“สกมช.”เร่งแก้กม.รับมือภัยไซเบอร์ เล็งเพิ่มโทษปรับเงินหลักล้านบาท

พล.อ.ต.อมร ชมเชย เลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยว่า  ในวันที่ 15 ก.ค.นี้ สกมช. จะเปิดเวที ประชาพิจารณ์ การปรับปรุง (ร่าง) พระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 เนื่องจาก กฎหมายฉบับเดิมเขียนมาตั้งแต่ปี 2559 แต่ปัจจุบันผ่านมา 10 ปี บริบททางสังคมเริ่มเปลี่ยนไป จึงต้องมีการปรับปรุงให้สอดคล้องกับสถานการณ์ปัจจุบัน ที่ภัยไซเบอร์ได้มีพัฒนารูปแบบอย่างต่อเนื่อง เพื่อให้กฎหมายมีรายละเอียดคลอบคุมใช้ป้องกันรับมือภัยคุกคามได้

“กฎหมายฉบับเดิม เน้นที่การสร้างความตระหนักให้ภาครัฐ และหน่วยงานโครงสร้างพื้นฐาน เช่น ระบบโทรคมนาคม ธนาคาร พลังงาน และ สาธารณสุข ในการทำโครงสร้างพื้นฐานด้านเทคโนโลยีให้ปลอดภัย จากการคุกคามทางไซเบอร์ และการรับมือเมื่อเกิดเหตุ จะไม่มีบทลงโทษที่รุนแรง เพราะเกรงว่าการบังคับใช้จะทำให้หน่วยงานต่างๆกลัวและไม่กล้าปฏิบัติตาม เพราะยังเป็นเรื่องใหม่ในสมัยนั้น แต่เมื่อยุคสมัยเปลี่ยน พบว่าความภัยไซเบอร์เป็นสิ่งที่น่ากลัวขึ้นทุกวัน ดังนั้นจึงต้องมีการปรับปรุงกฎหมายใหม่ เช่น การเพิ่มโทษปรับจากหลักแสนเป็นหลักล้านบาท แต่ก็ต้องคำนึงด้วยว่าการค่าปรับดังกล่าวจะสูงเกินไปหรือไม่ เมื่อเทียบกับต้องจ่ายเป็นค่าไถ่ให้กับสแกมเมอร์ ซึ่งกฎหมายเดิมในภาพรวมมีหน่วยงานที่ปฎิบัติตามแล้ว 80% แต่หากมีการปรับปรุงกฎหมายใหม่จะช่วยเร่งให้อีก 20% ที่เหลือ สร้างมาตรฐานความปลอดภัยไซเบอร์เร็วขึ้น”

พล.อ.ต.อมร กล่าวต่อว่าที่ผ่านมาภายใต้กฎหมายเดิม ได้ออกประกาศความมั่นคงปลอดภัยไซเบอร์ 2 ฉบับ คือ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ.2567 ซึ่งจะเริ่มมีผลบังคับใช้ในวันที่ 10 ก.ย.2569  และ มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ หรือ Website Security Standard: WSS 1.0 ซึ่งจะเริ่มมีผลบังคับใช้ในวันที่ 17 ก.ย.2569 ทำให้ต่อจากนี้ เอกชนที่จะมารับงานพัฒนาระบบของภาครัฐ หรือ หน่วยงานต่างๆ ต้องมีการระบุเรื่องมาตรฐานดังกล่าวไว้ในเงื่อนไขการจัดซื้อจัดจ้างด้วย

ทั้งนี้ในช่วง 1 ปีที่ผ่านมามีเหตุการณ์ไซเบอร์ประมาณ 3,000 กว่าเหตุการณ์ โดย 70% เกี่ยวข้องกับเว็บไซต์ถูกแฮก ส่วนใหญ่เป็นเว็บไซต์หน่วยงานรัฐ โรงเรียน องค์กรปกครองส่วนท้องถิ่น และเว็บไซต์ที่มีผู้ให้บริการภายนอกเข้ามาดูแลระบบ แต่เมื่อเวลาผ่านไปกลับไม่มีบุคลากรดูแลระบบต่อเนื่อง เพราะผู้พัฒนาเดิมย้ายงาน ผู้รับจ้างหมดสัญญา ไม่มีคนดูแลความปลอดภัยเชิงเทคนิค การออกประกาศบังคับจึงไม่ได้กำหนดเพียงการทดสอบเจาะระบบ เท่านั้น แต่ครอบคลุมตั้งแต่การประเมินผลกระทบของเว็บไซต์ การจัดระดับความเสี่ยง การกำหนดมาตรการควบคุม การเฝ้าระวัง การตรวจจับเหตุผิดปกติ ไปจนถึงแผนรับมือเพื่อให้เว็บไซต์มีความปลอดภัยต่อเนื่อง

สำหรับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ สกมช. มองว่าเป็นกติกาสำคัญที่ต้องเร่งเตรียมความพร้อม เพราะคลาวด์กลายเป็นโครงสร้างพื้นฐานหลักของการให้บริการดิจิทัล ทั้งภาครัฐและเอกชน โดยเฉพาะบริการประชาชนในวงกว้าง การจัดเก็บข้อมูลจำนวนมาก การขยายระบบจากผู้ใช้หลักแสนไปสู่หลักล้าน และการรองรับเทคโนโลยี AI ในอนาคต

“การย้ายระบบขึ้นคลาวด์ไม่ได้หมายความว่าระบบจะปลอดภัยโดยอัตโนมัติ เพราะความปลอดภัยของคลาวด์ต้องเกิดจากทั้งฝั่งผู้ให้บริการและฝั่งผู้ใช้งาน หากหน่วยงานตั้งค่าระบบผิดพลาด ไม่มีแผนสำรองข้อมูล ไม่ได้เลือกบริการด้านความปลอดภัยที่เหมาะสม หรือไม่มีบุคลากรที่เข้าใจระบบของผู้ให้บริการแต่ละราย ก็อาจกลายเป็นช่องโหว่สำคัญได้เช่นกัน หลังจากมาตรฐานนี้มีผลบังคับใช้ หน่วยงานจะไม่สามารถอ้างเพียงว่า ใช้คลาวด์รายใหญ่แล้วปลอดภัยได้อีกต่อไป แต่ต้องพิสูจน์ได้ว่าระบบที่นำขึ้นคลาวด์ได้รับการบริหารจัดการอย่างถูกต้อง มีมาตรการรองรับความเสี่ยง และมีแผนรับมือหากระบบหรือข้อมูลได้รับผลกระทบ” พล.อ.ต.อมร กล่าว