Archive for the "Cybersecurity and Governance Framework" Category

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 7

บทที่ 4
การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติของประเทศไทย และกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ใน ๕ มิติ

แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ

จากการวิเคราะห์สภาพแวดล้อมทางไซเบอร์ในภาพรวมของประเทศไทย ในเรื่อง ความมั่นคงปลอดภัยไซเบอร์ในระดับชาติ สามารถสรุปปัญหาที่สำคัญของประเทศออกเป็น 2 ปัญหาใหญ่ ดังนี้

1) ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ (Lack of national cybersecurity incident response capability and national cybersecurity defense capability)

2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ (Lack of defensive/offensive capability in cyber warfare/hybrid warfare, cybersecurity strategy for protecting cyber sovereignty at the national level)

ปัญหาใหญ่ที่ 1 เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่ เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน และรัฐได้ดำเนินการไปบ้างแล้ว ผ่านยุทธศาสตร์ชาติ 20 และการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสำนักงานสภาความมั่นคงแห่งชาติ (สมช.)

ปัญหาใหญ่ ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่ามาก เราควบคุมไม่ได้ และรัฐยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (แผนภาพที่ 4-1)

เมื่อทำการวิเคราะห์เจาะลึกลงไปในรายละเอียดของปัญหาพบว่า เราสามารถจัดกลุ่มของปัญหาใหญ่ทั้ง 2 ออกเป็น 10 ปัญหาย่อย ดังนี้

ปัญหาย่อยที่ 1 การโจมตีโครงสร้างพื้นฐานที่สำคัญยิ่งยวดในระดับประเทศ (National level critical infrastructure attack) การขาดยุทธศาสตร์ แผนงานที่มีประสิทธิภาพในการบริหารจัดการความเสี่ยงทางไซเบอร์ในระดับประเทศ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐานมีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น เช่น “พลเมืองต่อต้าน Single gateway #opsinglegateway” รณรงค์ให้มีการโจมตี DDoS กับเว็บไซต์ของหน่วยงานของรัฐ ทำให้หลายระบบสำคัญของรัฐขัดข้อง ในปี 2559 ATM 21 ตู้ของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และลอบขโมยเงิน 12 ล้านบาท มัลแวร์ที่พบคล้ายกับที่ใช้โจมตี ATM ในประเทศไต้หวันในปีเดียวกัน ในปี 2559 ระบบคอมพิวเตอร์ของ มหาวิทยาลัยธรรมศาสตร์ ถูกกลุ่ม GOP (Guardians of peace) ใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures สหรัฐอเมริกา ในปี 2557 เป็นต้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่าประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวันทั้งในระดับประชาชน องค์กร และระดับประเทศ

ปัญหาย่อยที่ 2 ปัญหาการขาดแคลนบุคลากรด้านไซเบอร์ในระดับประเทศ การขาดการพัฒนาทักษะความรู้ในระดับต้น ระดับกลาง ระดับสูง ของผู้ปฎิบัติและควบคุมในการปฏิบัติงานด้านไซเบอร์ทั้งในระดับองค์กรและระดับประเทศ โดยในปัจจุบัน องค์กรทั้งภาครัฐและเอกชน ในประเทศไทย ขาดแคลนผู้เชี่ยวชาญทางไซเบอร์ ส่งผลกระทบต่อความเชื่อมั่นและความมั่นคง ในระดับชาติในระยะยาว จากการประมาณการของบริษัทไซเบอร์ซีเคียวริตี้เวนเจอร์ส คาดว่า ในปี พ.ศ. 2564 โลกจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ถึง 3,500,000 คน และจากการประมาณการของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ประเทศไทยจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์สูงถึง 12,000 คน โดยกลุ่มที่ขาดแคลนมากที่สุดคือ กลุ่มผู้พัฒนาและออกแบบระบบ (Securely provision: SP)

