'สกมช.' ดันกฎหมาย-มาตรฐานไซเบอร์ 3 ฉบับเข้าโหมดบังคับใช้จริง คลาวด์-เว็บรัฐต้องพิสูจน์ปลอดภัย รับศึก AI Deepfake และควอนตัม ก่อนภัยใหม่วิกฤตลามทั้งระบบเกินรับมือ
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เตรียมยกระดับกติกาไซเบอร์ไทยเข้าสู่ 'โหมดบังคับใช้จริง' หลังภัยคุกคามดิจิทัลขยับจากการโจมตีระบบไอทีแบบเดิม ไปสู่การโจมตีผ่านเว็บไซต์, คลาวด์, AI Deepfake และความเสี่ยงจากเทคโนโลยีควอนตัมในอนาคต
พล.อ.ต.อมร ชมเชย เลขาธิการ สกมช. เปิดเผยใน งาน NCSA 5 for Future PRESS TALK PARTY ว่า ภารกิจระยะต่อไปของ สกมช. จะไม่ใช่เพียงการสร้างความตระหนักรู้หรือขอความร่วมมือจากหน่วยงาน แต่ต้องขยับไปสู่การกำหนดกติกาที่ชัดเจน ตรวจสอบได้ และบังคับใช้ได้จริง เพื่อให้ระบบดิจิทัลของประเทศพร้อมรับภัยไซเบอร์ที่เปลี่ยนแปลงรวดเร็วและซับซ้อนมากขึ้น
แกนสำคัญของแผนงานหลังจากนี้ ได้แก่ การปรับปรุง (ร่าง) พระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ (ฉบับที่ ..) พ.ศ. ... ซึ่งอยู่ระหว่างการรับฟังความคิดเห็น และจะปิดรับฟังในวันที่ 15 ก.ค.69 เพื่อปรับกลไกกฎหมายให้ทันกับบริบทภัยคุกคามใหม่ ทั้งการโจมตีระบบสำคัญ การรั่วไหลของข้อมูล การใช้ AI เป็นเครื่องมือโจมตี และความจำเป็นในการตอบสนองต่อเหตุไซเบอร์ให้รวดเร็วขึ้น
ขณะเดียวกัน สกมช. ยังเตรียมรองรับการบังคับใช้ประกาศมาตรฐานสำคัญ 2 ฉบับ ได้แก่ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ.2567 ซึ่งจะเริ่มมีผลบังคับใช้ในวันที่ 10 ก.ย.69 และ มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ หรือ Website Security Standard: WSS 1.0 ซึ่งจะเริ่มมีผลบังคับใช้ในวันที่ 17 ก.ย.69
◉ คลาวด์ต้องพิสูจน์ปลอดภัย
สำหรับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ สกมช. มองว่าเป็นกติกาสำคัญที่ต้องเร่งเตรียมความพร้อม เพราะคลาวด์กลายเป็นโครงสร้างพื้นฐานหลักของการให้บริการดิจิทัล ทั้งภาครัฐและเอกชน โดยเฉพาะบริการประชาชนในวงกว้าง การจัดเก็บข้อมูลจำนวนมาก การขยายระบบจากผู้ใช้หลักแสนไปสู่หลักล้าน และการรองรับเทคโนโลยี AI ในอนาคต
