Thai Netizen Network

“สิทธิความเป็นส่วนตัวของท่าน ท่านยกให้ฝรั่งอเมริกันไปแล้ว” ประธานความมั่นคงไซเบอร์ กสทช.เตือน

เมื่อวันที่ 3 เมษายน 2558 มีเสวนาในหัวข้อ “ความท้าทายยุคดิจิทัล…ความมั่นคงปลอดภัยไซเบอร์กับการคุ้มครองข้อมูลส่วนบุคคล” จัดโดยบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ (ACIS) ซึ่งทำธุรกิจด้านความมั่นคงปลอดภัยสารสนเทศ, คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.), มหาวิทยาลัยรังสิต, และสมาคมความมั่นคงปลอดภัยสารสนเทศ (TISA) โดยงานจัดขึ้นที่โรงแรมพูลแมน คิง เพาเวอร์ กรุงเทพ รายละเอียดมีดังนี้

ต้องมีกฎหมายเพื่อให้ไทยแข่งขันเศรษฐกิจดิจิทัลในภูมิภาคได้

สรณันท์ จิวะสุรัตน์ ผอ.ฝ่ายวิจัยและพัฒนา สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ (สพธอ.) และหัวหน้าทีมไทยเซิร์ต (ThaiCERT) กล่าวในฐานะผู้แทนหน่วยงานผู้ร่างกฎหมาย ถึงวัตถุประสงค์ของชุดร่างกฎหมายดิจิทัลว่า ชุดกฎหมายดังกล่าวต้องการให้ประเทศไทยสามารถแข่งขันในภูมิภาคได้ ซึ่งไทยจะต้องแข่งกับสิงคโปร์และมาเลเซีย ที่ล้วนอยู่ในระดับโลกทั้งสิ้น

โดยร่างกฎหมายต้องการวางหน้าที่ให้รัฐเป็นเพียงผู้อำนวยความสะดวกเท่านั้น ส่วนผู้ที่จะมีบทบาทในการดำเนินการด้านเศรษฐกิจดิจิทัลที่แท้จริงคือภาคเอกชน

สรณันท์กล่าวถึงความคืบหน้าของชุดร่างกฎหมายดิจิทัลด้วยว่า ขณะนี้ร่างทั้งหมดกำลังอยู่ในขั้นการพิจารณาของคณะกรรมการกฤษฎีกา โดยคาดว่าร่างพ.ร.บ.กสทช., ร่างพ.ร.บ.ปรับปรุงกระทรวง ทบวง กรม (เปลี่ยนกระทรวงไอซีทีไปเป็นกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) และร่างพ.ร.บ.การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม (รวมร่าง 3 ฉบับ) จะออกมาบังคับใช้ก่อนในอีก 3-6 เดือนข้างหน้า

ส่วนอีก 4 ร่างที่เหลือ คือร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ร่างแก้ไขพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และร่างแก้ไขพ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ ซึ่งเป็นร่างกฎหมายเพื่อสร้างความเชื่อมั่น ที่ถูกวิพากษ์วิจารณ์ว่าจะทำให้ความเชื่อมั่นลดลงหรือไม่นั้น จะถูกนำมาพิจารณาเป็นลำดับสุดท้าย

สรณันท์ จิวะสุรัตน์ ผอ.ฝ่ายวิจัยและพัฒนา สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ (สพธอ.) และหัวหน้าทีมไทยเซิร์ต (ThaiCERT)

เศรษฐกิจดิจิทัลต้องการ “ความเชื่อมั่น”

ในช่วงต่อมาได้มีการบรรยายหัวข้อ “ดุลยภาพระหว่างความมั่นคงปลอดภัย ความเป็นส่วนตัว ความเชื่อมั่น และความน่าเชื่อถือในสังคมเศรษฐกิจดิจิทัลของประเทศไทย” โดยปริญญา หอมเอนก ประธานและผู้ก่อตั้งบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ ซึ่งเป็นผอ.ศูนย์การรักษาความมั่นคงปลอดภัยทางไซเบอร์ มหาวิทยาลัยรังสิต และเลขานุการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA)

