[Editorial] บทเรียนจากนโยบายเปลี่ยนบัตร ATM เป็นชิป มาช้าจนมีคนตกเป็นเหยื่อจำนวนมาก บัตรตกค้างนับล้านใบ

By lew Founder on Tag: Editorial, Blognone
Editorial

วันนี้เป็นวันสุดท้ายก่อนการยกเลิกบัตรเอทีเอ็มแบบแม่เหล็กในประเทศไทย หลังจากธนาคารแห่งประเทศไทยเริ่มบังคับธนาคารทุกแห่งต้องให้บริการบัตรชิปมาตั้งแต่ปี 2016 นับเป็นการอัพเกรดเทคโนโลยีความปลอดภัยครั้งใหญ่ที่สุดครั้งหนึ่งในประเทศไทย แม้จะเป็นเรื่องน่ายินดีที่มีการปรับปรุงและจะไม่มีใครเป็นเหยื่อที่ต้องสูญเสียเงิน (อย่างน้อยก็ช่วงเวลาหนึ่ง) ให้กับอาชญากรอีก แต่เราไม่ควรลืมว่าการเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังมีประชาชนตกเป็นเหยื่อจำนวนมาก, กระบวนการเปลี่ยนผ่านใช้เวลาหลายปี, และในวันนี้เองก็ยังมีบัตรที่ยังไม่ได้เปลี่ยนอีกนับล้านใบ

บัตรแม่เหล็กเป็นเครื่องมือสำหรับยืนยันตัวตนผู้ใช้แบบพิสูจน์จากสิ่งที่ผู้ใช้มี (something you have) โดยที่มาตรฐานการให้บริการ ATM นั้นคือการยืนยันตัวตนสองชั้น คือบัตรร่วมกับรหัสผ่านสี่ตัว แต่ตัวบัตรแม่เหล็กเองเป็นเทคโนโลยีเก่า 50 ปีแล้ว การใช้ยืนยันว่าเป็นสิ่งที่ผู้ใช้มีแทบไม่มีผลในข่วงสิบกว่าปีที่ผ่านมา แต่การขาดการกำกับดูแลทิศทางที่ชัดเจนก็ทำให้ธนาคารในประเทศไทยใช้บัตรแม่เหล็กเป็นวงกว้างโดยไม่มีการเปลี่ยนผ่าน

ในห้วงสิบปีที่ผ่านมา มีผู้คนตกเป็นเหยื่อของการทำสำเนาบัตรแม่เหล็กจำนวนมาก ตั้งแต่บัตรเครดิตไปจนถึง skimmer ที่ติดตั้งบนตู้เอทีเอ็ม แม้เหยื่อทั้งหมดจะได้เงินคืน แต่แต่ละคนก็ต้องฝ่าฟันกระบวนการของแต่ละธนาคารด้วยตัวเอง หากเป็นคนที่มีความลำบากทางการเงินอยู่แล้ว การตกเป็นเหยื่อเหตุเหล่านี้สร้างความเสียหายได้ร้ายแรงจากการขาดเงินหมุนเวียน แม้เราจะเห็นข่าวอยู่เป็นระยะ แต่เรากลับไม่เคยเห็นการเปิดเผยจำนวนตัวเลขผู้เสียหายหรือการประเมินประสิทธิภาพว่าธนาคารสามารถจัดการปัญหาได้เร็วแค่ไหน แม้ธนาคารจะมีการแจ้งเตือนกันเองว่ามีตู้เอทีเอ็มถูกโจมตีแต่ก็ไม่เปิดเผยให้คนภายนอกรู้ถึงระดับอันตรายที่เพิ่มขึ้น มีเพียงเอกสารหลุดออกมาเป็นครั้งคราวเท่านั้น

การที่ธนาคารแห่งประเทศไทยสนับสนุนสังคมไร้เงินสดอย่างเต็มที่ในช่วงหลายปีที่ผ่านมา และประสบความสำเร็จค่อนข้างดี ความสำเร็จนี้จะทำให้ช่องโหว่ความปลอดภัยในอนาคตสร้างความเสียหายเป็นวงกว้างได้มากกว่าเดิมเสียอีก หากยังขาดกระบวนการกำกับดูแลอย่างเป็นรูปธรรม มีการเปลี่ยนผ่านที่ชักช้าไม่ทันการเหมือนการเลิกใช้บัตรแม่เหล็กครั้งนี้

