กลยุทธ์เสริมแกร่ง! ธุรกิจไทยต้องปรับตัว? จากกฎหมายไซเบอร์!

ท่ามกลางการเปลี่ยนแปลงของโลก ที่ยกทุกอย่างไว้บน ‘ออนไลน์’ คำถามสำคัญอย่างยิ่งยวด ที่ ณ วันนี้คนไทยเริ่มตระหนักและได้ผลกระทบคือ จะจัดการให้เกิด ‘ความปลอดภัย’ บนโลกไซเบอร์อย่างไร  จากการโจรกรรม ทุกระดับ รวมไปถึง ‘แก๊งคอลเซ็นเตอร์’!

 

ล่าสุด เมื่อวันที่ 12 เมษายน 2568 มีการออก พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 ซึ่งมีสาระสำคัญหลายประการที่เกี่ยวข้องกับประชาชน รวมไปถึงสถาบันการเงินและผู้ให้บริการชำระเงิน

 

โพสต์ทูเดย์  จึงขอสัมภาษณ์พิเศษ คุณอัตพล พยัคฆ์ ประธานเจ้าหน้าที่ด้านเทคโนโลยี บริษัท ไซเบอร์จีนิคส์ จำกัด  ผู้นำด้านความปลอดภัยทางไซเบอร์ในเครือ บริษัท จีเอเบิล จำกัด (มหาชน) ถึงการเปลี่ยนแปลงจากกฎหมายฉบับนี้ ว่าจะส่งผลต่อภาคประชาชนและภาคธุรกิจขนาดไหน รวมไปถึงคำถามสำคัญที่ว่า

 

‘ธุรกิจต้องปรับตัวอย่างไรต่อความปลอดภัยบนไซเบอร์

ที่อาจนำมาซึ่งความเสียหายในแบบที่ไม่อาจคาดเดาได้’

 

 

 

1

‘กฎหมายไซเบอร์ 101’

คุณอัตพล พยัคฆ์ เริ่มต้นอธิบายถึงความสับสนที่เกิดขึ้นระหว่าง พ.ร.บ.ไซเบอร์ หรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กับ พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี อันเป็นกฎหมายสำคัญที่ถูกนำออกมาใช้

 

“สำหรับ พ.ร.บ.ไซเบอร์ใจความสำคัญคือ การป้องกันหน่วยงานหลักที่มีความสำคัญกับภาคประชาชน เช่น ไฟฟ้า ประปา สาธารณูปโภค ธนาคาร และความมั่นคง ไม่ให้ถูกโจมตีทางไซเบอร์  แต่ พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 ที่ออกมา เป็นการเพิ่มอำนาจให้หน่วยงานที่เกี่ยวข้อง”

 

‘เพิ่มอำนาจ’ อย่างไร? เมื่อบทสนทนาดำเนินไป จึงทราบว่าการเพิ่มอำนาจให้หน่วยงานซึ่งประเทศไทยมีอยู่แล้วนั้น เกิดขึ้นจากปัญหาที่ว่า ‘ยังไม่มีใครเป็นเจ้าภาพ’ กล่าวคือเมื่อเกิดเหตุการณ์ขึ้น ‘ผู้ที่เกี่ยวข้องต้องรับผิดชอบ’

 

หากใครเคยอ่านหรือมีประสบการณ์การเจอแก๊งคอลเซ็นเตอร์ มักจะพบกับเหตุการณ์ที่ว่า ‘การระงับเงินที่ถูกหลอกไปนั้นไม่ทันเสียแล้ว’

 

คุณอัตพลอธิบายเหตุการณ์ที่เกิดขึ้นในประเทศไทยซึ่งดูจะเข้ากับสถานการณ์เหลือเกินให้ฟังว่า  “โดยปกติจะมีแก๊งคอลเซ็นเตอร์จากต่างประเทศ หลอกผู้เสียหายให้โอนเงิน  แก๊งคอลเซ็นเตอร์ก็จะโอนเข้าบัญชีม้า และจะโอนเงินจากบัญชีม้าที่หนึ่งไปยังธนาคารที่สอง และที่สาม เราจะเรียกว่าม้าแถวหนึ่ง แถวสองและแถวสาม หลังจากนั้น เงินก็จะถูกโอนเข้าไปในบัญชีคริปโต และเอาเงินออกไป”

 

นี่คือขั้นตอนปกติของความเสียหาย ซึ่งเมื่อมาดูแต่ละจุดแล้ว คุณอัตพลแจกแจงให้เห็น ปัญหาที่เกิดขึ้นในหลายจุด!

