พ.ร.บ ไซเบอร์ 2562 มีผลแล้ว องค์กรควรเตรียมตัวอย่างไรให้ปลอดภัยทั้งระบบข้อมูลและการดำเนินงาน รู้แนวทางป้องกันภัยคุกคามไซเบอร์ก่อนสาย!!


คงปฏิเสธไม่ได้ว่า ในปัจจุบัน เทคโนโลยีดิจิทัลคือส่วนหนึ่งของชีวิตประจำวันของคนเรา ทั้งในเรื่องการทำงานและเรื่องส่วนตัว มีคนจำนวนไม่น้อยใช้เวลาท่องอยู่ในโลกออนไลน์มากกว่าในโลกจริงอีกด้วย

เพราะการอยู่ในโลกออนไลน์ ไม่จำเป็นต้องใช้ “ข้อมูลจริง” เหมือนโลกที่เราใช้ชีวิตจริง จึงมีคนส่วนหนึ่งอาศัยโลกออนไลน์เป็นสถานที่ทำสิ่งผิดกฎหมายโดยไม่เปิดเผยตัวตนที่แท้จริง และนำความเดือดร้อนมาสู่สังคม ด้วยเหตุนี้ ประเทศต่าง ๆ จึงต้องมีกฎหมายไซเบอร์เพื่อรักษาความสงบเรียบร้อยของสังคมโดยรวมนั่นเอง เพราะภัยที่เกิดขึ้นล้วนส่งผลต่อการมีชีวิตอยู่ในโลกจริง บางเหตุการณ์ส่งผลกระทบต่อคนทั้งประเทศได้ในเวลาเพียงเสี้ยววินาที เช่น หากมีผู้ประสงค์ร้ายต้องการก่อความวุ่นวายบนท้องถนน ก็อาจเข้าไปเจาะระบบคอมพิวเตอร์ที่ควบคุมสัญญาณไฟจราจรให้หยุดทำงานหรือมีความผิดเพี้ยน  ทำให้รถชนกัน หรือรถติดเป็นเวลานาน เนื่องจากขาดระบบควบคุมการสัญจรของยานพาหนะ

พ.ร.บ. ไซเบอร์คืออะไร?

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์  คือกฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ โดย พ.ร.บ. นี้ มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562  โดยมีสาระสำคัญคือแนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ มีการประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ความสามารถของบุคคลากรและผู้เชี่ยวชาญ รวมถึงการให้ความรู้และความตระหนักถึงภัยไซเบอร์อีกด้วย

ใน พ.ร.บ. ไซเบอร์ฉบับนี้ ได้มีประกาศจัดตั้งคณะกรรมการ 3 คณะได้แก่ 

  1. คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. (National Cyber Security Committee : NCSC) มีนายกรัฐมนตรีเป็นประธาน มีหน้าที่เสนอนโยบาย จัดทำแผนแม่บท กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนา ยกระดับทักษะความรู้ของเจ้าหน้าที่ ประสานงานความร่วมมือกับหน่วยงานต่าง ๆ รวมไปถึงการติดตามและประเมินผลการปฏิบัติตามนโยบายที่ได้ถูกกำหนดแล้ว
  2. คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ กกม.  มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน      มีหน้าที่ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดแนวทางปฏิบัติสำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามที่เกิดขึ้น 
  3. คณะกรรมการบริหารสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ กบส. มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ทำหน้าที่ดูแลงานด้านการบริหารงานทั่วไป

ทั้งสามคณะทำงาน จะทำหน้าที่ดูแลโครงสร้างบริการพื้นฐานสำคัญทางสารสนเทศ 8 ด้านสำคัญ ได้แก่ ด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติก ด้านพลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม

พ.ร.บ. ไซเบอร์ กับการรับมือภัยคุกคามทางไซเบอร์

การรับมือภัยคุกคามทางไซเบอร์ มีการแบ่งระดับของภัยคุกคาม ไว้ดังนี้

  1. ระดับไม่ร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงทำให้ระบบคอมพิวเตอร์หรือการให้บริการด้อยประสิทธิภาพลง
  2. ระดับร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีจุดมุ่งหมายในการโจมตีโครงสร้างพื้นฐานสำคัญของประเทศให้เสียหาย จนไม่สามารถทำงานหรือให้บริการได้
  3. ระดับวิกฤต หมายถึงภัยคุกคามที่มีระดับสูงกว่าระดับร้ายแรง ทำให้โครงสร้างพื้นฐานล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ และอาจส่งผลกระทบต่อสวัสดิภาพของประชาชน กระทบต่อความสงบเรียบร้อย ทำให้ประเทศตกอยู่ในภาวะคับขัน มีการก่อการร้าย มีการทำสงคราม 

