ราชกิจจานุเบกษา เล่ม 139 ตอนพิเศษ 288 ง ลงวันที 9 ธันวาคม 2565 ได้ตีพิมพ์ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเรื่อง นโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. ๒๕๖๕ – ๒๕๗๐) ซึ่งเป็นการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 9 (1)… ซึ่งบัญญัติให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. มีหน้าที่และอำนาจ เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริม และ สนับสนุนการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 42 และ มาตรา 43 ต่อคณะรัฐมนตรี เพื่อให้ความเห็นชอบนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์นี้ใช้เป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย… โดยประกาศฉบับนี้จะเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยซเบอร์ในสถานการณ์ปกติ และ ในสถานการณ์เกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์ และ แผนระดับชาติ และกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ
ทันทีที่คณะรัฐมนตรีลงมติเห็นชอบ และ ราชกิจจานุเบกษาเผยแพร่ประกาศ… แนวปฏิบัติ และ หลักการตามประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเรื่อง นโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. ๒๕๖๕ – ๒๕๗๐) จะมีผลบังคับใช้ต่อหน่วยงานที่มีการใช้เทคโนโลยีดิจิทัลเป็นเครื่องมือในการให้บริการแก่ประชาชนในเรื่องต่างๆ ทั้งบริการทางด้านเศรษฐกิจ สังคม รวมทั้งด้านความมั่นคงปลอดภัยในชีวิตและทรัพย์สิน
เมื่อไม่นานมานี้… พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เคยบอกเล่าผ่านสื่อหลายสำนักว่า… หลังจากกฎหมายฉบับแรกที่ตราขึ้นเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ คือ พระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งได้กำหนดให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. มีหน้าที่และอำนาจเสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
เพื่อส่งเสริม สนับสนุน และ กำหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และ จัดทำแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยมีวิสัยทัศน์ว่า “บริการที่สำคัญของประเทศไทยมีความมั่นคงปลอดภัยไซเบอร์ เพื่อความยั่งยืนทางเศรษฐกิจและสังคม”
เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติอธิบายว่า… สำหรับเนื้อหาที่เป็นนโยบาย มีการกำหนดยุทธศาสตร์ทิศทางในการดำเนินงาน ประกอบด้วย 4 ยุทธศาสตร์ คือ
ยุทธศาสตร์ที่ 1
จะเร่งสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ในส่วนบุคลากร องค์ความรู้ และ เทคโนโลยี โดยจะเน้นการสร้างขีดความสามารถแบบบูรณาการครบวงจร ของการรักษา ความมั่นคงปลอดภัยไซเบอร์โดยการสร้างบุคลากรให้มีความตระหนักและมีความรู้ความสามารถด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ผ่านโครงการต่าง ๆ ที่มีความร่วมมือกับทั้งภาครัฐและเอกชนที่เกี่ยวข้อง โดยมีเป้าหมายสร้างองค์ความรู้หรือกระบวนการการรักษาความมั่นคงปลอดภัยไซเบอร์ให้เกิดขึ้นในประเทศ
ยุทธศาสตร์ที่ 2
สร้างบริการภาครัฐ และ โครงสร้างพื้นฐานสำคัญทางสารสนเทศให้มีความมั่นคงปลอดภัยไซเบอร์และฟื้นคืนสู่สภาพปกติได้ โดยจะเน้นการเพิ่มศักยภาพความมั่นคงปลอดภัยขององค์กรภาครัฐที่มีบริการสำคัญที่ต้องให้บริการทั้งประชาชน ภาคธุรกิจและภาคอุตสาหกรรม โดยหากมีภัยคุกคามทางไซเบอร์ต้องสามารถตรวจจับ ป้องกัน ตอบสนองต่อภัยคุกคาม และสามารถฟื้นคืนบริการที่สำคัญสู่สภาพปกติได้อย่างรวดเร็ว
ยุทธศาสตร์ที่ 3
การบูรณาการความร่วมมือเพื่อเตรียมความพร้อมในการรับมือทางไซเบอร์ และฟื้นคืนสู่สภาพปกติได้ ซึ่งยุทธศาสตร์นี้จะเน้นการบูรณาการความร่วมมือกับทุกภาคส่วนทั้งภาครัฐและเอกชน เพื่อเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ พร้อมทั้งการฟื้นคืนบริการที่สำคัญสู่สภาพปกติได้อย่างรวดเร็ว
ยุทธศาสตร์ที่ 4
การสร้างศักยภาพของหน่วยงานระดับชาติให้มีคุณภาพและมาตรฐาน เน้นการดำเนินการบริหารจัดการการขับเคลื่อนยุทธศาสตร์ ประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง มีการกำกับดูแล ติดตามการทำงาน ประเมินผล และปรับปรุงอย่างต่อเนื่อง รวมถึงการดำเนินการร่วมกันอย่างบูรณาการ
ส่วนแผนปฏิบัติการจะมีการกำหนดโครงการหรือกิจกรรมที่สอดคล้องกับเป้าหมายในแต่ละยุทธศาสตร์ เพื่อให้หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะใช้เป็นแนวทางการกำกับดูแล การบริหารความเสี่ยง และปฏิบัติตาม ให้การรักษาความมั่นคงปลอดภัย ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และ เป็นไปในทิศทางเดียวกัน… โดยแผนปฏิบัติการ นั้นจะยึดหลัก 3 ประการ คือ
หลักการที่ 1. การกำกับดูแลการรักษาความมั่นคงปลอดภัยไซเบอร์ (Good Governance) ซึ่งหน่วยงานต่างๆ ต้องจัดโครงสร้าง องค์กรพร้อมกำหนด อำนาจ หน้าที่ และ ความรับผิดชอบที่ชัดเจนเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ และ ต้องจัดให้มีผู้บริหารระดับสูง ที่ทำหน้าที่บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ Chief Information Security Officer หรือ CISO ซึ่งปัจจุบันหลายหน่วยงานของรัฐยังขาดคนที่จะมีทำหน้าที่ผู้บริหารในส่วนนี้ ซึ่งก็จะพยายามจัดอบรมอย่างต่อเนื่อง
หลักการที่ 2 การบริหารความเสี่ยง (Risk Management) ต้องจัดทำกรอบการบริหารความเสี่ยงด้าน ความมั่นคงปลอดภัยไซเบอร์เป็นลายลักษณ์อักษร และ ต้องเก็บรักษารายการความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ระบุ ไว้ในทะเบียนความเสี่ยง หรือ Risk Register และ ต้องติดตามความเสี่ยงด้าน ความมั่นคงปลอดภัยไซเบอร์ที่ระบุไว้อย่างสม่ำเสมอ
หลักการที่ 3 นโยบาย และแนวปฏิบัติ (Policies and Guidelines) ต้องกำหนดและอนุมัตินโยบาย มาตรฐานและแนวทางในการจัดการความเสี่ยง รวมถึงต้องมีการทบทวนนโยบาย มาตรฐานและแนวทางปฏิบัติ อย่างน้อยปีละหนึ่งครั้ง
โดยสรุป… จุดมุ่งหมายของนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. ๒๕๖๕ – ๒๕๗๐) ก็เพื่อการปกป้องคุ้มครองบริการภาครัฐ แม้จะโดนภัยคุกคามทางไซเบอร์ ก็สามาถรับมือไม่ให้เกิดความเสียหายในวงกว้าง และ ยังให้สามารถให้บริการประชาชนได้อย่างต่อเนื่อง และ มีประสิทธิภาพได้โดยไม่เกิดผลกระทบ
References…