อัพเดทล่าสุดเมื่อ 2 ชั่วโมง 36 นาที ที่ผ่านมา

ประยุทธ์สั่งทวนร่าง พ.ร.บ. มั่นคงไซเบอร์ วิษณุยินดีคนสนใจเยอะ

ประยุทธ์ สั่งทบทวนร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หลังมีกระแสวิพากษ์วิจารณ์ว่ากฎหมายให้อำนาจหน่วยงานที่ปฏิบัติหน้าที่มากเกินไป แต่นิยามคลุมเครือ บทกำหนดโทษควรมีขอบเขตและหลักเกณฑ์ ด้านรองนายกฯ วิษณุ เครืองาม ยินดีที่คนวิจารณ์เยอะ กฎหมายอื่นคนสนใจน้อย แต่พอจะผ่านแล้วค่อยมาโวยวาย ตอนนี้ร่างฯ ยังรอเข้า ครม.

17 ต.ค. 2561 มติชนรายงานว่า ที่ตึกสันติไมตรี ทำเนียบรัฐบาล วิษณุ เครืองาม รองนายกรัฐมนตรี กล่าวถึงกระแสวิพากษ์วิจารณ์ร่างพระราชบัญญัติ (พ.ร.บ.) ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ในประเด็นว่าเป็นการให้อำนาจเจ้าหน้าที่มากจนจะเป็นการละเมิดความเป็นส่วนตัวของประชาชน โดยวิษณุระบุว่าเป็นเรื่องดีที่มีความกังวล สมดังเจตนารมณ์มาตรา 77 ของรัฐธรรมนูญที่กำหนดให้มีการรับฟังความคิดเห็นของประชาชนระหว่างการออกกฎหมายในทุกขั้นตอน ร่าง พ.ร.บ. ฉบับนี้ยังอยู่ระหว่างการร่างและจะยังกลับเข้ามาในที่ประชุมคณะรัฐมนตรี (ครม.) ตนอยากเห็นคนที่มีข้อสังเกต ที่มีข้อไม่เห็นด้วยออกมาวิพากษ์วิจารณ์ เจ้าของร่างกฎหมายจะได้นำความคิดเห็นไปปรับปรุง ทั้งนี้ ประชาชนต้องเรียนรู้เช่นกันว่าการรับฟังความคิดเห็นนั้นยังไม่ใช่ข้อยุติ ยังมีอีกหลายขั้นตอน ทั้งในขั้นคณะกรรมการกฤษฎีกาและขั้นสภาฯ และหลังจากนี้ยังมีขั้นตอนของ ส.ว. อีก ตนจึงขอเชิญชวนให้คนมาวิจารณ์ เพราะว่าเสียดายที่ก่อนหน้านี้คนมาแสดงความเห็นต่อฎหมายที่มีการเปิดรับฟังความเห็นน้อย และส่วนใหญ่ที่มาแสดงความเห็นก็เห็นด้วย แต่พอกฎหมายจะออกกลับมีการโวยวาย

รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ

‘ประยุทธ์’ ยันรับคำวิจารณ์ในเฟสบุ๊ก ย้ำ กม.ความมั่นคงไซเบอร์ จำเป็นต้องมี ไม่ผิดไม่ต้องกลัว

ก่อนหน้านี้ เมื่อ 16 ต.ค. 2561 มติชนได้รายงานว่า พล.ท.สรรเสริญ แก้วกำเนิด โฆษกประจำสำนักนายกฯ กล่าวว่า พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรีรัฐบาลทหาร หัวหน้าคณะรักษาความสงบแห่งชาติ (คสช.) ยังไม่ได้รับรายงานในรายละเอียดเกี่ยวกับ ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ฉบับที่สำนักงานคณะกรรมการกฤษฎีกาปรับแก้ไขแล้ว แต่รับทราบถึงความกังวลของประชาชน พร้อมสั่งการให้ฝ่ายกฎหมายไปดูแลเรื่องดังกล่าว หากร่างกฎหมายมีรายละเอียดตามที่มีกระแสข่าว เช่น แค่อ้างเหตุสงสัยว่าจะกระทบความมั่นคงก็สามารถตรวจค้นข้อมูลส่วนตัวและข้อความสนทนาของประชาชนได้ บุกค้น ยึดอุปกรณ์คอมพิวเตอร์ได้โดยไม่ต้องมีหมายศาล และการให้อำนาจแก่เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) มากจนเกินไป เป็นต้น ก็ไม่เห็นด้วยเช่นกัน นอกจากนี้ บทกำหนดโทษและการใช้อำนาจเจ้าหน้าที่ควรต้องมีการกำหนดขอบเขตและมีหลักเกณฑ์ที่ชัดเจน

