2015-02-10 15:12:03

ครั้งที่ ๓ หัวข้อ “ถ้า Critical Infrastructure บ้านเราถูกเจาะระบบ เราจะรับมือและเคลียร์ปัญหานี้ร่วมกันอย่างไร”

ครั้งที่ ๓ หัวข้อ “ถ้า Critical Infrastructure บ้านเราถูกเจาะระบบ เราจะรับมือและเคลียร์ปัญหานี้ร่วมกันอย่างไร” เมื่อวันที่ ๗ กุมภาพันธ์ ๒๕๕๘
           การจัด Open Forum ในครั้งนี้มีขึ้นเพื่อแลกเปลี่ยนประสบการณ์กับภาคเอกชนที่เกี่ยวข้องกับระบบ Critical Infrastructure ที่สำคัญของประเทศ เช่น ระบบสื่อสารโทรคมนาคม ระบบไฟฟ้า หรือระบบการชำระเงินของภาคธนาคาร ถึงความพร้อมในการดูแล Critical Infrastructure ให้มีความปลอดภัย ซึ่งภาคเอกชนส่วนใหญ่ได้แสดงถึงความพร้อมในการจัดการและรับมือกับภัยคุกคามที่อาจจะเกิดขึ้นกับระบบให้บริการที่ตนดูแล อย่างไรก็ตาม สิ่งที่ภาคเอกชนเห็นตรงกันว่าจำเป็นต้องมีการพัฒนาหรือปรับปรุงเพื่อให้การดูแล Critical Infrastructure ของประเทศไทยมีความพร้อมมากยิ่งขึ้น ประกอบด้วยเรื่องสำคัญ ดังนี้  

          การระบุสิ่งที่เป็น Critical Infrastructure ของประเทศให้ชัดเจน
          เนื่องจาก Critical Infrastructure คือ สิ่งที่สามารถเปลี่ยนแปลงได้ตามยุคสมัย  ดังนั้น เพื่อวางแผนการรับมือกับภัยคุกคามที่มีต่อ Critical Infrastructure จึงจำเป็นที่จะต้องมีการระบุว่าสำหรับประเทศไทยระบบการให้บริการใดที่เรียกว่า Critical Infrastructure เพื่อที่จะได้จัดลำดับในการรับมือกับภัยคุกคามที่เกิดขึ้นได้อย่างมีประสิทธิภาพ

          ความรู้ความสามารถของบุคลากรในด้าน Cybersecurity
          จากภาพรวมของบุคลากรในด้าน Cybersecurity ที่มีการสำรวจ พบว่า ขณะนี้ประเทศไทยมีบุคลากรในด้านนี้น้อยมากเมื่อเทียบกับประเทศต่าง ๆ ซึ่งจำนวนบุคลากรที่น้อยเช่นนี้มีผลอย่างสำคัญต่อการรับมือกับภัยคุกคามทางไซเบอร์ของประเทศไทยที่ขณะนี้ติดอันดับต้น ๆ ของประเทศที่เป็นเป้าหมายหรือทางผ่านของการโจมตี ซึ่งในอดีตเมื่อไม่มีเจ้าหน้าที่ของรัฐที่มีความรู้ความสามารถเพียงพอในการรับมือกับภัยคุกคามดังกล่าว ภาคเอกชนก็จำเป็นต้องดูแลระบบ Critical Infrastructure ด้วยตัวเอง ซึ่งก็ยังขาดบุคลากรในด้านนี้ค่อนข้างมาก ดังนั้น สิ่งสำคัญคือการพัฒนาบุคลากรด้าน Cybersecurity ของไทยให้เพียงพอ ซึ่งไม่จำเป็นต้องสังกัดในหน่วยงานภาครัฐเพราะด้วยข้อจำกัดของอัตราเงินเดือนที่สู้กับภาคเอกชนไม่ได้ แต่เมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ขึ้นจะต้องมีกลไกเพื่อให้บุคลากรในภาคเอกชนสามารถเข้ามาช่วยในการรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นได้

          สร้างความตระหนักในการใช้งานให้กับประชาชน
          สิ่งที่ภาคเอกชนเห็นตรงกันว่าในการปกป้อง Critical Infrastructure นอกจากการที่ผู้ให้บริการจะต้องดูแลระบบการให้บริการของตนให้ได้มาตรฐานแล้ว สิ่งหนึ่งที่สำคัญก็คือการสร้างความตระหนักในการใช้งานของผู้ใช้บริการ เนื่องจากประชาชนส่วนใหญ่ยังขาดความตระหนักและไม่ให้ความสำคัญกับการดูแลตนเองในการใช้งานโลกออนไลน์ ดังนั้น ไม่ว่าผู้ให้บริการจะดูแลระบบ Critical Infrastructure ให้ดีเพียงใด หากผู้ใช้บริการไม่มีความระมัดระวังแล้วก็เหมือนเป็นการเปิดประตูให้ผู้ร้ายเข้าถึง Critical Infrastructure ได้อีกทางหนึ่ง ซึ่งผู้ให้บริการไม่สามารถดูแลได้ทั้งหมด   ดังนั้น การเสริมสร้างความรู้ความเข้าใจ ความตระหนัก และให้แนวทางในการดูแลตนแก่ประชาชนจึงเป็นสิ่งจำเป็นอย่างยิ่ง