ตั้งแต่การส่ง SMS จะต้องมีผู้รับผิดชอบดูแลไม่ให้มีการส่ง SMS หลอกหรือไม่   ในขณะที่ทางธนาคารก็จะมีลำดับขั้นตอนซึ่งทำให้การติดตามล่าช้า ในขณะที่การแจ้งความก็มีขั้นตอนอีกเช่นกัน ในขณะที่แก๊งคอลเซ็นเตอร์ที่เข้าไปในตลาดคริปโต ก็มีการหลอกเปิดบัญชีม้าอีกทีหนึ่งตามขั้นตอนที่ถูกต้องแม้ว่าบัญชีม้าจะถูกหลอกให้เปิดก็ตาม 

 

ด้วยขั้นตอนทั้งหมดที่มีความเสียหายเชื่อมโยงกันหลายจุดจึงทำให้

ไม่มีใครเป็น ‘เจ้าภาพ’ ความเสียหายดังกล่าวอย่างเด่นชัด

 

“พ.ร.ก.นี้จึงออกมาเพื่อตั้งศูนย์ปฏิบัติการปราบปรามฯ ซึ่งขึ้นอยู่กับกระทรวงดีอีเป็นผู้รับผิดชอบ”

 

สำหรับ พ.ร.ก.ฉบับใหม่ ให้อำนาจที่ศูนย์ฯ จะสามารถบังคับบุคคลที่เกี่ยวข้องทั้งหมดให้ปฏิบัติตามตั้งแต่ขั้นตอนแรก คุณอัตพลยกตัวอย่างเช่น การคืนเงินจากปกติที่ต้องดำเนินการถึงชั้นศาลเพื่อตัดสินจึงจะได้รับเงินคืน ตอนนี้หากมีการจับกุมและยึดเงินคืนได้ กระบวนการคืนเงินก็จะเกิดขึ้นทันที

 

“ นอกจากนี้ แต่ละธนาคารมีการตรวจเรื่องความผิดปกติของบัญชีม้าต่างกัน รวมไปถึงในกรณีที่ตำรวจแม้จะรู้ว่าคนนี้เป็นบัญชีม้า และเห็นว่าไปเปิดอีกบัญชีที่คริปโต ตำรวจก็ไม่มีอำนาจในการไประงับ ทำได้แค่ขอความร่วมมือ .. การให้อำนาจแก่เจ้าภาพจึงมีวัตถุประสงค์ที่จะเข้ามาจัดการจุดนี้”

 

 

2

ธุรกิจปรับตัวอย่างไร ไม่ให้ตกเป็นเหยื่อ?

เมื่อมีกฎหมายที่มี ‘เจ้าภาพ’ และมี ‘ความเข้มข้น’ มากยิ่งขึ้นเช่นนี้ มุมของธุรกิจแต่ละแห่งก็จะต้องปรับตัวและเพิ่ม ‘ความปลอดภัยทางไซเบอร์’ ของตนมากขึ้น ซึ่งจะเริ่มต้นได้จากการประเมินความเสี่ยงของตนเอง

 

“จุดเริ่มต้นของอาชญากรรมไซเบอร์ในไทยเกิดได้ง่ายมาก เพราะว่าข้อมูลส่วนบุคคลหลุด .. เพราะฉะนั้นสิ่งแรกที่เราต้องดูคือ วางมาตรการป้องกันไม่ให้ข้อมูลหลุดออกไป อย่างเช่น บริษัทประกันภัย หรือโบรกเกอร์ต่างๆ มีข้อมูลคนในประเทศเยอะมากก็ต้องเตรียมตัวสิ่งเหล่านี้ หน่วยงานภาครัฐก็มีข้อมูลส่วนบุคคลเยอะ แต่ว่าส่วนนี้จะมี พ.ร.บ.ไซเบอร์คุ้มครองและมีหน่วยงานคอยดูแลอยู่ แต่ก็จะถูกข้อจำกัดในเรื่องงบประมาณ

