ภัยไซเบอร์พุ่ง สกมช.แก้กฎหมายเพิ่มโทษ - เตรียมบังคับมาตรฐานคลาวด์-เว็บไซต์

พล.อ.ต.อมร ชมเชย เลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยว่า ในวันที่ 15 ก.ค.นี้ จะเปิดเวทีประชาพิจารณ์ การปรับปรุง (ร่าง) พระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 ที่แม้ว่าจะประกาศในปี 2562 แต่กฎหมายฉบับเดิมนี้มีการทำตั้งแต่ปี 2559 แล้ว ดังนั้น บริบททางสังคมเริ่มเปลี่ยน จึงต้องมีการปรับปรุงให้สอดคล้องกับสถานการณ์ปัจจุบัน 

ทั้งนี้ กฎหมายฉบับเดิม เน้นที่การสร้างความตระหนักให้ภาครัฐ และหน่วยงานโครงสร้างพื้นฐาน เช่น ระบบโทรคมนาคม ธนาคาร พลังงาน และ สาธารณสุข ในการทำโครงสร้างพื้นฐานด้านเทคโนโลยีให้ปลอดภัย จากการคุกคามทางไซเบอร์ และการรับมือเมื่อเกิดเหตุ จะไม่มีบทลงโทษที่รุนแรง เพราะเกรงว่าการบังคับใช้จะทำให้หน่วยงานต่างๆกลัวและไม่กล้าปฏิบัติตาม เพราะยังเป็นเรื่องใหม่ในสมัยนั้น และหากมีการปล่อยให้ข้อมูลรั่วไหลก็จะกลายเป็นกลไกการเอาผิดจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แทน https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0020.PDF

แต่เมื่อยุคสมัยเปลี่ยน พบว่าความภัยไซเบอร์เป็นสิ่งที่น่ากลัวขึ้นทุกวัน ดังนั้นจึงต้องมีการปรับปรุงกฎหมายใหม่ เช่น การเพิ่มโทษปรับจากหลักแสนเป็นหลักล้านบาท แต่ก็ต้องคำนึงด้วยว่าการค่าปรับดังกล่าวจะสูงเกินไปหรือไม่ เมื่อเทียบกับต้องจ่ายเป็นค่าไถ่ให้กับสแกมเมอร์ ซึ่งกฎหมายเดิมในภาพรวมมีหน่วยงานที่ปฎิบัติตามแล้ว 80% แต่หากมีการปรับปรุงกฎหมายใหม่จะช่วยเร่งให้อีก 20% ที่เหลือ สร้างมาตรฐานความปลอดภัยไซเบอร์เร็วขึ้น

พล.อ.ต.อมร กล่าวว่า อย่างไรก็ตาม ภายใต้กฎหมายเดิม สกมช.จะมีการออกประกาศความมั่นคงปลอดภัยไซเบอร์ 2 ฉบับ นั่นคือ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ.2567 ซึ่งจะเริ่มมีผลบังคับใช้ในวันที่ 10 ก.ย.2569 

และ มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ หรือ Website Security Standard: WSS 1.0 ซึ่งจะเริ่มมีผลบังคับใช้ในวันที่ 17 ก.ย.2569 ทำให้ต่อจากนี้ เอกชนที่จะมารับงานพัฒนาระบบของภาครัฐ หรือ หน่วยงานต่างๆ ต้องมีการระบุเรื่องมาตรฐานดังกล่าวไว้ในเงื่อนไขการจัดซื้อจัดจ้างด้วย

ในช่วง 1 ปีที่ผ่านมา มีเหตุการณ์ไซเบอร์ประมาณ 3,000 กว่าเหตุการณ์ และราว 70% เกี่ยวข้องกับเว็บไซต์ถูกแฮก โดยเฉพาะเว็บไซต์หน่วยงานรัฐ โรงเรียน องค์กรปกครองส่วนท้องถิ่น และเว็บไซต์ที่มีผู้ให้บริการภายนอกเข้ามาดูแลระบบ

ในอดีตหลายหน่วยงานถูกกำหนดให้ต้องมีเว็บไซต์ ทั้งเพื่อประชาสัมพันธ์ ประกาศข้อมูล จัดซื้อจัดจ้าง หรือให้บริการประชาชน แต่เมื่อเวลาผ่านไปกลับไม่มีบุคลากรดูแลระบบต่อเนื่อง ผู้พัฒนาเดิมย้ายงาน ผู้รับจ้างหมดสัญญา หรือหน่วยงานเหลือเพียงคนอัปเดตเนื้อหา แต่ไม่มีคนดูแลความปลอดภัยเชิงเทคนิค

ด้วยเหตุนี้ WSS 1.0 จึงไม่ได้กำหนดเพียงการทดสอบเจาะระบบ เท่านั้น แต่ครอบคลุมตั้งแต่การประเมินผลกระทบของเว็บไซต์ การจัดระดับความเสี่ยง การกำหนดมาตรการควบคุม การเฝ้าระวัง การตรวจจับเหตุผิดปกติ ไปจนถึงแผนรับมือและฟื้นฟูระบบเมื่อเกิดเหตุ เพื่อให้เว็บไซต์มีความปลอดภัยตั้งแต่ขั้นออกแบบ พัฒนา เปิดใช้งาน และดูแลต่อเนื่อง

พล.อ.ต.อมร ชมเชย

สำหรับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ สกมช. มองว่าเป็นกติกาสำคัญที่ต้องเร่งเตรียมความพร้อม เพราะคลาวด์กลายเป็นโครงสร้างพื้นฐานหลักของการให้บริการดิจิทัล ทั้งภาครัฐและเอกชน โดยเฉพาะบริการประชาชนในวงกว้าง การจัดเก็บข้อมูลจำนวนมาก การขยายระบบจากผู้ใช้หลักแสนไปสู่หลักล้าน และการรองรับเทคโนโลยี AI ในอนาคต

อย่างไรก็ตาม พล.อ.ต.อมร ระบุว่า การย้ายระบบขึ้นคลาวด์ไม่ได้หมายความว่าระบบจะปลอดภัยโดยอัตโนมัติ เพราะความปลอดภัยของคลาวด์ต้องเกิดจากทั้งฝั่งผู้ให้บริการและฝั่งผู้ใช้งาน หากหน่วยงานตั้งค่าระบบผิดพลาด ไม่มีแผนสำรองข้อมูล ไม่ได้เลือกบริการด้านความปลอดภัยที่เหมาะสม หรือไม่มีบุคลากรที่เข้าใจระบบของผู้ให้บริการแต่ละราย ก็อาจกลายเป็นช่องโหว่สำคัญได้เช่นกัน

หลังจากมาตรฐานนี้มีผลบังคับใช้ หน่วยงานจะไม่สามารถอ้างเพียงว่า ใช้คลาวด์รายใหญ่แล้วปลอดภัยได้อีกต่อไป แต่ต้องพิสูจน์ได้ว่าระบบที่นำขึ้นคลาวด์ได้รับการบริหารจัดการอย่างถูกต้อง มีมาตรการรองรับความเสี่ยง และมีแผนรับมือหากระบบหรือข้อมูลได้รับผลกระทบ