เมนู



ฉบับพิเศษ

สิงหาคม  2560




เว็บไซต์ที่เกี่ยวข้อง

สำนักงานกองทุนสนับสนุนการวิจัย (สกว.)

Biodata ฐานข้อมูลนักวิชาการ ประเทศไทย

ห้องสมุดออนไลน์ สกว.

ฝ่ายวิจัยเพื่อท้องถิ่น งานวิจัยท้องถิ่น

โครงการปริญญาเอก คปก.

ร้านหนังสือ สกว.




จำนวนผู้เข้าชม

2514071

รายละเอียด

ภัยคุกคามทางไซเบอร์กับกฏหมายไซเบอร์ของไทย (Cyber Threats and Thai Cybersecurity Law)
รศ.ดร.สราวุธ ปิติยาศักดิ์
สาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช
spitiyas@hotmail.com


“ภัยคุกคามทางไซเบอร์ (Cyber threats)” ถือเป็นภัยคุกคามใหญ่หลวงต่อผลประโยชน์ทางเศรษฐกิจ ตลอดจนความมั่นคงของประเทศ การโจมตีทางไซเบอร์มีหลายรูปแบบ เช่น การเจาะระบบคอมพิวเตอร์ (Hacking) การสอดแนมข้อมูลคอมพิวเตอร์โดยสปายแวร์ (Spyware) การดักรับข้อมูลคอมพิวเตอร์ (Sniffing) การโจมตีโดยชุดคำสั่งไม่พึงประสงค์ (Malicious Software: Malware) หรือการรุมสอบถามข้อมูลจนระบบล่ม (Denial of Service Attack: DOS) เป็นต้น การโจมตีแต่ละครั้งล้วนสร้างความเสียหายอย่างมหาศาลทั้งต่อความมั่นคงปลอดภัยของระบบสารสนเทศ และเครือข่ายคอมพิวเตอร์ (Information systems and Computer network) ตลอดจนระบบเศรษฐกิจและความมั่นคงของประเทศ
 
ปัจจุบัน ประเทศไทยได้รับการแจ้งเหตุภัยคุกคามทางไซเบอร์ในแต่ละปีเป็นจำนวนมาก โดย พ.ศ. 2560 ประเทศไทยมีการแจ้งเหตุภัยคุกคามทางไซเบอร์ รวมถึง 67 ครั้ง (ข้อมูลนับจากวันที่ 1 มกราคม พ.ศ. 2560 ถึงวันที่ 19 กันยายน พ.ศ. 2560) รัฐบาลไทยโดยพลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ได้ตระหนักถึงความสำคัญดังกล่าว จึงมีนโยบายให้บูรณาการความมั่นคงปลอดภัยทางไซเบอร์ควบคู่กับการขับเคลื่อนเศรษฐกิจดิจิทัล โดยได้มีเตรียมการจัดตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cybersecurity Committee) ซึ่งมีนายกรัฐมนตรีหรือรองนายกรัฐมนตรีที่ได้รับมอบหมายเป็นประธานเพื่อวางยุทธศาสตร์การรักษาความมั่นคงปลอดภัยทางไซเบอร์อันเป็นหนึ่งในยุทธศาสตร์การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมของรัฐบาล ควบคู่กับการเตรียมการประกาศใช้ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ....
กรอบแนวคิดการรักษาความมั่นคงของระบบสารสนเทศและเครือข่ายคอมพิวเตอร์
การรักษาความมั่นคงปลอดภัยไซเบอร์มีวัตถุประสงค์ที่สำคัญ คือการสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (Information systems) และเครือข่ายคอมพิวเตอร์ (Computer network) การบรรลุวัตถุประสงค์ดังกล่าวจำต้องใช้ทั้งมาตรการทางเทคนิค (Technical measures) มาตรการทางกฎหมาย (Statutory Regulation) รวมถึงการกำกับดูแลตนเอง (Self-Regulation) และการกำกับดูแลร่วมกัน (Co-Regulation) ของบุคคล 3 ฝ่ายผู้อาจได้รับผลกระทบจากการโจมตีทางไซเบอร์ ได้แก่ รัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม อย่างไรก็ดี แม้มาตรการทางกฎหมายอาจมีความจำเป็นในการรักษาความมั่นคงปลอดภัยไซเบอร์อันอาจกระทบถึงความมั่นคงของชาติ แต่ความเข้มข้นของมาตรการดังกล่าวก็ต้องคำนึงถึงสิทธิเสรีภาพของประชาชน ให้ประชาชนยังคงดำรงซึ่งสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอกับที่มีในโลกแห่งความเป็นจริง
 
