Author Archive for Metha Suvanasarn

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 6

สำหรับผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ในตอนที่ 6 นี้ ผมขอนำเสนอต่อในเรื่อง การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์ ซึ่งเป็นบทที่ 3 จากผลงานโครงการวิจัย ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อ ความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ ของ ดร.ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้ให้ความอนุเคราะห์นำมาเผยแพร่ในเว็บไซต์ itgthailand.com และ itgthailand.wordpress.com ทั้งสองแห่งนี้

การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์ ในบทที่ 3 จะเป็นการวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในระดับสากล และ การวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย รวมถึง วิเคราะห์ความสอดคล้องยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกับการแก้ปัญหาอธิปไตยไซเบอร์ในระดับสากลที่จะได้นำเสนอตามลำดับ

บทที่ 3

การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์

วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในระดับสากล

ปรากฎการณ์ “Digital transformation” และการเข้าสู่ยุค S-M-I-C (Social–Mobile–Information–Cloud) นำไปสู่การเจริญเติบโตของธุรกิจแพลตฟอร์ม (Platform) ซึ่งธุรกิจไม่จำเป็นต้องผลิตสินค้าและบริการเอง แต่เป็นการให้บริการอำนวยความสะดวกและเป็นตัวกลาง ในการทำธุรกิจระหว่างลูกค้ามากกว่าหนึ่งประเภท ตัวอย่าง Platform ประเภทเครือข่ายสังคม เช่น Facebook Twitter Line Instagram เป็นต้น ประเภทค้าปลีก เช่น eBay Alibaba Amazon เป็นต้น ประเภทสื่อ เช่น YouTube เป็นต้น ประเภทการชำระเงิน เช่น PayPal Alipay เป็นต้น ประเภทระบบปฏิบัติการบนสมาร์ทโฟน เช่น ios Android เป็นต้น ประเภทการท่องเที่ยว เช่น Airbnb เป็นต้น ประเภทบริการรถสาธารณะ เช่น Uber Grab เป็นต้น

นอกจากจากรูปแบบกระบวนการดำเนินธุรกิจที่เปลี่ยนแปลงไปตามการพัฒนาเทคโนโลยีแล้ว การวิเคราะห์ทางการตลาดยังเปลี่ยนแปลงไปด้วย จากเดิมที่วิเคราะห์กลุ่มเป้าหมายด้วยหลักประชากรศาสตร์ (Demographic) เช่น อายุ เพศ การศึกษา รายได้ สถานภาพ เป็นต้น เป็นการวิเคราะห์กลุ่มเป้าหมายด้วยหลักจิตนิสัย (Psychographic) เช่น รูปแบบการดำเนินชีวิต (Lifestyles) ความชื่นชอบ ความเชื่อ ค่านิยม เป็นต้น โดยอาศัยข้อมูลที่อยู่ในความครอบครองของแพลตฟอร์ม (Platform) บนสมาร์ทโฟน หรือเครือข่ายสังคมออนไลน์ (Social media) ซึ่งทำให้ธุรกิจ Platform มีความได้เปรียบในการประกอบธุรกิจ

แม้ว่าเครือข่ายสังคมออนไลน์ (Social media) และสมาร์ทโฟนจะเป็นประโยชน์ต่อการใช้ชีวิตประจำวันของทุกคนอย่างมหาศาล ด้วยเจตนารมณ์ที่หวังจะส่งมอบสิ่งที่ดีที่สุดให้ผู้ใช้บริการ แต่ผู้ให้บริการย่อมถูกกดดันด้วยภาวะการแข่งขันของธุรกิจ เพื่อเข้าถึงผู้ใช้บริการให้มากที่สุด จึงสร้างผลเสียต่อประชาชนโดยไม่รู้ตัว อาทิ การเสพติดดิจิทัล (Digital addiction) จากอุปกรณ์ดิจิทัลที่เข้ามาครอบงำชีวิตเราในทุกเรื่อง สุขภาพทางจิตใจ (Mental health) จากความทุกข์ที่เกิดจากการเปรียบเทียบตัวเองกับคนอื่น หรือเรื่องเล่าบนเครือข่ายสังคมโซเชียล และถูกกลั่นแกล้ง ในเครือข่ายสังคมโซเชียล (Cyber bullying) การแยกแยะความจริงจากความไม่จริง (Breakdown of truth) ทำได้ยากขึ้นเรื่อย ๆ การแบ่งขั้วแยกข้าง (Polarization) ทางอุดมการณ์ ทำให้การสร้าง ความปรองดองและความร่วมมือในสังคมกระทำได้ยากยิ่งขึ้น และสุดท้ายการชักใยทางการเมือง (Political manipulation) เพื่อสร้างความขัดแย้งและการทำสงครามไซเบอร์ ผลเสียเหล่านี้ ล้วนเกิดมาจากขีดความสามารถของเทคโนโลยีที่ก้าวข้ามขีดความสามารถของมนุษย์ ซึ่งเข้าใจง่ายกว่า หากพิจารณาจากเทคโนโลยีที่ก้าวข้ามข้อด้อยของมนุษย์ (Human vulnerabilities) ในขณะเดียวกันความไม่สอดคล้องกันระหว่างความก้าวหน้าทางเทคโนโลยีอย่างก้าวกระโดดและความสามารถในการตระหนักรู้ของมนุษย์ (Human sensitivities) ส่งผลกระทบต่อความคิด ความรู้สึก และการกระทำของมนุษย์ ซึ่งล้วนสร้างผลเสีย เช่น ช่วงความสนใจที่สั้นลง (Attention span) อ่านแค่พาดหัว โดยไม่สนใจรายละเอียด แข่งขันกันที่ยอดไลค์และยอดแชร์บน Social media เป็นต้น

นอกจากนี้ ข้อมูลส่วนบุคคลจำนวนมหาศาลที่อยู่ในอำนาจการควบคุมของแพลตฟอร์ม (Platform) หรือผู้ให้บริการ Social media ต่างประเทศ ทำให้ผู้ให้บริการสามารถล่วงรู้ถึงรูปแบบการดำเนินชีวิตทางดิจิทัล หรือ “Digital lifestyle” ของผู้ใช้งาน ในด้านหนึ่งย่อมมีประโยชน์ต่อระบบเศรษฐกิจ โดยทำให้ผู้ใช้บริการสามารถได้รับบริการที่มีประสิทธิภาพ และตรงตามความคาดหวัง ในอีกด้านหนึ่ง การใช้ประโยชน์จากข้อมูลส่วนบุคคลจำนวนมหาศาลผ่าน Google Facebook และ Social media เช่น ตำแหน่งการใช้งาน พฤติกรรมการค้นหาข้อมูล (Search behavior) พฤติกรรมการเข้าชมภาพ/วีดีโอ พฤติกรรมการเลือกซื้อสินค้าและบริการ เป็นต้น อาจนำไปสู่การส่งผ่านข้อมูลที่มีอิทธิพลต่อทัศนคติ ความคิดเห็น พฤติกรรมและการตัดสินใจของผู้ใช้บริการได้โดยตรง โดยที่ผู้ใช้บริการอาจไม่รู้ตัว โดยเฉพาะอย่างยิ่งกลุ่มเยาวชนและคนรุ่นใหม่ ซึ่งเป็นกลุ่มที่มีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น อิทธิพลจากการเข้าถึงข้อมูลส่วนบุคคล และ Social media อาจทำให้เกิดการเปลี่ยนแปลงความเข้าใจ ความเชื่อ แนวคิด อุดมการณ์ และอาจทำให้เกิดการรับรู้ข้อมูลที่ไม่ตรงกับความเป็นจริงได้ เนื่องจากผู้ใช้บริการอาจไม่ได้ตรวจสอบความถูกต้องของข้อมูลก่อน รวมถึงสามารถส่งผ่านข้อมูลที่ชักจูงและสร้างกระแสสังคมที่ส่งผลกระทบในวงกว้าง และอาจส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติได้โดยง่าย จึงถือเป็นการรุกรานทางความคิดต่อประชาชนรูปแบบใหม่ที่สามารถส่งผลกระทบต่อเศรษฐกิจ สังคม และประเทศชาติได้

ปัจจุบัน การปฏิบัติการข่าวสาร (Information operations : IO ) ทั้งภาวะปกติ และภาวะสงคราม รวมไปถึงความขัดแย้งทางการเมืองและทางสังคม มักนิยมใช้ไซเบอร์สเปซ เป็นช่องทางในการดำเนินการ โดยการกระจายข้อมูลข่าวสาร เช่น ข้อความ ภาพนิ่ง ภาพเคลื่อนไหว การประชาสัมพันธ์ การโฆษณาชวนเชื่อ เป็นต้น ผ่านเครือข่ายสังคมออนไลน์ (Social media) ต่าง ๆ เช่น Line Facebook Twitter เป็นต้น ทำให้สามารถเข้าถึงกลุ่มเป้าหมายด้วยความรวดเร็วชั่วพริบตา และมีการแชร์ข้อมูลต่อ ๆ กันไปอย่างรวดเร็ว ซึ่งมีอิทธิพลต่อความรู้สึกนึกคิด ความเชื่อ ทัศนคติ อุดมการณ์ และมีผลต่อการตัดสินใจของคนเป็นจำนวนมาก จึงก่อให้เกิดปัญหาใหญ่คือ การรุกล้ำ “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber sovereignty) ของประชาชนในประเทศ ตลอดจนปัญหาความมั่นคงของชาติ (National security) ซึ่งประชาชน ส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ต และการใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนจำนวนมาก

ประธานาธิบดีแห่งสาธารณรัฐประชาชนจีน สี จิ้นผิง ได้กล่าวเสมอในการประชุมสุดยอดผู้นำโลกเกี่ยวกับปัญหา “อธิปไตยไซเบอร์” (Cyber sovereignty) ที่กำลังเกิดขึ้นทั่วโลก ท่านกล่าวว่าทุกประเทศทั่วโลกมีสิทธิที่จะกำหนดนโยบายด้านไซเบอร์ในประเทศของตน เพื่อป้องกันการรุกรานโดยต่างชาติ ในรูปแบบที่ไม่ต้องใช้กำลังทางทหารหรือกระสุนแม้แต่เพียงนัดเดียว แต่เป็นการรุกรานหรือการล่าอาณานิคมในรูปแบบใหม่ ที่ประชาชนในประเทศเป้าหมายไม่ได้รับรู้ว่ากำลังถูกรุกรานอยู่ เนื่องจากการรุกรานดังกล่าวไม่ต้องใช้กำลังแต่อย่างใด เป็นการรุกรานทางความคิด ความเชื่อ ค่อย ๆ ส่งข้อมูลเข้ามาปรับเปลี่ยนพฤติกรรมของคนในชาติเหล่านี้

เราคงเคยเห็นกันจากประสบการณ์การปฏิวัติประชาธิปไตยในหลายประเทศ ในตะวันออกกลางและอาฟริกาเหนือ หรือการลุกฮือขึ้นโค่นล้มรัฐบาลในหลายประเทศของชาวอาหรับ (Arab Spring) มาแล้ว การใช้สื่อสังคมออนไลน์ที่สะดวก รวดเร็วนี้ เป็นมีดสองคม อาจเริ่มจากสร้างเพจ Facebook เพื่อหาแนวร่วม ไปจนถึงการออกมาแสดงพลังเงียบในโลกจริง มีผลต่อการเลือกตั้ง มีผลต่อการเมืองการปกครอง ภัยจากการรุกรานเข้ามาเปลี่ยนความคิดดังกล่าวนั้น น่ากลัวยิ่งกว่าภัยจากการแฮกของแฮกเกอร์เสียอีก เนื่องจากแฮกเกอร์จะเข้าระบบเพื่อดึงข้อมูล หรือทำให้ระบบล่ม ที่เราเห็นปัญหามัลแวร์ (Malware) กันอยู่เป็นประจำ หากแต่การเจาะเข้าไปในจิตใจของมนุษย์ ให้ปรับเปลี่ยนความคิด ความเชื่อ ความศรัทธา ทำให้ชอบหรือไม่ชอบ รักหรือเกลียดในตัวบุคคล สินค้า หรือบริการ หรือบริษัทต่าง ๆ ตลอดจนผู้นำในแต่ละประเทศมีผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National security” ในที่สุด

จากผลการศึกษาของ Hao Yeli (2560) ได้กล่าวว่า ปัญหาการรุกล้ำอธิปไตยทางไซเบอร์ (Cyber sovereignty) เป็นภัยคุกคามทางไซเบอร์อันดับหนึ่ง (Tier one) ของปัญหาความมั่นคงปลอดภัยไซเบอร์ของประเทศ และถือเป็นโดเมนที่ห้าแห่งการทำสงครามทางการทหาร (The fifth domain of warfare) นอกเหนือจาก พื้นดิน ผืนฟ้า อากาศ และอวกาศ โดยปัจจุบันประเทศสหรัฐอเมริกาและองค์การสนธิสัญญาแอตแลนติกเหนือหรือนาโต (NATO) ได้กำหนดให้โลกไซเบอร์สเปซ (Cyberspace) เป็นโดเมนแห่งสงคราม และจัดตั้งกองกำลังทางทหารด้วยแล้ว ในขณะที่ในยุคโบราณพื้นดินถูกห้อมล้อมไปด้วยผืนน้ำ ผืนน้ำถูกห้อมล้อมไปด้วยอากาศ อากาศ ถูกห้อมล้อมไปด้วยอวกาศ ในขณะที่ไซเบอร์สเปซนั้นไร้ขอบเขตจำกัด ถือว่าเป็นโดเมนหนึ่ง ที่มีความสำคัญในการสู้รบเอาชนะฝ่ายตรงข้าม (แผนภาพที่ 3-1) ประเทศสหรัฐอเมริกาและประเทศจีนได้ให้ความสำคัญกับเรื่อง สงครามไซเบอร์ (Cyber warfare) ถึงขนาดให้การสนับสนุนให้มีการผลิตนักรบไซเบอร์ (Cyber warriors) ขึ้นมาประจำการในกองกำลังทหาร เพื่อเสริมสร้างกำลังอำนาจทางทหาร ซึ่งเป็นกำลังอำนาจแห่งชาติ (National power) ที่สำคัญด้านหนึ่ง

อย่างไรก็ตาม หลายประเทศยังคงให้ความสำคัญกับการคุ้มครองโลกไซเบอร์สเปซของตนเอง จากการคุกคามและการโจมตีทางไซเบอร์ทางกายภาพจากภายนอกประเทศ โดยไม่คำนึงถึงการคุกคามในระดับผู้ใช้งาน (Practical level)

Hao Yeli (2560) ได้เสนอทฤษฎีสามมุมมอง (Three perspective theory) เพื่ออภิปรายถึงปัญหาของการรุกล้ำอธิปไตยทางไซเบอร์ (Cyber sovereignty) โดยสามารถแบ่งชั้นของการรุกล้ำออกเป็น 3 ระดับ ในลักษณะของพีระมิด ดังปรากฎในแผนภาพที่ 3-2

  1. ระดับล่างสุดของพีระมิด หรือฐานพีระมิดคือ ระดับการรุกล้ำทางกายภาพ (Physical level) หมายถึงโครงสร้างพื้นฐานทางไซเบอร์สเปซและโครงสร้างพื้นฐานทางเทคนิค (Technical foundation) การป้องกันคือ การพัฒนามาตรฐานระบบป้องกันภัยคุกคามทัดเทียมมาตรฐานระดับโลกการสร้างความเชื่อมโยงกันของระบบเทคโนโลยีสารสนเทศ และการพัฒนาขีดความสามารถ ในการป้องกันภัยคุกคามไซเบอร์
  2. ระดับกลางพีระมิดคือ ระดับแอพพลิเคชั่น (Application level) หมายถึง แพลตฟอร์มและตัวกลางที่เชื่อมโยงภาคส่วนต่าง ๆ เข้าด้วยกัน อาทิ เทคโนโลยี วัฒนธรรม เศรษฐกิจ การค้า และการใช้ชีวิตประจำวันของประชาชน การป้องกันคือ การสร้างดุลยภาพและความร่วมมือระหว่างหน่วยงานรัฐและเอกชนเพื่อรักษาสมดุลระหว่างความเป็นอิสระเสรีและความมั่นคง
  3. ระดับยอดของพีระมิด (Top or core level) ประกอบด้วยรากฐานความมั่นคงของรัฐ ได้แก่ นโยบายรัฐ กฎหมาย เสถียรภาพทางเมือง และอุดมการณ์ทางการเมือง และโครงสร้างของความหลากหลาย เช่น ศาสนา และวัฒนธรรม เป็นต้น การป้องกันคือ การสร้างความร่วมมือระหว่างภาครัฐและภาคส่วนอื่นๆ (Multi-stakeholder) การกำหนดนโยบายและกติกาการใช้งานระบบอินเทอร์เน็ตร่วมกัน ทั้งนี้ บางรัฐอาจมีอำนาจตามกฎหมายในการควบคุมโครงสร้างพื้นฐานด้านข้อมูลสารสนเทศของประเทศ

ตัวอย่างประเทศที่ป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ได้สำเร็จ คือ ประเทศจีน ขอบเขตของความปลอดภัยทางไซเบอร์ของจีนกว้างขวางกว่าของชาติตะวันตก ในขณะที่ชาติตะวันตกเน้นเรื่องความปลอดภัยของระบบและโครงสร้างพื้นฐานเป็นสำคัญ ในประเทศจีน ความปลอดภัยทางไซเบอร์มีความหมายกว้าง โดยรวมถึงการรักษาเสถียรภาพทางการเมืองและสังคมด้วย โดยประเทศจีนสามารถควบคุมการใช้อินเทอร์เน็ตของพลเมืองภายในประเทศตนเองได้ การคุ้มครองข้อมูลส่วนบุคคลให้อำนาจรัฐบาลในการเข้าถึงข้อมูลเหล่านั้น ผู้ให้บริการทางโครงข่ายระบบโครงสร้างพื้นฐานที่สำคัญมีความรับผิดชอบในการปกป้องความมั่นคงของรัฐด้วย มีการเร่งพัฒนาศักยภาพด้านไซเบอร์ให้มีเทคโนโลยีและนวัตกรรมเป็นของตนเอง โดยได้ดำเนินโครงการ National public security work informational project ตั้งแต่ปี 2541 ซึ่งมีโครงการย่อย ภายใต้ชื่อกำแพงเมืองจีนบนโลกออนไลน์ “The great firewall” หรือ “GFW” ใช้ทางผ่านอินเทอร์เน็ต 3 ช่องทาง อยู่ที่ปักกิ่ง เซี่ยงไฮ้ และกว่างโจว ในด้านเทคนิคถือว่ามี 3 ช่องทาง แต่ในด้านการควบคุมเป็น “National gateway” ซึ่งพัฒนามาเป็นลำดับตลอดระยะเวลา 20 ปี ที่ผ่านมา และมีการออกกฎหมายควบคุม Virtual private networks (VPN) หรือ “เครือข่ายส่วนตัวเสมือน” ที่ไม่ได้รับอนุญาต ซึ่งเป็นบริการที่ช่วยให้ชาวจีนสามารถเชื่อมต่อกับอินเทอร์เน็ตได้ โดยไม่ต้องการผ่าน National gateway ทำให้เครือข่าย VPN บางเครือข่ายไม่สามารถใช้งานได้ และบางรายถูกปิดอย่างถาวร

ด้วยเหตุนี้เว็บไซต์ที่คนใช้กันอย่างแพร่หลายทั่วโลก เช่น Facebook Youtube Twitter Google Instagram LINE dropbox ไม่สามารถใช้งานในประเทศจีนได้ โดยประเทศจีนได้สร้างสังคมออนไลน์ใช้ภายในประเทศขึ้นมามากมาย เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google แอพพลิเคชั่นไป่ตู้แมพ (Baidu map) ซึ่งเป็นบริการค้นหาสถานที่คล้ายกับ Google map เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) ซึ่งคล้ายกับ Twitter วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศเวียดนาม กัมพูชา และเมียนมา กำลังพัฒนาศักยภาพด้านไซเบอร์เชิงรุกเช่นกัน โดยที่รัฐบาลของมาเลเซีย อินโดนีเซีย สิงคโปร์ และเวียดนาม สนับสนุนให้ภาคเอกชนพัฒนาและเริ่มใช้ Platform เป็นของตนเอง

ตัวอย่างประเทศที่อยู่ระหว่างริเริ่มการป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ คือ ประเทศออสเตรเลีย ซึ่งมีการบัญญัติกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) เมื่อเดือนธันวาคมปี 2561 ซึ่งกำหนดให้บริษัทผู้ให้บริการเทคโนโลยีคอมพิวเตอร์ และเว็บไซต์ที่ปฏิบัติการในออสเตรเลีย ต้องให้ความร่วมมือกับรัฐ ตำรวจ หรือข้าราชการในองค์การเกี่ยวกับ ความปลอดภัย เข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน โดยเจ้าหน้าที่อาจแฮกเข้าอุปกรณ์ไอที ผังมัลแวร์เพื่อทำลายการเข้ารหัส อัยการสูงสุดของออสเตรเลียมีอำนาจออกคำสั่งให้บริษัทเทคชั้นนำอย่าง Apple, Facebook และ Whatsapp สร้างโค้ดซอฟต์แวร์หรืออื่นๆ หากบริษัทปฏิเสธไม่ยอมทำตามจะเจอโทษปรับ 10 ล้านดอลลาร์ และ 5 หมื่นดอลลาร์ นอกจากนี้ บริษัทเหล่านี้อาจต้องมอบข้อมูลเกี่ยวกับสเป็คการออกแบบทางเทคโนโลยีให้กับตำรวจ เพื่ออำนวยความสะดวกในการเข้าถึงอุปกรณ์และบริการเฉพาะได้ อีกทั้งช่วยเหลือทางการออสเตรเลีย ในการพัฒนาขีดความสามารถของตนเอง และช่วยปกปิดข้อเท็จจริงเกี่ยวกับปฏิบัติการของทางการด้วย เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรม การก่อการร้าย และดูแลความมั่นคงของประเทศออสเตรเลีย

นอกจากนี้ ประเทศสิงคโปร์เป็นอีกประเทศที่ริเริ่มการป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ โดยองค์กรด้านการพัฒนาและกำกับดูแลสื่อสารสนเทศภาครัฐของสิงคโปร์ (Infocomm media development authority: IMDA) ได้ออกแนวปฏิบัติทางอินเทอร์เน็ต (Internet code of practice) ภายใต้ Broadcasting act เพื่อควบคุมเนื้อหาต้องห้ามทางออนไลน์ (Prohibited online material) ตั้งแต่ปี 2539 จนกระทั่งเมื่อปลายเดือนพฤษภาคม พ.ศ. 2556 รัฐบาลได้ประกาศให้ผู้ที่จะเปิดเว็บไซต์ข่าวจะต้องมาขึ้นทะเบียนขออนุญาตจากหน่วยงานของรัฐ ทั้งนี้ เพื่อให้สอดคล้องกับสื่อกระจายเสียงที่ต้องปฏิบัติตามแนวปฏิบัติในเรื่องการนำเสนอเนื้อหาข้อมูลข่าวสาร และหากเจ้าหน้าที่รัฐพบว่า มี “เนื้อหาต้องห้าม” จะต้องลบข้อมูลดังกล่าวภายใน 24 ชั่วโมง เนื้อหาต้องห้าม ดังกล่าว ประกอบด้วย เรื่องลามกอนาจาร ความรุนแรงแบบสุดขั้ว และเนื้อหาที่เกี่ยวข้องกับการเมือง และศาสนา องค์กรที่กำกับเรื่องสื่อของสิงคโปร์ได้แก่ The media development authority (MDA) อยู่ภายใต้กระทรวงข้อมูลและการสื่อสาร หน่วยงานแห่งนี้ก่อตั้งขึ้นในปี พ.ศ. 2546 โดยผู้บริหารองค์กรได้รับการแต่งตั้งจากรัฐบาล และมีการบัญญัติกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) หรือที่เรียกง่าย ๆ ว่า Fake news law เมื่อวันที่ 3 ตุลาคม 2562 เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ กฎหมายฉบับนี้ กำหนดโทษแก่ผู้ที่ถูกตัดสินว่าเผยแพร่ข่าวปลอมผ่านบัญชีออนไลน์ โดยผู้กระทำผิดประเภทรายบุคคลจะต้องเสียค่าปรับ 1 แสนดอลลาร์สิงคโปร์ หรือ 72,108 ดอลลาร์สหรัฐฯ หรือจำคุกเป็นเวลาถึง 10 ปี (ขั้นสูงสุด) หรือทั้งจำคุกและปรับ ขณะที่ผู้กระทำผิด ที่เป็นองค์กร จะต้องจ่ายค่าปรับขั้นสูงสุดถึง 1 ล้านดอลลาร์สิงคโปร์ กฎหมายให้อำนาจแก่รัฐบาล ในการกำหนดทิศทางการแก้ไข เพื่อบังคับให้ผู้โพสต์ข่าวปลอมบนช่องทางออนไลน์ต้องแก้ไขและ หยุดเผยแพร่ข้อมูลข่าวปลอมนั้น ๆ นอกจากนี้ รัฐบาลยังสามารถสั่งให้ผู้ให้บริการอินเทอร์เน็ตหรือตัวกลางผู้ให้บริการอินเทอร์เน็ตระงับการเข้าถึงเว็บไซต์ที่ฝ่าฝืน หรือปรับสูงถึงวันละ 20,000 ดอลลาร์สหรัฐฯ รวมสูงสุดไม่เกิน 500,000 ดอลลาร์สหรัฐฯ

กองทัพแห่งประเทศสหรัฐอเมริกาได้จัดการประชุมเชิงปฏิบัติการเกี่ยวกับปัญหา การรุกรานอธิปไตยไซเบอร์ในโลกของไซเบอร์สเปซ ในปี 2560 Cynthia (2559) ได้สรุป ผลการประชุมเชิงสัมมนาว่า สหรัฐอเมริกายังขาดยุทธศาสตร์แบบองค์รวมในการป้องกันการรุกรานอธิปไตยทางไซเบอร์ การแก้ไขปัญหาด้วยการสร้างการทำงานของหน่วยงานภาครัฐให้เป็นไปในทิศทางเดียวกัน (Whole-of-government approach) ไม่เพียงพอที่จะแก้ไขปัญหาได้ จำเป็นต้องขยายการแก้ไขปัญหาเป็นการทำงานของสังคมในทิศทางเดียวกัน (Whole-of-community) และ การทำงานของชาติในทิศทางเดียวกัน (Whole-of-nation) หมายความถึงการดึงให้ภาคเอกชน รัฐบาล และกองทัพของประเทศพันธมิตรเข้ามามีส่วนร่วมด้วย

ในขณะที่ประเทศรัสเซียมีแนวคิดว่า รูปแบบการรุกรานอธิปไตยทางไซเบอร์มีอยู่ 3 รูปแบบ ได้แก่ 1) การรุกรานรัฐ (State) ด้วยนโยบายการต่างประเทศ 2) การรุกรานประเทศ (National) ผ่านการเมือง วัฒนธรรม และเอกลักษณ์ของชาติ และ 3) ความชื่นชอบ (Popular) ผ่านกระบวนการรู้คิด (Cognitive processes) ของประชาชน โดยประเทศรัสเซียเริ่มมีมาตรการป้องกันการรุกรานอธิปไตยทางไซเบอร์ เช่น การห้ามนักลงทุนต่างชาติถือครองหุ้นของสื่อในรัสเซียมากกว่าร้อยละ 20 การทดลองเครือข่ายอินเทอร์เน็ตภายในประเทศ (Runet) หรืออินเทอร์เน็ตทางเลือก เพื่อควบคุมการเชื่อมต่ออินเทอร์เน็ตของประชาชนกับเครือข่ายในต่างประเทศ ซึ่งมีลักษณะเดียวกับกำแพงเมืองจีนบนโลกออนไลน์ “The great firewall” ของประเทศจีน รวมถึงมีเป้าหมายให้บริษัทเทคโนโลยีในประเทศสามารถผลิตเทคโนโลยี แอปพลิเคชัน (Application) และบริการต่าง ๆ ที่เป็นที่นิยมในกลุ่มผู้ใช้งานในประเทศขึ้นมาด้วยตัวเองเหมือนที่ประเทศจีนประสบความสำเร็จ เป็นต้น อย่างไรก็ดี รัสเซียยังประสบความล้มเหลวในการสกัดกั้นไม่ให้ประชาชนเข้าถึงแอพพลิเคชั่นสนทนา “เทเลแกรม (Telegram)” ที่บทสนทนาของผู้ใช้งานจะถูกเข้ารหัสเพื่อรักษาความเป็นส่วนตัว และการทดสอบเครือข่ายอินเทอร์เน็ตภายในประเทศ (Runet) ของรัสเซีย ไม่มีข้อมูลที่ชัดเจนว่าประสบความสำเร็จเพียงใดในการตัดการเชื่อมต่อจากโลกภายนอก

ดังนั้น เมื่อพิจารณาสถานะของการป้องกันการรุกรานทางอธิปไตยไซเบอร์ สามารถกล่าวได้ว่า ประเทศจีนเป็นประเทศที่ประสบความสำเร็จประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศ ที่กำลังตามหลังประเทศจีน และริเริ่มมาตรการการป้องกันอธิปไตยไซเบอร์ ได้แก่ ประเทศออสเตรเลีย และประเทศสิงคโปร์ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ ในขณะที่ เมื่อพิจารณาขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยไซเบอร์ได้ หากไม่มีการวางระบบป้องกันด้านไซเบอร์ของประเทศที่เพียงพอ

วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย

1. วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย

1.1 ประเทศไทยไม่มีการพัฒนาเทคโนโลยีและนวัตกรรมให้เป็นของตนเอง ต้องพึ่งพาแพลตฟอร์มจากต่างประเทศ ไม่มี Platform ที่ทำธุรกิจหารายได้เข้าประเทศ ลดการสูญเสียเงินตราให้กับ Platform ต่างประเทศ ทั้งนี้ จากการสำรวจสัดส่วนการใช้งานแพลตฟอร์มสื่อสังคมออนไลน์ในประเทศไทยต่อการใช้งานอินเทอร์เน็ตทั้งหมด ของ We Are Social และ Hootsuite เมื่อเดือนมกราคมปี 2563 พบว่า กว่าร้อยละ 94 ของผู้ใช้งานอินเทอร์เน็ตใช้งาน Facebook และ Youtube และแพลตฟอร์มใหม่ ๆ อย่าง Tiktok เริ่มมีสัดส่วนเพิ่มขึ้นอย่างรวดเร็ว แพลตฟอร์มทั้งหลายเหล่านี้ล้วนเป็นแพลตฟอร์มของต่างประเทศทั้งสิ้น (แผนภาพที่ 3-3)

1.2 อัตราการใช้สื่อสังคมออนไลน์และการใช้โทรศัพท์เคลื่อนที่ของประชาชน ในประเทศไทยอยู่ในระดับต้น ๆ ของโลกเมื่อเทียบกับจำนวนประชากร และในห้วงการแพร่ระบาดของโรคโควิด-19 ปรากฎชัดว่าประชาชนใช้บริการอินเทอร์เน็ตสูงขึ้นในการทำกิจกรรมที่เกี่ยวกับ การค้า การเงิน การใช้ชีวิตประจำวัน ฯลฯ ทั้งระดับองค์กร และประชาชนรายบุคคล ทั้งนี้ จากการสำรวจของ We Are Social และ Hootsuite เมื่อเดือนมกราคมปี 2563 พบว่า จำนวนผู้ใช้งานสื่อสังคมออนไลน์ในประเทศไทยมีจำนวน 52 ล้านคน คิดเป็นร้อยละ 75 ของประชากร มีอัตราเพิ่มของจำนวนผู้ใช้งาน Social media ร้อยละ 4.7 หรือเพิ่มขึ้น 2.3 ล้านคนจากปีก่อน และผู้ใช้งานสมาร์ทโฟนร้อยละ 99 ใช้งาน Social media ด้วย (แผนภาพที่ 3-4) และจากข้อมูลงานวิจัยของ Kantar GREYnJ United และ Mindshare (Thailand) พบว่า คนไทยมีความตื่นตัวกับการใช้ Social media อย่างมาก ทั้งเพื่อติดตามสถานการณ์ และข้อมูล COVID-19 และเพื่อคลายเหงา ซึ่งเกิดจากการมี Emotional engagement กับสถานการณ์การแพร่ระบาดของโรค COVID-19 โดยพฤติกรรมและไลฟ์สไตล์ของคนไทยร้อยละ 63 ลดการเข้าสังคม /พบปะผู้คน และหันไปกระทำกิจกรรมบน Social media มากขึ้น

