กม.ความมั่นคงปลอดภัยไซเบอร์ อย่าให้ของดี ๆ ต้องเสียไป

วันที่ 21 ธันวาคม 2561 - 12:09 น.

คอลัมน์ นอกรอบ

โดย ศาสตราจารย์พิเศษ อธึก อัศวานันท์

ในขณะเขียนบทความนี้ ภาครัฐบางส่วนกำลังเร่งดำเนินการออกกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์ให้ทัน สนช.ยุคนี้ ร่างกฎหมายฉบับนี้มีวัตถุประสงค์เพื่อป้องกัน ลดความเสี่ยง และรับมือการคุกคามทางไซเบอร์ (ซึ่งก็คือไวรัสหรือการซ่อนโปรแกรมเข้าแทรกแซงการทำงานของซอฟต์แวร์ของเรา แบบในภาพยนตร์ที่เราดูกันอยู่บ่อย ๆ เป็นต้น) โดยให้มีหน่วยงานเพื่อรับผิดชอบในการดำเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน

วัตถุประสงค์นี้ดีมาก เป็นการเดินล่วงหน้าไปหนึ่งก้าว (proactive) เพื่อการป้องกันภัย เป็นแนวคิดที่เยี่ยมมาก ที่หน่วยราชการอื่น ๆ ควรนำมาใช้ แทนวิธีล้อมคอกเมื่อวัวหายไปแล้ว หากปรับปรุงร่างกฎหมายฉบับนี้ (ร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ….) สักหน่อย กฎหมายนี้จะหล่อเป็นพระเอกเลยหลายแห่งในร่างกฎหมายนี้ แทนที่จะปูทางการร่วมมือระหว่างรัฐกับเอกชน ท่านกลับขยายอำนาจหน้าที่ของฝ่ายราชการและเพิ่มภาระและความรับผิดของเอกชนผู้บริสุทธิ์ จนเกินสัดส่วนของความสมควร เช่น

มาตรา 58 (3) ของร่างกฎหมายนี้ให้อำนาจภาครัฐว่า ในกรณีที่มีภัยคุกคามทางไซเบอร์อย่างร้ายแรง ท่านมีอำนาจสั่งให้เจ้าของระบบคอมพิวเตอร์นั้น กำจัดชุดคำสั่งไม่พึงประสงค์จากคอมพิวเตอร์ หรือเปลี่ยนเส้นทางจราจรของข้อมูล หรือชุดคำสั่งไม่พึงประสงค์ ฯลฯ ได้

ผู้เชี่ยวชาญคอมพิวเตอร์ที่ทำงานด้านนี้ทุกวัน ท่านกรุณาให้ความรู้ว่า วิธีที่ใช้กันทั่วโลกเพื่อรับมือกับภัยคุกคามทางไซเบอร์ที่ได้ผลที่สุดในปัจจุบัน คือการหยุดใช้ชุดคำสั่งที่เป็นภัยคุกคาม โดยไม่ไปแตะต้องตัวชุดคำสั่งนั้น ๆ

ภาครัฐควรมีอำนาจเพียงสั่งให้เจ้าของระบบหยุดใช้ชุดคำสั่งที่เจ้าหน้าที่ของรัฐมั่นใจว่าเป็นภัยคุกคามทางไซเบอร์ และอาจจะแนะนำให้เจ้าของระบบ กำจัด ปรับปรุง ยกเลิกการเชื่อมต่อกับคอมพิวเตอร์ที่ปรากฏชุดคำสั่งที่ไม่พึงประสงค์ดังกล่าว เปลี่ยนแปลงเส้นทางจราจรของชุดคำสั่งที่ไม่พึงประสงค์นั้น

เมื่อเจ้าของระบบได้รับการแนะนำแล้ว เป็นหน้าที่ที่เจ้าของระบบจะต้องตรวจสอบกับผู้ผลิต และหรือเจ้าของลิขสิทธิ์ของซอฟต์แวร์ที่มีชุดคำสั่งที่ไม่พึงประสงค์นั้น เพื่อหาทางจัดการกับข้อบกพร่องในการรักษาความมั่นคงไซเบอร์ ไม่ใช่ไปแก้ไขเอง

