หลังจากตกเป็นกระแสในรอบสัปดาห์ที่ผ่านมากับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่คนโดยทั่วไปต่างคิดว่าเกี่ยวข้องกับ เนื้อหาใน Content การกล่าวถึงบุคคล หรืออะไรก็ตาม
แต่วันนี้ MiXMAYA มีโอกาสได้เข้าไปร่วมฟังสัมมนาในหัวข้อ “รู้จัก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์” ซึ่งจะมาเล่าสู่กันฟังว่า แท้จริงแล้วพระราชบัญญัตินี้ครอบคลุมเนื้อหาสาระอะไรบ้าง มีประโยชน์ต่อประชาชนอย่างไร ซึ่งสำหรับตัวผู้เขียนแล้วมองว่าพระราชบัญญัตินี้ถือว่าเป็นนโยบายที่ดีที่เข้ามาแก้ไขปัญหาที่เกี่ยวข้องกับการป้องกันการโจมตีระบบคอมพิวเตอร์ ในทั้ง Public Sector
(ภาครัฐ) และ Private Sector(ภาคเอกชน) อีกทั้งยังได้รับการมีส่วนร่วมจาก Third Sector(ภาคประชาสังคม) ในการร่วมทำประชาพิจารณ์และเป็นผู้ประเมินด้วย ซึ่งถือเป็นความร่วมมือของทุกฝ่ายในการจัดทำพระราชบัญญัติดังกล่าว
พระราชบัญญัตินี้อยู่ในช่วงของการรอการลงพระปรมาภิไทยก่อนจะถูกประกาศในราชกิจจานุเบกษา เพื่อใช้บังคับต่อวันถัดจากที่ประกาศในราชกิจจานุเบกษา ซึ่งต้องมีการออกกฎหมายลูกบทมารองรับอีกภายใน 1 ปี
หากพูดถึงเนื้อหาสาระโดยทั่วไปแล้วนั้น การเกิดขึ้นของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อมุ่งเน้นที่จะป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์
ซึ่งภัยคุกคามที่ว่าก็จะอยู่ในรูปของ ไวรัส มัลแวร์ อาชญากรคอมพิวเตอร์หรือที่เรารู้จักกันในนามของ Hacker นั่นเอง ซึ่งภัยคุกคามเหล่านี้จะทำให้ระบบคอมพิวเตอร์หรือโครงข่ายของหน่วยงานโครงสร้างพื้นฐานที่สำคัญไม่สามารถทำงานได้เป็นปกติ มีผลกระทบต่อการให้บริการประชาชนหรือความสงบเรียบร้อยของประเทศ จะเห็นได้ว่าในตอนแรกที่มีการกล่าวถึงว่ากลัวภาคครัฐจะมาเจาะข้อมูล หรือจะมาดูข้อมูลเราทั้งหมดนั้น ไม่เกี่ยวข้องกับ พระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ แน่นอนค่ะ จะเกี่ยวข้องแค่การมีคนมุ่งจะมาทำร้ายระบบคอมพิวเตอร์ หรือ Server
แล้วโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ประกอบด้วยอะไรบ้าง?
