ทวีศักดิ์ กออนันตกูล หารือประเด็นความมั่นคงไซเบอร์อย่างรอบด้าน ทั้งปัญหาความอ่อนแอของระบบเว็บไซต์ภาครัฐ อาชญากรรมออนไลน์ การโจมตีข้อมูล และความเสี่ยงจากโครงสร้างพื้นฐานที่ยังไม่เข้มแข็ง โดยเน้นย้ำความจำเป็นในการยกระดับระบบไซเบอร์อินเทลลิเจนซ์ สร้างกลไกป้องกันภัยคุกคามอย่างมีประสิทธิภาพ และผลักดันการพัฒนาบุคลากรด้านไซเบอร์ซีเคียวริตี พร้อมเสนอให้จัดตั้งหน่วยงานกลางที่มีความรับผิดชอบชัดเจน สนับสนุนงบประมาณเพียงพอ และปรับปรุงกระบวนการยุติธรรมให้ทันสมัย รวดเร็ว และเป็นธรรม โดยเปรียบเทียบกับโมเดลองค์กรที่ประสบความสำเร็จ เช่น ก.ล.ต. และธนาคารแห่งประเทศไทย รวมถึงการเรียนรู้จากประเทศผู้นำด้านไซเบอร์อย่างสิงคโปร์เพื่อยกระดับความปลอดภัยไซเบอร์ของประเทศอย่างเป็นระบบและยั่งยืน
กราบเรียนท่านประธานที่เคารพและสมาชิก ทุกท่านครับ ผม นายทวีศักดิ์ กออนันตกูล สมาชิก สปท. หมายเลข ๖๓ ขอร่วมอภิปราย ในประเด็นนี้ ก่อนอื่นก็ขอขอบคุณคณะกรรมาธิการที่นำประเด็นสำคัญขึ้นมานะครับ แล้วก็ ทำให้เราเกิดความตระหนัก กระผมเองคงจะไม่เสียเวลาพูดย้ำในสิ่งที่ผู้อภิปรายท่านอื่นพูดไปแล้ว ตัวอย่างเช่นขณะนี้เราก็ต้องถือว่าคนไทย ประเทศไทยเข้าไปอยู่ในระบบไซเบอร์อย่างเต็มรูปแบบ เพราะหลายคนใช้ชีวิตมากมายดูหน้าจอคอมพิวเตอร์ ดูหน้าจอมือถือแล้วก็หลายคนก็ฝากเงิน ถอนเงิน โอนเงินและซื้อสินค้าผ่านหน้าจอเหล่านี้ แต่ผมมีประเด็นที่อยากจะเรียนหารือ ในประเด็นนี้ประมาณ ๔ เรื่องนะครับ
เรื่องแรกก็คือเรื่องความเสี่ยง เรื่องที่ ๒ คือเรื่องอาชญากรรม เรื่องที่ ๓ เรื่อง การทำให้เสียชื่อเสียงหรือสร้างข่าวลือ และเรื่องที่ ๔ ก็คือการก่อสงครามนะครับ
ในประเด็นแรก ในเรื่องความเสี่ยงที่เราพูดว่าเราโดนตบหน้าไปหลายหน เว็บไซต์ (Web Site) ราชการล่มไปบ่อย ๆ นี่ ผมเองไม่ค่อยอยากโทษคนโจมตีมากนัก เพราะว่าได้เคยมีโอกาสเข้าไปวิเคราะห์ดูว่าราชการไทยสร้างเว็บไซต์ (Web Site) ขึ้นมานี่ อยู่บนรากฐานของความเข้มแข็งหรือเปล่าขอเรียนว่ารากฐานเราไม่ดีนะครับ ดังนั้นหากว่า จะแก้ไขเรื่องประเด็นแบบนี้กรุณาอย่าไปตบไม้ตบมือกับผู้ที่โจมตีเลยครับ กลับมาซ่อมบ้านเรา