ต่างประเทศ
'ไทยเสี่ยงภัยไซเบอร์สูง แต่ไม่ใช่เป้าโจมตีหลัก' ภูมิ ภูมิรัตน
การโจมตีทางไซเบอร์ได้เปลี่ยนจากพลอตเรื่องล้ำยุคในภาพยนตร์สายลับมาเป็นการโจมตีที่เกิดขึ้นอย่างเป็นรูปธรรมมากขึ้นในโลกจริงช่วงหลายปีที่ผ่านมา ตั้งแต่แรนซัมแวร์เรียกค่าไถ่ข้อมูลบริษัทใหญ่ๆ การแฮกระบบบริษัทโซนี่โดยเกาหลีเหนือ การโจมตีทางไซเบอร์ของสหรัฐฯ เพื่อตอบโต้อิหร่านที่โจมตีเรือบรรทุกน้ำมัน จนทำให้มีการคาดการณ์ว่า อาวุธไซเบอร์จะกลายมาเป็นอาวุธสำคัญในการโจมตีและข่มขู่กันแทนการสะสมอาวุธนิวเคลียร์
ทีมงานวอยซ์ออนไลน์ได้พูดคุยกับ ดร.ภูมิ ภูมิรัตน ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จากจี-เอเบิลเกี่ยวกับสถานการณ์ภัยไซเบอร์ในปัจจุบัน ความพร้อมของไทยในการรับมือยุคแห่งสงครามไซเบอร์ ทั้งในภาครัฐและเอกชน และคนทั่วๆ ไปอย่างเราไม่ป้องกันไม่ให้ตัวเองถูกโจมตีทางไซเบอร์ได้อย่างไรบ้าง รวมถึงเราจะไว้ใจ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ได้จริงไหม?
ไทยเสี่ยงสูง แต่มีศัตรูน้อย
ภัยไซเบอร์รุนแรงขึ้นเรื่อยๆ ทั้งผู้ก่อการร้ายและรัฐประเทศต่างๆ ก็เริ่มใช้วิธีนี้ในการโจมตีกันมากขึ้น เนื่องจากยังไม่มีข้อตกลงระดับโลกว่า อะไรคือการก่อสงครามในโลกไซเบอร์ เพราะฉะนั้น มันก็เหมือนเปิดพื้นที่ให้ใครลองโจมตีกัน เทคโนโลยีและทักษะความสามารถที่ทำกันก็ลึกซึ้งขึ้นเรื่อยๆ
ถ้ามองแบบกว้างๆ ไทยมีความเสี่ยงทางไซเบอร์สูงมาก แต่เรามีศัตรูน้อย ไม่ถึงขั้นทำให้เราเสี่ยงมากขนาดนั้น ประเทศที่เขามีปัญหาก็คือกลุ่มประเทศที่มีศัตรู เช่น เกาหลีเหนือ เกาหลีใต้ ตะวันออกกลาง ส่วนคนที่เรามีปัญหาด้วยส่วนใหญ่ก็ยังใช้การทำสงครามแบบดั้งเดิม (traditional warfare) เช่น วางระเบิด แต่แน่นอนว่าเราก็ต้องเตรียมพร้อมรับมือ เพราะเราไม่รู้ว่าเขาจะใช้เครื่องมือเข้ามาสร้างความเสียหายมากน้อยแค่ไหน
ถามว่าประเทศไทยพร้อมแค่ไหน? ตอนนี้มีกฎหมายแล้วก็รอรัฐบาลเขาขับเคลื่อนนโยบายตามกฎหมายนั้น ตั้งสำนักงาน ตั้งกรรมการมาดูแลว่า ประเทศนี้ควรจะปกป้องอะไร ในจุดไหน อย่างไรบ้าง พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์กำหนดไว้อยู่แล้วว่าจะป้องกัน ทุ่มทรัพยากรหรือของภาครัฐและเอกชนไปที่การปกป้อง critical information infrastructure (CII) หรือผู้ให้บริการที่มีนัยยะสำคัญด้านเทคโนโลยีในประเทศนี้ ได้แก่ผู้ให้บริการรายใหญ่ที่เรารู้จักคุ้นชินกันในหลายอุตสาหกรรม ไม่ว่าจะเป็นค่ายมือถือ บริษัทพลังงาน ขนส่ง สายการบิน การรถไฟ หรือบริการทางการเงิน
