ขณะนี้ได้จัดตั้ง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เพื่อปฏิบัติภารกิจตามเจตนารมณ์ของกฎหมาย ทำไมต้องมี พ.ร.บ.ไซเบอร์? ปัจจุบันภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างต่อเนื่องและมีความรุนแรงเพิ่มขึ้น สร้างความเสียหายให้แก่ ประชาชน สังคม ตลอดจนประเทศชาติ โดยไม่เว้นแม้แต่ประเทศที่พัฒนาแล้ว หรือ ประเทศที่กำลังพัฒนา ดังจะเห็นได้จากเหตุการณ์สำคัญที่เกิดขึ้นกับหน่วยงานโครงสร้างพื้นฐาน (critical infrastructures) ของประเทศ ยกตัวอย่าง เหตุการณ์ช่วงวันที่ 6-12 พฤษภาคม 2564 มีการโจมตีทางไซเบอร์ครั้งใหญ่ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันรายใหญ่ของสหรัฐอเมริกา “Colonial Pipeline” ถูกโจมตีด้วย Ransomware หรือมัลแวร์เรียกค่าไถ่ ทำให้ต้องหยุดการขนส่งน้ำมันบางส่วนลงชั่วคราวเพื่อแก้ไขปัญหาดังกล่าว สร้างความเสียหายเป็นอย่างมากต่อบริษัทและลูกค้า เหตุการณ์ในครั้งนั้น ทีมงานทำเนียบขาวของประธานาธิบดีโจ ไบเดน แห่งสหรัฐ ได้ประสานงานและติดตามความเคลื่อนไหวอย่างใกล้ชิดกับบริษัทดังกล่าวโดยตรง เนื่องจากเป็นปัญหาในระดับประเทศ การโจมตีโดย Ransomware ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันดังกล่าวนั้น เป็นการปฏิบัติการของอาชญากรรมข้ามชาติที่จู่โจมเป้าหมาย ที่เป็นองค์กรหรือหน่วยงานโครงสร้างพื้นฐานสำคัญยิ่งยวด (Critical Infrastructure) จากเหตุการณ์ดังกล่าว ไม่ได้เกิดขึ้นเป็นครั้งแรก หากแต่เกิดขึ้นมาแล้วในหลายประเทศทั่วโลกตลอดหลายปีที่ผ่านมา จึงเป็นที่มา และ เป็นสาเหตุที่ ประเทศต่างๆ ทั่วโลกมีความจำเป็นที่จะต้องมีกฎหมายด้านไซเบอร์ สำหรับประเทศไทยก็คือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 นั่นเอง เหตุผลและความจำเป็นในการตราพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ พ.ร.บ.ไซเบอร์มีผลบังคับใช้กับใคร? ด้วยเหตุการณ์ที่กล่าวมาแล้วในตอนต้น อาชญากรไซเบอร์มีเป้าหมายโจมตีหน่วยงานหรือองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศต่างๆ ทำให้รัฐบาลหลายประเทศได้จัดให้มีการตรากฎหมาย พ.ร.บ. ไซเบอร์ออกมาบังคับใช้ ซึ่งบังคับใช้เฉพาะกับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) เช่น ประเทศจีน ประเทศสิงคโปร์
ทั้งนี้ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชน
ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่ถูกจัดกลุ่มได้เป็น 8 ประเภท คือ โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ทำหน้าที่ออกข้อกำหนดให้หน่วยงาน CII ปฏิบัติตามมาตรฐานขั้นต่ำ ปัจจุบันหน่วยงานที่เข้าข่าย CII ในประเทศไทยมีจำนวนกว่า 200 แห่ง Operational Technology (OT) หัวใจด้านระบบสารสนเทศของหน่วยงานโครงสร้างพื้นฐานคือจุดเปราะบาง ในองค์กรขนาดใหญ่โดยเฉพาะโรงงานอุตสาหกรรมหรือธุรกิจพลังงานมักมีระบบคอมพิวเตอร์เฉพาะทางที่ใช้ในการทำงานหลักในโรงงานหรือในโรงไฟฟ้า เรียกว่า Operational Technology (OT) ซึ่งไม่ใช่ระบบไอทีทั่วไปที่เรารู้จักคุ้นเคยกันแบบที่ใช้ในสำนักงาน โดย OT เป็นระบบที่แยกส่วนจากระบบไอทีที่ใช้งานทั่วไป ซึ่งระบบไอทีที่ใช้กันทั่วไป มักใช้ในด้านการตลาด ใช้ในการวิเคราะห์ข้อมูลสำหรับผู้บริหาร ใช้ในทางการเงินและบัญชี เป็นต้น