ปัญหาย่อยที่ 3 ปัญหาอาชญากรรมไซเบอร์ ภัยคุกคามไซเบอร์ การโจมตีทางไซเบอร์ต่อภาครัฐ ภาคเอกชน และประชาชนทั่วไป (Rising of cyber crime at national level) โดยประชาชนส่วนใหญ่ และองค์กรทั้งภาครัฐและเอกชน ถูกโจมตีทางไซเบอร์รายวัน ขณะที่ประเทศไทยยังขาดหน่วยงานรับผิดชอบโดยตรง ส่งผลต่อเศรษฐกิจและสังคม และ ส่งผลกระทบต่อความเชื่อมั่นในระดับชาติ ทั้งนี้ ในช่วงครึ่งปีแรกของปี 2563 จำนวนภัยคุกคามไซเบอร์ที่ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ได้รับแจ้งและดำเนินการทั้งสิ้น 1,474 กรณี โดยภัยคุกคามที่ได้รับแจ้งมากที่สุด คือ การโจมตีด้วยโปรแกรมไม่พึงประสงค์หรือโค้ดอันตราย (Malicious code) และการฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์ (Fraud) โดยมีอัตราส่วนถึงร้อยละ 36 และ 24 ตามลำดับ

ปัญหาย่อยที่ 4 ปัญหาขาดยุทธศาสตร์และแผนงานที่มีประสิทธิภาพในการบังคับใช้กฎหมายความมั่นคงปลอดภัยทางไซเบอร์ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐาน มีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่า ประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวัน ทั้งในระดับประชาชน องค์กร และ ระดับประเทศ

ปัญหาย่อยที่ 5 ปัญหาการขาดการถ่ายทอดความรู้ให้กับหน่วยงานยุติธรรม ในการปฏิบัติและควบคุมการปฏิบัติตามกฎหมาย โดยหลายปีที่ผ่านมา ประเทศไทยมีกฎหมายด้านเทคโนโลยีสารสนเทศหลายฉบับ แต่ยังไม่สามารถบังคับใช้กฎหมายได้อย่างมีประสิทธิภาพเท่าใดนัก ในปัจจุบัน ตำรวจ ผู้พิพากษา อัยการ ศาล หลายท่านยังขาดองค์ความรู้ทางด้านไซเบอร์ในการพิจารณาคดี ทำให้มีผลต่อการบังคับใช้กฎหมาย

ปัญหาย่อยที่ 6 ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty) การขาดความเข้าใจในผลกระทบจากกระบวนการปฏิบัติการข่าวสารในรูปแบบใหม่ผ่านสื่อสังคมออนไลน์ (Social media) โดยปัจจุบันประชาชนชาวไทยกำลังถูกละเมิดข้อมูลส่วนบุคคลทางไซเบอร์ และถูกทำให้หลงเชื่อในการโฆษณาชวนเชื่อรายวัน อย่างต่อเนื่อง จากปรากฏการณ์ดังกล่าว ทำให้มีผลต่อเศรษฐกิจ สังคม การเมือง การปกครอง ทั้งในระยะสั้นและระยะยาว มีผลกระทบต่อความมั่นคงของชาติในระยะยาว

ปัญหาย่อยที่ 7 ปัญหาการใช้ประโยชน์จากการเข้าถึงข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์โดยไม่ได้รับอนุญาต เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น

ปัญหาย่อยที่ 8 ปัญหาขาดทักษะและความเข้าใจและความรู้ในการใช้เทคโนโลยีดิจิทัลหรือ Digital literacy โดยเฉพาะการทิ้งรอยเท้าดิจิทัล (Digital footprint) เช่น หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน ส่งผลให้ข้อมูลอยู่ในมือผู้ไม่หวังดี มีโอกาสโดนทำสำเนาไปนับไม่ถ้วน เป็นต้น เทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล (Phishing) เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น การหลอกลวงออนไลน์ (Fraud) เช่น ส่งสินค้าปลอมให้เหยื่อ หรือในกรณีที่แย่ที่สุด คือไม่ส่งสินค้าใด ๆ ให้เลย เป็นต้น ความเข้าใจสื่อดิจิทัล เช่น กับดักโซเซียลจากข่าวปลอม เป็นต้น