แท้จริงแล้วสิ่งที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญนั้น ประกอบด้วย 7 ด้าน
1.ด้านความมั่นคงของรัฐ
2.ด้านบริการภาครัฐที่สำคัญ
3.ด้านการเงินการธนาคาร
4.ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
5.ด้านการขนส่งและโลจิสติกส์
6.ด้านพลังงานและสาธารณูปโภค
7.ด้านสาธารณะสุข
ซึ่งในทุกหน่วยงานที่เกี่ยวข้องกับพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ ไม่ว่าจะเป็นภาครัฐ เอกชน หรือรัฐวิสาหกิจก็ตามต้องนำ “Code of Practice” หรือแนวทางปฏิบัติ ที่เป็นขั้นต่ำสุดไปต่อยอดของหน่วยงานตนเอง ต้องมีการบูรณาการร่วมกัน ซึ่งแต่ละหน่วยงานทุกภาคส่วน ต้องคำนึกหลักการบริหารความเสี่ยง ดังต่อไปนี้
1.ระบุความเสี่ยงที่อาจจะเกิดขึ้น
2.มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น
3.มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
4.มาตรการเผชิญเหตุเมื่อเจอภัยคุกคามทางไซเบอร์
5.มาตรการการฟื้นฟูความเสียหาย
ซึ่งการรับมือมีตั้งแต่ภัยคุกคามระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต ซึ่งการจะเข้าไปตรวจค้นหรือดำเนินการใดๆ ต้องมีหมายศาลเท่านั้น ดังนั้นไม่มีการบุกยึดคอมคาบ้านแน่นอนค่ะ (รัฐธรรมนูญเองก็ได้เขียนไว้ในเรื่องของสิทธิเสรีภาพของปวงชนชาวไทย)
ในโลกของความเป็นจริงทุกบริษัท ทุกหน่วยงาน มีคนคุกคามทางไซเบอร์แน่นอน ซึ่งการออกมาของพระราชบัญญัติดังกล่าว เพื่อเป็นการป้องกันสิ่งที่ยังไม่เกิดขึ้น หรือรับมือกับสิ่งที่เกิดขึ้น หรือลดความเสี่ยง กับการเกิดขึ้น เหมือนให้หน่วยงานตื่นตัวตลอดเวลา ต้องตระหนักรู้ถึงภัยดังกล่าว ซึ่งเหตุผล
ในการเกิดขึ้นหากยกเป็นตัวอย่างชัดๆ สมมติ เช่น สนามบินสุวรรณภูมิใช้เทคโนโลยีในการควบคุมอาคารตึก A แต่แล้ววันหนึ่งมีคนพยายามเข้าไปปล่อยมัลแวร์ใส่ระบบ ทำให้ไฟดับทั้งอาคาร เกิดมีคนเสียชีวิต เป็นภัยคุกคามขั้นวิกฤตขึ้น จะได้มีการป้องกันความเสี่ยงที่อาจเกิดขึ้นได้ทันท้วงที ซึ่งหากตรวจสอบแล้วไม่มีการเตรียมความพร้อม ผู้บริหารเองก็มีความผิดด้วยนะคะ
ซึ่งไทยได้นำตัวแบบจากกต่างประเทศมาใช้ ไม่ว่าจะเป็นจากสิงคโปร์ อเมริกา แคนาดา เป็นต้น
สิ่งที่น่ากังวลจากทัศนะของผู้เขียน คือ ประเทศไทย มีบุคลากรที่มีความรู้ความสามารถในการพัฒนา ซอฟแวร์ เทคโนโลยียังคงน้อย ในรูปแบบ Expert แม้จะกระตุ้นทุนวิจัยและพัฒนาแล้วก็ตาม การดำเนินงานอาจไม่มีประสิทธิภาพ การตระหนักรู้ของบุคคลอาจอยู่ในระดับที่ต่ำ หรือการกระจายความรู้หรือข้อเกี่ยวข้องอาจอยู่ในระดับต่ำ ไม่เกิดเป็นองค์ความรู้ใหม่
หวังว่าทุกคนจะเข้าใจ พระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ มากขึ้นนะคะ เพื่อก้าวเข้าสู่ Thailand 4.0 พร้อมกัน
การเขียน Content ไม่เกี่ยวกับสิ่งนี้แน่นอน แต่อาจจะไปเกี่ยวข้องกับ พระราชบัญญัติคอมพิวเตอร์แทนนะคะ
หากอยากอ่านร่างฉบับเต็ม สามารถคลิกที่ด้านล่างได้เลยนะคะ
https://drive.google.com/file/d/1YKwIsezIiYm0g3XdZLRSRFGTytrshtnj/view
Comments