Cybersecurity Act

ความจำเป็นที่ประเทศไทยต้องมี พ.ร.บ.ไซเบอร์

กับหนทางปกป้อง Critical Infrastructure ด้วยหลักการ “Cyber Resilience” และ“Data Resilience”

ประเทศไทยมีการประกาศบังคับ ใช้ พ.ร.บ.ไซเบอร์ ซึ่งชื่อเต็มคือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562 โดยขณะนี้ได้มีการจัดตั้ง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และ มีการแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เพื่อปฏิบัติภารกิจตามเจตนารมณ์ของกฎหมาย

ทำไมต้องมี พ.ร.บ.ไซเบอร์?

ปัจจุบันภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างต่อเนื่องและมีความรุนแรงเพิ่มขึ้น สร้างความเสียหายให้แก่ ประชาชน สังคม ตลอดจนประเทศชาติ โดยไม่เว้นแม้แต่ประเทศที่พัฒนาแล้ว หรือประเทศที่กำลังพัฒนา ดังจะเห็นได้จากเหตุการณ์สำคัญที่เกิดขึ้นกับหน่วยงานโครงสร้างพื้นฐาน (Critical Infrastructures) ของประเทศ ยกตัวอย่าง เหตุการณ์ช่วงวันที่ 6-12 พฤษภาคม 2564 มีการโจมตีทางไซเบอร์ครั้งใหญ่ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันรายใหญ่ของสหรัฐอเมริกา “Colonial Pipeline” ถูกโจมตีด้วย Ransomware หรือมัลแวร์เรียกค่าไถ่ ทำให้ต้องหยุดการขนส่งน้ำมันบางส่วนลงชั่วคราวเพื่อแก้ไขปัญหาดังกล่าว สร้างความเสียหายเป็นอย่างมากต่อบริษัทและลูกค้า เหตุการณ์ในครั้งนั้น ทีมงานทำเนียบขาวของประธานาธิบดีโจ ไบเดน แห่งสหรัฐฯ ได้ประสานงานและติดตามความเคลื่อนไหวอย่างใกล้ชิดกับบริษัทดังกล่าวโดยตรง เนื่องจากเป็นปัญหาในระดับประเทศ การโจมตีโดย Ransomware ที่เกิดขึ้นกับบริษัทท่อส่งน้ำดังกล่าวนั้น เป็นการปฏิบัติการของอาชญากรรมข้ามชาติที่จู่โจมเป้าหมายซึ่งเป็นองค์กรหรือหน่วยงานโครงสร้างพื้นฐานสำคัญยิ่งยวด (Critical Infrastructure) 

จากเหตุการณ์ดังกล่าว ไม่ได้เกิดขึ้นเป็นครั้งแรก หากแต่เกิดขึ้นมาแล้วในหลายประเทศทั่วโลกตลอดหลายปีที่ผ่านมา จึงเป็นที่มา และเป็นสาเหตุทำให้ประเทศต่างๆ ทั่วโลกมีความจำเป็นที่จะต้องมีกฎหมายด้านไซเบอร์ สำหรับประเทศไทยก็คือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 นั่นเอง

เหตุผลและความจำเป็นในการตราพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

พ.ร.บ.ไซเบอร์มีผลบังคับใช้กับใคร? 

ด้วยเหตุการณ์ที่กล่าวมาแล้วในตอนต้น อาชญากรไซเบอร์มีเป้าหมายโจมตีหน่วยงานหรือองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศต่างๆ ทำให้รัฐบาลหลายประเทศได้จัดให้มีการตรากฎหมาย พ.ร.บ.ไซเบอร์ออกมาบังคับใช้ ซึ่งบังคับใช้เฉพาะกับหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (Critical Information Infrastructure: CII) เช่น ประเทศจีน ประเทศสิงคโปร์ ทั้งนี้ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่ถูกจัดกลุ่มได้เป็น 8 ประเภท คือ

  1. ด้านความมั่นคงของรัฐ 
  2. ด้านบริการภาครัฐที่สำคัญ 
  3. ด้านการเงินการธนาคาร 
  4. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม 
  5. ด้านการขนส่งและโลจิสติกส์ 
  6. ด้านพลังงานและสาธารณูปโภค 
  7. ด้านสาธารณสุข 
  8. หน่วยงานด้านอื่น ตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม

โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ทำหน้าที่ออกข้อกำหนดให้หน่วยงาน CII ปฏิบัติตามมาตรฐานขั้นต่ำ ปัจจุบันหน่วยงานที่เข้าข่าย CII ในประเทศไทยมีจำนวนกว่า 200 แห่ง

Operational Technology (OT) หัวใจด้านระบบสารสนเทศของหน่วยงานโครงสร้างพื้นฐานคือจุดเปราะบาง

ในองค์กรขนาดใหญ่โดยเฉพาะโรงงานอุตสาหกรรมหรือธุรกิจพลังงานมักมีระบบคอมพิวเตอร์เฉพาะทางที่ใช้ในการทำงานหลักในโรงงานหรือในโรงไฟฟ้า เรียกว่า Operational Technology (OT) ซึ่งไม่ใช่ระบบไอทีทั่วไปที่เรารู้จักคุ้นเคยกันแบบที่ใช้ในสำนักงาน โดย OT เป็นระบบที่แยกส่วนจากระบบไอทีที่ใช้งานทั่วไป ซึ่งมักใช้ในด้านการตลาด ใช้ในการวิเคราะห์ข้อมูลสำหรับผู้บริหาร ใช้ในทางการเงินและบัญชี เป็นต้น 

ส่วนระบบ OT ยกตัวอย่างเช่น โรงกลั่นน้ำมันจะมีระบบคอมพิวเตอร์ชุดใหญ่อีกชุดหนึ่งอยู่ในโรงงาน ทำหน้าที่ในการควบคุมการกลั่นน้ำมันและการผลิตต่างๆ เช่น ทำหน้าที่ควบคุมเครื่องจักร ทำหน้าที่ในการตรวจสอบคุณภาพ เป็นต้น 

ส่วนใหญ่แล้ว OT มักจะออกแบบให้เป็นระบบปิด ทำงานด้วยเครื่องคอมพิวเตอร์รุ่นเก่าที่ใช้กันมานาน ทั้ง ฮาร์ดแวร์ และซอฟต์แวร์ เช่น OS มักใช้ Windows รุ่นเก่าที่ไม่มีการอัปเดตแพทช์หรือเปลี่ยนเป็นเวอร์ชันปัจจุบัน ปกติผู้ให้บริการระบบ OT จะไม่ให้ใครเข้าไปแตะต้องหรือเข้าไปยุ่งวุ่นวายกับตัวระบบที่มีความเปราะบาง ด้วยความที่ถูกออกแบบมาเป็นระบบปิด จึงทำให้องค์กรส่วนใหญ่ไม่มีการแพทช์ที่ OS  ไม่มีการตรวจสอบรูรั่วและอัปเดตรูรั่ว รวมถึงช่องโหว่ต่างๆ เพราะเชื่อว่าจะไม่ถูกแฮก เพราะไม่มีใครสามารถเข้าถึงได้เนื่องจากเข้าใจมาโดยตลอดว่าเป็นระบบปิด แต่เราอาจจะลืมคิดไปว่ายังมีการเชื่อมต่อระหว่าง OT กับระบบไอทีในสำนักงานขององค์กรที่เป็นช่องทางในการเข้าถึง OT ได้ และ ระบบไอทีดังกล่าวได้มีการต่อเชื่อมกับอินเทอร์เน็ตอยู่ตลอดเวลา ซึ่งเหตุการณ์การถูกแฮกที่เกิดขึ้นกับ OT นั้น แฮกเกอร์มักจะใช้ช่องทางจากระบบไอทีขององค์กรเพื่อเจาะเข้าไปยังระบบ OT โดยเฉพาะ Ransomware ที่เกิดขึ้นกับองค์กรใหญ่ๆ ทั่วโลกดังที่เห็นเป็นข่าวกันมาโดยตลอด

การเตรียมความพร้อมโดยใช้หลักการ “Data Resilience

จากหลักการ “Cyber Resilience” สู่ “Data Resilience”

ปัจจุบันแก๊งอาชญากรรมข้ามชาติเจาะระบบขององค์กรต่างๆ แทบทุกประเทศ มีเป้าหมายเพื่อเรียกค่าไถ่เป็นเงิน ข่มขู่กรรโชกทรัพย์ มีการปล่อยข้อมูลขององค์กรออกสู่สาธารณะในกรณีที่ไม่จ่ายค่าไถ่ ดังนั้น องค์กรจึงต้องเตรียมความพร้อมเพื่อรับมือกับภัยไซเบอร์ที่อาจเกิดขึ้นเมื่อไรก็ได้

