สกมช.ลุยปั้น “ซีอีโอไซเบอร์” เพื่อสร้างมาตรฐานความปลอดภัย

พลอากาศตรี อมร ชมเชย รองเลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่า กฎหมายลูกของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ระบุว่าหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือ Critical Information Infrastructure (CII) ต้องมีตำแหน่งประธานเจ้าหน้าที่บริหารความปลอดภัยข้อมูล (Chief Information Security Officer หรือ CISO) เพื่อทำหน้าที่บริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ จึงจำเป็นต้องมีความรู้ด้านการบริหารจัดการในการเป็นผู้วางแผนรับมือกับภัยไซเบอร์ที่จะเกิดขึ้นร่วมกับประธานเจ้าหน้าที่บริหารหรือ ซีอีโอ ไม่ว่าจะเป็นการวางระบบเองหรือใช้เอาท์ซอร์สจากบริษัทอื่นหากไม่มีการบริหารความเสี่ยงที่ดีเมื่อเกิดช่องโหว่หน่วยงาน CII ต้องรับผิดทางกฎหมาย

อย่างไรก็ดี ตำแหน่งดังกล่าวยังมีหน่วยงาน CII โดยเฉพาะในหน่วยงานภาครัฐไม่ค่อยมีตำแหน่งนี้ ส่วนใหญ่เป็นเพียงตำแหน่งประธานเจ้าหน้าที่บริหารข้อมูลเท่านั้น ( Chief Information Officer หรือ CIO) ซึ่งเป็นตำแหน่งดูแลเรื่องเทคนิค มากกว่าการวางแผน

ดังนั้น สกมช.จึงต้องมีส่วนช่วยในการสร้างบุคลากรด้านนี้ขึ้นผ่านโครงการสอบประกาศนียบัตร CISSP (Certified Information Systems Security Professional ) สมาคมไอเอสซี สแควร์ ภาคพื้นกรุงเทพมหานคร ซึ่งเป็นองค์กรระดับสากลที่เกิดจากการรวมตัวของผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

เพื่อยกระดับผู้เชี่ยวชาญด้านไอทีไปสู่ผู้เชี่ยวชาญด้านความมั่นคงความปลอดภัยไซเบอร์ระดับสูงและก้าวขึ้นสู่ตำแหน่ง CISO ซึ่งปัจจุบันในประเทศไทย มีบุคลากรที่ได้ประกาศ CISSP เพียง 270 คน และส่วนใหญ่เป็นหน่วยงานเอกชน ขณะที่สิงคโปร์มีบุคลากรด้านนี้ 3,000 คน มาเลเซีย มี 400 คน

“ตัวเลขคนได้รับประกาศ CISSP ของประเทศไทยนิ่งอยู่ที่ 270 คน มาหลายปีแล้ว เพราะเป็นการสอบที่ยาก และมีค่าใช้จ่ายสูง สกมช.จึงต้องทำหน้าที่กระตุ้นให้เพิ่มขึ้น เพราะเข้าใจว่าหน่วยงานโดยเฉพาะภาครัฐอาจมีข้อจำกัดเรื่องงบประมาณ ที่น่าเป็นห่วงคือ ภาคการศึกษา ปัจจุบันพบว่าเป็น CII ที่น่าเป็นห่วงที่สุดเพราะมีช่องโหว่ถูกฝังมัลแวร์ และสามารถเป็นจุดเริ่มต้นกระจายความเสี่ยงไปยังองค์กรอื่นๆ ได้ง่ายกว่าภาคสาธารณสุข ”

ทั้งนี้ หลังจากเปิดรับสมัครโครงการสอบประกาศนียบัตร CISSP มีหน่วยงานที่สนใจส่งเจ้าหน้าที่เข้าร่วมกิจกรรมกว่า 1,000 คน ส่วนใหญ่เป็นภาคการเงิน ธนาคาร และโทรคมนาคม โดย สกมช.ได้คัดคนเหลือ 600 คน ที่มีคุณสมบัติ และความพร้อมในการเข้าร่วมอบรมหลักสูตรความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ระดับสูงเพื่อให้มีความรู้ความเข้าใจเตรียมตัวสอบประกาศนียบัตร CISSP คาดว่าจะมีผู้ได้รับใบประกาศประมาณ 50 คน ภายในต้นปีหน้า เพื่อป้อนบุคลากรให้ประเทศ ส่วนผู้ที่ไม่ผ่านก็จะได้รับความรู้ ความเข้าใจ เกิดการสร้างเครือข่าย มีความรู้ ความเข้าใจในสายงานใหม่นี้ ทั้งกับคนที่มาอบรมเอง และหน่วยงานที่ส่งตัวแทนเข้าร่วมอบรม โดยยังสามารถเข้าร่วมกิจกรรมเพื่อสอบใบประกาศในปีถัดไปได้

เขากล่าวว่า สกมช.ต้องการให้เป็นโครงการระยะยาว ทำอย่างต่อเนื่อง โดย สกมช.ได้งบประมาณมาจากกองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม (กองทุนดีอี) ของสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.) เพื่อเรียนรู้เรื่องภัยไซเบอร์เพราะเมื่อเกิดช่องโหว่หน่วยงานต้องรับผิดชอบ การมีตำแหน่ง CISO ในองค์กรจะช่วยทำให้หน่วยงานมีการวางแผนบริหารความเสี่ยงตลอดจนการวางงบประมาณในการใช้เทคโนโลยีอย่างคุ้มค่า นอกจากนี้ยังเป็นการยกระดับของประเทศด้านไซเบอร์ซิเคียวริตี้

 

 

พิสูจน์อักษร....สุรีย์   ศิลาวงษ์