ทำความเข้าใจ “AI คืออะไร” ในบริบทของโลกธุรกิจ

มีนาคม 18, 2025

ปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) กำลังเข้ามามีบทบาทสำคัญในโลกธุรกิจ ไม่ว่าจะเป็นการเพิ่มประสิทธิภาพการทำงาน การวิเคราะห์ข้อมูล หรือการสร้างประสบการณ์ที่ดีให้กับลูกค้า องค์กรต่าง ๆ กำลังปรับตัวเพื่อนำ AI มาใช้เพื่อเพิ่มขีดความสามารถในการแข่งขัน เนื้อหาที่ผมกำลังจะพูดถึงนี้จะช่วยให้เข้าใจว่า AI คืออะไร สามารถทำอะไรได้บ้าง และมีข้อจำกัดอะไรที่ต้องคำนึงถึงเมื่อใช้งานในธุรกิจ

AI คืออะไร?

AI หรือปัญญาประดิษฐ์ หมายถึง เทคโนโลยีที่พัฒนาขึ้น เพื่อให้คอมพิวเตอร์สามารถเลียนแบบความสามารถของมนุษย์ในการคิด วิเคราะห์ และตัดสินใจ AI ประกอบไปด้วยเทคโนโลยีหลายประเภท เช่น:

  • Machine Learning (ML): การเรียนรู้ของเครื่องที่ช่วยให้ระบบพัฒนาตัวเองได้จากข้อมูล
  • Deep Learning: เครือข่ายประสาทเทียมที่เลียนแบบสมองมนุษย์ ช่วยให้ AI สามารถประมวลผลข้อมูลที่ซับซ้อน
  • Natural Language Processing (NLP): ความสามารถของ AI ในการเข้าใจและสื่อสารด้วยภาษามนุษย์
  • Computer Vision: การประมวลผลภาพและวิดีโอเพื่อให้ AI สามารถเข้าใจข้อมูลในรูปแบบภาพ

ความเข้าใจ “Machine Learning & Deep Learning” กับการตัดสินใจของมนุษย์

Machine Learning ทำงานอย่างไร? Machine Learning (ML) เป็นเทคนิคที่ช่วยให้คอมพิวเตอร์สามารถเรียนรู้จากข้อมูลโดยไม่ต้องมีการเขียนโปรแกรมที่ชัดเจนล่วงหน้า ระบบ ML สามารถแบ่งออกเป็นประเภทหลัก ๆ ดังนี้

  • Supervised Learning: การเรียนรู้แบบมีผู้สอน โดยระบบจะเรียนรู้จากชุดข้อมูลที่มีป้ายกำกับ เช่น การทำนายราคาหุ้นจากข้อมูลเศรษฐกิจ
  • Unsupervised Learning: การเรียนรู้แบบไม่มีผู้สอน ซึ่งระบบจะค้นหารูปแบบและความสัมพันธ์ในข้อมูลโดยอัตโนมัติ เช่น การวิเคราะห์กลุ่มลูกค้า
  • Reinforcement Learning: การเรียนรู้แบบเสริมแรง โดย AI จะทำการทดลองและเรียนรู้จากผลลัพธ์ เช่น การพัฒนาหุ่นยนต์ให้เดินได้เอง

Deep Learning เป็นสาขาหนึ่งของ Machine Learning ที่ใช้โครงข่ายประสาทเทียม (Neural Networks) หลายชั้นในการประมวลผลข้อมูล ทำให้สามารถวิเคราะห์ข้อมูลที่ซับซ้อน เช่น การแปลภาษาอัตโนมัติและการรู้จำใบหน้า

AI ตัดสินใจแบบมนุษย์ได้หรือไม่?

แม้ว่า AI จะสามารถวิเคราะห์ข้อมูลและทำการตัดสินใจได้อย่างแม่นยำ แต่ยังมีข้อจำกัดหลายประการที่ทำให้ไม่สามารถตัดสินใจได้เหมือนมนุษย์อย่างสมบูรณ์ เช่น:

  • การขาดความเข้าใจเชิงบริบท: AI อาจวิเคราะห์ข้อมูลได้อย่างมีประสิทธิภาพ แต่ยังไม่สามารถเข้าใจบริบทที่ซับซ้อน เช่น ศีลธรรมและจริยธรรม
  • การขาดความคิดสร้างสรรค์: AI สามารถวิเคราะห์ข้อมูลจากรูปแบบที่เคยมีมา แต่ไม่สามารถสร้างสรรค์สิ่งใหม่ ๆ ได้เหมือนมนุษย์
  • อคติจากข้อมูล (Bias): หาก AI ได้รับข้อมูลที่มีอคติ ก็อาจนำไปสู่การตัดสินใจที่ไม่เป็นธรรม

AI ฉลาดกว่ามนุษย์จริงหรือ?

AI สามารถประมวลผลข้อมูลจำนวนมากได้อย่างรวดเร็วและแม่นยำกว่ามนุษย์ในบางด้าน เช่น การคำนวณทางคณิตศาสตร์หรือการวิเคราะห์ข้อมูล แต่ AI ยังขาดความสามารถในด้านสัญชาตญาณ ความคิดสร้างสรรค์ และการตัดสินใจที่อาศัยอารมณ์ความรู้สึก ซึ่งเป็นจุดเด่นของมนุษย์

AI ขาดอะไรที่มนุษย์มี?

  • สัญชาตญาณและประสบการณ์: AI ไม่สามารถเข้าใจความรู้สึกและประสบการณ์ชีวิตเหมือนมนุษย์
  • ความสามารถในการคิดเชิงวิพากษ์: AI สามารถวิเคราะห์ข้อมูลได้ แต่ยังขาดความสามารถในการตั้งคำถามและคิดเชิงนามธรรม
  • ความสามารถในการปรับตัวในสถานการณ์ที่ไม่แน่นอน: มนุษย์สามารถใช้วิจารณญาณและปรับตัวได้ดีกว่า AI ในสถานการณ์ที่ซับซ้อน

AI มีความสามารถทางศีลธรรมไหม?

AI ไม่มีจิตสำนึกหรือศีลธรรมของตัวเอง แต่สามารถถูกตั้งโปรแกรมให้ปฏิบัติตามหลักจริยธรรมบางประการ อย่างไรก็ตาม AI ไม่สามารถตัดสินใจเชิงศีลธรรมได้เหมือนมนุษย์ เพราะขาดอารมณ์ความรู้สึกและความเข้าใจทางสังคมอย่างแท้จริง

AI กับธุรกิจ: ศักยภาพและแนวทางการใช้งาน

การวิเคราะห์ข้อมูล (Big Data & Business Intelligence)

AI สามารถช่วยธุรกิจวิเคราะห์ข้อมูลขนาดใหญ่ คาดการณ์แนวโน้ม และช่วยให้ผู้บริหารตัดสินใจได้อย่างแม่นยำมากขึ้น

AI กับการตลาดและลูกค้าสัมพันธ์

  • Chatbots: ตอบคำถามลูกค้าแบบอัตโนมัติ ช่วยลดภาระงานของพนักงาน
  • Personalized Marketing: AI วิเคราะห์พฤติกรรมของลูกค้าและเสนอแคมเปญการตลาดเฉพาะบุคคล

AI กับการบริหารจัดการองค์กร

  • ระบบอัตโนมัติ (Automation) ลดเวลาการทำงานที่ซ้ำซ้อน เช่น การจัดการใบแจ้งหนี้ หรือการคัดเลือกพนักงาน
  • การบริหารทรัพยากรบุคคล (HR Management) ใช้ AI คัดเลือกพนักงานที่เหมาะสมกับตำแหน่งงาน

AI กับอุตสาหกรรมเฉพาะทาง

  • FinTech: AI วิเคราะห์ข้อมูลทางการเงิน คาดการณ์แนวโน้มตลาด และตรวจจับการทุจริต
  • Healthcare: AI ช่วยวิเคราะห์ภาพทางการแพทย์ คัดกรองโรค และพัฒนาแนวทางรักษา
  • Logistics: AI ช่วยวางแผนเส้นทางขนส่งและบริหารสินค้าคงคลังอย่างมีประสิทธิภาพ

กลยุทธ์การใช้ AI ให้เกิดประโยชน์สูงสุดในองค์กร

  • การวางกลยุทธ์ AI สำหรับองค์กร – วิธีนำ AI มาใช้ให้เหมาะสมกับเป้าหมายธุรกิจ
  • การผสาน AI กับวัฒนธรรมองค์กร – พนักงานจะต้องปรับตัวอย่างไรเมื่อ AI มีบทบาทมากขึ้น
  • การจัดการความเสี่ยงจากการใช้ AI – แนวทางลดความเสี่ยงจากข้อจำกัดของ AI
  • AI + มนุษย์ = ผลลัพธ์ที่ดีที่สุด – การใช้ AI ร่วมกับมนุษย์แทนที่จะทดแทน

เรียนรู้ “ข้อดีและข้อจำกัดของ AI”

แม้ว่า AI จะมีประโยชน์มากมาย แต่ก็ยังมีข้อจำกัดที่ต้องพิจารณา ได้แก่

ข้อจำกัดทางเทคนิค

  • AI ต้องการข้อมูลคุณภาพสูงเพื่อให้ทำงานได้อย่างแม่นยำ
  • ระบบ AI บางประเภทต้องใช้ทรัพยากรการประมวลผลสูง ทำให้มีค่าใช้จ่ายสูง

ข้อจำกัดทางจริยธรรมและกฎหมาย

  • ความเป็นส่วนตัวของข้อมูล: การใช้ AI ต้องคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคล เช่น GDPR
  • Bias และความไม่เป็นธรรม: AI อาจมีอคติจากข้อมูลที่ใช้ฝึก อาจส่งผลให้เกิดความไม่เป็นธรรม
  • กฎหมายและมาตรฐาน: หลายประเทศกำลังออกกฎหมายเพื่อควบคุมการใช้ AI ในธุรกิจ

ข้อจำกัดทางธุรกิจ

  • ค่าใช้จ่ายสูง: การพัฒนาและบำรุงรักษาระบบ AI ต้องใช้ทรัพยากรจำนวนมาก
  • การปรับใช้ AI ในองค์กร: องค์กรต้องมีความพร้อมทั้งด้านเทคโนโลยีและบุคลากร เพื่อให้ AI ทำงานได้อย่างมีประสิทธิภาพ

การพัฒนา AI ให้เป็นเครื่องมือแห่งอนาคตในโลกของธุรกิจ

อนาคตของ AI และบทบาทของมนุษย์

ในอนาคต AI จะมีบทบาทสำคัญมากขึ้นในทุกอุตสาหกรรม อย่างไรก็ตาม มนุษย์ยังคงมีบทบาทสำคัญในการกำกับดูแล AI เพื่อให้เกิดประโยชน์สูงสุด มนุษย์จะทำหน้าที่กำหนดกลยุทธ์ วางแนวทาง และตัดสินใจในเรื่องที่ต้องอาศัยวิจารณญาณและจริยธรรม

AI กับศีลธรรม และทางเลือกของธุรกิจ

AI ถูกพัฒนาให้มีความสามารถที่หลากหลาย แต่คำถามที่สำคัญคือ AI ควรได้รับอำนาจในการตัดสินใจมากแค่ไหน? ธุรกิจและสังคมต้องพิจารณาถึงขอบเขตของ AI ในการทำงานที่เกี่ยวข้องกับศีลธรรม เช่น การคัดเลือกพนักงาน หรือการตัดสินใจทางการแพทย์

การพัฒนาแนวทางการใช้ AI อย่างรับผิดชอบและมีจริยธรรม

เพื่อให้ AI เป็นประโยชน์และปลอดภัย ธุรกิจควรมีแนวทางที่ชัดเจนในการใช้ AI อย่างมีจริยธรรม เช่น

  • การออกแบบ AI ให้มีความโปร่งใสและสามารถตรวจสอบได้
  • การลดอคติในข้อมูลที่ใช้ฝึก AI
  • การพัฒนากฎระเบียบที่คุ้มครองความเป็นส่วนตัวของผู้ใช้

AI เป็นเครื่องมือที่ทรงพลังในการสนับสนุนธุรกิจ แต่การนำไปใช้ต้องพิจารณาทั้งข้อดีและข้อจำกัด เพื่อให้เกิดประโยชน์สูงสุดในโลกธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็ว

เส้นทางการเรียนรู้ AI เพื่อนำไปใช้กับธุรกิจยุคใหม่

  1. เข้าใจพื้นฐาน AI → AI ไม่ใช่หุ่นยนต์ แต่เป็นเครื่องมือที่มีประโยชน์
  2. ศึกษา Machine Learning & Deep Learning → เพื่อเข้าใจว่ามันคิดอย่างไร
  3. รู้ข้อจำกัดของ AI → เพื่อใช้มันอย่างฉลาดและไม่ลุ่มหลง
  4. ใช้ AI ให้เกิดประโยชน์สูงสุด → ในทางธุรกิจ
  5. มองไปข้างหน้าและใช้ AI อย่างมีจริยธรรม → เพื่อให้เกิดประโยชน์สูงสุดในอนาคต

เพื่อให้ AI เป็นเครื่องมือที่มีประโยชน์สูงสุด ธุรกิจจำเป็นต้องมอง AI เป็นพันธมิตร มากกว่าที่จะเป็นเพียงเครื่องมืออัตโนมัติ แนวทางการนำ AI ไปใช้ต้องคำนึงถึงความสมดุลระหว่างประสิทธิภาพ เทคโนโลยี และจริยธรรม การเรียนรู้และปรับตัวให้เข้ากับการเปลี่ยนแปลงเป็นสิ่งสำคัญ ขณะที่โลกธุรกิจมุ่งไปสู่อนาคต AI จะเป็นกุญแจสำคัญในการสร้างโอกาสใหม่ ๆ แต่สุดท้ายแล้ว มนุษย์ยังคงเป็นปัจจัยหลักในการกำหนดทิศทาง วางกลยุทธ์ และตัดสินใจเพื่อให้ AI สร้างคุณค่าอย่างแท้จริงในโลกธุรกิจ

Leave a Comment » | AI กับ GRC | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือปัญหา Y2K กับผู้สอบบัญชี หรือปัญหาของผู้สอบบัญชีกับปี ค.ศ. 2000?

กุมภาพันธ์ 12, 2025

Y2K กับผู้สอบบัญชี: บทเรียนจากอดีตและข้อคิดสำหรับอนาคต

ปัญหา Y2K เป็นหนึ่งในเหตุการณ์สำคัญที่ส่งผลกระทบต่อระบบเทคโนโลยีสารสนเทศและการดำเนินงานขององค์กรทั่วโลกในช่วงปลายศตวรรษที่ 20 ความท้าทายนี้ไม่ได้เป็นเพียงปัญหาทางเทคนิคของนักพัฒนาซอฟต์แวร์เท่านั้น แต่ยังส่งผลโดยตรงต่อวิชาชีพบัญชีและการสอบบัญชี ซึ่งต้องเผชิญกับคำถามสำคัญเกี่ยวกับความน่าเชื่อถือของข้อมูลทางการเงิน การประเมินความเสี่ยง และบทบาทของผู้สอบบัญชีในการสร้างความมั่นใจให้กับผู้มีส่วนได้เสีย

หนังสือ “Y2K กับผู้สอบบัญชี” ซึ่งเขียนขึ้นในช่วงเวลาที่ปัญหา Y2K กำลังเป็นประเด็นร้อน ได้นำเสนอแนวคิด ประสบการณ์ และมุมมองของผู้สอบบัญชีที่อยู่ท่ามกลางการเปลี่ยนแปลงครั้งสำคัญนี้ แม้ว่าเวลาจะผ่านไปกว่า 20 ปีแล้ว แต่บทเรียนจาก Y2K ยังคงมีคุณค่า โดยเฉพาะอย่างยิ่งในโลกที่พึ่งพาเทคโนโลยีมากขึ้นเรื่อย ๆ

เนื้อหาในหนังสือเล่มนี้ครอบคลุมทั้ง การวิเคราะห์ปัญหา Y2K, บทบาทของผู้สอบบัญชี, มาตรฐานการสอบบัญชีที่เกี่ยวข้อง, การเปิดเผยข้อมูลทางการเงิน และแนวปฏิบัติขององค์กรต่าง ๆ นอกจากนี้ ยังมีการตั้งคำถามสำคัญว่า ปัญหาในลักษณะเดียวกับ Y2K จะเกิดขึ้นอีกหรือไม่ในอนาคต และองค์กรควรเตรียมพร้อมอย่างไร

การนำหนังสือเล่มนี้มาเผยแพร่อีกครั้ง มีเป้าหมายเพื่อเป็นแหล่งข้อมูลให้แก่ผู้ที่สนใจเรื่อง การจัดการความเสี่ยงด้านเทคโนโลยี การกำกับดูแลด้านไอที และบทบาทของผู้สอบบัญชีในยุคดิจิทัล ไม่ว่าจะเป็นนักบัญชี ผู้ตรวจสอบภายใน ผู้บริหาร หรือผู้ที่ทำงานเกี่ยวข้องกับระบบสารสนเทศ หวังว่าข้อมูลจากอดีตจะช่วยให้เราเข้าใจปัญหาที่อาจเกิดขึ้นในอนาคตและสามารถเตรียมตัวรับมือได้อย่างมีประสิทธิภาพ

ปัญหา Y2K กับผู้สอบบัญชี หรือปัญหาของผู้สอบบัญชีกับปี ค.ศ. 2000?

บทนํา
ผมมีโอกาสได้ร่วมชี้แจงผู้สอบบัญชีรับอนุญาตในการประชุมระหว่างสมาคมธนาคารไทย กับผู้สอบบัญชีจากสํานักงานต่าง ๆ 2-3 ครั้ง หลังจากที่หน่วยงานกํากับดูแล และสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทยได้ออกหนังสือเวียน ลงวันที่ 23 มิถุนายน พ.ศ. 2541 ที่ ธปท.ง (ว) 2390/2541 เรื่อง “การเปิดเผยการดําเนินงานการแก้ไขปัญหาและการปรับปรุงระบบคอมพิวเตอร์ เพื่อความพร้อมสําหรับปี ค.ศ. 2000” และประกาศที่ 006/2540-2542 เรื่อง “แนวปฏิบัติทางการบัญชีและการสอบบัญชีเกี่ยวกับปัญหาปี ค.ศ. 2000 (Y2K)” ลงวันที่ 31 กรกฎาคม 2541 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย สรุปได้ดังนี้


ในการประชุมครั้งแรก ไม่มีผู้สอบบัญชีใดจากสํานักงานสอบบัญชีที่เข้าร่วมประชุมจะยอมรับการสอบบัญชีเกี่ยวกับปัญหาปี ค.ศ. 2000 (Y2K) ด้วยเหตุผลนานาประการ การประชุมครั้งต่อ ๆ มา ก็มีการยอมรับมากขึ้น และดูเหมือนว่าการประชุมครั้งสุดท้ายที่ประชุมร่วมระหว่างธนาคารพาณิชย์ โดยสมาคมธนาคารไทยกับตัวแทนของผู้สอบบัญชีสํานักงานต่าง ๆ รวมทั้งผู้แทนคณะกรรมการกํากับตลาดหลักทรัพย์แห่งประเทศไทย สํานักตรวจเงินแผ่นดิน ฯลฯ มีความเห็นสอดคล้องตรงกันว่า ผู้สอบบัญชีมีหน้าที่โดยตรงประการหนึ่งในการสอบบัญชีเกี่ยวกับปัญหาปี ค.ศ. 2000 (Y2K) ด้วย

อย่างไรก็ดี หลังจากนั้นก็มีผู้สอบบัญชีที่มีหุ้นส่วนกับผู้สอบบัญชีต่างประเทศบางสํานักงานไม่เห็นด้วยอีก ผมรู้สึกเป็นห่วงความเห็นที่แตกต่างกัน และในฐานะที่ผมเป็นผู้สอบบัญชีรับอนุญาตในปัจจุบันด้วยผู้หนึ่ง จึงขอออกความเห็นเป็นลายลักษณ์อักษรตามที่มีผู้สอบบัญชีบางท่านขอมา


ดังนั้น ข้อเขียนต่อไปนี้จึงเป็นความเห็นส่วนตัวของผู้เขียนเท่านั้น ไม่ผูกพันสถาบันที่ผู้เขียนสังกัดแต่อย่างใด

วัตถุประสงค์ในการเขียนเรื่องนี้ก็เพื่อตอบสนองความสับสนของการตรวจสอบเรื่องปี ค.ศ. 2000 กับผู้สอบบัญชีเป็นหลักการเขียนจึงใช้แนวเขียนแบบเรียบง่าย เพื่อให้ข้อคิดกับผู้สอบบัญชีเป็นสําคัญ โดยนํามาตรฐานการสอบบัญชีเฉพาะที่มีผลอย่างสําคัญเท่านั้นมาพิจารณาในการวิเคราะห์ปัญหา ปี ค.ศ. 2000 กับผู้สอบบัญชี เพราะความเห็นในเรื่องนี้มีนานาประการ แต่อย่างน้อยหน่วยงานที่เกี่ยวข้องในประเทศไทยก็มีแนวปฏิบัติในเรื่องนี้ในเวลาอันควรแล้ว

ในอนาคต…..ปัญหาเกี่ยวกับวันที่หรือปีจะเกิดปัญหาเช่นเดียวกับปี ค.ศ. 2000 อีกหรือไม่? และเมื่อใด?

ความเข้าใจในเรื่องนี้มีความสําคัญยิ่งต่อท่าน ต่อองค์กรของท่าน ต่อธุรกิจและต่อประเทศในภาพรวม

ไม่มีใครอยากให้เหตุการณ์แบบปี ค.ศ. 2000 เกิดขึ้นอีกเป็นแน่ แต่ก็ขึ้นกับ “ผู้บริหารกับการจัดการ” ที่แท้จริง ท่านทราบแล้วหรือยังครับว่า องค์กรของท่านได้ใช้เทคนิคอย่างไรในการแก้ไขปัญหาด้านโปรแกรมที่เกี่ยวกับ “ปี” หรือ “Date” ที่หมายถึงปีแล้วแต่จะเรียกกัน!