ปัญหาย่อยที่ 9 ปัญหาขาดการบูรณาการทั้งองค์กรภาครัฐ ฝ่ายตำรวจ ทหาร พลเรือน และภาคส่วนต่าง ๆ ภายในประเทศเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ ขาดการพัฒนากรอบความร่วมมือระหว่างประเทศและอาเซียนเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ จากปัญหาที่ประเทศไทยยังไม่สามารถบริหารจัดการปัญหาความมั่นคงปลอดภัยไซเบอร์ให้เกิดการบูรณาการได้ ทำให้เกิดความซ้ำซ้อน สิ้นเปลืองงบประมาณ ไม่ส่งผลเป็นรูปธรรม ไม่เกิดประสิทธิผลและประสิทธิภาพในการรับมือต่อการโจมตีทางไซเบอร์ รวมถึงขาดการถ่ายทอดความรู้และการประสานงานความร่วมมืออย่างเป็นทางการในระดับชาติกับประชาคมอาเซียน

ปัญหาย่อยที่ 10 ปัญหาขาดการพัฒนาแพลตฟอร์มของประเทศ เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ในระดับชาติ โดยแพลตฟอร์ม Social media ไทยมีอยู่แพลตฟอร์มเดียวคือ Pantip แต่ Pantip นั้นถูกแพลตฟอร์มต่างชาติแย่งเวลาของคนไปเป็นส่วนใหญ่ โดยปัจจุบัน คนไทยใช้ Facebook มากกว่า 50 ล้านคนแล้ว และใช้ Twitter มากกว่า 20 ล้านคนแล้ว แม้แต่ในยามที่เกิดวิกฤตการระบาดของโรค COVID-19 ธุรกิจแพลตฟอร์มดิลิเวอร์รี่ไทยยังมีขนาดเล็ก ประเทศไทยจึงยังต้องพึ่งพาแพลตฟอร์มดิลิเวอรี่ขนาดใหญ่ของต่างชาติ การทำงานที่บ้านหรือ Work from home ที่ผู้ประกอบการเล็กใหญ่ทุกราย ต้องปรับตัวประชุมทางไกล (Video-conference) ซึ่งก็อยู่บนแพลตฟอร์มของต่างชาติเช่นกัน

ทั้งนี้ สามารถนำเสนอแนวคิดในการปรับยุทธศาสตร์ชาติ 20 ปี เพื่อแก้ไขปัญหาย่อย ทั้ง 10 ปัญหาได้ (ตารางที่ 4-1) ดังนี้

แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

เมื่อพิจารณาแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับชาติเพื่อค้นหาแนวทางในการปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยจำแนกออกตามองค์กร ที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ ตามแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ) ซึ่งได้เสนอแนะให้จำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ได้แก่ 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถ จัดหมวดหมู่ของ 10 แนวคิดในการปรับปรุงยุทธศาสตร์ที่ได้จากการวิเคราะห์ปัญหาย่อยทั้ง 10 ปัญหา ออกตามผู้มีบทบาทนำในการขับเคลื่อนยุทธศาสตร์ได้ ดังนี้ทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้

