ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 3

บทที่ 2

การทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง

ทฤษฎีและแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ

The Global Cybersecurity Capacity Centre (GCSCC) แห่ง University of Oxford ประเทศสหราชอาณาจักร ได้จัดทำคู่มือกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cyber security capacity maturity model: CMM) ซึ่งเป็นคู่มือในการประเมินศักยภาพและขีดความสามารถในการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการ ความมั่นคงปลอดภัยไซเบอร์ของประเทศให้เป็นระบบ มีประสิทธิผล เป็นที่ยอมรับในระดับสากล ทั้งนี้ ปัจจุบัน GCSCC ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการ ความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก

กรอบการประเมินขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ ตามแนวคิดของ CMM แบ่งหมวดหมู่ของขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ออกได้ 5 มิติ โดยมีรายละเอียด (แผนภาพที่ 2-1) ดังนี้

มิติที่ 1 National cybersecurity framework and policy เป็นขีดความสามารถ ในการพัฒนานโยบาย และยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`ความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ การบริหารจัดการในภาวะวิกฤต การปกป้องโครงสร้างพื้นฐานที่สำคัญ การเตือนภัยล่วงหน้า การฟื้นฟูหรือซ่อมแซมความเสียหาย รวมถึงความสามารถในการพัฒนานโยบายความมั่นคงที่มีประสิทธิภาพในการปกป้องและทนทานต่อภัยคุกคาม
มิติที่ 2 Cyber culture and society เป็นขีดความสามารถด้านความรู้ความเข้าใจของประชาชนในเรื่องความเชื่อมั่นต่อบริการอินเทอร์เน็ต บริการอิเล็กทรอนิกส์ของภาครัฐ และพาณิชย์อิเล็กทรอนิกส์ และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลบนโลกออนไลน์ ความเข้าใจของประชาชนในเรื่องความเสี่ยงที่เกี่ยวข้องกับโลกไซเบอร์ต่าง ๆ กลไกการให้ผู้ใช้งานรายงานอาชญากรรมทางไซเบอร์ รวมถึงบทบาทของเครือข่ายสังคมออนไลน์ต่อการเปลี่ยนแปลงทัศนคติ และพฤติกรรมของผู้ใช้งาน
มิติที่ 3 Cybersecurity education, training and skills เป็นขีดความสามารถด้านความตระหนักรู้ (Awareness) ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ของภาครัฐภาคเอกชน และประชาชนทั่วไป ตลอดจนการเข้าถึงและคุณภาพของการให้ความรู้และการอบรมด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป
มิติที่ 4 Legal and regulatory frameworks เป็นขีดความสามารถในการออกแบบและบังคับใช้กฎหมาย รวมถึงการตัดสินคดีความที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ทั้งในด้านความมั่นคงด้านเทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคคล และการคุ้มครองความเป็นส่วนตัว (Privacy protection) ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้นและส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก
มิติที่ 5 Standards, organizations, and technologies เป็นขีดความสามารถด้านการใช้เทคโนโลยีที่มีประสิทธิภาพเพื่อรักษาความมั่นคงปลอดภัยทางด้านไซเบอร์ให้กับประชาชนทั่วไป องค์กร โครงสร้างพื้นฐานของประเทศ มาตรฐานและการถอดบทเรียนจากกรณีศึกษาที่ดี ด้านความมั่นคงปลอดภัยทางไซเบอร์ ตลอดจนเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

จากขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ทั้ง 5 มิติข้างต้น ในแต่ละมิติมีส่วนที่ทับซ้อนกัน แสดงถึงความสัมพันธ์ระหว่างขีดความสามารถแต่ละมิติ โดยในแต่ละขีดความสามารถประกอบด้วยปัจจัย (Factor) คุณลักษณะ (Aspects) ระยะของการขับเคลื่อน (Stages of maturity) และตัวชี้วัด (Indicator) โดยมีความหมายสรุปได้ (แผนภาพที่ 2-2) ดังนี้

มิติ (Dimension) แสดงถึง หมวดหมู่ของขีดความสามารถด้านความมั่นคงปลอดภัย ไซเบอร์
ปัจจัย (Factor) แสดงถึง คุณลักษณะของขีดความสามารถด้านความมั่นคงปลอดภัย ไซเบอร์ เป็นองค์ประกอบที่ใช้ในการพัฒนาขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ รายการปัจจัยทั้งหมดสะท้อนถึงภูมิทัศน์ของขีดความสามารถความมั่นคงปลอดภัยไซเบอร์ภายใต้ มิตินั้น ๆ การกำหนดรายการปัจจัยทำได้จากการทบทวนและเรียนรู้จากประสบการณ์ ภายในปัจจัยประกอบด้วยกลุ่มของคุณลักษณะ (Aspects) ซึ่งเป็นการจัดหมวดหมู่ของปัจจัย
คุณลักษณะ (Aspect) แสดงถึง การจัดกลุ่มของปัจจัยให้อยู่ในหมวดหมู่ของคุณลักษณะ จะช่วยให้สามารถจัดกลุ่มของตัวชี้วัดที่สามารถเข้าใจได้ง่ายมากขึ้น
ระยะของการขับเคลื่อน (Stages of maturity) แสดงถึง ลำดับของความก้าวหน้า ในการพัฒนาขีดความสามารถในแต่ละกลุ่มปัจจัยและคุณลักษณะ โดย CMM แบ่งระยะเวลาของ การขับเคลื่อนออกเป็น 5 ระยะ
ตัวชี้วัด (Indicator) แสดงถึง ขั้นตอน ปฏิบัติการ หรือองค์ประกอบ ที่บ่งชี้ถึงระยะของ การขับเคลื่อนภายใต้มิติ ปัจจัย และคุณลักษณะต่าง ๆ ประเทศต้องบรรลุเปูาหมายของทุกตัวชี้วัด ในมิติ ปัจจัย และคุณลักษณะนั้น ๆ เพื่อเพิ่มขีดความสามารถของประเทศ ตัวชี้วัดส่วนใหญ่มีค่าได้ 2 รูปแบบ เช่น สำเร็จ ไม่สำเร็จ เป็นต้น

นอกจากนี้ กรอบแนวคิดของ CMM ได้แบ่งระยะของการกำหนดยุทธศาสตร์ (Stage of Maturity) ด้านการดูแลความมั่นคงปลอดภัยทางไซเบอร์ ออกเป็น 5 ระยะ (แผนภาพที่ 2-3) ดังนี้
ระยะที่ 1 Start-up เป็นระดับที่เพิ่งเริ่มอภิปรายเกี่ยวกับแนวทางการสร้าง ขีดความสามารถ (Capacity building) ในการดูแลความมั่นคงปลอดภัยทางไซเบอร์ แต่ยังไม่เริ่มดำเนินการ ตัวอย่างเช่น การเริ่มอภิปรายเกี่ยวกับความตระหนักรู้ทางไซเบอร์ แต่ยังไม่ทราบถึง ความจำเป็นของความตระหนักรู้อย่างชัดเจน เป็นต้น
ระยะที่ 2 Formative เป็นระดับที่เริ่มปรากฏแนวทางที่ชัดเจนแล้ว แต่ยังไม่จัดเป็นระเบียบหรือไม่เป็นหมวดหมู่ ตัวอย่างเช่น การสร้างโครงการเพิ่มความตระหนักรู้ทางไซเบอร์ผ่าน การอบรมพัฒนาบุคลากร โดยกำหนดกลุ่มเป้าหมายเฉพาะเจาะจง แต่โครงการยังไม่เชื่อมโยงกับยุทธศาสตร์ชาติ เป็นต้น
ระยะที่ 3 Established เป็นระดับที่เริ่มดำเนินการตามแนวทางแล้ว อยู่ในขั้นตอนของการตัดสินใจทางเลือกต่าง ๆ และจัดสรรทรัพยากร ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทาง ไซเบอร์มีหน่วยงานรับผิดชอบชัดเจนแล้ว และขยายกลุ่มเป้าหมายออกไปในวงกว้าง และเริ่มประสานขอความร่วมมือกับภาคส่วนต่าง ๆ เป็นต้น
ระยะที่ 4 Strategic เป็นระดับที่มีการจัดลำดับความสำคัญของแนวทางว่าอยู่ในระดับองค์กรหรือระดับชาติ ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทางไซเบอร์อยู่ในระยะที่ได้รับการบูรณาการความร่วมมือจากภาคส่วนต่าง ๆ ในประเทศ เป็นต้น
ระยะที่ 5 Dynamic เป็นระดับที่มีความชัดเจนในด้านกลไกที่จะนำไปสู่การเปลี่ยนแปลงยุทธศาสตร์ ซึ่งขึ้นอยู่กับภัยคุกคามไซเบอร์ที่เกิดขึ้นจริงในปัจจุบัน ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทางไซเบอร์อยู่ในระยะที่ทำให้เกิดการจัดสรรทรัพยากรและการลงทุนครั้งใหม่ สามารถเห็นผลกระทบจากการสร้างความตระหนักรู้ทางไซเบอร์อย่างชัดเจน เป็นต้น

หลักการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ

1. ประเทศสหรัฐอเมริกา
ประเทศสหรัฐอเมริกาเป็นประเทศที่ต้องเผชิญกับความท้าทายทางไซเบอร์ทั้งจากผู้ก่อการร้าย และประเทศมหาอำนาจอื่น เช่น รัสเซีย จีน อิหร่าน และเกาหลีเหนือ นับตั้งแต่ ปี 2546 ซึ่งสำนักงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (Cybersecurity and infrastructure security agency: CISA) กระทรวงความมั่นคงแห่งมาตุภูมิ มีการจัดทำยุทธศาสตร์ชาติด้านการรักษาความมั่นคงปลอดภัยของโลกไซเบอร์สเปซ (National strategy to secure cyberspace) หลังจากเกิดเหตุการณ์วินาศกรรมเมื่อวันที่ 11 กันยายน 2544 เป็นระยะเวลาถึง 15 ปี ที่ประเทศสหรัฐอเมริกาไม่ได้ปรับปรุงยุทธศาสตร์ความมั่นคงด้านไซเบอร์ ในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มขึ้นทวีคูณ จนกระทั่งในปี 2561 ทำเนียบขาว ประเทศสหรัฐอเมริกา ได้เผยแพร่ยุทธศาสตร์ไซเบอร์ของประเทศ (National cyber strategy) ประกอบด้วยเสาหลัก 4 ด้าน ได้แก่ 1) เสาหลักที่ 1 การปกป้องผืนแผ่นดินและวิถีชีวิตของอเมริกันชน (Protect the American people, the homeland, and the American way of life) 2) เสาหลักที่ 2 การเสริมสร้าง ความมั่งคั่งของอเมริกา (Promote American prosperity) 3) เสาหลักที่ 3 การรักษาสันติภาพ ด้วยพลัง (Preserve peace through strength) และ 4) เสาหลักที่ 4 การขยายอิทธิพลของสหรัฐอเมริกา (Advance American influence) โดยมีสาระสำคัญ ดังนี้

1.1 เสาหลักที่ 1 การปกป้องผืนแผ่นดินและวิถีชีวิตของอเมริกันชน (Protect the American people, the homeland, and the American way of life)
1.1.1 การรักษาความมั่นคงปลอดภัยให้กับเครือข่ายกิจการโทรทัศน์ และกิจการโทรคมนาคมของสหพันธรัฐ และข้อมูลของสหพันธรัฐ (Secure federal networks and information) โดยการกำหนดมาตรฐานในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัย ไซเบอร์ที่มีประสิทธิภาพ และการรวมศูนย์การสั่งการและมอบหมายหน้าที่ความรับผิดชอบ รวมถึงกำกับดูแลภาพรวมการทำงานของหน่วยงานที่เกี่ยวข้อง
1.1.2 การรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Secure critical infrastructure) โดยการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน การกระจายและจัดสรรความเสี่ยงระหว่างภาครัฐและภาคเอกชน ในลักษณะของการร่วมลงทุนระหว่างภาครัฐและเอกชน (PPPs) การจัดลำดับความสำคัญของปฏิบัติการ (Consequence-driven) ที่ลดความรุนแรงและความยาวนานของการหยุดชะงักของโครงสร้างพื้นฐาน
1.1.3 การรับมืออาชญากรรมทางไซเบอร์และการพัฒนาการรายงานอุบัติการณ์ (Combat cybercrime and improve incident reporting) โดยอาศัยความร่วมมือระหว่างมลรัฐ ท้องถิ่น ชนเผ่า และเขตแดน ในการตรวจตรา ป้องกัน ต่อต้าน และสืบสวนสอบสวนเกี่ยวกับภัยคุกคามทางไซเบอร์ต่อประเทศสหรัฐ

1.2 เสาหลักที่ 2 การเสริมสร้างความมั่งคั่งของอเมริกา (Promote American prosperity)
1.2.1 พัฒนาเศรษฐกิจดิจิทัลให้มีความมั่นคั่งและมีความทนทานต่อภัยคุกคามทางไซเบอร์ (Foster a vibrant and resilient digital economy) โดยการสนับสนุนการกำหนดมาตรฐานของการรักษาความมั่นคงปลอดภัยทางเศรษฐกิจ ตลาดกลางการพาณิชย์ (Marketplace) และนวัตกรรม
1.2.2 พัฒนาและคุ้มครองทรัพย์สินทางปัญญาของประเทศสหรัฐอเมริกา (Foster and protect United States ingenuity) โดยการคุ้มครองสิ่งประดิษฐ์ เทคโนโลยี และนวัตกรรมของประเทศสหรัฐอเมริกาจากการจารกรรมทรัพย์สินทางปัญญา รวมถึงการผลักดันบทบาทผู้นำด้านเทคโนโลยี เช่น ปัญญาประดิษฐ์ (Artificial intelligence: AI) วิทยาศาสตร์ข้อมูลควอนตัม(Quantum information science) และโครงสร้างพื้นฐานโทรคมนาคมสำหรับอนาคต (Next generation telecommunication infrastructure) เป็นต้น
1.2.3 พัฒนากำลังแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ที่เหนือกว่า (Develop a superior cybersecurity workforce) โดยพัฒนาศูนย์รวมบุคลากรมากความสามารถ (Talent pool) และดึงดูดผู้เชี่ยวชาญจากต่างประเทศ

1.3 เสาหลักที่ 3 การรักษาสันติภาพด้วยพลัง (Preserve peace through strength)
1.3.1 สร้างเสถียรภาพทางไซเบอร์ผ่านพฤติกรรมความรับผิดชอบของรัฐที่เป็นบรรทัดฐานทางสังคม (Enhance cyber stability through norms of responsible state Behavior) ผ่านกรอบความรับผิดชอบของรัฐภายใต้กฎหมายระหว่างประเทศ การสร้างความเชื่อมั่นต่อความสามารถในการลดความเสี่ยงจากกิจกรรมไซเบอร์ที่มีความประสงค์ร้าย
1.3.2 หยุดยั้งพฤติกรรมที่ไม่เหมาะสมในโลกไซเบอร์สเปซ (Attribute and deter unacceptable behavior in cyberspace) กิจกรรมไซเบอร์ที่เป็นภัยต่อประเทศสหรัฐอเมริกา ด้วยวิธีการทางการฑูต การข่าวสาร การทหาร การเงิน การข่าวกรอง และการบังคับใช้กฎหมาย

1.4 เสาหลักที่ 4 การขยายอิทธิพลของสหรัฐอเมริกา (Advance American influence)
1.4.1 สนับสนุนเสรีภาพบนระบบอินเทอร์เน็ต เชื่อมโยงกันได้ เชื่อถือได้ และมั่นคงปลอดภัย (Promote an open, interoperable, reliable, and secure internet) ซึ่งเป็นส่วนหนึ่งของหลักสิทธิมนุษยชน และเสรีภาพขั้นพื้นฐาน และป้องกันการใช้อินเทอร์เน็ตเสรีเป็นเครื่องมือทางการเมือง โดยยึดมั่นในหลักการนี้ให้เป็นมาตรฐานระดับสากล
1.4.2 สร้างขีดความสามารถไซเบอร์ระหว่างประเทศ (Build international cyber capacity) โดยส่งเสริมการพัฒนาขีดความสามารถไซเบอร์ให้ประเทศพันธมิตร เพื่อให้ประเทศพันธมิตรสามารถปกป้องตนเองได้ และสามารถสนับสนุนประเทศสหรัฐอเมริกาในการรับมือกับปัญหาภัยคุกคามไซเบอร์อย่างมีประสิทธิภาพ แลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์กับประเทศพันธมิตร เพื่อป้องกันโครงสร้างพื้นฐานที่สำคัญยิ่งยวดและห่วงโซ่อุปทานของโลก รวมถึงขยายความร่วมมือทางด้านการฑูต การเศรษฐกิจ และความมั่นคงปลอดภัย

2. ประเทศสหราชอาณาจักร
รัฐบาลสหราชอาณาจักร ได้จัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ปี 2559 – 2564 (National cyber security strategy 2016 – 2021) ในปี 2559 โดยมีเป้าประสงค์หลัก 3 ด้าน ได้แก่ การป้องกัน (Defend) การยับยั้ง (Deter) และ การพัฒนา (Develop) ในส่วนของการป้องกัน หมายถึง การป้องกันสหราชอาณาจักรจากภัยคุกคามทางไซเบอร์ การรับมือกับอุบัติการณ์ เพื่อให้ระบบเครือข่าย ระบบข้อมูล ธุรกิจ และประชาชน ได้รับความปลอดภัย และสามารถป้องกันตนเองได้ การยับยั้ง หมายถึง การตรวจสอบ ทำความเข้าใจ สืบสวนสอบสวน และหยุดยั้งกิจกรรมที่ประสงค์ร้ายต่อสหราชอาณาจักร ติดตามและลงโทษผู้กระทำความผิด และการพัฒนา หมายถึง การสร้างนวัตกรรม การวิจัย และพัฒนา เพื่อตอบสนองความต้องการของประเทศ และความพร้อมรับมือภัยคุกคามและความท้าทายในอนาคต ทั้งนี้ แผนยุทธศาสตร์จำแนกออกตามเปูาประสงค์หลัก 3 ด้าน สรุปได้ ดังนี้

2.1 การป้องกัน (Defend)
2.1.1 การพัฒนาระบบความมั่นคงปลอดภัยไซเบอร์ (Active cyber defence: ACD) โดยสร้างความทนทานต่อการโจมตีทางไซเบอร์ ความเข้าใจต่อภัยคุกคามทาง ไซเบอร์ และการรับมือกับภัยคุกคามทางไซเบอร์
2.1.2 การรักษาความมั่นคงปลอดภัยของระบบอินเทอร์เน็ต (Building a more secure internet) โดยสร้างความมั่นใจว่า การพัฒนาเทคโนโลยีใหม่ต้องมีความมั่นคงปลอดภัยเป็นค่าตั้งต้น (Secure by default) และมีระบบรักษาความปลอดภัยทั้งซอฟต์แวร์และฮาร์ดแวร์
2.1.3 การคุ้มครองข้อมูลภาครัฐ (Protecting government) ในทุกหน่วยงาน และทุกระดับของหน่วยงานภาครัฐ เพื่อรักษาความเชื่อมั่นของประชาชนต่อระบบและบริการของภาครัฐ
2.1.4 การคุ้มครองโครงสร้างพื้นฐานของประเทศที่สำคัญยิ่งยวดและภาคส่วนเศรษฐกิจที่มีความสำคัญยิ่งยวด (Protecting our critical national infrastructure and other priority sectors) ซึ่งมีผลกระทบต่อวิถีชีวิตของประชาชน ระบบเศรษฐกิจ ชื่อเสียงและจุดยืนของประเทศในเวทีโลก
2.1.5 การพัฒนาพฤติกรรมของภาคธุรกิจและประชาชน (Changing public and business behaviours) ให้มีความตระหนักรู้ และความเข้าใจต่อภัยคุกคามไซเบอร์
2.1.6 การบริหารจัดการอุบัติการณ์และความเข้าใจต่อภัยคุกคามไซเบอร์ (Managing incidents and understanding the threat) โดยกำหนดกระบวนการสร้างความร่วมมือในภาวะที่เกิดภัยคุกคามไซเบอร์ระหว่างภาครัฐและเอกชน เพื่อให้มั่นใจว่า มีการจัดเก็บข้อมูล แลกเปลี่ยนข้อมูล อย่างรวดเร็วและทันการณ์

