เมื่อ ‘บุคคล‘ กลายเป็นรหัสผ่าน ธนาคารต้องเตรียมโครงสร้างอย่างไร

ข่าวเมื่อต้นปี 2561 น.ส.ณิชา พนักงานบริษัทเอกชน ถูกแก๊งคอลเซนเตอร์นำบัตรประชาชนไปเปิดบัญชีธนาคารหลายบัญชี เพื่อนำไปหลอกให้เหยื่อคนอื่นๆ โอนเงินเข้ามา สุดท้ายมีการสรุปว่าเจ้าหน้าที่ธนาคารหละหลวมในการตรวจสอบหลักฐาน สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ต้องเชิญตัวแทนจากสถาบันการเงิน 36 แห่ง หามาตรการป้องกันและเตือนว่า หากละเลยมีโทษปรับบัญชีละหนึ่งล้านบาท

เหตุการณ์นั้นคงทำให้ธนาคารต่างๆ เข็ด เพราะทั้งเสียชื่อเสียงและอาจต้องจ่ายค่าเสียหายหากเกิดกรณีเช่นนี้อีกในอนาคต

แต่ใครจะไปยืนยันได้ ว่าคนที่เข้ามาแสดงเจตนาขอใช้บริการต่างๆ กับธนาคาร เป็น ‘บุคคล’ นั้นจริงๆ หรือเป็นบุคคลที่ได้รับมอบอำนาจมาจากเจ้าตัว ลำพังแค่การเทียบใบหน้ากับบัตรประชาชน หรือถ่ายสำเนาบัตรเซ็นรับรองว่าสำเนาถูกต้อง ก็ไม่มีอะไรยืนยันได้ว่าลายมือนั้นเป็นของเจ้าของ

หันไปมองระดับโลก หลายองค์กรเริ่มพิจารณานำข้อมูลทางชีวภาพมาใช้ยืนยันตัวตนมากขึ้น เพราะต่อไปนี้ แม้แต่ ‘สิ่งที่เรารู้’ อย่างพาสเวิร์ดหรือตัวเลขพิน (PIN) อาจไม่เพียงพอ แต่ต้องใช้ ‘สิ่งที่เราเป็น’ อย่างลายนิ้วมือ ใบหน้า เสียง ฯลฯ ซึ่งใครก็เอาไปจากเราไม่ได้ ยกเว้นด้วยเทคนิคการจำแลงอื่นๆ ซึ่งซับซ้อนกว่าการขโมยพาสเวิร์ดมากนัก

เมื่อวันที่ 26 กันยายน 2561 ธนาคารแห่งประเทศไทยจึงจัดงานสัมมนา ‘The Journey of Biometrics in Financial Services’ เพื่อสำรวจความเป็นไปได้ในการนำเทคโนโลยีข้อมูลไบโอเมตริกส์มาใช้กับบริการทางการเงินในประเทศไทย ที่ไม่ได้แค่สร้างความปลอดภัยอีกระดับ แต่อาจจะทำให้การส่งต่อข้อมูลระหว่างกันนั้นไหลลื่นขึ้น

เมื่อตัวเรากลายเป็นพาสเวิร์ด

ไบโอเมตริกส์ในความเข้าใจของเราคงมีแค่ลายนิ้วมือ ม่านตา หรือล่าสุดที่ไอโฟนนำมาใช้ ก็คือใบหน้า

Sriram Chatty ประธานฝ่ายการชำระเงิน บริษัท ทาทาคอนซัลแทนซี เซอร์วิสเซส (Tata Consultancy Services) แนะนำภูมิทัศน์ไบโอเมตริกส์ในปัจจุบันว่ามีมากกว่านั้น และขณะนี้ มีสตาร์ตอัปต่างๆ พัฒนาไบโอเมตริกส์แต่ละด้านอย่างเฉพาะเจาะจง เช่น เทคโนโลยีเกี่ยวกับการอ่านม่านตา ใบหน้า ลายนิ้วมือ เสียง เส้นเลือด หรือแม้แต่ ‘พฤติกรรม’ ที่ต่างกันของแต่ละบุคคล ซึ่งนวัตกรรมที่บริษัทเหล่านี้คิดค้นขึ้นมา จะช่วยลัดขั้นตอนให้บริษัทขนาดใหญ่อย่างสถาบันการเงินไม่ต้องเริ่มนับหนึ่งกันตั้งแต่ต้น และนำมาประยุกต์ใช้ได้เลย

