ความจำเป็นที่ประเทศไทยต้องมี พ.ร.บ.ไซเบอร์ | ปริญญา หอมเอนก

ขณะนี้ได้จัดตั้ง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เพื่อปฏิบัติภารกิจตามเจตนารมณ์ของกฎหมาย

ทำไมต้องมี พ.ร.บ.ไซเบอร์?

ปัจจุบันภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างต่อเนื่องและมีความรุนแรงเพิ่มขึ้น สร้างความเสียหายให้แก่ ประชาชน สังคม ตลอดจนประเทศชาติ โดยไม่เว้นแม้แต่ประเทศที่พัฒนาแล้ว หรือ ประเทศที่กำลังพัฒนา ดังจะเห็นได้จากเหตุการณ์สำคัญที่เกิดขึ้นกับหน่วยงานโครงสร้างพื้นฐาน (critical infrastructures) ของประเทศ 

ยกตัวอย่าง เหตุการณ์ช่วงวันที่ 6-12 พฤษภาคม 2564 มีการโจมตีทางไซเบอร์ครั้งใหญ่ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันรายใหญ่ของสหรัฐอเมริกา “Colonial Pipeline” ถูกโจมตีด้วย Ransomware หรือมัลแวร์เรียกค่าไถ่ ทำให้ต้องหยุดการขนส่งน้ำมันบางส่วนลงชั่วคราวเพื่อแก้ไขปัญหาดังกล่าว สร้างความเสียหายเป็นอย่างมากต่อบริษัทและลูกค้า 

เหตุการณ์ในครั้งนั้น ทีมงานทำเนียบขาวของประธานาธิบดีโจ ไบเดน แห่งสหรัฐ ได้ประสานงานและติดตามความเคลื่อนไหวอย่างใกล้ชิดกับบริษัทดังกล่าวโดยตรง เนื่องจากเป็นปัญหาในระดับประเทศ 

การโจมตีโดย Ransomware ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันดังกล่าวนั้น เป็นการปฏิบัติการของอาชญากรรมข้ามชาติที่จู่โจมเป้าหมาย ที่เป็นองค์กรหรือหน่วยงานโครงสร้างพื้นฐานสำคัญยิ่งยวด (Critical Infrastructure) 

จากเหตุการณ์ดังกล่าว ไม่ได้เกิดขึ้นเป็นครั้งแรก หากแต่เกิดขึ้นมาแล้วในหลายประเทศทั่วโลกตลอดหลายปีที่ผ่านมา จึงเป็นที่มา และ เป็นสาเหตุที่ ประเทศต่างๆ ทั่วโลกมีความจำเป็นที่จะต้องมีกฎหมายด้านไซเบอร์ สำหรับประเทศไทยก็คือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562  นั่นเอง

เหตุผลและความจำเป็นในการตราพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

พ.ร.บ.ไซเบอร์มีผลบังคับใช้กับใคร? 

ด้วยเหตุการณ์ที่กล่าวมาแล้วในตอนต้น อาชญากรไซเบอร์มีเป้าหมายโจมตีหน่วยงานหรือองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศต่างๆ ทำให้รัฐบาลหลายประเทศได้จัดให้มีการตรากฎหมาย พ.ร.บ. ไซเบอร์ออกมาบังคับใช้ ซึ่งบังคับใช้เฉพาะกับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) เช่น ประเทศจีน ประเทศสิงคโปร์

 ทั้งนี้ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่ถูกจัดกลุ่มได้เป็น 8 ประเภท คือ
1.    ด้านความมั่นคงของรัฐ 
2.    ด้านบริการภาครัฐที่สำคัญ 
3.    ด้านการเงินการธนาคาร 
4.    ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม 
5.    ด้านการขนส่งและโลจิสติกส์ 
6.    ด้านพลังงานและสาธารณูปโภค 
7.    ด้านสาธารณสุข 
8.    หน่วยงานด้านอื่น ตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม

โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ทำหน้าที่ออกข้อกำหนดให้หน่วยงาน CII ปฏิบัติตามมาตรฐานขั้นต่ำ ปัจจุบันหน่วยงานที่เข้าข่าย CII ในประเทศไทยมีจำนวนกว่า 200 แห่ง

