Posts Tagged "ขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์"

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนจบ

สวัสดีครับ สำหรับตอนนี้ก็จะเป็นตอนจบของการทำวิจัยเรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติ ในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ ของอาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ซึ่งผมต้องขอขอบคุณอีกครั้งมา ณ ที่นี้ ที่ได้อนุญาตให้ผมนำมาเผยแพร่ในเว็บไซต์ www.itgthailand.com และ www.itgthailand.wordpress.com เพื่อสร้างความเข้าใจเกี่ยวกับ Cyber Security ทั้งในระดับกว้างและลึก อันจะเป็นประโยชน์ต่อผู้ที่เกี่ยวข้องและสนใจ โดยในส่วนของสรุปจะแบ่งเป็น 2 ส่วน คือส่วนของสรุปผล และส่วนของข้อเสนอแนะ ดังที่จะได้นำเสนอต่อไปนี้ครับ

บทที่ 5

สรุปและข้อเสนอแนะ

สรุปผลการวิจัย

ในการวิจัยครั้งนี้ เป็นการทำการวิจัยเรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ โดยผู้วิจัยได้กำหนดวัตถุประสงค์การวิจัยไว้ 2 ข้อ คือ

วัตถุประสงค์การวิจัยข้อที่ 1 ศึกษาและวิเคราะห์กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และลักษณะของยุทธศาสตร์ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่มีความสอดคล้องกับยุทธศาสตร์ชาติ 20 ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริง ทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้น และระยะยาว

วัตถุประสงค์การวิจัยข้อที่ 2 เสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอดคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ 20 ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

ผลการศึกษาที่ตอบวัตถุประสงค์การวิจัยข้อที่ 1 สรุปได้ดังนี้ จากการศึกษายุทธศาสตร์ในการป้องกันการรุกรานทางอธิปไตยไซเบอร์ของต่างประเทศ พบว่า ประเทศจีน เป็นประเทศที่ประสบความสำเร็จเพียงประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์ เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศที่กำลังตามหลังประเทศจีน และริเริ่มมาตรการการป้องกันการรุกรานอธิปไตยทางไซเบอร์แล้ว ได้แก่ ประเทศออสเตรเลีย และประเทศสิงคโปร์ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์

ในขณะที่ เมื่อพิจารณาขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยไซเบอร์ได้

กรณีของประเทศไทย ความไม่พร้อมในการรับมือปรากฏการณ์ Social media และ การสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่าการโจมตีทางกายภาพมาก รัฐบาลยังไม่สามารถควบคุมได้ และรัฐบาลยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติ 20 ปี (2561 – 2580) มีแผนงานการสร้างความตระหนักรู้ประชาชนและหน่วยงาน ที่เน้นเฉพาะในการการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ และแผนงานการปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทันการละเมิดข้อมูลส่วนบุคคลและนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์”

กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ควรมีการวิเคราะห์ขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ของประเทศ และกำหนดระยะของการกำหนดยุทธศาสตร์ (Stage of maturity) ด้านการดูแล ความมั่นคงปลอดภัยทางไซเบอร์ โดยตามกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้าน ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ ประกอบด้วย มิติที่ 1 National Cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies ส่วนระยะของการกำหนดยุทธศาสตร์ ประกอบด้วย 5 ระยะ ได้แก่ ระยะที่ 1 Start-up เป็นระดับที่เพิ่งเริ่มอภิปรายเกี่ยวกับแนวทาง การสร้างขีดความสามารถ แต่ยังไม่เริ่มดำเนินการ ระยะที่ 2 Formative เป็นระดับที่เริ่มปรากฎแนวทางที่ชัดเจนแล้ว แต่ยังไม่จัดเป็นระเบียบหรือไม่เป็นหมวดหมู่ ระยะที่ 3 Established เป็นระดับที่เริ่มดำเนินการตามแนวทางแล้ว อยู่ในขั้นตอนของการตัดสินใจทางเลือกต่าง ๆ และ จัดสรรทรัพยากร ระยะที่ 4 Strategic เป็นระดับที่มีการจัดลำดับความสำคัญของแนวทางว่า อยู่ในระดับองค์กรหรือในระดับชาติ และระยะที่ 5 Dynamic เป็นระดับที่มีความชัดเจนในด้านกลไกนำไปสู่การเปลี่ยนแปลงยุทธศาสตร์ที่ขึ้นอยู่กับภัยคุกคามไซเบอร์ที่เกิดขึ้นจริงในปัจจุบัน

ผลการศึกษาที่ตอบวัตถุประสงค์การวิจัยข้อที่ 2 สรุปได้ดังนี้ การวิเคราะห์ปัญหา ในเรื่องความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย สามารถแบ่งออกเป็น 2 ปัญหาใหญ่ ประกอบด้วย 1) ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ และ 2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social media” กลายเป็น “Soft power” และการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ การปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ควรนำกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) 5 มิติ มาใช้ในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies โดยมีรายละเอียดดังนี้

นอกจากนี้ ควรจำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

ข้อเสนอแนะ

  1. ข้อเสนอแนะเชิงนโยบาย

การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติควรทบทวนและปรับปรุงโดยจำแนกออกตามองค์กรที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ ตามแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)

ซึ่งได้เสนอแนะให้จำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็นสามภาคส่วน ได้แก่ 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถ จัดหมวดหมู่ของ 10 แนวคิดในการปรับปรุงยุทธศาสตร์ที่ได้จากการวิเคราะห์ปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย

1.1 แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)

รัฐบาลควรใช้กลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้

1.1.1 บริหารความเสี่ยงและสร้างกลไกตอบสนองต่อความเสี่ยงในหน่วยงานโครงสร้างพื้นฐานที่สำคัญ
1.1.2 พัฒนานโยบาย กฎหมายลูก และมาตรฐานด้านความมั่นคงปลอยภัยทางไซเบอร์
1.1.3 พัฒนาบุคลากรจากหน่วยงานที่เกี่ยวข้องในกระบวนการยุติธรรม เช่น การบังคับใช้กฎหมาย การสืบสวน และการตัดสินคดีทางไซเบอร์ เป็นต้น
1.1.4 บูรณาการหน่วยงานภาครัฐ ในลัษณะของปฏิบัติการร่วม (Joint-force) โดยมีหน่วยงานหลักที่เป็นเจ้าภาพชัดเจน และสร้างความร่วมมือกับภาคเอกชน ภาคประชาสังคม และองค์กรระหว่างประเทศ เพื่อรักษาสมดุลระหว่างเสรีภาพในโลกไซเบอร์สเปซ และความมั่นคงปลอดภัยทางไซเบอร์

1.2 แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led)

รัฐบาลควรสร้างการบูรณาการร่วมกันของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน ดังต่อไปนี้

1.2.1 พัฒนาระบบการศึกษา โดยปฏิรูปหลักสูตรการเรียนการสอน โดยสอดแทรกเนื้อหาความรู้เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในแต่ละระดับการเรียนการสอน และพัฒนาบุคลากรภาครัฐโดยเฉพาะหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญ ให้มีความรู้ด้านความมั่นคงปลอดภัยด้านไซเบอร์
1.2.2 สร้างความตระหนักรู้ (Awareness) ด้านความมั่นคงปลอดภัยด้าน ไซเบอร์ ให้แก่ประชาชนเพื่อให้รู้เท่าทันภัยจากการใช้งานสื่อสังคมออนไลน์ (Social media) และ การเปิดเผยข้อมูลส่วนบุคคลให้แก่แพลตฟอร์ม (Platform) ต่างประเทศ เพื่อป้องกันการรุกล้ำทางไซเบอร์ในระดับประเทศ
1.2.3 สร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสาร (IO) ทางสื่อสังคมออนไลน์ (Social media) ทั้งจากภายในประเทศและต่างประเทศ
1.2.4 สร้างความตระหนักรู้ถึงการใช้ประโยชน์จากข้อมูลส่วนบุคคลในการโฆษณาชวนเชื่อ รวมถึงสิทธิและวิธีการปกป้องและคุ้มครองข้อมูลส่วนบุคคล
1.2.5 สร้างทักษะความเข้าใจและใช้เทคโนโลยีดิจิทัล หรือ Digital literacy ให้มี “ภูมิคุ้มกันทางดิจิทัล” และ“ภูมิคุ้มกันทางไซเบอร์” (Digital immunity/Cyber immunity) ที่ดี

1.3 แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

รัฐบาลควรส่งเสริมและสนับสนุนการวิจัยและพัฒนา เพื่อสร้างแพลตฟอร์มที่เป็นนวัตกรรมทางดิจิทัลที่ล้ำหน้าทันสมัย (Leapfrog digital innovation platform) ของประเทศไทย ที่สามารถตอบสนองความต้องการของประชาชนเหนือกว่าแพลตฟอร์มต่างประเทศ สามารถดูแลข้อมูลส่วนบุคคลของประชาชนได้ด้วย และสามารถป้องกันการรุกรานอธิปไตยทางไซเบอร์ผ่านทาง สื่อสังคมออนไลน์ (Social media) เพื่อป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) และแพลตฟอร์ม (Platform) ต่างประเทศ

2. ข้อเสนอแนะเชิงยุทธศาสตร์

2.1 กรอบแบบจำลองธุรกิจเพื่อความมั่นคงปลอดภัยสารสนเทศ (Business Model for Information Security: BMIS)

การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ควรประยุกต์ใช้กรอบแบบจำลองธุรกิจเพื่อความมั่นคงปลอดภัยสารสนเทศ (BMIS) ตามแนวคิดของสมาคม Information security audit and control association (ISACA) โดยแบ่งองค์ประกอบออกเป็น 4 ด้าน ได้แก่ 1) องค์กร (Organisation) หมายถึงเครือข่ายของบุคลากร สินทรัพย์ และขั้นตอนการปฏิบัติงานที่สัมพันธ์กันเพื่อไปสู่เป้าหมาย 2) บุคลากร (People) หมายถึง ทรัพยากรมนุษย์และประเด็นด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับทรัพยากรมนุษย์ 3) ขั้นตอน การปฏิบัติงาน (Process) หมายถึง ขั้นตอนหรือกลไกการปฏิบัติงานเพื่อบรรลุผลสำเร็จ เช่น มาตรการ การบริหารจัดการ และการความคุมความเสี่ยง เป็นต้น ซึ่งได้จากการกำหนดยุทธศาสตร์ขององค์กร และ 4) เทคโนโลยี (Technology) หมายถึง เครื่องมือ แอพพลิเคชั่นหรือ โครงสร้างพื้นฐานที่ทำให้ขั้นตอนการปฏิบัติงานมีประสิทธิภาพมากขึ้น

