สมาคมไอเอสพีจัดสัมมนาเตรียมพร้อมรับมือกฎหมายไซเบอร์

ผู้จัดการออนไลน์

       

       สมาคมไอเอสพีจัดสัมมนาเตรียมพร้อมรับมือกฎหมายไซเบอร์ เชื่อกฎหมายทำให้องค์กรตระหนักถึงความปลอดภัยไซเบอร์มากขึ้น กระตุ้นให้มีการลงทุน เตรียมหารืออีกระลอกเพื่อหาข้อสรุปในการทำงานร่วมกับกระทรวงดีอีต่อไป ด้านนักวิชาการกฎหมายไซเบอร์ คาดกฎหมายมีผลบังคับใช้ พ.ค.นี้ ห่วงช่วงเปลี่ยนผ่านรัฐบาลอาจทำให้การตั้งคณะกรรมการและกฎหมายลูกล่าช้า แนะกลุ่มอุตสาหกรรมตั้งหน่วยงานกำกับกันเองเพื่อทำงานร่วมกับคณะกรรมการไซเบอร์แห่งชาติ ลดอำนาจเบ็ดเสร็จ
       

       นางมรกต กุลธรรมโยธิน นายกสมาคมผู้ให้บริการอินเทอร์เน็ตไทย กล่าวในงานสัมมนาเรื่อง 'การเตรียมความพร้อมของผู้ให้บริการ สำหรับ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์' ซึ่งมีสมาชิกผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี) กว่า 20 ราย เข้าร่วมงานว่า การมีกฎหมายดังกล่าวทำให้อุตสาหกรรมตื่นตัวกับเรื่องความปลอดภัยทางไซเบอร์มากขึ้น และกฎหมายก็มีการระบุด้วยว่าหากผู้บริหารไม่ให้ความสำคัญและเกิดปัญหาทางไซเบอร์ขึ้น ผู้บริหารจะต้องรับผิดด้วย ทำให้ในภาพรวมของตลาดไซเบอร์ ซิเคียวริตี้ใหญ่ขึ้น
       
       ผู้ให้บริการมีโอกาสในการนำเสนอบริการใหม่ๆ หรือเพิ่มจำนวนความต้องการการใช้งานได้ กฎหมายนี้เหมือนกับการซื้อประกัน จำเป็นต้องมีระบบที่ดีก่อน เพื่อป้องกันความเสียหาย ไม่ควรรอให้เกิดความเสียหายขึ้นก่อน ดังนั้นก็จะทำให้เรื่องซิเคียวริตี้เป็นเรื่องที่ใกล้ตัว เห็นภาพชัดขึ้น และทุกองค์กรต้องตระหนัก ในการลงทุนระบบโดยไม่ต้องคำนึงว่าจะมีผลกำไรเกิดขึ้นในภายหลังหรือไม่
       
       ในส่วนของสมาคมฯที่ผ่านมา ตนเองได้เป็นตัวแทนในการประชุมและทำประชาพิจารณ์เกี่ยวกับกฎหมายดังกล่าวมาอย่างต่อเนื่อง ซึ่งเรื่องนี้สมาคมฯเองก็ต้องมีการพูดคุยกับสมาชิกถึงประเด็นปัญหา หรือ มาตรฐานต่างๆที่เป็นไปตามกฎหมาย เพื่อนำเสนอเจ้าภาพของกฎหมายนี้คือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ด้วย เพราะกฎหมายฉบับนี้ทั้งภาครัฐและเอกชนจำเป็นต้องทำงานร่วมกันให้เป็นไปตามกระบวนการกฎหมาย ซึ่งการจัดสัมมนาครั้งนี้เป็นการถกกันครั้งแรกเพื่อนำไปสู่การหารือในครั้งต่อๆไปในระหว่างที่รอกฎหมายประกาศลงราชกิจจานุเบกษา
       

       ด้านนายไพบูลย์ อมรภิญโญเกียรติ ผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ กล่าวว่า คาดว่ากฎหมายไซเบอร์จะมีการประกาศในราชกิจจานุเบกษาภายในเดือน พ.ค.นี้ ดังนั้นจึงกังวลว่าเจ้าภาพอย่างกระทรวงดีอีจะสามารถออกร่างประกาศตามกฎหมาย หรือ กฎหมายลูก ตลอดจนการแต่งตั้งคณะกรรมการไซเบอร์แห่งชาติเพื่อนำไปลงประกาศในราชกิจจานุเบกษาได้เร็วหรือไม่
       
       เนื่องจากขณะนี้ยังไม่มีความคืบหน้าใดๆในการประชุม หลังจากที่ประชุมไปเมื่อช่วง 2 เดือนที่ผ่านมา คาดว่าอาจจะรอให้มีการจัดตั้งรัฐบาลใหม่เสียก่อน ดังนั้นสิ่งที่ไอเอสพีต้องเตรียมตัวคือการสร้างมาตรฐานของอุปกรณ์และระบบให้เป็นไปตามกฎหมาย ขณะเดียวกันสมาคมฯเองก็ควรมีการหาข้อสรุปถึงแนวทางในการกำกับดูแลกันเอง รวมถึงมาตรฐานต่างๆเพื่อนำเสนอกระทรวงดีอีในการประกอบการพิจารณาในการออกร่างประกาศเพื่อให้ตรงกับสิ่งที่อุตสาหกรรมดำเนินการอยู่ ไม่ควรรอให้กระทรวงดีอีเป็นผู้กำหนดเพียงฝ่ายเดียว
       