  1. แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
    โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
    1.1 บริหารความเสี่ยงและสร้างกลไกตอบสนองต่อความเสี่ยงในหน่วยงานโครงสร้างพื้นฐานที่สำคัญ
    1.2 พัฒนานโยบาย กฎหมายลูก และมาตรฐานด้านความมั่นคงปลอยภัยทางไซเบอร์
    1.3 พัฒนาบุคลากรจากหน่วยงานที่เกี่ยวข้องในกระบวนการยุติธรรม เช่น การบังคับใช้กฎหมาย การสืบสวน และการตัดสินคดีทางไซเบอร์ เป็นต้น
    1.4 บูรณาการหน่วยงานภาครัฐ ในลัษณะของปฏิบัติการร่วม (Joint-force) โดยมีหน่วยงานหลักที่เป็นเจ้าภาพชัดเจน และสร้างความร่วมมือกับภาคเอกชน ภาคประชาสังคม และองค์กรระหว่างประเทศ เพื่อรักษาสมดุลระหว่างเสรีภาพในโลกไซเบอร์สเปซและความมั่นคงปลอดภัยทางไซเบอร์
  1. แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led)
    โดยรัฐบาลควรสร้างความร่วมมือและอาศัยกลไกของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน เพื่อให้ประชาชนและภาคเอกชนมีบทบาทนำในการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
    2.1 พัฒนาระบบการศึกษา โดยปฏิรูปหลักสูตรการเรียนการสอน โดยสอดแทรกเนื้อหาความรู้เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในแต่ละระดับการเรียนการสอน และพัฒนาบุคลากรภาครัฐโดยเฉพาะหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญให้มีความรู้ด้านความมั่นคงปลอดภัยด้านไซเบอร์
    2.2 สร้างความตระหนักรู้ (Awareness) ด้านความมั่นคงปลอดภัยด้านไซเบอร์ ให้แก่ประชาชนเพื่อให้รู้เท่าทันภัยจากการใช้งานสื่อสังคมออนไลน์ (Social media) และการเปิดเผยข้อมูลส่วนบุคคลให้แก่แพลตฟอร์ม (Platform) ต่างประเทศ เพื่อป้องกันการรุกล้ำทางไซเบอร์ในระดับประเทศ
    2.3 สร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสาร (IO) ทางสื่อสังคมออนไลน์ (Social Media) ทั้งจากภายในประเทศและต่างประเทศ
    2.4 สร้างความตระหนักรู้ถึงการใช้ประโยชน์จากข้อมูลส่วนบุคคลในการโฆษณาชวนเชื่อ รวมถึงสิทธิและวิธีการปกป้องและคุ้มครองข้อมูลส่วนบุคคล
    2.5 สร้างทักษะความเข้าใจและใช้เทคโนโลยีดิจิทัล หรือ Digital literacy ให้มี “ภูมิคุ้มกันทางดิจิทัล” และ“ภูมิคุ้มกันทางไซเบอร์” (Digital immunity/Cyber immunity) ที่ดี
  1. แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led)
    โดยรัฐบาลควรส่งเสริมและสนับสนุนการวิจัยและพัฒนาเพื่อสร้างแพลตฟอร์มที่เป็นนวัตกรรมทางดิจิทัลที่ล้ำหน้าทันสมัย (Leapfrog digital innovation platform) ของประเทศไทย ที่สามารถตอบสนองความต้องการของประชาชนเหนือกว่าแพลตฟอร์มต่างประเทศ เพื่อให้ประเทศไทยมีแพลตฟอร์มของตนเองที่สามารถดูแลข้อมูลส่วนบุคคลของประชาชนได้ด้วย และสามารถป้องกันการรุกรานอธิปไตยทางไซเบอร์ผ่านทางสื่อสังคมออนไลน์ (Social media) เพื่อป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) และแพลตฟอร์ม (Platform) ต่างประเทศ
    ทั้งนี้ การสร้างแพลตฟอร์มของประเทศไทย ในลัษณะที่เป็นการเลียนแบบหรือเพื่อแข่งขันกับแพตฟอร์มต่างประเทศ เช่น Twitter และ Netflix เป็นต้น ในระยะสั้นอาจไม่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ อาจไม่ตรงตามความต้องการของประชาชน และอาจด้อยกว่าแพลตฟอร์มต่างประเทศที่มีลูกเล่น (Feature) ใหม่เพิ่มอยู่ตลอดเวลาได้ รวมถึงอาจด้อยกว่าในเชิงโครงสร้างพื้นฐานและเครือข่ายสนับสนุนการใช้งาน หรือพันธมิตร (Partner) จึงควรกำหนดแผนระยะปานกลางถึงระยะยาวในการวิจัยและพัฒนาแพลตฟอร์มที่มีความใหม่ แตกต่าง และล้ำหน้า ด้วยการใช้นวัตกรรมทางดิจิทัล ซึ่งต้องอาศัยผู้เชี่ยวชาญทางเทคโนโลยีดิจิทัล ทั้งจากภายในประเทศไทยและต่างประเทศ เพื่อสร้างสิ่งใหม่ที่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ และตอบโจทย์ความต้องการของประชาชนอย่างแท้จริง
    จากการเปรียบเทียบปัญหาใหญ่ที่ 1 ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับประเทศ ซึ่งเปรียบเสมือนเป็นยอดภูเขาน้ำแข็งที่ลอยอยู่เหนือน้ำ (Tip of the iceberg) และปัญหาใหญ่ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์การใช้สื่อสังคมออนไลน์เป็นเครื่องมือในการรุกรานความคิด และการสูญเสียอธิปไตยไซเบอร์ของชาติ ซึ่งเปรียบเสมือนเป็นส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ประเทศไทยเปรียบเหมือนเป็นเรือไทยทานิค (แผนภาพที่ 4-3) ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติ ทุก 5 ปี โดยรอบระยะเวลาของ การทบทวนปรับปรุงแก้ไขครั้งแรกคือ ปี 2565 ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติในด้านความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ของชาติ ภายในปี 2568 หรืออีก 5 ปีข้างหน้า ปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 จะส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติ ระบบเศรษฐกิจ อันดับความมั่นคงปลอดภัยไซเบอร์ของประเทศ การสูญเสียอธิปไตยทางไซเบอร์ และการขาดรายได้ภาษีจากแพลตฟอร์มต่างชาติ ซึ่งเปรียบเหมือนเรือไทยทานิคชนกับภูเขาน้ำแข็งจนต้องอับปางลงนั่นเอง

