นักวิชาการ มธ.พบสถิติโจรกรรมทางการเงินออนไลน์พุ่ง 82%
นักวิชาการคอมพิวเตอร์ มธ. พบโมมายแบงกิ้งไทยยังมีช่องโหว่เรื่องความปลอดภัย ไม่ได้ให้ความสำคัญเรื่องความปลอดภัยเป็นหลัก ขณะที่ต่างชาติ ใช้ระบบการยืนยันตนเองสามระดับ หากต้องทำธุรกรรมออนไลน์
ผศ.ดร.วิลาวรรณ รักผกาวงศ์ หัวหน้าสาขาวิชาวิทยาการคอมพิวเตอร์ คณะวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยธรรมศาสตร์ (มธ.) กล่าวถึงนโยบายการให้บริการทางการเงินของประเทศไทย ที่ให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้บริการ มากกว่าด้านความปลอดภัยของข้อมูลและการใช้บริการ ซึ่งตรงกันข้ามกับต่างประเทศหลากหลายประเทศ ที่ให้ความสำคัญกับด้านความปลอดภัยเป็นหลัก ซึ่งเมื่อเทียบสถิติของศูนย์คุ้มครองผู้ใช้บริการทางการเงิน เรื่องการร้องเรียนกรณีโจรกรรมทางการเงินออนไลน์ ในไตรมาสที่ 3 ปี 2558 กับช่วงเดียวกันในปี 2559 นั้น พบว่ามีจำนวนสูงขึ้นถึง 82.47 เปอร์เซ็นต์ ฉะนั้นภาครัฐต้องหันกลับมาพิจารณาทั้งในส่วนผู้ให้บริการ คือสถาบันการเงินต่างๆ และผู้ใช้บริการ ว่าควรจะปรับตัวอย่างไรกับประเด็นนี้
ผศ.ดร.วิลาวรรณ กล่าวถึงภาครัฐ สถาบันการเงิน และประชาชนควรพิจารณาถึงเรื่องความสมดุลระหว่างระบบความปลอดภัยทางการเงินและความสะดวกสบายของผู้ใช้บริการ โดยเห็นได้จากกรณีล่าสุดเรื่องบริการ “พร้อมเพย์” (PromptPay) ที่ประชาชนเริ่มตื่นตัวกับเรื่องความปลอดภัยของระบบดังกล่าวมากขึ้นอย่างต่อเนื่อง ไม่ว่าจะเป็นการผูกหมายเลขโทรศัพท์หรือบัตรประชาชนเข้ากับบัญชีธนาคาร
ผศ.ดร.วิลาวรรณ กล่าวอีกว่า แม้การทำธุรกรรมผ่าน ”พร้อมเพย์” จะใช้ในการรับเงินเป็นหลัก กล่าวคือ ถ้าเราเป็นคนรับเงินก็จะบอกหมายเลขโทรศัพท์หรือบัตรประชาชนแทนที่จะบอกเบอร์บัญชีและธนาคาร ซึ่งหมายถึงข้อมูลส่วนตัวที่สำคัญคือหมายเลขโทรศัพท์หรือหมายเลขบัตรประชาชน รวมถึงชื่อและนามสกุลจะต้องเปิดเผยให้กับผู้ที่จะโอนเงินมาให้ อาจมีความเสี่ยงมากขึ้น เนื่องจากมิจฉาชีพสามารถสรรหากลโกงต่างๆ เพื่อหลอกลวงหาประโยชน์ในรูปแบบที่คาดเดาได้ยาก เช่น SMS ปลอมเพื่อหลอกว่าได้มีการโอนเข้าบัญชีที่ผูกกับหมายเลขโทรศัพท์นั้น หรืออาจโทรศัพท์มาโดยอ้างว่าเจ้าหน้าที่หน่วยงานของรัฐหรือธนาคาร ซึ่งอาจจะทำให้เจ้าของบัญชีหลงเชื่อได้
"โดยทั่วไปนโยบายของผู้ให้บริการทางการเงินของประเทศไทยจะให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้มาเป็นอันดับแรก และจะให้ความสำคัญกับความปลอดภัยเป็นอันดับรอง และไม่ได้คำนึงว่าความสะดวกสบายมักจะแปรผกผันกับเรื่องความปลอดภัย หนึ่งในตัวอย่างที่เห็นได้ชัดกับประเด็นดังกล่าวคือ การให้บริการซื้อตั๋วชมภาพยนต์ผ่านตู้ให้บริการอัตโนมัติ ซึ่งเป็นช่องทางที่ทำให้ผู้ใช้สะดวกมากขึ้นในการชมภาพยนตร์ แต่ไม่ได้คำนึงถึงความปลอดภัยในกรณีที่มีผู้นำบัตรที่เก็บได้หรือขโมยมาใช้งาน เนื่องจากตู้จำหน่ายตั๋วอัตโนมัติดังกล่าว ไม่มีขั้นตอนการพิสูจน์ตัวตนของผู้ถือบัตรก่อนที่จำหน่ายตั๋ว
