วันพุธที่ 17 ตุลาคม พ.ศ. 2561

พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.….ใครได้ ? ใครเสีย ?


พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. .
ใครได้ ? ใครเสีย ?
โดย พลเอก ฤทธี  อินทราวุธ
----------------------------------
หัวข้อประเด็น Talk of the town ที่ผู้คนในวงการไซเบอร์ และไอที ของไทยในเวลานี้ กำลังกล่าวถึงกันอย่างกว้างขวาง ซื่งถือเป็น " เผือกร้อน " ของรัฐบาล คงไม่มีใครที่ไม่หันมาจับตามองเกี่ยวกับ ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ…….ที่กำลังเข้าสู่กระบวนการพิจารณาของ สมาชิกนิติบัญญัติแห่งชาติ ( สนช.) ในขณะนี้
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.….ใครได้ ? ใครเสีย ? เพราะอะไร ? และทำไมผู้คนในวงการไซเบอร์ และไอที ของไทย รวมถึงนักวิชาการต่างๆ ที่เกี่ยวข้อง ต่างหันมาให้ตวามสนใจ ตื่นตระหนก
วิตกกังวล และห่วงใยในผลกระทบต่อหน่วยงานรัฐ , กลุ่มโครงสร้างพื้นฐานสารสนเทศที่มีความเสี่ยงของประเทศ ( Critical Information Infrastructure : CII ) , กลุ่มภาคธุรกิจ , เอกชน และ ประชาชนทั่วไป ซึ่งอาจจะติดตามมาจากการประกาศใช้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. .ฉบับนี้ หากไม่ได้มีการแก้ไขปรับปรุงร่าง พ.ร.บ. ฉบับนี้เสียก่อน ที่จะผ่าน สนช.ซึ่งส่วนใหญ่ไม่มีความเข้าใจเรื่องไซเบอร์ !
ประเด็นที่วิพากษ์วิจารณ์ในวงการไซเบอร์ และไอที ส่วนใหญ่จะเป็นประเด็นหลักเกี่ยวกับ การปฏิบัติในโลกของความเป็นจริงแบบมาตรฐานเดียวกัน เพื่อไม่ให้เกิดการเลือกปฏิบัติของเจ้าหน้าที่ฯ หรือการปฏิบัติแบบสองมาตรฐาน , การเพิ่มภาระให้กับเจ้าหน้าที่ดูแลระบบฯ , การเพิ่มภาระการลงทุนของหน่วยงานและองค์กรต่างๆ , การให้อำนาจเจ้าหน้าที่ฯ จนเกินขอบเขต ซึ่งจะนำไปสู่การใช้อำนาจหน้าที่ในทางมิชอบ หรือใช้เป็นช่องทางการเรียกรับผลประโยชน์ , การเปิดโอกาสและช่องทางในการละเมิดสิทธิเสรีภาพของประชาชนได้โดยไม่มีการกำกับตรวจสอบถ่วงดุล และการเอื้อประโยชน์แก่ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ CSA ที่ให้มีอำนาจถือหุ้น ร่วมทุน ทำให้มีสถานะเป็น Operator และ Regulator เป็นต้น โดยมีผู้ให้ความคิดเห็นบางท่าน ดังนี้
พ.ต.อ.ญาณพล ยั่งยืน หนึ่งใน คณะกรรมการเตรียมการด้านรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มองปัญหาตามร่างกฎหมายฉบับนี้ เป็นต้นว่า 
กรณีที่กำหนดให้ผู้ดูแลระบบสารสนเทศ ต้องจัดให้มีการประเมินความเสี่ยงอย่างน้อยปีละครั้ง ผู้ใดฝ่าฝืน มีโทษปรับสองแสนบาท หรือ วันละหนึ่งหมื่นบาท และหากเลขาธิการสำนักงานคณะกรรมการรักษาความ
มั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) เห็นว่า การประเมินความเสี่ยงไม่น่าพอใจ ผู้ดูแลระบบ ต้องทำใหม่อีกครั้ง ผู้ดูแลระบบยังต้องกำหนดให้มีกลไกการเฝ้าระวัง และ ต้องเข้าร่วมทดสอบความพร้อมของระบบ อีกด้วย