กรณีที่ประเทศไทยมีการทบทวนและปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยยึดหลักการขับเคลื่อนตามแนวทางที่รัฐมีบทบาทนำ (Government-led) ภาคประชาชนมีบทบาทนำ (Civilian-led) และแพลตฟอร์มมีบทบาทนำ (Platform-led) ตามที่อภิปรายไว้ข้างต้น ย่อมเปรียบเหมือนเรือดำน้ำที่พุ่งชนภูเขาน้ำแข็งให้เปลี่ยนทิศทางออกไปจนเรือไทยทานิคสามารถหลุดพ้นปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 ได้

การปรับปรุงยุทธศาสตร์ชาติตามแนวคิดในการกำหนดบทบาทผู้ขับเคลื่อนแนวทาง การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ 3 บทบาท ได้แก่ 1) แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถกำหนดโครงการภายในแนวทางการขับเคลื่อน หน่วยงานรับผิดชอบหลัก/หน่วยงานรับผิดชอบรอง เป้าหมาย วิธีดำเนินการ และกรอบระยะเวลาดำเนินการได้ ดังนี้

กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยใน ๕ มิติ

การพัฒนา “กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย” ได้นำกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity Capacity Centre แห่ง University of Oxford มาประยุกต์ให้เหมาะสมกับสถานการณ์ปัจจุบันและสภาวะแวดล้อมของประเทศไทย เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยให้เป็นระบบ มีประสิทธิผล และได้มาตรฐานสากลได้

ทั้งนี้ Global Cybersecurity Capacity Centre ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก โดยสามารถแบ่งมิติในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยออกเป็น 5 มิติ (แผนภาพที่ 4-5) ดังนี้

มิติที่ 1 National cybersecurity framework and policy การพัฒนานโยบายและกรอบแนวคิดเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`เป็นเรื่องสำคัญในลำดับต้น ๆ ของการพัฒนายุทธศาสตร์ไซเบอร์ในระดับประเทศ

มิติที่ 2 Cyber culture and society การปรับมุมมองและทัศนคติของประชาชน ในเรื่องความเชื่อมั่นในการใช้ชีวิตในโลกไซเบอร์ เป็นการสร้างความเชื่อมั่นของประชาชนในการใช้บริการอินเทอร์เน็ต หรือ Online service ต่าง ๆ รวมทั้งความเข้าใจของประชาชนในเรื่องความเสี่ยงในการใช้อินเทอร์เน็ต

มิติที่ 3 Cybersecurity education, training and skills การบริหารจัดการเรื่อง การสร้างความตระหนักรู้ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยไซเบอร์ ของภาครัฐภาคเอกชน และ ประชาชนทั่วไป ตลอดจน การอบรมความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป

มิติที่ 4 Legal and regulatory frameworks การพัฒนากฎหมายและกฎระเบียบ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้น และส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก

มิติที่ 5 Standards, organizations, and technologies การพัฒนามาตรฐานและการปฏิบัติตามมาตรฐานที่เกี่ยวกับการใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ การควบคุมความมั่นคงปลอดภัยไซเบอร์ การใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้องกันภัยไซเบอร์ในระดับบุคคล ระดับองค์กร และ โครงสร้างพื้นฐานของประเทศ ตลอดจนการพัฒนาเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

