นักวิชาการคอมพิวเตอร์ มธ. แนะไทยทบทวนระบบความปลอดภัยธุรกรรมการเงินออนไลน์ หลังพบสถิติการโจรกรรมสูงขึ้นกว่า 82% เหตุให้ความสำคัญกับความสะดวกสบายมากกว่าความปลอดภัย เผยไทยใช้ระบบการยืนยันตัวตนแค่ 2 ระดับ ขณะที่หลายประเทศใช้การยืนยันตัวตน 3 ระดับที่มีความปลอดภัยสูงกว่า
ผศ.ดร.วิลาวรรณ รักผกาวงศ์ หัวหน้าสาขาวิชาวิทยาการคอมพิวเตอร์ คณะวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยธรรมศาสตร์ เปิดเผยว่า ภาครัฐ สถาบันการเงิน และประชาชนควรพิจารณาถึงเรื่องความสมดุลระหว่างระบบความปลอดภัยทางการเงินและความสะดวกสบายของผู้ใช้บริการ โดยเห็นได้จากกรณีล่าสุดเรื่องบริการ “พร้อมเพย์” (PromptPay) ที่ประชาชนเริ่มตื่นตัวกับเรื่องความปลอดภัยของระบบดังกล่าวมากขึ้นอย่างต่อเนื่อง ไม่ว่าจะเป็นการผูกหมายเลขโทรศัพท์หรือบัตรประชาชนเข้ากับบัญชีธนาคาร
แม้ว่าในการทำธุรกรรมผ่าน "พร้อมเพย์" จะใช้ในการรับเงินเป็นหลัก กล่าวคือ ถ้าเราเป็นคนรับเงินก็จะบอกหมายเลขโทรศัพท์หรือบัตรประชาชนแทนที่จะบอกเบอร์บัญชีและธนาคาร ซึ่งหมายถึงข้อมูลส่วนตัวที่สำคัญคือหมายเลขโทรศัพท์หรือหมายเลขบัตรประชาชน รวมถึงชื่อและนามสกุลจะต้องเปิดเผยให้กับผู้ที่จะโอนเงินมาให้ ซึ่งอาจมีความเสี่ยงมากขึ้น เนื่องจากมิจฉาชีพสามารถสรรหากลโกงต่างๆ เพื่อหลอกลวงหาประโยชน์ในรูปแบบที่คาดเดาได้ยาก เช่น SMS ปลอมเพื่อหลอกว่าได้มีการโอนเข้าบัญชีที่ผูกกับหมายเลขโทรศัพท์นั้น หรืออาจโทรศัพท์มาโดยอ้างว่าเจ้าหน้าที่หน่วยงานของรัฐหรือธนาคาร ซึ่งอาจจะทำให้เจ้าของบัญชีหลงเชื่อได้
ทั้งนี้ โดยทั่วไปนโยบายของผู้ให้บริการทางการเงินของประเทศไทยจะให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้เป็นอันดับแรก และจะให้ความสำคัญกับความปลอดภัยเป็นอันดับรอง โดยไม่ได้คำนึงว่าความสะดวกสบายมักจะแปรผกผันกับเรื่องความปลอดภัย โดยหนึ่งในตัวอย่างที่เห็นได้ชัดกับประเด็นดังกล่าว คือ การให้บริการซื้อตั๋วชมภาพยนตร์ผ่านตู้ให้บริการอัตโนมัติ ซึ่งเป็นช่องทางที่ทำให้ผู้ใช้สะดวกมากขึ้นในการชมภาพยนตร์ แต่ไม่ได้คำนึงถึงความปลอดภัยในกรณีที่มีผู้นำบัตรที่เก็บได้หรือขโมยมาใช้งาน เนื่องจากตู้จำหน่ายตั๋วอัตโนมัติดังกล่าว ไม่มีขั้นตอนการพิสูจน์ตัวตนของผู้ถือบัตรก่อนที่จำหน่ายตั๋ว
นอกจากนี้ประเด็นการใช้งานการกดเงินสดที่ตู้เอทีเอ็ม ในประเทศไทย เมื่อทำรายการเสร็จเรียบร้อย ธนบัตรจะออกมาก่อนตัวบัตรเอทีเอ็ม/เครดิต/เดบิตที่ใช้กด และในบางกรณีก่อนที่บัตรจะออกยังมีการนำเสนอโปรโมชั่นต่างๆ อีกหนึ่งขั้น อันทำให้เกิดเหตุการณ์การลืมบัตรไว้ที่ตู้เอทีเอ็มจำนวนมาก โดยเหตุผลหลักที่เป็นเช่นนี้ ก็เพื่ออำนวยความสะดวกกับพฤติกรรมผู้บริโภคของไทย ที่นิยมทำหลายธุรกรรม (transaction) ในการใช้ตู้เอทีเอ็มหนึ่งครั้ง เพื่อไม่ให้ผู้บริโภคต้องเสียบบัตรดังกล่าวหลายรอบ ซึ่งในขณะที่การกดเงินสดที่ตู้เอทีเอ็มในต่างประเทศหลายประเทศ เมื่อทำรายการ บัตรจะออกมาให้ผู้ใช้รับไปก่อนธนบัตร ซึ่งทำให้โอกาสการลืมบัตรไว้ที่ตู้เอทีเอ็มนั้นน้อยกว่ามาก
