รีวิว "พ.ร.บ.ความมั่นคงฯไซเบอร์-คุ้มครองข้อมูลส่วนบุคคล"

'ฟอร์ติเน็ต' แจง 7 กลุ่มองค์กรเกี่ยวข้องต่อความมั่นคง/สงบเรียบร้อยของประเทศ หลังกฎหมายประกาศใช้ ห้ามถูกโจมตีทำระบบล่ม ระบุสองกลุ่มน่าห่วงสุด "โทรคมนาคม-สุขภาพ รพ.รัฐ"

นายรัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวรกรรมระบบ ฟอร์ติเน็ต เปิดเผยว่า หลังจาก พระราชบัญญัติ(พ.ร.บ.)การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 มีผลบังคับใช้ในทันทีเมื่อเดือนพ.ค.ที่ผ่านมา และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีผลบังคับใช้ในวันที่ 28 พ.ค. 2563 ส่งผลให้ผู้ประกอบการควรเร่งทำความเข้าใจและจัดหากระบวนการนที่สอดคล้องกับข้อกำหนดใน พ.ร.บ.ทั้งสองฉบับ อย่างเร่งด่วน

ขณะที่ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ กำหนดให้โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infgrastructure) หรือ ซีไอ (CI) หมายถึง หน่วยงานองค์กรที่มีการทำธุรกรรมอิเล็กทรอนิกส์ของตนมีผลเกี่ยวเนื่องสำคัญต่อความมั่นคง หรือ ความสงบเรียบร้อยของประเทศ

ประกอบด้วย 7 กลุ่ม คือ 1.กลุ่มความมั่นคง 2.กลุ่มบริการภาครัฐที่สำคัญ 3.กลุ่มการเงินการธนาคาร 4.กลุ่มเทคโนโลยีสารสนเทศและโทรคมนาคม 5.การขนส่งและโลจิสติกส์ 6.พลังงานและสาธารณูปโภค และ7.กลุ่มสาธารณสุข จำเป็นต้องยกระดับการรักษาความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII) ให้มีประสิทธิภาพยิ่งขึ้น

สอดคล้องกับที่ คณะกรรมการกำกับ(กกม.) ได้ประยุกต์มาตรฐานที่นำมาใช้เป็นกรอบในการทำงานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institue of Standard and Technology : NIST) มาเป็นมาตรฐานขั้นต่ำของ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ฯ ใน 5 มาตรการ ประกอบด้วย

1.มาตรการในการระบุความเสี่ยง (Identity) 2.มาตรการในการป้องกันภัยคุกคาม (Protect) 3.มาตรการในการตรวจสอบและเฝ้าระวัง (Detect) 4.มาตรการในการเผชิญเหตุ ตอบโต้ภัย (Respond) และ 5.มาตรการรักษาและพื้นฟู (Recover)

ขณะที่หน่วยงาน ซีไอ แต่ละหน่วยงานองค์กรต้องทำหน้าที่ตามมาตรฐานขั้นต่ำ โดยแก้ไขให้ได้มาตรฐานโดยเร็ว ประเมินความเสี่ยงที่เกิดขึ้น โดยผู้ตรวจสอบภายในหรือโดยผู้ตรวจสอบภายนอก ด้านการเฝ้าระวังภัยคุกคาม โดยกำหนดให้มีกลไก หรือ ขั้นตอนเพื่อการเฝ้าระวัง ด้านการรายงานภัยคุกคาม เมื่อมีเหตุภัยคุกคามอย่างมีนัยสำคัญต่อระบบ ที่ต้องรายงาน และด้านการรับมือภัยคุกคาม ป้องกัน รับมือ และลดความเสี่ยง