ส่วนที่ 2 คือ วางมาตรการรับมือกับการโจมตี เพราะการโจมตีมาจากข้างนอกองค์กรเพื่อเข้าถึงข้อมูล ซึ่งหากเราว่ามาตรการไม่ดี เราก็อาจจะโดนในเรื่อง พ.ร.บ.คุ้มครองส่วนบุคคลตามมาด้วยเช่นกัน” คุณอัตพลระบุ

 

อาชญกรรมออนไลน์ ที่สร้างความเสียหายต่อภาคธุรกิจ มาในหลายรูปแบบ  จากสถิติความเสียหายทางอาชญากรรมไซเบอร์ในไทยที่ผ่านมา อ้างอิงจากข้อมูลของสำนักงานตำรวจแห่งชาติ จะอยู่ที่ราว 80,000 ล้านบาทต่อปี ซึ่งตัวเลขนี้ ‘ไม่รวม’ ความเสียหายเชิงโครงสร้าง และต้นทุนการแก้ไขระบบไซเบอร์ของรัฐและเอกชน ซึ่งหากรวมๆ แล้วความเสียหายที่เกิดขึ้นนั้นแตะหลัก ‘แสนล้านบาท’

 

 

“ สมมติวันหนึ่งโดนโจมตีไซเบอร์ และโดนประกาศว่ามีข้อมูลออกไป สิ่งที่ธุรกิจต่างๆ ควรจะทำคือเราควรจะมีทีมที่เข้ามาจัดการได้ทันที เรียกทีมจัดการวิกฤตเข้ามา ประเมินว่าข้อมูลอะไรหลุดออกไป ถ้ามีข้อมูลลูกค้าหรือพาร์ทเนอร์ ก็ควรทำหนังสือแจ้งเตือนว่าเกิดเหตุการณ์ขึ้น มีข้อมูลอะไรหลุดออกไป และควรจะจ้างผู้เชี่ยวชาญจากภายนอกมาช่วย เพราะตัวเราข้อมูลหลุดแล้ว เราควรจะมี Third Party มาเช็คเพื่อสร้างความเชื่อมั่น

หากข้อมูลที่ถูกนำออกไปแตะข้อมูลส่วนบุคคลเราจะมีเวลา 72 ชั่วโมงในการแจ้งกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สคส.) และให้ทีมจัดการวิกฤตเรียกทีมมาร์เก็ตติ้งและพีอาร์ทีม แถลงเสียใจ แจ้งว่าทำอะไรบ้าง และแจ้งแนวทางกับคนที่เป็นเจ้าของข้อมูลว่าควรทำอะไรบ้าง เช่น ถ้า Username และ Password หลุดไปก็ควรแจ้งว่าเขาต้องเปลี่ยน Username และ Password”

 

โพสต์ทูเดย์สอบถามว่า แล้วถ้าหากบริษัทไม่มีการจัดการ? จะเกิดอะไรขึ้น

 

“ สิ่งที่เกิดขึ้นและเกิดแล้วคือ สคส. จะมีการปรับ มีบริษัทหนึ่งในประเทศไทยโดนปรับไปราว 7 ล้านบาท ในข้อหา 3 กระทง คือ บริษัทไม่มีมาตรการด้าน Cyber Security ที่ไม่เพียงพอ ไม่แจ้งสคส.ภายใน 72 ชม. และไม่มีคนดูแลกำกับ” นั่นคือเคสแรกที่มีการปรับจริงในประเทศไทย

 

 

 

3

‘ตระหนัก’ ตั้งแต่คนทำงาน คือส่ิงที่องค์กรต้องมี!