อย่างไรก็ตาม พล.อ.ต.อมร ระบุว่า การย้ายระบบขึ้นคลาวด์ไม่ได้หมายความว่าระบบจะปลอดภัยโดยอัตโนมัติ เพราะความปลอดภัยของคลาวด์ต้องเกิดจากทั้งฝั่งผู้ให้บริการและฝั่งผู้ใช้งาน หากหน่วยงานตั้งค่าระบบผิดพลาด ไม่มีแผนสำรองข้อมูล ไม่ได้เลือกบริการด้านความปลอดภัยที่เหมาะสม หรือไม่มีบุคลากรที่เข้าใจระบบของผู้ให้บริการแต่ละราย ก็อาจกลายเป็นช่องโหว่สำคัญได้เช่นกัน
มาตรฐานคลาวด์ฉบับนี้จึงมุ่งให้หน่วยงานประเมินระดับผลกระทบของระบบ กำหนดมาตรการรักษาความปลอดภัยให้เหมาะสมกับความเสี่ยง มีผู้รับผิดชอบด้านเทคนิค มีช่องทางสนับสนุนเมื่อเกิดเหตุ มีแผนสำรองและกู้คืนข้อมูล รวมถึงต้องเข้าใจว่าแต่ละระบบคลาวด์มีรูปแบบการกำกับดูแลและการตั้งค่าความปลอดภัยแตกต่างกัน
"หลังมาตรฐานนี้มีผล หน่วยงานจะไม่สามารถอ้างเพียงว่า ใช้คลาวด์รายใหญ่แล้วปลอดภัยได้อีกต่อไป แต่ต้องพิสูจน์ได้ว่าระบบที่นำขึ้นคลาวด์ได้รับการบริหารจัดการอย่างถูกต้อง มีมาตรการรองรับความเสี่ยง และมีแผนรับมือหากระบบหรือข้อมูลได้รับผลกระทบ" พล.อ.ต.อมร กล่าว
ประเด็นนี้จะยิ่งสำคัญขึ้นในยุคที่ภาครัฐเดินหน้าบริการดิจิทัลและใช้คลาวด์มากขึ้น เพราะหากระบบคลาวด์รองรับข้อมูลประชาชนหรือบริการสำคัญ แต่ไม่มีการตั้งค่าความปลอดภัยที่เหมาะสม ความเสียหายอาจไม่หยุดอยู่แค่ระบบล่ม แต่ลุกลามไปถึงข้อมูลรั่วไหล ความเชื่อมั่นของประชาชน และการให้บริการของรัฐทั้งระบบ
◉ เว็บรัฐเสี่ยงแฮก 70%
มาตรฐานที่ถูกจับตาอีกฉบับคือ Website Security Standard: WSS 1.0 เนื่องจาก สกมช. พบว่า ในช่วง 1 ปีที่ผ่านมา มีเหตุการณ์ไซเบอร์ประมาณ 3,000 กว่าเหตุการณ์ และราว 70% เกี่ยวข้องกับเว็บไซต์ถูกแฮก โดยเฉพาะเว็บไซต์หน่วยงานรัฐ โรงเรียน องค์กรปกครองส่วนท้องถิ่น และเว็บไซต์ที่มีผู้ให้บริการภายนอกเข้ามาดูแลระบบ
พล.อ.ต.อมร อธิบายว่า ปัญหาเว็บไซต์ถูกโจมตีจำนวนมากส่วนหนึ่งเกิดจากภาวะหนี้ทางเทคโนโลยี (Technology Debt) เพราะในอดีตหลายหน่วยงานถูกกำหนดให้ต้องมีเว็บไซต์ ทั้งเพื่อประชาสัมพันธ์ ประกาศข้อมูล จัดซื้อจัดจ้าง หรือให้บริการประชาชน แต่เมื่อเวลาผ่านไปกลับไม่มีบุคลากรดูแลระบบต่อเนื่อง ผู้พัฒนาเดิมย้ายงาน ผู้รับจ้างหมดสัญญา หรือหน่วยงานเหลือเพียงคนอัปเดตเนื้อหา แต่ไม่มีคนดูแลความปลอดภัยเชิงเทคนิค
ด้วยเหตุนี้ WSS 1.0 จึงไม่ได้กำหนดเพียงการทดสอบเจาะระบบ (Pentest) แต่ครอบคลุมตั้งแต่การประเมินผลกระทบของเว็บไซต์ การจัดระดับความเสี่ยง การกำหนดมาตรการควบคุม การเฝ้าระวัง การตรวจจับเหตุผิดปกติ ไปจนถึงแผนรับมือและฟื้นฟูระบบเมื่อเกิดเหตุ เพื่อให้เว็บไซต์มีความปลอดภัยตั้งแต่ขั้นออกแบบ พัฒนา เปิดใช้งาน และดูแลต่อเนื่อง