ปริญญากล่าวว่า ในโลกยุคปัจจุบันที่มีเทคโนโลยีคลาวด์ (การเก็บข้อมูลไว้กับผู้ให้บริการ), Big Data (ประมวลผลข้อมูลขนาดใหญ่), Internet of Things (สิ่งของอัจฉริยะรอบตัวที่คอยเก็บข้อมูลตลอดเวลา) และสื่อสังคม ประชาชนถูกเก็บข้อมูลอยู่ตลอดเวลา แกนกลางสำคัญในยุคนี้จึงเป็นเรื่องของความเป็นส่วนตัว (privacy)

ซึ่งความเป็นส่วนตัวออนไลน์จะเกิดขึ้นไม่ได้หากไม่มีระบบรักษาความปลอดภัยไซเบอร์ที่ดี อย่างไรก็ตาม การมีระบบรักษาความปลอดภัยไซเบอร์ที่ดียังเป็นเพียงปัจจัยหนึ่งเท่านั้น เพราะการรักษาความเป็นส่วนตัวยังต้องอาศัยกฎหมายและกฎเกณฑ์กำกับ (soft infrastructure) ที่ดีด้วย เพื่อจะนำไปสู่การสร้างความเชื่อมั่น อันเป็นสิ่งจำเป็นอย่างยิ่งสำหรับเศรษฐกิจดิจิทัล

วงเสวนาชี้ ศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์: สิ่งจำเป็นที่ต้องมี

ในการเสวนาย่อยถัดมา ซึ่งมีชื่อหัวข้อว่า “ยกระดับความมั่นคงปลอดภัยสารสนเทศรับมือภัยไซเบอร์: ศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์ จำเป็นหรือไม่…อย่างไร?” วิทยากรทั้งสามได้แก่ สรณันท์, ปริญญา และพลเอกบรรเจิด เทียนทองดี ที่ปรึกษาพิเศษ สำนักงานปลัดกลาโหม เห็นพ้องกันว่า การมีศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์เป็นสิ่งจำเป็น

สรณันท์กล่าวว่า การมีศูนย์ดังกล่าวจะช่วยสร้างความเชื่อมั่นให้กับประเทศ และว่า การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นสิ่งที่ภาครัฐไม่อาจทำได้โดยลำพัง แต่ต้องสร้างความร่วมมือกับเอกชน

ขณะที่ปริญญามองว่า ธุรกิจขนาดกลางและขนาดย่อยอาจไม่สามารถลงทุนในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ได้เอง ทางเลือกเดียวสำหรับธุรกิจเหล่านี้คือวิธีการจ้างบริษัทที่ดูแลความมั่นคงสารสนเทศภายนอกให้ดูแลเรื่องนี้ให้ (outsourcing)

พลเอกบรรเจิดมองว่า ศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์จะเป็นพื้นที่แลกเปลี่ยนข้อมูลทางเทคนิค ซึ่งศูนย์ดังกล่าวควรต้องมีหลายระดับ ทั้งในระดับชาติและระดับที่ย่อยลงมา ทั้งยังกล่าวว่า สำหรับทหาร มองว่าโลกไซเบอร์คือสนามรบแห่งใหม่ของโลกนี้ ที่จะส่งผลต่อทั้งเศรษฐกิจ สังคม การเมือง และการทหาร

พลเอกบรรเจิดยังเผยด้วยว่า ทหารได้เห็นความสำคัญกับการลงทุนในบุคลากรที่จะมาทำงานในด้านนี้ และอีก 2-3 ปีข้างหน้าทหารจะเปิดรับสมัครแฮ็กเกอร์เข้ามาทำงานในองค์กรด้วย

ในช่วงท้าย สรณันท์ได้กล่าวถึงศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์ของสิงคโปร์ด้วยว่า ประเทศสิงคโปร์เพิ่งจัดตั้งหน่วยงานความมั่นคงปลอดภัยไซเบอร์ (ในชื่อ Cyber Security Agency of Singapore – CSA) ซึ่งผู้อำนวยการหน่วยงานดังกล่าวมาจากกระทรวงกลาโหม คล้ายกับคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ที่จะจัดตั้งขึ้นตามร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งคณะกรรมการหลายคนจะมาจากหน่วยงานความมั่นคง) ทว่าตนไม่เห็นว่าจะมีใครในสิงคโปร์ที่ออกมาวิพากษ์วิจารณ์ในเรื่องนี้

