สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กำลังเดินหน้าปรับบทบาทจากหน่วยงานที่มุ่งสร้างความตระหนักรู้ด้านไซเบอร์ ไปสู่การเป็นผู้กำหนดและผลักดันกติกาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถบังคับใช้ได้จริง ท่ามกลางภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว จากการโจมตีระบบไอทีแบบดั้งเดิม สู่การโจมตีผ่านเว็บไซต์ ระบบคลาวด์ ปัญญาประดิษฐ์ (AI) และความเสี่ยงจากเทคโนโลยีควอนตัมในอนาคต
พล.อ.ต.อมร ชมเชย เลขาธิการ สกมช. เปิดเผยว่า ตลอด 5 ปีของสกมช.ได้วางหลักเกณฑ์พื้นฐานด้านความปลอดภัยไซเบอร์ให้กับประชาชน ส่วนภารกิจสำคัญในระยะต่อไปไม่ใช่เพียงการขอความร่วมมือจากหน่วยงานต่างๆ อีกต่อไป แต่ต้องสร้างกลไกกำกับดูแลที่มีมาตรฐานชัดเจน ตรวจสอบได้ และสามารถบังคับใช้ได้จริง เพื่อให้โครงสร้างพื้นฐานดิจิทัลของประเทศมีความพร้อมรองรับภัยคุกคามที่มีความซับซ้อนและรุนแรงมากขึ้น
หนึ่งในภารกิจหลักคือการผลักดันการปรับปรุงร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งขณะนี้อยู่ระหว่างการรับฟังความคิดเห็นสาธารณะและจะปิดรับฟังในวันที่ 15 ก.ค. 2569 โดยมีเป้าหมายเพื่อปรับปรุงกลไกทางกฎหมายให้สอดรับกับบริบทภัยไซเบอร์ยุคใหม่ ทั้งการโจมตีโครงสร้างพื้นฐานสำคัญ การรั่วไหลของข้อมูล การใช้ AI เป็นเครื่องมือโจมตี รวมถึงการเพิ่มประสิทธิภาพการตอบสนองต่อเหตุการณ์ไซเบอร์ให้รวดเร็วยิ่งขึ้น
ขณะเดียวกัน สกมช. เตรียมรองรับการบังคับใช้มาตรฐานสำคัญ 2 ฉบับ ได้แก่ มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ ซึ่งจะมีผลบังคับใช้วันที่ 10 ก.ย. 2569 และมาตรฐานความมั่นคงปลอดภัยสำหรับเว็บไซต์ หรือ Website Security Standard (WSS) 1.0 ที่จะมีผลบังคับใช้วันที่ 17 ก.ย. 2569
คลาวด์ไม่ใช่คำตอบของความปลอดภัยโดยอัตโนมัติ
สกมช. มองว่า ระบบคลาวด์ได้กลายเป็นโครงสร้างพื้นฐานสำคัญของเศรษฐกิจดิจิทัลและบริการภาครัฐในปัจจุบัน ไม่ว่าจะเป็นการจัดเก็บข้อมูลขนาดใหญ่ การให้บริการประชาชนจำนวนมาก หรือการรองรับเทคโนโลยี AI ที่กำลังขยายตัวอย่างรวดเร็ว