องค์ประกอบ 4 ด้าน ตามกรอบแบบจำลอง BMIS มีความสัมพันธ์ซึ่งกันและกัน ทำให้เกิดแรงดึงและแรงผลัก เมื่อมีองค์ประกอบใดองค์ประกอบหนึ่งเปลี่ยนแปลง โดยแต่ละองค์ประกอบมีพลวัตของความเชื่อมโยง 6 ด้าน ประกอบด้วย 1) การกำกับดูแล (Governing) 2) วัฒนธรรม หรือรูปแบบของพฤติกรรม (Culture) 3) การพัฒนาและสนับสนุน (Enabling and support) 4) ความฉุกเฉินเร่งด่วน (Emergence) 5) ปัจจัยมนุษย์ (Human factor) และ 6) โครงสร้างความมั่นคงปลอดภัย (Architecture)

เมื่อประยุกต์องค์ประกอบ 4 ด้าน ตามกรอบแบบจำลอง BMIS เข้ากับ การรักษาความมั่นคงปลอดภัยไซเบอร์ โดยแต่ละองค์ประกอบ
1) องค์กร (Organisation) หมายถึง รัฐบาล และเครือข่ายหน่วยงานภาครัฐ ที่ทำหน้าที่เกี่ยวข้องกับการดูแลความมั่นคงปลอดภัยไซเบอร์ของประเทศ แต่ละหน่วยงานได้รับมอบหมายหน้าที่ความรับผิดชอบและเป้าหมาย
2) บุคลากร (People) หมายถึง ประชาชน บุคลากรภาครัฐ และภาคเอกชน ซึ่งมีบทบาทในการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์ในส่วนที่เกี่ยวข้องกับแต่ละกลุ่มบุคลากร
3) ขั้นตอนการปฏิบัติงาน (Process) หมายถึง ยุทธศาสตร์ ซึ่งกำหนดกลไก การขับเคลื่อนยุทธศาสตร์ โครงการ แผนปฏิบัติงาน และขั้นตอนการปฏิบัติงานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์
4) เทคโนโลยี (Technology) หมายถึง แพลตฟอร์มของประเทศไทย และเทคโนโลยีดิจิทัลที่ใช้ในการรักษาความมั่นคงปลอดภัยไซเบอร์ และการปกป้องอธิปไตยทางไซเบอร์ของประเทศ

2.2 ยุทธศาสตร์เชิงรุก (Offensive strategy)

การกำหนดกลยุทธ์เพื่อให้บรรลุเป้าหมายในการป้องกันภัยคุกคามไซเบอร์และการรุกรานอธิปไตยทางไซเบอร์ จำเป็นต้องดำเนินการทั้งเชิงรับและเชิงรุก ด้านเชิงรับ เน้นการติดตามเฝ้าระวัง การเตือนภัยล่วงหน้า การรับมือกับเหตุการณ์ และการฟื้นฟูจากความเสียหาย ด้านเชิงรุก ควรสร้างและพัฒนาขีดความสามารถของทีมรับมือกับเหตุการณ์ให้สามารถโจมตีเครือข่ายหรือระบบของผู้ประสงค์ร้าย เพื่อทำลายโอกาสของการโจมตีทางไซเบอร์ ควรพัฒนาและสร้างแพลตฟอร์มของประเทศขึ้นเองให้สามารถตอบสนองความต้องการของผู้ใช้งาน และสามารถคุ้มครองความมั่นคงปลอดภัยของข้อมูลได้ด้วย ควรส่งผู้ดูแลรักษาผลประโยชน์ของชาติ (Custodian) ทั้งหน่วยงานด้านความมั่นคง และหน่วยงานด้านพัฒนาโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ ไปเข้าร่วมในเวทีความร่วมมือระหว่างประเทศต่าง ๆ ทั้งในระดับโลกและภูมิภาคอาเซียน เพื่อสร้างพันธมิตร ในการต่อต้าน ติดตาม และลงโทษผู้ประสงค์ร้ายทางไซเบอร์ เช่น องค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และหน่วยงานตำรวจของสหภาพยุโรป (Europol) เป็นต้น รวมถึง เพื่อแลกเปลี่ยนประสบการณ์และร่วมเรียนรู้ไปพร้อมกับประเทศที่เริ่มตระหนักถึงปัญหาอธิปไตยทางไซเบอร์ และอยู่ระหว่างวางรากฐานของการป้องกันการรุกรานอธิปไตยทางไซเบอร์ เช่น มาเลเซีย อินโดนีเซีย สิงคโปร์ และเวียดนาม เป็นต้น

3. ข้อเสนอแนะระดับปฏิบัติ

3.1 แนวทางการพัฒนายุทธศาสตร์ออกเป็นสามภาคส่วน

การปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ควรมีการทบทวนและปรับปรุงยุทธศาสตร์ชาติตามแนวคิดในการกำหนดบทบาทผู้ขับเคลื่อนแนวทางการแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ 3 บทบาท ได้แก่ 1) แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led) โดยสามารถกำหนดแผนปฏิบัติการ/โครงการภายในแนวทางการขับเคลื่อน หน่วยงานรับผิดชอบหลัก/หน่วยงานรับผิดชอบรอง เป้าหมาย วิธีดำเนินการ และกรอบระยะเวลาดำเนินการได้ ดังนี้

ตารางที่ 5-2 หน่วยงานรับผิดชอบการขับเคลื่อนการปรับปรุงยุทธศาสตร์ชาติด้านความมั่นคงปลอดภัยไซเบอร์

3.2 การจัดตั้งองค์กรภายใต้ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ที่มีบทบาทสำคัญ ประกอบด้วย 3 หน่วยงาน ได้แก่ ทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response team: CSIRT) ทีมรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) และศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศระดับองค์กร (Security Operations Center: SOC) เมื่อพิจารณาวัตถุประสงค์หลักและความสำคัญของ CSIRT และ CERT แล้ว จะเห็นได้ว่า CERT มีหน้าที่หลักในการจัดเก็บ รวบรวม และเผยแพร่ข้อมูลเหตุการณ์ภัยคุกคามทางไซเบอร์ ไม่มีความจำเป็นต้องมีปฏิบัติการเพื่อรับมือ หรือโต้ตอบกับเหตุการณ์ภัยคุกคามทางไซเบอร์ ในขณะที่CSIRT มีหน้าที่หลักในการรับมือและโต้ตอบเหตุการณ์ภัยคุกคามทางไซเบอร์ และกำจัดภัยคุกคามทางไซเบอร์ รวมถึงการฟื้นฟูจากความเสียหาย อย่างไรก็ดี การทำหน้าที่ของ CSIRT และ CERT อาจมีหน้าที่บางส่วนที่เหมือนกันได้ เช่น การทำความเข้าใจกับเหตุการณ์ และการให้คำแนะนำ เป็นต้น นอกจากนี้ ในส่วนของศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศระดับองค์กร (SOC) มีหน้าที่ติดตามเหตุการณ์ ลงทุนในระบบป้องกันโครงสร้างพื้นฐานด้านสารสนเทศขององค์กร และพัฒนาขีดความสามารถของบุคลากรด้านการป้องกันเครือข่ายและระบบระดับองค์กร

กรณีของประเทศไทย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ควรจัดตั้งทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (CSIRT) ระดับประเทศ ตามมาตรฐานของสหภาพโทรคมนาคมระหว่างประเทศ (ITU) เพิ่มเติมจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ซึ่งอยู่ระหว่างจัดตั้ง ภายใต้อำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยปัจจุบัน ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (Thailand computer emergency response team: ThaiCERT) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปฏิบัติหน้าที่แทน National CERT ดังกล่าวอยู่ ซึ่งครอบคลุมเฉพาะการติดตาม แนะนำ ประสานงาน และเผยแพร่ข่าวสารและเหตุการณ์ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อสาธารณชน แต่ไม่ครอบคลุมถึงภารกิจของ CSIRT ตามแนวคิดของ ITU ซึ่งปฏิบัติการโต้ตอบเหตุการณ์ความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ภายในประเทศ รวมถึงร่วมมือกับ CSIRT ในต่างประเทศด้วย

นอกจากนี้ CSIRT ควรจัดทำโครงการนำร่องในการพัฒนาขีดความสามารถของบุคลากร (Human capacity building) ในหน่วยงานภาครัฐต่าง ๆ ให้สามารถพัฒนาระบบ เตือนภัยล่วงหน้า ระบบป้องกัน และปฏิบัติการโต้ตอบเหตุการณ์ความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ในระดับองค์กร ในลักษณะเดียวกับศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศระดับองค์กร (SOC) ด้วย และสร้างความตระหนักให้ผู้นำหน่วยงานภาครัฐ ในเรื่องความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ เพื่อให้ทุกหน่วยงานภาครัฐสามารถรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ สามารถป้องกันผลประโยชน์ของชาติจากการโจมตีโครงสร้างพื้นฐานและฐานข้อมูลสารสนเทศที่สำคัญของประเทศ และสามารถโต้ตอบผู้ประสงค์ร้ายต่อรัฐได้อย่างรวดเร็ว ทันการณ์และมีประสิทธิภาพ

3.3 การจัดเก็บภาษีดิจิทัล (Digital tax)

ความท้าทายและประเด็นปัญหาในการจัดเก็บภาษีธุรกิจดิจิทัล แบ่งออก ตามประเภทภาษี 2 ประเภท ได้แก่ ภาษีการบริโภค (Consumption tax) และภาษีเงินได้ (Income tax) โดยสรุปสาระสำคัญได้ ดังนี้

1) ภาษีการบริโภค (Consumption tax)
ปัญหาอุปสรรคในการจัดเก็บภาษีการบริโภคธุรกิจดิจิทัล แบ่งออก ตามประเภทสินค้าและบริการ 2 ประเภท ได้แก่ (1) สินค้าที่มีตัวตนทางกายภาพ (Physical goods) ที่สั่งซื้อทางออนไลน์จากต่างประเทศแล้วจัดส่งเข้าประเทศทางไปรษณีย์ (2) บริการอิเล็กทรอนิกส์ (e-service) ที่สั่งซื้อและจัดส่งทางอิเล็กทรอนิกส์ถึงผู้ใช้บริการโดยตรง

