Posts Tagged "ความมั่นคงปลอดภัยไซเบอร์ของชาติ"

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 4

สวัสดีครับ จากผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ: ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ในตอนที่ 4 นี้ ยังคงอยู่ในบทที่ 2 ซึ่งเป็นการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้องกันต่อนะครับ และในตอนนี้จะเป็นหัวข้อของ กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล

กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล

1. กรอบแนวคิดการพัฒนายุทธศาสตร์ของสหภาพโทรคมนาคมระหว่างประเทศ (International Telecommunication Union: ITU)

สหภาพโทรคมนาคมระหว่างประเทศ (ITU) ได้ร่วมกับธนาคารโลก (World bank) สำนักเลขาธิการประเทศเครือจักรภพ (Commonwealth secretariat: ComSec) องค์กรโทรคมนาคมประเทศเครือจักรภพ (Commonwealth telecommunication organization: CTO) องค์การนาโต (NATO) หน่วยงานความมั่นคงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ของนาโต (Cooperative cyber defence centre of excellence: CCD COE) องค์กรระหว่างประเทศ และบริษัทที่ปรึกษาจากภาคเอกชนชั้นนำ ในการจัดทำและเผยแพร่คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) สำหรับผู้นำประเทศและผู้กำหนดนโยบาย ในปี 2561

ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) มีลักษณะสำคัญ ดังนี้

  • การแสดงถึงวิสัยทัศน์ เป้าหมายสูงสุด หลักการ และลำดับความสำคัญของประเด็นที่จะขับเคลื่อนประเทศให้พ้นจากปัญหาความมั่นคงปลอดภัยไซเบอร์
  • ภาพรวมของผู้มีส่วนเกี่ยวข้องกับการพัฒนาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศและบทบาทหน้าที่ความรับผิดชอบของแต่ละภาคส่วน
  • รายละเอียดของขั้นตอน โครงการ ความคิดริเริ่ม (Initiatives) ของประเทศในการปกป้องโครงสร้างพื้นฐานทางไซเบอร์ของประเทศ และการยกระดับความปลอดภัยและความทนทานทางไซเบอร์

ในส่วนของสาระสำคัญของคู่มือกรอบแนวคิดได้แบ่งองค์ประกอบที่สำคัญออกเป็น 3 ส่วน ได้แก่ 1) ขั้นตอนของการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ 2) ลักษณะที่สำคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 3) แนวปฏิบัติที่ดีเกี่ยวกับปัจจัยสำคัญที่จะทำให้ประเทศบรรลุเป้าหมายของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ โดยมีเนื้อหาที่สำคัญ ดังนี้

1.1 ขั้นตอนของการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ

คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) เสนอขั้นตอนของการพัฒนายุทธศาสตร์ 5 ระยะ ดังนี้

1.1.1 ระยะที่ 1: ระยะเริ่มต้น (Initiation) ประกอบด้วย

1.1.1.1 การระบุหน่วยงานรับผิดชอบหลัก (Identifying the lead project authority)
1.1.1.2 การแต่งตั้งคณะกรรมการขับเคลื่อน (Establishing a steering committee)
1.1.1.3 การระบุหน่วยงานหรือผู้มีส่วนเกี่ยวข้องในการพัฒนายุทธศาสตร์ (Identifying stakeholders to be involved in the development of the Strategy)
1.1.1.4 การวางแผนการพัฒนายุทธศาสตร์ (Planning the development of the strategy)

1.1.2 ระยะที่ 2: ระยะประเมินตรวจสอบและวิเคราะห์ (Stocktaking and Analysis) ประกอบด้วย

1.1.2.1 การประเมินสภาวะความมั่นคงปลอดภัยไซเบอร์ของประเทศ (Assessing the national cybersecurity landscape)
1.1.2.2 การประเมินสภาวะความเสี่ยงทางไซเบอร์ (Assessing the cyber-risk landscape)

1.1.3 ระยะที่ 3: กำหนดยุทธศาสตร์ความมั่นคงไซเบอร์ระดับชาติ (Production of the national cybersecurity strategy) ประกอบด้วย

1.1.3.1 การยกร่างยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (Drafting the national cybersecurity strategy)
1.1.3.2 การปรึกษาหารือกับผู้มีส่วนเกี่ยวข้องทุกภาคส่วน (Consulting with a broad range of stakeholders)
1.1.3.3 การขอความเห็นชอบยุทธศาสตร์ (Seeking formal approval)
1.1.3.4 การเผยแพร่ยุทธศาสตร์ให้มีผลใช้บังคับ (Publishing the strategy)

1.1.4 ระยะที่ 4: การขับเคลื่อนและใช้บังคับ (Implementation) ประกอบด้วย

1.1.4.1 การพัฒนาแผนปฏิบัติงาน (Developing the action plan)
1.1.4.2 การพิจารณาโครงการนำร่องที่สามารถนำไปปฏิบัติได้จริง (Determining initiatives to be implemented)
1.1.4.3 การจัดสรรทรัพยากรบุคลากรและงบประมาณเพื่อการขับเคลื่อนแผนปฏิบัติงาน (Allocating human and financial resources for the implementation)
1.1.4.4 การกำหนดกรอบระยะเวลา และตัวชี้วัด (Setting timeframes and metrics)

1.1.5 ระยะที่ 5: การติดตามและประเมินผล (Monitoring and evaluation)

1.1.5.1 การกำหนดขั้นตอนการดำเนินงาน (Establishing a formal process)
1.1.5.2 การติดตามความคืบหน้าของการขับเคลื่อนยุทธศาสตร์ (Monitoring the progress of the implementation of the strategy)
1.1.5.3 การประเมินผลการขับเคลื่อนยุทธ์ศาสตร์ (Evaluating the outcome of the strategy)

แผนภาพที่ 2-4 ขั้นตอนของการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ
ของสหภาพโทรคมนาคมระหว่างประเทศ (ITU)

1.2 ลักษณะที่สาคัญของยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์

คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) เสนอลักษณะที่สำคัญของยุทธศาสตร์ 9 ประการ ดังนี้

1.2.1 วิสัยทัศน์ของรัฐบาลและสังคมที่ชัดเจน (Clear vision)

การกำหนดจุดหมายปลายทางของวิสัยทัศน์จะประสบความสำเร็จได้ หากผู้มีส่วนเกี่ยวข้องเข้าใจถึงเหตุผลความจำเป็นของยุทธศาสตร์ เป้าหมายของยุทธศาสตร์ ต้องการบรรลุยุทธศาสตร์เกี่ยวกับอะไร และใครได้รับผลกระทบจากการขับเคลื่อนยุทธศาสตร์ วิสัยทัศน์ที่มีความชัดเจน ทำให้ผู้นำประเทศ และผู้มีส่วนเกี่ยวข้องมีความเชื่อมั่นในกระบวนการขับเคลื่อนยุทธศาสตร์ ทำให้เกิดความร่วมมือและการร่วมดำเนินงานเพื่อขับเคลื่อนยุทธศาสตร์ การกำหนดวิสัยทัศน์ควรพิจารณาพลวัตของการเปลี่ยนแปลงสภาพแวดล้อมทางไซเบอร์ด้วย เพื่อให้การกำหนดกรอบระยะเวลาขับเคลื่อนยุทธศาสตร์สอดคล้องกับวิสัยทัศน์

1.2.2 ความเข้าใจต่อสภาพแวดล้อมทางไซเบอร์ของประเทศและการจัดลำดับประเด็นสำคัญของประเทศ (Comprehensive approach and tailored priorities)

ปัญหาความมั่นคงปลอดภัยทางไซเบอร์มิได้เป็นเพียงความท้าทายทางเทคนิค แต่เป็นประเด็นปัญหาที่มีหลายแง่มุมและมีความซับซ้อน ไม่เพียงแต่มีผลกระทบต่อการเจริญเติบโตทางเศรษฐกิจและสังคม แต่ส่งผลกระทบต่อการบังคับใช้กฎหมาย ความมั่นคงของชาติ ความมั่นคงระหว่างประเทศ ความสัมพันธ์ระหว่างประเทศ การเจรจาต่อรองทางการค้า และการพัฒนาอย่างยั่งยืน และส่งผลกระทบต่ออีกหลากหลายมิติ ควรมีความเข้าใจในทุกแง่มุม ทุกมิติของสภาวะไซเบอร์ที่มีความสัมพันธ์กัน ในส่วนของการจัดลำดับประเด็นสำคัญด้านไซเบอร์ของประเทศมีความเกี่ยวข้องกับเป้าหมายและกรอบระยะเวลาของยุทธศาสตร์ รวมถึงการจัดสรรทรัพยากรทั้งบุคลากรและงบประมาณเพื่อขับเคลื่อนยุทธศาสตร์ การจัดลำดับความสำคัญของแต่ละประเทศอาจมีความแตกต่างกัน ประเด็นปัญหาความมั่นคงปลอดภัยไซเบอร์บางประเด็นอาจแยกออกไปเป็นประเด็นสำคัญหนึ่งของยุทธศาสตร์ด้านความมั่นคงของประเทศ

1.2.3 การพัฒนายุทธศาสตร์จากการมีส่วนร่วมของทุกภาคส่วน (Inclusiveness)

สภาวะทางไซเบอร์กลายเป็นภัยคุกคามต่อรัฐบาล ธุรกิจ และประชาชน ทุกภาคส่วนประสบปัญหาความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ และมีส่วนร่วมรับผิดชอบ ในการบริหารจัดการความเสี่ยงเหล่านั้น ตามบทบาทหน้าที่ความรับผิดชอบของแต่ละภาคส่วน การพัฒนายุทธศาสตร์จึงจำเป็นต้องอาศัยการมีส่วนร่วมของทุกภาคส่วน เพื่อให้การขับเคลื่อนยุทธศาสตร์ประสบความสำเร็จ การมีส่วนร่วมของทุกภาคส่วนทำให้เข้าใจถึงความต้องการของแต่ละภาคส่วน องค์ความรู้และความเชี่ยวชาญเฉพาะด้านของแต่ละภาคส่วน ย่อมช่วยในการสร้างความร่วมมือเพื่อบรรลุเป้าหมายของยุทธศาสตร์ได้

1.2.4 การสร้างความมั่งคั่งทางเศรษฐกิจและสังคม (Economic and social prosperity)

สภาพแวดล้อมทางดิจิทัลสามารถช่วยเร่งการเจริญเติบโตทางเศรษฐกิจ ความก้าวหน้าของสังคม การพัฒนาค่านิยมทางสังคม การเพิ่มขีดความสามารถในการส่งมอบบริการสาธารณะ การค้าระหว่างประเทศ การพึ่งพาสภาพแวดล้อมทางดิจิทัลมากขึ้น เพื่อขับเคลื่อนความต้องการของสังคม จึงเพิ่มความต้องการความมั่นคงปลอดภัยทางไซเบอร์ด้วย อย่างไรก็ดีความมั่นคงปลอดภัยทางไซเบอร์อาจไม่ใช่เป้าหมายสุดท้าย แต่การขับเคลื่อนยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ จะต้องสอดคล้องไปในทิศทางเดียวกับเป้าหมายกว้างของภาวะเศรษฐกิจและสังคม และต้องนำไปสู่การสร้างความเชื่อมั่นและความมั่นใจให้กับทุกภาคส่วน รวมถึงการป้องกันประเทศจากภัยคุกคามทางไซเบอร์