๑. Cybersecurity framework and policy

๒. Cyber culture and society

๓. Cybersecurity education, training and skills

๔. Legal and regulatory frameworks

๕. Standard, organizations and technologies

สรุป

ปัญหาความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน ปัญหาความไม่พร้อมในการรับมือปรากฏการณ์ “Social media as a new source of soft power” ที่ใช้ในการรุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่าการโจมตีทางกายภาพมาก กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้าน ความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาตช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์

ผู้วิจัยจึงได้เสนอแนะแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับชาติ โดยนำแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ) มาประยุกต์ใช้ โดยแบ่งแนวทางออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทาง ที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) และได้นำกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ 5 มิติ CMM มาประยุกต์ใช้กับประเทศไทย ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies เพื่อเสนอแนะแนวทางการทบทวนและปรับปรุงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ให้ครอบคลุมการป้องกันและรับมือกับปัญหาปรากฏการณ์ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty)

 

บทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง)

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ก่อนที่ผมจะแลกเปลี่ยนความคิดเห็นเกี่ยวกับบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ที่สัมพันธ์กับ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

บทบาทของผู้กำกับ ผู้บริหาร ผู้ปฏิบัติงาน จาก Regulatory Body/Regulators ที่ไปกำกับหน่วยงานที่เกี่ยวข้อง (Regulated Entities) เพื่อสนองตอบความต้องการของผู้มีส่วนได้เสียที่เกี่ยวข้ัองตาม พรบ. ไซเบอร์นี้นั้น ผมได้นำบางส่วนที่สำคัญของ พรบ. นี้ มาเกริ่นนำให้ท่านได้ทราบเนื้อหาและความสำคัญ ก็เพราะสิ่งที่ผมจะได้กล่าวต่อไปนี้จะเกี่ยวข้องกับ

Responsibility : ผู้มีหน้าที่ปฎิบัติงานที่มีความรู้ความสามารถ ศักยภาพ/ที่ได้รับมอบหมายจากผู้กำกับหรือผู้บริหารสูงสุด (Regulatory Body/Regulators) ของหน่วยงาน

Accountability : ผู้มีหน้าที่ตัดสินใจและความรับผิดชอบระดับงานสูงสุดตาม พรบ. ไซเบอร์ หรือของหน่วยงาน เช่น การกำหนดวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ ความเสี่ยงในระดับที่องค์กร/หน่วยงานยอมรับได้ (Risk Appetite) แผนงาน/โครงการต่างๆ ที่เกี่ยวข้อง ผลการดำเนินงาน (Performance) ที่ได้ดุลยภาพกับการปฏิบัติตามกฎหมาย/พรบ.ฯ มาตรฐาน ประกาศ คำสั่ง และระเบียบต่างๆ (Conformance) รวมทั้งมีหน้าที่และความรับผิดชอบในการประเมินผล (Evaluate) สั่งการ (Direct) เฝ้าติดตามผล (Monitor) เพื่อให้บรรลุวัตถุประสงค์โดยรวมขององค์กร/หน่วยงาน

Consulted : ผู้มีหน้าที่ให้คำแนะนำในกระบวนการที่ต้องใช้ข้อมูล/สารสนเทศ/ธรรมาภิบาลด้านไซเบอร์ ขั้นตอนและกระบวนการประมวลข้อมูลฯ และความมั่นคงปลอดภัยไซเบอร์ ตลอดถึงผลลัพธ์และประโยชน์ที่จะได้รับ

Informed : ผู้ใช้ข้อมูลในการตัดสินใจหรือใช้ประโยชน์จากข้อมูล/สารสนเทศ/ความมั่นคงปลอดภัยไซเบอร์ รวมทั้งการพัฒนางานอย่างต่อเนื่อง เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียที่เกี่ยวข้องอย่างได้ดุลยภาพ

ดังนั้น จากประกาศที่มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 27 พฤษภาคม 2562 พระราชบัญญัตินี้ มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๒๘ มาตรา ๓๒ มาตรา ๓๓ มาตรา ๓๔ มาตรา ๓๖ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายเหตุผล และความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ และเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ อันกระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ ซึ่งการตราพระราชบัญญัตินี้ สอดคล้องกับเงื่อนไข ที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้ โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติทำหน้าที่รัฐสภา (คัดลอกและคัดเลือกมาบางส่วนเพื่อใช้ประกอบในการเขียนบทความนี้ ตามหัวข้อข้างต้น)