โปรดสังเกตนะครับว่าผมไม่ได้พูดถึง Hardware และ Operating System หรือ O/S เลย เพราะตั้งใจจะอนุมานว่า บริษัทผู้ผลิตทั้งหลายรู้ซึ้งแก่ใจถึงปัญหาและประสบการณ์ที่ได้รับในปี ค.ศ.2000 แล้ว และจะไม่ยอมให้เกิดข้อผิดพลาดอีกเป็นแน่

ครับ… การแก้ไขโปรแกรมระบบงานต่าง ๆ (Application program) จะเกิดปัญหาเกี่ยวกับ “Date หรือ “Year” อีกหรือไม่ ในแต่ละองค์กรจะขึ้นอยู่กับว่าองค์กรนั้น ๆ ได้แก้ไขปัญหาแบบ “เบ็ดเสร็จ” และ “แน่นอน” มิให้มีปัญหาเกิดขึ้นอีกโดยใช้เทคนิค “Date Expansion” หรือเพียงแก้ให้พ้นจากปัญหาไปสัก 25-40 ปี ข้างหน้า หรือ 100 ปี ข้างหน้า

เมื่อผมกล่าวมาถึงข้อนี้ ท่านที่คลุกคลีกับเทคนิคการแก้ไขปัญหาโปรแกรมคอมพิวเตอร์ ก็จะเข้าใจแล้วนะครับว่า…… หากใช้เทคนิคการแก้ไขแบบ “Fixed หรือ Slide Windowing” …ปัญหา เรื่อง “Date” หรือ “Year” ก็จะเกิดขึ้นให้รุ่นลูกหลานได้แก้ไขปัญหากันอีกจนได้….ค่อย ๆ คิดดูเถอะครับ….. ผมไม่อาจกล่าวรายละเอียดในช่วงนี้อีกเพราะเป็นการให้ข้อคิดเห็นในช่วงสอบทานตัวอักษรก่อนพิมพ์แล้ว…. ท่านผู้บริหาร ท่านผู้เชี่ยวชาญ ท่านผู้สอบบัญชีทุกประเภท หน่วยงานต่าง ๆ ที่ท่านดูแลและกํากับ หน่วยงานอื่น… อาจมีโอกาสได้ใช้ประสบการณ์ในการแก้ไขปัญหาปี ค.ศ. 2000 ครั้งแรกในโลกนี้ให้เป็นประโยชน์ได้ในอนาคต… ปัญหาสําคัญอยู่ที่ว่าเหตุการณ์นี้จะเกิดในเวลาที่ไม่ซ้ำกันเช่นครั้งนี้เท่านั้นล่ะครับ….

ข้อสําคัญก็คือ เหตุการณ์ที่เป็นปัญหาในคาบเวลาช่วง 100 ปีข้างหน้า จะไม่เป็นปัญหาของโลก หรือทุกประเทศอีกต่อไปแล้ว….. เพราะปัญหาจะเกิดเฉพาะบางองค์กร…บางประเทศ….ที่แก้ปัญหาไม่เด็ดขาด… ดังนั้นการช่วยกันเตือนให้รับรู้ปัญหา (Awareness) เช่น ปี ค.ศ. 2000 ก็อาจจะไม่มีอีกเช่นกัน

สิ่งเหล่านี้กลับน่าเป็นห่วงมากกว่าปี ค.ศ. 2000 เสียอีกครับ ผลกระทบจะมากน้อยเพียงใด ก็ขึ้นกับว่าองค์กรนั้น ๆ สําคัญต่อหน่วยงานอื่น ๆ และบุคคลอื่น ๆ ในวงกว้างเพียงใด เพราะเมื่อถึงเวลานั้น ก็เป็นปัญหาของรุ่นลูกหลานจริง ๆ แต่เราก็ยังช่วยกันได้โดยการเตือนภัยล่วงหน้าในวันนี้ไงล่ะครับ

สําคัญอยู่ที่ว่าใครจะจดจําและบันทึกสิ่งที่จะเป็นปัญหาระยะยาวนี้เอาไว้ในปัจจุบัน….. เพื่อแก้ปัญหาในอนาคตที่มีอายุตั้งแต่ 25 ถึง 100 ปีละครับ

ถ้ามีคําถามอีกว่าที่ผมกล่าวมานั้น ทําไมไม่แนะนําให้แก้ไขกันในตอนนี้เสียให้จบเรื่อง… ผมก็พูดได้เพียงว่าปี ค.ศ. 2000 ใกล้มามากจนเกินกว่าจะแก้ไขอะไรที่ได้ดําเนินการไปแล้วได้อีก ขอเพียงให้ ผู้บริหาร ผู้สอบบัญชี ได้คํานึงถึงและบันทึกเรื่องนี้และติดตามให้เป็นเรื่องจริงจังและต่อเนื่องเท่านั้นก็น่าพอใจครับ

ครับ…… จินตทัศน์…… การวิเคราะห์ปัญหาล่วงหน้าและหาทางแก้ไขให้ได้ก่อนเกิดปัญหาในลักษณะ… “ชี้ปัญหาให้ออก บอกปัญหาให้ถูก แก้ปัญหาให้ได้ ก่อนที่ปัญหาจะเกิดขึ้น” ยังเป็นวิธีที่มีประสิทธิภาพยิ่งในทุกองค์กรและสําหรับทุกเหตุการณ์ครับ….

สิ่งที่ผมได้กล่าวถึงข้างต้นยังไม่ปรากฏในเอกสารหรือคําเตือนใด ๆ ในปัจจุบัน แต่ปัญหาโปรแกรมคอมพิวเตอร์ของระบบงานต่าง ๆ ที่เกี่ยวกับ “Year” จะเกิดแน่นอนเช่นเดียวกับปัญหาปี ค.ศ.2000 (Y2K) ที่กําลังแก้ไขกันทุกวันนี้…

ขอสรุปเพียงว่า… เป็นหน้าที่ของผู้บริหารและผู้สอบบัญชีทุกประเภท หรือไม่ที่จะต้องตระหนัก และมีบทบาทในเรื่องนี้ต่อไปอีกยาวนาน…..

ผู้สอบบัญชีรับอนุญาตจะออกความเห็นของผลกระทบจากโปรแกรมระบบงาน (Application Program) ถึงปี 2001 เท่านั้นจะเป็นการพอเพียงหรือครับ !

***** สำหรับท่านที่สนใจ หนังสือ “ปัญหา Y2K กับผู้สอบบัญชี หรือปัญหาของผู้สอบบัญชีกับปี ค.ศ. 2000?” สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

ปัญหา Y2K กับผู้สอบบัญชีหรือ ปัญหาของผู้สอบบัญชีกับปี ค.ศ. 2000Download

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4

มกราคม 27, 2025

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4 ภาคคอมพิวเตอร์กับแผนฉุกเฉิน (และกรณีศึกษา)

เทคโนโลยีและระบบคอมพิวเตอร์มีบทบาทสำคัญต่อการดำเนินธุรกิจในปัจจุบัน การจัดการความเสี่ยงและการเตรียมพร้อมรับมือกับเหตุฉุกเฉินกลายเป็นหัวใจสำคัญขององค์กร โดยเฉพาะในสถาบันการเงินที่ความต่อเนื่องในการดำเนินงานมีความสำคัญสูงสุด หนังสือ การดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 4 นี้ มุ่งเน้นเรื่อง “คอมพิวเตอร์กับแผนฉุกเฉิน” ซึ่งครอบคลุมเนื้อหาตั้งแต่การวางแผนฉุกเฉิน (Contingency Plan) ไปจนถึงกรณีศึกษาที่สามารถประยุกต์ใช้ได้จริง

ด้วยการผสมผสานประสบการณ์จริงจากภาคสนามและแนวคิดเชิงวิเคราะห์ หนังสือเล่มนี้จึงเหมาะสำหรับทั้งผู้บริหาร ผู้พัฒนาระบบงาน และผู้ตรวจสอบทุกระดับ เพื่อสร้างความเข้าใจในหลักการบริหารความเสี่ยงที่ทันสมัย พร้อมแนวทางการป้องกันปัญหาที่อาจเกิดขึ้น ก่อนที่ปัญหาจะลุกลามจนส่งผลกระทบต่อองค์กร

นอกจากการอธิบายถึงแนวทางการวางแผนฉุกเฉิน เช่น Emergency Plan, Recovery Plan และการสร้างระบบสำรอง (Backup System) แล้ว หนังสือยังได้เน้นถึงความสำคัญของการตรวจสอบและควบคุมความเสี่ยงในระบบคอมพิวเตอร์ ซึ่งเป็นประเด็นที่มีผลกระทบโดยตรงต่อเสถียรภาพทางการเงินและความเชื่อมั่นขององค์กร

หนังสือเล่มนี้จึงไม่ใช่แค่คู่มือ แต่เป็นแหล่งข้อมูลที่สร้างความตระหนักรู้และเป็นแรงบันดาลใจให้กับผู้อ่านทุกคนที่เกี่ยวข้องกับการพัฒนาหรือการตรวจสอบระบบงานคอมพิวเตอร์ เพื่อร่วมกันสร้างมาตรฐานและความมั่นคงให้กับองค์กรในยุคที่เทคโนโลยีเป็นสิ่งขับเคลื่อนสำคัญ

คำนำ

  1. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ทั้ง 4 เล่มนี้จะสมบูรณ์ ไปไม่ได้ ถ้าไม่มีเรื่องแผนปฏิบัติงาน และปรับปรุงแก้ไขเมื่อเกิดเหตุฉุกเฉิน (Contingency Plan) เพราะการดําเนินงาน ขององค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่งสถาบันการเงินต่าง ๆ อาจหยุดชะงักการให้บริการได้ ถ้าไม่มี Contingency Plan ตามที่มีรายละเอียดในหนังสือเล่มนี้
    ตัวอย่างในเรื่องนี้มีมากครั้ง โดยเฉพาะที่เกิดในประเทศไทยของเราเอง แต่ส่วนใหญ่ไม่ได้เป็นข่าวใหญ่มากนัก ทั้ง ๆ ที่การหยุดชะงักการใช้บริการของสถาบันการเงิน มีลักษณะเสมือนหนึ่งสถาบันการเงินขาดสภาพคล่อง ซึ่งเป็นเรื่องที่สําคัญมาก ทั้ง ๆ ที่องค์กรมิได้มีปัญหานี้แต่อย่างใด เมื่อปลายเดือนพฤษภาคม 2540 ก็เกิดปัญหาเครื่องคอมพิวเตอร์ขององค์กรที่สําคัญแห่งหนึ่งที่กรุงเทพฯ เกิดขัดข้องและหยุดการดํานินการเกือบทั้งวัน ทั้ง ๆ ที่องค์กรนั้น มี second site back up ในระดับหนึ่งที่มีความสามารถในการ back up อย่างจํากัด ซึ่งก่อให้เกิดความเดือดร้อนและมีปัญหาตามมาหลายประการต่อประชาชนผู้ที่ต้องใช้บริการจากองค์กรนั้นจํานวนมาก
  2. มีถ้อยคําที่ท่านผู้อ่านควรทําความเข้าใจอยู่ 3 คําด้วยกันคือ แผนปฏิบัติงานและปรับปรุงแก้ไขเมื่อเกิดเหตุฉุกเฉิน (Contingency Plan) หมายถึง แผนงานที่จัดทําไว้เพื่อใช้เป็นแนวทางในการกําหนดมาตรการรักษาความ ปลอดภัย และป้องกันความเสียหายจากเหตุฉุกเฉิน หรือภัยพิบัติต่าง ๆ ที่อาจมีผลกระทบต่อการดําเนินงานและการให้บริการตามปกติขององค์กรที่ใช้คอมพิวเตอร์ รวมทั้งแผนปฏิบัติงานและปรับปรุงแก้ไข หรือกําหนดวิธีการอื่นใดที่จะทดแทนการหยุดทํางานของระบบงานคอมพิวเตอร์ เพื่อให้องค์กรที่ใช้คอมพิวเตอร์สามารถดําเนินการและให้บริการได้อย่างต่อเนื่องตามปกติ ซึ่งประกอบด้วยแผนย่อย ดังนี้
    2.1 แผนปฏิบัติงานเมื่อเกิดเหตุฉุกเฉิน (Emergency Plan)
    หมายถึง แผนการรักษาความปลอดภัยและขั้นตอนปฏิบัติงานเมื่อเกิดเหตุฉุกเฉินหรือภัยพิบัติต่าง ๆ เพื่อป้องกันความเสียหายที่อาจมีผลกระทบต่อการดําเนินงานและการให้บริการด้วยระบบงานคอมพิวเตอร์ตามปกติของสถาบันการเงินหรือองค์กรที่ใช้คอมพิวเตอร์
    2.2 แผนปรับปรุงแก้ไขระบบงานคอมพิวเตอร์ (Recovery and Disaster Plan)
    หมายถึง แผนปฏิบัติงานสําหรับใช้ดําเนินการแก้ไขระบบงานคอมพิวเตอร์ของสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์ที่ขัดข้องหรือเสียหายไม่สามารถใช้งานได้ ให้กลับสภาวะปกติในเวลาอันควร รวมทั้งกําหนดวิธีการอันที่ใช้ทดแทนการหยุดทํางานของระบบงานคอมพิวเตอร์
    2.3 ระบบคอมพิวเตอร์สํารอง (Back up)
    หมายถึง การจัด หรือจัดทําระบบสํารองของเครื่องคอมพิวเตอร์อุปกรณ์ประกอบระบบคอมพิวเตอร์ และระบบงานคอมพิวเตอร์ เพื่อใช้ทดแทนการทํางานเมื่อระบบคอมพิวเตอร์ที่ใช้งานตามปกติขัดข้องหรือเสียหายใช้การไม่ได้
  3. การรวบรวมและเรียบเรียงหนังสือทั้ง 4 เล่ม ใช้เวลาไม่น้อย ทั้ง ๆ ที่หนังสือดังกล่าวเกิดจากการรวบรวม เรื่องราวที่ผมได้แจกเป็นเอกสารประกอบการบรรยาย และจากการศึกษาให้กับสถาบันต่าง ๆ ในอดีต ตามที่กล่าวไว้แล้วในเล่มก่อน ๆ อย่างไรก็ดี การพิมพ์ใหม่ทําให้ต้องใช้เวลาตรวจทาน รวมทั้งเขียนเรื่องเพิ่มเติมโดยเฉพาะในเล่มที่ 3 ค่อนข้างมาก และเล่มที่ 4 ซึ่งเป็นเล่มที่ผมพิจารณาว่าน่าจะเป็นประโยชน์ต่อผู้ที่สนใจไม่ว่าจะเป็นผู้บริหาร ผู้พัฒนา ระบบงาน และผู้ตรวจสอบทุกประเภท เพราะส่วนใหญ่ในเรื่องที่เกี่ยวกับตัวอย่างจุดอ่อนในระบบงานด้านคอมพิวเตอร์ ไม่ได้เกิดจากการแปลหรือเรียบเรียงจากหนังสือต่างประเทศตามปกติเท่านั้น แต่ได้ผสมผสานแง่คิดหลาย ๆ ประการ ทั้งในภาคสนามและประสบการณ์ที่ผู้ที่เกี่ยวข้องสามารถประยุกต์ใช้เป็นแนวทางป้องกันจุดอ่อน รวมทั้งการทุจริตได้ล่วงหน้าก่อนปัญหาจะเกิดขึ้นจริง ดังที่เคยกล่าวแล้วว่า “Point to the problem before it points to us” นั่นคือ ผู้บริหารควรเข้าใจและรู้ถึงประเด็นปัญหาที่อาจเกิดขึ้นกับองค์กร แล้วหาทางแก้ไขก่อนที่ปัญหานั้นจะกลับมาทําความเสียหายให้องค์กรของตนเอง
  4. หนังสือเล่มแรก ๆ ที่ได้แจกจ่ายไปนั้นมีผู้สนใจหลายราย ได้อ่านแล้วโทรศัพท์มาสอบถาม และขอแลกเปลี่ยนทัศนะกับผมด้วย รวมทั้งขอให้ผมลงประวัติของตัวเองไว้ให้ผู้อ่านได้ทราบพื้นฐาน เพื่อจะได้ใช้ประโยชน์ใน
    การศึกษาและแลกเปลี่ยนข้อมูลที่น่าสนใจจากการปฏิบัติงานภาคสนาม ซึ่งผมก็ได้ทําตามคําแนะนําของท่านผู้อ่านแล้ว ดังปรากฏข้อมูลในตอนท้ายของเล่มนี้แล้ว
  5. หนังสือเรื่องนี้ทั้ง 4 เล่ม อาจสรุปให้ชัดเจนได้ไม่ง่ายนัก เพราะขึ้นกับว่าท่านอยู่ในฐานะอย่างไรในองค์กร กล่าวคือท่านเป็นผู้บริหาร หรือผู้พัฒนาระบบงานหรือผู้ตรวจสอบ และเป็นผู้ตรวจประเภทใด ดังนั้นพื้นฐานก็คงจะอยู่ กับตัวแปรดังกล่าวเป็นสําคัญ รวมทั้งมาตรฐานขององค์กรที่เกี่ยวข้องด้วย เพราะในทางปฏิบัติมีแนวการพิจารณาในเรื่องนี้แตกต่างกันมาก ในแต่ละองค์กรหรือแม้แต่องค์กรเดียวกัน ในแต่ละหน่วยงานที่เกี่ยวข้อง แต่สิ่งหนึ่งที่ควรจะเหมือนกันหรือคล้ายกันก็คือ ความรู้ ความตั้งใจจริง และความเข้าใจ ในแนวทางปฏิบัติของผู้บริหารในสภาวะแวดล้อมขององค์กรที่ใช้คอมพิวเตอร์ ที่ได้เปลี่ยนแปลงไปมากมาย จากการพัฒนาเทคโนโลยีที่ไม่หยุดยั้ง และมีผลกระทบต่อความเสี่ยง วิธี การควบคุม วิธีการตรวจสอบ และทักษะของผู้ตรวจสอบที่เกี่ยวข้องอยู่ตลอดเวลา และที่สําคัญที่สุดก็คือการที่คอมพิวเตอร์ มีผลกระทบต่อแนวทางการตรวจสอบ หลักฐานการตรวจสอบ ฯลฯ และความน่าเชื่อถือได้ของข้อมูลทางการเงิน ที่ใช้ในการตรวจสอบฐานะที่แท้จริงของสถาบันการเงิน ที่ผู้บริหารในองค์กรที่ใช้คอมพิวเตอร์ทุกแห่งควรให้ความสนใจ
  6. หนังสือชุดนี้เป็นส่วนหนึ่งของการดําเนินงานที่เป็นผลจากการวิเคราะห์จุดอ่อน จุดแข็ง โอกาสและอุปสรรค (SWOT) ของการปฏิบัติงานโดยธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ หนังสือทั้ง 4 เล่ม จึงเป็น Action Plan แผนหนึ่งจาก 19 แผนงานของสาขาภาคฯ ซึ่งเกิดจากการตั้งเป้าหมายที่จะพัฒนาความรู้ใน ด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ให้กับผู้ตรวจสอบของส่วนกํากับสถาบันการเงิน และธนาคาร
    พาณิชย์ รวมทั้งสถาบันการเงินอื่น ๆ ที่อยู่ภายใต้การดูแลของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือโดยรวม และพิจารณาเป็นส่วนหนึ่งของการเสวนาเชิงปฏิบัติการระหว่างหน่วยงานทั้ง 2 ด้วย
    การดําเนินการของธนาคารแห่งประเทศไทยดังกล่าว เป็นการป้องกันปัญหาล่วงหน้าที่อาจเกิดขึ้นกับสถาบันการเงิน ดังรายละเอียดปรากฏในหนังสือชุดนี้แล้ว
  7. จากการที่ผ่านมาผมมีโอกาสเป็นผู้แทนของไทยไปร่วมการประชุมที่องค์กรสหประชาชาติ (UN) ที่ New York ในปี 2532 เรื่อง Draft Model Law on International Credit Transfers ซึ่งเดิมใช้ชื่อว่า Model Rules on Electronic Funds Transfer การเปลี่ยนแปลงชื่อเรื่องดังกล่าวก็เพื่อให้ครอบคลุมร่างกฎหมายการโอนเงินทั้งทาง อิเล็กทรอนิกส์และการโอนเงินแบบธรรมดา (ถ้ามี) ได้ หนังสือเล่ม 4 นี้จึงมีภาคผนวกที่เกี่ยวข้องรวบรวมไว้ให้ท่านผู้อ่านได้อ่านในเรื่องนี้โดยสังเขป
  8. ในภาคผนวกของเล่มนี้ ได้เรียบเรียงความเห็นเกี่ยวกับการร่างแนวทางกฎหมายการโอนเงินทางอิเล็กทรอนิกส์ในช่วงที่ผมและคณะได้ศึกษากันมานานพอสมควร รวมทั้งความเป็นมาของการประชุมร่างกฎหมายดังกล่าว และการศึกษาการหักกลบลบหนี้ (Netting) ระหว่างประเทศ ที่น่าสนใจในยุคปัจจุบันอยู่ด้วย
  9. หนังสือเล่ม 4 นี้ ได้ทํากรณีศึกษาการตรวจสอบ Data Center (General Controls) และการตรวจสอบ “งาน” (Application Controls) เพียงบางกรณี พร้อมแนวคําตอบจากการจัดทํากรณีศึกษาภาคสนามให้ท่านผู้สนใจได้ทบทวนอีกครั้ง โดยเฉพาะอย่างยิ่งผู้ตรวจสอบด้านคอมพิวเตอร์ (IS Auditor) รวมทั้งผู้ตรวจสอบโดยทั่วไป
  10. ในที่สุดหนังสือชุดนี้ก็ได้จัดทํารวมแล้วเป็น 4 เล่ม เพราะเนื้อหามีเรื่องต่าง ๆ ที่อธิบายและบรรยายมีมากกว่าที่ประมาณการไว้มาก และอาจมีถึง 5 เล่ม หากผมมีเวลาพอ โดยเฉพาะตัวอย่างรวมทั้งกรณีสร้าง Test Data
    เพื่อวัดประสิทธิภาพและประสิทธิผลของการควบคุมภายใน และความน่าเชื่อถือของข้อมูลทางการเงิน ที่เป็นรายละเอียดในภาคปฏิบัติ การแยกเล่มเพิ่มเติมก็เพื่อให้การจัดพิมพ์หนังสือแต่ละเล่มมีความหนาและแยกเป็นเรื่องๆ ที่เหมาะสม หนังสือทั้ง 4 เล่ม ได้จัดทําขึ้นโดยมีวัตถุประสงค์เพื่อให้การศึกษาในวงจํากัดต่อผู้ตรวจสอบ ในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ และสถาบันการเงินอื่น ๆ เพื่อการศึกษา การพัฒนา การบริหารงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์หรือองค์กรที่ใช้คอมพิวเตอร์ ซึ่งจะช่วยให้สถาบันการเงินภายใต้การดูแลของธนาคารแห่งประเทศไทยมีความมั่นคงได้อีกทางหนึ่ง และจะเป็นการพัฒนาบุคคลากรที่เกี่ยวข้องเรื่องนี้ ให้ก้าวทันกับเทคโนโลยีทางคอมพิวเตอร์ที่มีผลกระทบต่อความเสี่ยงใหม่ ๆ ซึ่งต้องการการควบคุม รวมทั้งวิธีการตรวจสอบใหม่ ๆ ให้สอดคล้องกับวิธีการประมวลผลโดยใช้คอมพิวเตอร์ที่ทันสมัยเหล่านั้น
  11. มีความเป็นไปได้ที่ธนาคารแห่งประเทศไทยจะให้สถาบันการเงินที่ใช้คอมพิวเตอร์ รวมทั้งผู้สอบบัญชี (External auditor) และผู้สอบบัญชีภายใน (Internal auditor) ของสถาบันการเงินมีความรับผิดชอบในการเป็นผู้ดูแล การบริหารงาน และการตรวจสอบงานด้านคอมพิวเตอร์ แทนการตรวจสอบงานด้านนี้ของธนาคารแห่งประเทศไทยมากขึ้น
    โดยธนาคารแห่งประเทศไทยเองอาจต้องให้ความสําคัญทางด้านฐานะของความมั่นคง การบริหารตลอดจนการจัดการ ความเสี่ยงทางด้าน Liquidity Risk, Market Risk, Credit Risk, Legal Risk, Operational Risk Systemic Risk, Settlement Risk ฯลฯ นอกเหนือจากการตรวจสอบคุณภาพของสินทรัพย์ และการบริหารงานด้านอื่น ๆ ที่เป็นความเสี่ยงในรูปแบบใหม่ ๆ จากนวัตกรรมทางการเงินที่อาจปรากฏได้ทั้งในรูปแบบข้อมูลทางการเงินใน Balance Sheet และ Off-Balance Sheet มากขึ้น ดังนั้นหนังสือเล่มทั้ง 4 เล่มชุดนี้ จึงเป็นแนวทางที่ผู้ตรวจสอบจากธนาคารแห่งประเทศไทยและผู้ตรวจสอบที่เกี่ยวข้องกับสถาบันการเงิน อาจนําไปใช้ศึกษาได้ตามวัตถุประสงค์ของการจัดทําหนังสือชุดนี้ โดยธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
  12. ในปัจจุบันนี้ การบริหารความเสี่ยง (Risk Management) ในสถาบันการเงินมีความหลากหลาย การเข้าใจและวิเคราะห์ความเสี่ยง ตลอดจนการบริหารความเสี่ยงในรูปแบบต่าง ๆ จึงมีความสําคัญมาก ถึงแม้จะมีตราสารอนุพันธ์ ซึ่งเป็นเครื่องมือสําคัญของสถาบันการเงินต่าง ๆ ใช้ในการบริหารความเสี่ยงก็ตาม การลงทุนในสัญญาตราสารอนุพันธ์ก็มีปัญหาเช่นเดียวกับการลงทุนในตราสารการเงิน นั่นคือ ยังมีความเสี่ยงสูงที่ท้าทายผู้บริหารในสถาบันต่างๆ เป็นอย่างยิ่ง และความเข้าใจในเรื่องการบริหารความเสี่ยงในสถาบันต่าง ๆ ก็มีระดับความแตกต่าง กันมาก หน่วยงานที่ทําหน้าที่กํากับดูแลสถาบันการเงิน โดยเฉพาะผู้บริหารและผู้ตรวจสอบ ควรจะให้ความสนใจและพัฒนาความเข้าใจในวิธีการบริหารความเสี่ยงมากขึ้น ผู้ตรวจสอบทุกประเภทจะต้องเข้าใจถึง nature ของ “ความเสี่ยง” การควบคุมความเสี่ยง และวิธีการตรวจสอบที่วัดผลความเสี่ยงด้านต่าง ๆ (Risk Modelling) ได้อย่างเป็นรูปธรรม แล้วพิจารณาหามาตรการการกํากับและดูแลความเสี่ยงที่อาจเกิดขึ้นก่อนที่ความเสียหายจะติดตามมา
  13. การดําเนินงาน การบริหารงานและการตรวจสอบงานด้านคอมพิวเตอร์ก็เป็นอีกรูปแบบหนึ่งของงานที่มีความเสี่ยง ตามที่ผมได้กล่าวไว้แล้วในหนังสือชุดนี้ และเมื่อวันที่ 23 เมษายน 2540 ผมก็ได้รับข่าวสารทาง E-mail จาก Mr.David G. Rowley ซึ่งเป็นทั้งผู้ตรวจสอบและผู้บริหารอาวุโสทางด้าน IS examination จาก Federal Reserve Bank of Minneapolis, Minnesota ประเทศสหรัฐอเมริกา ขอให้จัดส่งแนวทางการจัดการและการบริหารการตรวจสอบ ตลอดจนการควบคุมของทางการ ทางด้านคอมพิวเตอร์ของประเทศไทยในปัจจุบันและในปี ค.ศ. 2000 หรือ IT 2000 ไปให้ทราบ เพื่อใช้ประกอบการบรรยายเรื่องนี้ในประเทศสหรัฐอเมริกาด้วย ในเดือนมิถุนายน 2540 เพราะ Mr.David ได้รับมอบหมายให้บรรยายให้กับผู้บริหารของ FFIEC ซึ่งประกอบไปด้วย FRB, FDIC และ OCC รวมทั้งสมาคม ผู้ตรวจสอบงานคอมพิวเตอร์ (ISACA) ภาคพื้นกรุงเทพฯ ก็จะจัดให้มีการอภิปรายในหัวข้อทํานองเดียวกันนี้ ในวันที่ 27 มิถุนายน 2540 ด้วย ทําให้ผมไม่แน่ใจว่าทางการในประเทศไทย ยังจะควรมีบทบาทในการควบคุม กํากับ ดูแล สถาบันการเงินทางด้านคอมพิวเตอร์มากน้อย หรือควรลดลงอย่างไร เพราะขณะที่ทางการของประเทศสหรัฐอเมริกา และประเทศที่พัฒนาแล้วยังให้ความสนใจในการดําเนินงานด้านคอมพิวเตอร์ของสถาบันการเงินต่าง ๆ แต่สําหรับธนาคารแห่งประเทศไทยอาจมีแนวโน้มที่จะสนใจทางด้านความเสี่ยงใหม่ ๆ ที่มีผลกระทบต่อเสถียรภาพของสถาบันการเงินอย่างอื่นที่มีความสําคัญมากกว่า อย่างไรก็ดี ผู้บริหารองค์กรที่ใช้คอมพิวเตอร์ทุกแห่งก็ควรให้ความสําคัญในเรื่องการควบคุมความเสี่ยง โดยการพัฒนา IS Audit ต่อไปอย่างไม่หยุดยั้ง
  14. จากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย จากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทยจากการที่ได้ใช้เวลาในการจัดทําหนังสือชุดนี้ ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ จังหวัดขอนแก่นเป็นเวลาประมาณ 2 ปี ก่อนที่ผมจะย้ายกลับไปทํางานที่สํานักงานใหญ่กรุงเทพ ในเดือนตุลาคม 2540 นี้ ผมใช้การทํางานนอกเวลาทํางานตามปกติเป็นส่วนมาก ส่วนใหญ่ในหนังสือชุดนี้ทั้ง 4 เล่ม เป็นการรวบรวมโดย เขียนเพิ่มเติมประมาณ 20% จากเอกสารประกอบการบรรยายเรื่อง IS Audit ของผม ในชื่อต่างกันให้กับองค์กร ต่าง ๆ ในอดีต ส่วนที่ได้เพิ่มเติมมาใหม่ ส่วนใหญ่เป็นเรื่องคอมพิวเตอร์กับการทุจริตและภาคผนวกต่าง ๆ และยังมี อีกบางเรื่องที่ผมหาไม่พบจึงไม่มีโอกาสนํามาเผยแพร่ได้
    ผมขออภัยในความผิดพลาดของตัวอักษร ทั้งภาษาไทยและภาษาอังกฤษ ที่ผมมักจะพบในภายหลัง จากการพิมพ์และเย็บเล่มเรียบร้อยแล้ว โดยเฉพาะเล่ม 1 ที่มีคําผิดพลาดในการพิมพ์มาก ซึ่งอาจจะเกิดจากการแก้ไขแล้วไม่ได้ save ข้อมูลหลังจากแก้ไขเสร็จ หรือผู้พิมพ์อาจหยิบแผ่น diskette สับสน ทําให้ผ่านขั้นตอนตรวจทานไปได้ เพราะได้พิสูจน์ตัวอักษรว่าถูกต้องแล้ว แต่เมื่อพิมพ์จริงและเย็บเล่มก็ปรากฏข้อผิดพลาดเดิม ๆ อยู่อีก ซึ่งเมื่อถึงขั้นตอนนี้ก็จะแก้ไขไม่ได้ดีเท่าที่ควร จึงขออภัยท่านผู้อ่านไว้ ณ ที่นี้อีกครั้ง และผมขอเน้นอีกครั้งว่า ความ พยายามทั้งหมดในการจัดทําหนังสือชุดนี้ก็เพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ในการกํากับและดูแลสถาบันการเงินอีกมุมหนึ่งเป็นสําคัญ
  15. สําหรับผู้ตรวจการธนาคารพาณิชย์ ส่วนกํากับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือรุ่นต่อ ๆ ไป ที่จะนําหนังสือชุดนี้ใช้ในการอบรมหรือพัฒนาผู้ตรวจสอบ โดยเฉพาะอย่างยิ่ง การอบรมการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งการตรวจสอบฐานะการเงิน ความมั่นคงและการดําเนินงานโดยทั่วไป ควรพิจารณาเรื่องที่เกี่ยวเนื่องและสัมพันธ์กันที่อาจปรากฏอยู่ในเล่มต่าง ๆ มาใช้ในคราวเดียวกันด้วย ทั้งนี้ เพราะหนังสือชุดนี้ ได้มีการทบทวนเรื่องที่เกี่ยวข้อง เพื่อให้ผู้ตรวจสอบได้ติดตามในรูปแบบที่ใช้การอธิบายที่แตกต่างกันออกไป แต่โดยรวมเรื่องเหล่านี้จะทําให้ผู้ตรวจสอบเข้าใจงานตรวจสอบทางด้าน IS Audit และ Financial Audit ได้ดีขึ้น
  16. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการ บรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในหน่วยวิชาการ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์เล่มนี้
    เมธา สุวรรณสาร ผู้อํานวยการ
    ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
    30 มิถุนายน 2540