ด้วยเหตุที่การโจมตีทางไซเบอร์อาจกระทำโดยผู้ไม่หวังดีที่มาจากทั้งภายในประเทศและภายนอกประเทศ ฉะนั้น รัฐ หน่วยงานภาคเอกชนและภาคประชาสังคมจำต้องมีการประสานความร่วมมือกันอย่างเป็นระบบเพื่อจัดการกับปัญหาการโจมตีทางไซเบอร์ทั้งจากภายในประเทศและนอกประเทศ โดยแต่ละฝ่ายอาจมีบทบาทสำคัญดังนี้

1) รัฐหรือหน่วยงานของรัฐ ต้องมีหน้าที่หลักในการประสานความร่วมมือกับหน่วยงานภาคเอกชนและภาคประชาสังคม ในส่วนการประสานงานกับภาคเอกชน รัฐต้องกำหนดให้ภาคเอกชนโดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน สาธารณูปโภค ฯ จัดให้มีการบริหารความเสี่ยงทางเทคนิคที่ดีและต่อเนื่อง เช่น มีระบบการตั้งค่าแบบปลอดภัย มีระบบควบคุมการเข้าถึง มีระบบป้องกันชุดคำสั่งไม่พึงประสงค์ มีระบบจัดการปิดช่องโหว่คอมพิวเตอร์ มีการแบ็คอัพข้อมูลสำคัญ เป็นต้น

2) หน่วยงานภาคเอกชน ต้องมีหน้าที่บริหารความเสี่ยงในการจัดการทางเทคนิคเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น ไฟร์วอลล์ขอบเขต (Boundary Firewalls) เกตเวย์อินเทอร์เน็ต (Gateway Internet) ระบบการตั้งค่าแบบปลอดภัย (Secure Configuration) ระบบควบคุมการเข้าถึง (Access Control) ระบบป้องกันชุดคำสั่งไม่พึงประสงค์ (Malware Protection) ระบบจัดการปิดช่องโหว่คอมพิวเตอร์ (Patch Management) เป็นต้น นอกจากนี้ หน่วยงานภาคเอกชน โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับกิจการสำคัญที่มีผลต่อความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน ฯ ต้องมีหน้าที่รายงานการโจมตีทางไซเบอร์ให้หน่วยงานของรัฐทันทีเพื่อประโยชน์ในการป้องกันความเสียหายอย่างทันการ

3) ภาคประชาสังคม ภาคประชาสังคมรวมถึงประชาชน จะได้รับการคุ้มครองสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอด้วยโลกแห่งความเป็นจริง อย่างไรก็ตาม ภาคประชาสังคมควรมีหน้าที่เฝ้าระวังระบบและข้อมูลบนอินเทอร์เน็ตให้มีความมั่นคงปลอดภัย หากพบเว็บไซต์ที่มีเนื้อหาที่ไม่เหมาะสมหรือพบการโจมตีทางไซเบอร์ ก็ควรรายงานเหตุการณ์ดังกล่าวต่อพนักงานเจ้าหน้าที่ที่มีอำนาจในการจัดการกับปัญหาดังกล่าวทันที
กฎหมายไซเบอร์ของไทย
ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ... (ร่างกฎหมายไซเบอร์ของไทย) ของไทยได้ผ่านการเปิดรับฟังความคิดเห็นไปในระหว่างวันที่ 24 พฤษภาคม พ.ศ. 2560 ถึงวันที่ 7 มิถุนายน พ.ศ. 2560 โดยเหตุผลของการยกร่างกฎหมายไซเบอร์ของไทย คือ “เพื่อให้ประเทศไทยสามารถปกป้อง ป้องกันหรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที สมควรกำหนดให้มีหน่วยงานหลักเพื่อรับผิดชอบดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งต้องอาศัยความรวดเร็วตลอดจนการบูรณาการและการประสานการปฏิบัติร่วมกับทุกหน่วยงานที่เกี่ยวข้องทั้งภาครัฐและเอกชนเพื่อป้องกันและรับมือได้ทันสถานการณ์.... รวมทั้งมีการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง...”

