บทที่ 4
การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติของประเทศไทย และกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ใน ๕ มิติ
แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ
จากการวิเคราะห์สภาพแวดล้อมทางไซเบอร์ในภาพรวมของประเทศไทย ในเรื่อง ความมั่นคงปลอดภัยไซเบอร์ในระดับชาติ สามารถสรุปปัญหาที่สำคัญของประเทศออกเป็น 2 ปัญหาใหญ่ ดังนี้
1) ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ (Lack of national cybersecurity incident response capability and national cybersecurity defense capability)
2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ (Lack of defensive/offensive capability in cyber warfare/hybrid warfare, cybersecurity strategy for protecting cyber sovereignty at the national level)
ปัญหาใหญ่ที่ 1 เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่ เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน และรัฐได้ดำเนินการไปบ้างแล้ว ผ่านยุทธศาสตร์ชาติ 20 และการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสำนักงานสภาความมั่นคงแห่งชาติ (สมช.)
ปัญหาใหญ่ ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่ามาก เราควบคุมไม่ได้ และรัฐยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (แผนภาพที่ 4-1)
เมื่อทำการวิเคราะห์เจาะลึกลงไปในรายละเอียดของปัญหาพบว่า เราสามารถจัดกลุ่มของปัญหาใหญ่ทั้ง 2 ออกเป็น 10 ปัญหาย่อย ดังนี้
ปัญหาย่อยที่ 1 การโจมตีโครงสร้างพื้นฐานที่สำคัญยิ่งยวดในระดับประเทศ (National level critical infrastructure attack) การขาดยุทธศาสตร์ แผนงานที่มีประสิทธิภาพในการบริหารจัดการความเสี่ยงทางไซเบอร์ในระดับประเทศ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐานมีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น เช่น “พลเมืองต่อต้าน Single gateway #opsinglegateway” รณรงค์ให้มีการโจมตี DDoS กับเว็บไซต์ของหน่วยงานของรัฐ ทำให้หลายระบบสำคัญของรัฐขัดข้อง ในปี 2559 ATM 21 ตู้ของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และลอบขโมยเงิน 12 ล้านบาท มัลแวร์ที่พบคล้ายกับที่ใช้โจมตี ATM ในประเทศไต้หวันในปีเดียวกัน ในปี 2559 ระบบคอมพิวเตอร์ของ มหาวิทยาลัยธรรมศาสตร์ ถูกกลุ่ม GOP (Guardians of peace) ใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures สหรัฐอเมริกา ในปี 2557 เป็นต้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่าประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวันทั้งในระดับประชาชน องค์กร และระดับประเทศ
ปัญหาย่อยที่ 2 ปัญหาการขาดแคลนบุคลากรด้านไซเบอร์ในระดับประเทศ การขาดการพัฒนาทักษะความรู้ในระดับต้น ระดับกลาง ระดับสูง ของผู้ปฎิบัติและควบคุมในการปฏิบัติงานด้านไซเบอร์ทั้งในระดับองค์กรและระดับประเทศ โดยในปัจจุบัน องค์กรทั้งภาครัฐและเอกชน ในประเทศไทย ขาดแคลนผู้เชี่ยวชาญทางไซเบอร์ ส่งผลกระทบต่อความเชื่อมั่นและความมั่นคง ในระดับชาติในระยะยาว จากการประมาณการของบริษัทไซเบอร์ซีเคียวริตี้เวนเจอร์ส คาดว่า ในปี พ.ศ. 2564 โลกจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ถึง 3,500,000 คน และจากการประมาณการของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ประเทศไทยจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์สูงถึง 12,000 คน โดยกลุ่มที่ขาดแคลนมากที่สุดคือ กลุ่มผู้พัฒนาและออกแบบระบบ (Securely provision: SP)
