ไอซีที

มุมมองตำรวจไซเบอร์รุ่นแรก ทำไม “พ.ร.บ.ไซเบอร์ฯ” ถึงน่ากลัว

พ.ต.อ.ญาณพล ยั่งยืน

เป็นที่รู้จักในฐานะตำรวจไซเบอร์ยุคบุกเบิกของไทย สำหรับ “พ.ต.อ.ญาณพล ยั่งยืน” และปัจจุบันเป็น 1 ในคณะกรรมการเตรียมการด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ ในฐานะผู้ทรงคุณวุฒิด้านการป้องกันและปราบปรามอาชญากรรมทางไอซีที

แต่วันนี้เขาเป็นหนึ่งในผู้ที่ออกมาทักท้วงร่าง พ.ร.บ.ไซเบอร์ซีเคียวริตี้ ฉบับที่เตรียมเข้า ครม.อย่างเต็มที่

เพราะอะไร “ประชาชาติธุรกิจ” มีคำตอบในบรรทัดถัดจากนี้ไป

Q : เป็นกรรมการไซเบอร์ฯแต่ค้าน

ใช่ แต่ก็ไม่เคยได้เห็นร่างกฎหมายเลย เป็นความลับสุดยอดมาก เพิ่งเห็นเมื่อ 2 สัปดาห์ก่อน พบว่าสิ่งที่ควรจะมีก็หายไป แล้วมีที่ประหลาด ๆ เข้ามาแทน อย่างความรับผิดของพนักงานเจ้าหน้าที่ คือไม่มีระบุไว้เลย ถ้าเอาข้อมูลที่สั่งให้ส่งให้ ไม่ส่งโดนปรับ อย่างผังอินฟราสตรักเจอร์ ถ้าหลุดไปถึงมือแฮกเกอร์ ไม่ต้องรับผิดชอบอะไรเลยแล้วหลายอย่างก็ไม่ใช่กิจของสงฆ์ เช่น เอาเงินไปลงทุนได้ กู้ยืมเงินได้ สรุปว่าองค์กรนี้จะเป็นอะไรแน่ ราชการก็ไม่ใช่

Q : อาจให้เป็นอิสระจากการครอบงำ

แล้วองค์กรที่อิสระทั้งหลายครอบงำไม่ได้หรือ ถ้ายังเป็นหน่วยงานของรัฐอย่างไรภาครัฐ การเมืองก็ยังครอบงำได้ เพียงแต่ต้องมีกฎกติกากฎหมายให้ชัดเจนเป็นพื้นฐานไว้ก่อน คือควรเป็นหน่วยงานราชการ แต่มีกฎระเบียบที่คล่องตัวในการทำงาน

Q : ส่วนที่กังวลใน พ.ร.บ.ใหม่

เจตนารมณ์คือมีไว้เพื่อป้องกันภัยคุกคามทางไซเบอร์ ทั้งแฮกเกอร์ การโจมตีโครงข่ายสถานที่สำคัญ จึงควรเป็นกฎหมายที่ไว้คุ้มครองผู้ป่วย และหาทางจับโจร ฆ่าเชื้อโรค แต่ยกร่างไป ๆ มา ๆ กลายเป็นจวกทั้งโจรทั้งผู้ป่วย คือยึดเครื่องและอุปกรณ์ของผู้กระทำผิดและผู้ได้รับผลกระทบ ซึ่งปัจจุบันคอมฯใครจะไม่เคยมีไวรัสเลย คือทั้งถูกโจมตีแล้วฝังมัลแวร์ให้สั่งไปโจมตีคนอื่นด้วย แล้วถ้าเหยื่อคือธนาคาร หน่วยงานที่ต้องให้บริการประชาชนจะทำอย่างไร คือกฎหมายบางอย่างก็ดี แต่รวม ๆ แล้วเหมือนอำนาจเยอะไป ควรดึงเอาอำนาจศาลเข้ามาด้วย ไม่งั้นก็กลายเป็นเข้าไปเคหสถานของคนอื่นได้ด้วย