1.2.5 สิทธิมนุษยชนขั้นพื้นฐาน (Fundamental human rights)

การพัฒนายุทธศาสตร์ต้องคำนึงถึงสิทธิซึ่งประชาชนมีอยู่ในภาวะออฟไลน์จะต้องได้รับการคุ้มครองในภาวะออนไลน์ด้วย สิทธิมนุษยชนเป็นที่ยอมรับทั่วโลกในฐานะที่เป็นสิทธิขั้นพื้นฐาน สิทธิมนุษยชนส่วนหนึ่งรับรองโดยองค์กรสหประชาชาติภายใต้ปฏิญญาสากล ว่าด้วยสิทธิมนุษยชน (Universal declaration of human rights) และกติการะหว่างประเทศ ว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (International covenant on civil and political rights) รวมถึงกรอบความตกลงความร่วมมือระดับภูมิภาคและพหุภาคีอื่น ๆ โดยเฉพาะประเด็นในเรื่องเสรีภาพในการแสดงออก (Freedom of expression) ความเป็นส่วนตัวในการสื่อสาร (Privacy of communications) และการคุ้มครองข้อมูลส่วนบุคคล (Personal-data protection) การกำหนดยุทธศาสตร์ควรหลีกเลี่ยงอำนาจเบ็ดเสร็จ อำนาจที่ไม่เป็นธรรม หรือการสอดส่องดูแลที่ไม่เป็นไปตามกฎหมาย (Unlawful surveillance) การแทรกแซงการสื่อสาร หรือการควบคุมข้อมูลส่วนบุคคล เพื่อให้เกิดความสมดุลระหว่างความต้องการของภาครัฐและประชาชน การกำหนดยุทธศาสตร์จะต้องสร้างความมั่นใจว่าการสอดส่องดูแล การแทรกแซงการสื่อสาร การจัดเก็บข้อมูลส่วนบุคคล ต้องกระทำภายใต้กรอบกฎหมาย หรือวัตถุประสงค์ในการสืบสวนสอบสวนที่เฉพาะเจาะจงเป็นรายกรณี ภายใต้หน่วยงานของภาครัฐ ซึ่งไม่เลือกปฏิบัติ และปฏิบัติงานภายใต้หลักความถูกต้องแม่นยำและด้วยความเข้าใจ

1.2.6 การบริหารความเสี่ยงและความทนทานต่อความเสี่ยง (Risk management and resilience)

สภาพแวดล้อมทางดิจิทัลสร้างโอกาสทางเศรษฐกิจและสังคมให้กับทุกภาคส่วน ขณะเดียวกันก็สร้างความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity risk) ด้วย ยกตัวอย่างเช่น กรณีที่องค์กรใช้เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) เพื่อเร่งการพัฒนานวัตกรรม สร้างผลิตภาพการผลิตและพัฒนาขีดความสามารถในการแข่งขัน หรือ กรณีที่รัฐบาลเปิดการให้บริการสาธารณะทางออนไลน์ ปัญหาความมั่นคงปลอดภัยทางไซเบอร์อาจเกิดขึ้นได้ และอาจนำไปสู่ความเสียหายทางการเงิน ความเสียหายต่อชื่อเสียง การดำเนินธุรกิจหยุดชะงัก หยุดยั้งการสร้างนวัตกรรมได้

ความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ไม่อาจบริหารจัดการให้หมดสิ้นไปได้ เช่นเดียวกับความเสี่ยงประเภทอื่น แต่สามารถบริหารจัดการความเสี่ยงให้มีผลกระทบต่ำที่สุดได้ เพื่อจัดการกับความท้าทายนี้ การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรสนับสนุนให้ทุกภาคส่วนให้ความสำคัญกับการลงทุนเพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ และการบริหารความเสี่ยงเชิงรุก การรักษาสมดุลระหว่างการป้องกันและบริหารจัดการ ความเสี่ยง และการแสวงหาผลประโยชน์จากพลวัตของสภาพแวดล้อมทางดิจิทัล

นอกจากนี้ การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรเข้าใจถึงความจำเป็นของการบริหารจัดการความเสี่ยงอย่างต่อเนื่อง การสร้างบรรยากาศที่ดีสำหรับทุกภาคส่วนให้สามารถพึ่งพาซึ่งกันและกันได้ การบริหารจัดการความเสี่ยงของทุกภาคส่วนจะสร้างความทนทานให้กับระบบเศรษฐกิจ และกิจกรรมทางสังคมของประเทศชาติ รวมถึงจะต้องสนับสนุนให้มีการจัดทำแผนการบริหารธุรกิจอย่างต่อเนื่อง (Business continuity) ภายใต้การรับมือกับเหตุการณ์และการบริหารในสภาวะวิกฤต รวมถึงแผนการฟื้นฟูกิจการด้วย

1.2.7 กลไกขับเคลื่อนนโยบายที่เหมาะสม (Appropriate set of policy instruments)

รัฐบาลจะสามารถบรรลุเป้าหมายของการรักษาความมั่นคงปลอดภัยไซเบอร์ได้ หากทุกภาคส่วนที่เกี่ยวข้องมีการเปลี่ยนแปลงพฤติกรรม โดยส่วนใหญ่ แต่ละรัฐบาลมักจะมีกลไกหรือเครื่องมือในการขับเคลื่อนนโยบายแตกต่างกันไป ไม่ว่าจะเป็นกฎหมาย กฎระเบียบ มาตรฐาน มาตรการจูงใจ การแลกเปลี่ยนข้อมูล การให้การศึกษา การเผยแพร่กรณีศึกษาที่ดี การกำหนดบรรทัดฐานของพฤติกรรมที่เหมาะสม การสร้างสังคมของความน่าเชื่อถือ เครื่องมือขับเคลื่อนนโยบายต่าง ๆ เหล่านี้ ล้วนมีจุดแข็ง-จุดอ่อนแตกต่างกันไป การกำหนดยุทธศาสตร์ที่เหมาะสมที่สุดควรคำนึงถึงเครื่องมือหรือกลไกการขับเคลื่อนนโยบายที่เหมาะสม

1.2.8 บทบาทความเป็นผู้นำที่เด่นชัด การมอบหมายหน้าที่ความรับผิดชอบที่ชัดเจน และการจัดสรรทรัพยากรที่ชัดเจน (Clear leadership, roles, and resource allocation)

การรักษาความมั่นคงปลอดภัยไซเบอร์ ควรได้รับการส่งเสริมจากผู้บริหารสูงสุดของรัฐบาล เพื่อกำหนดภาระรับผิดชอบ (Accountability) อย่างชัดเจน ควรระบุศูนย์กลางของสายงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้ชัดเจน และทุกภาคส่วน ที่เกี่ยวข้องควรมีความเข้าใจในบทบาทความรับผิดชอบที่เกี่ยวข้องของแต่ละภาคส่วน การกำหนดยุทธศาสตร์ควรจัดสรรบุคลากร งบประมาณ และอุปกรณ์ที่จำเป็น ทั้งนี้ ลักษณะหรือคุณสมบัติที่สำคัญในเรื่องนี้มีความจำเป็นต่อกระบวนการพัฒนายุทธศาตร์ และการกำหนดแผนปฏิบัติงานภายใต้ยุทธศาสตร์ด้วย

1.2.9 สภาพแวดล้อมของความเชื่อมั่น (Trust environment)

สิทธิของผู้ใช้งานระบบดิจิทัลควรได้รับความคุ้มครอง มีความมั่นคงปลอดภัยในข้อมูล และการใช้งานระบบ เพื่อสร้างความเชื่อมั่นต่อระบบนิเวศดิจิทัลของประเทศ เพื่อให้การใช้งานเทคโนโลยีดิจิทัล นำไปสู่การสร้างโอกาสทางสังคม เศรษฐกิจ การเมือง อย่างแท้จริง การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรสนับสนุนให้เกิดนโยบาย กระบวนการ การปฏิบัติงาน ที่ส่งผลในระดับชาติ เพื่อปกป้องคุ้มครองบริการที่มีความสำคัญยิ่งยวด โดยเฉพาะการกำกับดูแลของภาครัฐทางอิเล็กทรอนิกส์ (e-governance) การพาณิชย์อิเล็กทรอนิกส์ (e-commerce) และการทำธุรกรรมการเงินทางดิจิทัล ซึ่งขับเคลื่อนได้โดยอาศัยความเชื่อมั่น (Trust) ทั้งจากประชาชนทั่วไป องค์กรภาครัฐ และภาคเอกชน ซึ่งให้บริการกับประชาชนผ่านการใช้งานเทคโนโลยีสารสนเทศและการสื่อสาร

1.3 แนวปฏิบัติที่ดีเกี่ยวกับปัจจัยสาคัญที่จะทำให้ประเทศบรรลุเป้าหมายของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

ตามแนวปฏิบัติที่ดี (Good-practice) ปัจจัยสำคัญที่ทำให้ประเทศสามารถบรรลุตามเป้าหมายที่กำหนดขึ้นภายใต้ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ มีประสิทธิภาพ ประกอบด้วย 9 ปัจจัยที่สำคัญ ดังนี้

1.3.1 การกำกับดูแลของภาครัฐ (Governance)

1.3.1.1 การสนับสนุนจากผู้บริหารสูงสุดในรัฐบาล (Ensure the highest level of support)
การกำหนดยุทธศาสตร์ควรได้รับการสนับสนุนและให้ความสำคัญจากผู้บริหารสูงสุดของรัฐบาล จะช่วยสร้างความมั่นใจได้ว่า จะมีการจัดสรรทรัพยากรอย่างเพียงพอ เพื่อขับเคลื่อนยุทธศาสตร์ และเป็นการส่งสัญญาณให้ระบบนิเวศทางดิจิทัลของประเทศในวงกว้างได้ทราบถึงความมุ่งมั่นของประเทศในการรักษาความมั่นคงปลอดภัยไซเบอร์

1.3.1.2 จัดตั้งหน่วยงานรับผิดชอบหลักที่มีความรู้ความเชี่ยวชาญเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Establish a competent cybersecurity authority)
ยุทธศาสตร์ควรกำหนดให้มีการจัดตั้งหน่วยงานรับผิดชอบหลักในการทำหน้าที่บริหารจัดการการขับเคลื่อนยุทธศาสตร์ กำหนดกระบวนการขับเคลื่อน กำหนดกระบวนการตัดสินใจ การแบ่งหน้าที่ความรับผิดชอบกับหน่วยงานที่เกี่ยวข้อง ซึ่งอาจสังกัดอยู่ต่างกรมต่างกระทรวงกัน การประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง การติดตามผลการปฏิบัติงาน ในการขับเคลื่อนยุทธศาสตร์ เพื่อให้มีความมั่นใจได้ว่า การขับเคลื่อนยุทธศาสตร์เป็นไปอย่างมีประสิทธิภาพ

