ภัยคุกคามทางไซเบอร์ กับกฎหมายไซเบอร์ไทย-

คอลัมน์ ช่วยกันคิด

โดย ดร.สราวุธ ปิติยาศักดิ์ สาขานิติศาสตร์ มสธ.

“ภัยคุกคามทางไซเบอร์” (cyber threats) ถือเป็นภัยคุกคามใหญ่หลวงต่อผลประโยชน์ทางเศรษฐกิจ ตลอดจนความมั่นคงของประเทศ การโจมตีทางไซเบอร์มีหลายรูปแบบ เช่น การเจาะระบบคอมพิวเตอร์ (hacking) การสอดแนมข้อมูลคอมพิวเตอร์โดยสปายแวร์ การดักรับข้อมูลคอมพิวเตอร์ (sniffing) การโจมตีโดยชุดคำสั่งไม่พึงประสงค์ (Malicious Software : Malware) หรือการรุมสอบถามข้อมูลจนระบบล่ม (Denial of Service Attack : DOS) เป็นต้น

การโจมตีแต่ละครั้งล้วนสร้างความเสียหายอย่างมหาศาล ทั้งต่อความมั่นคง ความปลอดภัยของระบบสารสนเทศ และเครือข่ายคอมพิวเตอร์ ตลอดจนระบบเศรษฐกิจและความมั่นคงของประเทศปัจจุบันประเทศไทยได้รับการแจ้งเหตุภัยคุกคามทางไซเบอร์ในแต่ละปีเป็นจำนวนมาก โดย พ.ศ. 2560 ประเทศไทยมีการแจ้งเหตุภัยคุกคามทางไซเบอร์รวมถึง 67 ครั้ง (1 มกราคม-19 กันยายน 2560) รัฐบาลไทยโดย พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี จึงมีนโยบายให้บูรณาการความมั่นคงปลอดภัยทางไซเบอร์ควบคู่กับการขับเคลื่อนเศรษฐกิจดิจิทัล โดยเตรียมจัดตั้ง “คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” หรือ National Cybersecurity Committee ซึ่งมีนายกรัฐมนตรีหรือรองนายกรัฐมนตรีที่ได้รับมอบหมายเป็นประธาน

ทั้งนี้ เป็นหนึ่งในยุทธศาสตร์การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมของรัฐบาล ควบคู่กับการเตรียมประกาศใช้ร่าง พ.ร.บ.รักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …

การรักษาความมั่นคงปลอดภัยไซเบอร์ คือ การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ ซึ่งจำเป็นต้องใช้มาตรการทั้งทางเทคนิคและทางกฎหมาย รวมถึงการกำกับดูแลตนเอง และการกำกับดูแลร่วมกันของบุคคล 3 ฝ่าย ผู้อาจได้รับผลกระทบจากการโจมตีทางไซเบอร์ ได้แก่ รัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม

อย่างไรก็ดี แม้มาตรการทางกฎหมายอาจมีความจำเป็นในการรักษาความมั่นคงปลอดภัยไซเบอร์ อันอาจกระทบถึงความมั่นคงของชาติ แต่ความเข้มข้นของมาตรการดังกล่าวก็ต้องคำนึงถึงสิทธิเสรีภาพของประชาชน ให้ประชาชนยังคงดำรงซึ่งสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอกับที่มีในโลกแห่งความเป็นจริง

ด้วยเหตุที่การโจมตีทางไซเบอร์อาจกระทำโดยผู้ไม่หวังดีที่มาจากทั้งภายในและภายนอกประเทศ ฉะนั้น รัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม จำต้องมีการประสานความร่วมมือกันอย่างเป็นระบบ โดยแต่ละฝ่ายอาจมีบทบาทสำคัญ ดังนี้

1.รัฐหรือหน่วยงานของรัฐ ต้องมีหน้าที่หลักในการประสานความร่วมมือกับภาคเอกชนและภาคประชาสังคม รัฐต้องกำหนดให้ภาคเอกชนโดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน สาธารณูปโภค จัดให้มีการบริหารความเสี่ยงทางเทคนิคที่ดีและต่อเนื่อง เช่น มีระบบการตั้งค่าแบบปลอดภัย มีระบบควบคุมการเข้าถึง มีระบบป้องกันชุดคำสั่งไม่พึงประสงค์ ระบบจัดการปิดช่องโหว่คอมพิวเตอร์ และมีการแบ็กอัพข้อมูลสำคัญ เป็นต้น

