ปัจจุบันเรื่องภัยคุกคามทางไซเบอร์ ได้เป็นประเด็นที่ทั่วโลกให้ความสนใจ เนื่องจาก “อาชญากรไซเบอร์” ได้มุ่งโจมตีผู้ใช้งานทั้งในส่วนของคนทั่วไป และองค์กรธุรกิจต่าง ๆ
การมีแผนป้องกันและแก้ไขปัญหาที่ดีจะช่วยลดความเสี่ยงและลดผลกระทบต่อความเสียหายที่อาจเกิดขึ้นได้ ซึ่งประเทศไทย ก็ถือเป็นหนึ่งในเป้าหมายของ “อาชญากรไซเบอร์” จึงต้องมีแผนเตรียมการรับมือ
ซึ่งทางคณะรัฐมนตรี (ครม.) ก็ได้มีมติเห็นชอบนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565-2570) ซึ่งนโยบายและแผนฉบับนี้จะเป็นกรอบแนวทางที่หน่วยงานของรัฐ หน่วยงานควบคุม หรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
เรียกให้เข้าใจง่ายๆ ก็คือ หน่วยงานที่มีการใช้เทคโนโลยีดิจิทัลเป็นเครื่องมือในการให้บริการ แก่บริการ ประชาชนในเรื่องต่างๆ ไม่ว่าจะเป็นทางด้านเศรษฐกิจ ความมั่นคงปลอดภัยในชีวิตและทรัพย์สิน ต้องปฏิบัติตามนโยบายและแผนฉบับนี้!!
ซึ่งเรื่องนี้ทาง พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ บอกว่า จากที่กฎหมายฉบับแรกที่ตราขึ้นเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ คือ พระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งได้กำหนดให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีหน้าที่และอำนาจเสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
ทั้งนี้ เพื่อส่งเสริมและสนับสนุน และกำหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และจัดทำแผนปฏิบัติการเพื่อการรักษาความมั่นคง ปลอดภัยไซเบอร์ โดยมีวิสัยทัศน์ว่า “บริการที่สำคัญของประเทศไทยมีความมั่นคงปลอดภัยไซเบอร์ เพื่อความยั่งยืนทางเศรษฐกิจและสังคม”
พล.อ.ต.อมร บอกต่อว่า สำหรับเนื้อหาที่เป็นนโยบาย มีการกำหนดยุทธศาสตร์ทิศทางในการดำเนินงาน ประกอบด้วย 4 ยุทธศาสตร์ คือ ยุทธศาสตร์ที่ 1 จะเร่งสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ในส่วน บุคลากร องค์ความรู้ และเทคโนโลยี โดยจะเน้นการสร้างขีดความสามารถแบบบูรณาการครบวงจร ของการรักษา ความมั่นคงปลอดภัยไซเบอร์โดยการสร้างบุคลากรให้มีความตระหนักและมีความรู้ความสามารถด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ผ่านโครงการต่าง ๆ ที่มีความร่วมมือกับทั้งภาครัฐและเอกชนที่เกี่ยวข้อง โดยมีเป้าหมายสร้างองค์ความรู้หรือกระบวนการการรักษาความมั่นคงปลอดภัยไซเบอร์ให้เกิดขึ้นในประเทศ
ขณะที่ ยุทธศาสตร์ที่ 2 คือ สร้างบริการภาครัฐ และโครงสร้างพื้นฐานสำคัญทางสารสนเทศให้มีความมั่นคงปลอดภัยไซเบอร์และฟื้นคืนสู่สภาพปกติได้ โดยจะเน้นการเพิ่มศักยภาพความมั่นคงปลอดภัยขององค์กรภาครัฐที่มีบริการสำคัญที่ต้องให้บริการทั้งประชาชน ภาคธุรกิจและภาคอุตสาหกรรม โดยหากมีภัยคุกคามทางไซเบอร์ต้องสามารถตรวจจับ ป้องกัน ตอบสนองต่อภัยคุกคาม และสามารถฟื้นคืนบริการที่สำคัญสู่สภาพปกติได้อย่างรวดเร็ว