2.2 การยับยั้ง (Deter)
2.2.1 การป้องปรามในโลกไซเบอร์ (Cyber’s role in deterrence) จาก การรุกรานทางไซเบอร์และอธิปไตย (Sovereignty) ของประเทศ โดยสร้างความเข้มแข็งให้ประเทศจนโจมตีได้ยาก ลดผลประโยชน์ และเพิ่มต้นทุนของการโจมตีทางไซเบอร์ไม่ว่าจะเป็นการโจมตีที่มีเป้าหมายทางด้านการเมือง เป้าหมายทางการฑูต เป้าหมายทางเศรษฐกิจ หรือเป้าหมายเชิงยุทธศาสตร์
2.2.2 การลดอาชญากรรมทางไซเบอร์ (Reducing cyber crime) โดยเพิ่มต้นทุนในการโจมตีทางไซเบอร์ ลดผลประโยชน์จากการโจมตีทางไซเบอร์ ลดความเปราะบางต่อ การถูกโจมตีทางไซเบอร์ และติดตามจับกุมอาชญากรที่โจมตีสหราชอาณาจักร
2.2.3 การรับมือผู้ประสงค์ร้ายจากภายนอกประเทศ (Countering hostile foreign actors) ที่พุ่งเป้าหมายโจมตีการเมือง เศรษฐกิจ และความมั่นคงทางการทหารของประเทศ
2.2.4 การป้องกันการก่อการร้าย (Preventing terrorism) โดยการลด ความเสี่ยงจากการถูกโจมตีทางไซเบอร์ และป้องกันการถูกโจมตีผ่านการเฝ้าระวัง ติดตามสืบสวนสอบสวน ร่วมงานกับประเทศพันธมิตรในการจับกุมผู้ก่อการร้ายทางไซเบอร์
2.2.5 การพัฒนาขีดความสามารถด้านอธิปไตยไซเบอร์เชิงรุก (Enhancing sovereign capabilities – offensive cyber) โดยการโจมตีเครือข่ายหรือระบบของผู้ประสงค์ร้าย ทำลายโอกาสในการโจมตีทางไซเบอร์ และมีการพัฒนาขีดความสามารถในการปฏิบัติการเชิงรุก
2.2.6 การพัฒนาขีดความสามารถด้านอธิปไตยการเข้ารหัสข้อมูล (Enhancing sovereign capabilities – cryptography) โดยอาศัยทักษะและเทคโนโลยีของภาคเอกชนที่มี ขีดความสามารถสูง

2.3 การพัฒนา (Develop)
2.3.1 การพัฒนาทักษะการรักษาความมั่นคงปลอดภัยไซเบอร์ (Strengthening cyber security skills) โดยการพัฒนาบุคลากรและผู้เชี่ยวชาญให้มีเส้นทางการเจริญก้าวหน้าในสายอาชีพอย่างชัดเจน
2.3.2 การกระตุ้นการเจริญเติบโตในภาคส่วนการรักษาความมั่นคงปลอดภัยไซเบอร์ (Stimulating growth in the cyber security sector) โดยสนับสนุนให้ผู้ที่มีแนวคิดในการผลิตนวัตกรรม โดยเฉพาะวิสาหกิจขนาดกลางและขนาดย่อม (Small and medium enterprises: SMEs) ให้สามารถเข้าถึงเงินทุน และสามารถเพิ่มทักษะความรู้ด้านเทคโนโลยีได้
2.3.3 การสนับสนุนวิทยาการและเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ (Promoting cyber security science and technology) ทั้งในด้านการวิจัยและพัฒนา และด้านวิชาการ เพื่อดึงดูดผู้มีความรู้ความสามารถให้เข้าสู่ภาคส่วนเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์
2.3.4 การเฝ้าติดตามและวิเคราะห์การเปลี่ยนแปลงของเทคโนโลยี (Effective horizon scanning) โดยการคาดการณ์ภัยคุกคามในอนาคต ในช่วงระยะ 5 – 10 ปีข้างหน้า การคาดการณ์ผลกระทบจากภัยคุกคามที่อาจจะเกิดขึ้น รวมถึงเสนอแนะเพื่อกำหนดนโยบายและแผนการรับมือภัยคุกคามที่อาจจะเกิดขึ้นในอนาคต

ทั้งนี้ สำนักงานคณะรัฐมนตรี ประเทศสหราชอาณาจักร ได้เผยแพร่รายงานความก้าวหน้าของการขับเคลื่อนยุทธศาสตร์ ในปี 2561 โดยพบความก้าวหน้าของการขับเคลื่อนแผนเชิงยุทธศาสตร์ 13 เรื่อง ได้แก่ 1) ความเข้าใจในภัยคุกคามไซเบอร์ (Understanding the threat) 2) การรับมือกับอาชญากรรมไซเบอร์ (Tackling cyber crime) 3) การรับมือกับอุบัติการณ์ไซเบอร์ (Responding to cyber incidents) 4) ระบบป้องกันการโจมตีทางไซเบอร์ (Active cyber defence) 5) การสร้างความปลอดภัยทางเทคโนโลยีด้วยการออกแบบ (Making technology secure by design) 6) การพัฒนาความมั่นคงปลอดภัยไซเบอร์ของรัฐบาล (Improving the cyber security of government) 7) การบริหารจัดการความเสี่ยงไซเบอร์ในระบบเศรษฐกิจและสังคม (Managing cyber risk in the wider economy and society) 8) การบริหารจัดการความเสี่ยง ไซเบอร์ในโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศ (Managing cyber risk in critical national infrastructure) 9) การพัฒนาภาคส่วนความมั่นคงปลอดภัยไซเบอร์ (Developing the cyber security sector) 10) การพัฒนาทักษะด้านความมั่นคงปลอดภัยไซเบอร์ (Developing the cyber security skills pipeline) 11) การวางแผนการวิจัยและพัฒนา (Research, development and future planning) 12) การผลักดันประเด็นปัญหาความมั่นคงปลอดภัยไซเบอร์ในเวทีระหว่างประเทศ (International action)และ 13) การสร้างการทำงานของหน่วยงานภาครัฐให้เป็นไปในทิศทางเดียวกัน (Strengthening our whole-of-Government approach)

3. ประเทศสิงคโปร์
หน่วยงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติแห่งสิงคโปร์ (Cyber security agency of Singapore: CSA) ได้เผยแพร่ยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ในปี 2559 โดยกำหนดให้ยุทธศาสตร์ประกอบด้วย 4 เสาหลัก ได้แก่ 1) การสร้างโครงสร้างพื้นฐานที่มีความทนทานต่อภัยคุกคามทางไซเบอร์ (Building resilient infrastructure) 2) การสร้างโลกไซเบอร์สเปซที่ปลอดภัยยิ่งขึ้น (Creating a safer cyberspace) 3) การพัฒนาระบบนิเวศของความมั่นคงปลอดภัยไซเบอร์ (Developing a vibrant cybersecurity ecosystem) และ 4) การสร้างความร่วมมือระหว่างประเทศ (Strengthening international partnership) โดยมีสาระสำคัญ ดังนี้

3.1 การสร้างโครงสร้างพื้นฐานที่มีความทนทานต่อภัยคุกคามทางไซเบอร์ (Building resilient infrastructure)
3.1.1 การปกป้องบริการที่สำคัญยิ่งยวด (Protect our essential services) โดยการจัดทำกระบวนการบริหารจัดการความเสี่ยง การสร้างวัฒนธรรมความตระหนักรู้ถึงความเสี่ยง การเพิ่มแนวปฏิบัติความมั่นคงด้วยการออกแบบ (Secure by design) ตลอดทั้งห่วงโซ่อุปทานของการให้บริการ
3.1.2 การเพิ่มขีดความสามารถในการรับมือต่อภัยคุกคามทางไซเบอร์อย่างเด็ดขาด (Respond decisively to cyber threats) โดยการสร้างความตระหนักรู้ต่อเหตุการณ์ การฝึกซ้อมแผนรับมือด้วยการจำลองสถานการณ์ที่ซับซ้อน และเกี่ยวโยงหลายภาคส่วน การเพิ่มทีม CIRT การเพิ่มประสิทธิภาพแผนฟื้นฟูภัยพิบัติ (Recovery plans) และแผนบริหารความต่อเนื่องทางธุรกิจ (Business continuity plans: BCP)
3.1.3 การสร้างความเข้มแข็งของโครงสร้างทางกฎหมายและการกำกับดูแลของภาครัฐ (Strengthen governance and legislative framework) โดยบัญญัติกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ที่กำหนดให้ผู้ให้บริการและเจ้าของโครงสร้างพื้นฐานที่สำคัญยิ่งยวดมีภาระความรับผิดชอบต่อความมั่นคงปลอดภัยไซเบอร์ สนับสนุนการแลกเปลี่ยนข้อมูลภัยคุกคาม ความร่วมมือของทุกภาคส่วนอย่างใกล้ชิดเพื่อแก้ไขเหตุการณ์อย่างทันการณ์
3.1.4 การรักษาความปลอดภัยให้กับเครือข่ายของรัฐบาล (Secure government networks) โดยการกำหนดสัดส่วนงบประมาณด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อยู่ที่ร้อยละ 8 ของวงเงินงบประมาณด้านเทคโนโลยีสารสนเทศและการสื่อสาร การลด การโจมตีเครือข่ายของรัฐบาล การสร้างความตระหนักรู้ต่อเหตุการณ์ในหน่วยงานภาครัฐ

3.2 การสร้างโลกไซเบอร์สเปซที่ปลอดภัยยิ่งขึ้น (Creating a safer cyberspace)
3.2.1 การต่อสู้กับอาชญากรรมทางไซเบอร์ (Combat cybercrime) โดยแผนปฏิบัติการระดับชาติ ที่เพิ่มองค์ความรู้ เพิ่มขีดความสามารถรับมือให้กับหน่วยงานภาครัฐ พัฒนากรอบกฎหมายในการตัดสินคดีอาชญากรรมทางไซเบอร์ และสร้างความร่วมมือระหว่างประเทศ
3.2.2 การพัฒนาสู่การเป็นศูนย์กลางแห่งความเชื่อมั่น (Enhance Singapore’s standing as a trusted hub) โดยการสร้างระบบนิเวศของข้อมูลที่เชื่อถือได้ ทั้งต่อผู้ใช้งานข้อมูล และหน่วยงานที่ให้บริการข้อมูล การพัฒนาเจ้าหน้าที่คุ้มครองข้อมูลที่มีความเชี่ยวชาญ หมายรวมถึงการใช้งานข้อมูลข้ามประเทศด้วย (Cross border data) การสร้างความร่วมมือกับประเทศพันธมิตร รัฐบาลอื่น อุตสาหกรรมที่เป็นพันธมิตร ผู้ให้บริการอินเทอร์เน็ต องค์กรระหว่างประเทศ เพื่อสร้างอินเทอร์เน็ตที่สามารถตรวจพบภัยคุกคามได้รวดเร็ว และลดกิจกรรมที่ประสงค์ร้าย
3.2.3 การสนับสนุนความรับผิดชอบต่อส่วนรวม (Promote collective responsibility) โดยภาคธุรกิจและประชาชนต้องมีความพร้อมรับข่าวสารเพื่อป้องกันระบบคอมพิวเตอร์ และอุปกรณ์ดิจิทัลของตนเองจากผู้ประสงค์ร้ายที่อาจจารกรรมระบบหรืออุปกรณ์ เพื่อใช้ในการคุกคามสังคมและภาคธุรกิจ

3.3 การพัฒนาระบบนิเวศของความมั่นคงปลอดภัยไซเบอร์ (Developing a vibrant cybersecurity ecosystem)
3.3.1 การสร้างกำลังแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ที่มีความเชี่ยวชาญ (Establish a professional cybersecurity workforce) โดยสร้างเส้นทางการเจริญก้าวหน้าในสายอาชีพที่ชัดเจน สนับสนุนการให้ใบรับรองที่เป็นที่ยอมรับในระดับสากล การให้ทุนการศึกษา หลักสูตรการศึกษาเฉพาะอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ การพัฒนาทักษะที่มีอยู่เดิม (Up-skilling) และการเรียนรู้ทักษะใหม่ (Re-skilling)
3.3.2 การสร้างความได้เปรียบด้านความมั่นคงปลอดภัยไซเบอร์ (Extend Singapore’s cybersecurity advantage) ผ่านการสร้างความเข้มแข็งของท้องถิ่น และฐานราก โดยเฉพาะกลุ่มผู้ประกอบการหน้าใหม่ (Start-up) ด้วยการเพิ่มโอกาสทางการตลาด การสร้างแบรนด์ผลิตในประเทศสิงคโปร์ให้ติดตลาดโลก
3.3.3 การสร้างนวัตกรรมเพื่อเร่งการพัฒนา (Innovate to accelerate) โดยอาศัยความพร้อมด้านสิ่งอำนวยความสะดวกด้านการวิจัยและพัฒนาที่ได้มาตรฐานระดับโลก การพัฒนาบุคลากรผู้มีความสามารถโดดเด่น การสร้างความร่วมมือในการวิจัยและพัฒนาระหว่างภาครัฐ ภาคเอกชน ภาควิชาการ และภาคอุตสาหกรรม

3.4 การสร้างความร่วมมือระหว่างประเทศ (Strengthening international partnership)
3.4.1 การสร้างความร่วมมือระดับภูมิภาคอาเซียนและความร่วมมือระหว่างประเทศเพื่อรับมือกับภัยคุกคามไซเบอร์และอาชญากรรมทางไซเบอร์ (Forge international and ASEAN cooperation to counter cyber threats and cybercrime) โดยเพิ่มประสิทธิภาพให้กับกระบวนการรายงานและการรับมือ การอาศัยความร่วมมือกับเครือข่ายการทำงานขององค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และการพัฒนาขีดความสามารถในการรับมือกับอาชญากรรมทางไซเบอร์
3.4.2 การริเริ่มสร้างขีดความสามารถด้านไซเบอร์ระดับยอดเยี่ยมของภูมิภาคอาเซียนและระดับสากล (Champion international and ASEAN cyber capacity building initiatives) ในด้านปฏิบัติการ เทคนิค กฎหมาย นโยบาย และการฑูต
3.4.3 การแลกเปลี่ยนเรียนรู้ประสบการณ์ในด้านการบังคับใช้กฎหมายและบรรทัดฐานไซเบอร์ของภูมิภาคและระดับสากล (Facilitate international and regional exchanges on cyber norms and legislation)

ในครั้งหน้าเราจะไปต่อกันด้วย กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล กันนะครับ

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 2

ขอขอบคุณ อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้อนุญาตให้ผมนำผลการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” มาเผยแพร่ในเว็บไซต์ www.itgthailand.com ซึ่งเกี่ยวเนื่องกับที่ผมเคยเขียนไว้ในหัวข้อ “ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ (Cyber Security Strategy and Enablers)” และผมเห็นว่าการวิจัยของอาจารย์ปริญญา หอมเอนก มีประโยชน์อย่างยิ่งยวดที่สามารถสร้างความเข้าใจในระดับกว้างและลึก ที่เกี่ยวข้องกับ Cyber Security ของชาติเป็นอย่างยิ่ง

ต่อจากนี้จะเป็นเนื้อหาต่อจากครั้งที่แล้วนะครับ

คำนำ

เอกสารวิจัย เรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ จัดทำขึ้น โดยได้แรงบันดาลใจจากประสบการณ์ทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) และ ได้สังเกตว่า กระบวนการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยที่ผ่านมา มุ่งเน้นแต่เพียง การปูองกันการโจมตีทางกายภาพต่อระบบอินเทอร์เน็ตและเครือข่าย ประกอบกับโลกยุคปัจจุบัน ที่แพลตฟอร์มต่างชาติและสื่อสังคมออนไลน์ (Social media) เข้ามามีบทบาทในการเปลี่ยนแปลงพฤติกรรมและการตัดสินใจของคนในชาติเพิ่มขึ้นเรื่อยๆ สอดคล้องกับความตื่นตัวของทั่วโลกที่เห็นว่าปัญหาดังกล่าวนำไปสู่การรุกรานทางความคิดและจิตใจของคนในชาติ หรือที่เรียกว่า ปัญหา “อธิปไตยไซเบอร์” หรือ “Cyber sovereignty ” ที่กำลังเกิดขึ้นทั่วโลก ซึ่งส่งผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National Security” ผู้วิจัยจึงเห็นว่า การศึกษาวิจัยในครั้งนี้จะช่วยให้ประเทศไทยเข้าใจปัญหาและผลกระทบของ การรุกราน “อธิปไตยไซเบอร์” มากขึ้น เพื่อให้สามารถนำกรอบแนวคิดที่ได้จากการศึกษา กรอบการจัดทำยุทธศาสตร์ในการแก้ไขปัญหา “อธิปไตยไซเบอร์” ตามแนวคิดที่เป็นที่ยอมรับในระดับสากล มาปรับปรุงยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์การรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ. 2560 – 2564 ได้ ให้มีประสิทธิภาพมากขึ้นในที่สุด

(ปริญญา หอมเอนก)
นักศึกษาวิทยาลัยปูองกันราชอาณาจักร
หลักสูตร วปอ. รุ่นที่ ๖๒ ผู้วิจัย

กิตติกรรมประกาศ

ในนามของผู้วิจัย ขอขอบคุณผู้ศึกษาขอขอบคุณคณะกรรมการและที่ปรึกษางานวิจัย ที่ได้กรุณาให้คำแนะนำและข้อคิดเห็นทางวิชาการที่เป็นประโยชน์อย่างยิ่งในการใช้เป็นกรอบแนวทาง ในการจัดทำเอกสารวิจัยส่วนบุคคลฉบับนี้ให้มีความสมบูรณ์ นอกจากนี้ผู้วิจัยขอขอบคุณ ท่านผู้ทรงคุณวุฒิ คณาจารย์วิทยาลัยปูองกันราชอาณาจักร สถาบันวิชาการปูองกันประเทศ ที่มีส่วนในการสนับสนุนสำคัญในระหว่างการจัดทำเอกสารวิชาการฉบับนี้ ผู้วิจัยขอขอบคุณวิทยาลัยปูองกันราชอาณาจักร และเจ้าหน้าที่ของวิทยาลัยทุกท่าน ที่ให้ความอนุเคราะห์เอื้อเฟื้อสถานที่ และทรัพยากรที่จำเป็นแก่การจัดทำเอกสาร รวมทั้งการให้ความช่วยเหลือในการให้คำแนะนำรูปแบบและการตรวจทานเอกสารต้นฉบับให้มีความสมบูรณ์มาก และ หวังเป็นอย่างยิ่งว่างานวิจัยฉบับนี้ จะได้รับการนำไปปฏิบัติอย่างเป็นรูปธรรมในประเทศของเรา เพื่อให้เกิดผลสำเร็จเป็นประโยชน์ ต่อประเทศชาติบ้านเมืองต่อไปในอนาคตอันใกล้นี้

