Posts Tagged "ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ"

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 7

บทที่ 4
การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติของประเทศไทย และกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ใน ๕ มิติ

แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ

จากการวิเคราะห์สภาพแวดล้อมทางไซเบอร์ในภาพรวมของประเทศไทย ในเรื่อง ความมั่นคงปลอดภัยไซเบอร์ในระดับชาติ สามารถสรุปปัญหาที่สำคัญของประเทศออกเป็น 2 ปัญหาใหญ่ ดังนี้

1) ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ (Lack of national cybersecurity incident response capability and national cybersecurity defense capability)

2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ (Lack of defensive/offensive capability in cyber warfare/hybrid warfare, cybersecurity strategy for protecting cyber sovereignty at the national level)

ปัญหาใหญ่ที่ 1 เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่ เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน และรัฐได้ดำเนินการไปบ้างแล้ว ผ่านยุทธศาสตร์ชาติ 20 และการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสำนักงานสภาความมั่นคงแห่งชาติ (สมช.)

ปัญหาใหญ่ ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่ามาก เราควบคุมไม่ได้ และรัฐยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (แผนภาพที่ 4-1)

เมื่อทำการวิเคราะห์เจาะลึกลงไปในรายละเอียดของปัญหาพบว่า เราสามารถจัดกลุ่มของปัญหาใหญ่ทั้ง 2 ออกเป็น 10 ปัญหาย่อย ดังนี้

ปัญหาย่อยที่ 1 การโจมตีโครงสร้างพื้นฐานที่สำคัญยิ่งยวดในระดับประเทศ (National level critical infrastructure attack) การขาดยุทธศาสตร์ แผนงานที่มีประสิทธิภาพในการบริหารจัดการความเสี่ยงทางไซเบอร์ในระดับประเทศ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐานมีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น เช่น “พลเมืองต่อต้าน Single gateway #opsinglegateway” รณรงค์ให้มีการโจมตี DDoS กับเว็บไซต์ของหน่วยงานของรัฐ ทำให้หลายระบบสำคัญของรัฐขัดข้อง ในปี 2559 ATM 21 ตู้ของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และลอบขโมยเงิน 12 ล้านบาท มัลแวร์ที่พบคล้ายกับที่ใช้โจมตี ATM ในประเทศไต้หวันในปีเดียวกัน ในปี 2559 ระบบคอมพิวเตอร์ของ มหาวิทยาลัยธรรมศาสตร์ ถูกกลุ่ม GOP (Guardians of peace) ใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures สหรัฐอเมริกา ในปี 2557 เป็นต้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่าประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวันทั้งในระดับประชาชน องค์กร และระดับประเทศ

ปัญหาย่อยที่ 2 ปัญหาการขาดแคลนบุคลากรด้านไซเบอร์ในระดับประเทศ การขาดการพัฒนาทักษะความรู้ในระดับต้น ระดับกลาง ระดับสูง ของผู้ปฎิบัติและควบคุมในการปฏิบัติงานด้านไซเบอร์ทั้งในระดับองค์กรและระดับประเทศ โดยในปัจจุบัน องค์กรทั้งภาครัฐและเอกชน ในประเทศไทย ขาดแคลนผู้เชี่ยวชาญทางไซเบอร์ ส่งผลกระทบต่อความเชื่อมั่นและความมั่นคง ในระดับชาติในระยะยาว จากการประมาณการของบริษัทไซเบอร์ซีเคียวริตี้เวนเจอร์ส คาดว่า ในปี พ.ศ. 2564 โลกจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ถึง 3,500,000 คน และจากการประมาณการของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ประเทศไทยจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์สูงถึง 12,000 คน โดยกลุ่มที่ขาดแคลนมากที่สุดคือ กลุ่มผู้พัฒนาและออกแบบระบบ (Securely provision: SP)

ปัญหาย่อยที่ 3 ปัญหาอาชญากรรมไซเบอร์ ภัยคุกคามไซเบอร์ การโจมตีทางไซเบอร์ต่อภาครัฐ ภาคเอกชน และประชาชนทั่วไป (Rising of cyber crime at national level) โดยประชาชนส่วนใหญ่ และองค์กรทั้งภาครัฐและเอกชน ถูกโจมตีทางไซเบอร์รายวัน ขณะที่ประเทศไทยยังขาดหน่วยงานรับผิดชอบโดยตรง ส่งผลต่อเศรษฐกิจและสังคม และ ส่งผลกระทบต่อความเชื่อมั่นในระดับชาติ ทั้งนี้ ในช่วงครึ่งปีแรกของปี 2563 จำนวนภัยคุกคามไซเบอร์ที่ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ได้รับแจ้งและดำเนินการทั้งสิ้น 1,474 กรณี โดยภัยคุกคามที่ได้รับแจ้งมากที่สุด คือ การโจมตีด้วยโปรแกรมไม่พึงประสงค์หรือโค้ดอันตราย (Malicious code) และการฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์ (Fraud) โดยมีอัตราส่วนถึงร้อยละ 36 และ 24 ตามลำดับ

ปัญหาย่อยที่ 4 ปัญหาขาดยุทธศาสตร์และแผนงานที่มีประสิทธิภาพในการบังคับใช้กฎหมายความมั่นคงปลอดภัยทางไซเบอร์ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐาน มีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่า ประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวัน ทั้งในระดับประชาชน องค์กร และ ระดับประเทศ

ปัญหาย่อยที่ 5 ปัญหาการขาดการถ่ายทอดความรู้ให้กับหน่วยงานยุติธรรม ในการปฏิบัติและควบคุมการปฏิบัติตามกฎหมาย โดยหลายปีที่ผ่านมา ประเทศไทยมีกฎหมายด้านเทคโนโลยีสารสนเทศหลายฉบับ แต่ยังไม่สามารถบังคับใช้กฎหมายได้อย่างมีประสิทธิภาพเท่าใดนัก ในปัจจุบัน ตำรวจ ผู้พิพากษา อัยการ ศาล หลายท่านยังขาดองค์ความรู้ทางด้านไซเบอร์ในการพิจารณาคดี ทำให้มีผลต่อการบังคับใช้กฎหมาย

ปัญหาย่อยที่ 6 ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty) การขาดความเข้าใจในผลกระทบจากกระบวนการปฏิบัติการข่าวสารในรูปแบบใหม่ผ่านสื่อสังคมออนไลน์ (Social media) โดยปัจจุบันประชาชนชาวไทยกำลังถูกละเมิดข้อมูลส่วนบุคคลทางไซเบอร์ และถูกทำให้หลงเชื่อในการโฆษณาชวนเชื่อรายวัน อย่างต่อเนื่อง จากปรากฏการณ์ดังกล่าว ทำให้มีผลต่อเศรษฐกิจ สังคม การเมือง การปกครอง ทั้งในระยะสั้นและระยะยาว มีผลกระทบต่อความมั่นคงของชาติในระยะยาว

ปัญหาย่อยที่ 7 ปัญหาการใช้ประโยชน์จากการเข้าถึงข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์โดยไม่ได้รับอนุญาต เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น

ปัญหาย่อยที่ 8 ปัญหาขาดทักษะและความเข้าใจและความรู้ในการใช้เทคโนโลยีดิจิทัลหรือ Digital literacy โดยเฉพาะการทิ้งรอยเท้าดิจิทัล (Digital footprint) เช่น หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน ส่งผลให้ข้อมูลอยู่ในมือผู้ไม่หวังดี มีโอกาสโดนทำสำเนาไปนับไม่ถ้วน เป็นต้น เทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล (Phishing) เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น การหลอกลวงออนไลน์ (Fraud) เช่น ส่งสินค้าปลอมให้เหยื่อ หรือในกรณีที่แย่ที่สุด คือไม่ส่งสินค้าใด ๆ ให้เลย เป็นต้น ความเข้าใจสื่อดิจิทัล เช่น กับดักโซเซียลจากข่าวปลอม เป็นต้น

ปัญหาย่อยที่ 9 ปัญหาขาดการบูรณาการทั้งองค์กรภาครัฐ ฝ่ายตำรวจ ทหาร พลเรือน และภาคส่วนต่าง ๆ ภายในประเทศเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ ขาดการพัฒนากรอบความร่วมมือระหว่างประเทศและอาเซียนเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ จากปัญหาที่ประเทศไทยยังไม่สามารถบริหารจัดการปัญหาความมั่นคงปลอดภัยไซเบอร์ให้เกิดการบูรณาการได้ ทำให้เกิดความซ้ำซ้อน สิ้นเปลืองงบประมาณ ไม่ส่งผลเป็นรูปธรรม ไม่เกิดประสิทธิผลและประสิทธิภาพในการรับมือต่อการโจมตีทางไซเบอร์ รวมถึงขาดการถ่ายทอดความรู้และการประสานงานความร่วมมืออย่างเป็นทางการในระดับชาติกับประชาคมอาเซียน

ปัญหาย่อยที่ 10 ปัญหาขาดการพัฒนาแพลตฟอร์มของประเทศ เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ในระดับชาติ โดยแพลตฟอร์ม Social media ไทยมีอยู่แพลตฟอร์มเดียวคือ Pantip แต่ Pantip นั้นถูกแพลตฟอร์มต่างชาติแย่งเวลาของคนไปเป็นส่วนใหญ่ โดยปัจจุบัน คนไทยใช้ Facebook มากกว่า 50 ล้านคนแล้ว และใช้ Twitter มากกว่า 20 ล้านคนแล้ว แม้แต่ในยามที่เกิดวิกฤตการระบาดของโรค COVID-19 ธุรกิจแพลตฟอร์มดิลิเวอร์รี่ไทยยังมีขนาดเล็ก ประเทศไทยจึงยังต้องพึ่งพาแพลตฟอร์มดิลิเวอรี่ขนาดใหญ่ของต่างชาติ การทำงานที่บ้านหรือ Work from home ที่ผู้ประกอบการเล็กใหญ่ทุกราย ต้องปรับตัวประชุมทางไกล (Video-conference) ซึ่งก็อยู่บนแพลตฟอร์มของต่างชาติเช่นกัน

ทั้งนี้ สามารถนำเสนอแนวคิดในการปรับยุทธศาสตร์ชาติ 20 ปี เพื่อแก้ไขปัญหาย่อย ทั้ง 10 ปัญหาได้ (ตารางที่ 4-1) ดังนี้

แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

เมื่อพิจารณาแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับชาติเพื่อค้นหาแนวทางในการปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยจำแนกออกตามองค์กร ที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ ตามแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ) ซึ่งได้เสนอแนะให้จำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ได้แก่ 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถ จัดหมวดหมู่ของ 10 แนวคิดในการปรับปรุงยุทธศาสตร์ที่ได้จากการวิเคราะห์ปัญหาย่อยทั้ง 10 ปัญหา ออกตามผู้มีบทบาทนำในการขับเคลื่อนยุทธศาสตร์ได้ ดังนี้ทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้

  1. แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
    โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
    1.1 บริหารความเสี่ยงและสร้างกลไกตอบสนองต่อความเสี่ยงในหน่วยงานโครงสร้างพื้นฐานที่สำคัญ
    1.2 พัฒนานโยบาย กฎหมายลูก และมาตรฐานด้านความมั่นคงปลอยภัยทางไซเบอร์
    1.3 พัฒนาบุคลากรจากหน่วยงานที่เกี่ยวข้องในกระบวนการยุติธรรม เช่น การบังคับใช้กฎหมาย การสืบสวน และการตัดสินคดีทางไซเบอร์ เป็นต้น
    1.4 บูรณาการหน่วยงานภาครัฐ ในลัษณะของปฏิบัติการร่วม (Joint-force) โดยมีหน่วยงานหลักที่เป็นเจ้าภาพชัดเจน และสร้างความร่วมมือกับภาคเอกชน ภาคประชาสังคม และองค์กรระหว่างประเทศ เพื่อรักษาสมดุลระหว่างเสรีภาพในโลกไซเบอร์สเปซและความมั่นคงปลอดภัยทางไซเบอร์
  1. แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led)
    โดยรัฐบาลควรสร้างความร่วมมือและอาศัยกลไกของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน เพื่อให้ประชาชนและภาคเอกชนมีบทบาทนำในการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
    2.1 พัฒนาระบบการศึกษา โดยปฏิรูปหลักสูตรการเรียนการสอน โดยสอดแทรกเนื้อหาความรู้เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในแต่ละระดับการเรียนการสอน และพัฒนาบุคลากรภาครัฐโดยเฉพาะหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญให้มีความรู้ด้านความมั่นคงปลอดภัยด้านไซเบอร์
    2.2 สร้างความตระหนักรู้ (Awareness) ด้านความมั่นคงปลอดภัยด้านไซเบอร์ ให้แก่ประชาชนเพื่อให้รู้เท่าทันภัยจากการใช้งานสื่อสังคมออนไลน์ (Social media) และการเปิดเผยข้อมูลส่วนบุคคลให้แก่แพลตฟอร์ม (Platform) ต่างประเทศ เพื่อป้องกันการรุกล้ำทางไซเบอร์ในระดับประเทศ
    2.3 สร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสาร (IO) ทางสื่อสังคมออนไลน์ (Social Media) ทั้งจากภายในประเทศและต่างประเทศ
    2.4 สร้างความตระหนักรู้ถึงการใช้ประโยชน์จากข้อมูลส่วนบุคคลในการโฆษณาชวนเชื่อ รวมถึงสิทธิและวิธีการปกป้องและคุ้มครองข้อมูลส่วนบุคคล
    2.5 สร้างทักษะความเข้าใจและใช้เทคโนโลยีดิจิทัล หรือ Digital literacy ให้มี “ภูมิคุ้มกันทางดิจิทัล” และ“ภูมิคุ้มกันทางไซเบอร์” (Digital immunity/Cyber immunity) ที่ดี
  1. แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led)
    โดยรัฐบาลควรส่งเสริมและสนับสนุนการวิจัยและพัฒนาเพื่อสร้างแพลตฟอร์มที่เป็นนวัตกรรมทางดิจิทัลที่ล้ำหน้าทันสมัย (Leapfrog digital innovation platform) ของประเทศไทย ที่สามารถตอบสนองความต้องการของประชาชนเหนือกว่าแพลตฟอร์มต่างประเทศ เพื่อให้ประเทศไทยมีแพลตฟอร์มของตนเองที่สามารถดูแลข้อมูลส่วนบุคคลของประชาชนได้ด้วย และสามารถป้องกันการรุกรานอธิปไตยทางไซเบอร์ผ่านทางสื่อสังคมออนไลน์ (Social media) เพื่อป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) และแพลตฟอร์ม (Platform) ต่างประเทศ
    ทั้งนี้ การสร้างแพลตฟอร์มของประเทศไทย ในลัษณะที่เป็นการเลียนแบบหรือเพื่อแข่งขันกับแพตฟอร์มต่างประเทศ เช่น Twitter และ Netflix เป็นต้น ในระยะสั้นอาจไม่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ อาจไม่ตรงตามความต้องการของประชาชน และอาจด้อยกว่าแพลตฟอร์มต่างประเทศที่มีลูกเล่น (Feature) ใหม่เพิ่มอยู่ตลอดเวลาได้ รวมถึงอาจด้อยกว่าในเชิงโครงสร้างพื้นฐานและเครือข่ายสนับสนุนการใช้งาน หรือพันธมิตร (Partner) จึงควรกำหนดแผนระยะปานกลางถึงระยะยาวในการวิจัยและพัฒนาแพลตฟอร์มที่มีความใหม่ แตกต่าง และล้ำหน้า ด้วยการใช้นวัตกรรมทางดิจิทัล ซึ่งต้องอาศัยผู้เชี่ยวชาญทางเทคโนโลยีดิจิทัล ทั้งจากภายในประเทศไทยและต่างประเทศ เพื่อสร้างสิ่งใหม่ที่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ และตอบโจทย์ความต้องการของประชาชนอย่างแท้จริง
    จากการเปรียบเทียบปัญหาใหญ่ที่ 1 ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับประเทศ ซึ่งเปรียบเสมือนเป็นยอดภูเขาน้ำแข็งที่ลอยอยู่เหนือน้ำ (Tip of the iceberg) และปัญหาใหญ่ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์การใช้สื่อสังคมออนไลน์เป็นเครื่องมือในการรุกรานความคิด และการสูญเสียอธิปไตยไซเบอร์ของชาติ ซึ่งเปรียบเสมือนเป็นส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ประเทศไทยเปรียบเหมือนเป็นเรือไทยทานิค (แผนภาพที่ 4-3) ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติ ทุก 5 ปี โดยรอบระยะเวลาของ การทบทวนปรับปรุงแก้ไขครั้งแรกคือ ปี 2565 ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติในด้านความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ของชาติ ภายในปี 2568 หรืออีก 5 ปีข้างหน้า ปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 จะส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติ ระบบเศรษฐกิจ อันดับความมั่นคงปลอดภัยไซเบอร์ของประเทศ การสูญเสียอธิปไตยทางไซเบอร์ และการขาดรายได้ภาษีจากแพลตฟอร์มต่างชาติ ซึ่งเปรียบเหมือนเรือไทยทานิคชนกับภูเขาน้ำแข็งจนต้องอับปางลงนั่นเอง