เมื่อหน่วยงานควบคุม หรือกำกับดูแล ทราบเหตุ ให้สนับสนุน ช่วยเหลือ และแจ้งหน่วยอื่นให้ทราบด้วย รวมทั้งให้อำนาจพนักงานเจ้าหน้าที่ มีหนังสือเรียกบุคคลให้ไปให้ข้อมูล ในเวลาที่เหมาะสม หากฝ่าฝืนมีโทษปรับไม่เกินหนึ่งแสนบาท
เมื่อพนักงานเจ้าหน้าที่มีหนังสือขอข้อมูล หรือสำเนาข้อมูลเอกสารซึ่งอยู่ในความครอบครองของผู้อื่นอันเป็นประโยชน์แก่การดำเนินการ ต้องจัดการให้ตามนั้น ใครฝ่าฝืนมีโทษปรับไม่เกินหนึ่งแสนบาท

# ประเด็นดังกล่าวข้างต้นตามความเห็นของผู้เขียน " ใครที่มีหน้าที่ดูแลด้านไซเบอร์และไอที ของหน่วยงานต่างๆ คงต้องเปลี่ยนอาชีพใหม่ ถ้าไม่อขากเสี่ยงที่จะถูกปรับ หรือเปล่า ? หรือ หน่วยงานต่างๆ คงจะต้องลงทุนจ้างบริษัทรับประกันความเสี่ยงในการปฏิบัติตามกฎหมาย ? "

พนักงานเจ้าหน้าที่สามารถเข้าไปในอสังหาริมทรัพย์ หรือสถานประกอบการใด ที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้อง โดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น
นอกจากนี้ เลขาธิการ กปช. ยังมีอำนาจสั่งการให้หน่วยงานของรัฐด้านความมั่นคง ดำเนินการป้องกัน และ รับมือภัย เช่น สั่ง หน่วยงานทางทหารหรือตำรวจ หรือสั่งให้ ผู้บริหารรถไฟฟ้า BTS หยุดการเดินรถ เพราะมีสัญญาณไปรบกวนได้ด้วย เป็นต้น
ซึ่ง พ.ต.อ.ญาณพลฯ เห็นว่า คำว่า ระดับร้ายแรงนั้น เขียนไว้กว้างเกินไปแบบครอบจักรวาล เช่น ถ้ามีความรุนแรงที่ก่อหรืออาจก่อให้เกิดความเสียหายต่อบุคคล หรือทรัพย์สินสารสนเทศที่สำคัญ หรือมีจำนวนมาก มาตรานี้ซึ่งตีความได้กว้างมาก เปิดช่องให้พนักงานเจ้าหน้าที่ สามารถบุกบ้านของเราได้ หากคอมพิวเตอร์ของบ้านเราถูกไวรัสโจมตี เป็นต้น
หรือถ้า กปช. เห็นว่า เซิร์ฟเวอร์ของท่านมีปัญหา ไม่ว่าเป็นเครื่องที่ถูกโจมตีหรือเครื่องที่จะนำไปใช้โจมตีผู้อื่น ให้เหมารวมเอาไว้ก่อนว่า ถือเป็นเครื่องที่เกี่ยวข้องกับภัยคุกคาม ถ้าได้รับความยินยอมจากผู้ครอบครองสถานที่ซึ่งเซิร์ฟเวอร์นั้นตั้งอยู่ (จะมีสักกี่คนที่กล้าขัดขืน) ทางการสามารถ เข้าไปตรวจค้น และ เข้าถึงทรัพย์สินสารสนเทศ เช่น ระบบเครื่องคอมพิวเตอร์ หรือฮาร์ดดิสก์ ทั้งยังสามารถทดสอบการทำงานของเครื่องเหล่านั้น ซึ่งบางทีอาจเป็นข้อมูลสำคัญหรือเป็นความลับทางการค้า รวมทั้งยังสามารถยึดเอาเครื่องไปตรวจสอบได้ถึง 30 วัน ซึ่งบางคนบอกว่า เล่นจัดหนักให้อำนาจกันถึงขนาดนี้ ควรย้ายเซิร์ฟเวอร์ไปอยู่ในต่างประเทศกันซะให้หมดเลยดีไหม?
เทียบกับกรณีเจ้าหน้าที่ของหน่วยงาน DSI จะเข้าไปตรวจค้นที่ใด หลังจากทำให้เป็นคดีพิเศษแล้ว จึงจะมีอำนาจเข้าไปตรวจค้นได้ หรือในกรณีที่ต้องการจะแอบดักฟังการสนทนา ต้องไปขออนุญาตต่ออธิบดีผู้พิพากษาศาลอาญาก่อนแต่เพียงผู้เดียวเท่านั้น จากนั้นให้จัดทำสำเนาไว้ 2 ชุด มอบให้อธิบดีผู้พิพากษาศาลอาญา 1 ชุด อีกชุดเก็บไว้ใช้ดำเนินการสอบสวนต่อ