แต่ถ้าเอกชนทั่วไปที่ไม่ใช่ผู้ให้บริการที่มีระดับความสำคัญสูง ก็มีพรบ.คุ้มครองข้อมูลส่วนบุคคลที่มากำหนดว่า บุคคลเหล่านั้นจะต้องดูแลข้อมูลของประชาชน เพราะมีการใช้ข้อมูลของคนในการหาประโยชน์ค่อนข้างเยอะในโลกออนไลน์ ในเชิงกฎหมาย เราค่อนข้างพร้อม กฎหมายก็ยังไม่สามารถใช้ได้เต็มที่ เพราะกฎหมายมันให้ภาครัฐต้องไปตั้งสำนักงาน ไปเตรียมความพร้อมเพิ่มเติม ก็อยู่ในจุดเริ่มต้นครับ
ไทยเป็นฮับของแฮกเกอร์?
ประเทศไทยค่อนข้างเปิดกว้าง ขอวีซ่าไม่ยากมาก อยู่ได้นาน เข้าๆ ออกๆ ได้ การบังคับใช้กฎหมายก็ไม่ได้เข้มข้นมาก ถ้าไม่ได้แฮกมาที่ไทย อยู่ในไทยแล้วแฮ็กไปต่างประเทศ เราไม่ค่อยจะเข้าไปควบคุมดูแล ส่วนหนึ่งก็เพราะกฎหมายมันไม่ได้ให้เราเข้าไปควบคุมดูแลได้ง่ายขนาดนั้น ประเทศเหล่านั้นต้องประสานความร่วมมือมา
ไทยก็พยายามแก้ไขปัญหานี้ เช่น พรบ.คอมพิวเตอร์ก็บังคับว่า มหาวิทยาลัย คาเฟ่ ร้านค้าต่างๆ ต้องเก็บไอดีของคนเวลามาใช้อินเทอร์เน็ต แต่ก็ไม่ได้บังคับใช้อย่างเต็มที่ เวลาเราไปร้านอาหารก็ขอ wifi ได้ เขาก็ไม่ขอดูบัตรประชาชน
เราก็จะเห็นว่าใน เหตุการณ์การแฮกใหญ่ๆ ก็มักมี IP address ของไทยไปเกี่ยวข้อง บางกรณีแฮกเกอร์อาจอยู่ในไทยแล้วแฮกออกไป อีกหลายกรณีก็เชื่อว่าเป็นเพราะองค์กรต่างๆ ไม่ได้ดูแลระบบคอมพิวเตอร์ของตัวเองเข้มแข็งพอ โดยเฉพาะห้องสมุด ห้องแล็บในมหาวิทยาลัย อินเทอร์เน็ตคาเฟ่ เครื่องอาจจะติดไวรัสหรือมัลแวร์ แล้วโดนคนร้ายใช้เป็นฐานในการโจมตี คนร้ายจริงๆ อาจจะอยู่ประเทศอื่น แต่ใช้เครื่องในไทยไปโจมตี ก็เป็นไปได้เช่นกัน
เราก็เกี่ยวของการเป็นสะพานเชื่อมให้คนอื่นเขาแฮกกัน แฮกกันเองในประเทศก็มีบ้าง แต่ส่วนใหญ่ในโลกไซเบอร์จะไม่แฮกในพื้นที่ขอบเขตกฎหมายที่ตัวเองอยู่ มีแต่มือสมัครเล่นที่พลาดแบบนั้น เพราะถ้าแฮกข้ามประเทศมันจับยากกว่ามาก เช่น นั่งอยู่ในไทย แล้วแฮกองค์กรในไทย ตำรวจและหน่วยงานรัฐมีความรู้ความสามารถที่จะตามจับคนเหล่านี้ได้ดีระดับนึง
รัฐต้องช่วยลดต้นทุน
บังคับใช้กฎหมายกับเอกชน
