เวทีเสวนา International Public Procurement Conference 2026 หยิบยกหัวข้อ “Cybersecurity Risks in e-GP and Infrastructure Procurement: Strengthening Trust and Resilience” เพื่อหารือถึงความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่กำลังกลายเป็นประเด็นสำคัญในระบบจัดซื้อจัดจ้างภาครัฐแบบดิจิทัล หรือ e-Government Procurement (e-GP)
เซสชันนี้มี วลาดิสลาฟ มูราดยาน (Vladislav Muradyan) หุ้นส่วนฝ่าย Business Risk Services จาก Grant Thornton และที่ปรึกษาของธนาคารโลก เป็นผู้นำเสนอหลัก
ร่วมด้วย ธนะโชค รุ่งธิปานนท์ รองอธิบดีกรมบัญชีกลาง ในฐานะผู้ร่วมแลกเปลี่ยนมุมมองจากประเทศไทย และ มาย ดึ๊ก เวียต (Mai Duc Viet) ผู้เชี่ยวชาญด้านระบบจัดซื้อจัดจ้างภาครัฐทางอิเล็กทรอนิกส์ของประเทศเวียดนาม โดยมี ฮาวเวิร์ด เซนเทนารี (Howard Centenary) ผู้เชี่ยวชาญด้านการจัดซื้อจัดจ้างของธนาคารโลก ทำหน้าที่ดำเนินรายการ
ระบบจัดซื้อจัดจ้างดิจิทัลกำลังแบกรับภาระมหาศาล
เซนเทนารีเปิดเวทีโดยระบุว่า การจัดซื้อจัดจ้างสาธารณะคิดเป็นสัดส่วนราว 15% ของ GDP ในประเทศกำลังพัฒนา และขณะนี้มีราว 60-70% ของประเทศทั่วโลกที่ดำเนินกระบวนการจัดซื้อจัดจ้างผ่านระบบดิจิทัลแบบครบวงจรตั้งแต่ต้นจนจบแล้ว
ประมาณครึ่งหนึ่งของกระบวนการจัดซื้อจัดจ้างสาธารณะทั่วโลกดำเนินผ่านระบบ e-GP และในแง่มูลค่า ราว 20% ไหลผ่านระบบครบวงจรอย่างเต็มรูปแบบ เซนเทนารีอ้างตัวเลขที่ชัดเจนว่าหากไม่มีการนำ e-GP มาใช้ การเติบโตทางเศรษฐกิจจะต่ำกว่าที่เป็นอยู่ถึง 0.5 เปอร์เซ็นต์
เขาชี้ให้เห็นจุดเปราะบางที่ซ่อนอยู่ในความสำเร็จนี้ ระบบ e-GP ถูกออกแบบให้ทำงานเงียบๆ อยู่เบื้องหลัง ผู้คนไม่รู้สึกถึงการมีอยู่ของมันเมื่อทุกอย่างเป็นปกติ แต่จะรับรู้ได้ทันทีเมื่อมันล้มเหลว
“ลองจินตนาการว่า หากมีประเทศหนึ่งกำลังจะเปิดประมูลโครงการก่อสร้างสะพาน แต่ก่อนถึงกำหนดเปิดซองราคาเพียง 24 ชั่วโมง กลับมีข้อมูลราคาของผู้ยื่นข้อเสนอรายหนึ่งรั่วไหลออกมาจากระบบ e-GP คุณคิดว่าจะเกิดอะไรขึ้นกับกระบวนการจัดซื้อจัดจ้างครั้งนั้น และความน่าเชื่อถือของหน่วยงานรัฐจะได้รับผลกระทบมากเพียงใด” เซนเทนารีกล่าว
