ธนาคารไทยควรทำ

เมื่อวานมีข่าว KTB Netbank เริ่มประกาศว่าจะไม่ยอมให้เครื่องที่ root ใช้งานได้อีกต่อไป โอเค มันก็เป็น mindset ของคนทำงานธนาคารโดยทั่วไปว่าเครื่องที่ root แล้วความปลอดภัยมันลดลง

แต่บางทีมันคงดี ถ้าธนาคารจะทำ practice ในฝั่งตัวเองให้ครบถ้วน เป็นแบบอย่างบ้าง เช่น

  • HTTPS นี่มันปี 2018 แล้ว เรามีใบรับรองดิจิตอลฟรีมาเป็นปีแล้ว ถ้ามีโดเมนธนาคารยังไม่เป็น HTTPS อยู่มันน่าจะมีอะไรผิด (อาจจะผิดที่ mindset ตรงนี้ไม่สำคัญ ฉันไม่ทำ) ข่าว KTB เองก็ต้องเข้า source ด้วย HTTP ถ้าใส่ HTTPS Everywhere นี่จะเข้าได้ แล้วเจอหน้า 404 สวัสดีปี 2018 เดี๋ยว Chrome ก็จะประจานหนักขึ้นเรื่อยๆ แล้ว จริงๆ แล้วตั้งแต่ปีที่แล้ว ธนาคารและบริษัทลูกที่ใช้แบรนด์เดียวกันทั้งหมดควรมีนโยบาย HTTPS Only กันได้แล้วนะ เคยเจอเว็บธนาคารทำดี สมัคร broker แล้วได้ HTTP server มาเป็นไอพีเลย ใช้ส่งข้อมูล PII เต็มรูปแบบ
  • เซิร์ฟเวอร์อีเมลรับ TLS อันนี้ทำแล้วหลายธนาคาร (ขอชื่นชม) ช่วงหลังกูเกิลประจานหนักขึ้นเรื่อยๆ ใน Gmail ก็ถึงเวลาต้องกลับไปคอนฟิกแล้ว พอมารู้ตอนหลังว่าหลายธนาคารทำทั้งที่ไม่มีใครประจานมาก่อนหน้านี้ก็ต้องชมว่างานละเอียดจริง
  • PDF กำหนดรหัสเองได้ อันนี้ยังไม่เจอธนาคารที่ใช้อยู่ทำ ไม่รู้จะอุตส่าห์ตั้งรหัสเป็นวัน-เดือนเกิดทำไม ประโยชน์เดียวคือ Gmail ค้นข้อความข้างในไม่ได้ ความปลอดภัยไม่ได้เพิ่มขึ้น (รหัสมีความเป็นไปได้ตั้ง 365 กรณี) บางธนาคารเติมปีมาให้ ความปลอดภัยน่าจะเพิ่มขึ้น “ติ๊ดนึง” อาจจะเดาช่วง 10-20 ปีได้ แนวทางหลังจากนี้การรายงานข้อมูลลูกค้าน่าจะเพิ่มขึ้นเรื่อยๆ (สิงคโปร์เริ่มกำหนดให้ส่งอีเมลแจ้ง statement รายวัน) ข้อมูลถ้ารั่วไปหาคนอื่นมันจะร้ายแรงขึ้นเรื่อยๆ เปิดทางให้ user รักษาความปลอดภัยตัวเองสักหน่อย
  • ตรวจข้อมูลก่อนใช้ อันนี้เข้าใจว่าเมื่อก่อนสมัยไม่มีมือถือ หรืออีเมลไม่ได้ใช้งานหนักๆ ก็ไม่ได้ตรวจความถูกต้องกันนัก แต่ข้อมูลการสื่อสารอิเล็กทรอนิกส์พวกนี้มันควรถูกตรวจก่อนใช้งานจริงจังบ้างได้แล้ว ข่าว KTB นี่ user เข้ามาแสดงความเห็นกันเพียบว่าสารพัดธนาคารไม่เคยตรวจว่าอีเมลถูกจริงไหม หนักสุดที่เคยเจอคือใส่ข้อมูลผิดกลายเป็นลงทะเบียน PromptPay สวมเบอร์คนอื่นได้เลย (ผิดประกาศแบงค์ชาติแน่ๆ แต่ไม่เคยได้ยินว่ามีการ mass revoke การลงทะเบียนที่ไม่ได้ตรวจก่อนทั้งหมดนะ)
  • รองรับ password manager เสียที คำแนะนำด้านความปลอดภัยใหม่ๆ เขาแนะนำให้ใช้ password manager มาพักใหญ่แล้ว เลิกห้าม paste รหัสผ่าน, เลิกสร้างคีย์บอร์ดเองในแอปและในเว็บ, เลิกกำหนดความยาวรหัสกันได้แล้ว
 