นอกจากนี้ สกมช. ยังเตรียมผลักดันให้มาตรฐานเว็บไซต์ถูกนำไปใช้ในเงื่อนไขการจัดซื้อจัดจ้าง (TOR) ของหน่วยงานรัฐ เพื่อให้ผู้รับจ้างพัฒนาเว็บไซต์ ผู้ให้บริการโฮสติง และผู้ดูแลระบบต้องยกระดับมาตรฐานไปพร้อมกัน ไม่ใช่ปล่อยให้หน่วยงานรัฐเป็นฝ่ายรับผลกระทบเมื่อเว็บไซต์ถูกโจมตี ขณะที่ต้นทางของระบบหรือผู้รับจ้างยังไม่มีความพร้อมเพียงพอ
◉ AI-Deepfake เปลี่ยนเกมโจมตี
นอกเหนือจากร่างแก้ไข พ.ร.บ.ไซเบอร์ และมาตรฐานบังคับใช้ 2 ฉบับ สกมช. ยังเตรียมผลักดันมาตรการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication: MFA) สำหรับระบบสำคัญของภาครัฐ เนื่องจากการใช้รหัสผ่านเพียงชั้นเดียวไม่เพียงพออีกต่อไป ท่ามกลางความเสี่ยงจากข้อมูลบัญชีผู้ใช้รั่วไหล การโจมตีแบบเดาสุ่ม และการใช้เครื่องมืออัตโนมัติหรือ AI ช่วยเพิ่มประสิทธิภาพการโจมตี
พล.อ.ต.อมร ยกตัวอย่างภัยไซเบอร์ในต่างประเทศว่า AI เริ่มถูกนำมาใช้สนับสนุนการโจมตี อย่างเหตุที่เกิดขึ้นในเม็กซิโก ซึ่งมีข้อมูลรั่วไหลราว 150 กิกะไบต์ จาก 5 ระบบของหน่วยงานรัฐ และกระทบประชาชนกว่า 190 ล้านคน โดยผู้โจมตีเป็นแฮกเกอร์รายเดียวที่ใช้ AI ช่วยวิเคราะห์แนวทางโจมตีระบบ ผ่านการตั้งคำถามในลักษณะจำลองบทบาทงานด้านความปลอดภัย ไม่ได้ถามตรงๆ ว่าจะเจาะระบบอย่างไร แต่ค่อยๆ ขอคำแนะนำเป็นขั้นตอนจนสามารถขโมยข้อมูลออกไปได้
กรณีดังกล่าวสะท้อนว่า AI-enabled Attack หรือการโจมตีที่มี AI เป็นตัวช่วย ไม่ใช่ภาพอนาคตอีกต่อไป แต่เริ่มเกิดขึ้นจริงแล้ว เพราะผู้โจมตีสามารถใช้ AI ช่วยวิเคราะห์ช่องโหว่ ทดลองแนวทางโจมตี และเร่งความเร็วของกระบวนการแฮกได้มากขึ้น จากเดิมที่การโจมตีจำนวนมากอาจเป็นรูปแบบเดิมซ้ำๆ แต่ปัจจุบันเริ่มเห็นพฤติกรรมที่ซับซ้อนขึ้น ทั้งการทดลองโจมตีหลายระบบ หลายเทคนิค และการปรับวิธีไปตามผลลัพธ์ที่พบ
ขณะเดียวกัน กรณีเหตุหลอกลวงด้วย Deepfake ในสิงคโปร์ หลังมีผู้เสียหายถูกหลอกให้เข้าร่วมประชุมออนไลน์ที่อ้างว่าเป็นการพูดคุยกับนายกรัฐมนตรีสิงคโปร์ ก่อนสูญเงินไป 4.9 ล้านดอลลาร์สิงคโปร์ โดยขบวนการไม่ได้หลอกแบบสุ่ม แต่มีการศึกษาข้อมูลเป้าหมายล่วงหน้า ส่งคำเชิญอย่างเป็นทางการ สร้างเรื่องราวเฉพาะบุคคล และใช้ภาพกับเสียงที่สร้างด้วย AI เพื่อเพิ่มความน่าเชื่อถือ