1.3 ไซเบอร์มีแนวโน้มที่จะถูกนามาใช้ทั้งเชิงรุกและเชิงรับในการปฏิบัติการทางทหารมากขึ้น ซึ่งอาจสามารถเอาชนะกันได้ตั้งแต่ต้นโดยไม่ต้องใช้อาวุธหรือการรบเกิดขึ้นจริง และในสงครามผสมผสาน (Hybrid war) ซึ่งเป็นสงครามที่มีการผสมผสานกำลังตามแบบและกำลังนอกแบบปฏิบัติการทางทหารร่วมกันอย่างแยกไม่ออก โดยอยู่ในรูปแบบ “สงครามข่าวสาร” (Information warfare) ที่เข้าถึงประชาชนได้ง่ายผ่านสื่อสังคมออนไลน์ เช่น การใช้เพจ Facebook หรือ Twitter สร้างมวลชนที่ต่อต้านอำนาจรัฐและสถาบันหลักของชาติ ข่าวสาร ที่บิดเบือนความจริงที่นำไปสู่การขาดความเชื่อมั่นต่อรัฐและสถาบันหลักของชาติ หรือการสื่อสารกันโดยตรงที่ยากที่จะตรวจจับ เป็นต้น

1.4 ภัยคุกคามจากตัวแสดงที่ไม่ใช่รัฐ (Non-state actor) เช่น อาชญากร กลุ่มผู้ก่อการร้าย กลุ่มค้ายาเสพติด กลุ่มการพนันออนไลน์ เป็นต้น มีแนวโน้มจะใช้/แสวงประโยชน์ ใช้ไซเบอร์ในการปฏิบัติการมากขึ้น รวมถึงกลุ่มตรงข้าม/ศัตรูทางการเมืองจะใช้ประโยชน์ในกิจกรรมทางการเมืองมากขึ้นเช่นกัน โดยเฉพาะการใช้ Social media ที่มีการใช้ อย่างแพร่หลายในการเลือกตั้งสำคัญต่าง ๆ เนื่องจากเครื่องมือในการสื่อสารที่มีพลังอำนาจสูงในการสร้างความเปลี่ยนแปลงให้เกิดขึ้นได้ในสังคม เป็นช่องทางการสื่อสารระหว่างพรรคการเมือง แกนนำทางการเมืองและแกนนำทางการเคลื่อนไหว และใช้ในการติดต่อสื่อสารกับผู้สนับสนุน ระดมบุคลากรและทรัพยากรในการเคลื่อนไหวทางการเมือง ส่งผลให้นักการเมืองและพรรคการเมือง สามารถใช้ Social media ในการหาเสียง โจมตีให้ร้ายคู่แข่ง สร้างความเกลียดชัง และสร้างความรู้สึกแตกแยกให้เกิดขึ้นในสังคมได้ ผู้ติดตามใน Social media เป็นผู้ช่วยแชร์ (Share) และกระจายข้อมูลไปยังกลุ่มเพื่อนและเครือข่ายของตนได้อย่างรวดเร็ว

1.5 มีบุคคล/กลุ่มบุคคลใช้ไซเบอร์ เป็นเครื่องมือบ่อนทำลายสถาบันหลักของชาติ โดยการปฏิบัติการข่าวสาร (Information Operation: IO) การโฆษณาชวนเชื่อ การบิดเบือนข้อมูลที่กระทำซ้ำ ๆ และการปลูกฝังแนวความคิดที่กระทบต่อความมั่นคง (ในรูปแบบการแอบแฝง/ทำซ้ำ/จิตวิทยาหมู่) รวมถึงมีแนวโน้มที่จะมีการใช้เพื่อประโยชน์ทางการเมืองมากขึ้น ทั้งด้วยเครื่องมือ เทคนิค/วิธีการ และเทคโนโลยี ตลอดจนการระดมกลุ่มที่มีแนวคิดเดียวกันด้วยสื่อออนไลน์ (วิธีการทางไซเบอร์) เช่น เว็บไซต์หมิ่นสถาบันพระมหากษัตริย์ เพจ Facebook จาบจ้วงสถาบันพระมหากษัตริย์ ข้อความหมิ่นสถาบันพระมหากษัตริย์ทาง Facebook และ Youtube channel ที่บิดเบือนบ่อนทำลายสถาบันหลักของชาติ เป็นต้น

1.6 บริษัทต่างชาติที่ครอบครองเทคโนโลยีและนวัตกรรมใช้ประโยชน์ดูดซับความมั่งคั่งออกไปนอกประเทศ โดยอำนาจการจัดเก็บเสียภาษีตามกฎหมายของประเทศไทย ยังไม่ครอบคลุม โดยประมวลรัษฎากรและอนุสัญญาภาษีซ้อน (Double tax agreement: DTA) ที่ประเทศไทยลงนามกับประเทศคู่สัญญา 60 ประเทศ กำหนดให้บริษัทต่างชาติที่มีกิจการในประเทศไทย หรือมีตัวแทนที่ขายในประเทศไทย มีหน้าที่เสียภาษีเงินได้นิติบุคคล เฉพาะกรณีมี สถานประกอบการถาวรอยู่ในไทย (Permanent establishment: PE) เช่น สำนักงาน สาขา โรงงาน เป็นต้น เฉพาะเงินได้ในส่วนที่เป็นของ PE ซึ่งบริษัทต่างชาติที่ใช้แพลตฟอร์มในการประกอบธุรกิจให้บริการในประเทศไทย เช่น Facebook Youtube Google Twitter เป็นต้น มักจะหลีกเลี่ยง การจัดตั้ง PE ในประเทศไทย ทำให้ประเทศไทยไม่สามารถจัดเก็บภาษีเงินได้จากบริษัทต่างชาติได้ นอกจากนี้ กรณีที่มีการจ่ายเงินได้ให้บริษัทต่างชาติ ประมวลรัษฎากรได้ยกเว้นภาษี หัก ณ ที่จ่าย สำหรับเงินได้ตามมาตรา 40 (8) (เงินได้จากการธุรกิจ การพาณิชย์ การเกษตร การอุตสาหกรรม การขนส่ง หรือการอื่น เช่น ค่าจ้างโฆษณา ค่าเบี้ยประกันภัย ค่าธรรมเนียมที่เกี่ยวกับการพาณิชย์ เป็นต้น) ด้วยเหตุนี้ กรณี Youtube และ Facebook มีเงินได้ค่าโฆษณาจากประเทศไทย ซึ่งเป็นเงินได้ประเภท 40 (8) ผู้จ่ายเงินได้ค่าโฆษณาไปให้แพลตฟอร์มต่างประเทศ ซึ่งส่วนใหญ่ เป็นผู้ประกอบการไทย จึงไม่มีหน้าที่หักภาษีเงินได้ ณ ที่จ่าย นำส่งกรมสรรพากร ตามมาตรา 70 แห่งประมวลรัษฎากร

1.7 หน่วยงานที่เป็นกลไกตามกฎหมาย (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒) ยังอยู่ระหว่างการจัดตั้งและขับเคลื่อน แม้ว่าหน่วยงานด้านความมั่นคง โดยเฉพาะกองทัพมีการจัดตั้งหน่วยงานด้านไซเบอร์ขึ้นมารับผิดชอบแล้ว เช่น การจัดตั้งศูนย์ไซเบอร์กองทัพบก (Army cyber center) ในปี 2559 การจัดตั้งศูนย์ไซเบอร์ กรมเทคโนโลยีสารสนเทศและอวกาศกลาโหม ในปี 2560 เป็นต้น ทั้งนี้ ปัจจุบัน ณ เดือนมิถุนายน 2563 สำนักงานตำรวจแห่งชาติ อยู่ระหว่างการจัดตั้งกองบัญชาการ “ตำรวจไซเบอร์” เพื่อแยกหน้าที่กับหน่วยปฏิบัติให้มีความชัดเจน เนื่องจากปัจจุบัน สำนักงานตำรวจแห่งชาติมีเพียงหน่วยงานกองบังคับการปราบปรามอาชญากรรมทางเทคโนโลยี หรือ บก.ปอท. ซึ่งเป็นระดับกองบังคับการ เท่านั้น นอกจากนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยังอยู่ระหว่างการจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ภายใต้อำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

1.8 กฎหมายที่เกี่ยวข้อง (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้านความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต ช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์ ทั้งนี้ กฎหมายที่เกี่ยวข้องส่วนใหญ่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพและภัยคุกคามทางไซเบอร์เป็นหลักไม่ครอบคลุมถึงการรุกรานทางความคิดผ่านเครือข่ายสังคมออนไลน์และอธิปไตยทางไซเบอร์

2. วิเคราะห์การขับเคลื่อนทางยุทธศาสตร์ในช่วงที่ผ่านมา

2.1 การป้องกันการรุกล้ำอธิปไตยไซเบอร์ภายใต้ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580)
รัฐบาลพลเอก ประยุทธ์ จันทร์โอชา ได้ให้ความสำคัญกับความมั่นคงปลอดภัยทางไซเบอร์ โดยมีวัตถุประสงค์เพื่อป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ และรักษาความมั่นคงปลอดภัยทางไซเบอร์ของชาติ โดยกำหนดให้ความมั่นคงปลอดภัยทางไซเบอร์ถือเป็นส่วนหนึ่งของยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) ในด้านความมั่นคง โดยแผนแม่บทย่อยจะมุ่งเน้นที่ความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์เป็นหลัก ประกอบด้วย 9 แผนงาน 15 โครงการ ที่สำคัญ (ตารางที่ 3-2) ดังนี้

ในส่วนของการให้ความสำคัญกับ “ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty)” ถูกบรรจุอยู่ในยุทธศาสตร์ชาติ 20 ปี ในประเด็นยุทธศาสตร์ชาติด้านการสร้างความสามารถในการแข่งขัน ประเด็นที่ 4.2 อุตสาหกรรมและบริการแห่งอนาคต ประเด็นย่อยที่ 4.2.5 อุตสาหกรรมความมั่นคงของประเทศ เพื่อสร้างอุตสาหกรรมที่ส่งเสริมความมั่นคงปลอดภัยทางไซเบอร์ และเพื่อปกป้องอธิปไตยทางไซเบอร์ เพื่อรักษาผลประโยชน์ของชาติจากการทำธุรกิจดิจิทัล โดยแผนแม่บทยุทธศาสตร์ของอุตสาหกรรมความมั่นคงของประเทศได้กำหนดโครงการ ที่สำคัญเอาไว้ 3 โครงการ ดังปรากฎในตารางที่ 3-3

จะเห็นได้ว่า การให้ความสำคัญของปัญหาการรุกรานอธิปไตยทางไซเบอร์ ในยุทธศาสตร์ชาติ 20 ปี มีความหมายในเชิงการป้องกันการรุกรานระบบฐานข้อมูล โครงสร้างพื้นฐาน และการโจมตีเทคนิค ซึ่งยังไม่มีความชัดเจนในการสร้างความตระหนักรู้แก่ภาคประชาชนเพื่อป้องกันการรุกรานทางความคิด ความเชื่อ และอุดมการณ์ และการสร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสารผ่านสื่อสังคมออนไลน์ (Social media) การโฆษณาชวนเชื่อ และข่าวปลอม (Fake news) โดยเฉพาะอย่างยิ่งกลุ่มเป้าหมายที่เป็นเยาวชนและคนรุ่นใหม่ ซึ่งมีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น

2.2 การป้องกันการรุกล้ำอธิปไตยไซเบอร์ภายใต้ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสานักงานสภาความมั่นคงแห่งชาติ
สำนักงานสภาความมั่นคงแห่งชาติ (สมช.) ได้จัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) ซึ่งเป็นแนวนโยบายระดับชาติฉบับแรกของไทยในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่กำหนดยุทธศาสตร์ที่สำคัญ 6 ด้าน (ตารางที่ 3-4) พร้อมทั้งมีการแต่งตั้งคณะกรรมการเตรียมการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติในปี 2560 และมีการแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (National cybersecurity committee: NCSC) (กมช.) ซึ่งมีนายกรัฐมนตรีเป็นประธาน และคณะกรรมการกำกับดูแลด้านความั่นคงปลอดภัยไซเบอร์ (กกม.) ซึ่งมีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

จะเห็นได้ว่า ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. ส่วนใหญ่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพ และภัยคุกคามทางไซเบอร์เป็นหลัก มีเพียงยุทธศาสตร์เดียวที่กล่าวถึงการสร้างความรู้ทางดิจิทัลให้แก่ประชาชน แต่เป็นการสร้างความรู้เฉพาะในด้านการเคารพสิทธิและเสรีภาพขั้นพื้นฐานของผู้อื่นบนโลกไซเบอร์ และตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เป็นการคุมทางกายภาพ มิใช่การรุกรานทางความคิดและอธิปไตยทางไซเบอร์

วิเคราะห์ความสอดคล้องยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกับการแก้ปัญหาอธิปไตยไซเบอร์ในระดับสากล

เมื่อพิจารณาเปรียบเทียบยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ 5 ปี (พ.ศ. 2560 – 2564) กับกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity capacity centre แห่ง University of Oxford (ตารางที่ 3-5) จะเห็นได้ว่า ประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติครอบคลุมทุกมิติของแนวคิด CMM แล้ว แต่หากพิจารณาในรายละเอียดจะพบว่า แผนงานที่ 7 การสร้างความตระหนักรู้ประชาชนและหน่วยงาน เน้นเฉพาะในการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ตามมิติที่ 2 ของ CMM ส่วนแผนงานที่ 5 การปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนาบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทันการละเมิดข้อมูลส่วนบุคคล และนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์” ตามมิติที่ 2 ของ CMM เช่นกัน

สำหรับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. มีเพียงยุทธศาสตร์เดียวที่กล่าวถึงการสร้างความรู้ทางดิจิทัลให้แก่ประชาชน แต่เป็นการสร้างความรู้เฉพาะในด้านการเคารพสิทธิและเสรีภาพขั้นพื้นฐานของผู้อื่นบนโลกไซเบอร์ และตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เป็นการคุมทางกายภาพ มิใช่การรุกรานทางความคิดและ “อธิปไตยทางไซเบอร์ (Cyber sovereignty)” ตามมิติที่ 2 ของ CMM นอกจากนี้ ถึงแม้ว่า ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. ครอบคลุมทุกมิติของแนวคิด CMM แล้ว แต่ในมิติที่ 3 ของ CMM ในเรื่อง Cybersecurity education, training and skills แต่กลับไม่มียุทธศาสตร์รองรับ มีเพียงแนวทางการดำเนินการที่ 2.8 ภายใต้ประเด็นยุทธศาสตร์ที่ 2 การปกป้องโครงสร้างพื้นฐานสำคัญ ที่พูดถึงเฉพาะเรื่องการพัฒนาศักยภาพของบุคลากรในภาครัฐ แต่ไม่ครอบคลุมถึงกลุ่มเยาวชนและประชาชนทั่วไป ซึ่งจำเป็นต้องมีการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสมกับแต่ละช่วงวัยแต่ตั้งระดับประถมศึกษา และใน มิติที่ 4 ของ CMM ในเรื่อง Legal and regulatory frameworks ก็ไม่มียุทธศาสตร์รองรับ มีเพียงแนวทางการดำเนินการที่ 2.7 ภายใต้ประเด็นยุทธศาสตร์ที่ 2 การปกป้องโครงสร้างพื้นฐานสำคัญ ที่พูดถึงการร่างและปรับปรุงกฎหมาย ระเบียบปฏิบัติ และข้อกำหนด เพื่อกำกับและวางกรอบการรักษาความมั่นคงปลอดภัยไซเบอร์

ดังนั้น จึงควรนำ Cybersecurity capacity maturity model (CMM) มาใช้เป็นกรอบแนวคิดในการพัฒนาและขับเคลื่อนยุทธศาสตร์ชาติ และยุทธศาสตร์การดูแลความมั่นคงปลอดภัยทางไซเบอร์

สรุป

จากการศึกษายุทธศาสตร์ในการป้องกันการรุกรานทางอธิปไตยไซเบอร์ของต่างประเทศ พบว่า ประเทศจีนเป็นประเทศที่ประสบความสำเร็จเพียงประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศ ออสเตรเลีย และศสิงคโปร์ กำลังตามหลังประเทศจีน โดยริเริ่มมาตรการการป้องกันการรุกรานอธิปไตยทางไซเบอร์แล้ว ได้แก่ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act: AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือ เป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ ในขณะที่ เมื่อพิจารณา ขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือพลังอำนาจอ่อน (Soft power) รุกรานอธิปไตยไซเบอร์ได้

กรณีของประเทศไทย ความไม่พร้อมในการรับมือปรากฏการณ์ Social media และ การสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) รัฐบาลยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติ 20 ปี (2561 – 2580) มีแผนงานการสร้างความตระหนักรู้ประชาชนและหน่วยงาน ที่เน้นเฉพาะในการการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ และแผนงานการปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนาบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทัน การละเมิดข้อมูลส่วนบุคคลและนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์”

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 5

ในตอนที่ 3 และ ตอนที่ 4 ที่ผ่านมา ผมได้ลงเนื้อหาของบทที่ 2 ซึ่งเป็นการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง โดย อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด เจ้าของผลงานการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” ได้เขียนถึงทฤษฎีและแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ และ กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล ซึ่งเป็นส่วนของการทบทวนวรรณกรรม สำหรับในตอนที่ 5 นี้ ผมขอลงเนื้อหาส่วนที่เกี่ยวกับงานวิจัยที่เกี่ยวข้องต่อนะครับ

การศึกษาวิจัยที่เกี่ยวกับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

1. การศึกษาวิจัยภายในประเทศ

พลเรือตรี อุดม ประตาทะยัง (2560) ได้ศึกษาเกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ พัฒนาการของความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ รูปแบบการโจมตีทางไซเบอร์ ความรุนแรงที่เกิดจากผลกระทบของการโจมตีทางไซเบอร์ต่องานด้านความมั่นคงของประเทศ และศึกษาแนวทางในการรับมือกับภัยคุกคาม อันเนื่องมาจากความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในอนาคต โดยผลการศึกษาพบว่า การมีหน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ เพื่อการป้องกันภัยคุกคามทางไซเบอร์ และประสานงานทั้งภายในและระหว่างประเทศ ในการแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยไซเบอร์มีความสำคัญอีกทั้งต้องมีการบูรณาการร่วมกันของหน่วยงานภาครัฐและเอกชน เพื่อยกระดับความพร้อมรับมือภัยคุกคามทางไซเบอร์ ที่มีผลกระทบต่อโครงสร้างพื้นฐานที่สำคัญของประเทศ การดำเนินงานรักษาความปลอดภัยไซเบอร์ของประเทศไทยยังมีลักษณะต่างฝ่ายต่างทำ ถึงแม้ว่าในปัจจุบันความเสี่ยงด้านความปลอดภัยทางไซเบอร์มากขึ้น แต่องค์กรต่าง ๆ มีการรักษาความปลอดภัยแบบแยกส่วน และบางครั้งมีความขัดแย้งกัน ประกอบกับการขาดแคลนทักษะด้านการรักษาความปลอดภัย ทำให้หลายองค์กรไม่เข้าใจและไม่สามารถจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ การขาดแคลนบุคลากรด้านการรักษาความปลอดภัยไซเบอร์ และการพัฒนาบุคลากรด้านนี้ ยังไม่ทันต่อความต้องการของประเทศ องค์กรภาคเอกชนปกปิดเหตุการณ์การถูกโจมตีทางไซเบอร์ เนื่องจากกลัวการเสียชื่อเสียง นอกจากนี้ ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ในปัจจุบันนั้น อาจยังขาดองค์ประกอบที่สำคัญหลายประการ

พลเรือตรี อุดม ประตาทะยัง (2560) ได้เสนอแนะแนวทางการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ใน 3 ประเด็น ประกอบด้วย 1) การกำหนดให้มีเป้าหมาย (Ends) ที่ชัดเจน คือ เพื่อปกป้อง รับมือ ป้องกันและลดความเสี่ยงจากสถานการณ์ภัยคุกคามทางไซเบอร์ อันกระทบต่อความมั่นคงของชาติทั้งจากภายในและภายนอกประเทศ 2) การกำหนด แผนงาน/โครงการ (Projects/Plans) ประกอบยุทธศาสตร์ไว้อย่างเหมาะสม และ 3) การมีแนวทางในการนำยุทธศาสตร์ไปสู่การปฏิบัติ (Implementation) ไว้อย่างเหมาะสม นอกจากนี้ ยังได้เสนอให้มีการจัดตั้งศูนย์ไซเบอร์แห่งชาติ เพื่อบูรณาการการดำเนินการในส่วนที่เกี่ยวข้อง การกำหนดกรอบแนวคิดนโยบายและแผนระดับชาติ การยกระดับแผนการทำงานร่วมกัน เช่นแผนการซ้อมรับมือภัยคุกคามทางไซเบอร์ เป็นต้น การวางรากฐานการศึกษาเกี่ยวกับความปลอดภัยทางไซเบอร์ การศึกษากระบวนการการรักษาความปลอดภัยสารสนเทศ และการสร้างความร่วมมือด้านความมั่นคงทางไซเบอร์ระหว่างประเทศ

ยุทธนา เจียมตระการ (2560) ได้ศึกษาแนวทางการจัดการความมั่นคงปลอดภัยไซเบอร์สำหรับอุตสาหกรรมขนาดใหญ่ให้มีประสิทธิผลและประสิทธิภาพ และสอดรับกับนโยบายของประเทศในเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ และข้อเสนอแนะการดำเนินการสำคัญสำหรับภาครัฐและอุตสาหกรรมขนาดใหญ่ในภาคธุรกิจ เพื่อช่วยให้การสร้างความมั่นคงปลอดภัยไซเบอร์บรรลุความสำเร็จอย่างมีประสิทธิภาพยิ่งขึ้น เช่น การกำหนดเป้าหมายในยุทธศาสตร์ชาติ การจัดทำแผนแม่บทของประเทศ การสร้างความตระหนักกับผู้บริหารระดับสูงขององค์กร การใช้หลักการบริหารจัดการความเสี่ยงเพื่อการดำเนินการ การสร้างเครือข่ายความร่วมมือ เป็นต้น

ผลการศึกษาพบว่า ยุทธศาสตร์ที่ 1 และยุทธศาสตร์ที่ 2 ของร่างยุทธศาสตร์ชาติ 20 ปี ไม่มีการกำหนดเป้าหมายในเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ และขาดความเชื่อมโยงในส่วนของเป้าหมายกับนโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ (พ.ศ.2560-2564) ขาดการเตรียมการของหน่วยงานภาครัฐที่เกี่ยวข้องซึ่งไม่ได้อยู่ในเป้าหมายระยะ 5 ปีแรก แต่ต้องรองรับในเฟสถัดไป (ปีที่ 6 ถึงปีที่ 20) ขาดการแสดงสมดุลและบูรณาการในระยะยาวของแผนพัฒนาด้านความมั่นคง และด้านเศรษฐกิจ ทำให้แผนพัฒนา 5 ปี ของหน่วยงานด้านความมั่นคง และหน่วยงานด้านเศรษฐกิจที่รองรับอาจมีความขัดแย้งกัน จึงเสนอแนะให้ภาครัฐกำหนดเป้าหมายเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ในยุทธศาสตร์ชาติ จัดทำแผนแม่บทของประเทศในเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ กำหนดกลไกในการขับเคลื่อนภาคธุรกิจให้เกิดการปฏิบัติตามแผนแม่บทของประเทศ สนับสนุนให้เกิดหน่วยงานกลางด้านความมั่นคงปลอดภัยไซเบอร์ทั้งในส่วนของภาครัฐเอง และของภาคธุรกิจในลักษณะกลุ่มอุตสาหกรรม เพื่อให้เกิดการจัดตั้งเครือข่าย ความร่วมมือในการเฝ้าระวังภัย การแบ่งปันข้อมูลทั้งเรื่องภัยคุกคามไซเบอร์ และแนวปฏิบัติที่ดี (Good practices) การพัฒนาความรู้และความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์แก่บุคลากร การจัดตั้งกลุ่มผู้เชี่ยวชาญร่วม (Pool specialist) เพื่อให้ความช่วยเหลือหรือเป็นที่ปรึกษาด้านการสร้างความมั่นคงปลอดภัยไซเบอร์ จัดตั้งศูนย์พัฒนาบุคลากรด้านความมั่นคงปลอดภัย ไซเบอร์ ทั้งระดับผู้เชี่ยวชาญในการทำสงครามไซเบอร์ ระดับตรวจสอบหรือประเมินช่องโหว่ของระบบ และระดับประกาศนียบัตรด้านมาตรฐานการจัดการ จัดตั้งศูนย์วิจัยและพัฒนาเครื่องมือ และ/หรือโปรแกรมการป้องกันหรือตรวจสอบภัยคุกคามไซเบอร์ จัดตั้งศูนย์กลางรวบรวมข่าวสาร หรือแหล่งความรู้ด้านภัยคุกคามไซเบอร์ทั้งของประเทศไทยและทั่วโลกที่ภาคธุรกิจหรือประชาชนทั่วไปสามารถเข้าถึงได้ตลอดเวลา

นาวาอากาศเอก ชนินทร เฉลิมทรัพย์ (2560) ได้ศึกษาแนวคิดทฤษฎีเกี่ยวกับสมรรถนะองค์กรการบูรณาการการบริหารจัดการและการรักษาความมั่นคงปลอดภัยทางไซเบอร์ รวมทั้งการศึกษาค้นคว้า นโยบาย ยุทธศาสตร์และการดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของกระทรวงกลาโหม และกระทรวงดิจิทัล เพื่อเศรษฐกิจและสังคม โดยผลการศึกษาพบว่า การศึกษาแนวคิดทฤษฎีเกี่ยวกับสมรรถนะองค์กรการบูรณาการการบริหารจัดการ และการรักษาความมั่นคงปลอดภัยไซเบอร์ จำเป็นต้องมีองค์กรที่นำเทคนิคการบริหารจัดการมาใช้ ต้องมีโครงสร้างและรูปแบบที่สอดคล้องกับสภาพแวดล้อมของสังคมนั้น การบูรณาการ การบริหารจัดการ ต้องมีเจ้าภาพที่ชัดเจน ทำงานแบบมุ่งเน้นผลงานตามยุทธศาสตร์ โดยใช้ทรัพยากรร่วมกัน เพื่อให้บรรลุเปูาหมาย สำหรับภัยคุกคามด้านไซเบอร์ โดยสภาพและลักษณะของภัยคุกคาม ที่มีการเปลี่ยนแปลงไปจากเดิม มีรูปแบบการโจมตีที่หลากหลาย การวางแผนป้องกัน คือ การปรับกลยุทธ์ในการรับมือและใช้ระบบมาตรฐานทางไซเบอร์ (ISO/IEC 27001 : 2013) หรือมาตรฐานที่จะถูกพัฒนาขึ้นต่อไป มาช่วยดำเนินการบริหารจัดการ แต่ปัจจัยในการดำเนินงานที่สำคัญที่สุดคือมนุษย์ การศึกษาแนวนโยบายและยุทธศาสตร์ ตลอดจนการดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ พบว่า กระทรวงกลาโหมใช้แนวความคิดในการป้องกันทางไซเบอร์ เช่นเดียวกับการศึกษามั่นคงของประเทศ โดยเน้นการป้องกันเชิงรุก การผนึกกำลังป้องกันประเทศ และ การร่วมมือด้านความมั่นคงทางไซเบอร์ โดยได้จัดตั้งส่วนปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity operation center : CSDC) เชิงรับและส่วนสนับสนุนในการตอบสนองต่ออุบัติการณ์ด้านความมั่นคงปลอดภัย (Computer security incident response team : CSIRT) สำหรับกระทรวงดิจิทัลฯ ได้กำหนดกรอบแนวคิดและนโยบายในระดับชาติกำหนดโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical information infrastructure : CII) ของประเทศ กำหนดแนวทางปฏิบัติเพื่อตอบสนองต่อสถานการณ์ฉุกเฉินทางความมั่นคงปลอดภัยไซเบอร์ (Standard operating procedure : SOP) รวมทั้งเสนอแนวความคิดในการจัดตั้ง Cybersecurity agency (CSA) หน้าที่เป็นหน่วยงานกลาง ในการประสานงานและเผชิญเหตุด้านความมั่นคงปลอดภัยไซเบอร์

ข้อเสนอแนะสำหรับแนวทางการบูรณาการการรักษาความมั่นคงปลอดภัยทางไซเบอร์มีดังนี้ คือ การจัดการความรู้และบริหารความเสี่ยง (Knowledge management & risk) เพื่อให้ผู้นำองค์กร ผู้กำหนดนโยบายและผู้ปฏิบัติ ได้ตระหนักรู้และเก็บสะสมองค์ความรู้ และประสบการณ์ เพื่อเป็นประโยชน์ต่อไป มีการทำงานแบบเครือข่าย (Network) เชื่อมโยงตามประเด็นยุทธศาสตร์ร่วม (Common agenda) ปฏิบัติงานตามมาตรฐานการปฏิบัติทางเทคโนโลยี และจัดตั้งศูนย์การศึกษาและการวิจัยพัฒนาด้านความมั่นคงปลอดภัยทางไซเบอร์

พลตรี ปรัชญา เฉลิมวัฒน์ (2560) ได้ศึกษาแนวทางการพัฒนากำลังพลด้านไซเบอร์ เพื่อการเตรียมความพร้อมต่อภัยคุกคามไซเบอร์ในระดับชาติ โดยคำนึงถึงการบูรณาการแนวความคิดจากประเด็นปัญหาในด้านต่าง ๆ ทั้งปัจจัยด้านเวลาการพัฒนาและด้านการเสริมสร้างกำลังพลไซเบอร์ในรูปแบบกองกำลังผสมพลเรือน ตำรวจ ทหาร และการพิจารณาใช้ข้อกฎหมาย ที่เกี่ยวข้องกับการเตรียมกำลังพลสำรองในระดับชาติ โดยผลการศึกษาพบว่า แนวทางในการพัฒนากำลังพลด้านไซเบอร์จะเป็นประโยชน์ต่อการกำหนดกรอบเวลา การวางแผน การดำเนินการเสริมสร้างความแข็งแกร่งของบุคลากรด้านไซเบอร์ให้กับประเทศชาติ ซึ่งหากนำไปใช้ปฏิบัติได้อย่างจริงจังจะทำให้สามารถลดปัญหาการขาดแคลนกำลังพลไซเบอร์ และทำให้เกิดความ “ยั่งยืน” ในการเสริมสร้างกำลังพลไซเบอร์ในระยะยาวได้เป็นอย่างดี นอกจากนั้นกำลังพลสำรองไซเบอร์ ยังเป็นส่วนสำคัญในการพัฒนาอุตสาหกรรมซอฟท์แวร์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ของประเทศในอนาคต

ข้อเสนอแนะสำหรับการพัฒนากำลังพลด้านไซเบอร์ ประกอบด้วย 1) การกำหนดแนวทางในการจัดการกำลังพลสำรองที่ปลดประจำการ (ผ่านการเกณฑ์ทหารไปแล้ว) แต่ทำงานในสาขาที่เกี่ยวข้องอยู่แล้ว พิจารณาการเรียกเข้ามาเพื่อเป็นผู้ฝึกให้กับ “ทหารใหม่ไซเบอร์” ได้เป็นอย่างดี โดยที่เขาเหล่านั้นก็ถือได้ว่ามารับใช้ประเทศชาติในอีกทางหนึ่งในมิติของไซเบอร์ 2) การกำหนดนโยบายกำลังพลสำรองไซเบอร์ เพื่อนำทหารกองหนุน/กองเกินที่มีประสบการณ์ด้านไซเบอร์มาประกอบกำลังในสถานการณ์ฉุกเฉิน และการทำให้บุคลกรไซเบอร์สามารถทำงานได้ ทั้งภาครัฐและเอกชน อาศัยหลักการ “แบ่งเวลา” ตามความเหมาะสมหรือความต้องการของบุคคลนั้น ๆ 3) การจัดตั้งคณะทำงานเพื่อหาแนวทางร่วมกันระหว่างหน่วยที่เกี่ยวข้องเพื่อให้ได้ข้อสรุปการบริหารจัดการกำลังพลสำรองไซเบอร์ 4) การยื่นข้อเสนอพิเศษให้บุคลากรที่มีพื้นฐานด้านคอมพิวเตอร์อยู่แล้ว เป็นการสร้างทางเลือกให้แก่ผู้ที่คิดจะหลีกเลี่ยงการเกณฑ์ทหารด้วยมีภาพลักษณ์ของการฝึกทหารใหม่ที่มีการใช้ความรุนแรง แต่สามารถเข้ารับการเกณฑ์ทหารด้วยการฝึกแบบพิเศษ เพื่อให้สามารถเข้าทำการในลักษณะปฏิบัติการไซเบอร์ได้ ทั้งในหน่วยทหารและองค์กรที่มีความต้องการบุคลากรด้านไซเบอร์