ยิ่งปัจจุบัน ธนาคารแห่งประเทศไทยได้กำหนดให้สถาบันการเงินต่างๆ มีกระบวนการการรู้จักลูกค้าผ่านช่องทางอิเล็กทรอนิกส์ (e-KYC) จึงน่าสนใจว่า ธนาคารต่างๆ เดินหน้าไปถึงไหนแล้ว และพวกเขาดึงเอาไบโอเมตริกส์มาใช้สนับสนุนกระบวนการนี้หรือยัง

ใช้ร่างกาย ปลอดภัยกว่า แต่ว่ายังไม่ใช่ทั้งหมด

แม้ไบโอเมตริกส์จะมาช่วยยกระดับความปลอดภัย แต่ Chatty ก็เตือนว่าไม่มีอะไรที่จะปิดรอยรั่วได้ 100% เขายกตัวอย่างเหตุการณ์ในภาพยนตร์สองเรื่อง คือ Bourne Ultimatum ที่มีการใช้เสียงกับรอยนิ้วมือของบุคคลอื่นมาใช้เปิดตู้เซฟได้ แม้ตัวเจ้าของเองไม่ได้อยู่ตรงนั้น

หรือหากเราจะใช้ใบหน้ามายืนยันตัวตน มิจฉาชีพไฮเทคบางกลุ่มก็เริ่มใช้เทคโนโลยี 3D printing มาพิมพ์ใบหน้าคนลอกเลียนกันแล้ว

การใช้ไบโอเมตริกส์จึงต้องมากับการกำหนดกรอบรักษาความปลอดภัยขององค์กรต่างๆ ด้วย

ทางด้านไบรอัน แฮมิลตัน หัวหน้าโครงการอัตลักษณ์และความเสี่ยง แห่ง VISA ได้ออกมาย้ำความสำคัญของไบโอเมตริกส์ ว่าไม่ใช่แค่ทางเลือกหรือตัวช่วยอีกต่อไป แต่กลายเป็นสิ่งที่สถาบันการเงิน ‘ต้องทำ’ อย่าง VISA ที่มองว่าต่อไป จะไม่ได้เรียกร้องผู้ใช้เพียงการเป็น ‘ผู้ถือบัตร’ (cardholder) แต่ต้องเป็น ‘เจ้าของบัตร’ (card owner) ตัวจริง จึงจะใช้งานบัญชีได้ ซึ่งไบโอเมตริกส์จะเป็นตัวช่วยอีกชั้น ที่เหนือจากพาสเวิร์ดและพินที่ปัจจุบันใช้ๆ กันอยู่

นอกจากนี้ ยังต้องอาศัยข้อมูลแวดล้อมมาประกอบกัน แล้วใช้ปัญญาประดิษฐ์วิเคราะห์ความเป็นตัวจริง เรียกว่าเป็นการเปลี่ยนจากข้อมูลตายตัว (static data) เป็นข้อมูลที่มีพลวัต (dynamic data)

Chatty เสริมว่า ปัจจุบัน การธนาคารเริ่มใช้ข้อมูลม่านตา ลายนิ้วมือ และใบหน้ามาเป็นข้อมูลประกอบกัน ไม่ได้ใช้เพียงอย่างใดอย่างหนึ่ง อย่างไรก็ตาม ต้องอย่าลืมว่า ผู้ใช้งานก็อยากจะได้รับบริการที่สะดวก ไร้จุดสะดุด ธนาคารจึงต้องหาตรงกลางระหว่างมาตรการรักษาความปลอดภัยที่เข้มงวดกับความสะดวกของผู้ใช้งานให้ดีๆ เพราะหากต้องทำอะไรหลายขั้นตอน ก็จะกลายเป็นความหงุดหงิดรำคาญใจ และบางครั้งความผิดพลาดในขั้นตอนระบุตัวตน เช่น false rejection ก็อาจสร้างความเสียหายเพราะผู้ใช้ตัวจริงเข้าใช้งานไม่ได้

ทั้งนี้เพื่อความสะดวก ในอนาคต ระดับของความปลอดภัยอาจถูกกำหนดตามประเภทและจำนวนเงินที่ทำธุรกรรม เช่น หากโอนจำนวนไม่มากนัก ก็อาจใช้เพียงลายนิ้วมือก็เพียงพอ เป็นต้น

