พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 มีความสำคัญอย่างไร

พ.ร.บ.ไซเบอร์ฯ หรือที่ทีชื่อเต็มว่าพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ได้ถูกพูดถึงเป็นอย่างมากเมื่อประมาณช่วงต้นปี 2562 และเป็นที่ถกเถียงว่าจะเป็นกฎหมายที่จำกัดสิทธิเสรีภาพประชาชนหรือไม่ ซึ่งเราจะไม่พูดถึงเรื่องนั้น แต่เราจะมาดูว่า พ.ร.บ.ไซเบอร์ฯ คืออะไร

ผู้เขียนจะพยายามไม่เจาะไปที่ตัวมาตรา แต่จะเขียนในภาพรวม เพื่อให้อ่านได้เข้าง่าย

เปรียบเทียบคนร้ายปล้นร้านทอง แน่นอนว่าคนร้ายต้องโดนความตามประมวลกฎหมายอาญา สมมติว่าร้านทองเป็นหน่วยงานที่มีผลต่อความมั่นคงของประเทศ ต้องมีการป้องกันอย่างสูง หากถูกปล้นจะทำให้ประเทศชาติเสียหาย รัฐบาลจึงออกกฎหมายมาอีกหนึ่งฉบับ สมมติอีกว่ากฎหมายนี้ชื่อว่ากฎหมาย A บังคับให้ร้านทองติดลูกกรง ติดกล้องวงจรปิด และให้มีมาตรการอื่น ๆ เพื่อป้องกันการปล้น หากเป็นในโลกไซเบอร์ ตัวกฎหมาย A นี่แหละ คือ พ.ร.บ.ไซเบอร์ฯ

ปัจจุบันหน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชนมีการนำเทคโนโลยีมาใช้เพื่อเพิ่มประสิทธิภาพในการทำงาน แต่ในอีกมุมหนึ่ง เทคโนโลยีก็ได้นำภัยเข้ามาด้วยเช่นกัน พ.ร.บ.ไซเบอร์ฯ มีเป้าหมายเพื่อเป็นเครื่องมือสำหรับการบังคับให้หน่วยงานเหล่านี้ป้องกันตนเองจากภัยคุกคามทางไซเบอร์

แล้ว พ.ร.บ. นี้บังคับใช้กับทุกหน่วยงานไหม ร้านอาหารตามสั่งที่อยู่หน้าปากซอยต้องเตรียมตัวอะไรหรือเปล่า มาตรา 49 ของ พ.ร.บ.ไซเบอร์ฯ ได้กำหนดลักษณะของหน่วยงานมาแบบหนึ่ง เรียกว่าหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบไปด้วยหน่วยงานที่มีลักษณะดังนี้

1. ด้านความมั่นคงของรัฐ 2. ด้านการบริหารภาครัฐที่สำคัญ 3. ด้านการเงินการธนาคาร 4. ด้านเทคโนโลยีสารสนเทศและการคมนาคม 5. ด้านการขนส่งและโลจิสติกส์ 6. ด้านพลังงานและสาธารณูปโภค 7. ด้านสาธารณสุข 8. ด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่ม

หน่วยงานเหล่านี้เป็นหน่วยงานที่ส่งผลต่อการใช้ชีวิตของผู้คนเป็นอย่างมาก ทำให้ต้องมีการป้องกันที่มีประสิทธิภาพ หากระบบธนาคารถูกโจมตี ความเสียหายก็จะเกิดกับเศรษกิจ หรือหากระบบด้านสาธารณสุขถูกโจมตี ผู้ป่วยก็อาจได้รับการรักษาที่ไม่ทันท่วงที เกิดผลเสียต่อชีวิตของประชาชน

จะเห็นว่าหน่วยงานเหล่านี้ไม่ได้จำกัดอยู่แค่ภาครัฐ หากเป็นหน่วยงานเอกชนที่ให้บริการในด้านที่กล่าวมา ก็ถือว่าเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ดังนั้นถ้าธุรกิจของคุณเข้าข่ายดังกล่าว คุณยิ่งจะต้องเตรียมความพร้อมสำหรับการปฏิบัติตาม พ.ร.บ.ไซเบอร์ฯ

พ.ร.บ.ไซเบอร์ฯ ได้ตั้งคณะกรรมการมาเพื่อทำงานที่เกี่ยวกับ พ.ร.บ. โดยจะมีการกำหนดกรอบมาตรฐานด้านความปลอดภัยไซเบอร์ให้แก่หน่วยงาน ซึ่งหน่วยงานจะต้องพัฒนาระบบให้มีความปลอดภัยตามมาตรฐานนั้น ซึ่งหากสามารถทำได้ตามมาตรฐาน ก็อาจจะมีมาตรการส่งเสริมธุรกิจออกมาให้ แต่จะเป็นมาตรการอย่างไรต้องติดตามกันต่อไป