ทั้งนี้ข้อมูลจากเว็บไซต์ ZDNet ระบุว่า ยาคอบ อิบราฮิม (Yaacob Ibrahim) รัฐมนตรีว่าการกระทรวงการสื่อสารและข้อมูลข่าวสาร (Minister for Communications and Information) ของสิงคโปร์ ได้รับการแต่งตั้งให้ดำรงตำแหน่งรัฐมนตรีผู้รับผิดชอบด้านความมั่นคงปลอดภัย ไซเบอร์ (Minister-In-Charge of Cyber Security) ส่วนเดวิด โก๊ะ (David Koh) รองเลขาธิการด้านเทคโนโลยี กระทรวงกลาโหม (Deputy Secretary for Technology at the Ministry of Defence) จะดำรงตำแหน่งเป็นประธานบริหาร (Chief Executive Officer) ของ CSA

สรณันท์ยังเห็นว่าความมั่นคงของชาติเป็นเรื่องที่สำคัญที่สุด การถูกรุกล้ำอำนาจอธิปไตยเป็นสิ่งที่ไม่อาจยอมรับได้ นอกจากนี้ ผู้ให้บริการเอกชนยังควรต้องปฏิบัติตามกฎหมายในแต่ละประเทศที่ตนให้บริการอยู่ โดยที่ผ่านมา ไทยเซิร์ตได้เคยติดต่อไปยังเฟซบุ๊กเพื่อให้นำเนื้อหาบางอย่างลงจากเว็บไซต์ เพราะเนื้อหาบางอย่างไม่สามารถเผยแพร่ในประเทศไทยได้ ผู้ให้บริการต้องเคารพในกฎหมายของแต่ละประเทศด้วย

“สิทธิของท่าน ท่านยกให้ฝรั่งไปแล้ว” ประเทศไทยเป็นประเทศเดียวในโลกที่ไม่มีการตรวจข้อมูลที่เกตเวย์

ในการเสวนาย่อยหัวข้อ “ยุทธศาสตร์ ภัยความเสี่ยง ความท้าทายสำหรับเศรษฐกิจดิจิทัล” พลเอกภูดิท วีระศักดิ์ ประธานคณะอนุกรรมการความมั่นคงเครือข่ายและข้อมูลในกิจการโทรคมนาคมและกิจการวิทยุคมนาคม (ในกสทช.) หนึ่งในวิทยากรกล่าวว่า ประเทศไทยถูกใช้เป็นฐานโจมตีทางไซเบอร์อยู่บ่อยครั้ง แต่ประเทศไทยกลับเป็นประเทศเดียวในโลกที่ไม่มีกฎหมายป้องกันและตรวจตราก่อนที่จะเกิดอาชญากรรมไซเบอร์ ไม่มีการตรวจเกตเวย์ซึ่งเป็นช่องทางรับส่งข้อมูลออกสู่ต่างประเทศ ไม่มีการตั้งองค์กรที่จะมาควบคุมในเรื่องดังกล่าว โดยองค์กรกำกับดูแลอย่างกสทช.ก็ทำหน้าที่เพียงแค่ออกใบอนุญาตประกอบกิจการเท่านั้น ขณะที่ต่างประเทศจะมีการจัดตั้งองค์กรที่เชื่อถือได้หนึ่งองค์กรมาตรวจสอบดูแลในเรื่องนี้

(ขวาไปซ้าย) พลเอกภูดิท วีระศักดิ์, พลตรีสุทธิศักดิ์ สลักคำ, จันทิมา สิริแสงทักษิณ, พ
ต.อ.ญาณพล ยั่งยืน, และปรเมศร์ เพียรสกุล พิธีกร

พลเอกภูดิทยังได้กล่าวถึงประเด็นความเป็นส่วนตัวด้วยว่า ปัจจุบันเรากังวลในเรื่องข้อมูลส่วนบุคคลเป็นอย่างมาก เราไม่อยากให้ใครมาดูข้อมูลในเฟซบุ๊ก แต่หากเราได้ไปอ่านนโยบายความเป็นส่วนตัวของผู้ให้บริการเอกชนที่ใช้บริการกันอยู่ อาทิ Hotmail, Gmail, Yahoo เราก็จะพบว่านโยบายรักษาความเป็นส่วนตัวของบริการเหล่านั้นมีระบุให้เจ้าของคลาวด์มีสิทธิใช้ข้อมูลของลูกค้าเพื่อหาประโยชน์ได้

“นั่นหมายความว่า ท่านที่ใช้อินเทอร์เน็ตทุกคนนั้น ได้ยินยอมให้คนอเมริกันใช้สิทธิไปดูว่าตำแหน่งของท่านอยู่ที่ไหน ท่านเปลี่ยนกิ๊กกี่คน ท่านทำดีทำชั่ว เขารู้หมด”