ยิ่งไปกว่านั้น ขบวนการดังกล่าวไม่ได้ใช้เพียง Deepfake บุคคลสำคัญคนเดียว แต่สร้างองค์ประกอบให้การประชุมดูสมจริงขึ้น ทั้งผู้เชี่ยวชาญที่มาบรีฟสถานการณ์และพิธีกรคอยซักถาม ทำให้เหยื่อรู้สึกว่ากำลังอยู่ในวงสนทนาที่เป็นทางการจริง กรณีนี้จึงสะท้อนว่า Deepfake กำลังเปลี่ยนจากการปลอมใบหน้าและเสียง ไปสู่การหลอกลวงแบบมีโครงเรื่อง มีการปรับข้อความตามเหยื่อแต่ละราย และใช้ AI ทำให้กระบวนการทั้งหมดดูน่าเชื่อถือกว่าการหลอกออนไลน์แบบเดิม
จากบทเรียนเหล่านี้ สกมช. จึงให้ความสำคัญกับ AI Security ภายใต้แนวคิด AI เพื่อการปกป้อง และการปกป้อง AI (AI for Security and Security for AI) โดยมองว่า AI ไม่ได้เป็นเพียงเครื่องมือช่วยป้องกันภัยไซเบอร์ แต่ยังเป็นเครื่องมือที่ผู้โจมตีสามารถนำไปใช้ค้นหาช่องโหว่ สร้างรูปแบบโจมตีใหม่ หรือผลิต Deepfake เพื่อหลอกลวงประชาชนและองค์กรได้เช่นกัน
◉ ควอนตัมเร่งเปลี่ยนรหัส
สำหรับโจทย์ระยะยาว สกมช. วางเป้าหมาย Quantum-Ready 2030 เพื่อเตรียมประเทศไทยเข้าสู่ยุคหลังควอนตัม (Post-Quantum Cryptography: PQC) เนื่องจากความเสี่ยงในอนาคตไม่ได้อยู่ที่คอมพิวเตอร์ควอนตัมเพียงอย่างเดียว แต่อยู่ที่ระบบเข้ารหัสปัจจุบัน เช่น RSA, Diffie-Hellman และ Elliptic Curve Cryptography (ECC) ซึ่งอาจไม่ปลอดภัยเพียงพอ หากคอมพิวเตอร์ควอนตัมพัฒนาไปถึงจุดที่สามารถถอดรหัสได้จริง
พล.อ.ต.อมร ยกตัวอย่างเกาหลีใต้ว่าเป็นหนึ่งในประเทศเอเชียที่ขยับเรื่องความพร้อมด้านควอนตัมอย่างจริงจัง โดยนำเทคโนโลยี Quantum Key Distribution (QKD) ไปใช้ในระบบหลักของประเทศ เพื่อยกระดับการสื่อสารให้ทนทานต่อการถอดรหัสจากคอมพิวเตอร์ควอนตัม โดยบริบทสำคัญมาจากความเสี่ยงด้านความมั่นคงที่ประเทศต้องเตรียมรับมือ
ทั้งนี้ เกาหลีใต้ไม่ได้วางตัวเป็นเพียงผู้ใช้งานเทคโนโลยี แต่ยังต่อยอดไปสู่การผลิตและการค้า โดยนำเทคโนโลยีจากต่างประเทศ เช่น ID Quantique จากสวิตเซอร์แลนด์ มาร่วมพัฒนากับภาคเอกชนรายใหญ่ อย่าง Samsung ที่มีการพัฒนาแนวคิด Samsung Quantum Ready และชิปควอนตัมในโทรศัพท์มือถือ เพื่อสร้างจุดขายด้านการสื่อสารที่ปลอดภัยจากการดักฟัง
