ข้อ ใด ไม่ใช่ ระดับ ของการรับมือ ภัยคุกคามทางไซเบอร์

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คืออะไร ทําไมต้องมี ?

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คือ มาตรการหรือการดําเนินการที่กําหนดขึ้น เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม ทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ ดังนั้นเพื่อให้สามารถป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที จึงมีการกําหนดกฎหมายนี้ขึ้นมา ซึ่งการตราพระราชบัญญัตินี้ สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา 26 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย ที่บัญญัติไว้ว่า

  “การตรากฎหมายที่มีผลเป็นการจํากัดสิทธิหรือเสรีภาพของบุคคลต้องเป็นไปตามเงื่อนไขที่บัญญัติไว้ในรัฐธรรมนูญ ในกรณีที่รัฐธรรมนูญมิได้บัญญัติเงื่อนไขไว้ว่า กฎหมายดังกล่าว ต้องไม่ขัดต่อหลักนิติธรรม ไม่เพิ่มภาระหรือจํากัดสิทธิหรือเสรีภาพของบุคคลเกินสมควรแก่เหตุ และจะกระทบต่อศักดิ์ศรีความเป็นมนุษย์ของบุคคล มิได้ รวมทั้งต้องระบุเหตุผลความจําเป็นในการจํากัดสิทธิ และเสรีภาพไว้ด้วย กฎหมายตามวรรคหนึ่ง ต้องมีผลใช้บังคับเป็นการทั่วไป ไม่มุ่งหมายให้ใช้บังคับแก่กรณีใด กรณีหนึ่งหรือแก่บุคคลใดบุคคลหนึ่งเป็นการเจาะจง”

คณะกรรมการใดบ้างที่มีส่วนเกี่ยวข้องโดยตรง ?

1. คณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ เรียกย่อๆ ว่า กมช. และให้ใช้ชื่อเป็นภาษาอังกฤษว่า National Cyber Security Committee เรียกโดยย่อว่า NCSC มีหน้าที่ กําหนด เสนอ จัดทําแผนปฏิบัติกําหนด มาตรการและแนวทางต่าง ๆ ที่มีส่วนเกี่ยวข้องกับ พ.ร.บ.
2. คณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกย่อๆ ว่า กกม. มีหน้าที่ กํากับดูแลการดําเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ คอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์ รวมถึงกําหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน

โดยการรับมือกับภัยคุกคามทางไซเบอร์จะมีการพิจารณาเพื่อใช้อํานาจในการป้องกันภัยคุกคามทางไซเบอร์ ทางคณะกรรมการกํากับดูแลด้านความ มั่นคงปลอดภัยไซเบอร์จะเป็นผู้กําหนดลักษณะของภัยคุกคามทางไซเบอร์ โดยแบ่งออกเป็น 3 ระดับ ดังต่อไปนี้

2.1) ภัยคุกคามทางไซเบอร์ในระดับไม่ร้ายแรง หมายถึง ภัยคุกคามทางไซเบอร์ในระดับที่ทําให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสําคัญของ ประเทศ หรือการให้บริการของรัฐ ด้อยประสิทธิภาพลง
2.2) ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง หมายถึง ภัยคุกคามทางไซเบอร์ในระดับที่มีการโจมตีระบบคอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมาย เพื่อ โจมตีและการโจมตีดังกล่าวมีผลทําให้ระบบคอมพิวเตอร์หรือโครงสร้างสําคัญทางสารสนเทศ ที่เกี่ยวข้องกับการให้บริการของโครงสร้างพื้นฐานสําคัญของ ประเทศ เสียหายจนไม่สามารถทํางานหรือให้บริการได้
2.3) ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ หมายถึง ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ที่มีลักษณะ ล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทํางานจาก ส่วนกลางของระบบคอมพิวเตอร์ของรัฐได้ หรือ ทําให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขัน

โดยการรับมือและบรรเทาความเสียหายจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กกม. มีอํานาจออกคําสั่งเฉพาะเท่าที่จําเป็นเพื่อป้องกันภัยคุกคามทาง ไซเบอร์ ไม่ว่าจะเป็นตรวจสอบคอมพิวเตอร์และประเมินผลกระทบ รักษาสถานะของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ด้วยวิธีการใดๆ เพื่อดําเนินการทาง นิติวิทยาศาสตร์ทางคอมพิวเตอร์  ส่วนด้านการป้องกัน และรับมือ พนักงานเจ้าหน้าที่สามารถเข้าตรวจสอบสถานที่โดยมีหนังสือแจ้งถึงเหตุอันสมควร เข้าถึงข้อมูล ระบบคอมพิวเตอร์ไปจนถึงยึดหรืออายัดคอมพิวเตอร์

โดยสรุปแล้วเหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ ในปัจจุบันการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครง ข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียมมีความเสี่ยงจากภัยคุกคามทางไซเบอร์ซึ่งอาจกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อย ภายในประเทศ ดังนั้นเพื่อให้สามารถป้องกันหรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงทีทั้งหน่วยงานของรัฐและหน่วยงานเอกชนจะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ไม่ให้เกิดผลกระทบต่อความมั่นคงในด้านต่างๆ  ไม่ว่าในสถานการณ์ทั่วไปหรือสถานการณ์อันเป็นภัยต่อความ มั่นคงอย่างร้ายแรงก็ตาม

เนื่องจากการโจมตีทางไซเบอร์มีจำนวนมากขึ้นอย่างต่อเนื่อง ธุรกิจต่างๆ จะต้องเพิ่มความปลอดภัยในการปกป้องข้อมูลซึ่งเป็นทรัพย์สินที่สำคัญที่สุด ดังนั้น ธุรกิจเหล่านี้จะต้องรู้ว่าจุดอ่อนของตนเองคืออะไรก่อนที่จะดำเนินมาตรการเพื่ออุดช่องโหว่เหล่านี้

ระหว่างการสัมมนาออนไลน์ชื่อ Tales from the Dark Web คุณพอล แจ็คสัน จากโครลล์ได้อธิบายเกี่ยวกับ 10 ช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่องค์กรต่างๆ ต้องรับมือ

