พ.ร.บ ไซเบอร์ 2562 มีผลแล้ว องค์กรควรเตรียมตัวอย่างไรให้ปลอดภัยทั้งระบบข้อมูลและการดำเนินงาน รู้แนวทางป้องกันภัยคุกคามไซเบอร์ก่อนสาย!! คงปฏิเสธไม่ได้ว่า ในปัจจุบัน เทคโนโลยีดิจิทัลคือส่วนหนึ่งของชีวิตประจำวันของคนเรา ทั้งในเรื่องการทำงานและเรื่องส่วนตัว มีคนจำนวนไม่น้อยใช้เวลาท่องอยู่ในโลกออนไลน์มากกว่าในโลกจริงอีกด้วย เพราะการอยู่ในโลกออนไลน์ ไม่จำเป็นต้องใช้ “ข้อมูลจริง” เหมือนโลกที่เราใช้ชีวิตจริง จึงมีคนส่วนหนึ่งอาศัยโลกออนไลน์เป็นสถานที่ทำสิ่งผิดกฎหมายโดยไม่เปิดเผยตัวตนที่แท้จริง และนำความเดือดร้อนมาสู่สังคม ด้วยเหตุนี้ ประเทศต่าง ๆ จึงต้องมีกฎหมายไซเบอร์เพื่อรักษาความสงบเรียบร้อยของสังคมโดยรวมนั่นเอง เพราะภัยที่เกิดขึ้นล้วนส่งผลต่อการมีชีวิตอยู่ในโลกจริง บางเหตุการณ์ส่งผลกระทบต่อคนทั้งประเทศได้ในเวลาเพียงเสี้ยววินาที เช่น หากมีผู้ประสงค์ร้ายต้องการก่อความวุ่นวายบนท้องถนน ก็อาจเข้าไปเจาะระบบคอมพิวเตอร์ที่ควบคุมสัญญาณไฟจราจรให้หยุดทำงานหรือมีความผิดเพี้ยน  ทำให้รถชนกัน หรือรถติดเป็นเวลานาน เนื่องจากขาดระบบควบคุมการสัญจรของยานพาหนะ

พ.ร.บ. ไซเบอร์คืออะไร?

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์  คือกฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ โดย พ.ร.บ. นี้ มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562  โดยมีสาระสำคัญคือแนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ มีการประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ความสามารถของบุคคลากรและผู้เชี่ยวชาญ รวมถึงการให้ความรู้และความตระหนักถึงภัยไซเบอร์อีกด้วย ใน พ.ร.บ. ไซเบอร์ฉบับนี้ ได้มีประกาศจัดตั้งคณะกรรมการ 3 คณะได้แก่

1. คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. (National Cyber Security Committee : NCSC) มีนายกรัฐมนตรีเป็นประธาน มีหน้าที่เสนอนโยบาย จัดทำแผนแม่บท กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนา ยกระดับทักษะความรู้ของเจ้าหน้าที่ ประสานงานความร่วมมือกับหน่วยงานต่าง ๆ รวมไปถึงการติดตามและประเมินผลการปฏิบัติตามนโยบายที่ได้ถูกกำหนดแล้ว
2. คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ กกม.  มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน      มีหน้าที่ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดแนวทางปฏิบัติสำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามที่เกิดขึ้น
3. คณะกรรมการบริหารสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ กบส. มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ทำหน้าที่ดูแลงานด้านการบริหารงานทั่วไป

ทั้งสามคณะทำงาน จะทำหน้าที่ดูแลโครงสร้างบริการพื้นฐานสำคัญทางสารสนเทศ 8 ด้านสำคัญ ได้แก่ ด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติก ด้านพลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม

พ.ร.บ. ไซเบอร์ กับการรับมือภัยคุกคามทางไซเบอร์

การรับมือภัยคุกคามทางไซเบอร์ มีการแบ่งระดับของภัยคุกคาม ไว้ดังนี้

1. ระดับไม่ร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงทำให้ระบบคอมพิวเตอร์หรือการให้บริการด้อยประสิทธิภาพลง
2. ระดับร้ายแรง หมายถึงภัยคุกคามทางไซเบอร์ที่มีจุดมุ่งหมายในการโจมตีโครงสร้างพื้นฐานสำคัญของประเทศให้เสียหาย จนไม่สามารถทำงานหรือให้บริการได้
3. ระดับวิกฤต หมายถึงภัยคุกคามที่มีระดับสูงกว่าระดับร้ายแรง ทำให้โครงสร้างพื้นฐานล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ และอาจส่งผลกระทบต่อสวัสดิภาพของประชาชน กระทบต่อความสงบเรียบร้อย ทำให้ประเทศตกอยู่ในภาวะคับขัน มีการก่อการร้าย มีการทำสงคราม

