แบงค์ชาติออกประกาศมาตรฐานความปลอดภัยแอปธนาคาร หนึ่งบัญชีหนึ่งเครื่อง, ต้องทำ Certification Pinning

ธนาคารแห่งประเทศไทยประกาศแนวทางการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนโทรศัพท์มือถือ เป็นการรวบรวมข้อกำหนดต่างๆ จากประกาศของธนาคารแห่งประเทศไทยเองที่มีมาก่อนหน้านี้ให้เป็นประกาศเดียวกัน

แนวทางบังคับให้สถาบันการเงินต้องมีมาตรการ ได้แก่

1. ห้ามส่งลิงก์ทั้งผ่าน SMS และอีเมล สำหรับการโพสข้อมูลบน social media ห้ามโพสลิงก์ที่มีการขอข้อมูลสำคัญ แต่สามารถส่งลิงก์ได้เมื่อผู้ใช้ขอเป็นรายครั้ง
2. ธนาคารต้องติดตามการสร้างแอปปลอมทั้งบนสโตร์และนอกสโตร์
3. แอปธนาคารใช้ได้ 1 อุปกรณ์ต่อ 1 บัญชี ลงสองเครื่องใช้โทรศัพท์มือถือและไอแพดไม่ได้
4. ต้องมีการยืนยันตัวตนด้วย biometric เพิ่มเติม เมื่อมีธุรกรรมเกิน 50,000 บาท, ธุรกรรมทั้งวันเกิน 200,000 บาท, และปรับวงเงินเกิน 50,000 บาท
5. กำหนดเพดานวงเงินตามความเสี่ยงของผู้ใช้บริการ ทั้งกรณีผู้ใช้เป็นเหยื่อ หรือผู้ใช้เป็นบัญชีม้า

มาตรการบนตัวแอป มีมาตรการเพิ่มเติมอีกหลายประการ ทั้งการเข้ารหัสข้อมูล, แสดงผลข้อมูลอย่างปิดบังข้อมูลสำคัญ รวมถึงการทำ "certification pinning หรือวิธีอื่นที่เทียบเท่า", ทำ source code obfuscation ป้องกันการอ่านโค้ด, ตรวจจับเครื่อง root, ห้ามใช้แอปเมื่อติดตั้งแอปขอสิทธิช่วยเหลือคนพิการหรือแอปควบคุมเครื่องระยะไกล, ตลอดจนห้ามใช้แอปธนาคารในเครื่องที่เก่าจนมีความเสี่ยงที่ TB-CERT ประกาศแจ้งเตือน หรือหากจะให้เครื่องเก่าใช้งานได้ก็ต้องปรับวงเงินไม่เกินวันละ 5,000 บาท

มาตรการในประกาศจำนวนมากเป็นมาตรการที่หลายธนาคารใช้มาก่อนหน้านี้แล้ว ความเปลี่ยนแปลงกับคนทั่วไปจึงไม่มากนัก ที่น่าแปลกใจคือประกาศยังคงสนับสนุนให้ทำ certification pinning (แกมบังคับ แม้จะระบุว่าใช้วิธีเทียบเท่าได้) โดยกระบวนการนี้เป็นกระบวนการลดความเสี่ยงที่ใบรับรองจะถูกออกโดย certification authority ที่ไม่ได้รับอนุญาต แต่เนื่องจากช่วงหลังมีกระบวนการตรวจสอบที่ดีขึ้นผ่านทาง CT log ทำให้กูเกิลที่เป็นผู้ใช้วิธีนี้เป็นวงกว้างคนแรกๆ เลิกใช้งานไปเมื่อปี 2018 ฝั่ง Let's Encrypt ก็เริ่มบีบทำให้ทำได้ลำบากขึ้น รวมถึง Cloudflare ออกมาขอร้องให้ลูกค้าเลิกทำ

ประกาศฉบับนี้มีผลจริงในเดือนมีนาคม 30 วันหลังประกาศ ยกเว้นการบังคับระบบปฎิบัติการเก่าให้มีผลใน 60 วัน

ที่มา - Bank of Thailand