กรณีที่ประเทศไทยมีการทบทวนและปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยยึดหลักการขับเคลื่อนตามแนวทางที่รัฐมีบทบาทนำ (Government-led) ภาคประชาชนมีบทบาทนำ (Civilian-led) และแพลตฟอร์มมีบทบาทนำ (Platform-led) ตามที่อภิปรายไว้ข้างต้น ย่อมเปรียบเหมือนเรือดำน้ำที่พุ่งชนภูเขาน้ำแข็งให้เปลี่ยนทิศทางออกไปจนเรือไทยทานิคสามารถหลุดพ้นปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 ได้

การปรับปรุงยุทธศาสตร์ชาติตามแนวคิดในการกำหนดบทบาทผู้ขับเคลื่อนแนวทาง การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ 3 บทบาท ได้แก่ 1) แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถกำหนดโครงการภายในแนวทางการขับเคลื่อน หน่วยงานรับผิดชอบหลัก/หน่วยงานรับผิดชอบรอง เป้าหมาย วิธีดำเนินการ และกรอบระยะเวลาดำเนินการได้ ดังนี้

กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยใน ๕ มิติ

การพัฒนา “กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย” ได้นำกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity Capacity Centre แห่ง University of Oxford มาประยุกต์ให้เหมาะสมกับสถานการณ์ปัจจุบันและสภาวะแวดล้อมของประเทศไทย เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยให้เป็นระบบ มีประสิทธิผล และได้มาตรฐานสากลได้

ทั้งนี้ Global Cybersecurity Capacity Centre ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก โดยสามารถแบ่งมิติในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยออกเป็น 5 มิติ (แผนภาพที่ 4-5) ดังนี้

มิติที่ 1 National cybersecurity framework and policy การพัฒนานโยบายและกรอบแนวคิดเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`เป็นเรื่องสำคัญในลำดับต้น ๆ ของการพัฒนายุทธศาสตร์ไซเบอร์ในระดับประเทศ

มิติที่ 2 Cyber culture and society การปรับมุมมองและทัศนคติของประชาชน ในเรื่องความเชื่อมั่นในการใช้ชีวิตในโลกไซเบอร์ เป็นการสร้างความเชื่อมั่นของประชาชนในการใช้บริการอินเทอร์เน็ต หรือ Online service ต่าง ๆ รวมทั้งความเข้าใจของประชาชนในเรื่องความเสี่ยงในการใช้อินเทอร์เน็ต

มิติที่ 3 Cybersecurity education, training and skills การบริหารจัดการเรื่อง การสร้างความตระหนักรู้ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยไซเบอร์ ของภาครัฐภาคเอกชน และ ประชาชนทั่วไป ตลอดจน การอบรมความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป

มิติที่ 4 Legal and regulatory frameworks การพัฒนากฎหมายและกฎระเบียบ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้น และส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก

มิติที่ 5 Standards, organizations, and technologies การพัฒนามาตรฐานและการปฏิบัติตามมาตรฐานที่เกี่ยวกับการใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ การควบคุมความมั่นคงปลอดภัยไซเบอร์ การใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้องกันภัยไซเบอร์ในระดับบุคคล ระดับองค์กร และ โครงสร้างพื้นฐานของประเทศ ตลอดจนการพัฒนาเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

๑. Cybersecurity framework and policy

๒. Cyber culture and society

๓. Cybersecurity education, training and skills

๔. Legal and regulatory frameworks

๕. Standard, organizations and technologies

สรุป

ปัญหาความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน ปัญหาความไม่พร้อมในการรับมือปรากฏการณ์ “Social media as a new source of soft power” ที่ใช้ในการรุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่าการโจมตีทางกายภาพมาก กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้าน ความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาตช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์

ผู้วิจัยจึงได้เสนอแนะแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับชาติ โดยนำแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ) มาประยุกต์ใช้ โดยแบ่งแนวทางออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทาง ที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) และได้นำกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ 5 มิติ CMM มาประยุกต์ใช้กับประเทศไทย ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies เพื่อเสนอแนะแนวทางการทบทวนและปรับปรุงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ให้ครอบคลุมการป้องกันและรับมือกับปัญหาปรากฏการณ์ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty)

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 6

สำหรับผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ในตอนที่ 6 นี้ ผมขอนำเสนอต่อในเรื่อง การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์ ซึ่งเป็นบทที่ 3 จากผลงานโครงการวิจัย ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อ ความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ ของ ดร.ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้ให้ความอนุเคราะห์นำมาเผยแพร่ในเว็บไซต์ itgthailand.com และ itgthailand.wordpress.com ทั้งสองแห่งนี้

การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์ ในบทที่ 3 จะเป็นการวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในระดับสากล และ การวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย รวมถึง วิเคราะห์ความสอดคล้องยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกับการแก้ปัญหาอธิปไตยไซเบอร์ในระดับสากลที่จะได้นำเสนอตามลำดับ

บทที่ 3

การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์

วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในระดับสากล

ปรากฎการณ์ “Digital transformation” และการเข้าสู่ยุค S-M-I-C (Social–Mobile–Information–Cloud) นำไปสู่การเจริญเติบโตของธุรกิจแพลตฟอร์ม (Platform) ซึ่งธุรกิจไม่จำเป็นต้องผลิตสินค้าและบริการเอง แต่เป็นการให้บริการอำนวยความสะดวกและเป็นตัวกลาง ในการทำธุรกิจระหว่างลูกค้ามากกว่าหนึ่งประเภท ตัวอย่าง Platform ประเภทเครือข่ายสังคม เช่น Facebook Twitter Line Instagram เป็นต้น ประเภทค้าปลีก เช่น eBay Alibaba Amazon เป็นต้น ประเภทสื่อ เช่น YouTube เป็นต้น ประเภทการชำระเงิน เช่น PayPal Alipay เป็นต้น ประเภทระบบปฏิบัติการบนสมาร์ทโฟน เช่น ios Android เป็นต้น ประเภทการท่องเที่ยว เช่น Airbnb เป็นต้น ประเภทบริการรถสาธารณะ เช่น Uber Grab เป็นต้น

นอกจากจากรูปแบบกระบวนการดำเนินธุรกิจที่เปลี่ยนแปลงไปตามการพัฒนาเทคโนโลยีแล้ว การวิเคราะห์ทางการตลาดยังเปลี่ยนแปลงไปด้วย จากเดิมที่วิเคราะห์กลุ่มเป้าหมายด้วยหลักประชากรศาสตร์ (Demographic) เช่น อายุ เพศ การศึกษา รายได้ สถานภาพ เป็นต้น เป็นการวิเคราะห์กลุ่มเป้าหมายด้วยหลักจิตนิสัย (Psychographic) เช่น รูปแบบการดำเนินชีวิต (Lifestyles) ความชื่นชอบ ความเชื่อ ค่านิยม เป็นต้น โดยอาศัยข้อมูลที่อยู่ในความครอบครองของแพลตฟอร์ม (Platform) บนสมาร์ทโฟน หรือเครือข่ายสังคมออนไลน์ (Social media) ซึ่งทำให้ธุรกิจ Platform มีความได้เปรียบในการประกอบธุรกิจ

แม้ว่าเครือข่ายสังคมออนไลน์ (Social media) และสมาร์ทโฟนจะเป็นประโยชน์ต่อการใช้ชีวิตประจำวันของทุกคนอย่างมหาศาล ด้วยเจตนารมณ์ที่หวังจะส่งมอบสิ่งที่ดีที่สุดให้ผู้ใช้บริการ แต่ผู้ให้บริการย่อมถูกกดดันด้วยภาวะการแข่งขันของธุรกิจ เพื่อเข้าถึงผู้ใช้บริการให้มากที่สุด จึงสร้างผลเสียต่อประชาชนโดยไม่รู้ตัว อาทิ การเสพติดดิจิทัล (Digital addiction) จากอุปกรณ์ดิจิทัลที่เข้ามาครอบงำชีวิตเราในทุกเรื่อง สุขภาพทางจิตใจ (Mental health) จากความทุกข์ที่เกิดจากการเปรียบเทียบตัวเองกับคนอื่น หรือเรื่องเล่าบนเครือข่ายสังคมโซเชียล และถูกกลั่นแกล้ง ในเครือข่ายสังคมโซเชียล (Cyber bullying) การแยกแยะความจริงจากความไม่จริง (Breakdown of truth) ทำได้ยากขึ้นเรื่อย ๆ การแบ่งขั้วแยกข้าง (Polarization) ทางอุดมการณ์ ทำให้การสร้าง ความปรองดองและความร่วมมือในสังคมกระทำได้ยากยิ่งขึ้น และสุดท้ายการชักใยทางการเมือง (Political manipulation) เพื่อสร้างความขัดแย้งและการทำสงครามไซเบอร์ ผลเสียเหล่านี้ ล้วนเกิดมาจากขีดความสามารถของเทคโนโลยีที่ก้าวข้ามขีดความสามารถของมนุษย์ ซึ่งเข้าใจง่ายกว่า หากพิจารณาจากเทคโนโลยีที่ก้าวข้ามข้อด้อยของมนุษย์ (Human vulnerabilities) ในขณะเดียวกันความไม่สอดคล้องกันระหว่างความก้าวหน้าทางเทคโนโลยีอย่างก้าวกระโดดและความสามารถในการตระหนักรู้ของมนุษย์ (Human sensitivities) ส่งผลกระทบต่อความคิด ความรู้สึก และการกระทำของมนุษย์ ซึ่งล้วนสร้างผลเสีย เช่น ช่วงความสนใจที่สั้นลง (Attention span) อ่านแค่พาดหัว โดยไม่สนใจรายละเอียด แข่งขันกันที่ยอดไลค์และยอดแชร์บน Social media เป็นต้น

นอกจากนี้ ข้อมูลส่วนบุคคลจำนวนมหาศาลที่อยู่ในอำนาจการควบคุมของแพลตฟอร์ม (Platform) หรือผู้ให้บริการ Social media ต่างประเทศ ทำให้ผู้ให้บริการสามารถล่วงรู้ถึงรูปแบบการดำเนินชีวิตทางดิจิทัล หรือ “Digital lifestyle” ของผู้ใช้งาน ในด้านหนึ่งย่อมมีประโยชน์ต่อระบบเศรษฐกิจ โดยทำให้ผู้ใช้บริการสามารถได้รับบริการที่มีประสิทธิภาพ และตรงตามความคาดหวัง ในอีกด้านหนึ่ง การใช้ประโยชน์จากข้อมูลส่วนบุคคลจำนวนมหาศาลผ่าน Google Facebook และ Social media เช่น ตำแหน่งการใช้งาน พฤติกรรมการค้นหาข้อมูล (Search behavior) พฤติกรรมการเข้าชมภาพ/วีดีโอ พฤติกรรมการเลือกซื้อสินค้าและบริการ เป็นต้น อาจนำไปสู่การส่งผ่านข้อมูลที่มีอิทธิพลต่อทัศนคติ ความคิดเห็น พฤติกรรมและการตัดสินใจของผู้ใช้บริการได้โดยตรง โดยที่ผู้ใช้บริการอาจไม่รู้ตัว โดยเฉพาะอย่างยิ่งกลุ่มเยาวชนและคนรุ่นใหม่ ซึ่งเป็นกลุ่มที่มีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น อิทธิพลจากการเข้าถึงข้อมูลส่วนบุคคล และ Social media อาจทำให้เกิดการเปลี่ยนแปลงความเข้าใจ ความเชื่อ แนวคิด อุดมการณ์ และอาจทำให้เกิดการรับรู้ข้อมูลที่ไม่ตรงกับความเป็นจริงได้ เนื่องจากผู้ใช้บริการอาจไม่ได้ตรวจสอบความถูกต้องของข้อมูลก่อน รวมถึงสามารถส่งผ่านข้อมูลที่ชักจูงและสร้างกระแสสังคมที่ส่งผลกระทบในวงกว้าง และอาจส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติได้โดยง่าย จึงถือเป็นการรุกรานทางความคิดต่อประชาชนรูปแบบใหม่ที่สามารถส่งผลกระทบต่อเศรษฐกิจ สังคม และประเทศชาติได้

ปัจจุบัน การปฏิบัติการข่าวสาร (Information operations : IO ) ทั้งภาวะปกติ และภาวะสงคราม รวมไปถึงความขัดแย้งทางการเมืองและทางสังคม มักนิยมใช้ไซเบอร์สเปซ เป็นช่องทางในการดำเนินการ โดยการกระจายข้อมูลข่าวสาร เช่น ข้อความ ภาพนิ่ง ภาพเคลื่อนไหว การประชาสัมพันธ์ การโฆษณาชวนเชื่อ เป็นต้น ผ่านเครือข่ายสังคมออนไลน์ (Social media) ต่าง ๆ เช่น Line Facebook Twitter เป็นต้น ทำให้สามารถเข้าถึงกลุ่มเป้าหมายด้วยความรวดเร็วชั่วพริบตา และมีการแชร์ข้อมูลต่อ ๆ กันไปอย่างรวดเร็ว ซึ่งมีอิทธิพลต่อความรู้สึกนึกคิด ความเชื่อ ทัศนคติ อุดมการณ์ และมีผลต่อการตัดสินใจของคนเป็นจำนวนมาก จึงก่อให้เกิดปัญหาใหญ่คือ การรุกล้ำ “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber sovereignty) ของประชาชนในประเทศ ตลอดจนปัญหาความมั่นคงของชาติ (National security) ซึ่งประชาชน ส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ต และการใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนจำนวนมาก

ประธานาธิบดีแห่งสาธารณรัฐประชาชนจีน สี จิ้นผิง ได้กล่าวเสมอในการประชุมสุดยอดผู้นำโลกเกี่ยวกับปัญหา “อธิปไตยไซเบอร์” (Cyber sovereignty) ที่กำลังเกิดขึ้นทั่วโลก ท่านกล่าวว่าทุกประเทศทั่วโลกมีสิทธิที่จะกำหนดนโยบายด้านไซเบอร์ในประเทศของตน เพื่อป้องกันการรุกรานโดยต่างชาติ ในรูปแบบที่ไม่ต้องใช้กำลังทางทหารหรือกระสุนแม้แต่เพียงนัดเดียว แต่เป็นการรุกรานหรือการล่าอาณานิคมในรูปแบบใหม่ ที่ประชาชนในประเทศเป้าหมายไม่ได้รับรู้ว่ากำลังถูกรุกรานอยู่ เนื่องจากการรุกรานดังกล่าวไม่ต้องใช้กำลังแต่อย่างใด เป็นการรุกรานทางความคิด ความเชื่อ ค่อย ๆ ส่งข้อมูลเข้ามาปรับเปลี่ยนพฤติกรรมของคนในชาติเหล่านี้

เราคงเคยเห็นกันจากประสบการณ์การปฏิวัติประชาธิปไตยในหลายประเทศ ในตะวันออกกลางและอาฟริกาเหนือ หรือการลุกฮือขึ้นโค่นล้มรัฐบาลในหลายประเทศของชาวอาหรับ (Arab Spring) มาแล้ว การใช้สื่อสังคมออนไลน์ที่สะดวก รวดเร็วนี้ เป็นมีดสองคม อาจเริ่มจากสร้างเพจ Facebook เพื่อหาแนวร่วม ไปจนถึงการออกมาแสดงพลังเงียบในโลกจริง มีผลต่อการเลือกตั้ง มีผลต่อการเมืองการปกครอง ภัยจากการรุกรานเข้ามาเปลี่ยนความคิดดังกล่าวนั้น น่ากลัวยิ่งกว่าภัยจากการแฮกของแฮกเกอร์เสียอีก เนื่องจากแฮกเกอร์จะเข้าระบบเพื่อดึงข้อมูล หรือทำให้ระบบล่ม ที่เราเห็นปัญหามัลแวร์ (Malware) กันอยู่เป็นประจำ หากแต่การเจาะเข้าไปในจิตใจของมนุษย์ ให้ปรับเปลี่ยนความคิด ความเชื่อ ความศรัทธา ทำให้ชอบหรือไม่ชอบ รักหรือเกลียดในตัวบุคคล สินค้า หรือบริการ หรือบริษัทต่าง ๆ ตลอดจนผู้นำในแต่ละประเทศมีผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National security” ในที่สุด