ให้ฐานรากแข็งแรงก่อนจะดีกว่ารวมทั้งการพัฒนากำลังคนด้วย สำหรับภาคเอกชนก็โดนบ้าง เหมือนกันแต่เนื่องจากว่าเขามีส่วนได้เสียทางเศรษฐกิจเขาจะรีบป้องกันทันทีแล้วก็แก้ไข แล้วลดความเสี่ยง เพราะฉะนั้นผมเรียนว่าปัญหาที่ ๑ นั้นเป็นปัญหาเรื่องหน่วยงานภาครัฐ ไม่เข้มแข็งเอง หน้าที่ที่จะช่วยกันแก้ไขก็คือหาทางทำให้เขามีความรู้ มีความเข้มแข็ง ซึ่งอาจจะต้องเกี่ยวข้องกับการพัฒนาคน หรือแม้กระทั่งการโยกย้ายความรับผิดชอบทางด้าน ไอที (IT) ไปรวมกลุ่มอยู่ในหน่วยงานเดียวกันเพื่อจะเซิร์ฟ (Serve) หรือบริการให้กับ หน่วยงานภาครัฐด้วยระบบที่เข้มแข็งกว่า
ประเด็นที่ ๒ เรื่องอาชญากรรมนะครับเราก็เห็นว่ามีผู้ร้ายที่ดำเนินการ อะไรต่าง ๆ มากมาย ใครเผลอวางเงินเอาไว้ก็จะถูกขโมยไปในไซเบอร์ก็เช่นเดียวกันนะครับ ใครไม่รู้จักระวังตัวประชาชนทั่วไปก็ควรจะได้รับความรู้ว่าจะระวังตัวกันอย่างไร เหตุการณ์นี้ ถ้าหากว่าจะแก้ไข
ประการแรกนี่คงจะต้องเสริมความเข้มแข็งให้ประชาชนรู้จักวิธีระวังตัวด้วย จะดีกว่าที่จะไปจัดการกับอาชญากรเพียงอย่างเดียวเพราะว่าอาชญากรเหล่านั้นจริง ๆ แล้ว หน่วยงานที่เป็นระบบกลางของภาครัฐสามารถป้องกันได้ถ้าหากว่ามีระบบตรวจตรานะครับ ไซเบอร์อินเทลลิเจนซ์ (Cyber Intelligence) ไม่ว่าจะมาจากในหรือนอกประเทศ ถ้าหากว่ามีการตรวจตราจราจรที่ผิดปกติ แล้วก็มีข้อมูล มีองค์กรที่เข้มแข็ง แล้วก็มีตำรวจที่คอยทำหน้าที่รวบคนที่ทำความผิดพวกนี้ด้วยความรวดเร็ว ระบบตรวจตราน่าที่จะเป็นสิ่งซึ่งมีพลังสูงสุดนะครับ
กลุ่มที่ ๓ ในกลุ่มที่เกี่ยวข้องกับอินฟอร์เมชันโอเปอเรชัน (Information Operation) หรือว่าการสร้างข่าวลือให้ประเทศปั่นป่วน หรือทำให้บุคคลเสียชื่อเสียง อันนี้ ต้องยอมรับว่าเกิดขึ้นมากจริง ๆ นะครับ และจำเป็นที่จะต้องมีกลไกที่จะมาสร้างการป้องกัน แต่อย่างไรก็ดีการที่มีไซเบอร์อินเทลลิเจนซ์ (Cyber Intelligence) หรือว่าการตรวจตราว่า ใครกำลังทำอะไรอยู่สามารถสังเกตได้ แล้วก็มีหน่วยงานที่จะจ้องมองดูสถานการณ์ต่าง ๆ ได้ ไม่แตกต่างไปจากการที่มีด่านชายแดนเพื่อที่จะตรวจตราคนเข้าออก หรือว่ามี ตม. อยู่ที่สนามบินเพื่อที่จะดูว่าใครผิดปกติที่เข้าออกมาบ้างนั้นก็คงจะต้องเป็นหน้าที่ ของหน่วยงานภาครัฐที่จะต้องติดตามสถานการณ์นี้อย่างใกล้ชิด
