Financial

Cyber Security หนึ่งในปัจจัยความยั่งยืนในภาคการเงิน

Cyber Security หนึ่งในปัจจัยความยั่งยืนในภาคการเงิน
Financial

บทความโดย
รศ. ดร. นงนุช ตันติสันติวงศ์

เมื่อโลกเราเข้าสู่ยุค New Normal ในขณะที่คนหันมาทำธุรกรรมต่างๆ ออนไลน์ ทั้งการสั่งซื้อสินค้าทางแอพพลิเคชั่น โซเชียลเน็ตเวิร์ค หรือเว็บไซต์บ่อยขึ้น รวมถึงการโอนเงิน เติมเงิน ซื้อขายหุ้น กองทุนหรือประกัน รวมถึงการบริจาคเงิน สามารถทำผ่าน Mobile Banking Application ได้ โดยการสมัครสมาชิกหรือเปิดบัญชีเงินฝากออนไลน์ก็ทำได้ง่ายขึ้นโดยใช้ระบบ Digital Identity เพื่อยืนยันตัวตน

เมื่อมีการปรับพฤติกรรมแบบสมบูรณ์ สังคมจะกลายเป็นสังคมไร้เงินสด ธนาคารทั่วโลกก็อาจไม่จำเป็นต้องมีสาขาจำนวนมากในพื้นที่อีกต่อไป และนั่นหมายถึงในอนาคตกลุ่มธนาคารรูปแบบใหม่ (Neo Banking) ก็จะไม่ใช่คู่แข่งของกลุ่มธนาคารแบบดั้งเดิม (Traditional Banking) อีกต่อไป เพราะทั้งคู่มีสภาพการดำเนินงานบนช่องทางดิจิทัล (Digital Platform) อย่างเต็มตัว แต่ Traditional Banking มีความได้เปรียบในเรื่องของขนาดธุรกิจ ความน่าเชื่อถือ  ประสบการณ์ และความหลากหลายของผลิตภัณฑ์ที่มากกว่า

จาก Single-factor Authentication สู่ Multi-factor Authentication

เมื่อการใช้เทคโนโลยีขยายวงกว้างมากขึ้น ส่งผลให้มีการขโมย หรือการ Hack บัญชีส่วนบุคคลเกิดบ่อยขึ้น ธุรกรรมบนเว็บไซต์ต่างๆ รวมถึงอีเมล์ จากเดิมที่มีการใช้เพียงชื่อผู้ใช้ (User Name) หรือ E-mail Address คู่กับรหัสผ่าน (Password) เพื่อเข้าสู่บัญชีส่วนบุคคลนั้นจึงไม่เพียงพอกับระบบความปลอดภัยในโลกไซเบอร์ (Cybersecurity) อีกต่อไป

Cybersecurity มีความสำคัญมากขึ้นเรื่อยๆ โดยเฉพาะเมื่อโลกของเราเข้าสู่ยุคดิจิทัลและ Internet of Things (IoT) ยิ่งไปกว่านั้น อินเตอร์เน็ตและบัญชีออนไลน์กลายเป็นปัจจัยที่ 5 ของมนุษย์ เนื่องจากในโลกของการเงินการธนาคารที่มีการโอนจ่ายเงินของลูกค้าอยู่ทุกวินาที ย่อมต้องมีกำแพงที่หนากว่ากิจกรรมออนไลน์อื่นๆ เพื่อป้องกันความเสียหายของลูกค้าในขั้นสูงสุด ซึ่งนั่นหมายถึงระบบ Cybersecurity ต้องสร้างความปลอดภัยให้กับระบบงานมากกว่ากิจกรรมออนไลน์อื่นด้วยเช่นกัน

การพิสูจน์ตัวตนกลายเป็นขั้นตอนหลักของการทำธุรกรรมทางการเงินออนไลน์ โดยเฉพาะเมื่อธุรกรรมออนไลน์มีปริมาณมากขึ้นเช่นในปัจจุบัน ระบบสถาบันการเงินยิ่งต้องมีระบบ Cybersecurity ที่รัดกุมเพิ่มมากขึ้น และนั่นหมายถึงการพัฒนาระบบการยืนยันตัวตนแบบออนไลน์ จะต้องมีความสำคัญมากขึ้น