ตังอย่างระบบ OT ยกตัวอย่างเช่น โรงกลั่นน้ำมันจะมีระบบคอมพิวเตอร์ชุดใหญ่อีกชุดหนึ่งอยู่ในโรงงาน ทำหน้าที่ในการควบคุมการกลั่นน้ำมันและการผลิตต่างๆ เช่น ทำหน้าที่ควบคุมเครื่องจักร ทำหน้าที่ในการตรวจสอบคุณภาพ เป็นต้น ส่วนใหญ่แล้ว OT มักจะออกแบบให้เป็นระบบปิด ทำงานด้วยเครื่องคอมพิวเตอร์รุ่นเก่าที่ใช้กันมานาน ทั้ง hardware และ software เช่น OS มักใช้ Windows รุ่นเก่าที่ไม่มีการอัปเดต patch หรือ เปลี่ยนเป็น version ปัจจุบัน ปกติผู้ให้บริการระบบ OT จะไม่ให้ใครเข้าไปแตะต้องหรือเข้าไปยุ่งวุ่นวายกับตัวระบบที่มีความเปราะบาง ด้วยความที่ถูกออกแบบมาเป็นระบบปิด จึงทำให้องค์กรส่วนใหญ่ไม่มีการ Patch ที่ OS ไม่มีการตรวจสอบรูรั่วและอัปเดตรูรั่ว รวมถึงช่องโหว่ต่างๆ เพราะเชื่อว่าจะไม่ถูกแฮก เพราะไม่มีใครสามารถเข้าถึงได้เนื่องจากเข้าใจมาโดยตลอดว่าเป็นระบบปิด แต่เราอาจจะลืมคิดไปว่ายังมีการเชื่อมต่อระหว่าง OT กับระบบไอทีในสำนักงานขององค์กรที่เป็นช่องทางในการเข้าถึง OT ได้ และ ระบบไอทีดังกล่าวได้มีการต่อเชื่อมกับอินเทอร์เน็ตอยู่ตลอดเวลา ซึ่งเหตุการณ์การถูกแฮกที่เกิดขึ้นกับ OT นั้น แฮกเกอร์มักจะใช้ช่องทางจากระบบไอทีขององค์กรเพื่อเจาะเข้าไปยังระบบ OT โดยเฉพาะ Ransomware ที่เกิดขึ้นกับองค์กรใหญ่ๆทั่วโลกดังที่เห็นเป็นข่าวกันมาโดยตลอด การเตรียมความพร้อมโดยใช้หลักการ
“Data Resilience”
จากหลักการ “Cyber Resilience” สู่ “Data Resilience” Data Resilience เป็นหลักการที่องค์กรสามารถนำมาปฏิบัติเมื่อเกิดเหตุการณ์ไม่พึงประสงค์ เช่น เกิดการโจมตีทางไซเบอร์ โดยข้อมูลของลูกค้าถูกขโมยไปหรือถูก Ransomware ทำการเข้ารหัสข้อมูลไว้ทำให้ใช้งานไม่ได้ องค์กรจะต้องมีกระบวนการในการนำข้อมูลลูกค้ากลับมาใช้เพื่อให้การดำเนินธุรกิจมีความต่อเนื่อง “Data Resilience” เป็นหลักการที่เน้นเรื่องสภาวะความทนทานต่อการถูกโจมตีของข้อมูลโดยเฉพาะ ในเบื้องต้นองค์กรควรจะต้องเริ่มต้นจากการสำรองข้อมูลเป็นระยะๆ โดยมีคุณลักษณะที่สามารถนำข้อมูลที่เป็นปกติก่อนถูกโจมตีด้วย Ransomware กลับมาใช้งานได้โดยธุรกิจไม่ติดขัด รวมไปถึงกระบวนการในการสำรองชุดข้อมูลเก็บไว้ที่ที่ๆ ปลอดภัยจาก Ransomware อีกชุดหนึ่ง ซึ่งองค์กรสามารถนำข้อมูลมาใช้งานต่อไปได้อย่างทันท่วงที ทั้งนี้ Data Resilience เป็นเพียงส่วนหนึ่งในแนวทางการปกป้องข้อมูลขององค์กรให้ปลอดภัย ควรอยู่ในแผนหลักด้านความมั่นคงปลอดภัยหรือ Cybersecurity Blueprint ขององค์กร ซึ่งควรต้องนำเฟรมเวิร์คในระดับสากลมาเป็นแนวทางในการปฏิบัติ เช่น NIST Cybersecurity Framework ร่วมกับ CISA’s Cyber Resilience Review (CRR) ประชาชนควรเตรียมความพร้อมอย่างไร จากการนำหลักการ “Cyber Resilience” มาประยุกต์ใช้ ? เช่นเดียวกับการที่เรามีบัญชีธนาคารหลายธนาคาร หากระบบของธนาคารใดไม่สามารถให้บริการได้ชั่วคราว เราก็ยังสามารถใช้ระบบของธนาคารอื่นๆ ในการดำเนินธุรกรรมต่อไปได้ เป็นต้น สรุปสุดท้าย ไม่ว่าจะเป็นองค์กรหรือประชาชนทั่วไปควรคิดไว้เสมอว่า ไม่มีระบบใดที่มีความมั่นคงปลอดภัยเต็ม 100% และ ภัยไซเบอร์นั้นอยู่รอบตัวเราอาจจะเกิดกับองค์กรหรือตัวเราเองเมื่อไรก็ได้
จึงมีความจำเป็นต้องเตรียมความพร้อมต่อการโจมตีทางไซเบอร์ไว้เสมอ. |