นั่นคือสิ่งที่ต้องการหลีกเลี่ยงอย่างที่สุด และเป็นเหตุผลหลักที่ต้องให้ความสำคัญกับความปลอดภัยไซเบอร์ ไม่ใช่เพื่อให้ระบบดูดี แต่เพื่อรักษาความไว้วางใจและความน่าเชื่อถือ เพื่อให้ระบบยังสามารถทำหน้าที่สนับสนุนการจัดซื้อจัดจ้างที่มีประสิทธิภาพต่อไปได้
เซนเทนารีนำกรณีจากเกาหลีมายกตัวอย่างว่า เกาหลีเคยเกิดเพลิงไหม้ครั้งใหญ่ที่ทำให้ระบบของรัฐบาลทั้งหมดหยุดชะงัก แต่ระบบจัดซื้อจัดจ้างกลับมาทำงานได้ภายในสามชั่วโมง เพราะมีระบบสำรองและการออกแบบที่ยืดหยุ่น ขณะที่หน่วยงานรัฐอื่นๆ ต้องใช้เวลาหลายวันถึงหลายสัปดาห์กว่าจะฟื้นตัว
ความปลอดภัยไซเบอร์ไม่ใช่แค่งานไอที
ขณะเดียวกัน มูราดยานเสริมว่า ในยุคที่รัฐบาลทั่วโลกพึ่งพาระบบ e-GP เป็นกลไกหลักในการดำเนินโครงการโครงสร้างพื้นฐาน ความเสี่ยงด้านความปลอดภัยไซเบอร์ได้ขยับจากเรื่องทางเทคนิคมาเป็นปัญหาที่ครอบคลุมสามมิติพร้อมกัน ทั้งมิติการจัดซื้อจัดจ้าง มิติความรับผิดทางการเงิน และมิติธรรมาภิบาล
“ระบบ e-GP เป็นกลไกพื้นฐานที่ทำให้การจัดซื้อจัดจ้างสาธารณะดำเนินไปได้ เหตุการณ์ทางไซเบอร์ใด ๆ ที่รบกวนระบบนี้ไม่ได้กระทบแค่การให้บริการเชิงปฏิบัติการ แต่ยังท้าทายความซื่อสัตย์ ความปลอดภัย และประสิทธิภาพของกระบวนการจัดซื้อจัดจ้างโดยตรง” มูราดยานกล่าว และย้ำอีกครั้งว่า “ความปลอดภัยไซเบอร์คือองค์ประกอบหลักของความไว้วางใจ เพื่อรับประกันความโปร่งใสและความยืดหยุ่นของระบบจัดซื้อจัดจ้างสาธารณะ”
แม้การเปลี่ยนผ่านสู่ดิจิทัลจะนำมาซึ่งประโยชน์มหาศาล แต่การพึ่งพาระบบ e-GP ที่เพิ่มขึ้นก็หมายความว่าช่องโหว่ที่อาจถูกโจมตีขยายตัวตามไปด้วย ความเสี่ยงเหล่านี้อาจหยุดชะงักกระบวนการจัดซื้อจัดจ้าง ทำให้ข้อมูลละเอียดอ่อนถูกเปิดเผย บิดเบือนการแข่งขันที่เป็นธรรม ทำให้การส่งมอบโครงสร้างพื้นฐานล่าช้า และที่ร้ายแรงที่สุดคือ บั่นทอนความไว้วางใจของสาธารณชนต่อระบบดิจิทัลของรัฐ
คู่มือความปลอดภัยไซเบอร์ e-GP ของธนาคารโลก
ธนาคารโลกพัฒนา E-GP Cybersecurity Manual ขึ้นจากการประเมินองค์กรจัดซื้อจัดจ้างสาธารณะในหลายประเทศตลอดปีที่ผ่านมา และพบช่องว่างสำคัญในสามด้าน ได้แก่ ธรรมาภิบาล มาตรการป้องกันทางเทคนิค และศักยภาพขององค์กร ซึ่งล้วนต้องการการตอบสนองที่มีโครงสร้างและประสานงานกัน
มูราดยานอธิบายว่า คู่มือนี้ใช้ได้สองแบบ คือเป็นแนวทางทีละขั้นตอนสำหรับองค์กรที่เริ่มต้นสร้างระบบความปลอดภัยไซเบอร์จากศูนย์ และเป็นโมเดลอ้างอิงสำหรับองค์กรที่มีระบบอยู่แล้วและต้องการปิดช่องว่างที่ยังหลงเหลืออยู่
