สกมช. เปิดผลประเมินไซเบอร์ปี 2568 หน่วยงานรัฐร่วงยกแผง แม้ CII-REG แข็งแรงขึ้น แต่ยังเจอช่องโหว่เพียบ เสี่ยงซ้ำรอย Oracle-KL เร่งอุดจุดเปราะ ก่อนวิกฤตซ้ำ
เมื่อวันที่ 30 ก.ย.68 พลอากาศตรี จเด็ด คูหะก้องกิจ ผู้ช่วยเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) จัดงาน Cyber Security Forum 4/2025: Risk & Self-Assessment เพื่อเผยรายงานผลการประเมินความมั่นคงปลอดภัยไซเบอร์และรายงานการประเมินความเสี่ยงจากภัยคุกคามของประเทศไทย ประจำปี 2568 โดยมีหน่วยงานภาครัฐ เอกชน และผู้เชี่ยวชาญด้านไซเบอร์เข้าร่วมอย่างคับคั่ง
สำหรับปี 2568 สกมช.เปิดให้ลงทะเบียนเข้าร่วมประเมิน 439 หน่วยงาน ขณะที่มีหน่วยงานเข้าร่วมทำแบบประเมินจริง 298 หน่วยงาน และส่งผลการประเมินสำเร็จ 191 หน่วยงาน โดยการประเมินครอบคลุมทั้งหน่วยงานภาครัฐ (GOV) หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และหน่วยงานกำกับดูแล (REG) อย่างไรก็ดี โครงการปีนี้ยังขยายช่องทางสนับสนุนผ่านแพลตฟอร์ม cyberselfassessment.com และระบบ Virtual CISO เพื่อให้คำปรึกษาเชิงเทคนิคมากขึ้นด้วย
เมื่อพิจารณาผลเชิงปริมาณ พบว่าหน่วยงานภาครัฐ (GOV) ส่งผลเข้าระบบ 164 หน่วยงาน ขณะที่ CII มี 23 หน่วยงาน และ REG มี 4 หน่วยงาน อีกทั้งเมื่อเทียบคะแนนเฉลี่ยปี 2567 กับปี 2568 พบแนวโน้มสวนทาง กล่าวคือ GOV ลดจาก 65% เหลือ 59% ขณะที่ CII เพิ่มจาก 83% เป็น 89% และ REG ขยับจาก 85% เป็น 91% ซึ่งสะท้อนว่าภาคส่วนโครงสร้างพื้นฐานและกำกับดูแลเดินหน้า แต่ภาครัฐโดยรวมยังอ่อนแรงลง โดยหนึ่งในเหตุผลคือมีหน่วยงานหน้าใหม่เข้าร่วมเพิ่มจำนวนมากจนดึงค่าเฉลี่ยลง
อย่างไรก็ตาม เมื่อเจาะลงรายหมวดจะเห็นภาพที่ชัดยิ่งขึ้น โดย CII ทำคะแนนสูงในทุกมิติ ด้านการปฏิบัติตาม พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 อยู่ที่ 96% ด้านนโยบายและการบริหารจัดการตามแผน พ.ศ.2565-2570 อยู่ที่ 88% และด้านการปฏิบัติตามกรอบมาตรฐานแห่งชาติ พ.ศ.2564 อยู่ที่ 89% ซึ่งทั้งหมดสะท้อนความพร้อมเชิงระบบของโครงสร้างพื้นฐานสำคัญที่ดีขึ้นอย่างมีนัยสำคัญ
ตรงกันข้าม กลุ่ม GOV ยังเผชิญจุดอ่อนหลายด้าน โดยผลย่อยระบุชัดว่าคะแนนในหมวดกฎหมายเฉลี่ยเพียง 3.58 จาก 5 (คิดเป็น 72%) หมวดนโยบายและการบริหารจัดการได้ 10.17 จาก 15 (68%) และหมวดกรอบมาตรฐานได้ 38.81 จาก 69 (56%) ทำให้เห็นว่าการยกระดับจากข้อกฎหมายสู่การปฏิบัติจริง ยังไปไม่สุดปลายทางในหลายองค์กร