ปัญหาย่อยที่ 3 ปัญหาอาชญากรรมไซเบอร์ ภัยคุกคามไซเบอร์ การโจมตีทางไซเบอร์ต่อภาครัฐ ภาคเอกชน และประชาชนทั่วไป (Rising of cyber crime at national level) โดยประชาชนส่วนใหญ่ และองค์กรทั้งภาครัฐและเอกชน ถูกโจมตีทางไซเบอร์รายวัน ขณะที่ประเทศไทยยังขาดหน่วยงานรับผิดชอบโดยตรง ส่งผลต่อเศรษฐกิจและสังคม และ ส่งผลกระทบต่อความเชื่อมั่นในระดับชาติ ทั้งนี้ ในช่วงครึ่งปีแรกของปี 2563 จำนวนภัยคุกคามไซเบอร์ที่ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ได้รับแจ้งและดำเนินการทั้งสิ้น 1,474 กรณี โดยภัยคุกคามที่ได้รับแจ้งมากที่สุด คือ การโจมตีด้วยโปรแกรมไม่พึงประสงค์หรือโค้ดอันตราย (Malicious code) และการฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์ (Fraud) โดยมีอัตราส่วนถึงร้อยละ 36 และ 24 ตามลำดับ
ปัญหาย่อยที่ 4 ปัญหาขาดยุทธศาสตร์และแผนงานที่มีประสิทธิภาพในการบังคับใช้กฎหมายความมั่นคงปลอดภัยทางไซเบอร์ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐาน มีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่า ประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวัน ทั้งในระดับประชาชน องค์กร และ ระดับประเทศ
ปัญหาย่อยที่ 5 ปัญหาการขาดการถ่ายทอดความรู้ให้กับหน่วยงานยุติธรรม ในการปฏิบัติและควบคุมการปฏิบัติตามกฎหมาย โดยหลายปีที่ผ่านมา ประเทศไทยมีกฎหมายด้านเทคโนโลยีสารสนเทศหลายฉบับ แต่ยังไม่สามารถบังคับใช้กฎหมายได้อย่างมีประสิทธิภาพเท่าใดนัก ในปัจจุบัน ตำรวจ ผู้พิพากษา อัยการ ศาล หลายท่านยังขาดองค์ความรู้ทางด้านไซเบอร์ในการพิจารณาคดี ทำให้มีผลต่อการบังคับใช้กฎหมาย
ปัญหาย่อยที่ 6 ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty) การขาดความเข้าใจในผลกระทบจากกระบวนการปฏิบัติการข่าวสารในรูปแบบใหม่ผ่านสื่อสังคมออนไลน์ (Social media) โดยปัจจุบันประชาชนชาวไทยกำลังถูกละเมิดข้อมูลส่วนบุคคลทางไซเบอร์ และถูกทำให้หลงเชื่อในการโฆษณาชวนเชื่อรายวัน อย่างต่อเนื่อง จากปรากฏการณ์ดังกล่าว ทำให้มีผลต่อเศรษฐกิจ สังคม การเมือง การปกครอง ทั้งในระยะสั้นและระยะยาว มีผลกระทบต่อความมั่นคงของชาติในระยะยาว
ปัญหาย่อยที่ 7 ปัญหาการใช้ประโยชน์จากการเข้าถึงข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์โดยไม่ได้รับอนุญาต เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น
ปัญหาย่อยที่ 8 ปัญหาขาดทักษะและความเข้าใจและความรู้ในการใช้เทคโนโลยีดิจิทัลหรือ Digital literacy โดยเฉพาะการทิ้งรอยเท้าดิจิทัล (Digital footprint) เช่น หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน ส่งผลให้ข้อมูลอยู่ในมือผู้ไม่หวังดี มีโอกาสโดนทำสำเนาไปนับไม่ถ้วน เป็นต้น เทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล (Phishing) เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น การหลอกลวงออนไลน์ (Fraud) เช่น ส่งสินค้าปลอมให้เหยื่อ หรือในกรณีที่แย่ที่สุด คือไม่ส่งสินค้าใด ๆ ให้เลย เป็นต้น ความเข้าใจสื่อดิจิทัล เช่น กับดักโซเซียลจากข่าวปลอม เป็นต้น
ปัญหาย่อยที่ 9 ปัญหาขาดการบูรณาการทั้งองค์กรภาครัฐ ฝ่ายตำรวจ ทหาร พลเรือน และภาคส่วนต่าง ๆ ภายในประเทศเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ ขาดการพัฒนากรอบความร่วมมือระหว่างประเทศและอาเซียนเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ จากปัญหาที่ประเทศไทยยังไม่สามารถบริหารจัดการปัญหาความมั่นคงปลอดภัยไซเบอร์ให้เกิดการบูรณาการได้ ทำให้เกิดความซ้ำซ้อน สิ้นเปลืองงบประมาณ ไม่ส่งผลเป็นรูปธรรม ไม่เกิดประสิทธิผลและประสิทธิภาพในการรับมือต่อการโจมตีทางไซเบอร์ รวมถึงขาดการถ่ายทอดความรู้และการประสานงานความร่วมมืออย่างเป็นทางการในระดับชาติกับประชาคมอาเซียน
