(ภาพ: www.kisspng.com)
เมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 ที่ผ่านมา ราชกิจจานุเบกษาได้ประกาศใช้พระราชบัญญัติสำคัญ 2 ฉบับคือ
1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (ขอเรียกสั้น ๆ ว่า PDPA ซึ่งย่อมาจาก Personal Data Protection Act)
2. พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ (ขอเรียกสั้น ๆ ว่า CA หรือ Cybersecurity Act)
เจตนารมณ์ของ พรบ. ทั้งสองฉบับมีความชัดเจนอยู่แล้วดังปรากฏอยู่ที่หมายเหตุในตอนท้ายของ พรบ. และที่ผ่านมาในโลกออนไลน์ ทั้งประชาชน นักวิชาการ และสื่อ ก็จัดบทวิเคราะห์กันไว้หนักหน่วงพอสมควร
ดังนั้นถ้าจะคุยเรื่องเดิมกันต่อก็คงจะยาว แถมกฎหมายก็ประกาศใช้แล้ว ผมเลยคิดว่าเราน่าจะมาคุยกันดีกว่าว่าในภาคธุรกิจนั้นควรจะทำตัวกันอย่างไรต่อ
คือกฎหมายมันก็แค่ตัวหนังสือนะครับ การนำไปใช้โดยมนุษย์เรานั่นแหละที่จะทำให้มันศักดิ์สิทธิ์น่าเคารพ หรือจะทำให้มันกลายเป็นเครื่องมือเอาไว้ทำร้ายประหัตประหารกัน
(ภาพ: www.quovimc3.com)
แม้ว่าข่าวของ พรบ. ทั้งสองฉบับนี้จะมีการนำเสนอตามสื่อต่าง ๆ มาสักพักแล้ว แต่ผมก็ยังรู้สึกว่าหลาย ๆ ภาคส่วนที่เกี่ยวข้องไม่ว่าจะเป็นรัฐหรือเอกชนจะยังไม่ได้ฤกษ์ขยับ หรือ ปรับตัวให้พร้อมรับมือกับผลกระทบของกฎหมายทั้ง 2 ฉบับกันอย่างจริงจังสักเท่าไหร่
สาเหตุส่วนหนึ่ง ผมมองว่าเป็นเพราะเรา ๆ ท่าน ๆ อาจจะยังรอให้มีการจัดตั้งหน่วยงานรัฐใหม่ ๆ ภายใต้ พรบ. เหล่านี้ รวมทั้งการโยกย้ายหน่วยงานหรือบุคลากรที่มีอยู่เดิม และออกประกาศที่เกี่ยวข้องกันให้ชัดเจนเสียก่อน จึงยังไม่มีความจำเป็นต้องดำเนินการอะไรมากนัก
แต่เชื่อผมสิว่า เวลามันผ่านไปเร็วนัก เดี๋ยวอะไร ๆ ก็จะเรียบร้อยโดยเราเองก็จะไม่ทันตั้งตัว ดังนั้นแล้วเรามาคุยกันหน่อยดีกว่าว่า พรบ. 2 ฉบับนี้ จะมีผลกระทบอะไรบ้างกับองค์กรธุรกิจ
ซึ่งผมจะขอเสนอมุมมองที่เกี่ยวกับงานด้าน Forensic ซึ่งไม่ใช่การสืบสวนเหตุทุจริตโดยทั่วไป แต่เป็นเรื่องของ Digital Forensic และ Cyber Incident Response ครับ
(ภาพ: www.thenational.ae)
ก่อนอื่นขอสรุปเนื้อหาหลัก ๆ ของ พรบ. ทั้งสองอีกสักหน่อย
พรบ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA มีหลักใหญ่ใจความคือ การกำหนดหน้าที่และความรับผิด ของผู้ที่มีส่วนเกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
โดย “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ (มาตรา 6 วรรค 2)
สังเกตนะครับว่าใน พรบ. จะไม่ได้พูดถึงข้อมูลว่าต้องหมายถึงเอกสารหรือข้อมูลอิเล็กทรอนิกส์ นั่นคือขอบเขตของ พบร. ไม่ได้ขึ้นกับสื่อที่ใช้จัดเก็บข้อมูล
จะเป็นใบลาน กระดานชนวน กระดาษทิชชู่ หรืออะไรก็ได้ที่มีข้อมูลที่ระบุตัวตนของบุคคลได้ก็รวมหมดครับ
สำหรับตัวละครสำคัญตาม พรบ. นี้มีอยู่ 3 บทบาท ได้แก่
1. บุคคล ก็คือ “บุคคลธรรมดา” ที่เป็นเจ้าของข้อมูลนั่นแหละครับ
2. ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว “ไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล”
โดย PDPA จะมีกลไกต่าง ๆ เพื่อทำการดูแลข้อมูลส่วนบุคคลของเรา ๆ ท่าน ๆ นับตั้งแต่การเก็บรวบรวม การนำไปใช้ และการนำเปิดเผย รวมทั้งบทบัญญัติการลงโทษ หากมีการกระทำผิดเกิดขึ้น
แล้วธุรกิจที่น่าจะต้องเตรียมรับมือกับ PDPA มีอะไรบ้าง?
คำตอบง่าย ๆ ก็คือ ทุกธุรกิจต้องเตรียมรับมือ เพราะคงไม่มีธุรกิจไหน ที่ไม่มีการเก็บข้อมูลส่วนบุคคล ตามมาตรา 6 วรรค 2 เลย เพราะอย่างน้อย ๆ ก็ต้องเก็บข้อมูลส่วนบุคคลของพนักงานถูกมั๊ยครับ ?
ทั้งนี้เนื้อหาของ PDPA ของบ้านเราจะคล้าย ๆ กับกฎหมาย General Data Protection Regulation หรือ GDPR ของสหภาพยุโรป ซึ่งประกาศใช้ไปเมื่อปีที่แล้ว โดยองค์กรที่มีการเก็บข้อมูลส่วนบุคคลของพลเมืองยุโรป ก็จะต้องปฏิบัติตามกฎหมายฉบับนี้ด้วยไม่ว่าองค์กรนั้นจะตั้งอยู่มุมไหนของโลก
กฎหมายฉบับต่อมาคือ พรบ. ไซเบอร์ หรือ CA
เนื้อหาสาระโดยสรุปของกฎหมายฉบับนี้ คือ กำหนดกลไกต่าง ๆ เอาไว้เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อย ภายในประเทศ (มาตรา 3 วรรค 2)
โดยองค์กรที่จะตกอยู่ภายใต้การใช้กฎหมายฉบับนี้โดยตรงนั้น ในมาตรา 49 ได้ตั้งชื่อไว้ว่า “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” ซึ่งอาจจะเป็นได้ทั้งหน่วยงานรัฐ หรือ หน่วยงานเอกชนก็ได้ หากเป็นองค์กรที่มีภารกิจหรือให้บริการในด้านต่าง ๆ ดังนี้
… ความมั่นคงของรัฐ
… บริการภาครัฐที่สำคัญ
… การเงินการธนาคาร
… เทคโนโลยีสารสนเทศและโทรคมนาคม
… การขนส่งและโลจิสติกส์
… พลังงานและสาธารณูปโภค
… สาธารณสุข
… หรืออื่น ๆ ตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม
ส่วนบริษัทไหน หรือ องค์กรใดจะโชคดีได้รับตำแหน่ง “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” ก็ต้องรอให้ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ท่านมากำหนดต่อไปครับ
(ภาพ: cosbookkeeping.co.uk)
วัตถุประสงค์ข้อหนึ่งของ พรบ. ทั้ง 2 ฉบับที่เราน่าจะพอมองเห็นได้ คือเพื่อให้เกิดกลไกสำหรับใช้จัดการ และรับมือกับปัญหาจากอาชญากรรมทางคอมพิวเตอร์ (Computer crime) และภัยไซเบอร์ (Cyber threat) ซึ่งนับวันจะมีมากขึ้นเรื่อย ๆ
PDPA เน้นภัยคุกคามที่กระทบกับข้อมูลส่วนบุคคล
CA เน้นภัยที่กระทบกับความมั่นคงของประเทศ และความสงบเรียบร้อยของบ้านเมือง
ซึ่งไม่ว่าเหตุไม่คาดฝันที่อาจจะเกิดขึ้นนั้นจะเกี่ยวข้องกับ PDPA หรือ CA หรือ ทั้งคู่ องค์กรที่มีความเสี่ยงว่าจะต้องเข้าไปเกี่ยวข้องกับเหตุการณ์ทำนองนี้ ควรจะต้องตระหนักว่าตนเองกำลังจะต้องรับมือกับวิกฤติในโลกดิจิทัล ที่มีกฎหมายใหม่ออกมาใช้บังคับ และควบคุมอยู่อย่างชัดเจน
วิกฤติแบบนี้ไม่เหมือนกับกรณีสินค้าในคลังถูกขโมย เกิดไฟไหม์บริษัท หรือมีม้อบปิดโรงงาน แต่เรากำลังพูดถึงกรณีอย่างเช่น …
… ระบบลงทะเบียนขอสินเชื่อรายย่อยผ่าน Website ของธนาคารที่มีข้อมูลลูกค้า 4 หมื่นกว่ารายโดนเจาะเอาข้อมูลออกไป
… ฐานข้อมูลลูกค้าของธุรกิจค้าปลีกรายหนึ่งถูกเจาะ และเอาข้อมูลออกไป
… ระบบคอมพิวเตอร์ที่ควบคุมการจ่ายไฟฟ้าให้ทั้งอำเภอ ติด Ransomware และหยุดทำงาน
ถ้าองค์กรไม่มีความเข้าใจ หรือไม่มีศักยภาพในการรับมือวิกฤติในลักษณะเช่นนี้ มันก็ไม่ต่างกับการที่โรงงานคุณกำลังถูกไฟไหม้ แต่คุณไม่รู้จะเริ่มดับไฟอย่างไร ไม่รู้ว่าอะไรถูกเผาไปบ้าง หรือที่หนักกว่านั้นคือไม่รู้ว่าจริง ๆ แล้วไฟมันมอดไปหรือยัง
สมมติว่าบริษัทของเราซึ่งให้บริการด้านการเงินการธนาคาร วันหนึ่งโชคไม่ดีถูกแฮค และถูกขโมยข้อมูลลูกค้า หากเราไม่เข้าใจเลยว่ามันเกิดขึ้นได้อย่างไร ใครเป็นคนทำ มีข้อมูลอะไรถูกขโมยไปบ้าง ปริมาณแค่ไหน และไม่รู้ด้วยซ้ำว่าช่องโหว่ถูกปิดหรือยัง เราจะจัดการจะรับมือได้อย่างไรหล่ะครับ
นั่นคือเหตุผลที่ธุรกิจควรจะต้องเริ่มต้นสร้างกระบวนการ และทักษะที่จำเป็นในการรับมือวิกฤติในทำนองนี้ โดยกระบวนการที่ว่าคือ Cyber Incident Response หรือ การเผชิญเหตุทางไซเบอร์ และ Digital Forensic หรือ นิติวิทยาศาสตร์ดิจิทัล
คงไม่ดีนัก ถ้าเราทำเองไม่ได้ และทำได้แค่ขอให้หน่วยงานที่ปรึกษาจากภายนอก หรือหน่วยงานรัฐเข้ามาช่วย โดยที่เราได้แต่นั่งมองตาปริบ ๆ และไม่เข้าใจว่าพวกเขากำลังทำอะไรอยู่กับข้อมูลและระบบของเรา
ความรู้ความเข้าใจในการเผชิญเหตุทางไซเบอร์ กับ นิติวิทยาศาสตร์ดิจิทัล จะช่วยให้องค์กรสามารถรับมือกับเหตุไม่คาดฝันทางไซเบอร์ได้อย่างมีประสิทธิภาพ รวมทั้งสามารถเก็บรักษาพยานหลักฐานทางดิจิทัลได้เองเพื่อใช้ดำเนินการต่อไปได้
เรื่องแบบนี้ ช้าเร็ว มันก็อาจจะเกิดกับองค์กรเราครับ มีของพวกนี้ติดไว้ ก็ช่วยผ่อนหนักให้เป็นเบาได้
หากเห็นความสำคัญของเรื่องนี้ ผมขอแนะนำแหล่งค้นคว้าเพิ่มเติมจาก สพธอ. หรือ ETDA ดังนี้ครับ
1. คู่มือการจัดตั้ง CSRIT หรือ “ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์” โดยในเอกสารนี้จะว่าด้วยการตั้งทีมงาน และกระบวนการของทีมงานที่ประกอบไปด้วยบุคลากรที่มีความรู้และทักษะในการเผชิญเหตุภัยคุกคามทางไซเบอร์ครับ
https://www.etda.or.th/publishing-detail/establish-a-csirt.html
2. ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
https://www.etda.or.th/publishing-detail/standard-operating-procedure-sop-evidence-digital-forensics-version-1-0-th.html
ก่อนที่ พรบ. ทั้งสองนี้จะมีผลบังคับใช้ หลาย ๆ องค์กรอาจจะเลือกจะปล่อยให้เหตุการณ์ทำนองนี้มันเงียบหายไป ยิ่งในกรณีที่ความเสียหายไม่ชัดเจน ก็ยิ่งไม่ต้องทำอะไรเข้าไปใหญ่
แต่ตอนนี้คงอยู่เฉยไม่ได้แล้วครับ มีคนรอเช็คบิลอยู่แน่ ๆ ไม่ว่าความเสียหายจะเกิดหรือไม่ก็ตาม
ดังนั้นองค์กรใดที่พบว่าตัวเองอาจจะต้องเข้าไปเกี่ยวข้องกับ พรบ. ทั้ง 2 ฉบับไม่ทางใดทางหนึ่ง ตอนนี้ก็ถึงเวลาที่จะต้องมีกระบวนการรับมือกับเหตุไม่คาดฝันในทำนองนี้ รวมทั้งทรัพยากร ทั้งในแง่ของบุลคากร และเครื่องไม้เครื่องมือ ที่สามารถจัดการกับพยานหลักฐานดิจิทัลได้ในบทบาทของตัวเอง
หากยังไม่มีก็ต้องเริ่มสร้างทักษะ และความสามารถดังกล่าวได้แล้วนะครับ
เพราะคงไม่ใช่แนวทางที่ถูกต้องนัก หากจะรอให้เหตุไม่คาดฝันเกิดขึ้นแล้วค่อยคิดถึงกระบวนการ หรือสร้างทีม หรือซื้อเครื่องไม้เครื่องมือด้าน Digital forensic มาทำงาน
คล้าย ๆ ว่ารอให้ไฟไหม้แล้วค่อยวิ่งไปซื้อถังดับเพลิงนั่นแหละครับ
อ้างอิง
พรบ. ทั้งสองฉบับสามารถ Download ตัวเต็มได้ที่นี่ครับ
1. พรบ. PDPA
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
2. พรบ. CA
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0020.PDF
ขอบคุณมากครับ
Website: www.antifraud.in.th
Blockdit: www.blockdit.com/antifraud.in.th
Email: author[at]antifraud.in.th