จากผลการศึกษาของ Hao Yeli (2560) ได้กล่าวว่า ปัญหาการรุกล้ำอธิปไตยทางไซเบอร์ (Cyber sovereignty) เป็นภัยคุกคามทางไซเบอร์อันดับหนึ่ง (Tier one) ของปัญหาความมั่นคงปลอดภัยไซเบอร์ของประเทศ และถือเป็นโดเมนที่ห้าแห่งการทำสงครามทางการทหาร (The fifth domain of warfare) นอกเหนือจาก พื้นดิน ผืนฟ้า อากาศ และอวกาศ โดยปัจจุบันประเทศสหรัฐอเมริกาและองค์การสนธิสัญญาแอตแลนติกเหนือหรือนาโต (NATO) ได้กำหนดให้โลกไซเบอร์สเปซ (Cyberspace) เป็นโดเมนแห่งสงคราม และจัดตั้งกองกำลังทางทหารด้วยแล้ว ในขณะที่ในยุคโบราณพื้นดินถูกห้อมล้อมไปด้วยผืนน้ำ ผืนน้ำถูกห้อมล้อมไปด้วยอากาศ อากาศ ถูกห้อมล้อมไปด้วยอวกาศ ในขณะที่ไซเบอร์สเปซนั้นไร้ขอบเขตจำกัด ถือว่าเป็นโดเมนหนึ่ง ที่มีความสำคัญในการสู้รบเอาชนะฝ่ายตรงข้าม (แผนภาพที่ 3-1) ประเทศสหรัฐอเมริกาและประเทศจีนได้ให้ความสำคัญกับเรื่อง สงครามไซเบอร์ (Cyber warfare) ถึงขนาดให้การสนับสนุนให้มีการผลิตนักรบไซเบอร์ (Cyber warriors) ขึ้นมาประจำการในกองกำลังทหาร เพื่อเสริมสร้างกำลังอำนาจทางทหาร ซึ่งเป็นกำลังอำนาจแห่งชาติ (National power) ที่สำคัญด้านหนึ่ง

อย่างไรก็ตาม หลายประเทศยังคงให้ความสำคัญกับการคุ้มครองโลกไซเบอร์สเปซของตนเอง จากการคุกคามและการโจมตีทางไซเบอร์ทางกายภาพจากภายนอกประเทศ โดยไม่คำนึงถึงการคุกคามในระดับผู้ใช้งาน (Practical level)

Hao Yeli (2560) ได้เสนอทฤษฎีสามมุมมอง (Three perspective theory) เพื่ออภิปรายถึงปัญหาของการรุกล้ำอธิปไตยทางไซเบอร์ (Cyber sovereignty) โดยสามารถแบ่งชั้นของการรุกล้ำออกเป็น 3 ระดับ ในลักษณะของพีระมิด ดังปรากฎในแผนภาพที่ 3-2

  1. ระดับล่างสุดของพีระมิด หรือฐานพีระมิดคือ ระดับการรุกล้ำทางกายภาพ (Physical level) หมายถึงโครงสร้างพื้นฐานทางไซเบอร์สเปซและโครงสร้างพื้นฐานทางเทคนิค (Technical foundation) การป้องกันคือ การพัฒนามาตรฐานระบบป้องกันภัยคุกคามทัดเทียมมาตรฐานระดับโลกการสร้างความเชื่อมโยงกันของระบบเทคโนโลยีสารสนเทศ และการพัฒนาขีดความสามารถ ในการป้องกันภัยคุกคามไซเบอร์
  2. ระดับกลางพีระมิดคือ ระดับแอพพลิเคชั่น (Application level) หมายถึง แพลตฟอร์มและตัวกลางที่เชื่อมโยงภาคส่วนต่าง ๆ เข้าด้วยกัน อาทิ เทคโนโลยี วัฒนธรรม เศรษฐกิจ การค้า และการใช้ชีวิตประจำวันของประชาชน การป้องกันคือ การสร้างดุลยภาพและความร่วมมือระหว่างหน่วยงานรัฐและเอกชนเพื่อรักษาสมดุลระหว่างความเป็นอิสระเสรีและความมั่นคง
  3. ระดับยอดของพีระมิด (Top or core level) ประกอบด้วยรากฐานความมั่นคงของรัฐ ได้แก่ นโยบายรัฐ กฎหมาย เสถียรภาพทางเมือง และอุดมการณ์ทางการเมือง และโครงสร้างของความหลากหลาย เช่น ศาสนา และวัฒนธรรม เป็นต้น การป้องกันคือ การสร้างความร่วมมือระหว่างภาครัฐและภาคส่วนอื่นๆ (Multi-stakeholder) การกำหนดนโยบายและกติกาการใช้งานระบบอินเทอร์เน็ตร่วมกัน ทั้งนี้ บางรัฐอาจมีอำนาจตามกฎหมายในการควบคุมโครงสร้างพื้นฐานด้านข้อมูลสารสนเทศของประเทศ

ตัวอย่างประเทศที่ป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ได้สำเร็จ คือ ประเทศจีน ขอบเขตของความปลอดภัยทางไซเบอร์ของจีนกว้างขวางกว่าของชาติตะวันตก ในขณะที่ชาติตะวันตกเน้นเรื่องความปลอดภัยของระบบและโครงสร้างพื้นฐานเป็นสำคัญ ในประเทศจีน ความปลอดภัยทางไซเบอร์มีความหมายกว้าง โดยรวมถึงการรักษาเสถียรภาพทางการเมืองและสังคมด้วย โดยประเทศจีนสามารถควบคุมการใช้อินเทอร์เน็ตของพลเมืองภายในประเทศตนเองได้ การคุ้มครองข้อมูลส่วนบุคคลให้อำนาจรัฐบาลในการเข้าถึงข้อมูลเหล่านั้น ผู้ให้บริการทางโครงข่ายระบบโครงสร้างพื้นฐานที่สำคัญมีความรับผิดชอบในการปกป้องความมั่นคงของรัฐด้วย มีการเร่งพัฒนาศักยภาพด้านไซเบอร์ให้มีเทคโนโลยีและนวัตกรรมเป็นของตนเอง โดยได้ดำเนินโครงการ National public security work informational project ตั้งแต่ปี 2541 ซึ่งมีโครงการย่อย ภายใต้ชื่อกำแพงเมืองจีนบนโลกออนไลน์ “The great firewall” หรือ “GFW” ใช้ทางผ่านอินเทอร์เน็ต 3 ช่องทาง อยู่ที่ปักกิ่ง เซี่ยงไฮ้ และกว่างโจว ในด้านเทคนิคถือว่ามี 3 ช่องทาง แต่ในด้านการควบคุมเป็น “National gateway” ซึ่งพัฒนามาเป็นลำดับตลอดระยะเวลา 20 ปี ที่ผ่านมา และมีการออกกฎหมายควบคุม Virtual private networks (VPN) หรือ “เครือข่ายส่วนตัวเสมือน” ที่ไม่ได้รับอนุญาต ซึ่งเป็นบริการที่ช่วยให้ชาวจีนสามารถเชื่อมต่อกับอินเทอร์เน็ตได้ โดยไม่ต้องการผ่าน National gateway ทำให้เครือข่าย VPN บางเครือข่ายไม่สามารถใช้งานได้ และบางรายถูกปิดอย่างถาวร

ด้วยเหตุนี้เว็บไซต์ที่คนใช้กันอย่างแพร่หลายทั่วโลก เช่น Facebook Youtube Twitter Google Instagram LINE dropbox ไม่สามารถใช้งานในประเทศจีนได้ โดยประเทศจีนได้สร้างสังคมออนไลน์ใช้ภายในประเทศขึ้นมามากมาย เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google แอพพลิเคชั่นไป่ตู้แมพ (Baidu map) ซึ่งเป็นบริการค้นหาสถานที่คล้ายกับ Google map เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) ซึ่งคล้ายกับ Twitter วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศเวียดนาม กัมพูชา และเมียนมา กำลังพัฒนาศักยภาพด้านไซเบอร์เชิงรุกเช่นกัน โดยที่รัฐบาลของมาเลเซีย อินโดนีเซีย สิงคโปร์ และเวียดนาม สนับสนุนให้ภาคเอกชนพัฒนาและเริ่มใช้ Platform เป็นของตนเอง

ตัวอย่างประเทศที่อยู่ระหว่างริเริ่มการป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ คือ ประเทศออสเตรเลีย ซึ่งมีการบัญญัติกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) เมื่อเดือนธันวาคมปี 2561 ซึ่งกำหนดให้บริษัทผู้ให้บริการเทคโนโลยีคอมพิวเตอร์ และเว็บไซต์ที่ปฏิบัติการในออสเตรเลีย ต้องให้ความร่วมมือกับรัฐ ตำรวจ หรือข้าราชการในองค์การเกี่ยวกับ ความปลอดภัย เข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน โดยเจ้าหน้าที่อาจแฮกเข้าอุปกรณ์ไอที ผังมัลแวร์เพื่อทำลายการเข้ารหัส อัยการสูงสุดของออสเตรเลียมีอำนาจออกคำสั่งให้บริษัทเทคชั้นนำอย่าง Apple, Facebook และ Whatsapp สร้างโค้ดซอฟต์แวร์หรืออื่นๆ หากบริษัทปฏิเสธไม่ยอมทำตามจะเจอโทษปรับ 10 ล้านดอลลาร์ และ 5 หมื่นดอลลาร์ นอกจากนี้ บริษัทเหล่านี้อาจต้องมอบข้อมูลเกี่ยวกับสเป็คการออกแบบทางเทคโนโลยีให้กับตำรวจ เพื่ออำนวยความสะดวกในการเข้าถึงอุปกรณ์และบริการเฉพาะได้ อีกทั้งช่วยเหลือทางการออสเตรเลีย ในการพัฒนาขีดความสามารถของตนเอง และช่วยปกปิดข้อเท็จจริงเกี่ยวกับปฏิบัติการของทางการด้วย เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรม การก่อการร้าย และดูแลความมั่นคงของประเทศออสเตรเลีย

นอกจากนี้ ประเทศสิงคโปร์เป็นอีกประเทศที่ริเริ่มการป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ โดยองค์กรด้านการพัฒนาและกำกับดูแลสื่อสารสนเทศภาครัฐของสิงคโปร์ (Infocomm media development authority: IMDA) ได้ออกแนวปฏิบัติทางอินเทอร์เน็ต (Internet code of practice) ภายใต้ Broadcasting act เพื่อควบคุมเนื้อหาต้องห้ามทางออนไลน์ (Prohibited online material) ตั้งแต่ปี 2539 จนกระทั่งเมื่อปลายเดือนพฤษภาคม พ.ศ. 2556 รัฐบาลได้ประกาศให้ผู้ที่จะเปิดเว็บไซต์ข่าวจะต้องมาขึ้นทะเบียนขออนุญาตจากหน่วยงานของรัฐ ทั้งนี้ เพื่อให้สอดคล้องกับสื่อกระจายเสียงที่ต้องปฏิบัติตามแนวปฏิบัติในเรื่องการนำเสนอเนื้อหาข้อมูลข่าวสาร และหากเจ้าหน้าที่รัฐพบว่า มี “เนื้อหาต้องห้าม” จะต้องลบข้อมูลดังกล่าวภายใน 24 ชั่วโมง เนื้อหาต้องห้าม ดังกล่าว ประกอบด้วย เรื่องลามกอนาจาร ความรุนแรงแบบสุดขั้ว และเนื้อหาที่เกี่ยวข้องกับการเมือง และศาสนา องค์กรที่กำกับเรื่องสื่อของสิงคโปร์ได้แก่ The media development authority (MDA) อยู่ภายใต้กระทรวงข้อมูลและการสื่อสาร หน่วยงานแห่งนี้ก่อตั้งขึ้นในปี พ.ศ. 2546 โดยผู้บริหารองค์กรได้รับการแต่งตั้งจากรัฐบาล และมีการบัญญัติกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) หรือที่เรียกง่าย ๆ ว่า Fake news law เมื่อวันที่ 3 ตุลาคม 2562 เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ กฎหมายฉบับนี้ กำหนดโทษแก่ผู้ที่ถูกตัดสินว่าเผยแพร่ข่าวปลอมผ่านบัญชีออนไลน์ โดยผู้กระทำผิดประเภทรายบุคคลจะต้องเสียค่าปรับ 1 แสนดอลลาร์สิงคโปร์ หรือ 72,108 ดอลลาร์สหรัฐฯ หรือจำคุกเป็นเวลาถึง 10 ปี (ขั้นสูงสุด) หรือทั้งจำคุกและปรับ ขณะที่ผู้กระทำผิด ที่เป็นองค์กร จะต้องจ่ายค่าปรับขั้นสูงสุดถึง 1 ล้านดอลลาร์สิงคโปร์ กฎหมายให้อำนาจแก่รัฐบาล ในการกำหนดทิศทางการแก้ไข เพื่อบังคับให้ผู้โพสต์ข่าวปลอมบนช่องทางออนไลน์ต้องแก้ไขและ หยุดเผยแพร่ข้อมูลข่าวปลอมนั้น ๆ นอกจากนี้ รัฐบาลยังสามารถสั่งให้ผู้ให้บริการอินเทอร์เน็ตหรือตัวกลางผู้ให้บริการอินเทอร์เน็ตระงับการเข้าถึงเว็บไซต์ที่ฝ่าฝืน หรือปรับสูงถึงวันละ 20,000 ดอลลาร์สหรัฐฯ รวมสูงสุดไม่เกิน 500,000 ดอลลาร์สหรัฐฯ

กองทัพแห่งประเทศสหรัฐอเมริกาได้จัดการประชุมเชิงปฏิบัติการเกี่ยวกับปัญหา การรุกรานอธิปไตยไซเบอร์ในโลกของไซเบอร์สเปซ ในปี 2560 Cynthia (2559) ได้สรุป ผลการประชุมเชิงสัมมนาว่า สหรัฐอเมริกายังขาดยุทธศาสตร์แบบองค์รวมในการป้องกันการรุกรานอธิปไตยทางไซเบอร์ การแก้ไขปัญหาด้วยการสร้างการทำงานของหน่วยงานภาครัฐให้เป็นไปในทิศทางเดียวกัน (Whole-of-government approach) ไม่เพียงพอที่จะแก้ไขปัญหาได้ จำเป็นต้องขยายการแก้ไขปัญหาเป็นการทำงานของสังคมในทิศทางเดียวกัน (Whole-of-community) และ การทำงานของชาติในทิศทางเดียวกัน (Whole-of-nation) หมายความถึงการดึงให้ภาคเอกชน รัฐบาล และกองทัพของประเทศพันธมิตรเข้ามามีส่วนร่วมด้วย

ในขณะที่ประเทศรัสเซียมีแนวคิดว่า รูปแบบการรุกรานอธิปไตยทางไซเบอร์มีอยู่ 3 รูปแบบ ได้แก่ 1) การรุกรานรัฐ (State) ด้วยนโยบายการต่างประเทศ 2) การรุกรานประเทศ (National) ผ่านการเมือง วัฒนธรรม และเอกลักษณ์ของชาติ และ 3) ความชื่นชอบ (Popular) ผ่านกระบวนการรู้คิด (Cognitive processes) ของประชาชน โดยประเทศรัสเซียเริ่มมีมาตรการป้องกันการรุกรานอธิปไตยทางไซเบอร์ เช่น การห้ามนักลงทุนต่างชาติถือครองหุ้นของสื่อในรัสเซียมากกว่าร้อยละ 20 การทดลองเครือข่ายอินเทอร์เน็ตภายในประเทศ (Runet) หรืออินเทอร์เน็ตทางเลือก เพื่อควบคุมการเชื่อมต่ออินเทอร์เน็ตของประชาชนกับเครือข่ายในต่างประเทศ ซึ่งมีลักษณะเดียวกับกำแพงเมืองจีนบนโลกออนไลน์ “The great firewall” ของประเทศจีน รวมถึงมีเป้าหมายให้บริษัทเทคโนโลยีในประเทศสามารถผลิตเทคโนโลยี แอปพลิเคชัน (Application) และบริการต่าง ๆ ที่เป็นที่นิยมในกลุ่มผู้ใช้งานในประเทศขึ้นมาด้วยตัวเองเหมือนที่ประเทศจีนประสบความสำเร็จ เป็นต้น อย่างไรก็ดี รัสเซียยังประสบความล้มเหลวในการสกัดกั้นไม่ให้ประชาชนเข้าถึงแอพพลิเคชั่นสนทนา “เทเลแกรม (Telegram)” ที่บทสนทนาของผู้ใช้งานจะถูกเข้ารหัสเพื่อรักษาความเป็นส่วนตัว และการทดสอบเครือข่ายอินเทอร์เน็ตภายในประเทศ (Runet) ของรัสเซีย ไม่มีข้อมูลที่ชัดเจนว่าประสบความสำเร็จเพียงใดในการตัดการเชื่อมต่อจากโลกภายนอก

