ทำไมประเทศไทยต้องมี พ.ร.บ.ไซเบอร์?
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 7 มีนาคม 2562
ปรัชญาเบื้องหลังพ.ร.บ.ไซเบอร์ มุ่งหวังให้หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ สามารถดูแลตนเองและรับมือกับภัยคุกคามได้ เมื่อหน่วยงานมีภูมิคุ้มกันภัยคุกคามทางไซเบอร์ ย่อมส่งผลต่อความมั่นคงโดยรวมของประเทศในที่สุด
ปัจจุบันเราคงปฏิเสธไม่ได้ว่า “หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ” หรือ “Critical Infrastructure (CI)” ไม่ได้มีแค่เพียงหน่วยงานของรัฐ
หากยังรวมถึงหน่วยงานเอกชนด้วย ยกตัวอย่าง โรงไฟฟ้า ผู้ให้บริการเครือข่ายโทรคมนาคม รถไฟฟ้าทั้งบนดินและใต้ดิน สนามบินทั้งในเมืองหลวงและหัวเมืองต่างๆ สถาบันการเงิน ธนาคารแห่งประเทศไทย ตลาดหลักทรัพย์ ตลอดจนหน่วยงานด้านสาธารณสุข ทั้งโรงพยาบาลของรัฐ เอกชน
รวมถึงหน่วยงานรัฐในการให้บริการประชาชน เช่น กรมการปกครอง สำนักงานเขต สำนักงานที่ดิน ตลอดจนหน่วยงานที่รัฐ Outsource ให้ปฏิบัติหน้าที่แทนรัฐ เช่น หน่วยงานรับทำพาสปอร์ต เป็นบริษัทที่รับหน้าที่ทำพาสปอร์ต แทนกรมการกงศุล กระทรวงต่างประเทศ ล้วนมีความสำคัญต่อการดำเนินชีวิตประจำวันของประชาชนด้วยกันทั้งสิ้น
ปัญหาที่อาจเกิดขึ้นกับประชาชนในอนาคตอันใกล้ และเคยเกิดมาแล้วก็คือ ปัญหาหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศดังที่กล่าวมาแล้ว ระบบคอมพิวเตอร์ล่มใช้งานไม่ได้
หรือปัญหาระบบสารสนเทศถูกแฮกเกอร์เจาะเข้ามาขโมยข้อมูลหรือทำลายข้อมูล ทำให้ระบบหยุดชะงัก ไม่สามารถให้บริการประชาชนได้ ทำให้เกิดผลกระทบต่อประชาชน
เมื่อพิจารณาให้ละเอียดพบว่า ระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญดังกล่าว ล้วนทำงานด้วยระบบคอมพิวเตอร์อยู่เบื้องหลัง
โดยใน พ.รบ.ไซเบอร์ เราเรียก ระบบคอมพิวเตอร์นั้นว่า “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หรือ “Critical Information Infrastructure (CII)”
หมายความว่า “คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ”
ซึ่งถ้าโครงสร้างพื้นฐานสำคัญทางสารสนเทศเกิดปัญหา ก็จะส่งผลกระทบต่อการให้บริการประชาชนอย่างหลีกเลี่ยงไม่ได้
จากนั้น ใน พ.ร.บ. ไซเบอร์ ได้บัญญัติคำนิยามของ “ภัยคุกคามทางไซเบอร์” ไว้อย่างชัดเจนโดย หมายความว่า
“การกระทําหรือการดําเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง”
ดังนั้น “ภัยคุกคามทางไซเบอร์” ที่อาจจะส่งผลกระทบต่อการให้บริการประชาชนของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น จำเป็นต้องมีการป้องกันหรือการรับมือกับภัยคุกคามดังกล่าว
ตลอดจนลดความเสี่ยงเพื่อให้สามารถป้องกันภัยคุกคามดังกล่าวได้อย่างทันท่วงที โดยไม่ปล่อยให้นานจนเกิดผลกระทบกับประชาชน
ทั้งนี้ การตรวจสอบ การประเมินความเสี่ยง การปฏิบัติตามแนวทางปฏิบัติที่ได้มาตรฐาน และการปฏิบัติตามมาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ จึงจำเป็นต้องมี “เจ้าภาพ” หรือ หน่วยงานที่ถูกสร้างขึ้นมาเพื่อรับผิดชอบงานด้านไซเบอร์ในระดับชาติโดยเฉพาะ
ซึ่งหน่วยงานนี้จะทำหน้าที่หลายประการด้วยกัน ตั้งแต่ กำหนดนโยบาย กำหนดมาตรฐานขั้นต่ำ ตรวจสอบ ช่วยรับมือภัยคุกคามทางไซเบอร์ที่ถูกแบ่งออกเป็น 3 ระดับ ได้แก่
- ระดับแรก คือ “ภัยคุกคามทางไซเบอร์ระดับไม่ร้ายแรง” เป็นภัยคุกคามทางไซเบอร์ทั่วไปที่ยังไม่รุนแรงมากนัก
- ระดับที่สอง” ”ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” ที่ต้องรีบรับมือ
- ระดับที่สาม ภัยระดับนี้เป็นระดับวิกฤติ ส่งผลกระทบต่อโครงสร้างพื้นฐานสําคัญทางสารสนเทศ สาธารณูปโภคขั้นพื้นฐาน มีการล่มสลายของระบบเป็นวงกว้าง หรือมีคนบาดเจ็บล้มตาย
โดยภัยคุกคามทางไซเบอร์ในระดับวิกฤตินี้ จะถูกสั่งการโดยสภาความมั่นคงแห่งชาติ เช่นเดียวกับการใช้ พ.ร.ก. ฉุกเฉิน ให้รีบระงับเหตุ ป้องกัน และ เยียวยาก่อน จากนั้นให้แจ้งต่อศาลรับทราบ
โดยภัยไซเบอร์ระดับไม่ร้ายแรงและภัยไซเบอร์ระดับร้ายแรงต้องมีการขอหมายศาลก่อน โดยคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ต้องเป็นผู้มอบหมายให้เลขาธิการสั่งการให้พนักงานเจ้าหน้าที่ทำการเข้าถึงข้อมูล ทำสำเนาข้อมูลที่เกี่ยวข้องกับภัยไซเบอร์ดังกล่าว เพื่อหาสาเหตุในการโจมตีทางไซเบอร์ต่อไป
ประชาชนจะได้อะไร หลังการบังคับใช้ พ.ร.บ.ไซเบอร์?