อย่างไรก็ตาม พล.อ.ต.อมร ระบุว่า แนวทาง QKD ไม่ได้เหมาะกับทุกประเทศหรือทุกระบบ เพราะมีข้อจำกัดด้านระยะทางและต้นทุน โดยเฉพาะอุปกรณ์ที่ต้องวางโหนดในระยะประมาณ 80-100 กิโลเมตร หากนำมาใช้กับประเทศที่มีพื้นที่กว้างหรือต้องเชื่อมโยงหลายจุด ต้นทุนการลงทุนและการดูแลระบบอาจสูงมาก ดังนั้น สำหรับประเทศไทย แนวทางที่เหมาะสมกว่าคือการเตรียมเปลี่ยนผ่านไปสู่ Post-Quantum Cryptography (PQC) ซึ่งเป็นการปรับวิธีเข้ารหัสให้ทนทานต่อคอมพิวเตอร์ควอนตัม โดยไม่จำเป็นต้องพึ่งพาโครงสร้างพื้นฐานแบบ QKD ทั้งหมด อีกทั้งยังสามารถอัปเดตผ่านซอฟต์แวร์และวางแผนเปลี่ยนผ่านเป็นลำดับได้
สกมช. จึงเสนอให้หน่วยงานเริ่มเตรียมความพร้อมตั้งแต่วันนี้ ผ่านการสำรวจสินทรัพย์เข้ารหัส (Crypto Inventory) การประเมินความเสี่ยงของระบบเข้ารหัส การจัดทำแผนเปลี่ยนผ่านสู่ PQC การทดลองใช้งานจริง และการทยอยย้ายระบบสำคัญขององค์กรไปสู่มาตรฐานใหม่ โดยเฉพาะข้อมูลหรือความลับที่มีอายุยาวนาน และหากรั่วไหลในอนาคตยังสามารถสร้างความเสียหายต่อประเทศหรือองค์กรได้
นอกจากนี้ ยังเตรียมพัฒนา Quanta Center เป็นศูนย์กลางการเรียนรู้ ทดลอง ประเมินความพร้อม และเตรียมบุคลากรด้าน PQC ของประเทศ เพื่อให้องค์กรภาครัฐและเอกชนสามารถวางแผนเปลี่ยนผ่านระบบเข้ารหัสได้อย่างเป็นขั้นตอน ก่อนวันที่เทคโนโลยีควอนตัมจะกลายเป็นความเสี่ยงจริงต่อระบบสารสนเทศสำคัญ
◉ 5 ปีแรกวางฐานไซเบอร์ไทย
สำหรับผลงานในช่วง 5 ปีที่ผ่านมา พล.อ.ต.อมร ระบุว่า ประเทศไทยสามารถยกระดับความพร้อมด้านไซเบอร์อย่างต่อเนื่อง โดยเฉพาะการจัดอันดับ Global Cybersecurity Index 2024 ที่ไทยอยู่ในอันดับ 7 ของโลก จาก 194 ประเทศ ได้คะแนน 99.22 จาก 100 คะแนน และอยู่ในกลุ่ม T1-Role Modelling สะท้อนความพร้อมทั้งด้านกฎหมาย มาตรฐาน ความร่วมมือระหว่างประเทศ การพัฒนาบุคลากร และกลไกรับมือภัยคุกคาม
ขณะเดียวกัน ไทยยังยกระดับ DNSSEC Validation จากเดิม 8% เป็น 44.86% ทำให้อันดับของประเทศขยับจากอันดับ 11 มาอยู่อันดับ 7 ของอาเซียน พร้อมทั้งจัดกิจกรรมสำคัญ เช่น Thailand’s National Cyber Exercise 2025, Thailand International Cyber Week 2025, Prime Minister Awards: Thailand Cybersecurity Excellence Awards 2025 รวมถึงการพัฒนาคนผ่าน NCSA E-Learning, NCSA MOOC และกิจกรรมสร้างความตระหนักรู้ด้านไซเบอร์ในวงกว้าง