มีการเปลี่ยนผ่านอีกมาก ที่รอการกำหนดแนวทาง หลังจากที่ปลายปีที่แล้วมีการกำหนดห้ามเครื่องที่ root หรือ jailbreak ใช้งาน หรือจำกัดการใช้ระบบปฎิบัติการเก่า คำถามในวงการอีกจำนวนมาก เช่น การใช้ SMS เพื่อยืนยันตัวตนถือว่าปลอดภัยพอหรือ หลังจาก NIST ระบุว่าไม่ปลอดภัยพอ และธนาคารควรเสนอทางเลือกอื่นให้ผู้ใช้ได้หรือยัง, กระบวนการตรวจสอบการฉ้อโกงของธนาคารในประเทศไทยล่าช้าเกินไปหรือไม่ หลังจากมีเหตุผู้ใช้ถูกขโมยข้อมูลบัตรหลายครั้ง แต่ call center บางธนาคารแทบติดต่อไม่ได้ กระบวนการแก้ไขใช้เวลานานนับเดือนไม่มีการติดต่อกลับภายใน 7 วันอย่างที่ธนาคารแห่งประเทศไทยประกาศไว้ หรือการแจ้งเตือนการใช้งานยังไม่ครอบคลุมทุกบริการ

หรือเราต้องรอให้มีผู้เสียหายเป็นวงกว้างอีกหลายๆ รอบแล้วจึงมีมาตรการแบบครั้งนี้

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Hoo Wed, 15/01/2020 - 17:52

พื้นฐานความคิดต่อปัญหาของคนไทยเรา มักจะอยู่ในรูปแบบ
หาว่า "ตีตนก่อนไข้" ถ้าออกมาตรการเร็วไป

ต้องรอให้มันเสียหายชัดเจนเป็นวงกว้างก่อน จึงค่อยออกมาตรการออกมา
พร้อมเสียงด่าว่า "วัวหายล้อมคอก"
...?

osmiumwo1f Wed, 15/01/2020 - 21:18

ปกติตอนรูดบัตรในไทยจะใช้ Chip & Signature เอา (บัตรกับลายเซ็นต์) ส่วน Chip & PIN คือเปลี่ยนจากลายเซ็นต์เป็นรหัส PIN แทน ซึ่งมันทำให้คนรับเงินไม่ต้องมาตรวจสอบลายเซ็นต์ครับ

mrKaqz Wed, 15/01/2020 - 23:16

ก็เปลี่ยนจากเซ็นมาใช้ รหัสกดเอาครับ เหมือนตอนนี้ที่ใช้กับบ้ตรเดบิตแล้ว
แต่บัตรเครดิตยังเซ็นเหมือนเดิม ซึ่งใครเก็บบัตรได้ ก็เอาไปรูดเลยครับ เซ็นๆไปเถอะ จากการสังเกตุ 90% ไม่มีร้านไหนเช็คว่าลายเซ็นหลังบัตรตรงไหม

ที่เมืองนอกอย่าง อเมริกา เมื่อก่อนถ้ามีบัตรแบบต้องเซ็นต์มา เค้าจะขอดู ID ด้วยเพื่อความชัวร์อีกทีครับ แต่บ้านเรา ไม่เคยมีตรวจอะไรเลย มันคือช่องโหว่ขนาดมหึมาขอคนใช้บัตรเครดิตครับ

