ประเทศไทยมีการประกาศบังคับ ใช้ พ.ร.บ.ไซเบอร์ ซึ่งชื่อเต็มคือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562
ขณะนี้ได้จัดตั้ง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เพื่อปฏิบัติภารกิจตามเจตนารมณ์ของกฎหมาย
ทำไมต้องมี พ.ร.บ.ไซเบอร์?
ปัจจุบันภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างต่อเนื่องและมีความรุนแรงเพิ่มขึ้น สร้างความเสียหายให้แก่ ประชาชน สังคม ตลอดจนประเทศชาติ โดยไม่เว้นแม้แต่ประเทศที่พัฒนาแล้ว หรือ ประเทศที่กำลังพัฒนา ดังจะเห็นได้จากเหตุการณ์สำคัญที่เกิดขึ้นกับหน่วยงานโครงสร้างพื้นฐาน (critical infrastructures) ของประเทศ
ยกตัวอย่าง เหตุการณ์ช่วงวันที่ 6-12 พฤษภาคม 2564 มีการโจมตีทางไซเบอร์ครั้งใหญ่ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันรายใหญ่ของสหรัฐอเมริกา “Colonial Pipeline” ถูกโจมตีด้วย Ransomware หรือมัลแวร์เรียกค่าไถ่ ทำให้ต้องหยุดการขนส่งน้ำมันบางส่วนลงชั่วคราวเพื่อแก้ไขปัญหาดังกล่าว สร้างความเสียหายเป็นอย่างมากต่อบริษัทและลูกค้า
เหตุการณ์ในครั้งนั้น ทีมงานทำเนียบขาวของประธานาธิบดีโจ ไบเดน แห่งสหรัฐฯ ได้ประสานงานและติดตามความเคลื่อนไหวอย่างใกล้ชิดกับบริษัทดังกล่าวโดยตรง เนื่องจากเป็นปัญหาในระดับประเทศ
การโจมตีโดย Ransomware ที่เกิดขึ้นกับบริษัทท่อส่งน้ำมันดังกล่าวนั้น เป็นการปฏิบัติการของอาชญากรรมข้ามชาติที่จู่โจมเป้าหมาย ที่เป็นองค์กรหรือหน่วยงานโครงสร้างพื้นฐานสำคัญยิ่งยวด (Critical Infrastructure)
จากเหตุการณ์ดังกล่าว ไม่ได้เกิดขึ้นเป็นครั้งแรก หากแต่เกิดขึ้นมาแล้วในหลายประเทศทั่วโลกตลอดหลายปีที่ผ่านมา จึงเป็นที่มา และเป็นสาเหตุที่ประเทศต่างๆ ทั่วโลกมีความจำเป็นที่จะต้องมีกฎหมายด้านไซเบอร์ สำหรับประเทศไทยก็คือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 นั่นเอง
เหตุผลและความจำเป็นในการตราพระราชบัญญัตินี้ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ
พ.ร.บ.ไซเบอร์มีผลบังคับใช้กับใคร?
ด้วยเหตุการณ์ที่กล่าวมาแล้วในตอนต้น อาชญากรไซเบอร์มีเป้าหมายโจมตีหน่วยงานหรือองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศต่างๆ ทำให้รัฐบาลหลายประเทศได้จัดให้มีการตรากฎหมาย พ.ร.บ. ไซเบอร์ออกมาบังคับใช้ ซึ่งบังคับใช้เฉพาะกับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) เช่น ประเทศจีน ประเทศสิงคโปร์
ทั้งนี้ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่ถูกจัดกลุ่มได้เป็น 8 ประเภท คือ
1. ด้านความมั่นคงของรัฐ
2. ด้านบริการภาครัฐที่สำคัญ
3. ด้านการเงินการธนาคาร
4. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
5. ด้านการขนส่งและโลจิสติกส์
6. ด้านพลังงานและสาธารณูปโภค