น่ากลัว? ข้อมูลชีวภาพเราจะไปอยู่กับใครก็ไม่รู้

คำถามสำคัญก็คือ ข้อมูลชีวภาพเหล่านี้จะถูกแฮ็กหรือไม่

ชัยวัฒน์ สถิรเสถียร จาก Samsung เสนอมุมมองเกี่ยวกับการจัดการข้อมูลไบโอเมตริกส์ผ่านอุปกรณ์ เขานำเสนอว่า เทคโนโลยีซัมซุงใช้วิธีการจับคู่ (matching) ข้อมูลไบโอเมตริกส์กับตัวอุปกรณ์ชิ้นนั้นๆ เลย แล้วอุปกรณ์จึงจะสร้างคีย์ขึ้นมาเชื่อมต่อกับเซิร์ฟเวอร์อีกที ไม่ได้ส่งต่อข้อมูลไบโอเมตริกส์นั้นไปยังเซิร์ฟเวอร์ส่วนกลาง เพราะเสี่ยงต่อการที่แฮกเกอร์จะเจาะระบบแล้วได้ข้อมูลผู้ใช้จำนวนมหาศาลไป

“หากพยายามแฮ็กเครื่องแต่ละเครื่องก็ไม่คุ้ม เพราะจะได้ข้อมูลคนแค่คนเดียว” เพราะฉะนั้นการรวมศูนย์ข้อมูลไบโอเมตริกส์ไม่ใช่เรื่องที่ดี อาจเหมาะสม หากเป็นการสร้างฐานข้อมูลประวัติอาชญากร แต่ไม่ควรนำมาใช้กับธุรกรรมต่างๆ และการที่ไม่ต้องเก็บข้อมูลไว้ที่ส่วนกลาง ก็ช่วยประหยัดค่าใช้จ่ายในการสำรองข้อมูลเอาไว้

ไอแวน ฟุน (Ivan Phoon) จากบริษัท SenseTime เสริมประเด็นนี้ว่า การ ‘จับคู่’ ข้อมูลไบโอเมตริกส์มีสองแบบ ได้แก่ ‘one-to-one matching’ เช่น การให้ ID กับม่านตานั้นจับคู่กันเอง หากใช่บุคคลนั้นจริง ข้อมูลตรงกัน ก็จะผ่านไปได้ แบบที่สองคือ ‘one-to-end matching’ ซึ่งเป็นการส่งข้อมูลไบโอเมตริกส์ไปยังฐานข้อมูลส่วนกลาง เช่นฐานข้อมูลใบหน้าคนจำนวนมาก เพื่อบอกว่าบุคคลนั้นคือใคร ซึ่งหากมีข้อมูลอยู่ในคลังมหาศาลก็จะใช้เวลาประมวลผลนาน

แฮมิลตันเสริมว่า มีกรณีศึกษา เช่น ในสหรัฐอเมริกา VISA ใช้ข้อมูลโลเคชันลูกค้าประกอบ เพื่อให้เทียบใบหน้ากับฐานข้อมูลบุคคลที่มีอยู่ในพื้นที่นั้นๆ เช่น อยู่ในบริเวณสาขาของธนาคาร ไม่ต้องดึงเอาข้อมูลทั้งหมดที่มีในคลังข้อมูลมา และเป็นการเสริมข้อมูลหลายๆ ชุดเข้าด้วยกัน

เมื่อถามว่า ในอนาคต ไบโอเมตริกส์จะมาแทนที่พาสเวิร์ดทั้งหมดหรือเปล่า ทุกๆ คนก็ยังไม่ตอบฟันธง ส่วนหนึ่งเพราะว่าบางครั้งระบบเซนเซอร์ก็เสีย หรือข้อมูลไบโอเมตริกส์ไม่พร้อมใช่งาน (เช่น นิ้วเปื่อยจากการแช่น้ำ) จึงอาจต้องมีการใช้พาสเวิร์ดเป็นทางเข้าสำรอง ซึ่งตรงนี้แฮมิลตันก็ชวนคิดว่า อย่างนี้เท่ากับระบบก็ยังไม่ปลอดภัยเท่าเดิมหรือเปล่า

ส่วนคำถามที่ว่าเทคโนโลยีเหล่านี้จะแพงเกินไปไหมสำหรับธนาคาร เป็นสิ่งที่ตอบอย่างเจาะจงไม่ได้ ขึ้นอยู่กับว่าใช้ไปกับเรื่องอะไร แฮมิลตันมองว่า หากเป็นการใช้ปัญญาประดิษฐ์มาช่วยวิเคราะห์เอกสารต่างๆ ว่าเป็นของจริง รับรองว่าประหยัดว่าการฝึกอบรมพนักงานเป็นร้อยสาขาแน่นอน

