เจษฎา ชี้ความมั่นคงไซเบอร์วิกฤต เสนอบูรณาการกฎหมาย-พัฒนาบุคลากร

เรียนท่านประธานสภาผู้แทนราษฎร กระผม ร้อยโท ดอกเตอร์เจษฎา ศิวรักษ์ เป็นที่ปรึกษาประจำกรรมาธิการ วันนี้ขอนำเสนอ เรื่องรายงานการศึกษาเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber) ขออนุญาตสไลด์ (Slide) ด้วยครับ

(เจ้าหน้าที่ดำเนินการเปิดพรีเซนเทชัน)

ขอสไลด์ (Slide) ก่อนหน้าครับ จากที่ไปที่มาในการศึกษาเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber) หรือคำว่า ไซเบอร์ ซีเคียวริตี (Cybersecurity) มีความเกี่ยวข้องกับเรื่องความมั่นคงปลอดภัยในหลายด้าน ทั้งในเรื่องของข้อมูลสื่อสารทั้งระบบโครงข่าย ในการศึกษาพบว่าในการดูเรื่อง ไซเบอร์ ซีเคียวริตี (Cybersecurity) จะมีความจำเป็นพื้นฐานที่จะต้องมีความเข้าใจในเรื่องเน็ตเวิร์ก ซีเคียวริตี (Network Security) เรื่องความมั่นคงปลอดภัยในเรื่องโครงข่ายโดยเฉพาะอย่างยิ่ง ในเรื่องของความมั่นคงปลอดภัยโครงข่ายไม่ได้ดูเฉพาะเรื่องข้อมูลเพียงอย่างเดียว แต่จะต้อง ดูในเรื่องของการครอบคลุมโครงข่าย การใช้ความถี่ การใช้งานของโครงข่าย ซึ่งส่วนมาก ความมั่นคงปลอดภัยไซเบอร์ (Cyber) จะมีช่องโหว่ผ่านมาทางเรื่องเน็ตเวิร์ก ไซเบอร์ซีเคียวริตี (Network Cybersecurity) เพราะฉะนั้นในรายงานฉบับนี้ก็จะขออนุญาตมองในภาพรวม ทั้งเน็ตเวิร์ก ซีเคียวริตี (Network Security) แล้วก็ไซเบอร์ซีเคียวริตี (Cybersecurity) นอกเหนือจากนี้ คำว่า เรื่องความมั่นคงปลอดภัยในทางโลกดิจิทัล (Digital) หรือโลกไซเบอร์ (Cyber) ยังมีความเกี่ยวข้องต่อเนื่องทั้งในเรื่องของแอปพลิเคชัน ซีเคียวริตี (Application Security) มีทั้งเรื่องอินเทอร์เน็ต ซิเคียวรีตี (Internet Security) และความมั่นคงปลอดภัย ไซเบอร์ (Cyber) ที่อยู่บนโครงสร้างพื้นฐานที่สำคัญอย่างยิ่งยวด หรืออีกอย่างหนึ่งที่เราเรียกว่า คริทิเคิล อินฟราสตรักเจอร์ (Critical Infrastructure) ขออนุญาตไปสไลด์ (Slide) ถัดไปครับ ในการศึกษาครั้งนี้การมองตัวกฎหมายไม่ได้ดูเฉพาะเรื่อง พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ ฉบับปี ๒๕๖๒ ในการศึกษาก็จะดูภาพรวมจากแผนยุทธศาสตร์ มีพระราชกำหนด พระราชบัญญัติ บางอย่างที่เกี่ยวข้องในภาพตามสไลด์ (Slide) นี้เป็นตัวอย่างในเรื่องของความมั่นคงปลอดภัย ไซเบอร์ (Cyber) ที่อยู่บนโครงสร้างพื้นฐานที่สำคัญ เช่น เรื่องระบบสารสนเทศและระบบ โทรคมนาคมก็จะต้องดูในเรื่อง พ.