2. การศึกษาวิจัยต่างประเทศ

Darius และคณะ (2560) ได้ศึกษารูปแบบของการกำหนดยุทธศาสตร์ ความมั่นคงปลอดภัยไซเบอร์ของประเทศลิทัวเนีย ซึ่งเป็นประเทศสมาชิกกลุ่มสหภาพยุโรป ที่มีการนำระบบ FTTP (Fiber to the premise) ซึ่งเป็นโครงข่ายโทรคมนาคมที่ใช้ optical fiber ตั้งแต่อุปกรณ์ส่งสัญญาณของผู้ให้บริการไปจนถึงพื้นที่บริเวณจุดใช้งานของผู้ใช้ เช่น ห้องนั่งเล่นภายในบ้าน หรือ สำนักงานของผู้ใช้ เป็นต้น มาใช้งานสูงที่สุดในกลุ่มสหภาพยุโรป โดยศึกษาจากงานวิจัยที่ผ่านมา บทสัมภาษณ์ผู้เชี่ยวชาญ และกรณีศึกษาที่ดี โดยผลการศึกษาได้เสนอยุทธศาสตร์การรักษา ความมั่นคงปลอดภัยไซเบอร์ 7 ด้าน ประกอบด้วย 1) การคุ้มครองโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Protection of critical infrastructure) 2) การคุ้มครองทรัพยากรข้อมูลภาครัฐ (Protection of state information resources) 3) การสร้างความร่วมมือระหว่างภาครัฐและเอกชน (Cooperation of the private and public sectors) 4) การมอบหมายอำนาจหน้าที่ของหน่วยงานภาครัฐอย่างเป็นระบบ (Formation of the institutional system) 5) การพัฒนาวัฒนธรรมไซเบอร์ที่ดี (Development of the cyber culture) 6) การสร้างความร่วมมือกับองค์กรระหว่างประเทศ (International cooperation) และ 7) การพัฒนาสภาพแวดล้อมของการบังคับใช้กฎหมาย (Development of the legal environment)

นอกจากนี้ Darius และคณะ (2560) ได้สรุปว่า ความมั่นคงปลอดภัยไซเบอร์สามารถเชื่อมโยงกับภาคส่วนเศรษฐกิจต่าง ๆ ผ่านการให้บริการทางอิเล็กทรอนิกส์ (e-service) และการติดต่อสื่อสารบนเครือข่ายอิเล็กทรอนิกส์ ปัญหาความมั่นคงปลอดภัยไซเบอร์ของประเทศลิทัวเนีย ส่วนใหญ่เกิดจากประเทศเพื่อนบ้าน ซึ่งหากประเทศเพื่อนบ้านมียุทธศาสตร์ที่แตกต่างออกไป การสร้างความร่วมมือในการค้นหากลไกวิธีจัดการกับภัยคุกคามไซเบอร์อาจทำได้ยากขึ้น จึงมีความจำเป็นต้องจัดทำยุทธศาสตร์ให้มีความง่ายต่อการเข้าใจ และมีค่าบ่งชี้ที่เป็นสากล เพื่อให้สามารถสื่อสารกับประเทศอื่น ๆ ด้วยความเข้าใจที่ตรงกัน อย่างไรก็ดี ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ยังจำเป็นต้องเน้นการรับมือกับสถานการณ์ และอุบัติการณ์ทางไซเบอร์ที่เกิดขึ้นภายในประเทศ เนื่องจากภัยคุกคามไซเบอร์ที่เกิดขึ้นทั่วโลกย่อมมีความแตกต่างกัน

Kaushik และคณะ (2562) ได้ศึกษาเปรียบเทียบยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศบังคลาเทศกับต่างประเทศ เพื่อให้ประเทศบังคลาเทศ มียุทธศาสตร์ที่ทันสมัย โดยศึกษาและจัดหมวดหมู่ของยุทธศาตร์ความมั่นคงปลอดภัยไซเบอร์ของ 5 ประเทศ ได้แก่ สหรัฐอเมริกา ญี่ปุุน สิงคโปร์ อินเดีย และมาเลเซีย และกำหนดสถานะของแต่ละยุทธศาสตร์ออกเป็น 3 สถานะ ได้แก่ 1) มี 2) มีบางส่วน และ 3) ไม่มี โดยพบว่า ยุทธศาสตร์ที่ทุกประเทศมีเหมือนกันมีทั้งสิ้น 11 ยุทธศาสตร์ ได้แก่ 1) การสนับสนุนการวิจัยและพัฒนาด้านความมั่นคงปลอดภัยไซเบอร์ (Promote cybersecurity R& D) 2) การสนับสนุนการศึกษาด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ (Promote cybersecurity education) 3) การบริหารจัดการความเสี่ยง (Ensuring ongoing risk assessment) 4) การสนับสนุนนโยบายรับมืออาชญากรรมไซเบอร์ (Promote counter cybercrime policy) 5) การบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ไว้ในกฎหมายระหว่างประเทศ (Promote cybersecurity in international law) 6) การมีกฎระเบียบและการกำหนดอำนาจหน้าที่ขององค์กร (Forms of regulation and institutional aspects) 7) การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและเสรีภาพของประชาชน (Balancing Cybersecurity with civil liberties) 8) การสร้างความร่วมมือระหว่างภาครัฐและเอกชน (Public private platform) 9) การสร้างความร่วมมือระหว่างหน่วยงานภาครัฐ (Inter-governmental cooperation) 10) การสร้างความร่วมมือระหว่างภูมิภาค (Regional cooperation) และ 11) การสร้างความร่วมมือระหว่างรัฐบาล (Intra-governmental cooperation) ดังปรากฎในตารางที่ 2-1

Narmeen และ Ashraf (2559) ได้ศึกษาเปรียบเทียบยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของ 20 ประเทศ โดยพิจารณาจากกฎหมาย การดำเนินงาน นโยบาย ที่เกี่ยวข้อง โดยยุทธศาสตร์ส่วนใหญ่เน้นการมอบหมายหน่วยงานรับผิดชอบในการรับมือกับ ภัยคุกคามไซเบอร์ เช่น ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) และทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response teams: CSIRTs) เป็นต้น การให้ความสำคัญกับการสร้างความตระหนักรู้ทางไซเบอร์ (Cyber awareness) และขีดความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ด้วย ทั้งนี้ หากพิจารณาความมั่นคงปลอดภัยไซเบอร์ของประเทศพัฒนาแล้วตามการจัดลำดับของสหภาพโทรคมนาคมระหว่างประเทศ (ITU) ในปี 2558 จะเห็นได้ว่า ประเทศสหรัฐอเมริกาเป็นประเทศที่อยู่อันดับที่ 1 เนื่องจากมีการปรับปรุงยุทธศาสตร์ให้ทันสมัย อย่างสม่ำเสมอ และเป็นประเทศที่มียุทธศาสตร์และแผนปฏิบัติการที่ชัดเจนทั้งเชิงรับและเชิงรุก รองลงมาคือกลุ่มประเทศแคนาดา สเปน ญี่ปุุน และออสเตรเลีย ซึ่งมีอัตราการใช้งานเทคโนโลยีสารสนเทศและการสื่อสาร และอัตราการเกิดอาชญากรรมไซเบอร์อยู่ในระดับสูง แสดงได้ ดังตารางที่ 2-2

การจัดลำดับความมั่นคงปลอดภัยไซเบอร์ของประเทศกำลังพัฒนา ตามแนวคิดของสหภาพโทรคมนาคมระหว่างประเทศ (ITU) จะเห็นได้ว่า ประเทศมาเลเซียเป็นประเทศที่มีความก้าวหน้าด้านความมั่นคงปลอดภัยไซเบอร์มากที่สุด ส่วนประเทศอินเดียและอิหร่านเป็นกลุ่มประเทศที่ประสบปัญหาการโจมตีทางไซเบอร์ในระดับสูง แสดงได้ดังตารางที่ 2-3

หากพิจารณาหน่วยงานรับผิดชอบหลักของแต่ละประเทศ เพื่อพิจารณากลไก การสั่งการเพื่อรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ จะเห็นได้ว่า หลายประเทศกำหนดหน่วยงานหลักที่แตกต่างกัน รายละเอียดปรากฎตามตารางที่ 2-4

การจัดตั้งทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (CERTs) และทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (CSIRTs) ระดับประเทศ ถือได้ว่า เป็นวิธีการรับมือภัยคุกคามทางไซเบอร์ที่มีประสิทธิภาพ โดยมีลักษณะของการเตือนภัยล่วงหน้า โดยแต่ละประเทศได้มีเวลาที่ริเริ่มการจัดตั้ง CERTs แตกต่างกันไป รายละเอียดปรากฎตาม ตารางที่ 2-5

แนวคิดของผู้ทรงคุณวุฒิ

ในการศึกษาวิจัยครั้งนี้ ได้สัมภาษณ์ผู้ทรงคุณวุฒิ ซึ่งเป็นกรรมการในคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งแต่งตั้งขึ้นภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 จำนวน 3 ท่าน ประกอบด้วย 1) พันตำรวจเอกญาณพล ยั่งยืน (กรรมการผู้ทรงคุณวุฒิ ด้านวิศวกรรมศาสตร์) 2) นายไพบูลย์ อมรภิญโญเกียรติ (กรรมการผู้ทรงคุณวุฒิด้านกฎหมาย) และ 3) รองศาสตราจารย์ปณิธาน วัฒนายากร (กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ) โดยผู้ทรงคุณวุฒิได้ให้ข้อเสนอแนะ โดยมีรายละเอียดดังต่อไปนี้

1. พันตำรวจเอกญาณพล ยั่งยืน กรรมการผู้ทรงคุณวุฒิ ด้านวิศวกรรมศาสตร์ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ปัจจุบันมีการใช้สื่อสังคมออนไลน์ (Social network) และระบบแอปพลิเคชันต่าง ๆ ในชีวิตประจำวันของผู้คนในโลกเป็นอย่างมากมาย แน่นอนว่า เพื่อเสริมสร้างประสิทธิภาพในการทำงาน ในชีวิตประจำวัน เสริมความรู้ ความบันเทิง ฯลฯ ซึ่งระบบส่วนใหญ่นั้น ก็ต้องมาจากต่างประเทศ ทั้งนี้ เพราะระบบต่าง ๆ จำเป็นจะต้องใช้ระบบฐานข้อมูลขนาดใหญ่ (Big data) เป็นข้อมูลปัจจุบันสมัย (Real time) ต้องมีผู้ใช้งานมหาศาลจึงจะเพิ่มประสิทธิภาพได้ ต้องมีเทคโนโลยีที่ล้ำหน้าทันสมัย ซึ่งจำเป็นจะต้องใช้ทุนมหาศาล ยากที่ผู้ประกอบการรายเล็กในประเทศ จะสามารถกระทำได้ ข้อดีอีกอย่างคือ ระบบส่วนใหญ่มักจะเป็นของฟรี (ดูเหมือนจะฟรี) จึงทำให้มีผู้ใช้งานกันอย่างกว้างขวางทั่วโลกด้วยความเชื่ออย่างสนิทใจ “ว่าฟรี” ทำให้ผู้ประกอบการมีข้อมูลของผู้ใช้บริการอย่างมากมาย แต่แน่นอนว่า ของฟรีย่อมไม่มีในโลก เบื้องต้น เมื่อมีผู้ใช้งานมากขึ้น ก็ย่อมมีเพียงโฆษณาเข้ามาบ้าง ต่อมาเมื่อมีเทคโนโลยี AI เข้ามาจึงทำให้มีการแสวงหาประโยชน์จากข้อมูลของผู้มาใช้บริการได้ง่ายและมากขึ้น ผู้ประกอบการจึงสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์หาความสัมพันธ์ รสนิยมความชอบ ไม่ชอบ ทัศนคติ ชีวิตประจำวัน และสามารถส่งข้อมูลบางประการ เพื่อมาโน้มน้าวผู้คนตามเป้าหมายให้เป็นไปตามประสงค์ได้ ซึ่งนับเป็นภัยอย่างมหันต์ จนมีบางท่านกล่าวว่า การที่บริษัทยักษ์ใหญ่ต่างชาติ ยินยอมให้เราใช้แอปพลิเคชันต่าง ๆ ฟรีนั้น เปรียบเสมือนกับพวกเราผู้ใช้บริการเป็นสัตว์ที่ถูกเลี้ยงในฟาร์มปศุสัตว์ต่าง ๆ ซึ่งจะได้การเลี้ยงดูเป็นอย่างดี กินฟรี อยู่ฟรี ไม่ต้องทำอะไร กินอาหารที่เขาป้อนให้ไปเรื่อย ๆ ขุนจนอ้วนพี เมื่อถึงเวลาเจ้าของคอกปศุสัตว์ ก็จะนำไปเชือดได้อย่างดีมีราคา

ตัวอย่างที่มีให้เห็นแล้วได้แก่ กรณี อาหรับสปริง (Arab Spring) ที่ทำให้รัฐบาลในหลายประเทศ มีการล่มสลายและถูกเปลี่ยนแปลง การโน้มน้าวให้ผู้มีสิทธิออกเสียงเลือกตั้งผู้นำประเทศ มีความชื่นชอบฝ่ายใดเพิ่มขึ้น และไม่ชอบหรือเกลียดชังฝ่ายใดที่เขากำหนดได้ง่ายขึ้น นอกจากนั้นเจ้าของแอปพลิชันต่าง ๆ เหล่านี้ นอกจากจะมักหลีกเลี่ยงไม่ชำระภาษีให้แต่ประเทศนั้น ๆ แล้ว ยังไม่ให้ความร่วมมือใด ๆ กับการปฏิบัติตามกฎหมายอื่น ๆ ของประเทศนั้น ๆ อีกด้วย โดยไม่สนใจเรื่องของความมั่นคงของประเทศนั้น ๆ จนทำตัวเหมือนเป็นผู้อยู่เหนือกฎหมาย โดยอ้างว่า ไม่มีบริษัทหรือสาขาในประเทศนั้น ๆ

สิ่งต่าง ๆ เหล่านี้ สมควรแล้วที่ประเทศเราจำเป็นจะต้องมีการศึกษาถึงความเหมาะสมเรื่อง ปัญหาอธิปไตยทางไซเบอร์ กันอย่างจริงจังให้ครอบคลุมในทุกมิติ เพื่อให้มีการเตรียมการแก้ไขไว้ก่อนที่เราจะสูญเสียอธิปไตยทางไซเบอร์ในอันดับแรกไปมากกว่านี้ และตามไปด้วยอธิปไตยของชาติอันเป็นที่รักของเรา เป็นอันดับต่อไป

2. นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้ทรงคุณวุฒิด้านกฎหมาย ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

เมื่อพิจารณาถึงรายละเอียดของงานวิจัยดังกล่าวแล้ว ผู้ทรงคุณวุฒิด้านกฎหมาย เห็นด้วยกับงานวิจัยดังกล่าว แต่เห็นควรเพิ่มเติมรายละเอียดเกี่ยวกับการป้องกันหรือยุทธศาสตร์ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของประเทศ ในหัวข้อ “Quick win project” (กรณีที่มีการแก้ไขแผนยุทธศาสตร์แห่งชาติ) ดังนี้

ในส่วนนโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ พ.ศ. 2560 – 2564 ระบุให้ภัยคุกคามทางไซเบอร์เป็นภัยคุกคามทางความมั่นคงแห่งชาติ ซึ่งกำหนดแนวทางไว้ในประเด็นที่ 3.7.15 ในเรื่องการป้องกันความมั่นคงทางไซเบอร์ โดยระบุให้ต้องมีกลยุทธ์ 6 ด้าน คือ
2.1 การพัฒนาขีดความสามารถขององค์กรภาครัฐ ทั้งฝุายทหาร พลเรือน และตำรวจ
2.2 การพัฒนากรอบความร่วมมือของประเทศและอาเซียน
2.3 การพัฒนามนุษย์ องค์ความรู้ ให้ตระหนักรู้ถึงความสำคัญของภัยคุกคามทาง ไซเบอร์
2.4 การปกป้อง ป้องกันภัยคุกคามทางไซเบอร์ โดยสร้างเครือข่ายทุกภาคส่วน ทั้งในประเทศ และนอกประเทศ
2.5 *** การพัฒนาการบังคับใช้กฎหมาย ระเบียบต่าง ๆ เพื่อรักษาความมั่นคงทางไซเบอร์ ***
2.6 การส่งเสริมพัฒนาขีดความสามารถขององค์กรทุกภาคส่วนให้มีความรู้ ความเชี่ยวชาญทางไซเบอร์

ในส่วนประเด็นข้อที่ 2.5 ในเรื่องการปูองกันรักษาความมั่นคงของชาติ และ การมั่นคงทางไซเบอร์ รวมถึงอธิปไตยทางไซเบอร์ เดิมระบุกฎหมาย (Legal framework) ไว้เพียง เรื่อง คือ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ. 2562 รวมถึงหมวดกฎหมายความมั่นคงปลอดภัยที่เป็นกฎหมายพิเศษ

ผู้ทรงคุณวุฒิ มีความเห็นว่า ควรเพิ่มเติมกฎหมายอีก 1 ฉบับที่เกี่ยวข้องกับการดูแลความมั่นคงและการดูแลอธิปไตยทางไซเบอร์ (ในกรณีที่มีการแก้ไขแผนยุทธศาสตร์แห่งชาติ หรือ แผนยุทธศาสตร์แห่งชาติในปี พ.ศ. 2565 – 2567 คือ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” เนื่องจากในการดูแลเรื่องการรักษาความปลอดภัยมั่นคงทางไซเบอร์ ซึ่งตามรายงานการวิจัยของอาจารย์ปริญญาฯ ผู้ศึกษา ระบุว่า ควรจะพัฒนากฎหมายลูก มีกองบัญชาการ และพัฒนาตำรวจไซเบอร์ หรือดูแลหน่วยงานที่ดูแลความปลอดภัยทางไซเบอร์โดยเฉพาะ ในกรณีดังกล่าว ผู้ทรงคุณวุฒิเห็นว่า กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมควรทำงานร่วมมือกับสภาความมั่นคงแห่งชาติ (สมช.) และคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) โดยร่วมกันบูรณาการให้กฎหมายลูกที่ออกตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีความสอดคล้องกับแผนความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ และสอดคล้องกับนโยบายและสอดคล้องกับนโยบายแผนแม่บทและการปรับใช้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพื่อหาจุดถ่วงดุลระหว่างความมั่นคงปลอดภัยทางไซเบอร์ และสร้างการให้ความคุ้มครองข้อมูลส่วนบุคคล เนื่องจากองค์ประกอบและมาตรการหลักของการปกป้องอธิปไตยไซเบอร์ และการป้องกันความปลอดภัยไซเบอร์ ที่ประกอบด้วย 3 ส่วนคือ บุคลากร (People) กระบวนการ (Process) และ เทคโนโลยี (Technology) เป็นมาตรการที่ใช้แก้ไขปัญหาเพื่อใช้รักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity solution) ในส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งสิ้น กล่าวคือ การดำเนินการเพื่อดูแลรักษาความมั่นคงปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นการป้องกัน (Prevention) การลดความเสี่ยง (Reduction) การตรวจสอบ (Detection) การป้องปราม (Repression) การแก้ไข (Correction) และการประเมินความเสี่ยง (Evaluation) เป็นกระบวนการที่ต้องใช้ข้อมูลส่วนบุคคลของประชาชนและภาคส่วนต่าง ๆ เพื่อบูรณาการให้เกิดความมั่นคงปลอดภัยและรักษาอธิปไตยไซเบอร์ได้

โดยผู้ทรงคุณวุฒิขอเสนอเพิ่มเติมให้หน่วยงานความมั่นคงควรออกหรือบังคับใช้กฎหมายลำดับรองข้างต้น กล่าวคือ นโยบาย แผน กฎกระทรวง ข้อบังคับ และแนวทางต่าง ๆ หน่วยงานที่เกี่ยวข้องจำเป็นต้องใช้ “ข้อมูลส่วนบุคคล” ของประชาชน และ “ข้อมูลส่วนบุคคล” ที่อยู่ในหน่วยงานต่าง ๆ ทั้ง ภาครัฐและเอกชน เพื่อวัตถุประสงค์ตามแผนความมั่นคงปลอดภัยแห่งชาติ และความมั่นคงปลอดภัยทางไซเบอร์ ตามแผนแม่บทยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ดังต่อไปนี้
ก) ป้องกันภัยคุกคามต่อความมั่นคงแห่งชาติ และภัยคุกคามทางไซเบอร์ ที่อาจจะเกิดขึ้นจากการโจมตีด้วยวิธีการทางอาชญากรรมทางคอมพิวเตอร์
ข) เฝ้าระวังความเสี่ยง ติดตาม วิเคราะห์ ประมวลผล ภัยคุกคามเกี่ยวกับเรื่องความมั่นคงทั้งทางกายภาพและไซเบอร์ที่อาจเกิดขึ้น รวมถึงการกระทำที่อาจเป็นภัยต่อความมั่นคงของรัฐ หรือเพื่อรักษาไว้ซึ่งระบอบประชาธิปไตยอันมีพระมหากษัตริย์อันเป็นประมุข ความปลอดภัยของประชาชน ความสงบเรียบร้อยของส่วนรวม หรือภัยพิบัติสาธารณะ
ค) การดำเนินการสืบสวนสอบสวนข้อเท็จจริง รวบรวมพยานหลักฐาน เพื่อดำเนินคดีกับบุคคลที่กระทำความผิดหรืออาชญากรรมคอมพิวเตอร์ ซึ่งก่อให้เกิดภัยคุกคามทางไซเบอร์ต่อหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
ง) การประเมินสถานการณ์ภัยคุกคามทางไซเบอร์ ตรวจสอบแหล่งที่มาของการกระทำความผิดทางไซเบอร์
จ) การดำเนินการรวบรวมพยานหลักฐาน เพื่อดำเนินคดีกับผู้กระทำความผิด ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์
ฉ) การดำเนินการกู้ข้อมูลคอมพิวเตอร์ที่ถูกทำลาย การตรวจสอบข้อมูลหรือรักษาสถานะของข้อมูลคอมพิวเตอร์เพื่อหาข้อบกพร่องในทางเทคนิค
ช) การกำหนดมาตรการการเข้าถึงข้อมูลหรือระบบคอมพิวเตอร์ ที่ต้องมีมาตรการการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน

3. รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ผู้ทรงคุณวุฒิด้านความสัมพันธ์ระหว่างประเทศ เห็นว่า แนวทางการขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับชาติ (ยุทธศาสตร์ฯ) ควรจำแนกออกตามองค์กรที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ โดยควรจำแนกแนวทางการขับเคลื่อนการพัฒนายุทธศาสตร์ฯ ออกเป็น 3 แนวทาง ได้แก่ 1) แนวทางขับเคลื่อนยุทธศาสตร์ที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนยุทธศาสตร์ฯ ที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่แพลตฟอร์มมีบทบาทนำ (Platform-led) โดยสรุปได้ ดังนี้

3.1 แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่ให้รัฐมีบทบาทนำ (Government-led) โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น เพื่อขับเคลื่อนแผนปฏิบัติงานที่หน่วยงานรัฐต้องเป็นผู้นำ เช่น การสร้างมาตรฐานการรักษาความมั่นคงปลอดภัย ไซเบอร์ การตั้งหน่วยงานรับมือภัยคุกคามไซเบอร์ เป็นต้น กำหนดหน่วยงานกลางที่บทบาทในการบูรณาการและประสานการทำงานของหน่วยงานภาครัฐต่าง ๆ รัฐบาลต้องเป็นผู้นำในการสร้างความร่วมมือระหว่างรัฐและผู้เชี่ยวชาญในภาคเอกชน ทั้งภายในประเทศและภายนอกประเทศในการขับเคลื่อนแผนปฏิบัติการ (Action Plan) และโครงการที่เกี่ยวข้อง เช่น การแลกเปลี่ยนข้อมูลระหว่างหน่วยงาน การระบุและบริหารความเสี่ยง การเตือนภัยล่วงหน้า การรณรงค์สร้างความตระหนักรู้ให้กับประชาชน การพัฒนาบุคลากรภาครัฐให้มีขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ เป็นต้น

3.2 แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian led) โดยภาครัฐควรเสริมสร้างขีดความสามารถด้าน Cybersecurity ให้กับภาคประชาชนอย่างต่อเนื่อง ควรอาศัยกลไกของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน เช่น การปรับปรุงหลักสูตรการเรียนการสอนตั้งแต่ระดับชั้นประถมศึกษา และมัธยมศึกษา รวมถึงสาขาวิชาด้าน Cybersecurity ในระดับอุดมศึกษา การให้รัฐวิสาหกิจและภาคเอกชนมีส่วนร่วมในการสร้างความรับผิดชอบต่อสังคมผ่านการจัดทำโครงการถ่ายทอดความรู้และสร้างความตระหนักรู้ด้าน Cybersecurity ให้แก่เยาวชน เพื่อให้ประชาชนมีภูมิคุ้มกันทางไซเบอร์ มีความรู้ทางดิจิทัล และรู้เท่าทันภัยคุกคามไซเบอร์ทุกรูปแบบ

3.3 แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่ให้แพลตฟอร์มมีบทบาทนำ (Platform Led) โดยภาครัฐควรส่งเสริมและสนับสนุนการวิจัยและพัฒนาการสร้างแพลตฟอร์มของประเทศไทย ที่เป็นนวัตกรรมทางเทคโนโลยีดิจิทัล ตอบสนองความต้องการของประชาชนได้ อย่างมีประสิทธิภาพสูงกว่าแพลตฟอร์มต่างประเทศ และสามารถดูแลข้อมูลส่วนบุคคลของประชาชนด้วย ซึ่งแพลตฟอร์มต่างประเทศไม่สามารถกระทำได้ รวมถึงสามารถป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) ของแพลตฟอร์มต่างประเทศ เช่น ข่าวปลอม ปฏิบัติการข่าวสารที่หวังผลทางการเมือง การยุยงปลุกปั่นที่ส่งผลกระทบต่อสถาบันหลักของชาติ เป็นต้น โดยอาจระดมผู้เชี่ยวชาญด้านเทคโนโลยีดิจิทัลทั้งจากภายในประเทศและต่างประเทศมาช่วยวิจัยและพัฒนา ซึ่งอาจให้แรงจูงใจต่าง ๆ เช่น สิทธิประโยชน์ทางภาษี เป็นต้น

ทั้งนี้ ควรจัดให้มีหน่วยงานฝ่ายความมั่นคงทำหน้าที่ประสานงานทั้ง 3 ภาคส่วน ในแนวทาง co-ordination mechanism เพื่อให้เกิดการบูรณาการในการทำงานร่วมกัน เช่น จัดให้มีหน่วยงานภายใต้สำนักงานสภาความมั่นคงแห่งชาติ ทำหน้าที่เป็น co-ordination body

กรอบความคิดของงานวิจัย

  1. ในการศึกษาวิจัยนี้ จะนำกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้าน ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ GCSCC แห่ง University of Oxford มาประยุกต์ใช้ในการประเมินศักยภาพและ ขีดความสามารถของประเทศไทยในการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งเป็นการวิเคราะห์และระบุประเด็นปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย เพื่อเสนอแนะแนวทาง การแก้ไขปัญหาใหญ่ด้านความมั่นคงของประเทศ
  2. ในการศึกษาวิจัยนี้ จะนำข้อเสนอแนะของผู้ทรงคุณวุฒิมาสังเคราะห์เป็นแนวทางการแก้ไขปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย โดยเสนอแนะโครงการและแผนปฏิบัติการ ภายใต้แนวทางการขับเคลื่อนการแก้ไขปัญหา หน่วยงานรับผิดชอบ รวมถึงเพื่อให้ข้อเสนอแนะ เชิงนโยบายต่อรัฐบาลเพื่อเป็นแนวทางในการปรับปรุงยุทศาสตร์ชาติ 20 ปี ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยรอบระยะเวลาของการทบทวนปรับปรุงแก้ไขยุทธศาสตร์ชาติ ครั้งแรกคือ ปี 2565 (เนื่องจากกรอบระยะเวลาของการทบทวนยุทธศาสตร์ชาติคือ 5 ปี หลังจากยุทธศาสตร์ชาติมีผลใช้บังคับในปี 2560)

สรุป

จากการการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง ในการศึกษานี้พบว่า การพัฒนาและจัดทำยุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ควรมีเครื่องมือที่เหมาะสมในการวิเคราะห์ปัญหาของประเทศ ซึ่งเป็นการประเมินสภาพแวดล้อมทางไซเบอร์ของประเทศ การประเมินขีดความสามารถของประเทศในการรับมือกับภัยคุกคามทางไซเบอร์ โดยที่ปัจจุบัน เครื่องมือที่เหมาะสมดังกล่าวคือ กรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ GCSCC แห่ง University of Oxford ซึ่งแบ่งมิติของการประเมินขีดความสามารถของประเทศออกเป็น 5 มิติ ได้แก่ มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 legal and regulatory frameworks และมิติที่ 5 Standards, organizations, and technologies ดังนั้น การศึกษานี้ใช้ CMM ในการวิเคราะห์ปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย

นอกจากนี้ จากการศึกษาแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และแนวปฏิบัติที่ดี (Good practice) ของต่างประเทศ พบว่า โครงสร้างยุทธศาสตร์ของประเทศให้ความสำคัญกับวิสัยทัศน์และบทบาทผู้นำ ซึ่งเป็นปัจจัยแห่งความสำเร็จที่จะจุดประกายให้ทุกภาคส่วนมีการบูรณาการ ประสานความร่วมมือ (Inclusiveness) ความเข้าใจต่อปัญหา ประเภท แหล่งที่มาของภัยคุกคาม การปกป้องโครงสร้างพื้นฐานและบริการที่สำคัญยิ่งยวดของประเทศ การบริหารจัดการความเสี่ยงและการเตือนภัยล่วงหน้า การเพิ่มขีดความสามารถและความตระหนักรู้ (Awareness) ให้กับประชาชนและบุคลากรภาครัฐ การแลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์ทั้งภายในและภายนอกประเทศ การบัญญัติกฎหมายและการบังคับใช้กฎหมาย การฝึกซ้อมแผนรับมือ การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและเสรีภาพของประชาชน รวมถึงการวิจัยและพัฒนานวัตกรรมด้านเทคโนโลยีดิจิทัลเพื่อรับมือกับภัยคุกคามทางไซเบอร์

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 4

สวัสดีครับ จากผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ: ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ในตอนที่ 4 นี้ ยังคงอยู่ในบทที่ 2 ซึ่งเป็นการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้องกันต่อนะครับ และในตอนนี้จะเป็นหัวข้อของ กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล

กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล

1. กรอบแนวคิดการพัฒนายุทธศาสตร์ของสหภาพโทรคมนาคมระหว่างประเทศ (International Telecommunication Union: ITU)

สหภาพโทรคมนาคมระหว่างประเทศ (ITU) ได้ร่วมกับธนาคารโลก (World bank) สำนักเลขาธิการประเทศเครือจักรภพ (Commonwealth secretariat: ComSec) องค์กรโทรคมนาคมประเทศเครือจักรภพ (Commonwealth telecommunication organization: CTO) องค์การนาโต (NATO) หน่วยงานความมั่นคงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ของนาโต (Cooperative cyber defence centre of excellence: CCD COE) องค์กรระหว่างประเทศ และบริษัทที่ปรึกษาจากภาคเอกชนชั้นนำ ในการจัดทำและเผยแพร่คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) สำหรับผู้นำประเทศและผู้กำหนดนโยบาย ในปี 2561

ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) มีลักษณะสำคัญ ดังนี้

  • การแสดงถึงวิสัยทัศน์ เป้าหมายสูงสุด หลักการ และลำดับความสำคัญของประเด็นที่จะขับเคลื่อนประเทศให้พ้นจากปัญหาความมั่นคงปลอดภัยไซเบอร์
  • ภาพรวมของผู้มีส่วนเกี่ยวข้องกับการพัฒนาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศและบทบาทหน้าที่ความรับผิดชอบของแต่ละภาคส่วน
  • รายละเอียดของขั้นตอน โครงการ ความคิดริเริ่ม (Initiatives) ของประเทศในการปกป้องโครงสร้างพื้นฐานทางไซเบอร์ของประเทศ และการยกระดับความปลอดภัยและความทนทานทางไซเบอร์

ในส่วนของสาระสำคัญของคู่มือกรอบแนวคิดได้แบ่งองค์ประกอบที่สำคัญออกเป็น 3 ส่วน ได้แก่ 1) ขั้นตอนของการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ 2) ลักษณะที่สำคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 3) แนวปฏิบัติที่ดีเกี่ยวกับปัจจัยสำคัญที่จะทำให้ประเทศบรรลุเป้าหมายของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ โดยมีเนื้อหาที่สำคัญ ดังนี้

1.1 ขั้นตอนของการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ

คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) เสนอขั้นตอนของการพัฒนายุทธศาสตร์ 5 ระยะ ดังนี้

1.1.1 ระยะที่ 1: ระยะเริ่มต้น (Initiation) ประกอบด้วย

1.1.1.1 การระบุหน่วยงานรับผิดชอบหลัก (Identifying the lead project authority)
1.1.1.2 การแต่งตั้งคณะกรรมการขับเคลื่อน (Establishing a steering committee)
1.1.1.3 การระบุหน่วยงานหรือผู้มีส่วนเกี่ยวข้องในการพัฒนายุทธศาสตร์ (Identifying stakeholders to be involved in the development of the Strategy)
1.1.1.4 การวางแผนการพัฒนายุทธศาสตร์ (Planning the development of the strategy)