ประเด็นที่ ๔ ในกรณีที่มีการก่อสงครามทางไซเบอร์ คำว่าก่อสงครามรุนแรง กว่าอาชญากรรมนะครับ ก็หมายความว่าผู้ที่ตั้งใจจะโจมตีมีทรัพยากรพร้อมพรั่ง บางครั้ง อาจจะได้รับการอุดหนุนจากรัฐบาลต่างประเทศด้วยนะครับ ซึ่งเหตุการณ์เช่นนี้ผมเชื่อว่า ประเทศไทยนั้นอาจจะต้องเตรียมตัวเรื่องประเด็นนี้ให้เข้มแข็ง ซึ่งอาจจะต้องมีการรวมพลัง ของหน่วยงานหลายหน่วยงานที่เกี่ยวข้อง ยกตัวอย่างเช่นสภาความมั่นคงแห่งชาติ สำนักข่าวกรองแห่งชาติ แล้วก็หน่วยงานทางด้านองค์ความรู้ทางวิทยาศาสตร์ แล้วก็ ผู้ที่มีความรู้ทางด้านแกะรหัสลับ ซึ่งบุคคลเหล่านี้เราจำเป็นจะต้องรวบรวมแล้วก็หาที่ทำงาน ให้เขาทำงานด้วยกันได้อย่างเข้มแข็ง กรณีเช่นนี้ผมเชื่อว่ายากเกินกว่าที่จะตั้งหน่วยงาน แค่หน่วยงานเดียวขึ้นมาทำงาน จำเป็นที่จะต้องใช้โครงของสภาความมั่นคงแห่งชาติ ที่จะทำงานร่วมกับภาคีต่าง ๆ ที่เกี่ยวข้องเพื่อที่จะสร้างความพร้อมในระดับประเทศ จากทั้งหมดเหล่านี้ผมก็อยากจะขอเปรียบเทียบให้เห็นว่าประเทศสิงคโปร์เขาวิเคราะห์ ของเขาอย่างไร การวิจัยของหน่วยงานภาครัฐสิงคโปร์เขาบอกว่าเครื่องคอมพิวเตอร์ ของราชการของสิงคโปร์เกือบทุกเครื่องมีมัลแวร์ (Malware) คือซอฟต์แวร์ (Software) ชั่วร้ายฝังอยู่ โดยที่ผู้ใช้ไปกดแล้วมันไหลเข้ามาในเครื่องโดยที่ไม่รู้ตัว แค่มีลิงก์ (Link) ทางอีเมล์ (e-Mail) ที่ซ่อนเอาไว้นี่ไปกดไม่ดีเข้าก็มีมัลแวร์ (Malware) เข้ามาอยู่ใน เครื่องมัลแวร์ (Malware) เหล่านี้เป็นซอฟต์แวร์(Software) ซึ่งผู้ใช้จะไม่รู้สึกตอนที่ติดเชื้อ แล้วก็พบว่ามัลแวร์ (Malware) เหล่านี้นอนอยู่ในเครื่องโดยเฉลี่ยแล้วประมาณ ๑๑ เดือน ก่อนที่จะถูกสั่งการให้แผลงฤทธิ์ทำอะไรบ้า ๆ บอ ๆ ออกมาจนกระทั่งเกิดความปั่นป่วน แต่ ณ วินาทีที่เกิดความปั่นป่วนไม่มีผู้ดูแลระบบคนใดที่จะจัดการกับตรงนั้นได้จนกระทั่ง เกิดเหตุการณ์ขึ้นมาแล้ว แต่สิงคโปร์ก็ไม่ได้ออกกฎหมายคล้ายของไทย ที่บอกว่าจะต้องไป ควบคุมนั่น ควบคุมนี่ แต่เขาสั่งการต่อจากที่เขารายงานอันนี้ให้กับคณะรัฐมนตรีประมาณ ๑๐ เดือนหน่วยงานภาครัฐทั้งหมดจะต้องเชื่อมต่อเครือข่ายด้วยกันและแยกออกจาก เครือข่ายอินเทอร์เน็ต (Internet) อิสระ แล้วก็จะต้องผ่านเกตเวย์ (Gateway) ของภาครัฐ ที่จัดทำขึ้นเพื่อเพิ่มความเข้มแข็งและเพื่อลดค่าใช้จ่ายในการสร้างความเข้มแข็ง ของหน่วยงานภาครัฐ แล้วก็ลดปัญหาบริการของภาครัฐถูกโจมตีจากภายนอก ดังนั้น ก็จะเห็นได้ว่าการต่อสู้กับระบบมัลแวร์ (Malware) นั้นเป็นเรื่องจริงจังที่เราจะต้องทำ ไม่แตกต่างไปจากสิงคโปร์ ผมไม่ทราบว่าประเทศไทยมีการศึกษาหรือไม่ว่าคอมพิวเตอร์ ในภาครัฐมีมัลแวร์ (Malware) อยู่ในเครื่องเฉลี่ยแล้วเครื่องละกี่ตัว แล้วก็มันแผลงฤทธิ์ เดือนหนึ่งกี่ครั้งนะครับ แล้วก็ขณะนี้เราอยู่ในสภาวะแค่ไหน ซึ่งสิ่งนี้หากจะออกกฎกติกา อะไรขึ้นมาข้อมูลเหล่านี้ควรจะเป็นตัวชี้วัดที่บอกว่าเมื่อเราดำเนินการแล้วเหตุการณ์เหล่านี้ ลดลง ๆ ตามลำดับจนกระทั่งเกิดความเข้มแข็ง ดังนั้นจึงนำมาสู่ข้อเสนอที่ผมคิดว่าเราน่าจะ ดำเนินการนะครับ เนื่องจากว่าข้อเสนอในรายงานฉบับนี้เปรียบเสมือนการยกร่างกฎหมายนี้ ใหม่เกือบทั้งฉบับ ดังที่ท่าน สปท. คำนูณได้พูดขึ้นมาเมื่อสักครู่นั้น ผมเลยใคร่ขอว่าควรที่จะ แยกแยะมาตรการต่าง ๆ ที่ใช้ในการต่อสู้กับความไม่มั่นคงทางไซเบอร์ หลายประเภทที่แตกต่างกัน อย่างเช่นระบบธุรกรรมของประเทศไทยและเว็บไซต์ (Web Site) ราชการไม่เข้มแข็งเราต้องแก้ที่ตัวเราเอง เราจะต้องดำเนินการให้เข้มแข็งแต่ต้องหาวิธีทำ ที่ชนิดไม่แพ้เกินไป เช่นรวมศูนย์ หรือว่าสร้างกองทัพที่มีความเข้มแข็งที่จะคอยดูแลให้ เว็บไซต์ (Web Site) เหล่านี้สุขภาพดีตลอดเวลา
กลุ่มที่ ๒ การพัฒนาบุคลากรที่มีความรู้เรื่องไซเบอร์ซีเคียวริตี (Cyber Security) ให้พอเพียงกับความต้องการทั้งของภาครัฐและภาคเอกชน อันนี้ต้องใช้เงิน แล้วก็ไม่มีใครปฏิเสธเพราะว่าเป็นการสร้างคนสร้างความเข้มแข็งก็จะต้องกำหนดหน่วยงาน ที่รับผิดชอบขึ้นมาทำ