ดังนั้น เมื่อพิจารณาสถานะของการป้องกันการรุกรานทางอธิปไตยไซเบอร์ สามารถกล่าวได้ว่า ประเทศจีนเป็นประเทศที่ประสบความสำเร็จประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศ ที่กำลังตามหลังประเทศจีน และริเริ่มมาตรการการป้องกันอธิปไตยไซเบอร์ ได้แก่ ประเทศออสเตรเลีย และประเทศสิงคโปร์ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ ในขณะที่ เมื่อพิจารณาขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยไซเบอร์ได้ หากไม่มีการวางระบบป้องกันด้านไซเบอร์ของประเทศที่เพียงพอ

วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย

1. วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย

1.1 ประเทศไทยไม่มีการพัฒนาเทคโนโลยีและนวัตกรรมให้เป็นของตนเอง ต้องพึ่งพาแพลตฟอร์มจากต่างประเทศ ไม่มี Platform ที่ทำธุรกิจหารายได้เข้าประเทศ ลดการสูญเสียเงินตราให้กับ Platform ต่างประเทศ ทั้งนี้ จากการสำรวจสัดส่วนการใช้งานแพลตฟอร์มสื่อสังคมออนไลน์ในประเทศไทยต่อการใช้งานอินเทอร์เน็ตทั้งหมด ของ We Are Social และ Hootsuite เมื่อเดือนมกราคมปี 2563 พบว่า กว่าร้อยละ 94 ของผู้ใช้งานอินเทอร์เน็ตใช้งาน Facebook และ Youtube และแพลตฟอร์มใหม่ ๆ อย่าง Tiktok เริ่มมีสัดส่วนเพิ่มขึ้นอย่างรวดเร็ว แพลตฟอร์มทั้งหลายเหล่านี้ล้วนเป็นแพลตฟอร์มของต่างประเทศทั้งสิ้น (แผนภาพที่ 3-3)

1.2 อัตราการใช้สื่อสังคมออนไลน์และการใช้โทรศัพท์เคลื่อนที่ของประชาชน ในประเทศไทยอยู่ในระดับต้น ๆ ของโลกเมื่อเทียบกับจำนวนประชากร และในห้วงการแพร่ระบาดของโรคโควิด-19 ปรากฎชัดว่าประชาชนใช้บริการอินเทอร์เน็ตสูงขึ้นในการทำกิจกรรมที่เกี่ยวกับ การค้า การเงิน การใช้ชีวิตประจำวัน ฯลฯ ทั้งระดับองค์กร และประชาชนรายบุคคล ทั้งนี้ จากการสำรวจของ We Are Social และ Hootsuite เมื่อเดือนมกราคมปี 2563 พบว่า จำนวนผู้ใช้งานสื่อสังคมออนไลน์ในประเทศไทยมีจำนวน 52 ล้านคน คิดเป็นร้อยละ 75 ของประชากร มีอัตราเพิ่มของจำนวนผู้ใช้งาน Social media ร้อยละ 4.7 หรือเพิ่มขึ้น 2.3 ล้านคนจากปีก่อน และผู้ใช้งานสมาร์ทโฟนร้อยละ 99 ใช้งาน Social media ด้วย (แผนภาพที่ 3-4) และจากข้อมูลงานวิจัยของ Kantar GREYnJ United และ Mindshare (Thailand) พบว่า คนไทยมีความตื่นตัวกับการใช้ Social media อย่างมาก ทั้งเพื่อติดตามสถานการณ์ และข้อมูล COVID-19 และเพื่อคลายเหงา ซึ่งเกิดจากการมี Emotional engagement กับสถานการณ์การแพร่ระบาดของโรค COVID-19 โดยพฤติกรรมและไลฟ์สไตล์ของคนไทยร้อยละ 63 ลดการเข้าสังคม /พบปะผู้คน และหันไปกระทำกิจกรรมบน Social media มากขึ้น

1.3 ไซเบอร์มีแนวโน้มที่จะถูกนามาใช้ทั้งเชิงรุกและเชิงรับในการปฏิบัติการทางทหารมากขึ้น ซึ่งอาจสามารถเอาชนะกันได้ตั้งแต่ต้นโดยไม่ต้องใช้อาวุธหรือการรบเกิดขึ้นจริง และในสงครามผสมผสาน (Hybrid war) ซึ่งเป็นสงครามที่มีการผสมผสานกำลังตามแบบและกำลังนอกแบบปฏิบัติการทางทหารร่วมกันอย่างแยกไม่ออก โดยอยู่ในรูปแบบ “สงครามข่าวสาร” (Information warfare) ที่เข้าถึงประชาชนได้ง่ายผ่านสื่อสังคมออนไลน์ เช่น การใช้เพจ Facebook หรือ Twitter สร้างมวลชนที่ต่อต้านอำนาจรัฐและสถาบันหลักของชาติ ข่าวสาร ที่บิดเบือนความจริงที่นำไปสู่การขาดความเชื่อมั่นต่อรัฐและสถาบันหลักของชาติ หรือการสื่อสารกันโดยตรงที่ยากที่จะตรวจจับ เป็นต้น

1.4 ภัยคุกคามจากตัวแสดงที่ไม่ใช่รัฐ (Non-state actor) เช่น อาชญากร กลุ่มผู้ก่อการร้าย กลุ่มค้ายาเสพติด กลุ่มการพนันออนไลน์ เป็นต้น มีแนวโน้มจะใช้/แสวงประโยชน์ ใช้ไซเบอร์ในการปฏิบัติการมากขึ้น รวมถึงกลุ่มตรงข้าม/ศัตรูทางการเมืองจะใช้ประโยชน์ในกิจกรรมทางการเมืองมากขึ้นเช่นกัน โดยเฉพาะการใช้ Social media ที่มีการใช้ อย่างแพร่หลายในการเลือกตั้งสำคัญต่าง ๆ เนื่องจากเครื่องมือในการสื่อสารที่มีพลังอำนาจสูงในการสร้างความเปลี่ยนแปลงให้เกิดขึ้นได้ในสังคม เป็นช่องทางการสื่อสารระหว่างพรรคการเมือง แกนนำทางการเมืองและแกนนำทางการเคลื่อนไหว และใช้ในการติดต่อสื่อสารกับผู้สนับสนุน ระดมบุคลากรและทรัพยากรในการเคลื่อนไหวทางการเมือง ส่งผลให้นักการเมืองและพรรคการเมือง สามารถใช้ Social media ในการหาเสียง โจมตีให้ร้ายคู่แข่ง สร้างความเกลียดชัง และสร้างความรู้สึกแตกแยกให้เกิดขึ้นในสังคมได้ ผู้ติดตามใน Social media เป็นผู้ช่วยแชร์ (Share) และกระจายข้อมูลไปยังกลุ่มเพื่อนและเครือข่ายของตนได้อย่างรวดเร็ว

1.5 มีบุคคล/กลุ่มบุคคลใช้ไซเบอร์ เป็นเครื่องมือบ่อนทำลายสถาบันหลักของชาติ โดยการปฏิบัติการข่าวสาร (Information Operation: IO) การโฆษณาชวนเชื่อ การบิดเบือนข้อมูลที่กระทำซ้ำ ๆ และการปลูกฝังแนวความคิดที่กระทบต่อความมั่นคง (ในรูปแบบการแอบแฝง/ทำซ้ำ/จิตวิทยาหมู่) รวมถึงมีแนวโน้มที่จะมีการใช้เพื่อประโยชน์ทางการเมืองมากขึ้น ทั้งด้วยเครื่องมือ เทคนิค/วิธีการ และเทคโนโลยี ตลอดจนการระดมกลุ่มที่มีแนวคิดเดียวกันด้วยสื่อออนไลน์ (วิธีการทางไซเบอร์) เช่น เว็บไซต์หมิ่นสถาบันพระมหากษัตริย์ เพจ Facebook จาบจ้วงสถาบันพระมหากษัตริย์ ข้อความหมิ่นสถาบันพระมหากษัตริย์ทาง Facebook และ Youtube channel ที่บิดเบือนบ่อนทำลายสถาบันหลักของชาติ เป็นต้น

1.6 บริษัทต่างชาติที่ครอบครองเทคโนโลยีและนวัตกรรมใช้ประโยชน์ดูดซับความมั่งคั่งออกไปนอกประเทศ โดยอำนาจการจัดเก็บเสียภาษีตามกฎหมายของประเทศไทย ยังไม่ครอบคลุม โดยประมวลรัษฎากรและอนุสัญญาภาษีซ้อน (Double tax agreement: DTA) ที่ประเทศไทยลงนามกับประเทศคู่สัญญา 60 ประเทศ กำหนดให้บริษัทต่างชาติที่มีกิจการในประเทศไทย หรือมีตัวแทนที่ขายในประเทศไทย มีหน้าที่เสียภาษีเงินได้นิติบุคคล เฉพาะกรณีมี สถานประกอบการถาวรอยู่ในไทย (Permanent establishment: PE) เช่น สำนักงาน สาขา โรงงาน เป็นต้น เฉพาะเงินได้ในส่วนที่เป็นของ PE ซึ่งบริษัทต่างชาติที่ใช้แพลตฟอร์มในการประกอบธุรกิจให้บริการในประเทศไทย เช่น Facebook Youtube Google Twitter เป็นต้น มักจะหลีกเลี่ยง การจัดตั้ง PE ในประเทศไทย ทำให้ประเทศไทยไม่สามารถจัดเก็บภาษีเงินได้จากบริษัทต่างชาติได้ นอกจากนี้ กรณีที่มีการจ่ายเงินได้ให้บริษัทต่างชาติ ประมวลรัษฎากรได้ยกเว้นภาษี หัก ณ ที่จ่าย สำหรับเงินได้ตามมาตรา 40 (8) (เงินได้จากการธุรกิจ การพาณิชย์ การเกษตร การอุตสาหกรรม การขนส่ง หรือการอื่น เช่น ค่าจ้างโฆษณา ค่าเบี้ยประกันภัย ค่าธรรมเนียมที่เกี่ยวกับการพาณิชย์ เป็นต้น) ด้วยเหตุนี้ กรณี Youtube และ Facebook มีเงินได้ค่าโฆษณาจากประเทศไทย ซึ่งเป็นเงินได้ประเภท 40 (8) ผู้จ่ายเงินได้ค่าโฆษณาไปให้แพลตฟอร์มต่างประเทศ ซึ่งส่วนใหญ่ เป็นผู้ประกอบการไทย จึงไม่มีหน้าที่หักภาษีเงินได้ ณ ที่จ่าย นำส่งกรมสรรพากร ตามมาตรา 70 แห่งประมวลรัษฎากร

1.7 หน่วยงานที่เป็นกลไกตามกฎหมาย (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒) ยังอยู่ระหว่างการจัดตั้งและขับเคลื่อน แม้ว่าหน่วยงานด้านความมั่นคง โดยเฉพาะกองทัพมีการจัดตั้งหน่วยงานด้านไซเบอร์ขึ้นมารับผิดชอบแล้ว เช่น การจัดตั้งศูนย์ไซเบอร์กองทัพบก (Army cyber center) ในปี 2559 การจัดตั้งศูนย์ไซเบอร์ กรมเทคโนโลยีสารสนเทศและอวกาศกลาโหม ในปี 2560 เป็นต้น ทั้งนี้ ปัจจุบัน ณ เดือนมิถุนายน 2563 สำนักงานตำรวจแห่งชาติ อยู่ระหว่างการจัดตั้งกองบัญชาการ “ตำรวจไซเบอร์” เพื่อแยกหน้าที่กับหน่วยปฏิบัติให้มีความชัดเจน เนื่องจากปัจจุบัน สำนักงานตำรวจแห่งชาติมีเพียงหน่วยงานกองบังคับการปราบปรามอาชญากรรมทางเทคโนโลยี หรือ บก.ปอท. ซึ่งเป็นระดับกองบังคับการ เท่านั้น นอกจากนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยังอยู่ระหว่างการจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ภายใต้อำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

1.8 กฎหมายที่เกี่ยวข้อง (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้านความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต ช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์ ทั้งนี้ กฎหมายที่เกี่ยวข้องส่วนใหญ่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพและภัยคุกคามทางไซเบอร์เป็นหลักไม่ครอบคลุมถึงการรุกรานทางความคิดผ่านเครือข่ายสังคมออนไลน์และอธิปไตยทางไซเบอร์

2. วิเคราะห์การขับเคลื่อนทางยุทธศาสตร์ในช่วงที่ผ่านมา

2.1 การป้องกันการรุกล้ำอธิปไตยไซเบอร์ภายใต้ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580)
รัฐบาลพลเอก ประยุทธ์ จันทร์โอชา ได้ให้ความสำคัญกับความมั่นคงปลอดภัยทางไซเบอร์ โดยมีวัตถุประสงค์เพื่อป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ และรักษาความมั่นคงปลอดภัยทางไซเบอร์ของชาติ โดยกำหนดให้ความมั่นคงปลอดภัยทางไซเบอร์ถือเป็นส่วนหนึ่งของยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) ในด้านความมั่นคง โดยแผนแม่บทย่อยจะมุ่งเน้นที่ความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์เป็นหลัก ประกอบด้วย 9 แผนงาน 15 โครงการ ที่สำคัญ (ตารางที่ 3-2) ดังนี้

ในส่วนของการให้ความสำคัญกับ “ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty)” ถูกบรรจุอยู่ในยุทธศาสตร์ชาติ 20 ปี ในประเด็นยุทธศาสตร์ชาติด้านการสร้างความสามารถในการแข่งขัน ประเด็นที่ 4.2 อุตสาหกรรมและบริการแห่งอนาคต ประเด็นย่อยที่ 4.2.5 อุตสาหกรรมความมั่นคงของประเทศ เพื่อสร้างอุตสาหกรรมที่ส่งเสริมความมั่นคงปลอดภัยทางไซเบอร์ และเพื่อปกป้องอธิปไตยทางไซเบอร์ เพื่อรักษาผลประโยชน์ของชาติจากการทำธุรกิจดิจิทัล โดยแผนแม่บทยุทธศาสตร์ของอุตสาหกรรมความมั่นคงของประเทศได้กำหนดโครงการ ที่สำคัญเอาไว้ 3 โครงการ ดังปรากฎในตารางที่ 3-3

จะเห็นได้ว่า การให้ความสำคัญของปัญหาการรุกรานอธิปไตยทางไซเบอร์ ในยุทธศาสตร์ชาติ 20 ปี มีความหมายในเชิงการป้องกันการรุกรานระบบฐานข้อมูล โครงสร้างพื้นฐาน และการโจมตีเทคนิค ซึ่งยังไม่มีความชัดเจนในการสร้างความตระหนักรู้แก่ภาคประชาชนเพื่อป้องกันการรุกรานทางความคิด ความเชื่อ และอุดมการณ์ และการสร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสารผ่านสื่อสังคมออนไลน์ (Social media) การโฆษณาชวนเชื่อ และข่าวปลอม (Fake news) โดยเฉพาะอย่างยิ่งกลุ่มเป้าหมายที่เป็นเยาวชนและคนรุ่นใหม่ ซึ่งมีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น

