‘ก.ต.ช. ’แนะ 4 ทางรอด ยกระดับ ‘ความปลอดภัยไซเบอร์’ เป็นวาระแห่งชาติ
“ก.ต.ช. ”แนะ 4 ทางรอด ยกระดับความปลอดภัยไซเบอร์เป็นวาระแห่งชาติ ซูเปอร์โพล เผยคนอยากเห็นธนาคารรับผิดชอบเงินถูกโจรกรรม หนุนเพิ่มโทษเอาผิดหน่วยงานรัฐ เอกชนทำข้อมูลรั่วไหล คุ้มครองทรัพย์สินปชช.ร่วม 60 ล้านคนบนโลกออนไลน์
เมื่อวันที่ 25 ก.พ.ผศ.ดร.นพดล กรรณิกา ผู้ก่อตั้งสำนักวิจัยซูเปอร์โพลและศิษย์เก่ามหาวิทยาลัยจอร์ชทาวน์ วอชิงตัน ดีซี สหรัฐอเมริกาด้านความปลอดภัยทางไซเบอร์และการจัดการความเสี่ยง กล่าวว่า ในฐานะผู้แทนภาคประชาชนในกรรมการนโยบายตำรวจแห่งชาติ (ก.ต.ช.) ที่เป็นอีกบทบาทหนึ่งเกี่ยวข้องกับนโยบายตำรวจแห่งชาติดูแลความปลอดภัยในชีวิตและทรัพย์สินของประชาชนที่มีแนวโน้มของปัญหาเดือดร้อนของประชาชนเพิ่มขึ้นมาจากกรณีเงินถูกโจรกรรมในโลกออนไลน์ที่ผ่านมาอย่างต่อเนื่อง สำนักวิจัย ซูเปอร์โพล จึงได้ทำการศึกษา เงินถูกโจรกรรม ใครต้องรับผิด กรณีศึกษาตัวอย่างประชาชนทุกสาขาอาชีพทั่วประเทศ ดำเนินโครงการทั้งการวิจัยเชิงปริมาณ (Quantitative Research) และการวิจัยเชิงคุณภาพ (Qualitative Research) รวมจำนวนตัวอย่างในการวิเคราะห์ทางสถิติทั้งสิ้น จำนวนทั้งสิ้น 1,125 ตัวอย่าง ดำเนินโครงการระหว่างวันที่ 20 – 24 กุมภาพันธ์ พ.ศ.2567 ที่ผ่านมา
เมื่อถามถึง เงินถูกโจรกรรมจากกลุ่มโจรไซเบอร์ ใครต้องรับผิด ผลสำรวจพบว่า ส่วนใหญ่หรือร้อยละ 75.4 ระบุ ธนาคารผู้รับฝากเงิน รองลงมาคือร้อยละ 56.4 ระบุโจรไซเบอร์ ร้อยละ 31.8 ระบุประชาชนเจ้าของบัญชี ร้อยละ 23.0 ระบุธนาคารแห่งประเทศไทย และร้อยละ 13.5 ระบุตำรวจ ตามลำดับ เมื่อถามถึงความรู้สึกกังวลต่อความไม่ปลอดภัยต่อชีวิตและทรัพย์สินจากโจรไซเบอร์ พบว่า ส่วนใหญ่หรือร้อยละ 89.4 กังวลมากที่สุด ร้อยละ 6.4 กังวลมาก ร้อยละ 3.4 กังวลค่อนข้างน้อยและเพียงร้อยละ 0.8 เท่านั้นกังวลน้อยถึงไม่กังวลเลย
ที่น่าพิจารณาคือ ความเห็นต่อ การยกระดับความปลอดภัยทางไซเบอร์ เป็นวาระแห่งชาติ แก้ไขกฎหมายดูแลรักษาความปลอดภัยของประชาชนและความมั่นคงของชาติให้มากยิ่งขึ้น พบว่า ส่วนใหญ่หรือร้อยละ 68.3 เห็นด้วยอย่างยิ่ง ร้อยละ 26.8 เห็นด้วย ร้อยละ 3.3 ค่อนข้างเห็นด้วย และเพียงร้อยละ 1.6 เท่านั้นไม่ค่อยเห็นด้วยถึง ไม่เห็นด้วย
ที่น่าเป็นห่วงคือ วลีและประโยคสำคัญสะท้อนความรู้สึกและข้อเสนอแนะจากประชาชนต่อทุกภาคส่วนรับผิดชอบความปลอดภัยทางไซเบอร์ เงินของประชาชนในระบบออนไลน์ ได้แก่ ธนาคารไม่ใส่ใจ ไม่กระตือรือร้น ไม่ช่วยเหลือลูกค้าผู้ตกเป็นเหยื่อโจรไซเบอร์ให้ทันเวลา เอาผิดธนาคารที่ไม่มีมาตรฐานความปลอดภัยไซเบอร์ มีช่องโหว่ ถูกโจรกรรม ข้อมูลลูกค้ารั่ว ธนาคารต้องรับผิดชอบทุกกรณี เพราะลูกค้าเชื่อว่า ธนาคารปลอดภัยจึงเอาเงินไปฝาก มีกฎหมายเอาผิดธนาคารที่ไม่ให้ความร่วมมือกับเจ้าหน้าที่ตำรวจอายัดบัญชีคนร้ายทันที จำกัดวงเงินในการโอนแต่ละครั้งแต่ละวัน แก้กฎหมายเพิ่มโทษโจรไซเบอร์ เพิ่มจำนวนตำรวจปราบโจรไซเบอร์ ทำให้ตำรวจมีเทคโนโลยีทันสมัยเชื่อมโยงตามคนร้ายได้เร็ว รณรงค์ประชาสัมพันธ์ให้ความรู้ประชาชนและเจ้าหน้าที่รัฐเท่าทันโจรไซเบอร์ ควรแก้กฎหมายให้ครอบคลุมและทันการเปลี่ยนแปลงรูปแบบของโจรไซเบอร์ และเพิ่มโทษกฎหมายเอาผิด หน่วยงานรัฐ เอกชน ต้นทางทำข้อมูลสำคัญของประชาชนรั่วไหล เป็นต้น
