ปัญหาภัยคุกคามทางไซเบอร์นับวันจะทวีความรุนแรงมากยิ่งขึ้นเมื่อเหล่า “อาชญากรทางโลกออนไลน์” ได้อาศัยช่องโหว่ในการเข้าแฮกเจาะระบบของหน่วยงานต่างๆ ไม่เว้นวัน!!!
ส่งผลให้สถานการณ์ด้านความปลอดภัยไซเบอร์เป็นเรื่องที่ทั่วโลกจับตาและเฝ้าระวังอยู่ตลอดเวลาเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นในวงกว้าง
สำหรับในประเทศไทย ตาม พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ก็ได้มีการออกกฎหมายลำดับรอง (ก.ม.ลูก) ตามประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. 2564 ซึ่งเป็นข้อกำหนดขั้นต่ำด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ โดยจะมีผลบังคับใช้ในวันที่ 6 ก.ย. 65 ที่จะถึงนี้
โดยเหลือเวลาไม่ถึง 2 เดือน หรือ 60 วัน!! ที่นับถอยหลังที่หน่งงานรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือ CII (Critical Information Infrastructure ) ต้องปฎิบัติตามกฎหมายนี้!?!
ซึ่งทาง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้กำหนดหน่วยงาน CII ประกอบด้วย 7 ด้าน ได้แก่ ด้านความมั่นคงภาครัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข โดยมีจำนวน 53 องค์กร
ซึ่งไม่มีการเปิดเผยรายชื่อ เพราะสุ่มเสี่ยงที่จะเป็นเป้าหมาย ของแฮกเกอร์ได้!?!
อย่างไรก็ตาม สกมช.ได้มีการประกาศมาตรฐานด้านไซเบอร์ให้หน่วยงานกำกับ หน่วยงานรัฐ และหน่วยงาน CII แล้ว 15 กรอบมาตรฐาน เช่น การรับมือกับภัยคุกคามทางไซเบอร์ (Cyber incident response) การประเมินความเสี่ยง ทางไซเบอร์ (Cyber risk assessment) การตรวจสอบความปลอดภัย (Auditing) เป็นต้น และก็ได้จัดกิจกรรมเพื่อให้หน่วยงานดังกล่าวได้ทราบแนวทางการดำเนินงาน ให้สอดคล้องเป็นไปตามประกาศที่กฎหมายกำหนด
นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้ทรงคุณวุฒิด้านกฎหมาย ของ คณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (กมช.) บอกว่า หลัง ก.ม.บังคับใช้ ทาง สกมช.จะเริ่มตรวจสอบหน่วยงานดังกล่าว อย่างจริงจังว่าได้จัดทำ การรักษาความมั่นคงปลอดภัยไซเบอร์ได้ตามมาตรฐานหรือไม่ หลังที่ผ่านมามีช่วงเวลาให้เตรียมความพร้อมมาประมาณ 1 ปี
ซึ่งได้ยึดตามมาตรฐานสากล ที่ต้องมีการแจ้งเตือน ตรวจสอบ และมีมาตรการประเมินความเสี่ยงและเมื่อเกิดเหตุภัยคุกคามขึ้นมาต้องดำเนินการอย่างไรบ้าง??
เนื่องจากเป็นหน่วยงานที่ให้บริการกับประชาชนจำนวนมาก หากเกิดโจมตีทางทางไซเบอร์ อาจส่งผลเสียหายจำนวนมากได้!!
อย่างไรก็ตามในเรื่องหน่วยงานต่างๆมีความพร้อมแค่ไหน? กับการจัดการรับมือภัยไซเบอร์?
ทาง นายปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กมช. บอกว่า ปัจจุบันหน่วยงานด้าน CII ของไทยได้ตระหนักในเรื่องไซเบอร์ซีเคียวริตี้เพิ่มมากขึ้นแล้ว สิ่งที่ต้องเร่งดำเนินต่อไป คือการพัฒนาระบบรักษาความมั่นคงปลอดภัยให้ได้ตามเกณฑ์มาตรฐานขั้นต่ำ ตามที่กฎหมายกำหนด เพื่อป้องการการถูกแฮกข้อมูล หรือโดนโจมตีจนระบบล่ม ซึ่งอาจส่งผลกระทบในวงกว้างได้
“ทุกวันนี้ในกลุ่ม การเงินการธนาคาร ประกัน และโทรคมนาคม ได้มีการปรับตัวและพัฒนาได้ตามมาตรฐานแล้ว ไม่น่าเป็นห่วง ขณะที่ในอุตสาหกรรมอื่นๆ เช่น เฮลท์แคร์ และพลังงาน ก็ตกเป็นเป้าโจมตี ของแฮกเกอร์สูงมาก ไม่เว้นแต่ละวัน การปรับระบบด้านไซเบอร์ซีเคียวริตี้ ซึ่งนอกจากจะช่วยเรื่องการรักษาความปลอดภัยแล้ว ยังช่วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ ด้วย”
อย่างไรก็ตามการจัดทำระบบให้ได้มาตรฐาน ก็ไม่ได้หมายความว่าจะไม่ถูกแฮก!! ซึ่งทาง สกมช.ก็อาจจจะมีการออกแนวทางปฎิบัติ หรือไกด์ไลน์ให้หน่วยงานที่เกี่ยวข้องเหล่านี้เพื่อให้เป็นไปตามกฎหมายกำหนด รวมถึงคอยแนะนำและให้คำปรึกษาด้วย
เมื่อหน่วยงานที่เกี่ยวข้องต่างๆ มีการตื่นตัว เฝ้าระวัง ซักซ้อมการป้องกันภัยอย่างสม่ำเสมอ จัดระบบไซเบอร์ ซีเคียวริตี้ ให้เป็นไปตามมาตรฐาน มีความพร้อมในการปฏิบัติตามกฎหมายลูกดังกล่าวได้อย่างถูกต้อง ทาง สกมช.ก็เชื่อว่าจะช่วยสร้างความแข็งแกร่งด้านไซเบอร์ให้กับประเทศได้อย่างแน่นอน !?!
จิราวัฒน์ จารุพันธ์