ผศ.ดร.วิลาวรรณ กล่าวต่อไปว่า ประเทศไทยจะคำนึงถึงความปลอดภัยเมื่อเกิดปัญหาขึ้นก่อน ดังเช่นปัญหาเรื่องการปลอมแปลงบัตรที่ใช้แถบแม่เหล็กสามารถถูกคัดลอกข้อมูลได้โดยง่าย สามารถผลิตบัตรปลอมได้จำนวนมากในระยะเวลาอันสั้น ซึ่งหลากหลายประเทศในยุโรปได้ยกเลิกบัตรแถบแม่เหล็กมานานแล้วและไปใช้บัตรสมาร์ทการ์ดที่มี “ชิป” โดยบัตรดังกล่าว ตามหลักวิชาการปัจจุบันยังไม่สามารถปลอมแปลงหรือทำซ้ำได้ จึงมีความปลอดภัยกว่าบัตรแบบแถบแม่เหล็ก แต่ในประเทศไทยเพิ่งจะเริ่มให้ความสำคัญหลังจากเกิดปัญหากับลูกค้าจำนวนมากในหลายธนาคาร ทำให้ธนาคารแห่งประเทศไทยสั่งการให้ธนาคารทุกแห่งในประเทศไทยเปลี่ยนการใช้บัตรมาเป็นแบบ” ชิปการ์ด” ภายในปี 2562
ส่วนอีกหนึ่งประเด็นสำคัญ คือ เรื่องระบบการทำธุรกรรมทางการเงินออนไลน์ หรือผ่านโทรศัพท์มือถือ (Online Banking / Mobile Banking) ในประเทศไทยใช้ระบบการยืนยันตนเองสองระดับ (2FA-2-Factor Authentication) คือ ระดับแรกระบบจะต้องใช้ สิ่งที่ผู้ใช้ทราบ (Something you know) นั่นก็คือ ชื่อบัญชีผู้ใช้งานและรหัสผ่าน (Username and Password) จากนั้นเมื่อมีการทำรายการ ระบบจะทำการตรวจสอบระดับที่สอง คือ สิ่งที่ผู้ใช้มี (Something you have) โดยในประเทศไทยเลือกใช้วิธีการส่ง ชุดรหัสผ่านที่ใช้ครั้งเดียว (OTP-One Time Password) ไปยังโทรศัพท์มือถือ ที่ลงทะเบียนไว้กับทางสถาบันการเงิน การใช้วิธีดังกล่าวมีช่องโหว่ในเรื่องหากเกิดเหตุโทรศัพท์โดนขโมยหรือตกอยู่ในมือของผู้ไม่ประสงค์ดี ตัวรหัสผ่านครั้งเดียวนี้ก็จะไม่สามารถป้องกันอะไรได้เลย ในขณะที่ประเทศหลายประเทศในยุโรป เช่น ประเทศอังกฤษมีการใช้ระบบการยืนยันตนเองสามระดับ (3-Factor Authentication) เริ่มจากการบังคับให้ผู้ใช้ตั้งรหัสผ่านที่มีความยาวหรือซับซ้อนมากขึ้น และในการ Logon เข้าสู่ระบบออนไลน์ แต่ละครั้งผู้ใช้ไม่ได้ใส่ค่ารหัสผ่านทั้งหมด แต่ระบบจะมีการสุ่มถามตัวอักษรในตำแหน่งต่างๆ ของรหัสผ่านที่ไม่ซ้ำกัน เช่น ให้ป้อนรหัสผ่านตำแหน่งที่ 5, 2, 4 เป็นต้น ซึ่งกระบวนการดังกล่าวทำให้การส่งข้อมูลทุกครั้งไม่เหมือนเดิม เป็นการเพิ่มความปลอดภัยในการใช้งานอีกระดับหนึ่ง
นอกจากนี้ ผู้ใช้ที่จะทำธุรกรรมการเงินออนไลน์จะต้องมีบัตรสมาร์ทการ์ด และทางธนาคารจะแจกการ์ดรีดเดอร์ (Card Reader) ในการทำธุรกรรมออนไลน์ ผู้ใช้จะต้องใช้บัตรสมาร์ทการ์ดใส่ในการ์ดรีดเดอร์และใส่ค่าพินของบัตรที่ถูกต้องจึงจะสามารถผ่านขั้นตอนเพื่อทำธุรกรรมการเงินที่สำคัญได้ จึงเป็นการเพิ่มความปลอดภัยในการใช้งานออนไลน์อีกระดับหนึ่ง
จากตัวอย่างต่างๆ ที่ยกมาข้างต้น สะท้อนให้เห็นว่า นโยบายการให้บริการทางการเงินของประเทศไทยให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้บริการมากกว่าด้านความปลอดภัยของข้อมูลและการใช้บริการ ซึ่งตรงกันข้ามกับต่างประเทศหลากหลายประเทศ ที่ให้ความสำคัญกับด้านความปลอดภัยเป็นหลัก โดยเมื่อเทียบสถิติการร้องเรียนกรณีโจรกรรมทางการเงินออนไลน์จากข้อมูลของศูนย์คุ้มครองผู้ใช้บริการทางการเงิน ในไตรมาสที่ 3 ปี 2558 กับช่วงเดียวกันในปี 2559 พบว่ามีจำนวนสูงขึ้นถึง 82.47% ซึ่งจะต้องหันกลับมาพิจารณาทั้งในส่วนผู้ให้บริการ คือ สถาบันการเงินต่างๆ และผู้ใช้บริการว่าควรจะปรับตัวอย่างไรกับประเด็นนี้