เปิดยุทธศาสตร์ “สกมช.” เดินหน้ารักษาความมั่นคงปลอดภัยไซเบอร์ในประเทศไทยเต็มที่ไม่สนงบปี 67 ล่าช้า 6 เดือน วาดหวังสร้างยุค cloud security first ที่องค์กรไทยตื่นตัวทำไซเบอร์ซีเคียวริตี้ให้แข็งแรงเพื่อปกป้องข้อมูลบนคลาวด์ตั้งแต่แรก ฟันธงปัจจัยหลักดันฝันนี้เป็นจริงได้คือการพัฒนาบุคลากรไซเบอร์ไทย เบื้องต้นเล็งขยายผลโปรเจกต์ปั้นบุคลากรไซเบอร์สู่ภาคส่วนอื่น เพื่อเข็นประเทศไทยให้เกิดการสร้างคนคุณภาพอย่างยั่งยืน
การขยายผลโปรเจกต์ปั้นบุคลากรไซเบอร์ไทยของ สกมช. นั้นเป็นประเด็นที่มีการพูดถึงมานานปี สำหรับช่วงปีนี้ถึงปีหน้า สกมช. จะต่อยอดมุมมองใหม่ที่ได้เคยทำร่วมกับ “หัวเว่ย” แบรนด์ไอซีทีระดับโลกที่ช่วยสนับสนุนทั้งการจัดแข่งขันและอบรมอย่างต่อเนื่องในประเทศไทยบนโร้ดแมป 3-5 ปี ภายใต้โครงการฝึกอบรมและแข่งขันชื่อ Thailand Cyber Top Talent, Woman Thailand Cyber Top Talent และงานสัมมนาเพื่อเสริมสร้างองค์ความรู้และความร่วมมือด้านความปลอดภัยทางไซเบอร์รูปแบบต่าง ๆ ที่จัดร่วมกัน ซึ่งในปีที่ 4 หัวเว่ยจะยังได้รับความไว้วางใจในเรื่องไซเบอร์ซีเคียวริตี้และเป็นตัวเอกบนเวทีการพัฒนาบุคลากรไซเบอร์ของประเทศ เพื่อให้ cloud security first เกิดจริงในเมืองไทย
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อธิบายเหตุผลที่ไทยต้องยึดแนวคิด cloud security first ว่าเพราะบริการคลาวด์นั้นหลีกเลี่ยงไม่ได้ในปัจจุบันที่หลายล้านบริการปักหลักอยู่บนคลาวด์ จุดนี้ทำให้ทุกส่วนในองค์กรต้องเข้าใจในบริบทใหม่ จากที่เคยมีข้อมูลทุกอย่างอยู่ในมือ แต่เมื่อส่งข้อมูลขึ้นคลาวด์แล้ว ผู้บริหารหลายคนยังเข้าใจผิดว่าเมื่อนำข้อมูลขึ้นคลาวด์นั้นปลอดภัยต่อการโจมตีตั้งแต่เริ่มโดยไม่ต้องดำเนินการใด ซึ่งแท้จริงแล้วผู้ใช้บริการคลาวด์จะต้องมีส่วนรับผิดชอบด้วย โดยต้องวางซิเคียวริตี้ในระบบคลาวด์ของตนเอง
“เหมือนการเข้าพักในโรงแรม ถ้าใครไม่มีบัตรคีย์การ์ด ก็จะเข้าห้องไม่ได้ แต่ถ้าผู้เข้าพักเปิดประตูทิ้งเอาไว้ ก็เกิดเป็นปัญหาตามมา ตรงนี้เป็นมุมใหม่ที่ทุกคนต้องเข้าใจให้ตรงกัน ว่าการใช้ระบบคลาวด์อาจจะตอบความต้องการบางอย่างได้ แต่ไม่ทุกอย่าง และเราต้องเข้าใจมัน”