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ภาคคอมพิวเตอร์กับแผนฉุกเฉิน (และกรณีศึกษา) สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4Download

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3

มกราคม 14, 2025

ในยุคที่เทคโนโลยีคอมพิวเตอร์เข้ามามีบทบาทสำคัญในการขับเคลื่อนธุรกิจและองค์กรทั่วโลก ระบบคอมพิวเตอร์ได้กลายเป็นหัวใจหลักของการดำเนินงานในสถาบันการเงิน อย่างไรก็ตาม ความก้าวหน้านี้ยังนำมาซึ่งความเสี่ยงและภัยคุกคามที่เพิ่มมากขึ้น ตั้งแต่การทุจริตในรูปแบบต่าง ๆ ไปจนถึงการโจมตีทางไซเบอร์ หนังสือ “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 3” นำเสนอเนื้อหาครอบคลุมตั้งแต่การวิเคราะห์ความเสี่ยง การควบคุมภายใน การป้องกันและจัดการกับอาชญากรรมทางคอมพิวเตอร์ ไปจนถึงการตรวจสอบเชิงเทคนิคด้วยคอมพิวเตอร์ หนังสือเล่มนี้ยังให้ตัวอย่างรูปแบบการทุจริตที่เกิดขึ้นจริง พร้อมกรณีศึกษาและแนวทางปฏิบัติที่สามารถนำไปใช้ได้ในองค์กร เพื่อให้ผู้อ่านเข้าใจถึงความสำคัญของการบริหารจัดการความเสี่ยงในยุคดิจิทัล และเสริมสร้างความมั่นคงให้กับระบบคอมพิวเตอร์ในองค์กรของตน

หนังสือการดำเนินงานและการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 3 ภาคคอมพิวเตอร์กับการทุจริต