Digital ID เครื่องมือ e-KYC ของไทย

เขยิบจากเรื่องไบโอเมตริกส์ ใกล้ตัวคนไทยขึ้นมานิดหนึ่ง ก็เป็นเรื่อง National Digital ID โครงสร้างพื้นฐานสำหรับระบบพิสูจน์ตัวตนอิเล็กทรอนิกส์ ที่ตอนนี้ประเทศไทยกำลังเดินหน้าพัฒนา โดยโครงสร้างที่ว่านี้จะเชื่อมหน่วยงานต่างๆ เช่น หน่วยงานภาครัฐ ธนาคาร ฯลฯ  เพื่อยืนยันว่าบุคคลนั้นคือตัวจริง และเพื่อให้แชร์ข้อมูลเกี่ยวกับบุคคลแต่ละคนได้

จีระพงศ์ เลาห์ขจร กรรมการผู้จัดการใหญ่ บริษัท NDID ออกมาเคลียร์ความเข้าใจผิดขั้นแรกว่า National Digital ID ไม่ได้จะมาแทนที่บัตรประชาชนที่เราใช้กัน แต่เป็นโครงสร้างที่ช่วยสนับสนุนกระบวนการยืนยันตัวตนบุคคล ทั้งเพื่อความสะดวกของผู้ใช้บริการที่ไม่ต้องกรอกข้อมูล และส่งหลักฐานยืนยันตัวตนหลายรอบเมื่อเข้ารับบริการจากหน่วยงานที่ต่างกัน ในขณะเดียวกัน ก็ปลอดภัยสำหรับผู้ให้บริการและผู้ใช้บริการ ป้องกันการสวมรอย

ส่วนการตั้งบริษัท NDID ขึ้นมา เป็นผลผลิตของคณะกรรมการ Digital Economy ทั้งนี้เพราะโครงสร้างพื้นฐานดังกล่าวจะต้องมีหน่วยงานที่ทำหน้าที่เจ้าภาพ นำทุกๆ ฝ่ายมาร่วมทีมเดียวกัน แต่ NDID ไม่ได้เข้ามาเป็นเจ้าของเครือข่าย และไม่ได้มีศูนย์ข้อมูล (data center) ที่สามารถเป็นเป้าหมายของการโจรกรรมข้อมูลได้ เป็นเพียงเจ้าภาพในการยืนยันว่าบล็อคเชนนั้นเป็นของจริง และเพียงแต่เก็บ log เอาไว้เพราะใช้เป็นหลักฐานตามกฎหมาย

วรฉัตร ลักขณาโรจน์ ธนาคารกรุงศรีอยุธยา เสริมให้เห็นข้อดีของการเชื่อมโยงข้อมูลของทุกธนาคาร ว่า ปัจจุบันกระบวนการที่ใช้กันอยู ก่อให้เกิดปัญหาจากเอกสารจำนวนมาก ขั้นตอนหลายขั้นตอน ผ่านคนหลายคน รวมๆ แล้วใช้เวลานาน เพราะฉะนั้น ทางเลือกในอนาคตที่น่าสนใจก็คือการใช้ไบโอเมตริกส์ ปัญญาประดิษฐ์ (มาให้คะแนนความน่าเชื่อถือของข้อมูล) บล็อคเชน (เช่นระบบ NDID) และลายเซ็นอิเล็กทรอนิกส์ ซึ่งจะช่วยลดเวลาทำงานได้ถึง 90% ยิ่งถ้านำไปใช้กับกระบวนการที่เดิมทีเคยซับซ้อนมากๆ อย่างการทำธุรกรรมของเอสเอ็มอี จะเห็นประสิทธิภาพที่แตกต่างกันอย่างชัดเจน

“ต่อไปเราไม่ต้องพกอะไรแล้วครับ หน้าเรานี่แหละคือไอดี ก่อนหน้านี้เราตื่นเต้นกับพร้อมเพย์กัน แต่เรื่องนี้ใหญ่กว่าพร้อมเพย์เยอะ”

สุปรีชา ลิมปิกาญจนโกวิท ธนาคารกสิกรไทย มองว่ากรณีคดี น.ส. ณิชา ก็ทำให้ธนาคารทุกแห่งตื่นตัว และระบบไบโอเมตริกส์จะมาช่วยลดความผิดพลาดจากการทำงานของมนุษย์ในขั้นตอนตรวจสอบอัตลักษณ์บุคคลได้