ในเชิงปฏิบัติ สำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์นั้น ไม่เพียงแต่เฉพาะหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศเท่านั้นที่จะต้องตระหนักและปฏิบัติตามแนวทางที่คณะกรรมการกำหนด แต่เป็นหน้าที่ของประชาชนทุกคนที่ต้องช่วยกันเฝ้าระวังภัย ให้ข้อมูลที่เป็นประโยชน์ ช่วยอำนวยความสะดวกต่อการทำงานของรัฐ  รวมถึงให้เบาะแสเพื่อการป้องกันแก้ไขอย่างทันท่วงที เป็นการปิดช่องโหว่ที่อาจส่งผลกระทบให้เกิดความเสียหายต่อประเทศชาติบ้านเมือง 

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้อำนาจเจ้าหน้าที่รัฐในการตรวจสอบข้อมูลคอมพิวเตอร์ของผู้ที่อาจมีข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้วย พร้อมทั้งมีการกำหนดบทลงโทษผู้ที่ฝ่าฝืนหรือไม่ให้ความร่วมมือ โดยมีทั้งโทษปรับและจำคุก ในขณะเดียวกัน ก็มีบทลงโทษหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ย่อหย่อนในการปฏิบัติหน้าที่ด้วย เช่น หากหน่วยงานฯ ละเลยไม่รายงานเหตุภัยคุกคาม โดยไม่มีเหตุอันควร มีโทษปรับไม่เกิน 200,000 บาท เป็นต้น

การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องสำคัญของทุกองค์กร และต้องมีการดำเนินการให้ครอบคลุมองค์ประกอบ People-Process-Technology เอซีอินโฟเทคพร้อมให้บริการแก่องค์กรของท่านในทุก ๆ องค์ประกอบ ดังต่อไปนี้

องค์ประกอบ People

  • จัดอบรมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับพนักงาน (Cybersecurity Awareness) 
  • ตรวจวัดภูมิคุ้มกันทางไซเบอร์ของพนักงาน (Cyber Health Check) 
  • ทดสอบส่งอีเมลหลอกลวง (Phishing Simulation)

องค์ประกอบ Process

  • วิเคราะห์ความสอดคล้องของการดำเนินงานขององค์กรเทียบกับกฎหมายและข้อบังคับต่าง ๆ (Gap Analysis) 
  • ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กร (Audit)
  • ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของซัพพลายเออร์ (Supply Chain Audit)
  • ให้คำปรึกษาในการปฏิบัติตามมาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการรักษาความมั่นคงปลอดภัยไซเบอร์ อาทิ ISO 27001, NIST CSF

องค์ประกอบ Technology

  • วัดระดับความมั่นคงปลอดภัยไซเบอร์ในภาพรวมขององค์กร (Cybersecurity Health Rating)
  • ดำเนินการตรวจสอบช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment / Penetration Testing)
  • จัดให้มีการค้นหาช่องโหว่ด้วยวิธี Bug Bounty
  • จัดการทดสอบรับมือภัยคุกคามไซเบอร์ (Cyber Exercise)

พ.ร.บ ไซเบอร์ กับแนวทางจัดทำ Cybersecurity Governance ภายในองค์กร

การจัดทำ Cybersecurity Governance ไม่ใช่เพียงการติดตั้งระบบป้องกันภัยไซเบอร์เท่านั้น แต่คือกระบวนการวางกรอบนโยบาย การควบคุม การติดตาม และการตอบสนองต่อความเสี่ยงทางไซเบอร์อย่างมีประสิทธิภาพ เพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างมั่นคง ปลอดภัย และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์

🔹 องค์ประกอบหลักของ Cybersecurity Governance

1. Cybersecurity Policy (นโยบายความมั่นคงปลอดภัยไซเบอร์)

เป็นเอกสารหลักที่ผู้บริหารต้องประกาศใช้อย่างเป็นทางการ เพื่อกำหนดแนวทางปฏิบัติด้านความมั่นคงไซเบอร์ในองค์กร เช่น

  • การใช้งานระบบ IT และข้อมูล

  • สิทธิ์การเข้าถึงข้อมูล

  • การป้องกันภัยคุกคาม

  • การจัดการเหตุการณ์ผิดปกติ
    นโยบายนี้ควรทบทวนและปรับปรุงอย่างน้อยปีละ 1 ครั้ง

2. Cybersecurity Risk Register (บัญชีความเสี่ยงด้านไซเบอร์)

คือการรวบรวมและประเมินรายการความเสี่ยงไซเบอร์ที่อาจเกิดขึ้นกับองค์กร เช่น

  • ช่องโหว่ระบบ

  • การโจมตีจากมัลแวร์

  • พนักงานเผลอเปิดอีเมลหลอกลวง
    โดยระบุระดับความรุนแรง ความเป็นไปได้ และแผนจัดการความเสี่ยงในแต่ละกรณี