คำนำ

  1. หนังสือชุด “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเดิมผมเคยประมาณไว้ว่าจะมี 3 เล่มด้วยกัน แต่เมื่อได้รวบรวมและเขียนเพิ่มเติมขึ้นมาใหม่ ก็พบว่ามีเรื่องที่เพิ่มเติมได้อีกหลายเรื่อง รวมทั้งการขยายและอธิบายความที่เคยเขียนในอดีตใหม่ ทําให้หนังสือชุดนี้จะมีอย่างน้อย 4 เล่ม โดยเฉพาะหนังสือเล่ม 3 นี้ มีเรื่องที่ได้เขียนเพิ่มเติมอีกจํานวนมาก เพราะมีความสําคัญที่น่าจะศึกษาโดยเฉพาะตัวอย่าง จุดอ่อนที่อาจจะเกิดการทุจริต รวมทั้งการทุจริตที่ได้เกิดขึ้นแล้ว
  2. จุดอ่อนของระบบงานในองค์กรที่ใช้คอมพิวเตอร์มีมากกว่าองค์กรที่ไม่ใช้คอมพิวเตอร์มาก ปัญหาการทุจริตส่วนใหญ่เกิดจากการจัดทําระบบงานที่ขาดความรอบคอบรัดกุม ไม่มีจุดควบคุมและไม่มีผู้ตรวจสอบที่มีประสิทธิภาพเพียงพอ และหรือขาดผู้บริหารที่สนใจด้านนี้
    ความเสียหายซึ่งเกิดขึ้นจากระบบงานมีจุดอ่อน อาจก่อให้เกิดความเสียหายให้กับองค์กรอย่างร้ายแรง และคาดไม่ถึง จนถึงขั้นไม่สามารถดําเนินการต่อไปได้ทีเดียว ทั้ง ๆ ที่องค์กรอาจไม่มีปัญหาด้านสภาพคล่อง ซึ่งเป็นเรื่องน่าพิจารณาเป็นอย่างยิ่ง สําหรับผู้บริหารที่ไม่ต้องการให้เกิดปัญหานี้กับองค์กรของตนเอง
  3. ธนาคารแห่งประเทศไทยมีหน้าที่กํากับและดูแลความมั่นคงของสถาบันการเงิน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับความมั่นคงและเสถียรภาพทางเศรษฐกิจโดยรวมของประเทศ ดังนั้นการป้องกันปัญหาก่อนที่ปัญหาจะเกิดขึ้นกับสถาบันการเงิน จึงเป็นทั้งหน้าที่และวิธีการที่กล่าวได้ว่าเหมาะสม โดยเฉพาะอย่างยิ่งการให้ความรู้คําแนะนํา
    ในวิธีป้องกันปัญหาล่วงหน้ามากกว่าการให้คําแนะนําให้แก้ไขเมื่อเกิดปัญหาแล้ว
  4. การหาทางปรับปรุงแก้ไขและพัฒนางานให้มีประสิทธิภาพอยู่เสมอ ทั้งของธนาคารแห่งประเทศไทย และองค์กรอื่น ๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งการพัฒนาคนให้มีความรู้เท่าทันเทคโนโลยีใหม่ ๆ จึงเป็นที่มาของการเขียน รวบรวมและเรียบเรียงหนังสือชุดนี้ของผม โดยมีเป้าหมายที่สําคัญคือเพื่อผลประโยชน์ในการปฏิบัติงานของธนาคารแห่งประเทศไทย และสถาบันการเงินที่ธนาคารแห่งประเทศไทยเป็นผู้ดูแล โดยให้การศึกษา ค้นคว้า วิจัยงานด้านคอมพิวเตอร์ ซึ่งมีบทบาทสําคัญยิ่งต่อการพัฒนาระบบการบริหารสถาบันการเงินของไทยในปัจจุบันและในอนาคต
    เอกสารชุดนี้ จึงจัดทําขึ้นเพื่อแจกจ่ายให้ผู้ตรวจสอบ ส่วนกํากับสถาบันการเงินของธนาคารแห่งประเทศไทยเป็นหลัก และสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้งนี้เป็นไปตามแผนงานหนึ่งในจํานวน 19 แผนงาน ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
  5. การที่ผมได้รับมอบหมายจากธนาคารแห่งประเทศไทยให้รับผิดชอบและมีหน้าที่ในการศึกษา ค้นคว้า พัฒนางานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit) ในช่วงเวลาที่ผ่านมานั้น ผมได้เสนอและแนะนําให้ธนาคาร พาณิชย์ รวมทั้งผู้ตรวจสอบภายนอกของธนาคารพาณิชย์ให้ปฏิบัติในหลายเรื่อง ตามที่ปรากฏในบทที่ว่าด้วยเรื่อง “บทบาทของธนาคารแห่งประเทศไทยกับคอมพิวเตอร์” และ “Role of the bank of Thailand in Banking Computerization” นั้น ทําให้ผมต้องวางมือจากการเป็นผู้สอบบัญชีรับอนุญาตในทุกองค์กร ตั้งแต่ปี พ.ศ. 2524 จนกระทั่งปัจจุบัน (มกราคม 2540) และเข้าใจว่าจะวางมือจากการดําเนินการเป็นผู้สอบบัญชีรับอนุญาตจนกว่าจะออกจากธนาคารแห่งประเทศไทย ทั้งนี้เพราะการออกกฎเกณฑ์บางอย่างกระทบต่อบทบาท ความรู้ ความสามารถ และการเป็นผู้มีคุณสมบัติในการเป็นผู้สอบบัญชีของธนาคารและสถาบันการเงินนั่นเอง ดังนั้นเพื่อความโปร่งใส……ในเรื่องนี้ ผมจึงต้องทําตัวเป็นกลางดังกล่าว
  6. หนังสือชุดนี้ไม่มีการจําหน่ายในทุกรูปแบบ เพราะจัดทําขึ้นเพื่อให้การศึกษา ค้นคว้า และวิจัยอย่างแท้จริง โดยหนังสือชุดนี้ได้มาจากการศึกษา แปลและเรียบเรียงจากหนังสือของต่างประเทศเป็นส่วนใหญ่ โดยมีผู้ร่วมงานของผมจํานวนหนึ่งเป็นผู้ช่วยเหลือในฐานะที่เป็นผู้ร่วมงาน โดยมีผมเป็นผู้รับผิดชอบในการศึกษาพัฒนาการตรวจ สอบด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (Audit and Control In a Computerized Environment) ตามที่ธนาคารแห่งประเทศไทยได้มอบหมายตั้งแต่แรก
    อย่างไรก็ดีหนังสือเล่ม 3 นี้ มีเรื่องใหม่ ๆ ที่ไม่เคยหยิบยกขึ้นมาบรรยายก่อนหน้านี้จํานวนมาก ที่ได้จัดทําขึ้นใหม่ เพื่อเป็นบทเรียนของผู้ตรวจสอบและสถาบันการเงิน โดยเฉพาะอย่างยิ่งตัวอย่างของจุดอ่อน และการทุจริตที่อาจเกิดขึ้นได้จริง ๆ ถ้าหากไม่มีการป้องกันให้เพียงพอ
  7. หนังสือเล่มนี้ได้เน้นถึงเรื่องคอมพิวเตอร์กับการทุจริต มิได้เป็นการชี้โพรงให้กระรอกแต่อย่างใดทั้งสิ้น แต่หากผู้บริหารงานมีความสนใจเรื่องนี้ และมีความเข้าใจเรื่องนี้น้อยกว่าผู้ต้องการทุจริตที่มีความสามารถ โดยมีความ เข้าใจในจุดอ่อนและมีโอกาสที่จะทุจริตได้แล้ว ผู้บริหารคงต้องทบทวนตนเองด้วยว่าองค์กรควรจะแก้ไขตรงจุดใด
  8. การนําคอมพิวเตอร์เข้ามาช่วยในการปฏิบัติงานและให้บริการแก่ลูกค้าประชาชนอย่างแพร่หลายในปัจจุบัน ซึ่งได้เพิ่มประสิทธิภาพแก่องค์กรเป็นอย่างมาก แต่ก็ได้มีการนําเทคโนโลยีเหล่านี้ไปใช้ในทางที่ไม่สุจริตไม่ใช่น้อย และนับวันจะทวีความซับซ้อนขึ้นทุกขณะ ทําให้องค์กรได้รับผลกระทบและความเสียหายมหาศาลภายในเวลาอันรวดเร็ว ซึ่งความเสียหายบางอย่างไม่สามารถวัดได้ด้วยมูลค่าทางการเงิน ดังตัวอย่างที่ได้เกิดขึ้นแล้วทั้งในและต่างประเทศเป็นจํานวนไม่น้อย แต่มักไม่ถูกเปิดเผยเพราะองค์กรเกรงว่าจะมีผลกระทบต่อชื่อเสียงและความน่าเชื่อถือของตน
    อย่างไรก็ดี ปัจจุบันกรมตํารวจได้ตระหนักถึงปัญหาดังกล่าว และเพื่อเป็นการเตรียมความพร้อมใน การแก้ไขปัญหาอาชญากรรมที่เกี่ยวข้องกับคอมพิวเตอร์และเทคโนโลยีชั้นสูงต่อไป กรมตํารวจจึงได้จัดการฝึกอบรมหลัก สูตร “สภาพปัญหาและแนวโน้มอาชญากรรมคอมพิวเตอร์” (Computer – Related Crime Issues and Trend) ขึ้นระหว่างวันที่ 24 – 29 พฤศจิกายน 2539 ณ โรงแรมแอมบาสซาเดอร์ซิตี้จอมเทียน อ.สัตหีบ จ.ชลบุรี ตาม โครงการความร่วมมือและแลกเปลี่ยนทางวิชาการ ระหว่างกรมตํารวจกับมหาวิทยาลัยมิชิแกนสเตท สหรัฐอเมริกา (Michigan State University School of Criminal Justice) โดยเชิญวิทยากรและผู้เชี่ยวชาญพิเศษมาบรรยาย อาทิ ศาสตราจารย์ที่สอนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ นักสืบตํารวจฟลอริด้า โคลัมบัส และสารวัตรสืบสวนตํารวจ นครบาลกรุงลอนดอน ที่สืบสวนเกี่ยวกับอาชญากรรมคอมพิวเตอร์ และอาชญากรรมข้ามชาติ ทั้งนี้ผู้เข้าร่วมสัมมนาส่วนใหญ่เป็นนายตํารวจชั้นผู้ใหญ่ที่เกี่ยวข้อง นอกจากนี้ยังมีผู้แทนส่วนราชการ เช่น ธนาคารแห่งประเทศไทย ศูนย์เทคโนโลยีอิเลกทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) กรมทรัพย์สินทางปัญญา และสํานักงานกฤษฎีกา เป็นต้น ที่ได้รับเชิญให้เข้าร่วมสัมมนาด้วย เพื่อประโยชน์ในการร่วมมือและประสานงานในการป้องกันและปราบปรามอาชญากรรมคอมพิวเตอร์ในประเทศไทยต่อไป
  9. จากการตื่นตัวของกรมตํารวจในแนวโน้มอาชญากรรมคอมพิวเตอร์โดยการจัดสัมมนาดังกล่าวนั้น นับว่าเป็นเรื่องที่ดีในการเตรียมพร้อมดังกล่าว อย่างไรก็ดี ผมได้มีโอกาสพูดคุยกับนายตํารวจชั้นผู้ใหญ่บางท่าน ก็ได้รับฟังความเห็นและความในใจว่า เรื่องอาชญากรรมคอมพิวเตอร์น่าสนใจมาก แต่น่าเสียดายที่ผู้ที่เกี่ยวข้องจํานวนไม่น้อยไม่มีพื้นฐานทางด้านการบริหารการดําเนินงาน การควบคุมภายใน และระบบงาน ตลอดจนไม่ค่อยเข้าใจถึงจุดอ่อน การวิเคราะห์จุดอ่อนและกระบวนการปฏิบัติงานด้านคอมพิวเตอร์ ที่เป็นพื้นฐานของการทําความเข้าใจเพื่อประโยชน์ต่อการสืบสวน สอบสวน ที่จะสาวไปถึงการทําอาชญากรรมด้านคอมพิวเตอร์ได้ดีเท่าที่ควร
    เรื่องนี้ผมมีความเห็นว่า ทางการน่าจะจัดให้มีการอบรมความรู้เกี่ยวกับคอมพิวเตอร์พื้นฐาน ตลอดจนการควบคุมภายใน การตรวจสอบที่ต้องรู้พื้นฐานของความเสี่ยง จุดอ่อนต่าง ๆ ด้านคอมพิวเตอร์ให้เพียงพอ มิฉะนั้นการสืบสวนสอบสวนอาชญากรรมทางด้านคอมพิวเตอร์ หรือเกี่ยวกับคอมพิวเตอร์จะทําได้ไม่สะดวกเลย
  10. ปัจจุบันมีหลายองค์กรได้จัดให้มีการอบรม หรือการสัมมนาคอมพิวเตอร์กับการทุจริตปีละหลาย ๆ ครั้ง และทุกครั้งมีผู้สนใจเข้าฟังกันเป็นจํานวนมากเสมอ แสดงถึงความตื่นตัวขององค์กรต่าง ๆ ต่อการป้องกันภัยจากคอมพิวเตอร์ที่เหมาะสมได้ประการหนึ่ง
  11. ตัวอย่างหลากหลายที่ท่านจะได้พบจากหนังสือเล่มนี้ ไม่อาจตรวจพบตามปกติได้เป็นส่วนใหญ่ ถ้าไม่
    มีการสร้างเป้าหมาย ขอบเขต กําหนดวิธีการตรวจสอบ ตลอดจนการใช้คอมพิวเตอร์เข้าช่วยตรวจสอบที่เหมาะสมในช่วงเวลาที่สมเหตุสมผล รวมทั้งการใช้บุคลากรที่มีความพร้อมในระดับหนึ่งได้ การศึกษาแนวทางการตรวจสอบด้านคอมพิวเตอร์ หรือการศึกษาแนวทางการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ รวมทั้งการใช้คําถามที่ผู้ตรวจสอบควรทราบอย่างเหมาะสม เช่น การตั้งคําถามว่า “What can go wrong” หรือการคาดคะเนข้อผิดพลาด หรือจุดอ่อน ที่มีนัยสัมพันธ์ที่อาจเกิดขึ้นในแต่ละกระบวนการปฏิบัติงาน ทั้งในแบบ Manual และในแบบ Automated ในส่วนที่เกี่ยวข้องทั้งเรื่อง “องค์กร” (Data Center) และเรื่อง “งาน” (Application) ซึ่งเกิดจากความเข้าใจที่ถ่องแท้ของผู้ตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์แล้ว จะช่วยให้พบจุดอ่อนที่คาดไม่ถึงได้มาก ซึ่งจะเป็นหนทางป้องกันปัญหาต่าง ๆ ได้ก่อนที่ความเสียหายจะเกิดขึ้น
  12. ผมได้เคยบรรยายเรื่อง “คอมพิวเตอร์กับการทุจริต” ให้กับองค์กรต่าง ๆ หลายครั้ง รวมทั้งสถาบันที่จัดให้มีการอบรมเรื่องนี้ โดยเฉพาะอย่างยิ่งได้เคยบรรยายร่วมกับ Mr. August Beguai ผู้แต่งหนังสือเรื่อง Cumputer Crime จากประเทศสหรัฐอเมริกา ทุกครั้งมีผู้สนใจรับฟังมากและเรื่องที่ผู้ฟังสนใจมากที่สุด คือ วิธีทุจริตและตัวอย่างเกี่ยวกับการทุจริตต่าง ๆ ที่ได้เกิดขึ้นจริงทั้งในประเทศและต่างประเทศ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่ผมดูแลสถาบันการเงินต่าง ๆ ทั้ง 19 จังหวัด ก็มีหลายจังหวัดที่ประสบปัญหาการทุจริตด้านคอมพิวเตอร์ แต่ส่วนใหญ่เป็นการทุจริตในลักษณะการใช้ “Off-line” โดยเปลี่ยนข้อมูลใน Report ต่าง ๆ เมื่อผู้บริหารนําไปใช้ตัดสินใจจึงเกิดความเสียหายขึ้น ซึ่งต่างกับการทุจริตที่กรุงเทพฯ ที่มักทุจริตโดยใช้วิธีการแบบ “On-line” โดยผู้ทุจริตอาศัยความเข้าใจในระบบงานและรู้จุดอ่อนเป็นสําคัญ
  13. การตรวจสอบด้านคอมพิวเตอร์ที่ได้ผล จึงเป็นการตรวจสอบ Before the fact นั่นคือการตรวจสอบ และให้คําแนะนําในเชิงป้องกันก่อนที่ปัญหาจะเกิดขึ้นจริง ๆ ให้ต้องทําการแก้ไข การตรวจสอบลักษณะนี้จะช่วยผู้บริหาร และช่วยให้องค์กรสามารถออกระเบียบ กฎเกณฑ์ต่าง ๆ มาใช้ได้อย่างเหมาะสม และลดการทุจริตได้มาก เพราะการ ทุจริตเกิดจากสาเหตุใหญ่ ๆ 3 ประการ คือ
    13.1 มีผู้ทุจริตหรือผู้ไม่หวังดีต่อองค์กร
    13.2 องค์กรมีจุดอ่อนในระบบงานและการควบคุมภายใน 13.3 ผู้ปฏิบัติงานที่มีความสามารถมีโอกาสที่จะทุจริตได้
    หากจะเพิ่มเหตุผลอีกข้อหนึ่งก็น่าจะไม่ผิด นั่นคือผู้บริหาร ผู้สอบบัญชีทั้ง External Auditor และ Internal Auditor ขาดประสบการณ์ทั้งด้านการบริหาร การตรวจสอบ และไม่อาจให้คําแนะนําในเชิงป้องกันปัญหาที่จะเกิดกับองค์กรได้ล่วงหน้าและมีประสิทธิภาพ ซึ่งส่วนใหญ่เกิดจากผู้ตรวจสอบไม่เข้าใจ “องค์กร” และ “งาน” ที่ตรวจสอบ รวมทั้งความเสี่ยงต่าง ๆ ที่เกี่ยวข้องอย่างเพียงพอ หรือมองข้ามจุดที่ควรมีการควบคุม นั่นก็คือกิจกรรมที่ก่อ ให้เกิดความเสี่ยงได้นั่นเอง
    ถ้าหากผู้บริหารระดับสูงได้เข้าใจ “กิจกรรม” ที่ก่อให้ “ความเสี่ยง” ในองค์กรที่ใช้คอมพิวเตอร์ จะช่วยป้องกันปัญหาจากการทุจริตได้มาก “ความเสี่ยง” ไม่ได้หมายความถึงการทุจริตเท่านั้น แต่มีความหมายอีกหลายอย่างตามที่ได้กล่าวในสองเล่มแรกมาแล้ว
    อย่างไรก็ดี ผู้ที่ทําการทุจริตทุกประเภท ถึงแม้จะประสบความสําเร็จในระยะแรก ๆ ซึ่งอาจซ่อนเร้นความผิดได้หลายปีก็ตาม แต่ในท้ายที่สุดแล้วองค์กรจะจับการทุจริตได้ในที่สุด ดังนั้นจึงขอให้ผู้ที่จะคิดทุจริตโปรดเลิก
    ความคิดและการกระทําดังกล่าวได้
  14. หากท่านผู้อ่านใคร่จะทบทวนแนวคิด ตลอดจนวิธีการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ซึ่งในความหมายนี้คลุมไปหมดทั้งเรื่อง Financial Audit และ Computer Audit หรือ IS Audit ซึ่งการตรวจสอบทั้ง 2 เรื่อง มีความสัมพันธ์กันอย่างใกล้ชิด เพราะการตรวจสอบ Financial Audit ก็คงต้องพิจารณา Computer Audit ด้วยในฐานะที่องค์กรยุคใหม่ได้นําคอมพิวเตอร์มาใช้ในการปฏิบัติงาน และการควบคุมภายในแล้วทั้งสิ้น ท่านอาจดูข้อสรุปในเล่มนี้ในบทที่เกี่ยวข้องกับการตรวจสอบการทุจริตได้
    นอกจากนี้ในเล่มที่ 4 ของหนังสือชุดนี้ ผมได้จัดทําบทกรณีศึกษาการตรวจสอบทั้งทางด้าน Data Center และ Application ที่น่าสนใจ โดยส่วนใหญ่ได้แนวความคิดและประสบการณ์จากการตรวจสอบด้านภาคปฏิบัติจริง ๆ กรณีศึกษาจะมีบทแนวคําตอบให้ผู้ตรวจสอบได้ติดตามศึกษาด้วย ทั้งนี้เป็นการทบทวนความเข้าใจของผู้ตรวจสอบได้ระดับหนึ่ง อย่างไรก็ดีกรณีศึกษาดังกล่าวจะมีประโยชน์มากยิ่งขึ้น ถ้าหากผู้ตรวจสอบจะพิจารณาหาแนวคําตอบก่อนที่จะได้ดูบทเฉลยที่เป็นแนวคําตอบจริง ๆ ต่อไป
  15. หนังสือชุดนี้ทั้ง 4 เล่ม มีเลขที่ของ ISBN อยู่ด้วย ทั้ง ๆ ที่มีการพิมพ์จํานวนน้อยมาก ทั้งนี้ก็เพื่อใช้ในการศึกษาตามที่เคยกล่าวแล้ว แต่การมีเลขที่ ISBN ด้วยก็เพื่อให้ใช้เป็นที่อ้างอิงสําหรับผู้อ่าน เมื่อหนังสือนี้ อยู่ในห้องสมุดของธนาคารแห่งประเทศไทย ที่มีระบบการอ้างอิงเอกสารที่ทันสมัยแล้วเท่านั้น
  16. การจัดทําหนังสือชุดนี้ ผมคาดการณ์ผิดหลายประการ นั่นคือ ผมใช้เวลามากกว่าที่คาดไว้แต่เดิมมากมาย จากการจัดทําข้อมูลเพิ่มเติมโดยเฉพาะเล่ม 3 และเล่ม 4 และต้องพิสูจน์ตัวอักษรในบางส่วน พร้อมทําความเข้าใจกับเพื่อนร่วมงานที่ทําหน้าที่พิสูจน์ตัวอักษรไปพร้อมกับอธิบายเรื่องที่เกี่ยวข้อง เพราะมีความสับสนในการพิมพ์ด้วย
    อย่างไรก็ดีเวลาส่วนใหญ่หรือแทบทั้งหมดนี้ผมได้ใช้เวลานอกทําการตามปกติของธนาคาร
    ผมบังเอิญได้ไปอ่านศัพท์คอมพิวเตอร์ในห้องสมุดของสาขาภาคฯ ในช่วงเพียงวันหนึ่งได้พบกับศัพท์ที่น่าสนใจมาก และมีความหมายตลอดจนความสําคัญอย่างยิ่งต่อท่านผู้อ่านหรือท่านผู้ตรวจสอบ โดยเฉพาะผู้ที่จะเป็น EDP Auditor หรือ IS Auditor หรือ IS Examiner ก็ตามนั่นคือการแปลคําศัพท์ของคําว่า “Computer audit จากพจนานุกรมศัพท์คอมพิวเตอร์หลายเล่มได้ให้ความหมายต่างกันเช่น :-
    บางเล่มแปลคํานี้ว่า “การตรวจสอบบัญชีด้วยคอมพิวเตอร์” บางเล่มแปลคํานี้ว่า “การตรวจสอบระบบคอมพิวเตอร์” บางเล่มไม่ได้ให้ความหมายของคํา ๆ นี้ไว้
    ผมรู้สึกหนักใจแทนท่านผู้อ่าน และท่านผู้ตรวจสอบที่กําลังทําความเข้าใจในเรื่องการตรวจสอบ Computer Audit หรือ IT, IS Audit เพราะคําว่า Computer Audit นี้ความหมายที่น่าจะถูกต้องและฟังเข้าใจได้ดีกว่า การตรวจสอบด้านคอมพิวเตอร์ ซึ่งแบ่งการตรวจสอบออกเป็น 2 ส่วนใหญ่ ๆ ได้แก่
    ก) การตรวจสอบการบริหารองค์กรทางการด้านคอมพิวเตอร์หรือศูนย์คอมพิวเตอร์ (Data center) ซึ่งเป็นการตรวจสอบ General Controls กับ
    ข) การตรวจสอบ “งาน” หรือ Application audit ซึ่งเป็นการตรวจสอบงานแต่ละประเภทแต่ละหน่วยงานขององค์กร เช่น งานด้านเงินฝาก ส่วนงานด้านเงินกู้ งานด้านสินค้าคงคลัง การซื้อ การขาย ฯลฯ ซึ่ง จะเน้นการตรวจทางด้าน Input, Processing และ Output ของแต่ละงาน (Application) ที่เกี่ยวข้องกับงานการตรวจสอบทั้ง 2 ด้าน ซึ่งเป็นเรื่อง Computer Audit นี้ เป็นงานใหม่เพิ่มเติมจากการตรวจสอบตามปกติ ซึ่งในระบบบัญชีที่ทําด้วย Manual แบบดั้งเดิมไม่มี
    ดังนั้นการแปลคําว่า Computer Audit ตามพจนานุกรมศัพท์คอมพิวเตอร์บางเล่มว่าเป็นการตรวจสอบบัญชีด้วยคอมพิวเตอร์ น่าจะมีความหมายเพียงการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ หรือเป็น Computer Assisted Audit Technique อย่างหนึ่ง มากกว่าเป็นการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) จริง ๆ แล้ว ในขณะนี้บางเล่มแปลว่าการตรวจสอบระบบคอมพิวเตอร์ ซึ่งการแปลเช่นนี้มีความหมายที่ใกล้เคียงกับความหมายที่ผมคิดว่าน่าจะถูกต้องคือ “การตรวจสอบด้านคอมพิวเตอร์” แต่คําว่าการตรวจสอบระบบคอมพิวเตอร์ อาจทําให้ผู้อ่านเข้าใจผิดว่า เป็นการตรวจสอบทางด้าน System ของคอมพิวเตอร์ หรือเป็นแต่เพียงการตรวจสอบระบบงานใดระบบงานหนึ่ง หรือหลายระบบที่ใช้คอมพิวเตอร์ในการประมวลงาน ซึ่งตรงกับคําภาษาอังกฤษว่า “Application Audit” โดยเป็นส่วนหนึ่งของการตรวจสอบทางด้าน Computer Audit ตามที่กล่าวแล้วเท่านั้น หรืออาจมีผู้อ่านบางท่านเข้าใจไขว้เขวไปได้ว่า “เป็นการตรวจสอบระบบคอมพิวเตอร์” ตามคําแปลล้วน ๆ เพียงอย่างเดียวก็ได้ และเข้าใจเช่นนี้ จะคลาดเคลื่อนจากความหมายของคําว่า Computer Audit ตามที่ผมกล่าวในตอนแรก ๆ แล้วว่า การตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) หรือ IS Audit เป็นการตรวจสอบในลักษณะ Total System Approach นั่นคือการตรวจสอบ การบริหารงานและการประมวลงาน ตั้งแต่การพัฒนาระบบงานการนําข้อมูลเข้า การประมวลผล จนกระทั่งได้ข้อมูลผลลัพธ์ ทั้งในส่วนที่เป็น Manual ส่วนที่เป็น Automated และส่วนผสมของทั้ง 2 แบบ รวมทั้งการใช้ผลลัพธ์จากการประมวลผล ตลอดจนถึงการจัดทําเอกสารประกอบระบบงาน ส่วนกระบวนการตรวจสอบ เทคนิคการตรวจสอบ หลักฐานการตรวจสอบ การจัดดูรายงานจะขึ้นอยู่กับเป้าหมายและขอบเขตการตรวจสอบเป็นสําคัญ ดังนั้นขอได้โปรดศึกษาและทบทวนความหมายและวัตถุประสงค์ในการตรวจสอบ IS Audit ให้ถ่องแท้ก่อนด้วย หวังว่าคําอธิบายในข้อนี้จะช่วยทําความเข้าใจในเรื่องการตรวจสอบด้านคอมพิวเตอร์ (Computer Audit) ได้บ้างส่วนพอสมควร เพราะหากท่านผู้อ่านเกิดความเข้าใจที่คลาดเคลื่อนแล้ว การศึกษาการบริหารงาน และการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์จะเกิดความสับสนเป็นอย่างยิ่ง ดังนั้น จึงควรทราบว่า การใช้ภาษาไทยในเรื่องของการตรวจสอบด้านคอมพิวเตอร์ มีคําศัพท์ที่ใช้คล้าย ๆ กันหลายคํา แต่มีความหมายแตกต่างกันอย่างมีนัยสําคัญมาก สําหรับคําว่า “การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ก็มีความหมายหลัก ๆ ได้ 2 อย่างคือ การตรวจสอบด้าน IS Audit และ/หรือ Financial Audit ซึ่งขึ้นอยู่กับวัตถุประสงค์ของการตรวจสอบ อย่างไรก็ดี หากเป็นการตรวจสอบ Financial audit ก็หนีไม่พ้นต้องทําการตรวจสอบทางด้าน IS Audit ซึ่งอยู่ในกระบวนการต้น ๆ ของการตรวจสอบ นั่นคือ การศึกษาและทําความเข้าใจในระบบงานขององค์กรที่ตรวจสอบก่อนเสมอ (โปรดดูหน้า 30)
  17. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตในหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้ง สําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทยสาขาภาคตะวันออกเฉียงเหนือในปัจจุบัน ที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

เมธา สุวรรณสาร
ผู้อํานวยการธนาคารแห่งประเทศ สาขาภาคตะวันออกเฉียงเหนือ
30 มกราคม 2540

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” ภาคคอมพิวเตอร์กับการทุจริต สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 4” ซึ่งเป็นเล่มสุดท้ายในชุดหนังสือการดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ จะเป็นภาคคอมพิวเตอร์กับแผนฉุกเฉิน ผมจะเผยแพร่ในโพสต์ต่อไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3Download

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2

ธันวาคม 3, 2024

จากการที่ผมได้เผยแพร่หนังสือการดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ ไปเมื่อครั้งก่อน ซึ่งมีรายละเอียดค่อนข้างมากพอสมควร และได้เผยแพร่ไปเป็นเล่มแรกแล้วนั้น ในครั้งนี้ผมขอเผยแพร่ต่อในเล่มที่ 2 โดยในเล่มนี้เป็นภาคของการตรวจสอบ ที่จะเน้นเรื่องของการตรวจสอบ ไม่ว่าจะเป็นเทคโนโลยีกับการควบคุมและตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ แผนการตรวจสอบ การตรวจสอบภาคสนาม ทั้งจากการตรวจสอบระบบงานที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ รวมถึงประสบการณ์จากการตรวจสอบ การตรวจสอบภายใน การประเมินการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนการใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ ดังที่จะได้เผยแพร่ต่อไปนี้