7. ด้านสาธารณสุข
8. หน่วยงานด้านอื่น ตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม
โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ทำหน้าที่ออกข้อกำหนดให้หน่วยงาน CII ปฏิบัติตามมาตรฐานขั้นต่ำ ปัจจุบันหน่วยงานที่เข้าข่าย CII ในประเทศไทยมีจำนวนกว่า 200 แห่ง
Operational Technology (OT) หัวใจด้านระบบสารสนเทศของหน่วยงานโครงสร้างพื้นฐานคือจุดเปราะบาง
ในองค์กรขนาดใหญ่โดยเฉพาะโรงงานอุตสาหกรรมหรือธุรกิจพลังงานมักมีระบบคอมพิวเตอร์เฉพาะทางที่ใช้ในการทำงานหลักในโรงงานหรือในโรงไฟฟ้า เรียกว่า Operational Technology (OT) ซึ่งไม่ใช่ระบบไอทีทั่วไปที่เรารู้จักคุ้นเคยกันแบบที่ใช้ในสำนักงาน
โดย OT เป็นระบบที่แยกส่วนจากระบบไอทีที่ใช้งานทั่วไป ซึ่งระบบไอทีที่ใช้กันทั่วไป มักใช้ในด้านการตลาด ใช้ในการวิเคราะห์ข้อมูลสำหรับผู้บริหาร ใช้ในทางการเงินและบัญชี เป็นต้น
ตังอย่างระบบ OT ยกตัวอย่างเช่น โรงกลั่นน้ำมันจะมีระบบคอมพิวเตอร์ชุดใหญ่อีกชุดหนึ่งอยู่ในโรงงาน ทำหน้าที่ในการควบคุมการกลั่นน้ำมันและการผลิตต่างๆ เช่น ทำหน้าที่ควบคุมเครื่องจักร ทำหน้าที่ในการตรวจสอบคุณภาพ เป็นต้น
ส่วนใหญ่แล้ว OT มักจะออกแบบให้เป็นระบบปิด ทำงานด้วยเครื่องคอมพิวเตอร์รุ่นเก่าที่ใช้กันมานาน ทั้ง hardware และ software เช่น OS มักใช้ Windows รุ่นเก่าที่ไม่มีการอัปเดต patch หรือ เปลี่ยนเป็น version ปัจจุบัน
ปกติผู้ให้บริการระบบ OT จะไม่ให้ใครเข้าไปแตะต้องหรือเข้าไปยุ่งวุ่นวายกับตัวระบบที่มีความเปราะบาง ด้วยความที่ถูกออกแบบมาเป็นระบบปิด จึงทำให้องค์กรส่วนใหญ่ไม่มีการ Patch ที่ OS ไม่มีการตรวจสอบรูรั่วและอัปเดตรูรั่ว รวมถึงช่องโหว่ต่างๆ
เพราะเชื่อว่าจะไม่ถูกแฮก เพราะไม่มีใครสามารถเข้าถึงได้เนื่องจากเข้าใจมาโดยตลอดว่าเป็นระบบปิด แต่เราอาจจะลืมคิดไปว่ายังมีการเชื่อมต่อระหว่าง OT กับระบบไอทีในสำนักงานขององค์กรที่เป็นช่องทางในการเข้าถึง OT ได้
และ ระบบไอทีดังกล่าวได้มีการต่อเชื่อมกับอินเทอร์เน็ตอยู่ตลอดเวลา ซึ่งเหตุการณ์การถูกแฮกที่เกิดขึ้นกับ OT นั้น แฮกเกอร์มักจะใช้ช่องทางจากระบบไอทีขององค์กรเพื่อเจาะเข้าไปยังระบบ OT โดยเฉพาะ Ransomware ที่เกิดขึ้นกับองค์กรใหญ่ๆทั่วโลกดังที่เห็นเป็นข่าวกันมาโดยตลอด
การเตรียมความพร้อมโดยใช้หลักการ “Data Resilience”
ปัจจุบันแก๊งอาชญากรรมข้ามชาติเจาะระบบขององค์กรต่างๆในแทบทุกประเทศ มีเป้าหมายเพื่อเรียกค่าไถ่เป็นเงิน ข่มขู่กรรโชกทรัพย์ มีการปล่อยข้อมูลขององค์กรออกสู่สาธารณะในกรณีที่ไม่จ่ายค่าไถ่ ดังนั้น องค์กรจึงต้องเตรียมความพร้อมเพื่อรับมือกับภัยไซเบอร์ที่อาจเกิดขึ้นเมื่อไรก็ได้
จากหลักการ “Cyber Resilience” สู่ “Data Resilience”