ผศ.ดร.นพดล กรรณิกา นักวิชาการด้านความปลอดภัยทางไซเบอร์และเป็นกรรมการนโยบายตำรวจแห่งชาติผู้ทรงคุณวุฒิผู้แทนภาคประชาชน (ก.ต.ช. ผู้แทนภาคประชาชน) กล่าวว่า ในปี พ.ศ. 2565 สหภาพยุโรปมีกฎหมายใหม่ป้องกันข้อมูลที่เรียกว่า General Data Protection Regulation (GDPR) และมีการปรับกูเกิลไปประมาณ 2 พันล้านบาทด้วยความผิดต่อกฎหมายฉบับนี้หลายประการ อาทิ ผู้ใช้กูเกิลเข้าใจไม่ชัดเจนว่ากูเกิลเอาข้อมูลของพวกเขาไปทำอะไร การนำข้อมูลส่วนบุคคลของผู้ใช้กูเกิลไปใช้ในทางผลประโยชน์ทางธุรกิจของบริษัท เป็นต้น ในขณะที่ ปี พ.ศ. 2565 เช่นกัน ศาลสหรัฐอเมริกาตัดสินลงโทษคุมประพฤติพนักงานธนาคาร Capital One เป็นผู้เชี่ยวชาญในระบบ AWS เป็นเวลา 5 ปีที่แฮกข้อมูลลูกค้าธนาคารในปี พ.ศ. 2562 นำข้อมูลลูกค้าไปเผยแพร่ออนไลน์และหลังเกิดเหตุโจรกรรมข้อมูลลูกค้าธนาคารนั้น ในปี พ.ศ. 2564 ธนาคาร Capital One ตกลงจ่ายเงินรวมประมาณ 6 พันกว่าล้านบาทเพื่อเยียวยาลูกค้าและพัฒนาปรับปรุงระบบความปลอดภัยทางไซเบอร์ตามคำแนะนำของ AWS ผู้ให้บริการดูแลระบบความปลอดภัยทางไซเบอร์ให้ธนาคารแห่งนี้
นักวิชาการด้านความปลอดภัยทางไซเบอร์ กล่าวต่อว่า ถึงเวลาแล้วที่เราต้องมาคุยกันจริงจังเรื่องความปลอดภัยทางไซเบอร์ให้มากขึ้นกว่าปัจจุบันที่เรามีกฎหมายด้านความปลอดภัยทางไซเบอร์มาระยะหนึ่งแต่ประเทศและประชาชนยังมีปัญหาความไม่ปลอดภัยทางไซเบอร์ทั้งต่อความมั่นคงของชาติ เสาหลักของชาติและชีวิตกับทรัพย์สินของประชาชนร่วม 60 ล้านคนบนโลกออนไลน์ จากการศึกษาครั้งนี้พบว่า สิ่งที่ต้องทำ 3 เรื่องเร่งด่วน คือ
1) จำเป็นต้องยกระดับความปลอดภัยทางไซเบอร์เป็นวาระแห่งชาติและมีการแก้ไขกฎหมายครั้งใหญ่ ให้ทุกหน่วยงานและองค์กรที่เกี่ยวข้องกับข้อมูลสำคัญด้านความมั่นคงของชาติ เสาหลักของชาติและความปลอดภัยในชีวิตและทรัพย์สินของประชาชนต้องรับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้น
2) จำเป็นต้องบริหารจัดการทรัพยากรด้านความปลอดภัยทางไซเบอร์ให้เหมาะสมทันต่อการเปลี่ยนแปลงและภัยคุกคามต่อความมั่นคงของชาติ เสาหลักของชาติและความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เช่น การนำโมเดลรักษาความปลอดภัยทางไซเบอร์ระหว่าง ผู้ใช้บริการ-คู่ค้า กับ ผู้ให้บริการมาประยุกต์ใช้ (End to End Cybersecurity) ตามแผนภาพแนบมานี้ โดยผู้บริหาร (CEO) หรือหัวหน้าหน่วยมีความรู้ความเข้าใจแนวโน้มการเปลี่ยนแปลงของภัยคุกคามและความปลอดภัยทางไซเบอร์ มีหลักธรรมาภิบาลด้านความปลอดภัยทางไซเบอร์ ข้อกฎหมายที่เกี่ยวข้อง พัฒนาขีดความสามารถของ คน (people) กระบวนการ (process) และเทคโนโลยี (Technology) โดยออกแบบโครงสร้างสถาปัตยกรรมด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดในมิติของ “ความไว้วางใจเป็นศูนย์” (Zero Trust) คือไม่ไว้ใจใครเลยในเรื่องความปลอดภัยให้เป็นศาสตร์แห่งความปลอดภัยทางไซเบอร์ในทุกมิติ เช่น ไฟร์วอลล์ (Firewall) มีเครื่องมือระบบตรวจจับภัยคุกคามการบุกรุก (Intrusion Detection System, IDS) ระบบป้องกันการบุกรุก (Intrusion Prevention System, IPS) ในขั้นเครือข่ายออนไลน์ ในขั้นอุปกรณ์ เช่น Web Application Firewall (WAF) กับ Anti Virus (AV) ในขณะที่ชั้นข้อมูลควรถูกจัดแยกแบ่งชั้นความลับของข้อมูลเข้ารหัส (Encryption) ภายใต้สถาปัตยกรรมแบบ Zero Trust และระบบเฝ้าระวังและตอบโต้อัตโนมัติ (Auto Alert and Response) ตามแผนภาพแนบ
3) จำเป็นต้องมีการรณรงค์เสริมสร้างความตระหนักรู้และเข้าใจความปลอดภัยทางไซเบอร์ให้ทุกภาคส่วนของสังคมอย่างจริงจังต่อเนื่อง
4) หลีกเลี่ยงใช้บริษัทสัญชาติต่างชาติมาดูแลระบบความปลอดภัยทางไซเบอร์ของประเทศไทย แต่ถ้าหลีกเลี่ยงไม่ได้ควรใช้มากกว่า 1 สัญชาติและมีสัญญาประกันความเสี่ยงความเสียหายในทุกมิติ
โดยสรุป ตามแนวนโยบายนำของรัฐบาล นายเศรษฐา ทวีสิน นายกรัฐมนตรีในการดูแลความปลอดภัยในชีวิตและทรัพย์สินของประชาชนและนโยบายหลักของ พล.ต.อ.ต่อศักดิ์ สุขวิมล ผู้บัญชาการตำรวจแห่งชาติและ พล.ต.อ.กิตติ์รัฐ พันธุ์เพ็ชร์ รองผู้บัญชาการตำรวจแห่งชาติ ในการป้องกันและปราบปรามอาชญากรรมทุกรูปแบบ “ตำรวจในยุคนี้ทำงานเชิงรุก” ดูแลความปลอดภัยทางไซเบอร์ให้ประชาชนในทุกมิติ เช่น การระบุ (identify) และเก็บข้อมูลกิจกรรมอาชญากรรมที่เกิดขึ้นในระบบคอมพิวเตอร์และโครงสร้างเครือข่ายออนไลน์ของกลุ่มเป้าหมายรวมถึงวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ตรงไปที่ลูกค้าประชาชน ผู้ประกอบการ องค์กรหน่วยงานต่าง ๆ ในอดีต ปัจจุบันและเฝ้าระวังไปยังอนาคต โดยมีการเชื่อมโยงข้อมูลระหว่างหน่วยงานด้วยฐานข้อมูลขนาดใหญ่ (Big Data) ภายในสำนักงานตำรวจแห่งชาติและระหว่างหน่วยงานรัฐ-เอกชนนอกองค์กรตำรวจกระชับความสัมพันธ์ทำงานใกล้ชิดกับธนาคาร สถาบันการเงินและองค์กรต่าง ๆ เพื่อประเมินสถานการณ์ความเสี่ยงตัวบุคคลเฝ้าระวังพิเศษและเสนอให้ “ขึ้นบัญชีดำโจรไซเบอร์” และการป้องกันไม่ให้เกิดความสูญเสียซ้ำของรูปแบบโจรไซเบอร์ที่กำลังเกิดขึ้นในปัจจุบันและอนาคต ไม่ให้มาสร้างความเดือดร้อนแก่ประชาชนได้อีก โดยยกระดับความปลอดภัยทางไซเบอร์เป็นวาระแห่งชาติ ปรับปรุงกฎหมายครั้งใหญ่บังคับใช้ให้ทุกภาคส่วนเกิดความรับผิดชอบ (Responsibility) และสำนึกรับผิดชอบ (Accountability) เสริมสร้างความปลอดภัยทางไซเบอร์ของชาติและประชาชนให้แข็งแกร่งมั่นคงมากยิ่งขึ้น