2.2 การป้องกันการรุกล้ำอธิปไตยไซเบอร์ภายใต้ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสานักงานสภาความมั่นคงแห่งชาติ
สำนักงานสภาความมั่นคงแห่งชาติ (สมช.) ได้จัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) ซึ่งเป็นแนวนโยบายระดับชาติฉบับแรกของไทยในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่กำหนดยุทธศาสตร์ที่สำคัญ 6 ด้าน (ตารางที่ 3-4) พร้อมทั้งมีการแต่งตั้งคณะกรรมการเตรียมการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติในปี 2560 และมีการแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (National cybersecurity committee: NCSC) (กมช.) ซึ่งมีนายกรัฐมนตรีเป็นประธาน และคณะกรรมการกำกับดูแลด้านความั่นคงปลอดภัยไซเบอร์ (กกม.) ซึ่งมีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

จะเห็นได้ว่า ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. ส่วนใหญ่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพ และภัยคุกคามทางไซเบอร์เป็นหลัก มีเพียงยุทธศาสตร์เดียวที่กล่าวถึงการสร้างความรู้ทางดิจิทัลให้แก่ประชาชน แต่เป็นการสร้างความรู้เฉพาะในด้านการเคารพสิทธิและเสรีภาพขั้นพื้นฐานของผู้อื่นบนโลกไซเบอร์ และตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เป็นการคุมทางกายภาพ มิใช่การรุกรานทางความคิดและอธิปไตยทางไซเบอร์

วิเคราะห์ความสอดคล้องยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกับการแก้ปัญหาอธิปไตยไซเบอร์ในระดับสากล

เมื่อพิจารณาเปรียบเทียบยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ 5 ปี (พ.ศ. 2560 – 2564) กับกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity capacity centre แห่ง University of Oxford (ตารางที่ 3-5) จะเห็นได้ว่า ประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติครอบคลุมทุกมิติของแนวคิด CMM แล้ว แต่หากพิจารณาในรายละเอียดจะพบว่า แผนงานที่ 7 การสร้างความตระหนักรู้ประชาชนและหน่วยงาน เน้นเฉพาะในการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ตามมิติที่ 2 ของ CMM ส่วนแผนงานที่ 5 การปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนาบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทันการละเมิดข้อมูลส่วนบุคคล และนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์” ตามมิติที่ 2 ของ CMM เช่นกัน

สำหรับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. มีเพียงยุทธศาสตร์เดียวที่กล่าวถึงการสร้างความรู้ทางดิจิทัลให้แก่ประชาชน แต่เป็นการสร้างความรู้เฉพาะในด้านการเคารพสิทธิและเสรีภาพขั้นพื้นฐานของผู้อื่นบนโลกไซเบอร์ และตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เป็นการคุมทางกายภาพ มิใช่การรุกรานทางความคิดและ “อธิปไตยทางไซเบอร์ (Cyber sovereignty)” ตามมิติที่ 2 ของ CMM นอกจากนี้ ถึงแม้ว่า ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. ครอบคลุมทุกมิติของแนวคิด CMM แล้ว แต่ในมิติที่ 3 ของ CMM ในเรื่อง Cybersecurity education, training and skills แต่กลับไม่มียุทธศาสตร์รองรับ มีเพียงแนวทางการดำเนินการที่ 2.8 ภายใต้ประเด็นยุทธศาสตร์ที่ 2 การปกป้องโครงสร้างพื้นฐานสำคัญ ที่พูดถึงเฉพาะเรื่องการพัฒนาศักยภาพของบุคลากรในภาครัฐ แต่ไม่ครอบคลุมถึงกลุ่มเยาวชนและประชาชนทั่วไป ซึ่งจำเป็นต้องมีการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสมกับแต่ละช่วงวัยแต่ตั้งระดับประถมศึกษา และใน มิติที่ 4 ของ CMM ในเรื่อง Legal and regulatory frameworks ก็ไม่มียุทธศาสตร์รองรับ มีเพียงแนวทางการดำเนินการที่ 2.7 ภายใต้ประเด็นยุทธศาสตร์ที่ 2 การปกป้องโครงสร้างพื้นฐานสำคัญ ที่พูดถึงการร่างและปรับปรุงกฎหมาย ระเบียบปฏิบัติ และข้อกำหนด เพื่อกำกับและวางกรอบการรักษาความมั่นคงปลอดภัยไซเบอร์

ดังนั้น จึงควรนำ Cybersecurity capacity maturity model (CMM) มาใช้เป็นกรอบแนวคิดในการพัฒนาและขับเคลื่อนยุทธศาสตร์ชาติ และยุทธศาสตร์การดูแลความมั่นคงปลอดภัยทางไซเบอร์

สรุป

จากการศึกษายุทธศาสตร์ในการป้องกันการรุกรานทางอธิปไตยไซเบอร์ของต่างประเทศ พบว่า ประเทศจีนเป็นประเทศที่ประสบความสำเร็จเพียงประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศ ออสเตรเลีย และศสิงคโปร์ กำลังตามหลังประเทศจีน โดยริเริ่มมาตรการการป้องกันการรุกรานอธิปไตยทางไซเบอร์แล้ว ได้แก่ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act: AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือ เป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ ในขณะที่ เมื่อพิจารณา ขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือพลังอำนาจอ่อน (Soft power) รุกรานอธิปไตยไซเบอร์ได้

กรณีของประเทศไทย ความไม่พร้อมในการรับมือปรากฏการณ์ Social media และ การสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) รัฐบาลยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติ 20 ปี (2561 – 2580) มีแผนงานการสร้างความตระหนักรู้ประชาชนและหน่วยงาน ที่เน้นเฉพาะในการการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ และแผนงานการปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนาบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทัน การละเมิดข้อมูลส่วนบุคคลและนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์”

 

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 4

สวัสดีครับ จากผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ: ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ในตอนที่ 4 นี้ ยังคงอยู่ในบทที่ 2 ซึ่งเป็นการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้องกันต่อนะครับ และในตอนนี้จะเป็นหัวข้อของ กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล

กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล

1. กรอบแนวคิดการพัฒนายุทธศาสตร์ของสหภาพโทรคมนาคมระหว่างประเทศ (International Telecommunication Union: ITU)

สหภาพโทรคมนาคมระหว่างประเทศ (ITU) ได้ร่วมกับธนาคารโลก (World bank) สำนักเลขาธิการประเทศเครือจักรภพ (Commonwealth secretariat: ComSec) องค์กรโทรคมนาคมประเทศเครือจักรภพ (Commonwealth telecommunication organization: CTO) องค์การนาโต (NATO) หน่วยงานความมั่นคงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ของนาโต (Cooperative cyber defence centre of excellence: CCD COE) องค์กรระหว่างประเทศ และบริษัทที่ปรึกษาจากภาคเอกชนชั้นนำ ในการจัดทำและเผยแพร่คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) สำหรับผู้นำประเทศและผู้กำหนดนโยบาย ในปี 2561

ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) มีลักษณะสำคัญ ดังนี้

  • การแสดงถึงวิสัยทัศน์ เป้าหมายสูงสุด หลักการ และลำดับความสำคัญของประเด็นที่จะขับเคลื่อนประเทศให้พ้นจากปัญหาความมั่นคงปลอดภัยไซเบอร์
  • ภาพรวมของผู้มีส่วนเกี่ยวข้องกับการพัฒนาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศและบทบาทหน้าที่ความรับผิดชอบของแต่ละภาคส่วน
  • รายละเอียดของขั้นตอน โครงการ ความคิดริเริ่ม (Initiatives) ของประเทศในการปกป้องโครงสร้างพื้นฐานทางไซเบอร์ของประเทศ และการยกระดับความปลอดภัยและความทนทานทางไซเบอร์

ในส่วนของสาระสำคัญของคู่มือกรอบแนวคิดได้แบ่งองค์ประกอบที่สำคัญออกเป็น 3 ส่วน ได้แก่ 1) ขั้นตอนของการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ 2) ลักษณะที่สำคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 3) แนวปฏิบัติที่ดีเกี่ยวกับปัจจัยสำคัญที่จะทำให้ประเทศบรรลุเป้าหมายของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ โดยมีเนื้อหาที่สำคัญ ดังนี้

1.1 ขั้นตอนของการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ

คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) เสนอขั้นตอนของการพัฒนายุทธศาสตร์ 5 ระยะ ดังนี้

1.1.1 ระยะที่ 1: ระยะเริ่มต้น (Initiation) ประกอบด้วย

1.1.1.1 การระบุหน่วยงานรับผิดชอบหลัก (Identifying the lead project authority)
1.1.1.2 การแต่งตั้งคณะกรรมการขับเคลื่อน (Establishing a steering committee)
1.1.1.3 การระบุหน่วยงานหรือผู้มีส่วนเกี่ยวข้องในการพัฒนายุทธศาสตร์ (Identifying stakeholders to be involved in the development of the Strategy)
1.1.1.4 การวางแผนการพัฒนายุทธศาสตร์ (Planning the development of the strategy)

1.1.2 ระยะที่ 2: ระยะประเมินตรวจสอบและวิเคราะห์ (Stocktaking and Analysis) ประกอบด้วย

1.1.2.1 การประเมินสภาวะความมั่นคงปลอดภัยไซเบอร์ของประเทศ (Assessing the national cybersecurity landscape)
1.1.2.2 การประเมินสภาวะความเสี่ยงทางไซเบอร์ (Assessing the cyber-risk landscape)

1.1.3 ระยะที่ 3: กำหนดยุทธศาสตร์ความมั่นคงไซเบอร์ระดับชาติ (Production of the national cybersecurity strategy) ประกอบด้วย

1.1.3.1 การยกร่างยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (Drafting the national cybersecurity strategy)
1.1.3.2 การปรึกษาหารือกับผู้มีส่วนเกี่ยวข้องทุกภาคส่วน (Consulting with a broad range of stakeholders)
1.1.3.3 การขอความเห็นชอบยุทธศาสตร์ (Seeking formal approval)
1.1.3.4 การเผยแพร่ยุทธศาสตร์ให้มีผลใช้บังคับ (Publishing the strategy)

1.1.4 ระยะที่ 4: การขับเคลื่อนและใช้บังคับ (Implementation) ประกอบด้วย

1.1.4.1 การพัฒนาแผนปฏิบัติงาน (Developing the action plan)
1.1.4.2 การพิจารณาโครงการนำร่องที่สามารถนำไปปฏิบัติได้จริง (Determining initiatives to be implemented)
1.1.4.3 การจัดสรรทรัพยากรบุคลากรและงบประมาณเพื่อการขับเคลื่อนแผนปฏิบัติงาน (Allocating human and financial resources for the implementation)
1.1.4.4 การกำหนดกรอบระยะเวลา และตัวชี้วัด (Setting timeframes and metrics)

1.1.5 ระยะที่ 5: การติดตามและประเมินผล (Monitoring and evaluation)

1.1.5.1 การกำหนดขั้นตอนการดำเนินงาน (Establishing a formal process)
1.1.5.2 การติดตามความคืบหน้าของการขับเคลื่อนยุทธศาสตร์ (Monitoring the progress of the implementation of the strategy)
1.1.5.3 การประเมินผลการขับเคลื่อนยุทธ์ศาสตร์ (Evaluating the outcome of the strategy)

แผนภาพที่ 2-4 ขั้นตอนของการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ ของสหภาพโทรคมนาคมระหว่างประเทศ (ITU)

1.2 ลักษณะที่สาคัญของยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์

คู่มือกรอบแนวคิดในการจัดทำยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity strategy) เสนอลักษณะที่สำคัญของยุทธศาสตร์ 9 ประการ ดังนี้

1.2.1 วิสัยทัศน์ของรัฐบาลและสังคมที่ชัดเจน (Clear vision)

การกำหนดจุดหมายปลายทางของวิสัยทัศน์จะประสบความสำเร็จได้ หากผู้มีส่วนเกี่ยวข้องเข้าใจถึงเหตุผลความจำเป็นของยุทธศาสตร์ เป้าหมายของยุทธศาสตร์ ต้องการบรรลุยุทธศาสตร์เกี่ยวกับอะไร และใครได้รับผลกระทบจากการขับเคลื่อนยุทธศาสตร์ วิสัยทัศน์ที่มีความชัดเจน ทำให้ผู้นำประเทศ และผู้มีส่วนเกี่ยวข้องมีความเชื่อมั่นในกระบวนการขับเคลื่อนยุทธศาสตร์ ทำให้เกิดความร่วมมือและการร่วมดำเนินงานเพื่อขับเคลื่อนยุทธศาสตร์ การกำหนดวิสัยทัศน์ควรพิจารณาพลวัตของการเปลี่ยนแปลงสภาพแวดล้อมทางไซเบอร์ด้วย เพื่อให้การกำหนดกรอบระยะเวลาขับเคลื่อนยุทธศาสตร์สอดคล้องกับวิสัยทัศน์

1.2.2 ความเข้าใจต่อสภาพแวดล้อมทางไซเบอร์ของประเทศและการจัดลำดับประเด็นสำคัญของประเทศ (Comprehensive approach and tailored priorities)

ปัญหาความมั่นคงปลอดภัยทางไซเบอร์มิได้เป็นเพียงความท้าทายทางเทคนิค แต่เป็นประเด็นปัญหาที่มีหลายแง่มุมและมีความซับซ้อน ไม่เพียงแต่มีผลกระทบต่อการเจริญเติบโตทางเศรษฐกิจและสังคม แต่ส่งผลกระทบต่อการบังคับใช้กฎหมาย ความมั่นคงของชาติ ความมั่นคงระหว่างประเทศ ความสัมพันธ์ระหว่างประเทศ การเจรจาต่อรองทางการค้า และการพัฒนาอย่างยั่งยืน และส่งผลกระทบต่ออีกหลากหลายมิติ ควรมีความเข้าใจในทุกแง่มุม ทุกมิติของสภาวะไซเบอร์ที่มีความสัมพันธ์กัน ในส่วนของการจัดลำดับประเด็นสำคัญด้านไซเบอร์ของประเทศมีความเกี่ยวข้องกับเป้าหมายและกรอบระยะเวลาของยุทธศาสตร์ รวมถึงการจัดสรรทรัพยากรทั้งบุคลากรและงบประมาณเพื่อขับเคลื่อนยุทธศาสตร์ การจัดลำดับความสำคัญของแต่ละประเทศอาจมีความแตกต่างกัน ประเด็นปัญหาความมั่นคงปลอดภัยไซเบอร์บางประเด็นอาจแยกออกไปเป็นประเด็นสำคัญหนึ่งของยุทธศาสตร์ด้านความมั่นคงของประเทศ

1.2.3 การพัฒนายุทธศาสตร์จากการมีส่วนร่วมของทุกภาคส่วน (Inclusiveness)

สภาวะทางไซเบอร์กลายเป็นภัยคุกคามต่อรัฐบาล ธุรกิจ และประชาชน ทุกภาคส่วนประสบปัญหาความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ และมีส่วนร่วมรับผิดชอบ ในการบริหารจัดการความเสี่ยงเหล่านั้น ตามบทบาทหน้าที่ความรับผิดชอบของแต่ละภาคส่วน การพัฒนายุทธศาสตร์จึงจำเป็นต้องอาศัยการมีส่วนร่วมของทุกภาคส่วน เพื่อให้การขับเคลื่อนยุทธศาสตร์ประสบความสำเร็จ การมีส่วนร่วมของทุกภาคส่วนทำให้เข้าใจถึงความต้องการของแต่ละภาคส่วน องค์ความรู้และความเชี่ยวชาญเฉพาะด้านของแต่ละภาคส่วน ย่อมช่วยในการสร้างความร่วมมือเพื่อบรรลุเป้าหมายของยุทธศาสตร์ได้

1.2.4 การสร้างความมั่งคั่งทางเศรษฐกิจและสังคม (Economic and social prosperity)

สภาพแวดล้อมทางดิจิทัลสามารถช่วยเร่งการเจริญเติบโตทางเศรษฐกิจ ความก้าวหน้าของสังคม การพัฒนาค่านิยมทางสังคม การเพิ่มขีดความสามารถในการส่งมอบบริการสาธารณะ การค้าระหว่างประเทศ การพึ่งพาสภาพแวดล้อมทางดิจิทัลมากขึ้น เพื่อขับเคลื่อนความต้องการของสังคม จึงเพิ่มความต้องการความมั่นคงปลอดภัยทางไซเบอร์ด้วย อย่างไรก็ดีความมั่นคงปลอดภัยทางไซเบอร์อาจไม่ใช่เป้าหมายสุดท้าย แต่การขับเคลื่อนยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ จะต้องสอดคล้องไปในทิศทางเดียวกับเป้าหมายกว้างของภาวะเศรษฐกิจและสังคม และต้องนำไปสู่การสร้างความเชื่อมั่นและความมั่นใจให้กับทุกภาคส่วน รวมถึงการป้องกันประเทศจากภัยคุกคามทางไซเบอร์