การนำหลักการ “Cyber Resilience” มาใช้ในองค์กรขนาดใหญ่ โดยนิยมใช้เป็นแนวทางในการปฏิบัติด้านการรับมือภัยไซเบอร์ ในหลายปีที่ผ่านมาอาจจะยังไม่เพียงพอในยุคนี้ องค์กรจึงจำเป็นจะต้องเตรียมความพร้อมด้วยหลักการ “Data Resilience” ควบคู่ไปด้วย 

Data Resilience เป็นหลักการที่องค์กรสามารถนำมาปฏิบัติเมื่อเกิดเหตุการณ์ไม่พึงประสงค์ เช่น เกิดการโจมตีทางไซเบอร์ โดยข้อมูลของลูกค้าถูกขโมยไปหรือถูก Ransomware ทำการเข้ารหัสข้อมูลไว้ทำให้ใช้งานไม่ได้ องค์กรจะต้องมีกระบวนการในการนำข้อมูลลูกค้ากลับมาใช้เพื่อให้การดำเนินธุรกิจมีความต่อเนื่อง โดย “Data Resilience” เป็นหลักการที่เน้นเรื่องสภาวะความทนทานต่อการถูกโจมตีของข้อมูลโดยเฉพาะ ในเบื้องต้นองค์กรควรจะต้องเริ่มต้นจากการสำรองข้อมูลเป็นระยะๆ โดยมีคุณลักษณะที่สามารถนำข้อมูลที่เป็นปกติก่อนถูกโจมตีด้วย Ransomware กลับมาใช้งานได้โดยธุรกิจไม่ติดขัด รวมไปถึงกระบวนการในการสำรองชุดข้อมูลเก็บไว้ในที่ๆ ปลอดภัยจาก Ransomware อีกชุดหนึ่ง ซึ่งองค์กรสามารถนำข้อมูลมาใช้งานต่อไปได้อย่างทันท่วงที ทั้งนี้ Data Resilience เป็นเพียงส่วนหนึ่งในแนวทางการปกป้องข้อมูลขององค์กรให้ปลอดภัย ควรอยู่ในแผนหลักด้านความมั่นคงปลอดภัยหรือ Cybersecurity Blueprint ขององค์กร ซึ่งควรต้องนำเฟรมเวิร์คในระดับสากลมาเป็นแนวทางในการปฏิบัติ เช่น NIST Cybersecurity Framework ร่วมกับ CISA’s Cyber Resilience Review (CRR) 

ประชาชนควรเตรียมความพร้อมอย่างไร จากการนำหลักการ “Cyber Resilience” มาประยุกต์ใช้?

ในมุมของประชาชน การเตรียมความพร้อมเพื่อให้เกิดผลกระทบน้อยที่สุดหากเกิดภัยไซเบอร์ จำเป็นจะต้องมีแผน A และแผน B เช่น การใช้โทรศัพท์มือถือสองเครื่อง ควรเลือกใช้บริการจากโอเปอเรเตอร์สองค่าย เพราะหากค่ายใดค่ายหนึ่งระบบล่ม เราก็ยังมีแผน B ที่สามารถใช้งานโทรศัพท์มือถือได้โดยไม่ส่งผลกระทบต่อการใช้ชีวิตประจำวัน  เช่นเดียวกับการที่เรามีบัญชีธนาคารหลายธนาคาร หากระบบของธนาคารใดไม่สามารถให้บริการได้ชั่วคราว เราก็ยังสามารถใช้ระบบของธนาคารอื่นๆ ในการดำเนินธุรกรรมต่อไปได้ เป็นต้น

สรุปสุดท้าย ไม่ว่าจะเป็นองค์กรหรือประชาชนทั่วไปควรคิดไว้เสมอว่า ไม่มีระบบใดที่มีความมั่นคงปลอดภัยเต็ม 100% และภัยไซเบอร์นั้นอยู่รอบตัวเราอาจจะเกิดกับองค์กรหรือตัวเราเองเมื่อไรก็ได้ จึงมีความจำเป็นต้องเตรียมความพร้อมต่อการโจมตีทางไซเบอร์ไว้เสมอ