ก่อนที่ท่านผู้อ่านจะได้อ่านจากความคิดเห็นของผมเกี่ยวกับบทบาทของผู้กำกับและผู้บริหาร พรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) ผมได้โปรยหัวข้อที่มีความสำคัญที่ผมตั้งใจที่จะแบ่งปันในเรื่องนี้ก็คือ ทั้งหน่วยงานกำกับ และหน่วยงานที่ได้รับการกำกับ จะต้องระบุหน้าที่ในเรื่องที่เกี่ยวกับ Accountability, Responsibility, Consulted และ Informed ของแต่ละกระบวนการ (Process) และกิจกรรม (Activity) ให้ชัดเจนที่สามารถติดตามผลการปฏิบัติงานที่เป็นระบบ และใช้เป็นกรอบในการดำเนินการตาม พรบ.ไซเบอร์ ในการบริหารจัดการกระบวนการทางไอที ในระดับประเทศ และระดับองค์กรได้อย่างเหมาะสม ซึ่งมีรายละเอียดค่อนข้างมากนะครับ

เพราะการสร้างคุณค่าเพิ่ม (Value Creation) หน่วยงานกำกับและหน่วยงานที่ได้รับการกำกับ ควรจะมีความเข้าใจตรงกันในบทบาทที่เกี่ยวข้อง นั่นคือ องค์ประกอบที่สำคัญของ Governance ที่ต้องประกอบด้วยผลประโยชน์ที่ผู้มีส่วนได้เสียจะได้รับ ควบคู่และบูรณาการกันกับการบริหารความเสี่ยงที่เหมาะสมที่สุด และการใช้ทรัพยากรให้เกิดประโยชน์สูงสุดที่จะถ่ายทอดเป้าหมายไปสู่ระดับองค์กร และถ่ายทอดต่อไปยังเป้าหมายที่เกี่ยวข้องกับไอที และถ่ายทอดต่อไปยังเป้าหมายของปัจจัยเอื้อ ที่จะผลักดันให้องค์กรประสบความสำเร็จ ซึ่งได้แก่ ผู้กำกับและผู้ได้รับการกำกับตาม พรบ.ไซเบอร์ นี้ จะต้องมีหลักการที่ได้รับการยอมรับกันเป็นสากล ในการใช้เป็นธงนำในการสร้าง Value Creation ต่อผู้มีส่วนได้เสีย และมีปัจจัยเอื้อที่หลีกเลี่ยงไม่ได้ เพราะมีความสำคัญอย่างยิ่งยวดต่อกระบวนการและระบบการกำกับการบริหารงานตาม พรบ.ไซเบอร์ 7 เรื่อง คือ 1) หลักการ นโยบาย และกรอบการดำเนินงาน ที่สัมพันธ์กันกับข้ออื่นๆ อีก 6 ข้อ คือ 2) กระบวนการ 3) โครงการ 4) วัฒนธรรม จริยธรรม และพฤติกรรม 5) สารสนเทศ 6) บริการ โครงสร้างพื้นฐาน และระบบงาน และ 7) บุคลากร ทักษะ และศักยภาพ

ที่มา : www.coso.org

สำหรับมาตราต่างๆ ต่อจากนี้ไป ที่ผมคัดเลือกมาบางส่วนนั้น ได้แก่

มาตรา ๓ ในพระราชบัญญัตินี้ “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

“ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

“ไซเบอร์” หมายความรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียม และระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

“หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาคราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระองค์การมหาชน และหน่วยงานอื่นของรัฐ

“ประมวลแนวทางปฏิบัติ” หมายความว่า ระเบียบหรือหลักเกณฑ์ที่คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์กำหนด

“เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” หมายความว่าเหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใด ๆ ที่มิชอบซึ่งกระทำการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

“มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

“โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชน ใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ

หมวด ๑ คณะกรรมการ

ส่วนที่ ๑ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

มาตรา ๕ ให้มีคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กมช.” และให้ใช้ชื่อเป็นภาษาอังกฤษว่า“National Cyber Security Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย
(๑) นายกรัฐมนตรี เป็นประธานกรรมการ
(๒) กรรมการโดยตำแหน่ง ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ
(๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินเจ็ดคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