Operational Technology (OT) หัวใจด้านระบบสารสนเทศของหน่วยงานโครงสร้างพื้นฐานคือจุดเปราะบาง

ในองค์กรขนาดใหญ่โดยเฉพาะโรงงานอุตสาหกรรมหรือธุรกิจพลังงานมักมีระบบคอมพิวเตอร์เฉพาะทางที่ใช้ในการทำงานหลักในโรงงานหรือในโรงไฟฟ้า เรียกว่า Operational Technology (OT) ซึ่งไม่ใช่ระบบไอทีทั่วไปที่เรารู้จักคุ้นเคยกันแบบที่ใช้ในสำนักงาน 

โดย OT เป็นระบบที่แยกส่วนจากระบบไอทีที่ใช้งานทั่วไป ซึ่งระบบไอทีที่ใช้กันทั่วไป มักใช้ในด้านการตลาด ใช้ในการวิเคราะห์ข้อมูลสำหรับผู้บริหาร ใช้ในทางการเงินและบัญชี เป็นต้น 

ตังอย่างระบบ OT ยกตัวอย่างเช่น โรงกลั่นน้ำมันจะมีระบบคอมพิวเตอร์ชุดใหญ่อีกชุดหนึ่งอยู่ในโรงงาน ทำหน้าที่ในการควบคุมการกลั่นน้ำมันและการผลิตต่างๆ เช่น ทำหน้าที่ควบคุมเครื่องจักร ทำหน้าที่ในการตรวจสอบคุณภาพ เป็นต้น 

ส่วนใหญ่แล้ว OT มักจะออกแบบให้เป็นระบบปิด ทำงานด้วยเครื่องคอมพิวเตอร์รุ่นเก่าที่ใช้กันมานาน ทั้ง hardware และ software เช่น OS มักใช้ Windows รุ่นเก่าที่ไม่มีการอัปเดต patch หรือ เปลี่ยนเป็น version ปัจจุบัน 

ปกติผู้ให้บริการระบบ OT จะไม่ให้ใครเข้าไปแตะต้องหรือเข้าไปยุ่งวุ่นวายกับตัวระบบที่มีความเปราะบาง ด้วยความที่ถูกออกแบบมาเป็นระบบปิด จึงทำให้องค์กรส่วนใหญ่ไม่มีการ Patch ที่ OS  ไม่มีการตรวจสอบรูรั่วและอัปเดตรูรั่ว รวมถึงช่องโหว่ต่างๆ 

เพราะเชื่อว่าจะไม่ถูกแฮก เพราะไม่มีใครสามารถเข้าถึงได้เนื่องจากเข้าใจมาโดยตลอดว่าเป็นระบบปิด แต่เราอาจจะลืมคิดไปว่ายังมีการเชื่อมต่อระหว่าง OT กับระบบไอทีในสำนักงานขององค์กรที่เป็นช่องทางในการเข้าถึง OT ได้ 

และ ระบบไอทีดังกล่าวได้มีการต่อเชื่อมกับอินเทอร์เน็ตอยู่ตลอดเวลา ซึ่งเหตุการณ์การถูกแฮกที่เกิดขึ้นกับ OT นั้น แฮกเกอร์มักจะใช้ช่องทางจากระบบไอทีขององค์กรเพื่อเจาะเข้าไปยังระบบ OT โดยเฉพาะ Ransomware ที่เกิดขึ้นกับองค์กรใหญ่ๆทั่วโลกดังที่เห็นเป็นข่าวกันมาโดยตลอด 

การเตรียมความพร้อมโดยใช้หลักการ “Data Resilience”
    ปัจจุบันแก๊งอาชญากรรมข้ามชาติเจาะระบบขององค์กรต่างๆในแทบทุกประเทศ มีเป้าหมายเพื่อเรียกค่าไถ่เป็นเงิน ข่มขู่กรรโชกทรัพย์ มีการปล่อยข้อมูลขององค์กรออกสู่สาธารณะในกรณีที่ไม่จ่ายค่าไถ่  ดังนั้น องค์กรจึงต้องเตรียมความพร้อมเพื่อรับมือกับภัยไซเบอร์ที่อาจเกิดขึ้นเมื่อไรก็ได้ 

