ทำไมประเทศไทยต้องมี พ.ร.บ.ไซเบอร์

หากยังรวมถึงหน่วยงานเอกชนด้วย ยกตัวอย่าง โรงไฟฟ้า ผู้ให้บริการเครือข่ายโทรคมนาคม รถไฟฟ้าทั้งบนดินและใต้ดิน สนามบินทั้งในเมืองหลวงและหัวเมืองต่างๆ สถาบันการเงิน ธนาคารแห่งประเทศไทย ตลาดหลักทรัพย์ ตลอดจนหน่วยงานด้านสาธารณสุข ทั้งโรงพยาบาลของรัฐ เอกชน รวมถึงหน่วยงานรัฐในการให้บริการประชาชน เช่น กรมการปกครอง สำนักงานเขต สำนักงานที่ดิน ตลอดจนหน่วยงานที่รัฐ Outsource ให้ปฏิบัติหน้าที่แทนรัฐ เช่น หน่วยงานรับทำ passport เป็นบริษิทที่รับหน้าที่ทำ passport แทนกรมการกงศุล กระทรวงต่างประเทศ ล้วนมีความสำคัญต่อการดำเนินชีวิตประจำวันของประชาชนด้วยกันทั้งสิ้น

ปัญหาที่อาจเกิดขึ้นกับประชาชนในอนาคตอันใกล้ และเคยเกิดมาแล้วก็คือ ปัญหาหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศดังที่กล่าวมาแล้ว ระบบคอมพิวเตอร์ล่มใช้งานไม่ได้ หรือ ปัญหาระบบสารสนเทศถูกแฮกเกอร์เจาะเข้ามาขโมยข้อมูลหรือทำลายข้อมูล ทำให้ระบบหยุดชะงัก ไม่สามารถให้บริการประชาชนได้ ทำให้เกิดผลกระทบต่อประชาชน เมื่อพิจารณาให้ละเอียดพบว่า ระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญดังกล่าว ล้วนทำงานด้วยระบบคอมพิวเตอร์อยู่เบื้องหลัง

 โดยใน พ.รบ.ไซเบอร์ เราเรียก ระบบคอมพิวเตอร์นั้นว่า “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หรือ “Critical Information Infrastructure (CII)” หมายความว่า “คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ” ซึ่งถ้าโครงสร้างพื้นฐานสำคัญทางสารสนเทศเกิดปัญหา ก็จะส่งผลกระทบต่อการให้บริการประชาชนอย่างหลีกเลี่ยงไม่ได้ 

จากนั้น ใน พ.ร.บ. ไซเบอร์ ได้บัญญัติคำนิยามของ “ภัยคุกคามทางไซเบอร์” ไว้อย่างชัดเจนโดย หมายความว่า “การกระทําหรือการดําเนินการใดๆโดยมิชอบโดยใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง” ดังนั้น “ภัยคุกคามทางไซเบอร์” ที่อาจจะส่งผลกระทบต่อการให้บริการประชาชนของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น จำเป็นต้องมีการป้องกันหรือการรับมือกับภัยคุกคามดังกล่าว ตลอดจนลดความเสี่ยงเพื่อให้สามารถป้องกันภัยคุกคามดังกล่าวได้อย่างทันท่วงที โดยไม่ปล่อยให้นานจนเกิดผลกระทบกับประชาชน 

ทั้งนี้ การตรวจสอบ การประเมินความเสี่ยง การปฏิบัติตามแนวทางปฏิบัติที่ได้มาตรฐาน และการปฏิบัติตามมาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ จึงจำเป็นต้องมี “เจ้าภาพ” หรือ หน่วยงานที่ถูกสร้างขึ้นมาเพื่อรับผิดชอบงานด้านไซเบอร์ในระดับชาติโดยเฉพาะ ซึ่งหน่วยงานนี้จะทำหน้าที่หลายประการด้วยกัน ตั้งแต่ กำหนดนโยบาย กำหนดมาตรฐานขั้นต่ำ ตรวจสอบ ช่วยรับมือภัยคุกคามทางไซเบอร์ที่ถูกแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับแรก คือ “ภัยคุกคามทางไซเบอร์ระดับไม่ร้ายแรง” เป็นภัยคุกคามทางไซเบอร์ทั่วไปที่ยังไม่รุนแรงมากนัก ระดับที่สอง” ”ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” ที่ต้องรีบรับมือ และภัยระดับสุดท้ายเป็น ภัยคุกคามทางไซเบอร์ในระดับที่สาม ที่เป็นระดับวิกฤต ส่งผลกระทบต่อโครงสร้างพื้นฐานสําคัญทางสารสนเทศ สาธารณูปโภคขั้นพื้นฐาน มีการล่มสลายของระบบเป็นวงกว้าง หรือ มีคนบาดเจ็บล้มตาย 

โดยภัยคุกคามทางไซเบอร์ในระดับวิกฤตนี้ จะถูกสั่งการโดยสภาความมั่นคงแห่งชาติ เช่นเดียวกับ การใช้ พรก. ฉุกเฉิน ให้รีบระงับเหตุ ป้องกัน และ เยียวยา ก่อน จากนั้นให้แจ้งต่อศาลรับทราบ โดยภัยไซเบอร์ระดับไม่ร้ายแรงและภัยไซเบอร์ระดับร้ายแรงต้องมีการขอหมายศาลก่อน โดย คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ต้องเป็นผู้มอบหมายให้เลขาธิการสั่งการให้พนักงานเจ้าหน้าที่ทำการเข้าถึงข้อมูล ทำสำเนาข้อมูลที่เกี่ยวข้องกับภัยไซเบอร์ดังกล่าว เพื่อหาสาเหตุในการโจมตีทางไซเบอร์ต่อไป 

ประชาชนจะได้อะไร หลังการบังคับใช้ พ.ร.บ.ไซเบอร์? 