โดยคู่มือนี้ไม่ได้จำกัดไว้สำหรับกลุ่มใดกลุ่มหนึ่ง ไม่ว่าจะเป็นผู้นำเชิงยุทธศาสตร์ ทีมเทคนิค ผู้อำนวยการ หน่วยงานกำกับดูแล หรือผู้บริหารระดับสูง ล้วนนำไปใช้ประโยชน์ได้ทั้งสิ้น
เจ็ดเสาหลักของคู่มือ
คู่มือนี้ถูกจัดโครงสร้างรอบ “เจ็ดเสาหลัก” ที่เป็นรากฐานของระบบความปลอดภัยไซเบอร์ที่ครอบคลุมสำหรับหน่วยงานจัดซื้อจัดจ้าง
เสาหลักที่หนึ่ง - ธรรมาภิบาล มูราดยานระบุว่า นี่คือเสาหลักที่สำคัญที่สุด เพราะปัญหาที่พบบ่อยที่สุดในองค์กรทั่วโลกคือ ทีมไอทีและทีมความปลอดภัยไซเบอร์มักทำงานอยู่ในโลกของตนเอง โดยไม่ได้เชื่อมโยงกับยุทธศาสตร์ภาพรวมและภารกิจของหน่วยงานจัดซื้อจัดจ้างเต็มที่
“หลายครั้งทีมไอทีและทีมความปลอดภัยทางไซเบอร์มักทำงานอยู่ภายในกรอบของตนเอง โดยไม่ได้เชื่อมโยงกับยุทธศาสตร์ภาพรวมและภารกิจของหน่วยงานจัดซื้อจัดจ้างภาครัฐอย่างเต็มที่ อีกทั้งยังไม่ได้สะท้อนเป้าหมายเชิงระบบที่สำคัญ เช่น ความโปร่งใส ความน่าเชื่อถือ และความยืดหยุ่นของระบบจัดซื้อจัดจ้างด้วย” มูราดยานกล่าว
และสรุปสั้นๆ ว่า “ถ้าจะอธิบายให้ง่ายที่สุด เสาหลักนี้คือการตอบคำถามว่าใครทำอะไร และนั่นสำคัญมากในการกระจายบทบาทระหว่างสมาชิกในทีมและผู้มีส่วนได้ส่วนเสียทุกฝ่าย”
เสาหลักที่สอง - การประเมินและบริหารความเสี่ยง เสาหลักนี้วางกรอบที่เป็นระบบในการระบุ ประเมิน และจัดลำดับความสำคัญของความเสี่ยงไซเบอร์ เพื่อให้ผู้มีอำนาจตัดสินใจเข้าใจช่องโหว่ภายในระบบและนำมาตรการที่ตรงจุดมาลดความเสี่ยงได้
“ก่อนจะลงทุนหรือเริ่มโครงการใด สิ่งที่ขาดไม่ได้คือแผนที่ชัดเจน รัฐบาล กระทรวงการคลัง และทุกหน่วยงานต้องตอบได้ก่อนว่าทำไมถึงต้องลงทุนด้านความปลอดภัยไซเบอร์ ทำไมถึงต้องอัปเดตระบบที่มีอยู่” มูราดยานกล่าว
พร้อมเพิ่มเติมว่า ผลของการประเมินความเสี่ยงไม่ใช่แค่รายงาน แต่จะกลายเป็นตัวกำหนดงบประมาณและเทคโนโลยีที่องค์กรควรใช้ด้วย
เสาหลักที่สาม - มาตรการป้องกัน มูราดยานระบุว่า นี่คือเสาหลักที่มีเนื้อหาทางเทคนิคมากที่สุด โดยแปลงนโยบายให้กลายเป็นการปฏิบัติจริงผ่านมาตรการป้องกันทั้งทางเทคนิคและทางองค์กร ครอบคลุมการจัดการตัวตนและสิทธิ์การเข้าถึง การเข้ารหัสข้อมูล และการรักษาความปลอดภัยของระบบ เพื่อป้องกันสภาพแวดล้อม e-GP จากการเข้าถึงโดยไม่ได้รับอนุญาต
