บทความโดย
รศ. ดร. นงนุช ตันติสันติวงศ์
เมื่อโลกเราเข้าสู่ยุค New Normal ในขณะที่คนหันมาทำธุรกรรมต่างๆ ออนไลน์ ทั้งการสั่งซื้อสินค้าทางแอพพลิเคชั่น โซเชียลเน็ตเวิร์ค หรือเว็บไซต์บ่อยขึ้น รวมถึงการโอนเงิน เติมเงิน ซื้อขายหุ้น กองทุนหรือประกัน รวมถึงการบริจาคเงิน สามารถทำผ่าน Mobile Banking Application ได้ โดยการสมัครสมาชิกหรือเปิดบัญชีเงินฝากออนไลน์ก็ทำได้ง่ายขึ้นโดยใช้ระบบ Digital Identity เพื่อยืนยันตัวตน
เมื่อมีการปรับพฤติกรรมแบบสมบูรณ์ สังคมจะกลายเป็นสังคมไร้เงินสด ธนาคารทั่วโลกก็อาจไม่จำเป็นต้องมีสาขาจำนวนมากในพื้นที่อีกต่อไป และนั่นหมายถึงในอนาคตกลุ่มธนาคารรูปแบบใหม่ (Neo Banking) ก็จะไม่ใช่คู่แข่งของกลุ่มธนาคารแบบดั้งเดิม (Traditional Banking) อีกต่อไป เพราะทั้งคู่มีสภาพการดำเนินงานบนช่องทางดิจิทัล (Digital Platform) อย่างเต็มตัว แต่ Traditional Banking มีความได้เปรียบในเรื่องของขนาดธุรกิจ ความน่าเชื่อถือ ประสบการณ์ และความหลากหลายของผลิตภัณฑ์ที่มากกว่า
จาก Single-factor Authentication สู่ Multi-factor Authentication
เมื่อการใช้เทคโนโลยีขยายวงกว้างมากขึ้น ส่งผลให้มีการขโมย หรือการ Hack บัญชีส่วนบุคคลเกิดบ่อยขึ้น ธุรกรรมบนเว็บไซต์ต่างๆ รวมถึงอีเมล์ จากเดิมที่มีการใช้เพียงชื่อผู้ใช้ (User Name) หรือ E-mail Address คู่กับรหัสผ่าน (Password) เพื่อเข้าสู่บัญชีส่วนบุคคลนั้นจึงไม่เพียงพอกับระบบความปลอดภัยในโลกไซเบอร์ (Cybersecurity) อีกต่อไป
Cybersecurity มีความสำคัญมากขึ้นเรื่อยๆ โดยเฉพาะเมื่อโลกของเราเข้าสู่ยุคดิจิทัลและ Internet of Things (IoT) ยิ่งไปกว่านั้น อินเตอร์เน็ตและบัญชีออนไลน์กลายเป็นปัจจัยที่ 5 ของมนุษย์ เนื่องจากในโลกของการเงินการธนาคารที่มีการโอนจ่ายเงินของลูกค้าอยู่ทุกวินาที ย่อมต้องมีกำแพงที่หนากว่ากิจกรรมออนไลน์อื่นๆ เพื่อป้องกันความเสียหายของลูกค้าในขั้นสูงสุด ซึ่งนั่นหมายถึงระบบ Cybersecurity ต้องสร้างความปลอดภัยให้กับระบบงานมากกว่ากิจกรรมออนไลน์อื่นด้วยเช่นกัน
การพิสูจน์ตัวตนกลายเป็นขั้นตอนหลักของการทำธุรกรรมทางการเงินออนไลน์ โดยเฉพาะเมื่อธุรกรรมออนไลน์มีปริมาณมากขึ้นเช่นในปัจจุบัน ระบบสถาบันการเงินยิ่งต้องมีระบบ Cybersecurity ที่รัดกุมเพิ่มมากขึ้น และนั่นหมายถึงการพัฒนาระบบการยืนยันตัวตนแบบออนไลน์ จะต้องมีความสำคัญมากขึ้น
ในช่วงแรกของการเริ่มใช้ระบบธนาคารผ่านอินเตอร์เน็ต (Internet Banking) มีการอนุญาตให้เข้าใช้ โดยการใช้รหัส หรือ Pin Entry ที่ทางธนาคารจะจัดส่งรหัสทางไปรษณีย์ให้แก่ลูกค้าทุกคนที่มี Online/Mobile Banking กับทางธนาคารเพื่อใช้ในการเข้าใช้บริการออนไลน์ และเพื่อใช้สร้างรหัสคู่ในการพิสูจน์ตัวตนและอนุมัติธุรกรรมทางการเงินของเจ้าของบัญชี ต่อมาเพื่อให้ลูกค้ามีความสะดวกมากขึ้น จึงหันมาใช้ Online Temporary Password (OTP)