การดำเนินงาน และการตรวจสอบทางด้านคอมพิวเตอร์ เล่ม 2 ภาคการตรวจสอบ

คำนำ

  1. การจัดทําหนังสือชุดเรื่อง การดําเนินงานและการตรวจสอบสถาบันการเงินด้วยคอมพิวเตอร์ทั้ง 4 เล่ม ครั้งนี้ ผมใคร่ขอเรียนวัตถุประสงค์หลัก ซึ่งเป็นสาระสําคัญของการจัดทําหนังสือชุดนี้ คือ
    1.1. เพื่อให้การศึกษา ค้นคว้า วิจัย งานด้านคอมพิวเตอร์ โดยไม่มีวัตถุประสงค์ในทางการค้า ทั้งในปัจจุบันและในอนาคตแก่ผู้ตรวจสอบในส่วนกํากับสถาบันการเงิน ที่ทําหน้าที่ตรวจสอบ ดูแล ความมั่นคง ของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ และจะใช้ภายในวงการที่ธนาคารแห่งประเทศไทย มีส่วนเกี่ยวข้องเป็นสําคัญ โดยพิจารณาเป็นส่วนหนึ่งของการให้การศึกษา อบรม ทําความเข้าใจกับหน่วยงานที่ธนาคารแห่งประเทศไทยเป็นผู้กํากับและดูแล
    1.2. หนังสือทั้ง 4 เล่มในชุดนี้ เป็นการแนะนํางานที่ได้ศึกษารวบรวมเรียบเรียง รวมทั้ง ดัดแปลงจากเอกสารต่างประเทศ และเขียนเพิ่มเติมจากประสบการณ์ภาคสนามรวม ๆ กันไป จากเอกสารเดิมที่เคยใช้ในการบรรยายให้ความรู้ต่อสถาบันการเงินและมหาวิทยาลัยต่าง ๆ ที่ผ่านมา ทั้งนี้ได้อ้างถึงที่มาของหนังสือที่ได้ค้นคว้าตามท้ายหนังสือแล้ว เพื่อให้ผู้ที่ใช้งานในวงจํากัดเหล่านี้ ได้ทราบถึงที่มาในการใช้หนังสือชุดนี้เพื่อการศึกษา โดยมีข้อผิดตกยกเว้น ดังกล่าว
    1.3. เพื่อให้การทํางานของส่วนกํากับฯ ได้ผลยิ่งขึ้น จึงได้มีการพูดคุยและให้คําแนะนํา การปฏิบัติงาน รวมทั้งการตรวจสอบในที่ประชุมธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ ในภาคอีสาน เช่นเดียวกับที่ผมได้เป็นผู้บรรยายให้แก่สถาบันเหล่านี้ในกรุงเทพฯ และที่อื่น ๆ หนังสือชุดดังกล่าว จึงได้ส่งให้สถาบันการเงินที่ธนาคารแห่งประเทศไทย ภาคตะวันออกเฉียงเหนือดูแล โดยมีวัตถุประสงค์เช่นเดียวกันคือ ให้การศึกษา ค้นคว้า วิจัย โดยถือเสมือนหนึ่งเป็นการป้องกันปัญหา และให้คําชี้นําในการให้การศึกษาเป็นการล่วงหน้าต่อสถาบันการเงินดังกล่าว ตามหน้าที่เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงาน โดยมีเอกสารไว้ใช้ศึกษาดูเมื่อต้องการ ซึ่งจะมีผลต่อความมั่นคงของสถาบันการเงิน ซึ่งเป็นหน้าที่หลักอย่างหนึ่งของธนาคารแห่งประเทศไทยเป็นสําคัญ
    1.4. หนังสือในชุดนี้ทั้งหมด จัดทําขึ้นเพื่อใช้ประโยชน์ในการปฏิบัติงาน และการดําเนินการของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ โดยมิได้เผยแพร่หรือโฆษณาต่อสาธารณชนเป็นการทั่วไป และมิได้มีการจําหน่ายใด ๆ ทั้งสิ้น และใคร่ขอย้ำว่าเป็นการจัดทําเพื่อประโยชน์ในการศึกษา งานค้นคว้า การปฏิบัติงานและการตรวจสอบด้านคอมพิวเตอร์ทุกรูปแบบ ตามภาระและหน้าที่ส่วนหนึ่งในความรับผิดชอบที่ผมปฏิบัติหน้าที่อยู่ทั้งในอดีตและปัจจุบัน
    ดังนั้น การนําข้อความหรือบทความในหนังสือชุดนี้ เพื่อจะทําซ้ำหรือดัดแปลงเพื่อประโยชน์ทางการค้า จึงเป็นสิ่งที่ไม่พึงปฏิบัติ เพราะผิดวัตถุประสงค์ที่สําคัญของการจัดทําหนังสือชุดนี้เป็นอย่างยิ่ง
    1.5. การทําความเข้าใจกับท่านผู้อ่าน และผู้ที่อาจเกี่ยวข้องในหัวข้อนี้ ก็เพื่อสร้างความเข้าใจในการจัดทําหนังสือชุดนี้เป็นสําคัญ ทั้งนี้เป็นการป้องกันปัญหาที่อาจจะเกิดจากความเข้าใจที่ไม่ตรงกัน ในการปฏิบัติหน้าที่ของแต่ละหน่วยงานได้
  2. หนังสือเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ เป็นเล่มที่จะเน้นทําความเข้าใจ และให้รายละเอียดกับผู้ที่สนใจในการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก ทั้งนี้ มีแนวทางทําความเข้าใจง่าย ๆ โดยเริ่มต้นศึกษาจากวงจรทางเทคโนโลยีกับการควบคุมและตรวจสอบ และการดําเนินงานด้านคอมพิวเตอร์ ซึ่งมีรายละเอียดปรากฏอยู่ในเล่ม 1 และได้สรุปเพิ่มเติมในเล่ม 2 โดยเฉพาะอย่างยิ่ง การวางแผนการตรวจสอบ แผนภาพ และข้อควรทราบสําหรับผู้ตรวจสอบโดยทั่วไปก่อนการเข้าตรวจสอบองค์กรที่ใช้คอมพิวเตอร์
  3. การตรวจสอบภาคสนาม (field work) สําหรับผู้ตรวจสอบที่ยังไม่เข้าใจระบบงานที่แท้จริงนั้น จะเริ่มจากการศึกษาและทําความเข้าใจระบบงานขององค์กรโดยภาพรวมก่อน นั่นคือการทําความเข้าใจทั้งในระบบงานในส่วนที่ใช้คอมพิวเตอร์ และในส่วนที่ไม่ใช้คอมพิวเตอร์ แล้วจึงทําการประเมินระบบการควบคุมภายใน การตรวจสอบระบบการควบคุม การประเมินผลกระทบของข้อบกพร่องในการควบคุม ตลอดจนหาทางใช้ Audit Tools และเทคนิคการตรวจสอบต่าง ๆ
  4. ตั้งแต่บทที่ 16 ถึงบทที่ 26 เหมาะสําหรับการตรวจสอบภายใน (Internal Audit) และผู้ตรวจสอบภายนอกที่ไม่ได้เป็น examiner เพราะได้เน้นการตรวจสอบ “งาน” หรือ Application มากกว่า “องค์กร” อย่างไรก็ดี ผู้ตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ (EDP examiner) จากธนาคารแห่งประเทศไทย ก็สามารถนําไปประยุกต์ใช้ร่วมกับวิธีการ และแนวทางการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ได้
  5. มีองค์กรที่เกี่ยวข้องกับการตรวจสอบ และมีหนังสือที่เกี่ยวข้องกับการตรวจสอบด้านคอมพิวเตอร์มากมาย ตลอดจนนิตยสารและวารสารการตรวจสอบด้านคอมพิวเตอร์ ที่ออกกันมาเป็นรายเดือนหรือรายไตรมาส ติดต่อกันมาเป็นเวลาหลายปีในหลายประเทศทั่วโลก เมื่อกล่าวถึงองค์กรอย่างเช่น Information Systems Audit and Control Association ที่มีสมาชิกมากกว่า 93 ประเทศทั่วโลก ทําหน้าที่ศึกษา ค้นคว้า ให้การอบรม จัดสัมมนา จัดการประชุมงานตรวจสอบด้านคอมพิวเตอร์ (IT หรือ IS Audit ) กับสมาชิกและออกวารสาร IS Audit and Control เป็นประจํา มีสํานักงานใหญ่อยู่ที่ประเทศสหรัฐอเมริกา ประเทศไทยเราก็เป็นสมาชิกอยู่ในสมาคมผู้ตรวจสอบงานคอมพิวเตอร์นี้ด้วย นอกจากนั้นก็มีสถาบันต่าง ๆ หลายแห่งที่มีสมาชิกจํานวนมาก ทําหน้าที่คล้าย ๆ กันนี้ แต่เน้นหนักทางด้านการค้นคว้าการตรวจสอบด้านคอมพิวเตอร์และผลิตหนังสือต่าง ๆ ออกมามากมาย ดังนั้น หากองค์กรของท่านเป็นองค์กรหนึ่งที่มีหน้าที่ในการตรวจสอบ ไม่ว่าจะเป็นการตรวจสอบภายในองค์กรของท่านเอง หรือทําหน้าที่ตรวจสอบองค์กรอื่นที่ใช้คอมพิวเตอร์ในการ Process งานและการบริหารงาน โดยที่ผู้ตรวจสอบที่ท่านดูแล ยังมิได้ทําการตรวจสอบในลักษณะ IS Audit หรือ Computer Audit เป็นส่วนหนึ่งของ กระบวนการตรวจสอบตามปกติแล้วละก็ ควรจะพิจารณาได้ว่า น่าจะต้องเพิ่มการดําเนินการตรวจสอบในลักษณะ IS Audit ได้แล้ว ทั้งนี้ขอท่านได้โปรดทบทวนและศึกษาจากมาตรฐานการสอบบัญชี ฉบับที่ 28 ฉบับที่ 29 และ ฉบับที่ 36 ของสมาคมนักบัญชีและผู้สอบบัญชีรับอนุญาตแห่งประเทศไทย เรื่องการสอบบัญชีในกรณีธุรกิจที่ใช้ คอมพิวเตอร์ (เล่ม 1) ก็จะเป็นประโยชน์ในการพิจารณาของท่านเป็นอย่างยิ่ง
  6. จากข้อ 5. ข้างต้น ผมเองได้ยินเสียงวิจารณ์หรือเสียงบ่น จากการปฏิบัติงานการตรวจสอบของผู้ปฏิบัติงานภาคสนาม หรือผู้ลงมือตรวจสอบในองค์กรที่ใช้คอมพิวเตอร์จริง ๆ จากผู้คุ้นเคยมากรายว่า การตรวจสอบระบบการควบคุมภายในและการบัญชี ตลอดจนการศึกษาทําความเข้าใจระบบงานในองค์กร ที่ได้รับการตรวจสอบที่ใช้คอมพิวเตอร์ เพื่อวางแผนและกําหนดเทคนิคหรือวิธีการตรวจสอบ หรือเพื่อหาหลักฐานและความพอเพียง ในการตรวจสอบตามเป้าหมายการตรวจสอบ โดยใช้วิธีการตรวจสอบตามปกติหรือ Manual นั้น ได้ถูกจํากัดโดยกระบวนการ process งานด้านคอมพิวเตอร์ เพราะขั้นตอนการควบคุมภายในและการบัญชีส่วนใหญ่ ได้ใช้โปรแกรมคอมพิวเตอร์เป็นผู้ควบคุมและดําเนินงานแล้ว ดังนั้น เมื่อไม่มีการตรวจสอบด้านคอมพิวเตอร์หรือ IT Audit เป็นส่วนหนึ่งของ Financial Audit โดยเฉพาะอย่างยิ่งการตรวจสอบการปฏิบัติตามระเบียบกฎเกณฑ์การ ควบคุมภายในของหน่วยงาน (Compliance Audit) แล้ว ก็จะทําให้การปฏิบัติงานตรวจสอบนั้น ต้องข้ามขั้นตอน หรือละเว้นการตรวจสอบที่จําเป็นไปไม่น้อย ทําให้มีปัญหาถึงประสิทธิภาพและประสิทธิผลการปฏิบัติงานการตรวจสอบ อันเกิดจากการละเลยไม่ตรวจสอบงานด้านคอมพิวเตอร์ รวมทั้งไม่ใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบ ตามมาตรฐานที่ควรจะเป็นด้วยท่านเคยได้ยินคําวิจารณ์หรือเสียงบ่นทํานองนี้บ้างหรือไม่ และท่านควรจะทําการแก้ไขปัญหา หรืออุปสรรคตามที่กล่าวนี้อย่างไร หากท่านไม่ได้ยินเรื่องทํานองข้างต้น ท่านเคยคิดและพิจารณาบ้างหรือไม่ว่า เป็นไปได้หรือที่การตรวจสอบยังคงใช้แนวทางการตรวจสอบเดิม ๆ สมัยที่องค์กรยังใช้ระบบ Manual เมื่อองค์กรนั้นนําคอมพิวเตอร์เข้ามาใช้แล้ว
  7. ในการตรวจสอบธนาคารพาณิชย์ และสถาบันการเงินด้านคอมพิวเตอร์ รวมทั้งองค์กรอื่นที่ใช้คอมพิวเตอร์ ผู้ตรวจสอบควรพิจารณาถึงความจําเป็น และความแตกต่างในระบบงานของแต่ละองค์กรเป็นกรณีไป โดยควรเน้นและให้ความสําคัญอย่างยิ่งต่อการควบคุมภายในที่มีประสิทธิภาพ
  8. การทําความเข้าใจในเป้าหมาย ขอบเขต กรรมวิธี ในการตรวจสอบงานด้านคอมพิวเตอร์ (IS Audit) และการตรวจสอบทางด้านการเงิน (Financial Audit) และจัดทํารายงานการตรวจสอบ ตลอดจนความสัมพันธ์ของงานทั้ง 2 ประเภท นับเป็นสิ่งที่มีความสําคัญยิ่ง ในการปฏิบัติงานการตรวจสอบที่มีประสิทธิภาพสูงสุด เช่น การรู้จักใช้เครื่องมือคอมพิวเตอร์ให้เป็นประโยชน์ในการตรวจสอบ และการทําความเข้าใจในระบบงานด้านคอมพิวเตอร์ เพื่อกําหนดขอบเขตการตรวจสอบให้เหมาะสม เป็นต้น
  9. วิธีการตรวจสอบและเทคนิคการตรวจสอบงานด้านคอมพิวเตอร์ จะต้องพัฒนาให้ทันกับ Technology สมัยใหม่ที่ก้าวหน้าอย่างรวดเร็วและไม่หยุดยั้ง ทั้งทางด้าน Hardware และ Software วิธีการตรวจสอบจึงจําเป็นต้องพัฒนาขึ้น เพื่อช่วยให้ผู้ตรวจสอบมีเครื่องมือ และรู้จักใช้เครื่องมือปฏิบัติงานอย่างมีประสิทธิภาพ และบรรลุวัตถุประสงค์ในการตรวจสอบ อีกทั้งจะช่วยให้ผู้ตรวจสอบมีความมั่นใจในการเสนอความเห็นในรายงานการตรวจสอบอย่างถูกต้องตามความเป็นจริงและมีเหตุมีผล
  10. ผู้ตรวจสอบทางด้านคอมพิวเตอร์ นอกจากจะได้รับมอบหมายให้เป็นผู้ตรวจสอบความถูกต้อง และความน่าเชื่อถือได้ของข้อมูลจากงานที่ประมวลผลด้วยคอมพิวเตอร์แล้ว ยังมีหน้าที่ที่สําคัญมากอีกประการหนึ่งก็คือ การร่วมมือและประสานงานตรวจสอบด้านการเงิน (Financial Audit) โดยแนะนําหรือร่วมปฏิบัติงานทางด้านเทคนิคการตรวจสอบในส่วนที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานตรวจสอบทางด้าน Financial มีปัญหาน้อยที่สุด ดังนั้น การศึกษาเทคนิคใหม่ ๆ ทางด้านคอมพิวเตอร์ เพื่อประโยชน์ในการตรวจสอบจึงเป็นสิ่งที่จําเป็นอย่างยิ่ง และจะต้องดําเนินการควบคู่กันไปกับการปฏิบัติงานตรวจสอบด้วยเสมอ ทั้งนี้เพื่อดํารงไว้ซึ่งประสิทธิภาพของการตรวจสอบโดยรวม
  11. เมื่อผมได้ไปปฏิบัติหน้าที่ในฐานะ Deputy Principal ของหลักสูตร SEACEN (South East Asian Central Banks) หลักสูตร Inspection and Supervision of Financial Institutions ครั้งที่ 12 ที่กรุงจาการ์ตา ประเทศอินโดนีเซีย เมื่อปี ค.ศ. 1988 ผมได้แนะนําให้เพิ่มวิชาที่มีเนื้อหาในด้านที่เกี่ยวกับคอมพิวเตอร์หลายวิชา ในหลักสูตรนี้ ทาง SEACEN ได้เชิญผมไปบรรยายความจําเป็นของวิชาเหล่านี้ให้กับเลขาธิการของ SEACEN ที่ไปดูแลหลักสูตรนี้ที่กรุงจาการ์ตา และผมก็ได้ไปอธิบายเรื่องนี้ ณ ที่ทําการสํานักงานใหญ่ของ SEACEN ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย ในปีเดียวกันนั้น ในเรื่องที่เกี่ยวข้องกับการพัฒนาการกํากับ และการตรวจสอบสถาบันการเงินที่ต้องมีวิชานี้เข้าไปเกี่ยวข้องด้วย เพราะเป็นเรื่องที่แยกกันไม่ได้ในวงการกํากับ และการตรวจสอบสถาบันการเงินที่ใช้คอมพิวเตอร์ และทาง SEACEN ก็ได้บรรจุวิชาต่าง ๆ ที่เกี่ยวกับคอมพิวเตอร์เข้าไปในหลักสูตรนี้นับจากนั้นมาจนกระทั่งปัจจุบัน ซึ่งผมได้มีส่วนช่วยบรรยายหลายวิชาในหลักสูตรนี้ที่จัดขึ้นในประเทศต่าง ๆ ของสมาชิก SEACEN ในเวลาต่อมาด้วย นั่นคือ ถึงแม้เป้าหมายของผู้ตรวจสอบจะเป็นการตรวจสอบฐานะความมั่นคงทางการเงิน หรือเป็นการตรวจสอบเพื่อรับรองงบการเงิน แต่ข้อมูลและการควบคุมภายในส่วนใหญ่ได้ถูกประมวลโดยระบบคอมพิวเตอร์แล้ว ดังนั้น การวางแผนการตรวจสอบก็จะต้องคํานึงถึง และเข้าใจในระบบงานด้านคอมพิวเตอร์พอสมควรด้วยเสมอ
  12. นอกจากที่กล่าวทาง SEACEN ก็ได้จัดหลักสูตรใหม่ขึ้นมาโดยเฉพาะ เรียกว่า Computer Audit (Advanced Level) ขึ้น เป็นหลักสูตรการตรวจสอบคอมพิวเตอร์ และการใช้คอมพิวเตอร์เข้าช่วยในการตรวจสอบในสถาบันการเงินโดยเฉพาะ แยกเป็นอีกหลักสูตรหนึ่ง โดยอบรมให้แก่ผู้ตรวจสอบจากธนาคารกลางประเทศต่าง ๆ ในเอเชีย ทาง SEACEN ได้ให้ผมเป็น Course Director สําหรับหลักสูตรนี้อีกครั้ง เพื่อจัดให้มีการอบรมให้กับประเทศต่าง ๆ ที่กรุงเทพฯ เมื่อปลายปี ค.ศ. 1993 ซึ่งช่วงนั้นผมได้บรรยายวิชา EDP Supervision and Financial Institutions ด้วย โดยกล่าวถึง The Thai experienced ในเรื่อง ตามที่สรุปในภาคผนวกเล่มที่ 1 แล้ว แต่วิชาคอมพิวเตอร์อื่น ๆ ในหลักสูตรนี้ที่ผมได้บรรยายให้ SEACEN ในปีก่อน ๆ หน้านี้ ผมไม่ได้นํามาให้ผู้อ่านได้อ่านด้วย เพราะมีบางส่วนได้กล่าวเป็นภาษาไทยในหนังสือชุดนี้อยู่แล้ว
  13. การตรวจสอบด้านคอมพิวเตอร์ถึงแม้จะมีความจําเป็นเด่นชัด แต่ผู้บริหารในองค์กรต่าง ๆ ให้ความสําคัญกับการตรวจสอบด้านนี้แตกต่างกัน และมีจํานวนไม่น้อยที่มองข้ามประเด็นที่สําคัญนี้ อย่างไรก็ดี สําหรับธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยได้กําหนดให้มีการตรวจสอบคอมพิวเตอร์ เพื่อดูแลเรื่องนี้โดยเฉพาะตั้งแต่ ปี 2528 สําหรับสถาบันการเงินอื่น ๆ ทางธนาคารแห่งประเทศไทยก็ได้สั่งการให้สถาบันการเงินเหล่านั้นได้จัดให้มีการตรวจสอบงานด้านคอมพิวเตอร์แล้วด้วย
  14. งานตรวจสอบด้านคอมพิวเตอร์ (IS Audit หรือ IS Examination) ในด้านของธนาคารแห่งประเทศไทย หรือ FFIEC ของประเทศสหรัฐอเมริกา แล้วมีวัตถุประสงค์อย่างกว้าง ๆ เช่นเดียวกับการตรวจสอบฐานะและความมั่นคงของสถาบันการเงิน นั่นคือ 1.) เพื่อประเมินฐานะความมั่นคงของสถาบันการเงิน 2.) เพื่อประเมินและวัดคุณภาพการจัดการ และการดําเนินงานของผู้บริหารระดับสูง 3.) เพื่อให้คําแนะนํา แก้ไขจุดอ่อนต่าง ๆ ที่อาจก่อให้เกิดปัญหาต่อสถาบันการเงินเป็นการล่วงหน้า เพื่อให้สถาบันการเงินปรับปรุงคุณภาพของการบริหารงาน และการดําเนินงานให้มีความมั่นคง และเป็นไปตามระเบียบ คําสั่ง และกฎหมายที่เกี่ยวข้อง อย่างไรก็ดี วัตถุประสงค์ของการตรวจสอบด้าน IS Audit ของผู้สอบบัญชีรับอนุญาต และผู้สอบ บัญชีภายในจะแตกต่างกันไปตามเป้าหมายหลักของตนเอง
  15. การตรวจสอบด้านคอมพิวเตอร์ที่ปัจจุบันมักนิยมเรียกกันว่า IS Audit ในประเทศสหรัฐอเมริกา และ IT Audit ในประเทศอังกฤษและออสเตรเลีย มากกว่าคําที่ใช้เรียกกันเต็ม ๆ ว่า Computer หรือ EDP Audit นั้น มีเรื่องที่ต้องทําความเข้าใจกันมากพอสมควร ยิ่งผู้สนใจท่านใดอ่านหนังสือประเภทนี้จากผู้แต่งหลาย ๆ คน จากประเทศต่าง ๆ แล้ว ก็อาจจะพบกับความสับสนมากขึ้น ทั้งนี้เพราะผู้แต่งแต่ละท่านก็มีความคิด/จุดยืนและทัศน รวมทั้งการผูกเรื่องให้อ่าน หรือทําความเข้าใจแตกต่างกันนั่นเอง
  16. จุดยืนและความแตกต่างของตําราที่ผู้เขียนเรื่อง การตรวจสอบด้านคอมพิวเตอร์ ก็ขึ้นกับความ ถนัดและประสบการณ์ของผู้เขียนแต่ละท่าน เช่น บางท่านถนัดทางด้านการตรวจสอบระบบงานแต่ละอย่าง (Application Audit) เพราะผู้แต่งหรือผู้เขียนทํางานในด้านนี้ บางท่านทํางานในองค์กรเอกชน หรือตามโรงงานอุตสาหกรรมต่าง ๆ ในขณะที่บางท่านแต่งหรือเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์ในฐานะที่เป็นผู้กํากับและตรวจสอบสถาบันการเงิน จึงมีหน้าที่และบทบาทต่างกันออกไป เช่น ผู้ตรวจสอบของ FDIC, FRB, OCC ซึ่งเรียกรวม ๆ กันว่า Federal Financial Institution Examination Council (FFIEC) ของประเทศสหรัฐอเมริกา ที่เป็นหน่วยงานของรัฐ ซึ่งทําหน้าที่ตรวจสอบทั้งฐานะความมั่นคงและการดําเนินงานโดยทั่วไป ซึ่งเรียกกันว่า Financial Examiner และบางส่วนแบ่งมาทําหน้าที่ตรวจสอบด้านคอมพิวเตอร์ เรียกกันในระยะแรก ๆ ว่า EDP Examiner นั้น ก็มีประสบการณ์การเขียนหนังสือการตรวจสอบด้านคอมพิวเตอร์แตกต่างกันไปตามความรับผิดชอบของตน นั่นคือ FFIEC จะเน้นการตรวจสอบทางด้านศูนย์ประมวลข้อมูลของสถาบันการเงิน (Data Center) ซึ่งจะตรวจงานทางด้านการดําเนินงานและการบริหารงานของศูนย์คอมพิวเตอร์เป็นสําคัญ และจะไม่เน้นหรือจะไม่ตรวจสอบทางด้าน Application Audit ซึ่งทาง FFIEC พิจารณาว่าเป็นงานของผู้ตรวจสอบภายนอก (External Auditor) และผู้ตรวจสอบภายในของสถาบันการเงินหรือองค์กรอื่น ๆ ซึ่งผู้ตรวจสอบประเภทหลังนั้น จะตรวจสอบทั้งทางด้าน Data Center หรือตรวจสอบการควบคุมภายในโดยทั่วไป (General Controls) และตรวจสอบการควบคุมภายในเฉพาะระบบงาน หรือ เรียกว่า Application Controls หรือ Application Audit ด้วย
  17. เมื่อมาถึงจุด ๆ นี้ ก็มีคําที่ต้องทําความเข้าใจกันต่อก็คือ การตรวจสอบงานด้านคอมพิวเตอร์ที่เรียกและเข้าใจกันง่าย ๆ Computer Audit นั้น มีการตรวจสอบเป็น 2 ลักษณะ 17.1. การตรวจสอบด้านศูนย์ประมวลข้อมูล (Data Center) หรือเรียกกันว่าเป็นการตรวจสอบการควบคุมโดยทั่วไป (General Controls) หรือเป็นการตรวจสอบ “องค์กร” หรือเป็นการตรวจสอบการดําเนินงานและการบริหารงานด้านคอมพิวเตอร์ขององค์กร 17.2. การตรวจสอบงานใดงานหนึ่งเป็นการเฉพาะ เช่น การตรวจสอบงานด้านเงินฝาก เงินให้กู้ ฯลฯ ก็เรียกกันว่าเป็นการตรวจสอบด้าน Application หรือเป็นการตรวจสอบการควบคุมภายในเฉพาะงาน (Application Controls) หรือทําให้เข้าใจง่ายยิ่งขึ้นก็เรียกว่าการตรวจสอบ “งาน” ภายในองค์กร
  18. การตรวจสอบงานด้านคอมพิวเตอร์ โดยหลักใหญ่ ๆ จึงสรุปได้ว่ามีเพียง 2 ลักษณะ คือ ตรวจสอบ “องค์กร” กับ “งาน” จะเป็นการตรวจสอบด้านใด ก็ขึ้นกับความรับผิดชอบของผู้ตรวจสอบในแต่ละองค์กรว่ายืนอยู่ ณ จุดใด มีความรับผิดชอบด้านใด ท่านต้องการกําหนดขอบเขตการตรวจสอบ (Audit Scope) เพียงใด ดังนั้น ผู้อ่านจึงต้องแยกแยะว่าท่านต้องการเรียนรู้งานการตรวจสอบด้านคอมพิวเตอร์ลักษณะใด แล้วจึงค่อย ๆ ทําความ เข้าใจกับคําอธิบายเฉพาะส่วนนั้น ๆ และความเกี่ยวพันที่เกี่ยวข้อง เช่น ควรเข้าใจว่าหาก General Controls มีปัญหาก็จะกระทบกับการวางแผนและการตรวจสอบด้าน Application Controls เพียงใด และควรมีวิธีการตรวจสอบอย่างไร เป็นต้นอนึ่ง ถึงแม้จะมีตําราการตรวจสอบด้านคอมพิวเตอร์บางเล่ม ได้แยกหัวข้อการตรวจสอบแตกต่างไปจากที่กล่าวข้างต้น เช่น มักจะแยกหัวข้อการตรวจสอบการพัฒนาระบบงานเพิ่มมาอีกก็ตาม ผมก็ยังมีความเห็นว่า น่าจะรวมอยู่ในการตรวจสอบ General Controls จะเหมาะสมกว่า นอกจากนี้แผนภูมิแสดงการตรวจสอบโดยย่อ ที่มีมากกว่า 1 แห่ง ในหนังสือของผมทั้ง 3 หรือ 4 เล่ม ก็อาจมีความแตกต่างกันในรายละเอียดปลีกย่อย ทั้งนี้ ขอให้ผู้อ่านอย่าสับสน เพราะเหตุผลเกิดจากแนวความคิดเบื้องต้นที่อาจแตกต่างกันบ้างของผู้เขียนหนังสือแต่ละคน เช่น บางคนเริ่มจากการวิเคราะห์ความเสี่ยง ซึ่งผมชอบแนวทางนี้ บางคนไม่วิเคราะห์ถึงความเสี่ยงก่อน แต่ให้เริ่มต้นจากการทําความเข้าใจระบบงานก่อน ซึ่งในที่สุด ผู้อ่านจะพบว่าไม่ว่าจะเริ่มแบบใด ในที่สุดแล้วก็จะมาสู่จุดเดียวกันจนได้ หากท่านผู้อ่านเข้าใจได้เช่นนี้ ก็แสดงว่าท่านเข้าใจแนวทางการตรวจสอบอย่างถ่องแท้แล้ว อย่างไรก็ดี หลักการส่วนใหญ่จะไม่แตกต่างกันมาก แต่จะแตกต่างกันในการบรรยายและการทําความเข้าใจ