อันที่ ๓ เมื่อมีอาชญากรทั้งเล็กและใหญ่มาก่อกวนให้กับประชาชนก็คง จะต้องมีวิธีการสืบความแล้วก็ดำเนินการที่น่าจะต้องทำด้วยความรวดเร็ว แต่มีความชัดเจน และอยู่ในความเป็นธรรม แต่พอถึงอันต่อมาก็คือเรื่องของอันที่ใหญ่ที่สุดก็คือไซเบอร์วอร์แฟร์ (Cyber Warfare) ก็คือว่ามีการโจมตีขนาดใหญ่ในระดับชาติขึ้นมา ผมยกตัวอย่างอันนี้บ่อย เพราะว่าในโลกนี้เคยเกิดเหตุการณ์ชนิดที่ว่าประเทศหนึ่งขอไม่เอ่ยชื่อ ไปโจมตีระบบทั้ง ระบบของอีกประเทศหนึ่งจนกระทั่งเสียหายใช้งานไม่ได้เลย การจัดการตรงนี้ก็ควรที่จะต้อง มีองค์กรที่เข้มแข็งและมีระบบที่ต้องมีความสมดุลระหว่างการล่วงล้ำไปในความเป็นส่วนตัว ของประชาชนแล้วก็ความเข้มแข็งของระบบ ทั้งนี้ก็คิดว่าคงจะต้องมีระบบยุติธรรม ที่เกี่ยวข้องกับไซเบอร์ซีเคียวริตี (Cyber Security) ที่ค่อนข้างรวดเร็ว หากไม่เป็นเช่นนั้น ประเทศไทยอาจจะเป็นประเทศซึ่งอยากจะไปเร็ว แต่ว่าล้อเรามีเบรกมีอะไรติดพันกันไปหมด ดังเช่นที่ท่านคำนูณได้พูดถึงมาตรา ๒๙ ที่หากว่าครอบคลุมไปถึงประชาชนก็จะทำให้ ทุกคนทำงานด้วยความฝืด แต่ว่าเราก็จำเป็นที่จะต้องมีเบรกที่มีพลังสูงหากว่าเกิดอะไรขึ้น แต่ทั้งนี้คนที่เหยียบเบรกจะต้องมองเห็นสถานการณ์ชัดเจน ห้ามเหยียบเบรกโดยที่ตัวเอง มองไม่เห็นอะไรเพราะว่าจะเกิดความเสียหายกับประเทศ แล้วก็การเหยียบเบรกนั้นจะต้องเร็ว พอสมควรเพื่อไม่ให้เกิดความหายนะ ดังนั้นกระบวนการทั้งหมดผมจึงใคร่ขอเรียนเสนอว่า น่าที่จะต้องจัดให้เป็นระบบที่มีหลายหน่วยงานที่เกี่ยวข้อง แยกแยะระดับของปัญหาว่า วิธีแก้ปัญหาไม่จำเป็นที่จะต้องใช้วิธีเดียวกันทั้งหมด เพราะปัญหาแบบหนึ่งก็ต้องใช้อีก หน่วยงานหนึ่งทำ ปัญหาอีกแบบหนึ่งก็ให้อีกหน่วยงานหนึ่งทำ และยิ่งกว่านั้นในการ เปรียบเทียบว่าควรจะมีหน่วยงานเดียวหรือว่าหลายหน่วยงานก็อยากจะฝากกลับไปพิจารณา เพราะว่าในการกำกับดูแลประเทศนั้นผมก็พบว่าหลายหน่วยงานที่เป็นกรมได้สร้างปัญหา ให้กับประเทศในระดับที่มีเรื่องไอยูยู (IUU) อยู่ เพราะตัวเองเป็นผู้กำกับดูแล แต่ไม่ได้ทำหน้าที่ ของตัวเองให้ถูกต้อง แต่ในทางกลับกันมีหน่วยงานกำกับดูแลหลายหน่วยงานที่ไม่ใช่เป็นกรม แต่มีประวัติการทำงานที่ดีเยี่ยม ตัวอย่างเช่น ก.ล.ต. หรือว่าธนาคารแห่งประเทศไทยเป็นต้น ทั้ง ๒ หน่วยงานไม่ได้เป็นกรม แต่กำลังทำหน้าที่ในระดับชาติที่ค่อนข้างจะสำคัญ จึงใคร่ขอเรียนฝาก ท่านประธานผ่านไปยังกรรมาธิการ เพื่อจะนำประเด็นไปทบทวนและพิจารณาขอบพระคุณครับ