หน้าแรก25.4.1.28นายเกียรติ สิทธีอมร

เกียรติ เปิดประเด็นไซเบอร์ซีเคียวริตี้ ชี้รั่ว-เสนอทบทวนเกตเวย์-เร่งป้องกันโจมตี

สภาผู้แทนราษฎร · ครั้งที่ ๒๘ · ๑๖ กันยายน ๒๕๖๕

เกียรติ สิทธีอมร หารือประเด็นความมั่นคงทางไซเบอร์ โดยตั้งคำถามถึงความปลอดภัยของเครือข่ายและข้อมูลส่วนบุคคลที่รั่วไหล พร้อมเสนอให้ทบทวนโครงสร้างการเชื่อมต่ออินเทอร์เน็ตและระบบคลาวด์ เพื่อเพิ่มประสิทธิภาพการป้องกันการโจมตีทางไซเบอร์ โดยเน้นการปรับปรุงระบบเดิมให้มีประสิทธิภาพ รวมถึงการจัดระบบเตือนภัยล่วงหน้า การประเมินขีดความสามารถของบุคลากรและเทคโนโลยี พร้อมผลักดันให้ภาคเอกชนมีส่วนร่วมภายใต้กรอบกฎหมายที่ชัดเจน

นายเกียรติ สิทธีอมร แบบบัญชีรายชื่อ

กราบเรียนท่านประธานสภา ที่เคารพ กระผม นายเกียรติ สิทธีอมร ส.ส. แบบบัญชีรายชื่อ พรรคประชาธิปัตย์นะครับ ก่อนอื่นก็ต้องขอแสดงความชื่นชมคณะกรรมาธิการได้นำเรื่องที่สำคัญและเป็นประโยชน์ จริง ๆ มาพิจารณากัน แต่ผมเข้าใจดีถึงข้อจำกัดนะครับ เพราะหน่วยงานรัฐหลายหน่วยงาน มากจนถึงทุกวันนี้ไม่มีคำตอบที่ดี แล้วกรรมาธิการเองก็ต้องสรุปรายงานภายใต้ข้อจำกัด เหล่านี้ ผมก็จะมีทั้งคำถามแล้วจริง ๆ มีข้อเสนอแนะนำนะครับ จริงแล้วไซเบอร์ซีเคียวริตี (Cyber Security) แม้กระทั่งที่ท่านประธานเห็นใช่ไหมที่เราขึ้นโลโก้ (Logo) เอพีพีเอฟ (APPF) ที่กำลังจะประชุมกันนี้ในเดือนหน้าก็มีประเด็นเรื่องไซเบอร์ซีเคียวริตี (Cyber Security) งานของกรรมาธิการก็จะเป็นประโยชน์ แต่อยากจะทำความเข้าใจแล้วก็ขอซักถามเบื้องต้นก่อน ไซเบอร์ซีเคียวริตี (Cyber Security) คือการที่จะต้องมีเครื่องมือทางเทคโนโลยี เครื่องมือนี้ มีไว้ทำอะไร มีใช้ประกอบกับกระบวนการและวิธีปฏิบัติเพื่ออะไร เพื่อป้องกันรับมือการถูกโจมตี ไปยังอุปกรณ์ภายใน อันนี้เทคนิคมากเลยใช่ไหมครับ แต่ผลมันไม่เทคนิคครับ จริง ๆ การโจมตีมันโจมตีไม่กี่ด้านหรอกครับ ๔ ๕ ด้านเท่านั้นเอง ด้านแรกคือเน็ตเวิร์ก (Network) พอดีในรายงานท่านท่านไม่ได้วิเคราะห์ในเชิงประเด็นหลัก ๆ ที่สำคัญ ๆ นะครับ แต่จริง ๆ แล้วถ้าเราจะต้องประเมินตัวเราเองเราคงต้องหันไปประเมิน ประเด็นที่เป็นเครื่องมือหลักหรือเป้าหมายหลักของการถูกโจมตีนะครับ เน็ตเวิร์ก (Network) เรื่องใหญ่มาก เน็ตเวิร์ก (Network) ของประเทศไทยมันโจมตีง่ายไหมครับเมื่อเทียบกับเน็ตเวิร์ก (Network) ของประเทศอื่น ถ้าเทียบประเทศไทยกับประเทศจีนทำไมจีนควบคุมได้แม่นยำ เข้มข้นประสิทธิภาพสูง ทำไมของไทยไม่ได้ คำตอบง่ายนิดเดียวนะครับ ท่านประธานของเรา มันคือมัลติเกตเวย์ (Multi Gateway) คนเข้าถึงประเทศไทยได้หมดเลย แล้วเราเองไม่เคย เป็นผู้ลงทุนทำเกตเวย์ (Gateway) เลย ตรงนี้เราควรจะปรับปรุงไหมครับ หรือเราควรจะมีส่วน อย่างไรไหมในการที่จะไปปรับปรุงตัวเกตเวย์ (Gateway) และแอปพลิเคชัน (Application) ต่าง ๆ ที่ทำให้คนเข้าถึงได้

