ถอดบทเรียนแอปทางรัฐล่ม ตั้งแต่ยังไม่ลงทะเบียนเงินดิจิทัล กับคำเตือน ธปท.

“ล่มกันตั้งแต่ยังไม่เริ่ม” เสียงกร่นแว่วดังตั้งแต่ช่วงเช้าก่อนถึงวันลงทะเบียนเงินดิจิทัล 10000 บาท 1 สิงหาคม 2567 หลังจากช่วงสายวันที่ 31 กรกฎาคม 2567 ผู้เฝ้ารอโครงการเติมเงิน 10,000 บาท ผ่าน Digital Wallet ตามนโยบายรัฐบาล ไม่สามารถเข้าไปยืนยันตัวตนภายใต้ แอปพลิเคชัน “ทางรัฐ” แอปสำคัญสำหรับรับเงินดิจิทัลวอลเล็ตได้ เพราะเจอปัญหาค้างทำรายการต่อไม่ได้ ดิสเครดิตกันตั้งแต่ยังไม่ถึงวันลงทะเบียนอย่างเป็นทางการ

ต่อมา นายเผ่าภูมิ โรจนสกุล รัฐมนตรีช่วยว่าการกระทรวงการคลัง ระบุถึงสาเหตุเรื่องการยืนยันตัวตนภายในแอปทางรัฐ ไม่ได้ โดยยืนยันว่า ไม่ใช่เพราะระบบล่ม แต่เป็นเพราะเป็นการรีเซ็ตตัวแอปทางรัฐให้มีการอัพเดตเวอร์ชั่นเท่านั้น และในช่วงเวลา 19.00 – 22.00 น. วันที่ 31 กรกฎาคม 2567 นี้ จะมีการอัพเดตเวอร์ชั่นของแอปทางรัฐ เกี่ยวกับระบบรอคิว พร้อมมั่นใจว่าใน 08.00 น. ของวันที่ 1 สิงหาคม นี้ ระบบจะพร้อมรองรับการลงทะเบียน แบบ No Problem

“ปัญหาที่เกิดขึ้นเป็นการรีเซ็ตตัวแอปฯให้มีการอัพเดตเวอร์ชั่น ซึ่งมีการวางแผนไว้ล่วงหน้าอยู่แล้ว จึงได้แจ้งกับประชาชนว่า ให้เริ่มวันที่ 1 สิงหาคม 2567 เวลา 08.00 น.” รมช.คลัง ยืนยัน

สำหรับปัญหาเรื่องของแอปล่ม แน่นอนว่าเป็นหนึ่งในประเด็นสำคัญที่หลายคนเฝ้าจับตามองอย่างกว้างขวาง เพราะถือเป็นเรื่องไม่นอกเหนือจากความคาดหมาย แม้ว่าที่ผ่านมาฝั่งรัฐบาล และทีมงานหลายคนจะออกมายืนยันว่า ระบบมีความพร้อม และไม่มีทางล่ม โดยมีการใช้เทคโนโลยีใหม่ คือ Kaftka ออกแบบมาดีมีการจัดเรียงคิว แม้จะมีความล่าช้าแต่ไม่น่าล่ม ซึ่งจะหมู่หรือจ่ายังไง วันที่ 1 สิงหาคม 2567 นี้คงได้รู้กัน

จะว่าไปแล้วเรื่องของการทำระบบรองรับการลงทะเบียนขนาดใหญ่ ซึ่งรัฐบาลประมาณการว่าจะมีผู้เข้าร่วมสูงถึง 45 ล้านคนนั้น นับเป็นสิ่งที่ท้าทายอย่างยิ่ง และที่ผ่านมาคงจำกัดได้ถึงคำเตือนสำคัญของ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) “เศรษฐพุฒิ สุทธิวาทนฤพุฒิ” ซึ่งทำหนังสือแจ้งต่อประธานที่ประชุมคณะกรรมการนโยบายเติมเงินดิจิทัลวอลเล็ต ที่มีนายกรัฐมนตรีเป็นประธาน ถึงข้อห่วงใยของการทำระบบรองรับโครงการแจกเงินดิจิทัล 10000 

โดย ฐานเศรษฐกิจ ขอหยิบยกข้อความในหนังสือของผู้ว่าฯแบงก์ชาติ มาเตือนความจำกันอีกสักรอบ 

ผู้ว่าฯ “เศรษฐพุฒิ” แจ้งว่า การที่ระบบเติมเงินฯ จะต้องรองรับการใช้งานของประชาชนและร้านค้าจำนวนมาก และมีลักษณะเป็นระบบเปิด (Open Loop) ที่ต้องเชื่อมโยงกับธนาคารและ Non-bank เป็นวงกว้าง ดังนั้นเพื่อให้มั่นใจว่าระบบเติมเงินฯ โครงการเงินดิจิทัล 10,000 บาท จะสามารถให้บริการได้อย่างมีประสิทธิภาพตามเป้าหมาย

คณะกรรมการนโยบายฯ ควรติดตามการพัฒนาระบบเติมเงินฯ และให้หน่วยงานที่เกี่ยวข้องชี้แจงว่าการดำเนินการเป็นไปตามมาตรฐาน ทั้งด้านความมั่นคงปลอดภัย (confidentiality & security) ความถูกต้องน่าเชื่อถือ (integrity) และความมีเสถียรภาพพร้อมใช้งานได้ต่อเนื่อง (availability) 