ในส่วนของ REG แม้จำนวนผู้ประเมินจะน้อยกว่า แต่คะแนนเฉลี่ยกลับสูงและสม่ำเสมอ โดยหมวดกฎหมายได้ 98% หมวดเกณฑ์การควบคุมและกำกับดูแลได้ 75% และหมวดศูนย์ประสานความมั่นคงปลอดภัยฯ ได้ 84% สะท้อนบทบาทกำกับที่เข้มขึ้นอย่างเห็นได้ชัด
แม้ตัวเลขส่วนใหญ่จะชี้ว่ามีความคืบหน้า แต่ช่องว่างเชิงระบบ ยังคงเป็นความเสี่ยงเร่งด่วนที่ต้องอุดให้ไว โดยเฉพาะการบริหารจัดการความเสี่ยงและช่องโหว่ที่ยังขาด Risk Register และกระบวนการสแกน/อุดช่องโหว่กับ Patch Management อย่างสม่ำเสมอ ทั้งนี้ สกมช.แนะให้ทุกองค์กรตั้งวงจร VA/Scanning และกำกับการอัปเดตแพตช์เป็นกิจวัตร พร้อมจัดทำแผนรับมือเหตุการณ์ (Incident Response) และซ้อม Cyber Drill อย่างจริงจังควบคู่ไปด้วย
ยิ่งไปกว่านั้น แผนความต่อเนื่องทางธุรกิจ (BCP) และแผนการสื่อสารในภาวะวิกฤต (Crisis Communication) ยังเป็นรูรั่ว พบกว้าง โดย สกมช. เสนอให้ทำ BCP/DR Test กำหนดทีม Crisis Communication และจัดช่องทางสื่อสารสำรองอย่างชัดเจน เพราะหากปล่อยไว้ ความเสียหายจะยกระดับกลายเป็นวิกฤตสาธารณะได้ เช่นกรณีมหาวิทยาลัยไทยที่ถูก Ransomware จนระบบหยุดชะงักนาน หรือกรณีสนามบิน KL ปี 2025 ที่ต้องหันกลับไปใช้ระบบ manual และเกิดความสับสนในการสื่อสารสู่สาธารณะ
พร้อมกันนี้ การกำกับดูแลผู้ให้บริการภายนอก (Third-party Security) ยังอ่อนแอ โดยพบว่ายังไม่มี Third-party Security Assessment และไม่ใส่เงื่อนไขความมั่นคงปลอดภัยในสัญญาอย่างเป็นระบบ ซึ่งสวนทางกับแนวโน้มภัยแบบซัพพลายเชนที่รุนแรงขึ้นเรื่อยๆ ดังตัวอย่าง SolarWinds ที่สะเทือนทั้งโลก อีกทั้งสกมช.ย้ำให้กำหนด DPA และข้อกำหนดด้านความมั่นคงในข้อตกลงระดับบริการด้วย
ด้านการบริหารทรัพย์สินสารสนเทศก็ยังหลวม เนื่องจากหลายหน่วยไม่มี Asset Inventory/CMDB ที่ครบถ้วนและเป็นปัจจุบัน จึงไม่ทราบชัดว่าทรัพย์สินไหนสำคัญ เชื่อมต่อที่ใด และเสี่ยงจุดไหน โดย สกมช. แนะนำให้จัดทำ Asset Register และทบทวนระบบที่ Active จริงเป็นระยะ เพราะเมื่อเกิดเหตุ ช่องว่างตรงนี้จะทำให้ระบุผลกระทบไม่ได้ทันท่วงที ดังเช่นกรณี Salesforce ปี 2025 ที่ถูกดึงข้อมูลใหญ่จากการขโมยโทเคน OAuth และ Capital One ปี 2019 ที่รั่วไหลจาก Cloud Misconfiguration
