด้านความปลอดภัยของระบบ Mobile Banking 2 ระดับ คือ

มาตรการขั้นต่ำ ที่สถาบันการเงินต้องดำเนินการ เช่น การไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ไม่ปลอดภัย ทั้งการนำไปเปิดสิทธิ์ให้เข้าถึงระบบปฏิบัติการ (rooted/jailbroken) หรือ ใช้ระบบปฏิบัติการที่ล้าสมัย ซึ่งผู้ผลิตมีการประกาศให้ลูกค้าทราบอย่างต่อเนื่อง (obsolete operating system) การเข้ารหัสไฟล์ข้อมูล การจำกัดการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (server) รวมทั้งต้องมีการสร้างความรู้ความเข้าใจในการใช้เทคโนโลยีทางการเงินให้แก่ประชาชนด้วย เป็นต้น

มาตรการเพิ่มเติม ที่สถาบันการเงินสามารถพิจารณาดำเนินการตามความเหมาะสม เพื่อเพิ่มความปลอดภัยของการบริการให้แข็งแกร่งยิ่งขึ้น เช่น การกำหนดให้ PIN และ Password มีความซับซ้อนคาดเดาได้ยาก หรือ การเพิ่มการตรวจสอบแอปพลิเคชันปลอมให้ครอบคลุมขึ้น ทั้งนี้ จะมีเวลาให้เวลาสถาบันการเงินในการปรับปรุงระบบและสื่อสารกับลูกค้า และมีผลบังคับใช้ในเดือนพฤษภาคม 2563 ต่อไป