1.2.5 สิทธิมนุษยชนขั้นพื้นฐาน (Fundamental human rights)

การพัฒนายุทธศาสตร์ต้องคำนึงถึงสิทธิซึ่งประชาชนมีอยู่ในภาวะออฟไลน์จะต้องได้รับการคุ้มครองในภาวะออนไลน์ด้วย สิทธิมนุษยชนเป็นที่ยอมรับทั่วโลกในฐานะที่เป็นสิทธิขั้นพื้นฐาน สิทธิมนุษยชนส่วนหนึ่งรับรองโดยองค์กรสหประชาชาติภายใต้ปฏิญญาสากล ว่าด้วยสิทธิมนุษยชน (Universal declaration of human rights) และกติการะหว่างประเทศ ว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (International covenant on civil and political rights) รวมถึงกรอบความตกลงความร่วมมือระดับภูมิภาคและพหุภาคีอื่น ๆ โดยเฉพาะประเด็นในเรื่องเสรีภาพในการแสดงออก (Freedom of expression) ความเป็นส่วนตัวในการสื่อสาร (Privacy of communications) และการคุ้มครองข้อมูลส่วนบุคคล (Personal-data protection) การกำหนดยุทธศาสตร์ควรหลีกเลี่ยงอำนาจเบ็ดเสร็จ อำนาจที่ไม่เป็นธรรม หรือการสอดส่องดูแลที่ไม่เป็นไปตามกฎหมาย (Unlawful surveillance) การแทรกแซงการสื่อสาร หรือการควบคุมข้อมูลส่วนบุคคล เพื่อให้เกิดความสมดุลระหว่างความต้องการของภาครัฐและประชาชน การกำหนดยุทธศาสตร์จะต้องสร้างความมั่นใจว่าการสอดส่องดูแล การแทรกแซงการสื่อสาร การจัดเก็บข้อมูลส่วนบุคคล ต้องกระทำภายใต้กรอบกฎหมาย หรือวัตถุประสงค์ในการสืบสวนสอบสวนที่เฉพาะเจาะจงเป็นรายกรณี ภายใต้หน่วยงานของภาครัฐ ซึ่งไม่เลือกปฏิบัติ และปฏิบัติงานภายใต้หลักความถูกต้องแม่นยำและด้วยความเข้าใจ

1.2.6 การบริหารความเสี่ยงและความทนทานต่อความเสี่ยง (Risk management and resilience)

สภาพแวดล้อมทางดิจิทัลสร้างโอกาสทางเศรษฐกิจและสังคมให้กับทุกภาคส่วน ขณะเดียวกันก็สร้างความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity risk) ด้วย ยกตัวอย่างเช่น กรณีที่องค์กรใช้เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) เพื่อเร่งการพัฒนานวัตกรรม สร้างผลิตภาพการผลิตและพัฒนาขีดความสามารถในการแข่งขัน หรือ กรณีที่รัฐบาลเปิดการให้บริการสาธารณะทางออนไลน์ ปัญหาความมั่นคงปลอดภัยทางไซเบอร์อาจเกิดขึ้นได้ และอาจนำไปสู่ความเสียหายทางการเงิน ความเสียหายต่อชื่อเสียง การดำเนินธุรกิจหยุดชะงัก หยุดยั้งการสร้างนวัตกรรมได้

ความเสี่ยงต่อความมั่นคงปลอดภัยทางไซเบอร์ไม่อาจบริหารจัดการให้หมดสิ้นไปได้ เช่นเดียวกับความเสี่ยงประเภทอื่น แต่สามารถบริหารจัดการความเสี่ยงให้มีผลกระทบต่ำที่สุดได้ เพื่อจัดการกับความท้าทายนี้ การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรสนับสนุนให้ทุกภาคส่วนให้ความสำคัญกับการลงทุนเพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ และการบริหารความเสี่ยงเชิงรุก การรักษาสมดุลระหว่างการป้องกันและบริหารจัดการ ความเสี่ยง และการแสวงหาผลประโยชน์จากพลวัตของสภาพแวดล้อมทางดิจิทัล

นอกจากนี้ การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรเข้าใจถึงความจำเป็นของการบริหารจัดการความเสี่ยงอย่างต่อเนื่อง การสร้างบรรยากาศที่ดีสำหรับทุกภาคส่วนให้สามารถพึ่งพาซึ่งกันและกันได้ การบริหารจัดการความเสี่ยงของทุกภาคส่วนจะสร้างความทนทานให้กับระบบเศรษฐกิจ และกิจกรรมทางสังคมของประเทศชาติ รวมถึงจะต้องสนับสนุนให้มีการจัดทำแผนการบริหารธุรกิจอย่างต่อเนื่อง (Business continuity) ภายใต้การรับมือกับเหตุการณ์และการบริหารในสภาวะวิกฤต รวมถึงแผนการฟื้นฟูกิจการด้วย

1.2.7 กลไกขับเคลื่อนนโยบายที่เหมาะสม (Appropriate set of policy instruments)

รัฐบาลจะสามารถบรรลุเป้าหมายของการรักษาความมั่นคงปลอดภัยไซเบอร์ได้ หากทุกภาคส่วนที่เกี่ยวข้องมีการเปลี่ยนแปลงพฤติกรรม โดยส่วนใหญ่ แต่ละรัฐบาลมักจะมีกลไกหรือเครื่องมือในการขับเคลื่อนนโยบายแตกต่างกันไป ไม่ว่าจะเป็นกฎหมาย กฎระเบียบ มาตรฐาน มาตรการจูงใจ การแลกเปลี่ยนข้อมูล การให้การศึกษา การเผยแพร่กรณีศึกษาที่ดี การกำหนดบรรทัดฐานของพฤติกรรมที่เหมาะสม การสร้างสังคมของความน่าเชื่อถือ เครื่องมือขับเคลื่อนนโยบายต่าง ๆ เหล่านี้ ล้วนมีจุดแข็ง-จุดอ่อนแตกต่างกันไป การกำหนดยุทธศาสตร์ที่เหมาะสมที่สุดควรคำนึงถึงเครื่องมือหรือกลไกการขับเคลื่อนนโยบายที่เหมาะสม

1.2.8 บทบาทความเป็นผู้นำที่เด่นชัด การมอบหมายหน้าที่ความรับผิดชอบที่ชัดเจน และการจัดสรรทรัพยากรที่ชัดเจน (Clear leadership, roles, and resource allocation)

การรักษาความมั่นคงปลอดภัยไซเบอร์ ควรได้รับการส่งเสริมจากผู้บริหารสูงสุดของรัฐบาล เพื่อกำหนดภาระรับผิดชอบ (Accountability) อย่างชัดเจน ควรระบุศูนย์กลางของสายงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้ชัดเจน และทุกภาคส่วน ที่เกี่ยวข้องควรมีความเข้าใจในบทบาทความรับผิดชอบที่เกี่ยวข้องของแต่ละภาคส่วน การกำหนดยุทธศาสตร์ควรจัดสรรบุคลากร งบประมาณ และอุปกรณ์ที่จำเป็น ทั้งนี้ ลักษณะหรือคุณสมบัติที่สำคัญในเรื่องนี้มีความจำเป็นต่อกระบวนการพัฒนายุทธศาตร์ และการกำหนดแผนปฏิบัติงานภายใต้ยุทธศาสตร์ด้วย

1.2.9 สภาพแวดล้อมของความเชื่อมั่น (Trust environment)

สิทธิของผู้ใช้งานระบบดิจิทัลควรได้รับความคุ้มครอง มีความมั่นคงปลอดภัยในข้อมูล และการใช้งานระบบ เพื่อสร้างความเชื่อมั่นต่อระบบนิเวศดิจิทัลของประเทศ เพื่อให้การใช้งานเทคโนโลยีดิจิทัล นำไปสู่การสร้างโอกาสทางสังคม เศรษฐกิจ การเมือง อย่างแท้จริง การกำหนดยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ควรสนับสนุนให้เกิดนโยบาย กระบวนการ การปฏิบัติงาน ที่ส่งผลในระดับชาติ เพื่อปกป้องคุ้มครองบริการที่มีความสำคัญยิ่งยวด โดยเฉพาะการกำกับดูแลของภาครัฐทางอิเล็กทรอนิกส์ (e-governance) การพาณิชย์อิเล็กทรอนิกส์ (e-commerce) และการทำธุรกรรมการเงินทางดิจิทัล ซึ่งขับเคลื่อนได้โดยอาศัยความเชื่อมั่น (Trust) ทั้งจากประชาชนทั่วไป องค์กรภาครัฐ และภาคเอกชน ซึ่งให้บริการกับประชาชนผ่านการใช้งานเทคโนโลยีสารสนเทศและการสื่อสาร

1.3 แนวปฏิบัติที่ดีเกี่ยวกับปัจจัยสาคัญที่จะทำให้ประเทศบรรลุเป้าหมายของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

ตามแนวปฏิบัติที่ดี (Good-practice) ปัจจัยสำคัญที่ทำให้ประเทศสามารถบรรลุตามเป้าหมายที่กำหนดขึ้นภายใต้ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ มีประสิทธิภาพ ประกอบด้วย 9 ปัจจัยที่สำคัญ ดังนี้

1.3.1 การกำกับดูแลของภาครัฐ (Governance)

1.3.1.1 การสนับสนุนจากผู้บริหารสูงสุดในรัฐบาล (Ensure the highest level of support)
การกำหนดยุทธศาสตร์ควรได้รับการสนับสนุนและให้ความสำคัญจากผู้บริหารสูงสุดของรัฐบาล จะช่วยสร้างความมั่นใจได้ว่า จะมีการจัดสรรทรัพยากรอย่างเพียงพอ เพื่อขับเคลื่อนยุทธศาสตร์ และเป็นการส่งสัญญาณให้ระบบนิเวศทางดิจิทัลของประเทศในวงกว้างได้ทราบถึงความมุ่งมั่นของประเทศในการรักษาความมั่นคงปลอดภัยไซเบอร์

1.3.1.2 จัดตั้งหน่วยงานรับผิดชอบหลักที่มีความรู้ความเชี่ยวชาญเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Establish a competent cybersecurity authority)
ยุทธศาสตร์ควรกำหนดให้มีการจัดตั้งหน่วยงานรับผิดชอบหลักในการทำหน้าที่บริหารจัดการการขับเคลื่อนยุทธศาสตร์ กำหนดกระบวนการขับเคลื่อน กำหนดกระบวนการตัดสินใจ การแบ่งหน้าที่ความรับผิดชอบกับหน่วยงานที่เกี่ยวข้อง ซึ่งอาจสังกัดอยู่ต่างกรมต่างกระทรวงกัน การประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง การติดตามผลการปฏิบัติงาน ในการขับเคลื่อนยุทธศาสตร์ เพื่อให้มีความมั่นใจได้ว่า การขับเคลื่อนยุทธศาสตร์เป็นไปอย่างมีประสิทธิภาพ

1.3.1.3 การสร้างความร่วมมือของหน่วยงานภาครัฐ (Ensure intra-government cooperation)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างกลไกในการระบุหน่วยงานภาครัฐที่ได้รับผลกระทบ หรือหน่วยงานที่มีความรับผิดชอบเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างชัดเจน เพื่อสร้างข้อตกลง ความร่วมมือ และการประสานงานกันระหว่างหน่วยงานภาครัฐ เพื่อให้ทุกกระทรวงตระหนักรู้ถึงหน้าที่ความรับผิดชอบ ภารกิจ และงานที่ได้รับมอบหมาย โดยมีความต่อเนื่องในการขับเคลื่อนตามข้อตกลง ความร่วมมือ และการประสานงานดังกล่าว เช่น การกำหนดวาระการประชุมร่วมกันอย่างสม่ำเสมอ เพื่อติดตามการดำเนินงานตามแผนปฏิบัติงาน และการมีความสอดคล้องกันของนโยบายการต่างประเทศและนโยบายภายในประเทศในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งทุกกระทรวงควรมีท่าทีและจุดยืนเป็นไปในทิศทางเดียวกัน ไม่ขัดแย้งกัน หรือลดความน่าเชื่อถือของกันและกัน เป็นต้น

1.3.1.4 การสร้างความร่วมมือระหว่างทุกภาคส่วน (Ensure inter-sectoral cooperation)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างความร่วมมือระหว่างภาคเอกชนและผู้มีส่วนเกี่ยวข้องต่าง ๆ โดยภาครัฐควรเป็นตัวกลางในการสร้างความร่วมมือระหว่างทุกภาคส่วน เช่น การกำหนดเครือข่ายและกระบวนการติดต่อประสานสำหรับอุตสาหกรรมที่มีความสำคัญยิ่งยวด เพื่อการรับมือและฟื้นฟูบริการสาธารณะและโครงสร้างพื้นฐานที่มีความสำคัญจากการโจมตีทางไซเบอร์ เป็นต้น

1.3.1.5 การจัดสรรงบประมาณและทรัพยากรอย่างเพียงพอ (Allocate dedicated budget and resources)
ยุทธศาสตร์ควรกำหนดให้มีการจัดสรรทรัพยากรเพื่อขับเคลื่อนยุทธศาสตร์อย่างเพียงพอ สม่ำเสมอ และต่อเนื่อง จะช่วยวางรากฐานของความมั่นคงปลอดภัยไซเบอร์ โดยทรัพยากรหมายถึงบุคลากร งบประมาณ การสร้างความร่วมมือทุกภาคส่วน การแสดงเจตนารมณ์ทางการเมือง (Political commitment) และการแสดงบทบาทความเป็นผู้นำ (Leadership)

1.3.1.6 การพัฒนาแผนปฏิบัติงาน (Develop an implementation plan)
ยุทธศาสตร์ควรกำหนดให้มีแผนปฏิบัติงานที่ให้รายละเอียดเกี่ยวกับวิธีการบรรลุตามเป้าหมายของยุทธศาสตร์ หน่วยงานที่รับผิดชอบ ทรัพยากรที่จำเป็นในการขับเคลื่อน กรอบระยะเวลาในการขับเคลื่อน (ระยะสั้น กลาง และยาว) ขั้นตอนกระบวนการที่จะขับเคลื่อน และผลลัพธ์ที่คาดว่าจะเกิดขึ้น

1.3.2 การบริหารความเสี่ยง (Risk management)

1.3.2.1 กำหนดวิธีการบริหารจัดการความเสี่ยง (Define a risk-management approach)
ยุทธศาสตร์ควรกำหนดให้มีวิธีการบริหารจัดการความเสี่ยงเพื่อเป็นแนวทางให้กับหน่วยงานภาครัฐ และหน่วยงานผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญยิ่งยวด โดยระบุถึงทรัพย์สินและบริการที่สำคัญต่อเศรษฐกิจและสังคม ภัยคุกคามทางไซเบอร์ ปัจจัยความเสี่ยงและผลกระทบที่คาดว่าจะเกิดขึ้น การจัดลำดับความสำคัญตามความน่าจะเป็นของการเกิดเหตุการณ์ เพื่อให้รัฐบาลสามารถติดตามดูแลความเสี่ยงและบริหารจัดการได้อย่างทันการณ์

1.3.2.2 ระบุระเบียบวิธีการบริหารจัดการความเสี่ยงต่อความมั่นคงปลอดภัยไซเบอร์ (Identify a common methodology for managing cybersecurity risk)
ยุทธศาสตร์ควรกำหนดให้มีการระบุระเบียบวิธีการบริหารจัดการความเสี่ยงที่ได้มาตรฐานสากล (International standards) เพื่อเป็นแนวทางในการมอบหมายหน้าที่ความรับผิดชอบให้หน่วยงานที่เกี่ยวข้อง ปฏิบัติตามขั้นตอนกระบวนการบริหารจัดการความเสี่ยง เช่น การประเมินภัยคุกคาม การประเมินมูลค่าทรัพย์สินที่คาดว่าจะได้รับผลกระทบ การกำหนดมาตรการลดความเสี่ยง มาตรการรองรับผลกระทบจากความเสี่ยง โครงการรับรองหน่วยงานที่มีการบริหารจัดการความเสี่ยงที่ได้มาตรฐาน เป็นต้น นอกจากนี้ การออกแบบและพัฒนาโครงสร้างพื้นฐานและบริการสาธารณะ โดยคำนึงถึงการบริหารจัดการความเสี่ยง จะช่วยลดความเสี่ยง และสร้างความมั่นคงให้กับโครงสร้างพื้นฐานและบริการสาธารณะ