ร.บ. ของประกอบกิจการโทรคมนาคม ๒๕๔๔ และ พ.ร.บ. การกำกับดูแลการจัดสรรความถี่ องค์กรจัดสรรความถี่ในปี ๒๕๕๓ ด้วยครับ ขออนุญาต สไลด์ (Slide) ถัดไป ในสไลด์ (Slide) นี้ สภาพปัญหาแล้วก็ความท้าทายที่เกิดขึ้นในเรื่องของ ความมั่นคงปลอดภัยไซเบอร์ (Cyber) ไม่สามารถใช้วิธีการดำเนินการเพียงองค์กรเดียวจะต้อง มีความร่วมมือในด้านต่าง ๆ เช่น ใน พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ที่มีการกำหนด โครงสร้างพื้นฐานที่สำคัญยิ่งยวด ๘ โครงสร้าง จำเป็นจะต้องมีความร่วมมือเพราะว่า ในแต่ละโครงสร้างก็จะมีองค์กรกำกับดูแลอยู่แล้ว เช่น ในเรื่องของโครงสร้างความมั่นคง ปลอดภัยไซเบอร์ (Cyber) ของตัวระบบโทรคมนาคม และการสื่อสารซึ่งมี กสทช. เป็นผู้กำกับ ดูแล ในผู้ดูแลตามกฎหมาย พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ก็จะต้องมีความประสาน มีความร่วมมือหรือเราเรียกอีกชื่อหนึ่งว่าต้องมีครอส บอร์เดอร์ เรกกูเลชัน (Cross Border Regulation) ในการทำงานร่วมกัน ๒. จะต้องมีการส่งผ่านข้อมูลที่ช่วยในการวิเคราะห์ ในการหาเหตุและการระงับเหตุบนความมั่นคงปลอดภัยไซเบอร์ (Cyber) ๓. จะต้องมีการ พัฒนาบุคลากรที่มีความเชี่ยวชาญในการทำในเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber) ๔. จะต้องมีระบบการสื่อสารแล้วข้ามระหว่างหน่วยงานกำกับดูแลด้วยกัน ๕. การสร้าง อะแวร์เนส (Awareness) หรือความสร้างความตระหนักรู้เพราะความมั่นคงปลอดภัย ไซเบอร์ (Cyber) ไม่สามารถดำเนินการด้วยบุคคลเพียงคนใดคนหนึ่งหรือกลุ่มใดกลุ่มหนึ่ง จะต้องสร้างความตระหนักรู้ให้กับผู้ใช้งานต่าง ๆ ด้วย ปัญหาที่เกิดขึ้นกับความมั่นคงปลอดภัย ไซเบอร์ (Cyber) ไม่ใช่เรื่องที่อยู่นิ่ง ๆ เพราะผู้ก่อการร้ายการสร้างมัลแวร์ (Malware) การใช้พัฒนาเทคโนโลยีจะมีการพัฒนาเป็นจำนวนมากและมีพัฒนาขึ้นทุกวัน