1.ลดความเสี่ยงและผลกระทบจากการที่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศไม่สามารถให้บริการประชาชนได้ ทำให้ประชาชนเสียโอกาส เสียเวลา และอาจมีผลกระทบไปถึงการเสียทรัพย์ หรือเสียชีวิต หากภัยคุกคามไซเบอร์นั้นส่งผลกระทบในวงกว้างระดับประเทศ เนื่องจากหลังการบังคับใช้ พ.ร.บ.ไซเบอร์ ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ จะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและมาตรฐานขั้นต่ำที่สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกำหนด มีการตรวจสอบ การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้แน่ใจว่าระบบสามารถให้บริการได้อย่างต่อเนื่อง ไม่ทำให้ประชาชนเดือดร้อน 

2.เวลาที่เกิดเหตุการณ์ไม่พึงประสงค์กับหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ เช่น สนามบิน ธนาคาร ระบบไฟฟ้า-ปะปา ระบบโทรคมนาคม ระบบอินเทอร์เน็ต ที่ผ่านมา เมื่อเกิดเหตุการณ์ระบบล่มไม่สามารถทำงานได้ หรือมีเหตุการณ์ถูกโจมตีจากแฮกเกอร์ รวมทั้งการโขมยข้อมูลจากองค์กรทั้งภาครัฐละเอกชน ประเทศไทยของเราไม่เคยมีหน่วยงานที่เป็นเจ้าภาพออกมาให้สัมภาษณ์นักข่าว หรือ ทำหน้าที่ระงับภัยคุกคามไซเบอร์ดังกล่าว แต่เป็นไปในลักษณะที่เรียกว่า “ต่างคนต่างทำ เท่าที่กำลังจะมี” หลังจาก พ.ร.บ.ไซเบอร์มีผลบังคับใช้ แล้ว ประเทศไทยของเราจะมีหน่วยงานถาวร ได้แก่ สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จะเข้ามารับหน้าที่เป็นเจ้าภาพในเรื่องการช่วยเหลือหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศในการรับมือภัยคุกคามไซเบอร์ดังกล่าว 

3.เนื่องจากวัตถุประสงค์ในการตรา พ.ร.บ.ไซเบอร์ เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจจะกระทบต่อการดำเนินชีวิตของประชาชนไปจนถึงความมั่นคงของรัฐ นับเป็นเรื่องใหม่สำหรับทุกภาคส่วน ทั้งภาครัฐ ภาคเอกชนและภาคประชาชน จึงมีความจำเป็นที่ต้องจัดให้มีการสนับสนุนในเรื่อง การให้ความรู้แก่ประชาชนโดยทั่วไป และ การฝึกอบรมบุคลากรเพื่อให้รองรับการปฏิบัติหน้าที่ ทั้งนี้เพื่อให้การดำเนินงานของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศสามารถให้บริการประชาชนอย่างต่อเนื่อง 

ปรัชญาที่อยู่เบื้องหลังการตรา พ.ร.บ. ไซเบอร์ ก็คือ การทำให้หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ สามารถดูแลตนเองด้านไซเบอร์ และ สามารถรับมือกับภัยคุกคามไซเบอร์ได้ด้วยตนเอง เมื่อหน่วยงานมีความแข็งแรง มีภูมิคุ้มกันภัยคุกคามไซเบอร์มากขึ้น ย่อมส่งผลต่อความมั่นคงโดยรวมของประเทศในที่สุด โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีหน้าที่เป็น ผู้คุมกฎ ผู้ตรวจสอบและประเมิน ผู้กำหนดกรอบมาตรฐานและมาตรฐานขั้นต่ำรวมถึงประมวลแนวทางปฏิบัติ เป็นผุ้ผลักดัน ผู้สนับสนุน ให้หน่วยงานมีระเบียบวินัย มีความตั้งใจจริงในการพัฒนาบุคลากร ปฏิบัติตามประมวลแนวทางปฏิบัติและปฏิบัติตามกรอบมาตรฐานและมาตรฐานขั้นต่ำที่ควรปฏิบัติอย่างสม่ำเสมอและต่อเนื่อง ตลอดจนส่งเสริมสนับสนุนให้หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศเกิดความตระหนักในภัยคุกคามไซเบอร์ที่จะส่งผลกระทบต่อการดำเนินชีวิตของประชาชน จึงจำเป็นต้องตรา พ.ร.บ.นี้ขึ้นมา เพื่อเป็นประโยชน์ต่อประชาชนทั้งในปัจจุบันและในอนาคตอันใกล้นี้