เชื่อว่า Mobile Banking หรือแอปสำหรับทำธุรกรรมทางการเงินของธนาคารต่าง ๆ จะเป็นแอปพื้นฐานที่ไม่ต่างกับแอปโซเชียลต่าง ๆ ไปเรียบร้อยแล้ว ล่าสุดแบงก์ชาติได้ยกระดับความปลอดภัยในการทำธุรกรรมทางการเงินโดยออกมาตรการใหม่มาด้วย โดยผู้ให้บริการจะต้องปฏิบัติตามมาตรการขั้นต่ำทั้งหมด 12 ข้อดังนี้
มาตรการ 12 ข้อ
- ไม่อนุญาตให้ใช้งานบนอุปกรณ์ที่ผ่านการ Root หรือ Jailbreak มาแล้ว
- ไม่อนุญาตให้ใช้งานบนระบบปฏิบัติการล้าสมัย (Obsolete OS) มีช่องโหว่ร้ายแรงที่ประกาศที่ประกาศจากหน่วยงานด้านความมั่นคงปลอดภัยที่เป็นสากล และกระทบการใช้งานของผู้ใช้บริการในวงกว้างเข้าใช้งานแอปพลิเคชัน
- มีการขอสิทธิการเข้าถึงหรือ Permission เท่าที่จำเป็นเท่านั้น และต้องมีการทบทวนการขอสิทธิ์ซำ้ด้วย เพื่อป้องกันการละเมิดความเป็นส่วนตัวของผู้ใช้งาน
- ป้องกัน Source code สำคัญรั่วไหล เช่น ระบบการโอนเงิน เป็นต้น
- ป้องกันการถูกฝังโค้ดไม่พึงประสงค์
- ต้องมีการเข้ารหัสข้อมูลของผู้ใช้งาน (Encrypt) ป้องกันข้อมูลรั่วไหล
- ไม่ให้แอป Mobile Banking ของผู้ให้บริการ ใช้เวอร์ชันต่ำกว่าที่กำหนดเพื่อป้องกันเรื่องความปลอดภัย
- ป้องกันการโจมตีในลักษณะ Distributed denial-of-service (DDoS Attack) ในระดับเครือข่าย (network layer) เพื่อป้องกันระบบจากการถูกโจมตีจนไม่สามารถให้บริการได้
- ป้องกันภัยจากการถูกดักจับหรือแก้ไขเปลี่ยนแปลงข้อมูลระหว่างการรับส่ง (Man in the Middle Attack) โดยยืนยันตัวตนด้วยเทคนิค Certificate Pinning หรือวิธีอื่นที่เทียบเท่าและการใช้ช่องทางสื่อสารที่ปลอดภัย (secure protocol) ในการรับส่งข้อมูล
- ป้องกันการสวมรอย
- ป้องกันการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (server) โดยไม่ได้รับอนุญาต เช่น การเข้าถึงโดยอาศัยวิธี SQL Injection, Local File Inclusion หรือ Directory Traversal เพื่อลดความเสี่ยงจากข้อมูลรั่วไหลและระบบถูกโจมตี
- ตรวจสอบและรับมือแอปพลิเคชันปลอมบนแพลตฟอร์มอิเล็กทรอนิกส์ ที่เป็นที่ยอมรับและน่าเชื่อถือ(officiale-Marketplace) เช่น Play Store, App Store เพื่อลดความเสี่ยงจากการที่ลูกค้าติดตั้งแอปพลิเคชันปลอม
นโยบายดังกล่าวจะเริ่มใช้งานจริงวันที่ 1 พฤษภาคมที่จะถึงนี้ อย่างไรก็ตาม แอปธนาคารส่วนใหญ่ก็เริ่มบังคับใช้บน Android และ iOS ใหม่ ๆ เท่านั้น
ยกตัวอย่างแอป Mobile Banking ของธนาคารกสิกร บังคับใช้บน Android 5.0 ขึ้นไป และบังคับใช้บน iOS 9 ขึ้นไปเท่านั้น แต่หลังจากประกาศฉบับนี้เริ่มใช้ ต้องติดตามว่าจะมีการบังคับใช้ OS รุ่นใหม่แค่ไหน ซึ่งฝั่ง iOS อาจจะไม่น่ากังวลมาก เพราะยังอัปเดต OS ได้นาน แต่ Android หลายเครื่องก็ไม่ได้รับการอัปเดตเวอร์ชั่นระบบปฏิบัติการอีกเลยหลังจากซื้อมา ซึ่งจุดนี้ก็เป็นเรื่องที่ผู้ใช้ต้องคิดต่อไป
อย่างไรก็ตาม สำหรับ Obsolete OS หรือระบบปฏิบัติการตกรุ่นนั้น ทางสถาบันการเงินจะมีการติดตามประกาศเรื่อง OS ตกรุ่นรวมถึงช่องโหว่ร้ายแรงอย่างสม่ำเสมอ เพราะฉะนั้นหากมีการประกาศใช้งานในอนาคต Android และ iOS อาจมีการปรับรุ่น (ที่ไม่ใช่ Android 5 และ iOS 9) เพื่อยกระดับความปลอดภัยมากยิ่งขึ้น
อ้างอิง bot
พิสูจน์อักษร : สุชยา เกษจำรัส