1.1) กรณี Physical goods
หลักปฏิบัติของหลายประเทศทั่วโลก กำหนดให้มีการยกเว้นภาษี การบริโภคให้สินค้าที่มีราคาต่ำ (Low value) เนื่องจากกรมศุลกากร ซึ่งเป็นหน่วยงานประเมินและจัดเก็บภาษี มักจะมีข้อจำกัดหลายประการ เช่น ไม่มีระบบอิเล็กทรอนิกส์ที่การเชื่อมโยงข้อมูลกับผู้ให้บริการไปรษณีย์ หรือผู้ให้บริการขนส่งสินค้า (Express Carrier) อื่น ๆ ทำให้ขาดข้อมูลที่จะใช้ประเมินภาษี จำนวนเจ้าหน้าที่ไม่เพียงพอในการตรวจสอบและประเมินภาษีทั้งอากรขาเข้าและภาษีมูลค่าเพิ่ม และอาจไม่คุ้มค่ากับจำนวนภาษีที่จะได้รับจากสินค้าที่มีราคาต่ำ ไม่มีระบบคัดแยกพัสดุว่า พัสดุใดเป็นสินค้านำเข้า พัสดุใดเป็นของฝาก/ของขวัญ และจุดบริการรับชำระค่าภาษี ยังไม่ครอบคลุมทั่วประเทศ เป็นต้น ดังนั้น ผู้ให้บริการตลาดกลางอิเล็กทรอนิกส์พยายามแสวงหาโอกาสจากประเทศที่ยกเว้นการจัดเก็บภาษีการบริโภคสำหรับสินค้านำเข้าที่มีราคาต่ำ ส่งผลให้รัฐสูญเสียรายได้ภาษีการบริโภคอันพึงได้ และไม่เป็นธรรมกับผู้เสียภาษีสินค้าประเภทเดียวกันที่อยู่ในประเทศ

1.2) กรณี e-service
กฎหมายแม่บทด้านภาษีของหลายประเทศส่วนใหญ่ยังไม่ครอบคลุมถึงธุรกิจประเภท e-service ที่มีการสั่งซื้อและใช้บริการทางอิเล็กทรอนิกส์ กรณีของประเทศไทย การจัดเก็บภาษีมูลค่าเพิ่มจาก e-Service กำหนดหน้าที่ในการเสียภาษีไว้อยู่แล้วในประมวลรัษฎากร โดยกำหนดให้ผู้ซื้อมีหน้าที่นำส่งภาษีมูลค่าเพิ่ม (ยื่นแบบ ภ.พ. 36) ถึงแม้ว่าในกรณีของผู้จ่ายเงินค่าบริการ e-service ที่เป็นนิติบุคคล ไม่มีประเด็นปัญหาในการนำส่งภาษีมูลค่าเพิ่มให้กรมสรรพากร อย่างไรก็ดี กรณีผู้จ่ายเงินค่าบริการที่เป็นบุคคลธรรมดา มีการนำส่งภาษีมูลค่าเพิ่มจากการใช้บริการ e-service อย่างจำกัด

2) ภาษีเงินได้ (Income tax)
ปัญหาอุปสรรคในการจัดเก็บภาษีเงินได้จากแพลตฟอร์มต่างประเทศ เกิดขึ้นจากกรณีที่ประมวลรัษฎากรมาตรา 66 วรรคสอง มาตรา 76 ทวิ และอนุสัญญาภาษีซ้อน (Double tax agreement: DTA) ที่ประเทศไทยลงนามไว้กว่า 60 ฉบับ กำหนดให้ธุรกิจต่างประเทศที่มีกิจการในไทย หรือมีตัวแทนที่ขายในไทย มีหน้าที่เสียภาษีเงินได้นิติบุคคล หากมีสถานประกอบการถาวร (Permanent establishment: PE) ในประเทศไทย เช่น สำนักงาน สาขา โรงงาน เป็นต้น เฉพาะเงินได้ในส่วนที่เป็นของ PE ซึ่งแพลตฟอร์มต่างประเทศมักจะหลีกเลี่ยง การมี PE ในประเทศไทย เพื่อเลี่ยงภาระภาษีดังกล่าว นอกจากนี้ ยังมีปัญหาในการตีความหมายของค่าตอบแทนจากการใช้บริการ ซึ่งมีผลกระทบต่อการประเมินภาระภาษีอีกด้วย กล่าวคือ ค่าตอบแทนนั้นเป็นค่าบริการหรือค่าสิทธิ หากเป็นค่าบริการ กรณีที่ไม่มี PE ในประเทศไทย ไม่มีหน้าที่ต้องเสียภาษีเงินได้ ตามมาตรา 70 แห่งประมวลรัษฎากร หากเป็นค่าสิทธิ กรณีที่ไม่มี PE ในประเทศไทย ค่าสิทธิ

แนวทางการแก้ไขปัญหาอุปสรรคในการจัดเก็บภาษีและสถานะปัจจุบันของการดำเนินการในส่วนที่เกี่ยวข้อง แบ่งออกตามประเภทภาษี 2 ประเภท ได้แก่ 1) ภาษีการบริโภค (Consumption tax) และ 2) ภาษีเงินได้ (Income tax) สามารถสรุปได้ ดังนี้

1) ภาษีการบริโภค (Consumption tax)
องค์กรเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organisation for economic co-operation and development: OECD) ได้เผยแพร่รายงานและเสนอแนะ แนวทางการจัดเก็บภาษีมูลค่าเพิ่มจากแพลตฟอร์มดิจิทัลในปี 2558 และ 25622 โดยพบว่า หลายประเทศได้เริ่มนำแนวทาง The vendor collection model ในการกำหนดให้แพลตฟอร์มดิจิทัลมีการจดทะเบียนภาษีมูลค่าเพิ่มอย่างง่าย (Simplified VAT registration) ต่อกรมสรรพากร ในประเทศที่มีการใช้บริการ เช่น ออสเตรเลีย นิวซีแลนด์ กลุ่มสหภาพยุโรป สิงคโปร์ มาเลเซีย เป็นต้น

กรณีของประเทศไทย กระทรวงการคลังอยู่ระหว่างการตรา ร่างพระราชบัญญัติแก้ไขเพิ่มประมวลรัษฎากร (ฉบับที่ ..) พ.ศ. …. (ร่าง พ.ร.บ. การจัดเก็บภาษีมูลค่าเพิ่มจากผู้ประกอบการที่ได้ให้บริการทางอิเล็กทรอนิกส์จากต่างประเทศและได้มีการใช้บริการนั้นในราชอาณาจักรโดยผู้ใช้ซึ่งมิใช่ผู้ประกอบการจดทะเบียน) โดยกำหนดให้ผู้ประกอบการ ที่ได้ให้บริการทางอิเล็กทรอนิกส์ในต่างประเทศแก่ผู้ที่ไม่ได้เป็นผู้ประกอบการจดทะเบียนภาษีมูลค่าเพิ่มในประเทศไทย และได้มีการใช้บริการนั้นในประเทศไทย หากมีรายรับจาก การให้บริการดังกล่าวเกินกว่า 1.8 ล้านบาทต่อปี ให้ยื่นคำขอจดทะเบียนภาษีมูลค่าเพิ่ม และ ให้มีหน้าที่เสียภาษีมูลค่าเพิ่ม ทั้งนี้ สถานะปัจจุบันของร่าง พ.ร.บ. คณะรัฐมนตรีเห็นชอบหลักการเมื่อวันที่ 17 กรกฎาคม 2561 สภาผู้แทนราษฎรเห็นชอบหลักการ วาระที่ 1 เมื่อวันที่ 29 กรกฎาคม 2563 จากนั้นจะนำเข้าสู่วาระที่ 2 วาระที่ 3 และการพิจารณาของวุฒิสภา

2) ภาษีเงินได้ (Income tax)
ปัจจุบัน OECD อยู่ระหว่างการพิจารณาแนวทางการจัดเก็บภาษีเงินได้จากธุรกิจดิจิทัลภายใต้ OECD/G 20 Inclusive framework on base erosion and profit shifting (BEPS) เพื่อเป็นแนวทางการปฏิบัติมาตรฐานสำหรับทุกประเทศ ซึ่งปัจจุบัน OECD อยู่ระหว่างพิจารณาประเด็นที่สำคัญ 2 ประเด็น ดังนี้

2.1) การจัดสรรกำไรเพื่อชำระภาษี (Profit allocation) โดยอยู่ระหว่างเสนอวิธีการแบ่งกำไร (Profit Split) และวิธีการกำหนดอัตราภาษี ซึ่งมีความสัมพันธ์กับปัจจัยที่สำคัญ 3 ปัจจัย ดังนี้
(1) จำนวนผู้ใช้บริการ (User participation)
(2) ทรัพย์สินไม่มีรูปร่างประเภทการตลาด (Marketing intangibles) เช่น เครื่องหมายการค้า รายชื่อและข้อมูลลูกค้า ช่องทางการจำหน่าย เป็นต้น
(3) การมีนัยสำคัญทางเศรษฐกิจ (Significant economic presence) ซึ่งเป็นจุดเชื่อมโยงการชำระภาษี (Nexus/Tax presence) จุดใหม่ เช่น การกำหนดหลักเกณฑ์เกี่ยวกับการมีตัวตนทางดิจิทัล (Digital presence) จากเดิมที่มีเพียงสถานประกอบการถาวร (Permanent establishment: PE) การกำหนดรายรับขั้นต่ำ (Revenue threshold) เป็นต้น

2.2) การกำหนดภาษีเงินได้ขั้นต่ำ (Minimum taxation) เพื่อแก้ไขปัญหาการโอนย้ายกำไร (Profit shifting) ไปประเทศที่เสียภาษีต่ำกว่า โดยอยู่ระหว่างเสนอขอบเขตของประเภทรายจ่าย และอัตราภาษี
อย่างไรก็ดี ประเทศสหรัฐอเมริกาได้ประเทศถอนตัวจากการเจรจากับกลุ่มสหภาพยุโรปในเรื่องภาษีดิจิทัล (Digital tax) เมื่อเดือนมิถุนายน 2563 ซึ่งส่งผลกระทบต่อการประชุมหารือของ OECD เพื่อหาข้อยุติร่วมกัน ทั้งนี้ หลายประเทศทั่วโลกได้ทำเดินมาตรการภาษีฝุายเดียว (Unilateral tax measure) โดยจัดเก็บภาษีบริการดิจิทัล (Digital service tax: DST) แล้ว เช่น ฝรั่งเศส อิตาลี เป็นต้น
ดังนั้น กรณีของประเทศไทยควรรอให้ได้ข้อยุติเกี่ยวกับแนวทางการจัดเก็บภาษีเงินได้จากแพลตฟอร์มต่างประเทศในเวทีการเจรจาระดับโลกและภูมิภาค โดยเฉพาะ OECD ก่อน เนื่องจากการจัดเก็บภาษี โดยไม่รอให้ได้ข้อยุติร่วมกัน แม้ว่าจะจัดเก็บภาษีได้ แต่อาจเกิดข้อพิพาททางการค้า และถูกกีดกันทางการค้าสำหรับสินค้าและบริการอื่น ๆ ของประเทศไทยได้ ทั้งนี้ ควรศึกษาและประเมินผลดีและผลเสียของการดำเนินมาตรการจัดเก็บภาษีฝ่ายเดียว (Unilateral tax measure) ซึ่งบางประเทศเริ่มจัดเก็บภาษีโดยไม่รอข้อยุติจากองค์กรระหว่างประเทศ

