Cybersecurity Act

ความสำคัญในกฎหมายไซเบอร์ที่รัฐบาลต้องใส่ใจ

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 4 มิถุนายน 2562

กฎหมายไซเบอร์ กำหนดให้หน่วยงานโครงสร้างพื้นฐานสำคัญ ต้องมีการจัดเตรียมการและปฏิบัติตามกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำ เพื่อให้สามารถรับมือและลดความเสี่ยงจากภัยคุกคามที่อาจส่งผลกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

ความเจริญก้าวหน้าทางเทคโนโลยีตลอดหลายปีที่ผ่านมา ทำให้การใช้ชีวิตประจำวันของประชากรโลกมีลักษณะที่เปลี่ยนแปลงไปอย่างสิ้นเชิง

สังเกตได้จากการเปลี่ยนแปลงเรื่องการสื่อสารของมนุษย์ จากการใช้จดหมายหรือโทรศัพท์ตามบ้าน มาเป็นการติดต่อผ่านโทรศัพท์เคลื่อนที่

ปัจจุบันกลายเป็นสมาร์ทโฟนซึ่งเปรียบเสมือนอวัยวะที่ 33 ของมนุษย์ ที่นำมาใช้ประโยชน์ในการติดต่อสื่อสารให้มีความสะดวกรวดเร็วมากขึ้น จึงเกิดลักษณะการดำเนินชีวิตประจำวันที่เรียกว่า “Digital Life Style” ที่มนุษย์ทุกคนบนโลกจำเป็นต้องมีทักษะในการใช้งานอุปกรณ์คอมพิวเตอร์แบบตั้งโต๊ะ และแบบพกพาให้ปลอดภัยจากอาชญากรรมทางเทคโนโลยี

โดยทักษะดังกล่าวถูกกล่าวในโลกไซเบอร์ว่า “Digital Literacy” เมื่อโลกเปลี่ยนจากยุค “Information Edge” ไปสู่ยุค “Cyber Edge” และ “AI Edge” ตามลำดับ

รัฐบาลในแต่ละประเทศทั่วโลกจึงต้องมีการปรับตัวให้สอดคล้องกับยุคสมัยแห่งการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) และจำเป็นที่จะต้องตรากฎหมายและปรับปรุงกฎหมายที่มีอยู่ ให้สอดคล้องกับยุคสมัยแห่งการเปลี่ยนแปลงดังกล่าว

ทั้งนี้เพื่อความมั่นคงปลอดภัยของประเทศและป้องกันการละเมิดความเป็นส่วนตัวของประชาชน ซึ่งมีโอกาสที่จะถูกเอาเปรียบหรือละเมิดความเป็นส่วนตัวได้จากทั้งในและนอกประเทศ

เมื่อโลกแคบลงจึงไม่มีขอบเขตชัดเจนเหมือนชายแดนประเทศทางกายภาพ หากแต่กลายเป็นโลกไซเบอร์ที่ไม่มีขอบเขตชัดเจน จากเหตุผลดังกล่าว ประเทศไทยจึงจำเป็นต้องปรับตัวโดยการตรากฎหมายด้านเทคโนโลยีสารสนเทศที่เรียกกันว่า “ชุดกฎหมายดิจิทัล” เพิ่มขึ้นอีก 2 ฉบับ

โดยจากเดิมเรามี กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์และกฎหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ อยู่แล้ว ซึ่งถือว่าการทำธุรกรรมทางอิเล็กทรอนิกส์สามารถนำหลักฐานทางอิเล็กทรอนิกส์มาพิสูจน์ในชั้นศาลได้ ไม่ต่างจากการทำธุรกรรมในแบบเดิม

และเรามีกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ เพื่อลงโทษแฮกเกอร์หรืออาชญากรทางไซเบอร์ที่เข้ามาละเมิดโจมตีระบบขององค์กรและบุคคลทั่วไป

หากแต่กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์จะมีลักษณะที่ว่าต้องมีการกระทำผิดเสียก่อน จึงมีการกล่าวหาเอาผิดผู้กระทำผิดเหล่านั้น

