การเพิ่มขึ้นของความเสี่ยงจากการฉ้อโกงข้อมูลไบโอเมตริกซ์ และผลกระทบต่อสถาบันการเงิน
การบริหารความเสี่ยงทางไซเบอร์ต้องเน้นการตรวจสอบความปลอดภัยของผู้ให้บริการบุคคลที่สามอย่างเคร่งครัด ควรประเมินการตรวจสอบประสิทธิภาพของระบบไบโอเมตริกซ์ตามมาตรฐาน ISO 27001, NIST และการรับรอง SOC 2 Type 2 การใช้เครื่องมือตรวจสอบช่วยในการติดตามกิจกรรมของผู้ให้บริการอย่างต่อเนื่องและตั้งค่าการควบคุมการเข้าถึงข้อมูลอย่างเข้มงวดจะช่วยลดความเสี่ยงในการละเมิดข้อมูล
จากการคาดการณ์ของ Deloitte Center for Financial Services ภายในปี 2570 การฉ้อโกงข้อมูลไบโอเมตริกซ์สังเคราะห์จะก่อให้เกิดความสูญเสียมากกว่า 40 พันล้านดอลลาร์สหรัฐ เทคโนโลยีอย่าง Deepfake ถูกนำมาใช้เพื่อสร้างข้อมูลไบโอเมตริกซ์สังเคราะห์ที่มีความสมจริงและน่าเชื่อถือมากขึ้น โดยใช้ข้อมูลส่วนบุคคลที่ถูกขโมยจากเว็บมืดหรือสร้างขึ้นใหม่ การพัฒนาของ Generative AI ยังเพิ่มความเสี่ยงจาก Deepfake ให้รุนแรงขึ้น รายงานของ World Economic Forum (WEF) ในปี 2566 ระบุว่าเหตุการณ์ Deepfake ที่เกี่ยวข้องกับฟินเทคเพิ่มขึ้น 700% เมื่อเทียบกับปีก่อนหน้า และคาดว่าในปี 2569 เนื้อหาออนไลน์มากถึง 90% อาจถูกสร้างขึ้นด้วยเทคโนโลยีสังเคราะห์
ในภูมิภาคเอเชียแปซิฟิก รวมถึงประเทศไทย การจัดการกับการฉ้อโกงข้อมูลไบโอเมตริกซ์กลายเป็นประเด็นเร่งด่วน รายงานของ WEF ชี้ว่าในปี 2567 การบิดเบือนข้อมูลเป็นหนึ่งในความเสี่ยงที่สำคัญ สถาบันการเงินเสี่ยงสูงจากการฉ้อโกงผ่าน Deepfake และการขโมยข้อมูลไบโอเมตริกซ์ ผู้ไม่หวังดีสามารถใช้ข้อมูลนี้เพื่อเปิดบัญชีธนาคาร ยื่นขอสินเชื่อ หรือทำธุรกรรมที่ผิดกฎหมาย การกระทำเหล่านี้ไม่เพียงส่งผลกระทบต่อความเชื่อมั่นของผู้ใช้ แต่ยังสร้างความเสียหายต่อธุรกิจของธนาคารที่ต้องเพิ่มมาตรการรักษาความปลอดภัยและสืบสวนอย่างละเอียด
มาตรการเชิงรุกในการรับมือกับความเสี่ยงด้านไบโอเมตริกซ์
ประเทศไทยได้ดำเนินมาตรการเพื่อต่อต้านการฉ้อโกงข้อมูลไบโอเมตริกซ์ เช่น ในเดือนมีนาคม 2566 ธนาคารแห่งประเทศไทย (ธปท.) ได้ออกข้อกำหนดด้านความปลอดภัยใหม่สำหรับการทำธุรกรรมผ่านธนาคารบนมือถือ โดยกำหนดให้ใช้เทคโนโลยีไบโอเมตริกซ์ในการยืนยันตัวตนทุกครั้งเมื่อมีการเปิดบัญชีธนาคารใหม่หรือทำธุรกรรมดิจิทัลที่มีมูลค่าเกิน 50,000 บาท
ในเดือนกันยายน 2566 ธปท. ยังได้ออกแนวทางบริหารความเสี่ยงสำหรับการใช้เทคโนโลยีไบโอเมตริกซ์ในกระบวนการ eKYC โดยย้ำว่าข้อมูลไบโอเมตริกซ์ต้องไม่ถูกจัดเก็บในอุปกรณ์จับข้อมูลหรือระบบของบุคคลที่สาม เพื่อป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูล นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทยยังมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวด โดยข้อมูลไบโอเมตริกซ์ถูกจัดเป็นข้อมูลละเอียดอ่อน และองค์กรที่ละเมิดอาจต้องเผชิญค่าปรับสูงสุดถึง 5 ล้านบาท
