พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คืออะไร ทําไมต้องมี ?
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คือ มาตรการหรือการดําเนินการที่กําหนดขึ้น เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม ทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ ดังนั้นเพื่อให้สามารถป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที จึงมีการกําหนดกฎหมายนี้ขึ้นมา ซึ่งการตราพระราชบัญญัตินี้ สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา 26 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย ที่บัญญัติไว้ว่า
“การตรากฎหมายที่มีผลเป็นการจํากัดสิทธิหรือเสรีภาพของบุคคลต้องเป็นไปตามเงื่อนไขที่บัญญัติไว้ในรัฐธรรมนูญ ในกรณีที่รัฐธรรมนูญมิได้บัญญัติเงื่อนไขไว้ว่า กฎหมายดังกล่าว ต้องไม่ขัดต่อหลักนิติธรรม ไม่เพิ่มภาระหรือจํากัดสิทธิหรือเสรีภาพของบุคคลเกินสมควรแก่เหตุ และจะกระทบต่อศักดิ์ศรีความเป็นมนุษย์ของบุคคล มิได้ รวมทั้งต้องระบุเหตุผลความจําเป็นในการจํากัดสิทธิ และเสรีภาพไว้ด้วย กฎหมายตามวรรคหนึ่ง ต้องมีผลใช้บังคับเป็นการทั่วไป ไม่มุ่งหมายให้ใช้บังคับแก่กรณีใด กรณีหนึ่งหรือแก่บุคคลใดบุคคลหนึ่งเป็นการเจาะจง”
คณะกรรมการใดบ้างที่มีส่วนเกี่ยวข้องโดยตรง ?
1. คณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ เรียกย่อๆ ว่า กมช. และให้ใช้ชื่อเป็นภาษาอังกฤษว่า National Cyber Security Committee เรียกโดยย่อว่า NCSC มีหน้าที่ กําหนด เสนอ จัดทําแผนปฏิบัติกําหนด
มาตรการและแนวทางต่าง ๆ ที่มีส่วนเกี่ยวข้องกับ พ.ร.บ.
2. คณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกย่อๆ ว่า กกม. มีหน้าที่ กํากับดูแลการดําเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ คอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์ รวมถึงกําหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน
โดยการรับมือกับภัยคุกคามทางไซเบอร์จะมีการพิจารณาเพื่อใช้อํานาจในการป้องกันภัยคุกคามทางไซเบอร์ ทางคณะกรรมการกํากับดูแลด้านความ มั่นคงปลอดภัยไซเบอร์จะเป็นผู้กําหนดลักษณะของภัยคุกคามทางไซเบอร์ โดยแบ่งออกเป็น 3 ระดับ ดังต่อไปนี้
2.1) ภัยคุกคามทางไซเบอร์ในระดับไม่ร้ายแรง หมายถึง ภัยคุกคามทางไซเบอร์ในระดับที่ทําให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสําคัญของ ประเทศ หรือการให้บริการของรัฐ ด้อยประสิทธิภาพลง
2.2) ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง หมายถึง ภัยคุกคามทางไซเบอร์ในระดับที่มีการโจมตีระบบคอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมาย เพื่อ
โจมตีและการโจมตีดังกล่าวมีผลทําให้ระบบคอมพิวเตอร์หรือโครงสร้างสําคัญทางสารสนเทศ ที่เกี่ยวข้องกับการให้บริการของโครงสร้างพื้นฐานสําคัญของ ประเทศ เสียหายจนไม่สามารถทํางานหรือให้บริการได้
2.3) ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ หมายถึง ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ที่มีลักษณะ ล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทํางานจาก ส่วนกลางของระบบคอมพิวเตอร์ของรัฐได้ หรือ ทําให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขัน
โดยการรับมือและบรรเทาความเสียหายจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กกม. มีอํานาจออกคําสั่งเฉพาะเท่าที่จําเป็นเพื่อป้องกันภัยคุกคามทาง ไซเบอร์ ไม่ว่าจะเป็นตรวจสอบคอมพิวเตอร์และประเมินผลกระทบ รักษาสถานะของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ด้วยวิธีการใดๆ เพื่อดําเนินการทาง นิติวิทยาศาสตร์ทางคอมพิวเตอร์ ส่วนด้านการป้องกัน และรับมือ พนักงานเจ้าหน้าที่สามารถเข้าตรวจสอบสถานที่โดยมีหนังสือแจ้งถึงเหตุอันสมควร เข้าถึงข้อมูล ระบบคอมพิวเตอร์ไปจนถึงยึดหรืออายัดคอมพิวเตอร์
โดยสรุปแล้วเหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ ในปัจจุบันการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครง ข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียมมีความเสี่ยงจากภัยคุกคามทางไซเบอร์ซึ่งอาจกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อย ภายในประเทศ ดังนั้นเพื่อให้สามารถป้องกันหรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงทีทั้งหน่วยงานของรัฐและหน่วยงานเอกชนจะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ไม่ให้เกิดผลกระทบต่อความมั่นคงในด้านต่างๆ ไม่ว่าในสถานการณ์ทั่วไปหรือสถานการณ์อันเป็นภัยต่อความ มั่นคงอย่างร้ายแรงก็ตาม
หน่วยงาน CII เตรียมความพร้อมรับมือ พ.ร.บ. ไซเบอร์ด้วย Risk Assessment
พ.ร.บ.ไซเบอร์ คืออะไร?