1.3.1.3 การสร้างความร่วมมือของหน่วยงานภาครัฐ (Ensure intra-government cooperation)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างกลไกในการระบุหน่วยงานภาครัฐที่ได้รับผลกระทบ หรือหน่วยงานที่มีความรับผิดชอบเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างชัดเจน เพื่อสร้างข้อตกลง ความร่วมมือ และการประสานงานกันระหว่างหน่วยงานภาครัฐ เพื่อให้ทุกกระทรวงตระหนักรู้ถึงหน้าที่ความรับผิดชอบ ภารกิจ และงานที่ได้รับมอบหมาย โดยมีความต่อเนื่องในการขับเคลื่อนตามข้อตกลง ความร่วมมือ และการประสานงานดังกล่าว เช่น การกำหนดวาระการประชุมร่วมกันอย่างสม่ำเสมอ เพื่อติดตามการดำเนินงานตามแผนปฏิบัติงาน และการมีความสอดคล้องกันของนโยบายการต่างประเทศและนโยบายภายในประเทศในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งทุกกระทรวงควรมีท่าทีและจุดยืนเป็นไปในทิศทางเดียวกัน ไม่ขัดแย้งกัน หรือลดความน่าเชื่อถือของกันและกัน เป็นต้น

1.3.1.4 การสร้างความร่วมมือระหว่างทุกภาคส่วน (Ensure inter-sectoral cooperation)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างความร่วมมือระหว่างภาคเอกชนและผู้มีส่วนเกี่ยวข้องต่าง ๆ โดยภาครัฐควรเป็นตัวกลางในการสร้างความร่วมมือระหว่างทุกภาคส่วน เช่น การกำหนดเครือข่ายและกระบวนการติดต่อประสานสำหรับอุตสาหกรรมที่มีความสำคัญยิ่งยวด เพื่อการรับมือและฟื้นฟูบริการสาธารณะและโครงสร้างพื้นฐานที่มีความสำคัญจากการโจมตีทางไซเบอร์ เป็นต้น

1.3.1.5 การจัดสรรงบประมาณและทรัพยากรอย่างเพียงพอ (Allocate dedicated budget and resources)
ยุทธศาสตร์ควรกำหนดให้มีการจัดสรรทรัพยากรเพื่อขับเคลื่อนยุทธศาสตร์อย่างเพียงพอ สม่ำเสมอ และต่อเนื่อง จะช่วยวางรากฐานของความมั่นคงปลอดภัยไซเบอร์ โดยทรัพยากรหมายถึงบุคลากร งบประมาณ การสร้างความร่วมมือทุกภาคส่วน การแสดงเจตนารมณ์ทางการเมือง (Political commitment) และการแสดงบทบาทความเป็นผู้นำ (Leadership)

1.3.1.6 การพัฒนาแผนปฏิบัติงาน (Develop an implementation plan)
ยุทธศาสตร์ควรกำหนดให้มีแผนปฏิบัติงานที่ให้รายละเอียดเกี่ยวกับวิธีการบรรลุตามเป้าหมายของยุทธศาสตร์ หน่วยงานที่รับผิดชอบ ทรัพยากรที่จำเป็นในการขับเคลื่อน กรอบระยะเวลาในการขับเคลื่อน (ระยะสั้น กลาง และยาว) ขั้นตอนกระบวนการที่จะขับเคลื่อน และผลลัพธ์ที่คาดว่าจะเกิดขึ้น

1.3.2 การบริหารความเสี่ยง (Risk management)

1.3.2.1 กำหนดวิธีการบริหารจัดการความเสี่ยง (Define a risk-management approach)
ยุทธศาสตร์ควรกำหนดให้มีวิธีการบริหารจัดการความเสี่ยงเพื่อเป็นแนวทางให้กับหน่วยงานภาครัฐ และหน่วยงานผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญยิ่งยวด โดยระบุถึงทรัพย์สินและบริการที่สำคัญต่อเศรษฐกิจและสังคม ภัยคุกคามทางไซเบอร์ ปัจจัยความเสี่ยงและผลกระทบที่คาดว่าจะเกิดขึ้น การจัดลำดับความสำคัญตามความน่าจะเป็นของการเกิดเหตุการณ์ เพื่อให้รัฐบาลสามารถติดตามดูแลความเสี่ยงและบริหารจัดการได้อย่างทันการณ์

1.3.2.2 ระบุระเบียบวิธีการบริหารจัดการความเสี่ยงต่อความมั่นคงปลอดภัยไซเบอร์ (Identify a common methodology for managing cybersecurity risk)
ยุทธศาสตร์ควรกำหนดให้มีการระบุระเบียบวิธีการบริหารจัดการความเสี่ยงที่ได้มาตรฐานสากล (International standards) เพื่อเป็นแนวทางในการมอบหมายหน้าที่ความรับผิดชอบให้หน่วยงานที่เกี่ยวข้อง ปฏิบัติตามขั้นตอนกระบวนการบริหารจัดการความเสี่ยง เช่น การประเมินภัยคุกคาม การประเมินมูลค่าทรัพย์สินที่คาดว่าจะได้รับผลกระทบ การกำหนดมาตรการลดความเสี่ยง มาตรการรองรับผลกระทบจากความเสี่ยง โครงการรับรองหน่วยงานที่มีการบริหารจัดการความเสี่ยงที่ได้มาตรฐาน เป็นต้น นอกจากนี้ การออกแบบและพัฒนาโครงสร้างพื้นฐานและบริการสาธารณะ โดยคำนึงถึงการบริหารจัดการความเสี่ยง จะช่วยลดความเสี่ยง และสร้างความมั่นคงให้กับโครงสร้างพื้นฐานและบริการสาธารณะ

1.3.2.3 การพัฒนาบัญชีความเสี่ยงของแต่ละภาคส่วนเศรษฐกิจ (Develop sectoral cybersecurity risk profiles)
ยุทธศาสตร์ควรกำหนดให้มีการจัดทำบัญชีความเสี่ยง (Risk profile) สำหรับความมั่นคงปลอดภัยไซเบอร์ เพื่อใข้ในการวิเคราะห์และประเมินประเภทของภัยคุกคาม ทำให้สามารถเข้าใจมูลค่าความเสี่ยงและผลกระทบของความเสี่ยงเป็นตัวเลข ควรมีการจัดทำบัญชีความเสี่ยงในภาคส่วนเศรษฐกิจที่มีความสำคัญยิ่งยวดต่อเศรษฐกิจและสังคม บัญชีความเสี่ยงจะช่วยให้สามารถบริหารจัดการความเสี่ยงอย่างเฉพาะเจาะจงเป็นรายกรณีได้มากยิ่งขึ้น

1.3.2.4 การกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Establishing cybersecurity policies)
ยุทธศาสตร์ควรกำหนดให้มีนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้หน่วยงานที่สำคัญยิ่งยวดของประเทศ ได้แก่ หน่วยงานภาครัฐ และหน่วยงานผู้ให้บริการโครงสร้างพื้นฐาน ปฏิบัติตามข้อกำหนดหลักเกณฑ์ของนโยบาย มาตรฐานขั้นต่ำ และความปลอดภัยขั้นพื้นฐาน (Security baselines) ตามบทบาทหน้าที่ความรับผิดชอบของแต่ละหน่วยงาน เช่น ความมั่นคงปลอดภัยไซเบอร์บนระบบการจัดซื้อจัดจ้างภาครัฐทางอิเล็กทรอนิกส์ เป็นต้น

1.3.3 การเตรียมความพร้อมและความทนทาน (Preparedness and resilience)

1.3.3.1 การพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ (Establish cyber-incident response capabilities)
ยุทธศาสตร์ควรกำหนดให้มีการพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ โดยการจัดตั้งทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) ทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response teams: CSIRTs) หรือทีมรับมือกับสถานการณ์ที่เกี่ยวกับคอมพิวเตอร์ (Computer incident response teams: CIRTs) ระดับประเทศ ซึ่งจะมีบทบาทสำคัญในการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในเชิงตั้งรับ (การรับมือและการฟื้นฟู) และเชิงรุก (การปูองกัน) รวมถึงการเพิ่มขีดความสามารถในการรับมือผ่านกลไกความร่วมมือและการสื่อสารระหว่างภาคส่วนเศรษฐกิจต่าง ๆ กับทีมรับมือกับสถานการณ์ของประเทศ และองค์กรระหว่างประเทศที่เกี่ยวข้อง

1.3.3.2 การพัฒนาและจัดทำแผนรองรับสถานการณ์ฉุกเฉินสำหรับการจัดการภาวะวิกฤตด้านความมั่นคงปลอดภัยไซเบอร์ (Establish contingency plans for cybersecurity crisis management)
ยุทธศาสตร์ควรกำหนดให้มีการพัฒนาและจัดทำแผนรองรับสถานการณ์ฉุกเฉิน (Contingency plans) ระดับประเทศ เพื่อรองรับการจัดการในสถานการณ์ฉุกเฉินหรือภาวะวิกฤตของประเทศ โดยเฉพาะแผนรองรับของระบบโครงสร้างพื้นฐานที่สำคัญยิ่งยวด ทั้งนี้ ควรคำนึงถึงผลการประเมินความเสี่ยงระดับประเทศและระดับภาคส่วนเศรษฐกิจต่าง ๆ ซึ่งสามารถส่งผลกระทบเชื่อมโยงมายังโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศได้

1.3.3.3 การสนับสนุนการแลกเปลี่ยนข้อมูล (Promote information-sharing)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างกลไกการแลกเปลี่ยนข้อมูล โดยสามารถแลกเปลี่ยนข่าวกรอง และข้อมูลภัยคุกคามไซเบอร์ทั้งต่อภาคสาธารณะและภาคเอกชน การแลกเปลี่ยนข้อมูลจะช่วยให้เกิดความร่วมมือ ความแม่นยำของการสื่อสารในช่วงของการรับมือเหตุการณ์และการฟื้นฟูหลังเหตุการณ์ โดยอาจกำหนดหน่วยงานรับผิดชอบหลักในการจัดส่งและแลกเปลี่ยนข้อมูลและองค์ความรู้ที่ถูกต้อง แม่นยำ และอย่างมีประสิทธิภาพ เพื่อให้มั่นใจได้ว่า ทุกภาคส่วนสามารถเตรียมพร้อมรับมือภัยคุกคามไซเบอร์ได้อย่างทันการณ์

1.3.3.4 การฝึกซ้อมแผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ (Conduct cybersecurity exercises)
ยุทธศาสตร์ควรกำหนดให้มีการฝึกซ้อมแผนรับมือกับเหตุการณ์ ซึ่งอาจมีหลายรูปแบบ เช่น การจำลองเหตุการณ์ หรือการฝึกซ้อมเหมือนจริง โดยมุ่งเน้นกลุ่มเป้าหมายเจ้าหน้าที่ทางเทคนิคและผู้มีอำนาจตัดสินใจ การฝึกซ้อมแผนรับมือและแผนรองรับสถานการณ์ฉุกเฉินจะช่วยให้ประเทศสามารถพัฒนาขีดความสามารถในเชิงสถาบัน เพื่อให้การรับมือต่อเหตุการณ์เป็นไปอย่างมีประสิทธิภาพ เป็นการทดสอบกระบวนการบริหารจัดการ และกลไก การติดต่อสื่อสาร รวมถึงพัฒนาขีดความสามารถให้ทีมรับมือสามารถบริหารจัดการในสภาวะกดดันได้ ทั้งนี้ ควรมีการฝึกซ้อมแผนรับมือร่วมกับองค์กรระหว่างประเทศเพื่อสร้างความเชื่อมั่นและความมั่นใจ และยังเป็นการพัฒนาความทนทานและความพร้อมรับมือต่อภัยคุกคามไซเบอร์ของระดับภูมิภาคด้วย