3.4 การใช้ประโยชน์จากสมาร์ทโฟนและระบบอินเทอร์เน็ต

การใช้งานสมาร์ทโฟนและระบบอินเทอร์เน็ตช่วยให้โลกของเราเปิดกว้างและเชื่อมโยงถึงกันได้ ทำให้การติดต่อสื่อสารกันทำได้ง่าย สามารถค้นหาข้อมูลสถานที่ การสั่งซื้อของ รวมไปถึงการใช้เพื่อส่งเสริมการศึกษา เช่น ค้นหาคำศัพท์ ค้นหาข้อมูล และศึกษาผ่านวิดีโอ เป็นต้น นอกจากผลประโยชน์แล้ว การใช้งานสมาร์ทโฟนและระบบอินเทอร์เน็ตอย่างไม่เหมาะสมส่งผลเสียต่อผู้ใช้งานหลายประการ เช่น การเสพติดการใช้สมาร์ทโฟนตลอดเวลา จนไม่ทันได้สังเกตสิ่งกีดขวางขณะเดินหรือขับรถยนต์ การเสพติดการใช้งานสื่อสังคมออนไลน์ และการเสพติดเกมส์ออนไลน์ จนไม่สามารถพักผ่อนได้อย่างเพียงพอ หรือเสียโอกาสในการทำกิจกรรมอื่น ๆ เช่น การออกกำลังกาย พูดคุยกับพ่อเเม่ การทำการบ้าน หรือการพัฒนาตนเอง เป็นต้น

กรณีของประเทศไทย จึงควรมีการปรับปรุงหลักสูตรการเรียนการสอนตั้งแต่ระดับประถมศึกษา เพื่อให้ประชาชนเข้าใจถึงวิธีที่ถูกต้องในการใช้สมาร์ทโฟนและระบบอินเทอร์เน็ตเพื่อการเรียนรู้อย่างเหมาะสมและมีขอบเขตความรับผิดชอบต่อการใช้งาน โดยสามารถรู้จักการจำกัดเวลาอย่างเหมาะสมด้วยตนเองในการใช้งานเครือข่ายสังคมออนไลน์ และเกมออนไลน์ เพื่อความบันเทิง

3.5 การพัฒนาขีดความสามารถและความตระหนักรู้ในการหวงแหนข้อมูล ส่วนบุคคล

การเข้าสู่ยุค S-M-C-I (Social–Mobile–Information–Cloud) ทำให้ข้อมูลส่วนบุคคลจำนวนมหาศาลอยู่ในความควบคุมของแพลตฟอร์มต่างประเทศ ซึ่งเป็นผลของการพัฒนาเทคโนโลยีดิจิทัล ที่แซงหน้าการพัฒนาขีดความสามารถและความตระหนักรู้ของมนุษย์ ทำให้เกิดปัญหาหลายประการ เช่น ความทุกข์ที่เกิดจากการเปรียบเทียบตัวเองกับคนอื่น หรือเรื่องเล่า บนเครือข่ายสังคมโซเชียล การไม่สามารถแยกแยะเรื่องจริงและเรื่องไม่จริงในเครือข่ายสังคมออนไลน์ได้ ความอ่อนไหวต่อเรื่องราวในเครือข่ายสังคมออนไลน์ที่มีเป้าประสงค์ในการเปลี่ยนแปลงความคิด ความเชื่อ และอุดมการณ์ได้ นอกจากนี้ ข้อมูลที่ไหลเวียนอยู่ในแพลตฟอร์มต่างประเทศสุ่มเสี่ยงต่อการถูกนำไปใช้ประโยชน์ โดยที่เจ้าของข้อมูลไม่รู้ตัว ซึ่งเท่ากับการถูกรุกรานอธิปไตยด้านข้อมูล หรือ “Data Sovereignty”

ดังนั้น รัฐบาลควรเพิ่มบทบาทในการพัฒนาขีดความสามารถและสร้าง ความตระหนักรู้ให้กับประชาชน เช่น การเพิ่มพื้นที่ของการให้ความรู้ ความเข้าใจ และการสร้าง ความตระหนักรู้ในเรื่องการคุ้มครองและหวงแหนข้อมูลส่วนบุคคลบนเว็บไซต์ของหน่วยงานภาครัฐ การประชาสัมพันธ์อย่างแพร่หลาย ให้ประชาชนทั่วไปรู้เท่าทันวิธีการที่ผู้ประสงค์ร้ายมักจะใช้ล้วงข้อมูลส่วนบุคคล การให้ความรู้ประชาชนเกี่ยวกับความจำเป็นและความสำคัญของ การเข้ารหัสข้อมูล (Data Encryption) หรือการใช้กุญแจการเข้ารหัส (Encryption key) ซึ่งถือเป็นส่วนหนึ่งของระบบความปลอดภัยด้านข้อมูล (Data Security) เพื่อป้องกัน การรั่วไหลของข้อมูลส่วนบุคคล และรักษาความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งแม้ว่าแพลตฟอร์มต่างชาติจะได้ข้อมูลไป เป็นข้อมูลที่ถูกเข้ารหัสอยู่ ไม่สามารถอ่านไม่ได้ หรืออ่านได้แต่ต้องใช้เวลาในการถอดรหัสนาน จนข้อมูลที่ได้มาไม่เป็นประโยชน์แล้ว เป็นต้น

3.6 การเพิ่มบทบาทของประเทศไทยในเวทีระดับโลกและความร่วมมือระหว่างประเทศ

ในช่วงที่ผ่านมา หน่วยงานในประเทศไทยที่ปฏิบัติงานร่วมกับสหภาพโทรคมนาคมนานาชาติ (International telecommunication union: ITU) ได้แก่ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. ซึ่งผู้แทนประเทศไทยเคยได้เข้าร่วมเป็นกรรมการบริหารของ ITU ด้วย ในสมัยที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารยังไม่เปลี่ยนโครงสร้างมาเป็นกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม อย่างไรก็ดี ITU เป็นหน่วยงานระดับนานาชาติเฉพาะทางที่กำหนดมาตรฐานสากลในส่วนที่เกี่ยวข้องกับระบบโทรคมนาคม รวมถึงระบบอินเทอร์เน็ต และความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งไม่ใช่หน่วยงานปฏิบัติการรับมือหรือโต้ตอบภัยคุกคามโดยตรง นอกจากนี้ หน่วยงานในประเทศไทย ที่ปฏิบัติงานร่วมกับ ITU ไม่มีหน้าที่ในด้านการป้องกันและโต้ตอบภัยคุกคามทางไซเบอร์โดยตรง

ดังนั้น แนวทางการเพิ่มบทบาทของประเทศไทย จึงควรจัดตั้งหน่วยงาน ที่มีหน้าที่ความรับผิดชอบในการนำมาตรฐานของ ITU มาปฏิบัติ โดยควรจัดตั้งหน่วยงานในลักษณะของศูนย์รับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response team: CSIRT) โดยอาศัยอำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ทำหน้าที่เฝ้าระวัง เตือนภัยล่วงหน้า สร้างระบบป้องกัน และปฏิบัติการโต้ตอบเหตุการณ์ความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ภายในประเทศ รวมถึงร่วมมือกับ CSIRT ในต่างประเทศ ซึ่งยึดถือแนวปฏิบัติตามมาตรฐานของ ITU เช่นเดียวกัน ทั้งนี้ CSIRT แตกต่างจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ซึ่งประเทศไทยอยู่ระหว่างจัดตั้ง และแตกต่างจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) ซึ่งทำหน้าที่ติดตาม แนะนำ ประสานงาน และเผยแพร่ข่าวสารและเหตุการณ์ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อสาธารณชน

กลุ่มประเทศอาเซียน (ASEAN ) ได้บรรลุข้อตกลงจากการประชุมสุดยอดผู้นำอาเซียนครั้งที่ 36 (The 36th ASEAN summit) จัดขึ้นที่ประเทศเวียดนาม เมื่อเดือนมิถุนายน 2563 ที่ผ่านมา ว่าจะทำให้ภูมิภาคเป็น One ASEAN Digital ซึ่งจะเป็นกรอบทิศทางให้เกิด ความร่วมมือกันและการพัฒนาในอาเซียนด้าน Digital technology มากยิ่งขึ้นในอนาคต เช่น การใช้ Digital technology เพื่อเพิ่มคุณภาพให้กับบริการสาธารณสุขทางอิเล็กทรอนิกส์ (e-Healthcare) การท่องเที่ยวเชิงสุขภาพ และการสื่อสาร โดยเฉพาะในช่วงของวิกฤตหรือช่วงของการแพร่ระบาดของโรคติดต่อร้ายแรง นอกจากนี้ ASEAN ยังให้ความสำคัญกับการสร้างความร่วมมือด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) และการสร้างความทนทานต่อภัยคุกคามทางไซเบอร์ ทั้งในมิติด้านความร่วมมือด้านนโยบาย การพัฒนาขีดความสามารถ และเสนอให้มีการจัดตั้งคณะกรรมการความร่วมมือด้านความมั่นคงปลอดภัยทางไซเบอร์ (ASEAN coordinating committee on cybersecurity: ASEAN -Cyber CC) รวมถึงการจัดทำโปรแกรมฝึกอบรมบุคลากรด้านไซเบอร์จาก 10 ชาติอาเซียน โดยจัดทำขึ้นที่ศูนย์ความร่วมมืออาเซียน-ญี่ปุุน เพื่อพัฒนาบุคลากรความมั่นคงปลอดภัยไซเบอร์ (ASEAN -Japan cybersecurity capacity building Centre: building Centre: AJCCBC) ที่ตั้งอยู่ในจังหวัดกรุงเทพมหานคร ประเทศไทย และศูนย์ความร่วมมืออาเซียน-สิงคโปร์ เพื่อพัฒนาบุคลากรความมั่นคงปลอดภัยไซเบอร์ (ASEAN-Singapore Cybersecurity Centre of Excellence: ASCCE) ที่ตั้งอยู่ในประเทศสิงคโปร์

ทั้งนี้ ปัจจุบันศูนย์ AJCCBC มีหลักสูตรอบรมบุคลากรไซเบอร์ที่สำคัญ 3 หลักสูตร ประกอบด้วย (1) หลักสูตรการรับมือภัยคุกคาม (Cyber defense exercise with recurrence: CYDER) ที่เน้นการรับมือกับภัยคุกคามทางไซเบอร์ ซึ่งเป็นหลักสูตรที่ประสบความสำเร็จในประเทศญี่ปุุนมาแล้ว (2) หลักสูตร Digital forensics เป็นหลักสูตรที่เกี่ยวข้องกับการตรวจพิสูจน์พยานหลักฐานดิจิทัลจากการโจมตีทางไซเบอร์ ทั้งความรู้พื้นฐานและการลงมือปฏิบัติ (3) หลักสูตรการวิเคราะห์มัลแวร์ (Malware analysis) ที่จะเป็นการวิเคราะห์มัลแวร์ประเภทต่าง ๆ ตามเทรนด์ของภัยคุกคามทางไซเบอร์ โดยเนื้อหาหลักสูตรเหล่านี้จะทบทวนและปรับปรุงให้เป็นปัจจุบันทุกปีเพื่อให้ทันต่อเหตุการณ์และสามารถรองรับการรับมือกับภัยคุกคามประเภทใหม่ ๆ ได้ เหมาะกับเจ้าหน้าที่ด้านไอทีของหน่วยงานที่ต้องมีความรู้เพื่อรับมือภัยคุกคามไซเบอร์