# ประเด็นดังกล่าวข้างต้นตามความเห็นของผู้เขียน มองว่า " เป็นการให้อำนาจทางกฎหมายแก่ เจ้าหน้าที่ฯ จนเกินขอบเขตการละเมิดสิทธิส่วนบุคคล โดบไม่มีกระบวนการพิจารณากลั่นกรอง แบบคดีพิเศษของ DSI หรือ พ.ร.บ.คอมพิวเตอร์ ปี 60 ฉบับล่าสุด "
ด้าน พล.อ.บรรเจิด เทียนทองดี คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติให้ความเห็นว่า การร่างกฎหมายที่ดีควรร่างมาจากความเห็นที่หลากหลายของทุกฝ่ายที่เกี่ยวข้อง คุณภาพของกฎหมายเป็นสิ่งสำคัญ ไม่ใช่จำนวนกฎหมาย ที่เร่งออกมากันมากมาย เพื่อให้ดูมีผลงาน
ร่างกฎหมายนี้คล้ายกับร่างกฎหมายอีกหลายฉบับ ที่ผู้ร่างจงใจเขียนออกมาเพื่อตอบโจทย์ตัวเอง เอาไว้เป็นเครื่องมือในการบริหารจัดการของตัวเอง หรือสร้างอำนาจและอาณาจักรของตัวเองขึ้นมา เท่าที่ทราบมีการไปลอกบางส่วนมาจากกฎหมายไซเบอร์ของสิงคโปร์ แต่เอามาเขียนให้กระทรวงดิจิทัลฯเป็นใหญ่
ขณะที่ ผศ.ดร.อนุสรณ์ ธรรมใจ คณบดีคณะเศรษฐศาสตร์ มหาวิทยาลัยรังสิต ได้ประเมินผลกระทบของ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.......... ว่าจะเป็นอุปสรรคสำคัญต่อการพัฒนา
เศรษฐกิจดิจิทัล และมีเนื้อหาหลายส่วนอาจขัดขวางต่อการพัฒนาเศรษฐกิจฐานนวัตกรรม นอกจากนี้ยังเป็นการเพิ่มต้นทุนในการประกอบการ และส่งผลกระทบต่อสิทธิเสรีภาพของประชาชน และการดำเนินการของภาคธุรกิจอีกด้วย ซึ่งประเมินว่าพ.ร.บ.ฉบับนี้จะส่งผลกระทบอย่างน้อย 9 ด้าน ดังนี้
ด้านที่1 กฎหมายฉบับนี้จะก่อให้เกิดอุปสรรคต่อความคิดสร้างสรรค์ การพัฒนาเศรษฐกิจดิจิทัลและเนื้อหาบางส่วนอาจขัดขวางต่อการขยายตัวเติบโตของเศรษฐกิจฐานนวัตกรรม
ด้านที่ 2 เปิดโอกาสและช่องทางในการละเมิดสิทธิเสรีภาพของประชาชนได้โดยไม่มีการกำกับตรวจสอบถ่วงดุลที่ดีพอ อำนาจของเลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กปช ใน มาตรา 46, 47, 48, 54, 55, 56, 57 มีความอ่อนไหวสูงต่อการใช้อำนาจรัฐละเมิดสิทธิประชาชนหรือองค์กรหรือกิจการธุรกิจต่างๆ และอำนาจบางอย่างที่ระบุไว้ในกฎหมายต้องผ่านคำสั่งศาล เพื่อป้องกันการละเมิดสิทธิพื้นฐานของประชาชนและองค์กรต่างๆ รวมทั้งเกิดช่องทางหาผลประโยชน์ในทางที่มิชอบ โดยอาศัยอำนาจตามกฎหมายและเกิดการทับซ้อนทางผลประโยชน์ได้ ควรมีการใช้อำนาจดุลยพินิจของเลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กปช และ เจ้าหน้าที่ให้น้อยที่สุด
ด้านที่ 3 โครงสร้างการบริหารขาดการมีส่วนร่วมและยังไม่เป็นไปตามหลักธรรมาภิบาลที่ดี เนื่องจากผู้ทรงคุณวุฒิในคณะกรรมการ กปช มาจากการแต่งตั้งโดยรัฐมนตรีทั้งหมด จึงขาดกรรมการมืออาชีพที่เป็นอิสระในการถ่วงดุลการใช้อำนาจของรัฐ 