1.1.2 ระยะที่ 2: ระยะประเมินตรวจสอบและวิเคราะห์ (Stocktaking and Analysis) ประกอบด้วย

1.1.2.1 การประเมินสภาวะความมั่นคงปลอดภัยไซเบอร์ของประเทศ (Assessing the national cybersecurity landscape)
1.1.2.2 การประเมินสภาวะความเสี่ยงทางไซเบอร์ (Assessing the cyber-risk landscape)

1.1.3 ระยะที่ 3: กำหนดยุทธศาสตร์ความมั่นคงไซเบอร์ระดับชาติ (Production of the national cybersecurity strategy) ประกอบด้วย

1.1.3.1 การยกร่างยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (Drafting the national cybersecurity strategy)
1.1.3.2 การปรึกษาหารือกับผู้มีส่วนเกี่ยวข้องทุกภาคส่วน (Consulting with a broad range of stakeholders)
1.1.3.3 การขอความเห็นชอบยุทธศาสตร์ (Seeking formal approval)
1.1.3.4 การเผยแพร่ยุทธศาสตร์ให้มีผลใช้บังคับ (Publishing the strategy)

1.1.4 ระยะที่ 4: การขับเคลื่อนและใช้บังคับ (Implementation) ประกอบด้วย

1.1.4.1 การพัฒนาแผนปฏิบัติงาน (Developing the action plan)
1.1.4.2 การพิจารณาโครงการนำร่องที่สามารถนำไปปฏิบัติได้จริง (Determining initiatives to be implemented)
1.1.4.3 การจัดสรรทรัพยากรบุคลากรและงบประมาณเพื่อการขับเคลื่อนแผนปฏิบัติงาน (Allocating human and financial resources for the implementation)
1.1.4.4 การกำหนดกรอบระยะเวลา และตัวชี้วัด (Setting timeframes and metrics)

1.1.5 ระยะที่ 5: การติดตามและประเมินผล (Monitoring and evaluation)

1.1.5.1 การกำหนดขั้นตอนการดำเนินงาน (Establishing a formal process)
1.1.5.2 การติดตามความคืบหน้าของการขับเคลื่อนยุทธศาสตร์ (Monitoring the progress of the implementation of the strategy)
1.1.5.3 การประเมินผลการขับเคลื่อนยุทธ์ศาสตร์ (Evaluating the outcome of the strategy)

แผนภาพที่ 2-4 ขั้นตอนของการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ
ของสหภาพโทรคมนาคมระหว่างประเทศ (ITU)

1.2 ลักษณะที่สาคัญของยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์

คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) เสนอลักษณะที่สำคัญของยุทธศาสตร์ 9 ประการ ดังนี้

1.2.1 วิสัยทัศน์ของรัฐบาลและสังคมที่ชัดเจน (Clear vision)

การกำหนดจุดหมายปลายทางของวิสัยทัศน์จะประสบความสำเร็จได้ หากผู้มีส่วนเกี่ยวข้องเข้าใจถึงเหตุผลความจำเป็นของยุทธศาสตร์ เป้าหมายของยุทธศาสตร์ ต้องการบรรลุยุทธศาสตร์เกี่ยวกับอะไร และใครได้รับผลกระทบจากการขับเคลื่อนยุทธศาสตร์ วิสัยทัศน์ที่มีความชัดเจน ทำให้ผู้นำประเทศ และผู้มีส่วนเกี่ยวข้องมีความเชื่อมั่นในกระบวนการขับเคลื่อนยุทธศาสตร์ ทำให้เกิดความร่วมมือและการร่วมดำเนินงานเพื่อขับเคลื่อนยุทธศาสตร์ การกำหนดวิสัยทัศน์ควรพิจารณาพลวัตของการเปลี่ยนแปลงสภาพแวดล้อมทางไซเบอร์ด้วย เพื่อให้การกำหนดกรอบระยะเวลาขับเคลื่อนยุทธศาสตร์สอดคล้องกับวิสัยทัศน์

1.2.2 ความเข้าใจต่อสภาพแวดล้อมทางไซเบอร์ของประเทศและการจัดลำดับประเด็นสำคัญของประเทศ (Comprehensive approach and tailored priorities)

ปัญหาความมั่นคงปลอดภัยทางไซเบอร์มิได้เป็นเพียงความท้าทายทางเทคนิค แต่เป็นประเด็นปัญหาที่มีหลายแง่มุมและมีความซับซ้อน ไม่เพียงแต่มีผลกระทบต่อการเจริญเติบโตทางเศรษฐกิจและสังคม แต่ส่งผลกระทบต่อการบังคับใช้กฎหมาย ความมั่นคงของชาติ ความมั่นคงระหว่างประเทศ ความสัมพันธ์ระหว่างประเทศ การเจรจาต่อรองทางการค้า และการพัฒนาอย่างยั่งยืน และส่งผลกระทบต่ออีกหลากหลายมิติ ควรมีความเข้าใจในทุกแง่มุม ทุกมิติของสภาวะไซเบอร์ที่มีความสัมพันธ์กัน ในส่วนของการจัดลำดับประเด็นสำคัญด้านไซเบอร์ของประเทศมีความเกี่ยวข้องกับเป้าหมายและกรอบระยะเวลาของยุทธศาสตร์ รวมถึงการจัดสรรทรัพยากรทั้งบุคลากรและงบประมาณเพื่อขับเคลื่อนยุทธศาสตร์ การจัดลำดับความสำคัญของแต่ละประเทศอาจมีความแตกต่างกัน ประเด็นปัญหาความมั่นคงปลอดภัยไซเบอร์บางประเด็นอาจแยกออกไปเป็นประเด็นสำคัญหนึ่งของยุทธศาสตร์ด้านความมั่นคงของประเทศ

1.2.3 การพัฒนายุทธศาสตร์จากการมีส่วนร่วมของทุกภาคส่วน (Inclusiveness)

สภาวะทางไซเบอร์กลายเป็นภัยคุกคามต่อรัฐบาล ธุรกิจ และประชาชน ทุกภาคส่วนประสบปัญหาความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ และมีส่วนร่วมรับผิดชอบ ในการบริหารจัดการความเสี่ยงเหล่านั้น ตามบทบาทหน้าที่ความรับผิดชอบของแต่ละภาคส่วน การพัฒนายุทธศาสตร์จึงจำเป็นต้องอาศัยการมีส่วนร่วมของทุกภาคส่วน เพื่อให้การขับเคลื่อนยุทธศาสตร์ประสบความสำเร็จ การมีส่วนร่วมของทุกภาคส่วนทำให้เข้าใจถึงความต้องการของแต่ละภาคส่วน องค์ความรู้และความเชี่ยวชาญเฉพาะด้านของแต่ละภาคส่วน ย่อมช่วยในการสร้างความร่วมมือเพื่อบรรลุเป้าหมายของยุทธศาสตร์ได้

1.2.4 การสร้างความมั่งคั่งทางเศรษฐกิจและสังคม (Economic and social prosperity)

สภาพแวดล้อมทางดิจิทัลสามารถช่วยเร่งการเจริญเติบโตทางเศรษฐกิจ ความก้าวหน้าของสังคม การพัฒนาค่านิยมทางสังคม การเพิ่มขีดความสามารถในการส่งมอบบริการสาธารณะ การค้าระหว่างประเทศ การพึ่งพาสภาพแวดล้อมทางดิจิทัลมากขึ้น เพื่อขับเคลื่อนความต้องการของสังคม จึงเพิ่มความต้องการความมั่นคงปลอดภัยทางไซเบอร์ด้วย อย่างไรก็ดีความมั่นคงปลอดภัยทางไซเบอร์อาจไม่ใช่เป้าหมายสุดท้าย แต่การขับเคลื่อนยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ จะต้องสอดคล้องไปในทิศทางเดียวกับเป้าหมายกว้างของภาวะเศรษฐกิจและสังคม และต้องนำไปสู่การสร้างความเชื่อมั่นและความมั่นใจให้กับทุกภาคส่วน รวมถึงการป้องกันประเทศจากภัยคุกคามทางไซเบอร์

1.2.5 สิทธิมนุษยชนขั้นพื้นฐาน (Fundamental human rights)

การพัฒนายุทธศาสตร์ต้องคำนึงถึงสิทธิซึ่งประชาชนมีอยู่ในภาวะออฟไลน์จะต้องได้รับการคุ้มครองในภาวะออนไลน์ด้วย สิทธิมนุษยชนเป็นที่ยอมรับทั่วโลกในฐานะที่เป็นสิทธิขั้นพื้นฐาน สิทธิมนุษยชนส่วนหนึ่งรับรองโดยองค์กรสหประชาชาติภายใต้ปฏิญญาสากล ว่าด้วยสิทธิมนุษยชน (Universal declaration of human rights) และกติการะหว่างประเทศ ว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (International covenant on civil and political rights) รวมถึงกรอบความตกลงความร่วมมือระดับภูมิภาคและพหุภาคีอื่น ๆ โดยเฉพาะประเด็นในเรื่องเสรีภาพในการแสดงออก (Freedom of expression) ความเป็นส่วนตัวในการสื่อสาร (Privacy of communications) และการคุ้มครองข้อมูลส่วนบุคคล (Personal-data protection) การกำหนดยุทธศาสตร์ควรหลีกเลี่ยงอำนาจเบ็ดเสร็จ อำนาจที่ไม่เป็นธรรม หรือการสอดส่องดูแลที่ไม่เป็นไปตามกฎหมาย (Unlawful surveillance) การแทรกแซงการสื่อสาร หรือการควบคุมข้อมูลส่วนบุคคล เพื่อให้เกิดความสมดุลระหว่างความต้องการของภาครัฐและประชาชน การกำหนดยุทธศาสตร์จะต้องสร้างความมั่นใจว่าการสอดส่องดูแล การแทรกแซงการสื่อสาร การจัดเก็บข้อมูลส่วนบุคคล ต้องกระทำภายใต้กรอบกฎหมาย หรือวัตถุประสงค์ในการสืบสวนสอบสวนที่เฉพาะเจาะจงเป็นรายกรณี ภายใต้หน่วยงานของภาครัฐ ซึ่งไม่เลือกปฏิบัติ และปฏิบัติงานภายใต้หลักความถูกต้องแม่นยำและด้วยความเข้าใจ

1.2.6 การบริหารความเสี่ยงและความทนทานต่อความเสี่ยง (Risk management and resilience)

สภาพแวดล้อมทางดิจิทัลสร้างโอกาสทางเศรษฐกิจและสังคมให้กับทุกภาคส่วน ขณะเดียวกันก็สร้างความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity risk) ด้วย ยกตัวอย่างเช่น กรณีที่องค์กรใช้เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) เพื่อเร่งการพัฒนานวัตกรรม สร้างผลิตภาพการผลิตและพัฒนาขีดความสามารถในการแข่งขัน หรือ กรณีที่รัฐบาลเปิดการให้บริการสาธารณะทางออนไลน์ ปัญหาความมั่นคงปลอดภัยทางไซเบอร์อาจเกิดขึ้นได้ และอาจนำไปสู่ความเสียหายทางการเงิน ความเสียหายต่อชื่อเสียง การดำเนินธุรกิจหยุดชะงัก หยุดยั้งการสร้างนวัตกรรมได้

ความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ไม่อาจบริหารจัดการให้หมดสิ้นไปได้ เช่นเดียวกับความเสี่ยงประเภทอื่น แต่สามารถบริหารจัดการความเสี่ยงให้มีผลกระทบต่ำที่สุดได้ เพื่อจัดการกับความท้าทายนี้ การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรสนับสนุนให้ทุกภาคส่วนให้ความสำคัญกับการลงทุนเพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ และการบริหารความเสี่ยงเชิงรุก การรักษาสมดุลระหว่างการป้องกันและบริหารจัดการ ความเสี่ยง และการแสวงหาผลประโยชน์จากพลวัตของสภาพแวดล้อมทางดิจิทัล

นอกจากนี้ การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรเข้าใจถึงความจำเป็นของการบริหารจัดการความเสี่ยงอย่างต่อเนื่อง การสร้างบรรยากาศที่ดีสำหรับทุกภาคส่วนให้สามารถพึ่งพาซึ่งกันและกันได้ การบริหารจัดการความเสี่ยงของทุกภาคส่วนจะสร้างความทนทานให้กับระบบเศรษฐกิจ และกิจกรรมทางสังคมของประเทศชาติ รวมถึงจะต้องสนับสนุนให้มีการจัดทำแผนการบริหารธุรกิจอย่างต่อเนื่อง (Business continuity) ภายใต้การรับมือกับเหตุการณ์และการบริหารในสภาวะวิกฤต รวมถึงแผนการฟื้นฟูกิจการด้วย

1.2.7 กลไกขับเคลื่อนนโยบายที่เหมาะสม (Appropriate set of policy instruments)

รัฐบาลจะสามารถบรรลุเป้าหมายของการรักษาความมั่นคงปลอดภัยไซเบอร์ได้ หากทุกภาคส่วนที่เกี่ยวข้องมีการเปลี่ยนแปลงพฤติกรรม โดยส่วนใหญ่ แต่ละรัฐบาลมักจะมีกลไกหรือเครื่องมือในการขับเคลื่อนนโยบายแตกต่างกันไป ไม่ว่าจะเป็นกฎหมาย กฎระเบียบ มาตรฐาน มาตรการจูงใจ การแลกเปลี่ยนข้อมูล การให้การศึกษา การเผยแพร่กรณีศึกษาที่ดี การกำหนดบรรทัดฐานของพฤติกรรมที่เหมาะสม การสร้างสังคมของความน่าเชื่อถือ เครื่องมือขับเคลื่อนนโยบายต่าง ๆ เหล่านี้ ล้วนมีจุดแข็ง-จุดอ่อนแตกต่างกันไป การกำหนดยุทธศาสตร์ที่เหมาะสมที่สุดควรคำนึงถึงเครื่องมือหรือกลไกการขับเคลื่อนนโยบายที่เหมาะสม

1.2.8 บทบาทความเป็นผู้นำที่เด่นชัด การมอบหมายหน้าที่ความรับผิดชอบที่ชัดเจน และการจัดสรรทรัพยากรที่ชัดเจน (Clear leadership, roles, and resource allocation)

การรักษาความมั่นคงปลอดภัยไซเบอร์ ควรได้รับการส่งเสริมจากผู้บริหารสูงสุดของรัฐบาล เพื่อกำหนดภาระรับผิดชอบ (Accountability) อย่างชัดเจน ควรระบุศูนย์กลางของสายงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้ชัดเจน และทุกภาคส่วน ที่เกี่ยวข้องควรมีความเข้าใจในบทบาทความรับผิดชอบที่เกี่ยวข้องของแต่ละภาคส่วน การกำหนดยุทธศาสตร์ควรจัดสรรบุคลากร งบประมาณ และอุปกรณ์ที่จำเป็น ทั้งนี้ ลักษณะหรือคุณสมบัติที่สำคัญในเรื่องนี้มีความจำเป็นต่อกระบวนการพัฒนายุทธศาตร์ และการกำหนดแผนปฏิบัติงานภายใต้ยุทธศาสตร์ด้วย

1.2.9 สภาพแวดล้อมของความเชื่อมั่น (Trust environment)

สิทธิของผู้ใช้งานระบบดิจิทัลควรได้รับความคุ้มครอง มีความมั่นคงปลอดภัยในข้อมูล และการใช้งานระบบ เพื่อสร้างความเชื่อมั่นต่อระบบนิเวศดิจิทัลของประเทศ เพื่อให้การใช้งานเทคโนโลยีดิจิทัล นำไปสู่การสร้างโอกาสทางสังคม เศรษฐกิจ การเมือง อย่างแท้จริง การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรสนับสนุนให้เกิดนโยบาย กระบวนการ การปฏิบัติงาน ที่ส่งผลในระดับชาติ เพื่อปกป้องคุ้มครองบริการที่มีความสำคัญยิ่งยวด โดยเฉพาะการกำกับดูแลของภาครัฐทางอิเล็กทรอนิกส์ (e-governance) การพาณิชย์อิเล็กทรอนิกส์ (e-commerce) และการทำธุรกรรมการเงินทางดิจิทัล ซึ่งขับเคลื่อนได้โดยอาศัยความเชื่อมั่น (Trust) ทั้งจากประชาชนทั่วไป องค์กรภาครัฐ และภาคเอกชน ซึ่งให้บริการกับประชาชนผ่านการใช้งานเทคโนโลยีสารสนเทศและการสื่อสาร

1.3 แนวปฏิบัติที่ดีเกี่ยวกับปัจจัยสาคัญที่จะทำให้ประเทศบรรลุเป้าหมายของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

ตามแนวปฏิบัติที่ดี (Good-practice) ปัจจัยสำคัญที่ทำให้ประเทศสามารถบรรลุตามเป้าหมายที่กำหนดขึ้นภายใต้ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ มีประสิทธิภาพ ประกอบด้วย 9 ปัจจัยที่สำคัญ ดังนี้

1.3.1 การกำกับดูแลของภาครัฐ (Governance)

1.3.1.1 การสนับสนุนจากผู้บริหารสูงสุดในรัฐบาล (Ensure the highest level of support)
การกำหนดยุทธศาสตร์ควรได้รับการสนับสนุนและให้ความสำคัญจากผู้บริหารสูงสุดของรัฐบาล จะช่วยสร้างความมั่นใจได้ว่า จะมีการจัดสรรทรัพยากรอย่างเพียงพอ เพื่อขับเคลื่อนยุทธศาสตร์ และเป็นการส่งสัญญาณให้ระบบนิเวศทางดิจิทัลของประเทศในวงกว้างได้ทราบถึงความมุ่งมั่นของประเทศในการรักษาความมั่นคงปลอดภัยไซเบอร์

1.3.1.2 จัดตั้งหน่วยงานรับผิดชอบหลักที่มีความรู้ความเชี่ยวชาญเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Establish a competent cybersecurity authority)
ยุทธศาสตร์ควรกำหนดให้มีการจัดตั้งหน่วยงานรับผิดชอบหลักในการทำหน้าที่บริหารจัดการการขับเคลื่อนยุทธศาสตร์ กำหนดกระบวนการขับเคลื่อน กำหนดกระบวนการตัดสินใจ การแบ่งหน้าที่ความรับผิดชอบกับหน่วยงานที่เกี่ยวข้อง ซึ่งอาจสังกัดอยู่ต่างกรมต่างกระทรวงกัน การประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง การติดตามผลการปฏิบัติงาน ในการขับเคลื่อนยุทธศาสตร์ เพื่อให้มีความมั่นใจได้ว่า การขับเคลื่อนยุทธศาสตร์เป็นไปอย่างมีประสิทธิภาพ

1.3.1.3 การสร้างความร่วมมือของหน่วยงานภาครัฐ (Ensure intra-government cooperation)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างกลไกในการระบุหน่วยงานภาครัฐที่ได้รับผลกระทบ หรือหน่วยงานที่มีความรับผิดชอบเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างชัดเจน เพื่อสร้างข้อตกลง ความร่วมมือ และการประสานงานกันระหว่างหน่วยงานภาครัฐ เพื่อให้ทุกกระทรวงตระหนักรู้ถึงหน้าที่ความรับผิดชอบ ภารกิจ และงานที่ได้รับมอบหมาย โดยมีความต่อเนื่องในการขับเคลื่อนตามข้อตกลง ความร่วมมือ และการประสานงานดังกล่าว เช่น การกำหนดวาระการประชุมร่วมกันอย่างสม่ำเสมอ เพื่อติดตามการดำเนินงานตามแผนปฏิบัติงาน และการมีความสอดคล้องกันของนโยบายการต่างประเทศและนโยบายภายในประเทศในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งทุกกระทรวงควรมีท่าทีและจุดยืนเป็นไปในทิศทางเดียวกัน ไม่ขัดแย้งกัน หรือลดความน่าเชื่อถือของกันและกัน เป็นต้น

1.3.1.4 การสร้างความร่วมมือระหว่างทุกภาคส่วน (Ensure inter-sectoral cooperation)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างความร่วมมือระหว่างภาคเอกชนและผู้มีส่วนเกี่ยวข้องต่าง ๆ โดยภาครัฐควรเป็นตัวกลางในการสร้างความร่วมมือระหว่างทุกภาคส่วน เช่น การกำหนดเครือข่ายและกระบวนการติดต่อประสานสำหรับอุตสาหกรรมที่มีความสำคัญยิ่งยวด เพื่อการรับมือและฟื้นฟูบริการสาธารณะและโครงสร้างพื้นฐานที่มีความสำคัญจากการโจมตีทางไซเบอร์ เป็นต้น

1.3.1.5 การจัดสรรงบประมาณและทรัพยากรอย่างเพียงพอ (Allocate dedicated budget and resources)
ยุทธศาสตร์ควรกำหนดให้มีการจัดสรรทรัพยากรเพื่อขับเคลื่อนยุทธศาสตร์อย่างเพียงพอ สม่ำเสมอ และต่อเนื่อง จะช่วยวางรากฐานของความมั่นคงปลอดภัยไซเบอร์ โดยทรัพยากรหมายถึงบุคลากร งบประมาณ การสร้างความร่วมมือทุกภาคส่วน การแสดงเจตนารมณ์ทางการเมือง (Political commitment) และการแสดงบทบาทความเป็นผู้นำ (Leadership)

1.3.1.6 การพัฒนาแผนปฏิบัติงาน (Develop an implementation plan)
ยุทธศาสตร์ควรกำหนดให้มีแผนปฏิบัติงานที่ให้รายละเอียดเกี่ยวกับวิธีการบรรลุตามเป้าหมายของยุทธศาสตร์ หน่วยงานที่รับผิดชอบ ทรัพยากรที่จำเป็นในการขับเคลื่อน กรอบระยะเวลาในการขับเคลื่อน (ระยะสั้น กลาง และยาว) ขั้นตอนกระบวนการที่จะขับเคลื่อน และผลลัพธ์ที่คาดว่าจะเกิดขึ้น

1.3.2 การบริหารความเสี่ยง (Risk management)

1.3.2.1 กำหนดวิธีการบริหารจัดการความเสี่ยง (Define a risk-management approach)
ยุทธศาสตร์ควรกำหนดให้มีวิธีการบริหารจัดการความเสี่ยงเพื่อเป็นแนวทางให้กับหน่วยงานภาครัฐ และหน่วยงานผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญยิ่งยวด โดยระบุถึงทรัพย์สินและบริการที่สำคัญต่อเศรษฐกิจและสังคม ภัยคุกคามทางไซเบอร์ ปัจจัยความเสี่ยงและผลกระทบที่คาดว่าจะเกิดขึ้น การจัดลำดับความสำคัญตามความน่าจะเป็นของการเกิดเหตุการณ์ เพื่อให้รัฐบาลสามารถติดตามดูแลความเสี่ยงและบริหารจัดการได้อย่างทันการณ์

1.3.2.2 ระบุระเบียบวิธีการบริหารจัดการความเสี่ยงต่อความมั่นคงปลอดภัยไซเบอร์ (Identify a common methodology for managing cybersecurity risk)
ยุทธศาสตร์ควรกำหนดให้มีการระบุระเบียบวิธีการบริหารจัดการความเสี่ยงที่ได้มาตรฐานสากล (International standards) เพื่อเป็นแนวทางในการมอบหมายหน้าที่ความรับผิดชอบให้หน่วยงานที่เกี่ยวข้อง ปฏิบัติตามขั้นตอนกระบวนการบริหารจัดการความเสี่ยง เช่น การประเมินภัยคุกคาม การประเมินมูลค่าทรัพย์สินที่คาดว่าจะได้รับผลกระทบ การกำหนดมาตรการลดความเสี่ยง มาตรการรองรับผลกระทบจากความเสี่ยง โครงการรับรองหน่วยงานที่มีการบริหารจัดการความเสี่ยงที่ได้มาตรฐาน เป็นต้น นอกจากนี้ การออกแบบและพัฒนาโครงสร้างพื้นฐานและบริการสาธารณะ โดยคำนึงถึงการบริหารจัดการความเสี่ยง จะช่วยลดความเสี่ยง และสร้างความมั่นคงให้กับโครงสร้างพื้นฐานและบริการสาธารณะ

1.3.2.3 การพัฒนาบัญชีความเสี่ยงของแต่ละภาคส่วนเศรษฐกิจ (Develop sectoral cybersecurity risk profiles)
ยุทธศาสตร์ควรกำหนดให้มีการจัดทำบัญชีความเสี่ยง (Risk profile) สำหรับความมั่นคงปลอดภัยไซเบอร์ เพื่อใข้ในการวิเคราะห์และประเมินประเภทของภัยคุกคาม ทำให้สามารถเข้าใจมูลค่าความเสี่ยงและผลกระทบของความเสี่ยงเป็นตัวเลข ควรมีการจัดทำบัญชีความเสี่ยงในภาคส่วนเศรษฐกิจที่มีความสำคัญยิ่งยวดต่อเศรษฐกิจและสังคม บัญชีความเสี่ยงจะช่วยให้สามารถบริหารจัดการความเสี่ยงอย่างเฉพาะเจาะจงเป็นรายกรณีได้มากยิ่งขึ้น

1.3.2.4 การกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Establishing cybersecurity policies)
ยุทธศาสตร์ควรกำหนดให้มีนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้หน่วยงานที่สำคัญยิ่งยวดของประเทศ ได้แก่ หน่วยงานภาครัฐ และหน่วยงานผู้ให้บริการโครงสร้างพื้นฐาน ปฏิบัติตามข้อกำหนดหลักเกณฑ์ของนโยบาย มาตรฐานขั้นต่ำ และความปลอดภัยขั้นพื้นฐาน (Security baselines) ตามบทบาทหน้าที่ความรับผิดชอบของแต่ละหน่วยงาน เช่น ความมั่นคงปลอดภัยไซเบอร์บนระบบการจัดซื้อจัดจ้างภาครัฐทางอิเล็กทรอนิกส์ เป็นต้น

1.3.3 การเตรียมความพร้อมและความทนทาน (Preparedness and resilience)

1.3.3.1 การพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ (Establish cyber-incident response capabilities)
ยุทธศาสตร์ควรกำหนดให้มีการพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ โดยการจัดตั้งทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) ทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response teams: CSIRTs) หรือทีมรับมือกับสถานการณ์ที่เกี่ยวกับคอมพิวเตอร์ (Computer incident response teams: CIRTs) ระดับประเทศ ซึ่งจะมีบทบาทสำคัญในการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในเชิงตั้งรับ (การรับมือและการฟื้นฟู) และเชิงรุก (การปูองกัน) รวมถึงการเพิ่มขีดความสามารถในการรับมือผ่านกลไกความร่วมมือและการสื่อสารระหว่างภาคส่วนเศรษฐกิจต่าง ๆ กับทีมรับมือกับสถานการณ์ของประเทศ และองค์กรระหว่างประเทศที่เกี่ยวข้อง

1.3.3.2 การพัฒนาและจัดทำแผนรองรับสถานการณ์ฉุกเฉินสำหรับการจัดการภาวะวิกฤตด้านความมั่นคงปลอดภัยไซเบอร์ (Establish contingency plans for cybersecurity crisis management)
ยุทธศาสตร์ควรกำหนดให้มีการพัฒนาและจัดทำแผนรองรับสถานการณ์ฉุกเฉิน (Contingency plans) ระดับประเทศ เพื่อรองรับการจัดการในสถานการณ์ฉุกเฉินหรือภาวะวิกฤตของประเทศ โดยเฉพาะแผนรองรับของระบบโครงสร้างพื้นฐานที่สำคัญยิ่งยวด ทั้งนี้ ควรคำนึงถึงผลการประเมินความเสี่ยงระดับประเทศและระดับภาคส่วนเศรษฐกิจต่าง ๆ ซึ่งสามารถส่งผลกระทบเชื่อมโยงมายังโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศได้

1.3.3.3 การสนับสนุนการแลกเปลี่ยนข้อมูล (Promote information-sharing)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างกลไกการแลกเปลี่ยนข้อมูล โดยสามารถแลกเปลี่ยนข่าวกรอง และข้อมูลภัยคุกคามไซเบอร์ทั้งต่อภาคสาธารณะและภาคเอกชน การแลกเปลี่ยนข้อมูลจะช่วยให้เกิดความร่วมมือ ความแม่นยำของการสื่อสารในช่วงของการรับมือเหตุการณ์และการฟื้นฟูหลังเหตุการณ์ โดยอาจกำหนดหน่วยงานรับผิดชอบหลักในการจัดส่งและแลกเปลี่ยนข้อมูลและองค์ความรู้ที่ถูกต้อง แม่นยำ และอย่างมีประสิทธิภาพ เพื่อให้มั่นใจได้ว่า ทุกภาคส่วนสามารถเตรียมพร้อมรับมือภัยคุกคามไซเบอร์ได้อย่างทันการณ์

1.3.3.4 การฝึกซ้อมแผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ (Conduct cybersecurity exercises)
ยุทธศาสตร์ควรกำหนดให้มีการฝึกซ้อมแผนรับมือกับเหตุการณ์ ซึ่งอาจมีหลายรูปแบบ เช่น การจำลองเหตุการณ์ หรือการฝึกซ้อมเหมือนจริง โดยมุ่งเน้นกลุ่มเป้าหมายเจ้าหน้าที่ทางเทคนิคและผู้มีอำนาจตัดสินใจ การฝึกซ้อมแผนรับมือและแผนรองรับสถานการณ์ฉุกเฉินจะช่วยให้ประเทศสามารถพัฒนาขีดความสามารถในเชิงสถาบัน เพื่อให้การรับมือต่อเหตุการณ์เป็นไปอย่างมีประสิทธิภาพ เป็นการทดสอบกระบวนการบริหารจัดการ และกลไก การติดต่อสื่อสาร รวมถึงพัฒนาขีดความสามารถให้ทีมรับมือสามารถบริหารจัดการในสภาวะกดดันได้ ทั้งนี้ ควรมีการฝึกซ้อมแผนรับมือร่วมกับองค์กรระหว่างประเทศเพื่อสร้างความเชื่อมั่นและความมั่นใจ และยังเป็นการพัฒนาความทนทานและความพร้อมรับมือต่อภัยคุกคามไซเบอร์ของระดับภูมิภาคด้วย

1.3.4 ระบบบริการโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical Infrastructure services and essential services)

1.3.4.1 การกำหนดวิธีการบริหารจัดการความเสี่ยงเพื่อปกป้องบริการสาธารณะและโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศ (Establish a risk-management approach to protecting critical infrastructures and services) รวมถึงโครงสร้างพื้นฐานข้อมูลที่สำคัญยิ่งยวด (Critical information infrastructures: CIIs)

1.3.4.2 การพัฒนารูปแบบการกำกับดูแลของภาครัฐและภาระความรับผิดชอบ (Adopt a governance model with clear responsibilities) ของหน่วยงานภาครัฐและผู้มีส่วนเกี่ยวข้องในการปกป้องคุ้มครองโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical infrastructures: CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs)

1.3.4.3 การกำหนดความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำหรือเป้าหมายกรณีฐานของความมั่นคงปลอดภัยไซเบอร์ (Define minimum cybersecurity baselines) สำหรับผู้ให้บริการและผู้ปฏิบัติงานในโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs) โดยควรเป็นไปตามมาตรฐานสากล หรือกรณีแนวปฏิบัติที่ดีของต่างประเทศ

1.3.4.4 การสร้างแรงจูงใจในทุกภาคส่วน (Utilise a wide range of market levers)
ยุทธศาสตร์นี้ รัฐบาลควรพิจารณากำหนดนโยบายที่มั่นใจได้ว่า ทุกภาคส่วนมีแรงจูงใจเพียงพอที่จะร่วมกันรักษาความมั่นคงปลอดภัยไซเบอร์ตามภาระหน้าที่ซึ่งตนรับผิดชอบ การประเมินช่องว่างระหว่างสิ่งที่แต่ละภาคส่วนสามารถกระทำได้กับสิ่งที่แต่ละภาคส่วนควรกระทำ ท่ามกลางสภาพแวดล้อมของความเสี่ยง จำเป็นต้องมีการประเมินสภาวะของแรงจูงใจต่าง ๆ ทั้งส่วนที่เพิ่มแรงจูงใจและลดแรงจูงใจ เพื่อให้ภาครัฐสามารถสนับสนุนให้เกิดการปฏิบัติตามสิ่งที่ควรกระทำ นั่นคือ มาตรฐานสากล และแนวปฏิบัติที่ดีของการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs)

1.3.4.5 การสนับสนุนการร่วมลงทุนระหว่างภาครัฐและภาคเอกชน (Establish public-private partnerships)
เพื่อสร้างความมั่นคงปลอดภัยไซเบอร์ให้กับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical infrastructures: CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs) ภาครัฐและภาคเอกชนควรมีโครงการร่วมลงทุน เพื่อสร้างความมั่นใจให้กับอุตสาหกรรม โดยผู้มีส่วนเกี่ยวข้องต้องมีความเข้าใจในเป้าหมายของการเป็นหุ้นส่วนที่เป็นไปเพื่อสร้างผลประโยชน์ด้านความมั่นคงปลอดภัยจากการทำงานร่วมกัน