ปัญหาย่อยที่ 10 ปัญหาขาดการพัฒนาแพลตฟอร์มของประเทศ เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ในระดับชาติ โดยแพลตฟอร์ม Social media ไทยมีอยู่แพลตฟอร์มเดียวคือ Pantip แต่ Pantip นั้นถูกแพลตฟอร์มต่างชาติแย่งเวลาของคนไปเป็นส่วนใหญ่ โดยปัจจุบัน คนไทยใช้ Facebook มากกว่า 50 ล้านคนแล้ว และใช้ Twitter มากกว่า 20 ล้านคนแล้ว แม้แต่ในยามที่เกิดวิกฤตการระบาดของโรค COVID-19 ธุรกิจแพลตฟอร์มดิลิเวอร์รี่ไทยยังมีขนาดเล็ก ประเทศไทยจึงยังต้องพึ่งพาแพลตฟอร์มดิลิเวอรี่ขนาดใหญ่ของต่างชาติ การทำงานที่บ้านหรือ Work from home ที่ผู้ประกอบการเล็กใหญ่ทุกราย ต้องปรับตัวประชุมทางไกล (Video-conference) ซึ่งก็อยู่บนแพลตฟอร์มของต่างชาติเช่นกัน
ทั้งนี้ สามารถนำเสนอแนวคิดในการปรับยุทธศาสตร์ชาติ 20 ปี เพื่อแก้ไขปัญหาย่อย ทั้ง 10 ปัญหาได้ (ตารางที่ 4-1) ดังนี้
แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
เมื่อพิจารณาแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับชาติเพื่อค้นหาแนวทางในการปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยจำแนกออกตามองค์กร ที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ ตามแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ) ซึ่งได้เสนอแนะให้จำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ได้แก่ 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถ จัดหมวดหมู่ของ 10 แนวคิดในการปรับปรุงยุทธศาสตร์ที่ได้จากการวิเคราะห์ปัญหาย่อยทั้ง 10 ปัญหา ออกตามผู้มีบทบาทนำในการขับเคลื่อนยุทธศาสตร์ได้ ดังนี้ทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
- แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
1.1 บริหารความเสี่ยงและสร้างกลไกตอบสนองต่อความเสี่ยงในหน่วยงานโครงสร้างพื้นฐานที่สำคัญ
1.2 พัฒนานโยบาย กฎหมายลูก และมาตรฐานด้านความมั่นคงปลอยภัยทางไซเบอร์
1.3 พัฒนาบุคลากรจากหน่วยงานที่เกี่ยวข้องในกระบวนการยุติธรรม เช่น การบังคับใช้กฎหมาย การสืบสวน และการตัดสินคดีทางไซเบอร์ เป็นต้น
1.4 บูรณาการหน่วยงานภาครัฐ ในลัษณะของปฏิบัติการร่วม (Joint-force) โดยมีหน่วยงานหลักที่เป็นเจ้าภาพชัดเจน และสร้างความร่วมมือกับภาคเอกชน ภาคประชาสังคม และองค์กรระหว่างประเทศ เพื่อรักษาสมดุลระหว่างเสรีภาพในโลกไซเบอร์สเปซและความมั่นคงปลอดภัยทางไซเบอร์
- แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led)
โดยรัฐบาลควรสร้างความร่วมมือและอาศัยกลไกของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน เพื่อให้ประชาชนและภาคเอกชนมีบทบาทนำในการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
2.1 พัฒนาระบบการศึกษา โดยปฏิรูปหลักสูตรการเรียนการสอน โดยสอดแทรกเนื้อหาความรู้เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในแต่ละระดับการเรียนการสอน และพัฒนาบุคลากรภาครัฐโดยเฉพาะหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญให้มีความรู้ด้านความมั่นคงปลอดภัยด้านไซเบอร์
2.2 สร้างความตระหนักรู้ (Awareness) ด้านความมั่นคงปลอดภัยด้านไซเบอร์ ให้แก่ประชาชนเพื่อให้รู้เท่าทันภัยจากการใช้งานสื่อสังคมออนไลน์ (Social media) และการเปิดเผยข้อมูลส่วนบุคคลให้แก่แพลตฟอร์ม (Platform) ต่างประเทศ เพื่อป้องกันการรุกล้ำทางไซเบอร์ในระดับประเทศ
2.3 สร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสาร (IO) ทางสื่อสังคมออนไลน์ (Social Media) ทั้งจากภายในประเทศและต่างประเทศ
2.4 สร้างความตระหนักรู้ถึงการใช้ประโยชน์จากข้อมูลส่วนบุคคลในการโฆษณาชวนเชื่อ รวมถึงสิทธิและวิธีการปกป้องและคุ้มครองข้อมูลส่วนบุคคล
2.5 สร้างทักษะความเข้าใจและใช้เทคโนโลยีดิจิทัล หรือ Digital literacy ให้มี “ภูมิคุ้มกันทางดิจิทัล” และ“ภูมิคุ้มกันทางไซเบอร์” (Digital immunity/Cyber immunity) ที่ดี
- แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led)
โดยรัฐบาลควรส่งเสริมและสนับสนุนการวิจัยและพัฒนาเพื่อสร้างแพลตฟอร์มที่เป็นนวัตกรรมทางดิจิทัลที่ล้ำหน้าทันสมัย (Leapfrog digital innovation platform) ของประเทศไทย ที่สามารถตอบสนองความต้องการของประชาชนเหนือกว่าแพลตฟอร์มต่างประเทศ เพื่อให้ประเทศไทยมีแพลตฟอร์มของตนเองที่สามารถดูแลข้อมูลส่วนบุคคลของประชาชนได้ด้วย และสามารถป้องกันการรุกรานอธิปไตยทางไซเบอร์ผ่านทางสื่อสังคมออนไลน์ (Social media) เพื่อป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) และแพลตฟอร์ม (Platform) ต่างประเทศ
ทั้งนี้ การสร้างแพลตฟอร์มของประเทศไทย ในลัษณะที่เป็นการเลียนแบบหรือเพื่อแข่งขันกับแพตฟอร์มต่างประเทศ เช่น Twitter และ Netflix เป็นต้น ในระยะสั้นอาจไม่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ อาจไม่ตรงตามความต้องการของประชาชน และอาจด้อยกว่าแพลตฟอร์มต่างประเทศที่มีลูกเล่น (Feature) ใหม่เพิ่มอยู่ตลอดเวลาได้ รวมถึงอาจด้อยกว่าในเชิงโครงสร้างพื้นฐานและเครือข่ายสนับสนุนการใช้งาน หรือพันธมิตร (Partner) จึงควรกำหนดแผนระยะปานกลางถึงระยะยาวในการวิจัยและพัฒนาแพลตฟอร์มที่มีความใหม่ แตกต่าง และล้ำหน้า ด้วยการใช้นวัตกรรมทางดิจิทัล ซึ่งต้องอาศัยผู้เชี่ยวชาญทางเทคโนโลยีดิจิทัล ทั้งจากภายในประเทศไทยและต่างประเทศ เพื่อสร้างสิ่งใหม่ที่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ และตอบโจทย์ความต้องการของประชาชนอย่างแท้จริง
จากการเปรียบเทียบปัญหาใหญ่ที่ 1 ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับประเทศ ซึ่งเปรียบเสมือนเป็นยอดภูเขาน้ำแข็งที่ลอยอยู่เหนือน้ำ (Tip of the iceberg) และปัญหาใหญ่ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์การใช้สื่อสังคมออนไลน์เป็นเครื่องมือในการรุกรานความคิด และการสูญเสียอธิปไตยไซเบอร์ของชาติ ซึ่งเปรียบเสมือนเป็นส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ประเทศไทยเปรียบเหมือนเป็นเรือไทยทานิค (แผนภาพที่ 4-3) ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติ ทุก 5 ปี โดยรอบระยะเวลาของ การทบทวนปรับปรุงแก้ไขครั้งแรกคือ ปี 2565 ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติในด้านความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ของชาติ ภายในปี 2568 หรืออีก 5 ปีข้างหน้า ปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 จะส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติ ระบบเศรษฐกิจ อันดับความมั่นคงปลอดภัยไซเบอร์ของประเทศ การสูญเสียอธิปไตยทางไซเบอร์ และการขาดรายได้ภาษีจากแพลตฟอร์มต่างชาติ ซึ่งเปรียบเหมือนเรือไทยทานิคชนกับภูเขาน้ำแข็งจนต้องอับปางลงนั่นเอง
กรณีที่ประเทศไทยมีการทบทวนและปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยยึดหลักการขับเคลื่อนตามแนวทางที่รัฐมีบทบาทนำ (Government-led) ภาคประชาชนมีบทบาทนำ (Civilian-led) และแพลตฟอร์มมีบทบาทนำ (Platform-led) ตามที่อภิปรายไว้ข้างต้น ย่อมเปรียบเหมือนเรือดำน้ำที่พุ่งชนภูเขาน้ำแข็งให้เปลี่ยนทิศทางออกไปจนเรือไทยทานิคสามารถหลุดพ้นปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 ได้
การปรับปรุงยุทธศาสตร์ชาติตามแนวคิดในการกำหนดบทบาทผู้ขับเคลื่อนแนวทาง การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ 3 บทบาท ได้แก่ 1) แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถกำหนดโครงการภายในแนวทางการขับเคลื่อน หน่วยงานรับผิดชอบหลัก/หน่วยงานรับผิดชอบรอง เป้าหมาย วิธีดำเนินการ และกรอบระยะเวลาดำเนินการได้ ดังนี้
กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยใน ๕ มิติ