ในช่วงแรกของการเริ่มใช้ระบบธนาคารผ่านอินเตอร์เน็ต (Internet Banking) มีการอนุญาตให้เข้าใช้ โดยการใช้รหัส หรือ Pin Entry ที่ทางธนาคารจะจัดส่งรหัสทางไปรษณีย์ให้แก่ลูกค้าทุกคนที่มี Online/Mobile Banking กับทางธนาคารเพื่อใช้ในการเข้าใช้บริการออนไลน์ และเพื่อใช้สร้างรหัสคู่ในการพิสูจน์ตัวตนและอนุมัติธุรกรรมทางการเงินของเจ้าของบัญชี ต่อมาเพื่อให้ลูกค้ามีความสะดวกมากขึ้น จึงหันมาใช้ Online Temporary Password (OTP)

ในปัจจุบันไม่ว่าจะเป็นการใช้ Pin Entry หรือใช้ OTP ที่ส่งมาทางข้อความ SMS หรือบนแอพพลิเคชั่น เช่น Google หรือ Microsoft Authenticator ต่างก็เป็นการเพิ่มขั้นตอนการพิสูจน์ตัวตน จากการพิสูจน์ตัวตนด้วยปัจจัยเดียว (Single-factor Authentication) เป็นการพิสูจน์ตัวตนด้วยปัจจัยสองประเภท (Two-factor Authentication) โดย

  • ปัจจัยที่ 1 คือการใช้ Password เพื่อยืนยันตัวตนในการเข้าถึงบัญชี
  • ปัจจัยที่ 2 คือการใช้ Pin จาก Pin Entry หรือ OTP ในการยืนยันตัวตนเพื่อจับคู่ธุรกรรมและเจ้าของบัญชี

ในบางกรณี อาจมีความต้องการพิสูจน์ตัวตนที่ใช้ปัจจัยเพิ่มขึ้น เรียกว่า Multi-factor Authentication เพื่อความปลอดภัยในการดำเนินธุรกรรม เช่น ลูกค้าติดต่อธนาคารทางโทรศัพท์ เพื่อยืนยันว่าเป็นลูกค้าจริงก่อนดำเนินธุรกรรมตามคำขอของลูกค้า ธนาคารและบริษัทในต่างประเทศ เช่น ในประเทศสหราชอาณาจักร ใช้ Multi-factor Authentication ด้วยการสอบถามรหัสหรือข้อมูลเพิ่มเติม เพื่อยืนยันตัวตนลูกค้าผ่านโทรศัพท์ เป็นต้น

Multi-factor Authentication คืออะไร

Multi-factor Authentication เป็นการใช้ข้อมูลของผู้มีอำนาจอนุมัติ ซึ่งในกรณีนี้คือลูกค้าธนาคารมากกว่า 1 อย่างในการพิสูจน์ตัวตน โดยระบบจะให้ตอบคำถามพิสูจน์ตัวตนก่อนอนุมัติให้ทำการสิ่งใดสิ่งหนึ่ง โดยประเภทของข้อมูลที่ใช้ยืนยันตัวตน สามารถแบ่งได้ 5 ประเภท ได้แก่

  1. Something you know คือสิ่งที่คุณเท่านั้นที่รู้ ซึ่งเรารู้จักกันในนาม “Password” นอกจากนี้ในบางครั้งการสมัครบัญชีออนไลน์จะให้เราตั้งคำถามและคำตอบของคำถามนั้น เพื่อใช้ประกอบกับการใช้ Password ในการเข้าระบบ ไม่ว่าจะเป็น Password หรือคำตอบที่ให้กับคำถามที่ถูกเลือก ต่างก็เป็น Something you know
  2. Something you have คือความเป็นเจ้าของ โดยอาจใช้ OTP เป็นตัวเชื่อม เช่น ในประเทศสหราชอาณาจักร เมื่อลูกค้าติดต่อธนาคารเพื่อทำธุรกรรมใดๆ นอกจากธนาคารจะสอบถามคำถามที่ถูกตั้งไว้เป็นคำถามเพื่อยืนยันความปลอดภัย (Security Question) ที่ลูกค้าเท่านั้นจะรู้คำตอบแล้ว ยังมีการใช้ OTP ส่งมายังโทรศัพท์มือถือของลูกค้า เพื่อให้ลูกค้าแจ้งกับเจ้าหน้าที่เพื่อใช้ในการยืนยันตัวตน หรืออาจสอบถามถึงวงเงินในบัตรเครดิต หรือวงเงินเบิกเกินบัญชี (Overdraft) ในบัญชีกระแสรายวัน
  3. Something you are เป็นการใช้ข้อมูลที่สามารถระบุตัวบุคคล เช่น การใช้บัตรประชาชน หนังสือเดินทาง บัตรประจำตัวที่มีรูป เป็นต้น เพื่อยืนยันตัวตน ซึ่งในปัจจุบันเริ่มหันมาใช้ Face Recognition หรือ digital ID ผ่านการเชื่อมต่อระบบยืนยันตัวตนของเครือข่ายองค์กรที่ทำข้อตกลงในการแลกเปลี่ยนข้อมูลเพื่อช่วยกันยืนยันตัวบุคคล เช่น ในประเทศไทยมี National Digital Identification System โดยมี IDP (ย่อมาจาก Identity Provider) เป็นผู้ร่วมยืนยันตัวบุคคล
  4. Somewhere you are เป็นการใช้ข้อมูลที่เกี่ยวกับสถานที่ที่เกิดธุรกรรม เพื่อยืนยันตัวตนลูกค้า เช่น สอบถามถึงร้านค้าที่มีการใช้บัตรเครดิตครั้งสุดท้าย เป็นต้น ซึ่งข้อมูลที่ใช้ในการยืนยันตนประเภทนี้จัดเป็น Location-based Authentication
  5. Something you do เป็นการใช้ข้อมูลรายละเอียดบางอย่างของการทำธุรกรรมล่าสุด เช่น การติดต่อธนาคารในประเทศสหราชอาณาจักร เจ้าหน้าที่อาจถามถึงช่องทางที่ธุรกรรมเกิดขึ้นครั้งล่าสุด เป็นต้น เพื่อยืนยันตัวตนของลูกค้า การใช้ข้อมูลประเภทนี้จัดเป็น Behaviour-based Authentication

