พ.ร.บ. การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 คืออะไร ?

พ.ร.บ. การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 คืออะไร ?

[ อ้างอิงตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 ]

“การรักษาความมั่นคงปลอดภัยไซเบอร์ หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศอันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ”

“ภัยคุกคามทางไซเบอร์ หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้าย ต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือ ข้อมูลอื่นที่เกี่ยวข้อง”

มีคณะกรรมการ 3คณะในการกำกับดูแล

1. คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ กมช. (National Cyber Security Committee : NCSC) มีหน้าที่เสนอนโยบาย จัดทำแผนแม่บท กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนา ยกระดับทักษะความรู้ของเจ้าหน้าที่ ประสานงานความร่วมมือกับหน่วยงานต่าง ๆ รวมไปถึงการติดตามและประเมินผลการปฏิบัติตามนโยบายที่ได้ถูกกำหนดแล้ว
2. คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ กกม. มีหน้าที่ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดแนวทางปฏิบัติสำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามที่เกิดขึ้น
3. คณะกรรมการบริหารสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ กบส. ทำหน้าที่ดูแลงานด้านการบริหารงานทั่วไป

โดยสรุปง่ายๆ คือ พ.ร.บ. ดังกล่าว เป็นกลไกเฝ้าระวัง ป้องกัน รับมือและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจเกิดกับระบบโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และส่งผลเสียหายในระดับประเทศ

โดยระบบโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ประกอบด้วย

– ด้านความมั่นคง

– ด้านบริการภาครัฐ

– ด้านการเงิน

– ด้านขนส่ง และโลจิสติกส์

– ด้านเทคโนโลยีสารสนเทศ และโทรคมนาคม

– ด้านพลังงาน และสาธารณูปโภค

– ด้านสาธารณสุข

บทกำหนดลงโทษ (มาตรา 69 – 76)

• เปิดเผยข้อมูลคอมพิวเตอร์ให้บุคคลอื่น (มาตรา 69) -จำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ
• เปิดเผยข้อมูลคอมพิวเตอร์โดยประมาท (มาตรา 70) -จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 20,000 บาท หรือทั้งจำทั้งปรับ
• ไม่รายงานภัยคุกคามโดยไม่มีเหตุอันควร (มาตรา 72) ปรับไม่เกิน 200,000 บาท
• ล่วงรู้ข้อมูลคอมพิวเตอร์จากการสอบสวน (มาตรา 71) -จำคุกไม่เกิน 2 ปี หรือปรับไม่เกิน 40,000 บาท หรือทั้งจำทั้งปรับ
• ไม่ปฏิบัติตามหนังสือเรียกของพนักงานสอบสวน หรือไม่ส่งข้อมูลคอมพิวเตอร์ (มาตรา 73) – ปรับไม่เกิน 100,000 บาท
• ฝ่าฝืนคำสั่ง กปช. หรือ กกช. (มาตรา 74) – ปรับไม่เกิน 300,000 บาท และปรับอีกไม่เกินวันละ 10,000 บาท จนกว่าจะปฏิบัติให้ถูกต้อง
• ขัดขวางไม่ปฏิบัติตามคำสั่ง หรือไม่อำนวยความสะดวกพนักงานสอบสวน (มาตรา 75) -จำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน150,000 บาท หรือทั้งจำทั้งปรับ

การนำไปใช้ในองค์กร

การนำไปปรับใช้ในองค์จำเป็นต้องคลอบคลุมทั้ง 3ด้าน People, Processes & Technology เพื่อให้มั่นใจว่าองค์กรของเราสามารถปฏิบัติตามข้อกฎหมายได้อย่างครบถ้วน

People : พนักงานในองค์กรต้องมีความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับพนักงาน (Cybersecurity Awareness) เช่น การดูเมลที่มีความเสี่ยงว่าจะเป็น Malware หรือ Phishing Mail

Processes : ทบทวนวิเคราะห์ขั้นตอนการปฏิบัติงานขององค์กร ว่ามีความสอดคล้องกับข้อกฎหมายและข้อบังคับต่าง ๆ (Gap Analysis) อะไรบ้าง

Technology : วัดระดับความมั่นคงปลอดภัยไซเบอร์ในภาพรวมขององค์กร (Cybersecurity Health Rating) ดำเนินการตรวจสอบช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment / Penetration Testing)

เมื่อจะต้องมีการวิเคราะห์ระดับความเสี่ยงของภัยคุมคามต่าง ๆ เทคโนโลยีจึงมีบทบาทที่สำคัญในการทำหน้าที่นี้ และอะไรจะมาเป็นเครื่องมือที่จะมาช่วยตอบโจทย์ ให้เรา Wizberry Mobile Security ขอเป็นตัวช่วยองค์กรของท่าน Wizberry Mobile Security ถูกพัฒนาเพื่อเป็นเครื่องมือการบริหารจัดการ Smart Devices ของพนักงาน เช่น การตรวจสอบสิทธิ บล็อกพฤติกรรมเสี่ยง ส่งข้อความเตือน เพิ่มปัจจัยระบุตัวตนให้มากขึ้น หรือใช้เอไอตรวจสอบแบบอัตโนมัติ เพื่อป้องกันการละเมิดสิทธิที่พร้อมเกิดขึ้นตลอดเวลา รวมถึงสามารถป้องกันข้อมูลรั่วไหลเพื่อให้มั่นใจได้ว่าจะไม่มีข้อมูลหลุดรอดไปถึงผู้ที่ไม่มีสิทธิ์ใช้งาน ติดต่อเราเพื่อรับคำปรึกษาฟรี

ที่มา : พ.ร.บ. การรักษาความมั่นคงปลอดภัยทางไซเบอร์