มาตรา ๙ คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้
(๑) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและสนับสนุนการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา ๔๒ และมาตรา ๔๓ ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ ซึ่งต้องเป็นไปตามแนวทางที่กำหนดไว้ในมาตรา ๔๒
(๒) กำหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
(๓) จัดทำแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สำหรับเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติ และในสถานการณ์ที่อาจจะเกิด หรือเกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์และแผนระดับชาติและกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ
(๔) กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกำหนดมาตรฐานขั้นต่ำที่เกี่ยวข้องกับคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชน
(๕) กำหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
(๖) กำหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในประเทศและต่างประเทศ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
(๗) แต่งตั้งและถอดถอนเลขาธิการ
(๘) มอบหมายการควบคุมและกำกับดูแล รวมถึงการออกข้อกำหนด วัตถุประสงค์ หน้าที่และอำนาจ และกรอบการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้หน่วยงานควบคุมหรือกำกับดูแล หน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
(๙) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และการรักษาความมั่นคงปลอดภัยไซเบอร์ตามที่บัญญัติไว้ในพระราชบัญญัตินี้
(๑๐) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
(๑๑) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

 

ส่วนที่ ๒ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

มาตรา ๑๒ ในการดำเนินการตามหน้าที่และอำนาจของคณะกรรมการตามมาตรา ๙ ให้มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กกม.” ประกอบด้วย
(๑) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ
(๒) กรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงานปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ
(๓) กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินสี่คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคนหลักเกณฑ์ และวิธีการสรรหาบุคคลที่เห็นสมควร เพื่อพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด

มาตรา ๑๓ กกม. มีหน้าที่และอำนาจ ดังต่อไปนี้
(๑) ติดตามการดำเนินการตามนโยบายและแผนตามมาตรา ๙ (๑) และมาตรา ๔๒
(๒) ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา ๖๑ มาตรา ๖๒ มาตรา ๖๓ มาตรา ๖๔ มาตรา ๖๕ และมาตรา ๖๖
(๓) กำกับดูแลการดำเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์
(๔) กำหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อันเป็นข้อกำหนดขั้นต่ำในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบ หรืออาจก่อให้เกิดผลกระทบ หรือความเสียหายอย่างมีนัยสำคัญหรืออย่างร้ายแรงต่อระบบสารสนเทศของประเทศ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน
(๕) กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกำกับดูแล โดยอย่างน้อยต้องกำหนดหน้าที่ให้หน่วยงานควบคุมหรือกำกับดูแล ต้องกำหนดมาตรฐานที่เหมาะสม เพื่อรับมือกับภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน่วยงานของรัฐ
(๖) กำหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์ในแต่ละระดับเสนอต่อคณะกรรมการ
(๗) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

ในการกำหนดกรอบมาตรฐานตามวรรคหนึ่ง (๔) ให้คำนึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้
(๑) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล
(๒) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น
(๓) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
(๔) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์
(๕) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

มาตรา ๑๔ ในการดำเนินการตามมาตรา ๑๓ วรรคหนึ่ง (๒) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้ทันท่วงที กกม. อาจมอบอำนาจให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้บัญชาการทหารสูงสุด และกรรมการอื่นซึ่ง กกม. กำหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกำหนดให้หน่วยงานควบคุมหรือกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ถูกคุกคามเข้าร่วมดำเนินการประสานงาน และให้การสนับสนุนด้วยก็ได้ การปฏิบัติตามวรรคหนึ่ง ให้เป็นไปตามระเบียบที่ กกม. กำหนด

มาตรา ๑๕ ให้นำความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิใน กกม. โดยอนุโลม

สำหรับตอนแรกของบทบาทของผู้กำกับและผู้บริหารที่เกี่ยวกับพรบ. ความมั่นคงปลอดภัยไซเบอร์ (บางมุมมอง) จึงขอเน้นในเรื่อง RACI and Cyber Law ที่เกี่ยวข้องกับ Peple, Process และ Technology ครับ

ระบบดี คนดี นั้นดีแน่

ระบบดี คนแย่ พอแก้ไข

ระบบแย่ คนดี มีทางไป

ระบบแย่ คนไม่เอาไหน บรรลัยเอย

ขอโด้โปรดติดตามตอนต่อไปนะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/