สามบทบาทในเครือข่าย : RP, IdP, AS

ดร. ภูมิ ภูมิรัตน ที่ปรึกษาของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) อธิบายว่า ไบโอเมตริกส์แบ่งการใช้งานออกเป็น 2 ลักษณะ ได้แก่ Authentication กับ Identification แบบแรกคือการใช้งานที่ต้องรู้จักกันก่อนอยู่แล้ว แต่แบบที่สองคือกระบวนการที่ธนาคารสามารถมาใช้กับ e-KYC ได้ คือการระบุตัวลูกค้าที่เรายังไม่รู้จัก

“ตัวไบโอเมตริกส์จะแม่นต่อเมื่อมีการรวบรวมข้อมูลมาเยอะๆ ก่อน และ AI ก็ไม่ได้มีแค่ด้านดี แต่ยังมี AI ที่คิดมาใช้ปลอมไบโอเมตริกส์เพื่อหลอกระบบได้ด้วย เพราะฉะนั้น โลกมันไม่สดใสแน่ ถ้าเราปล่อยให้ทุกคนไปลงทุนกันเอง ใครที่ลงทุนตามไม่ทันก็จะถูกคนร้ายหลอกมากขึ้นเรื่อยๆ สังคมมันจะป่วน ตอนนี้เรามีวิธีการยืนยันตัวตนแบบออฟไลน์ แต่ยังไม่มีวิธีการยืนยันตัวตนแบบออนไลน์” นี่จึงเป็นที่มาของการตั้ง NDID เพื่อทำให้ธนาคารทุกแห่งกระเถิบขึ้นมายืนอยู่บนมาตรฐานเดียวกัน

โครงสร้างพื้นฐานที่ว่านี้ คือการเชื่อมโยงผู้ที่เกี่ยวข้องสามบทบาท (role) เข้าด้วยกัน ได้แก่

• RP (Relying Party) – องค์กรที่เรียกขอข้อมูล : กลุ่มผู้ให้บริการในการทำธุรกรรมต่างๆ เช่น ธนาคารที่บริการเปิดบัญชี ขอสินเชื่อ ทำบัตรเครดิต หรือผู้ให้บริการอินเทอร์เน็ต เป็นต้น
• IdP (Identity Provider) – องค์กรที่ลูกค้าไปลงทะเบียนข้อมูลดิจิทัลไว้ : เป็นกลุ่มผู้ให้บริการยืนยันตัวตน โดยมีข้อมูลของผู้ใช้งานคนนั้นอยู่ เช่น ธนาคาร
• AS (Authoritative Source) –  : กลุ่มผู้ให้บริการข้อมูลของลูกค้านั้นๆ เช่น ข้อมูลเครดิตแห่งชาติ สเตตเมนต์ธนาคาร ข้อมูลการตรวจสุขภาพ หนี้ กยศ. ฯลฯ

“ในอนาคต ถ้าเรามี AS หลายๆ ฝ่าย ลูกค้าก็ไม่ต้องกรอกอะไรอีกแล้ว” วรฉัตร ยกตัวอย่างการใช้งานจริงในอนาคต “เช่นเวลาไปขอบัตรเครดิตกรุงศรีฯ (RP) แต่สามารถไปยืนยันตัวตนผ่านแอปฯ กสิกร (IdP) แล้วธนาคารนั้นก็สามารถขอข้อมูลทั้ง ข้อมูลส่วนตัว (AS = กรมการปกครอง) ข้อมูลเครดิต (AS = National Credit Bureau) ข้อมูลรถยนต์ (AS = กรมการขนส่ง) ได้ในคราวเดียว”

สุปรีชา เสริมว่า การเชื่อมโยงนี้ไม่เพียงช่วยให้เปิดบัญชีง่ายขึ้นเท่านั้น แต่ digital identity จะไปต่อยอด service flow อื่นๆ อีกมากมาย เช่น การยืนยันตัวตนกรรมการบริษัท ทำให้ไม่ต้องเดินมาที่ธนาคารแล้ว และไม่ใช่แค่ธนาคาร แต่หน่วยงานด้านการศึกษาหรือสุขภาพก็สามารถใช้ข้อมูลนี้ได้ เช่นการซื้อยาเสี่ยง ที่ต้องยืนยันว่าบุคคลนั้นมีสิทธิ์ที่จะซื้อจริงๆ