ว่าด้วย Cryptocurrency

เขียนเรื่องเงินจากวิทยาการเข้ารหัสลับ (เรื่องจะแปล cryptocurrency ว่าอะไรนี่เป็นประเด็นอีกอันอยู่) หลายครั้ง คำถามมักเป็นว่าควรซื้อไหม มันจะขึ้นไหม และอนาคตเราจะได้ใช้มันไหม อะไรแนวๆ นี้

สองคำถามแรก ตอบไปเหมือนเดิมเสมอ คือ “กูไม่รู้” (สุภาพกว่านี้ตามโอกาส แต่พูดกับตัวเองว่า “ถ้ากูรู้ กูซื้อนานแล้ว”)

แต่คำถามที่สามนี่น่าสนใจ เพราะทุกวันนี้หลายคนมักบอกว่าช่องทางการใช้เงินประเภทนี้แบบบนดินคือการโอนเงินข้ามประเทศ ขณะที่ญี่ปุ่นเองก็รองรับเงินประเภทนี้เป็นช่องทางการจ่ายเงิน

การโอนเงินข้ามประเทศเป็นสิ่งที่ธนาคารในระบบปัจจุบันทำได้ค่อนข้างแย่ ค่าธรรมเนียมแพง อัตราแลกเปลี่ยนแพง และกระบวนการโอนช้า

ค่าธรรมเนียมการโอนทุกวันนี้อย่างระบบบัตรเครดิต ร้านค้าออนไลน์อาจจะต้องรับผิดชอบค่าธรรมเนียมอยู่ถึง 3.5% เมื่อรับบัตรผ่าน payment gateway ต่างๆ และฝั่งผู้จ่ายเองก็ต้องรับค่าธรรมเนียมอัตราแลกเปลี่ยนอีก 2% รวมแล้วสูงถึง 5.5% ค่าธรรมเนียมของ Western Union ก็ใกล้เคียงกัน

เมื่อเป็นเช่นนี้ก็เป็นไปได้ว่าจะมีส่วนต่างให้เงินจากวิทยาการเข้ารหัสลับพวกนี้เข้ามาแทนที่ ระบบเงินเหล่านี้เพียงสร้างระบบที่ค่าธรรมเนียมรวมถูกกว่า ให้เหลือ 1-2% ก็คงจะมีการใช้งานจริงแล้ว เช่น บริษัทรับแลกประเทศต้นทางคิด 0.3% ตัวบล็อคเชนคิดค่าธรรมเนียม 0.1% และบริษัทรับแลกปลายทางคิด 0.6% (เพราะทำหน้าที่เป็น payment gateway ในตัว และอาจจะต้องเป็นฝั่งรับความเสี่ยงค่าเงิน)

เงินบนบล็อคเชนเหล่านี้มีความได้เปรียบสำคัญคือกระบวนการ settlement รวดเร็ว (ถ้า block ไม่เต็มเสียก่อน) ทำให้อัตราแลกเปลี่ยนโดยทั่วไปในระยะเวลาสั้นๆ ไม่ควรจะผันผวนมากมาย แต่ปัญหาตอนนี้คือปริมาณ transaction ที่รองรับได้ช่างจำกัดจำเขี่ย และหากใช้ท่าขยายขนาดบล็อคไปเรื่อยๆ ปริมาณข้อมูลบนบล็อคเชนก็จะมีขนาดมหาศาล ดังนั้นเราจึงต้องหาทางสร้างเทคโนโลยีที่ Vitalik พูดเรื่องนี้ไว้เมื่อเดือนกันยายนที่ผ่านมา