atmas Wed, 15/01/2020 - 20:28

BBL ที่ทำเจ้าแรกๆ จนลูกค้าช่วงนึงกดเงินตู้ธนาคารอื่นไม่กด้ ยังมีบัตรตกค้างเลย

gololo Wed, 15/01/2020 - 23:32

ผลกระทบมันมี 2 ด้านเสมอถ้าจะมองว่าการเปลี่ยนแปลงช้าแล้วแย่โดยมีคนโดนโจมตี ก็ต้องมีข้อมูลว่าผลกระทบว่าถ้าเปลี่ยนเร็วจะเกิดความเสียหายอะไรบ้างมาเปรียบเทียบด้วยถ้าที่คิดว่ามันสมควรแล้วหรือความผิดพลาดมันจริงหรือเปล่า ยกตัวอย่าง
คนที่อยู่ไกลไม่สามารถเข้ามาที่ธนาคารได้ง่ายแต่ใช้ตู้ ATM เพื่อกดเงินที่ลูกๆส่งมาซื้อข้าวกิน รถก็ไม่มีร่างกายก็ไม่พร้อม แต่อยู่มาวันนึงกดเงินไม่ได้
การสือสารให้คนรับรู้ว่าต้องเปลี่ยนกับผู้สูงอายุสายตาไม่ดีหรืออ่านหนังสือไม่ได้
ทำยังไงให้ทั่วถึง ขนาด แค่ยกเลิกครื่นยังมีคนจำนวนมากที่ไม่ได้เปลี่ยนซิม
ระยะเวลาในการติดตั่ง และคิดว่าคงมีผลกระทบอื่นๆอีก

McKay Thu, 16/01/2020 - 10:34

ผมเข้าใจว่าประกาศให้เปลี่ยนมาปีกว่าเกือบสองปีนะครับ รวมถึงเข้าใจว่าสั่งให้ตู้ ATM แจ้งเตือนให้เปลี่ยนทุกครั้งด้วย แถมออกมาตรการเปลี่ยนฟรีอีก อันนี้คงจะเรียกว่านโยบายช้าไม่ได้

ที่ควรเสริมคือการทำให้ประชาชนตระหนักถึงปัญหาว่าทำไมต้องเปลี่ยนมากกว่าครับ ประชาชนรู้แค่ต้องเปลี่ยนใหม่ แต่ไม่รู้ว่าทำไมต้องเปลี่ยน ดีกว่าเดิมยังไง เมื่อไม่รู้ก็ขี้เกียจเปลี่ยน กลายเป็นบัตรตกค้างนี่แหละ

lancaster Thu, 16/01/2020 - 22:16

ผมพยายามไปเปลี่ยนหลายที เจอธนาคารอ้างว่าบัตรธรรมดาหมดทุกครั้ง เหลืออยู่แต่บัตรแพงที่พ่วงสิทธิ พ่วงประกัน เลยไม่เปลี่ยนมันละ เลิกใช้ถาวรเลย

เชื่อว่าคนส่วนใหญ่ในประเทศก็คงเจอปัญหาคล้ายๆกับผมเลยไม่เปลี่ยนกัน

paween_a Fri, 17/01/2020 - 10:38

เป็นเหมือนกัน ผมมีบัตรของธ.กสิกรไทย บัตรเก่านี่โดนปีละ 100 บัตรใหม่นี่เริ่ม 250 แต่บัตรหมด มีแต่ 350 ก็เลยเดินออกมาอย่างมึน ๆ

สุดท้ายเข้าไปค้นเจอว่าสั่งอาญัติบัตรแล้วไม่ต้องเสียค่าธรรมเนียมต่อ เหมือนยกเลิกบัตรไปเลยผ่าน app K+ ได้ ก็เลยกดอาญัติไปซะ จบเรื่องไป ถอนผ่าน app แทน

lew Thu, 16/01/2020 - 22:22

สิงคโปร์สั่งให้ธนาคารออกบัตรชิปทั้งหมดตั้งแต่ 2014 ครับ บัตร 20-40 ล้านใบ สั่งวันนี้ มันไม่หมดในวันนี้อยู่แล้ว

ต่อให้ออกบัตรชิป 2014 เท่ากัน วัน cut-off ก็อาจจะวันนี้เหมือนเดิม แต่ที่จะเกิดขึ้นคือ 1) การโจมตีแต่ละครั้งจะส่งผลกระทบน้อยลง คนที่กดประจำจะเปลี่ยนบัตรก่อน รวมถึงคนที่โดนโจมตีไปแล้วครั้งหนึ่งก็แปลี่ยน 2) การโจมตี "น่าจะ" น้อยลง เพราะข้อหนึ่ง effective ของการโจมตีต่ำลง 3) วัน cut-off วันนี้คนจะเหลือบัตรน้อยลง