ซึ่งเมื่อกลับมามองในบริบทปัจจุบันที่มีการคัดค้านชุดร่างพ.ร.บ.เศรษฐกิจดิจิทัล 8 ฉบับกันอยู่ โดยกรรมการกสทช. 3 คนก็ได้ยื่นหนังสือคัดค้านร่างกฎหมายด้วยนั้น ตนอยากให้ทุกคนตระหนักถึงภัยไซเบอร์ที่เกิดขึ้น รวมทั้งตระหนักไว้ด้วยว่า ในการใช้บริการบริษัทเอกชนข้างต้นนั้น “สิทธิของท่าน ท่านยกให้ฝรั่งไปแล้ว”

ทั้งนี้ พลเอกภูดิทกล่าวถึงร่างกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ฯ ที่ให้อำนาจเจ้าหน้าที่รัฐในการเข้าถึงข้อมูลการสื่อสารของประชาชนโดยไม่ต้องอาศัยหมายศาลว่า รัฐไม่ได้จะสอดส่องคนดี แต่ดูคนชั่วเท่านั้น

ในช่วงเสวนาหัวข้อเดียวกัน พลตรีสุทธิศักดิ์ รองเจ้ากรมเทคโนโลยีสารสนเทศและอวกาศกลาโหม สำนักงานปลัดกระทรวงกลาโหมกล่าวถึงข้อเท็จจริงของภัยคุกคามทางไซเบอร์ว่า ภัยคุกคามทางไซเบอร์เป็นภัยที่ไร้ขอบเขต เกิดขึ้นอย่างรวดเร็ว ตรวจจับได้ยาก ไม่ว่าจะเป็นการตรวจจับผู้กระทำการหรือที่ก่อเหตุ ภัยดังกล่าวยังกระทบทุกภาคส่วน ส่งผลเสียหายมาก ลงทุนต่ำ งานในด้านนี้ยังต้องอาศัยผู้เชี่ยวชาญ ขณะเดียวกัน ประเทศไทยก็มีจุดอ่อนเรื่องระบบความปลอดภัยทางไซเบอร์อยู่มาก จึงถูกใช้เป็นฐานโจมตีอยู่บ่อยครั้ง

ส่วนพ.ต.อ.ญาณพล นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) พูดถึงภัยคุกคามไซเบอร์ว่า กฎหมายและกระบวนการยุติธรรมของประเทศไทยในปัจจุบันยังไม่ดีพอ จึงเป็นช่องโหว่ให้แฮ็กเกอร์เข้ามาใช้ประเทศไทยเป็นฐานในการเจาะระบบ

ภาคธนาคาร กับการรับมือภัยไซเบอร์

ถัดมาเป็นการเสวนาย่อยหัวข้อ “การรักษาความมั่นคงปลอดภัยไซเบอร์กับการบริหารจัดการองค์กรสำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญ” โดยมีตัวแทนจากภาคการธนาคารมาเป็นวิทยากร

ธนารัตน์ งามวลัยรัตน์ ผอ.ฝ่ายปฏิบัติการเทคโนโลยีสารสนเทศ ธนาคารเพื่อการเกษตรและสหกรณ์การเกษตร (ธ.ก.ส.) กล่าวว่า ธ.ก.ส.ได้ให้ความสำคัญกับการดูแลความปลอดภัยของข้อมูลลูกค้าโดยได้นำมาตรฐาน ISO 27001 ซึ่งเป็นมาตรฐานความปลอดภัยสารสนเทศเข้ามาใช้งาน นอกจากนี้ การรักษาความปลอดภัยในด้านนี้ต้องมีตัวชี้วัดที่ชัดเจน และต้องมีการกำหนดกฎเกณฑ์ภายในองค์กร

ธนารัตน์กล่าวถึงการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยด้วยว่า การตอบสนองต่อภัยคุกคามไซเบอร์ของไทยยังอยู่ในระดับต่ำซึ่งควรต้องได้รับการปรับปรุง

(ขวาไปซ้าย) วิษณุ ชวนเกษม, กิตติ โฆษะวิสุทธิ์, ธนารัตน์ งามวลัยรัตน์, และปริญญา หอมเอนก พิธีกร