การจ่ายเงินในอนาคตจึงเป็นไปได้ว่าร้านค้าบอกราคาสกุลเงินของตัวเอง และเมื่อเราเลือกจ่ายด้วย cryptocurrency หน้าเว็บก็แปลงเป็นเงินสกุลนั้นให้พร้อมกับบอกว่าจะคงราคาให้ 30 นาที เราเข้าเว็บบริษัทรับแลกจากเงินบาท และสั่งซื้อเงินจำนวนเท่าที่ระบุพร้อมกับสั่งโอนออก อีกสามนาทีเมื่อบล็อคเริ่มบันทึก transaction เว็บร้านค้าก็ยืนยันการรับเงิน และรอส่งสินค้า

การจะได้ใช้เงินประเภทนี้ในชีวิตประจำวันไหม จึงกลับไปที่เทคโนโลยีว่าเราจะสามารถสร้างเทคโนโลยีที่แทบไม่มีข้อจำกัดปริมาณรายการโอนไหม นับเป็นข้อแรกก่อน ถ้ารายการโอนวิ่งไม่ไป บล็อคเต็ม รอโอนเป็นวันก็จอดทันที

แต่ถ้าเทคโนโลยีเกิดแล้ว มันก็จะคาดโทษธนาคารและบริษัทรับจ่ายเงินทั้งหลายแล้วว่าจะวิ่งตามทันหรือไม่ สามารถหาทางมาต่อสู้กับเทคโนโลยีเหล่านี้ได้หรือไม่ ถึงจุดนั้นไม่ว่าธนาคารและเครือข่ายการจ่ายเงินทั้งหลายจะใช้อะไร (หรือใช้บล็อคเชนด้านหลังหรือไม่) ถ้าเราสามารถโอนด้วยระบบเดิมๆ แต่ค่าธรรมเนียมถูกลงจนใกล้เคียงกัน ธนาคารเลิกเก็บค่าธรรมเนียมความเสี่ยงอัตราแลกเปลี่ยน

ถ้าเป็นแบบนั้นต่อให้ cryptocurrency พร้อมแต่คนก็คงอยู่กับระบบเดิมต่อไป

 

ภาษี 2100

ในปี 2100

ชายคนหนึ่งออกวิ่งระดมทุน เป้าหมายของเขาคือการเพิ่มงบประมาณสาธารณสุขเป็น 8% ของ GDP เพิ่มจากปีก่อนหน้า ที่อยู่ที่ 7.5% ของ GDP ภายใน 3 ปีข้างหน้า

เขาชี้ว่าเงิน 0.5% ของ GDP ที่เพิ่มขึ้นมา จะทำให้มีโรงพยาบาลระดับศูนย์กระจายในพื้นที่ห่างไกลได้อีกอย่างน้อย 3-5 โรงพยาบาล ระยะเวลาส่งต่อผู้ป่วยร้ายแรงของประเทศลดลงโดยเฉลี่ย 2-3 ชั่วโมง ระยะเวลานานที่สุดจาก 5 ชั่วโมงลดลงเหลือ 3 ชั่วโมงเท่านั้น

บริษัทจำนวนมากเห็นด้วยกับเขา ออกตัวเป็นสปอนเซอร์งานด้วยการสนับสนุนงานวิจัย พบว่านอกจากโรงพยาบาลที่เพิ่มขึ้น สิ่งที่ได้คือแพทย์ไหลกลับจากภาคเอกชน อาจจะรวมถึงแพทย์เชี่ยวชาญสูงที่ออกไปทำงานต่างประเทศไหลกลับประเทศ ทำให้ศักยภาพการวิจัยระดับสูงโดยรวมเพิ่มขึ้น คาดว่าเมื่อคงอัตรางบประมาณไว้ได้อีก 10 ปี จะมีงานวิจัยตีพิมพ์เพิ่มขึ้นอีก 10-15%