การแก้ไขชุดคำสั่งหนึ่งคำสั่งใด จะมีผลกระทบต่อระบบซอฟต์แวร์ทั้งหมดยกตัวอย่าง เช่น หากเจ้าของระบบเข้าไปกำจัด แก้ไข ปรับปรุงชุดคำสั่งต่าง ๆ ในระบบของซอฟต์แวร์ที่ผลิตโดยผู้อื่น เช่น ชุดคำสั่งของระบบปฏิบัติการของอุปกรณ์ Android หรือ Apple หรือระบบ SAP ที่ใช้ในเรื่องเกี่ยวกับการเงิน การบัญชี ด้วยตนเองหรือตามคำสั่งของภาครัฐ น่าจะสร้างความเสียหายให้แก่การปฏิบัติงานของงานทั้งระบบได้

เมื่อเกิดความเสียหายจะกระทบต่อผู้บริโภคทั้งระบบ เป็นต้นว่า ถ้าธนาคารแก้ไขชุดคำสั่งของซอฟต์แวร์สถาบันการเงินตามคำสั่งของภาครัฐ แล้วเกิดกระทบต่อระบบซอฟต์แวร์ อาจทำให้ธุรกรรมทางการเงินของลูกค้าหยุดชะงัก เช่น เกิดการปฏิเสธการจ่ายเงินตามเช็ค ผู้ทรงเช็คก็ฟ้องร้องลูกค้าของสถาบันการเงินที่เป็นผู้ออกเช็ค จะมีประเด็นว่าใครจะเป็นผู้รับผิดชอบทั้งทางแพ่งและอาญา ฯลฯ ต่อความเสียหายที่เกิดขึ้นจากการแก้ไขชุดคำสั่งนั้น

ความเสียหายเช่นนี้จะเกิดขึ้นได้กับระบบต่าง ๆ ในทุกอุตสาหกรรม นอกจากนี้ การที่ภาครัฐมีอำนาจสั่งเจ้าของระบบแก้ไขชุดคำสั่งเอง โดยที่ผู้ผลิตซอฟต์แวร์ผู้มีหน้าที่บำรุงรักษาซอฟต์แวร์ไม่ได้ยินยอมด้วย จะมีผลให้ warranty การรับประกันคุณภาพของซอฟต์แวร์ของผู้ให้บริการที่จะซ่อมแซมบำรุงรักษา software สิ้นผลไปทันที ซึ่งทำให้เจ้าของระบบเสียหาย เพราะได้จ่ายค่าบำรุงรักษาไปแล้ว

จึงควรให้เจ้าของระบบคอมพิวเตอร์ร่วมกับผู้ผลิตซอฟต์แวร์หลักหาทางแก้ไขปัญหาในซอฟต์แวร์เองจะดีกว่า ประชาชนคงเชื่อมือของผู้เชี่ยวชาญของผู้ผลิตซอฟต์แวร์ในการแก้ปัญหาในซอฟต์แวร์ที่เขาผลิตมากกว่าผู้เชี่ยวชาญของภาครัฐ

อีกประการหนึ่งคือ ซอฟต์แวร์นี้อาจแบ่งออกเป็นสองส่วนใหญ่ คือ ชุดคำสั่งและข้อมูล เมื่อเราใช้โปรแกรม MS word หรือ MS excel (คือ ชุดคำสั่ง) จัดทำเอกสารการประมูล หรือบัญชีทรัพย์สิน (คือ ข้อมูล) เช่น การติดต่อสื่อสาร การประมูล ฯลฯ ซึ่งข้อมูลไม่เป็นภัยคุกคามทางไซเบอร์ได้โดยตรง แต่อาจเป็นความลับ ถ้าบุคคลภายนอกรวมทั้งเจ้าหน้าที่รัฐล่วงรู้ก็จะเป็นโทษแก่เจ้าของข้อมูล ข้อมูลอื่น ๆ ก็เป็นความลับทางการค้า หรือความลับส่วนบุคคลของประชาชนทั่วไป เช่น ข้อมูลฐานะการเงิน ข้อมูลการสื่อสารโทรคมนาคม ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองทางกฎหมาย รูปภาพ การต่อรองการค้า รวมตลอดถึงข้อมูลต่าง ๆ ขององค์กรต่าง ๆ และระหว่างประเทศ เป็นต้น

