xs
xsm
sm
md
lg

‘สกมช.’ กับภารกิจ ‘เข็นครกขึ้นภูเขา’

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



‘พล.อ.ปรัชญา เฉลิมวัฒน์’ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) จากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดภารกิจสำคัญปี 2565 สร้างความมั่นคงปลอดภัยไซเบอร์ของประเทศ บนความยากลำบากทั้งเรื่องความขาดแคลนงบประมาณและกำลังคนที่ไม่เป็นไปตามเป้าหมายที่วางไว้ รวมถึงการเป็นหน่วยงานตั้งใหม่ในภาวะที่ประเทศอยู่ในช่วงการแพร่ระบาดของไวรัสโควิด-19

​การชูภาพเรื่องเศรษฐกิจดิจิทัล การพึ่งพิงโลกไซเบอร์ในขณะที่การให้ความสำคัญกับความมั่นคงปลอดภัยจากการถูกโจมตีและกลุ่มแฮกเกอร์ดูสวนทางกันอย่างสิ้นเชิง แม้วันนี้ไทยมี สกมช. เร็วกว่าแค่ลาว พม่า หรือ เขมร แต่ในระดับโลกยังรั้งท้าย ถึงเวลาที่เรื่องไซเบอร์ซิเคียวริตีต้องเป็นมากกว่าแค่คำพูดเท่ๆ ของผู้นำ แต่ต้องให้ความจริงใจในการกระทำด้วย

​อย่าให้ต้องวัวหายแล้วถึงคิดจะล้อมคอก หรือต้องโดนโจมตีถล่มจนเกิดความเสียหายวงกว้างทั้งชีวิตและทรัพย์สินเสียก่อนถึงสำนึกได้


พล.อ.ปรัชญา เลขาธิการ กมช. เล่าให้ฟังถึงพันธกิจหลักๆ ของ สกมช.ว่า ประกอบไปด้วย 1.การจัดทำแผนและจัดทำนโยบายในระดับประเทศและทำเฟรมเวิร์กต่างๆ ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII) ที่มีอยู่ 7 เซ็กเตอร์ให้ปฏิบัติตาม

​2.พัฒนาบุคลากร โดยมีโครงการเพื่อเร่งรัดพัฒนาบุคลากรด้านไซเบอร์ในระดับต่างๆ ตั้งแต่ระดับผู้บริหาร ผู้เชี่ยวชาญ จนถึงระดับพื้นฐาน มีเป้าหมายอยู่ที่ประมาณ 2 พันกว่าคน ระดับผู้บริหารประมาณ 70 คน ระดับผู้เชี่ยวชาญประมาณ 300 คน ภายในปี 65 เป็นเฟสแรก ซึ่งเป็นโครงการต่อเนื่องแต่ต้องลดระดับลงไปจนถึงระดับมัธยม การพัฒนาบุคลากรอีกด้านหนึ่งเป็นการจัดแข่งทักษะทางไซเบอร์ในระดับตั้งแต่มัธยม มหาวิทยาลัย และบุคคลทั่วไป ซึ่งได้รับความสนใจมาก เด็กสมัยใหม่หันมาเห็นถึงความสำคัญเพราะเป็นเส้นทางสายอาชีพที่ดี ทีมไหนเก่ง บริษัทเอกชนจะมาเสนอให้ไปฝึกงานและสามารถมีงานได้ตั้งแต่ยังเรียนเลย ซึ่งเป็นกลุ่มบุคคลมีความสามารถด้านไซเบอร์ซิเคียวริตีที่ประเทศยังขาดแคลน

3.การสร้างความตระหนักให้องค์กรที่เป็น CII รับรู้ว่ามีภัยตรงนี้จะอยู่เฉยๆ ไม่ได้ ต้องป้องกันตัวเอง ต้องทำการลดความเสี่ยงด้วยมาตรการต่างๆ ที่ สกมช.ออกไปช่วย แน่นอนว่าไม่สามารถทำได้ภายในวันเดียว อาจใช้เวลาเป็นปีซึ่งเป็นแผนระยะยาวเพราะมีหลายขั้นตอนที่จะต้องทำ แต่ สกมช.จะเป็นพี่เลี้ยงจัดเวิร์กชอปให้ ซึ่ง CII ทั้ง 7 เซ็กเตอร์จะต้องปฏิบัติตามแนวทางของ พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 หน่วยงานเหล่านี้จึงจะสามารถยกระดับในการป้องกันตัวเอง