Q : ปัญหาภัยไซเบอร์จริง ๆ คืออะไร

ตอนนี้มือถือในมือทุกคนกลายเป็นคอมฯพีซีแล้ว ถามว่ามีเครื่องไหนบ้างที่ลงแอนตี้ไวรัส แล้วถึงลงก็ใช่ว่าจะอัพเดตทุกครั้งที่เปิดเครื่องก่อนจะทำงานอื่น ๆ คือผู้ใช้ไม่มีความรู้เรื่องการป้องกันภัย ขณะที่เทคโนโลยีก้าวไปเร็วมาก งบประมาณในการป้องกันก็เพิ่มขึ้นเรื่อย ๆ จนจะล่มจมกันทั้งประเทศแล้ว โจรมันก็เก่งขึ้น กฎหมายก็ง่อยเปลี้ยเสียขา เจ้าหน้าที่ก็ตามไม่ทัน ยิ่งไปกันใหญ่ กระบวนการยุติธรรมทั้งหมด ตำรวจ อัยการ ศาล ต้องพัฒนาให้รู้เท่าทันให้หมด ไม่งั้นก็เป็นที่ครหาได้

Q : กฎหมายที่ควรจะเป็น

ต้องหาทางปกป้อง คุ้มครอง สร้างภูมิคุ้มกันให้คนมีสุขภาพแข็งแรงป้องกันโรคได้ พร้อมกับพัฒนาคนที่จะเป็นหมอ คือหน่วยปราบปรามด้วย ไม่ใช่ให้อำนาจกับองค์กรใหม่ หรือเลขาธิการอย่างเดียว หน่วยงานเดิมที่มีอยู่แล้ว ไม่ว่าจะเป็น DSI ปอท. ก็เป็นหน่วยงานปราบปรามที่ดำเนินคดีอาญา แต่หน่วยงานตรวจสอบที่คอยลาดตระเวนที่เรียกว่า “เซิร์ต” อย่างไทยเซิร์ต ยังมีน้อย คือแต่ละหน่วยงานเองก็ต้องมีทีมดูแล แล้วมีหน่วยงานกลางเป็นมืออาชีพมีความเชี่ยวชาญคอยประสานงานทุกทิศทั่วโลก มีการแจ้งเตือน เฝ้าระวังภัยจากข้างนอกด้วย

Q : แต่คนไอทีขาดยิ่งด้านซีเคียวริตี้ด้วย

จริง ในมหาวิทยาลัยมีคนเรียนด้านนี้น้อย มีเหลือแค่ไม่กี่คนที่จะมาเป็นไซเบอร์ซีเคียวริตี้ คนที่เก่ง ๆ ตามหน่วยงานก็ทำงานหนักมาก พอให้ไปสอบใบรับรองเพิ่ม เขาก็ไม่ทำ จึงต้องมีการสร้างแรงจูงใจจากภาครัฐเข้ามาช่วยเสริม อาทิ ถ้าสอบมาตรฐานระดับโลกด้านไซเบอร์ได้ ใช้ลดภาษีกับสรรพากรได้วงเงิน 5 หมื่นบาท ในปีที่สอบได้ หรือเข้าไปทำงานกรมกองไหนก็ได้เงินพิเศษเพิ่ม

Q : ไทยเป็นสวรรค์ของโจรไซเบอร์

ใช่ เพราะเมืองไทยตอนนี้ครบถ้วน เป็นเมืองสวรรค์ ด้วยเน็ตเวิร์กที่ดีมาก 3G 4G WiFi มีทุกที่ อยากได้บรอดแบนด์โทร.บอกคอลเซ็นเตอร์ วันรุ่งขึ้นมาติดตั้งเรียบร้อย ไม่มีสัญญาบริการผูกพันด้วย ระบบธนาคารก็ดีมาก ตู้ ATM มีทั่วประเทศ ชนบทแค่ไหนก็มี แต่ละเจ้าเบิกถอนโอนข้ามกันได้เป็นล้าน ๆฉะนั้น พวกการพนันออนไลน์ แก๊งคอลเซ็นเตอร์ถึงมาเยอะ เพราะเงินโอน

เข้ามาปุ๊บกระจายได้เป็นพันบัญชีปั๊บ จะไปไล่ตามบล็อกบัญชีก็ไม่ทันแล้ว ตำรวจ อัยการก็เหนื่อย ฉะนั้น แฮกเกอร์มือดี แก๊งเงินดำ จะมาอยู่ที่พัทยา ภูเก็ตเยอะมาก แต่ไม่ได้โจมตีในไทยนะ ใช้เป็นฐานไปโจมตีประเทศอื่น