1.3.2.3 การพัฒนาบัญชีความเสี่ยงของแต่ละภาคส่วนเศรษฐกิจ (Develop sectoral cybersecurity risk profiles)
ยุทธศาสตร์ควรกำหนดให้มีการจัดทำบัญชีความเสี่ยง (Risk profile) สำหรับความมั่นคงปลอดภัยไซเบอร์ เพื่อใข้ในการวิเคราะห์และประเมินประเภทของภัยคุกคาม ทำให้สามารถเข้าใจมูลค่าความเสี่ยงและผลกระทบของความเสี่ยงเป็นตัวเลข ควรมีการจัดทำบัญชีความเสี่ยงในภาคส่วนเศรษฐกิจที่มีความสำคัญยิ่งยวดต่อเศรษฐกิจและสังคม บัญชีความเสี่ยงจะช่วยให้สามารถบริหารจัดการความเสี่ยงอย่างเฉพาะเจาะจงเป็นรายกรณีได้มากยิ่งขึ้น

1.3.2.4 การกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Establishing cybersecurity policies)
ยุทธศาสตร์ควรกำหนดให้มีนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้หน่วยงานที่สำคัญยิ่งยวดของประเทศ ได้แก่ หน่วยงานภาครัฐ และหน่วยงานผู้ให้บริการโครงสร้างพื้นฐาน ปฏิบัติตามข้อกำหนดหลักเกณฑ์ของนโยบาย มาตรฐานขั้นต่ำ และความปลอดภัยขั้นพื้นฐาน (Security baselines) ตามบทบาทหน้าที่ความรับผิดชอบของแต่ละหน่วยงาน เช่น ความมั่นคงปลอดภัยไซเบอร์บนระบบการจัดซื้อจัดจ้างภาครัฐทางอิเล็กทรอนิกส์ เป็นต้น

1.3.3 การเตรียมความพร้อมและความทนทาน (Preparedness and resilience)

1.3.3.1 การพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ (Establish cyber-incident response capabilities)
ยุทธศาสตร์ควรกำหนดให้มีการพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ โดยการจัดตั้งทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) ทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response teams: CSIRTs) หรือทีมรับมือกับสถานการณ์ที่เกี่ยวกับคอมพิวเตอร์ (Computer incident response teams: CIRTs) ระดับประเทศ ซึ่งจะมีบทบาทสำคัญในการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในเชิงตั้งรับ (การรับมือและการฟื้นฟู) และเชิงรุก (การปูองกัน) รวมถึงการเพิ่มขีดความสามารถในการรับมือผ่านกลไกความร่วมมือและการสื่อสารระหว่างภาคส่วนเศรษฐกิจต่าง ๆ กับทีมรับมือกับสถานการณ์ของประเทศ และองค์กรระหว่างประเทศที่เกี่ยวข้อง

1.3.3.2 การพัฒนาและจัดทำแผนรองรับสถานการณ์ฉุกเฉินสำหรับการจัดการภาวะวิกฤตด้านความมั่นคงปลอดภัยไซเบอร์ (Establish contingency plans for cybersecurity crisis management)
ยุทธศาสตร์ควรกำหนดให้มีการพัฒนาและจัดทำแผนรองรับสถานการณ์ฉุกเฉิน (Contingency plans) ระดับประเทศ เพื่อรองรับการจัดการในสถานการณ์ฉุกเฉินหรือภาวะวิกฤตของประเทศ โดยเฉพาะแผนรองรับของระบบโครงสร้างพื้นฐานที่สำคัญยิ่งยวด ทั้งนี้ ควรคำนึงถึงผลการประเมินความเสี่ยงระดับประเทศและระดับภาคส่วนเศรษฐกิจต่าง ๆ ซึ่งสามารถส่งผลกระทบเชื่อมโยงมายังโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศได้

1.3.3.3 การสนับสนุนการแลกเปลี่ยนข้อมูล (Promote information-sharing)
ยุทธศาสตร์ควรกำหนดให้มีการสร้างกลไกการแลกเปลี่ยนข้อมูล โดยสามารถแลกเปลี่ยนข่าวกรอง และข้อมูลภัยคุกคามไซเบอร์ทั้งต่อภาคสาธารณะและภาคเอกชน การแลกเปลี่ยนข้อมูลจะช่วยให้เกิดความร่วมมือ ความแม่นยำของการสื่อสารในช่วงของการรับมือเหตุการณ์และการฟื้นฟูหลังเหตุการณ์ โดยอาจกำหนดหน่วยงานรับผิดชอบหลักในการจัดส่งและแลกเปลี่ยนข้อมูลและองค์ความรู้ที่ถูกต้อง แม่นยำ และอย่างมีประสิทธิภาพ เพื่อให้มั่นใจได้ว่า ทุกภาคส่วนสามารถเตรียมพร้อมรับมือภัยคุกคามไซเบอร์ได้อย่างทันการณ์

1.3.3.4 การฝึกซ้อมแผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ (Conduct cybersecurity exercises)
ยุทธศาสตร์ควรกำหนดให้มีการฝึกซ้อมแผนรับมือกับเหตุการณ์ ซึ่งอาจมีหลายรูปแบบ เช่น การจำลองเหตุการณ์ หรือการฝึกซ้อมเหมือนจริง โดยมุ่งเน้นกลุ่มเป้าหมายเจ้าหน้าที่ทางเทคนิคและผู้มีอำนาจตัดสินใจ การฝึกซ้อมแผนรับมือและแผนรองรับสถานการณ์ฉุกเฉินจะช่วยให้ประเทศสามารถพัฒนาขีดความสามารถในเชิงสถาบัน เพื่อให้การรับมือต่อเหตุการณ์เป็นไปอย่างมีประสิทธิภาพ เป็นการทดสอบกระบวนการบริหารจัดการ และกลไก การติดต่อสื่อสาร รวมถึงพัฒนาขีดความสามารถให้ทีมรับมือสามารถบริหารจัดการในสภาวะกดดันได้ ทั้งนี้ ควรมีการฝึกซ้อมแผนรับมือร่วมกับองค์กรระหว่างประเทศเพื่อสร้างความเชื่อมั่นและความมั่นใจ และยังเป็นการพัฒนาความทนทานและความพร้อมรับมือต่อภัยคุกคามไซเบอร์ของระดับภูมิภาคด้วย

1.3.4 ระบบบริการโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical Infrastructure services and essential services)

1.3.4.1 การกำหนดวิธีการบริหารจัดการความเสี่ยงเพื่อปกป้องบริการสาธารณะและโครงสร้างพื้นฐานที่สำคัญยิ่งยวดของประเทศ (Establish a risk-management approach to protecting critical infrastructures and services) รวมถึงโครงสร้างพื้นฐานข้อมูลที่สำคัญยิ่งยวด (Critical information infrastructures: CIIs)

1.3.4.2 การพัฒนารูปแบบการกำกับดูแลของภาครัฐและภาระความรับผิดชอบ (Adopt a governance model with clear responsibilities) ของหน่วยงานภาครัฐและผู้มีส่วนเกี่ยวข้องในการปกป้องคุ้มครองโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical infrastructures: CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs)

1.3.4.3 การกำหนดความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำหรือเป้าหมายกรณีฐานของความมั่นคงปลอดภัยไซเบอร์ (Define minimum cybersecurity baselines) สำหรับผู้ให้บริการและผู้ปฏิบัติงานในโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs) โดยควรเป็นไปตามมาตรฐานสากล หรือกรณีแนวปฏิบัติที่ดีของต่างประเทศ

1.3.4.4 การสร้างแรงจูงใจในทุกภาคส่วน (Utilise a wide range of market levers)
ยุทธศาสตร์นี้ รัฐบาลควรพิจารณากำหนดนโยบายที่มั่นใจได้ว่า ทุกภาคส่วนมีแรงจูงใจเพียงพอที่จะร่วมกันรักษาความมั่นคงปลอดภัยไซเบอร์ตามภาระหน้าที่ซึ่งตนรับผิดชอบ การประเมินช่องว่างระหว่างสิ่งที่แต่ละภาคส่วนสามารถกระทำได้กับสิ่งที่แต่ละภาคส่วนควรกระทำ ท่ามกลางสภาพแวดล้อมของความเสี่ยง จำเป็นต้องมีการประเมินสภาวะของแรงจูงใจต่าง ๆ ทั้งส่วนที่เพิ่มแรงจูงใจและลดแรงจูงใจ เพื่อให้ภาครัฐสามารถสนับสนุนให้เกิดการปฏิบัติตามสิ่งที่ควรกระทำ นั่นคือ มาตรฐานสากล และแนวปฏิบัติที่ดีของการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs)

1.3.4.5 การสนับสนุนการร่วมลงทุนระหว่างภาครัฐและภาคเอกชน (Establish public-private partnerships)
เพื่อสร้างความมั่นคงปลอดภัยไซเบอร์ให้กับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical infrastructures: CIs) และโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด (CIIs) ภาครัฐและภาคเอกชนควรมีโครงการร่วมลงทุน เพื่อสร้างความมั่นใจให้กับอุตสาหกรรม โดยผู้มีส่วนเกี่ยวข้องต้องมีความเข้าใจในเป้าหมายของการเป็นหุ้นส่วนที่เป็นไปเพื่อสร้างผลประโยชน์ด้านความมั่นคงปลอดภัยจากการทำงานร่วมกัน

1.3.5 ขีดความสามารถ การพัฒนาขีดความสามารถ และการสร้างความตระหนักรู้ (Capability and capacity building and awareness raising)

1.3.5.1 พัฒนาหลักสูตรการศึกษาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Develop cybersecurity curricula) เพื่อเร่งการพัฒนาทักษะและความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ผ่านระบบการศึกษา ตั้งแต่ระดับชั้นประถมศึกษา มัธยมศึกษา ไปจนถึงระดับอุดมศึกษา โดยบูรณาการหลักสูตรการรักษาความมั่นคงปลอดภัยไซเบอร์เข้ากับหลักสูตรที่เกี่ยวข้องกับวิทยาศาสตร์คอมพิวเตอร์ และเทคโนโลยีสารสนเทศ การสร้างคุณวุฒิปริญญาบัณฑิตด้านความมั่นคงปลอดภัยไซเบอร์ และการฝึกงานภาคปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์

1.3.5.2 ส่งเสริมการพัฒนาทักษะและฝึกอบรมการทำงานด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ (Stimulate skills development and workforce training) สำหรับตำแหน่งผู้บริหาร ผู้เชี่ยวชาญ การฝึกอบรมเพื่อการปฏิบัติงาน และนักศึกษาฝึกงาน ให้สอดคล้องตามความต้องการของอุตสาหกรรมและรัฐบาล ยุทธศาสตร์นี้ควรเร่งริเริ่มเพื่อพัฒนาเส้นทางความก้าวหน้าในสายอาชีพ และเพิ่มอุปทานด้านผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยควรสร้างความร่วมมือกับสถาบันการศึกษา ภาคเอกชน และภาคประชาสังคม

1.3.5.3 กำหนดโครงการเพิ่มความตระหนักรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Implement a coordinated cybersecurity awareness-raising programme) โดยมอบหมายหน่วยงานรับผิดชอบที่มีความเหมาะสม ผ่านโครงการรณรงค์ และกิจกรรม เพื่อเพิ่มความตระหนักรู้ในระดับประเทศ โดยเจาะจงกลุ่มเป้าหมาย เช่น ประชาชนทั่วไป เยาวชน ผู้บริโภค เป็นต้น

1.3.5.4 เร่งการพัฒนานวัตกรรม การวิจัยและพัฒนาด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Foster cybersecurity innovation and R&D) ทั้งองค์กร หน่วยงานวิจัยและพัฒนาภายในประเทศ และสร้างความร่วมมือหรือเป็นหุ้นส่วนกับองค์กรหรือ หน่วยงานวิจัยและพัฒนาในต่างประเทศ โดยกำหนดมาตรการแรงจูงใจ เช่น เงินสนับสนุน เครดิตภาษี เป็นต้น และสร้างบรรยากาศในการแข่งขัน ทั้งนี้ สาขาของการพัฒนานวัตกรรม การวิจัยและพัฒนา อาจมุ่งเน้นสาขาวิทยาศาสตร์ เช่น วิทยาการคอมพิวเตอร์ วิศวกรรมไฟฟ้า คณิตศาสตร์ประยุกต์ วิทยาการเข้ารหัสลับ (Cryptography) เป็นต้น แต่อาจมุ่งเน้นสาขาที่ไม่ใช่ทางเทคนิคด้วย เช่น สังคมศาสตร์ รัฐศาสตร์ บริหารศาสตร์ เป็นต้น

1.3.6 กฎหมายและระเบียบกฎเกณฑ์ (Legislation and regulation)

1.3.6.1 การบัญญัติกฎหมายว่าด้วยการป้องกันอาชญกรรมทางไซเบอร์ (Establish cybercrime legislation) โดยอาจเป็นการปรับปรุงแก้ไขกฎหมายที่มีอยู่แล้วในปัจจุบัน ให้มีบทลงโทษเกี่ยวกับการกระทำความผิดทางไซเบอร์

1.3.6.2 ให้ความสำคัญกับการคุ้มครองสิทธิของประชาชน ข้อมูลส่วนบุคคล และเสรีภาพในการแสดงออกของประชาชน (Recognise and safeguard individual rights and liberties) ตามหลักการของสิทธิมนุษยชนขั้นพื้นฐาน

1.3.6.3 สร้างกลไกในการปฏิบัติตาม (Create compliance mechanisms) เช่น การบังคับใช้กฎหมาย และมาตรการจูงใจ เป็นต้น รวมถึงการสืบสวนสอบสวนคดีไซเบอร์ การสกัดกั้นการสื่อสาร (Interception of communications) และการใช้หลักฐานทางดิจิทัล

1.3.6.4 สนับสนุนการเพิ่มขีดความสามารถในการบังคับใช้กฎหมาย (Promote capacity-building for law enforcement) ผ่านการจัดฝึกอบรม การสร้างความรู้ความเข้าใจ ให้แก่บุคลากรภาครัฐที่เกี่ยวข้อง เช่น ตุลาการ อัยการ ทนายความ ตำรวจผู้บังคับใช้กฎหมาย พนักงานสืบสวน ผู้เชี่ยวชาญด้านกฎหมาย เป็นต้น เพื่อให้สามารถปฏิบัติงานร่วมกับหน่วยงานที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ เช่น องค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และหน่วยงานตำรวจของสหภาพยุโรป (Europol) เป็นต้น

1.3.6.5 สร้างกระบวนการความร่วมมือระหว่างหน่วยงานภายในประเทศ (Establish inter-organisational processes) โดยมีหน่วยงานหลักที่บูรณาการอำนาจหน้าที่ความรับผิดชอบของแต่ละหน่วยงานให้ปฏิบัติตามกฎหมายว่าด้วยการป้องกันอาชญากรรมทางไซเบอร์ และปกป้องโครงสร้างพื้นฐานที่สำคัญยิ่งยวด และอาจตั้งหน่วยงานที่เกี่ยวข้องโดยตรง เช่น ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) เป็นต้น

1.3.6.6 สนับสนุนการเข้าร่วมความตกลงและร่วมมือระหว่างประเทศในการต่อต้านอาชญากรรมทางไซเบอร์ (Support international cooperation to combat cybercrime) โดยกฎหมายในประเทศควรเปิดโอกาสในการจัดทำความตกลงและความร่วมมือระหว่างประเทศ

1.3.7 ความร่วมมือระหว่างประเทศ (International cooperation)

1.3.7.1 จัดลำดับให้การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นสำคัญในการกำหนดนโยบายการต่างประเทศ (Recognise the importance of cybersecurity as a priority of foreign policy)

1.3.7.2 มีส่วนร่วมกับการประชุมระหว่างประเทศที่สำคัญ ทั้งระดับโลกและภูมิภาค ในประเด็นไซเบอร์ (Engage in international discussions)

1.3.7.3 ส่งเสริมการสร้างความร่วมมือระหว่างประเทศในด้านต่าง ๆ เช่น การพัฒากฎหมาย การบังคับใช้กฎหมาย การแลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์ เป็นต้น ทั้งในรูปแบบที่เป็นทางการและไม่เป็นทางการ ที่เกี่ยวข้องกับโลกของไซเบอร์สเปซ (Promote formal and informal cooperation in cyberspace)

