ตั้งแต่มีการประกาศบังคับใช้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 จนมีการตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขึ้นมาดำเนินการตามกฎหมายนั้น มิติของการทำงานออกสู่สาธารณชนยังมีเพียงแค่การให้ความรู้และพัฒนาบุคลากรด้านไซเบอร์เท่านั้น ขณะที่ภัยไซเบอร์โดยเฉพาะการแฮกข้อมูลมีแนวโน้มจะเพิ่มขึ้นอย่างต่อเนื่องนั้น สกมช.จะมีบทบาทหน้าที่ในการทำงานด้านนี้อย่างไรบ้าง
น.อ.อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่า เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถูกบังคับใช้อย่างเป็นทางการในเดือน มิ.ย.2565 จะยิ่งทำให้องค์กรต่างๆ เป็นเป้าหมายของแฮกเกอร์ขโมยข้อมูลเพื่อเรียกค่าไถ่ โดยเฉพาะข้อมูลส่วนบุคคล เพราะตามกฎหมายหน่วยงานต้องมีหน้าที่รักษาข้อมูลส่วนบุคคลของลูกค้าและมีความผิดเมื่อข้อมูลรั่วไหล ทำให้แฮกเกอร์ใช้แรนซัมแวร์ในการแฮกระบบ ฝังมัลแวร์เพื่อพยายามเจาะข้อมูลกันมากขึ้น ดังนั้น หน่วยงานอย่าง สกมช.ซึ่งก่อตั้งขึ้นตาม พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 ต้องทำงานเฝ้าระวัง สร้างมาตรฐานความปลอดภัยไซเบอร์ ให้ความรู้หน่วยงาน CII ตลอดจนการทำงานในการสืบหาสาเหตุและติดตามแฮกเกอร์มากขึ้น เพราะการมีกฎหมายไม่ได้หมายความว่าจำนวนแฮกเกอร์จะลดน้อยลง แต่การมีกฎหมายจะช่วยป้องกันและเอาผิดกับผู้กระทำผิดได้
ทั้งนี้ สกมช.ได้กำหนดให้ CII (Critical Information Infrastructure ) หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบด้วย 7 ด้าน ได้แก่ ด้านความมั่นคงภาครัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข ซึ่งปัจจุบันมี CII จำนวน 54 องค์กร แต่ไม่สามารถเปิดเผยรายชื่อได้ เพราะเกรงว่าจะเป็นเป้าหมายความท้าทายของแฮกเกอร์ และ สกมช.ได้มีการประกาศมาตรฐานด้านไซเบอร์ให้หน่วยงานกำกับ หน่วยงานรัฐ และหน่วยงาน CII แล้ว 15 กรอบมาตรฐาน เช่น การรับมือกับภัยคุกคามทางไซเบอร์ (Cyber incident response) การประเมินความเสี่ยงทางไซเบอร์ (Cyber risk assessment) การตรวจสอบความปลอดภัย (Auditing) เป็นต้น ซึ่งการที่หน่วยงานในประเทศไทยจะสามารถสร้างมาตรฐานได้ต้องใช้เวลา และให้ความรู้ รวมถึงอัปเดตภัยคุกคามต่างๆ อยู่ตลอดเวลา
ดังนั้น ที่ผ่านมา สกมช.จึงทำงานทั้งในเชิงให้ความรู้หน่วยงาน CII ภาครัฐและเอกชน รวมถึงการแก้ปัญหาหน่วยงานที่ถูกแฮกข้อมูล หาสาเหตุการถูกแฮก ติดตาม และแกะรอยแฮกเกอร์เพื่อนำมาดำเนินคดีตาม พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 มาโดยตลอด แต่ที่ผ่านมาไม่สามารถให้ข่าวได้เพราะต้องขึ้นอยู่กับหน่วยงานเจ้าของข้อมูลว่าต้องการให้เป็นข่าวหรือไม่ และเกือบทุกกรณี สกมช.ยืนยันว่าได้ดำเนินการตรวจสอบก่อนที่จะเป็นข่าวทุกครั้ง และเมื่อมีการถูกแฮกข้อมูล บางหน่วยงานยังไม่รู้ว่าตัวเองถูกแฮก เมื่อ สกมช.ตรวจพบจะแจ้งให้สำนักข้อมูลส่วนบุคคล แจ้งไปยังเจ้าของข้อมูลภายใน 72 ชั่วโมง แต่การตามหาสาเหตุและไล่เส้นทางของแฮกเกอร์ตัวจริง ต้องใช้เวลาและเป็นความลับเพื่อให้ได้ข้อมูลที่แท้จริงมากที่สุด
น.อ.อมร กล่าวเพิ่มเติมว่า มีบางหน่วยงานที่ตั้งเฟซบุ๊ก หรือทวิตเตอร์ขึ้นมาเอง โดยฝ่ายประชาสัมพันธ์องค์กร ไม่ได้ผ่านฝ่ายไอที การถูกแฮกไม่ได้มาจากฝ่ายไอที คนตั้งรหัสผ่านไม่ทราบถึงวิธีการตั้งรหัสผ่านที่ปลอดภัย ยังมีการตั้งแบบง่าย และใช้มายาวนานไม่มีการเปลี่ยน ดังนั้น การให้ความรู้บุคลากรเกี่ยวกับภัยไซเบอร์ การป้องกันภัยไซเบอร์จึงจำเป็น ประกอบกับบุคลากรด้านนี้มีความขาดแคลนและงบประมาณไม่สามารถจ้างงานในด้านนี้มาทำงานได้เพราะค่าแรงสูง ภารกิจของ พ.ร.บ.นี้จึงต้องมีการให้ความรู้ด้านไซเบอร์ เพื่อเป็นการป้องกัน ควบคู่กับการปราบปรามของ สกมช.ด้วย
“อีกปัญหาคือ แอปปลอมที่หลอกให้ประชาชนดาวน์โหลดแล้วปล่อยมัลแวร์ลงเครื่อง เรามีการประสานงานกับแอปเปิลอยู่ตลอดในการแจ้งให้เขาปิด แม้ไม่ใช่งานเราโดยตรง แต่เมื่อมีคนแจ้งมา และพบว่าปลอมจริงเราพร้อมประสานให้ ซึ่งต่อไปจะขยายความร่วมมือกับกูเกิลด้วย ยกเว้นแอปเงินกู้ที่เราไม่มีอำนาจทางกฎหมายไปปิด เพราะเป็นเรื่องการหลอก การปล่อยเงินกู้ จะเกี่ยวข้องกับกฎหมายเงินกู้ ไม่ใช่กฎหมายความมั่นคงปลอดภัยไซเบอร์”
นอกจากนี้ อีกผลงานที่สำคัญของ สกมช.ที่ต้องปฏิบัติตาม พ.ร.บ.คือ การออกกฎหมายลูก ซึ่งกฎหมายกำหนดให้ออกจำนวน 41 ฉบับ ซึ่งได้ดำเนินการไปแล้ว จำนวน 28 ฉบับ เหลืออีก 13 ฉบับ ซึ่งจะดำเนินการให้แล้วเสร็จภายในสิ้นปี 2565