อย่างไรก็ตาม พล.อ.ต.อมร ระบุว่า การย้ายระบบขึ้นสู่คลาวด์ไม่ได้หมายความว่าระบบจะมีความปลอดภัยโดยอัตโนมัติ เพราะความมั่นคงปลอดภัยเกิดจากการทำงานร่วมกันระหว่างผู้ให้บริการและผู้ใช้งาน หากหน่วยงานตั้งค่าระบบผิดพลาด ขาดแผนสำรองข้อมูล เลือกใช้บริการด้านความปลอดภัยไม่เหมาะสม หรือไม่มีบุคลากรที่เข้าใจระบบของผู้ให้บริการแต่ละราย ก็อาจกลายเป็นจุดอ่อนสำคัญขององค์กรได้
มาตรฐานคลาวด์ฉบับใหม่จึงกำหนดให้หน่วยงานต้องประเมินระดับผลกระทบของระบบ กำหนดมาตรการรักษาความปลอดภัยตามระดับความเสี่ยง มีผู้รับผิดชอบด้านเทคนิคอย่างชัดเจน จัดทำแผนสำรองและกู้คืนข้อมูล รวมถึงเข้าใจรูปแบบการบริหารจัดการและการตั้งค่าความปลอดภัยของผู้ให้บริการแต่ละราย
หลังจากมาตรฐานมีผลบังคับใช้ หน่วยงานจะไม่สามารถอ้างเพียงว่าใช้บริการจากผู้ให้บริการคลาวด์รายใหญ่แล้วปลอดภัยได้อีกต่อไป แต่ต้องสามารถพิสูจน์ได้ว่าระบบได้รับการบริหารจัดการอย่างเหมาะสม มีมาตรการรองรับความเสี่ยง และมีแผนรับมือเมื่อเกิดเหตุไม่คาดคิด
ประเด็นดังกล่าวมีความสำคัญมากขึ้นในช่วงที่ภาครัฐเร่งยกระดับบริการดิจิทัล เพราะหากระบบคลาวด์ที่รองรับข้อมูลประชาชนหรือบริการสำคัญขาดมาตรการป้องกันที่เพียงพอ ความเสียหายอาจลุกลามจากปัญหาระบบล่มไปสู่การรั่วไหลของข้อมูล กระทบความเชื่อมั่นของประชาชน และการให้บริการของรัฐในวงกว้าง
70% ของเหตุไซเบอร์มาจากเว็บไซต์ถูกโจมตี
อีกหนึ่งมาตรฐานที่ได้รับความสนใจคือ Website Security Standard (WSS) 1.0 หลัง สกมช. พบว่าในช่วง 1 ปีที่ผ่านมา ประเทศไทยเผชิญเหตุการณ์ไซเบอร์มากกว่า 3,000 เหตุการณ์ และประมาณ 70% เกี่ยวข้องกับการโจมตีเว็บไซต์ โดยเฉพาะเว็บไซต์ของหน่วยงานรัฐ โรงเรียน องค์กรปกครองส่วนท้องถิ่น และระบบที่พัฒนาโดยผู้รับจ้างภายนอก
พล.อ.ต.อมร อธิบายว่า ปัญหาดังกล่าวสะท้อนภาวะ “หนี้ทางเทคโนโลยี” หรือ Technology Debt ที่สะสมมานาน หลายหน่วยงานถูกกำหนดให้มีเว็บไซต์เพื่อใช้ประชาสัมพันธ์ เปิดเผยข้อมูล หรือให้บริการประชาชน แต่เมื่อเวลาผ่านไปกลับขาดบุคลากรที่ดูแลด้านเทคนิคอย่างต่อเนื่อง ผู้พัฒนาระบบเดิมย้ายงาน ผู้รับจ้างหมดสัญญา และเหลือเพียงเจ้าหน้าที่ที่ดูแลเนื้อหาโดยไม่มีผู้รับผิดชอบด้านความปลอดภัยโดยตรง
ด้วยเหตุนี้ WSS 1.0 จึงไม่ได้จำกัดอยู่เพียงการทดสอบเจาะระบบหรือ Pentest เท่านั้น แต่ครอบคลุมตั้งแต่การประเมินผลกระทบ การจัดระดับความเสี่ยง การกำหนดมาตรการควบคุม การเฝ้าระวัง การตรวจจับความผิดปกติ ตลอดจนการวางแผนรับมือและฟื้นฟูระบบหลังเกิดเหตุ เพื่อให้ความปลอดภัยถูกฝังอยู่ในทุกขั้นตอน ตั้งแต่การออกแบบ พัฒนา เปิดใช้งาน และดูแลรักษาระบบ