ด้านที่ 4 ทรัพย์สินสารสนเทศในมาตราสาม ครอบคลุมอุปกรณ์และทรัพย์สินส่วนบุคคลของประชาชนและองค์กรต่างๆ เช่น มือถือ อุปกรณ์สื่อสารส่วนบุคคล Internet of Thing ด้วยจึงอาจก่อให้เกิดการจำกัดเสรีภาพและละเมิดสิทธิอย่างกว้างขวางได้หากผู้ใช้อำนาจไม่คำนึงถึงหลักการประชาธิปไตยและหลักสิทธิมนุษยชน 
ด้านที่ 5 ในมาตรา 64 การรับผิดชอบควรเกิดขึ้นเมื่อมีการฝ่าฝืนกฎหมายโดยไม่มีเหตุอันควร และ ต้องให้สิทธิผู้ถูกกล่าวหาอุทธรณ์เพื่อให้เกิดความเป็นธรรม ลดโอกาสในการกลั่นแกล้งกัน เพื่อให้กฎหมายเป็นไปตามหลักนิติธรรม 
ด้านที่ 6 มีปัญหาเรื่องความขัดแย้งทางผลประโยชน์ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ CSA มีอำนาจถือหุ้น ร่วมทุน จึงมีสถานะทั้งเป็น operator และ regulator ทำให้เกิดความขัดแย้งทางผลประโยชน์ หรือ Conflict of Interest ได้ 
ด้านที่ 7 มีการรวบอำนาจไว้ที่หน่วยงานเดียว จึงขาดการตรวจสอบถ่วงดุล
ด้านที่ 8 การกำหนดหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศไม่ครอบคลุมเพียงพอ ไม่ครอบคลุม Critical Infrastructure สำคัญ ควรมีการระบุผลกระทบและเกณฑ์ขนาดของหน่วยงานเพื่อไม่ไปสร้างภาระทางการลงทุนทางด้าน ITให้กับหน่วยงานขนาดเล็กที่ไม่มีความพร้อมหรือไม่มีศักยภาพเพียงพอ 
ด้านที่ 9 การที่ไม่ระบุอย่างชัดเจนว่าอะไรคือภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ ขณะนี้จึงยังไม่สามารถพูดได้ว่า การส่งข้อมูลในอีเมล์ การส่งข้อมูลหรือเนื้อหาวิดีโอต่างๆทางสื่อสังคมออนไลน์ที่เห็นต่างจากผู้มีอำนาจรัฐ หรือวิพากษ์วิจารณ์ผู้มีอำนาจอาจถูกเหมารวมเป็นภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ก็ได้ ทั้งที่ไม่ได้เป็นภัยคุกคามทางไซเบอร์เป็นเพียงการเสนอความคิดเห็นอันเป็นเสรีภาพขั้นพื้นฐาน
ทั้งนี้ ผศ.ดร.อนุสรณ์ฯ ได้ให้ความเห็นเพิ่มเติมว่า กฎหมายนี้แม้นจะมีความจำเป็นในการสร้างระบบความมั่นคงทางด้านไซเบอร์ แต่กระบวนการในการร่างกฎหมายต้องให้เกิดการมีส่วนร่วม และต้องอยู่บนพื้นฐานของหลักการประชาธิปไตย "
" การมีกฎหมายที่กำลังบังคับใช้ใหม่ แต่อยู่บนฐานคิดที่ล้าหลัง อยู่ภายใต้กรอบคิดความมั่นคงแบบเก่าๆ และไม่เป็นประชาธิปไตยเป็นเรื่องอ่อนไหวต่อสังคม ต่อระบบการดำเนินธุรกิจและระบบเศรษฐกิจ "
" การมีกฎหมายหรือผู้ออกกฎหมายที่มุ่งไปที่มิติความมั่นคงมากเกินไป โดยไม่สนมิติทางเศรษฐกิจ มิติทางสังคม มิติทางด้านสิทธิมนุษยชนและสิทธิส่วนบุคคล เป็นเรื่องที่น่าห่วงใยอย่างยิ่งต่อสังคมไทยในอนาคต "