ดังนั้น สิ่งที่หน่วยงานจะได้จากกฎหมายนี้ คือระบบที่มีความปลอดภัยมากขึ้น และการส่งเสริมธุรกิจจากทางรัฐ

แม้ว่าในขณะนี้จะยังไม่ได้มีการกำหนดมาตรฐานออกมาให้หน่วยงานทำตาม แต่หน่วยงานสามารถเตรียมตัวให้พร้อมก่อนได้ เช่น การทำให้ได้มาตรฐาน ISO27001 ซึ่งเป็นมาตรฐานของการบริหารความปลอดภัยของข้อมูลที่มีความครอบคลุม โดยคาดว่ามาตรฐานที่ทางรัฐจะออกมาคงไม่ได้ต่างกันมากนัก

นอกจากนี้จะมีการกำหนดมาตรการในการประเมินความเสี่ยง และการรับมือกับภัยคุกคามทางไซเบอร์ อีกทั้งยังได้เพิ่มหน้าที่ให้แก่หน่วยงาน เช่น การรายงานเหตุภัยคุกคามทางไซเบอร์ไปยังสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ยกตัวอย่างเหตุการณ์ที่เคยเกิดขึ้นที่ประเทศสหาราชอาณาจักร เมื่อปี 2560 เกิดการระบาดของ Ransomware ชื่อ Wannacry ทำให้ระบบประกันสุขภาพ หรือ National Health Service (NHS) ได้รับผลกระทบทำให้ผู้ป่วยกว่า 6,921 รายต้องถูกยกเลิกนัด โดยกว่า 139 รายเป็นผู้ป่วยฉุกเฉินที่ต้องเข้ารับการรักษาเกี่ยวกับมะเร็ง

แม้ว่าผลเสียที่เกิดขึ้นจะดูร้ายแรง แต่ความจริง Ransomware ตัวนี้ป้องกันได้โดยวิธีที่ง่ายมาก คือการ Update ระบบปฏิบัติการ Windows เนื่องจาก Wannacry จะเข้าสู่ระบบทางช่องโหว่ของระบบปฏิบัติการ Windows ซึ่ง Microsoft ได้ปล่อย Patch เพื่ออุดช่องโหว่นี้ตั้งแต่ก่อนเกิดการระบาดเสียอีก หมายความว่าหน่วยงานที่โดนเล่นงานก็คือหน่วยงานที่ไม่ได้ใช้ Windows แท้ หรือไม่ได้ทำการ Update นั่นเอง ซึ่งการใช้โปรแกรมแท้ และการหมั่นทำการ Update นั้นถือว่าเป็นเรื่องพื้นฐานมากสำหรับการป้องกันภัยคุกคามทางไซเบอร์

สมมติว่าเหตุการในลักษณะดังกล่าวเกิดขึ้นในประเทศไทย ที่ พ.ร.บ.ไซเบอร์ฯ ได้ถูกใช้งานแล้ว ทางคณะกรรมการจะมีมาตรการเพื่อความปลอดภัยมาให้ทางหน่วยงานต่าง ๆ ปฏิบัติตาม ซึ่งหากมาตรการนั้นรวมถึงการบังคับให้ใช้ระบบปฏิบัติการแท้ที่ถูกลิขสิทธิ์ และให้ทำการ Update อย่างสม่ำเสมอ หน่วยงานที่สำคัญก็จะปลอดภัยจากภัยคุกคามทางไซเบอร์ในตัวอย่างที่ยกมาได้

จะเห็นว่าหากถูกใช้งานได้อย่างมีประสิทธิภาพและตรงวัตถุประสงค์ ย้ำว่าหากถูกใช้งานได้อย่างมีประสิทธิภาพและตรงวัตถุประสงค์ พ.ร.บ. นี้จะเป็นเครื่องมือที่สำคัญและส่งผลดีต่อความมั่นคงเป็นอย่างมาก

เค้าถกเถียงอะไรกัน?

แทบจะเป็นเรื่องปกติที่ความปลอดภัยและความเป็นส่วนตัวจะขัดแย้งกัน และมักจะแปรผกผันกัน

ยกตัวอย่างว่ามีประเทศสมมติที่ใช้เทคโนโลยี Facial Recognition อย่างเต็มรูปแบบ ทุกแยก ทุกมุม มีกล้องวงจรปิดที่คอยจับตาทุกการกระทำของประชาชน ทุกการกระทำที่ผิดกฎหมายไม่สามารถรอดพ้นสายตาของรัฐได้ ทำให้เจ้าหน้าที่สามารถตามจับผู้กระทำความผิดได้ทุกครั้ง ใครคิดจะทำความผิดก็ไม่กล้าแล้ว เพราะมีรัฐคอยจับตามองอยู่ กลายเป็นสังคมที่มีความปลอดภัย อัตราการก่ออาชญากรรมเกิดน้อยมาก

แล้วความปลอดภัยที่ได้มานั้นมันคุ่มค่ากับความเป็นส่วนตัวของประชาชนที่เสียไปไหม?

