“สกมช.” จัดกิจกรรมเร่งหน่วยงานโครงสร้างพื้นฐานด้านสารสนเทศทำระบบไซเบอร์ซิเคียวริตีตามมาตรฐานขั้นต่ำ ก่อน กม.จะมีผลบังคับใช้ในวันที่ 6 ก.ย.นี้
พล.อ.ปรัชญา เฉลิมวัฒน์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เปิดเผยว่า สำนักงาน กมช.ได้จัดงานให้ความรู้เกี่ยวกับ ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ตามประกาศของคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ ที่กำหนดมาตรฐานขั้นต่ำไว้ จะมีผลบังคับใช้ในวันที่ 6 ก.ย.นี้ รวมถึงแนวทางการขึ้นทะเบียนเป็นศูนย์ประสานการรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์สำหรับหน่วยงาน CII ตามประกาศ กมช. จะมีผลบังคับใช้ในวันที่ 23 ส.ค.นี้เช่นกัน ซึ่งกิจกรรมนี้ต้องการให้หน่วยงานดังกล่าวได้ทราบแนวทางการดำเนินงานให้สอดคล้องเป็นไปตามประกาศที่กฎหมายกำหนด
นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้ทรงคุณวุฒิด้านกฎหมาย กมช. กล่าวว่า แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงาน CII จะเริ่มมีผลบังคับใช้ ในวันที่ 6 ก.ย. หลังจากผ่อนปรนมา 1 ปี ซึ่งต่อจากนี้ สกมช. จะมีการตรวจสอบหน่วยงานดังกล่าวอย่างจริงจังว่า ได้จัดทำได้ตามมาตรฐานขั้นต่ำ คือ ISO 27001 หรือไม่ เนื่องจากเป็นหน่วยงานที่ให้บริการกับประชาชนจำนวนมาก ทาง สกมช .จึงได้ยึดตามมาตรฐานสากลที่ต้องมีการแจ้งเตือน ตรวจสอบ และมีมาตรการประเมินความเสี่ยงและเมื่อเกิดเหตุภัยคุกคามขึ้นมาต้องดำเนินการอย่างไรบ้าง
ด้านนายปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กมช.กล่าวว่า ปัจจุบันหน่วยงานด้าน CII ของไทยได้มีการตระหนักในเรื่องไซเบอร์ซิเคียวริตีเพิ่มมากขึ้นแล้ว สิ่งที่ต้องเร่งดำเนินต่อไป คือการพัฒนาระบบรักษาความมั่นคงปลอดภัยให้ได้ตามเกณฑ์มาตรฐานขั้นต่ำ ตามที่กฎหมายกำหนด เพื่อป้องการการถูกแฮกข้อมูล หรือโดนโจมตีจนระบบล่ม ซึ่งอาจส่งผลกระทบในวงกว้างได้ โดยทาง สกมช. จะมีการออกแนวทางปฎิบัติ หรือไกด์ไลน์ให้หน่วยงานที่เกี่ยวข้องเหล่านี้ ซึ่งในกลุ่มการเงิน ประกันได้มีการปรับตัวและพัฒนาได้ตามมาตรฐานแล้ว ไม่น่าเป็นห่วง แต่ในอุตสาหกรรมอื่นๆ เช่น เฮลท์แคร์ และพลังงาน ยังมีอัตราการถูกโจมตีสูงมาก จึงต้องมีการปรับให้ได้มาตราฐานโดยทาง สกมช .จะทำหน้าที่เป็นที่ปรึกษาให้ แม้กฎหมายจะบังคับเมื่อทุกคนมีมาตรฐานขั้นต่ำแล้วไม่ต้องกลัวเรื่องโดนคดีอาญาเพราะองค์กรได้ทำดีที่สุดแล้ว เป้าของ สกมช.คือระบบต้องไม่ล่ม ไม่ซื้อเทคโนโลยีผิดทาง เพราะปัญหาของไซเบอร์ ซิเคียวริตีไม่ต้องแก้ปัญหาด้วยเทคโนโลยีราคาสูง ความสำคัญคือบุคลากรต้องมีความรู้
พล.อ.ต.อมร ชมเชย รองเลขาธิการ กมช. กล่าวเพิ่มเติมว่า ภายในงานได้มีการชี้ให้เห็นถึงแนวทางการดำเนินการของหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญ
ทางสารสนเทศ ตามประกาศ กกม. เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ.2564 และแนวทางการดำเนินการของ Sectoral CERT ตามประกาศ กมช. เรื่อง ลักษณะ หน้าที่ และความรับผิดชอบของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและภารกิจหรือให้บริการที่เกี่ยวข้อง พ.ศ.2564
ทั้งนี้ สกมช.ได้กำหนดให้ CII (Critical Information Infrastructure ) หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบด้วย 7 ด้าน ได้แก่ ด้านความมั่นคงภาครัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข ซึ่งปัจจุบันมี CII จำนวน 54 องค์กร แต่ไม่สามารถเปิดเผยรายชื่อได้ เพราะเกรงว่าจะเป็นเป้าหมายความท้าทายของแฮกเกอร์ และ สกมช.ได้มีการประกาศมาตรฐานด้านไซเบอร์ให้หน่วยงานกำกับ หน่วยงานรัฐ และหน่วยงาน CII แล้ว 15 กรอบมาตรฐาน เช่น การรับมือกับภัยคุกคามทางไซเบอร์ (Cyber incident response) การประเมินความเสี่ยงทางไซเบอร์ (Cyber risk assessment) การตรวจสอบความปลอดภัย (Auditing) เป็นต้น