1.3.4 ระบบบริการโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical Infrastructure services and essential services)

1.3.4.1 การกำหนดวิธีการบริหารจัดการความเสี่ยงเพื่อปกป้องบริการสาธารณะและโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศ (Establish a risk-management approach to protecting critical infrastructures and services) รวมถึงโครงสร้างพื้นฐานข้อมูลที่สำคัญยิ่งยวด (Critical information infrastructures: CIIs)

1.3.4.2 การพัฒนารูปแบบการกำกับดูแลของภาครัฐและภาระความรับผิดชอบ (Adopt a governance model with clear responsibilities) ของหน่วยงานภาครัฐและผู้มีส่วนเกี่ยวข้องในการปกป้องคุ้มครองโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical infrastructures: CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs)

1.3.4.3 การกำหนดความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำหรือเป้าหมายกรณีฐานของความมั่นคงปลอดภัยไซเบอร์ (Define minimum cybersecurity baselines) สำหรับผู้ให้บริการและผู้ปฏิบัติงานในโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs) โดยควรเป็นไปตามมาตรฐานสากล หรือกรณีแนวปฏิบัติที่ดีของต่างประเทศ

1.3.4.4 การสร้างแรงจูงใจในทุกภาคส่วน (Utilise a wide range of market levers)
ยุทธศาสตร์นี้ รัฐบาลควรพิจารณากำหนดนโยบายที่มั่นใจได้ว่า ทุกภาคส่วนมีแรงจูงใจเพียงพอที่จะร่วมกันรักษาความมั่นคงปลอดภัยไซเบอร์ตามภาระหน้าที่ซึ่งตนรับผิดชอบ การประเมินช่องว่างระหว่างสิ่งที่แต่ละภาคส่วนสามารถกระทำได้กับสิ่งที่แต่ละภาคส่วนควรกระทำ ท่ามกลางสภาพแวดล้อมของความเสี่ยง จำเป็นต้องมีการประเมินสภาวะของแรงจูงใจต่าง ๆ ทั้งส่วนที่เพิ่มแรงจูงใจและลดแรงจูงใจ เพื่อให้ภาครัฐสามารถสนับสนุนให้เกิดการปฏิบัติตามสิ่งที่ควรกระทำ นั่นคือ มาตรฐานสากล และแนวปฏิบัติที่ดีของการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs)

1.3.4.5 การสนับสนุนการร่วมลงทุนระหว่างภาครัฐและภาคเอกชน (Establish public-private partnerships)
เพื่อสร้างความมั่นคงปลอดภัยไซเบอร์ให้กับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical infrastructures: CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs) ภาครัฐและภาคเอกชนควรมีโครงการร่วมลงทุน เพื่อสร้างความมั่นใจให้กับอุตสาหกรรม โดยผู้มีส่วนเกี่ยวข้องต้องมีความเข้าใจในเป้าหมายของการเป็นหุ้นส่วนที่เป็นไปเพื่อสร้างผลประโยชน์ด้านความมั่นคงปลอดภัยจากการทำงานร่วมกัน

1.3.5 ขีดความสามารถ การพัฒนาขีดความสามารถ และการสร้างความตระหนักรู้ (Capability and capacity building and awareness raising)

1.3.5.1 พัฒนาหลักสูตรการศึกษาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Develop cybersecurity curricula) เพื่อเร่งการพัฒนาทักษะและความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ผ่านระบบการศึกษา ตั้งแต่ระดับชั้นประถมศึกษา มัธยมศึกษา ไปจนถึงระดับอุดมศึกษา โดยบูรณาการหลักสูตรการรักษาความมั่นคงปลอดภัยไซเบอร์เข้ากับหลักสูตรที่เกี่ยวข้องกับวิทยาศาสตร์คอมพิวเตอร์ และเทคโนโลยีสารสนเทศ การสร้างคุณวุฒิปริญญาบัณฑิตด้านความมั่นคงปลอดภัยไซเบอร์ และการฝึกงานภาคปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์

1.3.5.2 ส่งเสริมการพัฒนาทักษะและฝึกอบรมการทำงานด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ (Stimulate skills development and workforce training) สำหรับตำแหน่งผู้บริหาร ผู้เชี่ยวชาญ การฝึกอบรมเพื่อการปฏิบัติงาน และนักศึกษาฝึกงาน ให้สอดคล้องตามความต้องการของอุตสาหกรรมและรัฐบาล ยุทธศาสตร์นี้ควรเร่งริเริ่มเพื่อพัฒนาเส้นทางความก้าวหน้าในสายอาชีพ และเพิ่มอุปทานด้านผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยควรสร้างความร่วมมือกับสถาบันการศึกษา ภาคเอกชน และภาคประชาสังคม

1.3.5.3 กำหนดโครงการเพิ่มความตระหนักรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Implement a coordinated cybersecurity awareness-raising programme) โดยมอบหมายหน่วยงานรับผิดชอบที่มีความเหมาะสม ผ่านโครงการรณรงค์ และกิจกรรม เพื่อเพิ่มความตระหนักรู้ในระดับประเทศ โดยเจาะจงกลุ่มเป้าหมาย เช่น ประชาชนทั่วไป เยาวชน ผู้บริโภค เป็นต้น

1.3.5.4 เร่งการพัฒนานวัตกรรม การวิจัยและพัฒนาด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Foster cybersecurity innovation and R&D) ทั้งองค์กร หน่วยงานวิจัยและพัฒนาภายในประเทศ และสร้างความร่วมมือหรือเป็นหุ้นส่วนกับองค์กรหรือ หน่วยงานวิจัยและพัฒนาในต่างประเทศ โดยกำหนดมาตรการแรงจูงใจ เช่น เงินสนับสนุน เครดิตภาษี เป็นต้น และสร้างบรรยากาศในการแข่งขัน ทั้งนี้ สาขาของการพัฒนานวัตกรรม การวิจัยและพัฒนา อาจมุ่งเน้นสาขาวิทยาศาสตร์ เช่น วิทยาการคอมพิวเตอร์ วิศวกรรมไฟฟ้า คณิตศาสตร์ประยุกต์ วิทยาการเข้ารหัสลับ (Cryptography) เป็นต้น แต่อาจมุ่งเน้นสาขาที่ไม่ใช่ทางเทคนิคด้วย เช่น สังคมศาสตร์ รัฐศาสตร์ บริหารศาสตร์ เป็นต้น

1.3.6 กฎหมายและระเบียบกฎเกณฑ์ (Legislation and regulation)

1.3.6.1 การบัญญัติกฎหมายว่าด้วยการป้องกันอาชญกรรมทางไซเบอร์ (Establish cybercrime legislation) โดยอาจเป็นการปรับปรุงแก้ไขกฎหมายที่มีอยู่แล้วในปัจจุบัน ให้มีบทลงโทษเกี่ยวกับการกระทำความผิดทางไซเบอร์

1.3.6.2 ให้ความสำคัญกับการคุ้มครองสิทธิของประชาชน ข้อมูลส่วนบุคคล และเสรีภาพในการแสดงออกของประชาชน (Recognise and safeguard individual rights and liberties) ตามหลักการของสิทธิมนุษยชนขั้นพื้นฐาน

1.3.6.3 สร้างกลไกในการปฏิบัติตาม (Create compliance mechanisms) เช่น การบังคับใช้กฎหมาย และมาตรการจูงใจ เป็นต้น รวมถึงการสืบสวนสอบสวนคดีไซเบอร์ การสกัดกั้นการสื่อสาร (Interception of communications) และการใช้หลักฐานทางดิจิทัล

1.3.6.4 สนับสนุนการเพิ่มขีดความสามารถในการบังคับใช้กฎหมาย (Promote capacity-building for law enforcement) ผ่านการจัดฝึกอบรม การสร้างความรู้ความเข้าใจ ให้แก่บุคลากรภาครัฐที่เกี่ยวข้อง เช่น ตุลาการ อัยการ ทนายความ ตำรวจผู้บังคับใช้กฎหมาย พนักงานสืบสวน ผู้เชี่ยวชาญด้านกฎหมาย เป็นต้น เพื่อให้สามารถปฏิบัติงานร่วมกับหน่วยงานที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ เช่น องค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และหน่วยงานตำรวจของสหภาพยุโรป (Europol) เป็นต้น

1.3.6.5 สร้างกระบวนการความร่วมมือระหว่างหน่วยงานภายในประเทศ (Establish inter-organisational processes) โดยมีหน่วยงานหลักที่บูรณาการอำนาจหน้าที่ความรับผิดชอบของแต่ละหน่วยงานให้ปฏิบัติตามกฎหมายว่าด้วยการป้องกันอาชญากรรมทางไซเบอร์ และปกป้องโครงสร้างพื้นฐานที่สำคัญยิ่งยวด และอาจตั้งหน่วยงานที่เกี่ยวข้องโดยตรง เช่น ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) เป็นต้น

1.3.6.6 สนับสนุนการเข้าร่วมความตกลงและร่วมมือระหว่างประเทศในการต่อต้านอาชญากรรมทางไซเบอร์ (Support international cooperation to combat cybercrime) โดยกฎหมายในประเทศควรเปิดโอกาสในการจัดทำความตกลงและความร่วมมือระหว่างประเทศ

1.3.7 ความร่วมมือระหว่างประเทศ (International cooperation)

1.3.7.1 จัดลำดับให้การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นสำคัญในการกำหนดนโยบายการต่างประเทศ (Recognise the importance of cybersecurity as a priority of foreign policy)

1.3.7.2 มีส่วนร่วมกับการประชุมระหว่างประเทศที่สำคัญ ทั้งระดับโลกและภูมิภาค ในประเด็นไซเบอร์ (Engage in international discussions)

1.3.7.3 ส่งเสริมการสร้างความร่วมมือระหว่างประเทศในด้านต่าง ๆ เช่น การพัฒากฎหมาย การบังคับใช้กฎหมาย การแลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์ เป็นต้น ทั้งในรูปแบบที่เป็นทางการและไม่เป็นทางการ ที่เกี่ยวข้องกับโลกของไซเบอร์สเปซ (Promote formal and informal cooperation in cyberspace)

1.3.7.4 พัฒนายุทธศาสตร์ของประเทศให้สอดคล้องตามแนวปฏิบัติที่ดีและแนวปฏิบัติสากลต่าง ๆ ที่เริ่มขับเคลื่อนแล้ว ทั้งในระดับภูมิภาคและทั่วโลก (Align domestic and international cybersecurity efforts)

2. กรอบแนวคิดของหน่วยงานด้านความมั่นคงปลอดภัยของเครือข่ายและข้อมูลของสหภาพยุโรป (European union agency for network and information security agency: ENISA)

หน่วยงานด้านความมั่นคงปลอดภัยของเครือข่ายและข้อมูลของสหภาพยุโรป (ENISA) ได้จัดทำคู่มือแนวปฏิบัติที่ดีในการกำหนดยุทธศาสตร์ความมั่งคงปลอดภัยไซเบอร์ระดับประเทศ (National Cybersecurity Strategy: NCSS) ในปี 2559 ซึ่งปรับปรุงจากคู่มือแนวปฏิบัติที่ดีฉบับปี 2555 เพื่อเป็นแนวทางให้กับประเทศสมาชิกของกลุ่มสหภาพยุโรปในการกำหนดยุทธศาสตร์ และการขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ประกอบด้วย 1) วัฎจักรของยุทธศาสตร์ 2) หลักการในการออกแบบและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 6 หลักการ และ 3) เป้าหมายที่สำคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 15 ประการ โดยมีสาระสำคัญสรุปได้ ดังนี้