บทสรุปของ ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.….ฉบับนี้ ว่าใครจะได้ ใครจะเสีย ? คงไม่เป็นการยากจนเกินไปนักในการที่จะทำความเข้าใจ เพราะประเด็นต่างๆ ที่สังคมตั้งประเด็นสงสัย คลางแคลงใจ โดยเฉพาะคนในวงการไซเบอร์ และไอที ระดับกูรูมืออาชีพชั้นนำของประเทศ ที่มีประสบการณ์การทำงานด้านนี้มานานกว่า 20 - 30 ปี คงไม่ได้มีอะไรแอบแฝง หรือมีวาระซ่อนเร้น แต่ด้วยความกังวลและห่วงใย ว่า พ.ร.บ. ฉบับนี้ อาจจะถูกนำมาใช้เพื่อประโยชน์ของคนกลุ่มใดกลุ่มหนึ่ง ไม่ใช่เเพื่อประโยชน์ส่วนรวมของประชาชน คนทั้งชาติ ตามเจตนารมณ์ของการออกกฎหมาย ?

---------------------------------------------------
อ้างอิง : 
https://www.thairath.co.th/content/1396446
https://www.thebangkokinsight.com/51957/https://www.ryt9.com/s/prg/2900732 
http://www.lawamendment.go.th/index.php/component/k2/item/1306-2018-09-27-07-35-21

วันอาทิตย์ที่ 7 ตุลาคม พ.ศ. 2561

เหตุผล 8 ข้อ ที่ สนช. ไม่ควรรับร่าง พรบ.ความมั่นคงปลอดภัยไซเบอร์


เสียงสะท้อนจากคนในวงการไซเบอร์ระดับชั้นนำของประเทศไทย ที่ไม่มีโอกาสเข้าไปมีส่วนเกี่ยวข้องกับการยกร่าง พรบ_ความมั่นคงปลอดภัยไซเบอร์ ของกระทรวงดิจิทัลกับกฤษฎีกา รวมถึงบทบาทในการร่วมพิจารณาความเหมาะสมและความเป็นไปได้ของ พรบ.ฉบับนี้ ซึ่งอาจจะส่งผลกระทบ ต่อ หน่วยงานรัฐ , CII , เอกชน และ ประชาชนทั่วไป จากการประกาศใช้ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หากไม่มีการแก้ไขร่าง พรบ ฉบับนี้ ก่อนผ่าน สนช.ซึ่งส่วนใหญ่ไม่มีความเข้าใจเรื่องไซเบอร์ !