2.ภาคเอกชนต้องมีหน้าที่บริหารความเสี่ยงในการจัดการทางเทคนิคเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ เช่นไฟร์วอลล์ขอบเขต (boundary firewalls) เกตเวย์ อินเทอร์เน็ต ระบบการตั้งค่าแบบปลอดภัย ระบบควบคุมการเข้าถึง เป็นต้นนอกจากนี้ หน่วยงานภาคเอกชนที่เกี่ยวข้องกับกิจการสำคัญ เช่น กิจการธนาคาร สายการบิน ต้องมีหน้าที่รายงานการโจมตีทางไซเบอร์ให้หน่วยงานของรัฐทันที เพื่อป้องกันความเสียหายอย่างทันการ

3.ภาคประชาสังคม รวมถึงประชาชนจะได้รับการคุ้มครองสิทธิเสรีภาพในโลกไซเบอร์ เสมอด้วยโลกแห่งความเป็นจริง อย่างไรก็ตาม ภาคประชาสังคมควรมีหน้าที่เฝ้าระวังระบบและข้อมูลบนอินเทอร์เน็ตให้มีความมั่นคงปลอดภัย หากพบเว็บไซต์ที่มีเนื้อหาไม่เหมาะสมหรือพบการโจมตีทางไซเบอร์ ควรรายงานต่อเจ้าหน้าที่ที่มีอำนาจในการจัดการปัญหาดังกล่าวทันที

ในร่าง พ.ร.บ.รักษาความมั่นคงปลอดภัยไซเบอร์ของไทย ได้นิยามศัพท์คำว่า “ความมั่นคงปลอดภัยไซเบอร์” ว่าหมายถึง มาตรการและการดำเนินการ เพื่อปกป้อง ป้องกัน ส่งเสริมเพื่อรับมือกับสถานการณ์ด้านภัยคุกคามที่จะส่งผลต่อการให้บริการด้านระบบเครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม การให้บริการโดยปกติของดาวเทียม ระบบกิจการสาธารณูปโภคพื้นฐาน และระบบกิจการสาธารณะที่สำคัญ ซึ่งเป็นเครือข่ายในระดับประเทศ เพื่อมิให้เกิดผลกระทบต่อความมั่นคงของชาติ ความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ

จากนิยามศัพท์ข้างต้น จะเห็นได้ว่ากฎหมายไซเบอร์ของไทย มิได้มุ่งเฉพาะความมั่นคงปลอดภัยของระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ที่กระทบต่อเศรษฐกิจเท่านั้น แต่หมายความรวมถึงความมั่นคงทางการทหาร และความสงบเรียบร้อยภายในประเทศด้วย

นอกจากนี้ กฎหมายไซเบอร์ของไทย ยังกำหนดให้มี คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเรียกย่อว่า “กปช.” มีหน้าที่สำคัญ คือ กำหนดแนวทางและมาตรการตอบสนองและรับมือกับภัยคุกคามไซเบอร์ และสั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐ ภาคเอกชน เพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ทั้งในและนอกประเทศ ประการสำคัญที่สุดเพื่อประโยชน์ในการปฏิบัติหน้าที่

กฎหมายกำหนดให้พนักงานเจ้าหน้าที่ ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ กปช. มีอำนาจเข้าถึงข้อมูลการติดต่อสื่อสาร ทั้งทางไปรษณีย์ โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสาร สื่ออิเล็กทรอนิกส์ หรือสื่อทางเทคโนโลยีสารสนเทศใด หรือดำเนินการตามมาตรการที่เหมาะสม เพื่อประโยชน์ในการปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และระงับยับยั้งความเสียหายที่จะเกิดขึ้น

ทั้งนี้ ในการปฏิบัติการของเจ้าหน้าที่ดังกล่าว ให้ยื่นคำร้องเพื่อ ขอคำสั่งศาล ในการปฏิบัติตามอำนาจหน้าที่ แต่ในกรณีจำเป็นเร่งด่วน ที่จะเกิดความเสียหายอย่างร้ายแรง ให้พนักงานเจ้าหน้าที่โดยอนุมัติของ กปช. ดำเนินการไปก่อนแล้วรายงานให้ศาลทราบโดยเร็ว


กฎหมายไซเบอร์ของไทย มุ่งรักษาความมั่นคงของรัฐจากการกระทำในโลกไซเบอร์ โดยให้อำนาจพิเศษแก่ กปช.อย่างมาก กปช.มีอำนาจอนุมัติให้เจ้าหน้าที่เข้าถึงการติดต่อสื่อสารทุกรูปแบบของประชาชน ทั้งนี้ กฎหมายไซเบอร์ของไทยควรมุ่งเน้นในการสร้างความร่วมมือระหว่างรัฐ ภาคเอกชน ภาคประชาสังคม ในลักษณะของการกำกับดูแลตนเอง และการกำกับดูแลร่วมกัน มากกว่าการใช้ตัวบทกฎหมาย ที่เข้มงวดเกินไป อาจกระทบถึงสิทธิเสรีภาของประชาชนในการติดต่อสื่อสารได้