บทความจากการบรรยายในงาน Blognone Tomorrow 2019 โดย ดร. ภูมิ ภูมิรัตน กรรมการผู้ทรงคุณวุฒิในคณะกรรมการเตรียมการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
เมื่อวันที่ 27 พฤษภาคมที่ผ่านมา เราได้กฎหมายดิจิทัลใหม่สองฉบับล่าสุดที่จะมีส่วนช่วยทำให้โครงสร้างทางกฎหมายดิจิทัลของบ้านเราครบถ้วน เพิ่มความน่าเชื่อถือในการใช้เทคโนโลยีดิจิทัลเพื่อพัฒนาประเทศ และสนับสนุนการนำนวัตกรรมมาใช้ประกอบธุรกิจและให้บริการลูกค้าและประชาชน กฎหมายสองฉบับที่ว่านี้ก็คือพระราชบัญญัติมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ผ่านและลงพระราชกิจจานุเบกษาแล้วทั้งสอง พรบ.
ปัจจุบัน องค์กรต่างๆ ได้นำเทคโนโลยีดิจิทัลมาใช้ในการดูแลระบบและการให้บริการต่อสังคม รวมไปถึงองค์กรที่มีความสำคัญต่อสังคม เช่นโรงพยาบาล ตลาดหลักทรัพย์ ธนาคารพาณิชย์ และอื่นๆ พรบ. มั่นคงปลอดภัยไซเบอร์ จึงถูกสร้างขึ้นมาเพื่อกำหนดว่าองค์กรใดที่มีความสำคัญต่อบริการของประเทศนี้ หรือที่เรียกอีกอย่างว่า Critical Information Infrastructure (CII) จะต้องมีมาตรฐานการดูแลระบบเพื่อไม่ให้เกิดปัญหา ไม่ให้ถูกโจมตีโดยคนร้าย อันอาจจะเป็นเหตุนำไปสู่ความเสียหายต่อสังคม ประชาชน และความมั่นคงทางเศรษฐกิจและของชาติได้
กฎหมายนี้กำหนดให้รัฐต้องตั้งสำนักงานและกรรมการขึ้นมาดูแลนโยบาย แผน และการปฏิบัติ เพื่อพัฒนาความมั่นคงปลอดภัยของระบบของ CII ทั้งหลายให้มีมาตรฐาน และยังกำหนดอำนาจของกรรมการเพื่อบริหารจัดการปัญหายามที่เกิดภัยความมั่นคงของระบบไซเบอร์ในประเทศ โดยเบื้องต้นกฎหมายระบุองค์กรด้านต่างๆไว้ 7 ด้านคือ ด้านความมั่นคงปลอดภัยของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข ทางกรรมการจะต้องไประบุว่าผู้ให้บริการใดในกลุ่มนั้นถือว่าเป็น CII ก่อนจะเข้าไปกำกับดูแล โดยพื้นฐานของหลักการของกฎหมายดังกล่าว นำมาจาก NIST Cybersecurity Framework ซึ่งเป็นแนวทางการบริหารจัดการภัยในโลกไซเบอร์อันเป็นที่ยอมรับของสหรัฐอเมริกา
ในขณะที่ พรบ. มั่นคงปลอดภัยไซเบอร์มุ่งเป้าไปปกป้ององค์กรที่มีความสำคัญต่อสังคมอย่างเคร่งครัดและเข้มงวด องค์กรอื่นๆและประชาชน ก็ยังต้องได้รับการดูแล แต่ประเทศเราคงไม่มีทรัพยากรที่จะดูแลทั้งสังคมได้ด้วยความเข้มข้นที่เท่ากัน จึงมีการกำหนด พรบ. คุ้มครองข้อมูลส่วนบุคคลขึ้นมา โดยมี General Data Protection Regulation หรือ GDPR ของสหภาพยุโรป เป็นต้นแบบ พรบ. คุ้มครองข้อมูลส่วนบุคคล จะเริ่มบังคับใช้วันที่ 28 พฤษภาคม 2563 โดยกฎหมายนี้จะกำหนดหลักการว่าองค์กรใดที่จะเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลของคนในประเทศไทย จะต้องมีความจำเป็นและเหตุผลในการประมวลผลข้อมูลดังกล่าว (Lawful ground for processing data) นอกจากนั้น พรบ. ยังกำหนดความรับผิดชอบขององค์กรเหล่านั้นโดยละเอียด ว่าจะต้องดูแลรักษาข้อมูลให้ปลอดภัยอย่างไร จะเก็บรวบรวม ใช้ หรือเผยแพร่ ต้องทำอย่างไร อีกทั้ง กฎหมายยังกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล และกำหนดหน้าที่ขององค์กรเหล่านั้นว่าจะต้องดูแลสิทธิของคนไทยอย่างไร หากองค์กรใดละเมิดสิทธิหรือไม่รับผิดชอบต่อหน้าที่ คนไทยจะสามารถไปร้องเรียนต่อกรรมการและสำนักงานที่รัฐจะต้องตั้งขึ้นมาตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล เพื่อเข้ามาดูแลแก้ไขปัญหาที่เกิดขึ้น
จะสังเกตเห็นได้ว่า กฎหมายทั้งสองฉบับเพิ่มความรับผิดชอบขององค์กรต่างๆที่มีต่อสังคมและคนไทย มากขึ้น และเพิ่มความน่าเชื่อถือให้กับเศรษฐกิจดิจิทัลเราอย่างมีนัยยะสำคัญ กฎหมายทั้งสองฉบับมีรายละเอียดอีกมากที่น่าเอามาจำแนกแจกแจง โดยผู้เขียนจะเอามาหยิบมาเล่า และพูดถึงข้อควรระวังขององค์กรต่างๆ และแนวทางในการปฏิบัติ เพื่อเตรียมพร้อมในโอกาสต่อไป ในระหว่างนี้ ผมเชิญชวนให้ทุกองค์กรและคนไทยทุกคนมาทำความเข้าใจกฎหมายนี้ด้วยกันนะครับ
คำตอบหนึ่งสำหรับองค์กรที่กำลังมองหาวิธีการยกระดับการทำงานให้ปลอดภัย โปร่งใส เป็นไปตามมาตรฐานใหม่ภายใต้ พรบ. ทั้งสอง ก็คือโซลูชั่น Microsoft 365 ที่มีเครื่องมือในการจัดการระบบด้านความปลอดภัยครบครัน ครอบคลุมทั้งการบริหารจัดการผู้เข้าใช้งานระบบ และการปกป้องข้อมูลที่สำคัญ ไม่ว่าจะเป็นข้อมูลส่วนบุคคล หรือข้อมูลสำคัญขององค์กร การตอบสนองต่อการโจมตีโดยผู้บุกรุกที่ได้มาตรฐานระดับโลก พร้อมเสริมประสิทธิภาพการทำงานได้อย่างเต็มเปี่ยม