แบงค์ชาติเพิ่มความปลอดภัย Mobile Banking ธนาคารต้องหยุดให้บริการบน OS หมดอายุภายใน 6 เดือน หรือเพิ่มมาตรการความปลอดภัย

หลังจากธนาคารแห่งประเทศไทยประกาศ "แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่" วันนี้ประกาศฉบับเต็มก็ออกมาแล้ว โดยประกาศมีมาตรการขั้นต่ำ 12 ประการ

1. ไม่อนุญาตให้เครื่องใช้ root หรือ jailbreak ใช้งาน
2. ไม่อนุญาตให้เครื่องใช้ระบบปฏิบัติการล้าสมัยใช้งาน หรือมีมาตรการลดความเสี่ยง โดยระบบปฏิบัติการล้าสมัยนั้นยึดตามผู้ผลิตเป็นหลัก (ตอนนี้กูเกิลออกแพตช์เฉพาะ Android 8 ขึ้นไป ส่วน Android 7 มีแพตช์สุดท้ายเมื่อเดือนตุลาคมที่ผ่านมา)
3. แอปธนาคารต้องขอสิทธิ์เท่าที่จำเป็น เพื่อป้องกันการละเมิดความเป็นส่วนตัวของผู้ใช้บริการ
4. ปกป้องซอร์สโค้ดสำคัญไม่ให้ผู้ใช้แก้ไข
5. ป้องกันการฝังโค้ดมุ่งร้ายในแอปพลิเคชั่น
6. เข้ารหัสลับป้องกันไฟล์ข้อมูล
7. บังคับผู้ใช้อัพเดตแอปเป็นเวอร์ชั่นล่าสุด ไม่ปล่อยให้ใช้เวอร์ชั่นเก่า
8. ปกป้องเซิร์ฟเวอร์จากการโจมตี DDoS
9. ป้องกันการดักฟัง ต้องยืนยันตัวตนของเซิร์ฟเวอร์อย่างแน่นหนาเทียบเท่ากับการทำ certification pinning
10. ป้องกันการขโมยล็อกอินผู้ใช้ (session hijacking)
11. ป้องกันเซิร์ฟเวอร์จากการโจมตี เช่น การทำ SQL Injection, directory traversal
12. ตรวจสอบแอปปลอมบน Google Play และ App Store

จุดที่จะกระทบผู้ใช้ทั่วไปคงเป็นสองข้อแรก โดยปีนี้บางธนาคารเริ่มบล็อคไม่ให้ Android 4.4 หรือต่ำกว่าใช้บริการ หากนับเฉพาะแอนดรอยด์ที่ยังมีแพตช์อยู่ ภายในกลางปีนี้จะเป็น Android 5 ไปจนถึง Android 7 เข้าข่ายไปพร้อมกัน นับว่าส่งผลกระทบกว้างพอสมควร อย่างไรก็ดี ประกาศนี้ไม่ได้ระบุให้ธนาคารต้องบล็อคผู้ใช้ทั้งหมดไปทันที แต่อาจเพิ่มมาตรการความปลอดภัยเพิ่มเติม หรือลดความเสี่ยง เช่น ลดวงเงินที่ใช้งานได้

แนวทางยังระบุถึงการทำงานของพนักงานธนาคาร ที่ต้องช่วยเหลือลูกค้าเท่าที่จำเป็นไม่ใส่รหัสแทนลูกค้า และยังมีแนวทางเพิ่มเติมคำแนะนำให้ธนาคาารตรวจสอบความซับซ้อนรหัสผ่าน มีการปิดบังหน้าจอเมื่อย่อแอปพลิเคชั่น ตลอดจนการตรวจแอปปลอมจากแหล่งอื่นๆ

ที่มา - Bank of Thailand

ภาพโดย mohamed_hassan