Q : ผู้ใช้ทั่วไปป้องกันตัวอย่างไร

ต้องพัฒนาตัวเองให้รู้เท่าทัน การป้องกันไวรัสมัลแวร์ เว็บไหนควรเข้าไม่เข้า อะไรที่เด้งโผล่มาเองก็ไม่ควรไปคลิกดู ไม่ใช่ใครส่งอะไรมาก็กดคลิก ๆ yes ๆ ไปหมด อย่างวันก่อนมีเน็ตไอดอลมาให้ช่วย โดนขโมยเฟซบุ๊ก เพราะมีคนส่งลิงก์มาให้ กดๆ อีท่าไหนก็ไม่รู้ เฟซบุ๊กที่สร้างเงินได้เป็นแสนบาทต่อเดือน หลุดไปอยู่ในมือโจร เคสพวกนี้เกิดขึ้นอยู่เรื่อย ๆ ผู้ใช้ต้องอย่าแค่ใช้อย่างเดียว ต้องหมั่นอัพเดตระบบต่าง ๆ และอ่านก่อนจะคลิก

ขณะที่ภาครัฐก็อยากให้สร้างกลไกในการดูแลทั้งด้านกฎหมายที่มีความชัดเจนในการใช้อำนาจ สร้างแรงจูงใจในการพัฒนาผู้เชี่ยวชาญ ก็อยากเห็นตรงนี้

……………………………

กฎหมายร้อน กระทบโลกออนไลน์

เป็นอีกกฎหมายร้อนในมือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กับร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ ล่าสุดสำนักงานคณะกรรมการกฤษฎีกาตรวจสอบร่างเสร็จแล้ว และเตรียมนำเข้าที่ประชุมคณะรัฐมนตรี (ครม.) อีกครั้งก่อนส่งต่อให้สภานิติบัญญัติแห่งชาติ (สนช.) พิจารณาล่าสุดในเวทีประชาพิจารณ์ที่สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. (11 ต.ค. 2561) ได้รับมอบหมายจากดีอีให้จัดขึ้น ก็เต็มไปด้วยเสียงท้วงติงในหลายประเด็น

“เมธา สุวรรณสาร” นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) เปิดเผยว่า การยกร่างกฎหมายเป็นความหวังดีที่ต้องการจะดูแลความปลอดภัยทางไซเบอร์ แต่จะบรรลุวัตถุประสงค์ได้ต้องคำนึงถึงผู้มีประโยชน์ร่วมของผู้มีส่วนได้ส่วนเสียทั้งหมด โดยเฉพาะในส่วนของ “ธรรมาภิบาล” ขององค์กรที่จะตั้งขึ้นมาใหม่อย่าง “สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (กปช.)”

ซึ่งในร่าง พ.ร.บ.ล่าสุดกำหนดให้อำนาจเบ็ดเสร็จอยู่ในหน่วยงานเดียวกัน ทั้งไม่ใช่หน่วยราชการที่ไม่มีการตรวจสอบการทำงาน ขาดมาตรฐานที่ดีในการกำกับดูแลในการบริหารจัดการ ถือว่าไม่มีธรรมาภิบาล ขณะที่บทลงโทษต่าง ๆ มากและรุนแรงเกินกว่าเหตุ จึงควรใช้แนวทางของ “ก.ล.ต.” หรือคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์เป็นต้นแบบ

“ต้องให้ชัดเจนว่า พ.ร.บ.นี้มีประโยชน์อย่างไรต่อประเทศและปฏิบัติได้ มีการบริหารความเสี่ยงอย่างไร รวมถึงการบริหารทรัพยากร การรายงานข้อมูลต่าง ๆ ที่มีความซับซ้อนจะสร้างให้เกิดความเหมาะสมคุ้มค่าอย่างไร ที่สำคัญคือความโปร่งใส ที่ต้องมีอย่างเพียงพอ”

ขณะที่ “สุธี ทวิรัตน์” กรรมการ TISA กล่าวเสริมว่า สำนักงานและเลขาธิการมีอำนาจล้นฟ้า แค่มีความ “สงสัย” ก็สามารถสั่งการได้หลายอย่าง อาทิ ในมาตรา 57 และมาตรา 58 มีอำนาจสั่งให้พนักงานเจ้าหน้าที่เข้าไปในสถานประกอบการ เข้าถึงทรัพย์สินสารสนเทศ ตรวจสอบและยึดคอมพิวเตอร์หรืออุปกรณ์ได้ โดยไม่ต้องมีหมายศาล หากฝ่าฝืนจะมีโทษจำคุกไม่เกิน 3 ปี และปรับไม่เกิน 1.5 แสนบาท หรือทั้งจำทั้งปรับ ถือว่าเข้าข่ายละเมิดสิทธิ ทางสมาคมฯ จึงจะยื่นหนังสือถึงนายกรัฐมนตรีและประธาน สนช.ให้พิจารณาประเด็นเหล่านี้

ด้าน “ชวิน อุ่นภัทร” อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ระบุว่า ควรเปิดให้ศาลเข้ามามีอำนาจในขั้นตอนการให้พนักงานเจ้าหน้าที่เข้าสู่สถานที่และระบบ เหมือนแนวทางของ พ.ร.บ.ว่าด้วยความผิดเกี่ยวกับคอมพิวเตอร์ เพราะจริง ๆ ก็เป็นอำนาจอย่างเดียวกัน

“มีการใช้ถ้อยคำที่ไม่รัดกุมในหลายมาตราที่ทำให้เกิดการตีความที่ผิดเพี้ยนและขัดกับเจตนารมณ์ของกฎหมายได้ อาทิ มาตรา 56 ที่อาจทำให้เกิดการตีความครอบคลุมไปถึงระบบของทุกหน่วยงาน แม้แต่ลงไปถึงประชาชนที่มีคอมพิวเตอร์ใช้งาน ไม่เฉพาะแต่หน่วยงานโครงสร้างพื้นฐานสำคัญตามที่มีการอธิบายไว้ หรือการระบุว่า “อย่างมีนัยสำคัญ” จะหมายถึงกรณีอย่างไรแค่ไหน ซึ่งไปอิงกับกำหนดความผิดไว้ในหลายมาตรา” 

“วีระ รัตนแสงเสถียร” ตัวแทนจากสมาคมโทรคมนาคมแห่งประเทศไทยฯ กล่าวว่า กรอบของกฎหมายนี้ได้
ลงไปถึงการกำกับคอนเทนต์ โดยระบุไว้ในคำนิยาม “ทรัพย์สินสารสนเทศ” จึงอยากให้เน้นเฉพาะโครงข่ายระบบคอมพิวเตอร์ ทั้งการใช้อำนาจของหน่วยงานใหม่ อยากให้มีการกำหนดกรอบให้ชัดเจน ไม่เปิดช่องให้มีการใช้ดุลพินิจมากแบบนี้ โดยเฉพาะการกำหนดนิยามของคำว่า “ความรุนแรง” และ “มีนัยยะสำคัญ” ที่ต้องให้ชัด รวมไปถึงหลักเกณฑ์ในการตรวจยึดอุปกรณ์และการใช้อำนาจ

“หากกฎหมายออกมาบังคับใช้จริงแบบนี้จะมีผลกระทบกับหลายส่วน และอาจปฏิบัติไม่ได้จริงในหลายกรณี เช่นการส่งรายงานการถูกโจมตี ซึ่งเกิดขึ้นทุกวัน หรืออย่างข้อมูลหลายส่วนที่ให้ส่งจะมีการเก็บเป็นความลับอย่างไร เพราะอย่างค่ายมือถือก็มีข้อมูลของลูกค้า หากหลุดรั่วไปเพราะการส่งต่อให้ กปช. จะทำอย่างไร เพราะในร่างฉบับก่อนนี้มีกำหนดความรับผิดของพนักงานเจ้าหน้าที่ในส่วนนี้ แต่ฉบับล่าสุดหายไปทั้งหมด ดังนั้นหากหน่วยงานภาครัฐจะมีเวลาในการรับฟังและรวบรวมประเด็นจากผู้เกี่ยวข้องให้มากกว่านี้ จะดีกว่าเดินหน้าต่อไปแล้วมีปัญหา”