รู้ไหมว่า ใช้ E-Banking ธนาคารไหนปลอดภัยที่สุด?
ทุกวันนี้ระบบอินเทอร์เน็ตได้คลืบคลานเข้ามาในชีวิตประจำวันของเราในหลายๆ ด้าน ไม่เว้นแม้แต่การทำธุรกรรมทางการเงิน ซึ่งก็ต้องยอมรับค่ะว่าเทคโนโลยีต่างๆ เหล่านี้สร้างความสะดวกสบายในการดำเนินชีวิตของเราได้เป็นอย่างมาก ทำให้เราสามารถทำธุรกรรมทางการเงินโดยที่ไม่ต้องเสียเวลาในการเดินทางไปที่ธนาคาร และทำธุรกรรมได้อย่างรวดเร็วโดยไม่ต้องไปรอคิว แต่ทั้งนี้ทั้งนั้น การใช้ระบบอินเทอร์เน็ตในการทำธุรกรรมการเงินก็มีทั้งข้อดี ข้อเสีย และสิ่งที่ควรต้องระมัดระวังก็จะเป็นในเรื่องของความปลอดภัย เพราะแม้ว่าธนาคารจะมีระบบป้องกันให้ลูกค้าเป็นอย่างดีแล้ว แต่เหล่ามิจฉาชีพทั้งหลายก็ยังพยายามหาวิธีการล่อลวงในทางที่ไม่ดี ทำให้เกิดความเสียหายต่อผู้เป็นเจ้าของบัญชีได้ ตามที่เราทราบกันตามข่าวต่างๆ
วันนี้เช็คราคา จะพาไปดูกันค่ะว่าการใช้ E-Banking ของธนาคารไหนปลอดภัยที่สุด จากการสำรวจของ Sustainable Banking Thailand โดยจะพูดถึงในเรื่องของกระบวนการรักษาความปลอดภัยของธนาคารผ่านเว็บไซต์, มาตรการเกี่ยวกับข้อมูลส่วนบุคคล และมาตราการรับผิดชอบของธนาคาร จากกลุ่มตัวอย่างธนาคารทั้งหมด 12 ธนาคาร คือธนาคารกรุงเทพ, ธนาคารกรุงไทย, ธนาคารกรุงศรีอยุธยา, ธนาคารกสิกรไทย, ธนาคารเกียรตินาคิน, ธนาคารซีไอเอ็มบี ไทย, ธนาคารทหารไทย, ธนาคารไทยพาณิชย์, ธนาคารธนชาต, ธนาคารยูโอบี, ธนาคารแลนด์ แอนด์ เฮ้าส์ และธนาคารสแตนดาร์ดชาร์เตอร์ด (ไทย)
กระบวนการรักษาความปลอดภัยของธนาคาร "ผ่านเว็บไซต์"
สำหรับในเรื่องของกระบวนการรักษาความปลอดภัยของธนาคารผ่านเว็บไซต์ จะสำรวจกันในหัวข้อหลักๆ 4 หัวข้อ ดังนี้
1. การเข้ารหัส, การเชื่อมต่อ ที่พบในกลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคาร จะมี 2 รูปแบบ คือ การใช้ Forward Secrecy และการใช้โปรโตคอล TLS 1.2 เข้ารหัสแบบ 256 บิต
| การเข้ารหัส, การเชื่อมต่อ | ธนาคารที่ใช้ |
| ใช้ Forward Secrecy |  ,  ,  ,  ,  ,  ,  ,  ,  |
| ใช้โปรโตคอล TLS 1.2 เข้ารหัสแบบ 256 บิต |  ,  ,  |
2. เงื่อนไขรหัสผ่าน (รหัสผ่านที่ดีควรเป็นพยัญชนะ 8 ตัวอักษรขึ้นไป ใช้พยัญชนะพิมพ์ใหญ่ พิมพ์เล็ก และตัวเลข) ที่พบในกลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคาร จะมี 3 รูปแบบ คือ รหัสผ่าน 8 ตัวอักษรขึ้นไป ใช้พยัญชนะพิมพ์ใหญ่/เล็ก และตัวเลข, รหัสผ่าน 8 ตัวอักษรขึ้นไป แต่ไม่บังคับพยัญชนะพิมพ์ใหญ่/เล็ก และตัวเลข, รหัสผ่านมีความยาวกว่า 8 ตัวอักษร
| เงื่อนไขรหัสผ่าน | ธนาคารที่ใช้ |
| รหัสผ่าน 8 ตัวอักษรขึ้นไป ใช้พยัญชนะพิมพ์ใหญ่/เล็ก และตัวเลข | , , , |
| รหัสผ่าน 8 ตัวอักษรขึ้นไป แต่ไม่บังคับพยัญชนะพิมพ์ใหญ่/เล็ก และตัวเลข | , , , , |
| รหัสผ่านมีความยาวกว่า 8 ตัวอักษร | |
| ไม่มีข้อมูล | , |
3. การยืนยันตัวตนด้วย OTP (รหัส OTP จะส่งมาทาง SMS ให้เจ้าของบัญชียืนยันตัวตนขั้นที่ 2 ) สำหรับกลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคาร ทุกธนาคารใช้รหัส OTP ในการยืนยันตัวตน