เสาหลักที่สี่ - การรวมความปลอดภัยไซเบอร์เข้าสู่กระบวนการจัดซื้อจัดจ้าง มูราดยานกล่าวว่า “ความปลอดภัยไซเบอร์ไม่ควรถูกมองว่าเป็นกระบวนการแยกต่างหากที่ทีมไอทีหรือทีมความปลอดภัยดูแลเอง แต่ต้องถือเป็นส่วนหนึ่งของกระบวนการจัดซื้อจัดจ้าง”
เสาหลักนี้ฝังความปลอดภัยไซเบอร์ไว้ในทุกขั้นตอน ตั้งแต่การวางแผน การประกาศประกวดราคา การประเมินข้อเสนอ การบริหารสัญญา ไปจนถึงการปิดโครงการ
เสาหลักที่ห้า - แบบจำลองวุฒิภาวะไซเบอร์ เสาหลักนี้ใช้วัดความก้าวหน้าและศักยภาพขององค์กรใน 3 โดเมน ได้แก่ ธรรมาภิบาล การบริหารความเสี่ยง และการดำเนินงาน มูราดยานระบุว่าแบบจำลองนี้พัฒนาร่วมกันระหว่างธนาคารโลกและธนาคารพัฒนาเอเชีย (ADB) และช่วยให้องค์กรเห็นชัดว่าตัวเองอยู่ในระดับใด พร้อมแผนที่นำทางสู่มาตรฐานสากล
เสาหลักที่หก - การรับมือเหตุการณ์ วางโครงสร้างสำหรับการระบุ รายงาน และฟื้นฟูระบบหลังเกิดเหตุการณ์ไซเบอร์ โดยให้องค์กรมีขั้นตอนการควบคุม การกักกัน และการกู้คืนที่ชัดเจน เพื่อลดความเสียหายและผลกระทบให้น้อยที่สุด
เสาหลักที่เจ็ด - การติดตามและตรวจสอบอย่างต่อเนื่อง รับประกันว่าระบบความปลอดภัยไซเบอร์ถูกประเมินและปรับปรุงอยู่ตลอดเวลา ผ่านการติดตามสม่ำเสมอและการตรวจสอบอิสระ เพื่อตรวจจับช่องโหว่ได้ก่อน และนำบทเรียนจากเหตุการณ์ที่ผ่านมาไปเสริมความแข็งแกร่งให้ระบบโดยรวม
สองเครื่องมือเสริม จากยุทธศาสตร์สู่การปฏิบัติ
มูราดยานนำเสนอเครื่องมือเพิ่มเติมสองชิ้นที่ออกแบบมาทำงานควบคู่กับคู่มือ โดยเขาอธิบายว่าทั้งสองชิ้นนี้รวมกันเป็น “แพ็กเกจไซเบอร์ที่บูรณาการ” สำหรับองค์กร
ชิ้นแรกคือ แผนการเสริมสร้างศักยภาพ กรอบยุทธศาสตร์ที่ออกแบบมาเพื่อสร้างความเข้าใจด้านความปลอดภัยไซเบอร์ในระดับองค์กร สร้างความผูกพันของผู้นำ และยกระดับแนวปฏิบัติภายใน เมื่อรวมกับคู่มือแล้ว
ทั้งสองจะสร้างกรอบที่สอดประสานกัน ตั้งแต่การปฏิบัติตามข้อกำหนดพื้นฐานไปจนถึงความยืดหยุ่นขั้นสูงที่สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดในระดับนานาชาติ
ชิ้นที่สองคือ แผนที่นำทางการดำเนินการที่แปลงแนวทางเชิงยุทธศาสตร์ให้กลายเป็นขั้นตอนปฏิบัติได้จริงในทุกระดับองค์กร มูราดยานชี้ให้เห็นความเป็นจริงสำคัญว่า “โครงสร้างพื้นฐานไอซีทีไม่ได้เหมือนกันในทุกองค์กร มันแตกต่างกัน”