1.3.5 ขีดความสามารถ การพัฒนาขีดความสามารถ และการสร้างความตระหนักรู้ (Capability and capacity building and awareness raising)

1.3.5.1 พัฒนาหลักสูตรการศึกษาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Develop cybersecurity curricula) เพื่อเร่งการพัฒนาทักษะและความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ผ่านระบบการศึกษา ตั้งแต่ระดับชั้นประถมศึกษา มัธยมศึกษา ไปจนถึงระดับอุดมศึกษา โดยบูรณาการหลักสูตรการรักษาความมั่นคงปลอดภัยไซเบอร์เข้ากับหลักสูตรที่เกี่ยวข้องกับวิทยาศาสตร์คอมพิวเตอร์ และเทคโนโลยีสารสนเทศ การสร้างคุณวุฒิปริญญาบัณฑิตด้านความมั่นคงปลอดภัยไซเบอร์ และการฝึกงานภาคปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์

1.3.5.2 ส่งเสริมการพัฒนาทักษะและฝึกอบรมการทำงานด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ (Stimulate skills development and workforce training) สำหรับตำแหน่งผู้บริหาร ผู้เชี่ยวชาญ การฝึกอบรมเพื่อการปฏิบัติงาน และนักศึกษาฝึกงาน ให้สอดคล้องตามความต้องการของอุตสาหกรรมและรัฐบาล ยุทธศาสตร์นี้ควรเร่งริเริ่มเพื่อพัฒนาเส้นทางความก้าวหน้าในสายอาชีพ และเพิ่มอุปทานด้านผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยควรสร้างความร่วมมือกับสถาบันการศึกษา ภาคเอกชน และภาคประชาสังคม

1.3.5.3 กำหนดโครงการเพิ่มความตระหนักรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Implement a coordinated cybersecurity awareness-raising programme) โดยมอบหมายหน่วยงานรับผิดชอบที่มีความเหมาะสม ผ่านโครงการรณรงค์ และกิจกรรม เพื่อเพิ่มความตระหนักรู้ในระดับประเทศ โดยเจาะจงกลุ่มเป้าหมาย เช่น ประชาชนทั่วไป เยาวชน ผู้บริโภค เป็นต้น

1.3.5.4 เร่งการพัฒนานวัตกรรม การวิจัยและพัฒนาด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Foster cybersecurity innovation and R&D) ทั้งองค์กร หน่วยงานวิจัยและพัฒนาภายในประเทศ และสร้างความร่วมมือหรือเป็นหุ้นส่วนกับองค์กรหรือ หน่วยงานวิจัยและพัฒนาในต่างประเทศ โดยกำหนดมาตรการแรงจูงใจ เช่น เงินสนับสนุน เครดิตภาษี เป็นต้น และสร้างบรรยากาศในการแข่งขัน ทั้งนี้ สาขาของการพัฒนานวัตกรรม การวิจัยและพัฒนา อาจมุ่งเน้นสาขาวิทยาศาสตร์ เช่น วิทยาการคอมพิวเตอร์ วิศวกรรมไฟฟ้า คณิตศาสตร์ประยุกต์ วิทยาการเข้ารหัสลับ (Cryptography) เป็นต้น แต่อาจมุ่งเน้นสาขาที่ไม่ใช่ทางเทคนิคด้วย เช่น สังคมศาสตร์ รัฐศาสตร์ บริหารศาสตร์ เป็นต้น

1.3.6 กฎหมายและระเบียบกฎเกณฑ์ (Legislation and regulation)

1.3.6.1 การบัญญัติกฎหมายว่าด้วยการป้องกันอาชญกรรมทางไซเบอร์ (Establish cybercrime legislation) โดยอาจเป็นการปรับปรุงแก้ไขกฎหมายที่มีอยู่แล้วในปัจจุบัน ให้มีบทลงโทษเกี่ยวกับการกระทำความผิดทางไซเบอร์

1.3.6.2 ให้ความสำคัญกับการคุ้มครองสิทธิของประชาชน ข้อมูลส่วนบุคคล และเสรีภาพในการแสดงออกของประชาชน (Recognise and safeguard individual rights and liberties) ตามหลักการของสิทธิมนุษยชนขั้นพื้นฐาน

1.3.6.3 สร้างกลไกในการปฏิบัติตาม (Create compliance mechanisms) เช่น การบังคับใช้กฎหมาย และมาตรการจูงใจ เป็นต้น รวมถึงการสืบสวนสอบสวนคดีไซเบอร์ การสกัดกั้นการสื่อสาร (Interception of communications) และการใช้หลักฐานทางดิจิทัล

1.3.6.4 สนับสนุนการเพิ่มขีดความสามารถในการบังคับใช้กฎหมาย (Promote capacity-building for law enforcement) ผ่านการจัดฝึกอบรม การสร้างความรู้ความเข้าใจ ให้แก่บุคลากรภาครัฐที่เกี่ยวข้อง เช่น ตุลาการ อัยการ ทนายความ ตำรวจผู้บังคับใช้กฎหมาย พนักงานสืบสวน ผู้เชี่ยวชาญด้านกฎหมาย เป็นต้น เพื่อให้สามารถปฏิบัติงานร่วมกับหน่วยงานที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ เช่น องค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และหน่วยงานตำรวจของสหภาพยุโรป (Europol) เป็นต้น

1.3.6.5 สร้างกระบวนการความร่วมมือระหว่างหน่วยงานภายในประเทศ (Establish inter-organisational processes) โดยมีหน่วยงานหลักที่บูรณาการอำนาจหน้าที่ความรับผิดชอบของแต่ละหน่วยงานให้ปฏิบัติตามกฎหมายว่าด้วยการป้องกันอาชญากรรมทางไซเบอร์ และปกป้องโครงสร้างพื้นฐานที่สำคัญยิ่งยวด และอาจตั้งหน่วยงานที่เกี่ยวข้องโดยตรง เช่น ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) เป็นต้น

1.3.6.6 สนับสนุนการเข้าร่วมความตกลงและร่วมมือระหว่างประเทศในการต่อต้านอาชญากรรมทางไซเบอร์ (Support international cooperation to combat cybercrime) โดยกฎหมายในประเทศควรเปิดโอกาสในการจัดทำความตกลงและความร่วมมือระหว่างประเทศ

1.3.7 ความร่วมมือระหว่างประเทศ (International cooperation)

1.3.7.1 จัดลำดับให้การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นสำคัญในการกำหนดนโยบายการต่างประเทศ (Recognise the importance of cybersecurity as a priority of foreign policy)

1.3.7.2 มีส่วนร่วมกับการประชุมระหว่างประเทศที่สำคัญ ทั้งระดับโลกและภูมิภาค ในประเด็นไซเบอร์ (Engage in international discussions)

1.3.7.3 ส่งเสริมการสร้างความร่วมมือระหว่างประเทศในด้านต่าง ๆ เช่น การพัฒากฎหมาย การบังคับใช้กฎหมาย การแลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์ เป็นต้น ทั้งในรูปแบบที่เป็นทางการและไม่เป็นทางการ ที่เกี่ยวข้องกับโลกของไซเบอร์สเปซ (Promote formal and informal cooperation in cyberspace)

1.3.7.4 พัฒนายุทธศาสตร์ของประเทศให้สอดคล้องตามแนวปฏิบัติที่ดีและแนวปฏิบัติสากลต่าง ๆ ที่เริ่มขับเคลื่อนแล้ว ทั้งในระดับภูมิภาคและทั่วโลก (Align domestic and international cybersecurity efforts)

2. กรอบแนวคิดของหน่วยงานด้านความมั่นคงปลอดภัยของเครือข่ายและข้อมูลของสหภาพยุโรป (European union agency for network and information security agency: ENISA)

หน่วยงานด้านความมั่นคงปลอดภัยของเครือข่ายและข้อมูลของสหภาพยุโรป (ENISA) ได้จัดทำคู่มือแนวปฏิบัติที่ดีในการกำหนดยุทธศาสตร์ความมั่งคงปลอดภัยไซเบอร์ระดับประเทศ (National Cybersecurity Strategy: NCSS) ในปี 2559 ซึ่งปรับปรุงจากคู่มือแนวปฏิบัติที่ดีฉบับปี 2555 เพื่อเป็นแนวทางให้กับประเทศสมาชิกของกลุ่มสหภาพยุโรปในการกำหนดยุทธศาสตร์ และการขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ประกอบด้วย 1) วัฎจักรของยุทธศาสตร์ 2) หลักการในการออกแบบและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 6 หลักการ และ 3) เป้าหมายที่สำคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 15 ประการ โดยมีสาระสำคัญสรุปได้ ดังนี้

2.1 วัฎจักรของยุทธศาสตร์

ENISA ได้พัฒนาวัฏจักรของยุทธศาสตร์เพื่อให้มีการตรวจสอบและทบทวนยุทธศาสตร์และนโยบายที่เกี่ยวข้องอย่างต่อเนื่อง โดยกำหนดให้วัฏจักรของยุทธศาสตร์ประกอบด้วย 4 ระยะ ดังนี้

2.1.1 ระยะที่ 1 พัฒนายุทธศาสตร์ โดยมีการปรับปรุงยุทธศาสตร์ให้สอดคล้องกับสภาพและสถานการณ์ปัจจุบัน
2.1.2 ระยะที่ 2 ขับเคลื่อนยุทธศาสตร์ไปสู่การปฏิบัติ โดยมีการปรับแผนปฏิบัติงานให้สอดคล้องกับสภาพและสถานการณ์ปัจจุบัน
2.1.3 ระยะที่ 3 ประเมินผลการปฏิบัติตามยุทธศาสตร์ โดยมีการทบทวนยุทธศาสตร์เป็นระยะ
2.1.4 ระยะที่ 4 การรักษาไว้ซึ่งยุทธศาสตร์ โดยมีการพัฒนายุทธศาสตร์

2.2 หลักการในการออกแบบและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

ยุทธศาสตร์หมายถึงแผนในการปฏิบัติเพื่อให้บรรลุเป้าหมายในระยะยาวหรือเป้าหมายในภาพรวม การออกแบบและพัฒนายุทธศาสตร์จะต้องคำนึงถึงหลักการที่สำคัญ 6 ประการ ดังต่อไปนี้

2.2.1 การกำหนดวิสัยทัศน์ ขอบเขตของภาคธุรกิจและบริการที่สำคัญ เป้าประสงค์ และจัดลำดับความสำคัญของเป้าหมายและผลกระทบต่อสังคม เศรษฐกิจ และประชาชน (Set the vision, scope, objectives and priorities)

2.2.2 ความสอดคล้องกับผลการประเมินความเสี่ยงของประเทศ (Follow a risk assessment approach) โดยมีขั้นตอนสำคัญ 3 ขั้นตอน ได้แก่ การระบุถึงความเสี่ยง (Risk identification) การวิเคราะห์ความเสี่ยง (Risk analysis) และการประเมินระดับความรุนแรงของความเสี่ยง (Risk evaluation)

2.2.3 การสำรวจนโยบาย กฎหมาย และขีดความสามารถที่มีอยู่ในปัจจุบัน (Take stock of existing policies, regulations and capabilities) เพื่อพัฒนาให้ครอบคลุมถึงประเด็นการรักษาความมั่นคงปลอดภัยไซเบอร์

2.2.4 การกำหนดโครงสร้างการกำกับดูแลหน่วยงานภาครัฐที่ชัดเจน (Set a clear governance structure) โดยกำหนดหน่วยงานรับผิดชอบ บทบาทหน้าที่ ความรับผิดชอบ รวมถึงคณะกรรมการที่ทำหน้าที่สร้างความร่วมมือและประสานงานระหว่างหน่วยงานภาครัฐ การร่วมมือระหว่างภาครัฐและภาคเอกชน (Public Private Partnership: PPP)

2.2.5 การระบุถึงและการมีส่วนร่วมจากผู้มีส่วนเกี่ยวข้อง (Identify and engage stakeholders) เพื่อสร้างความร่วมมือระหว่างหน่วยงานภาครัฐและภาคเอกชน โดยหน่วยงานภาครัฐต้องปฏิบัติตามนโยบาย กฎระเบียบ และอำนาจหน้าที่ ส่วนภาคเอกชนเป็นเจ้าของบริการและโครงสร้างพื้นฐานที่สำคัญของประเทศโดยส่วนใหญ่

2.2.6 การสร้างกลไกการแลกเปลี่ยนข้อมูลที่เชื่อถือได้ (Establish trusted information-sharing mechanisms) รวมถึงข้อมูลข่าวกรองที่สำคัญและข้อมูลจากทีมสืบสวนสอบสวนอาชญากรรมทางไซเบอร์ เพื่อช่วยให้เข้าใจถึงสภาพแวดล้อมไซเบอร์ที่เปลี่ยนแปลงไป และสามารถลดความเสี่ยงและความเปราะบางที่มีอยู่ได้

2.3 เป้าหมายที่สาคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

2.3.1 การพัฒนาแผนรองรับสถานการณ์ฉุกเฉินด้านไซเบอร์ของประเทศ (Develop national cyber contingency plans) เพื่อใช้ในการรับมือและฟื้นฟูโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวดของประเทศ ซึ่งควรสอดคล้องกับแผนรองรับสถานการณ์ฉุกเฉินในภาพรวมของประเทศด้วย โดยกำหนดหลักเกณฑ์ในการบังคับใช้แผน แนวทางการปฏิบัติเพื่อรับมือ และกำหนดบทบาทหน่วยงานที่มีส่วนเกี่ยวข้องอย่างชัดเจน

2.3.2 การคุ้มครองโครงสร้างพื้นฐานข้อมูลที่สำคัญยิ่งยวด (Protect critical information infrastructure) โดยระบุถึงประเภทของโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด และกำหนดมาตรการลดความเสี่ยง

2.3.3 การจัดการฝึกซ้อมแผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ (Organise Cybersecurity exercises) โดยระบุถึงกระบวนการขั้นตอนและขีดความสามารถที่ต้องได้รับการทดสอบก่อนเกิดเหตุการณ์ และจัดตั้งทีมรับมือที่กำหนดอำนาจหน้าที่ความรับผิดชอบไว้อย่างชัดเจน

2.3.4 การกำหนดหลักเกณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ขั้นพื้นฐาน (Establish baseline security measures) หรือหลักเกณฑ์ระดับความปลอดภัยขั้นต่ำที่ทุกภาคส่วนต้องปฏิบัติตาม เพื่อให้หน่วยงานที่เกี่ยวข้องสามารถตรวจสอบและบ่งชี้ถึง ขีดความสามารถของตนเองได้ และทำให้สามารถจัดลำดับความสำคัญของการลงทุนด้านความมั่นคงปลอดภัยไซเบอร์ได้

2.3.5 การสร้างกลไกการรายงานเหตุการณ์ (Establish incident reporting mechanisms) เพื่อสร้างความเข้าใจต่อภาพรวมสถานการณ์ภัยคุกคามไซเบอร์ ช่วยให้สามารถประเมินผลกระทบได้ ได้ทราบถึงความเปราะบางและรูปแบบของการโจมตีทางไซเบอร์ ทำให้สามารถปรับปรุงแผนการรับมือให้เป็นปัจจุบันได้

2.3.6 การสร้างความตระหนักรู้ให้กับประชาชน เยาวชน และผู้บริโภค (Raise user awareness) โดยระบุถึงช่องว่างของความรู้ความเข้าใจหรือความตระหนักรู้จากปัญหาจากการใช้งานระบบอินเทอร์เน็ต และเติมเต็มช่องว่างนั้นด้วยการให้ความรู้และการสร้างความตระหนักรู้ ผ่านการรณรงค์ การจัดกิจกรรม การจัดการประชุม และปรับปรุงเว็บไซต์ของหน่วยงานภาครัฐ ให้ครอบคลุมเนื้อหาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น การอภิปราย การบรรยาย และการสัมมนาผ่านเว็บไซต์ เป็นต้น

2.3.7 การจัดทำโครงการฝึกอบรมและหลักสูตรการศึกษา (Strengthen training and educational programmes) ซึ่งเป็นส่วนหนึ่งของสาขาวิทยาการคอมพิวเตอร์ โดยปรับปรุงเนื้อหาให้ทันต่อสถานการณ์อย่างต่อเนื่อง เพิ่มขีดความสามารถให้กำลังแรงงานการรักษาความมั่นคงปลอดภัยทางข้อมูล ส่งเสริมให้นักศึกษาเข้าร่วมในสาขาวิชาว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ สนับสนุนให้เกิดความเชื่อมโยงกันระหว่างการรักษาความปลอดภัยทางข้อมูล ในแวดวงวิชาการ และอุตสาหกรรมความมั่นคงปลอดภัยในการรักษาความมั่นคงปลอดภัยทางข้อมูล

2.3.8 การเพิ่มขีดความสามารถในการรับมือกับเหตุการณ์ (Establish an incident response capability) โดยจัดตั้งทีมสำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ (CSIRT) ของประเทศ ซึ่งจะมีบทบาทสำคัญในการประสานความร่วมมือกับผู้มีส่วนเกี่ยวข้อง รวมถึงการร่วมมือกับทีม CSIRT ของประเทศอื่น

2.3.9 การแก้ไขปัญหาอาชญากรรมไซเบอร์ (Address cyber crime) โดยอาศัยความร่วมมือของทุกภาคส่วนและสังคม การบัญญัติกฎหมาย และการเพิ่มประสิทธิภาพของหน่วยงานด้านการบังคับใช้กฎหมาย

2.3.10 การสร้างความร่วมมือกับองค์กรระหว่างประเทศ (Engage in international cooperation) เพื่อสร้างองค์ความรู้พื้นฐานร่วมกัน และช่วยส่งเสริมผลประโยชน์ร่วมกันในการรับมือกับภัยคุกคามไซเบอร์และอาชญากรรมทางไซเบอร์ โดยระบุประเทศพันธมิตรและแง่มิติที่ต้องการสร้างความร่วมมือ และกำหนดหน่วยงานภายในประเทศให้มีหน้าที่ความรับผิดชอบในการสร้างความร่วมมือระหว่างประเทศ

2.3.11 การสร้างการร่วมมือระหว่างภาครัฐและเอกชน (Establish a public-private partnership) ซึ่งมักจะเป็นผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญของประเทศ โดยการประสานงานและร่วมมือระหว่างภาครัฐและเอกชนช่วยทำให้รัฐบาลเข้าใจถึงความต้องการของภาคเอกชน และความท้าทายที่ภาคเอกชนต้องเผชิญ การรร่วมมือระหว่างภาครัฐและเอกชน จะช่วยให้เกิดการรวมกลุ่มของผู้เชี่ยวชาญและทรัยากรที่จำเป็นในการแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์และการสร้างความทนทานต่อภัยคุกคามทางไซเบอร์

2.3.12 การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและความเป็นส่วนตัว (Balance security with privacy) โดยพิจารณาหลักเกณฑ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ควบคู่กับการบัญญัติกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ปรึกษาหารือกับหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลในประเด็นข้อกฎหมาย การปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลควรเป็นไปตามมาตรฐานขั้นต่ำด้านความมั่นคงปลอดภัยไซเบอร์

2.3.13 การสร้างความร่วมมือระหว่างหน่วยงานภาครัฐ (Institutionalise cooperation between public agencies) เช่น คณะกรรมการที่ปรึกษา คณะกรรมการกำกับดูแล สภา ศูนย์ปฏิบัติการ การประชุมกลุ่มผู้เชี่ยวชาญ เป็นต้น เพื่อให้เกิดการแลกเปลี่ยนข้อมูล การปรึกษาหารือ และการร่วมมือกัน จะช่วยให้การขับเคลื่อนยุทธศาสตร์ประสบผลสำเร็จได้

2.3.14 การเร่งการศึกษาวิจัยและพัฒนา (Foster R&D) เครื่องมือในการตรวจสอบ และป้องกันการโจมตีทางไซเบอร์รูปแบบใหม่ ๆ รวมถึงการระบุถึงสาเหตุของความเปราะบางต่อการโจมตีทางไซเบอร์

2.3.15 การสร้างแรงจูงใจให้ภาคเอกชนในการลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Provide incentives for the private sector to invest in security measures) วิธีที่ง่ายที่สุดในการกระตุ้นให้ภาคเอกชนลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ คือ การใช้บังคับตามกฎหมาย อย่างไรก็ดี รัฐบาลมักจะใช้วิธีการสร้างแรงจูงใจให้ภาคเอกชนมากกว่า เช่น สิทธิประโยชน์ทางภาษี การให้เงินช่วยเหลือ และการสนับสนุนเงินทุนวิจัยและพัฒนา เป็นต้น

3. กรอบโครงสร้างความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ของสถาบันมาตรฐานและเทคโนโลยี (National institute of standards and technology: NIST) ประเทศสหรัฐอเมริกา

กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ของสถาบันมาตรฐานและเทคโนโลยี (NIST) เป็นหนึ่งในกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งเป็นที่นิยมใช้อย่างมากในปัจจุบัน ไม่เพียงแค่องค์กรในประเทศสหรัฐอเมริกาเท่านั้น framework ดังกล่าวยังเป็นที่แพร่หลายไปยังทุกภูมิภาคทั่วโลก รวมไปถึงประเทศไทย หลายองค์กรเริ่มนำ Framework นี้ประยุกต์ใช้เพื่อรับมือกับภัยคุกคามไซเบอร์ Framework นี้รวบรวมเอาแนวปฏิบัติที่ดีที่สุดอันหลากหลายเข้าไว้ด้วยกัน เพื่อช่วยให้ธุรกิจองค์กรสามารถกำหนดแนวทางบังคับใช้งาน และปรับปรุงแนวทางการรักษาความมั่นคงปลอดภัย รวมถึงมีภาษากลางสำหรับใช้ในการสื่อสารประเด็นปัญหาต่าง ๆ ที่เกิดขึ้นระหว่างผู้ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ

Framework นี้นำเสนอหลักการและแนวทางปฏิบัติที่ดีที่สุดของการบริหารจัดการความเสี่ยง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ รวมไปถึงช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ ในขณะที่ธุรกิจยังคงดำเนินต่อไปได้อย่างเนื่อง โดยหัวใจสำคัญของ Framework แบ่งออกเป็น 5 ขั้นตอนที่สำคัญ ได้แก่ Identity Protect Detect Respond และ Recovery โดยสรุปได้ ดังนี้

3.1 Identify – การระบุและเข้าใจถึงบริบทต่าง ๆ เพื่อการบริหารจัดการความเสี่ยง
3.2 Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร
3.3 Detect – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ
3.4 Respond – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น
3.5 Recovery – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม

ทั้งนี้ แต่ละขั้นตอนหลักจะแบ่งออกเป็นขั้นตอนย่อยๆ พร้อมระบุเอกสารอ้างอิง เช่น ISO/IEC 27001:2013 , COBIT 5, NIST SP800-53 เพื่อให้ผู้อ่านนำกระบวนหรือแนวทางปฏิบัติจากเอกสารเหล่านั้นมาใช้เพื่อดำเนินการตามขั้นตอนย่อยๆ เหล่านี้ได้ทันที

ในตอนต่อไปจะกล่าวถึงเรื่องของ..การศึกษาวิจัยที่เกี่ยวกับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ติดตามกันต่อไปนะครับ

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 3

บทที่ 2

การทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง

ทฤษฎีและแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ

The Global Cybersecurity Capacity Centre (GCSCC) แห่ง University of Oxford ประเทศสหราชอาณาจักร ได้จัดทำคู่มือกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cyber security capacity maturity model: CMM) ซึ่งเป็นคู่มือในการประเมินศักยภาพและขีดความสามารถในการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการ ความมั่นคงปลอดภัยไซเบอร์ของประเทศให้เป็นระบบ มีประสิทธิผล เป็นที่ยอมรับในระดับสากล ทั้งนี้ ปัจจุบัน GCSCC ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการ ความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก

กรอบการประเมินขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ ตามแนวคิดของ CMM แบ่งหมวดหมู่ของขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ออกได้ 5 มิติ โดยมีรายละเอียด (แผนภาพที่ 2-1) ดังนี้

มิติที่ 1 National cybersecurity framework and policy เป็นขีดความสามารถ ในการพัฒนานโยบาย และยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`ความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ การบริหารจัดการในภาวะวิกฤต การปกป้องโครงสร้างพื้นฐานที่สำคัญ การเตือนภัยล่วงหน้า การฟื้นฟูหรือซ่อมแซมความเสียหาย รวมถึงความสามารถในการพัฒนานโยบายความมั่นคงที่มีประสิทธิภาพในการปกป้องและทนทานต่อภัยคุกคาม
มิติที่ 2 Cyber culture and society เป็นขีดความสามารถด้านความรู้ความเข้าใจของประชาชนในเรื่องความเชื่อมั่นต่อบริการอินเทอร์เน็ต บริการอิเล็กทรอนิกส์ของภาครัฐ และพาณิชย์อิเล็กทรอนิกส์ และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลบนโลกออนไลน์ ความเข้าใจของประชาชนในเรื่องความเสี่ยงที่เกี่ยวข้องกับโลกไซเบอร์ต่าง ๆ กลไกการให้ผู้ใช้งานรายงานอาชญากรรมทางไซเบอร์ รวมถึงบทบาทของเครือข่ายสังคมออนไลน์ต่อการเปลี่ยนแปลงทัศนคติ และพฤติกรรมของผู้ใช้งาน
มิติที่ 3 Cybersecurity education, training and skills เป็นขีดความสามารถด้านความตระหนักรู้ (Awareness) ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ของภาครัฐภาคเอกชน และประชาชนทั่วไป ตลอดจนการเข้าถึงและคุณภาพของการให้ความรู้และการอบรมด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป
มิติที่ 4 Legal and regulatory frameworks เป็นขีดความสามารถในการออกแบบและบังคับใช้กฎหมาย รวมถึงการตัดสินคดีความที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ทั้งในด้านความมั่นคงด้านเทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคคล และการคุ้มครองความเป็นส่วนตัว (Privacy protection) ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้นและส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก
มิติที่ 5 Standards, organizations, and technologies เป็นขีดความสามารถด้านการใช้เทคโนโลยีที่มีประสิทธิภาพเพื่อรักษาความมั่นคงปลอดภัยทางด้านไซเบอร์ให้กับประชาชนทั่วไป องค์กร โครงสร้างพื้นฐานของประเทศ มาตรฐานและการถอดบทเรียนจากกรณีศึกษาที่ดี ด้านความมั่นคงปลอดภัยทางไซเบอร์ ตลอดจนเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

จากขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ทั้ง 5 มิติข้างต้น ในแต่ละมิติมีส่วนที่ทับซ้อนกัน แสดงถึงความสัมพันธ์ระหว่างขีดความสามารถแต่ละมิติ โดยในแต่ละขีดความสามารถประกอบด้วยปัจจัย (Factor) คุณลักษณะ (Aspects) ระยะของการขับเคลื่อน (Stages of maturity) และตัวชี้วัด (Indicator) โดยมีความหมายสรุปได้ (แผนภาพที่ 2-2) ดังนี้

มิติ (Dimension) แสดงถึง หมวดหมู่ของขีดความสามารถด้านความมั่นคงปลอดภัย ไซเบอร์
ปัจจัย (Factor) แสดงถึง คุณลักษณะของขีดความสามารถด้านความมั่นคงปลอดภัย ไซเบอร์ เป็นองค์ประกอบที่ใช้ในการพัฒนาขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ รายการปัจจัยทั้งหมดสะท้อนถึงภูมิทัศน์ของขีดความสามารถความมั่นคงปลอดภัยไซเบอร์ภายใต้ มิตินั้น ๆ การกำหนดรายการปัจจัยทำได้จากการทบทวนและเรียนรู้จากประสบการณ์ ภายในปัจจัยประกอบด้วยกลุ่มของคุณลักษณะ (Aspects) ซึ่งเป็นการจัดหมวดหมู่ของปัจจัย
คุณลักษณะ (Aspect) แสดงถึง การจัดกลุ่มของปัจจัยให้อยู่ในหมวดหมู่ของคุณลักษณะ จะช่วยให้สามารถจัดกลุ่มของตัวชี้วัดที่สามารถเข้าใจได้ง่ายมากขึ้น
ระยะของการขับเคลื่อน (Stages of maturity) แสดงถึง ลำดับของความก้าวหน้า ในการพัฒนาขีดความสามารถในแต่ละกลุ่มปัจจัยและคุณลักษณะ โดย CMM แบ่งระยะเวลาของ การขับเคลื่อนออกเป็น 5 ระยะ
ตัวชี้วัด (Indicator) แสดงถึง ขั้นตอน ปฏิบัติการ หรือองค์ประกอบ ที่บ่งชี้ถึงระยะของ การขับเคลื่อนภายใต้มิติ ปัจจัย และคุณลักษณะต่าง ๆ ประเทศต้องบรรลุเปูาหมายของทุกตัวชี้วัด ในมิติ ปัจจัย และคุณลักษณะนั้น ๆ เพื่อเพิ่มขีดความสามารถของประเทศ ตัวชี้วัดส่วนใหญ่มีค่าได้ 2 รูปแบบ เช่น สำเร็จ ไม่สำเร็จ เป็นต้น

นอกจากนี้ กรอบแนวคิดของ CMM ได้แบ่งระยะของการกำหนดยุทธศาสตร์ (Stage of Maturity) ด้านการดูแลความมั่นคงปลอดภัยทางไซเบอร์ ออกเป็น 5 ระยะ (แผนภาพที่ 2-3) ดังนี้
ระยะที่ 1 Start-up เป็นระดับที่เพิ่งเริ่มอภิปรายเกี่ยวกับแนวทางการสร้าง ขีดความสามารถ (Capacity building) ในการดูแลความมั่นคงปลอดภัยทางไซเบอร์ แต่ยังไม่เริ่มดำเนินการ ตัวอย่างเช่น การเริ่มอภิปรายเกี่ยวกับความตระหนักรู้ทางไซเบอร์ แต่ยังไม่ทราบถึง ความจำเป็นของความตระหนักรู้อย่างชัดเจน เป็นต้น
ระยะที่ 2 Formative เป็นระดับที่เริ่มปรากฏแนวทางที่ชัดเจนแล้ว แต่ยังไม่จัดเป็นระเบียบหรือไม่เป็นหมวดหมู่ ตัวอย่างเช่น การสร้างโครงการเพิ่มความตระหนักรู้ทางไซเบอร์ผ่าน การอบรมพัฒนาบุคลากร โดยกำหนดกลุ่มเป้าหมายเฉพาะเจาะจง แต่โครงการยังไม่เชื่อมโยงกับยุทธศาสตร์ชาติ เป็นต้น
ระยะที่ 3 Established เป็นระดับที่เริ่มดำเนินการตามแนวทางแล้ว อยู่ในขั้นตอนของการตัดสินใจทางเลือกต่าง ๆ และจัดสรรทรัพยากร ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทาง ไซเบอร์มีหน่วยงานรับผิดชอบชัดเจนแล้ว และขยายกลุ่มเป้าหมายออกไปในวงกว้าง และเริ่มประสานขอความร่วมมือกับภาคส่วนต่าง ๆ เป็นต้น
ระยะที่ 4 Strategic เป็นระดับที่มีการจัดลำดับความสำคัญของแนวทางว่าอยู่ในระดับองค์กรหรือระดับชาติ ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทางไซเบอร์อยู่ในระยะที่ได้รับการบูรณาการความร่วมมือจากภาคส่วนต่าง ๆ ในประเทศ เป็นต้น
ระยะที่ 5 Dynamic เป็นระดับที่มีความชัดเจนในด้านกลไกที่จะนำไปสู่การเปลี่ยนแปลงยุทธศาสตร์ ซึ่งขึ้นอยู่กับภัยคุกคามไซเบอร์ที่เกิดขึ้นจริงในปัจจุบัน ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทางไซเบอร์อยู่ในระยะที่ทำให้เกิดการจัดสรรทรัพยากรและการลงทุนครั้งใหม่ สามารถเห็นผลกระทบจากการสร้างความตระหนักรู้ทางไซเบอร์อย่างชัดเจน เป็นต้น

หลักการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ

1. ประเทศสหรัฐอเมริกา
ประเทศสหรัฐอเมริกาเป็นประเทศที่ต้องเผชิญกับความท้าทายทางไซเบอร์ทั้งจากผู้ก่อการร้าย และประเทศมหาอำนาจอื่น เช่น รัสเซีย จีน อิหร่าน และเกาหลีเหนือ นับตั้งแต่ ปี 2546 ซึ่งสำนักงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (Cybersecurity and infrastructure security agency: CISA) กระทรวงความมั่นคงแห่งมาตุภูมิ มีการจัดทำยุทธศาสตร์ชาติด้านการรักษาความมั่นคงปลอดภัยของโลกไซเบอร์สเปซ (National strategy to secure cyberspace) หลังจากเกิดเหตุการณ์วินาศกรรมเมื่อวันที่ 11 กันยายน 2544 เป็นระยะเวลาถึง 15 ปี ที่ประเทศสหรัฐอเมริกาไม่ได้ปรับปรุงยุทธศาสตร์ความมั่นคงด้านไซเบอร์ ในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มขึ้นทวีคูณ จนกระทั่งในปี 2561 ทำเนียบขาว ประเทศสหรัฐอเมริกา ได้เผยแพร่ยุทธศาสตร์ไซเบอร์ของประเทศ (National cyber strategy) ประกอบด้วยเสาหลัก 4 ด้าน ได้แก่ 1) เสาหลักที่ 1 การปกป้องผืนแผ่นดินและวิถีชีวิตของอเมริกันชน (Protect the American people, the homeland, and the American way of life) 2) เสาหลักที่ 2 การเสริมสร้าง ความมั่งคั่งของอเมริกา (Promote American prosperity) 3) เสาหลักที่ 3 การรักษาสันติภาพ ด้วยพลัง (Preserve peace through strength) และ 4) เสาหลักที่ 4 การขยายอิทธิพลของสหรัฐอเมริกา (Advance American influence) โดยมีสาระสำคัญ ดังนี้

1.1 เสาหลักที่ 1 การปกป้องผืนแผ่นดินและวิถีชีวิตของอเมริกันชน (Protect the American people, the homeland, and the American way of life)
1.1.1 การรักษาความมั่นคงปลอดภัยให้กับเครือข่ายกิจการโทรทัศน์ และกิจการโทรคมนาคมของสหพันธรัฐ และข้อมูลของสหพันธรัฐ (Secure federal networks and information) โดยการกำหนดมาตรฐานในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัย ไซเบอร์ที่มีประสิทธิภาพ และการรวมศูนย์การสั่งการและมอบหมายหน้าที่ความรับผิดชอบ รวมถึงกำกับดูแลภาพรวมการทำงานของหน่วยงานที่เกี่ยวข้อง
1.1.2 การรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Secure critical infrastructure) โดยการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน การกระจายและจัดสรรความเสี่ยงระหว่างภาครัฐและภาคเอกชน ในลักษณะของการร่วมลงทุนระหว่างภาครัฐและเอกชน (PPPs) การจัดลำดับความสำคัญของปฏิบัติการ (Consequence-driven) ที่ลดความรุนแรงและความยาวนานของการหยุดชะงักของโครงสร้างพื้นฐาน
1.1.3 การรับมืออาชญากรรมทางไซเบอร์และการพัฒนาการรายงานอุบัติการณ์ (Combat cybercrime and improve incident reporting) โดยอาศัยความร่วมมือระหว่างมลรัฐ ท้องถิ่น ชนเผ่า และเขตแดน ในการตรวจตรา ป้องกัน ต่อต้าน และสืบสวนสอบสวนเกี่ยวกับภัยคุกคามทางไซเบอร์ต่อประเทศสหรัฐ

1.2 เสาหลักที่ 2 การเสริมสร้างความมั่งคั่งของอเมริกา (Promote American prosperity)
1.2.1 พัฒนาเศรษฐกิจดิจิทัลให้มีความมั่นคั่งและมีความทนทานต่อภัยคุกคามทางไซเบอร์ (Foster a vibrant and resilient digital economy) โดยการสนับสนุนการกำหนดมาตรฐานของการรักษาความมั่นคงปลอดภัยทางเศรษฐกิจ ตลาดกลางการพาณิชย์ (Marketplace) และนวัตกรรม
1.2.2 พัฒนาและคุ้มครองทรัพย์สินทางปัญญาของประเทศสหรัฐอเมริกา (Foster and protect United States ingenuity) โดยการคุ้มครองสิ่งประดิษฐ์ เทคโนโลยี และนวัตกรรมของประเทศสหรัฐอเมริกาจากการจารกรรมทรัพย์สินทางปัญญา รวมถึงการผลักดันบทบาทผู้นำด้านเทคโนโลยี เช่น ปัญญาประดิษฐ์ (Artificial intelligence: AI) วิทยาศาสตร์ข้อมูลควอนตัม(Quantum information science) และโครงสร้างพื้นฐานโทรคมนาคมสำหรับอนาคต (Next generation telecommunication infrastructure) เป็นต้น
1.2.3 พัฒนากำลังแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ที่เหนือกว่า (Develop a superior cybersecurity workforce) โดยพัฒนาศูนย์รวมบุคลากรมากความสามารถ (Talent pool) และดึงดูดผู้เชี่ยวชาญจากต่างประเทศ

1.3 เสาหลักที่ 3 การรักษาสันติภาพด้วยพลัง (Preserve peace through strength)
1.3.1 สร้างเสถียรภาพทางไซเบอร์ผ่านพฤติกรรมความรับผิดชอบของรัฐที่เป็นบรรทัดฐานทางสังคม (Enhance cyber stability through norms of responsible state Behavior) ผ่านกรอบความรับผิดชอบของรัฐภายใต้กฎหมายระหว่างประเทศ การสร้างความเชื่อมั่นต่อความสามารถในการลดความเสี่ยงจากกิจกรรมไซเบอร์ที่มีความประสงค์ร้าย
1.3.2 หยุดยั้งพฤติกรรมที่ไม่เหมาะสมในโลกไซเบอร์สเปซ (Attribute and deter unacceptable behavior in cyberspace) กิจกรรมไซเบอร์ที่เป็นภัยต่อประเทศสหรัฐอเมริกา ด้วยวิธีการทางการฑูต การข่าวสาร การทหาร การเงิน การข่าวกรอง และการบังคับใช้กฎหมาย

1.4 เสาหลักที่ 4 การขยายอิทธิพลของสหรัฐอเมริกา (Advance American influence)
1.4.1 สนับสนุนเสรีภาพบนระบบอินเทอร์เน็ต เชื่อมโยงกันได้ เชื่อถือได้ และมั่นคงปลอดภัย (Promote an open, interoperable, reliable, and secure internet) ซึ่งเป็นส่วนหนึ่งของหลักสิทธิมนุษยชน และเสรีภาพขั้นพื้นฐาน และป้องกันการใช้อินเทอร์เน็ตเสรีเป็นเครื่องมือทางการเมือง โดยยึดมั่นในหลักการนี้ให้เป็นมาตรฐานระดับสากล
1.4.2 สร้างขีดความสามารถไซเบอร์ระหว่างประเทศ (Build international cyber capacity) โดยส่งเสริมการพัฒนาขีดความสามารถไซเบอร์ให้ประเทศพันธมิตร เพื่อให้ประเทศพันธมิตรสามารถปกป้องตนเองได้ และสามารถสนับสนุนประเทศสหรัฐอเมริกาในการรับมือกับปัญหาภัยคุกคามไซเบอร์อย่างมีประสิทธิภาพ แลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์กับประเทศพันธมิตร เพื่อป้องกันโครงสร้างพื้นฐานที่สำคัญยิ่งยวดและห่วงโซ่อุปทานของโลก รวมถึงขยายความร่วมมือทางด้านการฑูต การเศรษฐกิจ และความมั่นคงปลอดภัย

2. ประเทศสหราชอาณาจักร
รัฐบาลสหราชอาณาจักร ได้จัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ปี 2559 – 2564 (National cyber security strategy 2016 – 2021) ในปี 2559 โดยมีเป้าประสงค์หลัก 3 ด้าน ได้แก่ การป้องกัน (Defend) การยับยั้ง (Deter) และ การพัฒนา (Develop) ในส่วนของการป้องกัน หมายถึง การป้องกันสหราชอาณาจักรจากภัยคุกคามทางไซเบอร์ การรับมือกับอุบัติการณ์ เพื่อให้ระบบเครือข่าย ระบบข้อมูล ธุรกิจ และประชาชน ได้รับความปลอดภัย และสามารถป้องกันตนเองได้ การยับยั้ง หมายถึง การตรวจสอบ ทำความเข้าใจ สืบสวนสอบสวน และหยุดยั้งกิจกรรมที่ประสงค์ร้ายต่อสหราชอาณาจักร ติดตามและลงโทษผู้กระทำความผิด และการพัฒนา หมายถึง การสร้างนวัตกรรม การวิจัย และพัฒนา เพื่อตอบสนองความต้องการของประเทศ และความพร้อมรับมือภัยคุกคามและความท้าทายในอนาคต ทั้งนี้ แผนยุทธศาสตร์จำแนกออกตามเปูาประสงค์หลัก 3 ด้าน สรุปได้ ดังนี้

2.1 การป้องกัน (Defend)
2.1.1 การพัฒนาระบบความมั่นคงปลอดภัยไซเบอร์ (Active cyber defence: ACD) โดยสร้างความทนทานต่อการโจมตีทางไซเบอร์ ความเข้าใจต่อภัยคุกคามทาง ไซเบอร์ และการรับมือกับภัยคุกคามทางไซเบอร์
2.1.2 การรักษาความมั่นคงปลอดภัยของระบบอินเทอร์เน็ต (Building a more secure internet) โดยสร้างความมั่นใจว่า การพัฒนาเทคโนโลยีใหม่ต้องมีความมั่นคงปลอดภัยเป็นค่าตั้งต้น (Secure by default) และมีระบบรักษาความปลอดภัยทั้งซอฟต์แวร์และฮาร์ดแวร์
2.1.3 การคุ้มครองข้อมูลภาครัฐ (Protecting government) ในทุกหน่วยงาน และทุกระดับของหน่วยงานภาครัฐ เพื่อรักษาความเชื่อมั่นของประชาชนต่อระบบและบริการของภาครัฐ
2.1.4 การคุ้มครองโครงสร้างพื้นฐานของประเทศที่สำคัญยิ่งยวดและภาคส่วนเศรษฐกิจที่มีความสำคัญยิ่งยวด (Protecting our critical national infrastructure and other priority sectors) ซึ่งมีผลกระทบต่อวิถีชีวิตของประชาชน ระบบเศรษฐกิจ ชื่อเสียงและจุดยืนของประเทศในเวทีโลก
2.1.5 การพัฒนาพฤติกรรมของภาคธุรกิจและประชาชน (Changing public and business behaviours) ให้มีความตระหนักรู้ และความเข้าใจต่อภัยคุกคามไซเบอร์
2.1.6 การบริหารจัดการอุบัติการณ์และความเข้าใจต่อภัยคุกคามไซเบอร์ (Managing incidents and understanding the threat) โดยกำหนดกระบวนการสร้างความร่วมมือในภาวะที่เกิดภัยคุกคามไซเบอร์ระหว่างภาครัฐและเอกชน เพื่อให้มั่นใจว่า มีการจัดเก็บข้อมูล แลกเปลี่ยนข้อมูล อย่างรวดเร็วและทันการณ์

2.2 การยับยั้ง (Deter)
2.2.1 การป้องปรามในโลกไซเบอร์ (Cyber’s role in deterrence) จาก การรุกรานทางไซเบอร์และอธิปไตย (Sovereignty) ของประเทศ โดยสร้างความเข้มแข็งให้ประเทศจนโจมตีได้ยาก ลดผลประโยชน์ และเพิ่มต้นทุนของการโจมตีทางไซเบอร์ไม่ว่าจะเป็นการโจมตีที่มีเป้าหมายทางด้านการเมือง เป้าหมายทางการฑูต เป้าหมายทางเศรษฐกิจ หรือเป้าหมายเชิงยุทธศาสตร์
2.2.2 การลดอาชญากรรมทางไซเบอร์ (Reducing cyber crime) โดยเพิ่มต้นทุนในการโจมตีทางไซเบอร์ ลดผลประโยชน์จากการโจมตีทางไซเบอร์ ลดความเปราะบางต่อ การถูกโจมตีทางไซเบอร์ และติดตามจับกุมอาชญากรที่โจมตีสหราชอาณาจักร
2.2.3 การรับมือผู้ประสงค์ร้ายจากภายนอกประเทศ (Countering hostile foreign actors) ที่พุ่งเป้าหมายโจมตีการเมือง เศรษฐกิจ และความมั่นคงทางการทหารของประเทศ
2.2.4 การป้องกันการก่อการร้าย (Preventing terrorism) โดยการลด ความเสี่ยงจากการถูกโจมตีทางไซเบอร์ และป้องกันการถูกโจมตีผ่านการเฝ้าระวัง ติดตามสืบสวนสอบสวน ร่วมงานกับประเทศพันธมิตรในการจับกุมผู้ก่อการร้ายทางไซเบอร์
2.2.5 การพัฒนาขีดความสามารถด้านอธิปไตยไซเบอร์เชิงรุก (Enhancing sovereign capabilities – offensive cyber) โดยการโจมตีเครือข่ายหรือระบบของผู้ประสงค์ร้าย ทำลายโอกาสในการโจมตีทางไซเบอร์ และมีการพัฒนาขีดความสามารถในการปฏิบัติการเชิงรุก
2.2.6 การพัฒนาขีดความสามารถด้านอธิปไตยการเข้ารหัสข้อมูล (Enhancing sovereign capabilities – cryptography) โดยอาศัยทักษะและเทคโนโลยีของภาคเอกชนที่มี ขีดความสามารถสูง

2.3 การพัฒนา (Develop)
2.3.1 การพัฒนาทักษะการรักษาความมั่นคงปลอดภัยไซเบอร์ (Strengthening cyber security skills) โดยการพัฒนาบุคลากรและผู้เชี่ยวชาญให้มีเส้นทางการเจริญก้าวหน้าในสายอาชีพอย่างชัดเจน
2.3.2 การกระตุ้นการเจริญเติบโตในภาคส่วนการรักษาความมั่นคงปลอดภัยไซเบอร์ (Stimulating growth in the cyber security sector) โดยสนับสนุนให้ผู้ที่มีแนวคิดในการผลิตนวัตกรรม โดยเฉพาะวิสาหกิจขนาดกลางและขนาดย่อม (Small and medium enterprises: SMEs) ให้สามารถเข้าถึงเงินทุน และสามารถเพิ่มทักษะความรู้ด้านเทคโนโลยีได้
2.3.3 การสนับสนุนวิทยาการและเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ (Promoting cyber security science and technology) ทั้งในด้านการวิจัยและพัฒนา และด้านวิชาการ เพื่อดึงดูดผู้มีความรู้ความสามารถให้เข้าสู่ภาคส่วนเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์
2.3.4 การเฝ้าติดตามและวิเคราะห์การเปลี่ยนแปลงของเทคโนโลยี (Effective horizon scanning) โดยการคาดการณ์ภัยคุกคามในอนาคต ในช่วงระยะ 5 – 10 ปีข้างหน้า การคาดการณ์ผลกระทบจากภัยคุกคามที่อาจจะเกิดขึ้น รวมถึงเสนอแนะเพื่อกำหนดนโยบายและแผนการรับมือภัยคุกคามที่อาจจะเกิดขึ้นในอนาคต

ทั้งนี้ สำนักงานคณะรัฐมนตรี ประเทศสหราชอาณาจักร ได้เผยแพร่รายงานความก้าวหน้าของการขับเคลื่อนยุทธศาสตร์ ในปี 2561 โดยพบความก้าวหน้าของการขับเคลื่อนแผนเชิงยุทธศาสตร์ 13 เรื่อง ได้แก่ 1) ความเข้าใจในภัยคุกคามไซเบอร์ (Understanding the threat) 2) การรับมือกับอาชญากรรมไซเบอร์ (Tackling cyber crime) 3) การรับมือกับอุบัติการณ์ไซเบอร์ (Responding to cyber incidents) 4) ระบบป้องกันการโจมตีทางไซเบอร์ (Active cyber defence) 5) การสร้างความปลอดภัยทางเทคโนโลยีด้วยการออกแบบ (Making technology secure by design) 6) การพัฒนาความมั่นคงปลอดภัยไซเบอร์ของรัฐบาล (Improving the cyber security of government) 7) การบริหารจัดการความเสี่ยงไซเบอร์ในระบบเศรษฐกิจและสังคม (Managing cyber risk in the wider economy and society) 8) การบริหารจัดการความเสี่ยง ไซเบอร์ในโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศ (Managing cyber risk in critical national infrastructure) 9) การพัฒนาภาคส่วนความมั่นคงปลอดภัยไซเบอร์ (Developing the cyber security sector) 10) การพัฒนาทักษะด้านความมั่นคงปลอดภัยไซเบอร์ (Developing the cyber security skills pipeline) 11) การวางแผนการวิจัยและพัฒนา (Research, development and future planning) 12) การผลักดันประเด็นปัญหาความมั่นคงปลอดภัยไซเบอร์ในเวทีระหว่างประเทศ (International action)และ 13) การสร้างการทำงานของหน่วยงานภาครัฐให้เป็นไปในทิศทางเดียวกัน (Strengthening our whole-of-Government approach)

3. ประเทศสิงคโปร์
หน่วยงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติแห่งสิงคโปร์ (Cyber security agency of Singapore: CSA) ได้เผยแพร่ยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ในปี 2559 โดยกำหนดให้ยุทธศาสตร์ประกอบด้วย 4 เสาหลัก ได้แก่ 1) การสร้างโครงสร้างพื้นฐานที่มีความทนทานต่อภัยคุกคามทางไซเบอร์ (Building resilient infrastructure) 2) การสร้างโลกไซเบอร์สเปซที่ปลอดภัยยิ่งขึ้น (Creating a safer cyberspace) 3) การพัฒนาระบบนิเวศของความมั่นคงปลอดภัยไซเบอร์ (Developing a vibrant cybersecurity ecosystem) และ 4) การสร้างความร่วมมือระหว่างประเทศ (Strengthening international partnership) โดยมีสาระสำคัญ ดังนี้

3.1 การสร้างโครงสร้างพื้นฐานที่มีความทนทานต่อภัยคุกคามทางไซเบอร์ (Building resilient infrastructure)
3.1.1 การปกป้องบริการที่สำคัญยิ่งยวด (Protect our essential services) โดยการจัดทำกระบวนการบริหารจัดการความเสี่ยง การสร้างวัฒนธรรมความตระหนักรู้ถึงความเสี่ยง การเพิ่มแนวปฏิบัติความมั่นคงด้วยการออกแบบ (Secure by design) ตลอดทั้งห่วงโซ่อุปทานของการให้บริการ
3.1.2 การเพิ่มขีดความสามารถในการรับมือต่อภัยคุกคามทางไซเบอร์อย่างเด็ดขาด (Respond decisively to cyber threats) โดยการสร้างความตระหนักรู้ต่อเหตุการณ์ การฝึกซ้อมแผนรับมือด้วยการจำลองสถานการณ์ที่ซับซ้อน และเกี่ยวโยงหลายภาคส่วน การเพิ่มทีม CIRT การเพิ่มประสิทธิภาพแผนฟื้นฟูภัยพิบัติ (Recovery plans) และแผนบริหารความต่อเนื่องทางธุรกิจ (Business continuity plans: BCP)
3.1.3 การสร้างความเข้มแข็งของโครงสร้างทางกฎหมายและการกำกับดูแลของภาครัฐ (Strengthen governance and legislative framework) โดยบัญญัติกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ที่กำหนดให้ผู้ให้บริการและเจ้าของโครงสร้างพื้นฐานที่สำคัญยิ่งยวดมีภาระความรับผิดชอบต่อความมั่นคงปลอดภัยไซเบอร์ สนับสนุนการแลกเปลี่ยนข้อมูลภัยคุกคาม ความร่วมมือของทุกภาคส่วนอย่างใกล้ชิดเพื่อแก้ไขเหตุการณ์อย่างทันการณ์
3.1.4 การรักษาความปลอดภัยให้กับเครือข่ายของรัฐบาล (Secure government networks) โดยการกำหนดสัดส่วนงบประมาณด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อยู่ที่ร้อยละ 8 ของวงเงินงบประมาณด้านเทคโนโลยีสารสนเทศและการสื่อสาร การลด การโจมตีเครือข่ายของรัฐบาล การสร้างความตระหนักรู้ต่อเหตุการณ์ในหน่วยงานภาครัฐ

3.2 การสร้างโลกไซเบอร์สเปซที่ปลอดภัยยิ่งขึ้น (Creating a safer cyberspace)
3.2.1 การต่อสู้กับอาชญากรรมทางไซเบอร์ (Combat cybercrime) โดยแผนปฏิบัติการระดับชาติ ที่เพิ่มองค์ความรู้ เพิ่มขีดความสามารถรับมือให้กับหน่วยงานภาครัฐ พัฒนากรอบกฎหมายในการตัดสินคดีอาชญากรรมทางไซเบอร์ และสร้างความร่วมมือระหว่างประเทศ
3.2.2 การพัฒนาสู่การเป็นศูนย์กลางแห่งความเชื่อมั่น (Enhance Singapore’s standing as a trusted hub) โดยการสร้างระบบนิเวศของข้อมูลที่เชื่อถือได้ ทั้งต่อผู้ใช้งานข้อมูล และหน่วยงานที่ให้บริการข้อมูล การพัฒนาเจ้าหน้าที่คุ้มครองข้อมูลที่มีความเชี่ยวชาญ หมายรวมถึงการใช้งานข้อมูลข้ามประเทศด้วย (Cross border data) การสร้างความร่วมมือกับประเทศพันธมิตร รัฐบาลอื่น อุตสาหกรรมที่เป็นพันธมิตร ผู้ให้บริการอินเทอร์เน็ต องค์กรระหว่างประเทศ เพื่อสร้างอินเทอร์เน็ตที่สามารถตรวจพบภัยคุกคามได้รวดเร็ว และลดกิจกรรมที่ประสงค์ร้าย
3.2.3 การสนับสนุนความรับผิดชอบต่อส่วนรวม (Promote collective responsibility) โดยภาคธุรกิจและประชาชนต้องมีความพร้อมรับข่าวสารเพื่อป้องกันระบบคอมพิวเตอร์ และอุปกรณ์ดิจิทัลของตนเองจากผู้ประสงค์ร้ายที่อาจจารกรรมระบบหรืออุปกรณ์ เพื่อใช้ในการคุกคามสังคมและภาคธุรกิจ

3.3 การพัฒนาระบบนิเวศของความมั่นคงปลอดภัยไซเบอร์ (Developing a vibrant cybersecurity ecosystem)
3.3.1 การสร้างกำลังแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ที่มีความเชี่ยวชาญ (Establish a professional cybersecurity workforce) โดยสร้างเส้นทางการเจริญก้าวหน้าในสายอาชีพที่ชัดเจน สนับสนุนการให้ใบรับรองที่เป็นที่ยอมรับในระดับสากล การให้ทุนการศึกษา หลักสูตรการศึกษาเฉพาะอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ การพัฒนาทักษะที่มีอยู่เดิม (Up-skilling) และการเรียนรู้ทักษะใหม่ (Re-skilling)
3.3.2 การสร้างความได้เปรียบด้านความมั่นคงปลอดภัยไซเบอร์ (Extend Singapore’s cybersecurity advantage) ผ่านการสร้างความเข้มแข็งของท้องถิ่น และฐานราก โดยเฉพาะกลุ่มผู้ประกอบการหน้าใหม่ (Start-up) ด้วยการเพิ่มโอกาสทางการตลาด การสร้างแบรนด์ผลิตในประเทศสิงคโปร์ให้ติดตลาดโลก
3.3.3 การสร้างนวัตกรรมเพื่อเร่งการพัฒนา (Innovate to accelerate) โดยอาศัยความพร้อมด้านสิ่งอำนวยความสะดวกด้านการวิจัยและพัฒนาที่ได้มาตรฐานระดับโลก การพัฒนาบุคลากรผู้มีความสามารถโดดเด่น การสร้างความร่วมมือในการวิจัยและพัฒนาระหว่างภาครัฐ ภาคเอกชน ภาควิชาการ และภาคอุตสาหกรรม

3.4 การสร้างความร่วมมือระหว่างประเทศ (Strengthening international partnership)
3.4.1 การสร้างความร่วมมือระดับภูมิภาคอาเซียนและความร่วมมือระหว่างประเทศเพื่อรับมือกับภัยคุกคามไซเบอร์และอาชญากรรมทางไซเบอร์ (Forge international and ASEAN cooperation to counter cyber threats and cybercrime) โดยเพิ่มประสิทธิภาพให้กับกระบวนการรายงานและการรับมือ การอาศัยความร่วมมือกับเครือข่ายการทำงานขององค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และการพัฒนาขีดความสามารถในการรับมือกับอาชญากรรมทางไซเบอร์
3.4.2 การริเริ่มสร้างขีดความสามารถด้านไซเบอร์ระดับยอดเยี่ยมของภูมิภาคอาเซียนและระดับสากล (Champion international and ASEAN cyber capacity building initiatives) ในด้านปฏิบัติการ เทคนิค กฎหมาย นโยบาย และการฑูต
3.4.3 การแลกเปลี่ยนเรียนรู้ประสบการณ์ในด้านการบังคับใช้กฎหมายและบรรทัดฐานไซเบอร์ของภูมิภาคและระดับสากล (Facilitate international and regional exchanges on cyber norms and legislation)

ในครั้งหน้าเราจะไปต่อกันด้วย กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล กันนะครับ

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 2

ขอขอบคุณ อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้อนุญาตให้ผมนำผลการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” มาเผยแพร่ในเว็บไซต์ www.itgthailand.com ซึ่งเกี่ยวเนื่องกับที่ผมเคยเขียนไว้ในหัวข้อ “ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ (Cyber Security Strategy and Enablers)” และผมเห็นว่าการวิจัยของอาจารย์ปริญญา หอมเอนก มีประโยชน์อย่างยิ่งยวดที่สามารถสร้างความเข้าใจในระดับกว้างและลึก ที่เกี่ยวข้องกับ Cyber Security ของชาติเป็นอย่างยิ่ง

ต่อจากนี้จะเป็นเนื้อหาต่อจากครั้งที่แล้วนะครับ

คำนำ

เอกสารวิจัย เรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ จัดทำขึ้น โดยได้แรงบันดาลใจจากประสบการณ์ทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) และ ได้สังเกตว่า กระบวนการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยที่ผ่านมา มุ่งเน้นแต่เพียง การปูองกันการโจมตีทางกายภาพต่อระบบอินเทอร์เน็ตและเครือข่าย ประกอบกับโลกยุคปัจจุบัน ที่แพลตฟอร์มต่างชาติและสื่อสังคมออนไลน์ (Social media) เข้ามามีบทบาทในการเปลี่ยนแปลงพฤติกรรมและการตัดสินใจของคนในชาติเพิ่มขึ้นเรื่อยๆ สอดคล้องกับความตื่นตัวของทั่วโลกที่เห็นว่าปัญหาดังกล่าวนำไปสู่การรุกรานทางความคิดและจิตใจของคนในชาติ หรือที่เรียกว่า ปัญหา “อธิปไตยไซเบอร์” หรือ “Cyber sovereignty ” ที่กำลังเกิดขึ้นทั่วโลก ซึ่งส่งผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National Security” ผู้วิจัยจึงเห็นว่า การศึกษาวิจัยในครั้งนี้จะช่วยให้ประเทศไทยเข้าใจปัญหาและผลกระทบของ การรุกราน “อธิปไตยไซเบอร์” มากขึ้น เพื่อให้สามารถนำกรอบแนวคิดที่ได้จากการศึกษา กรอบการจัดทำยุทธศาสตร์ในการแก้ไขปัญหา “อธิปไตยไซเบอร์” ตามแนวคิดที่เป็นที่ยอมรับในระดับสากล มาปรับปรุงยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์การรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ. 2560 – 2564 ได้ ให้มีประสิทธิภาพมากขึ้นในที่สุด

(ปริญญา หอมเอนก)
นักศึกษาวิทยาลัยปูองกันราชอาณาจักร
หลักสูตร วปอ. รุ่นที่ ๖๒ ผู้วิจัย

กิตติกรรมประกาศ

ในนามของผู้วิจัย ขอขอบคุณผู้ศึกษาขอขอบคุณคณะกรรมการและที่ปรึกษางานวิจัย ที่ได้กรุณาให้คำแนะนำและข้อคิดเห็นทางวิชาการที่เป็นประโยชน์อย่างยิ่งในการใช้เป็นกรอบแนวทาง ในการจัดทำเอกสารวิจัยส่วนบุคคลฉบับนี้ให้มีความสมบูรณ์ นอกจากนี้ผู้วิจัยขอขอบคุณ ท่านผู้ทรงคุณวุฒิ คณาจารย์วิทยาลัยปูองกันราชอาณาจักร สถาบันวิชาการปูองกันประเทศ ที่มีส่วนในการสนับสนุนสำคัญในระหว่างการจัดทำเอกสารวิชาการฉบับนี้ ผู้วิจัยขอขอบคุณวิทยาลัยปูองกันราชอาณาจักร และเจ้าหน้าที่ของวิทยาลัยทุกท่าน ที่ให้ความอนุเคราะห์เอื้อเฟื้อสถานที่ และทรัพยากรที่จำเป็นแก่การจัดทำเอกสาร รวมทั้งการให้ความช่วยเหลือในการให้คำแนะนำรูปแบบและการตรวจทานเอกสารต้นฉบับให้มีความสมบูรณ์มาก และ หวังเป็นอย่างยิ่งว่างานวิจัยฉบับนี้ จะได้รับการนำไปปฏิบัติอย่างเป็นรูปธรรมในประเทศของเรา เพื่อให้เกิดผลสำเร็จเป็นประโยชน์ ต่อประเทศชาติบ้านเมืองต่อไปในอนาคตอันใกล้นี้

(ปริญญา หอมเอนก)
นักศึกษาวิทยาลัยปูองกันราชอาณาจักร
หลักสูตร วปอ. รุ่นที่ ๖๒ ผู้วิจัย

บทที่ ๑

บทนำ

ความเป็นมาและความสาคัญของปัญหา จากประเด็นยุทธศาสตร์ชาติด้านความมั่นคงและประเด็นยุทธศาสตร์ชาติด้านการสร้างความสามารถในการแข่งขัน ในเอกสารยุทธศาสตร์ชาติ ระยะ ๒๐ ปี (พ.ศ. ๒๕๖๑ – ๒๕๘๐) ในด้านของความมั่นคง มีการกล่าวถึงเรื่อง ปัญหาภัยคุกคามไซเบอร์ อาชญากรรมไซเบอร์ที่ซับซ้อนขึ้น รูปแบบการก่อสงครามที่ใช้เทคโนโลยีเป็นเครื่องมือ เครื่องมือบนพื้นฐานของธรรมาภิบาลข้อมูล ซึ่งครอบคลุมความมั่นคงปลอดภัยไซเบอร์ ความมีจริยธรรม และการไม่ละเมิดสิทธิส่วนบุคคล การสร้างอุตสาหกรรมที่ส่งเสริมความมั่นคงปลอดภัยทางไซเบอร์ เพื่อลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่อเศรษฐกิจและสังคม และ การปกปูองอธิปไตยไซเบอร์ เพื่อรักษาผลประโยชน์ของชาติ จากการทำธุรกิจดิจิทัล แนวโน้มเหล่านี้จะก่อให้เกิดความท้าทายต่อการพัฒนาประเทศในหลายมิติ ทั้งในส่วนของการจ้างงานและอาชีพ สาขาการผลิตและบริการใหม่ ๆ

จากกระแส “Digital disruption” และ “Digital transformation” ทั่วโลก ทำให้เรา คงปฏิเสธไม่ได้ว่า การเปลี่ยนแปลงทางดิจิทัลของโลกมีผลต่อการดำเนินชีวิตประจำวันของมนุษย์ ทุกคนบนโลกใบนี้อย่างหลีกเลี่ยงไม่ได้ คำว่า ” Digital transformation” หรือ “Digital disruption” เป็นสิ่งที่เราได้ยินได้ฟังกันบ่อย ๆ ปัจจัยทั้ง 4 ที่มีผลต่อการเปลี่ยนแปลงทางดิจิทัลดังกล่าว ได้แก่ (The four IT mega trends in S-M-C-I Era) S หมายถึง Social media M หมายถึง Mobile computing C หมายถึง Cloud computing และ I หมายถึง Information หรือ Big data เทคโนโลยีการวิเคราะห์ข้อมูลขนาดใหญ่ ตลอดจนการเปลี่ยนแปลงของโลกจากเทคโนโลยี ปัญญาประดิษฐ์ (Artificial intelligence) และ อินเทอร์เน็ตในทุกสิ่ง (Internet of things) กำลังมีการพัฒนาและประยุกต์ใช้อย่างแพร่หลายทั่วโลก