       อย่างไรก็ตาม กฎหมายไซเบอร์ได้มีการระบุกลุ่มโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่จำเป็นต้องมีความปลอดภัยทางไซเบอร์ ไว้ 6 กลุ่ม ได้แก่ กลุ่มความมั่นคงและบริการภาครัฐที่สำคัญ,กลุ่มการเงิน,กลุ่มเทคโนโลยีสารสนเทศและโทรคมนาคม,กลุ่มการขนส่งและโลจิสติกส์,กลุ่มพลังงานและสาธารณูปโภค และ กลุ่มสาธารณสุข ซึ่งคณะกรรมการไซเบอร์ไม่ควรเป็นผู้ควบคุมเองทั้งหมด จึงเสนอให้เป็นการทำงานในระดับนโยบาย
       
       จากนั้นให้แต่ละกลุ่มมีการตั้งหน่วยงานกลางขึ้นมากำกับดูแลกันเองอีกทอดหนึ่ง เนื่องจากแต่ละกลุ่มโครงสร้างนั้นต่างมีนโยบายและการทำงานที่แตกต่างกัน เช่น กลุ่มโทรคมนาคม ก็อาจจะมีสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เป็นหน่วยงานที่ออกกฎหมายมากำกับดูแลด้านไซเบอร์ ซิเคียวริตี้ เป็นต้น
       
       สำหรับประเด็นเรื่องภัยคุกคาม 3 ระดับ คือ ระดับไม่ร้ายแรง , ระดับร้ายแรง และ ระดับวิกฤติ กระทรวงดีอีก็ต้องเป็นผู้กำหนดระดับความรุนแรงแต่ละระดับด้วย ทำให้องค์กรจำเป็นต้องมีการแต่งตั้งเจ้าหน้าที่ในการดูแลระดับความรุนแรงขึ้นมาต่างหาก แยกออกมาจากแผนกไอทีเดิมด้วย เพื่อเพิ่มความคล่องตัวในการทำงาน
       
       ขณะที่นายปริญญา หอมเอนก ผู้เชี่ยวชาญการรักษาความปลอดภัยสารสนเทศ กล่าวว่า กฎหมายไซเบอร์เป็นเสมือนกฎหมายวินัย ในการทำให้องค์กรต่างๆตระหนักและมีมาตรฐานในการรักษาความปลอดภัยทางไซเบอร์ ซึ่งการทำงานหลักๆตามกฎหมายต้องขับเคลื่อนด้วย บุคคล ด้วยการจัดหลักสูตรให้ความรู้ความเข้าใจเรื่องความมั่นคงปลอดภัยไซเบอร์กับบุคลากรที่เกี่ยวข้อง , กระบวนการ คือ ต้องมีวิธีการรับมือความปลอดภัยทางไซเบอร์อย่างมีมาตรฐาน และเทคโนโลยี ที่ต้องมีการกำหนดมาตรฐานซอฟต์แวร์ทั้งในรูปแบบการรับมือและการแก้ปัญหาภัยไซเบอร์
       
       โดยส่วนสำคัญที่เกี่ยวข้องคือมาตรา 13 ซึ่งได้กำหนดกรอบมาตรฐานในการคำนึงถึงหลักประกันความเสี่ยง 5 ข้อ ได้แก่ 1.การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล 2.มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น 3.มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
       
       4.มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ และ 5. มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดขึ้นจากภัยคุกคามทางไซเบอร์ ซึ่งหากองค์กรไม่สามารถทำได้ตามนี้ หากเกิดภัยในระดับไม่ร้ายแรง และ ระดับร้ายแรง ผู้ให้บริการสามารถร้องขอดูหมายศาลก่อนได้ แต่หากเป็นภัยระดับวิกฤติ จะไม่สามารถขอหมายศาลได้ และผู้บริหารจะต้องรับความผิดด้วย เพราะไม่ใส่ใจในการดูแลรักษาความปลอดภัยทางไซเบอร์
       
       อย่างไรก็ตาม ในงานสัมมนาดังกล่าวมีตัวแทนจากกระทรวงดีอีเข้าร่วมงานด้วยโดยยืนยันว่ากระทรวงได้มีการประชุมเพื่อเตรียมรับมือกับกฎหมายไซเบอร์ที่กำลังอยู่ระหว่างรอประกาศในราชกิจจานุเบกษาอย่างต่อเนื่อง ขณะที่ผู้ให้บริการไอเอสพีบางรายก็มีความกังวลถึงมาตรฐานของอุปกรณ์ที่ใช้งานตลอดจนการให้บริการลักษณะคลาวด์ เซอร์วิส ว่าจะต้องดูแลเรื่องความปลอดภัยอย่างไร หากมีผู้ใช้บริการนำไปให้บริการต่อ
       
       ซึ่งเรื่องนี้ นายไพบูลย์ได้ชี้แจง และย้ำในวงสัมมนาให้สมาคมฯรวมตัวและลิสต์ประเด็นปัญหาเพื่อเสนอต่อกระทรวงดีอีด้วยเช่นกัน เพราะกฎหมายที่ร่างขึ้นมานั้นเน้นให้มีการแบ่งปันประสบการณ์กัน ภาครัฐต้องพึ่งภาคเอกชนในการนำเสนอวิธีการ เพื่อความรวดเร็วและเป็นผู้อยู่ในอุตสาหกรรมนี้จะมีความรู้ความเข้าใจเป็นอย่างดี
       

ข่าวยอดนิยม