เหตุผล 8 ข้อที่ สนช. ไม่ควรรับร่าง #พรบ_ความมั่นคงปลอดภัยไซเบอร์ ของกระทรวงดิจิทัลกับกฤษฎีกา:-
1. #เปิดช่องให้ละเมิดสิทธิประชาชน: อำนาจของเลขา กปช. ใน (ม.46) (ม.47) (ม.48) (ม.54) (ม.55) (ม.56) (ม.57) (ม.58) หลายอย่าง sensitive, กว้าง, ไม่มีหลักเกณฑ์, ไม่มีการให้เหตุผล, ไม่มีการพิจารณาความสมเหตุสมผล, อาจเปิดช่องให้ละเมิดอำนาจกฎหมายอื่น/สิทธิโดยชอบตามกฎหมายของ CII และประชาชน และเปิด business risk ให้ CII ที่ให้ข้อมูลและคู่สัญญาตลอดจนผู้รับบริการ จึงควรต้องกระทำโดยอาศัยคำสั่งศาล ไม่ใช่ทำได้โดยใช้เพียงดุลพินิจของเลขา CSA
2. #มีผลกระทบต่อประชาชนอย่างกว้างขวาง: นิยาม ทรัพย์สินสารสนเทศ ใน (ม.3) ครอบคลุมถึงมือถือและ Internet of Thing ด้วย จึงเปิดโอกาสให้จำกัดสิทธิเสรีภาพประชาชนอย่างมาก แต่ พรบ. กลับให้อำนาจเลขา กปช. โดยไม่มีการถ่วงดุลจาก คกก. กปช. (NCSC)
3. #โครงสร้างการบริหารขาดธรรมาภิบาล: กรรมการ NCSC มาจากภาครัฐ 7 คนกับผู้ทรงคุณวุฒิอีก 7 คน แต่กระบวนการสรรหาและคัดเลือกผู้ทรงคุณวุฒิให้ รมว. กำหนด ซึ่งอาจไม่ได้คนที่อิสระมาถ่วงดุลการใช้อำนาจของรัฐบาล (ม.5)
4. #หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ: การกำหนดหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ยังไม่ครอบคลุม critical infrastructure สำคัญทุกประเภท และควรระบุเกณฑ์ขนาดของหน่วยงาน/ผลกระทบด้วย ไม่ใช่สร้างภาระให้กิจการ/หน่วยงานเล็กๆ ที่ยังขาดศักยภาพในการดูแลตัวเอง นอกจากนี้ การทบทวนควรทำได้บ่อยเท่าที่จำเป็น ไม่ใช่ตายตัวที่ 2 ปี (ม.43)
5. #สิทธิพื้นฐานของผู้ถูกกล่าวหาตามหลักนิติธรรม: การรับผิดตาม (ม.64) ควรเฉพาะเมื่อฝ่าฝืนโดยไม่มีเหตุอันควร และต้องให้สิทธิผู้ถูกกล่าวหาอุทธรณ์หรือโต้แย้งได้
6. #การรวบอำนาจเรื่องสำคัญไว้กับหน่วยงานเดียว: (บทเฉพาะกาล) ความรับผิดชอบหลายเรื่องตกกับ สพธอ. หรือ ETDA มากเกินไป มีลักษณะรวบอำนาจ ขาด check and balance ทั้งที่ Cyber Security เป็นงานสำคัญระดับชาติที่ควรระดมความร่วมมือจากทุกภาคส่วน ไม่ใช่ให้กระทรวงดิจิทัล ดูอยู่คนเดียว
7. #ประเด็นความขัดแย้งทางผลประโยชน์: สนง. คกก. การรักษาความมั่นคงปลอดภัยไซเบอร์ (CSA) มีอำนาจถือหุ้น/ร่วมทุน ทำให้เป็นทั้ง player และ regulator และมี conflict of interest ได้ (ม.17)
- ผู้เชี่ยวชาญตาม (ม.41) ควรกำหนดให้มีวุฒิบัตรด้าน cyber security ที่ได้มาตรฐานเป็นที่ยอมรับของสากล
- การแจ้งชื่อผู้ดูแลระบบของ CII แก่ CSA หรือแจ้งก่อนเปลี่ยนแปลงผู้ดูแลระบบ 7 วัน ไม่ practical ไม่มีประโยชน์ และสร้างภาระแก่ CII โดยไม่จำเป็น (ม.44)
- การประเมินความเสี่ยงควรมีแนวทางที่เป็นหลักการมาตรฐาน ไม่ใช่ปล่อยให้ทำมาให้เลขา กปช. ดูว่าพอใจไหม (ม.47) (ม.48)
- การบังคับ CII ร่วมทดสอบความพร้อมในการรับมือ cyber threat ไม่ practical กับการทำงานของ CII ซึ่งต้องมีการเตรียมการ/จัดการทรัพยากรล่วงหน้า และมีระดับ risk หลากหลาย (ม.49)
- การรายงาน threat ที่เกิด/คาดว่าจะเกิด จะมีปริมาณมาก/เป็นภาระต่อ CII (ม.50) (ม.51)
- วิธี response ใน (ม.53) (ม.54) ล้าหลัง ไม่น่าทันเหตุการณ์ ไม่สอดคล้องกับเทคโนโลยีปัจจุบัน หรือไม่เหมาะกับการแก้ไข cyber threat ซึ่งต้องการ speed และ collaboration
download ตัวร่างที่ผ่าน ครม. รับหลักการได้จาก link
https://drive.google.com/open…
เครดิตภาพ พ.ต.อ.ญาณพล ยั่งยืน และสรุปความเห็นจากวงเสวนา #TISA ที่ G Tower เมื่อ 4 ตค.61
#CyberSecurityLaw
https://www.facebook.com/yanaphon/media_set?set=a.1963436750381899&type=3