ก่อนจะมีกฎหมายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ค. 2562
เมื่อ 30 ปีที่แล้วเครื่องคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นเทคโนโลยีมีราคาแพงและมีใช้เฉพาะในบางหน่วยงานเช่นมหาวิทยาลัย หน่วยงานของรัฐหรือบริษัทเอกชน เท่านั้น เทคโนโลยีนี้ห่างไกลจากชีวิตประจำวันของประชาชนทั่วไปอย่างมาก แต่ ณ ปัจจุบันคอมพิวเตอร์และอินเทอร์เน็ตกลายเป็นสิ่งที่ประชาชนทั่วไปรู้จักในรูปแบบของโทรศัพท์มือถือและเครือข่าย 3G/4G รวมทั้งโปรแกรมยอดนิยมต่าง ๆ เช่น Facebook และ LINE เป็นต้น
นอกจากนี้เทคโนโลยีคอมพิวเตอร์ยังมีบทบาทสำคัญในภาคธุรกิจต่าง ๆ เช่นเป็นเทคโนโลยีที่สำคัญของธุรกิจการเงินและการธนาคาร เป็นเทคโนโลยีที่สำคัญในการควบคุมการผลิตไฟฟ้าและการผลิตน้ำประปา แม้แต่เครือข่าย อินเทอร์เน็ตรวมทั้งเครือข่าย 3G/4G เองก็ทำงานได้โดยอาศัยเทคโนโลยีคอมพิวเตอร์ เช่นกัน
ดังนั้นหากคอมพิวเตอร์และข้อมูลที่เก็บไว้ในคอมพิวเตอร์ (ต่อไปขอเรียกว่าระบบสารสนเทศ) ของหน่วยงานสำคัญของรัฐและเอกชนขัดข้อง หรือเรียกว่าระบบสารสนเทศสูญเสียความมั่นคงปลอดภัย ก็จะส่งผลกระทบต่อการดำรงชีวิตโดยปกติสุขของประชาชนไม่มากก็น้อย ระบบสารสนเทศจะมั่นคงปลอดภัยก็ต่อเมื่อระบบสารสนเทศนั้นได้รับการดูแลที่เหมาะสมเพื่อให้ระบบสารสนเทศนั้นมีคุณสมบัติ 3 ประการคือ
- ให้บริการได้ตามช่วงเวลาที่ตกลงกันไว้
- ข้อมูลและสถานะของระบบสารสนเทศนั้นไม่เปลี่ยนแปลง หรืออาจเปลี่ยนแปลงได้โดยผู้มีสิทธิเท่านั้น
- ข้อมูลของระบบสารสนเทศนั้นเข้าถึงได้เฉพาะผู้มีสิทธิเท่านั้น
การที่ระบบสารสนเทศใด ๆ สูญเสียคุณสมบัติข้อใดข้อหนึ่งไปหรือมีแนวโน้มว่าจะกำลังจะเสียคุณสมบัติ แสดงว่าเกิดภัยคุกคามด้านความมั่นคงปลอดภัยระบบสารสนเทศ ซึ่งภัยคุกคามนี้อาจจะเกิดจากสาเหตุต่าง ๆ เช่น อุปกรณ์คอมพิวเตอร์เสีย เครื่องปรับอากาศเสีย ไฟดับ หรือแม้แต่ฝีมือของมนุษย์เอง ไม่ว่าจะเป็นการทำงานผิดพลาด หรือมีเจตนาที่จะลักลอบเข้าถึงหรือดัดแปลงข้อมูล หรือทำให้ระบบสารสนเทศใช้งานไม่ได้
หากระบบสารสนเทศใดเชื่อมต่อกับเครือข่ายอินเทอร์เน็ตหรือที่เรียกว่าโลกไซเบอร์นั้น ภัยคุกคามด้านความมั่นคงปลอดภัยของระบบสารสนเทศที่เชื่อมต่อกับเครือข่ายอินเทอร์เน็ตก็จะเรียกว่าภัยคุกคามทางไซเบอร์ ปัจจุบันมีผู้ใช้งานอินเทอร์เน็ตทั่วโลกประมาณสี่พันล้านคน และเป็นไปได้ว่ามีผู้ใข้งานอินเทอร์เน็ตเพียง 1 คน จากสี่พันล้านคนจะกระทำการใด ๆ จนทำให้ระบบสารสนเทศใด ๆ สูญเสียความมั่นคงปลอดภัยได้
แม้ระบบสารสนเทศที่ไม่ได้เชื่อมต่ออินเทอร์เน็ตก็มีโอกาสที่จะเกิดภัยคุกคามด้านความมั่นคงปลอดภัยได้เช่นกัน เพราะบุคลากรที่ดูแลระบบสารสนเทศนั้น ๆ อาจจะนำเครื่องคอมพิวเตอร์ที่เคยเชื่อมต่อกับอินเทอร์เน็ตและมีโปรแกรมมัลแวร์แฝงอยู่ในเครื่องคอมพิวเตอร์ไปเชื่อมต่อกับระบบสารสนเทศ ทำให้มัลแวร์จากอินเทอร์เน็ตหลุดลอดไปสู่ระบบสารสนเทศที่ไม่ได้เชื่อมต่ออินเทอร์เน็ต