1.3.7.4 พัฒนายุทธศาสตร์ของประเทศให้สอดคล้องตามแนวปฏิบัติที่ดีและแนวปฏิบัติสากลต่าง ๆ ที่เริ่มขับเคลื่อนแล้ว ทั้งในระดับภูมิภาคและทั่วโลก (Align domestic and international cybersecurity efforts)

2. กรอบแนวคิดของหน่วยงานด้านความมั่นคงปลอดภัยของเครือข่ายและข้อมูลของสหภาพยุโรป (European union agency for network and information security agency: ENISA)

หน่วยงานด้านความมั่นคงปลอดภัยของเครือข่ายและข้อมูลของสหภาพยุโรป (ENISA) ได้จัดทำคู่มือแนวปฏิบัติที่ดีในการกำหนดยุทธศาสตร์ความมั่งคงปลอดภัยไซเบอร์ระดับประเทศ (National Cybersecurity Strategy: NCSS) ในปี 2559 ซึ่งปรับปรุงจากคู่มือแนวปฏิบัติที่ดีฉบับปี 2555 เพื่อเป็นแนวทางให้กับประเทศสมาชิกของกลุ่มสหภาพยุโรปในการกำหนดยุทธศาสตร์ และการขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ประกอบด้วย 1) วัฎจักรของยุทธศาสตร์ 2) หลักการในการออกแบบและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 6 หลักการ และ 3) เป้าหมายที่สำคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ 15 ประการ โดยมีสาระสำคัญสรุปได้ ดังนี้

2.1 วัฎจักรของยุทธศาสตร์

ENISA ได้พัฒนาวัฏจักรของยุทธศาสตร์เพื่อให้มีการตรวจสอบและทบทวนยุทธศาสตร์และนโยบายที่เกี่ยวข้องอย่างต่อเนื่อง โดยกำหนดให้วัฏจักรของยุทธศาสตร์ประกอบด้วย 4 ระยะ ดังนี้

2.1.1 ระยะที่ 1 พัฒนายุทธศาสตร์ โดยมีการปรับปรุงยุทธศาสตร์ให้สอดคล้องกับสภาพและสถานการณ์ปัจจุบัน
2.1.2 ระยะที่ 2 ขับเคลื่อนยุทธศาสตร์ไปสู่การปฏิบัติ โดยมีการปรับแผนปฏิบัติงานให้สอดคล้องกับสภาพและสถานการณ์ปัจจุบัน
2.1.3 ระยะที่ 3 ประเมินผลการปฏิบัติตามยุทธศาสตร์ โดยมีการทบทวนยุทธศาสตร์เป็นระยะ
2.1.4 ระยะที่ 4 การรักษาไว้ซึ่งยุทธศาสตร์ โดยมีการพัฒนายุทธศาสตร์

2.2 หลักการในการออกแบบและพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

ยุทธศาสตร์หมายถึงแผนในการปฏิบัติเพื่อให้บรรลุเป้าหมายในระยะยาวหรือเป้าหมายในภาพรวม การออกแบบและพัฒนายุทธศาสตร์จะต้องคำนึงถึงหลักการที่สำคัญ 6 ประการ ดังต่อไปนี้

2.2.1 การกำหนดวิสัยทัศน์ ขอบเขตของภาคธุรกิจและบริการที่สำคัญ เป้าประสงค์ และจัดลำดับความสำคัญของเป้าหมายและผลกระทบต่อสังคม เศรษฐกิจ และประชาชน (Set the vision, scope, objectives and priorities)

2.2.2 ความสอดคล้องกับผลการประเมินความเสี่ยงของประเทศ (Follow a risk assessment approach) โดยมีขั้นตอนสำคัญ 3 ขั้นตอน ได้แก่ การระบุถึงความเสี่ยง (Risk identification) การวิเคราะห์ความเสี่ยง (Risk analysis) และการประเมินระดับความรุนแรงของความเสี่ยง (Risk evaluation)

2.2.3 การสำรวจนโยบาย กฎหมาย และขีดความสามารถที่มีอยู่ในปัจจุบัน (Take stock of existing policies, regulations and capabilities) เพื่อพัฒนาให้ครอบคลุมถึงประเด็นการรักษาความมั่นคงปลอดภัยไซเบอร์

2.2.4 การกำหนดโครงสร้างการกำกับดูแลหน่วยงานภาครัฐที่ชัดเจน (Set a clear governance structure) โดยกำหนดหน่วยงานรับผิดชอบ บทบาทหน้าที่ ความรับผิดชอบ รวมถึงคณะกรรมการที่ทำหน้าที่สร้างความร่วมมือและประสานงานระหว่างหน่วยงานภาครัฐ การร่วมมือระหว่างภาครัฐและภาคเอกชน (Public Private Partnership: PPP)

2.2.5 การระบุถึงและการมีส่วนร่วมจากผู้มีส่วนเกี่ยวข้อง (Identify and engage stakeholders) เพื่อสร้างความร่วมมือระหว่างหน่วยงานภาครัฐและภาคเอกชน โดยหน่วยงานภาครัฐต้องปฏิบัติตามนโยบาย กฎระเบียบ และอำนาจหน้าที่ ส่วนภาคเอกชนเป็นเจ้าของบริการและโครงสร้างพื้นฐานที่สำคัญของประเทศโดยส่วนใหญ่

2.2.6 การสร้างกลไกการแลกเปลี่ยนข้อมูลที่เชื่อถือได้ (Establish trusted information-sharing mechanisms) รวมถึงข้อมูลข่าวกรองที่สำคัญและข้อมูลจากทีมสืบสวนสอบสวนอาชญากรรมทางไซเบอร์ เพื่อช่วยให้เข้าใจถึงสภาพแวดล้อมไซเบอร์ที่เปลี่ยนแปลงไป และสามารถลดความเสี่ยงและความเปราะบางที่มีอยู่ได้

2.3 เป้าหมายที่สาคัญของยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์

2.3.1 การพัฒนาแผนรองรับสถานการณ์ฉุกเฉินด้านไซเบอร์ของประเทศ (Develop national cyber contingency plans) เพื่อใช้ในการรับมือและฟื้นฟูโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวดของประเทศ ซึ่งควรสอดคล้องกับแผนรองรับสถานการณ์ฉุกเฉินในภาพรวมของประเทศด้วย โดยกำหนดหลักเกณฑ์ในการบังคับใช้แผน แนวทางการปฏิบัติเพื่อรับมือ และกำหนดบทบาทหน่วยงานที่มีส่วนเกี่ยวข้องอย่างชัดเจน

2.3.2 การคุ้มครองโครงสร้างพื้นฐานข้อมูลที่สำคัญยิ่งยวด (Protect critical information infrastructure) โดยระบุถึงประเภทของโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญยิ่งยวด และกำหนดมาตรการลดความเสี่ยง

2.3.3 การจัดการฝึกซ้อมแผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ (Organise Cybersecurity exercises) โดยระบุถึงกระบวนการขั้นตอนและขีดความสามารถที่ต้องได้รับการทดสอบก่อนเกิดเหตุการณ์ และจัดตั้งทีมรับมือที่กำหนดอำนาจหน้าที่ความรับผิดชอบไว้อย่างชัดเจน

2.3.4 การกำหนดหลักเกณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ขั้นพื้นฐาน (Establish baseline security measures) หรือหลักเกณฑ์ระดับความปลอดภัยขั้นต่ำที่ทุกภาคส่วนต้องปฏิบัติตาม เพื่อให้หน่วยงานที่เกี่ยวข้องสามารถตรวจสอบและบ่งชี้ถึง ขีดความสามารถของตนเองได้ และทำให้สามารถจัดลำดับความสำคัญของการลงทุนด้านความมั่นคงปลอดภัยไซเบอร์ได้

2.3.5 การสร้างกลไกการรายงานเหตุการณ์ (Establish incident reporting mechanisms) เพื่อสร้างความเข้าใจต่อภาพรวมสถานการณ์ภัยคุกคามไซเบอร์ ช่วยให้สามารถประเมินผลกระทบได้ ได้ทราบถึงความเปราะบางและรูปแบบของการโจมตีทางไซเบอร์ ทำให้สามารถปรับปรุงแผนการรับมือให้เป็นปัจจุบันได้

2.3.6 การสร้างความตระหนักรู้ให้กับประชาชน เยาวชน และผู้บริโภค (Raise user awareness) โดยระบุถึงช่องว่างของความรู้ความเข้าใจหรือความตระหนักรู้จากปัญหาจากการใช้งานระบบอินเทอร์เน็ต และเติมเต็มช่องว่างนั้นด้วยการให้ความรู้และการสร้างความตระหนักรู้ ผ่านการรณรงค์ การจัดกิจกรรม การจัดการประชุม และปรับปรุงเว็บไซต์ของหน่วยงานภาครัฐ ให้ครอบคลุมเนื้อหาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น การอภิปราย การบรรยาย และการสัมมนาผ่านเว็บไซต์ เป็นต้น

2.3.7 การจัดทำโครงการฝึกอบรมและหลักสูตรการศึกษา (Strengthen training and educational programmes) ซึ่งเป็นส่วนหนึ่งของสาขาวิทยาการคอมพิวเตอร์ โดยปรับปรุงเนื้อหาให้ทันต่อสถานการณ์อย่างต่อเนื่อง เพิ่มขีดความสามารถให้กำลังแรงงานการรักษาความมั่นคงปลอดภัยทางข้อมูล ส่งเสริมให้นักศึกษาเข้าร่วมในสาขาวิชาว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ สนับสนุนให้เกิดความเชื่อมโยงกันระหว่างการรักษาความปลอดภัยทางข้อมูล ในแวดวงวิชาการ และอุตสาหกรรมความมั่นคงปลอดภัยในการรักษาความมั่นคงปลอดภัยทางข้อมูล

2.3.8 การเพิ่มขีดความสามารถในการรับมือกับเหตุการณ์ (Establish an incident response capability) โดยจัดตั้งทีมสำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ (CSIRT) ของประเทศ ซึ่งจะมีบทบาทสำคัญในการประสานความร่วมมือกับผู้มีส่วนเกี่ยวข้อง รวมถึงการร่วมมือกับทีม CSIRT ของประเทศอื่น

2.3.9 การแก้ไขปัญหาอาชญากรรมไซเบอร์ (Address cyber crime) โดยอาศัยความร่วมมือของทุกภาคส่วนและสังคม การบัญญัติกฎหมาย และการเพิ่มประสิทธิภาพของหน่วยงานด้านการบังคับใช้กฎหมาย

2.3.10 การสร้างความร่วมมือกับองค์กรระหว่างประเทศ (Engage in international cooperation) เพื่อสร้างองค์ความรู้พื้นฐานร่วมกัน และช่วยส่งเสริมผลประโยชน์ร่วมกันในการรับมือกับภัยคุกคามไซเบอร์และอาชญากรรมทางไซเบอร์ โดยระบุประเทศพันธมิตรและแง่มิติที่ต้องการสร้างความร่วมมือ และกำหนดหน่วยงานภายในประเทศให้มีหน้าที่ความรับผิดชอบในการสร้างความร่วมมือระหว่างประเทศ

2.3.11 การสร้างการร่วมมือระหว่างภาครัฐและเอกชน (Establish a public-private partnership) ซึ่งมักจะเป็นผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญของประเทศ โดยการประสานงานและร่วมมือระหว่างภาครัฐและเอกชนช่วยทำให้รัฐบาลเข้าใจถึงความต้องการของภาคเอกชน และความท้าทายที่ภาคเอกชนต้องเผชิญ การรร่วมมือระหว่างภาครัฐและเอกชน จะช่วยให้เกิดการรวมกลุ่มของผู้เชี่ยวชาญและทรัยากรที่จำเป็นในการแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์และการสร้างความทนทานต่อภัยคุกคามทางไซเบอร์

2.3.12 การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและความเป็นส่วนตัว (Balance security with privacy) โดยพิจารณาหลักเกณฑ์ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ควบคู่กับการบัญญัติกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ปรึกษาหารือกับหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลในประเด็นข้อกฎหมาย การปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลควรเป็นไปตามมาตรฐานขั้นต่ำด้านความมั่นคงปลอดภัยไซเบอร์

2.3.13 การสร้างความร่วมมือระหว่างหน่วยงานภาครัฐ (Institutionalise cooperation between public agencies) เช่น คณะกรรมการที่ปรึกษา คณะกรรมการกำกับดูแล สภา ศูนย์ปฏิบัติการ การประชุมกลุ่มผู้เชี่ยวชาญ เป็นต้น เพื่อให้เกิดการแลกเปลี่ยนข้อมูล การปรึกษาหารือ และการร่วมมือกัน จะช่วยให้การขับเคลื่อนยุทธศาสตร์ประสบผลสำเร็จได้

2.3.14 การเร่งการศึกษาวิจัยและพัฒนา (Foster R&D) เครื่องมือในการตรวจสอบ และป้องกันการโจมตีทางไซเบอร์รูปแบบใหม่ ๆ รวมถึงการระบุถึงสาเหตุของความเปราะบางต่อการโจมตีทางไซเบอร์

2.3.15 การสร้างแรงจูงใจให้ภาคเอกชนในการลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Provide incentives for the private sector to invest in security measures) วิธีที่ง่ายที่สุดในการกระตุ้นให้ภาคเอกชนลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ คือ การใช้บังคับตามกฎหมาย อย่างไรก็ดี รัฐบาลมักจะใช้วิธีการสร้างแรงจูงใจให้ภาคเอกชนมากกว่า เช่น สิทธิประโยชน์ทางภาษี การให้เงินช่วยเหลือ และการสนับสนุนเงินทุนวิจัยและพัฒนา เป็นต้น

3. กรอบโครงสร้างความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ของสถาบันมาตรฐานและเทคโนโลยี (National institute of standards and technology: NIST) ประเทศสหรัฐอเมริกา

กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ของสถาบันมาตรฐานและเทคโนโลยี (NIST) เป็นหนึ่งในกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งเป็นที่นิยมใช้อย่างมากในปัจจุบัน ไม่เพียงแค่องค์กรในประเทศสหรัฐอเมริกาเท่านั้น framework ดังกล่าวยังเป็นที่แพร่หลายไปยังทุกภูมิภาคทั่วโลก รวมไปถึงประเทศไทย หลายองค์กรเริ่มนำ Framework นี้ประยุกต์ใช้เพื่อรับมือกับภัยคุกคามไซเบอร์ Framework นี้รวบรวมเอาแนวปฏิบัติที่ดีที่สุดอันหลากหลายเข้าไว้ด้วยกัน เพื่อช่วยให้ธุรกิจองค์กรสามารถกำหนดแนวทางบังคับใช้งาน และปรับปรุงแนวทางการรักษาความมั่นคงปลอดภัย รวมถึงมีภาษากลางสำหรับใช้ในการสื่อสารประเด็นปัญหาต่าง ๆ ที่เกิดขึ้นระหว่างผู้ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ

Framework นี้นำเสนอหลักการและแนวทางปฏิบัติที่ดีที่สุดของการบริหารจัดการความเสี่ยง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ รวมไปถึงช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ ในขณะที่ธุรกิจยังคงดำเนินต่อไปได้อย่างเนื่อง โดยหัวใจสำคัญของ Framework แบ่งออกเป็น 5 ขั้นตอนที่สำคัญ ได้แก่ Identity Protect Detect Respond และ Recovery โดยสรุปได้ ดังนี้

3.1 Identify – การระบุและเข้าใจถึงบริบทต่าง ๆ เพื่อการบริหารจัดการความเสี่ยง
3.2 Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร
3.3 Detect – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ
3.4 Respond – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น
3.5 Recovery – การกำหนดขั้นตอนและกระบวนการต่าง ๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม

ทั้งนี้ แต่ละขั้นตอนหลักจะแบ่งออกเป็นขั้นตอนย่อยๆ พร้อมระบุเอกสารอ้างอิง เช่น ISO/IEC 27001:2013 , COBIT 5, NIST SP800-53 เพื่อให้ผู้อ่านนำกระบวนหรือแนวทางปฏิบัติจากเอกสารเหล่านั้นมาใช้เพื่อดำเนินการตามขั้นตอนย่อยๆ เหล่านี้ได้ทันที

ในตอนต่อไปจะกล่าวถึงเรื่องของ..การศึกษาวิจัยที่เกี่ยวกับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ติดตามกันต่อไปนะครับ
 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/