2.1 วัฎจักรของยุทธศาสตร์

ENISA ได้พัฒนาวัฏจักรของยุทธศาสตร์เพื่อให้มีการตรวจสอบและทบทวนยุทธศาสตร์และนโยบายที่เกี่ยวข้องอย่างต่อเนื่อง โดยกำหนดให้วัฏจักรของยุทธศาสตร์ประกอบด้วย 4 ระยะ ดังนี้

2.1.1 ระยะที่ 1 พัฒนายุทธศาสตร์ โดยมีการปรับปรุงยุทธศาสตร์ให้สอดคล้องกับสภาพและสถานการณ์ปัจจุบัน
2.1.2 ระยะที่ 2 ขับเคลื่อนยุทธศาสตร์ไปสู่การปฏิบัติ โดยมีการปรับแผนปฏิบัติงานให้สอดคล้องกับสภาพและสถานการณ์ปัจจุบัน
2.1.3 ระยะที่ 3 ประเมินผลการปฏิบัติตามยุทธศาสตร์ โดยมีการทบทวนยุทธศาสตร์เป็นระยะ
2.1.4 ระยะที่ 4 การรักษาไว้ซึ่งยุทธศาสตร์ โดยมีการพัฒนายุทธศาสตร์

2.2 หลักการในการออกแบบและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

ยุทธศาสตร์หมายถึงแผนในการปฏิบัติเพื่อให้บรรลุเป้าหมายในระยะยาวหรือเป้าหมายในภาพรวม การออกแบบและพัฒนายุทธศาสตร์จะต้องคำนึงถึงหลักการที่สำคัญ 6 ประการ ดังต่อไปนี้

2.2.1 การกำหนดวิสัยทัศน์ ขอบเขตของภาคธุรกิจและบริการที่สำคัญ เป้าประสงค์ และจัดลำดับความสำคัญของเป้าหมายและผลกระทบต่อสังคม เศรษฐกิจ และประชาชน (Set the vision, scope, objectives and priorities)

2.2.2 ความสอดคล้องกับผลการประเมินความเสี่ยงของประเทศ (Follow a risk assessment approach) โดยมีขั้นตอนสำคัญ 3 ขั้นตอน ได้แก่ การระบุถึงความเสี่ยง (Risk identification) การวิเคราะห์ความเสี่ยง (Risk analysis) และการประเมินระดับความรุนแรงของความเสี่ยง (Risk evaluation)

2.2.3 การสำรวจนโยบาย กฎหมาย และขีดความสามารถที่มีอยู่ในปัจจุบัน (Take stock of existing policies, regulations and capabilities) เพื่อพัฒนาให้ครอบคลุมถึงประเด็นการรักษาความมั่นคงปลอดภัยไซเบอร์

2.2.4 การกำหนดโครงสร้างการกำกับดูแลหน่วยงานภาครัฐที่ชัดเจน (Set a clear governance structure) โดยกำหนดหน่วยงานรับผิดชอบ บทบาทหน้าที่ ความรับผิดชอบ รวมถึงคณะกรรมการที่ทำหน้าที่สร้างความร่วมมือและประสานงานระหว่างหน่วยงานภาครัฐ การร่วมมือระหว่างภาครัฐและภาคเอกชน (Public Private Partnership: PPP)

2.2.5 การระบุถึงและการมีส่วนร่วมจากผู้มีส่วนเกี่ยวข้อง (Identify and engage stakeholders) เพื่อสร้างความร่วมมือระหว่างหน่วยงานภาครัฐและภาคเอกชน โดยหน่วยงานภาครัฐต้องปฏิบัติตามนโยบาย กฎระเบียบ และอำนาจหน้าที่ ส่วนภาคเอกชนเป็นเจ้าของบริการและโครงสร้างพื้นฐานที่สำคัญของประเทศโดยส่วนใหญ่

2.2.6 การสร้างกลไกการแลกเปลี่ยนข้อมูลที่เชื่อถือได้ (Establish trusted information-sharing mechanisms) รวมถึงข้อมูลข่าวกรองที่สำคัญและข้อมูลจากทีมสืบสวนสอบสวนอาชญากรรมทางไซเบอร์ เพื่อช่วยให้เข้าใจถึงสภาพแวดล้อมไซเบอร์ที่เปลี่ยนแปลงไป และสามารถลดความเสี่ยงและความเปราะบางที่มีอยู่ได้

2.3 เป้าหมายที่สาคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

2.3.1 การพัฒนาแผนรองรับสถานการณ์ฉุกเฉินด้านไซเบอร์ของประเทศ (Develop national cyber contingency plans) เพื่อใช้ในการรับมือและฟื้นฟูโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวดของประเทศ ซึ่งควรสอดคล้องกับแผนรองรับสถานการณ์ฉุกเฉินในภาพรวมของประเทศด้วย โดยกำหนดหลักเกณฑ์ในการบังคับใช้แผน แนวทางการปฏิบัติเพื่อรับมือ และกำหนดบทบาทหน่วยงานที่มีส่วนเกี่ยวข้องอย่างชัดเจน

2.3.2 การคุ้มครองโครงสร้างพื้นฐานข้อมูลที่สำคัญยิ่งยวด (Protect critical information infrastructure) โดยระบุถึงประเภทของโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด และกำหนดมาตรการลดความเสี่ยง

2.3.3 การจัดการฝึกซ้อมแผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ (Organise Cybersecurity exercises) โดยระบุถึงกระบวนการขั้นตอนและขีดความสามารถที่ต้องได้รับการทดสอบก่อนเกิดเหตุการณ์ และจัดตั้งทีมรับมือที่กำหนดอำนาจหน้าที่ความรับผิดชอบไว้อย่างชัดเจน

2.3.4 การกำหนดหลักเกณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ขั้นพื้นฐาน (Establish baseline security measures) หรือหลักเกณฑ์ระดับความปลอดภัยขั้นต่ำที่ทุกภาคส่วนต้องปฏิบัติตาม เพื่อให้หน่วยงานที่เกี่ยวข้องสามารถตรวจสอบและบ่งชี้ถึง ขีดความสามารถของตนเองได้ และทำให้สามารถจัดลำดับความสำคัญของการลงทุนด้านความมั่นคงปลอดภัยไซเบอร์ได้

2.3.5 การสร้างกลไกการรายงานเหตุการณ์ (Establish incident reporting mechanisms) เพื่อสร้างความเข้าใจต่อภาพรวมสถานการณ์ภัยคุกคามไซเบอร์ ช่วยให้สามารถประเมินผลกระทบได้ ได้ทราบถึงความเปราะบางและรูปแบบของการโจมตีทางไซเบอร์ ทำให้สามารถปรับปรุงแผนการรับมือให้เป็นปัจจุบันได้

2.3.6 การสร้างความตระหนักรู้ให้กับประชาชน เยาวชน และผู้บริโภค (Raise user awareness) โดยระบุถึงช่องว่างของความรู้ความเข้าใจหรือความตระหนักรู้จากปัญหาจากการใช้งานระบบอินเทอร์เน็ต และเติมเต็มช่องว่างนั้นด้วยการให้ความรู้และการสร้างความตระหนักรู้ ผ่านการรณรงค์ การจัดกิจกรรม การจัดการประชุม และปรับปรุงเว็บไซต์ของหน่วยงานภาครัฐ ให้ครอบคลุมเนื้อหาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น การอภิปราย การบรรยาย และการสัมมนาผ่านเว็บไซต์ เป็นต้น

2.3.7 การจัดทำโครงการฝึกอบรมและหลักสูตรการศึกษา (Strengthen training and educational programmes) ซึ่งเป็นส่วนหนึ่งของสาขาวิทยาการคอมพิวเตอร์ โดยปรับปรุงเนื้อหาให้ทันต่อสถานการณ์อย่างต่อเนื่อง เพิ่มขีดความสามารถให้กำลังแรงงานการรักษาความมั่นคงปลอดภัยทางข้อมูล ส่งเสริมให้นักศึกษาเข้าร่วมในสาขาวิชาว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ สนับสนุนให้เกิดความเชื่อมโยงกันระหว่างการรักษาความปลอดภัยทางข้อมูล ในแวดวงวิชาการ และอุตสาหกรรมความมั่นคงปลอดภัยในการรักษาความมั่นคงปลอดภัยทางข้อมูล

2.3.8 การเพิ่มขีดความสามารถในการรับมือกับเหตุการณ์ (Establish an incident response capability) โดยจัดตั้งทีมสำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ (CSIRT) ของประเทศ ซึ่งจะมีบทบาทสำคัญในการประสานความร่วมมือกับผู้มีส่วนเกี่ยวข้อง รวมถึงการร่วมมือกับทีม CSIRT ของประเทศอื่น

2.3.9 การแก้ไขปัญหาอาชญากรรมไซเบอร์ (Address cyber crime) โดยอาศัยความร่วมมือของทุกภาคส่วนและสังคม การบัญญัติกฎหมาย และการเพิ่มประสิทธิภาพของหน่วยงานด้านการบังคับใช้กฎหมาย

2.3.10 การสร้างความร่วมมือกับองค์กรระหว่างประเทศ (Engage in international cooperation) เพื่อสร้างองค์ความรู้พื้นฐานร่วมกัน และช่วยส่งเสริมผลประโยชน์ร่วมกันในการรับมือกับภัยคุกคามไซเบอร์และอาชญากรรมทางไซเบอร์ โดยระบุประเทศพันธมิตรและแง่มิติที่ต้องการสร้างความร่วมมือ และกำหนดหน่วยงานภายในประเทศให้มีหน้าที่ความรับผิดชอบในการสร้างความร่วมมือระหว่างประเทศ

2.3.11 การสร้างการร่วมมือระหว่างภาครัฐและเอกชน (Establish a public-private partnership) ซึ่งมักจะเป็นผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญของประเทศ โดยการประสานงานและร่วมมือระหว่างภาครัฐและเอกชนช่วยทำให้รัฐบาลเข้าใจถึงความต้องการของภาคเอกชน และความท้าทายที่ภาคเอกชนต้องเผชิญ การรร่วมมือระหว่างภาครัฐและเอกชน จะช่วยให้เกิดการรวมกลุ่มของผู้เชี่ยวชาญและทรัยากรที่จำเป็นในการแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์และการสร้างความทนทานต่อภัยคุกคามทางไซเบอร์

2.3.12 การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและความเป็นส่วนตัว (Balance security with privacy) โดยพิจารณาหลักเกณฑ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ควบคู่กับการบัญญัติกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ปรึกษาหารือกับหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลในประเด็นข้อกฎหมาย การปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลควรเป็นไปตามมาตรฐานขั้นต่ำด้านความมั่นคงปลอดภัยไซเบอร์