นอกจากนี้ สกมช. ยังเตรียมผลักดันให้มาตรฐานดังกล่าวถูกนำไปใช้เป็นส่วนหนึ่งของเงื่อนไขการจัดซื้อจัดจ้างภาครัฐ หรือ TOR เพื่อให้ผู้พัฒนาเว็บไซต์ ผู้ให้บริการโฮสติง และผู้ดูแลระบบต้องยกระดับมาตรฐานความปลอดภัยไปพร้อมกัน
นั่นหมายความว่า มาตรฐานเว็บไซต์จะไม่กระทบเฉพาะหน่วยงานรัฐ แต่ยังส่งผลต่อภาคเอกชนที่เป็นคู่สัญญาและผู้ให้บริการโครงสร้างพื้นฐานดิจิทัล ซึ่งจะต้องพิสูจน์ได้ว่าบริการของตนสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์ที่เข้มงวดมากขึ้น
AI และ Deepfake กำลังเปลี่ยนรูปแบบการโจมตี
นอกเหนือจากการปรับปรุงกฎหมายและมาตรฐานใหม่ สกมช. ยังเตรียมผลักดันการใช้ระบบยืนยันตัวตนหลายปัจจัย หรือ Multi-Factor Authentication (MFA) ในระบบสำคัญของภาครัฐ เนื่องจากการใช้รหัสผ่านเพียงอย่างเดียวไม่เพียงพออีกต่อไป ท่ามกลางความเสี่ยงจากข้อมูลบัญชีผู้ใช้รั่วไหล การโจมตีแบบเดาสุ่ม และการใช้ AI ช่วยเพิ่มประสิทธิภาพการโจมตี
พล.อ.ต.อมร ยกตัวอย่างเหตุการณ์ในต่างประเทศที่สะท้อนการมาถึงของ AI-enabled Attack อย่างชัดเจน โดยกรณีในเม็กซิโก ผู้โจมตีเพียงรายเดียวสามารถใช้ AI ช่วยวิเคราะห์แนวทางเจาะระบบ จนนำไปสู่การรั่วไหลของข้อมูลกว่า 150 กิกะไบต์ จาก 5 ระบบของหน่วยงานรัฐ และส่งผลกระทบต่อประชาชนมากกว่า 190 ล้านคน
รูปแบบดังกล่าวแสดงให้เห็นว่า AI ไม่ได้เป็นเพียงเครื่องมือช่วยป้องกันภัยไซเบอร์ แต่กำลังกลายเป็นเครื่องมือที่ช่วยให้ผู้โจมตีค้นหาช่องโหว่ วิเคราะห์เป้าหมาย และพัฒนาวิธีโจมตีได้รวดเร็วและซับซ้อนมากขึ้น
อีกตัวอย่างที่เห็นภาพชัดคือคดีหลอกลวงด้วย Deepfake ในสิงคโปร์ ซึ่งผู้เสียหายถูกชักชวนให้เข้าร่วมประชุมออนไลน์ที่อ้างว่าเป็นการสนทนากับนายกรัฐมนตรีสิงคโปร์ ก่อนสูญเงินกว่า 4.9 ล้านดอลลาร์สิงคโปร์
สิ่งที่น่ากังวลคือขบวนการไม่ได้ใช้เพียงการปลอมใบหน้าหรือเสียงของบุคคลสำคัญเท่านั้น แต่ยังสร้างสถานการณ์การประชุมที่สมจริง มีผู้เชี่ยวชาญร่วมบรรยาย มีผู้ดำเนินรายการ และมีการปรับเนื้อหาให้เหมาะกับเป้าหมายแต่ละราย ทำให้เหยื่อเชื่อว่ากำลังเข้าร่วมการประชุมอย่างเป็นทางการจริง
