ธปท. ออกแนวนโยบายเพื่อยกระดับการรักษาความปลอดภัย Mobile banking ทั้งระบบ
เมื่อวันที่ 20 ธ.ค. 2562 สำนักข่าวอิศรา www.isranews.org รายงานว่า ธปท.แถลงนโยบายใหม่ ดังนี้ ปัจจุบันธุรกิจสถาบันการเงินมีการนำเทคโนโลยีมาใช้ในการเพิ่มประสิทธิภาพและการให้บริการกับลูกค้า ทำให้เกิดความสะดวก รวดเร็ว มีต้นทุนถูกลง และลูกค้าสามารถเข้าถึงบริการได้ง่ายขึ้น แต่การใช้เทคโนโลยีสารสนเทศ ทำให้สถาบันการเงินต้องเผชิญกับความเสี่ยงใหม่ๆ ด้านเทคโนโลยีสารสนเทศ (IT Risk) และจากภัยคุกคามทางไซเบอร์ (Cyber Attack)
ธนาคารแห่งประเทศไทย (ธปท.) เห็นความสำคัญในเรื่องดังกล่าว จึงได้ยกระดับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศและความเสี่ยงจากภัยไซเบอร์ เพื่อสร้างความมั่นคงปลอดภัยให้กับระบบของสถาบันการเงินและประชาชนผู้ใช้บริการ โดยได้ปรับปรุงการกำกับดูแลความเสี่ยงด้าน IT อย่างต่อเนื่อง พัฒนากรอบการประเมินความมั่นคงปลอดภัยไซเบอร์ มีเกณฑ์การดูแลความเสี่ยงจากการใช้บริการหรือการเชื่อมต่อกับบุคคลภายนอก (3rd party) กำหนดให้สถาบันการเงินมีกรรมการที่มีความรู้หรือประสบการณ์ด้าน IT มีผู้บริหารระดับสูงที่ดูแลด้าน security (CISO) ตลอดจนกำหนดเกณฑ์ให้สถาบันการเงินยกระดับการทดสอบระบบในการรับมือภัยไซเบอร์ที่เสมือนจริงมากขึ้น (Red teaming)
นอกจากนี้ การทำธุรกรรมทางการเงินผ่าน Mobile banking มีปริมาณสูงและเติบโตอย่างต่อเนื่อง เพื่อดูแลความมั่นคงปลอดภัยของการใช้บริการผ่านช่องทางดังกล่าวให้มีความรัดกุมตามมาตรฐานสากล รวมทั้งสร้างความเชื่อมั่นให้กับประชาชนผู้ใช้บริการ ธปท. จึงออก “แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principle for Mobile Banking Security)”
แนวนโยบายประกอบด้วยมาตรการด้านความปลอดภัยของระบบ Mobile Banking 2 ระดับ คือ
มาตรการขั้นต่ำ ที่สถาบันการเงินต้องดำเนินการ เช่น การไม่อนุญาตให้ใช้อุปกรณ์เคลื่อนที่ไม่ปลอดภัย ทั้งการนำไปเปิดสิทธิ์ให้เข้าถึงระบบปฏิบัติการ (rooted/jailbroken) หรือ ใช้ระบบปฏิบัติการที่ล้าสมัย ซึ่งผู้ผลิตมีการประกาศให้ลูกค้าทราบอย่างต่อเนื่อง (obsolete operating system) การเข้ารหัสไฟล์ข้อมูล การจำกัดการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (server) รวมทั้งต้องมีการสร้างความรู้ความเข้าใจในการใช้เทคโนโลยีทางการเงินให้แก่ประชาชนด้วย เป็นต้น
มาตรการเพิ่มเติม ที่สถาบันการเงินสามารถพิจารณาดำเนินการตามความเหมาะสม เพื่อเพิ่มความปลอดภัยของการบริการให้แข็งแกร่งยิ่งขึ้น เช่น การกำหนดให้ PIN และ Password มีความซับซ้อนคาดเดาได้ยาก หรือ การเพิ่มการตรวจสอบแอปพลิเคชันปลอมให้ครอบคลุมขึ้น ทั้งนี้ จะมีเวลาให้เวลาสถาบันการเงินในการปรับปรุงระบบและสื่อสารกับลูกค้า และมีผลบังคับใช้ในเดือน พ.ค. 2563 ต่อไป
Isranews Agency | สำนักข่าวอิศรา 