ในเชิงเหตุการณ์จริง สกมช. หยิบยกกรณี Oracle Cloud ปี 2025 ที่ถูกเจาะและขโมยข้อมูลกว่า 6 ล้านเรคคอร์ด กระทบผู้เช่าราว 140,000 ราย ตลอดจนกรณี Microsoft SharePoint ปี 2025 ที่ถูกใช้ช่องโหว่ทั้งปลอมแปลงตัวตนและรันคำสั่งจากระยะไกล อีกทั้งยังมีกรณีละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทย เช่น โรงพยาบาลเอกชนที่ถูกปรับ 1.2 ล้านบาทจากการจัดการข้อมูลไม่ปลอดภัย และหน่วยราชการไทยที่ถูกโจมตีเว็บแอปจนข้อมูลประชาชนรั่วราว 2 แสนรายการ ซึ่งทั้งหมดสะท้อนแรงกดดันด้านกฎหมายและมาตรฐานที่องค์กรไทยต้องเข้มให้ทันเกม
ขณะเดียวกัน ฝั่งงานวิจัยภัยคุกคามจากโครงการ TH-NCRAF ที่ สกมช. ร่วมกับมหาวิทยาลัยมหิดล ชี้ว่าภัยสำคัญ 3 อันดับแรกที่กระทบหน่วยงานไทยคือ การใช้ประโยชน์จากช่องโหว่ภายในองค์กร การเข้าถึงระบบ/ข้อมูลโดยไม่ได้รับอนุญาต และการบ่อนทำลายหรือปฏิเสธการให้บริการ โดยแนวโน้มที่ทวีความรุนแรงประกอบด้วย Ransomware, Supply Chain Attack, Cloud Misconfiguration และ Phishing จึงจำเป็นต้องเร่งเสริมมาตรการเชิงป้องกันและเชิงรุกแบบบูรณาการในทันที
ภาคเอกชนมองสอดคล้อง โดย นายเบญจ เบญจรงคกุล ประธานเจ้าหน้าที่บริหารร่วม (Co-CEO) บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (UIH) ระบุว่า โครงการประเมินตนเองมีความสำคัญอย่างยิ่ง เพราะช่วยให้องค์กร โดยเฉพาะภาครัฐ ประเมินสมรรถนะด้านไซเบอร์ของตนได้อย่างเป็นระบบ และเมื่อมีข้อมูลชัดเจน ก็จะวางกลยุทธ์และลงทุนด้านความมั่นคงปลอดภัยได้มีประสิทธิภาพ ลดความเสี่ยงที่อาจกระทบประชาชน อีกทั้งยังสะท้อนความร่วมมือรัฐ-เอกชนที่จับต้องได้ ทั้งนี้ ไซเบอร์อีลีท ภายใต้ UIH มุ่งต่อยอดในเชิงเครื่องมือ องค์ความรู้ และพันธมิตรทั้งในและต่างประเทศ เพื่อช่วยให้องค์กรไทยทุกระดับปรับตัว รับมือ เทคโนโลยีที่เปลี่ยนเร็วได้อย่างมั่นคงและปลอดภัย
เพื่อยกระดับทั้งระบบ สกมช.และผู้ร่วมเวทีเสนอแนวทางสำคัญ เช่น การผลักดัน National Threat Intelligence Platform เป็นศูนย์กลางข้อมูลภัยคุกคามไซเบอร์แห่งชาติสำหรับรวบรวม วิเคราะห์ และแบ่งปันข่าวกรองจากทุกภาคส่วนตามมาตรฐานสากล ซึ่งจะช่วยให้องค์กร CII และหน่วยงานรัฐตอบสนองได้เร็วและแม่นยำขึ้น พร้อมกันนี้ยังย้ำให้ทุกองค์กรเดินหน้าแผนงานเชิงปฏิบัติทันที อาทิ ตั้งวงจร VA/Scanning และ Patch Management, จัดทำ IR Playbook และซ้อม Cyber Drill, จัดทำ/ทดสอบ BCP กับ Crisis Communication, วางระบบควบคุม Third-party Security ในสัญญา และจัดทำ Asset Inventory/CMDB ที่เป็นปัจจุบัน โดยทั้งหมดเป็นแนวทางที่ สกมช. รวบรวมไว้เพื่อให้องค์กรนำไปใช้ได้จริง