เพื่อสร้างความเข้าใจในวงกว้าง พลอากาศตรี อมร ย้ำว่า สกมช. จะมุ่งดำเนินการอย่างเข้มข้นเป็นพิเศษตลอดช่วงปลายปีนี้ถึงปีหน้า (2566 - 2567) สาเหตุส่วนหนึ่งเป็นเพราะผลต่อเนื่องจากการแก้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ที่มีการเพิ่มบทลงโทษให้หนักมากขึ้น เพื่อกระตุ้นให้ผู้ดำเนินการโครงสร้างพื้นฐานสำคัญของประเทศไทย ลงมือเตรียมการและมีแผนรับมือรัดกุมกับภัยไซเบอร์ที่อาจเกิดขึ้น ดังนั้น ปี 67 จึงเป็นปีที่จะมีการพูดคุยในวงกว้าง เพื่อให้องค์กรในประเทศไทยทราบว่า พ.ร.บ. นี้ทำงานอย่างไร และหน่วยงานสามารถเริ่มทำอะไรได้แม้จะไม่มีงบประมาณก็ตาม
“ผู้บริหารสูงสุดขององค์กรต้องเข้าใจ ว่าสภาพภัยคุกคามของตัวเองคืออะไร จะต้องเตรียมคน เตรียมของ เพื่อให้มีการบริหารจัดการที่ดี” พลอากาศตรี อมร กล่าว “ที่ต้องเข้มกับปีนี้มาก เพราะการเริ่มใช้ พ.ร.บ. ก็เหมือนกับกฏหมายอื่น ที่ไม่ได้บรรลุผลสำเร็จตั้งแต่วันแรกที่ประกาศ เนื่องจากหน่วยงานยังขาดความรู้ และบุคลากรที่เข้าใจ“
พลอากาศตรี อมร ยกตัวอย่างจำนวนบุคลากรในหน่วยงานรัฐ เฉพาะข้าราชการที่มีจำนวน 4.6 แสนราย ปัจจุบันมีบุคลากรด้านไอซีทีเพียง 0.5% ดังนั้น พันธกิจควบคุมภัยไซเบอร์ในปีนี้จึงอยู่ที่การพัฒนาคน ตั้งแต่ผู้บริหาร ไปถึงผู้ให้บริการ เพื่อให้ระบบหลักมีความเข้มแข็ง
นอกจากการเตรียมบุคลากรเพื่อป้องกันภัยระดับองค์กร (เช่นภัยข้อมูลรั่วไหล) สกมช. ยังเห็นความจำเป็นในการแก้ปัญหาการหลอกลวงออนไลน์ที่เกิดกับประชาชน ซึ่งความเสียหายนั้นไม่ใช่แค่จำนวนเงิน แต่มีผู้เสียชีวิตจากการถูกหลอกเกิน 10 คน ในช่วงปีที่ผ่านมา
พลอากาศตรี อมร ยอมรับว่าแม้สถานการณ์ภัยไซเบอร์จะดีขึ้นมาก ในภาคสาธารณสุขที่มีเหตุการณ์ข้อมูลรั่วไหลลดลง เช่นเดียวกับปัญหา "เว็บไซต์ภาครัฐถูกแฮก" ที่น้อยลงในปี 66 เนื่องจากผู้บัญชาการของหลายหน่วยงานหมั่นคอยติดตามและให้ความสำคัญแม้จะไม่มีงบประมาณอัดฉีดเพิ่ม แต่ที่น่าเป็นห่วงคือภาคการศึกษา ซึ่งไม่ใช่ระดับมหาวิทยาลัย แต่เป็นระดับ รร. ประถม-มัธยม ที่ไม่มีคนไอที และให้ครูสอนคอมพ์มาดูแลระบบ จุดนี้ พ.ร.บ. ไม่มีอำนาจบังคับใช้แก้ปัญหาได้โดยตรง สกมช. จึงมุ่งบูรณาการไปยังกฎหมายอื่นที่เกี่ยวข้องกับหน่วยงานการศึกษา เชื่อว่าการดำเนินการลักษณะนี้จะนำไปสู่การรักษาความปลอดภัยที่ดีขึ้น
ในอีกด้าน ความท้าทายหนึ่งที่ สกมช. พบคือบางหน่วยงานมีการสำรองข้อมูลแล้วแต่เก็บอยู่ในสถานที่เดียวกัน ดังนั้น สิ่งสำคัญคือองค์กรจะต้องมีการซักซ้อม และ สกมช. จะต้องเตรียมองค์กรให้รู้ว่าหากถูกเรียกค่าไถ่ข้อมูลแล้วจะต้องทำอย่างไร เบื้องต้น สกมช. ยังคงมุ่งให้องค์กรเข้าใจถึงความจำเป็นในการออกแบบระบบที่มีความปลอดภัยตั้งแต่แรกเริ่ม เนื่องจากการเพิ่มเติมระบบในภายหลังนั้นจะอาจเพิ่มต้นทุนจนล้นจากงบประมาณที่มี