  19. ผู้อ่านควรทําความเข้าใจในคําต่อไปนี้ คือ EDP examiner, EDP auditor ซึ่งคํา ๆ หลังนี้ยังแยกได้เป็น 2 ส่วน คือ External Auditor และ Internal Auditor สรุปเพียงข้อนี้ก่อนว่า ผู้ตรวจสอบด้าน คอมพิวเตอร์เองก็มี 3 แบบ มีความรับผิดชอบและหน้าที่แตกต่างกัน และผู้ตรวจสอบต้องเข้าใจลักษณะของหน้าที่ และความรับผิดชอบที่แตกต่างกันนั้น ๆ ด้วย เพราะความแตกต่างกันนั้น ยังมีส่วนเหลื่อมที่เป็นความเหมือน หรือความคล้ายกันปะปนกันอยู่ด้วย นั่นคือ การกําหนดขอบเขตและวิธีการตรวจสอบ อาจมีความสัมพันธ์ซึ่งกันและกันตามลักษณะของผู้ตรวจสอบ ทั้ง 3 แบบได้
  20. การให้ถ้อยคําเป็นภาษาไทยที่ถอดความจากภาษาอังกฤษ ในศัพท์คอมพิวเตอร์บางครั้งก็มิใช่ของง่ายเพราะถึงแม้จะมีการแปลศัพท์คอมพิวเตอร์เป็นภาษาไทยกันแล้วหลายเล่ม แต่การใช้ภาษาไทยก็ยังมีการใช้แตกต่างกันอยู่ ซึ่งขึ้นกับความถนัดและความเข้าใจของผู้เรียบเรียงหรือผู้เขียนเป็นสําคัญ ดังนั้น การให้ถ้อยคําในภาษาไทยในแต่ละเรื่อง ถึงแม้มาจากภาษาอังกฤษคํา ๆ เดียวกัน ก็ใช้ถ้อยคําแตกต่างกันที่อาจทําให้ผู้อ่านสับสนได้ อย่างไรก็ดี คําศัพท์ภาษาไทยที่ยังไม่นิยมกัน ผมไม่ได้นํามาใช้ในเอกสารประกอบการบรรยายนี้ และคําศัพท์หลายคําผมได้ให้ความหมายใหม่ตามที่ผมเข้าใจ เช่นคําว่า “default” โดยทั่วไปแปลว่า “โดยปริยาย” ในหลายตอนผมแปลว่า “มาตรฐานของระบบงานที่ได้กําหนดไว้ล่วงหน้า” หรือ “คําสั่งตามเงื่อนไขเบื้องต้นที่กําหนดไว้ในโปรแกรม” นอกจากนี้ หากท่านผู้อ่านพบกับคําว่า เกิด default ก็ขอให้เข้าใจว่า “เกิดข้อคลาดเคลื่อน” หรือ “เกิดการปฏิบัติงานที่ผิดไปจากเงื่อนไขหรือคําสั่งงานที่กําหนดไว้” และในบางกรณีก็หมายถึง “เกิดปัญหาการปฏิบัติงานที่เกิดจากมาตรฐานหรือเงื่อนไขเบื้องต้น” ทั้ง ๆ ที่การเกิด default นี้เป็นไปตามคําสั่งหรือมาตรฐานของระบบงานก็ตาม ซึ่งแสดงถึงจุดอ่อนหรือความเสี่ยงที่เกิดจากการทํา default ในโปรแกรมนั่นเอง อย่างไรก็ดี ความหมายในภาษาไทยที่ใช้และอาจเกิดความสับสนได้นั้น ผมจะวงเล็บภาษาอังกฤษ เพื่อให้เปรียบเทียบประกอบความเข้าใจเป็นส่วนมากไว้ด้วย ดังนั้นหากท่านผู้อ่านจะนําศัพท์ภาษาอังกฤษไปเปรียบเทียบกับ Dictionary ด้านคอมพิวเตอร์ ก็จะพบว่าการให้ความหมายแตกต่างกันไป ซึ่งบางกรณีทําให้เกิดความเข้าใจที่แตกต่างกันด้วย
  21. ถ้อยคําในภาษาไทยที่ใช้ในการบรรยายการตรวจสอบด้านคอมพิวเตอร์ ในบางครั้งที่พบ เช่น การตรวจสอบระบบคอมพิวเตอร์โดยทั่วไป (ซึ่งหมายถึงการตรวจสอบ Data Center หรือ General Controls) กับคําว่า การตรวจสอบคอมพิวเตอร์เฉพาะงาน หรือบางครั้งก็ใช้คําว่า การตรวจสอบระบบงาน (ซึ่งหมายถึง Application Audit หรือ Application Controls) ถ้าผู้อ่านพยายามนึกถึงภาษาอังกฤษประกอบด้วยแล้ว จะทําให้ความสับสนน้อยลงได้ ทั้งนี้มีข้อแนะนําว่า หากรู้สึกสับสนก็ขอให้ถามตนเองว่า ขณะนี้เรากําลังอยู่จุดไหน หรือขั้นตอนใดของงานการตรวจสอบ เรามีเป้าหมายและขอบเขตการตรวจสอบอะไร เพียงใด ก็จะช่วยได้มาก โดยเฉพาะ การให้คําภาษาไทยที่ไม่ได้วงเล็บภาษาอังกฤษไว้ด้วย การที่ผมย้ำจุดนี้หลายครั้งก็เพราะ จากประสบการณ์ที่ผ่านมาในระยะแรก ๆ ทั้งตัวผมเองและผู้ฟังการบรรยาย มักจะพบกับปัญหาการทําความเข้าใจจากจุดนี้เป็นสําคัญ
  22. ถ้อยคําอื่น ๆ ที่มีปัญหาก็อาจเกิดจากเทคนิคทางด้านคอมพิวเตอร์ นอกเหนือจากการใช้ภาษาไทยได้ ตัวอย่างเช่น โปรแกรมระบบงาน (System Program หรือ System Software) และคําว่าโปรแกรมเฉพาะงาน (Application Program หรือ Application Software) โดยมีถ้อยคําภาษาไทยที่คล้ายกันมาก หากไม่วงเล็บภาษาอังกฤษไว้ด้วย จะชวนทําให้สับสนได้ง่ายเช่นกัน หรือการตรวจสอบความถูกต้องของรายการทางการเงิน ก็มีคําภาษาอังกฤษที่ใช้ต่าง ๆ กัน เช่น Validation Procedures หรือ Verification Procedures หรือ Substantive tests เป็นต้น ดังนั้น ผู้ตรวจสอบ จึงควรทําความเข้าใจระบบงานของคอมพิวเตอร์ให้ถ่องแท้ ก่อนการวางแผนและดําเนินการตรวจสอบ
  23. ถึงข้อนี้ ผมจึงขอกล่าวอีกครั้งว่า การตรวจสอบงานด้านคอมพิวเตอร์ ผู้ตรวจสอบจะต้องทําความ เข้าใจกับระบบงานทั้งหมด (Total System Approaches) ในส่วนของงานที่ต้องการตรวจสอบในองค์กร กล่าวคือ ผู้ตรวจสอบต้องทําความเข้าใจ ทั้งในส่วนที่ใช้คอมพิวเตอร์และส่วนที่ไม่ใช้คอมพิวเตอร์ และทั้ง 2 อย่างรวมกัน เพื่อแยกแยะให้ได้ว่า จะเริ่มต้นตรวจอะไรที่จุดใด ใช้เทคนิคแบบไหน จะตรวจสอบเมื่อใด และต้องการรูปแบบ หลักฐานอย่างไร และควรจะจบลงอย่างไรในการตรวจสอบ ฯลฯ ในงานแต่ละเรื่องตามเป้าหมายที่กําหนดไว้ นอกจากนั้น ผู้ตรวจสอบจะต้องเข้าใจความสัมพันธ์ของข้อมูลที่เกี่ยวข้องของ “งาน” (Application) ในแต่ละประเภทภายในองค์กร เพื่อกําหนดจุดตรวจสอบด้วย
  24. จากข้อ 23. หากจะกล่าวให้ถูกต้องยิ่งกว่านี้ ก็ควรกล่าวว่า ผู้ตรวจสอบทุกประเภทควรเข้าใจระบบงานที่ตรวจสอบ ทั้งในส่วนที่ใช้คอมพิวเตอร์และไม่ใช้คอมพิวเตอร์ให้ดี จึงจะสามารถวางแผน กําหนดขั้นตอนและเทคนิคการตรวจสอบที่เหมาะสม และติดตามการตรวจสอบของผู้ร่วมงานได้อย่างมีประสิทธิภาพ เพราะปัจจุบันทางการของไทยก็ได้ออกมาตรฐานการตรวจสอบบัญชีที่ใช้คอมพิวเตอร์ออกมา 3 ฉบับ ด้วยกัน คือ มาตรฐานการสอบบัญชีฉบับที่ 28, 29, 36 ให้ผู้สอบบัญชีโดยทั่วไปถือปฏิบัติอยู่แล้ว และกรมสรรพากรก็ได้ออก กฎเกณฑ์บางประการในการใช้คอมพิวเตอร์มาให้ถือปฏิบัติด้วยเช่นกัน ดังนั้น เมื่อกล่าวถึงการตรวจสอบโดยทั่วไป ผู้ตรวจสอบ จึงไม่อาจหลีกเลี่ยงจากการทําความเข้าใจในระบบงานทั้งหมด ก่อนการตรวจสอบเริ่มขึ้นได้ ยกเว้น การตรวจสอบที่มีเป้าหมายเฉพาะอย่างบางด้าน และผู้ตรวจสอบมีความเข้าใจระบบงานโดยรวมขององค์กรที่จะเข้าตรวจสอบมาก่อน หลังจากองค์กรนําคอมพิวเตอร์มาใช้ในกระบวนการ “process” งานครั้งล่าสุดแล้ว
  25. แม้ว่า ในการนําคอมพิวเตอร์มาใช้จะไม่เปลี่ยนแปลงวัตถุประสงค์ในการตรวจสอบ แต่ลักษณะการประเมินการควบคุมภายใน ตลอดจนหลักฐานและวิธีการตรวจสอบ จะเปลี่ยนแปลงไปมาก ในระบบที่ทําด้วยมือนั้น มักเน้นการทํา substantive test ซึ่งเป็นการทดสอบรายการทางการเงิน เพราะการใช้คน หรือระบบ Manual ในการประมวลผลข้อมูล ย่อมมีโอกาสเกิดความผิดพลาดได้ง่าย ซึ่งก่อให้เกิดความเสี่ยงสูง ดังนั้น การใช้ substantive test จะช่วยลดความเสี่ยงได้มาก แต่ในระบบคอมพิวเตอร์ที่มีการพัฒนาก้าวหน้าไปไกลนั้น สภาพแวดล้อมต่าง ๆ ทางธุรกิจได้รับการออกแบบให้ควบคุมด้วยระบบคอมพิวเตอร์เป็นอย่างดี โอกาสที่จะเกิดการผิดพลาดเพราะ Human error อันเกิดจากการประมวลข้อมูลนั้น จะมีน้อยหรือไม่มีโอกาสเกิดขึ้นได้ ถ้าระบบงานและขั้นตอนการควบคุมภายในต่าง ๆ ที่ใช้คอมพิวเตอร์ควบคุมนี้ ได้รับการทดสอบเป็นที่แน่ใจแล้วว่า มีประสิทธิภาพยอมรับได้ ดังนั้น การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ จึงควรเปลี่ยนจากการเน้นตรวจ substantive test ไปเป็นการประเมินการควบคุมภายในแทน ด้วยเหตุผล 3 ประการ คือ 25.1. ความสม่ำเสมอของการประมวลผลด้วยคอมพิวเตอร์ ช่วยให้มั่นใจได้ว่า การประมวลผลจะมีความสม่ำเสมอด้วย 25.2. การตรวจสอบผลที่ได้จากการประมวลผลด้วยคอมพิวเตอร์ ในลักษณะของการทํา substantive test นั้น ทําได้ยากขึ้น เพราะหลักฐานการตรวจสอบต่าง ๆ ตลอดจน audit trail ได้เปลี่ยนแปลงไปมาก และหลาย ๆ กรณีก็ไม่อาจกระทําการตรวจสอบแบบ manual ได้ด้วยวิธีการปกติ 25.3 ผู้ตรวจสอบถูกกําหนดให้มีความรับผิดชอบมากขึ้นในการตรวจสอบความเพียงพอของการควบคุมภายใน ดังนั้น จะเห็นว่าผู้ตรวจสอบจําเป็นต้องฝึกฝนทักษะของตน ในการประเมินการควบคุมภายในของธุรกิจที่มีการประมวลผลด้วยคอมพิวเตอร์ เหตุผลข้อ 25. นี้ เป็นการย้ำว่า ในองค์กรที่ใช้คอมพิวเตอร์ การตรวจสอบภายในเป็นเรื่องสําคัญลําดับต้น ๆ และการตรวจสอบด้านคอมพิวเตอร์ (IS Audit) ไม่ว่าจะเป็นการตรวจสอบ “องค์กร” (Data Center) หรือตรวจสอบ “งาน” (Application) ก็เน้นการตรวจสอบการควบคุมภายใน คือ General Controls และ Application Controls ด้านคอมพิวเตอร์นั่นเอง เมื่อถึงประเด็นตามวรรคข้างต้น ผมคิดว่าเป็นจุดที่น่าสนใจ หากจะกล่าวต่อไปว่าการตรวจสอบเพื่อรับรองงบการเงินขององค์กร ซึ่งปกติเป็นหน้าที่ของผู้สอบบัญชีรับอนุญาต ซึ่งเป็นผู้สอบบัญชีภายนอกประเภทหนึ่งนั้น มีความสัมพันธ์กันอย่างใกล้ชิดกับการตรวจสอบงานด้านคอมพิวเตอร์ในองค์กรที่ใช้คอมพิวเตอร์ เพราะ IS Audit หรือการตรวจสอบด้านคอมพิวเตอร์ เน้นการตรวจสอบด้านการควบคุมภายในและการดําเนินงาน ซึ่งเป็นขั้นตอนต้น ๆ ที่จําเป็นของการตรวจสอบฐานะการเงิน ดังนั้น การตรวจสอบด้านคอมพิวเตอร์ (IS หรือ IT Audit) จึงมีความสัมพันธ์อย่างใกล้ชิดกับการตรวจสอบงบการเงินและการดําเนินงาน ซึ่งเรียกว่า Financial Audit อย่างสําคัญ และไม่อาจหลีกเลี่ยงได้ในปัจจุบัน อย่างไรก็ดี การตรวจสอบฐานะความมั่นคงของสถาบันการเงินในภาพรวม ก็เป็นหน้าที่ของผู้ตรวจสอบจากธนาคารแห่งประเทศไทย ซึ่งเรียกรวม ๆ กันว่า Financial examiner จากความสัมพันธ์ดังกล่าว หนังสือเล่มนี้ซึ่งเน้นด้านการตรวจสอบด้านคอมพิวเตอร์ จึงได้กล่าวถึงการ ตรวจสอบทั้งทางด้าน IS Audit และ Manual Audit ซึ่งเป็นการตรวจสอบแบบเดิมไว้ เพื่อการศึกษาเปรียบเทียบ และทําความเข้าใจในความแตกต่างของวิธีการตรวจสอบทั้ง 2 แบบไว้ด้วย
  26. ก่อนที่จะมีการประเมินประสิทธิภาพการควบคุมภายในไม่ว่าจะเป็น Data Center หรือ Application Audit ผู้ตรวจสอบควรมีการกําหนดเป้าหมายเฉพาะในการตรวจสอบเสียก่อน เพราะจะช่วยให้ทําการตรวจสอบได้โดยมีประสิทธิผลมากขึ้น และสามารถใช้เป็นเกณฑ์ดีในการประเมินผลการตรวจสอบได้อีกด้วย
  27. ผู้ตรวจสอบจําเป็นต้องมีทักษะใหม่ ๆ ที่จะช่วยในการตรวจสอบธุรกิจ ที่มีการนําเอาคอมพิวเตอร์ เข้ามาใช้ได้อย่างมีประสิทธิภาพ ทักษะทางด้านคอมพิวเตอร์ของผู้ตรวจสอบแต่ละคน อาจแตกต่างกันออกไป แต่สําหรับทั้งทีมงานแล้ว ต้องมีทักษะทางคอมพิวเตอร์โดยรวมที่เหมาะสม และเพียงพอแก่การปฏิบัติหน้าที่ ตามมาตรฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ของทางการ และของสากล
  28. ผู้ที่ควบคุมหรือสอบทานงานตรวจสอบ ต้องมีคุณสมบัติลึกไปทางด้านเทคนิคเพียงพอระดับหนึ่งแก่การสอบทานงานของผู้ตรวจสอบระบบคอมพิวเตอร์ได้ หากการตรวจสอบนั้นเป็นการตรวจสอบด้านคอมพิวเตอร์ หรือมีส่วนที่เกี่ยวข้องกับคอมพิวเตอร์ ในที่สุดแล้ว ผู้ตรวจสอบจะไม่สามารถทํางานเหล่านี้ทั้งหมดได้ตามลําพังจากความก้าวหน้าอันรวดเร็วทางเทคโนโลยี จําเป็นต้องให้ผู้บริหาร และผู้ใช้ได้รับการฝึกอบรมทางด้านคอมพิวเตอร์ ผู้บริหาร ผู้ใช้ และบุคลากรฝ่าย คอมพิวเตอร์เอง ก็ควรได้รับการฝึกอบรมเกี่ยวกับมาตรฐานระบบงานและการควบคุมภายในด้วย
  29. การทําแผนภูมิหลายแผนในหนังสือเล่มนี้ เป็นการจัดทําขึ้นเพื่อให้ผู้อ่านได้ติดตาม และทําความ เข้าใจเรื่องราวที่เกี่ยวข้องได้ง่ายและสะดวกขึ้น ทั้งนี้หลาย ๆ กรณี เป็นการประยุกต์มาจากความคิดและความเข้าใจของผมเอง เพื่อใช้ในการบรรยายเป็นสําคัญ อย่างไรก็ดี ผมใคร่ขอย้ำว่า ท่านผู้อ่านควรตอบตนเองก่อนว่าขณะนี้ กําลังทําความเข้าใจเรื่องอะไร ขณะนี้กําลังอยู่ในส่วนใดของกระบวนการตรวจสอบ และกําลังมองมุมผู้ตรวจสอบว่า เป็นประการใดจาก 3 ประเภทดังได้กล่าวข้างต้นแล้ว ทั้งนี้ ต้องมีเป้าหมายและขอบเขตที่แน่นอนของตนเองด้วยว่า กําลังตรวจสอบประเภท และเรื่องอะไรอยู่เป็นต้น
  30. เนื่องจากการรวบรวมเอกสารประกอบการบรรยายเรื่อง “การดําเนินงานและการตรวจสอบสถาบัน การเงินด้านคอมพิวเตอร์” เล่ม 2 นี้ ก็เช่นเดียวกับเล่ม 1 และเล่มที่จะพิมพ์ต่อไป ซึ่งเล่ม 3 จะเน้นเรื่อง คอมพิวเตอร์กับการทุจริต และแนวการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือ รวมทั้งการจัดทําแผนฉุกเฉิน หนังสือทั้ง 3 หรือ 4 เล่ม เป็นการรวบรวมจากเอกสารประกอบการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไป ในช่วงเวลาตั้งแต่ปี 2524-2536 แก่สถาบันหลายแห่ง และผมมีโอกาสแก้ไขเพิ่มเติมได้ไม่มากนัก เนื่องจากเวลาจํากัดมาก เพราะต้องการพิมพ์ให้เสร็จภายในเดือนกันยายน 2539 ทั้ง 3 เล่ม จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อหารวมทั้งแผนภูมิต่าง ๆ มากกว่าร้อยละ 95 ยังคงใช้ได้ดีจนถึงปัจจุบัน เพราะถึงแม้เทคนิคด้านรายละเอียดทางคอมพิวเตอร์จะพัฒนาไปอีกมาก แต่หลักการส่วนใหญ่ของการประมวลงานและการตรวจสอบก็ยังคงใช้หลักการเดิม ทั้งนี้ สังเกตได้จากการแต่งหนังสือที่มีการพิมพ์ครั้งหลังๆ ของตําราด้านตรวจสอบคอมพิวเตอร์ก็มีการแก้ไขใหม่ไม่มากนัก
  31. สิ่งที่ผมใคร่จะเน้นก็คือ การใช้เทคนิคการตรวจสอบว่าสมควรที่ผู้ตรวจสอบใช้เทคนิคใด
    ซึ่งขึ้นกับความรู้และประสบการณ์ของผู้ตรวจสอบเป็นหลัก และขึ้นกับความจําเป็นตลอดจนสิ่งแวดล้อมและหลักฐานที่ต้องการ ด้วย เช่น จะใช้การตรวจสอบในแบบ Around the Computer หรือที่นิยมเรียกกันใหม่ เพื่อป้องกันความเข้าใจผิดว่า Audit without using the computer เพื่อเน้นว่าไม่ว่าจะเป็นการตรวจสอบแบบใด ผู้ตรวจสอบก็ไม่อาจหลีกเลี่ยงการประเมินประสิทธิภาพการควบคุมภายในได้ หรือใช้วิธีตรวจสอบลึกเข้าไปถึงการทํางานของโปรแกรมคอมพิวเตอร์ (Audit Through The Computer) พอสมควร ส่วนการใช้ Computer เป็นเครื่องมือช่วยในการวางแผนและการตรวจสอบนั้น ปัจจุบันนี้ผู้ตรวจสอบมีโอกาสเลือกน้อยแล้ว กล่าวคือ ผู้ตรวจสอบจําเป็นต้องใช้ Computer ให้มีส่วนช่วยในการตรวจสอบไม่มากก็น้อย ในอดีตผมและคณะผู้ตรวจสอบมักใช้วิธี Test Data ในการทดสอบความน่าเชื่อถือได้ของโปรแกรม ซึ่งเป็นการทดสอบในแบบ Through the Computer แบบหนึ่ง แต่ผมยังมีประสบการณ์น้อยในการใช้โปรแกรมสําเร็จรูปในการตรวจสอบ หนังสือชุดนี้จึงไม่ได้กล่าวถึงเรื่องนี้มากนัก
  32. หนังสือทั้ง 3 เล่มหรืออาจมีถึง 4 เล่ม จากเรื่อง “การดําเนินงานและการตรวจสอบสถาบันการ เงินด้านคอมพิวเตอร์” เป็นการรวบรวมเอกสารประกอบการบรรยายต่าง ๆ ของผมในช่วงระหว่างปี 2524 ถึง 2536 ดังกล่าวแล้ว ในคํานําเล่ม 1 โดยได้เขียนคําอธิบายเพิ่มเติมประกอบเรื่อง และแผนภาพในบางเรื่อง เพื่อความเข้าใจที่กระจ่างขึ้น การเขียนเรื่องเพิ่มเติมและการตรวจทานความถูกต้องจากการพิมพ์ใช้เวลามากพอสมควร เนื้อหาสาระในหนังสือทุกเล่ม ถึงแม้จะพยายามลําดับเรื่องให้ได้ตามความเหมาะสมแล้วก็ตาม แต่ก็ยังมีเรื่องที่เป็นสิ่งละอันพันละน้อยต่าง ๆ ที่ผมได้สรุปไว้ใช้ในการบรรยายในโอกาสต่าง ๆ กันได้ปรากฏอยู่ในเรื่องหรือหัวข้ออื่นอยู่ด้วย เช่น ข้อสรุปที่ผู้ตรวจสอบและผู้บริหารควรทราบในรูปแบบแผนภูมิบ้าง แผนภาพบ้าง และคําบรรยายสรุปผัง เป็นต้น สิ่งเหล่านี้จะเป็นประโยชน์และทําความเข้าใจให้กับผู้ฟังและผู้อ่านมากขึ้น ถ้าผู้อ่านหรือผู้ใช้หนังสือชุดนี้จะหยิบยกเรื่องที่เกี่ยวข้องมาประกอบในเรื่องที่ศึกษาด้วย โดยเฉพาะอย่างยิ่ง การศึกษาเรื่องคอมพิวเตอร์กับการทุจริตและการตรวจสอบ ซึ่งปรากฏในเล่ม 3 โดยสรุปเรื่องตรวจสอบเป็นบทสั้น ๆ เป็นการทบทวนในอีกแนวทางหนึ่งด้วย
  33. การพัฒนางานตรวจสอบทั้งด้าน Computer Audit และ Financial Audit โดยจําลองระบบงานที่สําคัญขององค์กรนั้น ๆ เช่น สถาบันการเงิน โดยเน้นด้านการควบคุมและการตรวจสอบที่เป็นจริงให้ผู้ตรวจสอบติดตามได้ในภาคสนาม (Field work) จริง ๆ ที่เรียกกันว่า Simulation Audit นั้น เป็นเรื่องที่น่าสนใจมาก เพราะจะทําให้ผู้ตรวจสอบได้ฝึกหัดการตรวจสอบ ณ ที่ทําการได้คล้าย ๆ กับการปฏิบัติงานจริงในภาคสนามเลยทีเดียว
  34. หนังสือเล่มแรกของชุดนี้ได้เร่งรีบจัดทํามาก เพื่อให้ทันแจกจ่ายในงานวันธนาคารภาคตะวันออก เฉียงเหนือประจําปี 2539 ที่จังหวัดร้อยเอ็ด จึงได้มีการตรวจทานงานพิมพ์เพียงครั้งเดียว ประกอบกับมีความสับสนในการจัด file ที่แก้ไขแล้วและก่อนแก้ไขในการจัดพิมพ์จริง จึงปรากฏข้อผิดพลาดที่ตรวจพบภายหลังการเย็บเล่มแล้วหลายแห่ง จึงขออภัยท่านผู้อ่านมา ณ ที่นี้ด้วย อย่างไรก็ดี ผมได้แทรกแก้ไขคําผิดไว้ในหน้าหลังของเล่มแรกแล้ว
  35. หนังสือชุดนี้เป็นการให้คําแนะนําล่วงหน้าแก่สถาบันการเงินในด้านการบริหาร การดําเนินงาน
    และการตรวจสอบ รวมทั้งประเด็นปัญหาที่น่าสนใจ เพื่อหาทางป้องกันและ/หรือแก้ไขการทุจริต และการจัดทําแผนฉุกเฉินทางด้านคอมพิวเตอร์ ซึ่งจะปรากฏในเล่มต่อไป ทั้งนี้เป็นการดําเนินงานตาม Action plan ของธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ เพื่อให้บรรลุผลตามโครงการนี้ ก็น่าจะช่วยลดภาระของธนาคารได้ทั้งในปัจจุบันและอนาคต อย่างไรก็ดี การทําความเข้าใจในหนังสือชุดนี้นั้น ผมได้ตั้งแนวทางว่า ท่านผู้อ่านได้ทราบพื้นฐานทางด้านการประมวลงานด้วยคอมพิวเตอร์พอสมควรแล้ว
  36. ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะรุ่นบุกเบิกการตรวจสอบงานด้าน คอมพิวเตอร์ ได้แก่ คุณสุขุม ตันตราจิณ คุณสรสิทธิ์ สุนทรเกศ คุณปรีชา ปรมาพจน์ คุณสมศักดิ์ มหินธิชัยชาญ คุณสุภักดิ์ ภูรยานนทชัย คุณวุฒิพงศ์ สมนึก คุณชาตรี วรวณิชชานันท์ และคุณพงศ์เทพ ชินพัฒน์ และเพื่อนร่วมงานรุ่นใหม่ ที่เข้ามาเสริมทีมงานในภายหลังที่ไม่อาจระบุชื่อได้ทั้งหมด ซึ่งมีส่วนสําคัญในการช่วยเรียบเรียงเอกสารประกอบการบรรยายในอดีตหลาย ๆ เรื่อง และทําให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน ขอขอบคุณอีกครั้งสําหรับการมีส่วนร่วมใด ๆ ที่ผ่านมา ในกิจกรรมเผยแพร่เอกสารการดําเนินงานการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ ขอขอบคุณเพื่อนร่วมงานในส่วนกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้