          การวางแนวทางการทำงานร่วมกันเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์
          ปัจจุบันภาคเอกชนได้วางแนวทางในการดูแลระบบให้บริการที่เป็น Critical Infrastructure ภายในองค์กรของตนเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม สิ่งที่ยังขาดในขณะนี้คือการวางแนวทางการรับมือกับภัยคุกคามทางไซเบอร์ร่วมกัน เนื่องจากภัยคุกคามทางไซเบอร์เป็นสิ่งที่ไม่อาจคาดเดาได้ว่าจะเกิดขึ้นกับระบบไหน และเมื่อเกิดขึ้นกับระบบให้บริการระบบหนึ่งระบบใดแล้ว ก็ไม่อาจคาดเดาได้ว่าภัยคุกคามนั้นจะไปคุกคามกับระบบใดต่อ เพราะขณะนี้ภัยคุกคามทางไซเบอร์มิใช่ภัยที่เกิดจากมือสมัครเล่นอีกต่อไป ภัยคุกคามทางไซเบอร์มีแนวโน้มที่ดำเนินการด้วยองค์กรที่มีเครือข่ายชัดเจน  ดังนั้น การวางแผนการทำงานร่วมกันระหว่างรัฐและเอกชนเพื่อดูแล Critical Infrastructure จึงเป็นสิ่งสำคัญ เพราะหากผู้ให้บริการไม่สามารถกระโดดข้ามรั้วบ้านตัวเองเพื่อเข้าให้ความช่วยเหลือเพื่อนบ้านข้างเคียงได้แล้ว ไม่ว่าด้วยเพราะข้อติดขัดทางกฎหมายในเรื่องการแชร์ข้อมูลระหว่างกันแล้ว ก็จะทำให้การป้องกัน Critical Infrastructure ของไทยขาดการวางแผนอย่างเป็นระบบ  
          อย่างไรก็ตาม ข้อที่ผู้เข้าร่วมสัมมนาได้ให้ข้อสังเกตก็คือ การทำงานร่วมกันกับภาคเอกชนนั้นไม่ควรดำเนินการด้วยระบบที่เป็นการบังคับ เช่นการกำหนดบทลงโทษจากการไม่ทำตาม เนื่องจากการทำงานในเรื่องนี้จำเป็นต้องอาศัยความไว้วางใจและความสมัครใจเป็นสำคัญ

          การมีกฎหมายที่ชัดเจนที่ทำให้ประชาชนมีความไว้วางใจ 
          เนื่องจากร่างกฎหมายการรักษาความมั่นคงปลอดภัยทางไซเบอร์นั้น ไม่มีเกณฑ์การดำเนินการที่ชัดเจน ทำให้ภาคเอกชน หรือภาคประชาชนเองเกิดความไม่ไว้วางใจในการบังคับใช้กฎหมาย โดยเฉพาะอย่างยิ่งคำว่า “ภัยคุกคามทางไซเบอร์” ที่เป็นเหตุของการเข้าใช้อำนาจของพนักงานเจ้าหน้าที่นั้นจำเป็นต้องมีการกำหนดให้ชัดเจนในระดับหนึ่ง มิฉะนั้นจะทำให้ร่างกฎหมายที่ออกมามีความคลุมเครือ นอกจากนี้ ร่างกฎหมายที่ออกมาจะต้องไม่ใช่กฎหมายที่ออกมาเพียงเพื่อป้องกันภัยเหตุภัยคุกคามทางไซเบอร์เท่านั้น เพราะต้องยอมรับว่าหากผู้ร้ายต้องการที่จะลงมือต่อ Critical Infrastructure ใดแล้วเป็นสิ่งที่ไม่อาจป้องกันได้  ดังนั้น สิ่งสำคัญที่กฎหมายควรต้องกำหนดคือการรับมือกับเหตุภัยคุกคามทางไซเบอร์ที่เกิดขึ้น รวมทั้งควรต้องมีการทบทวนกฎหมายที่มีอยู่เพื่อให้รับกับรูปแบบการให้บริการที่ทำผ่านระบบดิจิทัลมากขึ้น

 

ข่าวที่เกี่ยวข้อง

ICT LAW CENTER  ขอเชิญร่วมทำแบบประเมินความพึงพอใจในการเข้าถึงข้อมูล ของ สพธอ.

    * ท่านมีความพึงพอใจในช่องทางการเข้าถึงข้อมูลเกี่ยวกับร่างกฎหมาย/คู่มือ/แนวปฏิบัติ ที่ สพธอ. จัดเตรียมไว้ มากน้อยเพียงใด