ดังนั้น การเปลี่ยนแปลงครั้งใหญ่จากปัจจัยทั้งสี่ดังกล่าวจึงมีผลกระทบเกิดขึ้น ใน 3 ระดับได้แก่ ระดับบุคคลและครอบครัว ระดับองค์กร และระดับประเทศ ไปจนถึงผลกระทบต่อความมั่นคงของชาติ (National security) ปัจจุบันประเทศไทยของเราเป็นประเทศที่มีเอกราชและอธิปไตยในดินแดนของประเทศเราในเชิงกายภาพ (Physical) แต่หลังจากระบบอินเทอร์เน็ตได้เข้ามา มีบทบาทมากขึ้นในการติดต่อสื่อสารของคนไทยในหลายปีที่ผ่านมา ตลอดจนความนิยมในการใช้งานสมาร์ทโฟน และโปรแกรมเครือข่ายสังคมออนไลน์ของคนไทย ทำให้มีการเก็บข้อมูลคนไทย ทั้งประเทศไว้ในระบบคลาวด์ โดยส่งผ่านจากทางสมาร์ทโฟนและโปรแกรมเครือข่ายสังคมออนไลน์ดังกล่าว ยกตัวอย่างเช่น Facebook, Youtube และ Line ปัจจุบันมีคนไทยใช้งานสมาร์ทโฟน มากกว่าหนึ่งร้อยล้านเครื่อง โดยเฉลี่ยใช้งานวันละกว่า 6 ชั่วโมงต่อวัน โดยโปรแกรมยอดนิยม คงหนีไม่พ้นสามโปรแกรมเครือข่ายสังคมออนไลน์ดังที่กล่าวมาแล้ว ทำให้เกิดปรากฎการณ์มหกรรมการเก็บข้อมูลของคนไทยเข้าสู่ระบบคลาวด์ของบริษัทผู้ให้บริการโปรแกรมเครือข่ายสังคมออนไลน์ดังกล่าวสืบเนื่องจากการใช้งานสมาร์ทโฟนอย่างแพร่หลายทำให้มีการจัดเก็บพฤติกรรมผู้ใช้งานสมาร์ทโฟนอย่างต่อเนื่องทั้งที่ผู้ใช้ทราบและไม่ทราบมาก่อน ไม่ว่าจะเป็นการจัดเก็บข้อมูลตำแหน่งการใช้งาน (User location) พฤติกรรมการค้นหาข้อมูล (User search behavior and search keyword) พฤติกรรมการเข้าชมภาพและวิดีโอ ตลอดจนพฤติกรรมในการเลือกซื้อสินค้าและบริการ เช่น การจองโรงแรม การจองตั๋วเครื่องบิน ทำให้ข้อมูลมหาศาลเหล่านี้ตกอยู่ในมือของ ผู้ให้บริการการค้นหาข้อมูล และ ผู้ให้บริการโปรแกรมเครือข่ายสังคมออนไลน์อย่างหลีกเลี่ยงไม่ได้

การเก็บข้อมูลในระบบคลาวด์ขนาดใหญ่ มีกลไกในการวิเคราะห์เจาะลึกข้อมูลของเรา โดยใช้เทคโนโลยี “Big data” และ “Machine learning” ทำให้ผู้ให้บริการสามารถล่วงรู้พฤติกรรมการใช้อินเทอร์เน็ต การใช้สมาร์ทโฟน การค้นหาข้อมูล การใช้โปรแกรมเครือข่ายสังคมออนไลน์ การรับรู้ข้อมูลจากสื่อสังคมออนไลน์ต่าง ๆ ทำให้ผู้ให้บริการสามารถทราบถึง “Digital lifestyle” ของผู้คนอย่างไม่ยากเย็นนักจากข้อมูลที่เราเองเป็นคนใส่ข้อมูลเข้าไปในระบบทั้งรู้ตัวและไม่รู้ตัว

ปัญหาใหญ่ที่ตามมาคือปัญหา “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber sovereignty) ของผู้คนในประเทศตลอดจนไปถึงปัญหาความมั่นคงของชาติ (National security) ซึ่งคนไทยเองส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์”หรือ “Cyber sovereignty” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ตและ การใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนไทย ทำให้ผู้ให้บริการที่เข้าถึงข้อมูล เชิงลึก มีความได้เปรียบในการแข่งขันทางธุรกิจ และสามารถนำข้อมูลมาใช้ในการตลาดได้ อย่างมีประสิทธิผลและประสิทธิภาพ ทั้งนี้ยังไม่รวมถึงการขาดรายได้ของรัฐบาลไทยจากการจัดเก็บภาษีจากยอดเงินในระดับหมื่นล้านบาท โดยรัฐบาลไทยไม่สามารถจัดเก็บภาษีจากผู้ให้บริการได้ อย่างที่ควรจะเป็น เนื่องจากผู้ให้บริการทำการ Settlement payment โดยการใช้ Payment gateway นอกประเทศไทย เป็นต้น

จึงมีผู้กล่าวเปรียบเปรยได้ว่าเรากำลังใช้ชีวิตประจำวันอยู่ใน “The Matrix” หลายท่านอาจกำลังนึกถึงนวนิยายไซไฟ แต่จริง ๆ แล้วเรากำลังอยู่ในโลกแห่งความเป็นจริงที่ชีวิตประจำวัน ของคนไทยทุกคนมีความเกี่ยวพันกับ S-M-C-I อย่างหลีกเลี่ยงไม่ได้ ซึ่งเปรียบเหมือนเรากำลัง อยู่ใน “สภาวะไซเบอร์” ซึ่งปัจจัยทั้งสี่ S-M-C-I กำลังมีผลกับเราอย่างไม่รู้ตัว โดยปัจจุบันคนไทย มี Facebook account มากกว่า 54 ล้าน account และ LINE account มากกว่า 45 ล้าน account โดยมีการใช้งานอย่างต่อเนื่องในแทบทุกวัน เรียกได้ว่าเป็น “New platform” ที่คนไทยกำลังใช้ในการติดต่อสื่อสารกันแทนการใช้งานเทคโนโลยีในอดีต

ประธานาธิบดีแห่งสาธารณรัฐประชาชนจีน สี จิ้นผิง ได้กล่าวเสมอในการประชุมสุดยอดผู้นำโลกเกี่ยวกับปัญหา “อธิปไตยไซเบอร์” (Cyber sovereignty) ที่กำลังเกิดขึ้นทั่วโลก ท่านกล่าวว่าทุกประเทศทั่วโลกมีสิทธิที่จะกำหนดนโยบายด้านไซเบอร์ในประเทศของตน เพื่อปูองกันการรุกรานโดยต่างชาติในรูปแบบที่ไม่ต้องใช้กำลังทางทหารหรือกระสุนแม้แต่เพียงนัดเดียว แต่เป็นการรุกรานหรือการล่าอาณานิคมในรูปแบบใหม่ ที่ประชาชนในประเทศเปูาหมายไม่ได้รับรู้ว่ากำลังถูกรุกรานอยู่ เนื่องจากการรุกรานดังกล่าวไม่ต้องใช้กำลังแต่อย่างใด เป็นการรุกรานทางความคิด ความเชื่อ ค่อย ๆ ส่งข้อมูลเข้ามาปรับเปลี่ยนพฤติกรรมของคนในชาติเหล่านี้ เราคงเคยเห็นกันจากประสบการณ์ “Arab Spring” ในตะวันออกกลางมาแล้ว มีผลต่อการเลือกตั้ง มีผลต่อการเมืองการปกครอง ภัยจากการรุกรานเข้ามาเปลี่ยนความคิดดังกล่าวนั้น น่ากลัวยิ่งกว่าภัยจากการแฮกของแฮกเกอร์ เสียอีก เนื่องจากแฮกเกอร์จะเข้าระบบเพื่อดึงข้อมูล หรือทำให้ระบบล่ม ที่เราเห็นปัญหามัลแวร์ กันอยู่เป็นประจำ หากแต่การเจาะเข้าไปในจิตใจของมนุษย์ ให้ปรับเปลี่ยนความคิด ความเชื่อ ความศรัทธา ทำให้ชอบหรือไม่ชอบ รักหรือเกลียดในบุคคล สินค้า หรือบริการ หรือบริษัทต่าง ๆ ตลอดจนผู้นำในแต่ละประเทศมีผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National security” ในที่สุด

ปัจจุบันประเทศไทยคณะกรรมการยุทธศาสตร์ชาติได้ดำเนินการจัดทำยุทธศาสตร์ชาติ ๒๐ ปี ประกาศในราชกิจจานุเบกษาเป็นที่เรียบร้อยแล้ว แต่ประเทศไทยยังขาดการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อย่างเป็นทางการ ประกอบกับ ยังไม่มีแนวทางการแก้ปัญหาอธิปไตยไซเบอร์กำหนดไว้ในยุทธศาสตร์ชาติ ดังนั้น จึงเป็นที่มาของงานวิจัยฉบับนี้ ที่มุ่งศึกษาค้นคว้าแนวทางการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติเพื่อให้สามารถแก้ปัญหาอธิปไตยไซเบอร์และผลกระทบต่อความมั่นคงของชาติ ที่กำลังตามมาในระยะยาว เพื่อให้ประเทศไทยมีความพร้อมในการเข้าสู่ยุคแห่ง Data economy และ Digital transformation อีกทั้งยังสามารถปกปูองรักษาอธิปไตยไซเบอร์ของชาติเอาไว้ได้ ส่งผลต่อการรักษาความมั่นคงของชาติในที่สุด

วัตถุประสงค์ของการวิจัย

๑. ศึกษาและวิเคราะห์กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และ ลักษณะของยุทธศาสตร์การรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติที่มีความสอดคล้องกับยุทธศาสตร์ชาติ ๒๐ ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริงทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว

๒. เสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ ๒๐ ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

ขอบเขตของการวิจัย

๑. เน้นการวิจัยเฉพาะเรื่องอธิปไตยไซเบอร์ที่มีผลกระทบต่อความมั่นคงของชาติ ไม่รวมเรื่องการโจมตีของแฮกเกอร์ในทางเทคนิค
๒. วิจัยเฉพาะยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศที่เปิดเผยได้เท่านั้น

วิธีดำเนินการวิจัย

การวิจัยครั้งนี้เป็นการวิจัยเชิงคุณภาพ โดยศึกษาวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย และ ในต่างประเทศ รวมถึงการพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศเฉพาะที่มีความสอดคล้องกับเรื่องอธิปไตยไซเบอร์ มีการศึกษาเปรียบเทียบกับต่างประเทศบางประเทศ โดยมุ่งเน้นให้เห็นถึงความแตกต่างในการแก้ปัญหาของแต่ละประเทศที่ศึกษา เพื่อนำแนวทางการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย มีความเหมาะสมของเนื้อหากับกรอบเวลา รวมทั้งมีการสัมภาษณ์ผู้ทรงคุณวุฒิเพื่อให้ได้แนวทางในการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทยเพื่อให้สามารถนำไปปฏิบัติได้จริง

ประโยชน์ที่ได้รับจากการวิจัย

๑. จะทำให้ได้แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งจะช่วยให้มีทิศทางในการดำเนินการด้านการรักษาความมั่นคงของชาติ เพื่อให้บรรลุเปูาหมายในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว
๒. ได้แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ บทบาท และโครงสร้างของหน่วยงานที่รับผิดชอบหลักในการกำหนดนโยบายความมั่นคงแห่งชาติ และ การจัดการกับปัญหาอธิปไตยไซเบอร์ เพื่อให้สามารถปฏิบัติงานไปสู่วัตถุประสงค์หลักคือ การรักษาความมั่นคงของชาติในระยะยาวโดยสอดรับกับแผนยุทธศาสตร์ชาติ ๒๐ ปีที่ได้ประกาศ ในราชกิจจานุเบกษาแล้ว

คำจำกัดความ

  • ความมั่นคง หมายถึง การมีความมั่นคงปลอดภัยจากภัยและการเปลี่ยนแปลง ทั้งภายในประเทศและภายนอกประเทศในทุกระดับ ทั้งระดับประเทศ สังคม ชุมชน ครัวเรือน และปัจเจกบุคคลและมีความมั่นคง ในทุกมิติ ทั้งมิติทางการทหาร เศรษฐกิจ สังคม สิ่งแวดล้อม และการเมือง เช่น ประเทศมีความมั่นคงในเอกราชและอธิปไตย มีการปกครองระบบประชาธิปไตยที่มีพระมหากษัตริย์ทรงเป็นประมุข สถาบันชาติ ศาสนา พระมหากษัตริย์มีความเข้มแข็งเป็นศูนย์กลางและเป็นที่ยึดเหนี่ยวจิตใจของประชาชน มีระบบการเมืองที่มั่นคงเป็นกลไกที่นำไปสู่การบริหารประเทศที่ต่อเนื่องและโปร่งใสตามหลักธรรมาภิบาล สังคม มีความปรองดองและความสามัคคี สามารถผนึกกำลังเพื่อพัฒนาประเทศ ชุมชนมีความเข้มแข็ง ครอบครัวมีความอบอุ่น ประชาชน มีความมั่นคง ในชีวิต มีงานและรายได้ที่มั่นคงพอเพียงกับการดำรงชีวิต มีการออมสำหรับวัยเกษียณ ความมั่นคงของอาหาร พลังงาน และน้ำ มีที่อยู่อาศัย และความปลอดภัยในชีวิตทรัพย์สิน
  • การรักษาความมั่นคงปลอดภัยไซเบอร์ หมายถึง มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อ ปูองกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และ ความสงบเรียบร้อยภายในประเทศ
  • ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้าย ต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์
  • อธิปไตยไซเบอร์ หมายถึง แนวคิดที่รัฐบาลของแต่ละประเทศควรมีสิทธิเสรีภาพ มีเอกราชและอธิปไตยในการบริหารจัดการระบบอินเทอร์เน็ตและ การบริการออนไลน์ต่าง ๆ ที่อยู่บนอินเทอร์เน็ตในประเทศของตนเอง แต่ในอีกความหมายหนึ่ง อาจหมายถึงเรื่องที่ประชาชนในชาติอาจถูกครอบงำทางเทคโนโลยีโดยเจ้าของแพลตฟอร์มที่ประชาชนนิยมใช้ โดยไม่รู้ตัวและรัฐบาลในประเทศนั้นไม่สามารถบริหารจัดการได้ ทำให้เกิด ผลกระทบทางลบต่อเศรษฐกิจ สังคม และ ความมั่นคงของชาติในระยะยาว

    นี่แค่เพียงบทแรกยังไม่ได้เข้าถึงเนื้อหาที่สำคัญ ฉะนั้นโปรดติดตามตอนต่อ ๆ ไปนะครับ

    ขอขอบคุณอาจารย์ปริญญา หอมเอนก สำหรับข้อมูลตอนที่ 1 และ ตอนที่ 2 รวมทั้งตอนต่อ ๆ ไปแทนผู้อ่าน และจากผม มา ณ ที่นี้อีกครั้งนะครับ

  •  

    ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 1

    ขอขอบคุณ อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้อนุญาตให้ผมนำผลการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” มาเผยแพร่ในเว็บไซต์ www.itgthailand.com ซึ่งเกี่ยวเนื่องกับที่ผมเคยเขียนไว้ในหัวข้อ “ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ (Cyber Security Strategy and Enablers)” และผมเห็นว่าการวิจัยของอาจารย์ปริญญา หอมเอนก มีประโยชน์อย่างยิ่งยวดที่สามารถสร้างความเข้าใจในระดับกว้างและลึก ที่เกี่ยวข้องกับ Cyber Security ของชาติเป็นอย่างยิ่ง

    ทั้งนี้ ผมจะเนื้อหางานวิจัยของอาจารย์ปริญญามาลงอย่างต่อเนื่อง เพื่อให้เกิดกระบวนการเรียนรู้ที่ผลอย่างกว้างขวางในทุกระดับของการกำกับ การบริหาร การปฏิบัติงานที่เกี่ยวข้องกับ Cyber Security หรือความมั่นคงปลอดภัยไซเบอร์ของชาติ รวมทั้งปัญหาอธิปไตยไซเบอร์ และผลกระทบต่อเนื่องไปยังความมั่นคงของชาติในระยะยาวฯ โดยมีรายละเอียดดังต่อไปนี้

    บทคัดย่อ
    เรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อ ความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ
    ลักษณะวิชา ยุทธศาสตร์ / วิทยาศาสตร์และเทคโนโลยี
    ผู้วิจัย นายปริญญา หอมเอนก หลักสูตร วปอ. รุ่นที่ 62

    ไซเบอร์สเปซ (Cyberspace) เป็นช่องทางในการปฏิบัติการข่าวสาร (Information Operations : IO) โดยการกระจายข้อมูลข่าวสาร เช่น ข้อความ ภาพนิ่ง ภาพเคลื่อนไหว การประชาสัมพันธ์ การโฆษณาชวนเชื่อ เป็นต้น ผ่านเครือข่ายสังคมออนไลน์ (Social media) ต่าง ๆ เช่น Line Facebook Twitter เป็นต้น ทำให้สามารถเข้าถึงกลุ่มเปูาหมายด้วยความรวดเร็ว ชั่วพริบตา และมีการแชร์ข้อมูลต่อ ๆ กันไปอย่างรวดเร็ว สามารถส่งผ่านข้อมูลที่มีอิทธิพลต่อทัศนคติ ความคิดเห็น พฤติกรรมและการตัดสินใจของผู้ใช้บริการได้โดยตรง โดยที่ผู้ใช้บริการอาจไม่รู้ตัว โดยเฉพาะอย่างยิ่งกลุ่มเยาวชนและคนรุ่นใหม่ ซึ่งเป็นกลุ่มที่มีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น ทำให้มีอิทธิพลต่อความรู้สึกนึกคิด ความเชื่อ อุดมการณ์ และมีผลต่อการตัดสินใจของคนเป็นจำนวนมาก จึงก่อให้เกิดปัญหาใหญ่คือ การรุกล้ำ “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber Sovereignty) ของประชาชนในประเทศ ตลอดจนไปถึงปัญหาความมั่นคงของชาติ (National Security) ซึ่งประชาชนส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ตและการใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนจำนวนมาก

    วัตถุประสงค์ของการวิจัยในครั้งนี้ ประกอบด้วย การศึกษาและวิเคราะห์กระบวนการ ในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และ ลักษณะของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติที่มีความสอดคล้องกับยุทธศาสตร์ชาติ 20 ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริงทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว และเสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอดคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ 20 ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

    วิธีการวิจัยครั้งนี้จะเป็นการวิจัยเชิงคุณภาพ โดยศึกษาวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย และ ในต่างประเทศ รวมถึงการพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศเฉพาะที่มีความสอดคล้องกับเรื่องอธิปไตยไซเบอร์ มีการศึกษาเปรียบเทียบกับต่างประเทศบางประเทศ โดยมุ่งเน้นให้เห็นถึงความแตกต่างในการแก้ปัญหาของแต่ละประเทศที่ศึกษา เพื่อนำแนวทางการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย มีความเหมาะสมของเนื้อหากับกรอบเวลา รวมทั้งมีการสัมภาษณ์ผู้ทรงคุณวุฒิเพื่อให้ได้แนวทางในการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทยเพื่อให้สามารถนำไป

    ผลการวิจัย พบว่า กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่มีการแก้ไขเพิ่มเติม และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560 – 2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้านความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของ กรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ The Global Cybersecurity Capacity Centre (GCSCC) แห่ง University of Oxford ซึ่งเป็นกรอบแนวคิดมาตรฐานของสากล ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับ การละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต ช่องทางการรายงานอาชญากรรมทาง ไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์ ทั้งนี้ กฎหมายที่เกี่ยวข้องส่วนใหญ่ ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพและภัยคุกคามทางไซเบอร์เป็นหลัก ไม่ครอบคลุมถึงการรุกรานทางความคิดผ่านเครือข่ายสังคมออนไลน์และอธิปไตยทางไซเบอร์
    การศึกษาวิจัยครั้งนี้สรุปได้ว่า ปัญหาในเรื่องความมั่นคงปลอดภัยไซเบอร์ของประเทศ แบ่งออกเป็น 2 ปัญหาใหญ่ ประกอบด้วย 1) ความไม่พร้อมในการปกปูอง ปูองกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ และ 2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social media” กลายเป็น “Soft power ” และ การรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ
    ทางผู้วิจัยจึงได้เสนอแนะกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย 5 มิติ ตามกรอบแนวคิด CMM ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies และเสนอแนะให้จำแนกแนวทาง การพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

    ABSTRACT
    Title The national cybersecurity, the problem of cyber sovereignty, long-term national security impact and national strategy formulation guidelines
    Field Strategy / Science and Technology
    Name Mr. Prinya Hom-Anek Course NDC Class 62 This research paper was to study the national cybersecurity, the problem of cyber sovereignty, long-term national security impact and national strategy formulation guidelines prepared with inspiration from my experience in cybersSecurity and observed that the process of maintaining cybersecurity in Thailand in the past focus on defense of physical attacks on the Internet and networks. In addition to today’s world where international platforms and social media have increasingly played a role in changing the behavior and decision-making of people of the nation. It is in line with the global awareness that these problems lead to cognitive and mental aggression of people. The so-called “cyber sovereignty” problem is emerging all over the world which directly affects the economy and society of various countries, as well as the “National Security”, the researcher sees that this study will help Thailand understand the problems and impacts of aggression. “Cyber sovereignty” to be able to apply the conceptual framework developed by studying the framework for creating a strategy for solving problems. “Cyber sovereignty” is an internationally recognized concept. Let’s improve the 20-year National Strategy (2018 – 2037) and the NCS’s the National Cybersecurity

    โปรดติดตามตอนต่อ ๆ ไป ซึ่งมีรายละเอียดที่น่าสนใจมากมาย..

    ขอขอบคุณอาจารย์ปริญญา หอมเอนก เป็นอย่างยิ่งมา ณ ที่นี้อีกครั้งครับ

     

    Cyber Security Strategy and Enablers 2

    ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ

    จากภาพแรกของเนื้อหาในตอนแรก ผมได้ชวนคุยเกี่ยวกับ กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ที่เกี่ยวข้องกับ 8 Enablers และทุก Enablers ที่เป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จที่สามารถสร้างความเชื่อมั่นให้ผู้มีส่วนได้เสีย ที่คณะกรรมการของทุกองค์กร รวมทั้งรัฐวิสาหกิจที่มีบทบาทสำคัญในการกำกับดูแลกิจการให้นำไปสู่ Digital Governance หรือ Governance Outcome ที่สามารถเข้าใจได้ง่ายๆ คือ

    1. สามารถปรับตัวได้ภายใต้ปัจจัยการเปลี่ยนแปลงต่าง ๆ ตามสภาพแวดล้อมที่เปลี่ยนแปลงไป โดยเฉพาะอย่างยิ่งสภาพแวดล้อมทางด้านเทคโนโลยีที่เกี่ยวกับ digital
    2. สามารถแข่งขันได้ และมีผลประกอบการที่ดี โดยคำนึงถึงผลกระทบที่เกี่ยวข้องกับกรอบการดำเนินงานทางธุรกิจสำหรับการกำกับดูแลและการบริหารจัดการ Digital ระดับองค์กรหรือระดับประเทศ
    3. เป็นประโยชน์ต่อสังคม และประชาชนโดยทั่วไป และพัฒนาหรือลดผลกระทบทางด้านลบต่อสิ่งแวดล้อม
    4. มีการกำกับดูแล (Digital Governance/Governance) ที่ทำให้มั่นใจได้ว่า ความต้องการเงื่อนไข และทางเลือกงของผู้มีส่วนได้เสีย เพื่อกำหนดวัตถุประสงค์ที่องค์กรหรือประเทศต้องการ ให้บรรลุซึ่งความสมดุลและเห็นชอบร่วมกัน และมีการกำหนดกรอบทิศทาง ผ่านลำดับความสำคัญและการตัดสินใจ รวมทั้งเฝ้าติดตามผลการดำเนินงานและการปฏิบัติที่เปรียบเทียบกับทิทศทางและวัตถุประสงค์ที่ตกลงร่วมกัน
    5. มีการบริหารจัดการ (Management) ที่ผู้กำกับได้ประเมินผล สั่งการ และเฝ้าติดตาม กิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance Body) เพื่อให้บรรลุวัตถุประสงค์ระดับประเทศ และระดับองค์กร
    6. มีการกำหนดความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้องกับการได้รับผลประโยชน์ ที่คำนึงถึงความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุด
    7. สร้างความมั่นใจให้กับผู้มีส่วนได้เสียในการปรับปรุง เปลี่ยนแปลง ส่วนเสริมความรู้ นวัตกรรม และการประกอบธุรกิจอย่างมีความรับผิดชอบ
    8. อื่นๆ ที่เกี่ยวข้องกับการเปลี่ยนแปลง Transform ให้เหนือกว่า (beyond) เพียงการปฏิบัติตามระเบียบ ข้อบังคับ ประกาศ คำสั่ง กฎเกณฑ์ กฎหมาย และมาตรฐานสากล (Conformance)

    Digital/Data Governance and Big Data Management to Value Creation

    ตามที่ผมได้กล่าวข้างต้นในเรื่องที่เกี่ยวข้องกับปัจจัยเอื้อหลักตามแนวทางของ สคร. ที่ได้กำหนดให้รัฐวิสาหกิจปฏิบัติ ซึ่งพิจารณาได้ว่า เป็น Compliance ที่รัฐวิสาหกิจต้องปฏิบัติ ตั้งแต่ปีงบประมาณ 2563 นั้น เป็นเพียงกรอบการให้คำแนะนำพื้นฐานโดยทั่วไป เพื่อให้รัฐวิสาหกิจประสบความสำเร็จโดยทั่วไป บรรลุเป้าประสงค์ที่ดีเพื่อการเติบโตอย่างยั่งยืน และสามารถเปลี่ยนแปลง (Tranformation) ให้สัมพันธ์กับสภาพแวดล้อมและวิวัฒนาการทางเทคโนโลยี/Digital ที่มีวิวัฒนาการอย่างรวดเร็วทำให้หน่วยงานทั้งภาครัฐและภาคเอกชนที่ไม่สามารถปรับปรุงและเปลี่ยนแปลง Business Model ให้เหมาะสมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความอยู่รอด มีผลกระทบต่อความเสี่ยงในระดับที่ไม่อาจยอมรับได้

    การกำหนดเป้าหมายที่เกี่ยวข้องกับ IT/Digital ที่ส่งทอดไปยังเป้าหมายของปัจจัยเอื้ออื่นๆ

    การบรรลุเป้าหมายต่างๆ ของรัฐวิสาหกิจที่เกี่ยวข้องกับ Digital/IT จำเป็นต้องมีระบบงานที่ทำงานได้ดีและใช้เป็นปัจจัยเอื้อ ซึ่งรวมถึงกระบวนการ โครงสร้างการจัดองค์กร และสารสนเทศ (Information/Digital) และได้มีการกำหนดเป้าหมายสำหรับปัจจัยเอื้อแต่ละประเภทที่สนับสนุนเป้าหมายที่เกี่ยวข้องกับ IT/Digital

    ท่านผู้อ่านครับ มาถึงตอนนี้ ผมกำลังพาท่านผู้อ่านเชื่อมโยงไปยังการบูรณาการของ 8 Enablers ที่เป็นปัจจัยหลักที่ผลักดันโดย สคร. กระทรวงการคลัง ให้รัฐวิสาหกิจต้องมีการกำกับ การบริหาร การปฏิบัติการในแต่ละ Enablers ให้มีศักยภาพในตัวของมันเอง และยังต้องเชื่อมโยงกระบวนการของทั้ง 8 Enablers ดังกล่าวข้างต้นเข้าด้วยกันเป็นหนึ่งเดียว ที่เรียกว่า Integrated Enablers หรือการบูรณาการของปัจจัยหลักแต่ละมิติให้เป็นหนึ่งเดียวกันผ่าน Data-Information-Cybersecurity ที่เป็นเรื่องเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูล และความพร้อมใช้งานที่เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งปัจจุบันรวมๆ เรียกว่า ความมั่นคงปลอดภัยของระบบ Cybersecurity ที่เป็นส่วนหนึ่งของ Intregrated Governance ที่ประกอบด้วย Corporate Governance + IT Governance + Cybersecurity Governance

    นอกจากนั้น มีหลายกรณีที่เมื่อกล่าวถึงธรรมาภิบาล ซึ่งเดิมเรียกว่า Governance นั้น ปัจจุบันเมื่อพูดถึงคำๆ นี้ หรือพูดเพียงคำว่า Cybersecurity Governance ก็จะหมายความรวมไปถึง คำว่า GRC และ Integrated GRC หรือ IGRC ซึ่งผมขออธิบายเพิ่มเติมอีกสักเล็กน้อยนะครับว่า ลำพังคำว่า G = Governance ตามนัยที่กล่าวข้างต้นนั้น ถ้าลองสังเกตและวิเคราะห์ดูเบื้องต้นนะครับว่า เพียงคำนี้คำเดียวหมายถึงอะไร ครอบคลุมเรื่องอะไรบ้าง ซึ่งผมได้พูดถึงตามวรรคข้างต้นแล้วนะครับ

    อ้าว! แล้วคำว่า IGRC หรือ GRC ละครับ มันหมายความว่าอะไรกันแน่ ผมกำลังจะอธิบายในมุมมองของผมต่อไปว่า ลำพังคำว่า การกำกับดูแลกิจการที่ดี หรือ Governance ตามที่กล่าวที่มีวัตถุประสงค์ในการสร้างคุณค่าเพิ่ม (Value Creation) ให้กับผู้มีส่วนได้เสีย ซึ่งเป็นความรับผิดชอบ (Acountability) ของผู้บริหารสูงสุดหรือคณะกรรมการในองค์กร หรือรัฐมนตรีของหน่วยงานภาครัฐ ในกระทรวง ทบวง กรม นั้น จะเกิดขึ้นไม่ได้หากขาดกระบวนการบริหารความเสี่ยง (ERM-Enterprise Risk Managment) รวมทั้ง การปฏิบัติตามระเบียบ ข้อบังคับ ประกาศ คำสั่ง กฎเกณฑ์ กฎหมาย และมาตรฐานสากล (Conformance) นั่นคือที่มาของคำว่า IGRC – Integrated Governance + Risk Managment + Compliance นั่นเอง

    ผมอาจจะอธิบายยาวไปสักเล็กน้อย ก็เพื่อสร้างความเข้าใจให้กับผู้ที่สนใจคำต่างๆ และความเกี่ยวเนื่องกับความหมายของคำต่างๆ ไปสู่การสร้างคุณค่าเพิ่มในมิติของคำว่า Governance และ Digital Governance ครับ

    นอกจากนี้ ขออนุญาตพูดต่อไปอีกเล็กน้อยว่า Risk Management กับ Compliance นอกจากเป็นส่วนประกอบในการสร้างคุณค่าเพิ่มที่สร้างความน่าเชื่อถือให้กับผู้มีส่วนได้เสียตามหลักการของ Governance แล้ว ทั้ง 3 คำนี้ จึงเป็นคำนิยมที่ใช้กันโดยทั่วไป เพื่อป้องกันมิให้ผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน ลืมถึงองค์ประกอบทั้ง 3 ที่เกี่ยวพันกันอย่างแยกไม่ได้นั่นเองครับ

    กระบวนการกำกับ การบริหาร การปฏิบัติการแบบบูรณาการ

    เป้าหมายของการบูรณาการ หรือการเชื่อมโยง 8 Enablers ตามที่กล่าวข้างต้นให้เป็นหนึ่งเดียวกันนั้น เมื่อมาถึงขั้นตอนนี้ ท่านผู้อ่านคงจะสังเกตเห็นแล้วนะครับว่า คำว่า Digital/Data Governance ที่มีองค์ประกอบหลักๆ ตามที่ได้กล่าวข้างต้น มีสารสนเทศที่เกี่ยวข้องกับทุก Enablers ซึ่งทุก Enablers นั้น จะเชื่อมโยงกันด้วยสารสนเทศและกระบวนการในแต่ละเป้าหมายแต่ละระดับองค์กร และเป้าหมายที่เกี่ยวข้องกับ IT/Digital ในมิติของการวัดแบบสมดุลที่เรียกกันว่า Balanced Scorecard_BSc. ที่มี 4 มิติ ซึ่งได้แก่ 1) การวัดผลสัมฤทธิ์ทางด้านการเงิน 2) ทางด้านลูกค้า ซึ่งเรียกว่า Lag Indicator ที่ใช้เป็นตัวชี้วัดตามผลสัมฤทธิ์ที่เกิดจากมิติของ Lead Indicator เพื่อให้เกิดการวัดผลแบบสมดุล ซึ่งเป็นตัวชี้วัดนำที่เรียกว่า 3) การกระบวนการปรับปรุงภายใน และ 4) การเรียนรู้และการเติบโต โดยมีเป้าหมายระดับองค์กร และเป้าหมายระดับ IT/Digital 17 เป้าหมายด้วยกัน จึงสามารถนำเชื่อมโยงไปสู่กระบวนการที่เกี่ยวข้องของการนำเป้าหมายสารสนเทศ และเทคโนโลยีที่เกี่ยวข้องทางด้าน IT/Digital เข้าไป Mapping กับเป้าหมายระดับองค์กร/ธุรกิจ ตามกรอบการดำเนินงานขององค์กร/ธุรกิจ ซึ่งเป็นไปตามหลักการของ COBIT5 ซึ่งยังใช้ได้ดี ถึงแม้จะเปลี่ยนเป็น COBIT2019 แล้วก็ตาม

    ซึ่งตอนนี้ผมอยากจะกล่าวต่อไปว่า คำว่า การกำกับดูแล (Governance) ได้กลายมาเป็นความคิดของธุรกิจในระดับแนวหน้า ที่แสดงให้เห็นถึงความสำคัญของการกำกับดูแลกิจการที่ดี และในทางกลับกันก็สะท้อนให้เห็นถึงความล้มเหลวขององค์กร/ธุรกิจ อันเกิดจากการละเลยการกำกับดูแลกิจการที่ดี ซึ่งเป็นประเด็นสำคัญและอาจเปรียบเทียบได้กับการติดกระดุมเม็ดแรกในการสร้างกรอบการกำกับดูแลทางด้าน Digital เพื่อองค์กร/ธุรกิจที่ต้องอิงหลักการที่เป็นสากลใช้และปฏิบัติกันอยู่โดยทั่วไป และโดยสรุปก็อาจกล่าวได้ว่า หลักการปฏิบัติที่ดีและเป็นสากลนั้น ใช้เป็นกรอบการกำกับการบริหาร รวมทั้งการปฏิบัติงานเป็นหลัก ซึ่งจะเชื่อมด้วยการบรรลุความต้องการของผู้มีส่วนได้เสียไปสู่การสร้างเป้าหมายระดับองค์กร และส่งทอดไปยังเป้าหมาย IT/Digital และเป้าหมายของปัจจัยเอื้อ (Enablers) นั่นเอง

    อาจจะสรุปในเบื้องต้นในเรื่องการกำกับ การบริหาร และการปฏิบัติการ เพื่อเป็นไปตามวัตถุประสงค์ของ 8 Enablers ในการเชื่อมเป้าหมายของทุก Enablers ไปยัง Digital/Data Governance นั้น เราควรจะเน้นถึงแผนงาน โครงสร้าง ขององค์กรหรือรัฐวิสาหกิจ รามเป้าหมายของการเขียนครั้งนี้ว่า มีคุณภาพและศักยภาพ และเป้าหมายที่มุ่งไปสู่ผลสัมฤทธิ์ของแต่ละ Enablers และทุก Enablers ได้เชื่อมโยงไปสู่เป้าหมายที่เกี่ยวข้องกับ Digital ที่เชื่อมโยงไปยังเป้าหมายระดับองค์กรหรือของแต่ละรัฐวิสาหกิจอย่างไร

    เมื่อถึงตอนนี้ หากองค์กรหรือรัฐวิสาหกิจ ไม่ตั้งมิติของการวัดผลแบบสมดุล-BSc. ตามที่ได้กล่าวข้างต้น การประเมินผล (Evaluate) การสั่งการ (Direct) และการเฝ้าติดตาม (Monitoring) ของกิจกรรมตามโครงการ และตามแผนงานต่างๆ อาจก่อให้เกิดความสับสนและไม่เป็นหนึ่งเดียวของการสร้างความเข้าใจ ในกระบวนการกำกับของ Governance Body หรือ Regulatory Body และไม่สะท้อนหรือไม่เชื่อมโยงไปยัง Mission – Vision – Strategy – Policy – Risk Appetite ระดับองค์กรและ/หรือระดับประเทศ ที่เกี่ยวข้องอย่างมีนัยสำคัญ

    ทำความเข้าใจกับ Data Governance and Data Management บางมุมมอง

    คุณสมบัติของ Data และ Information จำเป็นต้องมีคุณสมบัติที่ดีเพราะข้อมูลหรือสารสนเทศต่างๆ รวมทั้งการควบคุมความเสี่ยงที่เกิดจากการไม่มีคุณสมบัติที่ดีของสารสนเทศ หรือ cyber ที่เกี่ยวข้องกับ 8 enablers นั้นมีความสำคัญอย่างยิ่งยวดที่จะทำให้แผนงานและโครงการต่างๆ ที่โยงใยไปจาก data governance นั้น มีผลทางลบต่อ digital governance ทั้งองค์กร

    ดังนั้น เรามาทำความเข้าใจกับคุณสมบัติที่ดีของสารสนเทศ ดังคำอธิบายที่เกี่ยวข้องดังนี้

    ความมีความประสิทธิผล – สารสนเทศจะมีประสิทธิผล ถ้าสามารถบรรลุความต้องการของผู้ใช้สารสนเทศ ซึ่งใช้สารสนเทศสำหรับภารกิจเฉพาะหนึ่งๆ ถ้าผู้ใช้สารสนเทศสามารถปฏิบัติภารกิจด้วยการใช้สารสนเทศนั้น ก็แสดงว่าสารสนเทศนั้นมีประสิทธิผล ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องจำนวนที่เหมาะสมของความเกี่ยวเนื่อง เข้าใจได้ง่าย สามารถแปลความหมายได้และเที่ยงตรง

    ความมีประสิทธิภาพ – ในขณะที่ความมีประสิทธิผลจะมองสารสนเทศเป็นผลลัพธ์ ประสิทธิภาพจะเกี่ยวข้องกับกระบวนการในการได้มาและการใช้สารสนเทศ ดังนั้น จึงสอดคล้องกับมุมมองที่ว่า “สารสนเทศเป็นการให้บริการ” (Information as service) ถ้าสารสนเทศตรงกับความต้องการของผู้ใช้สารสนเทศและใช้ได้อย่างสะดวกสบาย (เช่น ใช้ทรัพยากรน้อย ไม่ว่าจะเป็นการลงแรง การใช้ความคิด เวลา และเงิน) ก็เรียกได้ว่าการใช้งานสารสนเทศนั้นมีประสิทธิภาพ ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความน่าเชื่อถือ การเข้าถึงได้ ความง่ายในการใช้งานและชื่อเสียง

    ความถูกต้องสมบูรณ์ – ถ้าสารสนเทศมีความถูกต้องสมบูรณ์ ก็หมายถึงสารสนเทศนั้นครบถ้วนและไม่มีความผิดพลาด ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความครบถ้วนและถูกต้อง

    ความเชื่อถือได้ – ความเชื่อถือได้มักจะถูกมองว่ามีความหมายเช่นเดียวกับคำว่า ความถูกต้อง อย่างไรก็ตาม เราอาจกล่าวได้ว่า สารสนเทศมีความเชื่อถือได้หากเป็นเรื่องจริงและได้อย่างต้องและวางใจได้ หากเปรียบกับความถูกต้องสมบูรณ์ ความเชื่อถือได้เป็นเรื่องของดุลพินิจซึ่งขึ้นกับมุมมองของแต่ละบุคคล ไม่ได้มองเพียงข้อเท็จจริงอย่างเดียว ซึ่งสัมพันธ์กับเป้าหมายด้านคุณภาพของสารสนเทศในเรื่องความน่าเชื่อถือ ชื่อเสียง ความเที่ยงตรง

    ความพร้อมใช้ – ความพร้อมใช้ เป็นหนึ่งในเป้าหมายด้านคุณภาพของสารสนเทศภายใต้หัวข้อการเข้าถึงได้และความมั่นคงปลอดภัย

    การรักษาความลับ – การรักษาความลับ สัมพันธ์กับเป้าหมายด้านคุณภาพของสารสเทศในเรื่องของการจำกัดการเข้าถึง

    การปฏิบัติตาม – การปฏิบัติตาม ใช้ในความหมายที่สารสนเทศต้องสอดคล้องกับ ข้อกำหนดต่างๆ ซึ่งเป็นส่วนหนึ่งของเป้าหมายด้านคุณภาพของสารสนเทศที่ขึ้นอยู่กับข้อกำหนดที่มีการปฏิบัติตามกฎระเบียบข้อบังคับ มักจะเป็นเป้าหมายหรือข้อกำหนดในการใช้สารสนเทศ ซึ่งไม่ค่อยเกี่ยวเนื่องกับคุณภาพของสารสนเทศ

    สำหรับการส่งทอดเป้าหมายที่เกี่ยวข้องกับ Digital Governance ในภาพโดยรวมที่ส่งทอดไปยังเป้าหมายของ Enablers ทั้ง 8 ที่ใช้มิติการวัดผลแบบสมดุล ระหว่างเป้าหมายระดับองค์กรกับเป้าหมายที่เกี่ยวกับ IT/Digital นั้น ตามที่ผมได้กล่าวแล้วว่า คณะกรรมการและผู้บริหารระดับสูงต้องมีแนวทางกำกับและการบริหารและการติดตามผลอย่างเข้มงวดที่เกี่ยวกับแผนงานและโครงการที่ควร/ต้องมีความสัมพันธ์กับพันธกิจ วิสัยทัศน์ นโยบาย กลยุทธ์ และความเสี่ยงที่ยอมรับได้ ในระดับหน่วยงานย่อยและในระดับองค์กร หรือในระดับประเทศแล้วแต่กรณี จะได้นำมาอธิบายในตอนต่อไปนะครับ

     

    Cyber Security Strategy and Enablers 1

    กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ

    ในการประเมินศักยภาพและความสามารถของรัฐวิสาหกิจ ที่ได้มาตรฐานการกำกับและการบริหารที่ยอมรับได้ ตั้งแต่ปี 2563 เป็นต้นไปนั้น จะมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ นั่นคือ ได้มีการประกาศใช้พระราชบัญญัติการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจ (พ.ร.บ. พัฒนารัฐวิสาหกิจฯ) เมื่อวันที่ 19 พฤษภาคม 2562 ซึ่งถือเป็นหัวใจสำคัญของการปฏิรูปรัฐวิสาหกิจไทย โดย พ.ร.บ. พัฒนารัฐวิสาหกิจฯ ดังกล่าวได้กำหนดวัตถุประสงค์สำคัญในการพัฒนาการกำกับดูแลและบริหารรัฐวิสาหกิจไว้ 4 ประเด็น ซึ่งรวมถึงการส่งเสริมให้รัฐวิสาหกิจดำเนินการอย่างมีประสิทธิภาพ โปร่งใส สอดคล้องกับหลักการกำกับดูแลกิจการที่ดี และมีการประเมินผลการดำเนินการอย่างต่อเนื่อง

    สคร. เห็นถึงความจำเป็นของการพัฒนาระบบประเมินผล เพื่อพัฒนาต่อยอดจากโครงการระบบประเมินผลเดิมที่สามารถใช้เป็นเครื่องมือในการกำกับ ติดตาม ประเมินผลการดำเนินงานรัฐวิสาหกิจที่มีความเหมาะสม เป็นรูปธรรม และสามารถสะท้อนถึงความมีประสิทธิภาพในการดำเนินงานได้อย่างแท้จริง โดยได้พิจารณานาข้อดี/จุดแข็ง ของระบบปัจจุบันที่มีมาใช้ ปรับปรุงข้อด้อยของระบบปัจจุบัน รวมทั้งปรับปรุง เพิ่มเติมประเด็นของการจัดการสมัยใหม่และ Update ให้เป็นปัจจุบัน และจะนำมาใช้ในการประเมินผลรัฐวิสาหกิจในปี 2563 โดยมีวัตถุประสงค์ เพื่อส่งเสริมให้รัฐวิสาหกิจตอบสนองกับสภาพแวดล้อมในการดำเนินภารกิจ/ธุรกิจ การแข่งขัน ความต้องการของผู้ใช้บริการ และ บริบทที่เปลี่ยนแปลงไป เช่น การเปลี่ยนแปลงของเทคโนโลยีดิจิทัล เป็นต้น รวมถึงนโยบายสาคัญ เช่น ไทยแลนด์ 4.0 ที่ต้องการขับเคลื่อนประเทศด้วยความคิดสร้างสรรค์และนวัตกรรมด้วยการดำเนินงาน ที่มีประสิทธิภาพ โปร่งใส ตรวจสอบได้

    กรอบการประเมินผลการดำเนินงานรัฐวิสาหกิจ ปีบัญชี 2563 แบ่งออกเป็น 2 ส่วน ดังนี้
    1. ผลการดำเนินงาน (Key Performance Area) (นำหนักร้อยละ 60 +/- 15) ได้แก่
    1) การดำเนินงานตามยุทธศาสตร์ เช่น ยุทศาสตร์ชาติ, นโยบายรัฐบาล, แผนยุทธศาสตร์ของรัฐวิสาหกิจ ฯลฯ
    2) ผลการดำเนินงานที่สาคัญ (Key Result) เช่น ผลการดำเนินงานตามภารกิจที่สาคัญ, แผนงานโครงการที่สาคัญที่สะท้อนประสิทธิภาพ ประสิทธิผล ผลสัมฤทธิ์ ฯลฯ

    2. กระบวนการปฏิบัติงานและการจัดการ (Enablers) (นำหนักร้อยละ 40 +/- 15)

    ทั้งนี้ มีองค์ประกอบที่อาจเรียกได้ว่าเป็นปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) 8 ด้าน คือ

    1) การกำกับดูแลที่ดีและการนำองค์กร (Corporate Governance & Leadership)

    2) การวางแผนเชิงยุทธศาสตร์ (Strategic Planning)

    3) การบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control)

    4) การมุ่งเน้นลูกค้าและผู้มีส่วนได้ส่วนเสีย (Stakeholder & Customer)

    5) การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology)

    6) การบริหารทุนมนุษย์ (Human Capital Management)

    7) การจัดการความรู้และนวัตกรรม (Knowledge Management & Innovation Management)

    8) การตรวจสอบภายใน (Internal Audit)

    แผนภาพที่อาจใช้อธิบายเพื่อความเข้าใจโดยย่อ มีดังนี้

    ทั้งนี้ มีรายละเอียดที่ปรากฎใน ร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ของ สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) ผมจึงขอออกความเห็นเป็นการส่วนตัว เพื่อให้เกิดความเข้าใจที่ดี ของหน่วยงานที่ต้องปฏิบัติ (Regulated Entities) ซึ่งก็ได้แก่ รัฐวิสาหกิจที่อยู่ในเกณฑ์ที่ต้องใช้หลักเกณฑ์นี้สำหรับประเมินผลการกำกับและการดำเนินงาน ตั้งแต่ปีบัญชี 2563 เป็นต้นไป ในลักษณะที่หน่วยงานต้องปฏิบัติ ควรจะได้เข้าใจถึงหลักการที่ สคร. ได้นำมาใช้ในการประเมินผล ที่ได้อ้างอิงถึงหลักการสากลที่เป็นทั้ง Best Practice และที่เป็นมาตรฐานสากลที่เกี่ยวข้อง เช่น COBIT, COSO, ฯลฯ ที่รัฐวิสาหกิจพึงนำมาประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมและบริบทต่างๆ ที่เกี่ยวข้อง ในลักษณะบูรณาการ Enabler ทั้ง 8 ด้าน ในภาพใหญ่ และในภาพย่อย ด้วยความเข้าใจจริงเป็นสำคัญ

    หากท่านผู้อ่านได้ดูภาพที่ปรากฎข้างต้นก็จะพบว่า Enabler หลักทั้ง 8 ด้าน ในการกำกับและการบริหาร นอกจากจะต้องให้มีประสิทธิภาพและประสิทธิผลในตัวเองของมัน ในแต่ละเรื่องหรือในแต่ละ Enabler แล้ว ยังจะต้องบูรณาการทุก Enabler ให้มีความสัมพันธ์ซึ่งกันและกัน และต้องสอดคล้องกับปัจจัยหลักที่สำคัญยิ่งยวดเหนือสิ่งอื่นใดก็คือ Governance – GRC และ Cyber Security Governance – Strategy ที่เกี่ยวข้อง

    ดังนั้น ภาพดังกล่าวจึงช่วยให้คณะกรรมการรัฐวิสาหกิจและผู้บริหาร รวมทั้งผู้ปฏิบัติแต่ละแห่ง เข้าใจได้ถึงขอบเขตและกรอบการดำเนินงานในภาพใหญ่โดยรวมตามที่กล่าวข้างต้น ทั้งนี้ ผู้เกี่ยวข้องจะต้องอ่านรายละเอียดจากร่างคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ระบบประเมินผลใหม่) ให้ละเอียดตรงกับหลักการและวัตถุประสงค์ของคณะกรรมการประเมินผลฯ

    ในตอนแรกนี้ ผมจะขอเน้นในเรื่องที่เกี่ยวข้องกับ Cyber Security Strategy Governance/Framework ซึ่งในที่นี้ใคร่ขอย้ำว่า ในอดีตเรียกว่า “Information Governance” ซึ่งเป็นหนึ่งในหมวดว่าด้วย Governance นั่นเอง ทั้งนี้ใคร่ขออธิบายด้วยภาพเบื้องต้นดังต่อไปนี้

     

    <

    จากภาพที่ 2 มีลักษณะอธิบายในตัวของมันเองถึง การใช้หลักการ Governance ที่อ้างอิง ISO กับ COBIT และบทบาทของผู้มีหน้าที่กำกับ (Governing Body/Regulator) และผู้มีหน้าที่ที่เกี่ยวข้องในเรื่องการบริหาร กระบวนการ และกิจกรรมต่างๆ ที่เกี่ยวข้อง โดยแยกเรื่อง Governance ออกจาก Management ที่เชื่อมโยงกับ 8 Enablers ในภาพใหญ่ตามภาพนะครับ

    ภาพนี้แสดงถึงการเชื่อมโยงแต่ละ Enabler เข้ากับหลักการ COBIT ซึ่งผมได้เคยเขียนถึงก่อนหน้านี้แล้ว


    ภาพที่ 4 แสดงถึง COBIT 5 Principle ซึ่งยังใช้ได้ดี ถึงแม้ ISACA จะออก version ใหม่มาแล้ว เรียกว่า COBIT 2019 แล้วก็ตาม ทั้งนี้ตามภาพได้เชื่อมหลักการกับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จย่อยที่เป็นตัวเสริมความสำเร็จในการกำกับและบริหาร ทั้ง 8 Enablers ด้วยนะครับ

    ในตอนต่อไปผมจะลงในรายละเอียดที่เกี่ยวข้องกับหลักการที่สำคัญ เพื่อสร้างความเข้าใจในทางปฏิบัติที่เกี่ยวข้องกับ Cyber Security Strategy และความเชื่อมโยงกับ governance และ Management ในมุมมองของหลักการใหญ่และหลักการย่อย รวมทั้ง ความหมายของคำว่า “Apply or Explain” ที่ใช้ในการประเมินผลรัฐวิสาหกิจปี 2563 ต่อไปครับ

     

    บทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง)

    พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

    ก่อนที่ผมจะแลกเปลี่ยนความคิดเห็นเกี่ยวกับบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ที่สัมพันธ์กับ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

    บทบาทของผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน จาก Regulatory Body/Regulators ที่ไปกำกับหน่วยงานที่เกี่ยวข้อง (Regulated Entities) เพื่อสนองตอบความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้ัองตาม พรบ. ไซเบอร์นี้นั้น ผมได้นำบางส่วนที่สำคัญของ พรบ. นี้ มาเกริ่นนำให้ท่านได้ทราบเนื้อหาและความสำคัญ ก็เพราะสิ่งที่ผมจะได้กล่าวต่อไปนี้จะเกี่ยวข้องกับ

    Responsibility : ผู้มีหน้าที่ปฎิบัติงานที่มีความรู้ความสามารถ ศักยภาพ/ที่ได้รับมอบหมายจากผู้กำกับหรือผู้บริหารสูงสุด (Regulatory Body/Regulators) ของหน่วยงาน

    Accountability : ผู้มีหน้าที่ตัดสินใจและความรับผิดชอบระดับงานสูงสุดตาม พรบ. ไซเบอร์ หรือของหน่วยงาน เช่น การกำหนดวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ความเสี่ยงในระดับที่องค์กร/หน่วยงานยอมรับได้ (Risk Appetite) แผนงาน/โครงการต่างๆ ที่เกี่ยวข้อง ผลการดำเนินงาน (Performance) ที่ได้ดุลยภาพกับการปฏิบัติตามกฎหมาย/พรบ.ฯ มาตรฐาน ประกาศ คำสั่ง และระเบียบต่างๆ (Conformance) รวมทั้งมีหน้าที่และความรับผิดชอบในการประเมินผล (Evaluate) สั่งการ (Direct) เฝ้าติดตามผล (Monitor) เพื่อให้บรรลุวัตถุประสงค์โดยรวมขององค์กร/หน่วยงาน

    Consulted : ผู้มีหน้าที่ให้คำแนะนำในกระบวนการที่ต้องใช้ข้อมูล/สารสนเทศ/ธรรมาภิบาลด้านไซเบอร์ ขั้นตอนและกระบวนการประมวลข้อมูลฯ และความมั่นคงปลอดภัยไซเบอร์ ตลอดถึงผลลัพธ์และประโยชน์ที่จะได้รับ

    Informed : ผู้ใช้ข้อมูลในการตัดสินใจหรือใช้ประโยชน์จากข้อมูล/สารสนเทศ/ความมั่นคงปลอดภัยไซเบอร์ รวมทั้งการพัฒนางานอย่างต่อเนื่อง เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียที่เกี่ยวข้องอย่างได้ดุลยภาพ

    ดังนั้น จากประกาศที่มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 27 พฤษภาคม 2562 พระราชบัญญัตินี้ มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๒๘ มาตรา ๓๒ มาตรา ๓๓ มาตรา ๓๔ มาตรา ๓๖ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายเหตุผล และความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ และเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ อันกระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ ซึ่งการตราพระราชบัญญัตินี้ สอดคล้องกับเงื่อนไข ที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้ โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติทำหน้าที่รัฐสภา (คัดลอกและคัดเลือกมาบางส่วนเพื่อใช้ประกอบในการเขียนบทความนี้ ตามหัวข้อข้างต้น)

    ก่อนที่ท่านผู้อ่านจะได้อ่านจากความคิดเห็นของผมเกี่ยวกับบทบาทของผู้กำกับและผู้บริหาร พรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ผมได้โปรยหัวข้อที่มีความสำคัญที่ผมตั้งใจที่จะแบ่งปันในเรื่องนี้ก็คือ ทั้งหน่วยงานกำกับ และหน่วยงานที่ได้รับการกำกับ จะต้องระบุหน้าที่ในเรื่องที่เกี่ยวกับ Accountability, Responsibility, Consulted และ Informed ของแต่ละกระบวนการ (Process) และกิจกรรม (Activity) ให้ชัดเจนที่สามารถติดตามผลการปฏิบัติงานที่เป็นระบบ และใช้เป็นกรอบในการดำเนินการตาม พรบ.ไซเบอร์ ในการบริหารจัดการกระบวนการทางไอที ในระดับประเทศ และระดับองค์กรได้อย่างเหมาะสม ซึ่งมีรายละเอียดค่อนข้างมากนะครับ

    เพราะการสร้างคุณค่าเพิ่ม (Value Creation) หน่วยงานกำกับและหน่วยงานที่ได้รับการกำกับ ควรจะมีความเข้าใจตรงกันในบทบาทที่เกี่ยวข้อง นั่นคือ องค์ประกอบที่สำคัญของ Governance ที่ต้องประกอบด้วยผลประโยชน์ที่ผู้มีส่วนได้เสียจะได้รับ ควบคู่และบูรณาการกันกับการบริหารความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุดที่จะถ่ายทอดเป้าหมายไปสู่ระดับองค์กร และถ่ายทอดต่อไปยังเป้าหมายที่เกี่ยวข้องกับไอที และถ่ายทอดต่อไปยังเป้าหมายของปัจจัยเอื้อ ที่จะผลักดันให้องค์กรประสบความสำเร็จ ซึ่งได้แก่ ผู้กำกับและผู้ได้รับการกำกับตาม พรบ.ไซเบอร์ นี้ จะต้องมีหลักการที่ได้รับการยอมรับกันเป็นสากล ในการใช้เป็นธงนำในการสร้าง Value Creation ต่อผู้มีส่วนได้เสีย และมีปัจจัยเอื้อที่หลีกเลี่ยงไม่ได้ เพราะมีความสำคัญอย่างยิ่งยวดต่อกระบวนการและระบบการกำกับการบริหารงานตาม พรบ.ไซเบอร์ 7 เรื่อง คือ 1) หลักการ นโยบาย และกรอบการดำเนินงาน ที่สัมพันธ์กันกับข้ออื่นๆ อีก 6 ข้อ คือ 2) กระบวนการ 3) โครงการ 4) วัฒนธรรม จริยธรรม และพฤติกรรม 5) สารสนเทศ 6) บริการ โครงสร้างพื้นฐาน และระบบงาน และ 7) บุคลากร ทักษะ และศักยภาพ

    ที่มา : www.coso.org

    สำหรับมาตราต่างๆ ต่อจากนี้ไป ที่ผมคัดเลือกมาบางส่วนนั้น ได้แก่

    มาตรา ๓ ในพระราชบัญญัตินี้ “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

    “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

    “ไซเบอร์” หมายความรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียม และระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

    “หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาคราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระองค์การมหาชน และหน่วยงานอื่นของรัฐ

    “ประมวลแนวทางปฏิบัติ” หมายความว่า ระเบียบหรือหลักเกณฑ์ที่คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์กำหนด

    “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” หมายความว่าเหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใด ๆ ที่มิชอบซึ่งกระทำการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

    “มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

    “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชน ใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ

    หมวด ๑ คณะกรรมการ

    ส่วนที่ ๑ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

    มาตรา ๕ ให้มีคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กมช.” และให้ใช้ชื่อเป็นภาษาอังกฤษว่า“National Cyber Security Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย
    (๑) นายกรัฐมนตรี เป็นประธานกรรมการ
    (๒) กรรมการโดยตำแหน่ง ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ
    (๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินเจ็ดคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

    มาตรา ๙ คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้
    (๑) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและสนับสนุนการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา ๔๒ และมาตรา ๔๓ ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ ซึ่งต้องเป็นไปตามแนวทางที่กำหนดไว้ในมาตรา ๔๒
    (๒) กำหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
    (๓) จัดทำแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สำหรับเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติ และในสถานการณ์ที่อาจจะเกิด หรือเกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์และแผนระดับชาติและกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ
    (๔) กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกำหนดมาตรฐานขั้นต่ำที่เกี่ยวข้องกับคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชน
    (๕) กำหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
    (๖) กำหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในประเทศและต่างประเทศ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
    (๗) แต่งตั้งและถอดถอนเลขาธิการ
    (๘) มอบหมายการควบคุมและกำกับดูแล รวมถึงการออกข้อกำหนด วัตถุประสงค์ หน้าที่และอำนาจ และกรอบการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้หน่วยงานควบคุมหรือกำกับดูแล หน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
    (๙) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และการรักษาความมั่นคงปลอดภัยไซเบอร์ตามที่บัญญัติไว้ในพระราชบัญญัตินี้
    (๑๐) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
    (๑๑) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

     

    ส่วนที่ ๒ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

    มาตรา ๑๒ ในการดำเนินการตามหน้าที่และอำนาจของคณะกรรมการตามมาตรา ๙ ให้มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กกม.” ประกอบด้วย
    (๑) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ
    (๒) กรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงานปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ
    (๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินสี่คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคนหลักเกณฑ์ และวิธีการสรรหาบุคคลที่เห็นสมควร เพื่อพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด

    มาตรา ๑๓ กกม. มีหน้าที่และอำนาจ ดังต่อไปนี้
    (๑) ติดตามการดำเนินการตามนโยบายและแผนตามมาตรา ๙ (๑) และมาตรา ๔๒
    (๒) ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา ๖๑ มาตรา ๖๒ มาตรา ๖๓ มาตรา ๖๔ มาตรา ๖๕ และมาตรา ๖๖
    (๓) กำกับดูแลการดำเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์
    (๔) กำหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อันเป็นข้อกำหนดขั้นต่ำในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบ หรืออาจก่อให้เกิดผลกระทบ หรือความเสียหายอย่างมีนัยสำคัญหรืออย่างร้ายแรงต่อระบบสารสนเทศของประเทศ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน
    (๕) กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกำกับดูแล โดยอย่างน้อยต้องกำหนดหน้าที่ให้หน่วยงานควบคุมหรือกำกับดูแล ต้องกำหนดมาตรฐานที่เหมาะสม เพื่อรับมือกับภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน่วยงานของรัฐ
    (๖) กำหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์ในแต่ละระดับเสนอต่อคณะกรรมการ
    (๗) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

    ในการกำหนดกรอบมาตรฐานตามวรรคหนึ่ง (๔) ให้คำนึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้
    (๑) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล
    (๒) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น
    (๓) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
    (๔) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์
    (๕) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

    มาตรา ๑๔ ในการดำเนินการตามมาตรา ๑๓ วรรคหนึ่ง (๒) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้ทันท่วงที กกม. อาจมอบอำนาจให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้บัญชาการทหารสูงสุด และกรรมการอื่นซึ่ง กกม. กำหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกำหนดให้หน่วยงานควบคุมหรือกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ถูกคุกคามเข้าร่วมดำเนินการประสานงาน และให้การสนับสนุนด้วยก็ได้ การปฏิบัติตามวรรคหนึ่ง ให้เป็นไปตามระเบียบที่ กกม. กำหนด

    มาตรา ๑๕ ให้นำความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิใน กกม. โดยอนุโลม

    สำหรับตอนแรกของบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) จึงขอเน้นในเรื่อง RACI and Cyber Law ที่เกี่ยวข้องกับ Peple, Process และ Technology ครับ

    ระบบดี คนดี นั้นดีแน่

    ระบบดี คนแย่ พอแก้ไข

    ระบบแย่ คนดี มีทางไป

    ระบบแย่ คนไม่เอาไหน บรรลัยเอย

    ขอโด้โปรดติดตามตอนต่อไปนะครับ

     

    ความเป็นมาของการร่างพรบ. ไซเบอร์ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล

    ผมได้ห่างหายจากการคุยกับท่านผู้อ่านมานาน เพราะได้ให้ความสนใจในเรื่องที่เกี่ยวข้องกับ การพัฒนาการเติบโตอย่างยั่งยืนในแนวการกำกับ การดำเนินงานทางธุรกิจทุกประเภท เพื่อการบริหารการจัดการ IT ที่ดีในระดับองค์กร ที่อาจจะก้าวไปสู่การบริหารจัดการที่ดีในระดับประเทศได้ และในช่วงหลังๆ มีการร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ซึ่งเป็นเรื่องที่มีความสำคัญยิ่งยวดในมุมมองของความมั่นคงระดับประเทศ เศรษฐกิจ การเงิน การลงทุน กระบวนการจัดการ เพื่อมิให้มีปัญหาร้ายแรงในระดับองค์กรที่ส่งผลกระทบต่อระดับประเทศได้ ผลกระทบจากการร่าง พรบ. ทั้งสองนี้ จึงมีเรื่องและสาระสำคัญที่ได้มีการติดตามกันอย่างมากในทุกวงการ

    ผมจะขอไม่ลงรายละเอียดและผลกระทบต่างๆ ในช่วงแรกนี้ ทั้งนี้เพราะการร่าง พรบ. ทั้งสองนี้ ได้มีการเผยแพร่โดยสื่อต่างๆ โดยใช้เวลามายาวนานพอสมควร จนกระทั่งได้ร่าง พรบ. ทั้งสองที่ผ่านคณะกรรมาธิการวิสามัญ หลังจากที่ได้มีการปรับปรุงแก้ไขอย่างมีนัยสำคัญจากฉบับร่างเดิม

    สาระของ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ที่ผ่านกรรมาธิการ และได้รับการปรับปรุงแก้ไขจะมีการขีดฆ่าบนข้อความที่ไม่ใช้ และมีการปรับปรุงเพิ่มเติมข้อความใหม่โดยใช้การขีดเส้นใต้ข้อความที่เพิ่มเติมนั้น เพื่อความสะดวกผมขอนำข้อมูลตามที่ได้กล่าวข้างต้นของ พรบ. ทั้งสอง ที่จะประกาศใช้อย่างเป็นทางการในไม่ช้า มาให้ท่านผู้อ่านที่สนใจได้ติดตามและพิจารณาวิวัฒนาการของการร่าง พรบ. ทั้งสองฉบับ ที่น่าสนใจยิ่ง เพื่อนำไปศึกษาและเตรียมพร้อมในการกำกับ การบริหารจัดการ รวมทั้งการประยุกต์ใช้ให้เหมาะสม ตรงกับเจตนารมณ์ของการร่าง พรบ. ทั้งสอง ที่ควรจะเข้าใจกระบวนการบริหารแบบบูรณาการที่เกี่ยวข้องกับ Governance + Risk Management + Compliance ส่วนรายละเอียดค่อยคุยกันในโอกาสต่อไปนะครับ

    ต่อไปนี้จะเป็นตัวอย่าง รายงานของคณะกรรมาธิการวิสามัญ พิจารณาร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. และ ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

     

    ร่าง พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …

     


     

    ร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …

    สำหรับท่านผู้สนใจดาวโหลดไฟล์ สามารถคลิ๊กลิงก์ที่นี่ได้เลยค่ะ -> รายงานกรรมาธิการ พิจารณาร่างพรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … และ รายงานกรรมาธิการ พิจารณาร่างพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …