"พ.ร.บ.ไซเบอร์ฯ" อีกมุมที่ทุกคนต้องรู้

          ต่อเนื่องมาข้ามสัปดาห์ กับ ข่าวร่าง พ.ร.บ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งเผชิญพายุซัดจากเสียงต้านที่มุ่งโจมตี “จุดอ่อน” ในบางมาตรา จนทำให้ “สาระ” ของความสำคัญและความจำเป็นของกฎหมายด้านนี้ สำหรับทุกประเทศที่อยู่บนแผนที่โลกในยุคดิจิทัล ซึ่งความเสี่ยงภัยสามารถเข้ามาประชิดคนในทุกระดับได้แค่ปลายนิ้ว และในเสี้ยววินาที เพราะแม้กระทั่งรายงานจากเจมัลโต้ เมื่อไม่นานนี้ก็ระบุไว้ชัดเจนว่าทุกๆ 1 วินาทีจะมีการเจาะข้อมูลของชาวโซเชียลมากถึง 291 รายการ ขณะที่ ผลการศึกษาที่ไมโครซอฟท์ ร่วมจัดทำกับบริษัท ฟรอสต์ แอนด์ ซัลลิแวน ก็สะท้อนความเสียหายอีกมุมที่น้อยคนจะคาดถึงของภัยไซเบอร์ว่า “ทำให้คนตกงานเพิ่มขึ้น”

          เว็บไซต์ www.welivesecurity.com เคยเผยแพร่รายงานเรื่อง “ความท้าทายและความซับซ้อนของการออกกฎหมายด้านความมั่นคงปลอดภัยไซเบอร์ (Challenges and implications of cybersecurity legislation)” ที่สะท้อนชัดถึงบริบทของเส้นทางวิบากที่หลายประเทศต้องเผชิญกว่าจะถึงวันทำคลอด พ.ร.บ. ไซเบอร์ฯ ออกมาใช้งาน

          สถานการณ์ความจำเป็นของ กฎหมายไซเบอร์ ก็เนื่องมาจากทุกวันนี้ เทคโนโลยีได้สร้างผลกระทบไปในทุกมิติ และทุกระดับของสังคมมากขึ้นเรื่อยๆ การทำกิจกรรมต่างๆ เกิดขึ้นผ่านมือถือ เครือข่ายออนไลน์ นำไปสู่ยุคที่มนุษย์ติดต่อเชื่อมโยงกันผ่านอินเทอร์เน็ตอยู่ตลอดเวลา (Hyperconnectivity) เป็นปัจจัยเพิ่มความเสี่ยงภัยทางไซเบอร์ในอัตราสูงขึ้นๆ ทำให้มีความจำเป็นที่ต้องมีสร้างความคุ้มครองปกป้องข้อมูลจากความเสี่ยงภัยทางไซเบอร์

          อีกปัจจัยที่ทำให้ภัยคุกคามทางไซเบอร์เข้าถึงคนในวงกว้าง และครอบคลุมทุกระดับของสังคมรวดเร็วขึ้ย เป็นผลจากการพัฒนาเทคโนโลยีอย่างรวดเร็ว ใช้ง่ายและมีราคาถูก ทำให้คนทั่วโลกสามารถเข้าถึงข้อมูลข่าวสารได้อย่างไร้ขีดจำกัด สร้างผลกระทบที่อาจถึงขั้นร้ายแรง เช่น การรั่วไหลของข้อมูลที่สำคัญ หรือข้อมูลที่มีชั้นความลับอันอาจส่งผลกระทบต่อเสถียรภาพทางเศรษฐกิจ และความมั่นคงของชาติ

 

กรณีศึกษาจากสหรัฐ : รัฐ-เอกชนแบ่งปันข้อมูล

          ปัจจุบัน สหรัฐอเมริกา ประเทศที่เรียกได้ว่าเปิดกว้างและสนับสนุนการพัฒนาเทคโนโลยีในการสื่อสารแบบสุดๆ ยังต้องมีการออกกฎหมายในชื่อ Cyber Security Act 2015 ตั้งแต่ปลายปี 2558 ออกมารับมือภัยเสี่ยงที่อาจเกิดขึ้นทางไซเบอร์ โดยรวางแนวทางและมาตรการ ที่เรียกว่า Cybersecurity National Action Plan (CNAP) ไว้อย่างครอบคลุม ไม่ว่า จะเป็นการสร้างความตระหนัก การคุ้มครองข้อมูลปัจเจกบุคคล และความปลอดภัยทางสังคม จุดเด่นของกฎหมายฉบับนี้คือ สร้างความมีส่วนร่วมระหว่างภาครัฐและเอกชนในการแลกเปลี่ยนข้อมูล เพื่อให้สามารถ “รับมือ” ภัยคุกคามได้อย่างทันการณ์

          กลไกหนึ่งที่เป็นทางเลือกสำคัญในการเพิ่ม ความปลอดภัย คือ การใช้ การตรวจสอบข้อมูลส่วนตัวแบบซับซ้อน (multi-factor authentication) ซึ่งเป็นมาตราการทั้ง แบบเทคโนโลยี และการตรวจสอบโดยการซักถามจากผู้ให้บริการ ดำเนินการควบคู่กับสร้างให้ประชาชนมีสำนึกถึงความปลอดภัยในการยอมให้มีตรวจสอบข้อมูล โดยการถาม การกรอก ให้มากขึ้น โดยไม่เคืองผู้ให้บริการ

          ระบบนี้ ได้มีการสร้างเครือข่ายพันธมิตรร่วมปฏิบัติการ (National Cyber Security Alliance) ซึ่งล้วนแต่เป็นยักษ์ใหญ่ในโลกออนไลน์และโซเชียล ได้แก่ กูเกิล เฟซบุ๊ก ดรอปบ็อกซ์ และไมโครซอฟท์ รวมทั้ง บริษัทที่ให้บริการทางการเงิน ได้แก่ มาสเตอร์การ์ด วีซ่า เพย์พาล และเวนโม (Venmo)

          เมื่อปี 2560 ยังมีการระดมงบประมาณกว่า 19,000 ล้านดอลลาร์สหรัฐ เพื่อกิจการด้านความ ปลอดภัยทางไซเบอร์ เพิ่มเติม รับมือความรุนแรงของอาชญากรรมทางไซบอร์ซึ่งสูงขึ้นต่อเนื่อง เช่น การล้วงข้อมูลของ Yahoo และ Equifax การแพร่ระบาดของไวรัส WannaCry ที่อาละวาดแพร่กระจายไปไม่ต่ำกว่า 90 ประเทศทั่วโลก

 

กฎหมายเก่าไม่ทันเกมวายร้ายไซเบอร์

          เมื่อกลางปี 2560 บริษัทกฎมายระดับโลก เบเคอร์แอนด์แมคเคนซี่ ออกรายงานถึงสถานการณ์ความมั่นคงไซเบอร์ของมาเลเซียว่า การที่ยังไม่มีกฎหมายด้านความมั่นคงไซเบอร์ แม้จะมีความพยายามผลักดันก่อนหน้านี้ ทำให้คณะกรรมการเตรียมความพร้อมด้านไซเบอร์แห่งชาติ (National Cyber Security Agency : NCSA) ที่จัดตั้งขึ้นมารับผิดชอบด้านนี้โดยตรง ต้องไปใช้กฎหมายเดิมที่เกี่ยวข้อง อย่างเช่น พ.ร.บ. การสื่อสารและมัลติมีเดีย ค.ศ.1998 กฎหมายหมิ่นประมาท ค.ศ. 1957 และกฎหมายยุยงการปลุกปั่น ค.ศ. 1948 เพื่อต่อสู้กับภัยคุกคามทางไซเบอร์ ซึ่งนับว่าไม่เพียงพออย่างยิ่ง เพราะล้วนเป็นกฎหมายที่ล้าหลัง และตามไม่ทันความก้าวหน้าของเทคโนโลยีใหม่

          ขณะที่ รัฐบาลมาเลเซียเองก็ต้องทำงานอย่างหนักเพื่อรับมือภัยคุกคามทางไซเบอร์ โดยเปิดเผยว่ารัฐบาลได้รับรายงานเกี่ยวกับอาชญากรรมทางไซเบอร์ประมาณ 10,000 กรณีในแต่ละปี ครอบคลุมหลักๆ ได้แก่ การฟอกเงิน การพนันออนไลน์ การระดมเงินทุนสนับสนุนของกลุ่มก่อการร้าย เป็นต้น และเมื่อราวกลางปีที่ผ่านมา ไมโครซอฟท์ เปิดเผยรายงานวิจัย “ภาพรวมภัยคุกคามทางไซเบอร์ในเอเชีย แปซิฟิก: การปกป้ององค์กรในโลกยุคดิจิทัล” ซึ่งจัดทำร่วมกับบริษัท ฟรอสต์ แอนด์ ซัลลิแวน ว่าภัยไซเบอร์ สร้างความสูญเสียทางเศรษฐกิจให้กับมาเลเซีย 12.2 พันล้านดอลลาร์สหรัฐ คิดเป็นสัดส่วนมากกว่า 4% ของจีดีพี และนำไปสู่การตกงานในอัตรา 3 ต่อ 5

          รายงานฉบับเดียวกันนี้ ยังเปิดเผยความเสียหายทางเศรษฐกิจในประเทศไทย ที่เป็นผลกระทบมาจากความปลอดภัยทางไซเบอร์ว่า สามารถส่งผลถึง 2.86 แสนล้านบาท หรือเท่ากับ 2.2 % ของจีดีพีประเทศ ซึ่งคิดเป็นมูลค่า 14,360 ล้านล้านบาท

          อีกทั้งพบว่า องค์กรขนาดใหญ่แต่ละแห่งในประเทศไทยอาจเผชิญความเสียหายทางเศรษฐกิจถึง 408 ล้านบาท จากการจู่โจมเพียงครั้งเดียว ซึ่งมีมูลค่าสูงกว่าความเสียหายขององค์กรธุรกิจขนาดกลางถึง 450 เท่า และในปีที่ผ่านมา กว่า 3 ใน 5 ขององค์กร (ประมาณ 60%) จำเป็นต้องทำการปลดพนักงานเนื่องจากภัยคุกคามทางไซเบอร์

          สำหรับองค์กรไทยแล้วภัยจากการถูกโจมตีทางไซเบอร์ที่มีผลกระทบสูงสุด และใช้เวลาแก้ไขฟื้นฟูนานที่สุด คือ การเลียนแบบตัวตนของแบรนด์ในโลกออนไลน์ การขโมยข้อมูล และการทำลายข้อมูล

 

สถานะล่าสุด พ.ร.บ.ไซเบอร์ของไทย

          ดร.พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า กระทรวงฯ อยู่ระหว่างจัดทำรูปแบบการจัดตั้งคณะทำงาน 3 ฝ่าย เพื่อร่วมหารือ พิจารณาข้อขัดข้อง และนำเสนอทางออกร่วมกัน สำหรับร่าง พ.ร.บ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. .... ซึ่งได้มีการเปิดรับความคิดเห็น และพบว่าสังคมยังมีความกังวลในบางเรื่อง โดยคาดว่าคณะทำงานชุดนี้จะจัดตั้งได้ภายใน 2 สัปดาห์ คาดหมายว่าแนวทางนี้จะนำไปสู่เป้าหมายที่ทำให้ พ.ร.บ.ไซเบอร์ เป็นที่ยอมรับ

          โดยล่าสุดมีรายงานข่าวระบุว่า มีความคืบหน้าของคณะทำงาน 3 ฝ่ายชุดนี้แล้ว และเตรียมเปิดเวทีร่วมประชุมระดมสมองและแลกเปลี่ยนข้อคิดเห็นกันในเร็วๆ นี้

          แนวทางดังกล่าวเพื่อให้เกิดการมีส่วนร่วม คณะทำงาน 3 ฝ่าย จะประกอบด้วย ภาครัฐที่เกี่ยวข้อง ภาคธุรกิจหรือตัวแทนฝ่ายเอกชนที่เกี่ยวข้อง และภาคประชาสังคม ซึ่งอาจครอบคลุมถึงนักวิชาการที่มีความเชี่ยวชาญ และสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ)

          โดยในส่วนของภาคธุรกิจ ที่เตรียมเชิญเข้ามาร่วมในคณะทำงานชุดนี้ ครอบคลุมทุกกลุ่มซึ่งมีความเสี่ยงว่าหากได้รับผลกระทบจากภัยคุกคามไซเบอร์ ก็จะส่งผลกระทบในภาพรวมถึงประชาชนด้วย ได้แก่ สมาคมโทรคมนาคมแห่งประเทศไทย กลุ่มสถาบันการเงิน ภาคขนส่ง สายการบิน พลังงาน และสาธารณสุข เป็นต้น

          “พูดถึง พ.ร.บ.ไซเบอร์ ความกังวลที่ผ่านมาที่เราเห็นตามสื่อ ทางกระทรวงฯ รับฟัง และเมื่อสังคมกำลังกังวลอยู่บางเรื่อง เราก็จะรีบเคลียร์ก่อน ยังไม่นำเสนอเข้าสู่การพิจารณาในระดับต่อไป โดยกระบวนการขั้นตอนที่เราจะเคลียร์ ณ วันนี้ คือ นำความคิดเห็นที่เปิดรับทั้งจากเวทีรับฟังความคิดเห็น และทางเว็บไซต์ ซึ่งประมวลเกือบเสร็จแล้ว และจัดหมวดหมู่ เพื่อนำมาใช้ประกอบการทบทวนร่างกฎหมายที่ทำมา” ดร.พิเชฐกล่าว

          หลังจากผ่านกระบวนการนำเสนอทางออกร่วมกันของคณะทำงาน 3 ฝ่ายข้างต้น ก็จะนำร่าง พ.ร.บ. ไซเบอร์ ที่ผ่านความเห็นชอบร่วมกันทุกฝ่าย เสนอเข้าสู่การพิจารณาของคณะรัฐมนตรี (ครม.) เพื่อส่งเวียนขอรับทราบความเห็นของหน่วยงานต่างๆ จากนั้นจึงนำเสนอสภานิติบัญญัติแห่งชาติ (สนช.) ซึ่งขั้นตอนนี้ใช้เวลาอีกหลายเดือน อย่างไรก็ตามไม่มีเงื่อนจำกัดด้านระยะเวลา เนื่องจาก รมว. กระทรวงดีอี ย้ำว่าพร้อมที่จะให้ความสำคัญกับเรื่องความถูกต้องและความเหมาะสมของการออกกฎหมายฉบับนี้

 

******///*******

จากคอลัมน์ อินโนสเปซ โดบ บัซซี่บล็อก หนังสือพิมพ์ คมชัดลึก