ในเชิงปฏิบัติ สำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์นั้น ไม่เพียงแต่เฉพาะหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศเท่านั้นที่จะต้องตระหนักและปฏิบัติตามแนวทางที่คณะกรรมการกำหนด แต่เป็นหน้าที่ของประชาชนทุกคนที่ต้องช่วยกันเฝ้าระวังภัย ให้ข้อมูลที่เป็นประโยชน์ ช่วยอำนวยความสะดวกต่อการทำงานของรัฐ  รวมถึงให้เบาะแสเพื่อการป้องกันแก้ไขอย่างทันท่วงที เป็นการปิดช่องโหว่ที่อาจส่งผลกระทบให้เกิดความเสียหายต่อประเทศชาติบ้านเมือง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้อำนาจเจ้าหน้าที่รัฐในการตรวจสอบข้อมูลคอมพิวเตอร์ของผู้ที่อาจมีข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้วย พร้อมทั้งมีการกำหนดบทลงโทษผู้ที่ฝ่าฝืนหรือไม่ให้ความร่วมมือ โดยมีทั้งโทษปรับและจำคุก ในขณะเดียวกัน ก็มีบทลงโทษหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ย่อหย่อนในการปฏิบัติหน้าที่ด้วย เช่น หากหน่วยงานฯ ละเลยไม่รายงานเหตุภัยคุกคาม โดยไม่มีเหตุอันควร มีโทษปรับไม่เกิน 200,000 บาท เป็นต้น การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องสำคัญของทุกองค์กร และต้องมีการดำเนินการให้ครอบคลุมองค์ประกอบ People-Process-Technology เอซีอินโฟเทคพร้อมให้บริการแก่องค์กรของท่านในทุก ๆ องค์ประกอบ ดังต่อไปนี้

องค์ประกอบ People

• จัดอบรมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับพนักงาน (Cybersecurity Awareness)
• ตรวจวัดภูมิคุ้มกันทางไซเบอร์ของพนักงาน (Cyber Health Check)
• ทดสอบส่งอีเมลหลอกลวง (Phishing Simulation)

องค์ประกอบ Process

• วิเคราะห์ความสอดคล้องของการดำเนินงานขององค์กรเทียบกับกฎหมายและข้อบังคับต่าง ๆ (Gap Analysis)
• ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กร (Audit)
• ตรวจสอบและรายงานผลการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของซัพพลายเออร์ (Supply Chain Audit)
• ให้คำปรึกษาในการปฏิบัติตามมาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการรักษาความมั่นคงปลอดภัยไซเบอร์ อาทิ ISO 27001, NIST CSF

องค์ประกอบ Technology

• วัดระดับความมั่นคงปลอดภัยไซเบอร์ในภาพรวมขององค์กร (Cybersecurity Health Rating)
• ดำเนินการตรวจสอบช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment / Penetration Testing)
• จัดให้มีการค้นหาช่องโหว่ด้วยวิธี Bug Bounty
• จัดการทดสอบรับมือภัยคุกคามไซเบอร์ (Cyber Exercise)

พ.ร.บ ไซเบอร์ กับแนวทางจัดทำ Cybersecurity Governance ภายในองค์กร

การจัดทำ Cybersecurity Governance ไม่ใช่เพียงการติดตั้งระบบป้องกันภัยไซเบอร์เท่านั้น แต่คือกระบวนการวางกรอบนโยบาย การควบคุม การติดตาม และการตอบสนองต่อความเสี่ยงทางไซเบอร์อย่างมีประสิทธิภาพ เพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างมั่นคง ปลอดภัย และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์

🔹 องค์ประกอบหลักของ Cybersecurity Governance

1. Cybersecurity Policy (นโยบายความมั่นคงปลอดภัยไซเบอร์)

เป็นเอกสารหลักที่ผู้บริหารต้องประกาศใช้อย่างเป็นทางการ เพื่อกำหนดแนวทางปฏิบัติด้านความมั่นคงไซเบอร์ในองค์กร เช่น

• การใช้งานระบบ IT และข้อมูล

• สิทธิ์การเข้าถึงข้อมูล

• การป้องกันภัยคุกคาม

• การจัดการเหตุการณ์ผิดปกติ
  นโยบายนี้ควรทบทวนและปรับปรุงอย่างน้อยปีละ 1 ครั้ง

2. Cybersecurity Risk Register (บัญชีความเสี่ยงด้านไซเบอร์)

คือการรวบรวมและประเมินรายการความเสี่ยงไซเบอร์ที่อาจเกิดขึ้นกับองค์กร เช่น

• ช่องโหว่ระบบ

• การโจมตีจากมัลแวร์

• พนักงานเผลอเปิดอีเมลหลอกลวง
  โดยระบุระดับความรุนแรง ความเป็นไปได้ และแผนจัดการความเสี่ยงในแต่ละกรณี

3. Cybersecurity Risk Assessment (การประเมินความเสี่ยง)

องค์กรควรดำเนินการประเมินความเสี่ยงไซเบอร์อย่างเป็นระบบ ทั้งในระดับระบบสารสนเทศและกระบวนการธุรกิจ เช่น

• ประเมินจาก Framework เช่น ISO/IEC 27005 หรือ NIST

• วิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis)

• ประเมินช่องโหว่ (Vulnerability Assessment)

4. Incident Response Plan (IRP) – แผนตอบสนองเหตุการณ์ไซเบอร์

แผนที่องค์กรต้องมีไว้เพื่อรับมือเมื่อเกิดเหตุการณ์ เช่น ข้อมูลรั่วไหล การโจมตี DDoS หรือระบบถูกเข้ารหัสเรียกค่าไถ่ (Ransomware) โดยประกอบด้วย:

• ขั้นตอนแจ้งเหตุและรายงาน

• ทีมรับมือเหตุการณ์ (Cybersecurity Response Team)

• แผนกู้คืนระบบ (Recovery Plan)

• ช่องทางสื่อสารภายในและภายนอก
  องค์กรควรซ้อมแผน (Cyber Drill) อย่างน้อยปีละ 1 ครั้ง

สามารถติดต่อเราได้ที่ services@acinfotec.com หรือ โทร. 02 670 8980 ถึง 3 (จันทร์ – ศุกร์, 9:00 – 18:00 น.)