ในปัจจุบันไม่ว่าจะเป็นการใช้ Pin Entry หรือใช้ OTP ที่ส่งมาทางข้อความ SMS หรือบนแอพพลิเคชั่น เช่น Google หรือ Microsoft Authenticator ต่างก็เป็นการเพิ่มขั้นตอนการพิสูจน์ตัวตน จากการพิสูจน์ตัวตนด้วยปัจจัยเดียว (Single-factor Authentication) เป็นการพิสูจน์ตัวตนด้วยปัจจัยสองประเภท (Two-factor Authentication) โดย
- ปัจจัยที่ 1 คือการใช้ Password เพื่อยืนยันตัวตนในการเข้าถึงบัญชี
- ปัจจัยที่ 2 คือการใช้ Pin จาก Pin Entry หรือ OTP ในการยืนยันตัวตนเพื่อจับคู่ธุรกรรมและเจ้าของบัญชี
ในบางกรณี อาจมีความต้องการพิสูจน์ตัวตนที่ใช้ปัจจัยเพิ่มขึ้น เรียกว่า Multi-factor Authentication เพื่อความปลอดภัยในการดำเนินธุรกรรม เช่น ลูกค้าติดต่อธนาคารทางโทรศัพท์ เพื่อยืนยันว่าเป็นลูกค้าจริงก่อนดำเนินธุรกรรมตามคำขอของลูกค้า ธนาคารและบริษัทในต่างประเทศ เช่น ในประเทศสหราชอาณาจักร ใช้ Multi-factor Authentication ด้วยการสอบถามรหัสหรือข้อมูลเพิ่มเติม เพื่อยืนยันตัวตนลูกค้าผ่านโทรศัพท์ เป็นต้น
Multi-factor Authentication คืออะไร
Multi-factor Authentication เป็นการใช้ข้อมูลของผู้มีอำนาจอนุมัติ ซึ่งในกรณีนี้คือลูกค้าธนาคารมากกว่า 1 อย่างในการพิสูจน์ตัวตน โดยระบบจะให้ตอบคำถามพิสูจน์ตัวตนก่อนอนุมัติให้ทำการสิ่งใดสิ่งหนึ่ง โดยประเภทของข้อมูลที่ใช้ยืนยันตัวตน สามารถแบ่งได้ 5 ประเภท ได้แก่
- Something you know คือสิ่งที่คุณเท่านั้นที่รู้ ซึ่งเรารู้จักกันในนาม “Password” นอกจากนี้ในบางครั้งการสมัครบัญชีออนไลน์จะให้เราตั้งคำถามและคำตอบของคำถามนั้น เพื่อใช้ประกอบกับการใช้ Password ในการเข้าระบบ ไม่ว่าจะเป็น Password หรือคำตอบที่ให้กับคำถามที่ถูกเลือก ต่างก็เป็น Something you know
- Something you have คือความเป็นเจ้าของ โดยอาจใช้ OTP เป็นตัวเชื่อม เช่น ในประเทศสหราชอาณาจักร เมื่อลูกค้าติดต่อธนาคารเพื่อทำธุรกรรมใดๆ นอกจากธนาคารจะสอบถามคำถามที่ถูกตั้งไว้เป็นคำถามเพื่อยืนยันความปลอดภัย (Security Question) ที่ลูกค้าเท่านั้นจะรู้คำตอบแล้ว ยังมีการใช้ OTP ส่งมายังโทรศัพท์มือถือของลูกค้า เพื่อให้ลูกค้าแจ้งกับเจ้าหน้าที่เพื่อใช้ในการยืนยันตัวตน หรืออาจสอบถามถึงวงเงินในบัตรเครดิต หรือวงเงินเบิกเกินบัญชี (Overdraft) ในบัญชีกระแสรายวัน