2.3.13 การสร้างความร่วมมือระหว่างหน่วยงานภาครัฐ (Institutionalise cooperation between public agencies) เช่น คณะกรรมการที่ปรึกษา คณะกรรมการกำกับดูแล สภา ศูนย์ปฏิบัติการ การประชุมกลุ่มผู้เชี่ยวชาญ เป็นต้น เพื่อให้เกิดการแลกเปลี่ยนข้อมูล การปรึกษาหารือ และการร่วมมือกัน จะช่วยให้การขับเคลื่อนยุทธศาสตร์ประสบผลสำเร็จได้

2.3.14 การเร่งการศึกษาวิจัยและพัฒนา (Foster R&D) เครื่องมือในการตรวจสอบ และป้องกันการโจมตีทางไซเบอร์รูปแบบใหม่ ๆ รวมถึงการระบุถึงสาเหตุของความเปราะบางต่อการโจมตีทางไซเบอร์

2.3.15 การสร้างแรงจูงใจให้ภาคเอกชนในการลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Provide incentives for the private sector to invest in security measures) วิธีที่ง่ายที่สุดในการกระตุ้นให้ภาคเอกชนลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ คือ การใช้บังคับตามกฎหมาย อย่างไรก็ดี รัฐบาลมักจะใช้วิธีการสร้างแรงจูงใจให้ภาคเอกชนมากกว่า เช่น สิทธิประโยชน์ทางภาษี การให้เงินช่วยเหลือ และการสนับสนุนเงินทุนวิจัยและพัฒนา เป็นต้น

3. กรอบโครงสร้างความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ของสถาบันมาตรฐานและเทคโนโลยี (National institute of standards and technology: NIST) ประเทศสหรัฐอเมริกา

กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ของสถาบันมาตรฐานและเทคโนโลยี (NIST) เป็นหนึ่งในกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งเป็นที่นิยมใช้อย่างมากในปัจจุบัน ไม่เพียงแค่องค์กรในประเทศสหรัฐอเมริกาเท่านั้น framework ดังกล่าวยังเป็นที่แพร่หลายไปยังทุกภูมิภาคทั่วโลก รวมไปถึงประเทศไทย หลายองค์กรเริ่มนำ Framework นี้ประยุกต์ใช้เพื่อรับมือกับภัยคุกคามไซเบอร์ Framework นี้รวบรวมเอาแนวปฏิบัติที่ดีที่สุดอันหลากหลายเข้าไว้ด้วยกัน เพื่อช่วยให้ธุรกิจองค์กรสามารถกำหนดแนวทางบังคับใช้งาน และปรับปรุงแนวทางการรักษาความมั่นคงปลอดภัย รวมถึงมีภาษากลางสำหรับใช้ในการสื่อสารประเด็นปัญหาต่าง ๆ ที่เกิดขึ้นระหว่างผู้ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ

Framework นี้นำเสนอหลักการและแนวทางปฏิบัติที่ดีที่สุดของการบริหารจัดการความเสี่ยง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ รวมไปถึงช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ ในขณะที่ธุรกิจยังคงดำเนินต่อไปได้อย่างเนื่อง โดยหัวใจสำคัญของ Framework แบ่งออกเป็น 5 ขั้นตอนที่สำคัญ ได้แก่ Identity Protect Detect Respond และ Recovery โดยสรุปได้ ดังนี้

3.1 Identify – การระบุและเข้าใจถึงบริบทต่าง ๆ เพื่อการบริหารจัดการความเสี่ยง
3.2 Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร
3.3 Detect – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ
3.4 Respond – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น
3.5 Recovery – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม

ทั้งนี้ แต่ละขั้นตอนหลักจะแบ่งออกเป็นขั้นตอนย่อยๆ พร้อมระบุเอกสารอ้างอิง เช่น ISO/IEC 27001:2013 , COBIT 5, NIST SP800-53 เพื่อให้ผู้อ่านนำกระบวนหรือแนวทางปฏิบัติจากเอกสารเหล่านั้นมาใช้เพื่อดำเนินการตามขั้นตอนย่อยๆ เหล่านี้ได้ทันที

ในตอนต่อไปจะกล่าวถึงเรื่องของ..การศึกษาวิจัยที่เกี่ยวกับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ติดตามกันต่อไปนะครับ

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 2

ขอขอบคุณ อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้อนุญาตให้ผมนำผลการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” มาเผยแพร่ในเว็บไซต์ www.itgthailand.com ซึ่งเกี่ยวเนื่องกับที่ผมเคยเขียนไว้ในหัวข้อ “ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ (Cyber Security Strategy and Enablers)” และผมเห็นว่าการวิจัยของอาจารย์ปริญญา หอมเอนก มีประโยชน์อย่างยิ่งยวดที่สามารถสร้างความเข้าใจในระดับกว้างและลึก ที่เกี่ยวข้องกับ Cyber Security ของชาติเป็นอย่างยิ่ง

ต่อจากนี้จะเป็นเนื้อหาต่อจากครั้งที่แล้วนะครับ

คำนำ

เอกสารวิจัย เรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ จัดทำขึ้น โดยได้แรงบันดาลใจจากประสบการณ์ทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) และ ได้สังเกตว่า กระบวนการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยที่ผ่านมา มุ่งเน้นแต่เพียง การปูองกันการโจมตีทางกายภาพต่อระบบอินเทอร์เน็ตและเครือข่าย ประกอบกับโลกยุคปัจจุบัน ที่แพลตฟอร์มต่างชาติและสื่อสังคมออนไลน์ (Social media) เข้ามามีบทบาทในการเปลี่ยนแปลงพฤติกรรมและการตัดสินใจของคนในชาติเพิ่มขึ้นเรื่อยๆ สอดคล้องกับความตื่นตัวของทั่วโลกที่เห็นว่าปัญหาดังกล่าวนำไปสู่การรุกรานทางความคิดและจิตใจของคนในชาติ หรือที่เรียกว่า ปัญหา “อธิปไตยไซเบอร์” หรือ “Cyber sovereignty ” ที่กำลังเกิดขึ้นทั่วโลก ซึ่งส่งผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National Security” ผู้วิจัยจึงเห็นว่า การศึกษาวิจัยในครั้งนี้จะช่วยให้ประเทศไทยเข้าใจปัญหาและผลกระทบของ การรุกราน “อธิปไตยไซเบอร์” มากขึ้น เพื่อให้สามารถนำกรอบแนวคิดที่ได้จากการศึกษา กรอบการจัดทำยุทธศาสตร์ในการแก้ไขปัญหา “อธิปไตยไซเบอร์” ตามแนวคิดที่เป็นที่ยอมรับในระดับสากล มาปรับปรุงยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์การรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ. 2560 – 2564 ได้ ให้มีประสิทธิภาพมากขึ้นในที่สุด

(ปริญญา หอมเอนก)
นักศึกษาวิทยาลัยปูองกันราชอาณาจักร
หลักสูตร วปอ. รุ่นที่ ๖๒ ผู้วิจัย

กิตติกรรมประกาศ

ในนามของผู้วิจัย ขอขอบคุณผู้ศึกษาขอขอบคุณคณะกรรมการและที่ปรึกษางานวิจัย ที่ได้กรุณาให้คำแนะนำและข้อคิดเห็นทางวิชาการที่เป็นประโยชน์อย่างยิ่งในการใช้เป็นกรอบแนวทาง ในการจัดทำเอกสารวิจัยส่วนบุคคลฉบับนี้ให้มีความสมบูรณ์ นอกจากนี้ผู้วิจัยขอขอบคุณ ท่านผู้ทรงคุณวุฒิ คณาจารย์วิทยาลัยปูองกันราชอาณาจักร สถาบันวิชาการปูองกันประเทศ ที่มีส่วนในการสนับสนุนสำคัญในระหว่างการจัดทำเอกสารวิชาการฉบับนี้ ผู้วิจัยขอขอบคุณวิทยาลัยปูองกันราชอาณาจักร และเจ้าหน้าที่ของวิทยาลัยทุกท่าน ที่ให้ความอนุเคราะห์เอื้อเฟื้อสถานที่ และทรัพยากรที่จำเป็นแก่การจัดทำเอกสาร รวมทั้งการให้ความช่วยเหลือในการให้คำแนะนำรูปแบบและการตรวจทานเอกสารต้นฉบับให้มีความสมบูรณ์มาก และ หวังเป็นอย่างยิ่งว่างานวิจัยฉบับนี้ จะได้รับการนำไปปฏิบัติอย่างเป็นรูปธรรมในประเทศของเรา เพื่อให้เกิดผลสำเร็จเป็นประโยชน์ ต่อประเทศชาติบ้านเมืองต่อไปในอนาคตอันใกล้นี้

(ปริญญา หอมเอนก)
นักศึกษาวิทยาลัยปูองกันราชอาณาจักร
หลักสูตร วปอ. รุ่นที่ ๖๒ ผู้วิจัย

บทที่ ๑

บทนำ

ความเป็นมาและความสาคัญของปัญหา จากประเด็นยุทธศาสตร์ชาติด้านความมั่นคงและประเด็นยุทธศาสตร์ชาติด้านการสร้างความสามารถในการแข่งขัน ในเอกสารยุทธศาสตร์ชาติ ระยะ ๒๐ ปี (พ.ศ. ๒๕๖๑ – ๒๕๘๐) ในด้านของความมั่นคง มีการกล่าวถึงเรื่อง ปัญหาภัยคุกคามไซเบอร์ อาชญากรรมไซเบอร์ที่ซับซ้อนขึ้น รูปแบบการก่อสงครามที่ใช้เทคโนโลยีเป็นเครื่องมือ เครื่องมือบนพื้นฐานของธรรมาภิบาลข้อมูล ซึ่งครอบคลุมความมั่นคงปลอดภัยไซเบอร์ ความมีจริยธรรม และการไม่ละเมิดสิทธิส่วนบุคคล การสร้างอุตสาหกรรมที่ส่งเสริมความมั่นคงปลอดภัยทางไซเบอร์ เพื่อลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่อเศรษฐกิจและสังคม และ การปกปูองอธิปไตยไซเบอร์ เพื่อรักษาผลประโยชน์ของชาติ จากการทำธุรกิจดิจิทัล แนวโน้มเหล่านี้จะก่อให้เกิดความท้าทายต่อการพัฒนาประเทศในหลายมิติ ทั้งในส่วนของการจ้างงานและอาชีพ สาขาการผลิตและบริการใหม่ ๆ

จากกระแส “Digital disruption” และ “Digital transformation” ทั่วโลก ทำให้เรา คงปฏิเสธไม่ได้ว่า การเปลี่ยนแปลงทางดิจิทัลของโลกมีผลต่อการดำเนินชีวิตประจำวันของมนุษย์ ทุกคนบนโลกใบนี้อย่างหลีกเลี่ยงไม่ได้ คำว่า ” Digital transformation” หรือ “Digital disruption” เป็นสิ่งที่เราได้ยินได้ฟังกันบ่อย ๆ ปัจจัยทั้ง 4 ที่มีผลต่อการเปลี่ยนแปลงทางดิจิทัลดังกล่าว ได้แก่ (The four IT mega trends in S-M-C-I Era) S หมายถึง Social media M หมายถึง Mobile computing C หมายถึง Cloud computing และ I หมายถึง Information หรือ Big data เทคโนโลยีการวิเคราะห์ข้อมูลขนาดใหญ่ ตลอดจนการเปลี่ยนแปลงของโลกจากเทคโนโลยี ปัญญาประดิษฐ์ (Artificial intelligence) และ อินเทอร์เน็ตในทุกสิ่ง (Internet of things) กำลังมีการพัฒนาและประยุกต์ใช้อย่างแพร่หลายทั่วโลก