การปกป้องตัวเองในโลกไซเบอร์มันก็ต้องใช้ความรู้ ใช้ประสบการณ์ แต่ถ้าเทียบสัดส่วนผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ในไทยกับจำนวนธุรกิจที่มีถือว่าน้อยมาก เอกชนก็จะลำบากแย่งกันจ้างคนเหล่านี้ ถ้าบริษัทใหญ่ที่มีทรัพยากร มีเงิน ก็เข้าใจระดับนึงว่าต้องปกป้องตัวเอง เพราะส่วนใหญ่มันมีความจำเป็นในการแข่งขันทางธุรกิจ ไม่อยากให้เกิดความเสียหาย เสียชื่อ ไม่อยากให้ลูกค้าไม่ชอบแบรนด์ แต่แรงบันดาลใจพวกนั้นก็อาจไม่มากพอ
ถ้ามีกฎหมายออกมา กฎหมายก็มีหน้าที่สนับสนุนให้เกิดการพัฒนาคนและเทคโนโลยี ซึ่งอาจจะทำให้ค่าใช้จ่ายเหล่านี้ลดลง อาจจะทำให้บริษัทต่างๆ เข้าถึงสิ่งเหล่านี้ได้ เอกชนก็พึ่งรัฐในมิตินี้ แต่อีกมิติคือรอโดนบังคับซะมากกว่า ถ้าเป็นพ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ องค์กรที่รัฐตีตราว่าสำคัญ จะถูกบังคับด้วยว่าจะต้องทำอย่างน้อยเท่าที่รัฐบอกให้ทำ
อีกทาง กฎหมายคุ้มครองข้อมูลส่วนบุคคลก็จะมากำหนดด้วยว่า องค์กรเอกชนจะต้องดูแลข้อมูลคนดีแค่ไหน ก็จะช่วยเสริมให้บริษัทเอกชนที่เก็บข้อมูลคนเยอะๆ ต้องดูแลตัวเองดีขึ้น เมื่อรัฐกำหนดมาตรฐานออกมาแล้ว ข้อมูลพวกเราจะได้รับการปกป้อง แล้วก็เป็นค่าใช้จ่ายของเอกชนที่จะต้องไปลงทุนพอเป็นค่าใช้จ่ายของเอกชนที่จะต้อง รัฐก็จะต้องเข้าไปช่วยให้มันเกิดการลงทุนที่ต้นทุนถูกลง
ผู้บริหารต้องเข้าใจภัยไซเบอร์
อันนี้ก็ต้องเป็นความพยายามของอุตสาหกรรมและรัฐร่วมกัน ให้องค์กรทั้งหลายเข้าใจว่า การต่อสู้กับภัยไซเบอร์มีความลึกซึ้ง ละเอียดอ่อน ยากลำบาก และจำเป็นต้องใช้ความเชี่ยวชาญ มันไม่ใช่การซื้อคอมฯ มาแล้ว patch แล้ว ซื้อ firewall มาแล้วก็จบ มันเป็นเรื่องการบริหารจัดการความเสี่ยง
แน่นอน ไม่ทุกองค์กรหรอกพร้อมที่จะทำอย่างงี้ แต่ก็ต้องสอน เตรียมความพร้อมให้องค์กรต่างๆ ในประเทศว่า ตัวเองอยู่ในประเภทธุรกิจ ขนาดของธุรกิจที่น่าจะมีความเสี่ยงแล้วหรือยัง ซึ่งพักหลัง ธุรกิจใหญ่เริ่มมีให้ความสำคัญกับเรื่องนี้มากขึ้นเรื่อยๆ โดยเฉพาะเป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์
ส่วนหนึ่งปัญหามันพ่วงกลับมาที่ก่อนหน้านี้ ด้วยความที่เรามีผู้เชี่ยวชาญน้อย ถ้าเรามีเพิ่มมากขึ้น คนเหล่านี้ก็จะกระจายกันตัวกันออกไป ช่วยกันให้ความรู้ ช่วยกันทำให้บริษัททั้งหลายเตรียมความพร้อมได้มากขึ้น ปัญหามันก็เหมือนไก่กับไข่
คนทั่วๆ ไปต้องมีสุขอนามัยทางไซเบอร์