การพัฒนาและแนวทางการระบุตัวตนดิจิทัลในประเทศไทย
การพัฒนาแพลตฟอร์ม National Digital ID (NDID) ซึ่งทำงานบนเทคโนโลยีบล็อกเชน เป็นอีกหนึ่งความพยายามของประเทศไทยในการเสริมสร้างความปลอดภัยในการยืนยันตัวตนทางดิจิทัล NDID ช่วยให้บุคคลสามารถยืนยันตัวตนได้อย่างปลอดภัยเมื่อใช้บริการต่าง ๆ ในภาคการเงิน โดยแพลตฟอร์มนี้ได้รับการสนับสนุนจากรัฐบาล เพื่อเพิ่มความโปร่งใสและลดการฉ้อโกงจากข้อมูลไบโอเมตริกซ์สังเคราะห์ ข้อมูลที่ตรวจพบว่าเป็นข้อมูลปลอมสามารถถูกแชร์ภายในเครือข่าย NDID เพื่อป้องกันการใช้ซ้ำและเสริมสร้างความสามารถในการตรวจจับการฉ้อโกง
ในเดือนมกราคม 2567, NDID ได้ออกแนวทางการประเมินคุณสมบัติสมาชิก (MQA) เพื่อให้มั่นใจว่าหน่วยงานที่เป็นสมาชิกของ NDID มีมาตรการการป้องกันและรับมือภัยคุกคามทางไซเบอร์ที่สอดคล้องกับมาตรฐานสากล รวมถึงต้องส่งรายงานการตรวจสอบอิสระทุก 1-2 ปีตาม Tier ของสมาชิก
แนวทางการบริหารความเสี่ยงข้อมูลไบโอเมตริกซ์และการป้องกันข้อมูล
สถาบันการเงินต้องให้ความสำคัญกับการพัฒนากรอบการบริหารความเสี่ยงผ่านแนวทาง Three Lines of Defense ซึ่งครอบคลุมมาตรการควบคุมเพื่อตรวจจับและป้องกันการฉ้อโกงไบโอเมตริกซ์ หนึ่งในเทคนิคสำคัญคือการใช้ระบบ liveness detection ที่ช่วยแยกแยะระหว่างผู้ใช้ที่เป็นคนจริงกับข้อมูลปลอม โดยใช้การตรวจสอบเชิงลึก เช่น การตรวจจับพื้นผิวใบหน้า การกะพริบตา หรือการไหลเวียนของเลือด
สถาบันการเงินต้องตรวจสอบความแม่นยำของอัลกอริทึมในระบบยืนยันตัวตนอย่างสม่ำเสมอ รวมถึงควบคุมการเข้าถึงข้อมูลไบโอเมตริกซ์ภายในองค์กรและผู้ให้บริการบุคคลที่สาม นอกจากนี้ การตั้งค่าเกณฑ์การจับคู่ไบโอเมตริกซ์ที่แม่นยำ การเข้ารหัสข้อมูลที่ถูกแบ่งปัน และการตรวจสอบระบบรักษาความปลอดภัยอย่างสม่ำเสมอเป็นสิ่งสำคัญ เพื่อป้องกันการรั่วไหลและเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
การรับมือและการป้องกันภัยคุกคามทางไซเบอร์
เพื่อเพิ่มความปลอดภัย สถาบันการเงินควรใช้แนวคิดการรักษาความปลอดภัยแบบ Zero-Trust ซึ่งหมายถึง “ไม่ไว้วางใจ ตรวจสอบเสมอ” โดยให้มีการตรวจสอบข้อมูล อุปกรณ์ และผู้ใช้อย่างต่อเนื่องเพื่อลดความเสี่ยงในการถูกโจมตี สถาบันการเงินควรเตรียมแผนรับมือเหตุการณ์ข้อมูลรั่วไหลอย่างชัดเจน และมีข้อกำหนดด้านความรับผิดในสัญญากับผู้ให้บริการบุคคลที่สาม เพื่อจัดการปัญหาการละเมิดข้อมูลอย่างมีประสิทธิภาพ
การบริหารความเสี่ยงทางไซเบอร์ต้องเน้นการตรวจสอบความปลอดภัยของผู้ให้บริการบุคคลที่สามอย่างเคร่งครัด ควรประเมินการตรวจสอบประสิทธิภาพของระบบไบโอเมตริกซ์ตามมาตรฐาน ISO 27001, NIST และการรับรอง SOC 2 Type 2 การใช้เครื่องมือตรวจสอบช่วยในการติดตามกิจกรรมของผู้ให้บริการอย่างต่อเนื่องและตั้งค่าการควบคุมการเข้าถึงข้อมูลอย่างเข้มงวดจะช่วยลดความเสี่ยงในการละเมิดข้อมูล