“ต้องวางแผนไว้ก่อนล่วงหน้า ไม่นั้นจะงบไม่พอ การเลือกใช้คลาวด์เฟิร์ส ต้องให้มั่นใจว่า ได้รวมระบบซีเคียวริตี้ไว้แล้วหรือยัง ข้อมูลที่เราจะไปฝากไว้ที่เขานั้นปลอดภัยหรือไม่ เราอาจจะต้องทดสอบการเจาะระบบหรือทำ Penetration test ซึ่งเป็นบริการทดสอบการบุกรุกระบบที่ต้องจ้างคนมาตรวจสอบในมุมมองของแฮกเกอร์”
แม้จะมีบริษัทรับทดสอบอย่างเป็นทางการในประเทศไทย แต่ไวท์แฮทแฮกเกอร์ไทยยังขาดแคลนและไม่เพียงพอต่อความต้องการ สกมช. จึงทำโครงการฝึกอบรมและแข่งขันร่วมกับหัวเว่ยในชื่อ Thailand Cyber Top Talent ซึ่งจัดขึ้นเป็นปีที่ 3 ได้รับความสนใจมากจากนักเรียนชั้น ม.1-ม.6
“กลุ่มนี้เป็นลูกค้าหลัก เขามองเป็นความท้าทาย เพราะเป็นการเปิดให้ทำในสิ่งที่คนทั่วไปทำไม่ได้ งานนี้จะเป็นพื้นที่ปลอดภัย ไม่มีการแฮกกับระบบจริง ที่ผิดกฏหมาย เราสามารถรู้จักหน้าตาของน้อง ๆ ที่สนใจด้านนี้ และสามารถสื่อสารกับ รร. ในการปูทางสู่อาชีพที่ยั่งยืน”
เบื้องต้น สกมช. มีการร่วมมือกับกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม (อว.) เพื่อรองรับเด็ก ม.6 โดยนอกจากใบประกาศนียบัตร (เซอร์ติฟิเคท) อาจจะมีการออกจดหมายแนะนำ เพื่อให้มหาวิทยาลัยรับนักเรียนเข้าไปศึกษาได้ง่ายขึ้น โดยเฉพาะในกรณีที่ผลการเรียนไม่ถึงเกณฑ์เข้าศึกษาในคณะวิทยาศาสตร์คอมพิวเตอร์ หรือหลักสูตรด้านไซเบอร์ซีเคียวริตี้โดยตรง
“ปีล่าสุดที่ประกวด มีจำนวนผู้เข้าร่วมเพิ่มขึ้นกว่า 2 เท่าจากปีแรกที่จัด จาก 1,000 รายเป็น 2,323 ราย ตรงนี้เราต้องดูอนาคตน้องต่อเนื่อง เป้าหมายของเราคืออยากให้น้องระดับมัธยมฯ ราวครึ่งหนึ่งได้เรียนและพัฒนาต่อไป หลังจากได้ค้นพบตัวเองและมีแรงบันดาลใจเต็มที่ในวันแข่งขัน”
นอกจากผู้เข้าแข่งขัน สกมช. ยังต้องการสนับสนุนให้ผู้สนใจสามารถ "อบรมจบแล้วมีงานทำ" โดยได้ร่วมมือกับบริษัทที่มีหลักสูตรอย่างหัวเว่ย ซึ่งเข้าร่วมโดยสนับสนุนทั้งเนื้อหา ศูนย์ปฏิบัติการหรือแล็บ และหลักสูตรที่บริษัทพัฒนาขึ้น ซึ่งล่าสุด มหาวิทยาลัยขอนแก่นเป็นแห่งแรกที่ถือว่าประสบความสำเร็จในการต่อยอดที่ขยายผลไกลกว่างานแข่งขัน โดยสามารถนำผู้สนใจเข้าอบรมต่อเนื่องจนได้รับใบเซอร์ฯจำนวน 90 ราย จากผู้สมัครที่มีมากกว่า 500 คน คาดว่าจะมีการร่วมผลักดันในลักษณะนี้อีก 10 มหาวิทยาลัย