1. การขาดความพร้อม
   เมื่อการโจมตีทางไซเบอร์ในภูมิภาคต่างๆทั่วโลกเกิดขึ้นถี่และซับซ้อนมากขึ้นเรื่อยๆ องค์กรต่างๆ ก็ไม่ควรเพิกเฉยอีกต่อไป ถึงเวลาแล้วที่จะต้องทดสอบระบบรักษาความปลอดภัยของตนก่อนเกิดเหตุการณ์การรั่วไหล และเตรียมพร้อมรับมือให้ได้เมื่อเกิดปัญหา การไม่คาดการณ์ล่วงหน้าและรับมือเหตุการณ์รั่วไหลจะทำให้องค์กรต้องเสียค่าใช้จ่ายสูงเพื่อให้ธุรกิจดำเนินต่อไปได้ตามเดิม
2. ภัยคุกคามปริศนา
   หากองค์กรต่างๆ จะเตรียมพร้อมได้นั้น จำเป็นต้องรู้อย่างแน่ชัดว่าภัยคุกคามต่างๆ นั้นมีอะไรบ้าง การรู้เขารู้เรา รู้จักศัตรูและทรัพย์สินที่มีถือเป็นสิ่งสำคัญ นอกเหนือจากการอัพเดตให้ทันพัฒนาการใหม่ล่าสุดแล้ว องค์กรยังสามารถหาข้อมูลสำคัญจากเว็บมืดเพื่อให้รู้ว่าภัยนั้นอยู่ที่ใด
3. แต่ว่าช้าไปไหม
   ผู้โจมตีอาจแฝงตัวเข้าไปในเครือข่ายขององค์กรและเฝ้ารอโอกาสเหมาะๆ ก่อนที่จะลงมือ องค์กรต่างๆ จึงควรติดตามค้นหาภัยคุกคามต่างๆ อย่างจริงจังเพื่อสกัดกั้นความพยายามและหยุดยั้งการโจมตีให้ได้ ก่อนจะเกิดขึ้นจริง เราสามารถดำเนินการปฏิบัติการติดตามค้นหาได้หากมีระบบเฝ้าระวังที่เหมาะสม หรือด้วยการค้นหาข้อมูลเกี่ยวกับเว็บมืดเพื่อหาจุดอ่อนหรือจุดที่สามารถกอบโกยประโยชน์ภายในองค์กรได้
4. การขาดการเฝ้าระวัง
   องค์กรต้องแน่ใจว่าตนเองมีโซลูชันการเฝ้าระวังที่เหมาะสมแล้วหรือยังเพื่อค้นหาภัยคุกคามโดยเร็ว พฤติกรรมผิดปกติในเครือข่ายและปลายทางจำเป็นต้องได้รับการระบุเสียแต่เนิ่นๆ เพื่อลดโอกาสเสี่ยงในการถูกโจมตีหรือฉ้อโกงของบริษัท
5. มีรูโหว่เกิดขึ้น
   หากมีกระบวนการที่ต้องอาศัยมนุษย์ดำเนินงาน ก็อาจจะเกิดการฉ้อโกงและใช้ประโยชน์ในทางมิชอบขึ้นได้ หากไม่มีการเฝ้าระวังอย่างเหมาะสม การดำเนินธุรกิจเหล่านี้ก็อาจกลายเป็นเรื่องยาก
6. ความปลอดภัยของโทรศัพท์มือถือ/โทรศัพท์บ้าน/การโทรศัพท์ระหว่างการเดินทาง
   ในองค์กรสมัยใหม่ การที่พนักงานทำงานระหว่างเดินทางหรือแม้แต่ช่วงที่ไม่ได้อยู่ที่ออฟฟิศนับเป็นเรื่องปกติไปแล้ว แสดงให้เห็นว่าองค์กรจะต้องเพิ่มมาตรการรักษาความปลอดภัยทางไซเบอร์ในรูปแบบใดๆ ให้มีขอบเขตครอบคลุมเกินกว่าแค่สำนักงาน โดยจะต้องมีมาตรการคุ้มครองความปลอดภัยสำหรับมือถือและโน้ตบุ๊ค รวมถึงปลูกฝังให้พนักงานตระหนักถึงความเสี่ยงและแผนการรับมือ
7. ความเสี่ยงของบุคคลที่สาม/ผู้จัดหาสินค้า
   นอกจากระบบและพนักงานขององค์กรตัวเองแล้ว จำเป็นต้องตรวจสอบว่าบุคคลที่สาม/ผู้จัดหาสินค้าที่คุณร่วมงานด้วยนั้นมีมาตรการและนโยบายด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่งพอ โดยองค์กรคุณจะต้องหาวิธีการตรวจสอบและประเมินระดับความปลอดภัยของบุคคลภายนอกเหล่านี้อย่างเป็นระบบและสม่ำเสมอเพื่อให้มั่นใจได้ว่าผู้ก่อการร้ายจะไม่มีทางใช้ประโยชน์จากช่องโหว่เหล่านี้ในการเจาะเครือข่ายขององค์กรเข้ามาได้
8. การรับมือกับปัญหายุ่งยาก
   เมื่อเกิดปัญหาขึ้น องค์กรจะต้องมีการบริการจัดการวิกฤตที่เหมาะสม โดยในช่วงที่ "เหตุการณ์สงบ" ควรมีการกำหนดแผนการรับมือวิกฤตให้มีรายละเอียดและมีการซักซ้อมกันเป็นอย่างดี จึงจะทำให้ทุกคนตระหนักถึงบทบาทหน้าที่และความรับผิดชอบของตนเองได้ การรับมือเหตุการณ์อย่างไม่เหมาะสมอาจส่งผลให้เกิดค่าใช้จ่ายที่สูงขึ้นกว่าเดิมหลายเท่า รวมทั้งชื่อเสียงบริษัทก็อาจเกิดความเสียหาย จนถึงระดับที่เรียกกลับคืนมาได้ยาก
9. อินเทอร์เน็ตของสรรพสิ่ง (Internet of things - IoT)
   อุปกรณ์และระบบต่างๆ มีการเชื่อมต่อกันมากขึ้นเรื่อยๆ ผ่านทาง IoT จึงทำให้การโจมตีที่เคยเกิดขึ้นเพียงจุดเดียวกลายเป็นปัญหาที่ร้ายแรงขึ้นมากในปัจจุบัน ผู้ก่อการร้ายอาจหาทางเข้าสู่ระบบนั้นๆ ได้ด้วย "ประตู" อื่นที่เจาะเข้ามาได้ง่ายกว่า ซึ่งถือเป็นสิ่งเฝ้าระวังยากมาก และการตัดการเชื่อมต่อจากอุปกรณ์และระบบก็ไม่ใช่ทางเลือกที่ดีนัก เนื่องจากโลกเราได้พัฒนาขึ้นโดยไม่หยุดนิ่งอยู่กับที่
10. ความเสี่ยงด้านตัวบุคคล
    พนักงานอาจเป็นจุดอ่อนที่สุดขององค์กร แต่ก็อาจเป็นเกราะป้องกันที่แข็งแกร่งที่สุดได้ด้วยเช่นกัน พนักงานที่มีเจตนามุ่งร้ายอาจขายข้อมูลความลับหรือยอมให้ผู้โจมตีเข้าสู่เครือข่ายขององค์กร ส่วนพนักงานที่ไม่ใส่ใจก็อาจเผลอ "เปิดประตูทิ้งไว้" ให้ผู้บุกรุกเข้ามาได้โดยไม่รู้ตัว อย่างไรก็ตาม พนักงานที่ตระหนักถึงความเสี่ยงต่างๆ และมีความรู้เกี่ยวกับปัญหาต่างๆ ที่ต้องระวังไม่ให้เกิดการรั่วไหล คือผู้ที่ทำหน้าที่เสมือนเป็นเกราะป้องกันอย่างดีด่านแรกให้องค์กร พนักงานควรจะคุ้นเคยกับความเสี่ยงและมีวิธีรับมือกับปัญหาได้เป็นอย่างดี

"กันไว้ดีกว่าแก้" คือสำนวนที่เหมาะกับเรื่องนี้ที่สุด ทุกองค์กรไม่ว่าจะใหญ่หรือเล็กก็ควรเตรียมตัวรับมือกับการเจาะข้อมูลทางระบบไซเบอร์ การที่เราค้นพบและหยุดยั้งการโจมตีเหล่านี้ได้ก่อนเกิดขึ้นจริงจะช่วยให้องค์กรต่างๆ ไม่ต้องเสียค่าใช้จ่ายตามมาในภายหลัง รวมทั้งองค์กรก็ไม่เสื่อมเสียชื่อเสียงอีกด้วย หากเกิดปัญหา ขึ้น ผู้เอาประกันของชับบ์จะได้รับความคุ้มครองตามนโยบายแก้ปัญหาที่รวดเร็วและเป็นมืออาชีพตามกรมธรรม์ความเสี่ยงภัยทางไซเบอร์สำหรับองค์กรที่ทำธุรกิจเกี่ยวกับไซเบอร์ ดูรายละเอียดเพิ่มเติมเกี่ยวกับบริการก่อนเกิดเหตุการณ์สูญเสียและแพลตฟอร์มรับมือเหตุการณ์ฉุกเฉินของชับบ์

บทความที่เกี่ยวข้อง

มีข้อสงสัยหรือต้องการข้อมูลเพิ่มเติม?

ติดต่อเราเพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับความคุ้มครองจากความเสี่ยงต่างๆ

Global Client Executive

Peter Kuczer
O: +61 3 96237204