- Something you are เป็นการใช้ข้อมูลที่สามารถระบุตัวบุคคล เช่น การใช้บัตรประชาชน หนังสือเดินทาง บัตรประจำตัวที่มีรูป เป็นต้น เพื่อยืนยันตัวตน ซึ่งในปัจจุบันเริ่มหันมาใช้ Face Recognition หรือ digital ID ผ่านการเชื่อมต่อระบบยืนยันตัวตนของเครือข่ายองค์กรที่ทำข้อตกลงในการแลกเปลี่ยนข้อมูลเพื่อช่วยกันยืนยันตัวบุคคล เช่น ในประเทศไทยมี National Digital Identification System โดยมี IDP (ย่อมาจาก Identity Provider) เป็นผู้ร่วมยืนยันตัวบุคคล
- Somewhere you are เป็นการใช้ข้อมูลที่เกี่ยวกับสถานที่ที่เกิดธุรกรรม เพื่อยืนยันตัวตนลูกค้า เช่น สอบถามถึงร้านค้าที่มีการใช้บัตรเครดิตครั้งสุดท้าย เป็นต้น ซึ่งข้อมูลที่ใช้ในการยืนยันตนประเภทนี้จัดเป็น Location-based Authentication
- Something you do เป็นการใช้ข้อมูลรายละเอียดบางอย่างของการทำธุรกรรมล่าสุด เช่น การติดต่อธนาคารในประเทศสหราชอาณาจักร เจ้าหน้าที่อาจถามถึงช่องทางที่ธุรกรรมเกิดขึ้นครั้งล่าสุด เป็นต้น เพื่อยืนยันตัวตนของลูกค้า การใช้ข้อมูลประเภทนี้จัดเป็น Behaviour-based Authentication
ระบบ Cybersecurity ในระบบงาน
ระบบความปลอดภัยที่กล่าวมาข้างต้นอยู่ในส่วนของการพิสูจน์ตัวตน แต่การรักษาความปลอดภัยในระบบของสถาบันการเงินยังรวมถึงการตั้งระบบความปลอดภัยของระบบงานและการทำงานผ่านระบบงานออนไลน์อีกด้วย
ในกรณีที่ธนาคารมีสาขาอยู่จำนวนมาก ระบบงานศูนย์กลางที่สามารถเข้าถึงจากสาขาต่างๆ ได้โดยตรง จะช่วยให้การจัดการข้อมูลอยู่ในฐานข้อมูลเดียวกัน ไม่เกิดการขัดแย้งหรือความไม่สอดคล้องของข้อมูลจนอาจเกิดปัญหาตามมาภายหลังได้
อย่างไรก็ดี เพื่อควบคุมความปลอดภัยของระบบงาน สถาบันการเงินหรือบริษัทที่มีระบบการทำงานแบบทางไกล (Remote Work หรือ Work from Home) อาจใช้ Key ประจำตัวของพนักงาน ร่วมกับรหัส OTP ที่ได้รับในแต่ละครั้งจากสำนักงานใหญ่ เพื่อยืนยันตัวตนของพนักงาน ซึ่งระบบการพิสูจน์ตัวตนแบบนี้จะทำให้ทราบว่าใครเป็นผู้เข้าถึงข้อมูลของลูกค้าและเข้าจัดการกับปัญหาในระบบ
นอกจากนี้ หากเป็นการจัดการข้อมูลสำคัญ อาจให้สำนักงานใหญ่เข้าจัดการข้อมูลผ่านระบบการเข้าถึงจากทางไกล (Remote Access) หรือมีการส่งข้อความเตือน (Notification) ไปยังผู้มีอำนาจอนุมัติการจัดการข้อมูลที่สำนักงานใหญ่เพื่อขออนุมัติผ่านระบบออนไลน์ ระบบนี้จะทำให้ไม่ต้องส่งเอกสารไปมาระหว่างสาขาและสำนักงานใหญ่ ซึ่งช่วยประหยัดเวลา ค่าเดินทางหรือขนส่ง และทรัพยาก รวมถึงสร้างความปลอดภัยในการทำธุรกรรมมากขึ้น
ยิ่งโลกเราเข้าสู่ยุคดิจิทัลมากเท่าใด Cybersecurity ก็เป็นเรื่องที่มีความสำคัญเพิ่มขึ้นเท่านั้น การเติบโตทางธุรกิจจะไม่สามารถยั่งยืนได้ หากขาด Cybersecurity เพราะการถูกโจมตีระบบเพียงครั้งเดียว อาจทำให้ธุรกิจสูญเงินจำนวนมหาศาลได้
รศ. ดร. นงนุช ตันติสันติวงศ์
Visiting Academic สาขา Electronics and Computer Sciences
ของ University of Southampton (UK)
ผู้เขียน