จากหลักการ “Cyber Resilience” สู่ “Data Resilience” 
    การนำหลักการ “Cyber Resilience” มาใช้ในองค์กรขนาดใหญ่ โดยนิยมใช้เป็นแนวทางในการปฏิบัติ ด้านการรับมือภัยไซเบอร์ ในหลายปีที่ผ่านมาอาจจะยังไม่เพียงพอในยุคนี้ องค์กรจึงจำเป็นจะต้องเตรียมความพร้อมด้วยหลักการ “Data Resilience” ควบคู่ไปด้วย  

Data Resilience เป็นหลักการที่องค์กรสามารถนำมาปฏิบัติเมื่อเกิดเหตุการณ์ไม่พึงประสงค์ เช่น เกิดการโจมตีทางไซเบอร์ โดยข้อมูลของลูกค้าถูกขโมยไปหรือถูก Ransomware ทำการเข้ารหัสข้อมูลไว้ทำให้ใช้งานไม่ได้ องค์กรจะต้องมีกระบวนการในการนำข้อมูลลูกค้ากลับมาใช้เพื่อให้การดำเนินธุรกิจมีความต่อเนื่อง 

“Data Resilience” เป็นหลักการที่เน้นเรื่องสภาวะความทนทานต่อการถูกโจมตีของข้อมูลโดยเฉพาะ ในเบื้องต้นองค์กรควรจะต้องเริ่มต้นจากการสำรองข้อมูลเป็นระยะๆ 

โดยมีคุณลักษณะที่สามารถนำข้อมูลที่เป็นปกติก่อนถูกโจมตีด้วย Ransomware กลับมาใช้งานได้โดยธุรกิจไม่ติดขัด รวมไปถึงกระบวนการในการสำรองชุดข้อมูลเก็บไว้ที่ที่ๆ ปลอดภัยจาก Ransomware อีกชุดหนึ่ง ซึ่งองค์กรสามารถนำข้อมูลมาใช้งานต่อไปได้อย่างทันท่วงที 

ทั้งนี้ Data Resilience เป็นเพียงส่วนหนึ่งในแนวทางการปกป้องข้อมูลขององค์กรให้ปลอดภัย ควรอยู่ในแผนหลักด้านความมั่นคงปลอดภัยหรือ Cybersecurity Blueprint ขององค์กร ซึ่งควรต้องนำเฟรมเวิร์คในระดับสากลมาเป็นแนวทางในการปฏิบัติ เช่น NIST Cybersecurity Framework ร่วมกับ CISA’s Cyber Resilience Review (CRR) 

ประชาชนควรเตรียมความพร้อมอย่างไร จากการนำหลักการ “Cyber Resilience” มาประยุกต์ใช้ ?
    ในมุมของประชาชน การเตรียมความพร้อมเพื่อให้เกิดผลกระทบน้อยที่สุดหากเกิดภัยไซเบอร์ จำเป็นจะต้องมีแผน A และแผน B เช่น การใช้โทรศัพท์มือถือสองเครื่อง ควรเลือกใช้บริการจากโอเปอเรเตอร์สองค่าย เพราะหากค่ายใดค่ายหนึ่งระบบล่ม เราก็ยังมีแผน B ที่สามารถใช้งานโทรศัพท์มือถือได้โดยไม่ส่งผลกระทบต่อการใช้ชีวิตประจำวัน

  เช่นเดียวกับการที่เรามีบัญชีธนาคารหลายธนาคาร หากระบบของธนาคารใดไม่สามารถให้บริการได้ชั่วคราว เราก็ยังสามารถใช้ระบบของธนาคารอื่นๆ ในการดำเนินธุรกรรมต่อไปได้ เป็นต้น 

สรุปสุดท้าย ไม่ว่าจะเป็นองค์กรหรือประชาชนทั่วไปควรคิดไว้เสมอว่า ไม่มีระบบใดที่มีความมั่นคงปลอดภัยเต็ม 100% และ ภัยไซเบอร์นั้นอยู่รอบตัวเราอาจจะเกิดกับองค์กรหรือตัวเราเองเมื่อไรก็ได้ จึงมีความจำเป็นต้องเตรียมความพร้อมต่อการโจมตีทางไซเบอร์ไว้เสมอ.
คอลัมน์ : รู้ทันไซเบอร์
ดร.ปริญญา หอมเอนก CISSP
ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด 
https://web.facebook.com/prinyah
[email protected]