‘สกมช.มีพนักงานประมาณ 30 กว่าคน ลูกจ้างอีก 30 กว่าคน เราไม่สามารถดูแลองค์กรกว่า 200-300 องค์กรได้ หน่วยงานต้องรับผิดชอบและดูแลสินทรัพย์ของตัวเองไม่ให้ถูกโจมตีได้ง่ายๆ’

4.การแสวงหาความร่วมมือกับองค์กรต่างๆ ไม่ว่าจะเป็นเอกชนภายในประเทศ กระทรวงต่างๆ รวมถึงองค์กรต่างประเทศซึ่งขณะนี้มีการร่าง MOU กับอิสราเอล จีน อังกฤษ และอีกหลายประเทศ ที่เข้ามาหา สกมช.ในด้านไซเบอร์ซิเคียวริตี เพราะปัจจุบันโลกแบ่งเป็น 2 ข้าง ด้านฝั่งตะวันตก อย่าง EU ก็พยายามผลักดันกฎหมายอย่าง GDPR (General Data Protection Regulation) กับด้านฝั่งจีนกับรัสเซีย ก็พยายามทำ Global Initiative ด้าน Data Security ซึ่งจุดยืนของ สกมช.พยามบอกว่าเป็นกลางไม่เลือกข้าง

อีกสิ่งที่อยากทำคือเรื่องมาตรฐานวิชาชีพด้านนี้ ต้องทำให้มีการรับรองเหมือน กว. ของวิศวกรต่างๆ

‘ทั้งหมดเป็นภารกิจโดยรวม ซึ่งโครงการที่เราจะทำภายใต้งบประมาณปี 65 ที่ได้รับมาประมาณ 100 กว่าล้านบาท จะกระจายไปในงานทั้ง 4 ส่วน และบางส่วนที่ไม่ได้รับงบประมาณตามแผนที่วางไว้จะได้รับงบจากกองทุนดิจิทัลประมาณ 200 กว่าล้าน’

ถึงแม้รับได้งบประมาณสนับสนุนเพิ่มเติมมาจากกองทุนดิจิทัล แต่เป็นเหมือนแค่ ‘ขายผ้าเอาหน้ารอด’ เท่านั้น เมื่อเทียบกับแผนที่วางไว้ตั้งแต่ต้น พล.อ.ปรัชญา กล่าวว่า ตอนเริ่มทำแผนครั้งแรก เอากฎหมายมากางดูภารกิจที่ สกมช.จะทำตามมาตรา 22 จำนวน 16 รายการ มาแตกเป็นโครงการต่างๆ ทำเป็นแผน 3 ปีแล้วดูว่าแต่ละปีจะใช้งบประมาณเท่าไหร่ แต่ปีแรกได้มา 40 ล้านบาท มันช้าเพราะเป็นองค์การมหาชนที่มี พ.ร.บ.เฉพาะ เป็นองค์กรเกิดใหม่ ต้องสร้างทุกอย่างเองหมดทั้งระเบียบ สวัสดิการ ข้อบังคับการปฏิบัติงาน โครงสร้างองค์กร โครงสร้างเงินเดือน แต่พอไม่ได้งบประมาณ ทุกอย่างต้องยืดไปหมดจากแผนเดิม 3 ปีต้องยืดไปเป็นแผน 5 ปี ดีไม่ดีดูจากแนวทางการจัดสรรงบประมาณอาจยืดนานไปถึง 10 ปีกว่าจะแล้วเสร็จ ทั้งหมดที่ สกมช.วางแผนไว้ว่าจะทำในเวลาแค่ 3 ปี

‘ปีแรกเราคิดว่าจะบรรจุ 240 คน แต่ไม่ได้สักคนเพราะมีแต่คนมาช่วยราชการ ไม่สามารถบรรจุได้เพราะไม่ให้เงินมาเลย ภายใต้อุปสรรคเรื่องทรัพยากรที่มีทั้งเรื่องคนและงบประมาณก็ทำได้เท่าที่สามารถทำได้ แต่ถือว่าเราทำได้หลายอย่างภายใต้สภาวะที่จำกัด น้องๆ หลายคนที่มาจากกระทรวงกลาโหมเองก็เป็นยอดฝีมือทุ่มเทเต็มที่ให้การทำงาน’


สำหรับงบประมาณปี 65 ที่ได้มา 100 กว่าล้านบาทใช้ทำเรื่องห้องแล็บ วอร์รูม ซื้อระบบต่างๆ ในเรื่องมัลแวร์ อินฟอร์เมชัน แชร์ริ่ง ทำเรื่องกฎหมายลูกที่เหลือทั้งหมด จัดโปรแกรม สัมมนา พัฒนาบุคลากร ทำเรื่องกฎระเบียบ ซึ่งต้องทำให้เสร็จภายในปี 65 ถ้าไม่สามารถทำกฎหมายลูกให้เสร็จจะมีปัญหา เพราะ พ.ร.บ.ออกมานานแล้ว ทุกอย่างเลยกำหนดไปหมดแล้ว ซึ่งกฎหมายลูกมีจำนวน 41 ฉบับซึ่งได้ดำเนินการไปแล้วจำนวน 28 ฉบับ เหลืออีก 13 ฉบับ ซึ่งจะดำเนินการให้แล้วเสร็จภายในสิ้นปี 65

‘กฎหมายลูกอย่างการต้องมาอธิบายว่าลักษณะหน่วยงานที่เป็นโครงสร้างพื้นฐานที่สำคัญมีอะไรบ้าง เราจะไม่บอกว่าหน่วยงาน a, b, c เป็น แต่ใครอยากรู้ว่าหน่วยงานไหนเป็นบ้าง Regulator จะเป็นผู้กำหนด ซึ่งจะมีกฎหมายอีกฉบับบอกว่าแนวปฏิบัติต้องเป็นอย่างไรบ้าง ต้องมีเรกูเรเตอร์ของแต่ละเซกเตอร์ ต้องมีเซิร์ต หรือ Computer Emergency Response Team (CERT) ของแต่ละเซกเตอร์และของหน่วยงาน คือ ต้องมี 3 ระดับ ตัว สกมช.เองต้องทำ National CERT หรือศูนย์ประสานการรักษาความปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ที่จะดูแลเซกเตอร์ CERT แล้วเซกเตอร์ CERT จะดูแล CERT ขององค์กร’

ปัจจุบัน สกมช.อยู่ระหว่างการถ่ายโอนทรัพย์สิน โดเมนเนมชื่อต่างๆ รวมทั้งความร่วมมือกับเซิร์ตต่างๆ ทั่วโลกของ ‘ไทยเซิร์ต’ เดิมจาก ETDA เพื่อมาทำหน้าที่เป็น National CERT ภายในปีนี้ ซึ่งในระหว่างนี้ไม่ได้รอ แต่มีการทำงานจริงตั้งแต่ต้นปี 64 ถึงตอนนี้เข้าไปช่วยจัดการแก้ปัญหาการโจมตีไซเบอร์ไปแล้วหลายสิบครั้ง

เพราะทันทีที่แฮกเกอร์ประกาศว่ามีข้อมูลรั่ว มีการขายข้อมูล ในคืนวันนั้น สกมช.ต้องเจอจุดเกิดเหตุ เจอผู้รับผิดชอบแล้วต้องรีบพูดคุย เช็กก่อนว่าจริงหรือไม่จริง เพราะบ่อยครั้งที่แฮกเกอร์เอาเรื่องเก่ามาขายซ้ำ บางทีก็หลอกลวง บางทีก็มีจริงปนบ้าง ต้องเช็กให้แน่ใจว่ามันคืออะไรกันแน่ สำรวจขอบเขตความเสียหาย ทำเรื่องเอกสารที่จะชี้แจงออกมา ถ้าไม่จริงต้องมีหลักฐานว่าไม่จริง ถ้าจริงต้องชัดเจนในเรื่องขอบเขตของความเสียหายเพื่อไม่ให้คนตื่นตระหนก

‘เรื่องหลักเวลามันรั่ว นอกเหนือจากการกู้คืนข้อมูลซึ่งอาจจะไม่ยากเพราะคนตื่นตัวเรื่องแบ็กอัป แต่ที่สำคัญต้องหาให้เจอก่อนว่ามาทางไหน เพราะถ้าหาไม่เจอก็จะโดนอีก’


ทั้งนี้ รัฐบาลประเทศไทยแบ่งภัยคุกคามไซเบอร์ไว้ 3 ระดับคือ 1.ภัยไซเบอร์ไม่ร้ายแรง ส่งผลให้เกิดความด้อยประสิทธิภาพในการให้บริการอิเล็กทรอนิกส์ 2.ภัยไซเบอร์ร้ายแรง มีการโจมตีระบบจนเกิดความเสียหาย ไม่สามารถทำงานต่อได้ และ 3.ภัยไซเบอร์ระดับวิกฤต ระบบล้มเหลวจนรัฐทำงานจากส่วนกลางไม่ได้ ส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศจนล้มเหลวทั้งระบบ

‘พ.ร.บ.ไซเบอร์ให้อำนาจเฉพาะช่วงที่มีการถูกโจมตีระดับร้ายแรงและระดับวิกฤต ถ้าระดับธรรมดาเราไม่สามารถดูข้อมูลใครได้ แน่นอน และการเข้าไปดูไม่ใช่การสอดแนม แต่คือการไปช่วยเหลือ ถ้าระบบล่มคุณต้องให้ผมดูนะว่าทำไมมันล่ม และจะป้องกันอย่างไร ถ้าคุณไม่ให้ผมดู ผิดกฎหมายเพราะจะมีหมายศาลมาอนุญาตให้เข้าดู แต่มีเคสน้อยมากที่เกิดในระดับวิกฤต’

*** PDPA ส่งผลดีกับ สกมช.


น.อ.อมร ชมเชย รองเลขาธิการ สกมช. กล่าวว่า เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ถูกบังคับใช้อย่างเป็นทางการในเดือน มิ.ย.65 จะทำให้องค์กรต่างๆ เป็นเป้าหมายของแฮกเกอร์ขโมยข้อมูลเพื่อเรียกค่าไถ่ โดยเฉพาะข้อมูลส่วนบุคคล เพราะตามกฎหมายหน่วยงานต้องมีหน้าที่รักษาข้อมูลส่วนบุคคลของลูกค้าและมีความผิดเมื่อข้อมูลรั่วไหล ทำให้แฮกเกอร์ใช้แรนซัมแวร์ในการแฮกระบบ ฝังมัลแวร์เพื่อพยายามเจาะข้อมูลกันมากขึ้น

ดังนั้น หน่วยงานอย่าง สกมช.ต้องทำงานเฝ้าระวัง สร้างมาตรฐานความปลอดภัยไซเบอร์ ให้ความรู้หน่วยงาน CII ตลอดจนการทำงานในการสืบหาสาเหตุและติดตามแฮกเกอร์มากขึ้น เพราะการมีกฎหมายไม่ได้หมายความว่าจำนวนแฮกเกอร์จะลดน้อยลง แต่การมีกฎหมายจะช่วยป้องกันและเอาผิดกับผู้กระทำผิดได้

‘PDPA ช่วยเราได้ เพราะที่ห่วงคือรั่วผ่านไซเบอร์ ตาม พ.ร.บ. PDPA มีโทษทั้งปรับและจำคุก’

สิ่งที่น่าเป็นห่วงที่สุดหากเกิดการโจมตีไซเบอร์คือ เซกเตอร์ด้านสาธารณสุข เพราะมีข้อมูลที่เกี่ยวข้องกับชีวิตประชาชน ถ้าตัวระบบเสียแล้วผ่าตัดไม่ได้ อันนี้เรื่องใหญ่ เรื่องยายังมีโอกาส ให้คนไข้ถือถุงยามา เคยกินอะไรก็จ่ายแบบนั้น แต่เรื่องผ่าตัด หากระบบที่โดนโจมตีเป็นเรื่องเกี่ยวกับดูผลเลือด ผลเอกซเรย์ ผลแล็บ แล้วมันดูไม่ได้ มันผ่าตัดไม่ได้ เรื่องนี้ที่ สกมช.เป็นห่วงมาก

‘เรื่องอื่นยังพอทนได้ ไฟฟ้าไม่มา เน็ตล่ม แต่ถ้าชีวิตที่ขึ้นอยู่กับการผ่าตัด มันเป็นอะไรที่น่าเป็นห่วงมาก หรือกรณีแอปหมอพร้อม เรื่องเกี่ยวกับฐานข้อมูลวัคซีน เรื่องเกี่ยวกับโฮมไอโซเลชัน ถ้าระบบเดี้ยงจะไม่รู้เลยว่าคนไข้อยู่ที่ไหน จะเอายาเอาอาหารไปส่งที่ไหน โรงพยาบาลจะไม่รู้เลยซึ่งจะเป็นปัญหาและตรงนี้สำคัญเพราะเกี่ยวข้องกับชีวิตประชาชน ที่จะช่วยให้ประเทศผ่านพ้นวิกฤตโควิดไปได้’
อย่างไรก็ตาม สิ่งที่ยังถือเป็นโชคดีของประเทศไทยคือเราไม่ได้มีข้อขัดแย้งที่รุนแรงกับประเทศมหาอำนาจด้านเทคโนโลยีของโลก จึงทำให้การโจมตีที่เกิดขึ้นเป็นแค่ระดับแฮกเกอร์ จู่โจมขโมยข้อมูลเรียกค่าไถ่

‘โชคดีคือเราไม่ได้มีข้อขัดแย้ง ซึ่งถ้ามีเมื่อไหร่เราไม่รอดแน่ อย่างถ้าเราไปขัดแย้งกับรัสเซีย จีน สหรัฐฯ พวกนี้โจมตีทีเดียวเราร่วงหมดเลย ด้วยศักยภาพ ด้วยคน ด้วยเทคโนโลยี ความก้าวหน้าต่างๆ ในโลกไซเบอร์ ไม่มีอะไรปลอดภัย ผมว่าในเชิงนโยบาย ยุทธศาสตร์ต้องลดความขัดแย้งก่อนจะมีความเสี่ยงน้อยลงที่จะถูกโจมตี เราโดนแค่เบาๆ อย่างพวกอาชญากรไซเบอร์ที่เอาแรนซัมแวร์มายิง เจาะดูดข้อมูลออก เอาไปขาย เรียกค่าไถ่ ก็จะโดนแค่ประมาณนี้’

พล.อ.ปรัชญา กล่าวทิ้งท้ายว่า ตามอัตราโครงสร้าง สกมช. ต้องมี 480 คนเต็มอัตรา แต่ปัจจุบันจ้างคนได้ไม่ถึง 10% ถึงแม้โครงสร้างเงินเดือนไม่ขี้เหร่ เทียบเท่า รัฐวิสาหกิจแต่ที่สำคัญคือไม่มีเงินจ้าง ปีแรกยังได้มาแค่บรรจุ 30 คน

‘ต้องได้แรงกระตุ้นจากแรงกระแทก ถ้ามันถูกโจมตีแรงๆ เงินมาแล้วคนก็ต้องมา เราไม่ได้ขัดแย้งกับประเทศใหญ่ๆ โอกาสที่จะถูกกระแทกก็น้อย’ แต่เรื่องที่น่ากลัวของภัยไซเบอร์ในความเห็นเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติคือ

‘เราพร้อมโดนโจมตีตลอด’

‘สกมช.’ กับภารกิจ ‘เข็นครกขึ้นภูเขา’
‘สกมช.’ กับภารกิจ ‘เข็นครกขึ้นภูเขา’
‘สกมช.’ กับภารกิจ ‘เข็นครกขึ้นภูเขา’
‘สกมช.’ กับภารกิจ ‘เข็นครกขึ้นภูเขา’
‘สกมช.’ กับภารกิจ ‘เข็นครกขึ้นภูเขา’
กำลังโหลดความคิดเห็น