ลักษณะหนึ่งของภัยคุกคามทางไซเบอร์ที่แตกต่างจากภัยคุกคามประเทศที่คนทั่วไปคุ้นเคย คือเรื่องความชัดเจนของขอบเขตหรือพรมแดน ตลอดจนความชัดเจนเรื่องบทบาทหน้าที่ของผู้ที่มีหน้าที่ดูแลภัยคุกคามและป้องกันประเทศ กฎหมายกำหนดให้ประเทศมีหน่วยงาน มีทหาร และมีกระบวนการต่าง ๆ เพื่อรักษาอธิปไตยเหนือดินแดนของประเทศ ผลของกฎหมายทำให้มีกองทัพต่าง ๆ มีการเกณฑ์ทหาร มีการฝึกซ้อมกำลังพล มีงานข่าวกรอง หรือ มีการลาดตระเวณ เป็นต้น แม้หน่วยงานทั้งของรัฐและเอกชนจะตั้งอยู่ในจังหวัดชายแดนก็ไม่จำเป็นต้องกังวลเรื่องการป้องกันชายแดนเพราะประเทศมีหน่วยงานผู้รับผิดชอบที่ชัดเจน
แต่โลกไซเบอร์นั้นไม่ได้มีพรมแดนทางกายภาพที่ชัดเจนแบบโลกทางภูมิศาสตร์ หรือ อาจจะกล่าวได้ว่าพรมแดนระหว่างระบบสารสนเทศของหน่วยงานกับโลกไซเบอร์นั้นคือจุด(หรืออุปกรณ์)ที่หน่วยงานใด ๆ เชื่อมต่อกับอินเทอร์เน็ตนั่นเอง และเมื่อหน่วยงานใดเชื่อมต่อระบบสารสนเทศกับอินเทอร์เน็ตก็แปลว่าคนประมาณสี่พันล้านคนจากทั่วโลกอาจจะเข้าถึงระบบสารสนเทศของหน่วยงานนั้นได้ และมีโอกาสที่คนเหล่านั้นจะกระทำใด ๆ ให้ระบบสารสนเทศเกิดความเสียหายหรือสูญเสียความมั่นคงปลอดภัยได้ หน่วยงานนั้นๆจึงจำเป็นต้องระวังมีและดูแลพรมแดนอินเทอร์เน็ตของตัวเองเพื่อให้ระบบสารสนเทศมีความมั่นคงปลอดภัย
หากภัยคุกคามทางไซเบอร์นั้นกระทำให้เกิดความเสียหายต่อเครือข่ายอินเทอร์เน็ต จนทำให้ประชาชนใช้งานอินเทอร์เน็ตไม่ได้เลยหรือใช้งานอินเทอร์เน็ตได้ช้ามาก ๆ หรือทำความเสียหายต่อระบบสารสนเทศของหน่วยงานของรัฐหรือหน่วยงานเอกชนที่สำคัญ ๆ เช่น ระบบการเงินการธนาคาร ระบบควบคุมการผลิตไฟฟ้า ระบบควบคุมการผลิตน้ำประปา หรือระบบควบคุมโทรศัพท์ เป็นต้น ผลกระทบที่เกิดขึ้นก็จะกระทบกับการดำรงชีวิตโดยปกติของประชาชน และหากผลกระทบที่เกิดขึ้นเป็นวงกว้างก็อาจจะเกิดเหตุวุ่นวายจนอาจจะเป็นการจลาจลขึ้นในประเทศได้
เพื่อเตรียมการรับมือภัยคุมคามทางไซเบอร์ หน่วยงานที่ดูแลเครือข่ายอินเทอร์เน็ต ตลอดจนทุกหน่วยงานที่เชื่อมต่อระบบสารสนเทศกับอินเทอร์เน็ตจึงควรมีนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และเตรียมบุคลากรที่เกี่ยวข้องให้พร้อม โดยเฉพาะอย่างยิ่งหากหน่วยงานของท่านเป็นหน่วยงานของรัฐ หรือหน่วยงานเอกชนที่ให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ
วิธีการที่จะให้เกิดความชัดเจนเรื่องการรับมือภัยคุกคามทางไซเบอร์ โดยให้ทุกหน่วยงานในประเทศไม่ว่าจะเป็นของรัฐหรือเอกชนเตรียมการเกี่ยวกับภัยคุกคามทางไซเบอร์คือการจัดทำเป็นกฎหมาย จึงเป็นที่มาให้รัฐบาลเสนอร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … ให้สภานิติบัญญัติแห่งชาติพิจารณา และสภานิติบัญญัติแห่งชาติให้ความเห็นชอบเมื่อวันที่ 28 กุมภาพันธ์ พ.ศ. 2562 และคาดว่าจะประกาศใช้เป็นกฎหมายในเดือนพฤษภาคม พ.ศ. 2562
ร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … กำหนดภัยคุกคามทางไซเบอร์ (มาตรา 60) เป็น 3 ระดับคือ
- ระดับไม่ร้ายแรง ซึ่งหมายถึงกรณีที่เกิดภัยคุกคามทางไซเบอร์จนทำให้โครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง
- ระดับร้ายแรง ซึ่งหมายถึงกรณีที่เกิดภัยคุกคามทางไซเบอร์จนทำให้โครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือการให้บริการของรัฐไม่สามารถทำงานหรือให้บริการได้