นี่เป็นหนึ่งในคำถามที่ถูกตั้งขึ้นมากับ พ.ร.บ.ไซเบอร์ฯ เนื่องจากในตัว พ.ร.บ.ฯ นั้นมีการให้อำนาจเจ้าหน้าที่ในด้านต่าง ๆ เช่น การเข้าตรวจค้นสถานที่ การเข้าถึงข้อมูล และการยึดอุปกรณ์ เป็นต้น มันได้มาซึ่งความปลอดภัยอยู่แล้ว แต่ทำอย่างไรให้มันไม่ละเมิดสิทธิจนเกินไปล่ะ

จึงเป็นที่มาของบางมาตราที่เข้ามาป้องกันเรื่องดังกล่าว เช่น มาตราที่มีการกำหนดลำดับความรุนแรงของภัยคุกคาม ทำให้มีการกำหนดระดับของการบังคับใช้กฎหมาย ว่าภัยคุกคามระดับเท่านี้ เจ้าหน้าที่สามารถทำได้ขนาดไหน

แล้วตัว พ.ร.บ. เจ้าปัญหาของเราล่ะ มันมีความสมดุลระหว่างสองสิ่งนี้หรือไม่?

ผู้เขียนสารภาพว่าตอบไม่ได้ เพราะมันมีอีกหลายปัจจัยที่อยู่นอกเหนือข้อกฎหมายที่ต้องนำมาวิเคราะห์ เช่น ความไว้วางใจที่ประชาชนมีต่อรัฐ ความสามารถของผู้บังคับใช้กฎหมาย และจริยธรรมของเจ้าหน้าที่ (ที่สำคัญ Bias ของผู้เขียนอีก อันนี้ปัญหาใหญ่เลย)

ซึ่งเป็นสิ่งที่วัดค่ายาก และสามารถตีความหมายได้คลุมเครือ

ข้อถกเถียงก็จะยังคงอยู่ต่อไป

แล้วจะทำอย่างไร?

ในภาคประชาชน สิ่งที่ทำได้คือการช่วยสอดส่องการทำงานของรัฐ ว่ามีการใช้อำนาจเกินขอบเขตหรือไม่ หากพบปัญหาก็พยายามชี้มันออกมาเพื่อให้เกิดถึงความตระหนัก ถึงจุดนี้มันคงเป็นสิ่งที่เราทำได้มากที่สุดแล้ว

อีกข้อหนึ่งที่สำคัญ ก่อนทำการวิเคราะห์ วิจารณ์อะไร อยากให้ลองทบทวนดูก่อนว่าข้อมูลที่นำมาใช้นั้นเป็นปัจจุบันไหม เนื่องจากหลายครั้งที่ผู้เขียนเห็นผู้อื่นวิจารณ์เรื่อง พ.ร.บ. นี้ แต่นำข้อมูลจากร่างเดิมมาใช้ ซึ่งมีความแตกต่างกันมาก มันเป็นการกระจายข้อมูลที่ไม่ถูกต้อง

การที่ พ.ร.บ. นี้มันไม่สามารถทำให้บางคนรู้สึกว่าเป็นกฎหมายที่จะสร้างผลดีมากกว่าผลเสียนั้นอาจเกิดจากการที่เป็นกฎหมายที่ต้องใช้ความรู้ทั้งทางด้านเทคโนโลยี และทางกฎหมาย ด้วยกันจึงจะเข้าใจอย่างถ่องแท้

นอกจากนี้ ตัว พ.ร.บ.ฯ ยังอาจถูกมองว่าเป็นภาระของหน่วยงานต่าง ๆ ที่ต้องทำตามาตรการและข้อกำหนดที่จะออกมา แต่ไม่ได้สิ่งตอบแทนที่คุ้มค่า ผู้เขียนเห็นว่าควรมีการกล่าวถึงผลประโยชน์ (นอกจากความปลอดภัย) ที่หน่วยงานจะได้รับจากการทำตาม พ.ร.บ.ฯ ให้ชัดเจน เช่น การใช้มาตรการส่งเสริมทางภาษี เป็นต้น

สรุป

เนื่องจาก พ.ร.บ. นี้ได้ประกาศใช้แล้ว ต่อไปก็เป็นหน้าที่ของพวกเราที่จะต้องทำตามก็หมาย และคอยตรวจสอบมันไปพร้อม ๆ กัน ผู้เขียนไม่อยากให้คิดว่าเป็นเรื่องไกลตัว ถึงแม้ว่า พ.ร.บ. นี้ไม่ได้เพ่งเล็งไปที่ตัวบุคคลใดบุคลลหนึ่ง แต่คุณก็ควรจะรู้สิทธิที่คุณมี เพราะในอนาคตอย่างไรคุณก็หนีเทคโนโลยีไม่พ้น