ผมพบแคมเปญของชายคนนั้นบนเฟซบุ๊ก (เฟซบุ๊ก 2100 หลานมาร์ค ซักเกอร์เบิร์คไม่ยอมให้เว็บมี scroll bar แล้ว มันจะเด้ง content ให้ผมดูทีละอันสลับกับโฆษณา) เมื่อกดลิงก์ มันเด้งไปยังหน้าเว็บกรมสรรพภากร

เว็บสรรพภากรไม่ใช่ยาขมสำหรับคนทั่วไปเหมือนสมัยปี 2000 อีกแล้ว ไม่มีใครเสียเวลาทำมาหากินเป็นวันๆ มากรอกแบบฟอร์มภาษีอันซับซ้อนและภาวนาให้กรอกถูกโดยไม่ต้องโดนเรียกไปชี้แจงเหมือนร้อยปีก่อน ทุกอย่างเป็นระบบอัตโนมัติ มีเพียงคำยืนยันรายเดือนว่าเดือนนี้เก็บภาษีไปมากน้อยเพียงใด ปีที่แล้วพบว่ามีอัตราการร้องเรียนว่าคิดเงินผิดเพียงไม่กี่ร้อยกรณี น้อยกว่าบิลค่าโทรศัพท์มือถือเมื่อร้อยปีก่อนเสียอีก

แต่เว็บสรรพภากรเป็นสิ่งที่คนทั่วไปเข้าใช้งานได้ทุกวัน เพราะทุกคนสามารถเลือก “โยน” ภาษีของตัวเองลงโครงการหรือหน่วยงานของรัฐใดๆ ก็ได้ตามใจชอบ

หน้าเว็บที่เหมือนกับเว็บ KickStarter เด้งขึ้นมาทันที มีโครงการโรงพยาบาลศูนย์ที่กำลังเปิดใหม่ต้องการอัพเกรดห้องตรวจ ผอ. โรงพยาบาลเขียนจดหมายเปิดผนึกว่าโรงพยาบาลใช้ห้องตรวจนี้ดูแลคนไข้เฉลี่ยวันละ 80 คน และการปรับปรุงนี้คุ้มค่างบประมาณที่ขอมาไม่กี่แสนบาท ผมกดแบ่งเงินภาษีเดือนปัจจุบันลงโครงการนี้ไปหนึ่งพันบาท

ระบบปรับเงินภาษีเริ่มใช้ตั้งแต่ปี 2080 มันออกแบบให้ประชาชนเลือกวางเงินภาษีของตัวเองได้ตามใจชอบ โดยรัฐบาลมีกำหนดขั้นต่ำเอาไว้บางหมวด เช่น ความมั่นคงขั้นต่ำ 0.05% ของ GDP, งบภัยพิบัติ 0.1% ของ GDP และงานบริหารอื่นๆ 0.2% ของ GDP ส่วนที่เหลือทั้งหมดสามารถปรับหลอดสัดส่วนการกระจายภาษีไปให้กับกระทรวงต่างๆ ตามหลอดสัดส่วน เช่น สาธารณะสุข, ท้องถิ่น, ความมั่นคง

ปีที่แล้วสภาใช้เวลาถกเถียงกันครึ่งหนึ่ง เพราะรัฐบาลต้องการเพิ่ม “ค่าเริ่มต้น” งบประมาณบริหารทั่วไปสำหรับคนที่ไม่ตั้งค่าด้วยตัวเอง จาก 5% ของภาษีเป็น 7%

แต่สิ่งที่ต้องคิดคือเรื่องในอนาคต การเพิ่มงบสาธารณะสุขในปีสามปี โครงการ “ก้าวละ 1% ของ GDP” เด้งขึ้นมา เงินจำนวนมากขนาดนั้นหากผมปรับเงินภาษีของผมไปอยู่กับสาธารณสุขทั้งหมด หมายถึงผมต้องลดสัดส่วนภาษีให้กับการจ่ายท้องถิ่นลง ผมมองเห็นโครงการปรับปรุงถนนหน้าบ้านที่เพิ่งหยอดเงินภาษีลงไปให้เมื่อเดือนที่แล้ว คงไม่ดีเท่าไหร่ถ้าจะปล่อยให้โครงการหมดงบประมาณหลังเฟสแรก