ดังนั้น การเปลี่ยนแปลงครั้งใหญ่จากปัจจัยทั้งสี่ดังกล่าวจึงมีผลกระทบเกิดขึ้น ใน 3 ระดับได้แก่ ระดับบุคคลและครอบครัว ระดับองค์กร และระดับประเทศ ไปจนถึงผลกระทบต่อความมั่นคงของชาติ (National security) ปัจจุบันประเทศไทยของเราเป็นประเทศที่มีเอกราชและอธิปไตยในดินแดนของประเทศเราในเชิงกายภาพ (Physical) แต่หลังจากระบบอินเทอร์เน็ตได้เข้ามา มีบทบาทมากขึ้นในการติดต่อสื่อสารของคนไทยในหลายปีที่ผ่านมา ตลอดจนความนิยมในการใช้งานสมาร์ทโฟน และโปรแกรมเครือข่ายสังคมออนไลน์ของคนไทย ทำให้มีการเก็บข้อมูลคนไทย ทั้งประเทศไว้ในระบบคลาวด์ โดยส่งผ่านจากทางสมาร์ทโฟนและโปรแกรมเครือข่ายสังคมออนไลน์ดังกล่าว ยกตัวอย่างเช่น Facebook, Youtube และ Line ปัจจุบันมีคนไทยใช้งานสมาร์ทโฟน มากกว่าหนึ่งร้อยล้านเครื่อง โดยเฉลี่ยใช้งานวันละกว่า 6 ชั่วโมงต่อวัน โดยโปรแกรมยอดนิยม คงหนีไม่พ้นสามโปรแกรมเครือข่ายสังคมออนไลน์ดังที่กล่าวมาแล้ว ทำให้เกิดปรากฎการณ์มหกรรมการเก็บข้อมูลของคนไทยเข้าสู่ระบบคลาวด์ของบริษัทผู้ให้บริการโปรแกรมเครือข่ายสังคมออนไลน์ดังกล่าวสืบเนื่องจากการใช้งานสมาร์ทโฟนอย่างแพร่หลายทำให้มีการจัดเก็บพฤติกรรมผู้ใช้งานสมาร์ทโฟนอย่างต่อเนื่องทั้งที่ผู้ใช้ทราบและไม่ทราบมาก่อน ไม่ว่าจะเป็นการจัดเก็บข้อมูลตำแหน่งการใช้งาน (User location) พฤติกรรมการค้นหาข้อมูล (User search behavior and search keyword) พฤติกรรมการเข้าชมภาพและวิดีโอ ตลอดจนพฤติกรรมในการเลือกซื้อสินค้าและบริการ เช่น การจองโรงแรม การจองตั๋วเครื่องบิน ทำให้ข้อมูลมหาศาลเหล่านี้ตกอยู่ในมือของ ผู้ให้บริการการค้นหาข้อมูล และ ผู้ให้บริการโปรแกรมเครือข่ายสังคมออนไลน์อย่างหลีกเลี่ยงไม่ได้

การเก็บข้อมูลในระบบคลาวด์ขนาดใหญ่ มีกลไกในการวิเคราะห์เจาะลึกข้อมูลของเรา โดยใช้เทคโนโลยี “Big data” และ “Machine learning” ทำให้ผู้ให้บริการสามารถล่วงรู้พฤติกรรมการใช้อินเทอร์เน็ต การใช้สมาร์ทโฟน การค้นหาข้อมูล การใช้โปรแกรมเครือข่ายสังคมออนไลน์ การรับรู้ข้อมูลจากสื่อสังคมออนไลน์ต่าง ๆ ทำให้ผู้ให้บริการสามารถทราบถึง “Digital lifestyle” ของผู้คนอย่างไม่ยากเย็นนักจากข้อมูลที่เราเองเป็นคนใส่ข้อมูลเข้าไปในระบบทั้งรู้ตัวและไม่รู้ตัว

ปัญหาใหญ่ที่ตามมาคือปัญหา “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber sovereignty) ของผู้คนในประเทศตลอดจนไปถึงปัญหาความมั่นคงของชาติ (National security) ซึ่งคนไทยเองส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์”หรือ “Cyber sovereignty” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ตและ การใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนไทย ทำให้ผู้ให้บริการที่เข้าถึงข้อมูล เชิงลึก มีความได้เปรียบในการแข่งขันทางธุรกิจ และสามารถนำข้อมูลมาใช้ในการตลาดได้ อย่างมีประสิทธิผลและประสิทธิภาพ ทั้งนี้ยังไม่รวมถึงการขาดรายได้ของรัฐบาลไทยจากการจัดเก็บภาษีจากยอดเงินในระดับหมื่นล้านบาท โดยรัฐบาลไทยไม่สามารถจัดเก็บภาษีจากผู้ให้บริการได้ อย่างที่ควรจะเป็น เนื่องจากผู้ให้บริการทำการ Settlement payment โดยการใช้ Payment gateway นอกประเทศไทย เป็นต้น

จึงมีผู้กล่าวเปรียบเปรยได้ว่าเรากำลังใช้ชีวิตประจำวันอยู่ใน “The Matrix” หลายท่านอาจกำลังนึกถึงนวนิยายไซไฟ แต่จริง ๆ แล้วเรากำลังอยู่ในโลกแห่งความเป็นจริงที่ชีวิตประจำวัน ของคนไทยทุกคนมีความเกี่ยวพันกับ S-M-C-I อย่างหลีกเลี่ยงไม่ได้ ซึ่งเปรียบเหมือนเรากำลัง อยู่ใน “สภาวะไซเบอร์” ซึ่งปัจจัยทั้งสี่ S-M-C-I กำลังมีผลกับเราอย่างไม่รู้ตัว โดยปัจจุบันคนไทย มี Facebook account มากกว่า 54 ล้าน account และ LINE account มากกว่า 45 ล้าน account โดยมีการใช้งานอย่างต่อเนื่องในแทบทุกวัน เรียกได้ว่าเป็น “New platform” ที่คนไทยกำลังใช้ในการติดต่อสื่อสารกันแทนการใช้งานเทคโนโลยีในอดีต

ประธานาธิบดีแห่งสาธารณรัฐประชาชนจีน สี จิ้นผิง ได้กล่าวเสมอในการประชุมสุดยอดผู้นำโลกเกี่ยวกับปัญหา “อธิปไตยไซเบอร์” (Cyber sovereignty) ที่กำลังเกิดขึ้นทั่วโลก ท่านกล่าวว่าทุกประเทศทั่วโลกมีสิทธิที่จะกำหนดนโยบายด้านไซเบอร์ในประเทศของตน เพื่อปูองกันการรุกรานโดยต่างชาติในรูปแบบที่ไม่ต้องใช้กำลังทางทหารหรือกระสุนแม้แต่เพียงนัดเดียว แต่เป็นการรุกรานหรือการล่าอาณานิคมในรูปแบบใหม่ ที่ประชาชนในประเทศเปูาหมายไม่ได้รับรู้ว่ากำลังถูกรุกรานอยู่ เนื่องจากการรุกรานดังกล่าวไม่ต้องใช้กำลังแต่อย่างใด เป็นการรุกรานทางความคิด ความเชื่อ ค่อย ๆ ส่งข้อมูลเข้ามาปรับเปลี่ยนพฤติกรรมของคนในชาติเหล่านี้ เราคงเคยเห็นกันจากประสบการณ์ “Arab Spring” ในตะวันออกกลางมาแล้ว มีผลต่อการเลือกตั้ง มีผลต่อการเมืองการปกครอง ภัยจากการรุกรานเข้ามาเปลี่ยนความคิดดังกล่าวนั้น น่ากลัวยิ่งกว่าภัยจากการแฮกของแฮกเกอร์ เสียอีก เนื่องจากแฮกเกอร์จะเข้าระบบเพื่อดึงข้อมูล หรือทำให้ระบบล่ม ที่เราเห็นปัญหามัลแวร์ กันอยู่เป็นประจำ หากแต่การเจาะเข้าไปในจิตใจของมนุษย์ ให้ปรับเปลี่ยนความคิด ความเชื่อ ความศรัทธา ทำให้ชอบหรือไม่ชอบ รักหรือเกลียดในบุคคล สินค้า หรือบริการ หรือบริษัทต่าง ๆ ตลอดจนผู้นำในแต่ละประเทศมีผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National security” ในที่สุด

ปัจจุบันประเทศไทยคณะกรรมการยุทธศาสตร์ชาติได้ดำเนินการจัดทำยุทธศาสตร์ชาติ ๒๐ ปี ประกาศในราชกิจจานุเบกษาเป็นที่เรียบร้อยแล้ว แต่ประเทศไทยยังขาดการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อย่างเป็นทางการ ประกอบกับ ยังไม่มีแนวทางการแก้ปัญหาอธิปไตยไซเบอร์กำหนดไว้ในยุทธศาสตร์ชาติ ดังนั้น จึงเป็นที่มาของงานวิจัยฉบับนี้ ที่มุ่งศึกษาค้นคว้าแนวทางการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติเพื่อให้สามารถแก้ปัญหาอธิปไตยไซเบอร์และผลกระทบต่อความมั่นคงของชาติ ที่กำลังตามมาในระยะยาว เพื่อให้ประเทศไทยมีความพร้อมในการเข้าสู่ยุคแห่ง Data economy และ Digital transformation อีกทั้งยังสามารถปกปูองรักษาอธิปไตยไซเบอร์ของชาติเอาไว้ได้ ส่งผลต่อการรักษาความมั่นคงของชาติในที่สุด

วัตถุประสงค์ของการวิจัย

๑. ศึกษาและวิเคราะห์กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และ ลักษณะของยุทธศาสตร์การรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติที่มีความสอดคล้องกับยุทธศาสตร์ชาติ ๒๐ ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริงทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว

๒. เสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ ๒๐ ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

ขอบเขตของการวิจัย

๑. เน้นการวิจัยเฉพาะเรื่องอธิปไตยไซเบอร์ที่มีผลกระทบต่อความมั่นคงของชาติ ไม่รวมเรื่องการโจมตีของแฮกเกอร์ในทางเทคนิค
๒. วิจัยเฉพาะยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศที่เปิดเผยได้เท่านั้น

วิธีดำเนินการวิจัย

การวิจัยครั้งนี้เป็นการวิจัยเชิงคุณภาพ โดยศึกษาวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย และ ในต่างประเทศ รวมถึงการพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศเฉพาะที่มีความสอดคล้องกับเรื่องอธิปไตยไซเบอร์ มีการศึกษาเปรียบเทียบกับต่างประเทศบางประเทศ โดยมุ่งเน้นให้เห็นถึงความแตกต่างในการแก้ปัญหาของแต่ละประเทศที่ศึกษา เพื่อนำแนวทางการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย มีความเหมาะสมของเนื้อหากับกรอบเวลา รวมทั้งมีการสัมภาษณ์ผู้ทรงคุณวุฒิเพื่อให้ได้แนวทางในการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทยเพื่อให้สามารถนำไปปฏิบัติได้จริง