1. ลดความเสี่ยงและผลกระทบจากการที่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศไม่สามารถให้บริการประชาชนได้ ทำให้ประชาชนเสียโอกาส เสียเวลา และอาจมีผลกระทบไปถึงการเสียทรัพย์ หรือเสียชีวิต หากภัยคุกคามไซเบอร์นั้นส่งผลกระทบในวงกว้างระดับประเทศ
เนื่องจากหลังการบังคับใช้ พ.ร.บ.ไซเบอร์ ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ จะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและมาตรฐานขั้นต่ำที่สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกำหนด
มีการตรวจสอบ การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้แน่ใจว่าระบบสามารถให้บริการได้อย่างต่อเนื่อง ไม่ทำให้ประชาชนเดือดร้อน
2. เวลาที่เกิดเหตุการณ์ไม่พึงประสงค์กับหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ เช่น สนามบิน ธนาคาร ระบบไฟฟ้า-ประปา ระบบโทรคมนาคม ระบบอินเทอร์เน็ตล่มไม่สามารถทำงานได้ หรือมีเหตุการณ์ถูกโจมตีจากแฮกเกอร์ รวมทั้งการขโมยข้อมูลจากองค์กรทั้งภาครัฐและเอกชน
ประเทศไทยของเราไม่เคยมีหน่วยงานที่เป็นเจ้าภาพออกมาให้สัมภาษณ์ต่อสื่อมวลชน หรือทำหน้าที่ระงับภัยคุกคามไซเบอร์ดังกล่าว แต่เป็นไปในลักษณะที่เรียกว่า “ต่างคนต่างทำ เท่าที่กำลังจะมี”
หลังจาก พ.ร.บ.ไซเบอร์มีผลบังคับใช้แล้ว ประเทศไทยของเราจะมีหน่วยงานถาวร ได้แก่ สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จะเข้ามารับหน้าที่เป็นเจ้าภาพในเรื่องการช่วยเหลือหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศในการรับมือภัยคุกคามไซเบอร์ดังกล่าว
3. เนื่องจากวัตถุประสงค์ในการออก พ.ร.บ.ไซเบอร์ เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจจะกระทบต่อการดำเนินชีวิตของประชาชนไปจนถึงความมั่นคงของรัฐ นับเป็นเรื่องใหม่สำหรับทุกภาคส่วน
ทั้งภาครัฐ ภาคเอกชนและภาคประชาชน จึงมีความจำเป็นที่ต้องจัดให้มีการสนับสนุนในเรื่องการให้ความรู้แก่ประชาชนโดยทั่วไป และ การฝึกอบรมบุคลากรเพื่อให้รองรับการปฏิบัติหน้าที่
ทั้งนี้เพื่อให้การดำเนินงานของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศสามารถให้บริการประชาชนอย่างต่อเนื่อง
ปรัชญาที่อยู่เบื้องหลัง พ.ร.บ. ไซเบอร์ ก็คือ การทำให้หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ สามารถดูแลตนเองด้านไซเบอร์ และสามารถรับมือกับภัยคุกคามไซเบอร์ได้ด้วยตนเอง
เมื่อหน่วยงานมีความแข็งแรง มีภูมิคุ้มกันภัยคุกคามไซเบอร์มากขึ้น ย่อมส่งผลต่อความมั่นคงโดยรวมของประเทศในที่สุด
โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีหน้าที่เป็นผู้คุมกฎ ผู้ตรวจสอบและประเมิน ผู้กำหนดกรอบมาตรฐานและมาตรฐานขั้นต่ำ รวมถึงประมวลแนวทางปฏิบัติ เป็นผู้ผลักดัน ผู้สนับสนุน ให้หน่วยงานมีระเบียบวินัย มีความตั้งใจจริงในการพัฒนาบุคลากร ปฏิบัติตามประมวลแนวทางปฏิบัติและปฏิบัติตามกรอบมาตรฐานและมาตรฐานขั้นต่ำที่ควรปฏิบัติอย่างสม่ำเสมอและต่อเนื่อง
ตลอดจนส่งเสริมสนับสนุนให้หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศเกิดความตระหนักในภัยคุกคามไซเบอร์ที่จะส่งผลกระทบต่อการดำเนินชีวิตของประชาชน จึงจำเป็นต้องออก พ.ร.บ.นี้ขึ้นมา เพื่อเป็นประโยชน์ต่อประชาชนทั้งในปัจจุบันและในอนาคตอันใกล้นี้