email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 12.02.2015 (3 ปีที่ผ่านมา) | แก้ไขล่าสุด 13.12.2017 | อ่าน 1515

ETDA ตั้งคำถาม ถ้า Critical Infrastructure ถูกโจมตีทางไซเบอร์ เราจะร่วมรับมือกันอย่างไร?


เมื่อวันที่ 7 กุมภาพันธ์ 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) โดย ICT Law Center เปิดบ้านระดมสมอง “ถ้า Critical Infrastructure บ้านเราถูกเจาะ เราจะรับมือและเคลียร์ปัญหานี้ร่วมกันอย่างไร” วงสนทนาเสนอ โลก Cyber Security เปลี่ยนสู่ยุคแห่งการรับมือ ภาครัฐจำเป็นต้องสร้างหน่วยงานกลางในการดูแล แต่ต้องจับมือภาคเอกชนเพื่อสร้างเครือข่ายและกลไกในการรับมือร่วมกัน ที่สำคัญ คนทำงานด้านนี้ นอกจากมีฝีมือ จะต้องเป็นคนดี มีความรับผิดชอบ

เวที Open Forum ครั้งนี้ ETDA ได้เชิญผู้แทนจากหน่วยงาน Critical Infrastructure ทั้งการไฟฟ้า โทรคมนาคม และการเงินการธนาคาร รวมทั้งนักกฎหมายและนักวิชาการอิสระ เปิดประเด็นพูดคุยและแลกเปลี่ยนมุมมองเกี่ยวกับการเตรียมความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ โดยผู้ที่เข้ามารับฟังมาจากหน่วยงานและองค์กรต่าง ๆ เช่น Intel ประเทศไทย, ตลาดหลักทรัพย์แห่งประเทศไทย, BSA: The Software Alliance,  คณะแพทยศาสตร์ โรงพยาบาลรามาธิบดี, The Joint Foreign Chambers of Commerce in Thailand รวมทั้งประชาชนผู้สนใจ เพื่อสะท้อนความต้องการไปยังรัฐบาล และยังเป็นเวทีสร้างความเข้าใจแก่ภาคส่วนต่าง ๆ ซึ่งจะเป็นประโยชน์ในการทำให้ร่างกฎหมายชุดเศรษฐกิจดิจิทัล (Digital Economy) มีความสมดุล และเกิดประโยชน์สูงสุดกับประเทศ

ว่าที่ ร.ต.สรายุทธ์ บุญเลิศกุล นายกสมาคมผู้ประกอบการโทรคมนาคมไทย ให้ความเห็นว่า ปัจจุบันทุกภาคส่วนต่างมีความมั่นคงปลอดภัยที่เพียงพอในระดับหนึ่ง แต่ให้ย้อนนึกถึงเหตุการณ์น้ำท่วมเมื่อปี 54 ที่ระบบโครงสร้างพื้นฐานต่าง ๆ เสียหาย ตั้งแต่ถนน ไฟฟ้า โทรศัพท์ ไปถึงระบบอื่น ๆ  เพราะฉะนั้น ถ้าเกิดการโจมตีทางไซเบอร์กับประเทศไทยในวันหน้า ในขณะที่ทุกฝ่ายอยู่ในรั้วของตัวเองทั้งหมด จะทำอย่างไรให้ทุกฝ่าย ทั้งภาครัฐ ภาคเอกชน เป็นหนึ่งเดียวกัน จะเชื่อมโยงอย่างไรคือหัวใจสำคัญ และโจทย์ใหญ่ของประเทศคือเมื่อเกิดสถานการณ์ภัยพิบัตินั้น ใครจะเป็นเจ้าภาพ