ประโยชน์ที่ได้รับจากการวิจัย

๑. จะทำให้ได้แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งจะช่วยให้มีทิศทางในการดำเนินการด้านการรักษาความมั่นคงของชาติ เพื่อให้บรรลุเปูาหมายในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว
๒. ได้แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ บทบาท และโครงสร้างของหน่วยงานที่รับผิดชอบหลักในการกำหนดนโยบายความมั่นคงแห่งชาติ และ การจัดการกับปัญหาอธิปไตยไซเบอร์ เพื่อให้สามารถปฏิบัติงานไปสู่วัตถุประสงค์หลักคือ การรักษาความมั่นคงของชาติในระยะยาวโดยสอดรับกับแผนยุทธศาสตร์ชาติ ๒๐ ปีที่ได้ประกาศ ในราชกิจจานุเบกษาแล้ว

คำจำกัดความ

  • ความมั่นคง หมายถึง การมีความมั่นคงปลอดภัยจากภัยและการเปลี่ยนแปลง ทั้งภายในประเทศและภายนอกประเทศในทุกระดับ ทั้งระดับประเทศ สังคม ชุมชน ครัวเรือน และปัจเจกบุคคลและมีความมั่นคง ในทุกมิติ ทั้งมิติทางการทหาร เศรษฐกิจ สังคม สิ่งแวดล้อม และการเมือง เช่น ประเทศมีความมั่นคงในเอกราชและอธิปไตย มีการปกครองระบบประชาธิปไตยที่มีพระมหากษัตริย์ทรงเป็นประมุข สถาบันชาติ ศาสนา พระมหากษัตริย์มีความเข้มแข็งเป็นศูนย์กลางและเป็นที่ยึดเหนี่ยวจิตใจของประชาชน มีระบบการเมืองที่มั่นคงเป็นกลไกที่นำไปสู่การบริหารประเทศที่ต่อเนื่องและโปร่งใสตามหลักธรรมาภิบาล สังคม มีความปรองดองและความสามัคคี สามารถผนึกกำลังเพื่อพัฒนาประเทศ ชุมชนมีความเข้มแข็ง ครอบครัวมีความอบอุ่น ประชาชน มีความมั่นคง ในชีวิต มีงานและรายได้ที่มั่นคงพอเพียงกับการดำรงชีวิต มีการออมสำหรับวัยเกษียณ ความมั่นคงของอาหาร พลังงาน และน้ำ มีที่อยู่อาศัย และความปลอดภัยในชีวิตทรัพย์สิน
  • การรักษาความมั่นคงปลอดภัยไซเบอร์ หมายถึง มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อ ปูองกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และ ความสงบเรียบร้อยภายในประเทศ
  • ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้าย ต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์
  • อธิปไตยไซเบอร์ หมายถึง แนวคิดที่รัฐบาลของแต่ละประเทศควรมีสิทธิเสรีภาพ มีเอกราชและอธิปไตยในการบริหารจัดการระบบอินเทอร์เน็ตและ การบริการออนไลน์ต่าง ๆ ที่อยู่บนอินเทอร์เน็ตในประเทศของตนเอง แต่ในอีกความหมายหนึ่ง อาจหมายถึงเรื่องที่ประชาชนในชาติอาจถูกครอบงำทางเทคโนโลยีโดยเจ้าของแพลตฟอร์มที่ประชาชนนิยมใช้ โดยไม่รู้ตัวและรัฐบาลในประเทศนั้นไม่สามารถบริหารจัดการได้ ทำให้เกิด ผลกระทบทางลบต่อเศรษฐกิจ สังคม และ ความมั่นคงของชาติในระยะยาว

    นี่แค่เพียงบทแรกยังไม่ได้เข้าถึงเนื้อหาที่สำคัญ ฉะนั้นโปรดติดตามตอนต่อ ๆ ไปนะครับ

    ขอขอบคุณอาจารย์ปริญญา หอมเอนก สำหรับข้อมูลตอนที่ 1 และ ตอนที่ 2 รวมทั้งตอนต่อ ๆ ไปแทนผู้อ่าน และจากผม มา ณ ที่นี้อีกครั้งนะครับ

  •  

    ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 1

    ขอขอบคุณ อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้อนุญาตให้ผมนำผลการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” มาเผยแพร่ในเว็บไซต์ www.itgthailand.com ซึ่งเกี่ยวเนื่องกับที่ผมเคยเขียนไว้ในหัวข้อ “ความมั่นคงปลอดภัยไซเบอร์ กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบบูรณาการ (Cyber Security Strategy and Enablers)” และผมเห็นว่าการวิจัยของอาจารย์ปริญญา หอมเอนก มีประโยชน์อย่างยิ่งยวดที่สามารถสร้างความเข้าใจในระดับกว้างและลึก ที่เกี่ยวข้องกับ Cyber Security ของชาติเป็นอย่างยิ่ง

    ทั้งนี้ ผมจะเนื้อหางานวิจัยของอาจารย์ปริญญามาลงอย่างต่อเนื่อง เพื่อให้เกิดกระบวนการเรียนรู้ที่ผลอย่างกว้างขวางในทุกระดับของการกำกับ การบริหาร การปฏิบัติงานที่เกี่ยวข้องกับ Cyber Security หรือความมั่นคงปลอดภัยไซเบอร์ของชาติ รวมทั้งปัญหาอธิปไตยไซเบอร์ และผลกระทบต่อเนื่องไปยังความมั่นคงของชาติในระยะยาวฯ โดยมีรายละเอียดดังต่อไปนี้

    บทคัดย่อ
    เรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อ ความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ
    ลักษณะวิชา ยุทธศาสตร์ / วิทยาศาสตร์และเทคโนโลยี
    ผู้วิจัย นายปริญญา หอมเอนก หลักสูตร วปอ. รุ่นที่ 62

    ไซเบอร์สเปซ (Cyberspace) เป็นช่องทางในการปฏิบัติการข่าวสาร (Information Operations : IO) โดยการกระจายข้อมูลข่าวสาร เช่น ข้อความ ภาพนิ่ง ภาพเคลื่อนไหว การประชาสัมพันธ์ การโฆษณาชวนเชื่อ เป็นต้น ผ่านเครือข่ายสังคมออนไลน์ (Social media) ต่าง ๆ เช่น Line Facebook Twitter เป็นต้น ทำให้สามารถเข้าถึงกลุ่มเปูาหมายด้วยความรวดเร็ว ชั่วพริบตา และมีการแชร์ข้อมูลต่อ ๆ กันไปอย่างรวดเร็ว สามารถส่งผ่านข้อมูลที่มีอิทธิพลต่อทัศนคติ ความคิดเห็น พฤติกรรมและการตัดสินใจของผู้ใช้บริการได้โดยตรง โดยที่ผู้ใช้บริการอาจไม่รู้ตัว โดยเฉพาะอย่างยิ่งกลุ่มเยาวชนและคนรุ่นใหม่ ซึ่งเป็นกลุ่มที่มีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น ทำให้มีอิทธิพลต่อความรู้สึกนึกคิด ความเชื่อ อุดมการณ์ และมีผลต่อการตัดสินใจของคนเป็นจำนวนมาก จึงก่อให้เกิดปัญหาใหญ่คือ การรุกล้ำ “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber Sovereignty) ของประชาชนในประเทศ ตลอดจนไปถึงปัญหาความมั่นคงของชาติ (National Security) ซึ่งประชาชนส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ตและการใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนจำนวนมาก

    วัตถุประสงค์ของการวิจัยในครั้งนี้ ประกอบด้วย การศึกษาและวิเคราะห์กระบวนการ ในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และ ลักษณะของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติที่มีความสอดคล้องกับยุทธศาสตร์ชาติ 20 ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริงทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้นและระยะยาว และเสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอดคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ 20 ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

    วิธีการวิจัยครั้งนี้จะเป็นการวิจัยเชิงคุณภาพ โดยศึกษาวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย และ ในต่างประเทศ รวมถึงการพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศเฉพาะที่มีความสอดคล้องกับเรื่องอธิปไตยไซเบอร์ มีการศึกษาเปรียบเทียบกับต่างประเทศบางประเทศ โดยมุ่งเน้นให้เห็นถึงความแตกต่างในการแก้ปัญหาของแต่ละประเทศที่ศึกษา เพื่อนำแนวทางการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย มีความเหมาะสมของเนื้อหากับกรอบเวลา รวมทั้งมีการสัมภาษณ์ผู้ทรงคุณวุฒิเพื่อให้ได้แนวทางในการกำหนดและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทยเพื่อให้สามารถนำไป

    ผลการวิจัย พบว่า กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่มีการแก้ไขเพิ่มเติม และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560 – 2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้านความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของ กรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ The Global Cybersecurity Capacity Centre (GCSCC) แห่ง University of Oxford ซึ่งเป็นกรอบแนวคิดมาตรฐานของสากล ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับ การละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต ช่องทางการรายงานอาชญากรรมทาง ไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์ ทั้งนี้ กฎหมายที่เกี่ยวข้องส่วนใหญ่ ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพและภัยคุกคามทางไซเบอร์เป็นหลัก ไม่ครอบคลุมถึงการรุกรานทางความคิดผ่านเครือข่ายสังคมออนไลน์และอธิปไตยทางไซเบอร์
    การศึกษาวิจัยครั้งนี้สรุปได้ว่า ปัญหาในเรื่องความมั่นคงปลอดภัยไซเบอร์ของประเทศ แบ่งออกเป็น 2 ปัญหาใหญ่ ประกอบด้วย 1) ความไม่พร้อมในการปกปูอง ปูองกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ และ 2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social media” กลายเป็น “Soft power ” และ การรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ
    ทางผู้วิจัยจึงได้เสนอแนะกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย 5 มิติ ตามกรอบแนวคิด CMM ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies และเสนอแนะให้จำแนกแนวทาง การพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

    ABSTRACT
    Title The national cybersecurity, the problem of cyber sovereignty, long-term national security impact and national strategy formulation guidelines
    Field Strategy / Science and Technology
    Name Mr. Prinya Hom-Anek Course NDC Class 62 This research paper was to study the national cybersecurity, the problem of cyber sovereignty, long-term national security impact and national strategy formulation guidelines prepared with inspiration from my experience in cybersSecurity and observed that the process of maintaining cybersecurity in Thailand in the past focus on defense of physical attacks on the Internet and networks. In addition to today’s world where international platforms and social media have increasingly played a role in changing the behavior and decision-making of people of the nation. It is in line with the global awareness that these problems lead to cognitive and mental aggression of people. The so-called “cyber sovereignty” problem is emerging all over the world which directly affects the economy and society of various countries, as well as the “National Security”, the researcher sees that this study will help Thailand understand the problems and impacts of aggression. “Cyber sovereignty” to be able to apply the conceptual framework developed by studying the framework for creating a strategy for solving problems. “Cyber sovereignty” is an internationally recognized concept. Let’s improve the 20-year National Strategy (2018 – 2037) and the NCS’s the National Cybersecurity

    โปรดติดตามตอนต่อ ๆ ไป ซึ่งมีรายละเอียดที่น่าสนใจมากมาย..

    ขอขอบคุณอาจารย์ปริญญา หอมเอนก เป็นอย่างยิ่งมา ณ ที่นี้อีกครั้งครับ