ในกรณีรับมือภัยคุกคามทางไซเบอร์ แบ่งออกเป็น ระดับไม่ร้ายแรง หาก CII ด้อยประสิทธิภาพ ในส่วนของ CI อุธทรณ์คำสั่งได้ และหากระดับร้ายแรง CII ไม่สามารถทำงานหรือให้บริการได้ ให้กกม.ดำเนินการป้องกัน รับมือยื่นคำร้องต่อศาล เพื่อเข้าถึงทดสอบการทำงาน ยึดหรืออายัด และในระดับวิกฤติ CII ล้มเหลวทั้งระบบ ลุกลามไปยังโครงสร้างพื้นฐานสำคัญอื่นๆ ซึ่งอาจมีผลให้บุคคลจำนวนมากเสียชีวิต หรือ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้างในระดับประเทศ โดยสภาความมั่นคงแห่งชาติให้เลขาธิการมีอำนาจดำเนินการเท่าที่จำเป็น โดยไม่ต้องยื่นคำร้องต่อศาล

โดยมีบทกำหนดลงโทษ แบ่งตามลำดับ ตั้งแต่ผิดหน้าที่ทั่วไป การไม่ให้ความร่วมมือในการรวบรวมข้อมูล และไม่ให้ความร่วมมือในการรับมือภัยคุกคามร้ายแรง โดยมีโทษปรับตั้งแต่ไม่เกิน 100,000 บาท ปรับไม่เกิน 200,000 บาท ปรับรายวันไม่เกิน 10,000 บาท ไปจนถึงจำคุกไม่เกิน 3 ปี หรือ หรือปรับไม่เกิน150,000 แสนบาท หรือทั้งจำทั้งปรับ เป็นต้น

"ในส่วนการดูแลความปลอดภัยไซเบอร์องค์กรในด้านการป้องกัน จะมีการดูแลทั้งสองแบบ คือ ด้านยูสเซอร์ผู้ใช้งาน ที่จะต้องไม่ติดไวรัส โดยมีการใช้เว็บซีเคียวริตี เกตเวย์ซึ่งจากการสำรวจพบว่า ยูสเซอร์จะติดไวรัสที่มาจากอีเมลมากเป็นอันดับหนึ่ง และ การดูแลด้านเว็บเซิร์ฟเวอร์ จากบุคคลภายนอกที่จะเข้ามาโจมตีระบบองค์กร " นายรัฐิติ์พงษ์ กล่าว

ขณะที่ กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเกี่ยวข้องกับข้อมูลบุคคลซี่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม โดยสิทธิการเข้าถึงข้อมูลส่วนบุคคลของตนและขอให้เปิดเผยถึงการได้มาของสิทธิขอให้ระงับการใช้/ลบ หรือทำลาย สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง

ทั้งนี้การละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลทราบโดยไม่ชักช้า พร้อมรายงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ถึงมาตรการเยียวยา ขณะที่หน้าที่ผู้ควบคุมดูแล กำหนดให้ดูแลข้อมูลส่วนบุคคลการเก็บรวบรวมใช้หรือเปิดเผย ข้อมูลส่วนบุคคล ต้องขอความยินยอม แจ้งวัตถุประสงค์ชัดเจน หรือ ลบ ทำลายข้อมูลเมื่อพ้นระยะวลา

ขณะที่หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งเก็บรวบรวมใช้หรือเปิดเผยตามคำสั่งของผู้ควบคุมความมั่นคงปลอดภัยในการประมวลผล โดยจะต้องแจ้งเหตุการละเมิดภายใน72 ชั่วโมง เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงหรือผลกระทบ ส่วนมาตรการความปลอดภัย จะต้องให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

โดยกฎหมายดังกล่าวมีวัตถุประสงค์ ใช้บังคับแก่การเก็บรวบรวม ใช้หรือเปิดเผย ข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการกระทำนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม

ขณะที่สิทธิของเจ้าของข้อมูลส่วนบุคคล มีดังนี้ คัดค้านการเก็บ ใช้ หรือเปิดเผย ขอให้เปิดเผยถึงการได้มา ให้ส่งหรือโอนข้อมูล ดำเนินการลบหรือทำลาย ระงับการใช้ และการเข้าถึงขอรับข้อมูล