กระนั้นยังมีกฎหมายในบางข้อที่มีลักษณะที่องค์กรต้องปฏิบัติก่อนเหตุเกิด โดยถือเป็นวินัยขององค์กรและผู้ให้บริการ เช่น ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบ เพื่อเป็นประโยชน์ในการพิสูจน์หลักฐานทางคอมพิวเตอร์หลังจากเกิดเหตุ เป็นต้น

หากแต่ปรัชญาในการออกแบบพัฒนากฎหมายใหม่ทั้งสองฉบับ จะเป็นลักษณะที่เป็นการป้องกันและการลดความเสี่ยงไม่ให้เกิดเหตุการณ์ไม่พึงประสงค์ทางไซเบอร์

จึงมองได้ว่า ข้อกำหนดในตัวบทกฎหมายเป็นวินัยที่องค์กรต้องปฏิบัติตามมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำ ตลอดจนประมวลแนวทางในทางปฏิบัติ (Code of Practices)

ซึ่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เน้นไปที่หน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญของประเทศ (Critical Infrastructure) ได้แก่ บรรดาหน่วยงานหรือองค์กรหรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กรหรือส่วนงานของหน่วยงานหรือองค์กรนั้น มีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศหรือต่อสาธารณชน

ยกตัวอย่าง เช่น โรงไฟฟ้า ผู้ให้บริการเครือข่ายโทรคมนาคม รถไฟฟ้าทั้งบนดินและใต้ดิน สนามบินทั้งในเมืองหลวงและหัวเมืองต่างๆ สถาบันการเงิน ธนาคารแห่งประเทศไทย ตลาดหลักทรัพย์ หน่วยงานด้านสาธารณสุข ทั้งโรงพยาบาลของรัฐและโรงพยาบาลเอกชน หน่วยงานรัฐในการให้บริการประชาชน เช่น กรมการปกครอง สำนักงานเขต สำนักงานที่ดิน หน่วยงานที่รัฐ Outsource ให้ผู้ให้บริการ/ผู้รับจ้างปฏิบัติหน้าที่แทนรัฐ เช่น หน่วยงานรับทำพาสปอร์ต เป็นบริษัทที่รับหน้าที่ทำพาสปอร์ต แทนกรมการกงสุล กระทรวงต่างประเทศ

ซึ่งหน่วยงานดังกล่าวจำเป็นต้องมีวินัยในการบริหารจัดการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” (Critical Information Infrastructure) หรือที่เรียกโดยย่อว่า “CII” หมายถึง คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศหรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ ตามประกาศที่ทางกฎหมายได้กำหนดไว้ จากเนื้อหาในกฎหมายดังกล่าว สรุปได้ว่าหน่วยงานที่อยู่ในมาตรา 49

หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ดังกล่าว จำเป็นต้องมีการจัดเตรียมการและปฏิบัติตามกรอบมาตรฐานในมาตรา 13 ซึ่งอ้างอิงมาจาก NIST Cybersecurity Framework ที่สหรัฐนำมาใช้ในการขอความร่วมมือจากหน่วยงานโครงสร้างพื้นฐานที่อยู่ในความดูแลของ Department of Homeland Security (DHS)

การที่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศปฏิบัติตามมาตรฐานขั้นต่ำตามที่ตัวบทกฎหมายที่ได้ตราไว้ ย่อมส่งผลทำให้เกิดความมั่นคงปลอดภัยโดยรวมต่อประเทศ

ทั้งนี้เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

ผู้บริหารระดับสูง และกรรมการของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ ควรเริ่มศึกษาและตั้งคณะทำงานที่เกี่ยวข้องกับ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ เสียตั้งแต่บัดนี้

เพราะ พ.ร.บ. นี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป คือมีผลบังคับใช้ตั้งแต่ วันที่ 28 พฤษภาคม 2562

ทั้งนี้ นอกจากวัตถุประสงค์เพื่อการปฏิบัติตามกฎหมายบ้านเมืองแล้ว ยังเป็นการป้องกันปัญหา “Reputational Risk” ที่อาจส่งผลกระทบต่อภาพลักษณ์และชื่อเสียงขององค์กรอีกด้วย