ผมไม่ได้อยากให้เราเลิกใช้เทคโนโลยีเดิมเร็วๆ เท่าไหร่นะครับ โลกความเป็นจริงมันมีคนไม่ยอมเปลี่ยนนี่เรารู้อยู่แล้ว แต่เราจัดการได้ดีกว่านี้ถ้าเราเพิ่ม alternative เข้ามาเร็ว วันนี้ถ้าเรายังใช้บัตรแม่เหล็กอยู่เราอาจจะบีบกดเงินได้ไม่เกินวันละหมื่น แล้วใช้ต่อก็น่าจะพอไหว หรือแอนดรอยด์หมดซัพพอร์ตเราจะไม่ตัดเขาทั้งหมดแต่ลดการโอนออกเหลือวันละ 5000 อะไรแบบนั้นก็ว่าไป

อยากเรื่อง SMS การ มี/เสนอ ทางเลือกให้ลูกค้า อาจจะบังคับในบางกรณี (ขอเพิ่มวงเงินรายวันสูงมากๆ) ไว้ล่วงหน้า แล้วค่อยๆ เปลี่ยนผ่าน ถ้าพรุ่งนี้มีข่าวช่องโหว่ใหม่ (หรือช่องโหว่ SS7 เดิมๆ นี่ล่ะ) จาก SMS แล้วมีคนโดนขโมยเงินสักพันคน เรามีทางเลือกให้คน "เฮโล" กันไปหาช่องทางใหม่ได้นี่ดีกว่ามากๆ

ผมเองใช้บัตรชิปมานาน 15 ปีแล้ว มันก็ให้บริการกันมาได้ แสดงว่าต้นทุนไม่ได้สูงเกินไป (เช่นเดียวกัน HW/SW Token นี่หลายธนาคารก็ให้บริการกันแล้ว) แต่การไม่มีนโยบายเป็นศูนย์กลาง มันทำให้มีไม่กี่ธนาคารมีทางเลือก และคนจำนวนมากมันเปลี่ยนธนาคารไม่ได้

Wang_Peter Thu, 16/01/2020 - 13:11

ที่มันล่าช้า ส่วนนึงเพราะการกำหนดให้ใช้ Application ในชิพที่ไม่ใช่มาตรฐานสากล ไปใช้มาตรฐานจีน (UPI)แล้วก่อตั้งบริษัทชื่อ TPN ขึ้นมา ความเดือดร้อนจึงบังเกิด เพราะธนาคารส่วนใหญ่ไม่ได้เป็น member UPI และ TPN ทำให้เกิดดราม่าพอสมควรเพราะต้องสมัครเป็น member TPN
ต้องทำระบบให้รองรับ TPN ทั้งระบบการออกบัตร, ตู้ ATM, เครื่อง EDC
ถ้าใช้มาตรฐาน VISA/Mastercard ตั้งแต่แรกเรื่องนี้จะไม่เกิด
สุดท้ายทางออกคือ ITMX ออกบัตร Prompt Card เป็นอีก 1 ทางเลือก ไม่ให้ TPN ผูกขาด
และยังร่วมมือกับ Mastercard ในการออกบัตร Cobadge ในประเทศวิ่งผ่าน ITMX
เวลาไปใช้ต่างประเทศ ก็วิื่งผ่าน Mastercard
VISA ก็ทำการจดทะเบียนเป็น บริษัทไทย และ ใช้ network ITMX สำหรับรายการในประเทศ
TPN ใครถือหุ้นบ้างก็ไปลองหาข้อมูลละกันครับ

sundance Thu, 16/01/2020 - 20:50

ผมเจออันนี้

https://www.thansettakij.com/content/33286

เลยตามไปอ่านประวัติของประธานฯ

รบวนถามครับ
ผมเข้าใจว่า ตัวแปรของปัญหานี้ ก็คือบัวหลวงเอง ใช่หรือเปล่าครับ.