ดังนั้น คู่มือจึงออกแบบให้ใช้ได้ทั้งกับองค์กรที่เพิ่งเริ่มต้นและองค์กรขั้นสูงที่ต้องการปรับปรุงบางส่วน
เขาย้ำว่า แผนที่นำทางนี้มีเป้าหมายให้ระบบ e-GP ยังคงปลอดภัย ยืดหยุ่น และเดินหน้าไปพร้อมกับวาระการเปลี่ยนผ่านสู่ดิจิทัลของแต่ละประเทศ ควบคู่กับมาตรฐานสากล และเมื่อองค์กรพัฒนาไปถึงระดับที่สูงขึ้น แผนที่นำทางจะนำเสนอมาตรการที่ซับซ้อนมากขึ้น ทั้งคำแนะนำเฉพาะรายภาคส่วน ความร่วมมือข้ามพรมแดน และการติดตามอย่างต่อเนื่อง เพื่อรับมือกับความเสี่ยงในระดับที่สูงกว่าเดิม
กรณีศึกษาจากเวียดนาม
มาย ดึ๊ก เวียด เผยว่า เวียดนามมีกรอบการทำงานเพื่อรักษาความปลอดภัยของระบบ E-GP ทั้งหมด 7 เสาหลัก และย้ำว่า เป้าหมายสูงสุดของการรักษาความปลอดภัยไม่ใช่เพียงแค่ป้องกันแฮ็กเกอร์ แต่เป็นการปกป้องความยุติธรรมของประเทศ
เริ่มต้นจาก 1. การกำกับดูแล โดยระบบนี้จะถูกแบ่งออกเป็น 11 ระบบย่อย และกระจายความรับผิดชอบให้แต่ละแผนกดูแลอย่างชัดเจนเพื่อการตรวจสอบที่โปร่งใส ควบคู่ไปกับการประเมินความเสี่ยงเป็นประจำทุกปีโดยหน่วยงานภายนอก
2. การประเมินความเสี่ยง โดยมีการจ้างหน่วยงานภายนอกเข้ามาประเมินความเสี่ยงเป็นประจำทุกปี โดยอิงตามมาตรฐานของประเทศ เพื่อตรวจหาช่องโหว่ต่างๆ เช่น การพยายามล็อกอินเข้าสู่ระบบซ้ำๆ ความผิดปกติบนเครือข่าย ตลอดจนให้ความสำคัญกับการอัปเดตระบบที่ล้าสมัยอยู่เสมอ
3. สถาปัตยกรรมที่ปลอดภัย (Secure Architecture) ระบบมีการเฝ้าระวังตลอด 24 ชั่วโมงผ่านแพลตฟอร์ม SIEM เช่น IBM QRadar และ Splunk และมีการจำลองทดสอบเจาะระบบ โดยให้ทีมโจมตีและทีมป้องกัน (Red team และ Blue team) มาทดสอบหาจุดอ่อนเพื่อนำไปปรับปรุง
4. ความปลอดภัยในกระบวนการจัดซื้อจัดจ้าง (Procurement Security) โดยความปลอดภัยถูกฝังอยู่ในทุกขั้นตอนสำคัญ ตั้งแต่การวางแผนไปจนถึงการยื่นประมูล โดยผู้ใช้งานจะต้องใช้ USB Token และลายมือชื่อดิจิทัลเพื่อเข้ารหัสและยืนยันตัวตน เพื่อป้องกันการถูกดัดแปลงข้อมูล
5. การประเมินระดับความพร้อม ระบบใช้แนวทางจากกระทรวงฯ เพื่อประเมินขีดความสามารถของระบบในปัจจุบัน หาช่องโหว่ และวางแผนการพัฒนาในระยะยาว