เมื่อกดเข้าหน้าโครงการ ปุ่มสีเขียวขนาดใหญ่ระบุว่า “โอนภาษีที่เพิ่มขึ้นจากปีนี้ ไปให้สาธารณะสุขทั้งหมดในอีก 3 ปีข้างหน้า” ผมยิ้มอย่างสบายใจ แสดงว่าตัวเงินภาษีที่ผมตั้งไว้ให้ท้องถิ่นจะไม่ลดลงเลยในสามปีข้างหน้า หวังว่าถนนทั้งสายจะเสร็จก่อน หากรายได้ผมเพิ่มขึ้นจนภาษีเพิ่มขึ้น ส่วนที่เพิ่มขึ้นจะกลายเป็นงบประมาณสาธารณะสุขโดยอัตโนมัติ มันคงไม่มากอะไรนักสำหรับผมคนเดียว แต่ถ้าทุกคนกดปุ่มนี้ อีก 2.5% ของ GDP ในสามปีคงไม่ยากมาก

เราคงต้องรอดูผลกันในปี 2103

ปล. ห้าปีก่อนมี อาหาร 2100

 

The Birth of The Pill

เคยอ่านเรื่องของความเท่าเทียมทางเพศด้วยเทคโนโลยีมาบ้าง คือเรื่องผ้าอนามัย (ใน In order to live) สัปดาห์ที่ผ่านมาอ่านเล่มนี้อีกรอบ ทำให้เห็นอีกมุมในประเทศที่ได้ชื่อว่าเป็นแดนเสรีอย่างสหรัฐฯ

  • เอาเข้าจริงก็ไม่ได้แปลกใจมากนักเรื่องความอนุรักษ์นิยมในสหรัฐฯ (เคยอ่านเรื่องยุค prohibition) แต่ก็พบว่าเอาจริงๆ มันเปลี่ยนเร็วมากในแค่ 60 ปีที่ผ่านมา ปี 1960 กฎหมายห้ามสนับสนุนการ “คุมกำเนิด” (ไม่ใช่ทำแท้ง) ยังเต็มประเทศ
  • ยุคนั้นการอนุมัติยาใช้ข้อมูลน้อยกว่าทุกวันนี้? ตัวยาคุมกำเนิดเปิดตัวมาใช้ n ไม่ถึง 50 เริ่ม 100 คนแต่กลุ่มตัวอย่างถอนตัวไปกลางทางเกินครึ่ง
  • รายงานวิจัยอาศัยการขยายผลด้วยการบอกว่าไม่มีการท้องใน “รอบเดือน” ที่มีการกินยา เพื่อให้ตัวเลข n มันเยอะๆ เข้า
  • ตัวยาผ่าน FDA ครั้งแรกด้วยการระบุข้อบ่งใช้เป็น “ยาควบคุมรอบเดือน” ให้มาตรง โดยมีผลข้างเคียงในคำเตือนคือทำให้ไม่ตกไข่
  • การบิดคำพูดในการใช้งาน สร้างข้อถกเถียงใหม่หมู่คาธอลิกว่าการใช้ยายอมรับได้หรือไม่ ตัวศาสนจักรไม่ยอมรับการคุมกำเนิดมาตลอด แต่ก่อนหน้านี้ศาสนจักรเคยวินิจฉัยว่าการเป็นหมันหรือไม่มีลูกโดยธรรมชาติ (เช่นการนับวัน) ยอมรับได้ อีกทางคือการรักษาอย่างอื่นโดยไม่ตั้งใจแล้วทำให้เป็นหมันก็ถือว่าไม่ผิด ทีนี้พอผู้หญิงบอกว่าประจำเดือนมาไม่ปกติแล้วกินยามันทั้งปีทั้งชาตินี่จะยอมรับไหม?
  • คนร่วมวิจัยและคนให้ทุนได้ผลประโยชน์ไม่มากนัก Katharine McCormick ที่เป็นนายทุนหลักแทบจะไม่ได้อะไรกลับมานอกจากการทำตามความเชื่อเรื่องสิทธิสตรีของตัวเอง