รวมทั้งมีการบริหารจัดการด้าน IT Governance ตามมาตรฐานสากล โดยมีประเด็นที่ควรพิจารณาตรวจสอบก่อนเริ่มใช้งานในส่วนต่าง ๆ ของระบบเติมเงินฯ ดังต่อไปนี้

1.ระบบลงทะเบียนเพื่อตรวจสอบสิทธิของประชาชนและผู้ประกอบการ และการพิสูจน์และยืนยันตัวตน

ผู้ว่าฯ ธปท. ระบุว่า การตรวจสอบเงื่อนไข การพิสูจน์ตัวตน และความปลอดภัยของระบบ ต้องได้มาตรฐาน เทียบเคียงกับบริการในภาคการเงิน สามารถป้องกันความเสี่ยงของการถูกสวมรอย หรือใช้เป็นช่องทางการทำ ทุจริตหรือทำธุรกรรมที่ผิดกฎหมายได้
มีศักยภาพสามารถรองรับการลงทะเบียนพร้อมกันของผู้ใช้งานจำนวนมากได้

2. ระบบตรวจสอบเงื่อนไขและอนุมัติรายการชำระเงิน บันทึกบัญชี และ update ยอดเงิน เมื่อมีการใช้จ่ายหรือถอนเงินออกจาก Digital Wallet (payment platform) ต้องสามารถรองรับการตรวจสอบหากเกิดปัญหาการชำระเงินไม่สำเร็จหรือเกิดข้อผิดพลาดได้อย่างรวดเร็ว

โดยการทดสอบระบบก่อนใช้จริงต้องทำอย่างครบถ้วนตามมาตรฐานการพัฒนาระบบชำระเงิน ตั้งแต่ตัวระบบ การทำงานร่วมและเชื่อมต่อกับระบบอื่น ไปจนถึงการใช้งานของประชาชนและร้านค้า เพื่อให้มั่นใจว่าระบบดำเนินการได้ถูกต้อง ปลอดภัย รองรับการใช้งาน จำนวนมาก (load capacity) ได้

รวมทั้งควรมี call center หรือช่องทางการรับแจ้งปัญหาได้ โดยรวดเร็ว และเพียงพอต่อการสอบถามจากประชาชนจำนวนมากพร้อมกัน โดยสามารถให้คำแนะนำการแก้ปัญหาได้ถูกต้องและมีมาตรฐาน

3.การดำเนินการในลักษณะเป็นระบบเปิด (Open Loop) ที่เชื่อมต่อกับภาคธนาคารและ non-bank

ผู้ว่าฯ ธปท. แจ้งว่า หน่วยงานที่เกี่ยวข้องต้องจัดทำและนำส่งพิมพ์เขียวที่แสดง system architecture ของ payment platform เช่น technical specifications, system requirements, business rules ให้ธนาคารและ non-bank โดยเร็วที่สุด สำหรับเตรียมความพร้อมในการพัฒนาและทดสอบการเชื่อมต่อระบบกับ payment platform ให้ทันตามกำหนดการพัฒนา open loop ต้องให้เวลาเพียงพอแก่ธนาคารและ non-bank ในการปฏิบัติตามหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ

ทั้งนี้เพื่อประเมินความเสี่ยงและมีแนวทางปิดความเสี่ยงสำคัญ เช่น ความเสี่ยงปฏิบัติการ ความเสี่ยงด้านรักษาความปลอดภัย ความเสี่ยงด้านความถูกต้องเชื่อถือได้และความพร้อมใช้ของระบบ รวมทั้งประเมินช่องโหว่ และทดสอบการเจาะระบบ (vulnerability assessment และ penetration testing) ให้ครบถ้วน เพื่อให้สามารถแก้ไขและป้องกันภัยคุกคามที่เกิดขึ้นก่อนเริ่มใช้งาน 

นอกจากนี้ยังขอให้แจ้งให้ ธปท. ทราบล่วงหน้าไม่น้อยกว่า 15 วัน ก่อนเริ่มให้บริการ เนื่องจากการเชื่อมต่อ payment platform กับ mobile application เป็นการเปลี่ยนแปลงด้านระบบอย่างมีนัยสำคัญ ซึ่งจะกระทบลูกค้าและการให้บริการเป็นวงกว้าง 

โดย ธปท. จะสอบทานผลการประเมินและผลทดสอบความเสี่ยงด้านต่าง ๆ และอาจขอข้อมูลเพิ่มเติม เพื่อตรวจสอบความเชื่อมโยงกับระบบอื่นที่เกี่ยวข้อง รวมทั้งกำหนด เงื่อนไขเพิ่มเติม โดยเฉพาะในกรณีที่ open loop อาจกระทบต่อเสถียรภาพของระบบการชำระเงินโดยรวม

สำหรับรายละเอียดทั้งหมดที่ผู้ว่าฯ ธปท. ทำหนังสือแจ้งมาในบอร์ดเติมเงินดิจิทัลวอลเล็ต ชุดใหญ่ครั้งนี้ ทุกคนในบอร์ดรับทราบแล้ว ส่วนหน่วยงานที่เกี่ยวข้องจะรับไปปฏิบัติตามข้อสังเกตหรือไม่นั้น ไม่นานคงได้รู้คำตอบกัน