นอกจากนี้ประเด็นการใช้งานการกดเงินสดที่ตู้เอทีเอ็ม ในประเทศไทยนั้นเมื่อทำรายการเสร็จเรียบร้อย ธนบัตรจะออกมาก่อนตัวบัตรเอทีเอ็ม/เครดิต/เดบิตที่ใช้กด และในบางกรณีก่อนที่บัตรจะออกยังมีการนำเสนอโปรโมชั่นต่างๆ อีกหนึ่งขั้น อันทำให้เกิดเหตุการณ์การลืมบัตรฯ ไว้ที่ตู้เอทีเอ็มจำนวนมาก โดยเหตุผลหลักที่เป็นเช่นนี้ ก็เพื่ออำนวยความสะดวกกับพฤติกรรมผู้บริโภคของไทย ที่นิยมทำหลายธุรกรรม (transaction) ในการใช้ตู้เอทีเอ็มหนึ่งครั้ง เพื่อไม่ให้ผู้บริโภคต้องเสียบบัตรดังกล่าวหลายรอบ ต่างจากการกดเงินสดที่ตู้เอทีเอ็มในต่างประเทศหลายประเทศนั้น เมื่อทำรายการ บัตรฯ จะออกมาให้ผู้ใช้รับไปก่อนธนบัตร ซึ่งทำให้โอกาสการลืมบัตรไว้ที่ตู้เอทีเอ็มนั้นน้อยกว่ามาก"
ผศ.ดร.วิลาวรรณ กล่าวเพิ่มเติมว่า ประเทศไทยจะคำนึงถึงความปลอดภัยเมื่อเกิดปัญหาก่อน ดังเช่นปัญหาเรื่องการปลอมแปลงบัตรฯ ที่ใช้แถบแม่เหล็กสามารถถูกคัดลอกข้อมูลได้โดยง่าย สามารถผลิตบัตรฯปลอมได้จำนวนมากโดยใช้ระยะเวลาอันสั้น ซึ่งหลากหลายประเทศในยุโรปได้ยกเลิกบัตรแถบแม่เหล็กมานานแล้วและไปใช้บัตรสมาร์ทการ์ดที่มี “ชิป” โดยบัตรฯ ดังกล่าว ตามหลักวิชาการปัจจุบันนั้น ยังไม่สามารถปลอมแปลงหรือทำซ้ำได้ จึงมีความปลอดภัยกว่าบัตรแบบแถบแม่เหล็ก แต่ในประเทศไทยเพิ่งจะเริ่มให้ความสำคัญหลังจากเกิดปัญหากับลูกค้าจำนวนมากในหลายธนาคาร ทำให้ธนาคารแห่งประเทศสั่งการให้ธนาคารทุกแห่งในประเทศไทยเปลี่ยนการใช้บัตรมาเป็นแบบ” ชิปการ์ด” ภายในปี 2562
ผศ.ดร.วิลาวรรณ กล่าวถึงประเด็นสำคัญคือเรื่องระบบการทำธุรกรรมทางการเงินออนไลน์หรือผ่านโทรศัพท์มือถือ (Online Banking / Mobile Banking) ในประเทศไทยใช้ระบบการยืนยันตนเองสองระดับ (2FA - 2-Factor Authentication) คือ ระดับแรกระบบจะต้องใช้ สิ่งที่ผู้ใช้ทราบ (Something you know) นั่นก็คือ ชื่อบัญชีผู้ใช้งานและรหัสผ่าน (Username and Password) จากนั้นเมื่อมีการทำรายการ ระบบจะทำการตรวจสอบระดับที่สอง คือ สิ่งที่ผู้ใช้มี (Something you have) โดยในประเทศไทยเลือกใช้วิธีการส่ง ชุดรหัสผ่านที่ใช้ครั้งเดียว (OTP – One Time Password) มายังโทรศัพท์มือถือ ที่ลงทะเบียนไว้กับทางสถาบันการเงิน การใช้วิธีดังกล่าวมีช่องโหว่ในเรื่องหากเกิดเหตุโทรศัพท์โดนขโมยหรือตกอยู่ในมือของผู้ไม่ประสงค์ดี ตัวรหัสผ่านครั้งเดียวนี้ก็จะไม่สามารถป้องกันอะไรได้เลย
"หลายประเทศในยุโรป เช่น ประเทศอังกฤษ จะมีการใช้ระบบการยืนยันตนเองสามระดับ (3-Factor Authentication) เริ่มจากการบังคับให้ผู้ใช้ตั้งรหัสผ่านที่มีความยาวหรือซับซ้อนมากขึ้น และในการ Logon เข้าสู่ระบบออนไลน์ แต่ละครั้งผู้ใช้ไม่ได้ใส่ค่ารหัสผ่านทั้งหมด แต่ระบบจะมีการสุ่มถามตัวอักษรในตำแหน่งต่างๆ ของรหัสผ่านที่ไม่ซ้ำกัน เช่น ให้ป้อนรหัสผ่านตำแหน่งที่ 5, 2, 4 เป็นต้น ซึ่งกระบวนการดังกล่าว จะทำให้การส่งข้อมูลทุกครั้งไม่เหมือนเดิม เป็นการเพิ่มความปลอดภัยในการใช้งานอีกระดับหนึ่ง
นอกจากนี้ ผู้ใช้ที่จะทำธุรกรรมการเงินออนไลน์จะต้องมีบัตรสมาร์ทการ์ด และทางธนาคารจะแจกการ์ดรีดเดอร์ (Card Reader) ในการทำธุรกรรมออนไลน์ ผู้ใช้จะต้องใช้บัตรสมาร์คทาร์ดใส่ในการ์ดรีดเดอร์และใส่ค่าพินของบัตรที่ถูกต้องจึงจะสามารถผ่านขั้นตอนเพื่อทำธุรกรรมการเงินที่สำคัญได้ จึงป็นการเพิ่มความปลอดภัยในการใช้งานออนไลน์อีกระดับหนึ่ง"