ระบบ Cybersecurity ในระบบงาน

ระบบความปลอดภัยที่กล่าวมาข้างต้นอยู่ในส่วนของการพิสูจน์ตัวตน แต่การรักษาความปลอดภัยในระบบของสถาบันการเงินยังรวมถึงการตั้งระบบความปลอดภัยของระบบงานและการทำงานผ่านระบบงานออนไลน์อีกด้วย

ในกรณีที่ธนาคารมีสาขาอยู่จำนวนมาก ระบบงานศูนย์กลางที่สามารถเข้าถึงจากสาขาต่างๆ ได้โดยตรง จะช่วยให้การจัดการข้อมูลอยู่ในฐานข้อมูลเดียวกัน ไม่เกิดการขัดแย้งหรือความไม่สอดคล้องของข้อมูลจนอาจเกิดปัญหาตามมาภายหลังได้

อย่างไรก็ดี เพื่อควบคุมความปลอดภัยของระบบงาน สถาบันการเงินหรือบริษัทที่มีระบบการทำงานแบบทางไกล (Remote Work หรือ Work from Home) อาจใช้ Key ประจำตัวของพนักงาน ร่วมกับรหัส OTP ที่ได้รับในแต่ละครั้งจากสำนักงานใหญ่ เพื่อยืนยันตัวตนของพนักงาน ซึ่งระบบการพิสูจน์ตัวตนแบบนี้จะทำให้ทราบว่าใครเป็นผู้เข้าถึงข้อมูลของลูกค้าและเข้าจัดการกับปัญหาในระบบ

นอกจากนี้ หากเป็นการจัดการข้อมูลสำคัญ อาจให้สำนักงานใหญ่เข้าจัดการข้อมูลผ่านระบบการเข้าถึงจากทางไกล (Remote Access) หรือมีการส่งข้อความเตือน (Notification) ไปยังผู้มีอำนาจอนุมัติการจัดการข้อมูลที่สำนักงานใหญ่เพื่อขออนุมัติผ่านระบบออนไลน์ ระบบนี้จะทำให้ไม่ต้องส่งเอกสารไปมาระหว่างสาขาและสำนักงานใหญ่ ซึ่งช่วยประหยัดเวลา ค่าเดินทางหรือขนส่ง และทรัพยาก รวมถึงสร้างความปลอดภัยในการทำธุรกรรมมากขึ้น

ยิ่งโลกเราเข้าสู่ยุคดิจิทัลมากเท่าใด Cybersecurity ก็เป็นเรื่องที่มีความสำคัญเพิ่มขึ้นเท่านั้น การเติบโตทางธุรกิจจะไม่สามารถยั่งยืนได้ หากขาด Cybersecurity เพราะการถูกโจมตีระบบเพียงครั้งเดียว อาจทำให้ธุรกิจสูญเงินจำนวนมหาศาลได้

รศ. ดร. นงนุช ตันติสันติวงศ์

รศ. ดร. นงนุช ตันติสันติวงศ์
Visiting Academic สาขา Electronics and Computer Sciences
ของ University of Southampton (UK)
ผู้เขียน