ไอซีที

สะพัดพันล้านรับกม.ใหม่ ธุรกิจไทยเร่งอัพเกรดไอที

ฟอร์ติเน็ตคาด 2 กฎหมายใหม่ดันเงินลงทุนไอทีสะพัดพันล้านบาท พร้อมคืนชีพตั้งศูนย์ SOC ในองค์กรสำคัญ ชี้ “โลจิสติกส์-สาธารณสุข-โทรคมนาคม” ยังตื่นตัวน้อย จี้ภาครัฐเร่งวางกรอบปฏิบัติให้ชัดเจน

นายรัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ตเปิดเผยว่า พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่เพิ่งประกาศใช้ทำให้หน่วยงานภาครัฐและเอกชน ตื่นตัวในการลงทุนด้านไอที คาดว่าจะมีเงินสะพัดอย่างน้อยพันล้านบาท แม้จะยังมีความกังวลเรื่องความไม่ชัดเจนของกรอบมาตรฐานและแนวปฏิบัติ

แต่ในส่วนของฟอร์ติเน็ตมีโซลูชั่นบริหารจัดการในทุกส่วนที่เป็นไปตามมาตรฐาน National Institute of Standard and Technology : NIST ของสหรัฐอเมริกา และ General Data Protection Regulation : GDPR ของสหภาพยุโรป ซึ่งคาดว่ากรอบแนวปฏิบัติของไทยก็น่าจะล้อไปกับ 2 มาตรฐานนี้

“กฎหมายใหม่ทำให้ภาคธุรกิจต้องลงทุนปรับปรุงระบบในหลายส่วน ซึ่งจะต้องใช้เวลาเตรียมการเฉลี่ย 9 เดือนถึง 1 ปี ซึ่งในส่วนของกฎหมายไซเบอร์ซีเคียวริตี้มีผลบังคับใช้แล้ว แต่คุ้มครองข้อมูลส่วนบุคคลจะบังคับใช้ 28 พ.ค. 2563 ซึ่งเวลาเหลืออีกไม่มาก และหากทำไม่ทันอาจเสี่ยงกับโทษปรับสูงถึง 5 ล้านบาทได้ และบทลงโทษส่วนใหญ่เป็นการปรับต่อเนื่องจนกว่าจะปรับปรุงให้เสร็จ ฉะนั้น ต้องวางระบบให้พร้อมแก้ไขปัญหาให้ได้ในเวลาอันสั้นด้วย”

และด้วยสาระสำคัญของ พ.ร.บ.ไซเบอร์ซีเคียวริตี้ ได้ให้ความสำคัญกับการ “เฝ้าระวัง” อย่างมาก จึงจะทำให้นโยบายการตั้งศูนย์ปฏิบัติการ Security Operation Center (SOC) ของหน่วยงานไอทีสำคัญถูกปัดฝุ่นขึ้นอีกครั้ง เพื่อคอยมอนิเตอร์ระบบและรับมือได้ทันท่วงที ทำให้การ “หา-จำกัด-กำจัด” ภัยคุกคามทำได้เร็วที่สุด โดยเฉพาะหน่วยงานที่ถูกระบุให้เป็น “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หรือ CII ได้แก่ หน่วยงานความมั่นคงของรัฐ หน่วยงานบริการภาครัฐที่สำคัญ หน่วยงานด้านการเงินการธนาคาร หน่วยงานด้านโทรคมนาคมและไอซีที การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค และหน่วยงานด้านสาธารณสุข

ซึ่งทั้งหมดจะต้องมีระบบไอทีที่ได้ตามมาตรฐานที่จะมีกฎหมายลูกออกเกณฑ์บังคับไว้ ทั้งในแง่ของการระบุความเสี่ยง (identify) การป้องกันภัยคุกคาม (protect) การตรวจสอบและเฝ้าระวัง การเผชิญเหตุ ตอบโต้ภัย (respond) และการรักษาและฟื้นฟู (recover)

ที่น่ากังวล คือ CII แต่ละเซ็กเตอร์ยังมีความไม่เท่ากันของศักยภาพและความแข็งแกร่งของระบบซีเคียวริตี้ อาทิ ในด้านขนส่งโลจิสติกส์ที่ยังไม่ค่อยแข็งแรงนัก รวมถึงด้านสาธารณสุขที่ยังมีการตื่นตัวน้อย และที่เป็นปัญหากับทุกหน่วยงาน คือ การขาดแคลนบุคลากรที่มีทักษะในด้านไซเบอร์ซีเคียวริตี้

“การโจมตีผ่านทางระบบอีเมล์เพื่อส่งไวรัสหรือใช้เป็นช่องทางแฮกระบบ ถือเป็นภัยอันดับหนึ่ง ขณะที่แอปพลิเคชั่น เว็บไซต์ เซิร์ฟเวอร์ รวมถึงอุปกรณ์ส่วนตัวที่นำมาใช้ในระบบ และอุปกรณ์ขององค์กรที่ถูกนำไปใช้กับระบบภายนอก จำเป็นต้องดูแล โดยใช้ระบบอัตโนมัติเพื่อแก้ปัญหาการขาดแคลนบุคลากร ขณะที่หน่วยงานรัฐมักถูกโจมตีแบบระดมบอตให้ระบบไม่สามารถทำงานได้ จำเป็นต้องมีแอนตี้ดีดอส”

ด้าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ยังมีอีกหลายอุตสาหกรรมที่ตื่นตัวน้อย อาทิ ด้านโทรคมนาคม เนื่องจากมองว่าเป็นหน้าที่ของผู้ใช้งานในการปฏิบัติตามกฎหมายมากกว่า จึงยังทำให้มีช่องโหว่มาก รวมถึงโรงพยาบาลของรัฐในภูมิภาค