บทนิยามศัพท์ในร่างกฎหมายไซเบอร์ของไทย ได้นิยามคำว่า “ความมั่นคงปลอดภัยไซเบอร์” ว่าหมายถึง “มาตรการและการดำเนินการเพื่อปกป้อง ป้องกัน การส่งเสริมเพื่อรับมือกับสถานการณ์ด้านภัยคุกคามที่จะส่งผลต่อการให้บริการด้านระบบเครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม การให้บริการโดยปกติของดาวเทียม ระบบกิจการสาธารณูปโภคพื้นฐาน ระบบกิจการสาธารณะที่สำคัญ ซึ่งเป็นเครือข่ายในระดับประเทศ เพื่อมิให้เกิดผลกระทบต่อความมั่นคงของชาติ ความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ” จากนิยามศัพท์ “ความมั่นคงปลอดภัยไซเบอร์” ข้างต้น จะเห็นได้ว่าร่างกฎหมายไซเบอร์ของไทยมิได้มุ่งเฉพาะความมั่นคงปลอดภัยของระบบสารสนเทศและเครือข่ายคอมพิวเตอร์อันกระทบต่อความมั่นคงทางเศรษฐกิจเท่านั้น แต่หมายความรวมถึงความมั่นคงทางการทหารและความสงบเรียบร้อยภายในประเทศด้วย
 
นอกจากนี้ ร่างกฎหมายไซเบอร์ของไทยยังกำหนดให้มีคณะกรรมการคณะหนึ่ง เรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กปช.” และให้ใช้ชื่อภาษาอังกฤษว่า “National Cybersecurity Committee” เรียกโดยย่อว่า “NCSC” โดยมีนายกรัฐมนตรีหรือรองนายกรัฐมนตรีที่ได้รับมอบหมายเป็นประธานกรรมการ และร่างกฎหมายไซเบอร์ของไทยกำหนดให้ กปช. มีอำนาจหน้าที่ที่สำคัญ คือ กำหนดแนวทางและมาตรการตอบสนองและรับมือกับภัยคุกคามไซเบอร์ และสั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ

ประการสำคัญที่สุด เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามร่างกฎหมายไซเบอร์นี้ ร่างกฎหมายกำหนดให้พนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ กปช. มีอำนาจ “เข้าถึงข้อมูลการติดต่อสื่อสารทั้งทางไปรษณีย์ โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด หรือดำเนินการตามมาตรการที่เหมาะสม เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และระงับยับยั้งความเสียหายที่จะเกิดขึ้น ทั้งนี้ ในการปฏิบัติการของพนักงานเจ้าหน้าที่ดังกล่าว ให้ยื่นคำร้องเพื่อขอคำสั่งศาลในการปฏิบัติการตามอำนาจหน้าที่ แต่ในกรณีจำเป็นเร่งด่วนหากไม่ดำเนินการในทันทีจะเกิดความเสียหายอย่างร้ายแรง ให้พนักงานเจ้าหน้าที่โดยอนุมัติของ กปช. ดำเนินการไปก่อนแล้วรายงานให้ศาลทราบโดยเร็ว”
บทสรุปและข้อเสนอแนะ
ร่างกฎหมายไซเบอร์ของไทยมุ่งรักษาความมั่นคงของรัฐจากการกระทำในโลกไซเบอร์ โดยให้อำนาจพิเศษแก่ กปช. อย่างมาก กปช. มีอำนาจสั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และในกรณีจำเป็นเร่งด่วนหากไม่ดำเนินการในทันทีจะเกิดความเสียหายอย่างร้ายแรง กปช. มีอำนาจอนุมัติให้เจ้าหน้าที่เข้าถึงการติดต่อสื่อสารทุกรูปแบบของประชาชน เช่น ไปรษณีย์ โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสาร สื่ออิเล็กทรอนิกส์ หรือสื่อทางเทคโนโลยีสารสนเทศใด หรือดำเนินการตามมาตรการที่เหมาะสม เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และระงับยับยั้งความเสียหายที่จะเกิดขึ้น โดยไม่ต้องขอคำสั่งศาล (Warrant)

ทั้งนี้ ผู้เขียนเห็นว่ากฎหมายไซเบอร์ของไทยควรมุ่งเน้นในการสร้างความร่วมมือ (Cooperation) ระหว่างรัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม ในลักษณะของการกำกับดูแลตนเอง (Self-Regulation) และการกำกับดูแลร่วมกัน (Co-Regulation) มากกว่าการใช้ตัวบทกฎหมาย (Statutory Regulation) ที่เข้มงวดเกินไปอันอาจกระทบถึงสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสารได้
แหล่งที่มา : ประชาคมวิจัย    ฉบับที่ : 132    หน้าที่ : 02    จำนวนคนเข้าชม : 35   คน