- ระดับวิกฤติ ซึ่งหมายถึงกรณีที่เกิดภัยคุกคามทางไซเบอร์จนทำให้โครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือการให้บริการของรัฐล้มเหลวทั้งระบบเป็นวงกว้าง
โดยหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศคือหน่วยงานที่มีภารกิจหรือให้บริการในด้านดังต่อไปนี้
- ด้านความมั่นคงของรัฐ
- ด้านบริการภาครัฐที่สำคัญ
- ด้านการเงินการธนาคาร
- ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
- ด้านการขนส่งและโลจิสติกส์
- ด้านพลังงานและสาธารณูปโภค
- ด้านการสาธารณสุข
- ด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม
กฎหมายกำหนดให้ให้มีคณะกรรมการ 2 ชุดเพื่อดูแลเรื่องภัยคุกคามทางไซเบอร์ ชุดแรกคือคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือเรียกโดยย่อว่ากมช. โดยมีนายกรัฐมนตรีเป็นประธาน คณะกรรมการนี้มีหน้าที่ดูแลเรื่องความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (มาตรา 5 – 11)
คณะกรรมการอีกชุดนึงคือคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือเรียกโดยย่อว่า กกม. โดยมีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน คณะกรรมการนี้มีหน้าที่กำกับดูแลศูนย์ประสานงานการรักษาความั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ กำหนดข้อกำหนดขั้นต่ำของประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้หน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญด้านสารสนเทศใช้ปฏิบัติเพื่อดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้งดูแลและดำเนินการเพื่อรับมือภัยคุกคามไซเบอร์ระดับร้ายแรง(มาตรา 12 – 18 )
นอกจากคณะกรรมการทั้งสองชุดแล้ว กฎหมายยังกำหนดให้มีสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเพื่อเป็นหน่วยปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์และให้มีคณะกรรมการบริหารสำนักงานเพื่อกำกับดูแลงานบริหารงานทั่วไปของสำนักงานฯอีกด้วย
ส่วนกรณีถ้าเกิดเหตุภัยคุมคามไซเบอร์ระดับวิกฤตนั้น(มาตรา 67) จะทำให้ประเทศอยู่ในสภาวะที่ไม่อาจธำรงไว้ซึ่งความมั่นคงแห่งชาติได้ จึงให้เป็นหน้าที่และอำนาจของสภาความมั่นคงแห่งชาติ ตามกฎหมายว่าด้วยสภาความมั่นคงแห่งชาติและกฎหมายอื่นที่เกี่ยวข้อง
นอกจากนี้กฎหมายยังกำหนดให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน โดยต้องรับมือภัยคุกคามทางไซเบอร์ระดับไม่ร้ายแรงด้วยตนเอง ทั้งนี้หากหน่วยงานที่กล่าวมาไม่สามารถดำเนินการได้ ก็อาจร้องขอความช่วยเหลือไปยังสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้
กฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์จึงเป็นกฎหมายที่จำเป็นเพื่อลดความเสี่ยงที่จากภัยคุกคามทางไซเบอร์อันอาจกระทบต่อความมั่นคงและความสงบเรียบร้อยในประเทศ ทำให้ประเทศมีหน่วยงาน มีนโยบายและมีแนวปฏิบัติที่ชัดเจนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ หน่วยงานของรัฐและเอกชนดำเนินการด้านภัยคุกคามทางไซเบอร์ไปในแนวทางเดียวกัน มีการแลกเปลี่ยนเรียนรู้ มีแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์