หลังจากธนาคารแห่งประเทศไทยประกาศ "แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่" วันนี้ประกาศฉบับเต็มก็ออกมาแล้ว โดยประกาศมีมาตรการขั้นต่ำ 12 ประการ ไม่อนุญาตให้เครื่องใช้ root หรือ jailbreak ใช้งาน ไม่อนุญาตให้เครื่องใช้ระบบปฏิบัติการล้าสมัยใช้งาน หรือมีมาตรการลดความเสี่ยง โดยระบบปฏิบัติการล้าสมัยนั้นยึดตามผู้ผลิตเป็นหลัก (ตอนนี้กูเกิลออกแพตช์เฉพาะ Android 8 ขึ้นไป ส่วน Android 7 มีแพตช์สุดท้ายเมื่อเดือนตุลาคมที่ผ่านมา) แอปธนาคารต้องขอสิทธิ์เท่าที่จำเป็น เพื่อป้องกันการละเมิดความเป็นส่วนตัวของผู้ใช้บริการ ปกป้องซอร์สโค้ดสำคัญไม่ให้ผู้ใช้แก้ไข ป้องกันการฝันโค้ดไม่มุ่งร้ายในแอปพลิเคชั่น เข้ารหัสลับป้องกันไฟล์ข้อมูล บังคับผู้ใช้อัพเดตแอปเป็นเวอร์ชั่นล่าสุด ไม่ปล่อยให้ใช้เวอร์ชั่นเก่า ปกป้องเซิร์ฟเวอร์จากการโจมตี DDoS ป้องกันการดักฟัง ต้องยืนยันตัวตนของเซิร์ฟเวอร์อย่างแน่นหนาเทียบเท่ากับการทำ certification pinning ป้องกันการขโมยล็อกอินผู้ใช้ (session hijacking) ป้องกันเซิร์ฟเวอร์จากการโจมตี เช่น การทำ SQL Injection, directory traversal ตรวจสอบแอปปลอมบน Google Play และ App Store จุดที่จะกระทบผู้ใช้ทั่วไปคงเป็นสองข้อแรก โดยปีนี้บางธนาคารเริ่มบล็อคไม่ให้ Android 4.4 หรือต่ำกว่าใช้บริการ หากนับเฉพาะแอนดรอยด์ที่ยังมีแพตช์อยู่ ภายในกลางปีนี้จะเป็น Android 5 ไปจนถึง Android 7 เข้าข่ายไปพร้อมกัน นับว่าส่งผลกระทบกว้างพอสมควร อย่างไรก็ดี ประกาศนี้ไม่ได้ระบุให้ธนาคารต้องบล็อคผู้ใช้ทั้งหมดไปทันที แต่อาจเพิ่มมาตรการความปลอดภัยเพิ่มเติม หรือลดความเสี่ยง เช่น ลดวงเงินที่ใช้งานได้ แนวทางยังระบุถึงการทำงานของพนักงานธนาคาร ที่ต้องช่วยเหลือลูกค้าเท่าที่จำเป็นไม่ใส่รหัสแทนลูกค้า และยังมีแนวทางเพิ่มเติมคำแนะนำให้ธนาคาารตรวจสอบความซับซ้อนรหัสผ่าน มีการปิดบังหน้าจอเมื่อย่อแอปพลิเคชั่น ตลอดจนการตรวจแอปปลอมจากแหล่งอื่นๆ ที่มา - Bank of Thailand ภาพโดย mohamed_hassan Topics: Bank of ThailandSecurityMobile Banking