เรื่องความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องของทุกคน รัฐก็มีบทบาทที่เขาจะต้องเล่น แต่กฎหมายไม่ได้ออกมาให้รัฐไปปกป้องทุกคน หรือแม้แต่ไปปกป้องบริษัท รัฐมีหน้าที่กำหนดมาตรฐานให้พวก CII ปกป้องตัวเอง แล้วรัฐเข้าไปช่วยเหลือ
คนก็ต้องปกป้องตัวเองด้วยในระดับนึง ผมขอแยกเป็น 2 มิติแล้วกัน มันมีบางเรื่องที่คนทุกคนจะต้องดูแลตัวเอง เช่น รู้จักใช้พาสเวิร์ดให้ปลอดภัย ไม่ไปดาวน์โหลดโปรแกรมผิดกฎหมาย ไม่เข้าเว็บที่มันไม่ดี ไม่ซื้อโปรแกรมเถื่อน หัดระมัดระวังเวลาใครส่งลิงก์มา ไม่ควรกดเล่นๆ
พวกนี้มันเป็นทักษะที่ส่วนตัวผมเรียกว่า cyber hygiene (สุขอนามัยทางไซเบอร์) เราต้องมีวิธีการสอนให้คนไทยทุกคนเข้าใจสิ่งนี้ ก็เหมือนกับสุขอนามัยทั่วไป สุขอนามัยทั่วไป คนทุกคนก็ไม่ได้ต้องเก่งชีววิทยา การแพทย์ เรื่องสุขภาพ เป็นนักโภชนาการ แต่เราก็รู้ว่า กินน้ำตาลมากเกินไปไม่ดี ไม่แปรงฟันไม่ได้ กินอาหารไม่ล้างมือไม่ดี เราไม่ได้ต้องเชี่ยวชาญในเรื่องเหล่านั้น แต่มันมีพื้นฐานที่ทุกคนรู้ในเรื่องทั่วไป เหมือนการเดินข้ามถนนจะต้องเดินมองซ้ายมองขวา เรื่องดิจิทัลก็เหมือนกัน เรายังไม่ได้มีการสอนเรื่องพวกนี้ลงไปสู่พื้นฐานที่แท้จริง เรามัวแต่ย้ำกันว่า พาสเวิร์ดต้องยาว ห้ามใช้ซ้ำ ซึ่งเผอิญมันก็ยาก แต่จริงๆ มันไม่จบครับต่อให้ 2 อย่างนั้นเราดี แต่เราไม่ได้สอนสุขอนามัยทั่วไปในโลกออนไลน์ เขาก็โดนแฮกได้อยู่ดี เพราะฉะนั้น รัฐและองค์กรเอกชนต้องช่วยกันสอน มหาวิทยาลัย โรงเรียนก็ต้องช่วยกันสอนคนทุกคน
อีกมิตินึง เราเลี่ยงไม่ได้ เราเป็นผู้ใช้บริการ เราไม่ใช่คนที่พัฒนาระบบเอง พัฒนาบริการเอง เราจึงต้องพึ่งพาองค์กรหรือภาครัฐ เพราะฉะนั้น คนเหล่านั้นก็ต้องมีความรับผิดชอบในการปกป้องข้อมูลของเราหรือการเข้าถึงบริการข้อมูลของเราด้วย กฎหมายที่รัฐออกมาในช่วง 2 ปี หรือ 1 ปีกว่าๆ ที่ออกมาค่อนข้างครอบคลุม แต่มันยังต้องรอการการบังคับใช้ รอการตั้งองค์กรขึ้นมาเพื่อปฏิบัติจริงอยู่
เพราะฉะนั้น ทุกคนไม่ควรกังวลมากเกินไป มันมีพื้นฐานที่เราต้องรู้ และถ้าเราไม่รู้ ก็เหมือนเราดำรงชีวิตอยู่บนความเสี่ยงอยู่ตลอดเวลา เหมือนเราไม่รู้ว่าหยิบอาหารจากพื้นขึ้นมากินมันไม่ดี เราก็จะหยิบขึ้นมากินเป็นประจำ แล้วเราก็จะปวดท้องเป็นระยะ โดยที่เราไม่รู้ตัว คล้ายกัน
ไว้ใจ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ได้จริงไหม?