นอกจากนี้ กลุ่มประเทศอาเซียนให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยไซเบอร์อย่างมาก เห็นได้จากการกำหนดให้ “ความมั่นคงปลอดภัยทางสารสนเทศและการรับรองความปลอดภัย (Information security and assurance)” เป็น 1 ใน 8 ของยุทธศาสตร์ ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารอาเซียน ปี 2563 (The ASEAN ICT masterplan 2020) ซึ่งจะเน้นเรื่องการส่งเสริมความร่วมมือระหว่าง CERT ธรรมาภิบาลข้อมูล หรือการกำกับดูแลข้อมูล (Data Governance) และการระบุและปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศ อีกทั้งกลุ่มประเทศอาเซียนยังได้ร่วมกันจัดทำ ASEAN Cybersecurity cooperation strategy ซึ่งระบุถึงความร่วมมือระหว่างประเทศสมาชิกอาเซียนเพื่อเสริมสร้างความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับชาติ รวมถึงความร่วมมือกับ Dialogue Partners และผู้มีส่วนได้ส่วนเสียอื่น ๆ ด้วย

ดังนั้น แนวทางการเพิ่มบทบาทของประเทศไทย จึงควรส่งบุคลากรด้านไซเบอร์ของหน่วยงานภาครัฐในประเทศเข้าร่วมโปรแกรมฝึกอบรมบุคลากรด้านไซเบอร์ของศูนย์ AJCCBC และจัดตั้งหน่วยงานหลักที่รับผิดชอบในการเฝูาระวังและรับมือกับภัยคุกคามไซเบอร์ ทั้งในลักษณะของ CERT และ CSIRT เพื่อประสานความร่วมมือกับหน่วยงาน CERT และ CSIRT ในต่างประเทศ รวมถึงการทบทวนและปรับปรุงยุทธศาสตร์ชาติให้สอดคล้องกับแผนแม่บทและยุทธศาสตร์อาเซียนด้านความมั่นคงปลอดภัยไซเบอร์ การรักษาความเป็นส่วนตัว ข้อมูลส่วนบุคคล และอธิปไตยทางไซเบอร์ ซึ่งต้องร่วมมือตั้งแต่ระดับบุคคลที่เป็นผู้ใช้งาน องค์กรในภาคเอกชน หน่วยงานภาครัฐ และความร่วมมือระหว่างประเทศ

ในเวทีสหประชาชาติ (United nations: UN) ประเทศไทยสนับสนุนการทำงานของกรอบ United nations open ended working group (UN OEG) และ United nations group of governmental experts (UN GGEs) ในเรื่องพฤติกรรมความรับผิดชอบของรัฐทางไซเบอร์ที่เป็นบรรทัดฐานทางสังคม (Cyber norms) ทั้งหมด 11 เรื่อง ดังนี้

(1) การรักษาสันติภาพและความมั่นคงระหว่างประเทศ (International peace and security) และให้ความร่วมมือในการพัฒนาเสถียรภาพและความมั่นคงของการใช้เทคโนโลยีสารสนเทศ และการสื่อสาร และการป้องกันกิจกรรมทางเทคโนโลยีสารสนเทศและการสื่อสารที่เป็นภัยคุกคามต่อสันติภาพและความมั่นคงระหว่างประเทศ
(2) ในกรณีที่เกิดเหตุการณ์ผิดปกติหรือปัญหาด้านเทคโนโลยีสารสนเทศและการสื่อสาร รัฐพึงพิจารณาข้อมูลที่เกี่ยวข้อง ผลกระทบทุกมิติ ผลกระทบในวงกว้าง ผลกระทบต่อสภาพแวดล้อมทางเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT environment) รวมถึงลักษณะและความรุนแรงของผลกระทบ (Nature and extent of the consequences)
(3) รัฐพึงไม่ยินยอมให้มีการใช้ดินแดนของรัฐในการกระทำความผิดทางเทคโนโลยีสารสนเทศ และการสื่อสาร (Wrongful acts using ICTs) ต่อรัฐอื่น
(4) รัฐพึงพิจารณาแนวทางการสร้างความร่วมมือในการแลกเปลี่ยนข้อมูล (Exchange of information) ความช่วยเหลือ และการลงโทษอาชญากรและผู้ก่อการร้ายทางเทคโนโลยีสารสนเทศ และการสื่อสาร รวมถึงความร่วมมืออื่น ๆ ในการแก้ไขปัญหาภัยคุกคามไซเบอร์ และการพัฒนามาตรการรูปแบบใหม่ที่จำเป็น
(5) รัฐพึงสร้างความมั่นคงในการใช้เทคโนโลยีสารสนเทศ และการสื่อสาร การเคารพสิทธิมนุษยชน (Human rights) ในระบบอินเทอร์เน็ต และเสรีภาพในการแสดงออก (Freedom of expression)
(6) รัฐพึงไม่ดำเนินการหรือสนับสนุนกิจกรรมที่ขัดแย้งต่อข้อตกลงภายใต้กฎหมายระหว่างประเทศ (Obligations under international law) ซึ่งสร้างความเสียหายต่อโครงสร้างพื้นฐานที่สำคัญของรัฐอื่น หรือสร้างผลกระทบต่อการให้บริการสาธารณะ
(7) รัฐพึงกำหนดมาตรการที่เหมาะสมในการคุ้มครองโครงสร้างพื้นฐาน ที่สำคัญจากภัยคุกคามทางเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT threats)
(8) รัฐพึงให้ความช่วยเหลืออย่างเหมาะสมแก่รัฐอื่น (Requests for assistance) ซึ่งประสบภัยคุกคามต่อโครงสร้างพื้นฐานที่สำคัญ รวมถึงการให้ความช่วยเหลือในการลดผลกระทบของกิจกรรมที่ประสงค์ร้ายต่อรัฐอื่น (Malicious ICT acts) หรือการโจมตีโครงสร้างพื้นฐานพื้นฐานของรัฐอื่น ซึ่งเกิดขึ้นจากการกระทำภายในเขตแดนของรัฐ โดยคำนึงถึงอธิปไตยของรัฐ
(9) รัฐพึงสนับสนุนให้ห่วงโซการผลิต (Supply chain) มีความซื่อสัตย์ต่อผู้บริโภคขั้นสุดท้าย เพื่อให้เกิดความเชื่อมั่นต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และการสื่อสาร และรัฐควรปูองกันการขยายตัวของเครื่องมือและเทคนิคที่ประสงค์ร้ายต่อระบบเทคโนโลยีสารสนเทศ และการสื่อสาร รวมถึงการใช้งานฟังก์ชั่นลับที่ประสงค์ร้าย (Hidden functions)
(10) รัฐพึงจัดทำรายงานความเปราะบางด้านเทคโนโลยีสารสนเทศ และ การสื่อสาร (ICT vulnerabilities) และแบ่งปันข้อมูลที่จำเป็นต่อการพื้นฟูและลดความเปราะบางดังกล่าว เพื่อกำจัดภัยคุกคามที่ส่งผลกระทบต่อระบบและโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT-dependent infrastructure)
(11) รัฐพึงไม่ปฏิบัติหรือสนับสนุนกิจกรรมที่ประสงค์ร้ายต่อระบบข้อมูล (Information systems) ของ CERTs หรือ CSIRTs ของรัฐอื่น และไม่ใช้ทีมโต้ตอบเหตุการณ์ในการปฏิบัติการเพื่อประสงค์ร้ายต่อกิจกรรมระหว่างประเทศ (Malicious international activity)

ดังนั้น ประเทศไทยควรมีการศึกษาแนวทางการดำเนินการพฤติกรรม ความรับผิดชอบของรัฐทางไซเบอร์ที่เป็นบรรทัดฐานทางสังคม (Cyber Norms) ของ UN และ ความสอดคล้องกับกฎหมายภายในประเทศต่อไป

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 3

บทที่ 2

การทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง

ทฤษฎีและแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ

The Global Cybersecurity Capacity Centre (GCSCC) แห่ง University of Oxford ประเทศสหราชอาณาจักร ได้จัดทำคู่มือกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cyber security capacity maturity model: CMM) ซึ่งเป็นคู่มือในการประเมินศักยภาพและขีดความสามารถในการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการ ความมั่นคงปลอดภัยไซเบอร์ของประเทศให้เป็นระบบ มีประสิทธิผล เป็นที่ยอมรับในระดับสากล ทั้งนี้ ปัจจุบัน GCSCC ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการ ความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก

กรอบการประเมินขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ ตามแนวคิดของ CMM แบ่งหมวดหมู่ของขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ออกได้ 5 มิติ โดยมีรายละเอียด (แผนภาพที่ 2-1) ดังนี้

มิติที่ 1 National cybersecurity framework and policy เป็นขีดความสามารถ ในการพัฒนานโยบาย และยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`ความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ การบริหารจัดการในภาวะวิกฤต การปกป้องโครงสร้างพื้นฐานที่สำคัญ การเตือนภัยล่วงหน้า การฟื้นฟูหรือซ่อมแซมความเสียหาย รวมถึงความสามารถในการพัฒนานโยบายความมั่นคงที่มีประสิทธิภาพในการปกป้องและทนทานต่อภัยคุกคาม
มิติที่ 2 Cyber culture and society เป็นขีดความสามารถด้านความรู้ความเข้าใจของประชาชนในเรื่องความเชื่อมั่นต่อบริการอินเทอร์เน็ต บริการอิเล็กทรอนิกส์ของภาครัฐ และพาณิชย์อิเล็กทรอนิกส์ และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลบนโลกออนไลน์ ความเข้าใจของประชาชนในเรื่องความเสี่ยงที่เกี่ยวข้องกับโลกไซเบอร์ต่าง ๆ กลไกการให้ผู้ใช้งานรายงานอาชญากรรมทางไซเบอร์ รวมถึงบทบาทของเครือข่ายสังคมออนไลน์ต่อการเปลี่ยนแปลงทัศนคติ และพฤติกรรมของผู้ใช้งาน
มิติที่ 3 Cybersecurity education, training and skills เป็นขีดความสามารถด้านความตระหนักรู้ (Awareness) ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ของภาครัฐภาคเอกชน และประชาชนทั่วไป ตลอดจนการเข้าถึงและคุณภาพของการให้ความรู้และการอบรมด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป
มิติที่ 4 Legal and regulatory frameworks เป็นขีดความสามารถในการออกแบบและบังคับใช้กฎหมาย รวมถึงการตัดสินคดีความที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ทั้งในด้านความมั่นคงด้านเทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคคล และการคุ้มครองความเป็นส่วนตัว (Privacy protection) ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้นและส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก
มิติที่ 5 Standards, organizations, and technologies เป็นขีดความสามารถด้านการใช้เทคโนโลยีที่มีประสิทธิภาพเพื่อรักษาความมั่นคงปลอดภัยทางด้านไซเบอร์ให้กับประชาชนทั่วไป องค์กร โครงสร้างพื้นฐานของประเทศ มาตรฐานและการถอดบทเรียนจากกรณีศึกษาที่ดี ด้านความมั่นคงปลอดภัยทางไซเบอร์ ตลอดจนเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

จากขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ทั้ง 5 มิติข้างต้น ในแต่ละมิติมีส่วนที่ทับซ้อนกัน แสดงถึงความสัมพันธ์ระหว่างขีดความสามารถแต่ละมิติ โดยในแต่ละขีดความสามารถประกอบด้วยปัจจัย (Factor) คุณลักษณะ (Aspects) ระยะของการขับเคลื่อน (Stages of maturity) และตัวชี้วัด (Indicator) โดยมีความหมายสรุปได้ (แผนภาพที่ 2-2) ดังนี้

มิติ (Dimension) แสดงถึง หมวดหมู่ของขีดความสามารถด้านความมั่นคงปลอดภัย ไซเบอร์
ปัจจัย (Factor) แสดงถึง คุณลักษณะของขีดความสามารถด้านความมั่นคงปลอดภัย ไซเบอร์ เป็นองค์ประกอบที่ใช้ในการพัฒนาขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ รายการปัจจัยทั้งหมดสะท้อนถึงภูมิทัศน์ของขีดความสามารถความมั่นคงปลอดภัยไซเบอร์ภายใต้ มิตินั้น ๆ การกำหนดรายการปัจจัยทำได้จากการทบทวนและเรียนรู้จากประสบการณ์ ภายในปัจจัยประกอบด้วยกลุ่มของคุณลักษณะ (Aspects) ซึ่งเป็นการจัดหมวดหมู่ของปัจจัย
คุณลักษณะ (Aspect) แสดงถึง การจัดกลุ่มของปัจจัยให้อยู่ในหมวดหมู่ของคุณลักษณะ จะช่วยให้สามารถจัดกลุ่มของตัวชี้วัดที่สามารถเข้าใจได้ง่ายมากขึ้น
ระยะของการขับเคลื่อน (Stages of maturity) แสดงถึง ลำดับของความก้าวหน้า ในการพัฒนาขีดความสามารถในแต่ละกลุ่มปัจจัยและคุณลักษณะ โดย CMM แบ่งระยะเวลาของ การขับเคลื่อนออกเป็น 5 ระยะ
ตัวชี้วัด (Indicator) แสดงถึง ขั้นตอน ปฏิบัติการ หรือองค์ประกอบ ที่บ่งชี้ถึงระยะของ การขับเคลื่อนภายใต้มิติ ปัจจัย และคุณลักษณะต่าง ๆ ประเทศต้องบรรลุเปูาหมายของทุกตัวชี้วัด ในมิติ ปัจจัย และคุณลักษณะนั้น ๆ เพื่อเพิ่มขีดความสามารถของประเทศ ตัวชี้วัดส่วนใหญ่มีค่าได้ 2 รูปแบบ เช่น สำเร็จ ไม่สำเร็จ เป็นต้น

นอกจากนี้ กรอบแนวคิดของ CMM ได้แบ่งระยะของการกำหนดยุทธศาสตร์ (Stage of Maturity) ด้านการดูแลความมั่นคงปลอดภัยทางไซเบอร์ ออกเป็น 5 ระยะ (แผนภาพที่ 2-3) ดังนี้
ระยะที่ 1 Start-up เป็นระดับที่เพิ่งเริ่มอภิปรายเกี่ยวกับแนวทางการสร้าง ขีดความสามารถ (Capacity building) ในการดูแลความมั่นคงปลอดภัยทางไซเบอร์ แต่ยังไม่เริ่มดำเนินการ ตัวอย่างเช่น การเริ่มอภิปรายเกี่ยวกับความตระหนักรู้ทางไซเบอร์ แต่ยังไม่ทราบถึง ความจำเป็นของความตระหนักรู้อย่างชัดเจน เป็นต้น
ระยะที่ 2 Formative เป็นระดับที่เริ่มปรากฏแนวทางที่ชัดเจนแล้ว แต่ยังไม่จัดเป็นระเบียบหรือไม่เป็นหมวดหมู่ ตัวอย่างเช่น การสร้างโครงการเพิ่มความตระหนักรู้ทางไซเบอร์ผ่าน การอบรมพัฒนาบุคลากร โดยกำหนดกลุ่มเป้าหมายเฉพาะเจาะจง แต่โครงการยังไม่เชื่อมโยงกับยุทธศาสตร์ชาติ เป็นต้น
ระยะที่ 3 Established เป็นระดับที่เริ่มดำเนินการตามแนวทางแล้ว อยู่ในขั้นตอนของการตัดสินใจทางเลือกต่าง ๆ และจัดสรรทรัพยากร ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทาง ไซเบอร์มีหน่วยงานรับผิดชอบชัดเจนแล้ว และขยายกลุ่มเป้าหมายออกไปในวงกว้าง และเริ่มประสานขอความร่วมมือกับภาคส่วนต่าง ๆ เป็นต้น
ระยะที่ 4 Strategic เป็นระดับที่มีการจัดลำดับความสำคัญของแนวทางว่าอยู่ในระดับองค์กรหรือระดับชาติ ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทางไซเบอร์อยู่ในระยะที่ได้รับการบูรณาการความร่วมมือจากภาคส่วนต่าง ๆ ในประเทศ เป็นต้น
ระยะที่ 5 Dynamic เป็นระดับที่มีความชัดเจนในด้านกลไกที่จะนำไปสู่การเปลี่ยนแปลงยุทธศาสตร์ ซึ่งขึ้นอยู่กับภัยคุกคามไซเบอร์ที่เกิดขึ้นจริงในปัจจุบัน ตัวอย่างเช่น โครงการเพิ่มความตระหนักรู้ทางไซเบอร์อยู่ในระยะที่ทำให้เกิดการจัดสรรทรัพยากรและการลงทุนครั้งใหม่ สามารถเห็นผลกระทบจากการสร้างความตระหนักรู้ทางไซเบอร์อย่างชัดเจน เป็นต้น

หลักการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ

1. ประเทศสหรัฐอเมริกา
ประเทศสหรัฐอเมริกาเป็นประเทศที่ต้องเผชิญกับความท้าทายทางไซเบอร์ทั้งจากผู้ก่อการร้าย และประเทศมหาอำนาจอื่น เช่น รัสเซีย จีน อิหร่าน และเกาหลีเหนือ นับตั้งแต่ ปี 2546 ซึ่งสำนักงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (Cybersecurity and infrastructure security agency: CISA) กระทรวงความมั่นคงแห่งมาตุภูมิ มีการจัดทำยุทธศาสตร์ชาติด้านการรักษาความมั่นคงปลอดภัยของโลกไซเบอร์สเปซ (National strategy to secure cyberspace) หลังจากเกิดเหตุการณ์วินาศกรรมเมื่อวันที่ 11 กันยายน 2544 เป็นระยะเวลาถึง 15 ปี ที่ประเทศสหรัฐอเมริกาไม่ได้ปรับปรุงยุทธศาสตร์ความมั่นคงด้านไซเบอร์ ในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มขึ้นทวีคูณ จนกระทั่งในปี 2561 ทำเนียบขาว ประเทศสหรัฐอเมริกา ได้เผยแพร่ยุทธศาสตร์ไซเบอร์ของประเทศ (National cyber strategy) ประกอบด้วยเสาหลัก 4 ด้าน ได้แก่ 1) เสาหลักที่ 1 การปกป้องผืนแผ่นดินและวิถีชีวิตของอเมริกันชน (Protect the American people, the homeland, and the American way of life) 2) เสาหลักที่ 2 การเสริมสร้าง ความมั่งคั่งของอเมริกา (Promote American prosperity) 3) เสาหลักที่ 3 การรักษาสันติภาพ ด้วยพลัง (Preserve peace through strength) และ 4) เสาหลักที่ 4 การขยายอิทธิพลของสหรัฐอเมริกา (Advance American influence) โดยมีสาระสำคัญ ดังนี้

1.1 เสาหลักที่ 1 การปกป้องผืนแผ่นดินและวิถีชีวิตของอเมริกันชน (Protect the American people, the homeland, and the American way of life)
1.1.1 การรักษาความมั่นคงปลอดภัยให้กับเครือข่ายกิจการโทรทัศน์ และกิจการโทรคมนาคมของสหพันธรัฐ และข้อมูลของสหพันธรัฐ (Secure federal networks and information) โดยการกำหนดมาตรฐานในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัย ไซเบอร์ที่มีประสิทธิภาพ และการรวมศูนย์การสั่งการและมอบหมายหน้าที่ความรับผิดชอบ รวมถึงกำกับดูแลภาพรวมการทำงานของหน่วยงานที่เกี่ยวข้อง
1.1.2 การรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Secure critical infrastructure) โดยการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน การกระจายและจัดสรรความเสี่ยงระหว่างภาครัฐและภาคเอกชน ในลักษณะของการร่วมลงทุนระหว่างภาครัฐและเอกชน (PPPs) การจัดลำดับความสำคัญของปฏิบัติการ (Consequence-driven) ที่ลดความรุนแรงและความยาวนานของการหยุดชะงักของโครงสร้างพื้นฐาน
1.1.3 การรับมืออาชญากรรมทางไซเบอร์และการพัฒนาการรายงานอุบัติการณ์ (Combat cybercrime and improve incident reporting) โดยอาศัยความร่วมมือระหว่างมลรัฐ ท้องถิ่น ชนเผ่า และเขตแดน ในการตรวจตรา ป้องกัน ต่อต้าน และสืบสวนสอบสวนเกี่ยวกับภัยคุกคามทางไซเบอร์ต่อประเทศสหรัฐ