(ปริญญา หอมเอนก)
นักศึกษาวิทยาลัยปูองกันราชอาณาจักร
หลักสูตร วปอ. รุ่นที่ ๖๒ ผู้วิจัย

บทที่ ๑

บทนำ

ความเป็นมาและความสาคัญของปัญหา จากประเด็นยุทธศาสตร์ชาติด้านความมั่นคงและประเด็นยุทธศาสตร์ชาติด้านการสร้างความสามารถในการแข่งขัน ในเอกสารยุทธศาสตร์ชาติ ระยะ ๒๐ ปี (พ.ศ. ๒๕๖๑ – ๒๕๘๐) ในด้านของความมั่นคง มีการกล่าวถึงเรื่อง ปัญหาภัยคุกคามไซเบอร์ อาชญากรรมไซเบอร์ที่ซับซ้อนขึ้น รูปแบบการก่อสงครามที่ใช้เทคโนโลยีเป็นเครื่องมือ เครื่องมือบนพื้นฐานของธรรมาภิบาลข้อมูล ซึ่งครอบคลุมความมั่นคงปลอดภัยไซเบอร์ ความมีจริยธรรม และการไม่ละเมิดสิทธิส่วนบุคคล การสร้างอุตสาหกรรมที่ส่งเสริมความมั่นคงปลอดภัยทางไซเบอร์ เพื่อลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่อเศรษฐกิจและสังคม และ การปกปูองอธิปไตยไซเบอร์ เพื่อรักษาผลประโยชน์ของชาติ จากการทำธุรกิจดิจิทัล แนวโน้มเหล่านี้จะก่อให้เกิดความท้าทายต่อการพัฒนาประเทศในหลายมิติ ทั้งในส่วนของการจ้างงานและอาชีพ สาขาการผลิตและบริการใหม่ ๆ

จากกระแส “Digital disruption” และ “Digital transformation” ทั่วโลก ทำให้เรา คงปฏิเสธไม่ได้ว่า การเปลี่ยนแปลงทางดิจิทัลของโลกมีผลต่อการดำเนินชีวิตประจำวันของมนุษย์ ทุกคนบนโลกใบนี้อย่างหลีกเลี่ยงไม่ได้ คำว่า ” Digital transformation” หรือ “Digital disruption” เป็นสิ่งที่เราได้ยินได้ฟังกันบ่อย ๆ ปัจจัยทั้ง 4 ที่มีผลต่อการเปลี่ยนแปลงทางดิจิทัลดังกล่าว ได้แก่ (The four IT mega trends in S-M-C-I Era) S หมายถึง Social media M หมายถึง Mobile computing C หมายถึง Cloud computing และ I หมายถึง Information หรือ Big data เทคโนโลยีการวิเคราะห์ข้อมูลขนาดใหญ่ ตลอดจนการเปลี่ยนแปลงของโลกจากเทคโนโลยี ปัญญาประดิษฐ์ (Artificial intelligence) และ อินเทอร์เน็ตในทุกสิ่ง (Internet of things) กำลังมีการพัฒนาและประยุกต์ใช้อย่างแพร่หลายทั่วโลก

ดังนั้น การเปลี่ยนแปลงครั้งใหญ่จากปัจจัยทั้งสี่ดังกล่าวจึงมีผลกระทบเกิดขึ้น ใน 3 ระดับได้แก่ ระดับบุคคลและครอบครัว ระดับองค์กร และระดับประเทศ ไปจนถึงผลกระทบต่อความมั่นคงของชาติ (National security) ปัจจุบันประเทศไทยของเราเป็นประเทศที่มีเอกราชและอธิปไตยในดินแดนของประเทศเราในเชิงกายภาพ (Physical) แต่หลังจากระบบอินเทอร์เน็ตได้เข้ามา มีบทบาทมากขึ้นในการติดต่อสื่อสารของคนไทยในหลายปีที่ผ่านมา ตลอดจนความนิยมในการใช้งานสมาร์ทโฟน และโปรแกรมเครือข่ายสังคมออนไลน์ของคนไทย ทำให้มีการเก็บข้อมูลคนไทย ทั้งประเทศไว้ในระบบคลาวด์ โดยส่งผ่านจากทางสมาร์ทโฟนและโปรแกรมเครือข่ายสังคมออนไลน์ดังกล่าว ยกตัวอย่างเช่น Facebook, Youtube และ Line ปัจจุบันมีคนไทยใช้งานสมาร์ทโฟน มากกว่าหนึ่งร้อยล้านเครื่อง โดยเฉลี่ยใช้งานวันละกว่า 6 ชั่วโมงต่อวัน โดยโปรแกรมยอดนิยม คงหนีไม่พ้นสามโปรแกรมเครือข่ายสังคมออนไลน์ดังที่กล่าวมาแล้ว ทำให้เกิดปรากฎการณ์มหกรรมการเก็บข้อมูลของคนไทยเข้าสู่ระบบคลาวด์ของบริษัทผู้ให้บริการโปรแกรมเครือข่ายสังคมออนไลน์ดังกล่าวสืบเนื่องจากการใช้งานสมาร์ทโฟนอย่างแพร่หลายทำให้มีการจัดเก็บพฤติกรรมผู้ใช้งานสมาร์ทโฟนอย่างต่อเนื่องทั้งที่ผู้ใช้ทราบและไม่ทราบมาก่อน ไม่ว่าจะเป็นการจัดเก็บข้อมูลตำแหน่งการใช้งาน (User location) พฤติกรรมการค้นหาข้อมูล (User search behavior and search keyword) พฤติกรรมการเข้าชมภาพและวิดีโอ ตลอดจนพฤติกรรมในการเลือกซื้อสินค้าและบริการ เช่น การจองโรงแรม การจองตั๋วเครื่องบิน ทำให้ข้อมูลมหาศาลเหล่านี้ตกอยู่ในมือของ ผู้ให้บริการการค้นหาข้อมูล และ ผู้ให้บริการโปรแกรมเครือข่ายสังคมออนไลน์อย่างหลีกเลี่ยงไม่ได้

การเก็บข้อมูลในระบบคลาวด์ขนาดใหญ่ มีกลไกในการวิเคราะห์เจาะลึกข้อมูลของเรา โดยใช้เทคโนโลยี “Big data” และ “Machine learning” ทำให้ผู้ให้บริการสามารถล่วงรู้พฤติกรรมการใช้อินเทอร์เน็ต การใช้สมาร์ทโฟน การค้นหาข้อมูล การใช้โปรแกรมเครือข่ายสังคมออนไลน์ การรับรู้ข้อมูลจากสื่อสังคมออนไลน์ต่าง ๆ ทำให้ผู้ให้บริการสามารถทราบถึง “Digital lifestyle” ของผู้คนอย่างไม่ยากเย็นนักจากข้อมูลที่เราเองเป็นคนใส่ข้อมูลเข้าไปในระบบทั้งรู้ตัวและไม่รู้ตัว

ปัญหาใหญ่ที่ตามมาคือปัญหา “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber sovereignty) ของผู้คนในประเทศตลอดจนไปถึงปัญหาความมั่นคงของชาติ (National security) ซึ่งคนไทยเองส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์”หรือ “Cyber sovereignty” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ตและ การใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนไทย ทำให้ผู้ให้บริการที่เข้าถึงข้อมูล เชิงลึก มีความได้เปรียบในการแข่งขันทางธุรกิจ และสามารถนำข้อมูลมาใช้ในการตลาดได้ อย่างมีประสิทธิผลและประสิทธิภาพ ทั้งนี้ยังไม่รวมถึงการขาดรายได้ของรัฐบาลไทยจากการจัดเก็บภาษีจากยอดเงินในระดับหมื่นล้านบาท โดยรัฐบาลไทยไม่สามารถจัดเก็บภาษีจากผู้ให้บริการได้ อย่างที่ควรจะเป็น เนื่องจากผู้ให้บริการทำการ Settlement payment โดยการใช้ Payment gateway นอกประเทศไทย เป็นต้น

จึงมีผู้กล่าวเปรียบเปรยได้ว่าเรากำลังใช้ชีวิตประจำวันอยู่ใน “The Matrix” หลายท่านอาจกำลังนึกถึงนวนิยายไซไฟ แต่จริง ๆ แล้วเรากำลังอยู่ในโลกแห่งความเป็นจริงที่ชีวิตประจำวัน ของคนไทยทุกคนมีความเกี่ยวพันกับ S-M-C-I อย่างหลีกเลี่ยงไม่ได้ ซึ่งเปรียบเหมือนเรากำลัง อยู่ใน “สภาวะไซเบอร์” ซึ่งปัจจัยทั้งสี่ S-M-C-I กำลังมีผลกับเราอย่างไม่รู้ตัว โดยปัจจุบันคนไทย มี Facebook account มากกว่า 54 ล้าน account และ LINE account มากกว่า 45 ล้าน account โดยมีการใช้งานอย่างต่อเนื่องในแทบทุกวัน เรียกได้ว่าเป็น “New platform” ที่คนไทยกำลังใช้ในการติดต่อสื่อสารกันแทนการใช้งานเทคโนโลยีในอดีต

ประธานาธิบดีแห่งสาธารณรัฐประชาชนจีน สี จิ้นผิง ได้กล่าวเสมอในการประชุมสุดยอดผู้นำโลกเกี่ยวกับปัญหา “อธิปไตยไซเบอร์” (Cyber sovereignty) ที่กำลังเกิดขึ้นทั่วโลก ท่านกล่าวว่าทุกประเทศทั่วโลกมีสิทธิที่จะกำหนดนโยบายด้านไซเบอร์ในประเทศของตน เพื่อปูองกันการรุกรานโดยต่างชาติในรูปแบบที่ไม่ต้องใช้กำลังทางทหารหรือกระสุนแม้แต่เพียงนัดเดียว แต่เป็นการรุกรานหรือการล่าอาณานิคมในรูปแบบใหม่ ที่ประชาชนในประเทศเปูาหมายไม่ได้รับรู้ว่ากำลังถูกรุกรานอยู่ เนื่องจากการรุกรานดังกล่าวไม่ต้องใช้กำลังแต่อย่างใด เป็นการรุกรานทางความคิด ความเชื่อ ค่อย ๆ ส่งข้อมูลเข้ามาปรับเปลี่ยนพฤติกรรมของคนในชาติเหล่านี้ เราคงเคยเห็นกันจากประสบการณ์ “Arab Spring” ในตะวันออกกลางมาแล้ว มีผลต่อการเลือกตั้ง มีผลต่อการเมืองการปกครอง ภัยจากการรุกรานเข้ามาเปลี่ยนความคิดดังกล่าวนั้น น่ากลัวยิ่งกว่าภัยจากการแฮกของแฮกเกอร์ เสียอีก เนื่องจากแฮกเกอร์จะเข้าระบบเพื่อดึงข้อมูล หรือทำให้ระบบล่ม ที่เราเห็นปัญหามัลแวร์ กันอยู่เป็นประจำ หากแต่การเจาะเข้าไปในจิตใจของมนุษย์ ให้ปรับเปลี่ยนความคิด ความเชื่อ ความศรัทธา ทำให้ชอบหรือไม่ชอบ รักหรือเกลียดในบุคคล สินค้า หรือบริการ หรือบริษัทต่าง ๆ ตลอดจนผู้นำในแต่ละประเทศมีผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National security” ในที่สุด

ปัจจุบันประเทศไทยคณะกรรมการยุทธศาสตร์ชาติได้ดำเนินการจัดทำยุทธศาสตร์ชาติ ๒๐ ปี ประกาศในราชกิจจานุเบกษาเป็นที่เรียบร้อยแล้ว แต่ประเทศไทยยังขาดการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อย่างเป็นทางการ ประกอบกับ ยังไม่มีแนวทางการแก้ปัญหาอธิปไตยไซเบอร์กำหนดไว้ในยุทธศาสตร์ชาติ ดังนั้น จึงเป็นที่มาของงานวิจัยฉบับนี้ ที่มุ่งศึกษาค้นคว้าแนวทางการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติเพื่อให้สามารถแก้ปัญหาอธิปไตยไซเบอร์และผลกระทบต่อความมั่นคงของชาติ ที่กำลังตามมาในระยะยาว เพื่อให้ประเทศไทยมีความพร้อมในการเข้าสู่ยุคแห่ง Data economy และ Digital transformation อีกทั้งยังสามารถปกปูองรักษาอธิปไตยไซเบอร์ของชาติเอาไว้ได้ ส่งผลต่อการรักษาความมั่นคงของชาติในที่สุด

วัตถุประสงค์ของการวิจัย

๑. ศึกษาและวิเคราะห์กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และ ลักษณะของยุทธศาสตร์การรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติที่มีความสอดคล้องกับยุทธศาสตร์ชาติ ๒๐ ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริงทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว

๒. เสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ ๒๐ ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

ขอบเขตของการวิจัย

๑. เน้นการวิจัยเฉพาะเรื่องอธิปไตยไซเบอร์ที่มีผลกระทบต่อความมั่นคงของชาติ ไม่รวมเรื่องการโจมตีของแฮกเกอร์ในทางเทคนิค
๒. วิจัยเฉพาะยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศที่เปิดเผยได้เท่านั้น

วิธีดำเนินการวิจัย

การวิจัยครั้งนี้เป็นการวิจัยเชิงคุณภาพ โดยศึกษาวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย และ ในต่างประเทศ รวมถึงการพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศเฉพาะที่มีความสอดคล้องกับเรื่องอธิปไตยไซเบอร์ มีการศึกษาเปรียบเทียบกับต่างประเทศบางประเทศ โดยมุ่งเน้นให้เห็นถึงความแตกต่างในการแก้ปัญหาของแต่ละประเทศที่ศึกษา เพื่อนำแนวทางการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย มีความเหมาะสมของเนื้อหากับกรอบเวลา รวมทั้งมีการสัมภาษณ์ผู้ทรงคุณวุฒิเพื่อให้ได้แนวทางในการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทยเพื่อให้สามารถนำไปปฏิบัติได้จริง

ประโยชน์ที่ได้รับจากการวิจัย

๑. จะทำให้ได้แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งจะช่วยให้มีทิศทางในการดำเนินการด้านการรักษาความมั่นคงของชาติ เพื่อให้บรรลุเปูาหมายในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว
๒. ได้แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ บทบาท และโครงสร้างของหน่วยงานที่รับผิดชอบหลักในการกำหนดนโยบายความมั่นคงแห่งชาติ และ การจัดการกับปัญหาอธิปไตยไซเบอร์ เพื่อให้สามารถปฏิบัติงานไปสู่วัตถุประสงค์หลักคือ การรักษาความมั่นคงของชาติในระยะยาวโดยสอดรับกับแผนยุทธศาสตร์ชาติ ๒๐ ปีที่ได้ประกาศ ในราชกิจจานุเบกษาแล้ว

คำจำกัดความ

  • ความมั่นคง หมายถึง การมีความมั่นคงปลอดภัยจากภัยและการเปลี่ยนแปลง ทั้งภายในประเทศและภายนอกประเทศในทุกระดับ ทั้งระดับประเทศ สังคม ชุมชน ครัวเรือน และปัจเจกบุคคลและมีความมั่นคง ในทุกมิติ ทั้งมิติทางการทหาร เศรษฐกิจ สังคม สิ่งแวดล้อม และการเมือง เช่น ประเทศมีความมั่นคงในเอกราชและอธิปไตย มีการปกครองระบบประชาธิปไตยที่มีพระมหากษัตริย์ทรงเป็นประมุข สถาบันชาติ ศาสนา พระมหากษัตริย์มีความเข้มแข็งเป็นศูนย์กลางและเป็นที่ยึดเหนี่ยวจิตใจของประชาชน มีระบบการเมืองที่มั่นคงเป็นกลไกที่นำไปสู่การบริหารประเทศที่ต่อเนื่องและโปร่งใสตามหลักธรรมาภิบาล สังคม มีความปรองดองและความสามัคคี สามารถผนึกกำลังเพื่อพัฒนาประเทศ ชุมชนมีความเข้มแข็ง ครอบครัวมีความอบอุ่น ประชาชน มีความมั่นคง ในชีวิต มีงานและรายได้ที่มั่นคงพอเพียงกับการดำรงชีวิต มีการออมสำหรับวัยเกษียณ ความมั่นคงของอาหาร พลังงาน และน้ำ มีที่อยู่อาศัย และความปลอดภัยในชีวิตทรัพย์สิน
  • การรักษาความมั่นคงปลอดภัยไซเบอร์ หมายถึง มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อ ปูองกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และ ความสงบเรียบร้อยภายในประเทศ
  • ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้าย ต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์
  • อธิปไตยไซเบอร์ หมายถึง แนวคิดที่รัฐบาลของแต่ละประเทศควรมีสิทธิเสรีภาพ มีเอกราชและอธิปไตยในการบริหารจัดการระบบอินเทอร์เน็ตและ การบริการออนไลน์ต่าง ๆ ที่อยู่บนอินเทอร์เน็ตในประเทศของตนเอง แต่ในอีกความหมายหนึ่ง อาจหมายถึงเรื่องที่ประชาชนในชาติอาจถูกครอบงำทางเทคโนโลยีโดยเจ้าของแพลตฟอร์มที่ประชาชนนิยมใช้ โดยไม่รู้ตัวและรัฐบาลในประเทศนั้นไม่สามารถบริหารจัดการได้ ทำให้เกิด ผลกระทบทางลบต่อเศรษฐกิจ สังคม และ ความมั่นคงของชาติในระยะยาว

    นี่แค่เพียงบทแรกยังไม่ได้เข้าถึงเนื้อหาที่สำคัญ ฉะนั้นโปรดติดตามตอนต่อ ๆ ไปนะครับ

    ขอขอบคุณอาจารย์ปริญญา หอมเอนก สำหรับข้อมูลตอนที่ 1 และ ตอนที่ 2 รวมทั้งตอนต่อ ๆ ไปแทนผู้อ่าน และจากผม มา ณ ที่นี้อีกครั้งนะครับ

  •  

    ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 1

    ขอขอบคุณ อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้อนุญาตให้ผมนำผลการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” มาเผยแพร่ในเว็บไซต์ www.itgthailand.com ซึ่งเกี่ยวเนื่องกับที่ผมเคยเขียนไว้ในหัวข้อ “ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ (Cyber Security Strategy and Enablers)” และผมเห็นว่าการวิจัยของอาจารย์ปริญญา หอมเอนก มีประโยชน์อย่างยิ่งยวดที่สามารถสร้างความเข้าใจในระดับกว้างและลึก ที่เกี่ยวข้องกับ Cyber Security ของชาติเป็นอย่างยิ่ง

    ทั้งนี้ ผมจะเนื้อหางานวิจัยของอาจารย์ปริญญามาลงอย่างต่อเนื่อง เพื่อให้เกิดกระบวนการเรียนรู้ที่ผลอย่างกว้างขวางในทุกระดับของการกำกับ การบริหาร การปฏิบัติงานที่เกี่ยวข้องกับ Cyber Security หรือความมั่นคงปลอดภัยไซเบอร์ของชาติ รวมทั้งปัญหาอธิปไตยไซเบอร์ และผลกระทบต่อเนื่องไปยังความมั่นคงของชาติในระยะยาวฯ โดยมีรายละเอียดดังต่อไปนี้

    บทคัดย่อ
    เรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อ ความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ
    ลักษณะวิชา ยุทธศาสตร์ / วิทยาศาสตร์และเทคโนโลยี
    ผู้วิจัย นายปริญญา หอมเอนก หลักสูตร วปอ. รุ่นที่ 62