เมธา สุวรรณสาร ผู้อํานวยการ
ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงหนือ
7 กันยายน 2539

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2” ภาคการตรวจสอบ สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 3” และเล่มถัดไป ผมจะเผยแพร่ในโพสต์ต่อ ๆ ไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2Download

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

หนังสือการดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์

พฤศจิกายน 7, 2024

ก่อนที่ผมจะเผยแพร่หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมจากความรู้และเอกสารประกอบการบรรยาย ที่ผมได้ไปบรรยายในสถานที่ต่าง ๆ ไม่ว่าจะเป็นมหาวิทยาลัย ธนาคารพาณิชย์ สถาบันการเงิน รวมถึงสถาบันการฝึกอบรมต่าง ๆ ตามที่จะปรากฎในหนังสือดังกล่าวข้างต้นต่อไปนั้น
ผมมีความเห็นว่า หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์” มีเนื้อหาและข้อมูลที่เกี่ยวกับการดำเนินงาน และการตรวจสอบ กระบวนการตรวจสอบสำคัญต่าง ๆ ที่น่าจะเป็นประโยชน์ต่อผู้ตรวจสอบ ผู้สอบบัญชี รวมถึงผู้ที่เกี่ยวข้อง เป็นอย่างมาก โดยได้รวบรวมเอาไว้ด้วยกันเป็นหนังสือ 4 เล่ม ดังนี้

เล่ม 1 เป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น ข้อสังเกตในการบริหารงาน รวมทั้งหลักการการตรวจสอบในบางเรื่อง
เล่ม 2 เป็นรายละเอียด และเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์เป็นหลัก
เล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่ง การกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือ และแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ และสำหรับ
เล่ม 4 เป็นเรื่องของการทำแผนฉุกเฉิน และกรณีศึกษา

จากระยะเวลาที่ได้ดำเนินมา กว่าจะเป็นหนังสือ 4 เล่มนี้ จนถึงปัจจุบัน ทำให้ผมได้เห็นถึงพัฒนาการของการดำเนินงาน การตรวจสอบด้านคอมพิวเตอร์ ซึ่งเป็นไปตามยุคตามสมัย ถึงแม้ว่าเนื้อหาหรือข้อมูลในหนังสือทั้ง 4 เล่มนี้ จะมีบางส่วนที่อาจจะล้าสมัยไปบ้างแล้วก็ตาม แต่ถึงกระนั้นก็ยังมีเนื้อหาส่วนมากที่ยังใช้ได้ในปัจจุบันและยังคงเป็นประโยชน์ต่อผู้ตรวจสอบ ผู้สอบบัญชี รวมถึงผู้ที่เกี่ยวข้อง ผู้ซึ่งจะนำไปใช้หรือนำไปต่อยอดให้เข้ากับยุคสมัยใหม่ที่เปลี่ยนแปลงไปในอนาคตได้ จึงเป็นเหตุผลที่ทำให้ผมตัดสินใจเผยแพร่หนังสือ 4 เล่มนี้ครับ

การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 1

คำนำ

การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่มนี้และเล่มต่อ ๆ ไป เป็นการรวบรวมจากเอกสารประกอบการการบรรยายเรื่องดังกล่าว โดยมีชื่อเรียกต่าง ๆ กันไปของผมในช่วงเวลาตั้งแต่ปี พ.ศ. 2524-2536 ให้แก่สถาบันหลายแห่ง เช่น การบรรยายให้นักศึกษาปริญญาโท มหาวิทยาลัยธรรมศาสตร์ AIT (Asian Institue of Technology) กลุ่มธนาคารกลางต่าง ๆ ในประเทศเอเชีย (SEACEN-South East Asian Central Banks) มหาวิทยาลัย ธนาคาร พาณิชย์ สถาบันการเงินหลายแห่ง ธนาคารออมสิน สมาคมนักบัญชี และผู้สอบบัญชีรับ อนุญาตแห่งประเทศไทย สมาคมธนาคารไทย ชมรมผู้สอบบัญชีภายใน หน่วยงานของรัฐ สมาคมตรวจสอบ คอมพิวเตอร์ภาคพื้นกรุงเทพฯ (EDPAA) และสถาบันการฝึกอบรมต่าง ๆ โดยเฉพาะอย่างยิ่งงานบรรยายประจำใน ช่วงดังกล่าวก็คือ การบรรยายให้ผู้ตรวจสอบของฝ่ายกำกับและตรวจสอบสถาบันการเงิน และฝ่ายกำกับและตรวจสอบ ธนาคารพาณิชย์ ธนาคารแห่งประเทศไทยในช่วงนั้น

การที่ผมนำเอกสารบรรยายในอดีตหลายครั้งมาจัดทำเป็นรูปเล่มใหม่นี้ การเรียบเรียงและลำดับเรื่อง อาจมีข้อมูลบางตอนที่คล้ายกันบ้าง และบางตอนก็อาจนำเรื่องที่เคยกล่าวแล้วไปไว้ในเรื่องที่เกี่ยวข้องอีก เพื่อทำความเข้าใจให้ต่อเนื่องกันไป ทั้งนี้เพราะผมมีแนวการบรรยายและการดำเนินเรื่องที่แตกต่างกันไปในแต่ละครั้ง ซึ่งขึ้นกับความเหมาะสมของผู้ฟังแต่ละองค์กรเป็นหลัก

จากหน้าที่หลักที่ผมทำหน้าที่ผู้ตรวจการธนาคารพาณิชย์และสถาบันการเงินต่าง ๆ มานานปี และได้รับมอบหมายจากธนาคารแห่งประเทศไทย ให้ดูแลและรับผิดชอบทางด้านการพัฒนาและการตรวจสอบด้านคอมพิวเตอร์ของสถาบันการเงินในปี 2524 หลังจากที่กลับจากการศึกษา อบรมดูงาน และฝึกงานด้านนี้ครั้งแรก ประมาณ 5 เดือน ที่ประเทศสหรัฐอเมริกาและประเทศญี่ปุ่น และต่อมามีโอกาสไปดูงานที่ประเทศอังกฤษทางด้าน Electronic Banking หลังจากนั้น ผมและเพื่อนร่วมงานได้ศึกษางานตรวจสอบด้านคอมพิวเตอร์เพิ่มเติมอีกมาก เพื่อกำหนดและวางแนวทางการตรวจสอบงานด้านคอมพิวเตอร์ต่อสถาบันการเงินในประเทศไทย

จากการที่ผมทำงานทางด้านกำกับและตรวจสอบธนาคารพาณิชย์ รวมทั้งได้ทำงานทางด้านกำกับและตรวจสอบสถาบันการเงินในช่วงเวลาอันยาวนาน ตลอดเวลาที่ทำงานที่ธนาคารแห่งประเทศไทย เป็นเวลาเกือบ 30 ปี ติดต่อกัน ทำให้พอจะมองเห็นภาพ และปัญหาการดำเนินงานของธนาคารพาณิชย์และสถาบันการเงิน ทั้งทางด้าน Financial และด้าน Computer ได้พอสมควร จึงได้รับเชิญให้เป็นผู้บรรยายงานทั้ง 2 ด้าน โดยเฉพาะในช่วงหลังที่ธนาคารให้ผมมารับผิดชอบงาน ด้านการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ด้วย ผมจึงมีโอกาสได้บรรยายในรูปแบบความสัมพันธ์และความเกี่ยวข้องซึ่งกันและกันของงานทางด้าน Financial และ Computer ซึ่งอย่างหลังนี้มักจะเรียกกันในปัจจุบันว่า IT (Information Technologies) หรือ IS (Information Systems) เพราะมีความหมายกว้างขวางและเหมาะสมกว่า Computer หรือ EDP (Electronic Data Processing) มาก ดังนั้น ถ้าพบคำว่า IT Audit หรือ IS Audit แล้วละก็ คำ ๆ นี้ก็คือ Computer หรือ EDP Audit นั่นเอง

ความหมายของ Computer Audit ในสายงานของผู้กำกับ และผู้ดูแลสถาบันการเงินในความหมายกว้าง ก็คือ การตรวจสอบการดำเนินงานด้านคอมพิวเตอร์ ที่มีผลกระทบต่อความมั่นคงและความสามารถในการดำเนินงานอย่างต่อเนื่อง โดยมีประสิทธิภาพในองค์กรที่ใช้คอมพิวเตอร์ และในความหมายแคบก็คือ การตรวจสอบเพื่อประเมิน การควบคุมความเสี่ยงต่าง ๆ จากการดำเนินงานและการบริหารงานด้านคอมพิวเตอร์ ที่มีผลเกี่ยวข้องกับความถูกต้อง ความน่าเชื่อถือได้ของข้อมูลทางการเงิน และการควบคุมภายใน เพื่อให้คำแนะนำในแนวทางป้องกันปัญหาล่วงหน้า ก่อนที่ปัญหาจริงจะเกิดขึ้น อย่างไรก็ดี ขอบเขตของการตรวจสอบด้านคอมพิวเตอร์ จะขึ้นอยู่กับเป้าหมายของการตรวจสอบเป็นสำคัญ

ความเสี่ยง (Risks) ทางด้านคอมพิวเตอร์เป็นความเสี่ยงในรูปแบบใหม่ เพิ่มเติมจากความเสี่ยงในการดำเนินงานตามปกติ ที่อาจมีผลเสียหายต่อฐานะและความมั่นคงของสถาบันการเงินที่สำคัญคือ

1) การหยุดชะงักการให้บริการ ซึ่งเกิดจาก Hardware failure, Software failure หรือปัญหาทางบุคลากรที่ใช้คอมพิวเตอร์อย่างไม่ถูกต้อง ซึ่งเรื่องนี้สถาบันการเงินอาจต้องหยุดการให้บริการ ทั้ง ๆ ที่ไม่มีปัญหาด้านสภาพคล่องได้

2) ความผิดพลาดของข้อมูลทางการเงิน

3) การตัดสินใจที่ผิดพลาดของผู้บริหารอันเกิดจากความผิดพลาดของข้อมูล

4) ข้อมูลทางการเงินและการบัญชีไม่อาจยอมรับได้

5) การทุจริตหรือความเสียหาย ซึ่งบางกรณีเป็นเงินจำนวนมาก

6) ค่าใช้จ่ายส่วนเกินที่เกิดจากการใช้คอมพิวเตอร์อย่างไม่มีประสิทธิภาพ หรือเกิดจากความล้มเหลวของ Hardware หรือ Software หรือบุคลากร ซึ่งบางกรณีกระทบกับความมั่นคงโดยตรงของสถาบันการเงิน

7) เสียเปรียบทางด้านการแข่งขันและการบริการ ซึ่งมีผลต่อชื่อเสียงของสถาบันและส่วนแบ่งด้านการตลาด ความเสี่ยงในแต่ละเรื่องข้างต้น เคยมีตัวอย่างที่ก่อให้เกิดความเสียหายในต่างประเทศและในประเทศเองทุกกรณี และบางกรณีเป็นเรื่องร้ายแรงมาก กรณีของในประเทศมักจะเป็นความลับไม่ได้รับการเปิดเผยทั่วไปส่วนใหญ่ ความเสี่ยงและความเสียหายบางประเภท เช่น การหยุดชะงักการให้บริการเป็นเวลาเกินกว่า 1 วันทำการ เป็นสิ่งที่ทางการจะยอมให้เกิดขึ้นไม่ได้ การตรวจสอบในลักษณะ After the fact สำหรับ Computer Audit จึงไม่ได้ผล การตรวจสอบที่มีประสิทธิภาพ คือการตรวจสอบในลักษณะ Before the fact และให้คำแนะนำที่มีประสิทธิภาพล่วงหน้า ก่อนที่ปัญหาจริง ๆ จะเกิดขึ้น นั่นเอง การดูแลความมั่นคงของสถาบันการเงินของธนาคารแห่งประเทศไทย จึงต้องดูแลในทุกเรื่องที่เกี่ยวข้องกับ เสถียรภาพและประสิทธิภาพในการบริหารงาน เพื่อให้สถาบันการเงินนั้นสามารถดำเนินการได้อย่างต่อเนื่องและมั่นคง ตลอดไป

จากการบรรยาย เรื่อง การตรวจสอบงานด้านคอมพิวเตอร์ ให้ผู้บริหารระดับสูงของธนาคารออมสิน สำนักงานใหญ่ และหน่วยงานต่าง ๆ ของรัฐ ในช่วงท้าย ๆ ก่อนที่ผมจะเดินทางมารับงานในตำแหน่งผู้อำนวยการสาขา ที่ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือจังหวัดขอนแก่น ในปลายปี 2536 ซึ่งผมได้รวบรวมเอกสารเท่าที่รวบรวมได้ในเวลาจำกัด จากการบรรยายที่ผ่านมาให้ผู้เข้ารับฟังการบรรยายนั้น ธนาคารออมสิน สำนักงานใหญ่ ได้รวบรวมและเย็บเข้าเล่มจนเป็นที่สนใจของผู้พบเห็นในโอกาสต่อมา และมีการขอร้องให้รวบรวมจัดทำเป็นเล่มขึ้นใหม่ เพื่อเป็นวิทยาทานต่อไปด้วย

ผมได้มีโอกาสพิจารณาเรื่องนี้อีกครั้ง เมื่อผู้ตรวจสอบงานด้านคอมพิวเตอร์จากธนาคารอาคารสงเคราะห์ สำนักงานใหญ่ ได้นำเอกสารที่ผมใช้ประกอบการบรรยายบางส่วน มาจัดพิมพ์เข้าแผ่น diskette ทำให้ได้ตัวพิมพ์ที่ชัดเจนขึ้นมาก ส่งผลให้ การรวบรวมงานพิมพ์เอกสารประกอบการบรรยาย งานด้านคอมพิวเตอร์ของผมในโอกาสต่อมาทำได้สะดวกขึ้น

เมื่อผมได้ทำหน้าที่ผู้อำนวยการ ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือที่จังหวัดขอนแก่น เมื่อวันที่ 1 ตุลาคม 2536 เป็นต้นมา ผมก็ยังคงมีหน้าที่หลักประการหนึ่งที่สาขาภาคฯ เช่นเดียวกับที่กรุงเทพฯ นั่นคือการกำกับดูแลฐานะดำเนินงานและความมั่นคงของสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ ทั้ง 19 จังหวัดอยู่ด้วย ประกอบกับผมมีความเชื่อมั่นว่า การกำกับสถาบันการเงินที่ได้ผลจะต้องมาจากการป้องกันปัญหา ก่อนที่จะเกิดปัญหากับสถาบันการเงินเหล่านั้น วิธีการหนึ่งที่จะบรรลุเป้าหมายนี้ก็คือ การให้ผู้บริหารสถาบันการเงินต่าง ๆ มีจรรยาบรรณที่ดี มีความรู้ ความสามารถ รู้จักวิเคราะห์และเข้าใจถึงความเสี่ยง และการป้องกันความเสี่ยงในการบริหารงานของสถาบันการเงินนั้น ๆ ผมจึงได้เผยแพร่แจกจ่ายหนังสือเล่มแรก เรื่อง “การจัดระบบควบคุมภายในของสถาบันการเงิน” ให้กับธนาคารพาณิชย์ และสถาบันการเงินทั่วทั้งภาคอีสาน เมื่อปี 2537-2538 และหนังสือเล่มนี้ได้ใช้ในการบรรยายเรื่องดังกล่าวในโอกาสต่าง ๆ ด้วย