1.2 เสาหลักที่ 2 การเสริมสร้างความมั่งคั่งของอเมริกา (Promote American prosperity)
1.2.1 พัฒนาเศรษฐกิจดิจิทัลให้มีความมั่นคั่งและมีความทนทานต่อภัยคุกคามทางไซเบอร์ (Foster a vibrant and resilient digital economy) โดยการสนับสนุนการกำหนดมาตรฐานของการรักษาความมั่นคงปลอดภัยทางเศรษฐกิจ ตลาดกลางการพาณิชย์ (Marketplace) และนวัตกรรม
1.2.2 พัฒนาและคุ้มครองทรัพย์สินทางปัญญาของประเทศสหรัฐอเมริกา (Foster and protect United States ingenuity) โดยการคุ้มครองสิ่งประดิษฐ์ เทคโนโลยี และนวัตกรรมของประเทศสหรัฐอเมริกาจากการจารกรรมทรัพย์สินทางปัญญา รวมถึงการผลักดันบทบาทผู้นำด้านเทคโนโลยี เช่น ปัญญาประดิษฐ์ (Artificial intelligence: AI) วิทยาศาสตร์ข้อมูลควอนตัม(Quantum information science) และโครงสร้างพื้นฐานโทรคมนาคมสำหรับอนาคต (Next generation telecommunication infrastructure) เป็นต้น
1.2.3 พัฒนากำลังแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ที่เหนือกว่า (Develop a superior cybersecurity workforce) โดยพัฒนาศูนย์รวมบุคลากรมากความสามารถ (Talent pool) และดึงดูดผู้เชี่ยวชาญจากต่างประเทศ

1.3 เสาหลักที่ 3 การรักษาสันติภาพด้วยพลัง (Preserve peace through strength)
1.3.1 สร้างเสถียรภาพทางไซเบอร์ผ่านพฤติกรรมความรับผิดชอบของรัฐที่เป็นบรรทัดฐานทางสังคม (Enhance cyber stability through norms of responsible state Behavior) ผ่านกรอบความรับผิดชอบของรัฐภายใต้กฎหมายระหว่างประเทศ การสร้างความเชื่อมั่นต่อความสามารถในการลดความเสี่ยงจากกิจกรรมไซเบอร์ที่มีความประสงค์ร้าย
1.3.2 หยุดยั้งพฤติกรรมที่ไม่เหมาะสมในโลกไซเบอร์สเปซ (Attribute and deter unacceptable behavior in cyberspace) กิจกรรมไซเบอร์ที่เป็นภัยต่อประเทศสหรัฐอเมริกา ด้วยวิธีการทางการฑูต การข่าวสาร การทหาร การเงิน การข่าวกรอง และการบังคับใช้กฎหมาย

1.4 เสาหลักที่ 4 การขยายอิทธิพลของสหรัฐอเมริกา (Advance American influence)
1.4.1 สนับสนุนเสรีภาพบนระบบอินเทอร์เน็ต เชื่อมโยงกันได้ เชื่อถือได้ และมั่นคงปลอดภัย (Promote an open, interoperable, reliable, and secure internet) ซึ่งเป็นส่วนหนึ่งของหลักสิทธิมนุษยชน และเสรีภาพขั้นพื้นฐาน และป้องกันการใช้อินเทอร์เน็ตเสรีเป็นเครื่องมือทางการเมือง โดยยึดมั่นในหลักการนี้ให้เป็นมาตรฐานระดับสากล
1.4.2 สร้างขีดความสามารถไซเบอร์ระหว่างประเทศ (Build international cyber capacity) โดยส่งเสริมการพัฒนาขีดความสามารถไซเบอร์ให้ประเทศพันธมิตร เพื่อให้ประเทศพันธมิตรสามารถปกป้องตนเองได้ และสามารถสนับสนุนประเทศสหรัฐอเมริกาในการรับมือกับปัญหาภัยคุกคามไซเบอร์อย่างมีประสิทธิภาพ แลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์กับประเทศพันธมิตร เพื่อป้องกันโครงสร้างพื้นฐานที่สำคัญยิ่งยวดและห่วงโซ่อุปทานของโลก รวมถึงขยายความร่วมมือทางด้านการฑูต การเศรษฐกิจ และความมั่นคงปลอดภัย

2. ประเทศสหราชอาณาจักร
รัฐบาลสหราชอาณาจักร ได้จัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ปี 2559 – 2564 (National cyber security strategy 2016 – 2021) ในปี 2559 โดยมีเป้าประสงค์หลัก 3 ด้าน ได้แก่ การป้องกัน (Defend) การยับยั้ง (Deter) และ การพัฒนา (Develop) ในส่วนของการป้องกัน หมายถึง การป้องกันสหราชอาณาจักรจากภัยคุกคามทางไซเบอร์ การรับมือกับอุบัติการณ์ เพื่อให้ระบบเครือข่าย ระบบข้อมูล ธุรกิจ และประชาชน ได้รับความปลอดภัย และสามารถป้องกันตนเองได้ การยับยั้ง หมายถึง การตรวจสอบ ทำความเข้าใจ สืบสวนสอบสวน และหยุดยั้งกิจกรรมที่ประสงค์ร้ายต่อสหราชอาณาจักร ติดตามและลงโทษผู้กระทำความผิด และการพัฒนา หมายถึง การสร้างนวัตกรรม การวิจัย และพัฒนา เพื่อตอบสนองความต้องการของประเทศ และความพร้อมรับมือภัยคุกคามและความท้าทายในอนาคต ทั้งนี้ แผนยุทธศาสตร์จำแนกออกตามเปูาประสงค์หลัก 3 ด้าน สรุปได้ ดังนี้

2.1 การป้องกัน (Defend)
2.1.1 การพัฒนาระบบความมั่นคงปลอดภัยไซเบอร์ (Active cyber defence: ACD) โดยสร้างความทนทานต่อการโจมตีทางไซเบอร์ ความเข้าใจต่อภัยคุกคามทาง ไซเบอร์ และการรับมือกับภัยคุกคามทางไซเบอร์
2.1.2 การรักษาความมั่นคงปลอดภัยของระบบอินเทอร์เน็ต (Building a more secure internet) โดยสร้างความมั่นใจว่า การพัฒนาเทคโนโลยีใหม่ต้องมีความมั่นคงปลอดภัยเป็นค่าตั้งต้น (Secure by default) และมีระบบรักษาความปลอดภัยทั้งซอฟต์แวร์และฮาร์ดแวร์
2.1.3 การคุ้มครองข้อมูลภาครัฐ (Protecting government) ในทุกหน่วยงาน และทุกระดับของหน่วยงานภาครัฐ เพื่อรักษาความเชื่อมั่นของประชาชนต่อระบบและบริการของภาครัฐ
2.1.4 การคุ้มครองโครงสร้างพื้นฐานของประเทศที่สำคัญยิ่งยวดและภาคส่วนเศรษฐกิจที่มีความสำคัญยิ่งยวด (Protecting our critical national infrastructure and other priority sectors) ซึ่งมีผลกระทบต่อวิถีชีวิตของประชาชน ระบบเศรษฐกิจ ชื่อเสียงและจุดยืนของประเทศในเวทีโลก
2.1.5 การพัฒนาพฤติกรรมของภาคธุรกิจและประชาชน (Changing public and business behaviours) ให้มีความตระหนักรู้ และความเข้าใจต่อภัยคุกคามไซเบอร์
2.1.6 การบริหารจัดการอุบัติการณ์และความเข้าใจต่อภัยคุกคามไซเบอร์ (Managing incidents and understanding the threat) โดยกำหนดกระบวนการสร้างความร่วมมือในภาวะที่เกิดภัยคุกคามไซเบอร์ระหว่างภาครัฐและเอกชน เพื่อให้มั่นใจว่า มีการจัดเก็บข้อมูล แลกเปลี่ยนข้อมูล อย่างรวดเร็วและทันการณ์

2.2 การยับยั้ง (Deter)
2.2.1 การป้องปรามในโลกไซเบอร์ (Cyber’s role in deterrence) จาก การรุกรานทางไซเบอร์และอธิปไตย (Sovereignty) ของประเทศ โดยสร้างความเข้มแข็งให้ประเทศจนโจมตีได้ยาก ลดผลประโยชน์ และเพิ่มต้นทุนของการโจมตีทางไซเบอร์ไม่ว่าจะเป็นการโจมตีที่มีเป้าหมายทางด้านการเมือง เป้าหมายทางการฑูต เป้าหมายทางเศรษฐกิจ หรือเป้าหมายเชิงยุทธศาสตร์
2.2.2 การลดอาชญากรรมทางไซเบอร์ (Reducing cyber crime) โดยเพิ่มต้นทุนในการโจมตีทางไซเบอร์ ลดผลประโยชน์จากการโจมตีทางไซเบอร์ ลดความเปราะบางต่อ การถูกโจมตีทางไซเบอร์ และติดตามจับกุมอาชญากรที่โจมตีสหราชอาณาจักร
2.2.3 การรับมือผู้ประสงค์ร้ายจากภายนอกประเทศ (Countering hostile foreign actors) ที่พุ่งเป้าหมายโจมตีการเมือง เศรษฐกิจ และความมั่นคงทางการทหารของประเทศ
2.2.4 การป้องกันการก่อการร้าย (Preventing terrorism) โดยการลด ความเสี่ยงจากการถูกโจมตีทางไซเบอร์ และป้องกันการถูกโจมตีผ่านการเฝ้าระวัง ติดตามสืบสวนสอบสวน ร่วมงานกับประเทศพันธมิตรในการจับกุมผู้ก่อการร้ายทางไซเบอร์
2.2.5 การพัฒนาขีดความสามารถด้านอธิปไตยไซเบอร์เชิงรุก (Enhancing sovereign capabilities – offensive cyber) โดยการโจมตีเครือข่ายหรือระบบของผู้ประสงค์ร้าย ทำลายโอกาสในการโจมตีทางไซเบอร์ และมีการพัฒนาขีดความสามารถในการปฏิบัติการเชิงรุก
2.2.6 การพัฒนาขีดความสามารถด้านอธิปไตยการเข้ารหัสข้อมูล (Enhancing sovereign capabilities – cryptography) โดยอาศัยทักษะและเทคโนโลยีของภาคเอกชนที่มี ขีดความสามารถสูง

2.3 การพัฒนา (Develop)
2.3.1 การพัฒนาทักษะการรักษาความมั่นคงปลอดภัยไซเบอร์ (Strengthening cyber security skills) โดยการพัฒนาบุคลากรและผู้เชี่ยวชาญให้มีเส้นทางการเจริญก้าวหน้าในสายอาชีพอย่างชัดเจน
2.3.2 การกระตุ้นการเจริญเติบโตในภาคส่วนการรักษาความมั่นคงปลอดภัยไซเบอร์ (Stimulating growth in the cyber security sector) โดยสนับสนุนให้ผู้ที่มีแนวคิดในการผลิตนวัตกรรม โดยเฉพาะวิสาหกิจขนาดกลางและขนาดย่อม (Small and medium enterprises: SMEs) ให้สามารถเข้าถึงเงินทุน และสามารถเพิ่มทักษะความรู้ด้านเทคโนโลยีได้
2.3.3 การสนับสนุนวิทยาการและเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ (Promoting cyber security science and technology) ทั้งในด้านการวิจัยและพัฒนา และด้านวิชาการ เพื่อดึงดูดผู้มีความรู้ความสามารถให้เข้าสู่ภาคส่วนเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์
2.3.4 การเฝ้าติดตามและวิเคราะห์การเปลี่ยนแปลงของเทคโนโลยี (Effective horizon scanning) โดยการคาดการณ์ภัยคุกคามในอนาคต ในช่วงระยะ 5 – 10 ปีข้างหน้า การคาดการณ์ผลกระทบจากภัยคุกคามที่อาจจะเกิดขึ้น รวมถึงเสนอแนะเพื่อกำหนดนโยบายและแผนการรับมือภัยคุกคามที่อาจจะเกิดขึ้นในอนาคต