ดร.ภูมิ ภูมิรัตน นักวิชาการอิสระ (อดีตอาจารย์ประจำภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี) ในฐานะผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ หรือ “Cyber Security” เสริมว่า โลกของ Cyber Security ได้เปลี่ยนจากยุคป้องกัน เป็น “ยุครับมือ” เรียบร้อยแล้ว แต่ว่าร่างกฎหมาย  Cyber Security ยังช้าไปนิดหน่อย คือทำมาเพื่อการป้องกัน ยุคของการรับมือ หมายถึงผู้ใช้ต้องช่วยผู้ให้บริการรับมือด้วย เพราะว่าช่องทางที่คนร้ายเข้ามา ไม่ได้เจาะผู้ให้บริการ แต่ผ่านผู้ใช้กันแล้ว ซึ่งสังคมไทยนั้นยังเดินได้ยากอยู่ เพราะติดปัญหาเรื่องสื่อสาร การศึกษา และการสร้างความรู้ความเข้าใจ กลุ่มผู้เชี่ยวชาญด้านนี้ก็มีน้อย ซึ่งจำเป็นต้องเร่งสร้าง ผู้ให้บริการนอกจากต้องปกป้องตัวเอง มีแผนการรับมือแล้ว ต้องมีเครือข่ายของคนที่ช่วยกันรับมือ ในต่างประเทศเมื่อเกิดเหตุ คนทั้งเครือข่าย Cyber Security จะต้องเข้ามาช่วยกันหาวิธีแก้ไข คือทั้งภาครัฐ และภาคเอกชน เพราะมองว่า คนที่โดนคือผู้เคราะห์ร้าย ต้องช่วยกันจับ ถ้าไม่ช่วยกันจับ วันข้างหน้าก็จะมีคนหนึ่งคนใดที่โดนอีก

ดร.ทวีลาภ ฤทธาภิรมย์ กรรมการผู้ช่วยผู้จัดการใหญ่ ธนาคารกรุงเทพ จำกัด (มหาชน) เพิ่มเติมว่า การที่จะเข้าไปกำกับดูแลแวดวงอินเทอร์เน็ตหรือไซเบอร์เป็นเรื่องยากในทุกประเทศ แต่แนวคิดเรื่อง Multi-stakeholder นั้นน่าสนใจ คือ ผู้มีส่วนได้ส่วนเสียทุกคนต้องมีส่วนช่วยกัน ไม่ว่าจะเป็นการกำกับดูแลด้วยกันเองหรือการทำงานร่วมกัน โดยไม่ใช่เฉพาะภาครัฐอย่างเดียว การมีหน่วยงานกลางเพื่อกำกับเรื่องแผนแม่บทเห็นด้วยว่าต้องมี การมีเจ้าหน้าที่ในเรื่องไซเบอร์ก็เป็นเรื่องจำเป็น แต่ในรายละเอียดของโครงสร้างเหล่านี้ต้องมีคนเข้าไปมีส่วนร่วมในการกำกับเยอะขึ้น และเสียงจากภาคเอกชน เสียงจากผู้บริโภค เสียงจากกลุ่มผลประโยชน์ต่าง ๆ จำเป็นจะต้องมี

ดร.ธรรมนูญ พ่อค้าทอง หัวหน้ากลุ่มงาน SCADA Software Development EGAT ให้มองไปข้างหน้า ถึงรูปแบบของธุรกิจและรูปแบบของสังคมในอนาคตว่า สังคมเศรษฐกิจดิจิทัลจะเป็นในรูปแบบไหน อย่างการไฟฟ้าฝ่ายผลิตแห่งประเทศไทย (กฟผ.) มองว่าจะเป็น Smart Grid แล้วแต่ละ Smart Grid จะเป็น Smart Home หมายถึงที่บ้านจะมีตู้เย็นที่เป็น Smart ระบบแอร์ที่เป็น Smart ที่นี้การเจาะ การถูกแฮก ไม่ได้มาจาก กฟผ.อย่างเดียวแล้ว มันสามารถเข้ามาทางผู้ใช้ได้ ก็น่าจะมีกฎหมายมารองรับตรงนี้

ว่าที่ ร.ต.สรายุทธ์ฯ ได้ตั้งข้อสังเกตในเรื่องกฎหมายว่า ถ้าวางกรอบไม่ชัดเจน ครอบคลุม ก็จะเป็นปัญหาในการบังคับใช้ ส่วนที่อยากเห็นคือ การรวมศูนย์ เพราะทุกคนมีกรอบและมาตรฐานกันหมดแล้ว แต่ว่าจะเอากรอบที่ทับซ้อนมารวมให้เป็นหนึ่งเดียว แล้วบังคับใช้อย่างสมบูรณ์ต้องเป็นกฎหมายลักษณะพิเศษ กฎหมายจะเป็นอย่างไรนั้นขึ้นอยู่กับ (1) เจตนาของการบังคับใช้กฎหมาย ขอให้เป็นพิเศษหลายมาตรา ไม่ใช่มาตราเดียว (2) คณะกรรมการที่จะมาบังคับใช้ สถานะทางสังคม สถานะทางอำนาจหน้าที่ การมีส่วนร่วมของทุกภาคส่วน ทั้งหน่วยงานภาครัฐ ภาคเอกชน เพราะฉะนั้น ภาคเอกชนต้องมีคนจำนวนหนึ่งที่มากพอ และ (3) ให้มีความชัดเจนว่าเป็นกฎหมายประสานงานหรือสั่งการ

คุณศิรัญญา หรูวรรธนะ ทนายความ Baker & McKenzie Ltd. ให้ความเห็นในเรื่องกฎหมายว่า ไม่ควรจะไปสร้างข้อบังคับ เช่นบอกว่า ถ้าเกิดการโจมตีทางไซเบอร์ขึ้น ให้องค์กรธุรกิจแจ้งภายใน 1 วัน ถ้าไม่ทำจะมีโทษ ซึ่งเป็นเรื่องที่ทำได้ยาก การกำหนดเวลาในการแจ้งต้องมีระยะเวลาอย่างสมเหตุสมผล ต้องดูระดับของอันตรายจากการโจมตีตรงนั้น ถ้าเกิดเอามาใช้ให้เป็นลักษณะที่ว่ารัฐเข้ามาช่วยเหลือมากกว่า ส่วนการมีการรวมศูนย์สั่งการถ้าเกิดต้องรับมือกับการโจมตีทางไซเบอร์นั้น อยากให้ช่วยกันเสนอข้อคิดเห็นหรือวิธีการจัดการ ถ้ารัฐต้องมีการเข้าไปถึงข้อมูลต่าง ๆ ของบริษัทเอกชน ถ้ามีความจำเป็นและผ่านการคานอำนาจถ่วงดุลก่อนที่จะมีการสั่งการว่าขอข้อมูลจากบริษัทใดบริษัทหนึ่งก็เป็นสิ่งที่ทำได้ แต่รัฐก็จะต้องมีระบบและมาตรการด้าน Security ของรัฐที่เข้มแข็งมาก ในการที่จะป้องกันไม่ให้รัฐเป็นเป้าหมายใหญ่ในการถูกแฮกได้ด้วย

ดร.สรณันท์ จิวะสุรัตน์  ETDA ผู้ดำเนินรายการกล่าวว่า ทุกคนเห็นตรงกันว่า ในเรื่องโครงสร้างและภารกิจต้องชัดเจน ซึ่งในกฎหมายชุดแรกที่จะต้องได้รับการผลักดันเพื่อมารองรับเศรษฐกิจดิจิทัลก่อนคือ ส่วนที่เกี่ยวข้องกับโครงสร้างของคณะกรรมการต้องกำหนดให้ชัด ซึ่งสิ่งที่ได้จากการพูดคุยในวันนี้คือ กรรมการต้องไม่ใช่รัฐทั้งหมด และรัฐจะต้องทำหน้าที่ facilitate หรืออำนวยความสะดวกให้ ซึ่งปัจจุบันนั้นมีการปรับโครงสร้างตรงนั้นไประดับหนึ่งแล้วในชั้นกฤษฎีกา

นางสุราคณา วายุภาพ ผู้อำนวยการ ETDA กล่าวในตอนท้ายว่า การเปิดเวทีพูดคุยอย่างเช่นวันนี้ก็เป็นอีกเวทีหนึ่งแม้จะไม่เป็นการรับฟังความคิดเห็นกันอย่างเป็นทางการ ประเด็นที่หลาย ๆ ฝ่ายมีความกังวลจะนำมาสู่การปรับร่างอย่างไรให้ติดตามกัน เพราะทุกคนเป็นเจ้าของประเทศ อยากให้ดูแลกฎหมายของเราร่วมกัน

                                                                                                                            

นอกจากนั้น ผู้เข้ารับฟังใน Open Forum ครั้งนี้ ยังได้ฝากประเด็นที่น่าสนใจต่าง ๆ เช่น

ทำอย่างไรเราถึงจะสร้างความตระหนักรู้ให้กับคนทำงาน เพื่อไม่ให้เกิด Human Fault หรือความผิดพลาดของตัวบุคคล จากการที่มีคนเอาข้อมูลขององค์กรไปเปิดเผย โดยให้เขารู้ว่าเป็นความผิด
ในส่วนของผู้บังคับใช้กฎหมาย เช่น ตำรวจ มีความพร้อมด้านเทคโนโลยีอยู่ในระดับไหน มีแผนการจะพัฒนาต่อไปอย่างไร
สิ่งที่สำคัญที่สุดคือเรื่องคน สมรรถนะในการทำงานให้ประสบผลสำเร็จ ประกอบด้วย 3 อย่าง คือ Knowledge, Skill ซึ่งรัฐบาลต้องสร้าง คนทำงานด้าน Cyber Security ต้องมีความรู้เพียงพอ แต่สิ่งที่อยู่ข้างล่างคือ Attitude หรือ Behavior จะต้องมีการสร้างคนประเภทนี้ขึ้นมา ไม่ปล่อยปละละเลย จะต้องมีวินัยและต้องมีความรับผิดชอบด้วย
ความร่วมมือระหว่างภาคเอกชนกับภาครัฐ อยากให้มีความทันสมัยมากขึ้นและแข็งแกร่งมากขึ้นในการที่จะเข้าไปคุ้มครอง สิ่งที่เรียกว่า Critical Cyber Infrastructure ของประเทศ ถ้าจะเฉพาะเจาะจงลงไปอีกก็คือการที่มีบุคคลที่เรียกว่า Technologist เข้าไปช่วยภาครัฐในการจำแนกและรวบรวมจุดบอบบางในระบบไอทีของภาครัฐ ซึ่งต้องยอมรับว่าภาครัฐคือผู้ใช้ไอทีที่ใหญ่ที่สุดของประเทศ
เวลามีเรื่องของภัยคุกคาม มีการแบ่งปันข้อมูลในลักษณะที่เป็น Real Time Sharing หรือไม่ ซึ่งก็ต้องระวังในเรื่องการปกป้องสิทธิพลเมืองและเรื่องความเป็นส่วนตัวด้วยหรือไม่
การมีระบบที่เป็นการแจ้งเตือนผู้บริโภคว่าตอนนี้มันมีปัญหาเรื่องแฮกเกอร์ ข้อมูลของคุณอาจจะถูกนำไปใช้ในทางที่ผิดกฎหมาย จะต้องมีการขอนุญาตเขา เพราะกำลังจะไปเข้าถึงข้อมูลส่วนบุคคลของเขา
การสร้างความตระหนักรู้โดยเฉพาะอย่างยิ่งการใช้ซอฟต์แวร์ผิดกฎหมาย ซึ่งเป็นประตูหนึ่งที่ทำให้เกิดมัลแวร์หรือไวรัสเข้าไปในระบบ
การมีกฎหมายเป็นเรื่องที่ดีมาก เพราะจะยกระดับความสำคัญในเชิงนโยบาย เกิดทรัพยากรที่จะเข้ามาช่วยสนับสนุนจากงบประมาณภาครัฐมากขึ้น แต่จะทำอย่างไรให้ภาพที่ออกมาไม่เป็นการบังคับควบคุม แต่ให้เป็นการเพิ่มขีดความสามารถ โดยเฉพาะกับหน่วยงานรัฐที่ไม่ได้ใช้ไอทีนำ การอำนวยความสะดวกด้วยภาครัฐ โดยบริหารงานในฐานะชุมชนที่มีการเรียนรู้ร่วมกัน และการสร้างวัฒนธรรมด้าน Security ให้แทรกอยู่ในทุกคนและทุกหน่วยงานทั้งรัฐและเอกชน