ในยุคที่เทคโนโลยีสารสนเทศและการสื่อสารเป็นกลไกหลักในการขับเคลื่อนเศรษฐกิจและสังคม ข้อมูลและระบบคอมพิวเตอร์ได้กลายเป็นทรัพยากรที่มีมูลค่ามหาศาล การเปลี่ยนแปลงเข้าสู่รัฐบาลดิจิทัลและเศรษฐกิจดิจิทัลนำมาซึ่งความท้าทายรูปแบบใหม่ นั่นคือ "ภัยคุกคามทางไซเบอร์" (Cyber Threats) ซึ่งมีแนวโน้มทวีความรุนแรงและซับซ้อนมากยิ่งขึ้น การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) จึงไม่ใช่เพียงเรื่องของเทคโนโลยี แต่เป็นวาระแห่งชาติที่ทุกองค์กรและกระบวนการทำงานต้องบูรณาการร่วมกัน

 

หลักการพื้นฐานของความมั่นคงปลอดภัยทางไซเบอร์ (CIA Triad)
การออกแบบระบบรักษาความปลอดภัยทางไซเบอร์ที่เป็นมาตรฐานสากล จะยึดโยงกับหลักการสำคัญ 3 ประการ หรือที่เรียกว่า CIA Triad ได้แก่
 

รูปแบบของภัยคุกคามทางไซเบอร์ที่สำคัญในปัจจุบัน

ภัยคุกคามทางไซเบอร์มีการพัฒนารูปแบบอย่างต่อเนื่อง โดยรูปแบบที่ส่งผลกระทบอย่างมีนัยสำคัญต่อองค์กร ได้แก่:

  1. Malware และ Ransomware: ซอฟต์แวร์ประสงค์ร้ายที่มุ่งทำลายระบบ หรือเข้ารหัสข้อมูลสำคัญขององค์กรเพื่อเรียกค่าไถ่ ซึ่งสร้างความเสียหายต่อข้อมูลและขัดขวางความพร้อมใช้งานของระบบ
  2. Phishing และ Social Engineering: การหลอกลวงผ่านวิศวกรรมสังคม เช่น อีเมลหรือหน้าเว็บไซต์ปลอม เพื่อโจรกรรมข้อมูลยืนยันตัวตน (Credentials) หรือข้อมูลส่วนบุคคล
  3. Distributed Denial of Service (DDoS): การส่งปริมาณการเข้าชม (Traffic) จำนวนมหาศาลไปยังเซิร์ฟเวอร์เป้าหมาย เพื่อให้ระบบทำงานหนักจนไม่สามารถให้บริการได้ตามปกติ
  4. Man-in-the-Middle (MitM) Attacks: การลักลอบดักจับและอ่านข้อมูลที่ส่งผ่านเครือข่ายที่ไม่มีการเข้ารหัสอย่างรัดกุม

เพื่อเป็นการรับมือกับภัยคุกคามดังกล่าว ประเทศไทยจึงได้ตรา "พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒" ขึ้น โดยมีเจตนารมณ์หลักเพื่อกำหนดโครงสร้าง กลไก และมาตรการในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่อาจกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ โดยมี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NCSA) เป็นหน่วยงานกำกับดูแลหลัก

 

โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure - CII)

กฎหมายฉบับนี้ให้ความสำคัญสูงสุดกับการปกป้องหน่วยงานที่ให้บริการสาธารณะที่สำคัญ ซึ่งหากระบบล่มสลายจะส่งผลกระทบเป็นวงกว้างต่อประเทศ โดยกำหนดให้หน่วยงาน CII ใน 7 ด้าน ต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยอย่างเคร่งครัด ได้แก่:

  1. ด้านความมั่นคงของรัฐ
  2. ด้านบริการภาครัฐที่สำคัญ
  3. ด้านการเงินการธนาคาร
  4. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
  5. ด้านการขนส่งและโลจิสติกส์
  6. ด้านพลังงานและสาธารณูปโภค
  7. ด้านสาธารณสุข

 

การจำแนกระดับของภัยคุกคามทางไซเบอร์
พ.ร.บ. ไซเบอร์ฯ ได้แบ่งระดับความรุนแรงของภัยคุกคามออกเป็น 3 ระดับ เพื่อกำหนดอำนาจหน้าที่ในการตอบสนองได้อย่างเหมาะสม:

  • ระดับไม่ร้ายแรง (Non-critical): ภัยคุกคามที่ทำให้ระบบคอมพิวเตอร์เสื่อมประสิทธิภาพลงอย่างมีนัยสำคัญ
  • ระดับร้ายแรง (Critical): ภัยคุกคามที่มีการโจมตีระบบคอมพิวเตอร์หรือข้อมูลของหน่วยงาน CII ซึ่งอาจส่งผลให้การให้บริการของรัฐหรือการให้บริการพื้นฐานหยุดชะงัก
  • ระดับวิกฤต (Crisis): ภัยคุกคามในวงกว้างที่ส่งผลกระทบต่อความมั่นคงของรัฐ ลุกลามจนอาจทำให้มีผู้เสียชีวิต หรือระบบโครงสร้างพื้นฐานของประเทศถูกทำลาย

 

หน้าที่และความรับผิดชอบของหน่วยงาน CII

  • หน่วยงานที่ถูกประกาศให้เป็น CII มีหน้าที่ตามกฎหมายที่ต้องดำเนินการ เช่น:
  • จัดทำประมวลแนวทางปฏิบัติ (Code of Practice) และกรอบมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์
  • ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Risk Assessment) อย่างน้อยปีละ 1 ครั้ง
  • เมื่อเกิดเหตุภัยคุกคาม ต้องแจ้งเหตุต่อ สกมช. ทันที พร้อมทั้งดำเนินการแก้ไขและรายงานผลตามกรอบเวลาที่กฎหมายกำหนด

 

การเตรียมความพร้อมของบุคลากรและองค์กรภาครัฐ

การมีกฎหมายและเทคโนโลยีที่ทันสมัยเพียงอย่างเดียวไม่เพียงพอต่อการป้องกันภัยไซเบอร์ "บุคลากร" ถือเป็นด่านแรกและด่านที่สำคัญที่สุด องค์กรจำเป็นต้องยกระดับสมรรถนะของบุคลากรด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับมาตรฐานสากล เช่น มาตรฐาน ICDL หรือการรับรองจากสถาบันคุณวุฒิวิชาชีพ (TPQI) เพื่อให้มีความรู้ความเข้าใจเชิงลึกในการจัดการข้อมูลและการรักษาความปลอดภัย

การวางรากฐานและการอบรมทักษะดิจิทัลที่ถูกต้อง ถือเป็นก้าวแรกสู่การเป็นข้าราชการดิจิทัลและบุคลากรสมรรถนะสูง ที่ไม่เพียงแต่จะสามารถใช้งานเทคโนโลยีได้อย่างมีประสิทธิภาพ แต่ยังสามารถปกป้องระบบสารสนเทศขององค์กรจากภัยคุกคามภายนอก นำไปสู่การให้บริการประชาชนที่มั่นคง ปลอดภัย และโปร่งใสอย่างยั่งยืน

 

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์. พ.ศ. ๒๕๖๒