การนำหลักการ “Cyber Resilience” มาใช้ในองค์กรขนาดใหญ่ โดยนิยมใช้เป็นแนวทางในการปฏิบัติ ด้านการรับมือภัยไซเบอร์ ในหลายปีที่ผ่านมาอาจจะยังไม่เพียงพอในยุคนี้ องค์กรจึงจำเป็นจะต้องเตรียมความพร้อมด้วยหลักการ “Data Resilience” ควบคู่ไปด้วย
Data Resilience เป็นหลักการที่องค์กรสามารถนำมาปฏิบัติเมื่อเกิดเหตุการณ์ไม่พึงประสงค์ เช่น เกิดการโจมตีทางไซเบอร์ โดยข้อมูลของลูกค้าถูกขโมยไปหรือถูก Ransomware ทำการเข้ารหัสข้อมูลไว้ทำให้ใช้งานไม่ได้ องค์กรจะต้องมีกระบวนการในการนำข้อมูลลูกค้ากลับมาใช้เพื่อให้การดำเนินธุรกิจมีความต่อเนื่อง
“Data Resilience” เป็นหลักการที่เน้นเรื่องสภาวะความทนทานต่อการถูกโจมตีของข้อมูลโดยเฉพาะ ในเบื้องต้นองค์กรควรจะต้องเริ่มต้นจากการสำรองข้อมูลเป็นระยะๆ
โดยมีคุณลักษณะที่สามารถนำข้อมูลที่เป็นปกติก่อนถูกโจมตีด้วย Ransomware กลับมาใช้งานได้โดยธุรกิจไม่ติดขัด รวมไปถึงกระบวนการในการสำรองชุดข้อมูลเก็บไว้ที่ที่ๆ ปลอดภัยจาก Ransomware อีกชุดหนึ่ง ซึ่งองค์กรสามารถนำข้อมูลมาใช้งานต่อไปได้อย่างทันท่วงที
ทั้งนี้ Data Resilience เป็นเพียงส่วนหนึ่งในแนวทางการปกป้องข้อมูลขององค์กรให้ปลอดภัย ควรอยู่ในแผนหลักด้านความมั่นคงปลอดภัยหรือ Cybersecurity Blueprint ขององค์กร ซึ่งควรต้องนำเฟรมเวิร์คในระดับสากลมาเป็นแนวทางในการปฏิบัติ เช่น NIST Cybersecurity Framework ร่วมกับ CISA’s Cyber Resilience Review (CRR)
ประชาชนควรเตรียมความพร้อมอย่างไร จากการนำหลักการ “Cyber Resilience” มาประยุกต์ใช้ ?
ในมุมของประชาชน การเตรียมความพร้อมเพื่อให้เกิดผลกระทบน้อยที่สุดหากเกิดภัยไซเบอร์ จำเป็นจะต้องมีแผน A และแผน B เช่น การใช้โทรศัพท์มือถือสองเครื่อง ควรเลือกใช้บริการจากโอเปอเรเตอร์สองค่าย เพราะหากค่ายใดค่ายหนึ่งระบบล่ม เราก็ยังมีแผน B ที่สามารถใช้งานโทรศัพท์มือถือได้โดยไม่ส่งผลกระทบต่อการใช้ชีวิตประจำวัน
เช่นเดียวกับการที่เรามีบัญชีธนาคารหลายธนาคาร หากระบบของธนาคารใดไม่สามารถให้บริการได้ชั่วคราว เราก็ยังสามารถใช้ระบบของธนาคารอื่นๆ ในการดำเนินธุรกรรมต่อไปได้ เป็นต้น
สรุปสุดท้าย ไม่ว่าจะเป็นองค์กรหรือประชาชนทั่วไปควรคิดไว้เสมอว่า ไม่มีระบบใดที่มีความมั่นคงปลอดภัยเต็ม 100% และ ภัยไซเบอร์นั้นอยู่รอบตัวเราอาจจะเกิดกับองค์กรหรือตัวเราเองเมื่อไรก็ได้ จึงมีความจำเป็นต้องเตรียมความพร้อมต่อการโจมตีทางไซเบอร์ไว้เสมอ.
คอลัมน์ : รู้ทันไซเบอร์
ดร.ปริญญา หอมเอนก CISSP
ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด
https://web.facebook.com/prinyah
prinya.ho@acisonline.net
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 25 เม.ย.65
Link : https://www.bangkokbiznews.com/columnist/1000806