คงปฏิเสธไม่ได้ว่า ในปัจจุบัน เทคโนโลยีดิจิทัลคือส่วนหนึ่งของชีวิตประจำวันของคนเรา ทั้งในเรื่องการทำงานและเรื่องส่วนตัว มีคนจำนวนไม่น้อยใช้เวลาท่องอยู่ในโลกออนไลน์มากกว่าในโลกจริงอีกด้วย
เพราะการอยู่ในโลกออนไลน์ ไม่จำเป็นต้องใช้ “ข้อมูลจริง” เหมือนโลกที่เราใช้ชีวิตจริง จึงมีคนส่วนหนึ่งอาศัยโลกออนไลน์เป็นสถานที่ทำสิ่งผิดกฎหมายโดยไม่เปิดเผยตัวตนที่แท้จริง และนำความเดือดร้อนมาสู่สังคม ด้วยเหตุนี้ ประเทศต่าง ๆ จึงต้องมีกฎหมายไซเบอร์เพื่อรักษาความสงบเรียบร้อยของสังคมโดยรวมนั่นเอง เพราะภัยที่เกิดขึ้นล้วนส่งผลต่อการมีชีวิตอยู่ในโลกจริง บางเหตุการณ์ส่งผลกระทบต่อคนทั้งประเทศได้ในเวลาเพียงเสี้ยววินาที เช่น หากมีผู้ประสงค์ร้ายต้องการก่อความวุ่นวายบนท้องถนน ก็อาจเข้าไปเจาะระบบคอมพิวเตอร์ที่ควบคุมสัญญาณไฟจราจรให้หยุดทำงานหรือมีความผิดเพี้ยน ทำให้รถชนกัน หรือรถติดเป็นเวลานาน เนื่องจากขาดระบบควบคุมการสัญจรของยานพาหนะ
พ.ร.บ. ไซเบอร์คืออะไร?
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ คือ กฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ โดย พ.ร.บ. นี้ มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562 โดยมีสาระสำคัญคือแนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ มีการประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ความสามารถของบุคคลากรและผู้เชี่ยวชาญ รวมถึงการให้ความรู้และความตระหนักถึงภัยไซเบอร์อีกด้วย
ใน พ.ร.บ. ฉบับนี้ ได้มีประกาศจัดตั้งคณะกรรมการ 3 คณะได้แก่
- คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. (National Cyber Security Committee : NCSC) มีนายกรัฐมนตรีเป็นประธาน มีหน้าที่เสนอนโยบาย จัดทำแผนแม่บท กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนา ยกระดับทักษะความรู้ของเจ้าหน้าที่ ประสานงานความร่วมมือกับหน่วยงานต่าง ๆ รวมไปถึงการติดตามและประเมินผลการปฏิบัติตามนโยบายที่ได้ถูกกำหนดแล้ว
- คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ กกม. มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน มีหน้าที่ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดแนวทางปฏิบัติสำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามที่เกิดขึ้น
- คณะกรรมการบริหารสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ กบส. มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ทำหน้าที่ดูแลงานด้านการบริหารงานทั่วไป
ทั้งสามคณะทำงาน จะทำหน้าที่ดูแลโครงสร้างบริการพื้นฐานสำคัญทางสารสนเทศ 8 ด้านสำคัญ ได้แก่ ด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติก ด้านพลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม
การรับมือภัยคุกคามทางไซเบอร์
การรับมือภัยคุกคามทางไซเบอร์ มีการแบ่งระดับของภัยคุกคาม ไว้ดังนี้
- ระดับไม่ร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงทำให้ระบบคอมพิวเตอร์หรือการให้บริการด้อยประสิทธิภาพลง
- ระดับร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีจุดมุ่งหมายในการโจมตีโครงสร้างพื้นฐานสำคัญของประเทศให้เสียหาย จนไม่สามารถทำงานหรือให้บริการได้
- ระดับวิกฤต หมายถึงภัยคุกคามที่มีระดับสูงกว่าระดับร้ายแรง ทำให้โครงสร้างพื้นฐานล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ และอาจส่งผลกระทบต่อสวัสดิภาพของประชาชน กระทบต่อความสงบเรียบร้อย ทำให้ประเทศตกอยู่ในภาวะคับขัน มีการก่อการร้าย มีการทำสงคราม
ในเชิงปฏิบัติ สำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์นั้น ไม่เพียงแต่เฉพาะหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศเท่านั้นที่จะต้องตระหนักและปฏิบัติตามแนวทางที่คณะกรรมการกำหนด แต่เป็นหน้าที่ของประชาชนทุกคนที่ต้องช่วยกันเฝ้าระวังภัย ให้ข้อมูลที่เป็นประโยชน์ ช่วยอำนวยความสะดวกต่อการทำงานของรัฐ รวมถึงให้เบาะแสเพื่อการป้องกันแก้ไขอย่างทันท่วงที เป็นการปิดช่องโหว่ที่อาจส่งผลกระทบให้เกิดความเสียหายต่อประเทศชาติบ้านเมือง
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้อำนาจเจ้าหน้าที่รัฐในการตรวจสอบข้อมูลคอมพิวเตอร์ของผู้ที่อาจมีข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้วย พร้อมทั้งมีการกำหนดบทลงโทษผู้ที่ฝ่าฝืนหรือไม่ให้ความร่วมมือ โดยมีทั้งโทษปรับและจำคุก ในขณะเดียวกัน ก็มีบทลงโทษหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ย่อหย่อนในการปฏิบัติหน้าที่ด้วย เช่น หากหน่วยงานฯ ละเลยไม่รายงานเหตุภัยคุกคาม โดยไม่มีเหตุอันควร มีโทษปรับไม่เกิน 200,000 บาท เป็นต้น
การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องสำคัญของทุกองค์กร และต้องมีการดำเนินการให้ครอบคลุมองค์ประกอบ People-Process-Technology เอซีอินโฟเทคพร้อมให้บริการแก่องค์กรของท่านในทุก ๆ องค์ประกอบ ดังต่อไปนี้
องค์ประกอบ People
- จัดอบรมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับพนักงาน (Cybersecurity Awareness)
- ตรวจวัดภูมิคุ้มกันทางไซเบอร์ของพนักงาน (Cyber Health Check)
- ทดสอบส่งอีเมลหลอกลวง (Phishing Simulation)
องค์ประกอบ Process
- วิเคราะห์ความสอดคล้องของการดำเนินงานขององค์กรเทียบกับกฎหมายและข้อบังคับต่าง ๆ (Gap Analysis)
- ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กร (Audit)
- ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของซัพพลายเออร์ (Supply Chain Audit)
- ให้คำปรึกษาในการปฏิบัติตามมาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการรักษาความมั่นคงปลอดภัยไซเบอร์ อาทิ ISO 27001, NIST CSF
องค์ประกอบ Technology
- วัดระดับความมั่นคงปลอดภัยไซเบอร์ในภาพรวมขององค์กร (Cybersecurity Health Rating)
- ดำเนินการตรวจสอบช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment / Penetration Testing)
- จัดให้มีการค้นหาช่องโหว่ด้วยวิธี Bug Bounty
- จัดการทดสอบรับมือภัยคุกคามไซเบอร์ (Cyber Exercise)
สามารถติดต่อเราได้ที่ services@acinfotec.com หรือ โทร. 02 670 8980 ถึง 3
(จันทร์ – ศุกร์, 9:00 – 18:00 น.)