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ คือ กฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ มีผลบังคับใช้ ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ.2562 สาระสำคัญคือ แนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ มีการประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ความสามารถของบุคลากร และผู้เชี่ยวชาญ รวมถึงการให้ความรู้ และความตระหนักถึงภัยไซเบอร์อีกด้วย
นอกจากนี้องค์กรอาจต้องให้ความสำคัญ เรื่องความผิดเกี่ยวกับโทษละเมิดความมั่นคง หรือ ความสงบเรียบร้อย ของประเทศ หรือต่อสาธารณชน ที่อาจทำให้องค์กรเสียชื่อเสียงได้
Critical Information Infrastructure (CII) คืออะไร?
CII หรือ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่หน่วยงานของรัฐหรือเอกชนใช้ในการดำเนินงาน เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ สาธารณะ และเศรษฐกิจของประเทศ รวมถึงโครงสร้างพื้นฐานที่เกิดประโยชน์แก่สาธารณะ หากระบบถูกรบกวนจะทำให้ไม่สามารถดำเนินงานหรือให้บริการได้ กำหนดโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES.)
เครื่องมือ อุปกรณ์ ระบบเครือข่าย ข้อมูลสารสนเทศ ฯลฯ ที่เป็นทรัพย์สินของหน่วยงาน และมีการใช้โครงสร้างพื้นฐานสำคัญทางสารสนเทศในการจัดการ จะต้องได้รับความปลอดภัยจากการถูกคุกคามทางไซเบอร์ เพื่อไม่ให้ทรัพย์สินทางสารสนเทศของหน่วยงานเสียหายหรือถูกทำลาย
ยกตัวอย่าง: โรงพยาบาล (หน่วยงานโครงสร้างพื้นฐาน) ใช้เครือข่ายคอมพิวเตอร์ (โครงสร้างพื้นฐานทางสารสนเทศ) เชื่อมต่อกันเพื่อเก็บบันทึกข้อมูลผู้ป่วย สถิติ และการทำงานทำผ่านคอมพิวเตอร์ (ทรัพย์สินสารสนเทศ) ภัยคุกคามจึงอาจเป็นวิธีการทางคอมพิวเตอร์เพื่อทำให้การทำงานเสียหายหรือทำงานต่อไม่ได้ เช่น การแฮ็ค การส่งไวรัสหรือชุดข้อมูลไม่พึงประสงค์จำนวนมากเพื่อทำให้ระบบประมวลผลช้าลง เป็นต้น
ตัวอย่าง สถานการณ์ภัยคุกคามไซเบอร์ ที่เกิดขึ้นกับหน่วยงาน CII ในประเทศไทย
ปี 2555 เจาะระบบ THNIC: ผู้ให้บริการโดเมนเนมไทย (.th) ถูกเจาะระบบ และแก้ไขข้อมูลที่อยู่ของเว็บไซต์ขององค์กรใหญ่หลายแห่ง
ปี 2556 DDOS ตลาดหลักทรัพย์: โจมตี DDOS โดยกลุ่ม Anonymous กับเว็บไซต์ตลาดหลักทรัพย์ในอเมริกา และเอเชียตะวันออกเฉียงใต้ ทำให้บริการขัดข้องหลายชั่วโมง ส่งผลกระทบด้านเศรษฐกิจจากปัญหา Cybersecurity
ปี 2557 Sony Pictures Hack: ระบบคอมพิวเตอร์ของมหาลัยชื่อดังแห่งหนึ่งของไทย ถูกกลุ่ม GOP (Guardians of Peace) ใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures สหรัฐอเมริกา
ปี 2558 DDoS 4 Bitcoin: 5 ธนาคารพาณิชย์ได้รับอีเมลข่มขู่ เรียกเงินเป็น Bitcoins เพื่อแลกกับการไม่ถูกโจมตี DDOS จากกลุ่ม Armada Collective
ปี 2559 ATM Malware: ATM 21 ตู้ ของธนาคารแห่งหนึ่งของไทย ถูกโจมตีด้วยมัลแวร์ และลอบขโมยเงิน 12 ล้านบาท ซึ่งพบว่าเป็นมัลแวร์คล้ายกันกับที่เคยโจมตี ATM ที่ไต้หวัน
ปี 2560 Ransomware ระบาด: มัลแวร์ WannaCry และ Petya แพร่ระบาด เครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Microsoft Windows จำนวนหนึ่งในไทย ทำให้ถูกเข้ารหัสข้อมูล
จะเห็นได้ว่าการโจมตีทางไซเบอร์เกิดขึ้นอยู่ตลอดเวลา องค์กรหรือหน่วยงานจะรับมือเหตุการณ์เหล่านี้ได้อย่างไร? โดยผู้เชี่ยวชาญด้าน Cybersecurity จาก UIH แนะนำว่าท่านจำเป็นต้องตรวจสอบว่าองค์กรหรือหน่วยงานมีการป้องกันข้อมูลหรือระบบการแจ้งเตือนภัยคุกคามที่มี ใช้งานได้ดี และมีประสิทธิภาพมากพอหรือไม่ เรียกการกระทำแบบนี้ว่า การประเมินความเสี่ยง Risk Assessment
บริการประเมินความเสี่ยง (Risk Assessment) ที่ UIH แนะนำ คือ
Vulnerability Assessment หรือ VAบริการค้นหาช่องโหว่ เป็นบริการการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ที่ค้นพบได้ในระบบปฏิบัติการ (OS) ซอฟต์แวร์หรืออุปกรณ์ Network/Security ว่ามีช่องโหว่ใดบ้าง และมีระดับความรุนแรงเท่าใด เพื่อให้ผู้ดูแลระบบทราบ และทำการแก้ไขเพื่อปิดช่องโหว่นั้น
Penetration Test หรือ PenTestการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบ เพื่อค้นหาจุดอ่อนในการเข้าถึงระบบต่างๆ โดยผู้เชี่ยวชาญซึ่งจะเป็นการทดสอบเจาะระบบในเชิงลึก พร้อมแจ้งผลการทดสอบ และประเมินความเสี่ยงเพื่อเตรียมการป้องกันได้ทัน ซึ่งเป็นหนึ่งในมาตรการป้องกันภัยคุกคามทางไซเบอร์ เหมาะสำหรับองค์กรที่ต้องการรักษาความปลอดภัยเป็นพิเศษ และจำเป็นต้องตรวจสอบระบบอย่างสม่ำเสมอ
ทั้งสองบริการจะเป็นกุญแจสำคัญในการทำให้องค์กรหรือหน่วยงาน สามารถรับรู้ถึงจุดอ่อนหรือช่องโหว่ภายในระบบงานของตนได้ รับทราบว่าต้องดำเนินการแก้ไขหรือปิดช่องโหว่อย่างไรจึงจะเพียงพอ และเท่าทันต่อภัยคุกคามทางไซเบอร์ ตลอดจนดำเนินงานได้สอดคล้องกับ พ.ร.บ. ไซเบอร์ตามที่กฎหมายกำหนดอย่างถึงที่สุด
ด้วยวิกฤตต่างๆ ในขณะนี้ บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (UIH) ขอเป็นหนึ่งกำลังใจให้องค์กรของท่านสามารถจัดการ และรับมือกับทุกปัญหาได้อย่างราบรื่น หากท่านมีความสนใจในเรื่องของบริการ Risk Assessment หรือต้องการสอบถามข้อมูลบริการด้านการรักษาความปลอดภัยไซเบอร์อื่นๆ เพิ่มเติม
เรามีผู้เชี่ยวชาญที่พร้อมให้คำปรึกษา และคำแนะนำแก่ท่าน
โดยสามารถติดต่อได้ที่ หรือโทร (094) 480 4838
บทความโดย:
ทีม Security Business Unit,
UIH
ที่มา:
//prachatai.com/journal/2018/10/79125
//www.packetlove.com/th/2019/09/16/what-is-critical-infrastructures-ci-and-cii/
//www.prachachat.net/ict/news-293702
//www.acinfotec.com/2019/07/23/thai-cyber-law-2562/