พลอากาศตรี อมร ยังกล่าวถึงความร่วมมือกับหัวเว่ยในด้านการรีสกิลบุคคลวัยทำงาน โดยหลักสูตรที่ สกมช. ได้ร่วมกับหัวเว่ยจะนำไปสู่การส่งเสริมให้คนทำงานไปสอบเป็นผู้เชี่ยวชาญ จะเน้นตั้งเป้าให้ผู้สนใจร่วมเรียนออนไลน์ แล้วคัดกรองจากผู้สมัคร 1 พันคน เหลือ 15 คน เบื้องต้นชี้ว่าจะมีโครงการลักษณะนี้กับหัวเว่ยมากขึ้น เพื่อค้นหา “คนที่ใช่” และต้องการเรียนรู้ผ่านประสบการณ์ และประสบความสำเร็จ
“เราจะพยายามร่วมมือกับทุกหน่วยงาน โดยเฉพาะหัวเว่ยที่ทำมา 3 ปี การแข่งแล้วจะไม่จบแค่กิจกรรมเดียว แต่ไปต่อยอดกับภาคอื่น”
เมื่อถามถึงมุมมองด้านใหม่ที่ได้เห็นจากโครงการความร่วมมือกับหัวเว่ยในช่วงหลายปีที่ผ่านมา พลอากาศตรี อมร ยกตัวอย่างโครงการ Woman Thailand Cyber Top Talent 2022 ซึ่งเป็นการแข่งขันแฮกเกอร์กลุ่มผู้หญิงและกลุ่มเพศทางเลือกที่จัดเมื่อปลายปี 65 ที่ผ่านมา โดยจากที่ไม่มีผู้หญิงเข้าสมัครเลยในงาน Thailand Cyber Top Talent ปีแรก แต่การแข่งขันปีที่ 2 มีผู้หญิงร่วมสมัครกว่า 600 คน ทำให้เห็นถึงสัญญาณความสนใจของคนกลุ่มนี้
“เราต้องแสดงว่าเปิดกว้าง อีกส่วนคือคนพิการ เราเลือกจับมือกับมูลนิธิพระมหาไถ่เพื่อการพัฒนาคนพิการ เพราะมีหลักสูตรไอทีอยู่แล้ว การเข้าไปเสริมนั้นทำง่าย เราเน้นปั้นครู ที่มีใจมุ่งมั่นด้านนี้”
ใจที่มุ่งมั่นของผู้สนใจงานด้านไซเบอร์ซีเคียวริตี้ ย่อมสอดรับกับความมุ่งมั่นของทั้ง สกมช. และ บริษัท หัวเว่ย เทคโนโลยี่ (ประเทศไทย) จำกัด ที่ยังคงสานต่อการจัดการแข่งขันทักษะทางไซเบอร์อย่างต่อเนื่อง โดยหัวเว่ยเล็งเห็นถึงความสำคัญของความปลอดภัยทางไซเบอร์และการปกป้องข้อมูลในปัจจุบัน เช่นเดียวกับทาง สกมช. และได้ทำงานร่วมกับทุกภาคส่วนเพื่อเพิ่มศักยภาพของบุคลากรในด้านดังกล่าวให้มีศักยภาพยิ่งขึ้น ตามพันธกิจของหัวเว่ยที่ว่า "เติบโตไปพร้อมกับประเทศไทย และร่วมสนับสนุนประเทศไทย" เพื่อการผลักดันประเทศไทยสู่การเป็นศูนย์กลางด้านดิจิทัลในระดับภูมิภาค
ในภาพรวม ประเทศไทยวางเป้าหมายพัฒนาบุคลากรไซเบอร์ซีเคียวริตี้ปีละ 1 พันคน โดยครอบคลุมทุกระดับไม่เฉพาะผู้เชี่ยวชาญที่สอบได้ใบเซอร์ฯ จุดนี้ พลอากาศตรี อมร ชี้ว่าเป็นเป้าหมายระดับเดียวกับประเทศเพื่อนบ้าน ที่สามารถพัฒนาบุคลากรไอทีได้ปีละ 1 หมื่นราย และในจำนวนนี้เป็นบุคลากรไซเบอร์ซีเคียวริตี้ปีละ 1 พันราย
ซึ่งหากทำได้ การพัฒนาบุคลากรที่ยั่งยืนจะไม่เพียงเป็นปัจจัยหลักที่ดันให้นโยบาย cloud security first เกิดขึ้นได้เท่านั้น แต่จะสามารถควบคุมภัยไซเบอร์ในระดับชาติได้แน่นอน.