พล.ท.สรรเสริญ กล่าวว่า พล.อ.ประยุทธ์ขอให้ประชาชนอย่าเพิ่งวิตก เพราะร่างฯ ยังต้องเข้าสู่กระบวนการพิจารณาของ สนช. อีก ซึ่งมีขั้นตอนในการพิจารณาถึง 3 วาระ และยังได้มอบให้ฝ่ายกฎหมายไปทบทวนรายละเอียดอีกครั้งหนึ่ง โดยเฉพาะเรื่องการใช้อำนาจของเจ้าหน้าที่รัฐ รวมถึงควรพิจารณาว่าจะมีกลไกการตรวจสอบและถ่วงดุลอำนาจกันอย่างไร พร้อมทั้งให้ศึกษากฎหมายที่คล้ายกันในนานาประเทศด้วย และใช้แนวทางนี้ในการพิจารณากฎหมายทุกฉบับ

ผู้สื่อข่าวรายงานเพิ่มเติมว่า ร่างฯ ปัจจุบันเพิ่งสิ้นสุดการรับฟังความคิดเห็นทางเว็บไซต์ไปเมื่อ 12 ต.ค. ที่ผ่านมา ส่วนงานรับฟังความคิดเห็นที่มีเมื่อ 11 ต.ค. มีหลายคนแสดงความเห็นในทางกังวลต่ออำนาจที่ล้นหลามของ กปช. และนิยามคำศัพท์ในกฎหมายที่กำกวม

รู้จักตัวร่างฯ ผ่าน "ใคร? ทำอะไร? อย่างไร?"

 

ทำอะไร: มุ่งป้องกันภัยคุกคามไซเบอร์ที่จะโจมตีโครงสร้างสำคัญของประเทศ

ตัว พ.ร.บ. นี้มีหลักการกว้างๆ ว่า ต้องมีกฎหมายมาป้องกัน รับมือ ลดความเสี่ยงจาก ‘ภัยคุกคามทางไซเบอร์’ ไม่ให้เกิดผลกระทบต่อความมั่นคงในด้านต่างๆ ผ่านคณะกรรมการและหน่วยงานที่ตั้งขึ้นเพื่อปฏิบัติงานร่วมกันระหว่างภาครัฐและเอกชน โดยจะมีแผนปฏิบัติการและมาตรการด้านรักษาความมั่นคงปลอดภัยไซเบอร์อย่างมีเอกภาพและต่อเนื่อง ในวันที่ประเทศไทยมีบริการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคมที่สามารถถูกโจมตีและสร้างความเสียหายได้

สิ่งที่ต้องทำความเข้าใจเร็วๆ เมื่อพูดถึง พ.ร.บ. นี้มีสี่อย่างคือ โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure - CII ) หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ภัยคุกคามไซเบอร์ และ ทรัพย์สินสารสนเทศ

ในภาษาที่ร่าง พ.ร.บ. เขียนไว้เป็นแบบนี้

  • ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือเหตุการณ์ที่กระทำด้วยวิธีการทางคอมพิวเตอร์หรือวิธีการทางอิเล็กทรอนิกส์ที่ทำให้การทำงานของทรัพย์สินสารสนเทศมีความผิดปกติ หรือมีความพยายามเข้าถึง หรือเข้าถึงโดยใช้เทคโนโลยี ซึ่งอาจส่งผลกระทบหรือก่อให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศ ทำให้ทรัพย์สินสารสนเทศถูกทำลาย
  • โครงสร้างพื้นฐานสำคัญทางสารสนเทศ หมายถึงคอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานรัฐหรือเอกชนใช้ในกิจการของตนที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศหรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ
  • ทรัพย์สินสารสนเทศหมายถึง
    • ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ และระบบสารสนเทศ
    • เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล และอุปกรณ์อื่นใด
    • ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์และข้อมูลคอมพิวเตอร์
  • หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ คือ หน่วยงานรัฐหรือเอกชนที่มีภารกิจให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ปัจจุบันมีแปดด้าน ได้แก่
    • ความมั่นคงของรัฐ
    • บริการภาครัฐที่สำคัญ
    • การเงินการธนาคาร
    • เทคโนโลยีสารสนเทศและโทรคมนาคม
    • การขนส่งและโลจิสติกส์
    • พลังงานและสาธารณูปโภค
    • สาธารณสุข
    • ด้านอื่นๆ ตามที่ กปช. (จะพูดถึงในอีกหนึ่งบรรทัด) กำหนดเพิ่มเติม

สรุปได้ง่ายๆ ว่า หน่วยงานโครงสร้างพื้นฐานทำงานผ่านโครงสร้างพื้นฐานในการทำงาน ซึ่งในทางรูปธรรมและนามธรรม เครื่องมือและข้อมูลที่หน่วยงานใช้ก็คือทรัพย์สินสารสนเทศที่หน่วยงานเป็นเจ้าของ และภัยคุกคามไซเบอร์คือการใช้วิธีการทางคอมพิวเตอร์ หรืออิเล็กทรอนิกส์สร้างความเสียหายต่อทรัพย์สินสารสนเทศหรือทำให้ทำงานไม่ได้

ยกตัวอย่าง: โรงพยาบาล(หน่วยงานโครงสร้างพื้นฐาน)ใช้เครือข่ายคอมพิวเตอร์ (โครงสร้างพื้นฐานทางสารสนเทศ) เชื่อมต่อกันเพื่อเก็บบันทึกข้อมูลผู้ป่วย สถิติ และการทำงานทำผ่านคอมพิวเตอร์ (ทรัพย์สินสารสนเทศ) ภัยคุกคามจึงอาจเป็นวิธีการทางคอมพิวเตอร์เพื่อทำให้การทำงานเสียหายหรือทำงานต่อไม่ได้ เช่น ไวรัส การส่งชุดข้อมูลไม่พึงประสงค์จำนวนมากเพื่อทำให้ระบบประมวลผลช้าลง (ดีดอส) การแฮ็ค เป็นต้น

ใคร: จัดตั้งคณะกรรมการ 14 คน ตั้งสำนักงานสนับสนุน รัฐให้เงิน แต่หาเงินเองได้ ไม่ใช่ส่วนราชการ เลขาธิการอำนาจล้นมือ

พ.ร.บ. นี้จะให้มี ‘คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)’ ประกอบด้วยสมาชิก 14 คน ได้แก่นายกรัฐมนตรี (ประธาน) รัฐมนตรีว่าการ (รมว.) กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย และผู้ทรงคุณวุฒิที่มีความรู้ ความสามารถในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคล วิทยาศาสตร์ วิศวกรรมศาสตร์ กฎหมาย หรือด้านอื่นที่เกี่ยวข้องอันเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และจะแต่งตั้งเลขาธิการจากใน 14 คนนี้

กปช. ทำหน้าที่รักษาความมั่นคงปลอดภัยไซเบอร์หลายอย่าง ไม่ว่าจะเป็นการเสนอนโยบาย แผนดำเนินการ ทำแผนปฏิบัติการเพื่อเป็นแผนแม่บทในสถานการณ์ปกติและในเวลาที่อาจจะเกิดหรือเกิดภัยคุกคามไซเบอร์ กำหนดแนวทาง กรอบมาตรฐานขั้นต่ำให้หน่วยงานรัฐและเอกชนที่เกี่ยวข้อง กำหนดมาตรการตอบสนอง รับมือภัยคุกคามไซเบอร์ กำหนดแนวทางสร้างทักษะและความเชี่ยวชาญ ติดตามประเมินผลการปฏิบัติตามนโยบาย เสนอความเห็น และข้อคิดเห็นต่อคณะรัฐมนตรีในการปรับปรุงกฎหมายที่เกี่ยวข้อง จัดทำรายงานสรุปผลการดำเนินการ และทำเรื่องอื่นๆ ตามที่บัญญัติใน พ.ร.บ. หรือที่ ครม.มอบหมาย

นอกจากตัวคณะกรรมการฯ ยังจะมีการจัดตั้งสำนักงาน กปช. ขึ้นเพื่อสนับสนุนการทำงานของ กปช. เป็นศูนย์กลางข้อมูลและประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เฝ้าระวัง แจ้งเตือน สนับสนุน ช่วยเหลือในการป้องกันรับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์ เผยแพร่ความรู้ ศึกษา วิจัย และพัฒนา

ทั้งนี้ สถานะของสำนักงาน เป็นนิติบุคคล ไม่ใช่ส่วนราชการ ได้รับงบอุดหนุนจากรัฐเป็นรายปี แต่หากมีรายได้จากการดำเนินงานหรือทรัพย์สินของสำนักงาน ก็ไม่ต้องส่งกลับคลังเพื่อเป็นรายได้ของรัฐ ในมาตรา 17 ได้ให้อำนาจสำนักงานในการเป็นหุ้นส่วน ถือหุ้น หรือร่วมทุนกับนิติบุคคลอื่นที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน กู้ยืมเงินเพื่อวัตถุประสงค์ของสำนักงานได้ และยังเรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทนหรือค่าบริการในการดำเนินงานได้ด้วย

อย่างไร: แนวทางจัดการภัยไซเบอร์กว้างขวาง ค้นบ้าน-ยึดคอมฯ ได้ไม่ต้องมีหมายศาล แต่ความรับผิดชอบต่ำ

พ.ร.บ. นี้ให้อำนาจ หน้าที่องค์กรที่ตั้งใหม่อย่างน่ากังวล เพราะอำนาจหน้าที่นั้นอิงอยู่กับการป้องกัน ‘ภัยคุกคามทางไซเบอร์’ แต่แค่ตัวนิยามของภัยคุกคามทางไซเบอร์เองก็กำกวมแล้ว การมีอำนาจในการจัดการต่อสิ่งที่กำกวมยิ่งทำให้เกิดข้อเคลือบแคลงต่อหลายภาคส่วน

มาตรา 46 ให้อำนาจเลขาธิการ กปช. ออกหนังสือขอความร่วมมือจากหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศเพื่อขอข้อมูลเหล่านี้

  • การออกแบบ การตั้งค่าของ CII และข้อมูลของระบบที่เชื่อมต่อ หรือสื่อสารกับมัน
  • ข้อมูลการทำงานของ CII หรือระบบที่เชื่อมต่อ สื่อสารกับมัน ที่หน่วยงานนั้นๆ ควบคุม
  • ข้อมูล อื่นใด ที่เห็นว่าจำเป็นในการรักษาระดับความมั่นคงปลอดภัยไซเบอร์ของ CII

แม้วรรคต้นเป็นการขอความร่วมมือ แต่ตอนท้ายของมาตรา 46 กลับระบุว่า หน่วยงานใดๆ ที่ได้รับหนังสือ จะยกหน้าที่ตามกฎหมายอื่น หรือตามสัญญามาอ้างเพื่อไม่เปิดเผยข้อมูลไม่ได้ การทำตามความในมาตรานี้โดยสุจริตไม่เป็นการผิดกฎหมายหรือสัญญา แบบนี้เรียกว่าหนังสือขอความร่วมมือได้ไหม

มาตรา 47 ให้ผู้ดูแลระบบต้องมีการประเมินความเสี่ยง และตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างน้อยปีละครั้ง และส่งสำเนารายงานต่อสำนักงาน กปช. ภายใน 30 วัน แต่ถ้าเลขาธิการเห็นว่าการประเมินหรือการตรวจสอบไม่น่าพอใจ ก็สามารถให้ทำใหม่ได้อีกครั้งหนึ่ง (มาตรา 48)

ผู้ฝ่าฝืน ไม่ทำตามมาตรา 47 ต้องระวางโทษปรับไม่เกิน 200,000 บาท และปรับเป็นรายวันอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ถูกสั่งให้ทำจนถึงวันที่ทำเสร็จ (มาตรา59)

พ.ร.บ. ยังกำหนดให้หน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะต้องแจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและปฏิบัติการเพื่อประสานงานด้านรักษาความมั่นคงปลอดภัยไซเบอร์กับทางสำนักงาน ซึ่งเป็นช่องทางที่ใช้ติดต่อกันเมื่อมีเหตุภัยคุกคามไซเบอร์เพื่อรับมือกับเหตุ

ในส่วนของการรับมือภัยคุกคามทางไซเบอร์เป็นสิ่งที่มีความคลุมเครือและให้อำนาจอย่างกว้างกับทางสำนักงานและ กปช. เริ่มจากมาตรา 51 ที่เขียนว่า ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้น่วยงานนั้นตรวจสอบทรัพย์สินสารสนเทศและพฤติการณ์แวดล้อมเพื่อประเมินภัยคุกคามไซเบอร์ ถ้ามีภัยก็ให้รับมือตามแผนที่มี และแจ้งไปยังสำนักงานโดยเร็ว

หรือถ้าสำนักงานเห็นว่าเกิด หรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ ก็ให้มีการรวมข้อมูล วิเคราะห์สถานการณ์ ประเมินผลกระทบ แจ้งเตือนภัย อำนวยความสะดวกในการประสานงาน และเข้าช่วยเหลือ โดยการรวบรวมข้อมูลนั้น กฎหมายให้อำนาจสำนักงานในการ

  • เรียกคนที่เกี่ยวข้องมาให้ข้อมูล หรือให้ข้อมูลเป็นหนังสือเกี่ยวกับภัยคุกคาม
  • ขอข้อมูล เอกสาร สำเนาข้อมูลหรือเอกสารในความครอบครองของผู้อื่น
  • สอบถามคนที่มีความรู้ความเข้าใจเกี่ยวกับข้อเท็จจริงและสถานการณ์ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์
  • เข้าไปในอสังหาริมทรัพย์ หรือสถานประกอบการที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้องโดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น

ในส่วนการดูแลข้อมูลนั้น กฎหมายกำหนดเพียงว่าสำนักงานต้องดูแลไม่ให้มีการใช้ข้อมูลที่ได้มาในลักษณะที่อาจก่อให้เกิดความเสียหาย

ในร่างฯ ยังไม่ระบุ หรือมีตัวอย่างว่าการทำอะไรที่เป็นภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ จึงยังไม่สามารถพูดได้ว่าการส่งข้อมูลในอีเมล์ โพสท์เฟสบุ๊ก หรือเนื้อหาวิดีโอต่างๆ หรือพูดง่ายๆ คือสิ่งที่เป็น ‘เนื้อหา’ ไม่ใช่ภัยคุกคามทางไซเบอร์

กฎหมายมีการเตรียมตัวในสภาวะที่ย่ำแย่ที่สุด หรือที่เรียกว่ามีภัยคุกคามไซเบอร์ระดับร้ายแรง ตามกฎหมายให้ความหมายเอาไว้ว่าเป็นสิ่งที่

  • ก่อให้เกิดความเสี่ยงที่จะทำให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศอย่างมีนัยสำคัญ หรือขัดขวางการให้บริการของโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
  • ก่อให้เกิดภัยคุกคามต่อความมั่นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน
  • มีความรุนแรงที่ก่อหรืออาจก่อให้เกิดความเสียหายต่อบุคลหรือต่อทรัพย์สินสารสนเทศที่สำคัญหรือมีจำนวนมาก
  • การรับมือกับเหตุภัยคุกคามเช่นว่า เลขาธิการมีอำนาจสั่งการหรือกำกับหน่วยงานรัฐที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์กระทำการป้องกัน รับมือ ลดความเสี่ยงภัยคุกคาม โดยให้เลขาธิการรายงาน กปช. เรื่องการดำเนินงานอย่างต่อเนื่อง

มาตรา 57 ให้อำนาจเลขาธิการในการออกคำสั่งให้คน ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรสงสัยว่าเป็นผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามไซเบอร์เพื่อ

  • เฝ้าระวังคอมพิวเตอร์ ระบบคอมพิวเตอร์ในช่วงระยะเวลาใดเวลาหนึ่ง
  • ตรวจสอบคอมพิวเตอร์ ระบบคอมพิวเตอร์เพื่อหาข้อบกพร่องที่กระทบต่อการรักษาความมั่นคงปลอภัยไซเบอร์ วิเคราะห์สถานการณ์ ประเมินผลกระทบ
  • ดำเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์ ซึ่งให้ตัวอย่างมาตรการไว้ชัดเจนว่าได้แก่การกำจัดชุดคำสั่งไม่พึงประสงค์ออกจากคอมพิวเตอร์ ปรับปรุงซอฟต์แวร์เพื่อจัดการกับข้อบกพร่อง ยกเลิกการเชื่อมต่อกับคอมพิวเตอร์ชั่วคราวที่เจอชุดคำสั่งที่ไม่พึงประสงค์ เปลี่ยนเส้นทางเดินทางของข้อมูลหรือชุดคำสั่งที่ไม่พึงประสงค์
  • หยุดการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ทั้งหมดหรือบางส่วน
  • และในกรณีจำเป็น พนักงานเจ้าหน้าที่อาจขอความช่วยเหลือในการเข้าถึงคอมพิวเตอร์หรือระบบคอมพิวเตอร์จากบุคคลที่มีเหตุอันควรเชื่อได้ว่าใช้หรือเคยใช้

มาตรา 58 ให้อำนาจเลขาธิการดำเนินการป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามไซเบอร์ที่หนักมือ โดยให้อำนาจเข้าถึงคนหรือวัตถุในทางกายภาพแบบไม่ต้องขอศาลก่อน โดยมีอำนาจดังนี้