ส่วนที่ ๒ ก็คือเครือข่าย ในอดีตเรามี ๓ จี (3G) เรามี ๔ จี (4G) เรามี ๕ จี (5G) แล้วเราจะมี ๖ จี (6G) ในปี ๒๐๓๐ รวมทั้งอุปกรณ์ต่าง ๆ วันนี้เรามีโทรศัพท์มือถือและ มีสมาร์ตวอต์ช (Smart Watch) วันข้างหน้าก็จะมีอุปกรณ์พวกนี้มากขึ้น ด้วยความหลากหลาย ของเทคโนโลยีที่มากขึ้น การพัฒนาเทคโนโลยีที่มากขึ้น อุปกรณ์ที่มากขึ้นย่อมเป็นจุดโหว่ ในเรื่องของความมั่นคงปลอดภัยไซเบอร์ (Cyber) ได้ครับ

ส่วนต่อมา วันนี้ปัญญาประดิษฐ์เอไอ (AI) เอามาช่วยอำนวยความสะดวก ในชีวิตประจำวันของเราส่วนหนึ่ง ในขณะที่ผู้ก่อการร้ายเขาจะมีความสามารถในการใช้เอไอ (AI) เข้ามาทำในเรื่องของความความมั่นคงปลอดภัยไซเบอร์ (Cyber) ได้ด้วยนะครับ นั่นคือ ความท้าทายที่กำลังจะเกิดขึ้น ขออนุญาตไปสไลด์ (Slide) ถัดไป ในช่วงการศึกษาในปี ๒๕๖๓ ในขณะนั้นมี พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์เกิดขึ้นมาแล้วนะครับ แล้วก็มีการเริ่ม ดำเนินการจัดตั้งจนกระทั่งถึงวันนี้ในปี ๒๕๖๕ มีการตั้งคณะกรรมการ กมช. กกม. และ กบส. เรียบร้อยแล้วครับ มีการจัดตั้งสำนักงานเรียบร้อยแล้ว มีการทำแผนและบันได บางแผนอยู่ในขั้นตอนการดำเนินงานให้เกิดการปฏิบัติขึ้นจริง ขออนุญาตสไลด์ (Slide) ถัดไป ในภาพนี้เป็นการบอกว่าขั้นตอนการทำงานของ กมช. กกม. ในส่วนต่าง ๆ ที่ต้องปฏิบัติตาม ทั้งมาตรา ๙ มาตรา ๒๒ และมาตรา ๑๓ ได้มีการดำเนินการตามแผน แต่ในระยะแรกในการ ปฏิบัติบางแผนมีการดำเนินการขึ้นจริงแล้ว แต่ในบางแผนอยู่ในขั้นตอนการปฏิบัติ อยู่ใน ขั้นตอนการนำเสนอ รอมติ ครม. ในบางแผนที่เกิดขึ้น ขออนุญาตสไลด์ (Slide) ถัดไปครับ ในภาพมีความสำคัญในเรื่องของแผนที่กำลังรอการอนุมัติอยู่ในการพิจารณาของคณะรัฐมนตรี อย่างเช่น ร่างนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๕ ถึง ๒๕๗๐ ซึ่งดำเนินการตามมาตรา ๙ (๑) ซึ่งปัจจุบันนี้มันมีอยู่แผน ๒๕๖๔-๒๕๖๙ แผนใหม่ ที่เป็น ๒๕๖๕-๒๕๗๐ อยู่ระหว่างดำเนินการขอมติ ครม. รวมทั้งเรื่องนโยบายการบริหารงาน รวมทั้งแผนปฏิบัติการที่ต้องดำเนินการตามมาตรา ๑ มาตรา ๒ และมาตรา ๙ (๑) มาตรา ๙ (๒) มาตรา ๙ (๓) และมาตรา ๙ (๔) รวมทั้งการกำหนดมาตรฐานซึ่งมีการกำหนดมาตรฐานขึ้น แล้วตามมาตรา ๙ (๕) ขออนุญาตสไลด์ (Slide) ถัดไปครับ

(เจ้าหน้าที่ดำเนินการเปิดพรีเซนเทชัน)

เนื่องจากความมั่นคงปลอดภัยไซเบอร์ (Cyber) มันเป็นเรื่องของทุกระดับชั้น ระดับความสำคัญ วิธีการเข้าสู่ในการสร้างความมั่นคง ปลอดภัยไซเบอร์ (Cyber) จำเป็นจะต้องมีการมุมมองที่แตกต่างกัน เช่น ในภาพด้านซ้ายที่เห็น เป็นรูปไข่ ตัวไข่แดงคือตัวโครงสร้างพื้นฐานที่สำคัญอย่างยิ่ง ๘ อัน อันนี้จะต้องมีมาตรการ กำกับดูแลในการกำหนดให้มี แต่ความเป็นจริงแล้วความมั่นคงปลอดภัยไซเบอร์ (Cyber) มันมี ไปถึงระบบองค์กรขนาดเล็ก บริษัทขนาดเล็กและผู้ใช้ประชาชนโดยทั่วไป เพราะฉะนั้นในรูป ที่แสดงภาพเป็นไข่ขาวก็คือเป็นเรื่องของการวอลลันทารี (Voluntary) การชักจูงให้เขาเริ่มมี การสร้างความตระหนักในเรื่องของความมั่นคงปลอดภัยไซเบอร์ (Cyber) ซึ่งการดำเนินการ ตัวนี้เราก็จะดำเนินการผ่านหน่วยงานทางด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber) การสร้าง กรอบและมาตรฐานการกำกับดูแล ๓ การสร้างแนวทางต่าง ๆ ซึ่งทั้งนี้ทั้งนั้นวิธีการดำเนินการ มีได้ทั้ง ๒ รูปแบบ ๑ ในภาคบังคับ ซึ่งใช้ตามมาตรฐานสากลก็ได้ หรือใช้มาตรการสมัครใจ ตามมาตรฐานวอลลันทารี (Voluntary) ขององค์กรนานาชาติได้ เพราะฉะนั้นสรุปในภาพนี้ จริง ๆ ก็คือการแยกให้เห็นว่าส่วนที่สำคัญก็คือส่วนที่ไข่แดง ดังนั้นจำเป็นจะต้องมีการปกป้อง อย่างเข้มงวดและเข้มแข็งเพราะเป็นโครงสร้างพื้นฐานที่สำคัญของประเทศเป็นอย่างยิ่ง ขออนุญาตสไลด์ (Slide) ถัดไปครับ จากการศึกษาประเด็นที่สำคัญในการผลักดันในเรื่องของ การศึกษาเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber) แบ่งแยกออกเป็น ๓ อย่าง

๑. การผลักดันผ่านหน่วยงานกลาง ซึ่งหน่วยงานกลางก็จะมีเรื่องของการจัดตั้ง กระบวนการองค์กรต่าง ๆ ที่เกิดขึ้น การมอบหมายหน้าที่ การจัดทำแผน การดำเนินการ ในการวางแผนและวางแผนยุทธศาสตร์

๒. หน่วยงานโครงสร้างพื้นฐานที่สำคัญอย่างยิ่งยวดซึ่งไม่ใช่ กมช. แต่เป็น หน่วยงานที่ ๘ โครงสร้างที่สำคัญอย่างยิ่งยวดจำเป็นจะต้องมีการประเมินความสามารถ ในการรับมือเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber) ซึ่งถ้าแผนมาจากหน่วยงานกลาง ถ้าหน่วยงานปฏิบัติ ๘ แห่ง ๘ โครงสร้างไม่ได้นำแผนพวกนี้ไปใช้งานความมั่นคงปลอดภัย ไซเบอร์ (Cyber) ก็จะไม่เกิดขึ้นนะครับ

๓. เราเรียกว่า ระบบนิเวศไซเบอร์ (Cyber) ระบบนิเวศไซเบอร์ (Cyber) ก็คืออย่างที่เรียนครับเป็นเรื่องของทุกคน ทุกบริษัท ทุกโครงสร้าง ไม่ใช่เพียงหน่วยงานใด หน่วยงานหนึ่งรับผิดชอบได้ทั้งหมด เพราะวิวัฒนาการของผู้ก่อการร้ายที่ใช้เทคโนโลยีต่าง ๆ ใช้ช่องว่างต่าง ๆ เข้ามาจำเป็นต้องมีการสร้างระบบนิเวศ ทั้งในเรื่องของการสนับสนุน ผู้ประกอบการในรายเอกชนให้เข้ามาสู่ธุรกิจนี้มากขึ้น การสร้างบุคลากรต่าง ๆ ให้มีมากขึ้น เพราะในปัจจุบันเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber) เรื่องบุคลากรมีความสำคัญ เป็นอย่างมาก ขออนุญาตจบสรุปรายงานการศึกษาความมั่นคงปลอดภัยไซเบอร์ (Cyber) ครับ