4. ความรัดกุมของขั้นตอนการขอรหัสผ่านใหม่ ที่พบในกลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคาร จะมี 2 รูปแบบ คือ ผู้ใช้บริการแสดงตนที่ธนาคารเมื่อลืมรหัสผ่าน และการใช้รหัสผ่าน ATM ยืนยันตัวตน
| ความรัดกุมของขั้นตอนการขอรหัสผ่านใหม่ | ธนาคารที่ใช้ |
| ผู้ใช้บริการแสดงตนที่ธนาคารเมื่อลืมรหัสผ่าน | , , , , , , , |
| ใช้รหัสผ่าน ATM ยืนยันตัวตน | , , |
มาตรการเกี่ยวกับข้อมูลส่วนบุคคล
สำหรับเรื่องของมาตรการเกี่ยวกับข้อมูลส่วนบุคคล จะพิจารณาจากหัวข้อหลัก 6 หัวข้อ คือ
1. การแจ้งนโยบายข้อมูล เข้าถึงข้อมูล ที่พบในกลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคารจะมี 2 รูปแบบ คือ การแจ้งนโยบายข้อมูลส่วนบุคคลเป็น ภาษาไทย ที่หน้าแรกของเว็บไซต์อย่างชัดเจน และการแจ้งนโยบายข้อมูลส่วนบุคคลเป็น ภาษาอังกฤษ ที่หน้าแรกของเว็บไซต์อย่างชัดเจน
| การแจ้งนโยบายข้อมูล เข้าถึงข้อมูล | ธนาคารที่ใช้ |
| การแจ้งนโยบายข้อมูลส่วนบุคคลเป็น "ภาษาไทย" ที่หน้าแรกของเว็บไซต์อย่างชัดเจน | , , , , , , , |
| การแจ้งนโยบายข้อมูลส่วนบุคคลเป็น "ภาษาอังกฤษ" ที่หน้าแรกของเว็บไซต์อย่างชัดเจน | , , , |
2. การแจ้งให้ผู้ใช้บริการทราบว่าธนาคารมีการเก็บข้อมูลใดบ้าง ในกลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคารจะมี 2 รูปแบบ คือ การให้รายละเอียดอย่างเฉพาะเจาะจงว่าเก็บข้อมูลใดบ้าง และการระบุว่าเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น
| การแจ้งให้ผู้ใช้บริการทราบว่าธนาคารมีการเก็บข้อมูลใดบ้าง | ธนาคารที่ใช้ |
| การให้รายละเอียดอย่างเฉพาะเจาะจงว่าเก็บข้อมูลใดบ้าง | , , , , , , , |
| ระบุว่าเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น | , , , |
3. แจ้งวัตถุประสงค์ของการรวบรวมข้อมูลโดยละเอียด จากกลุ่มตัวอย่างพบว่ามีธนาคารสแตนดาร์ดชาร์เตอร์ด (ไทย) เพียง 1 ธนาคารที่แจ้งวัตถุประสงค์โดยละเอียด ส่วนธนาคารอื่นๆในกลุ่มตัวอย่างอีก 11 ธนาคาร จะเป็นการแจ้งวัตถุประสงค์กว้างๆ เช่น ใช้เพื่อพัฒนาผลิตภัณฑ์ของธนาคาร
4. ระบุระยะเวลาในการเก็บข้อมูล จากกลุ่มตัวอย่างพบว่ามีธนาคารสแตนดาร์ดชาร์เตอร์ด (ไทย) เพียง 1 ธนาคารที่มีการระบุระยะเวลาในการเก็บข้อมูล ส่วนธนาคารอื่นๆในกลุ่มตัวอย่างอีก 11 ธนาคาร ไม่มีการระบุระยะเวลา
5. ระบุแนวทางการส่งต่อข้อมูลไปยังบุคคลที่สาม ที่พบในกลุ่มตัวอย่างธนาคารทั้ง 12 แห่ง จะมี 3 รูปแบบ คือ การระบุแนวทางโดยละเอียด, การระบุแนวทางอย่างกว้างๆ เช่น ใช้เพื่อพัฒนาผลิตภัณฑ์ของธนาคาร และไม่แจ้งแนวทาง
| ระบุแนวทางการส่งต่อข้อมูลไปยังบุคคลที่สาม | ธนาคารที่ใช้ |
| การระบุแนวทางโดยละเอียด | , , , |
| การระบุแนวทางอย่างกว้างๆ เช่น ใช้เพื่อพัฒนาผลิตภัณฑ์ของธนาคาร | , , , , |
| ไม่แจ้งแนวทาง | |
| ไม่มีข้อมูล | , |