ทั้งนี้กฎหมายดังกล่าว ได้กำหนดบทลงโทษ ทั้งความผิดทางแพ่ง ชดใช้ค่าสินไหมทดแทน เพิ่มขึ้นได้ไม่เกินสองเท่า โทษอาญา การเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง (ไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท) กรณีแสวงหาประโยชน์ (ไม่เกินหนึ่งปี หรือ ปรับไม่เกินหนึ่งล้านบาท) โทษทางปกครอง ห้าแสนบาท, หนึ่งล้านบาท สามล้านบาท และ ห้าล้านบาท

สำหรับกฎหมายทั้งสองฉบับดังกล่าว ซึ่งมีผลบังคับใช้แล้วและเตรียมประกาศใช้นั้น พบว่า ซีไอ ในกลุ่มการเงินการธนาคารและประกันภัย มีความตื่นตัวด้านระบบการรักษาความปลอดภัยไซเบอร์ระดับองค์กรมากที่สุด รวมถึงองค์กรกระทรวงภาครัฐที่เกี่ยวข้องกับความมั่นคงของประเทศ

อย่างไรก็ตาม หน่วยงานภาครัฐ ขนาดเล็กบางแห่งอาจยังไม่มีระบบรักษาความปลอดภัยระดับหน่วยงานจำนวนมากนัก ด้วยสอดคล้องกับจำนวนบุคคลากรที่เชี่ยวชาญเฉพาะด้านดังกล่าวที่ขาดแคลนทั่วโลก ส่วนกลุ่มซีไอ ใน7 กลุ่มที่น่าเป็นห่วงด้านการรักษาความปลอดภัยไซเบอร์และข้อมูลส่วนบุคคลมากที่สุด คือ กลุ่มสื่อสารโทรคมนาคม

"ด้วยกลุ่มธุรกิจเทเลคอม จะให้ความสำคัญกับระบบอินเทอร์นัล อินฟราสตครัคเจอร์ เพื่อนำมาให้บริการกับลูกค้าเป็นหลักที่เน้นความรวดเร็วของเครือข่ายในการรับส่งข้อมูล เช่นเดียวกับหน่วยงานสาธารณสุข โรงพยาบาลภาครัฐขนาดเล็กที่กระจายอยู่ตามภูมิภาค ก็น่ามีความเป็นห่วงเช่นกัน หากระบบป้องกันภัยถูกโจมตีหรือทำให้ระบบล่มเกิดขึ้น" นายรัฐิติ์พงษ์ กล่าว

จากสถานการณ์ดังกล่าว ฟอร์ติเน็ต มองว่าองค์กรที่เกี่ยวข้องจะต้องใช้เทคโนโลยีหรือหาเครื่องมือใหม่ๆ ที่สามารถปฏิบัติตามข้อกำหนดตามกฎหมายดังกล่าวได้ทุกกรณี โดยเฉพาะด้าน"การเฝ้าระวัง" โดยฟอร์ติเน็ต มีแพล็ตฟอร์มด้านความปลอดภัยไซเบอร์ที่เรียกว่า Fortinet Security Fabric ที่้สามารถตอบโจทย์มาตรการทั้ง 5 ด้าน

นอกจากนี้ยังมีโซลูชัน ที่มีคุณสมบัติในการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลให้ปลอดภัย ทั้งการป้องกันข้อมูลสูญหาย การควบคุมการเข้าใช้งานเครือข่าย การควบคุมให้ข้อมูบลถูกต้องอยู่เสมอ การปิดข้อมูลให้ปลอดภัย โดยอยู่ภายในโซลูชันฟอร์ติเน็ต ทั้งที่เป็นประเภท Security as a Service (Saas)สำหรับบองค์กร และ Infrastructure as a Service (IaaS)สำหรับใช้งานบนคลาวด์

ทั้งนี้จากการประกาศใช้กฎกหมายดังกล่าวทั้งสองฉบับ คาดจะส่งผลให้ตลาดระบบรักษาความปลอดภัยไซเบอร์องค์กร มีอัตราการเติบโตสองหลัก อย่างต่อเนื่อง