กิตติ โฆษะวิสุทธิ์ ผู้จัดการความปลอดภัยเทคโนโลยีสารสนเทศ ธนาคารกรุงเทพกล่าวว่า ธุรกิจธนาคารเป็นเศรษฐกิจดิจิทัลด้วยตัวเองมาสักพักแล้ว ทั้งการให้บริการตู้เอทีเอ็มและการให้บริการธุรกรรมออนไลน์ในปัจจุบัน

ส่วนร่างกฎหมายในชุดกฎหมายเศรษฐกิจดิจิทัล ร่างกฎหมายที่น่าจะมีผลกระทบต่อธุรกิจธนาคารที่สุดคือร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งในประเด็นการคุ้มครองข้อมูลส่วนบุคคลนี้ ภาคธนาคารเองมีการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า รวมถึงปฏิบัติต่อข้อมูลของลูกค้าอย่างเข้มงวดอยู่แล้ว แต่กฎหมายจะมีผลกระทบตรงที่อาจไปเปลี่ยนกระบวนการทำงาน ซึ่งเป็นสิ่งที่ภาคธนาคารจะต้องนำร่างกฎหมายฉบับนี้มาศึกษาอย่างละเอียด โดยทางธนาคารกรุงเทพก็ได้มอบหมายให้ทีมกฎหมายไปศึกษาถึงความเป็นส่วนตัว (privacy) ว่ามีนิยามว่าอย่างไรและมีหลักปฏิบัติอย่างไร

กิตติกล่าวถึงภัยคุกคามไซเบอร์ว่า ภูมิทัศน์ของภัยคุกคามทางไซเบอร์ในปัจจุบันได้เปลี่ยนไปจากเดิม ที่คนร้ายกระทำการเพียงคนเดียว ไปสู่อาชญากรรมที่จัดตั้งขึ้นเป็นองค์กร การรับมือกับภัยคุกคามทางไซเบอร์จึงต้องเปลี่ยนไปด้วย โดยกลุ่มผู้ให้บริการเองต้องแบ่งปันข้อมูลด้านภัยคุกคามไซเบอร์ระหว่างกัน ซึ่งในปัจจุบันยังไม่เป็นเช่นนั้น ในตอนนี้ ทางสมาคมธนาคารไทยกำลังคุยกันถึงความเป็นไปได้ของการแบ่งปันข้อมูลกันภายในอุตสาหกรรม โดยข้อมูลที่จะแบ่งปันคือข้อมูลลักษณะภัยคุกคามและวิธีการรับมือเท่านั้น ไม่ใช่การแบ่งปันข้อมูลของลูกค้า ซึ่งเป็นเรื่องของความเป็นส่วนตัว

ทางด้านวิษณุ ชวนเกษม ผู้บริหารทีมฝ่ายเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทยระบุว่า ธนาคารแห่งประเทศไทยได้ปรับตัวตามเทคโนโลยีที่เปลี่ยนไปแล้ว โดยภายในองค์กรเองได้นำมาตรฐานความปลอดภัยสารสนเทศ ISO 27100 มาใช้งาน

ในส่วนการกำกับดูแลให้เกิดเสถียรภาพทางเศรษฐกิจ ธนาคารแห่งประเทศไทยได้มีการออกแนวทางด้านการรักษาความปลอดภัยสารสนเทศให้กับสถาบันการเงินต่างๆ

วิษณุกล่าวต่อว่า สำหรับนวัตกรรมใหม่ๆ นั้น ธนาคารแห่งประเทศไทยยังได้มองด้วยว่า การเก็บข้อมูลไว้ในคลาวด์เป็นนวัตกรรมที่ไม่อาจหลีกเลี่ยงได้ และได้มีการพูดคุยปรึกษาหารือกับธนาคารพาณิชย์ในเรื่องนวัตกรรมดังกล่าวแล้ว ซึ่งความเสี่ยงที่อาจเกิดขึ้นเป็นสิ่งที่ต้องนำมาพิจารณา ธนาคารพาณิชย์ยังต้องมีหลักฐานแสดงชัดเจนว่าได้มีการดูแลข้อมูลของลูกค้าอย่างถูกต้องด้วย นอกจากนี้ ธนาคารแห่งประเทศไทยยังได้มีการพูดคุยหารือกับธนาคารพาณิชย์อยู่เป็นระยะ ในเรื่องนวัตกรรมใหม่ๆ ที่จะมาเกี่ยวพันข้องภาคการธนาคาร

Exit mobile version