ผมไม่ได้คิดว่าภาครัฐมีเป้าที่จะละเมิดสิทธิคนทุกวัน โดยหลักแล้ว ผมเชื่อว่า 99% ของเคสฉุกเฉินไม่ต้องใช้อำนาจเหล่านี้ เพราะองค์กรที่โดนแฮกหรือมีปัญหาน่าจะให้ความร่วมมือกับรัฐอยู่แล้ว ไม่ต้องบังคับกัน แต่ถ้าจำเป็น เขาอาจต้องมีอำนาจสั่งการฉุกเฉินโดยไม่ผ่านศาล เราจะบอกว่าไม่เหมาะสมก็ยาก เพราะถ้าเหตุการณ์ฉุกเฉินจริงๆ มันก็ต้องอาศัยความเร็วระดับหนึ่ง
ถ้าเราไปดักหน้าด้วยคำสั่งศาลไม่ได้ เราก็ต้องมีกลไกกำกับดูแลว่า รัฐจะไม่ใช้อำนาจนี้เกินเลยไป เช่น การมี NGO เข้าไปดูแลสอดส่อง แก้กฎหมายหรือไปแก้ระเบียบ หรือให้ภาครัฐหรือกระทรวงประกาศออกมาทุกครั้งที่ใช้อำนาจฉุกเฉิน เขาจะต้องเปิดเผยสถิติหรือรูปแบบการใช้อำนาจนี้ย้อนหลังให้สังคมตามดูว่า มีการละเมิดอำนาจนี้ไหม
อีกมิตินึง กฎหมายบอกว่า รัฐต้องตั้งกรรมการผู้ทรงคุณวุฒิที่มีความเชี่ยวชาญต่างๆมาเป็นหูเป็นตา ด้านนึงคือด้านคุ้มครองผู้บริโภคหรือด้านสิทธิมนุษยชน ก็ต้องใช้คนเหล่านั้นมาคานว่า ทำแบบนี้มันมากเกินไปไหม มีวิธีอื่นอีกไหม ในกลุ่มกรรมการผู้ทรงคุณวุฒิก็จะต้องมีคนที่เชี่ยวชาญด้านเทคนิค เทคโนโลยี หรือความมั่นคงปลอดภัยไซเบอร์ ซึ่งก็จะต้องช่วยคนเหล่านี้หาช่องทางทำให้ได้มาซึ่งความปลอดภัยโดยไม่ล่วงละเมิดสิทธิมากเกินไป
แต่ตอนนี้ กฎหมายมันใหม่ ยังไม่มีการบังคับใช้ เขาก็เขียนกว้างไว้ก่อน หวังว่าวันหน้าจะสามารถเข้าไปปรับแก้ได้ เมื่อเริ่มเกิดการใช้อำนาจจริงแล้ว เห็นว่าความร่วมมือกันมันมีอย่างไร ถ้าภาคสังคมและเอกชนช่วยกันตรวจสอบดูแลและช่วยให้ความร่วมมืออย่างเหมาะสม ผมว่าก็อาจจะทำให้วันหน้า อำนาจรัฐกระชับขึ้นมาได้