3. Cybersecurity Risk Assessment (การประเมินความเสี่ยง)

องค์กรควรดำเนินการประเมินความเสี่ยงไซเบอร์อย่างเป็นระบบ ทั้งในระดับระบบสารสนเทศและกระบวนการธุรกิจ เช่น

  • ประเมินจาก Framework เช่น ISO/IEC 27005 หรือ NIST

  • วิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis)

  • ประเมินช่องโหว่ (Vulnerability Assessment)

4. Incident Response Plan (IRP) – แผนตอบสนองเหตุการณ์ไซเบอร์

แผนที่องค์กรต้องมีไว้เพื่อรับมือเมื่อเกิดเหตุการณ์ เช่น ข้อมูลรั่วไหล การโจมตี DDoS หรือระบบถูกเข้ารหัสเรียกค่าไถ่ (Ransomware) โดยประกอบด้วย:

  • ขั้นตอนแจ้งเหตุและรายงาน

  • ทีมรับมือเหตุการณ์ (Cybersecurity Response Team)

  • แผนกู้คืนระบบ (Recovery Plan)

  • ช่องทางสื่อสารภายในและภายนอก
    องค์กรควรซ้อมแผน (Cyber Drill) อย่างน้อยปีละ 1 ครั้ง

 

คำถามที่พบบ่อย (FAQ) เกี่ยวกับ พ.ร.บ. ไซเบอร์ 2562

❓ พ.ร.บ. ไซเบอร์ 2562 คืออะไร?

ตอบ: พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เป็นกฎหมายที่มีเป้าหมายเพื่อป้องกันและรับมือกับภัยคุกคามไซเบอร์ที่ส่งผลกระทบต่อความมั่นคงของประเทศ รวมถึงโครงสร้างพื้นฐานทางสารสนเทศสำคัญ เช่น ด้านการเงิน พลังงาน โทรคมนาคม และภาครัฐ

❓ พ.ร.บ. ไซเบอร์ 2562 มีผลบังคับใช้เมื่อไหร่?

ตอบ: มีผลบังคับใช้ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562

❓ องค์กรเอกชนที่ไม่ใช่หน่วยงานรัฐ ต้องปฏิบัติตามหรือไม่?

ตอบ: หากองค์กรของคุณอยู่ในกลุ่ม “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” เช่น ธนาคาร, โรงพยาบาล, โทรคมนาคม, พลังงาน ฯลฯ จะต้องปฏิบัติตามข้อกำหนดของ พ.ร.บ. ไซเบอร์อย่างเคร่งครัด

❓ ผู้บริหารองค์กรต้องมีบทบาทอย่างไร?

ตอบ: ผู้บริหารระดับสูง (C-Level) ต้องกำหนดนโยบายความมั่นคงไซเบอร์ สนับสนุนทรัพยากร จัดการความเสี่ยงระดับองค์กร และผลักดันการสร้างวัฒนธรรมไซเบอร์ภายในองค์กร

❓ หากไม่ปฏิบัติตาม พ.ร.บ. ไซเบอร์ จะมีโทษอะไรบ้าง?

ตอบ: องค์กรที่ไม่รายงานภัยคุกคามหรือไม่ให้ความร่วมมือกับเจ้าหน้าที่รัฐ อาจถูกปรับไม่เกิน 200,000 บาท และในบางกรณีมีโทษจำคุกตามที่ระบุในกฎหมาย

❓ พ.ร.บ. ไซเบอร์แตกต่างจาก พ.ร.บ. คอมพิวเตอร์อย่างไร?

ตอบ: พ.ร.บ. คอมพิวเตอร์ มุ่งเน้นการกระทำความผิดทางเทคโนโลยี เช่น การแฮกข้อมูล หรือโพสต์ข้อมูลเท็จ ส่วน พ.ร.บ. ไซเบอร์ มุ่งเน้น “การป้องกันภัยไซเบอร์เชิงระบบ” และการรับมือกับภัยที่กระทบความมั่นคงของชาติ

❓ องค์กรควรเริ่มต้นอย่างไร?

ตอบ: ควรเริ่มจากการวิเคราะห์ความเสี่ยง, จัดทำนโยบายไซเบอร์, อบรมบุคลากร, ตรวจสอบช่องโหว่ และจัดให้มีแผนตอบสนองภัยคุกคาม รวมถึงประเมินความพร้อมตามหลัก People-Process-Technology

 

 

สามารถติดต่อเราได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3

(จันทร์ – ศุกร์, 9:00 – 18:00 น.)