คุณอัตพลมองว่า ณ ปัจจุบันบริษัทในประเทศไทยเห็นสัญญาณที่ดีขึ้น ไม่ใช่แค่เรื่องโทษทางกฎหมายที่มีตัวอย่างชัดเจนอย่างที่เล่าไปแล้ว  แต่มันคือการสร้างภาพลักษณ์ของแบรนด์ให้มีความน่าเชื่อถือ และไว้ใจได้ เพราะหากโดนโจมตีและไม่สามารถแก้ไขได้ความไว้ใจของลูกค้าที่มีต่อแบรนด์จะพังจนหมด

 

“ หากเป็นบริษัทใหญ่ๆ ในไทยมักจะมีงบประมาณและลงทุนกับเรื่อง Cyber Security อย่างเต็มที่ แต่ถ้าเป็นบริษัทที่รองๆ ลงมาไม่ได้มีงบที่จะลงทุนมหาศาล สิ่งสำคัญที่ควรดูคือ ไล่ดูกระบวนการของบริษัทเบื้องต้น เช่น การจัดการข้อมูลมีความยากง่ายในการเข้าถึงมากน้อยเพียงใด การที่คนจะเข้าถึงข้อมูลได้มีการกำกับควบคุม และมีขั้นตอนที่ปลอดภัยรัดกุมมากน้อยแค่ไหน มีจุดเสี่ยงอะไรบ้าง

หากพูดถึงเรื่อง Data Security ก็จะมีสองแบบ คือแบบที่ข้อมูลอยู่นิ่งๆ ก็ต้องเข้ารหัส มีเรื่องซอฟต์แวร์ในการเข้ารหัส  แต่ถ้าวันไหนอยากเอาดาต้าตัวนี้ไปวิเคราะห์ เราก็ควรจะมีขั้นตอนที่แปลงข้อมูลจริงๆของดาต้าเป็นแบบอื่น ไม่จำเป็นต้องนำชื่อจริง ที่อยู่จริงมาวิเคราะห์ เผื่อว่าแอปพลิเคชันที่เรานำมาวิเคราะห์ จะเสี่ยงต่อการทำให้เกิดข้อมูลรั่วไหล  เราต้องคิดว่าถ้าวันหนึ่งข้อมูลหลุดมันจะย้อนกลับมาที่ข้อมูลจริงไม่ได้”

 

คุณอัตพลมองว่าการโจมตีไซเบอร์ มีการเปลี่ยนแปลงในรูปแบบและวิธีการตลอดเวลา นอกจากระบบของบริษัทที่ต้องตามให้ทันแล้ว สิ่งสำคัญคือ ‘บุคลากร’ ต้องตระหนักถึงเรื่องเทคโนโลยี

 

“บางคนใช้เอไอที่ไม่ปลอดภัยในคอมพิวเตอร์ของระบบบริษัท เราจะต้องมีการบอกเลยว่าพนักงานจะต้องไม่ใช้โปรแกรมที่มีความเสี่ยง หรือไม่ส่งข้อมูลที่ไม่ปลอดภัยออกไป  เราจะพบในทุกบริษัทว่าจะมีคนที่ไม่ตระหนักเรื่องนี้ เพราะฉะนั้นการวางโซลูชั่นและคอนโทรลให้พนักงานปฏิบัติตามก็เป็นสิ่งสำคัญ”

.

.

 

 

 

ท้ายสุด ต้องยอมรับว่ารูปแบบของ ‘อาชญากรรม’ ทุกวันนี้เปลี่ยนแปลงไป จากการ ‘ขโมยของในบริษัทหรือบ้าน’ เป็นการขโมยข้อมูลสินทรัพย์ดิจิทัล  .. และหากหลายคนยังคิดว่าคงยากที่จะโดน ก็ต้องบอกว่า สิ่งที่ไม่เปลี่ยนในทุกยุคทุกสมัยก็คือ สังคมนั้นมีคนไม่ดีและสามารถหากลวิธีทำให้ ‘คนที่ไม่ตระหนัก’ ตกเป็นเหยื่อได้ไม่ว่าทางใดทางหนึ่ง  …

สังคมออนไลน์คือสังคมใหม่ สินทรัพย์ดิจิทัลคือสินทรัพย์ใหม่ ที่ประเทศไทยจะต้องดูแลและหาแนวทางปกป้องร่วมกัน.