    ไซเบอร์สเปซ (Cyberspace) เป็นช่องทางในการปฏิบัติการข่าวสาร (Information Operations : IO) โดยการกระจายข้อมูลข่าวสาร เช่น ข้อความ ภาพนิ่ง ภาพเคลื่อนไหว การประชาสัมพันธ์ การโฆษณาชวนเชื่อ เป็นต้น ผ่านเครือข่ายสังคมออนไลน์ (Social media) ต่าง ๆ เช่น Line Facebook Twitter เป็นต้น ทำให้สามารถเข้าถึงกลุ่มเปูาหมายด้วยความรวดเร็ว ชั่วพริบตา และมีการแชร์ข้อมูลต่อ ๆ กันไปอย่างรวดเร็ว สามารถส่งผ่านข้อมูลที่มีอิทธิพลต่อทัศนคติ ความคิดเห็น พฤติกรรมและการตัดสินใจของผู้ใช้บริการได้โดยตรง โดยที่ผู้ใช้บริการอาจไม่รู้ตัว โดยเฉพาะอย่างยิ่งกลุ่มเยาวชนและคนรุ่นใหม่ ซึ่งเป็นกลุ่มที่มีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น ทำให้มีอิทธิพลต่อความรู้สึกนึกคิด ความเชื่อ อุดมการณ์ และมีผลต่อการตัดสินใจของคนเป็นจำนวนมาก จึงก่อให้เกิดปัญหาใหญ่คือ การรุกล้ำ “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber Sovereignty) ของประชาชนในประเทศ ตลอดจนไปถึงปัญหาความมั่นคงของชาติ (National Security) ซึ่งประชาชนส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ตและการใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนจำนวนมาก

    วัตถุประสงค์ของการวิจัยในครั้งนี้ ประกอบด้วย การศึกษาและวิเคราะห์กระบวนการ ในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และ ลักษณะของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติที่มีความสอดคล้องกับยุทธศาสตร์ชาติ 20 ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริงทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว และเสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอดคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ 20 ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

    วิธีการวิจัยครั้งนี้จะเป็นการวิจัยเชิงคุณภาพ โดยศึกษาวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย และ ในต่างประเทศ รวมถึงการพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศเฉพาะที่มีความสอดคล้องกับเรื่องอธิปไตยไซเบอร์ มีการศึกษาเปรียบเทียบกับต่างประเทศบางประเทศ โดยมุ่งเน้นให้เห็นถึงความแตกต่างในการแก้ปัญหาของแต่ละประเทศที่ศึกษา เพื่อนำแนวทางการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย มีความเหมาะสมของเนื้อหากับกรอบเวลา รวมทั้งมีการสัมภาษณ์ผู้ทรงคุณวุฒิเพื่อให้ได้แนวทางในการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทยเพื่อให้สามารถนำไป

    ผลการวิจัย พบว่า กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่มีการแก้ไขเพิ่มเติม และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560 – 2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้านความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของ กรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ The Global Cybersecurity Capacity Centre (GCSCC) แห่ง University of Oxford ซึ่งเป็นกรอบแนวคิดมาตรฐานของสากล ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับ การละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต ช่องทางการรายงานอาชญากรรมทาง ไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์ ทั้งนี้ กฎหมายที่เกี่ยวข้องส่วนใหญ่ ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพและภัยคุกคามทางไซเบอร์เป็นหลัก ไม่ครอบคลุมถึงการรุกรานทางความคิดผ่านเครือข่ายสังคมออนไลน์และอธิปไตยทางไซเบอร์
    การศึกษาวิจัยครั้งนี้สรุปได้ว่า ปัญหาในเรื่องความมั่นคงปลอดภัยไซเบอร์ของประเทศ แบ่งออกเป็น 2 ปัญหาใหญ่ ประกอบด้วย 1) ความไม่พร้อมในการปกปูอง ปูองกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ และ 2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social media” กลายเป็น “Soft power ” และ การรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ
    ทางผู้วิจัยจึงได้เสนอแนะกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย 5 มิติ ตามกรอบแนวคิด CMM ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies และเสนอแนะให้จำแนกแนวทาง การพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

    ABSTRACT
    Title The national cybersecurity, the problem of cyber sovereignty, long-term national security impact and national strategy formulation guidelines
    Field Strategy / Science and Technology
    Name Mr. Prinya Hom-Anek Course NDC Class 62 This research paper was to study the national cybersecurity, the problem of cyber sovereignty, long-term national security impact and national strategy formulation guidelines prepared with inspiration from my experience in cybersSecurity and observed that the process of maintaining cybersecurity in Thailand in the past focus on defense of physical attacks on the Internet and networks. In addition to today’s world where international platforms and social media have increasingly played a role in changing the behavior and decision-making of people of the nation. It is in line with the global awareness that these problems lead to cognitive and mental aggression of people. The so-called “cyber sovereignty” problem is emerging all over the world which directly affects the economy and society of various countries, as well as the “National Security”, the researcher sees that this study will help Thailand understand the problems and impacts of aggression. “Cyber sovereignty” to be able to apply the conceptual framework developed by studying the framework for creating a strategy for solving problems. “Cyber sovereignty” is an internationally recognized concept. Let’s improve the 20-year National Strategy (2018 – 2037) and the NCS’s the National Cybersecurity

    โปรดติดตามตอนต่อ ๆ ไป ซึ่งมีรายละเอียดที่น่าสนใจมากมาย..

    ขอขอบคุณอาจารย์ปริญญา หอมเอนก เป็นอย่างยิ่งมา ณ ที่นี้อีกครั้งครับ

     

    Cyber Security Strategy and Enablers 2

    ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ

    จากภาพแรกของเนื้อหาในตอนแรก ผมได้ชวนคุยเกี่ยวกับ กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ที่เกี่ยวข้องกับ 8 Enablers และทุก Enablers ที่เป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จที่สามารถสร้างความเชื่อมั่นให้ผู้มีส่วนได้เสีย ที่คณะกรรมการของทุกองค์กร รวมทั้งรัฐวิสาหกิจที่มีบทบาทสำคัญในการกำกับดูแลกิจการให้นำไปสู่ Digital Governance หรือ Governance Outcome ที่สามารถเข้าใจได้ง่ายๆ คือ

    1. สามารถปรับตัวได้ภายใต้ปัจจัยการเปลี่ยนแปลงต่าง ๆ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไป โดยเฉพาะอย่างยิ่งสภาพแวดล้อมทางด้านเทคโนโลยีที่เกี่ยวกับ digital
    2. สามารถแข่งขันได้ และมีผลประกอบการที่ดี โดยคำนึงถึงผลกระทบที่เกี่ยวข้องกับกรอบการดำเนินงานทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการ Digital ระดับองค์กรหรือระดับประเทศ
    3. เป็นประโยชน์ต่อสังคม และประชาชนโดยทั่วไป และพัฒนาหรือลดผลกระทบทางด้านลบต่อสิ่งแวดล้อม
    4. มีการกำกับดูแล (Digital Governance/Governance) ที่ทำให้มั่นใจได้ว่า ความต้องการเงื่อนไข และทางเลือกงของผู้มีส่วนได้เสีย เพื่อกำหนดวัตถุประสงค์ที่องค์กรหรือประเทศต้องการ ให้บรรลุซึ่งความสมดุลและเห็นชอบร่วมกัน และมีการกำหนดกรอบทิศทาง ผ่านลำดับความสำคัญและการตัดสินใจ รวมทั้งเฝ้าติดตามผลการดำเนินงานและการปฏิบัติที่เปรียบเทียบกับทิทศทางและวัตถุประสงค์ที่ตกลงร่วมกัน
    5. มีการบริหารจัดการ (Management) ที่ผู้กำกับได้ประเมินผล สั่งการ และเฝ้าติดตาม กิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance Body) เพื่อให้บรรลุวัตถุประสงค์ระดับประเทศ และระดับองค์กร
    6. มีการกำหนดความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้องกับการได้รับผลประโยชน์ ที่คำนึงถึงความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุด
    7. สร้างความมั่นใจให้กับผู้มีส่วนได้เสียในการปรับปรุง เปลี่ยนแปลง ส่วนเสริมความรู้ นวัตกรรม และการประกอบธุรกิจอย่างมีความรับผิดชอบ
    8. อื่นๆ ที่เกี่ยวข้องกับการเปลี่ยนแปลง Transform ให้เหนือกว่า (beyond) เพียงการปฏิบัติตามระเบียบ ข้อบังคับ ประกาศ คำสั่ง กฎเกณฑ์ กฎหมาย และมาตรฐานสากล (Conformance)

    Digital/Data Governance and Big Data Management to Value Creation

    ตามที่ผมได้กล่าวข้างต้นในเรื่องที่เกี่ยวข้องกับปัจจัยเอื้อหลักตามแนวทางของ สคร. ที่ได้กำหนดให้รัฐวิสาหกิจปฏิบัติ ซึ่งพิจารณาได้ว่า เป็น Compliance ที่รัฐวิสาหกิจต้องปฏิบัติ ตั้งแต่ปีงบประมาณ 2563 นั้น เป็นเพียงกรอบการให้คำแนะนำพื้นฐานโดยทั่วไป เพื่อให้รัฐวิสาหกิจประสบความสำเร็จโดยทั่วไป บรรลุเป้าประสงค์ที่ดีเพื่อการเติบโตอย่างยั่งยืน และสามารถเปลี่ยนแปลง (Tranformation) ให้สัมพันธ์กับสภาพแวดล้อมและวิวัฒนาการทางเทคโนโลยี/Digital ที่มีวิวัฒนาการอย่างรวดเร็วทำให้หน่วยงานทั้งภาครัฐและภาคเอกชนที่ไม่สามารถปรับปรุงและเปลี่ยนแปลง Business Model ให้เหมาะสมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความอยู่รอด มีผลกระทบต่อความเสี่ยงในระดับที่ไม่อาจยอมรับได้

    การกำหนดเป้าหมายที่เกี่ยวข้องกับ IT/Digital ที่ส่งทอดไปยังเป้าหมายของปัจจัยเอื้ออื่นๆ

    การบรรลุเป้าหมายต่างๆ ของรัฐวิสาหกิจที่เกี่ยวข้องกับ Digital/IT จำเป็นต้องมีระบบงานที่ทำงานได้ดีและใช้เป็นปัจจัยเอื้อ ซึ่งรวมถึงกระบวนการ โครงสร้างการจัดองค์กร และสารสนเทศ (Information/Digital) และได้มีการกำหนดเป้าหมายสำหรับปัจจัยเอื้อแต่ละประเภทที่สนับสนุนเป้าหมายที่เกี่ยวข้องกับ IT/Digital

    ท่านผู้อ่านครับ มาถึงตอนนี้ ผมกำลังพาท่านผู้อ่านเชื่อมโยงไปยังการบูรณาการของ 8 Enablers ที่เป็นปัจจัยหลักที่ผลักดันโดย สคร. กระทรวงการคลัง ให้รัฐวิสาหกิจต้องมีการกำกับ การบริหาร การปฏิบัติการในแต่ละ Enablers ให้มีศักยภาพในตัวของมันเอง และยังต้องเชื่อมโยงกระบวนการของทั้ง 8 Enablers ดังกล่าวข้างต้นเข้าด้วยกันเป็นหนึ่งเดียว ที่เรียกว่า Integrated Enablers หรือการบูรณาการของปัจจัยหลักแต่ละมิติให้เป็นหนึ่งเดียวกันผ่าน Data-Information-Cybersecurity ที่เป็นเรื่องเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูล และความพร้อมใช้งานที่เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งปัจจุบันรวมๆ เรียกว่า ความมั่นคงปลอดภัยของระบบ Cybersecurity ที่เป็นส่วนหนึ่งของ Intregrated Governance ที่ประกอบด้วย Corporate Governance + IT Governance + Cybersecurity Governance

    นอกจากนั้น มีหลายกรณีที่เมื่อกล่าวถึงธรรมาภิบาล ซึ่งเดิมเรียกว่า Governance นั้น ปัจจุบันเมื่อพูดถึงคำๆ นี้ หรือพูดเพียงคำว่า Cybersecurity Governance ก็จะหมายความรวมไปถึง คำว่า GRC และ Integrated GRC หรือ IGRC ซึ่งผมขออธิบายเพิ่มเติมอีกสักเล็กน้อยนะครับว่า ลำพังคำว่า G = Governance ตามนัยที่กล่าวข้างต้นนั้น ถ้าลองสังเกตและวิเคราะห์ดูเบื้องต้นนะครับว่า เพียงคำนี้คำเดียวหมายถึงอะไร ครอบคลุมเรื่องอะไรบ้าง ซึ่งผมได้พูดถึงตามวรรคข้างต้นแล้วนะครับ

    อ้าว! แล้วคำว่า IGRC หรือ GRC ละครับ มันหมายความว่าอะไรกันแน่ ผมกำลังจะอธิบายในมุมมองของผมต่อไปว่า ลำพังคำว่า การกำกับดูแลกิจการที่ดี หรือ Governance ตามที่กล่าวที่มีวัตถุประสงค์ในการสร้างคุณค่าเพิ่ม (Value Creation) ให้กับผู้มีส่วนได้เสีย ซึ่งเป็นความรับผิดชอบ (Acountability) ของผู้บริหารสูงสุดหรือคณะกรรมการในองค์กร หรือรัฐมนตรีของหน่วยงานภาครัฐ ในกระทรวง ทบวง กรม นั้น จะเกิดขึ้นไม่ได้หากขาดกระบวนการบริหารความเสี่ยง (ERM-Enterprise Risk Managment) รวมทั้ง การปฏิบัติตามระเบียบ ข้อบังคับ ประกาศ คำสั่ง กฎเกณฑ์ กฎหมาย และมาตรฐานสากล (Conformance) นั่นคือที่มาของคำว่า IGRC – Integrated Governance + Risk Managment + Compliance นั่นเอง

    ผมอาจจะอธิบายยาวไปสักเล็กน้อย ก็เพื่อสร้างความเข้าใจให้กับผู้ที่สนใจคำต่างๆ และความเกี่ยวเนื่องกับความหมายของคำต่างๆ ไปสู่การสร้างคุณค่าเพิ่มในมิติของคำว่า Governance และ Digital Governance ครับ

    นอกจากนี้ ขออนุญาตพูดต่อไปอีกเล็กน้อยว่า Risk Management กับ Compliance นอกจากเป็นส่วนประกอบในการสร้างคุณค่าเพิ่มที่สร้างความน่าเชื่อถือให้กับผู้มีส่วนได้เสียตามหลักการของ Governance แล้ว ทั้ง 3 คำนี้ จึงเป็นคำนิยมที่ใช้กันโดยทั่วไป เพื่อป้องกันมิให้ผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน ลืมถึงองค์ประกอบทั้ง 3 ที่เกี่ยวพันกันอย่างแยกไม่ได้นั่นเองครับ

    กระบวนการกำกับ การบริหาร การปฏิบัติการแบบบูรณาการ

    เป้าหมายของการบูรณาการ หรือการเชื่อมโยง 8 Enablers ตามที่กล่าวข้างต้นให้เป็นหนึ่งเดียวกันนั้น เมื่อมาถึงขั้นตอนนี้ ท่านผู้อ่านคงจะสังเกตเห็นแล้วนะครับว่า คำว่า Digital/Data Governance ที่มีองค์ประกอบหลักๆ ตามที่ได้กล่าวข้างต้น มีสารสนเทศที่เกี่ยวข้องกับทุก Enablers ซึ่งทุก Enablers นั้น จะเชื่อมโยงกันด้วยสารสนเทศและกระบวนการในแต่ละเป้าหมายแต่ละระดับองค์กร และเป้าหมายที่เกี่ยวข้องกับ IT/Digital ในมิติของการวัดแบบสมดุลที่เรียกกันว่า Balanced Scorecard_BSc. ที่มี 4 มิติ ซึ่งได้แก่ 1) การวัดผลสัมฤทธิ์ทางด้านการเงิน 2) ทางด้านลูกค้า ซึ่งเรียกว่า Lag Indicator ที่ใช้เป็นตัวชี้วัดตามผลสัมฤทธิ์ที่เกิดจากมิติของ Lead Indicator เพื่อให้เกิดการวัดผลแบบสมดุล ซึ่งเป็นตัวชี้วัดนำที่เรียกว่า 3) การกระบวนการปรับปรุงภายใน และ 4) การเรียนรู้และการเติบโต โดยมีเป้าหมายระดับองค์กร และเป้าหมายระดับ IT/Digital 17 เป้าหมายด้วยกัน จึงสามารถนำเชื่อมโยงไปสู่กระบวนการที่เกี่ยวข้องของการนำเป้าหมายสารสนเทศ และเทคโนโลยีที่เกี่ยวข้องทางด้าน IT/Digital เข้าไป Mapping กับเป้าหมายระดับองค์กร/ธุรกิจ ตามกรอบการดำเนินงานขององค์กร/ธุรกิจ ซึ่งเป็นไปตามหลักการของ COBIT5 ซึ่งยังใช้ได้ดี ถึงแม้จะเปลี่ยนเป็น COBIT2019 แล้วก็ตาม

    ซึ่งตอนนี้ผมอยากจะกล่าวต่อไปว่า คำว่า การกำกับดูแล (Governance) ได้กลายมาเป็นความคิดของธุรกิจในระดับแนวหน้า ที่แสดงให้เห็นถึงความสำคัญของการกำกับดูแลกิจการที่ดี และในทางกลับกันก็สะท้อนให้เห็นถึงความล้มเหลวขององค์กร/ธุรกิจ อันเกิดจากการละเลยการกำกับดูแลกิจการที่ดี ซึ่งเป็นประเด็นสำคัญและอาจเปรียบเทียบได้กับการติดกระดุมเม็ดแรกในการสร้างกรอบการกำกับดูแลทางด้าน Digital เพื่อองค์กร/ธุรกิจที่ต้องอิงหลักการที่เป็นสากลใช้และปฏิบัติกันอยู่โดยทั่วไป และโดยสรุปก็อาจกล่าวได้ว่า หลักการปฏิบัติที่ดีและเป็นสากลนั้น ใช้เป็นกรอบการกำกับการบริหาร รวมทั้งการปฏิบัติงานเป็นหลัก ซึ่งจะเชื่อมด้วยการบรรลุความต้องการของผู้มีส่วนได้เสียไปสู่การสร้างเป้าหมายระดับองค์กร และส่งทอดไปยังเป้าหมาย IT/Digital และเป้าหมายของปัจจัยเอื้อ (Enablers) นั่นเอง

    อาจจะสรุปในเบื้องต้นในเรื่องการกำกับ การบริหาร และการปฏิบัติการ เพื่อเป็นไปตามวัตถุประสงค์ของ 8 Enablers ในการเชื่อมเป้าหมายของทุก Enablers ไปยัง Digital/Data Governance นั้น เราควรจะเน้นถึงแผนงาน โครงสร้าง ขององค์กรหรือรัฐวิสาหกิจ รามเป้าหมายของการเขียนครั้งนี้ว่า มีคุณภาพและศักยภาพ และเป้าหมายที่มุ่งไปสู่ผลสัมฤทธิ์ของแต่ละ Enablers และทุก Enablers ได้เชื่อมโยงไปสู่เป้าหมายที่เกี่ยวข้องกับ Digital ที่เชื่อมโยงไปยังเป้าหมายระดับองค์กรหรือของแต่ละรัฐวิสาหกิจอย่างไร