6. มีนโยบายให้ลูกค้าเลือก "ไม่ยอมรับ" ให้ส่งต่อข้อมูลให้กับบุคคลที่สาม (opt-out) พบว่ากลุ่มตัวอย่างธนาคารทั้ง 12 ธนาคาร ไม่มีนโยบายให้เลือก "ไม่ยอมรับ"
มาตรการรับผิดชอบของธนาคาร
ในส่วนของมาตรการรับผิดชอบจะพิจารณาใน 2 หัวข้อหลัก คือ ธนาคารรับผิดชอบเมื่อข้อมูลที่จัดเก็บไว้รั่วไหล และการรับผิดชอบเมื่อข้อมูลรั่วไหลระหว่างการเชื่อมต่อ ซึ่งธนาคารกลุ่มตัวอย่างทั้ง 12 ธนาคาร ไม่มีการระบุการรับผิดชอบในทั้ง 2 กรณี
ข้อสรุปจากการรวบรวมคะแนนในการสำรวจของ Sustainable Banking Thailand
| ธนาคาร | คะแนน |
ธนาคารสแตนดาร์ดชาร์เตอร์ด ไทย | 7.5 |
ธนาคารซีไอเอ็มบี ไทย | 7.0 |
ธนาคารทหารไทย | 6.5 |
ธนาคารธนชาต | 6.5 |
ธนาคารกรุงเทพ | 6.0 |
ธนาคารกรุงไทย | 6.0 |
ธนาคารกสิกรไทย | 6.0 |
ธนาคารกรุงศรีอยุธยา | 5.0 |
ธนาคารเกียรตินาคิน | 5.0 |
ธนาคารไทยพาณิชย์ | 5.0 |
ธนาคารแลนด์ แอนด์ เฮ้าส์ | 4.0 |
ธนาคารยูโอบี | 3.5 |
ข้อสังเกตเบื้องต้นจากการประเมินของ Sustainable Banking Thailand
1. "แอปพลิเคชัน" ของธนาคารมีการเปลี่ยนแปลงวิธีตรวจสอบตัวตนเพื่อให้ทันต่อภัยคุกคาม และมีวิธีการเป็นของตัวเอง เช่น ธ.ทหารไทยใช้รหัส 8 ตัว จากเดิม 6 ตัว และต้องใช้บริการผ่านเบอร์มือถือที่ลงทะเบียนไว้กับธนาคารเท่านั้น แต่การให้บริการ "ผ่านเว็บไซต์" ไม่พัฒนาการตรวจสอบที่รัดกุมเหมือนใน Application
2. หลายๆ ธนาคารใช้ "การแจ้งเตือนอัตโนมัติ" ผ่านอีเมล และ SMS เมื่อมีการทำธุรกรรมออนไลน์ เช่น ธ.กรุงเทพ
3. ประกาศของธนาคารที่ว่า "ธนาคารจะไม่รับผิดชอบต่อกรณีการรั่วไหลของข้อมูล" ท่ามกลางความเสี่ยงจากภัยคุกคามของระบบอินเตอร์เน็ตที่ทวีความรุนแรงขึ้นเรื่อยๆ คำถามคือ แล้วใครจะเป็นคนรับผิดชอบ?
4. การให้ข้อมูลแก่ผู้ใช้บริการโดยเฉพาะการคุ้มครองความปลอดภัยของลูกค้าไม่ชัดเจนนัก แต่มักใช้คำกว้างๆ เช่น ง่ายๆ ปลอดภัย
5. จะดีกว่าไหมถ้าธนาคารออกมาตรการบังคับเพื่อให้การทำธุรกรรมมีความปลอดภัย เช่น บังคับตั้งรหัสผ่านที่ซับซ้อนขึ้น แทนการกำหนดโดย "สมัครใจ" ของผู้ใช้บริการเอง
6. ในทางปฏิบัติ ลูกค้าจำนวนมากไม่ได้รับการบริการที่เหมาะสม ล่าช้า ซับซ้อน และใจเย็นเกินไป เช่น ขณะที่นาย ก. กำลังคุยกับโอเปอร์เรเตอร์เพื่อแจ้งว่ามีความผิดปกติทางบัญชี แต่ต้องถือสายผ่านระบบอัตโนมัตินานมาก สุดท้ายมีคนถอนเงินออกจากบัญชีไปเรียบร้อยแล้ว
7. เป้าหมายของธนาคารออนไลน์ คือทำที่ไหนและเวลาใดก็ได้ แต่การออกแบบมาตรการคุ้มครองความปลอดภัยบางครั้งไม่สอดคล้องกับเป้าหมายดังกล่าว เช่น ต้องส่ง SMS ยืนยันตัวบุคคล ซึ่งจะทำไม่ได้หากไม่มีสัญญาณโทรศัพท์มือถือ
อย่างไรก็ตาม ในการเลือกใช้บริการที่มีความสะดวกสบายมากขึ้น ผู้ใช้ก็ต้องยิ่งเพิ่มความระมัดระวังในการใช้งาน เพราะเราไม่สามารถทราบได้เลยว่า พวกมิจฉาชีพจะหาวิธีการใดมาหลอกลวง หรือดึงข้อมูลไปใช้ในทางที่ไม่ดี จนก่อให้เกิดความเสียหายต่อทรัพย์ของเราได้ ด้วยความปรารถนาดีจากพวกเราชาว เช็คราคา.คอมนะคะ
31 ก.ค. 60
24,960