กรณีเหล่านี้ทำให้ สกมช. ให้ความสำคัญกับแนวคิด “AI for Security and Security for AI” หรือการใช้ AI เพื่อป้องกันภัยไซเบอร์ควบคู่กับการสร้างมาตรการปกป้อง AI จากการถูกนำไปใช้ในทางที่ผิด เพราะ AI กำลังเป็นทั้งเครื่องมือป้องกันและอาวุธของผู้โจมตีในเวลาเดียวกัน
Quantum-Ready 2030 เตรียมประเทศสู่ยุคหลังควอนตัม
ในระยะยาว สกมช. วางเป้าหมาย Quantum-Ready 2030 เพื่อเตรียมประเทศไทยรับมือความท้าทายจากยุค Post-Quantum Cryptography (PQC)
พล.อ.ต.อมร ระบุว่า ความเสี่ยงสำคัญไม่ได้อยู่ที่การมาถึงของคอมพิวเตอร์ควอนตัมเพียงอย่างเดียว แต่เป็นผลกระทบต่อระบบเข้ารหัสที่ใช้อยู่ในปัจจุบัน ไม่ว่าจะเป็น RSA, Diffie-Hellman หรือ Elliptic Curve Cryptography (ECC) ซึ่งอาจไม่สามารถต้านทานการประมวลผลของคอมพิวเตอร์ควอนตัมในอนาคตได้
เกาหลีใต้ถือเป็นตัวอย่างของประเทศที่เตรียมความพร้อมด้านควอนตัมอย่างจริงจัง โดยนำเทคโนโลยี Quantum Key Distribution (QKD) มาใช้กับระบบสำคัญของประเทศ และต่อยอดสู่การพัฒนาเชิงพาณิชย์ร่วมกับภาคเอกชนรายใหญ่ เช่น Samsung
อย่างไรก็ตาม สกมช. มองว่า QKD อาจไม่ใช่คำตอบที่เหมาะสมที่สุดสำหรับประเทศไทย เนื่องจากมีข้อจำกัดด้านระยะทางและต้นทุนการลงทุน โดยเฉพาะการติดตั้งโหนดสื่อสารที่ต้องวางในระยะประมาณ 80-100 กิโลเมตร
แนวทางที่เหมาะสมกว่าคือการทยอยเปลี่ยนผ่านไปสู่ Post-Quantum Cryptography ซึ่งสามารถยกระดับความปลอดภัยของระบบเข้ารหัสผ่านการปรับปรุงซอฟต์แวร์และการวางแผนเปลี่ยนผ่านเป็นลำดับ โดยไม่จำเป็นต้องลงทุนโครงสร้างพื้นฐานใหม่ทั้งหมด
สกมช. จึงเสนอให้หน่วยงานทั้งภาครัฐและเอกชนเริ่มสำรวจสินทรัพย์ด้านการเข้ารหัส (Crypto Inventory) ประเมินความเสี่ยง จัดทำแผนเปลี่ยนผ่านสู่ PQC ทดลองใช้งานจริง และทยอยยกระดับระบบสำคัญ โดยเฉพาะข้อมูลหรือความลับที่มีอายุยาวนานและอาจสร้างความเสียหายอย่างมีนัยสำคัญหากถูกเปิดเผยในอนาคต
พร้อมกันนี้ยังมีแผนจัดตั้ง “Quanta Center” เพื่อเป็นศูนย์กลางด้านองค์ความรู้ การทดสอบ ประเมินความพร้อม และพัฒนาบุคลากรด้าน PQC ของประเทศ เพื่อสนับสนุนการเปลี่ยนผ่านสู่ยุคหลังควอนตัมอย่างเป็นระบบ ก่อนที่เทคโนโลยีควอนตัมจะกลายเป็นความเสี่ยงจริงต่อโครงสร้างพื้นฐานดิจิทัลของไทย