    เมื่อถึงตอนนี้ หากองค์กรหรือรัฐวิสาหกิจ ไม่ตั้งมิติของการวัดผลแบบสมดุล-BSc. ตามที่ได้กล่าวข้างต้น การประเมินผล (Evaluate) การสั่งการ (Direct) และการเฝ้าติดตาม (Monitoring) ของกิจกรรมตามโครงการ และตามแผนงานต่างๆ อาจก่อให้เกิดความสับสนและไม่เป็นหนึ่งเดียวของการสร้างความเข้าใจ ในกระบวนการกำกับของ Governance Body หรือ Regulatory Body และไม่สะท้อนหรือไม่เชื่อมโยงไปยัง Mission – Vision – Strategy – Policy – Risk Appetite ระดับองค์กรและ/หรือระดับประเทศ ที่เกี่ยวข้องอย่างมีนัยสำคัญ

    ทำความเข้าใจกับ Data Governance and Data Management บางมุมมอง

    คุณสมบัติของ Data และ Information จำเป็นต้องมีคุณสมบัติที่ดีเพราะข้อมูลหรือสารสนเทศต่างๆ รวมทั้งการควบคุมความเสี่ยงที่เกิดจากการไม่มีคุณสมบัติที่ดีของสารสนเทศ หรือ cyber ที่เกี่ยวข้องกับ 8 enablers นั้นมีความสำคัญอย่างยิ่งยวดที่จะทำให้แผนงานและโครงการต่างๆ ที่โยงใยไปจาก data governance นั้น มีผลทางลบต่อ digital governance ทั้งองค์กร

    ดังนั้น เรามาทำความเข้าใจกับคุณสมบัติที่ดีของสารสนเทศ ดังคำอธิบายที่เกี่ยวข้องดังนี้

    ความมีความประสิทธิผล – สารสนเทศจะมีประสิทธิผล ถ้าสามารถบรรลุความต้องการของผู้ใช้สารสนเทศ ซึ่งใช้สารสนเทศสำหรับภารกิจเฉพาะหนึ่งๆ ถ้าผู้ใช้สารสนเทศสามารถปฏิบัติภารกิจด้วยการใช้สารสนเทศนั้น ก็แสดงว่าสารสนเทศนั้นมีประสิทธิผล ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องจำนวนที่เหมาะสมของความเกี่ยวเนื่อง เข้าใจได้ง่าย สามารถแปลความหมายได้และเที่ยงตรง

    ความมีประสิทธิภาพ – ในขณะที่ความมีประสิทธิผลจะมองสารสนเทศเป็นผลลัพธ์ ประสิทธิภาพจะเกี่ยวข้องกับกระบวนการในการได้มาและการใช้สารสนเทศ ดังนั้น จึงสอดคล้องกับมุมมองที่ว่า “สารสนเทศเป็นการให้บริการ” (Information as service) ถ้าสารสนเทศตรงกับความต้องการของผู้ใช้สารสนเทศและใช้ได้อย่างสะดวกสบาย (เช่น ใช้ทรัพยากรน้อย ไม่ว่าจะเป็นการลงแรง การใช้ความคิด เวลา และเงิน) ก็เรียกได้ว่าการใช้งานสารสนเทศนั้นมีประสิทธิภาพ ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความน่าเชื่อถือ การเข้าถึงได้ ความง่ายในการใช้งานและชื่อเสียง

    ความถูกต้องสมบูรณ์ – ถ้าสารสนเทศมีความถูกต้องสมบูรณ์ ก็หมายถึงสารสนเทศนั้นครบถ้วนและไม่มีความผิดพลาด ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความครบถ้วนและถูกต้อง

    ความเชื่อถือได้ – ความเชื่อถือได้มักจะถูกมองว่ามีความหมายเช่นเดียวกับคำว่า ความถูกต้อง อย่างไรก็ตาม เราอาจกล่าวได้ว่า สารสนเทศมีความเชื่อถือได้หากเป็นเรื่องจริงและได้อย่างต้องและวางใจได้ หากเปรียบกับความถูกต้องสมบูรณ์ ความเชื่อถือได้เป็นเรื่องของดุลพินิจซึ่งขึ้นกับมุมมองของแต่ละบุคคล ไม่ได้มองเพียงข้อเท็จจริงอย่างเดียว ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความน่าเชื่อถือ ชื่อเสียง ความเที่ยงตรง

    ความพร้อมใช้ – ความพร้อมใช้ เป็นหนึ่งในเป้าหมายด้านคุณภาพของสารสนเทศภายใต้หัวข้อการเข้าถึงได้และความมั่นคงปลอดภัย

    การรักษาความลับ – การรักษาความลับ สัมพันธ์กับเป้าหมายด้านคุณภาพของสารสเทศในเรื่องของการจำกัดการเข้าถึง

    การปฏิบัติตาม – การปฏิบัติตาม ใช้ในความหมายที่สารสนเทศต้องสอดคล้องกับ ข้อกำหนดต่างๆ ซึ่งเป็นส่วนหนึ่งของเป้าหมายด้านคุณภาพของสารสนเทศที่ขึ้นอยู่กับข้อกำหนดที่มีการปฏิบัติตามกฎระเบียบข้อบังคับ มักจะเป็นเป้าหมายหรือข้อกำหนดในการใช้สารสนเทศ ซึ่งไม่ค่อยเกี่ยวเนื่องกับคุณภาพของสารสนเทศ

    สำหรับการส่งทอดเป้าหมายที่เกี่ยวข้องกับ Digital Governance ในภาพโดยรวมที่ส่งทอดไปยังเป้าหมายของ Enablers ทั้ง 8 ที่ใช้มิติการวัดผลแบบสมดุล ระหว่างเป้าหมายระดับองค์กรกับเป้าหมายที่เกี่ยวกับ IT/Digital นั้น ตามที่ผมได้กล่าวแล้วว่า คณะกรรมการและผู้บริหารระดับสูงต้องมีแนวทางกำกับและการบริหารและการติดตามผลอย่างเข้มงวดที่เกี่ยวกับแผนงานและโครงการที่ควร/ต้องมีความสัมพันธ์กับพันธกิจ วิสัยทัศน์ นโยบาย กลยุทธ์ และความเสี่ยงที่ยอมรับได้ ในระดับหน่วยงานย่อยและในระดับองค์กร หรือในระดับประเทศแล้วแต่กรณี จะได้นำมาอธิบายในตอนต่อไปนะครับ

     

    Cyber Security Strategy and Enablers 1

    กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ

    ในการประเมินศักยภาพและความสามารถของรัฐวิสาหกิจ ที่ได้มาตรฐานการกำกับและการบริหารที่ยอมรับได้ ตั้งแต่ปี 2563 เป็นต้นไปนั้น จะมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ นั่นคือ ได้มีการประกาศใช้พระราชบัญญัติการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจ (พ.ร.บ. พัฒนารัฐวิสาหกิจฯ) เมื่อวันที่ 19 พฤษภาคม 2562 ซึ่งถือเป็นหัวใจสำคัญของการปฏิรูปรัฐวิสาหกิจไทย โดย พ.ร.บ. พัฒนารัฐวิสาหกิจฯ ดังกล่าวได้กำหนดวัตถุประสงค์สำคัญในการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจไว้ 4 ประเด็น ซึ่งรวมถึงการส่งเสริมให้รัฐวิสาหกิจดำเนินการอย่างมีประสิทธิภาพ โปร่งใส สอดคล้องกับหลักการกำกับดูแลกิจการที่ดี และมีการประเมินผลการดำเนินการอย่างต่อเนื่อง

    สคร. เห็นถึงความจำเป็นของการพัฒนาระบบประเมินผล เพื่อพัฒนาต่อยอดจากโครงการระบบประเมินผลเดิมที่สามารถใช้เป็นเครื่องมือในการกำกับ ติดตาม ประเมินผลการดำเนินงานรัฐวิสาหกิจที่มีความเหมาะสม เป็นรูปธรรม และสามารถสะท้อนถึงความมีประสิทธิภาพในการดำเนินงานได้อย่างแท้จริง โดยได้พิจารณานาข้อดี/จุดแข็ง ของระบบปัจจุบันที่มีมาใช้ ปรับปรุงข้อด้อยของระบบปัจจุบัน รวมทั้งปรับปรุง เพิ่มเติมประเด็นของการจัดการสมัยใหม่และ Update ให้เป็นปัจจุบัน และจะนำมาใช้ในการประเมินผลรัฐวิสาหกิจในปี 2563 โดยมีวัตถุประสงค์ เพื่อส่งเสริมให้รัฐวิสาหกิจตอบสนองกับสภาพแวดล้อมในการดำเนินภารกิจ/ธุรกิจ การแข่งขัน ความต้องการของผู้ใช้บริการ และ บริบทที่เปลี่ยนแปลงไป เช่น การเปลี่ยนแปลงของเทคโนโลยีดิจิทัล เป็นต้น รวมถึงนโยบายสาคัญ เช่น ไทยแลนด์ 4.0 ที่ต้องการขับเคลื่อนประเทศด้วยความคิดสร้างสรรค์และนวัตกรรมด้วยการดำเนินงาน ที่มีประสิทธิภาพ โปร่งใส ตรวจสอบได้

    กรอบการประเมินผลการดำเนินงานรัฐวิสาหกิจ ปีบัญชี 2563 แบ่งออกเป็น 2 ส่วน ดังนี้
    1. ผลการดำเนินงาน (Key Performance Area) (นำหนักร้อยละ 60 +/- 15) ได้แก่
    1) การดำเนินงานตามยุทธศาสตร์ เช่น ยุทศาสตร์ชาติ, นโยบายรัฐบาล, แผนยุทธศาสตร์ของรัฐวิสาหกิจ ฯลฯ
    2) ผลการดำเนินงานที่สาคัญ (Key Result) เช่น ผลการดำเนินงานตามภารกิจที่สาคัญ, แผนงานโครงการที่สาคัญที่สะท้อนประสิทธิภาพ ประสิทธิผล ผลสัมฤทธิ์ ฯลฯ

    2. กระบวนการปฏิบัติงานและการจัดการ (Enablers) (นำหนักร้อยละ 40 +/- 15)

    ทั้งนี้ มีองค์ประกอบที่อาจเรียกได้ว่าเป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) 8 ด้าน คือ

    1) การกำกับดูแลที่ดีและการนำองค์กร (Corporate Governance & Leadership)

    2) การวางแผนเชิงยุทธศาสตร์ (Strategic Planning)

    3) การบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control)

    4) การมุ่งเน้นลูกค้าและผู้มีส่วนได้ส่วนเสีย (Stakeholder & Customer)

    5) การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology)

    6) การบริหารทุนมนุษย์ (Human Capital Management)

    7) การจัดการความรู้และนวัตกรรม (Knowledge Management & Innovation Management)

    8) การตรวจสอบภายใน (Internal Audit)

    แผนภาพที่อาจใช้อธิบายเพื่อความเข้าใจโดยย่อ มีดังนี้

    ทั้งนี้ มีรายละเอียดที่ปรากฎใน ร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ของ สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) ผมจึงขอออกความเห็นเป็นการส่วนตัว เพื่อให้เกิดความเข้าใจที่ดี ของหน่วยงานที่ต้องปฏิบัติ (Regulated Entities) ซึ่งก็ได้แก่ รัฐวิสาหกิจที่อยู่ในเกณฑ์ที่ต้องใช้หลักเกณฑ์นี้สำหรับประเมินผลการกำกับและการดำเนินงาน ตั้งแต่ปีบัญชี 2563 เป็นต้นไป ในลักษณะที่หน่วยงานต้องปฏิบัติ ควรจะได้เข้าใจถึงหลักการที่ สคร. ได้นำมาใช้ในการประเมินผล ที่ได้อ้างอิงถึงหลักการสากลที่เป็นทั้ง Best Practice และที่เป็นมาตรฐานสากลที่เกี่ยวข้อง เช่น COBIT, COSO, ฯลฯ ที่รัฐวิสาหกิจพึงนำมาประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมและบริบทต่างๆ ที่เกี่ยวข้อง ในลักษณะบูรณาการ Enabler ทั้ง 8 ด้าน ในภาพใหญ่ และในภาพย่อย ด้วยความเข้าใจจริงเป็นสำคัญ

    หากท่านผู้อ่านได้ดูภาพที่ปรากฎข้างต้นก็จะพบว่า Enabler หลักทั้ง 8 ด้าน ในการกำกับและการบริหาร นอกจากจะต้องให้มีประสิทธิภาพและประสิทธิผลในตัวเองของมัน ในแต่ละเรื่องหรือในแต่ละ Enabler แล้ว ยังจะต้องบูรณาการทุก Enabler ให้มีความสัมพันธ์ซึ่งกันและกัน และต้องสอดคล้องกับปัจจัยหลักที่สำคัญยิ่งยวดเหนือสิ่งอื่นใดก็คือ Governance – GRC และ Cyber Security Governance – Strategy ที่เกี่ยวข้อง

    ดังนั้น ภาพดังกล่าวจึงช่วยให้คณะกรรมการรัฐวิสาหกิจและผู้บริหาร รวมทั้งผู้ปฏิบัติแต่ละแห่ง เข้าใจได้ถึงขอบเขตและกรอบการดำเนินงานในภาพใหญ่โดยรวมตามที่กล่าวข้างต้น ทั้งนี้ ผู้เกี่ยวข้องจะต้องอ่านรายละเอียดจากร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ให้ละเอียดตรงกับหลักการและวัตถุประสงค์ของคณะกรรมการประเมินผลฯ

    ในตอนแรกนี้ ผมจะขอเน้นในเรื่องที่เกี่ยวข้องกับ Cyber Security Strategy Governance/Framework ซึ่งในที่นี้ใคร่ขอย้ำว่า ในอดีตเรียกว่า “Information Governance” ซึ่งเป็นหนึ่งในหมวดว่าด้วย Governance นั่นเอง ทั้งนี้ใคร่ขออธิบายด้วยภาพเบื้องต้นดังต่อไปนี้

     

    <

    จากภาพที่ 2 มีลักษณะอธิบายในตัวของมันเองถึง การใช้หลักการ Governance ที่อ้างอิง ISO กับ COBIT และบทบาทของผู้มีหน้าที่กำกับ (Governing Body/Regulator) และผู้มีหน้าที่ที่เกี่ยวข้องในเรื่องการบริหาร กระบวนการ และกิจกรรมต่างๆ ที่เกี่ยวข้อง โดยแยกเรื่อง Governance ออกจาก Management ที่เชื่อมโยงกับ 8 Enablers ในภาพใหญ่ตามภาพนะครับ

    ภาพนี้แสดงถึงการเชื่อมโยงแต่ละ Enabler เข้ากับหลักการ COBIT ซึ่งผมได้เคยเขียนถึงก่อนหน้านี้แล้ว


    ภาพที่ 4 แสดงถึง COBIT 5 Principle ซึ่งยังใช้ได้ดี ถึงแม้ ISACA จะออก version ใหม่มาแล้ว เรียกว่า COBIT 2019 แล้วก็ตาม ทั้งนี้ตามภาพได้เชื่อมหลักการกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จย่อยที่เป็นตัวเสริมความสำเร็จในการกำกับและบริหาร ทั้ง 8 Enablers ด้วยนะครับ

    ในตอนต่อไปผมจะลงในรายละเอียดที่เกี่ยวข้องกับหลักการที่สำคัญ เพื่อสร้างความเข้าใจในทางปฏิบัติที่เกี่ยวข้องกับ Cyber Security Strategy และความเชื่อมโยงกับ governance และ Management ในมุมมองของหลักการใหญ่และหลักการย่อย รวมทั้ง ความหมายของคำว่า “Apply or Explain” ที่ใช้ในการประเมินผลรัฐวิสาหกิจปี 2563 ต่อไปครับ

     

    บทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง)

    พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

    ก่อนที่ผมจะแลกเปลี่ยนความคิดเห็นเกี่ยวกับบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ที่สัมพันธ์กับ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

    บทบาทของผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน จาก Regulatory Body/Regulators ที่ไปกำกับหน่วยงานที่เกี่ยวข้อง (Regulated Entities) เพื่อสนองตอบความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้ัองตาม พรบ. ไซเบอร์นี้นั้น ผมได้นำบางส่วนที่สำคัญของ พรบ. นี้ มาเกริ่นนำให้ท่านได้ทราบเนื้อหาและความสำคัญ ก็เพราะสิ่งที่ผมจะได้กล่าวต่อไปนี้จะเกี่ยวข้องกับ

    Responsibility : ผู้มีหน้าที่ปฎิบัติงานที่มีความรู้ความสามารถ ศักยภาพ/ที่ได้รับมอบหมายจากผู้กำกับหรือผู้บริหารสูงสุด (Regulatory Body/Regulators) ของหน่วยงาน

    Accountability : ผู้มีหน้าที่ตัดสินใจและความรับผิดชอบระดับงานสูงสุดตาม พรบ. ไซเบอร์ หรือของหน่วยงาน เช่น การกำหนดวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ความเสี่ยงในระดับที่องค์กร/หน่วยงานยอมรับได้ (Risk Appetite) แผนงาน/โครงการต่างๆ ที่เกี่ยวข้อง ผลการดำเนินงาน (Performance) ที่ได้ดุลยภาพกับการปฏิบัติตามกฎหมาย/พรบ.ฯ มาตรฐาน ประกาศ คำสั่ง และระเบียบต่างๆ (Conformance) รวมทั้งมีหน้าที่และความรับผิดชอบในการประเมินผล (Evaluate) สั่งการ (Direct) เฝ้าติดตามผล (Monitor) เพื่อให้บรรลุวัตถุประสงค์โดยรวมขององค์กร/หน่วยงาน

    Consulted : ผู้มีหน้าที่ให้คำแนะนำในกระบวนการที่ต้องใช้ข้อมูล/สารสนเทศ/ธรรมาภิบาลด้านไซเบอร์ ขั้นตอนและกระบวนการประมวลข้อมูลฯ และความมั่นคงปลอดภัยไซเบอร์ ตลอดถึงผลลัพธ์และประโยชน์ที่จะได้รับ

    Informed : ผู้ใช้ข้อมูลในการตัดสินใจหรือใช้ประโยชน์จากข้อมูล/สารสนเทศ/ความมั่นคงปลอดภัยไซเบอร์ รวมทั้งการพัฒนางานอย่างต่อเนื่อง เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียที่เกี่ยวข้องอย่างได้ดุลยภาพ

    ดังนั้น จากประกาศที่มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 27 พฤษภาคม 2562 พระราชบัญญัตินี้ มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๒๘ มาตรา ๓๒ มาตรา ๓๓ มาตรา ๓๔ มาตรา ๓๖ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายเหตุผล และความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ และเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ อันกระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ ซึ่งการตราพระราชบัญญัตินี้ สอดคล้องกับเงื่อนไข ที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้ โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติทำหน้าที่รัฐสภา (คัดลอกและคัดเลือกมาบางส่วนเพื่อใช้ประกอบในการเขียนบทความนี้ ตามหัวข้อข้างต้น)