6. การรับมือเหตุขัดข้อง ระบบใช้แนวทางปฏิบัติตามมาตรฐาน ITIL 4 ซึ่งครอบคลุมตั้งแต่การตรวจจับปัญหา การบันทึก การจัดระดับความรุนแรง จากระดับ 1 ที่รุนแรงที่สุดไปจนถึงระดับ และขั้นตอนการฟื้นฟูระบบ
7. การเฝ้าระวังและพัฒนาอย่างต่อเนื่อง โดยระบบให้ความสำคัญกับการอัปเดตและฝึกอบรมเจ้าหน้าที่อย่างสม่ำเสมอ โดยมองว่าความปลอดภัยทางไซเบอร์ไม่ใช่งานที่ทำครั้งเดียวจบ แต่เป็นวัฏจักรที่ต้องติดตาม เรียนรู้ และพัฒนาอย่างต่อเนื่อง เพื่อปกป้องความโปร่งใสและยุติธรรมของระบบ
นอกจากนี้ เวียดอธิบายถึงระบบตรวจจับการทำงานผิดปกติ 2 อย่าง คือ ด้านเทคนิค ซึ่งใช้แพลตฟอร์ม SIEM ตรวจจับพฤติกรรมอย่างการล็อกอินล้มเหลวจากผู้ใช้งานหรือ IP เดิมซ้ำๆ และด้านนโยบาย โดยระบบจะคอยจับตาดูพฤติกรรมที่อาจเข้าข่ายการฮั้วประมูล
เช่น มีผู้ยื่นประมูลน้อยราย เพียง 1-2 ราย หรือผู้ประมูลหน้าเดิมที่เสนอราคากำไรใกล้เคียงกัน การเสนอราคาที่สูงกว่าราคากลางประเมินมาก เช่น สูงกว่าถึง 90% รวมถึงพฤติกรรมการยื่นประมูลพร้อมๆ กัน หรือยื่นกระชั้นชิดก่อนหมดเวลาพอดี
ระบบจัดซื้อจัดจ้างภาครัฐของประเทศไทย
ธนะโชค ร่วมแบ่งปันประสบการณ์และวิสัยทัศน์ในการพัฒนาระบบจัดซื้อจัดจ้างภาครัฐของประเทศไทย โดยเน้นย้ำถึงความสำคัญของการจัดการความมั่นคงปลอดภัยทางไซเบอร์ การปรับปรุงกระบวนการทำงาน และการสร้างความเชื่อมั่นให้กับผู้ใช้งานทั่วประเทศ
เขาเปิดเผยว่า ปัจจุบันระบบ e-GP เป็นแพลตฟอร์มกลางระดับชาติที่หน่วยงานภาครัฐทุกแห่งต้องใช้งาน โดยมีผู้ใช้งานในระบบมากกว่า 800,000 ราย ซึ่งแบ่งเป็น ผู้ค้าหรือซัพพลายเออร์ประมาณ 380,000 ราย และเจ้าหน้าที่รัฐอีก 400,000 ราย ในปีที่ผ่านมาระบบรองรับโครงการจัดซื้อจัดจ้างมูลค่ารวมคิดเป็นสัดส่วนถึงประมาณ 10% ของผลิตภัณฑ์มวลรวมในประเทศ
โดยระบบนี้ถูกพัฒนาอย่างก้าวกระโดดในปี 2558 ด้วยการเปลี่ยนผ่านจากระบบกระดาษไปสู่รูปแบบอิเล็กทรอนิกส์อย่างเต็มตัว (e-Bidding และ e-Market) เพื่อแก้ปัญหาการทุจริตและการฮั้วประมูลที่เกิดจากการที่ผู้ค้าต้องไปพบปะกันที่หน่วยงานรัฐ
ทั้งนี้ การเปลี่ยนผ่านสู่โลกดิจิทัลทำให้กรมบัญชีกลางต้องเผชิญกับปัญหาด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้ ทั้งปัญหาสแปม (Spam) การพยายามสุ่มรหัสผ่าน (Brute Force) การดึงข้อมูลจากเว็บไซต์ (Data Scraping) ไปจนถึงความผิดปกติจากต่างประเทศ เช่น การพบคำขอเข้าใช้งานมากกว่า 100,000 ครั้งจากประเทศออสเตรเลียภายในเวลาเพียง 1 นาที