การพัฒนา “กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย” ได้นำกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity Capacity Centre แห่ง University of Oxford มาประยุกต์ให้เหมาะสมกับสถานการณ์ปัจจุบันและสภาวะแวดล้อมของประเทศไทย เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยให้เป็นระบบ มีประสิทธิผล และได้มาตรฐานสากลได้
ทั้งนี้ Global Cybersecurity Capacity Centre ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก โดยสามารถแบ่งมิติในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยออกเป็น 5 มิติ (แผนภาพที่ 4-5) ดังนี้
มิติที่ 1 National cybersecurity framework and policy การพัฒนานโยบายและกรอบแนวคิดเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`เป็นเรื่องสำคัญในลำดับต้น ๆ ของการพัฒนายุทธศาสตร์ไซเบอร์ในระดับประเทศ
มิติที่ 2 Cyber culture and society การปรับมุมมองและทัศนคติของประชาชน ในเรื่องความเชื่อมั่นในการใช้ชีวิตในโลกไซเบอร์ เป็นการสร้างความเชื่อมั่นของประชาชนในการใช้บริการอินเทอร์เน็ต หรือ Online service ต่าง ๆ รวมทั้งความเข้าใจของประชาชนในเรื่องความเสี่ยงในการใช้อินเทอร์เน็ต
มิติที่ 3 Cybersecurity education, training and skills การบริหารจัดการเรื่อง การสร้างความตระหนักรู้ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยไซเบอร์ ของภาครัฐภาคเอกชน และ ประชาชนทั่วไป ตลอดจน การอบรมความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป
มิติที่ 4 Legal and regulatory frameworks การพัฒนากฎหมายและกฎระเบียบ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้น และส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก
มิติที่ 5 Standards, organizations, and technologies การพัฒนามาตรฐานและการปฏิบัติตามมาตรฐานที่เกี่ยวกับการใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ การควบคุมความมั่นคงปลอดภัยไซเบอร์ การใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้องกันภัยไซเบอร์ในระดับบุคคล ระดับองค์กร และ โครงสร้างพื้นฐานของประเทศ ตลอดจนการพัฒนาเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์
๑. Cybersecurity framework and policy
๒. Cyber culture and society
๓. Cybersecurity education, training and skills
๔. Legal and regulatory frameworks
๕. Standard, organizations and technologies
สรุป
ปัญหาความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน ปัญหาความไม่พร้อมในการรับมือปรากฏการณ์ “Social media as a new source of soft power” ที่ใช้ในการรุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่าการโจมตีทางกายภาพมาก กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้าน ความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาตช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์
ผู้วิจัยจึงได้เสนอแนะแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับชาติ โดยนำแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ) มาประยุกต์ใช้ โดยแบ่งแนวทางออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทาง ที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) และได้นำกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ 5 มิติ CMM มาประยุกต์ใช้กับประเทศไทย ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies เพื่อเสนอแนะแนวทางการทบทวนและปรับปรุงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ให้ครอบคลุมการป้องกันและรับมือกับปัญหาปรากฏการณ์ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty)