สกมช. ปลื้มหน่วยงานภาครัฐ-เอกชน ตบเท้าร่วมโครงการปั้นผู้จัดการด้านความมั่นคงปลอดภัยไซเบอร์กว่า 1,000 คน คัดเหลือ 600 คน เข้าสู่โปรแกรมอบรมระดับเข้มพร้อมสอบใบประกาศ CISSP คาดมีผู้ผ่านมาตรฐาน 50 คนภายในต้นปีหน้า ดันหน่วยงานปั้นตำแหน่ง CISO บริหารจัดการความเสี่ยงด้านไซเบอร์ตามกฎหมาย
พลอากาศตรีอมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่า กฎหมายลูกของ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ระบุว่าหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII : Critical Information Infrastructure) ต้องมีตำแหน่ง Chief Information Security Officer (CISO) เพื่อทำหน้าที่บริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ จึงจำเป็นต้องมีความรู้ด้านการบริหารจัดการในการเป็นผู้วางแผนรับมือกับภัยไซเบอร์ที่จะเกิดขึ้นร่วมกับประธานเจ้าหน้าที่บริหาร หรือซีอีโอ ไม่ว่าจะเป็นการวางระบบเองหรือใช้เอาต์ซอร์สจากบริษัทอื่นหากไม่มีการบริหารความเสี่ยงที่ดีเมื่อเกิดช่องโหว่หน่วยงาน CII ต้องรับผิดทางกฎหมาย
ทว่าในตำแหน่งดังกล่าวยังมีหน่วยงาน CII โดยเฉพาะในหน่วยงานภาครัฐไม่ค่อยมีตำแหน่งนี้ ส่วนใหญ่เป็นเพียงตำแหน่ง CIO (Chief Information Officer) ซึ่งเป็นตำแหน่งดูแลเรื่องเทคนิคมากกว่าการวางแผน ดังนั้น สกมช.จึงต้องมีส่วนช่วยในการสร้างบุคลากรด้านนี้ขึ้นผ่านโครงการสอบประกาศนียบัตร CISSP (Certified Information Systems Security Professional) สมาคมไอเอสซี สแควร์ ภาคพื้นกรุงเทพมหานคร ซึ่งเป็นองค์กรระดับสากลที่เกิดจากการรวมตัวของผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อยกระดับผู้เชี่ยวชาญด้านไอทีไปสู่ผู้เชี่ยวชาญด้านความมั่นคงความปลอดภัยไซเบอร์ระดับสูง และก้าวขึ้นสู่ตำแหน่ง CISO ซึ่งปัจจุบันในประเทศไทยมีบุคลากรที่ได้ประกาศ CISSP เพียง 270 คน และส่วนใหญ่เป็นหน่วยงานเอกชน ขณะที่สิงคโปร์มีบุคลากรด้านนี้ 3,000 คน มาเลเซีย มี 400 คน
“ตัวเลขคนได้รับประกาศ CISSP ของประเทศไทยนิ่งอยู่ที่ 270 คน มาหลายปีแล้ว เพราะเป็นการสอบที่ยาก และมีค่าใช้จ่ายสูง สกมช.จึงต้องทำหน้าที่กระตุ้นให้เพิ่มขึ้น เพราะเข้าใจว่าหน่วยงานโดยเฉพาะภาครัฐอาจมีข้อจำกัดเรื่องงบประมาณ ที่น่าเป็นห่วงคือภาคการศึกษา ปัจจุบันพบว่าเป็น CII ที่น่าเป็นห่วงที่สุดเพราะมีช่องโหว่ถูกฝังมัลแวร์ และสามารถเป็นจุดเริ่มต้นกระจายความเสี่ยงไปยังองค์กรอื่นๆ ได้ง่ายกว่าภาคสาธารณสุข”
พลอากาศตรีอมร กล่าวว่า หลังจากเปิดรับสมัครโครงการสอบประกาศนียบัตร CISSP มีหน่วยงานที่สนใจส่งเจ้าหน้าที่เข้าร่วมกิจกรรมกว่า 1,000 คน ส่วนใหญ่เป็นภาคการเงิน ธนาคารและโทรคมนาคม โดย สกมช.ได้คัดคนเหลือ 600 คน ที่มีคุณสมบัติและความพร้อมในการเข้าร่วมอบรมหลักสูตรความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ระดับสูงเพื่อให้มีความรู้ความเข้าใจเตรียมตัวสอบประกาศนียบัตร CISSP คาดว่าจะมีผู้ได้รับใบประกาศประมาณ 50 คน ภายในต้นปีหน้า เพื่อป้อนบุคลากรให้ประเทศ ส่วนผู้ที่ไม่ผ่านจะได้รับความรู้ ความเข้าใจ เกิดการสร้างเครือข่าย มีความรู้ ความเข้าใจในสายงานใหม่นี้ ทั้งกับคนที่มาอบรมเองและหน่วยงานที่ส่งตัวแทนเข้าร่วมอบรม โดยยังสามารถเข้าร่วมกิจกรรมเพื่อสอบใบประกาศในปีถัดไปได้
สกมช.ต้องการให้เป็นโครงการระยะยาว ทำอย่างต่อเนื่อง โดย สกมช.ได้งบประมาณมาจากกองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม (กองทุนดีอี) ของสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.) เพราะแม้เทรนด์การใช้งานคลาวด์เพิ่มสูงขึ้น ไม่ได้หมายความว่าบุคลากรในหน่วยงานไม่จำเป็นต้องรู้เรื่องภัยไซเบอร์เพราะเมื่อเกิดช่องโหว่หน่วยงานต้องรับผิดชอบ การมีตำแหน่ง CISO ในองค์กรจะช่วยทำให้หน่วยงานมีการวางแผนบริหารความเสี่ยงตลอดจนการวางงบประมาณในการใช้เทคโนโลยีอย่างคุ้มค่า นอกจากนี้ ยังเป็นการยกระดับของประเทศโดยเฉพาะอันดับของประเทศในด้านไซเบอร์ ซิเคียวริตีด้วย
อย่างไรก็ตาม เพื่อให้ตำแหน่ง CISO เกิด บุคลากรมีแรงบันดาลใจในการสอบประกาศนียบัตร CISSP ฝ่ายทรัพยากรบุคคลของแต่ละหน่วยงานต้องให้ความสำคัญด้วยการสร้างแรงจูงใจไม่ว่าจะเป็นเงินเดือนที่เพิ่มขึ้น หรือหากเพิ่มเงินเดือนไม่ได้ก็ต้องสร้างความสำคัญกับบุคลากรด้านนี้ให้ชัดเจนเพื่อยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ และเป็นการยกระดับอันดับความเชื่อมั่นด้านความปลอดภัยของประเทศไทยในระดับอาเซียน
ด้านนายธนวัต ทวีวัฒน์ นายกสมาคมไอเอสซีสแควร์ ภาคพื้นกรุงเทพมหานคร กล่าวว่า การสอบใบประกาศนียบัตร CISSP ถือเป็นเรื่องสำคัญที่หน่วยงานต่างๆ ทั้งภาครัฐและเอกชนควรสนับสนุนพนักงานขององค์กร เนื่องจากปัจจุบัน เรื่อง ความมั่นคงปลอดภัยทางไซเบอร์ฯ เป็นเรื่องสำคัญ โดยเฉพาะประเทศไทยกำลังพัฒนาสู่ประเทศดิจิทัล ไทยซิตี้เซน และการพัฒนาเศรษฐกิจดิจิทัล ทุกอย่างเป็นดิจิทัลมากยิ่งขึ้นในการดำรงชีวิตประจำวัน แต่มีคนใช้ประโยชน์เรื่องดิจิทัลในทางที่ผิด จึงต้องมีการเตรียมพร้อมรับมือในการรักษาความปลอดภัยในทุกภาคส่วน เพื่อให้เกิดความสบเรียบร้อย ซึ่งตอนนี้ประเทศไทยยังขาดแคลนบุคลากรที่เชี่ยวชาญในทุกระดับ ซึ่งการอบรมและสอบใบประกาศจะเน้นการบริหารความเสี่ยงและการเลือกใช้เทคโนโลยีที่เหมาะของแต่ละองค์กร
ขณะที่นายสุรชัย ฉัตรเฉลิมพันธุ์ CSPO (Country Cyber Security & Privacy Officer) หัวเว่ย ประเทศไทย กล่าวว่า การดำเนินโครงการนี้ของ สกมช. ถือเป็นโครงการของการสอบใบประกาศ CISSP ที่มีผู้เข้าร่วมอบรมมากกว่า 1,000 คน ซึ่งไม่เคยมีมาก่อน และยังมีการนำรุ่นพี่ที่สอบผ่านมาช่วยแนะนำแนวทางให้ผู้เข้าร่วมอบรม จากเดิมที่ต้องอ่านเอง หาความรู้เอง จึงเป็นกิจกรรมที่ดี และถือเป็นโอกาสดีที่ภาครัฐและเอกชนจับมือกัน เพื่อช่วยให้ประเทศไทยมีบุคลากรด้านไซเบอร์ซิเคียวริตีที่สอบใบประกาศ ซึ่งเป็นที่ยอมรับในระดับสากล ขณะเดียวกัน ในส่วนของฝ่ายบุคคล หรือเอชอาร์ขององค์กรต่างๆ ถือเป็นส่วนสำคัญที่จะสนับสนุนและส่งเสริมพนักงาน เนื่องจากผู้สอบต้องมีประสบการณ์อย่างน้อย 5 ปี และค่าสอบที่แพง และเมื่อสอบผ่านได้แล้ว เอชอาร์ก็มีส่วนสำคัญในการรักษาบุคลากรเหล่านี้ให้อยู่ทำงานเพื่อประโยชน์สูงสุดในการพัฒนาองค์กร