    ก่อนที่ท่านผู้อ่านจะได้อ่านจากความคิดเห็นของผมเกี่ยวกับบทบาทของผู้กำกับและผู้บริหาร พรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ผมได้โปรยหัวข้อที่มีความสำคัญที่ผมตั้งใจที่จะแบ่งปันในเรื่องนี้ก็คือ ทั้งหน่วยงานกำกับ และหน่วยงานที่ได้รับการกำกับ จะต้องระบุหน้าที่ในเรื่องที่เกี่ยวกับ Accountability, Responsibility, Consulted และ Informed ของแต่ละกระบวนการ (Process) และกิจกรรม (Activity) ให้ชัดเจนที่สามารถติดตามผลการปฏิบัติงานที่เป็นระบบ และใช้เป็นกรอบในการดำเนินการตาม พรบ.ไซเบอร์ ในการบริหารจัดการกระบวนการทางไอที ในระดับประเทศ และระดับองค์กรได้อย่างเหมาะสม ซึ่งมีรายละเอียดค่อนข้างมากนะครับ

    เพราะการสร้างคุณค่าเพิ่ม (Value Creation) หน่วยงานกำกับและหน่วยงานที่ได้รับการกำกับ ควรจะมีความเข้าใจตรงกันในบทบาทที่เกี่ยวข้อง นั่นคือ องค์ประกอบที่สำคัญของ Governance ที่ต้องประกอบด้วยผลประโยชน์ที่ผู้มีส่วนได้เสียจะได้รับ ควบคู่และบูรณาการกันกับการบริหารความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุดที่จะถ่ายทอดเป้าหมายไปสู่ระดับองค์กร และถ่ายทอดต่อไปยังเป้าหมายที่เกี่ยวข้องกับไอที และถ่ายทอดต่อไปยังเป้าหมายของปัจจัยเอื้อ ที่จะผลักดันให้องค์กรประสบความสำเร็จ ซึ่งได้แก่ ผู้กำกับและผู้ได้รับการกำกับตาม พรบ.ไซเบอร์ นี้ จะต้องมีหลักการที่ได้รับการยอมรับกันเป็นสากล ในการใช้เป็นธงนำในการสร้าง Value Creation ต่อผู้มีส่วนได้เสีย และมีปัจจัยเอื้อที่หลีกเลี่ยงไม่ได้ เพราะมีความสำคัญอย่างยิ่งยวดต่อกระบวนการและระบบการกำกับการบริหารงานตาม พรบ.ไซเบอร์ 7 เรื่อง คือ 1) หลักการ นโยบาย และกรอบการดำเนินงาน ที่สัมพันธ์กันกับข้ออื่นๆ อีก 6 ข้อ คือ 2) กระบวนการ 3) โครงการ 4) วัฒนธรรม จริยธรรม และพฤติกรรม 5) สารสนเทศ 6) บริการ โครงสร้างพื้นฐาน และระบบงาน และ 7) บุคลากร ทักษะ และศักยภาพ

    ที่มา : www.coso.org

    สำหรับมาตราต่างๆ ต่อจากนี้ไป ที่ผมคัดเลือกมาบางส่วนนั้น ได้แก่

    มาตรา ๓ ในพระราชบัญญัตินี้ “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

    “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

    “ไซเบอร์” หมายความรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียม และระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

    “หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาคราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระองค์การมหาชน และหน่วยงานอื่นของรัฐ

    “ประมวลแนวทางปฏิบัติ” หมายความว่า ระเบียบหรือหลักเกณฑ์ที่คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์กำหนด

    “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” หมายความว่าเหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใด ๆ ที่มิชอบซึ่งกระทำการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

    “มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

    “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชน ใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ

    หมวด ๑ คณะกรรมการ

    ส่วนที่ ๑ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

    มาตรา ๕ ให้มีคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กมช.” และให้ใช้ชื่อเป็นภาษาอังกฤษว่า“National Cyber Security Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย
    (๑) นายกรัฐมนตรี เป็นประธานกรรมการ
    (๒) กรรมการโดยตำแหน่ง ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ
    (๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินเจ็ดคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

    มาตรา ๙ คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้
    (๑) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและสนับสนุนการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา ๔๒ และมาตรา ๔๓ ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ ซึ่งต้องเป็นไปตามแนวทางที่กำหนดไว้ในมาตรา ๔๒
    (๒) กำหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
    (๓) จัดทำแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สำหรับเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติ และในสถานการณ์ที่อาจจะเกิด หรือเกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์และแผนระดับชาติและกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ
    (๔) กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกำหนดมาตรฐานขั้นต่ำที่เกี่ยวข้องกับคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชน
    (๕) กำหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
    (๖) กำหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในประเทศและต่างประเทศ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
    (๗) แต่งตั้งและถอดถอนเลขาธิการ
    (๘) มอบหมายการควบคุมและกำกับดูแล รวมถึงการออกข้อกำหนด วัตถุประสงค์ หน้าที่และอำนาจ และกรอบการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้หน่วยงานควบคุมหรือกำกับดูแล หน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
    (๙) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และการรักษาความมั่นคงปลอดภัยไซเบอร์ตามที่บัญญัติไว้ในพระราชบัญญัตินี้
    (๑๐) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
    (๑๑) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

     

    ส่วนที่ ๒ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

    มาตรา ๑๒ ในการดำเนินการตามหน้าที่และอำนาจของคณะกรรมการตามมาตรา ๙ ให้มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กกม.” ประกอบด้วย
    (๑) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ
    (๒) กรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงานปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ
    (๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินสี่คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคนหลักเกณฑ์ และวิธีการสรรหาบุคคลที่เห็นสมควร เพื่อพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด

    มาตรา ๑๓ กกม. มีหน้าที่และอำนาจ ดังต่อไปนี้
    (๑) ติดตามการดำเนินการตามนโยบายและแผนตามมาตรา ๙ (๑) และมาตรา ๔๒
    (๒) ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา ๖๑ มาตรา ๖๒ มาตรา ๖๓ มาตรา ๖๔ มาตรา ๖๕ และมาตรา ๖๖
    (๓) กำกับดูแลการดำเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์
    (๔) กำหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อันเป็นข้อกำหนดขั้นต่ำในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบ หรืออาจก่อให้เกิดผลกระทบ หรือความเสียหายอย่างมีนัยสำคัญหรืออย่างร้ายแรงต่อระบบสารสนเทศของประเทศ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน
    (๕) กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกำกับดูแล โดยอย่างน้อยต้องกำหนดหน้าที่ให้หน่วยงานควบคุมหรือกำกับดูแล ต้องกำหนดมาตรฐานที่เหมาะสม เพื่อรับมือกับภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน่วยงานของรัฐ
    (๖) กำหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์ในแต่ละระดับเสนอต่อคณะกรรมการ
    (๗) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

    ในการกำหนดกรอบมาตรฐานตามวรรคหนึ่ง (๔) ให้คำนึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้
    (๑) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล
    (๒) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น
    (๓) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
    (๔) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์
    (๕) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

    มาตรา ๑๔ ในการดำเนินการตามมาตรา ๑๓ วรรคหนึ่ง (๒) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้ทันท่วงที กกม. อาจมอบอำนาจให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้บัญชาการทหารสูงสุด และกรรมการอื่นซึ่ง กกม. กำหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกำหนดให้หน่วยงานควบคุมหรือกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ถูกคุกคามเข้าร่วมดำเนินการประสานงาน และให้การสนับสนุนด้วยก็ได้ การปฏิบัติตามวรรคหนึ่ง ให้เป็นไปตามระเบียบที่ กกม. กำหนด

    มาตรา ๑๕ ให้นำความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิใน กกม. โดยอนุโลม

    สำหรับตอนแรกของบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) จึงขอเน้นในเรื่อง RACI and Cyber Law ที่เกี่ยวข้องกับ Peple, Process และ Technology ครับ

    ระบบดี คนดี นั้นดีแน่

    ระบบดี คนแย่ พอแก้ไข

    ระบบแย่ คนดี มีทางไป

    ระบบแย่ คนไม่เอาไหน บรรลัยเอย

    ขอโด้โปรดติดตามตอนต่อไปนะครับ

     

    ความเป็นมาของการร่างพรบ. ไซเบอร์ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล

    ผมได้ห่างหายจากการคุยกับท่านผู้อ่านมานาน เพราะได้ให้ความสนใจในเรื่องที่เกี่ยวข้องกับ การพัฒนาการเติบโตอย่างยั่งยืนในแนวการกำกับ การดำเนินงานทางธุรกิจทุกประเภท เพื่อการบริหารการจัดการ IT ที่ดีในระดับองค์กร ที่อาจจะก้าวไปสู่การบริหารจัดการที่ดีในระดับประเทศได้ และในช่วงหลังๆ มีการร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ซึ่งเป็นเรื่องที่มีความสำคัญยิ่งยวดในมุมมองของความมั่นคงระดับประเทศ เศรษฐกิจ การเงิน การลงทุน กระบวนการจัดการ เพื่อมิให้มีปัญหาร้ายแรงในระดับองค์กรที่ส่งผลกระทบต่อระดับประเทศได้ ผลกระทบจากการร่าง พรบ. ทั้งสองนี้ จึงมีเรื่องและสาระสำคัญที่ได้มีการติดตามกันอย่างมากในทุกวงการ

    ผมจะขอไม่ลงรายละเอียดและผลกระทบต่างๆ ในช่วงแรกนี้ ทั้งนี้เพราะการร่าง พรบ. ทั้งสองนี้ ได้มีการเผยแพร่โดยสื่อต่างๆ โดยใช้เวลามายาวนานพอสมควร จนกระทั่งได้ร่าง พรบ. ทั้งสองที่ผ่านคณะกรรมาธิการวิสามัญ หลังจากที่ได้มีการปรับปรุงแก้ไขอย่างมีนัยสำคัญจากฉบับร่างเดิม

    สาระของ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ที่ผ่านกรรมาธิการ และได้รับการปรับปรุงแก้ไขจะมีการขีดฆ่าบนข้อความที่ไม่ใช้ และมีการปรับปรุงเพิ่มเติมข้อความใหม่โดยใช้การขีดเส้นใต้ข้อความที่เพิ่มเติมนั้น เพื่อความสะดวกผมขอนำข้อมูลตามที่ได้กล่าวข้างต้นของ พรบ. ทั้งสอง ที่จะประกาศใช้อย่างเป็นทางการในไม่ช้า มาให้ท่านผู้อ่านที่สนใจได้ติดตามและพิจารณาวิวัฒนาการของการร่าง พรบ. ทั้งสองฉบับ ที่น่าสนใจยิ่ง เพื่อนำไปศึกษาและเตรียมพร้อมในการกำกับ การบริหารจัดการ รวมทั้งการประยุกต์ใช้ให้เหมาะสม ตรงกับเจตนารมณ์ของการร่าง พรบ. ทั้งสอง ที่ควรจะเข้าใจกระบวนการบริหารแบบบูรณาการที่เกี่ยวข้องกับ Governance + Risk Management + Compliance ส่วนรายละเอียดค่อยคุยกันในโอกาสต่อไปนะครับ

    ต่อไปนี้จะเป็นตัวอย่าง รายงานของคณะกรรมาธิการวิสามัญ พิจารณาร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

     

    ร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …

     


     

    ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

    สำหรับท่านผู้สนใจดาวโหลดไฟล์ สามารถคลิ๊กลิงก์ที่นี่ได้เลยค่ะ -> รายงานกรรมาธิการ พิจารณาร่างพรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … และ รายงานกรรมาธิการ พิจารณาร่างพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

     

     

    COSO ERM 2017 กับแนวทางการกำกับ การบริหารยุค Thailand 4.0

    ผมได้ห่างหายในการพูดคุยกับท่านผู้อ่านและเล่าเรื่องราวต่างๆ ในหัวข้ออื่นๆ ที่นอกเหนือจากหัวข้อ CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง จึงขอวกมาคุยและเล่าเรื่องราวต่างๆ ที่เกี่ยวข้องกับการกำกับ การบริหารความเสี่ยงยุคใหม่ ในมุมมองของ COSO ERM 2017 ซึ่งแน่นอนว่าจะแตกต่างจากการบริหารความเสี่ยงในมิติอื่นๆ อยู่บ้าง แต่อย่างไรก็ดี แนวการบริหารความเสี่ยงของ COSO ERM 2017 และมาตรฐานการบริหารความเสี่ยง ตาม ISO31000-2018 และแนวการบริหารความเสี่ยงของ COBIT5 for Risk จะมีจุดเน้น รวมทั้งกรอบแนวคิด กระบวนการจัดการกับการบริหารความเสี่ยงทั่วทั้งองค์กร ที่มีทั้งมุมมองแตกต่างกัน และมีมุมมองที่ใกล้เคียงกัน ซึ่งท่านผู้อ่านควรจะได้ติดตามกระบวนการที่เกี่ยวข้องเพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมต่อไป

    ผมจะไม่เน้นการพูดถึงหลักการและทฤษฎีต่างๆ ที่เกี่ยวข้องกับการบริหารความเสี่ยงของแต่ละค่าย/สถาบัน ตามที่กล่าวข้างต้น แต่จะพูดในภาพรวมทางด้านที่สามารถจะนำไปปฏิบัติได้ตามวัตถุประสงค์ กลยุทธ์ วิสัยทัศน์ และเป้าหมายหลักๆ ขององค์กร ที่เกี่ยวข้องกับความเสี่ยงที่ยอมรับได้ ทั้งนี้เพราะ ความเสี่ยงไม่ได้หมายถึงเหตุการณ์ที่จะก่อให้เกิดความเสียหายหรือการไม่บรรลุวัตถุประสงค์เพียงเท่านั้น แต่ยังหมายถึงโอกาสที่จะสร้างคุณค่าเพิ่ม หรือผลประโยชน์ให้กับผู้มีผลประโยชน์ร่วม (Stakesholder) และสร้างโอกาสและศักยภาพในการพัฒนาเศรษฐกิจ สังคม การลงทุน ตามสภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็ว

    การกำหนดหลักการบริหารความเสี่ยงเพื่อลดระดับความเสี่ยงที่จะเกิดขึ้นกับระดับประเทศ ระดับองค์กร เพื่อสร้างความน่าเชื่อถือในมิติต่างๆ ซึ่งเป็นเรื่องสำคัญอย่างยิ่งยวดในการพัฒนาประเทศ และองค์กรให้เจริญเติบโตอย่างยั่งยืน โดยการกำหนดระดับความเสี่ยงที่ประเทศและองค์กรยอมรับได้ ในเรื่องต่างๆ ที่เกี่ยวข้องนั้น ผู้บริหารระดับประเทศ ผู้บริหารระดับองค์กร ควรจะเข้าใจถึงองค์ประกอบของกระบวนการบริหารความเสี่ยง ที่ต้องมีกระบวนการจัดการที่ชัดเจน และมีการกำกับแบบบูรณาการระหว่างเทคโนโลยีสารสนเทศ กับเป้าประสงค์ระดับประเทศและเป้าประสงค์ระดับองค์กร ซึ่งจะขอขยายความและพูดคุยกันเป็นตอนๆ ไปนะครับ

    ถ้าอย่างนี้ เราลองมาเริ่มต้นพิจารณาถึงการเปลี่ยนแปลงสภาพแวดล้อม เอาแค่ในระดับองค์กรก่อนนะครับ เช่น การปรับเปลี่ยนนโยบาย กลยุทธ์ โครงสร้างองค์กร กระบวนการทำงาน การเปลี่ยนแปลงทรัพยากร ซึ่งหมายถึง Cyber/สารสนเทศ การบริการโครงสร้างพื้นฐานและระบบงาน รวมทั้งบุคลากร ทักษะ และศักยภาพของบุคลากรระดับต่างๆ ที่จะเชื่อมโยงหรืออิงกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จในกระบวนการกำกับ และการบริหารความเสี่ยง คือ ทรัพยากรดังกล่าวต้องเชื่อมโยงกับหลักการ ซึ่งหลักการดังกล่าวในที่นี้ หมายถึงท่านใช้หลักการอะไร มีนโยบายและกรอบการดำเนินการอย่างไร ซึ่งเป็นเรื่องสำคัญมาก เทียบได้กับการติดกระดุมเม็ดแรก และกระดุมเม็ดนี้จะเชื่อมต่อไปยังปัจจัยอื่นๆ ทีก่อให้เกิดความสำเร็จ คือ กระบวนการทำงาน โครงสร้างองค์กร และวัฒนธรรม จริยธรรม และพฤติกรรมของผู้บริหารและผู้ปฏิบัติงานทุกระดับ

    นอกจากนี้ รวมทั้งองค์กร/ท่านจะต้องพิจารณาการเปลี่ยนแปลงสภาพแวดล้อมจากปัจจัยภายนอก เช่น กฎหมาย (พรบ. ไซเบอร์ พรบ. ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเรื่องใหม่ ที่ท้าทายความเข้าใจในการนำไปปฏิบัติงานเป็นอย่างยิ่ง ซึ่งผมจะได้เล่าสู่กันฟังในโอกาสที่เหมาะสมต่อไป) มาตรฐาน แนวการปฏิบัติงาน และเรื่องสำคัญก็คือ การเปลี่ยนแปลงทางการเมือง เศรษฐกิจ นโยบายภาครัฐ แน่นอนตามที่ผมได้กล่าวมาแล้วคือ การเปลี่ยนแปลงสภาพแวดล้อมและเทคโนโลยีที่มีนวัตกรรมใหม่ๆ และก้าวหน้าอย่างยิ่ง และอาจส่งผลกระทบต่อการดำเนินงานทั้งมิติของความมั่นคงของประเทศ/องค์กร และการบรรลุเป้าหมาย ฯลฯ ดังกล่าวข้างต้น ซึ่งจะก่อให้เกิดความเสี่ยงต่อประเทศและองค์กรโดยรวม ในการบรรลุวิสัยทัศน์ และพันธกิจของประเทศและองค์กร ซึ่ง COSO ERM 2017 จะได้นำแนวทางการบริหารความเสี่ยงมาประยุกต์ใช้ ให้ความสำคัญในการเลือกกลยุทธ์ที่เหมาะสม (Strategy Selection) ตอบสนองวิสัยทัศน์ พันธกิจ และการดำเนินงานเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ให้เป็นไปตามกลยุทธ์ที่เลือกไว้แล้ว (Strategy Implementaion) ในระดับประเทศหรือระดับองค์กร

    ที่มา : www.coso.org

    การกำกับ (Governance) และการบริหารความเสี่ยง (Risk Management) รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ประกาศ คำสั่งต่างๆ (Compliance) เป็น 3 องค์ประกอบที่ต้องเข้าใจในกระบวนการบริหารแบบบูรณาการอย่างแท้จริง มิฉะนั้น ถ้าขาดองค์ประกอบข้อหนึ่งข้อใด การสร้างคุณค่าเพิ่มตามหลักการ Governance ก็ไม่อาจจะเกิดขึ้นได้จากการบริหารความเสี่ยงที่ด้อยคุณภาพ รวมทั้ง ความสามารถในการปฏิบัติตาม Compliance ที่ควรเข้าใจอย่างแท้จริง

    การบริหารความเสี่ยงเป็นองค์ประกอบสำคัญยิ่งที่จะสนับสนุนให้ประเทศ/องค์กร สามารถดำเนินงานได้ตามเป้าหมายที่กำหนดไว้แล้ว และยังสามารถสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วมได้อีกทางหนึ่ง ซึ่งเป็นแนวคิดที่สำคัญยิ่งที่จะต้องนำไปสู่การปฏิบัติ องค์กรหลายแห่งจึงได้นำกรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการ (Enterprise Risk Management – Intregrated Framework) ตามแนวทาง COSO ERM มาประยุกต์ใช้เป็นกรอบในการพัฒนาระบบการบริหารความเสี่ยง ซึ่งโดยรวมก็คือ การมีวัตถุประสงค์ให้คณะกรรมการ ผู้บริหาร และผู้ที่เกี่ยวข้อง ได้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง และองค์ประกอบที่เกี่ยวข้อง เพื่อสร้างความเข้าใจให้ตรงกันกับคำนิยาม เรื่องเป้าหมายและวัตถุประสงค์ อันจะสร้างความรับผิดชอบอย่างทั่วถึงและเป็นไปในทิศทางเดียวกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ

    สรุปความเข้าใจโดยรวมของการบริหารความเสี่ยง ตามแนวทาง COSO ERM 2017 แบบผสมผสานกับหลักการ/มาตรฐานอื่นๆ เบื้องต้น มีดังนี้

    • สร้างความเข้าใจว่า ERM (Enterprise Risk Management) เป็นส่วนหนึ่งของ Governance และ Compliance และควรเข้าใจว่าหลักการสร้างคุณค่าเพิ่มนั้น หมายถึงการบูรณาการของ G + R + C หรือ GRC ที่มีทั้งเรื่อง Business และ IT
    • สร้างความเข้าใจว่ากรอบการดำเนินการทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการนั้น ควรเข้าใจการกำกับและการบริหาร IT ระดับองค์กรเสมอ
    • เพื่อให้คณะกรรมการและผู้บริหาร รวมทั้งบุคลากรขององค์กร ได้ตระหนักและเข้าใจถึงเป้าหมายและวัตถุประสงค์ และแนวทางการบริหารความเสี่ยงขององค์กร ใช้เป็นส่วนหนึ่งของกระบวนการพัฒนาความเสี่ยง เพื่อสนับสนุนงานขององค์กรเพื่อให้เป็นไปตามเป้าหมายที่กำหนดไว้ และเป็นไปตามแผนการดำเนินงานและแผนกลยุทธ์ที่เกี่ยวข้อง (ไม่ว่าจะอธิบายในมิติใด หากไม่เข้าใจหรือไม่คำนึงถึง 2 ประเด็นข้างต้นอย่างแท้จริง ประสิทธิภาพและประสิทธิผลของ GRC จะได้ผลลัพธ์อย่างจำกัด จนถึงระดับที่ไม่อาจสามารถสร้างคุณค่าเพิ่มและเติบโตอย่างยั่งยืนได้)
    • เพื่อการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยง และสนับสนุนการบริหารความเสี่ยงเป็นวัตนธรรมขององค์กร เพื่อการเติบโตอย่างยั่งยืน
    • เพื่อให้มีกรอบแนวทางการบริหารความเสี่ยงอย่างเป็นระบบ เข้าใจทิศทางเชิงกลยุทธ์ขององค์กร โดยมีมาตรฐานและการจัดการกับความเสี่ยงที่มีความสำคัญต่อเป้าหมายหลักขององค์กร และป้องกันความเสี่ยงในระยะยาว ที่จะมีผลกระทบต่อการเติบโตอย่างยั่งยืนและประสิทธิภาพขององค์กร

    ความเข้าใจในเรื่องการกำหนดกลยุทธ์การบริหารความเสี่ยง การกำกับและการบริหารความเสี่ยง รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ ตามที่กล่าวข้างต้นนั้น เท่าที่ผู้เขียนได้ประสบพบมาปรากฎว่า การกำหนดแนวทางเรื่องกลยุทธ์การบริหารความเสี่ยง มีความเข้าใจแตกต่างอย่างมีนัยสำคัญ ซึ่งมีผลทำให้กระบวนการบริหารความเสี่ยง ซึ่งถูกหยิบยกขึ้นไปสู่ระดับความรับผิดชอบของคณะกรรมการควบคู่กับการสร้างดุลยภาพสู่วิสัยทัศน์ พันธกิจ แผนงาน โครงการต่างๆ ซึ่งในที่สุดแล้ว คณะกรรมการจะต้องประเมินผล และรับผิดชอบในเรื่องที่กล่าวนั้น ยังไม่มีการถ่ายทอดและทำความเข้าใจ รวมทั้งการออกนโยบายการควบคุมการปฏิบัติงาน การตรวจสอบ การรายงาน การติดตามผล อย่างมีนัยสำคัญ

    การกำหนดกลยุทธ์การบริหารความเสี่ยง ควรพิจารณาในเรื่องที่น่าสนใจต่อไปนี้

    • กลยุทธ์ของประเทศหรือองค์กรที่ไม่สอดคล้องกับระดับนโยบาย พันธกิจ วัตถุประสงค์และเป้าหมาย รวมทั้งแผนงานและโครงการ ทั้งในระดับประเทศและระดับองค์กร เป็นความเสี่ยงสูงสุด เพราะเป็นการปักธงนำกระบวนการสร้างคุณค่าเพิ่มโดยรวม
    • ความสอดคล้องกับแนวทางมาตรฐานของหน่วยงานกำกับดูแล ซึ่งควรจะได้มาตรฐานและแนวปฏิบัติที่ยอมรับกันเป็นสากล รวมทั้งข้อกำหนดของกฎหมาย ระเบียบ หลักเกณฑ์ ประกาศ และแนวทางปฏิบัติที่ดี
    • การกำหนดขอบเขต และลักษณะการดำเนินงานขององค์กร ให้เหมาะสมกับสภาพแวดล้อมที่เปลี่ยนแปลงไป ซึ่งมีเรื่องและปัจจัยรวมทั้งองค์ประกอบหลากหลายที่ยังไม่ได้กล่าวในรายละเอียดนะครับ ทั้งนี้ จะต้องมีความสอดคล้องกับนโยบาย กลยุทธ์ เป้าหมาย แผนงาน และโครงการต่างๆ ขององค์กร
    • ควรมีการทบทวนกลยุทธ์การบริหารความเสี่ยงอย่างน้อยปีละครั้ง ให้สอดคล้องกับแผนงานประจำปี หรือทบทวนเมื่อมีเหตุการณ์เปลี่ยนแปลงที่สำคัญ เช่น การปฏิบัติตามพรบ. ไซเบอร์ และพรบ. ความคุ้มครองข้อมูลส่วนบุคคล ที่จะมีการประกาศใช้ในภาคบังคับอีกไม่นานนับจากนี้ ทั้งนี้เพราะ จะได้ลดความเสี่ยงจากการไม่ปฏิบัติตามหลักการ Compliance รวมทั้งเพื่อให้ทราบถึงปัญหาและอุปสรรคในการบรรลุเป้าหมายการบริหารความเสี่ยง เพื่อสร้างความมั่นใจถึงการบรรลุเป้าหมายขององค์กรโดยรวม

    ทั้งนี้ กรอบการบริหารความเสี่ยงขององค์กรเชิงบูรณาการตามแนวทางของ COSO ERM ทำให้มั่นใจได้ว่า กระบวนการทำงานต่างๆ ทั่วทั้งองค์กรได้รับการสนับสนุนจากการบริหารความเสี่ยงอย่างต่อเนื่องและมีประสิทธิภาพ ซึ่งจะมีผลทำให้การบริหารความเสี่ยงมีความสำคัญต่อการบริหารที่สอดคล้องกับกลยุทธ์ การวางแผนงาน รวมทั้งกระบวนการรายงานผลที่สนองตอบต่อนโยบายต่างๆ ในการสร้างคุณค่าเพิ่มและสร้างวัตนธรรมให้กับองค์กร

    ผมมีความเห็นส่วนตัวว่า ในกรณีที่ท่านผู้บริหาร รู้สึกสับสนว่าจะใช้กรอบการกำกับการดำเนินงานในระดับประเทศหรือในระดับองค์กรที่เกี่ยวข้องกับกระบวนการบริหารและการจัดการ IT ซึ่งในที่นี้ผมของเน้นในเรื่องของการบรูรณาการ GRC นะครับว่า ท่านควรใช้มาตรฐานที่เกี่ยวข้องในการกำกับและการบริหาร รวมทั้งการปฏิบัติงานที่ดีที่สุดและเป็นสากล โดยเพียงเข้าใจกระบวนการบริหารแบบบูรณาการที่แท้จริงเท่านั้นนะครับ เพราะมาตรฐานต่างๆ ของการบริหารความเสี่ยงตามที่กล่าวข้างต้น เป็นเพียงกรอบแนวคิด ไม่ใช่เป็นเครื่องมือสำเร็จรูปที่แต่ละองค์กรสามารถนำไปใช้ได้ทันที แต่ท่านควรเข้าใจในหลักการเบื้องต้นที่เกี่ยวข้องกับหลายปัจจัยตามที่กล่าวแล้วนะครับ

     

    ความท้าทายในการ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law) ของไทย

    ความเป็นมา

    ในหัวข้อเรื่องความเชื่อ กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน/Trust and Sustainable Developemnt ตอนที่ 16 ที่พูดถึงเรื่องของความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ผมได้ออกความเห็นเกี่ยวกับหลักการ หลักเกณฑ์ กรอบความคิด ในการเป็นจุดตั้งต้นของการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อเป็นการให้ข้อสังเกตกับผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ว่า หากทำ Gap Analysis ถึงกระบวนการที่จำเป็นในการที่ควรมีกรอบการร่างกฎหมายที่ได้นำเสนอในครั้งที่แล้ว กับความเป็นจริงที่ผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. นี้ได้ดำเนินการไป และนำเสนอต่อสาธารณะ เพื่อระดมความคิดเห็นไปเมื่อวันที่ 5 และ 11 ตุลาคม 2561 และปรากฎตามสื่อต่างๆ ค่อนข้างมากว่า มีผู้ไม่เห็นด้วย และไม่อยากให้ร่าง พ.ร.บ. ฉบับนี้ถูกนำมาใช้โดยไม่มีการเปลี่ยนแปลงในเรื่องต่างๆ ที่เกี่ยวข้อง ในหลายองค์ประกอบและในหลายปัจจัย โดยเฉพาะในหลักการ กระบวนการ และอื่นๆ ตามที่ผมได้กล่าวไปแล้ว

    ในครั้งนี้ ผมจึงขอรวบรวมความเห็นที่ได้จากการทำประชาพิจารณ์เท่าที่ได้รับมาเพียงบางส่วน มาให้ท่านผู้อ่านใช้ดุลยพินิจในการพิจารณาว่า พ.ร.บ. นี้ มีผลกระทบต่อความน่าเชื่อถือ ในระดับประเทศ ซึ่งมีผลกระทบในระดับมหภาคในมิติต่างๆ ของการพัฒนาประเทศไทยเพื่อการเติบโตอย่างยั่งยืนมากน้อยเพียงใด โดยเฉพาะอย่างยิ่ง หากกฎหมายนี้ผ่านออกมาได้และนำมาใช้ในทางปฏิบัติจริง น่าจะเป็นการละอายเพียงใด ในการนำ พ.ร.บ. ของต่างประเทศมาประยุกต์ใช้เป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ของไทย อย่างไม่เหมาะสม โดยการตัดข้อความที่สำคัญและมีนัยสำคัญต่อความหมายในการปฏิบัติงานการกำกับและการบริหารจัดการ ทางด้านความมั่นคงปลอดภัยไซเบอร์ของไทย ที่แน่นอนว่า โอกาสเป็นไปได้ในทางปฏิบัติมีน้อยมาก ซึ่งผมก็ได้กล่าวย้ำแล้วว่า เมื่อถอด พ.ร.บ. มาสู่แนวการปฏิบัติไม่ได้ ไม่ว่าในมิติของการกำกับ หรือในมิติของการปฏิบัติก็จะส่งผลให้ไม่สามารถที่จะปฏิบัติได้จริงตามตัวอย่างที่เกิดขึ้นมาแล้ว ในเรื่อง พ.ร.บ. หมา-แมว, พ.ร.บ. บ้านเช่า, การคิดค่าน้ำ ค่าไฟกับผู้เช่า, พ.ร.บ. รถกระบะ ฯลฯ ซึ่งไม่สามารถนำมาใช้ในทางปฏิบัติได้ เนื่องจาก พ.ร.บ. ดังกล่าวนั้น ไม่ได้คำนึงถึงผู้มีส่วนได้เสีย ตามหลักการกำกับดูแล กฎหมาย และการบริหารการจัดการ การติดตามผล รวมทั้งการตรวจสอบอย่างเป็นกระบวนการ

    ดังนั้น ความเห็นของประชาชนจำนวนไม่น้อยต่อร่าง พ.ร.บ. นี้ จึงมีลักษณะในเชิงไม่เห็นด้วยในหลายเรื่องที่เกี่ยวข้อง ซึ่งในตอนนี้ ผมจะนำความเห็นของท่านผู้ทำประชาพิจารณ์บางส่วนเท่าที่เผยแพร่ได้ เป็นการทั่วไป เพื่อไม่ให้กระทบกับความเป็นส่วนตัวของผู้ออกความเห็นนั้นๆ ในภาพโดยรวม เมื่อท่านผู้อ่านได้อ่านความเห็นในลักษณะที่ไม่เห็นด้วยนี้ ก็ไม่ควรสรุปว่า เป็นความเห็นที่ถูกต้องหรือไม่ ทั้งนี้เพราะขึ้นกับดุลยพินิจของแต่ละท่านเป็นสำคัญ เนื่องจากท่านผู้อ่าน ทุกกลุ่มของประชากรในประเทศไทย และผม ล้วนเป็นผู้มีส่วนได้เสียที่มีความต้องการแตกต่างกัน และขึ้นกับมุมมองความเข้าใจถึงผลกระทบกับวัตถุประสงค์ที่แตกต่างกันไปในแต่ละบุคคลและแต่ละกลุ่ม แต่ละองค์กรด้วย

    อย่างไรก็ดี สำหรับผมเอง และน่าจะเป็นความเห็นส่วนใหญ่ที่วางเป้าประสงค์ของการวิจารณ์ภายใต้กรอบของผลประโยชน์ของประเทศชาติเป็นสำคัญ

    ต่อไปนี้เป็นมุมมองจากสื่อบางสำนัก และจากความเห็นส่วนตัวที่ไม่ขอเอ่ยนาม ที่ได้แสดงความคิดเห็นต่อ พ.ร.บ. ฉบับนี้

    ข่าวจากสื่อออนไลน์ เว็บไซต์ประชาไท รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ

    ข่าวจากสื่อออนไลน์ เว็บไซต์ไทยรัฐ มนุษย์ไซเบอร์รวมตัว ยำใหญ่…ก.ม.ไซเบอร์

    ข่าวจากสื่อออนไลน์ เว็บไซต์ thematter พ.ร.บ.ความมั่นคงไซเบอร์ ประตูสู่กฎอัยการศึกออนไลน์? คุยกับ อาทิตย์ สุริยะวงศ์กุล

    ข้อมูลดังกล่าวข้างต้นเป็นข้อมูลเพียงบางส่วนที่ส่วนใหญ่ ก็นำมาจาก ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับความคิดเห็นที่ชัดเจนและค่อนข้างรุนแรงก็ไม่ได้นำมาเผยแพร่ ณ ที่นี้ รวมทั้งได้พยายามค้นคว้า ร่าง พ.ร.บ. ฉบับนี้ ที่มีผู้วิจารณ์ในลักษณะเห็นด้วยว่าเป็นประโยชน์ต่อประเทศไทยในการสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย ทั้งภายในและต่างประเทศ โดยร่างขึ้นตามหลักการที่ยอมรับกันโดยทั่วไปนั้น ยังไม่พบข้อมูลดังกล่าวนะครับ

    อนึ่ง ทั้งหมดนี้ นำเสนอเพื่อให้ท่านผู้อ่านได้รับทราบและพิจารณาโดยรอบคอบ โดยควรนำหลักการ หลักเกณฑ์ตามที่ได้กล่าวถึง ความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ตอนที่ 16 มาใช้ด้วยนะครับ โดยเฉพาะอย่างยิ่ง การคำนึงถึงผู้มีส่วนได้เสียอย่างได้ดุลยภาพ

     

    ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 16

    การก้าวไปสู่การสร้างความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย

    เรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ซึ่งกำลังอยู่ในช่วงสำคัญ ในการพิจารณาร่าง พ.ร.บ. ให้เป็นกฎหมายที่ใช้ในการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ ที่มีผลกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที โดยกำหนดลักษณะของภารกิจหรือบริการที่มีความสาคัญเป็นโครงสร้างพื้นฐานสาคัญทางสารสนเทศที่จะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ มิให้เกิดผลกระทบต่อความมั่นคงในด้านต่าง ๆ รวมทั้งให้มีหน่วยงานเพื่อรับผิดชอบในการดำเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน ไม่ว่าในสถานการณ์ทั่วไปหรือสถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง ตลอดจนกำหนดให้มีแผนปฏิบัติการและมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีเอกภาพและต่อเนื่อง อันจะทำให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ ทางรัฐบาลเห็นความจำเป็นที่จะต้องมี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จึงให้กระทรวงและหน่วยงานภาครัฐที่เกี่ยวข้องร่าง พ.ร.บ. นี้ เพื่อพิจารณา และได้มีการจัดทำประชาพิจารณ์ในเรื่องนี้ขึ้น ในวันที่ 5 และ 11 ตุลาคม 2561 ที่ผ่านมา ก่อนนำไปให้ สภานิติบัญญัติแห่งชาติ (ประเทศไทย) – สนช. พิจารณาตามกระบวนการก่อนประกาศใช้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการต่อไป นั้น

    ผลของการประชาพิจารณ์ในเรื่องดังกล่าว ที่เป็นทางการและไม่เป็นทางการ รวมทั้งที่ผ่านสื่อต่างๆ ออกมาในลักษณะไม่เห็นด้วยเป็นส่วนใหญ่ เพราะจะมีผลกระทบกระเทือนในวงกว้าง ในระดับประเทศ ในระดับความน่าเชื่อถือระหว่างประเทศ ทั้งทางด้านเศรษฐกิจและสังคม และการลงทุน ซึ่งแทนที่จะเป็นการร่างกฎหมายเพื่อป้องกันภัยไซเบอร์จากต่างประเทศ หรือจากภายนอก แต่ พ.ร.บ. นี้ เมื่อผู้ที่มีความรู้ที่เกี่ยวกับการกำกับและการบริหาร รวมทั้งการปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์จำนวนไม่น้อย ได้ศึกษารายละเอียดในเชิงวิเคราะห์ สร้างสรร ที่มีเป้าหมาย เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างบูรณาการที่แท้จริง โดยเฉพาะอย่างยิ่ง ในหลักคิด หลักปฏิบัติ ที่ พ.ร.บ. นี้ จะครอบคลุมทั้งประเทศ ทั้งภาครัฐและภาคเอกชน รวมทั้งผู้มีส่วนได้เสียนานาชาติที่ต้องประยุกต์ใช้เป็นกรอบการดำเนินงาน เป็นหนึ่งเดียวกับการกำกับ การบริหาร และการจัดการไอที ในเรื่องอื่นๆ ที่ต้องบูรณาการเป็นหนึ่งเดียวตามหลักการมาตรฐาน หรือตามหลักการวิธีการปฏิบัติที่ดีที่เป็นสากลที่ทั่วโลกยอมรับกัน เพื่อให้กระบวนการและวิธีการปฏิบัติแบบองค์รวม (Enablers) สัมฤทธิ์ผล และแน่นอนว่า หลักการดังกล่าว ภายใต้กรอบที่นานาชาติยอมรับได้ก็คือ การแยกการกำกับดูแล (Governance) ออกจากการบริหารจัดการ (Management and Operation) โดยหลักการทั้ง 5 นี้ เป็นกรอบของแนวคิดที่ถ่ายทอดเป็นแนวทางและกระบวนการปฏิบัติงานที่ชัดเจนได้อย่างเป็นรูปธรรม นั้น

     

