สกมช.เผยผลประเมินไซเบอร์ปี 2568 หน่วยงานรัฐยังอ่อนแอ คะแนนชี้วัดเหลือ 59%

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แถลงรายงานผลการประเมินระดับการรักษาความมั่นคงปลอดภัยไซเบอร์และความเสี่ยงภัยคุกคามไซเบอร์ของประเทศไทย ประจำปี 2568 โดยมี พลอากาศตรี จเด็ด คูหะก้องกิจ ผู้ช่วยเลขาธิการ สกมช. กล่าวภายหลังเป็นประธานเปิดงาน

ในปีนี้มีหน่วยงานสมัครเข้าร่วมการประเมินตนเองรวม 298 หน่วยงาน ส่งผลการประเมิน 191 หน่วยงาน ครอบคลุมทั้งหน่วยงานภาครัฐ (GOV) หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และหน่วยงานกำกับดูแล (REG) ขณะเดียวกัน สกมช. ยังจัดการประเมินเชิงลึกกับหน่วยงานหลัก 79 แห่ง โดยผลลัพธ์ที่ได้สะท้อนภาพรวม “ยังน่ากังวล”

คะแนนเฉลี่ยสะท้อนจุดอ่อนเชิงระบบ

ผลคะแนนเฉลี่ยรวมอยู่ที่ 79% จัดอยู่ในระดับ “ปานกลาง” เท่านั้น โดย

   •   หน่วยงานกำกับดูแล (REG) ทำคะแนนสูงสุด 91%

   •   CII เฉลี่ย 89%

   •   ภาครัฐทั่วไป (GOV) ลดลงเหลือเพียง 59% จาก 65% ปีก่อน

แม้ CII และ REG จะมีพัฒนาการที่ดีขึ้น แต่ภาครัฐส่วนใหญ่ยังไม่สามารถปฏิบัติตามกรอบ พ.ร.บ.ไซเบอร์ พ.ศ.2562 ได้ครบถ้วน สะท้อนว่ายังมีหน่วยงานจำนวนมากที่ต้องพัฒนาศักยภาพ

ช่องว่างสำคัญที่ต้องเร่งอุดช่องโหว่

สกมช. พบข้อบกพร่องที่คล้ายกันในหลายหน่วยงาน ไม่ว่าจะเป็น

1. การบริหารจัดการความเสี่ยงและช่องโหว่ โดยยังไม่มีทะเบียนความเสี่ยง (Risk Register) ที่เป็นระบบ

2. การขาดแผนรับมือเหตุการณ์ (Incident Response Plan) และไม่เคยซ้อม Cyber Drill

3. การไม่มีแผนความต่อเนื่องทางธุรกิจ (BCP) และการสื่อสารในภาวะวิกฤต

4. การไม่ควบคุมผู้ให้บริการภายนอก (Third-party Security Assessment) และไม่ระบุข้อกำหนดด้านความมั่นคงในสัญญา

5. การไม่มีระบบจัดการทรัพย์สินสารสนเทศ (Asset Inventory/CMDB) ที่เป็นปัจจุบัน

6. การตั้งค่าความปลอดภัยพื้นฐาน (Baseline Security) ที่ยังไม่เป็นมาตรฐานเดียวกัน

ข้อบกพร่องเหล่านี้ถูกยกตัวอย่างจากเหตุการณ์จริง เช่น การโจมตีด้วย Ransomware ที่สนามบินกัวลาลัมเปอร์ในปี 2025 มูลค่าเสียหายกว่า 10 ล้านดอลลาร์ ซึ่งสะท้อนให้เห็นชัดว่าหากการเตรียมความพร้อมเชิงระบบ ผลกระทบจะลุกลามถึงระดับโครงสร้างพื้นฐาน

แนวโน้มภัยคุกคามไซเบอร์

จากโครงการ TH-NCRAF ที่ สกมช. ทำร่วมกับมหาวิทยาลัยมหิดล พบภัยคุกคามที่โดดเด่น 3 อันดับแรก ได้แก่

   •   การใช้ประโยชน์จากช่องโหว่ภายในองค์กร

   •   การเข้าถึงระบบหรือข้อมูลโดยไม่ได้รับอนุญาต

   •   การโจมตีเพื่อบ่อนทำลายหรือปฏิเสธการให้บริการ (DoS/DDoS)

นอกจากนี้ยังพบภัยคุกคามที่เพิ่มขึ้นต่อเนื่อง ได้แก่ Ransomware, Supply Chain Attack, Cloud Misconfiguration และ Phishing ซึ่งทวีความรุนแรงขึ้นและยากต่อการควบคุม

เสียงสะท้อนจากภาคเอกชน

เบญจ เบญจรงคกุล ประธานเจ้าหน้าที่บริหารร่วม (Co-CEO) บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (ยูไอเอช) กล่าวว่า โครงการประเมินนี้เป็นเครื่องมือสำคัญที่ช่วยให้องค์กร โดยเฉพาะภาครัฐ เห็นระดับความพร้อมของตนเองอย่างเป็นระบบ ทำให้การลงทุนและวางกลยุทธ์ด้าน ความมั่นคงปลอดภัยทางไซเบอร์ (ไซเบอร์ซิเคียวรี้ตี้ Cyber Security) มีประสิทธิภาพยิ่งขึ้น และเป็นตัวอย่างของความร่วมมือรัฐ-เอกชนในการสร้างระบบนิเวศไซเบอร์ที่แข็งแกร่ง

ยูไอเอชยังย้ำว่า พร้อมต่อยอดผ่านการพัฒนาเครื่องมือ การสร้างองค์ความรู้ และการทำงานร่วมกับพันธมิตร เพื่อช่วยให้องค์กรไทยสามารถรับมือกับภัยไซเบอร์ที่เปลี่ยนแปลงอย่างรวดเร็ว

สำหรับข้อเสนอและทิศทางในอนาคต สกมช. แนะนำให้เร่งจัดทำมาตรการเชิงรุก ได้แก่

   •   การออกมาตรฐานขั้นต่ำด้านความมั่นคงไซเบอร์ในระดับชาติ

   •   การตั้งหน่วยประเมินอิสระร่วมกับภาคเอกชน

   •   การพัฒนา “National Threat Intelligence Platform” เป็นศูนย์กลางข้อมูลภัยไซเบอร์ของประเทศ

ทั้งนี้ เป้าหมายคือทำให้หน่วยงาน CII และภาครัฐไทยสามารถยกระดับสู่มาตรฐานสากลภายในปี 2570 พร้อมรับมือภัยไซเบอร์ที่รุนแรงและซับซ้อนยิ่งขึ้น