สำหรับ ยุทธศาสตร์ที่ 3 คือ การบูรณาการความร่วมมือเพื่อเตรียมความพร้อมในการรับมือทางไซเบอร์ และฟื้นคืนสู่สภาพปกติได้ ซึ่งยุทธสาสตร์นี้จะเน้นการบูรณาการความร่วมมือกับทุกภาคส่วนทั้งภาครัฐและเอกชน เพื่อเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ พร้อมทั้งการฟื้นคืนบริการที่สำคัญสู่สภาพปกติได้อย่างรวดเร็ว
ส่วน ยุทธศาสตร์ที่ 4 คือ การสร้างศักยภาพของหน่วยงานระดับชาติให้มีคุณภาพและมาตรฐาน เน้นการดำเนินการบริหารจัดการการขับเคลื่อนยุทธศาสตร์ ประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง มีการกำกับดูแล ติดตามการทำงาน ประเมินผล และปรับปรุงอย่างต่อเนื่อง รวมถึงการดำเนินการร่วมกันอย่างบูรณาการ
“สำหรับแผนปฏิบัติการ จะมีการกำหนดโครงการหรือกิจกรรมที่สอดคล้องกับเป้าหมายในแต่ละยุทธศาสตร์ เพื่อให้หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะใช้เป็นแนวทางการกำกับดูแล การบริหารความเสี่ยง และปฏิบัติตาม ให้การรักษาความมั่นคงปลอดภัย ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน”
ผู้บริหารของ สกมช. บอกต่อว่า แผนปฏิบัติการ นั้นจะมี หลัก 3 ประการ คือ
หลักการที่ 1. การกำกับดูแลการรักษา ความมั่นคงปลอดภัยไซเบอร์ (Good Governance) ซึ่งหน่วยงานต่างๆต้องจัดโครงสร้าง องค์กรพร้อมกำหนด อำนาจ หน้าที่ และความรับผิดชอบที่ชัดเจนเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ และ ต้องจัดให้มีผู้บริหารระดับสูง ที่ทำหน้าที่บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer : CISO) ซึ่งปัจจุบันหลายหน่วยงานของรัฐยังขาดคนที่จะมีทำหน้าที่ผู้บริหารในส่วนนี้ ซึ่งก็จะพยายามจัดอบรมอย่างต่อเนื่อง
หลักการที่ 2 การบริหารความเสี่ยง (Risk Management) ต้องจัดทำกรอบการบริหารความเสี่ยงด้าน ความมั่นคงปลอดภัยไซเบอร์เป็นลายลักษณ์อักษร และต้องเก็บรักษารายการความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ระบุ ไว้ในทะเบียนความเสี่ยง (Risk register) และต้องติดตามความเสี่ยงด้าน ความมั่นคงปลอดภัยไซเบอร์ที่ระบุไว้อย่างสม่ำเสมอ
และ หลักการที่ 3 นโยบาย และแนวปฏิบัติ (Policies and Guidelines) ต้องกำหนดและอนุมัตินโยบาย มาตรฐานและแนวทางในการจัดการความเสี่ยง รวมถึงต้องมีการทบทวนนโยบาย มาตรฐานและแนวทางปฏิบัติ อย่างน้อยปีละหนึ่งครั้ง
จุดมุ่งหมายของนโยบายและแผนนี้ เพื่อการปกป้องคุ้มครองบริการภาครัฐ แม้จะโดนภัยคุกคามทางไซเบอร์ ก็สามาถรับมือไม่ให้เกิดความเสียหายในวงกว้าง และยังให้สามารถให้บริการประชาชนได้อย่างต่อเนื่อง และมีประสิทธิภาพได้
————————————————————————————————————————————————————————
ที่มา : สำนักข่าวเดลินิวส์ / วันที่เผยเเพร่ 8 ม.ค. 2566
Link : https://www.dailynews.co.th/news/1870317/