ส่วนนี้ของร่างกฎหมายจึงสับสนว่า ภาครัฐจะต่อสู้กับ “ชุดคำสั่ง” ที่เป็นตัวร้าย แต่จะขอไปยุ่งเหยิงกับ “ข้อมูล” เพื่อไปรู้และล้วงความลับของเขา ภาครัฐจึงไม่ควรมีอำนาจเปลี่ยนแปลงเส้นทางจราจรของข้อมูลเหล่านี้ ตามมาตรา 58 (3) หรือเข้าถึงหรือทำสำเนาหรือสกัดคัดกรองข้อมูลของเขา โดยที่เจ้าของข้อมูลไม่ให้ความยินยอมได้ เพราะเป็นการละเมิดสิทธิส่วนบุคคลของเจ้าของข้อมูล เพราะกฎหมายนี้ต้องการความร่วมมือจากภาคเอกชน

แต่ถ้าภาครัฐคิดว่าเจ้าของข้อมูลเป็นผู้ร้าย ภาครัฐต้องดำเนินการตามกฎหมายที่จะไปไล่จับผู้ร้ายนี้โดยตรง เช่น ประมวลกฎหมายอาญา กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯลฯ โดยต้องให้บุคคลที่สามที่เป็นคนกลาง เช่น ศาลทำการตรวจสอบความจำเป็นที่เจ้าหน้าที่รัฐจะต้องก้าวล่วง เข้าถึงเรื่องเหล่านี้อย่างเข้มข้น เพราะต้องสันนิษฐานว่าเขาเป็นผู้สุจริต

ยิ่งไปกว่านั้น ในมาตรา 58 (4) ที่ให้เจ้าหน้าที่รัฐสามารถยึดคอมพิวเตอร์หรืออุปกรณ์ใด เพื่อการตรวจสอบหรือวิเคราะห์นั้น ก็ควรตัดทิ้งไป เพราะร่างกฎหมายนี้เป็นการรับมือการคุกคามทางไซเบอร์ โดยอาศัยความร่วมมือจากผู้เกี่ยวข้องต่าง ๆ

การยึดเครื่องคอมพิวเตอร์ เป็นการทำให้เจ้าของระบบอาจต้องหยุดการให้บริการทางไซเบอร์ เช่น การยึดเครื่องคอมพิวเตอร์ของผู้ให้บริการระบบ Cloud หรือโทรคมนาคม หรือสถาบันการเงิน หรือร้านค้า หรือระบบโทรทัศน์ การแพร่ภาพกระจายเสียง หรือระบบดาวเทียม ฯลฯ ก็ต้องหยุดลง สร้างความเสียหายให้แก่ผู้ให้บริการและผู้บริโภคทั่วไป ซึ่งการหยุดให้บริการ

หลายวันนี้ทำให้เกิดการได้เปรียบเสียเปรียบอย่างไม่เป็นธรรมในหมู่ผู้ประกอบการ อาจเกิดการกลั่นแกล้งกันได้ง่าย ซึ่งจะเกิดความเสียหายต่อประชาชนทั่วไป

การรับมือการคุกคามทางไซเบอร์ที่ได้ผล คือ การหยุดชุดคำสั่งของโปรแกรมที่ไม่พึงประสงค์ ไม่สมควรไปหยุดกิจการของผู้ประกอบการทางดิจิทัล ซึ่งยังอยู่ในระหว่างการสร้างตัว ในกรณีที่เจ้าหน้าที่รัฐสงสัยว่ามีผู้สร้างการคุกคามทางไซเบอร์ในประเทศ และต้องการยึดเครื่องอุปกรณ์เขามาตรวจสอบ เจ้าหน้าที่รัฐต้องใช้ช่องทางทางกฎหมายที่เอาโทษทางอาญาต่อผู้กระทำผิดเหล่านั้น ไม่ใช่ยึดเอาเครื่องของผู้ที่ไม่ได้อยู่ในข่ายเป็นผู้ต้องหา ซึ่งจะทำให้เกิดความเสียหายต่อกิจการของผู้บริสุทธิ์เหล่านั้น

ช่วยกันปรับปรุงกฎหมายนี้เถอะครับ

อย่าให้ของดี ๆ ต้องเสียไปเลย

ไม่พลาดข่าวสารเศรษฐกิจ เจาะลึกทุกประเด็นทั้งภาครัฐ-เอกชน เพิ่มเราเป็นเพื่อนที่ Line ได้เลย พิมพ์ @prachachat หรือ คลิกลิงก์ https://line.me/R/ti/p/@prachachat