เราอาจจะต้องสอดส่องดูแลว่า มีกลไกตรวจสอบมากพอไหม และเมื่อกฎหมายนี้มีผลบังคับใช้จริงแล้ว เมื่อเราเห็นการใช้อำนาจของรัฐแล้ว อาจเสนอแก้ไขกฎหมายเพื่อปรับอำนาจกระชับขึ้น ชัดเจนขึ้นว่าใช้ทำอะไรได้หรือไม่ได้ ต้องมีกระบวนกลั่นกรองเพิ่มไหม เช่น ก่อนสั่งจะต้องมีการเตรียมบางอย่างไว้ก่อน มีกระบวนการเรียกคนที่เกี่ยวข้องมาตอบคำถามก่อนอย่างน้อย 1 ครั้ง มันไม่ได้ทำให้กลไกการสั่งช้ามากเกินไป เพราะรีบสั่งมากเกินไปก็ไม่ได้มีผลดีมากนักในบางกรณี
ประเทศอื่นมีกลไกปกป้องสิทธิเข้มแข็งกว่าไทย
แทบทุกประเทศเขาก็มีระดับของความฉุกเฉินที่ไม่ต้องไปศาลเหมือนกัน สหรัฐฯ ก็มีที่ประธานาธิบดีสั่งอะไรก็ได้ ไม่ต้องไปสภาเลยด้วยซ้ำ ประเทศเราก็ไม่ได้แปลกมากนัก ของประเทศเราแตกต่างในแง่ ถ้าไม่ทำ ติดคุก ประเทศเพื่อนบ้านเราก็มี เวียดนามและสิงคโปร์ก็มี เราก็คงไม่อยากน้อยหน้ามั้ง แต่ประเทศอื่นๆ ส่วนใหญ่เป็นโทษปรับ โทษปกครอง
แต่หลายประเทศเหล่านั้นมีกลไกปกป้องสิทธิด้วยวิธีอื่นที่เข้มแข็ง ประเทศเรากลไกปกป้องสิทธิด้วยวิธีอื่นค่อนข้างอ่อนแอ รัฐธรรมนูญเขียนไว้ให้สิทธิ แต่เปิดช่องให้ละเมิดไว้ค่อนข้างกว้าง ในประเทศอย่างสหรัฐฯ หรือกลุ่มยุโรป คนมีสิทธิโดยพื้นฐาน เพราะฉะนั้น ถ้าใช้อำนาจโดยไม่ผ่านศาล แล้วคนไม่พอใจก็ยังฟ้องศาลได้ แล้วศาลยังมาตีความได้ว่า ต่อให้กฎหมายเขียนไว้ว่าทำได้ แต่ถ้าละเมิดรัฐธรรมนูญก็ทำไม่ได้อยู่ดี แต่ของไทยยังไม่มีบรรทัดฐานนั้นสักเท่าไหร่ เพราะฉะนั้นก็เข้าใจคนที่ห่วงแหละ
เราอาจจะต้องช่วยๆ กันดูไปก่อนว่าการใช้เป็นอย่างไร และศาลจะเข้ามาตีความสิ่งเหล่านี้อย่างไร ถ้ามัวแต่ถกเถียงกันแล้วกฎหมายมันไม่ผ่านเลยมันอาจจะแย่มากกว่าดี ผ่านออกมาแล้วมีการละเมิดสิทธิ ก็จะต้องมีการขับเคลื่อนไปสู่การปรับแก้ หรือไม่ก็ต่อสู้กลับด้วยกระบวนการยุติธรรม