ประการที่ ๒ ซีเคียวริตี (Security) ด้านข้อมูลดาต้าซีเคียวริตี (Data Security) ชัดเจนมากนะครับวันนี้ เกือบทุกองค์กรที่เราพูดถึงคอลเซ็นเตอร์ (Call Center) เขามีข้อมูล หมดแล้วครับ เขามีข้อมูลคนที่เป็นเป้าหมายของเขาอยู่แล้ว แสดงว่าเขาเข้าถึงและเข้าถึง แหล่งข้อมูลได้หมดแล้ว จะผ่านด้วยการซื้อขายที่ผิดกฎหมายหรือการจะแฮ็ก (Hack) ข้อมูล อันนี้ผมไม่ทราบ อันนี้ต้องไปประเมินดูว่าผลมันเป็นอย่างไร คลาวด์ซีเคียวริตี (Cloud Security) ตอนนี้พวกเราเก็บข้อมูลในคลาวด์ (Cloud) เยอะเลย เรามีไปดูไหม กรรมาธิการได้ไปดูไหม ว่าในคลาวด์ซีเคียวริตี (Cloud Security) ของเรามันมีความอ่อนไหวกับการถูกโจมตีมากน้อย แค่ไหน แล้วต้องปรับปรุงโครงสร้างอย่างไรหรือไม่ วันนี้พวกเราทุกคนผมเชื่อว่าคนในสภา รวมทั้งท่านประธานด้วยคงได้รับโทรศัพท์วันหนึ่งสาย ๒ สาย ซึ่งมาจากคอลเซ็นเตอร์ (Call Center) มาจากคอลเซ็นเตอร์ (Call Center) ซึ่งไปละเมิดดาต้าซีเคียวริตี (Data Security) ซึ่งไปละเมิดโครงข่าย ชัดเจนครับ เขาโทรหาท่านประธานได้ต้องใช้แพลตฟอร์ม (Platform) ของไทยถูกไหมครับ ต้องตั้งคำถาม ท่านเคยเรียกผู้ประกอบการมาไหม ซึ่งโอเปอเรเตอร์ (Operator) เรามีไม่กี่ราย ท่านเรียกเขามาถามไหมครับว่าคุณป้องกันวิธีไหน คุณเป็นคนรัน แพลตฟอร์ม (Run Platform) โทรศัพท์ มือถือนี่นะครับ แล้วจะป้องกันอย่างไร ถ้าอย่างนี้ ผมคิดว่าจะเป็นประโยชน์แล้วเรามาไล่ดูกันว่าเราจะต้องปรับปรุงแก้ไขอย่างไร ที่ผมกังวลที่สุด ทุกครั้งที่มีปัญหาคือตั้งองค์กรใหม่ ผมไม่เห็นด้วย ทุกครั้งที่เรามีปัญหาเราควรจะประเมินว่า สิ่งที่เราควรจะต้องทำมีอะไรบ้าง แล้วใครควรจะเป็นคนทำที่เหมาะที่สุด ไม่ใช่ตั้งองค์กรใหม่ มาศึกษา มาดู มารับผิดชอบ ทั้ง ๆ ที่รับผิดชอบไม่ได้ ตรงนี้ผมคิดว่าถ้าท่านกรรมาธิการ สามารถเดินไปถึงจุดที่จะสามารถเห็นว่าสิ่งที่จะต้องทำที่สำคัญที่สุดคืออย่างไรในทุกมิตินะครับ มิติแรกคือระบบโครงข่าย ระบบเน็ตเวิร์ก (Network) ระบบเกตเวย์ (Gateway) ของประเทศไทย เราเป็นอย่างไร มันมีกี่ช่องทาง แต่ละช่องทางจะต้องปรับปรุงแก้ไขอย่างไร

อีกประการหนึ่งครับ การแก้ปัญหาเรื่องไซเบอร์ซีเคียวริตี (Cyber Security) ผมคิดว่าต้องมีระบบเตือนภัยนะครับ ผมยังไม่เห็นการพูดถึงระบบเตือนภัยเท่าไรเลย อันนี้ มันสำคัญกว่ารอให้เกิดปัญหาก่อนแล้วค่อยมาว่ากัน แล้วส่วนใหญ่ ณ วันนี้ของประเทศไทย มักจะแก้ที่ปลายเหตุ เจอปัญหาแล้วไปแก้ที่ปลายเหตุ ก็เข้าใจนะครับเพราะว่าประเทศไทย เราไม่ทันเทคโนโลยีและขีดความสามารถไม่เท่าทันกับผู้ที่ต้องการที่จะละเมิดไซเบอร์ซีเคียวริตี (Cyber Security) ของประเทศไทย ฉะนั้นจริง ๆ แล้วการประเมินความพร้อมที่ผมอยากเห็น ในรายงานของท่านหรือท่านอาจจะศึกษาไว้แล้วช่วยอธิบายให้เราฟังนิดหนึ่ง คนของเรา มีพร้อมไหมครับ ขีดความสามารถของคนเราพร้อมไหมครับทั้งภาครัฐและเอกชน เทคโนโลยี เราพร้อมไหมครับ โครงสร้างพื้นฐานปัจจุบันและอนาคตเราทันไหมครับ ทันอนาคตไหมครับ กฎหมายและองค์กรมาทีหลังสุดนะครับ กฎหมายนี้เรามีกฎหมายพื้นฐานซึ่งเราก็ล้อกับ กฎหมายระหว่างประเทศ แต่ความพร้อมในการที่จะปฏิบัติตามกฎหมายอันนี้เรามีมากน้อย แค่ไหน ก็อยากจะฟังท่านช่วยอธิบายให้เราฟังนิดหนึ่งนะครับว่าที่ท่านศึกษาเป็นอย่างไร

สุดท้ายครับท่านประธาน บทบาทของเอกชน ท่านไม่มีทางแก้ปัญหาเหล่านี้ ด้วยภาครัฐแต่เพียงลำพัง ถ้าเราไปชี้เป้าว่ารัฐต้องทำโน่นทำนี่ทำนั่น แต่ไม่มีการร่วมมือกับ ภาคเอกชนอย่างจริงจัง และมีโครงสร้างที่ชัดเจน และมีกฎหมายรองรับที่ชัดเจนทำไม่ได้ครับ ก็ฝากทั้งประเด็นคำถาม แล้วก็ข้อเสนอแนะนะครับ กราบขอบพระคุณครับ