ทั้งนี้ สำนักงานคณะรัฐมนตรี ประเทศสหราชอาณาจักร ได้เผยแพร่รายงานความก้าวหน้าของการขับเคลื่อนยุทธศาสตร์ ในปี 2561 โดยพบความก้าวหน้าของการขับเคลื่อนแผนเชิงยุทธศาสตร์ 13 เรื่อง ได้แก่ 1) ความเข้าใจในภัยคุกคามไซเบอร์ (Understanding the threat) 2) การรับมือกับอาชญากรรมไซเบอร์ (Tackling cyber crime) 3) การรับมือกับอุบัติการณ์ไซเบอร์ (Responding to cyber incidents) 4) ระบบป้องกันการโจมตีทางไซเบอร์ (Active cyber defence) 5) การสร้างความปลอดภัยทางเทคโนโลยีด้วยการออกแบบ (Making technology secure by design) 6) การพัฒนาความมั่นคงปลอดภัยไซเบอร์ของรัฐบาล (Improving the cyber security of government) 7) การบริหารจัดการความเสี่ยงไซเบอร์ในระบบเศรษฐกิจและสังคม (Managing cyber risk in the wider economy and society) 8) การบริหารจัดการความเสี่ยง ไซเบอร์ในโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศ (Managing cyber risk in critical national infrastructure) 9) การพัฒนาภาคส่วนความมั่นคงปลอดภัยไซเบอร์ (Developing the cyber security sector) 10) การพัฒนาทักษะด้านความมั่นคงปลอดภัยไซเบอร์ (Developing the cyber security skills pipeline) 11) การวางแผนการวิจัยและพัฒนา (Research, development and future planning) 12) การผลักดันประเด็นปัญหาความมั่นคงปลอดภัยไซเบอร์ในเวทีระหว่างประเทศ (International action)และ 13) การสร้างการทำงานของหน่วยงานภาครัฐให้เป็นไปในทิศทางเดียวกัน (Strengthening our whole-of-Government approach)

3. ประเทศสิงคโปร์
หน่วยงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติแห่งสิงคโปร์ (Cyber security agency of Singapore: CSA) ได้เผยแพร่ยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ในปี 2559 โดยกำหนดให้ยุทธศาสตร์ประกอบด้วย 4 เสาหลัก ได้แก่ 1) การสร้างโครงสร้างพื้นฐานที่มีความทนทานต่อภัยคุกคามทางไซเบอร์ (Building resilient infrastructure) 2) การสร้างโลกไซเบอร์สเปซที่ปลอดภัยยิ่งขึ้น (Creating a safer cyberspace) 3) การพัฒนาระบบนิเวศของความมั่นคงปลอดภัยไซเบอร์ (Developing a vibrant cybersecurity ecosystem) และ 4) การสร้างความร่วมมือระหว่างประเทศ (Strengthening international partnership) โดยมีสาระสำคัญ ดังนี้

3.1 การสร้างโครงสร้างพื้นฐานที่มีความทนทานต่อภัยคุกคามทางไซเบอร์ (Building resilient infrastructure)
3.1.1 การปกป้องบริการที่สำคัญยิ่งยวด (Protect our essential services) โดยการจัดทำกระบวนการบริหารจัดการความเสี่ยง การสร้างวัฒนธรรมความตระหนักรู้ถึงความเสี่ยง การเพิ่มแนวปฏิบัติความมั่นคงด้วยการออกแบบ (Secure by design) ตลอดทั้งห่วงโซ่อุปทานของการให้บริการ
3.1.2 การเพิ่มขีดความสามารถในการรับมือต่อภัยคุกคามทางไซเบอร์อย่างเด็ดขาด (Respond decisively to cyber threats) โดยการสร้างความตระหนักรู้ต่อเหตุการณ์ การฝึกซ้อมแผนรับมือด้วยการจำลองสถานการณ์ที่ซับซ้อน และเกี่ยวโยงหลายภาคส่วน การเพิ่มทีม CIRT การเพิ่มประสิทธิภาพแผนฟื้นฟูภัยพิบัติ (Recovery plans) และแผนบริหารความต่อเนื่องทางธุรกิจ (Business continuity plans: BCP)
3.1.3 การสร้างความเข้มแข็งของโครงสร้างทางกฎหมายและการกำกับดูแลของภาครัฐ (Strengthen governance and legislative framework) โดยบัญญัติกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ที่กำหนดให้ผู้ให้บริการและเจ้าของโครงสร้างพื้นฐานที่สำคัญยิ่งยวดมีภาระความรับผิดชอบต่อความมั่นคงปลอดภัยไซเบอร์ สนับสนุนการแลกเปลี่ยนข้อมูลภัยคุกคาม ความร่วมมือของทุกภาคส่วนอย่างใกล้ชิดเพื่อแก้ไขเหตุการณ์อย่างทันการณ์
3.1.4 การรักษาความปลอดภัยให้กับเครือข่ายของรัฐบาล (Secure government networks) โดยการกำหนดสัดส่วนงบประมาณด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อยู่ที่ร้อยละ 8 ของวงเงินงบประมาณด้านเทคโนโลยีสารสนเทศและการสื่อสาร การลด การโจมตีเครือข่ายของรัฐบาล การสร้างความตระหนักรู้ต่อเหตุการณ์ในหน่วยงานภาครัฐ

3.2 การสร้างโลกไซเบอร์สเปซที่ปลอดภัยยิ่งขึ้น (Creating a safer cyberspace)
3.2.1 การต่อสู้กับอาชญากรรมทางไซเบอร์ (Combat cybercrime) โดยแผนปฏิบัติการระดับชาติ ที่เพิ่มองค์ความรู้ เพิ่มขีดความสามารถรับมือให้กับหน่วยงานภาครัฐ พัฒนากรอบกฎหมายในการตัดสินคดีอาชญากรรมทางไซเบอร์ และสร้างความร่วมมือระหว่างประเทศ
3.2.2 การพัฒนาสู่การเป็นศูนย์กลางแห่งความเชื่อมั่น (Enhance Singapore’s standing as a trusted hub) โดยการสร้างระบบนิเวศของข้อมูลที่เชื่อถือได้ ทั้งต่อผู้ใช้งานข้อมูล และหน่วยงานที่ให้บริการข้อมูล การพัฒนาเจ้าหน้าที่คุ้มครองข้อมูลที่มีความเชี่ยวชาญ หมายรวมถึงการใช้งานข้อมูลข้ามประเทศด้วย (Cross border data) การสร้างความร่วมมือกับประเทศพันธมิตร รัฐบาลอื่น อุตสาหกรรมที่เป็นพันธมิตร ผู้ให้บริการอินเทอร์เน็ต องค์กรระหว่างประเทศ เพื่อสร้างอินเทอร์เน็ตที่สามารถตรวจพบภัยคุกคามได้รวดเร็ว และลดกิจกรรมที่ประสงค์ร้าย
3.2.3 การสนับสนุนความรับผิดชอบต่อส่วนรวม (Promote collective responsibility) โดยภาคธุรกิจและประชาชนต้องมีความพร้อมรับข่าวสารเพื่อป้องกันระบบคอมพิวเตอร์ และอุปกรณ์ดิจิทัลของตนเองจากผู้ประสงค์ร้ายที่อาจจารกรรมระบบหรืออุปกรณ์ เพื่อใช้ในการคุกคามสังคมและภาคธุรกิจ

3.3 การพัฒนาระบบนิเวศของความมั่นคงปลอดภัยไซเบอร์ (Developing a vibrant cybersecurity ecosystem)
3.3.1 การสร้างกำลังแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ที่มีความเชี่ยวชาญ (Establish a professional cybersecurity workforce) โดยสร้างเส้นทางการเจริญก้าวหน้าในสายอาชีพที่ชัดเจน สนับสนุนการให้ใบรับรองที่เป็นที่ยอมรับในระดับสากล การให้ทุนการศึกษา หลักสูตรการศึกษาเฉพาะอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ การพัฒนาทักษะที่มีอยู่เดิม (Up-skilling) และการเรียนรู้ทักษะใหม่ (Re-skilling)
3.3.2 การสร้างความได้เปรียบด้านความมั่นคงปลอดภัยไซเบอร์ (Extend Singapore’s cybersecurity advantage) ผ่านการสร้างความเข้มแข็งของท้องถิ่น และฐานราก โดยเฉพาะกลุ่มผู้ประกอบการหน้าใหม่ (Start-up) ด้วยการเพิ่มโอกาสทางการตลาด การสร้างแบรนด์ผลิตในประเทศสิงคโปร์ให้ติดตลาดโลก
3.3.3 การสร้างนวัตกรรมเพื่อเร่งการพัฒนา (Innovate to accelerate) โดยอาศัยความพร้อมด้านสิ่งอำนวยความสะดวกด้านการวิจัยและพัฒนาที่ได้มาตรฐานระดับโลก การพัฒนาบุคลากรผู้มีความสามารถโดดเด่น การสร้างความร่วมมือในการวิจัยและพัฒนาระหว่างภาครัฐ ภาคเอกชน ภาควิชาการ และภาคอุตสาหกรรม

3.4 การสร้างความร่วมมือระหว่างประเทศ (Strengthening international partnership)
3.4.1 การสร้างความร่วมมือระดับภูมิภาคอาเซียนและความร่วมมือระหว่างประเทศเพื่อรับมือกับภัยคุกคามไซเบอร์และอาชญากรรมทางไซเบอร์ (Forge international and ASEAN cooperation to counter cyber threats and cybercrime) โดยเพิ่มประสิทธิภาพให้กับกระบวนการรายงานและการรับมือ การอาศัยความร่วมมือกับเครือข่ายการทำงานขององค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และการพัฒนาขีดความสามารถในการรับมือกับอาชญากรรมทางไซเบอร์
3.4.2 การริเริ่มสร้างขีดความสามารถด้านไซเบอร์ระดับยอดเยี่ยมของภูมิภาคอาเซียนและระดับสากล (Champion international and ASEAN cyber capacity building initiatives) ในด้านปฏิบัติการ เทคนิค กฎหมาย นโยบาย และการฑูต
3.4.3 การแลกเปลี่ยนเรียนรู้ประสบการณ์ในด้านการบังคับใช้กฎหมายและบรรทัดฐานไซเบอร์ของภูมิภาคและระดับสากล (Facilitate international and regional exchanges on cyber norms and legislation)

ในครั้งหน้าเราจะไปต่อกันด้วย กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล กันนะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/