    ผู้ที่มีส่วนเกี่ยวข้องกับการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ นี้ ได้วางกรอบและแนวคิดเป็นไปตามที่ผมได้กล่าวเป็นการอุ่นเครื่องข้างต้นหรือไม่ครับ

    ท่านทราบไหมครับว่า คำจำกัดความของ การกำกับดูแล (Governance) ยุคดิจิทัลนั้น นานาชาติให้คำจำกัดความไว้ว่า “การกำกับดูแล ทำให้มั่นใจได้ว่า ความต้องการ เงื่อนไข และทางเลือกของผู้มีส่วนได้เสียได้รับการประเมิน เพื่อกำหนดวัตถุประสงค์ที่องค์กรต้องการให้บรรลุ ซึ่งมีความสมดุลและเห็นชอบร่วมกัน; การกำหนดทิศทางผ่านการจัดลำดับความสำคัญและการตัดสินใจ; และการเฝ้าติดตามผลการดำเนินงานและการปฏิบัติตามเทียบกับทิศทางและวัตถุประสงค์ที่ได้ตกลงร่วมกัน” และ ความหมายของคำว่าการบริหารจัดการ (Management) คือ ผู้บริหารวางแผน สร้าง ดำเนินงาน และเฝ้าติดตามกิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance body) เพื่อให้บรรลุวัตถุประสงค์ขององค์กร/ประเทศ

    คำถามของผมในตอนนี้ก็คือ ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ท่านได้ใช้กรอบและแนวคิด/หลักคิด ที่สามารถถ่ายทอดไปสู่ขั้นตอน กระบวนการ แนวทาง และวิธีการปฏิบัติ ทั้งในระดับ Governance body/Regulators และในระดับ Regulated entities ทั้งภาครัฐและเอกชนได้อย่างเป็นรูปธรรมหรือไม่? และการร่าง พ.ร.บ. นี้ มีบทลงโทษที่เลขาธิการมีอำนาจอย่างกว้างขวางนั้น เป็นการบังคับใช้อำนาจที่ขาดการพิจารณาความเหมาะสมของผู้ปฏิบัติงานตามที่ควรหรือไม่ เช่น การใช้แนวทางกฎหมาย Cybersecurity Law ของสิงคโปร์ มาเป็นส่วนหนึ่งของการร่าง พ.ร.บ. นี้นั้น ไม่มีอะไรผิด แต่สิ่งที่น่าคิดก็คือ ท่านได้ตัดถ้อยคำบางส่วนที่มีนัยสำคัญของต้นร่างที่ท่านได้นำมาเป็นแบบอย่างในการร่างเป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัย Cybersecurity Law ของไทย ทำให้ผู้บริหารหรือเลขาธิการของหน่วยงานใหม่ มีอำนาจล้นฟ้า ถึงแม้จะมีนายกรัฐมนตรีเป็นผู้กำกับฯ ด้วยก็ตาม

    เป็นความเหมาะสมแล้วหรือ ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ กำลังร่างกฎเกณฑ์และข้อบังคับในลักษณะที่แทบไม่มีทางเลือกอื่นใด คือบังคับให้ผู้อยู่ภายใต้กฎหมายต้องปฏิบัติ (Comply) ตามกฎหมายนี้เท่านั้นหรือ? มีทางออกที่ดีกว่านี้หรือไม่?

    ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ ไม่มีทางเลือกอื่นให้ผู้ที่ต้องปฏิบัติตามกฎหมายหรือ พ.ร.บ. นี้ ใช้หลักการที่ยืดหยุ่น และด้วยต้นทุนที่อาจต่ำกว่ามากหรือปฏิบัติได้สะดวกกว่ามาก โดยใช้หลัก Imply and Inform ที่สามารถครอบคลุมการปฏิบัติตามร่าง พ.ร.บ. ฉบับนี้ได้ โดยใช้เทคโนโลยีและนวัตกรรมใหม่ๆ รวมทั้งการใช้ปัญญาประดิษฐ์ใหม่ๆ ทดแทนการบังคับ ตามแนวความคิดที่เป็นอยู่ คือการ Comply ท่านว่าแบบนี้เป็นการเหมาะสมกว่าไหมครับ และการร่าง พ.ร.บ. นี้ อาจจะผ่านได้ง่ายกว่าเดิมไหมครับ

    ข้อสำคัญของประเด็นดังกล่าวข้างต้นนี้ เป็นการยอมรับความต้องการ หรือรับฟังความเห็นของผู้มีส่วนได้เสีย และเข้าใจสภาพแวดล้อมของการเปลี่ยนแปลงที่มีความก้าวหน้าทางด้านเทคโนโลยีในอนาคตอย่างแท้จริงนะครับ

    ผู้มีส่วนได้เสีย คือใครกันแน่ จะกำกับและบริหารให้ได้ดุลยภาพกันได้อย่างไร

    มีคำถามมากพอสมควรว่า การกำหนดสิ่งที่คาดหวังจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้ง สิ่งที่คาดหวังได้จากสารสนเทศ และเทคโนโลยีที่เกี่ยวข้อง ซึ่งอาจจะเข้าใจในภาพรวมๆ ว่า เป็นประโยชน์ที่ได้รับ ณ ระดับความเสี่ยงที่ยอมรับได้ และด้วยต้นทุนที่จะเกิดขึ้น และระดับความสำคัญของสิ่งเหล่านั้น เพื่อให้มั่นใจว่า คุณค่าที่คาดหวังโดยผู้มีส่วนได้เสีย จะได้รับการส่งมอบจริง เช่น พ.ร.บ. นี้ ผู้มีส่วนได้เสียบางกลุ่ม อาจต้องการผลประโยชน์ในระยะสั้น บางคน บางกลุ่มต้องการผลประโยชน์ในระยะยาว เพื่อการเติบโตอย่างยั่งยืน บางคนพร้อมที่จะรับความเสี่ยงสูง แต่บางคน บางกลุ่มอาจไม่ยอมรับความเสี่ยงได้เลย ความคาดหวังที่แตกต่างกันเหล่านี้ ต้องได้รับการกำกับ และการจัดการที่มีประสิทธิผล นอกจากนี้ ผู้มีส่วนได้เสียเหล่านี้ ยังไม่เพียงต้องการมีส่วนร่วมมากขึ้นเท่านั้น แต่พวกเขาต้องการความโปร่งใสด้วยว่า สิ่งเหล่านี้ หรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จะเกิดขึ้นได้อย่างไร นั่นคือ การถ่ายทอดเป้าประสงค์หลักไปสู่วิธีการปฏิบัติ และจะบรรลุผลลัพธ์จริงได้ชัดเจนและพิสูจน์ได้ในกระบวนการที่เกี่ยวข้อง

    ตามที่ผมได้กล่าวไว้ข้างต้นว่า หลักคิด ต้องเกี่ยวข้องกับหลักปฏิบัติได้จริง มีความสอดคล้องกับมาตรฐาน หรือแนวปฏิบัติที่ดีที่เป็นสากล เพื่อให้เป็นที่ยอมรับได้ เพราะหาก การร่าง พ.ร.บ. ของเราไม่ได้รับการยอมรับจากผู้มีส่วนได้เสียทั้งภายในและระหว่างประเทศอย่างแท้จริง ก็จะมีปัญหาต่อนโยบาย Thailand 4.0 และเป็นอุปสรรคต่อเศรษฐกิจ การเงิน การลงทุน และการให้บริการ ในระดับกว้าง และลึกเกินกว่าที่ประเทศหรือผู้มีส่วนได้เสียโดยรวมยอมรับได้ และจะนำไปสู่การยอมรับที่แท้จริงและปฏิบัติได้จริงของผู้มีส่วนได้เสียในที่สุดนั่นคือ อาจไม่มีการยอมรับในการปฏิบัติ หรือต่อต้าน พ.ร.บ. ในรูปแบบต่างๆ ที่ไม่อยากจะให้เกิดขึ้น ฯลฯ

    แนวคิดอีกอย่างหนึ่งที่น่าจะมีประโยชน์ในการปรับปรุงร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ก็คือ การเชื่อมโยงกับนโยบาย Thailand 4.0 และกลยุทธ์ที่จะนำประเทศไปสู่ยุค Thailand 4.0 โดยการเชื่อมโยงกฎหมาย หรือ พ.ร.บ. นี้ที่ควรจะสอดคล้องกับ พ.ร.บ. พ.ร.ก. ประกาศ คำสั่งต่างๆ ที่เกิดขึ้น ซึ่งจะทำให้เกิดความสอดคล้องกับกรอบการดำเนินงานของประเทศ และมาตรฐานอื่นๆ ที่มีใช้อยู่ นี่คือกระบวนการกำกับการบริหาร รวมทั้งการกำกับแบบบูรณาการระดับองค์กร และระดับประเทศ และควรจะสอดคล้องกับแนวปฏิบัติอื่นๆ ที่โดยหลักการแล้วควรจะนำมารวมเป็นกรอบการพิจารณาเป็นหนึ่งเดียวอย่างแท้จริง

    ความสำคัญของปัจจัยเอื้อ (Enablers) ระดับประเทศ และระดับองค์กร ตามกรอบและหลักคิดแบบบูรณาการ

    ความเข้าใจของผู้ร่าง พ.ร.บ. นี้ และ พ.ร.บ.อื่นๆ และกฎหมาย ประกาศ คำสั่งอื่นๆ ที่เกี่ยวข้อง ตามที่ผมได้กล่าวไว้ข้างต้นที่มีความสำคัญมากที่สุดอย่างหนึ่งในการสร้างคุณค่าเพิ่มก็คือ ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) สำหรับกรณีนี้ ผมกำลังชวนคุยในการนำเรื่องปัจจัยเอื้อมาเกี่ยวข้องกับกระบวนการของการกำกับ การบริหาร ที่ควรมีหลักคิดแบบบูรณาการที่ควรเข้าใจปัจจัยหรือหลายปัจจัยต่างๆ ที่เกี่ยวข้อง และต้องนำมารวมกันคิด เพราะมีอิทธิพลต่อความสำเร็จของ พ.ร.บ. การร่างกฎหมายที่เกี่ยวข้อง ซึ่งก็คือ การบริหารจัดการเรื่อง Cybersecurity ในระดับประเทศ และระดับองค์กร เพราะปัจจัยเอื้อขับเคลื่อนได้โดยการส่งทอดเป้าหมายของประเทศไปสู่เป้าหมายทางไอที ซึ่งรวมถึงเป้าหมายทางด้าน Cybersecurity ในภาพโดยรวม จะต้องมีปัจจัยเอื้อที่เกี่ยวข้องที่จะนำไปสู่ความสำเร็จของการกำกับ พ.ร.บ. นี้ โดยหน่วยงานที่จะตั้งขึ้นใหม่

    การร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องใช้กรอบแนวคิดแบบบูรณาการนั้นเป็นที่เข้าใจตรงกันแล้ว แต่สิ่งที่อาจจะขาดไปอย่างมีนัยสำคัญก็คือ ความเข้าใจและการนำความเข้าใจมาสู่การปฏิบัติในการออกกฎหมาย หรือ พ.ร.บ. ต่างๆ ที่เกี่ยวข้อง จำเป็นต้องมีปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ดังนั้น ผู้ที่ออกกฎหมาย ออกประกาศ คำสั่งต่างๆ ควรจะเข้าใจถึงปัจจัยเอื้อ 7 ประเภทดังต่อไปนี้

    ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ ได้พิจารณาหลักการภาพใหญ่ข้างต้น และการถ่ายทอดมาสู่ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ 7 ข้อตามที่จะกล่าวต่อไปนี้มากน้อยเพียงใด และหากจำเป็น ท่านสามารถที่จะถ่ายทอดมาเป็นกระบวนการและวิธีการปฏิบัติหลักได้หรือไม่?

    1. หลักการ นโยบาย และกรอบดำเนินงาน เป็นสิ่งที่นำไปสู่การเปลี่ยนแปลงหลักคิด และแนวทางปฏิบัติได้จริง (ตาม พ.ร.บ. นี้ ผู้ร่างฯ ได้ใช้อะไรเป็นหลักการ และกรอบการดำเนินงาน เพื่อไปสู่การปฏิบัติ)
    2. กระบวนการที่เกี่ยวเนื่องกับ ข้อ1. ซึ่งเป็นการอธิบายถึงแนวทางปฏิบัติและกิจกรรมที่ใช้ในการบรรลุวัตถุประสงค์บางประการ และให้ผลลัพธ์เพื่อสนับสนุนการบรรลุวัตถุประสงค์ของ พ.ร.บ. นี้
    3. โครงสร้างในการจัดการ เป็นการระบุถึงโครงสร้างของหน่วยงานใหม่ ที่ใช้เป็นหลักในการตัดสินใจในการกำกับและบริหารที่ชัดเจน ได้ดุลยภาพตามโครงสร้างที่แท้จริง
    4. วัฒนธรรม จริยธรรม และพฤติกรรม เรื่องนี้ปกติจะเป็นจุดอ่อนหรือ painpoint เกือบทุกหน่วยงาน ซึ่งส่วนใหญ่จะได้รับการประเมินค่าน้อยกว่าความเป็นจริง ทั้งๆ ที่เป็นปัจจัยสำคัญสู่ความสำเร็จของการร่าง พ.ร.บ. นี้
    5. ความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งเป็นหัวใจสำคัญยิ่งยวดของการกำกับดูแลที่ดี เพื่อสร้างความพึงพอใจให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพ ตามร่าง พ.ร.บ. ฉบับนี้
    6. บริการ โครงสร้างพื้นฐาน และระบบงาน เป็นเรื่องสำคัญยิ่งที่เกี่ยวเนื่องกับเป้าหมายหลัก ทางด้านความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที
    7. บุคลากร ทักษะ และศักยภาพ ปัจจัยเอื้อต่างๆ ที่รวมกันเพื่อก่อให้เกิดความสำเร็จตาม ร่าง พ.ร.บ. นี้ จะถูกเชื่อมโยงเข้ากับตัวบุคคล ซึ่งช่วยกิจกรรมต่างๆ ตามพันธกิจ สำเร็จลุล่วงไปได้ด้วยดี และสามารถช่วยในการตัดสินใจได้อย่างถูกต้อง พร้อมทั้งดำเนินการแก้ไข

    ปัจจัยเอื้อตามที่กล่าวในข้อ 5. 6. 7. กล่าวรวมกันก็ได้แก่การบริหารทรัพยากรที่ต้องไปด้วยกันกับการบริหารความเสี่ยงที่ดี มีคุณภาพ เพื่อให้พ.ร.บ. นี้ได้รับผลประโยชน์ สนองตอบต่อความต้องการทางด้านความมั่นคงปลอดภัยอย่างแท้จริง

    ปัจจัยเอื้อทั้ง 7 ประการ รวมทั้งการบริหารทรัพยากรตามที่กล่าวข้างต้นนั้น หน่วยงานผู้ร่าง พ.ร.บ. นี้ได้คำนึงถึงและนำมาสู่กรอบความคิดในการกำกับและบริหารการร่าง พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์หรือไม่ เพียงใด ครับ ทั้งนี้เพราะ ทรัพยากรที่เกี่ยวข้องกับ ข้อ 5. 6. 7. เป็นหัวใจที่สำคัญยิ่ง ที่หน่วยงานใหม่ที่ต้องกำกับงานตาม พ.ร.บ. นี้ต้องเข้าใจอย่างลึกซึ้ง เพื่อนำมาสู่การกำกับดูแลและการบริหารจัดการทางด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ทั้งในระดับองค์กรและระดับประเทศอย่างแท้จริงนะครับ

    ความเห็นโดยสรุปของผู้เขียน

    ความเห็นข้างต้นเป็นความเห็นส่วนตัวของผมในฐานะผู้เขียน สำหรับประชาพิจารณ์ท่านอื่นๆ ที่ไม่เห็นด้วย ซึ่งมีไม่น้อย อาจมีความเห็นที่แตกต่างในแต่ละมุมมองที่ไม่เหมือนกัน ซึ่งผมจะได้นำมาเสนอในตอนต่อไป

    สำหรับตอนนี้ ผมขอนำความเห็นของผู้ทรงคุณวุฒิที่มีความรู้ทางด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ท่านหนึ่งที่ไม่ประสงค์เปิดเผยนาม และผมได้รับอนุญาตในการนำมาเผยแพร่ เพื่อเปรียบเทียบบางมุมมองของการร่าง พ.ร.บ. จากต้นฉบับที่นำเสนอเพื่อการทำประชาพิจารณ์ เปรียบเทียบควบคู่กันไปกับ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์ ของท่านผู้ทรงคุณวุฒิท่านนี้ ภายใต้กรอบสีเหลี่ยมที่เป็นการแก้ไขในมุมมองของท่านฯ ทั้งนี้ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์นี้ ได้จัดทำขึ้นหลังการทำประชาพิจารณ์ (สามารถกดดาวโหลดไฟล์ได้ที่ลิงก์ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ได้เลย) ครับ

    อนึ่ง ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตามที่ผมได้เขียนมา 15 ตอนนั้น ผมเพียงเพื่อจะย้ำความสำคัญของการสร้างความเชื่อให้กับประเทศ/องค์กร ในมิติต่างๆ ตามความเข้าใจของผม ในมิติที่เกี่ยวข้องกับการกำกับดูแล การบริหาร และการปฏิบัติงานที่ดี เพื่อเศรษฐกิจ การเงิน การลงทุน และความมั่นคงของประเทศ โดยการสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพที่โยงใยกับระบบเทคโนโลยีสารสนเทศ และการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

    มาถึงตอนนี้ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ กำลังเป็นเรื่องร้อนแรงและมีการกล่าวถึงเป็นอันมาก ผมจึงขอสรุปเรื่องความเชื่อในมุมมองต่างๆ เพื่อการพัฒนาและการเติบโตอย่างยั่งยืนให้เหมาะสมกับสภาพแวดล้อมที่กล่าวถึง ใน ร่าง พ.ร.บ. นี้ มาเพื่อให้ท่านผู้อ่านได้ติดตามโดยสะดวกขึ้นครับ เมื่อท่านได้อ่านแต่ละตอนแล้ว ลองช่วยประเมินดูนะครับว่า การพัฒนาเพื่อการเติบโตของประเทศไทย ยังมีปัญหาและอุปสรรคอะไรบ้าง โดยเฉพาะในแง่มุมของการกำกับ การดำเนินงาน การบริหารจัดการสารสนเทศ และการบริหาร Cybersecurity ที่ดีในระดับองค์กรและระดับประเทศ ในการก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล

    GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล

    Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน (Fintech and Sustainable Development)

    ความโปร่งใสกับความน่าเชื่อถือ / Transparency and Trust

    GRC ในมุมมองของ Governance

    Integrated GRC and Digital Governance

    Governance and Digital Governance and Innovative Technology / Business Model

    ความเข้าใจในความหมายของคำว่า “ธรรมาภิบาล” หรือ การกำกับดูแลกิจการที่ดี กับความโปร่งใส

    ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม (ภาคต่อ)

    ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม

    การตอบสนองต่อความต้องการของ Stakeholders กับ Thailand 4.0

    ผลกระทบต่อการเติบโตอย่างยั่งยืน หากผู้มีผลประโยชน์ร่วมขาดความเชื่อถือในระดับองค์กร และระดับประเทศ

    โลกที่พลิกโฉม กับ ความเชื่อ ที่ผ่านกระบวนการกำกับของคณะกรรมการฯ และผู้นำประเทศ

    ผลประโยชน์ทางสังคมกับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

    เทคโนโลยีสารสนเทศและการสื่อสาร กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

    ความเชื่อ กับ การพัฒนาการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 1