คงปฏิเสธไม่ได้ว่า ในปัจจุบัน เทคโนโลยีดิจิทัลคือส่วนหนึ่งของชีวิตประจำวันของคนเรา ทั้งในเรื่องการทำงานและเรื่องส่วนตัว มีคนจำนวนไม่น้อยใช้เวลาท่องอยู่ในโลกออนไลน์มากกว่าในโลกจริงอีกด้วย

เพราะการอยู่ในโลกออนไลน์ ไม่จำเป็นต้องใช้ “ข้อมูลจริง” เหมือนโลกที่เราใช้ชีวิตจริง จึงมีคนส่วนหนึ่งอาศัยโลกออนไลน์เป็นสถานที่ทำสิ่งผิดกฎหมายโดยไม่เปิดเผยตัวตนที่แท้จริง และนำความเดือดร้อนมาสู่สังคม ด้วยเหตุนี้ ประเทศต่าง ๆ จึงต้องมีกฎหมายไซเบอร์เพื่อรักษาความสงบเรียบร้อยของสังคมโดยรวมนั่นเอง เพราะภัยที่เกิดขึ้นล้วนส่งผลต่อการมีชีวิตอยู่ในโลกจริง บางเหตุการณ์ส่งผลกระทบต่อคนทั้งประเทศได้ในเวลาเพียงเสี้ยววินาที เช่น หากมีผู้ประสงค์ร้ายต้องการก่อความวุ่นวายบนท้องถนน ก็อาจเข้าไปเจาะระบบคอมพิวเตอร์ที่ควบคุมสัญญาณไฟจราจรให้หยุดทำงานหรือมีความผิดเพี้ยน  ทำให้รถชนกัน หรือรถติดเป็นเวลานาน เนื่องจากขาดระบบควบคุมการสัญจรของยานพาหนะ

พ.ร.บ. ไซเบอร์คืออะไร?

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ คือ กฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ โดย พ.ร.บ. นี้ มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562  โดยมีสาระสำคัญคือแนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ มีการประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ความสามารถของบุคคลากรและผู้เชี่ยวชาญ รวมถึงการให้ความรู้และความตระหนักถึงภัยไซเบอร์อีกด้วย

ใน พ.ร.บ. ฉบับนี้ ได้มีประกาศจัดตั้งคณะกรรมการ 3 คณะได้แก่ 

  1. คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. (National Cyber Security Committee : NCSC) มีนายกรัฐมนตรีเป็นประธาน มีหน้าที่เสนอนโยบาย จัดทำแผนแม่บท กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนา ยกระดับทักษะความรู้ของเจ้าหน้าที่ ประสานงานความร่วมมือกับหน่วยงานต่าง ๆ รวมไปถึงการติดตามและประเมินผลการปฏิบัติตามนโยบายที่ได้ถูกกำหนดแล้ว
  2. คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ กกม.  มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน      มีหน้าที่ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดแนวทางปฏิบัติสำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามที่เกิดขึ้น 
  3. คณะกรรมการบริหารสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ กบส. มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ทำหน้าที่ดูแลงานด้านการบริหารงานทั่วไป

ทั้งสามคณะทำงาน จะทำหน้าที่ดูแลโครงสร้างบริการพื้นฐานสำคัญทางสารสนเทศ 8 ด้านสำคัญ ได้แก่ ด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติก ด้านพลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม

การรับมือภัยคุกคามทางไซเบอร์

การรับมือภัยคุกคามทางไซเบอร์ มีการแบ่งระดับของภัยคุกคาม ไว้ดังนี้

  1. ระดับไม่ร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงทำให้ระบบคอมพิวเตอร์หรือการให้บริการด้อยประสิทธิภาพลง
  2. ระดับร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีจุดมุ่งหมายในการโจมตีโครงสร้างพื้นฐานสำคัญของประเทศให้เสียหาย จนไม่สามารถทำงานหรือให้บริการได้
  3. ระดับวิกฤต หมายถึงภัยคุกคามที่มีระดับสูงกว่าระดับร้ายแรง ทำให้โครงสร้างพื้นฐานล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ และอาจส่งผลกระทบต่อสวัสดิภาพของประชาชน กระทบต่อความสงบเรียบร้อย ทำให้ประเทศตกอยู่ในภาวะคับขัน มีการก่อการร้าย มีการทำสงคราม 

ในเชิงปฏิบัติ สำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์นั้น ไม่เพียงแต่เฉพาะหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศเท่านั้นที่จะต้องตระหนักและปฏิบัติตามแนวทางที่คณะกรรมการกำหนด แต่เป็นหน้าที่ของประชาชนทุกคนที่ต้องช่วยกันเฝ้าระวังภัย ให้ข้อมูลที่เป็นประโยชน์ ช่วยอำนวยความสะดวกต่อการทำงานของรัฐ  รวมถึงให้เบาะแสเพื่อการป้องกันแก้ไขอย่างทันท่วงที เป็นการปิดช่องโหว่ที่อาจส่งผลกระทบให้เกิดความเสียหายต่อประเทศชาติบ้านเมือง 

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้อำนาจเจ้าหน้าที่รัฐในการตรวจสอบข้อมูลคอมพิวเตอร์ของผู้ที่อาจมีข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้วย พร้อมทั้งมีการกำหนดบทลงโทษผู้ที่ฝ่าฝืนหรือไม่ให้ความร่วมมือ โดยมีทั้งโทษปรับและจำคุก ในขณะเดียวกัน ก็มีบทลงโทษหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ย่อหย่อนในการปฏิบัติหน้าที่ด้วย เช่น หากหน่วยงานฯ ละเลยไม่รายงานเหตุภัยคุกคาม โดยไม่มีเหตุอันควร มีโทษปรับไม่เกิน 200,000 บาท เป็นต้น

การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องสำคัญของทุกองค์กร และต้องมีการดำเนินการให้ครอบคลุมองค์ประกอบ People-Process-Technology เอซีอินโฟเทคพร้อมให้บริการแก่องค์กรของท่านในทุก ๆ องค์ประกอบ ดังต่อไปนี้

องค์ประกอบ People

  • จัดอบรมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับพนักงาน (Cybersecurity Awareness) 
  • ตรวจวัดภูมิคุ้มกันทางไซเบอร์ของพนักงาน (Cyber Health Check) 
  • ทดสอบส่งอีเมลหลอกลวง (Phishing Simulation)

องค์ประกอบ Process

  • วิเคราะห์ความสอดคล้องของการดำเนินงานขององค์กรเทียบกับกฎหมายและข้อบังคับต่าง ๆ (Gap Analysis) 
  • ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กร (Audit)
  • ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของซัพพลายเออร์ (Supply Chain Audit)
  • ให้คำปรึกษาในการปฏิบัติตามมาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการรักษาความมั่นคงปลอดภัยไซเบอร์ อาทิ ISO 27001, NIST CSF

องค์ประกอบ Technology

  • วัดระดับความมั่นคงปลอดภัยไซเบอร์ในภาพรวมขององค์กร (Cybersecurity Health Rating)
  • ดำเนินการตรวจสอบช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment / Penetration Testing)
  • จัดให้มีการค้นหาช่องโหว่ด้วยวิธี Bug Bounty
  • จัดการทดสอบรับมือภัยคุกคามไซเบอร์ (Cyber Exercise)

สามารถติดต่อเราได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3

(จันทร์ – ศุกร์, 9:00 – 18:00 น.)