นอกจากภัยคุกคามทางเทคโนโลยีแล้ว “ความเชื่อมั่น” ของผู้ใช้งานก็เป็นอุปสรรคสำคัญที่ต้องก้าวผ่าน ในช่วงแรกมีข่าวลือว่าผู้ค้าสามารถมองเห็นราคาของคู่แข่งได้ ส่งผลให้ผู้เสนอราคากว่า 80% เลือกที่จะเข้ามายื่นซองประมูลในช่วง 30 นาทีสุดท้ายด้วยความหวาดระแวง ซึ่งนำไปสู่ความผิดพลาดในการประมูล
“หากผู้ใช้งานมีความเชื่อมั่นในระบบ ปัญหาที่ใหญ่ก็จะกลายเป็นเรื่องเล็ก แต่เมื่อใดที่พวกเขาขาดความเชื่อมั่น ก็จะพยายามค้นหาข้อผิดพลาดและอาจนำไปสู่การกระทำที่ไม่ถูกต้อง ดังนั้น การสร้างความเชื่อมั่นให้กับผู้ใช้งานจึงเป็นสิ่งสำคัญที่สุด” ธนะโชคกล่าว
ทั้งนี้ เพื่อยกระดับมาตรฐานความปลอดภัย กรมบัญชีกลางได้ร่วมมือกับผู้เชี่ยวชาญภายนอกและธนาคารโลกในการประเมินระบบ ซึ่งผลลัพธ์พบว่าระบบของไทยผ่านเกณฑ์มาตรฐานสากลถึง 80%
นอกจากนี้ ยังได้รับข้อเสนอแนะในการพัฒนาเพิ่มเติม เช่น การทำระบบยืนยันตัวตนแบบหลายขั้นตอน (MFA) และการจัดตั้งทีมตอบสนองเหตุการณ์ฉุกเฉิน
ธนะโชค เน้นย้ำว่า การจัดการความปลอดภัยทางไซเบอร์ไม่ใช่หน้าที่ของศูนย์ไอทีเพียงฝ่ายเดียว แต่ต้องอาศัยความร่วมมือข้ามสายงานและการปรับเปลี่ยนกฎระเบียบ
ตัวอย่างเช่น การยกเลิกการบันทึกข้อมูลว่าใครเป็นผู้ดาวน์โหลดเอกสารการประมูลบ้าง เพื่อเป็นการตัดกระบวนการที่เสี่ยงต่อการถูกเจาะข้อมูลออกไปจากระบบตั้งแต่ต้น รวมถึงการแก้ปัญหาเรื่องโครงสร้างการรายงานผลเมื่อระบบล่ม ที่มักจะแจ้งไปยังคอลเซ็นเตอร์ก่อนฝ่ายไอที
มุ่งระบบคลาวด์และ e-Contract
สำหรับก้าวต่อไป กรมบัญชีกลางกำลังดำเนินการติดตั้งศูนย์สำรองข้อมูลฉุกเฉิน (DR และ DC) และมีแผนที่จะย้ายระบบขึ้นสู่ระบบคลาวด์ (Cloud) เพื่อความยืดหยุ่น
ที่สำคัญ ในปีนี้กรมบัญชีกลางมีแผนพัฒนาไปสู่การใช้สัญญาอิเล็กทรอนิกส์ (e-Contract) ที่รองรับการลงนามออนไลน์ (Digital Signature) ควบคู่ไปกับระบบการส่งมอบงานและการจ่ายเงินออนไลน์ เพื่อลดความล่าช้าและอำนวยความสะดวกให้ทุกฝ่าย
“คุณไม่สามารถสร้างระบบขึ้นมาเพียงครั้งเดียวแล้วหวังว่าจะใช้ได้ตลอดกาล เราจะยังคงต้องเผชิญกับความท้าทายใหม่ ๆ และปัญหาความมั่นคงทางไซเบอร์รูปแบบใหม่ที่ต้องคอยปรับปรุงอยู่เสมอ นี่คือสิ่งที่เราต้องคิดอยู่ตลอดว่าจะพัฒนาระบบของเราต่อไปได้อย่างไร”