  • ตรวจสอบสถานที่ โดยมีหนังสือแจ้งเหตุไปยังเจ้าของ หรือผู้ครอบครองสถานที่
  • เข้าถึงทรัพย์สินสารสนเทศ ทำสำเนา สกัดคัดกรองข้อมูลสารสนเทศ โปรแกรมคอมพิวเตอร์ ซึ่งมีเหตุอันควรสงสัยว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคาม
  • ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรสงสัยว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคาม
  • ยึดคอมพิวเตอร์หรืออุปกรณ์ใดๆ ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องกับภัยคุกคามทางไซเบอร์เพื่อตรวจสอบหรือวิเคราะห์ไม่เกิน 30 วัน หากจำเป็นต้องยึดไว้เกินกำหนด ให้ยื่นคำร้องต่อศาลแพ่งเพื่อขยายเวลาได้ไม่เกิน 90 วัน
  • ในกรณีฉุกเฉินนั้น เลขาธิการมีอำนาจขอข้อมูลเวลาจริง (Real time data) จากผู้เกี่ยวข้อง หมายถึงข้อมูล ณ เวลานั้นๆ

กำหนดโทษคนอื่นหนัก แต่ความรับผิดชอบตัวเองยังไม่ค่อยพูดถึง

ในบทกำหนดโทษระบุว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่ ไม่ส่งข้อมูลให้เจ้าพนักงาน ต้องระวางโทษปรับไม่เกิน 100,000 บาท (มาตรา 61) ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคำสั่งของเลขาธิการตามมาตรา 57 ว่าด้วยการรับมือภัยไซเบอร์ร้ายแรง ต้องระวางโทษปรับไม่เกิน 300,000 บาท ปรับอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ครบกำหนดระยะเวลาที่พนักงานเจ้าหน้าที่ออกคำสั่งให้ปฏิบัติจนกว่าจะปฏิบัติให้ถูกต้อง ผู้ฝ่าฝืนคำสั่งเลขาธิการตามมาตรา 57 (3) (4) ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกิน 150,000 บาทหรือทั้งจำทั้งปรับ เช่นเดียวกันกับการขัดขวางคำสั่งเลขาธิการในมาตรา 58

เนื่องจากตัวองค์กรไม่ใช่หน่วยงานราชการ แต่เป็นนิติบุคคลและเป็นหน่วยงานของรัฐ คำถามที่ยังไม่มีคำตอบคือ หากปฏิบัติหน้าที่โดยมิชอบจะสามารถฟ้องเอาผิดตามกฎหมายอาญามาตรา 157 ได้หรือไม่

นอกจากนั้น การเอาข้อมูลสำคัญของทั้งภาครัฐ รัฐวิสาหกิจรวมถึงเอกชนไปไว้กับหน่วยงานๆ เดียว แม้จะมีกฎหมายระบุว่าไม่สามารถนำไปใช้ในทางที่ผิดได้ แต่การเป็นศูนย์กลางของข้อมูลทั้งหลายย่อมเป็นเป้าหมายตัวโตของการโจมตีทางไซเบอร์ คำถามจึงอยู่ที่ประสิทธิภาพในการเก็บข้อมูลให้เป็นความลับและความสามารถในการป้องกันการคุกคามไซเบอร์ของตัวสำนักงานเอง และคำถามที่ยังไม่มีคำตอบคือ ตัวสำนักงานเองถือเป็น CII ใช่หรือไม่ ข้อมูลที่เก็บไปจะเก็บถึงไหน ข้อมูลส่วนบุคคลของประชาชนจะเป็นเป้าหมายหรือไม่ หลายคนยังคงจำข้อมูลส่วนบุคคลที่หลุดไปจากคลังข้อมูลของ TRUE ได้ ถ้าหากข้อมูลมีการส่งต่อมากขึ้น ความปลอดภัยของข้อมูลย่อมได้รับผลกระทบไม่ว่าจะมากหรือน้อย

 

เท่าไรก็ได้ การสนับสนุนจากคุณ คือการร่วมสร้างและรักษาสื่อเสรี ‘ประชาไท’ ... ร่วมสนับสนุนเรา
โอนเงิน พร้อมเพย์ PromptPay "มูลนิธิสื่อเพื่อการศึกษาของชุมชน" 0993000060423
โอนเงิน PayPal คลิกที่นี่ https://paypal.me/prachatai
ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai