[Editorial] บทเรียนจากนโยบายเปลี่ยนบัตร ATM เป็นชิป มาช้าจนมีคนตกเป็นเหยื่อจำนวนมาก บัตรตกค้างนับล้านใบ

2020-01-15

วันนี้เป็นวันสุดท้ายก่อนการยกเลิกบัตรเอทีเอ็มแบบแม่เหล็กในประเทศไทย หลังจากธนาคารแห่งประเทศไทยเริ่มบังคับธนาคารทุกแห่งต้องให้บริการบัตรชิปมาตั้งแต่ปี 2016 นับเป็นการอัพเกรดเทคโนโลยีความปลอดภัยครั้งใหญ่ที่สุดครั้งหนึ่งในประเทศไทย แม้จะเป็นเรื่องน่ายินดีที่มีการปรับปรุงและจะไม่มีใครเป็นเหยื่อที่ต้องสูญเสียเงิน (อย่างน้อยก็ช่วงเวลาหนึ่ง) ให้กับอาชญากรอีก แต่เราไม่ควรลืมว่าการเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังมีประชาชนตกเป็นเหยื่อจำนวนมาก, กระบวนการเปลี่ยนผ่านใช้เวลาหลายปี, และในวันนี้เองก็ยังมีบัตรที่ยังไม่ได้เปลี่ยนอีกนับล้านใบ

บัตรแม่เหล็กเป็นเครื่องมือสำหรับยืนยันตัวตนผู้ใช้แบบพิสูจน์จากสิ่งที่ผู้ใช้มี (something you have) โดยที่มาตรฐานการให้บริการ ATM นั้นคือการยืนยันตัวตนสองชั้น คือบัตรร่วมกับรหัสผ่านสี่ตัว แต่ตัวบัตรแม่เหล็กเองเป็นเทคโนโลยีเก่า 50 ปีแล้ว การใช้ยืนยันว่าเป็นสิ่งที่ผู้ใช้มีแทบไม่มีผลในข่วงสิบกว่าปีที่ผ่านมา แต่การขาดการกำกับดูแลทิศทางที่ชัดเจนก็ทำให้ธนาคารในประเทศไทยใช้บัตรแม่เหล็กเป็นวงกว้างโดยไม่มีการเปลี่ยนผ่าน

No Description

ในห้วงสิบปีที่ผ่านมา มีผู้คนตกเป็นเหยื่อของการทำสำเนาบัตรแม่เหล็กจำนวนมาก ตั้งแต่บัตรเครดิตไปจนถึง skimmer ที่ติดตั้งบนตู้เอทีเอ็ม แม้เหยื่อทั้งหมดจะได้เงินคืน แต่แต่ละคนก็ต้องฝ่าฟันกระบวนการของแต่ละธนาคารด้วยตัวเอง หากเป็นคนที่มีความลำบากทางการเงินอยู่แล้ว การตกเป็นเหยื่อเหตุเหล่านี้สร้างความเสียหายได้ร้ายแรงจากการขาดเงินหมุนเวียน แม้เราจะเห็นข่าวอยู่เป็นระยะ แต่เรากลับไม่เคยเห็นการเปิดเผยจำนวนตัวเลขผู้เสียหายหรือการประเมินประสิทธิภาพว่าธนาคารสามารถจัดการปัญหาได้เร็วแค่ไหน แม้ธนาคารจะมีการแจ้งเตือนกันเองว่ามีตู้เอทีถูกโจมตีแต่ก็ไม่เปิดเผยให้คนภายนอกรู้ถึงระดับอันตรายที่เพิ่มขึ้น มีเพียงเอกสารหลุดออกมาเป็นครั้งคราวเท่านั้น

การที่ธนาคารแห่งประเทศไทยสนับสนุนสังคมไร้เงินสดอย่างเต็มที่ในช่วงหลายปีที่ผ่านมา และประสบความสำเร็จค่อนข้างดี ความสำเร็จนี้จะทำให้ช่องโหว่ความปลอดภัยในอนาคตสร้างความเสียหายเป็นวงกว้างได้มากกว่าเดิมเสียอีก หากยังขาดกระบวนการกำกับดูแลอย่างเป็นรูปธรรม มีการเปลี่ยนผ่านที่ชักช้าไม่ทันการเหมือนการเลิกใช้บัตรแม่เหล็กครั้งนี้

มีการเปลี่ยนผ่านอีกมาก ที่รอการกำหนดแนวทาง หลังจากที่ปลายปีที่แล้วมีการกำหนดห้ามเครื่องที่ root หรือ jailbreak ใช้งาน หรือจำกัดการใช้ระบบปฎิบัติการเก่า คำถามในวงการอีกจำนวนมาก เช่น การใช้ SMS เพื่อยืนยันตัวตนถือว่าปลอดภัยพอหรือ หลังจาก NIST ระบุว่าไม่ปลอดภัยพอ และธนาคารควรเสนอทางเลือกอื่นให้ผู้ใช้ได้หรือยัง, กระบวนการตรวจสอบการฉ้อโกงของธนาคารในประเทศไทยล่าช้าเกินไปหรือไม่ หลังจากมีเหตุผู้ใช้ถูกขโมยข้อมูลบัตรหลายครั้ง แต่ call center บางธนาคารแทบติดต่อไม่ได้ กระบวนการแก้ไขใช้เวลานานนับเดือนไม่มีการติดต่อกลับภายใน 7 วันอย่างที่ธนาคารแห่งประเทศไทยประกาศไว้ หรือการแจ้งเตือนการใช้งานยังไม่ครอบคลุมทุกบริการ

หรือเราต้องรอให้มีผู้เสียหายเป็นวงกว้างอีกหลายๆ รอบแล้วจึงมีมาตรการแบบครั้งนี้

Topics: