ความกังวลด้านความมั่นคงปลอดภัย เมื่อ “Digital Wallet” ไม่ใช่ “Digital Wallet”
(บทความจาก เว็บไซต์ The-prespective.co สัมภาษณ์ อ.ปริญญา หอมเอนก)
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดัง ชี้ 2 จุดพึงระวัง โครงการ Digital Wallet ที่ต้องตรวจสอบ คือ การพิสูจน์และยืนยันตัวตน และการพัฒนาระบบ Payment Gateway
โครงการ Digital Wallet ภายใต้รัฐบาลของอดีตนายกฯ “เศรษฐา ทวีสิน” ที่ขับเคลื่อนมาระยะหนึ่งแล้ว แม้ขณะนี้ยังไม่มีความชัดเจนว่าจะไปต่อหรือไม่อย่างไร? ซึ่งที่ผ่านมาโครงการนี้เป็นความคาดหวังว่าจะช่วยกระตุ้นเศรษฐกิจไทย ด้วยการแจกเงินให้กับประชาชนคนละ 10,000 บาท ผ่าน Digital Wallet
สำหรับโครงการ Digital Wallet หลายฝ่ายมีความกังวลในแง่มุมต่างๆ เช่น ด้านการกระตุ้นเศรษฐกิจที่อาจจะไม่ได้ทำให้เกิดการหมุนเวียนเงินในระบบหลายรอบ หรือแม้แต่เรื่องการจัดสรรงบประมาณที่จะกระทบต่อส่วนอื่นก็ตาม แต่อีกเรื่องหนึ่งที่ต้องคำนึงถึงเป็นอย่างมากคือ “เรื่องความมั่นคงปลอดภัยของระบบ”
ประเด็นหลังสุดนี้ อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ประธานกรรมการบริหารเอซิส และไซเบอร์ตรอน กล่าวถึงความกังวลด้านความมั่นคงปลอดภัยของระบบภายใต้โครงการ Digital Wallet มี 2 ประเด็นหลัก (จาก 3 องค์ประกอบ คือ แอปทางรัฐ, Payment Gateway และ Digital Wallet) โดยมีรายละเอียด ดังนี้
เมื่อแอป “ทางรัฐ” ไม่ใช่ Digital Wallet “จำเป็นต้องมีการพิสูจน์และยืนยันตัวตนที่มีความมั่นคงปลอดภัยสูงแต่ในขณะเดียวกันก็ต้องอำนวยความสะดวกในการใช้งานแอปให้กับประชาชนด้วย”
ไม่ได้ผิดอะไรที่จะใช้แอป “ทางรัฐ” ในโครงการ Digital Wallet แต่ในที่นี้ต้องการที่จะขยายความให้ผู้ใช้มีความเข้าใจมากยิ่งขึ้น โดยความหมายของแอป Digital Wallet คือ กระเป๋าเงินดิจิทัลที่ผู้ใช้สามารถใช้เงินจากในกระเป๋าเงินดิจิทัลนั้นเพื่อจับจ่ายใช้สอยซื้อของต่างๆ ได้โดยไม่ต้องใช้เงินสด เพียงแค่เปิดแอปกระเป๋าเงินก็สามารถชำระค่าสินค้าและบริการด้วยเงินที่มีตัวเลขอยู่ในแอปนั้นได้ทันที ยกตัวอย่างเช่น เป๋าตัง, TrueMoney Wallet, Rabbit LINE Pay, GrabPay Wallet เป็นต้น
สำหรับแอปทางรัฐ ไม่ได้เป็นการพัฒนาแอป Digital Wallet เนื่องจากไม่มีฟังก์ชั่นกระเป๋าเงินอยู่ในแอป แต่ทางรัฐเป็นแอปต้นทางที่ใช้เพื่อการลงทะเบียน ซึ่งเมื่อต้องการใช้เงินซื้อสินค้าจะต้องใช้จ่ายผ่านทางแอป Digital Wallet ที่เข้าร่วมโครงการ
ในแง่มุมด้านความมั่นคงปลอดภัยซึ่งเป็นเรื่องสำคัญในการสร้าง Digital Trust ให้กับแอปทางรัฐในระยะยาว ควรต้องมีระบบการพิสูจน์ตัวตนและยืนยันตัวตนที่ปลอดภัยสูงเทียบเท่ากับระบบของธนาคารต่างๆ ที่ใช้กันอยู่ทุกวันนี้ และควรต้องไม่ให้การพิสูจน์ตัวตนทำได้ง่ายๆ ในกรณีที่ลืมรหัสผ่าน (Forgot Password) เพราะไม่เช่นนั้นแล้วอาจจะถูกสวมสิทธิ์ได้โดยเกิดจากข้อมูลประชาชนที่รั่วไปก่อนหน้านี้
สิ่งที่ประชาชนทุกคนควรได้รับทราบ คือ การพิสูจน์ตัวตนและการยืนยันตัวตนมีความแตกต่างกัน การพิสูจน์ตัวตนทำเพียงแค่ครั้งเดียวในขั้นตอนของการลงทะเบียน หรือทำตอนที่ผู้ใช้ลืมรหัสผ่าน ส่วนการยืนยันตัวตนทำเมื่อเข้าใช้ระบบที่ได้มีการลงทะเบียนไว้แล้ว ซึ่งต้องมีการยืนยันตัวตนทุกครั้งที่เข้าใช้งาน
ในกรณีที่เราลืมรหัสผ่านแล้วให้ระบบรีเซ็ตใหม่ หากทำได้ง่ายๆ โดยไม่มีการย้อนกลับไปพิสูจน์ตัวตนใหม่ อาจเกิดความเสี่ยงที่จะถูกสวมสิทธิ์ นั่นหมายความว่าแอปทางรัฐจะต้องมีระบบการพิสูจน์ตัวตนและยืนยันตัวตนที่ดีป้องกันกรณีดังกล่าว และต้องไม่ให้มีแค่เพียงการพิสูจน์ตัวตนแบบง่ายๆ ในกรณีที่ลืมรหัสผ่าน ควรต้องย้อนกลับไปพิสูจน์ตัวตนอย่างเต็มรูปแบบอีกครั้งหรือไม่ ต้องพิจารณาเมื่อเทียบกับความสะดวกในการใช้งานของผู้ใช้งาน
จึงเป็นที่มาของคำว่า เมื่อ “Digital Wallet” ไม่ใช่ “Digital Wallet” และ แอป “ทางรัฐ” ไม่ใช่ “Digital Wallet” หากแต่ทุกจุดต้องการความมั่นคงปลอดภัยที่สูงในระดับมาตรฐานสากล
Payment Gateway หัวใจความปลอดภัยในโครงการ Digital Wallet
Payment Gateway เป็นเสมือนสะพานเชื่อมต่อของทุกจุด ทั้งระบบการพิสูจน์ตัวตนและยืนยันตัวตน และแอป Digital Wallet จึงจำเป็นอย่างยิ่งที่จะต้องมีความปลอดภัยสูงที่จะไม่ทำให้ถูกเจาะข้อมูลระหว่างทางได้ ดังนั้นจึงเป็นโจทย์ของการพัฒนาระบบที่จะต้องดีพอ เป็นมาตรฐานในระดับสากล และสิ่งสำคัญอีกประการหนึ่งคือควรจะต้องมีการทดสอบระบบให้แน่ใจว่ามีความปลอดภัยตามมาตรฐานต่างๆ ประเด็นนี้เป็นความกังวลอีกประการหนึ่งที่สำคัญ
นอกจากนี้ระบบ Payment Gateway ยังจำเป็นต้องมีการเฝ้าระวังความมั่นคงปลอดภัยตลอดเวลา หรือที่เรียกว่า 24×7 Security Monitoring เพื่อเฝ้าระวังต่อเหตุการณ์ที่อาจเกิดขึ้นได้โดยไม่คาดคิด เช่น การเจาะระบบโดยผู้ไม่หวังดีหรือมิจฉาชีพ อีกทั้งยังต้องมีความพร้อมด้านการกู้คืนระบบและข้อมูลโดยเร็วเมื่อเกิดเหตุขึ้น เพื่อไม่ให้กระทบต่อการให้บริการหรือกระทบให้น้อยที่สุด
คำถามคือ หาก Payment Gateway ไม่มีความมั่นคงปลอดภัยที่ดีพอจะเกิดอะไรขึ้นบ้าง? คำตอบคือถ้าข้อมูลส่วนบุคคลของประชาชนที่รับสิทธิ์ในโครงการ Digital Wallet ดังกล่าวรั่วออกไป หรือมีช่องโหว่ในระบบ สิ่งที่จะเกิดความเสียหายตามมาคือ การนำข้อมูลไปใช้เพื่อเข้ามาสวมสิทธิ์ของประชาชนบุคคลนั้นๆ เรื่องเหล่านี้อาจเกิดขึ้นได้หากไม่ระมัดระวังให้ดีพอ
รวมทั้งควรจะต้องมีการซักซ้อมการหนีไฟไซเบอร์หรือที่เรียกว่า Cyber Drill ดังที่องค์กรต่างๆ ต้องทำการซ้อมแผน หนีไฟทุกๆ ปี เพื่อให้สามารถจัดการกับปัญหาต่างๆ ได้เมื่อต้องเผชิญเหตุ
ดังนั้น การพัฒนาระบบ Payment Gateway ซึ่งเป็นหัวใจด้านความปลอดภัยของโครงการ Digital Wallet จำเป็นต้องเลือกผู้พัฒนาที่มีศักยภาพ ไม่ควรพัฒนาอย่างเร่งรีบที่อาจจะนำไปสู่การเกิดช่องโหว่ อีกทั้งยังควรจะต้องมีการทดสอบระบบโดย External Auditor ให้มั่นใจในความมั่นคงปลอดภัยก่อนใช้งานจริง
สำหรับการเชื่อมต่อไปยังแอป Digital Wallet ต่างๆ ที่เป็นพาร์ทเนอร์ภายใต้โครงการนั้น หากมีระบบ Payment Gateway ที่ดี ก็ไม่น่าจะต้องกังวลกับการใช้ Digital Wallet เพราะผู้ให้บริการแต่ละรายต่างมีระบบที่ดีและใช้งานได้จริงอยู่ในทุกวันนี้แล้ว
ทั้งสองประเด็นข้อกังวลด้านความมั่นคงปลอดภัยในโครงการ Digital Wallet ที่กล่าวมานี้ อาจารย์ปริญญา อยากจะฝากไว้ให้กับทุกๆ ฝ่าย ที่รับผิดชอบได้ไตร่ตรองและดำเนินการอย่างรอบคอบหากต้องมีโครงการแจกเงินผ่าน Digital Wallet เกิดขึ้นจริงในอนาคตอันใกล้นี้