จากการพบปะกับผู้บริหารสถาบันการเงินต่าง ๆ ในภาคอีสาน ผมได้ปรารภและได้พูดถึงบทบาทของคอมพิวเตอร์ในวงการสถาบันการเงินหลายครั้ง เนื่องจากปรากฏว่า มีสาขาธนาคารพาณิชย์บางแห่งในภาคตะวันออก- เฉียงเหนือประสบความเสียหายจากการทุจริตที่ใช้คอมพิวเตอร์เป็นเครื่องมือด้วย จึงมีผู้สนใจใคร่จะติดตามเรื่องดังกล่าวมากขึ้น ประกอบกับธนาคารพาณิชย์หลายแห่งได้ให้พนักงานศึกษาเรื่องนี้มากขึ้นเรื่อย ๆ ผมจึงเห็นเป็นโอกาสดีที่จะเผยแพร่หนังสือ เรื่อง “การดำเนินงานและการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์” ซึ่งเป็นการรวบรวมเรื่องที่น่าสนใจด้านคอมพิวเตอร์ในแง่มุมหลายประการจากเอกสารต่าง ๆ ที่ผมเคยแจกจ่ายให้กับผู้เข้าฟังการสัมมนาและการบรรยายของผมในอดีตที่ผ่านมาในช่วงปี 2524-2536 โดยรวบรวมเรื่องใหม่ จัดเรื่องและเนื้อหาในบางส่วนเพิ่มเติม จากที่มีการรวบรวมไว้แล้วใหม่ โดยเฉพาะอย่างยิ่ง เรื่อง การดำเนินงานด้านคอมพิวเตอร์ ซึ่งได้จัดพิมพ์ใหม่และอาจจะใช้เป็นแนวทางในการปฏิบัติงานด้านคอมพิวเตอร์ในสถาบันการเงินและองค์กรต่าง ๆ ได้ตามสมควร นอกจากนั้น ผมยังได้ค้นหาเอกสารที่ได้จัดทำไว้จำนวนมาก ที่ยังกระจัดกระจายตามหีบห่อเก็บสัมภาระของผม ก่อนย้ายมาประจำที่จังหวัดขอนแก่น ก็ปรากฏว่ามีเรื่องที่น่าสนใจที่ไม่เคยเผยแพร่หลายเรื่องด้วยกัน หากผมต้องรวบรวมจัดพิมพ์ในครั้งเดียวกัน ก็จะต้องใช้เวลานานมากขึ้นและเอกสารก็จะหนามากเกินไป ผมจึงแยกจัดทำเป็นเล่ม 1 เล่ม 2 และอาจมีถึง เล่ม 3

สำหรับเล่ม 1 จะเป็นการบรรยายเน้นหนักในเรื่องที่เกี่ยวข้องกับการดำเนินงานด้านคอมพิวเตอร์ และข้อคิดเห็น รวมทั้งข้อสังเกตในการบริหารงาน รวมทั้งหลักการการตรวจสอบในบางเรื่อง เล่ม 2 จะเป็นรายละเอียด และเน้นด้านการควบคุมภายในและการตรวจสอบด้านคอมพิวเตอร์ รวมทั้งการจัดทำแผนกฉุกเฉินเป็นหลัก สำหรับเล่ม 3 จะแสดงตัวอย่างของจุดอ่อนทางคอมพิวเตอร์ต่าง ๆ ที่พบในประเทศไทยและต่างประเทศ โดยเฉพาะอย่างยิ่ง การกล่าวถึงการทุจริตโดยใช้คอมพิวเตอร์เป็นเครื่องมือ และแนวทางการตรวจสอบการทุจริตทางด้านคอมพิวเตอร์ที่น่าสนใจ โดยผมได้ดัดแปลง เรียบเรียงเพิ่มเติมจากหลักการตรวจสอบงานด้านคอมพิวเตอร์ตามปกติ ให้ไปสู่แนวทางการตรวจสอบการทุจริตด้านคอมพิวเตอร์ หรือโดยใช้คอมพิวเตอร์ รวมทั้งตัวอย่างการตรวจสอบการทุจริตด้านคอมพิวเตอร์ ความร่วมมือระหว่างผู้ตรวจสอบด้านการเงินกับผู้ตรวจสอบด้านคอมพิวเตอร์ เมื่อมีการทุจริตเกิดขึ้น

เอกสารประกอบการบรรยายของผมในหนังสือเล่มนี้ รวมทั้งอีก 2 เล่มที่จะพิมพ์ขึ้นนั้น มีหลายบทที่ใช้คำว่าธนาคารมากกว่าคำว่าสถาบันการเงิน ทั้งนี้เพราะผมได้บรรยายให้กับบุคคลในวงการธนาคารพาณิชย์และธนาคารอื่น ๆ มากกว่าสถาบันการเงินโดยทั่วไป อย่างไรก็ดี ความหมายของคำว่าธนาคารนี้ก็ใช้ได้กับสถาบันการเงินโดยทั่วไป และอาจประยุกต์ใช้กับองค์กรอื่น ๆ ที่ใช้คอมพิวเตอร์ในการประมวลข้อมูลได้ด้วย อย่างไรก็ดี ผมได้แก้ไขถ้อยคำส่วนใหญ่ที่ใช้คำว่า ธนาคารเป็นสถาบันการเงินแล้ว แต่ผมไม่ได้แก้ไขรายการตัวอย่างที่ระบุวันที่ไว้ ทั้งนี้เพื่อที่จะให้ท่านผู้อ่านได้ทราบว่าเป็นการบรรยายในอดีตที่ผ่านมา

เนื่องจากผมไม่มีเวลาแก้ไขเพิ่มเติมข้อมูลจากการบรรยายเรื่องต่าง ๆ ของเอกสารเล่มนี้ ซึ่งส่วนใหญ่เป็นการบรรยายในอดีตตามที่กล่าวถึงข้างต้นแล้ว จึงอาจมีข้อมูลบางส่วนที่อาจไม่ทันสมัยเหมาะกับยุคอยู่บ้าง อย่างไรก็ดี ข้อมูลหรือเนื้อความมากกว่าร้อยละ 95 ยังคงใช้ได้ดีอยู่จนถึงปัจจุบัน

เอกสารเล่มนี้และเล่มต่อ ๆ ไป ได้จัดทำขึ้นโดยมีวัตถุประสงค์เพื่อแจกจ่ายและเผยแพร่ให้กับพนักงาน ในส่วนกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทยและสถาบันการเงินต่าง ๆ ในภาคตะวันออกเฉียงเหนือ เพื่อเป็น ส่วนหนึ่งของการทำความเข้าใจในการบริหารงานและการดำเนินงานด้านคอมพิวเตอร์ รวมทั้งเรื่องการตรวจสอบ ซึ่งนับ วันจะมีบทบาทมากขึ้นในแทบจะทุกธุรกรรมของทุกองค์กรโดยเฉพาะอย่างยิ่งในสถาบันการเงิน และเป็นส่วนหนึ่งของ การป้องกันปัญหาก่อนที่จะเกิดปัญหากับสถาบันการเงินในลักษณะที่เรียกว่า Point to the problem before it points to us. นอกจากนี้จะได้เผยแพร่ในวงการศึกษาซึ่งการเรียนการสอนการดำเนินงานด้านคอมพิวเตอร์และการตรวจสอบ ในปัจจุบันยังอยู่ในวงจำกัดค่อนข้างมาก ทั้ง ๆ ที่คอมพิวเตอร์ใต้รับการยอมรับและมีใช้กันโดยทั่วไปในองค์กรต่าง ๆ แล้ว

เอกสารทั้ง 3 เล่ม ไม่มีการจำหน่าย แต่มีไว้เพื่อแจกจ่ายตามวัตถุประสงค์ที่กล่าวข้างต้น การเผยแพร่ข้อมูลจากหนังสือเล่มนี้ต่อไปในรูปอื่นใด ควรจะได้อ้างอิงถึงที่มาของข้อมูลด้วย หนังสือเล่มนี้ไม่ได้กล่าว หรืออธิบายถึงการทำงานของระบบคอมพิวเตอร์โดยทั่วไป ทั้งนี้ผมได้ตั้งแนวทางไว้ว่าผู้อ่านได้ทราบเรื่องดังกล่าวพอสมควรแล้ว

ขอขอบคุณบรรดาเพื่อนร่วมงานในอดีตทุกท่าน โดยเฉพาะในรุ่นบุกเบิกการตรวจสอบงานด้านคอมพิวเตอร์ ที่มีส่วนทำให้งานตรวจสอบด้านคอมพิวเตอร์แพร่หลายมากขึ้นในปัจจุบัน และขอขอบคุณอีกครั้งสำหรับการมีส่วนร่วมใด ๆ ที่ผ่านมาในกิจกรรมเผยแพร่เอกสาร การดำเนินงาน และการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ และขอขอบคุณเพื่อนร่วมงานในส่วนกำกับสถาบันการเงินธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ ในปัจจุบันที่ช่วยตรวจทานความถูกต้องในการพิมพ์ครั้งนี้ด้วย

เมธา สุวรรณสาร ผู้อำนวยการ
ธนาคารแห่งประเทศไทย สาขาภาคตะวันออกเฉียงเหนือ
25 มีนาคม 2539

***** สำหรับท่านที่สนใจ หนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 1” สามารถติดตาม เนื้อหา/ลิงก์ดาวโหลด ได้ที่ด้านล่างนี้ *****

สำหรับหนังสือ “การดำเนินงาน และการตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 2” และเล่มถัดไป ผมจะเผยแพร่ในโพสต์ต่อ ๆ ไปนะครับ

การดำเนินงาน และ การตรวจสอบสถาบันการเงิน ด้านคอมพิวเตอร์ เล่ม 1Download

1 ความเห็น | ผลงานหนังสือของผู้เขียน / ประวัติศาสตร์ด้านการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนจบ

พ.ค. 7, 2021

สวัสดีครับ สำหรับตอนนี้ก็จะเป็นตอนจบของการทำวิจัยเรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติ ในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ ของอาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ซึ่งผมต้องขอขอบคุณอีกครั้งมา ณ ที่นี้ ที่ได้อนุญาตให้ผมนำมาเผยแพร่ในเว็บไซต์ http://www.itgthailand.com และ http://www.itgthailand.wordpress.com เพื่อสร้างความเข้าใจเกี่ยวกับ Cyber Security ทั้งในระดับกว้างและลึก อันจะเป็นประโยชน์ต่อผู้ที่เกี่ยวข้องและสนใจ โดยในส่วนของสรุปจะแบ่งเป็น 2 ส่วน คือส่วนของสรุปผล และส่วนของข้อเสนอแนะ ดังที่จะได้นำเสนอต่อไปนี้ครับ

บทที่ 5

สรุปและข้อเสนอแนะ

สรุปผลการวิจัย

ในการวิจัยครั้งนี้ เป็นการทำการวิจัยเรื่อง ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ โดยผู้วิจัยได้กำหนดวัตถุประสงค์การวิจัยไว้ 2 ข้อ คือ

วัตถุประสงค์การวิจัยข้อที่ 1 ศึกษาและวิเคราะห์กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รูปแบบ และลักษณะของยุทธศาสตร์ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่มีความสอดคล้องกับยุทธศาสตร์ชาติ 20 ปี มีความชัดเจน มีความเหมาะสมกับช่วงเวลา สามารถนำไปสู่การปฏิบัติจริง ทั้งในการแก้ปัญหาอธิปไตยไซเบอร์ในระยะสั้น และระยะยาว

วัตถุประสงค์การวิจัยข้อที่ 2 เสนอแนะแนวทางในการปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ให้สอดคล้องกับ ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และ ยุทธศาสตร์ชาติ 20 ปี เพื่อให้สามารถนำมาปฏิบัติจริงได้อย่างมีประสิทธิผลและประสิทธิภาพ

ผลการศึกษาที่ตอบวัตถุประสงค์การวิจัยข้อที่ 1 สรุปได้ดังนี้ จากการศึกษายุทธศาสตร์ในการป้องกันการรุกรานทางอธิปไตยไซเบอร์ของต่างประเทศ พบว่า ประเทศจีน เป็นประเทศที่ประสบความสำเร็จเพียงประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์ เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศที่กำลังตามหลังประเทศจีน และริเริ่มมาตรการการป้องกันการรุกรานอธิปไตยทางไซเบอร์แล้ว ได้แก่ ประเทศออสเตรเลีย และประเทศสิงคโปร์ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์

ในขณะที่ เมื่อพิจารณาขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยไซเบอร์ได้

กรณีของประเทศไทย ความไม่พร้อมในการรับมือปรากฏการณ์ Social media และ การสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่าการโจมตีทางกายภาพมาก รัฐบาลยังไม่สามารถควบคุมได้ และรัฐบาลยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติ 20 ปี (2561 – 2580) มีแผนงานการสร้างความตระหนักรู้ประชาชนและหน่วยงาน ที่เน้นเฉพาะในการการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ และแผนงานการปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทันการละเมิดข้อมูลส่วนบุคคลและนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์”

กระบวนการในการกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ควรมีการวิเคราะห์ขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity capacity) ของประเทศ และกำหนดระยะของการกำหนดยุทธศาสตร์ (Stage of maturity) ด้านการดูแล ความมั่นคงปลอดภัยทางไซเบอร์ โดยตามกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้าน ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ ประกอบด้วย มิติที่ 1 National Cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies ส่วนระยะของการกำหนดยุทธศาสตร์ ประกอบด้วย 5 ระยะ ได้แก่ ระยะที่ 1 Start-up เป็นระดับที่เพิ่งเริ่มอภิปรายเกี่ยวกับแนวทาง การสร้างขีดความสามารถ แต่ยังไม่เริ่มดำเนินการ ระยะที่ 2 Formative เป็นระดับที่เริ่มปรากฎแนวทางที่ชัดเจนแล้ว แต่ยังไม่จัดเป็นระเบียบหรือไม่เป็นหมวดหมู่ ระยะที่ 3 Established เป็นระดับที่เริ่มดำเนินการตามแนวทางแล้ว อยู่ในขั้นตอนของการตัดสินใจทางเลือกต่าง ๆ และ จัดสรรทรัพยากร ระยะที่ 4 Strategic เป็นระดับที่มีการจัดลำดับความสำคัญของแนวทางว่า อยู่ในระดับองค์กรหรือในระดับชาติ และระยะที่ 5 Dynamic เป็นระดับที่มีความชัดเจนในด้านกลไกนำไปสู่การเปลี่ยนแปลงยุทธศาสตร์ที่ขึ้นอยู่กับภัยคุกคามไซเบอร์ที่เกิดขึ้นจริงในปัจจุบัน

ผลการศึกษาที่ตอบวัตถุประสงค์การวิจัยข้อที่ 2 สรุปได้ดังนี้ การวิเคราะห์ปัญหา ในเรื่องความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย สามารถแบ่งออกเป็น 2 ปัญหาใหญ่ ประกอบด้วย 1) ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ และ 2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social media” กลายเป็น “Soft power” และการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ การปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ควรนำกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) 5 มิติ มาใช้ในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 Legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies โดยมีรายละเอียดดังนี้

นอกจากนี้ ควรจำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

ข้อเสนอแนะ

  1. ข้อเสนอแนะเชิงนโยบาย

การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติควรทบทวนและปรับปรุงโดยจำแนกออกตามองค์กรที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ ตามแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)

ซึ่งได้เสนอแนะให้จำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็นสามภาคส่วน ได้แก่ 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถ จัดหมวดหมู่ของ 10 แนวคิดในการปรับปรุงยุทธศาสตร์ที่ได้จากการวิเคราะห์ปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย

1.1 แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)

รัฐบาลควรใช้กลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้

1.1.1 บริหารความเสี่ยงและสร้างกลไกตอบสนองต่อความเสี่ยงในหน่วยงานโครงสร้างพื้นฐานที่สำคัญ
1.1.2 พัฒนานโยบาย กฎหมายลูก และมาตรฐานด้านความมั่นคงปลอยภัยทางไซเบอร์
1.1.3 พัฒนาบุคลากรจากหน่วยงานที่เกี่ยวข้องในกระบวนการยุติธรรม เช่น การบังคับใช้กฎหมาย การสืบสวน และการตัดสินคดีทางไซเบอร์ เป็นต้น
1.1.4 บูรณาการหน่วยงานภาครัฐ ในลัษณะของปฏิบัติการร่วม (Joint-force) โดยมีหน่วยงานหลักที่เป็นเจ้าภาพชัดเจน และสร้างความร่วมมือกับภาคเอกชน ภาคประชาสังคม และองค์กรระหว่างประเทศ เพื่อรักษาสมดุลระหว่างเสรีภาพในโลกไซเบอร์สเปซ และความมั่นคงปลอดภัยทางไซเบอร์

1.2 แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led)

รัฐบาลควรสร้างการบูรณาการร่วมกันของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน ดังต่อไปนี้

1.2.1 พัฒนาระบบการศึกษา โดยปฏิรูปหลักสูตรการเรียนการสอน โดยสอดแทรกเนื้อหาความรู้เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในแต่ละระดับการเรียนการสอน และพัฒนาบุคลากรภาครัฐโดยเฉพาะหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญ ให้มีความรู้ด้านความมั่นคงปลอดภัยด้านไซเบอร์
1.2.2 สร้างความตระหนักรู้ (Awareness) ด้านความมั่นคงปลอดภัยด้าน ไซเบอร์ ให้แก่ประชาชนเพื่อให้รู้เท่าทันภัยจากการใช้งานสื่อสังคมออนไลน์ (Social media) และ การเปิดเผยข้อมูลส่วนบุคคลให้แก่แพลตฟอร์ม (Platform) ต่างประเทศ เพื่อป้องกันการรุกล้ำทางไซเบอร์ในระดับประเทศ
1.2.3 สร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสาร (IO) ทางสื่อสังคมออนไลน์ (Social media) ทั้งจากภายในประเทศและต่างประเทศ
1.2.4 สร้างความตระหนักรู้ถึงการใช้ประโยชน์จากข้อมูลส่วนบุคคลในการโฆษณาชวนเชื่อ รวมถึงสิทธิและวิธีการปกป้องและคุ้มครองข้อมูลส่วนบุคคล
1.2.5 สร้างทักษะความเข้าใจและใช้เทคโนโลยีดิจิทัล หรือ Digital literacy ให้มี “ภูมิคุ้มกันทางดิจิทัล” และ“ภูมิคุ้มกันทางไซเบอร์” (Digital immunity/Cyber immunity) ที่ดี

1.3 แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led)

รัฐบาลควรส่งเสริมและสนับสนุนการวิจัยและพัฒนา เพื่อสร้างแพลตฟอร์มที่เป็นนวัตกรรมทางดิจิทัลที่ล้ำหน้าทันสมัย (Leapfrog digital innovation platform) ของประเทศไทย ที่สามารถตอบสนองความต้องการของประชาชนเหนือกว่าแพลตฟอร์มต่างประเทศ สามารถดูแลข้อมูลส่วนบุคคลของประชาชนได้ด้วย และสามารถป้องกันการรุกรานอธิปไตยทางไซเบอร์ผ่านทาง สื่อสังคมออนไลน์ (Social media) เพื่อป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) และแพลตฟอร์ม (Platform) ต่างประเทศ

2. ข้อเสนอแนะเชิงยุทธศาสตร์

2.1 กรอบแบบจำลองธุรกิจเพื่อความมั่นคงปลอดภัยสารสนเทศ (Business Model for Information Security: BMIS)

การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ควรประยุกต์ใช้กรอบแบบจำลองธุรกิจเพื่อความมั่นคงปลอดภัยสารสนเทศ (BMIS) ตามแนวคิดของสมาคม Information security audit and control association (ISACA) โดยแบ่งองค์ประกอบออกเป็น 4 ด้าน ได้แก่ 1) องค์กร (Organisation) หมายถึงเครือข่ายของบุคลากร สินทรัพย์ และขั้นตอนการปฏิบัติงานที่สัมพันธ์กันเพื่อไปสู่เป้าหมาย 2) บุคลากร (People) หมายถึง ทรัพยากรมนุษย์และประเด็นด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับทรัพยากรมนุษย์ 3) ขั้นตอน การปฏิบัติงาน (Process) หมายถึง ขั้นตอนหรือกลไกการปฏิบัติงานเพื่อบรรลุผลสำเร็จ เช่น มาตรการ การบริหารจัดการ และการความคุมความเสี่ยง เป็นต้น ซึ่งได้จากการกำหนดยุทธศาสตร์ขององค์กร และ 4) เทคโนโลยี (Technology) หมายถึง เครื่องมือ แอพพลิเคชั่นหรือ โครงสร้างพื้นฐานที่ทำให้ขั้นตอนการปฏิบัติงานมีประสิทธิภาพมากขึ้น

องค์ประกอบ 4 ด้าน ตามกรอบแบบจำลอง BMIS มีความสัมพันธ์ซึ่งกันและกัน ทำให้เกิดแรงดึงและแรงผลัก เมื่อมีองค์ประกอบใดองค์ประกอบหนึ่งเปลี่ยนแปลง โดยแต่ละองค์ประกอบมีพลวัตของความเชื่อมโยง 6 ด้าน ประกอบด้วย 1) การกำกับดูแล (Governing) 2) วัฒนธรรม หรือรูปแบบของพฤติกรรม (Culture) 3) การพัฒนาและสนับสนุน (Enabling and support) 4) ความฉุกเฉินเร่งด่วน (Emergence) 5) ปัจจัยมนุษย์ (Human factor) และ 6) โครงสร้างความมั่นคงปลอดภัย (Architecture)

เมื่อประยุกต์องค์ประกอบ 4 ด้าน ตามกรอบแบบจำลอง BMIS เข้ากับ การรักษาความมั่นคงปลอดภัยไซเบอร์ โดยแต่ละองค์ประกอบ
1) องค์กร (Organisation) หมายถึง รัฐบาล และเครือข่ายหน่วยงานภาครัฐ ที่ทำหน้าที่เกี่ยวข้องกับการดูแลความมั่นคงปลอดภัยไซเบอร์ของประเทศ แต่ละหน่วยงานได้รับมอบหมายหน้าที่ความรับผิดชอบและเป้าหมาย
2) บุคลากร (People) หมายถึง ประชาชน บุคลากรภาครัฐ และภาคเอกชน ซึ่งมีบทบาทในการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์ในส่วนที่เกี่ยวข้องกับแต่ละกลุ่มบุคลากร
3) ขั้นตอนการปฏิบัติงาน (Process) หมายถึง ยุทธศาสตร์ ซึ่งกำหนดกลไก การขับเคลื่อนยุทธศาสตร์ โครงการ แผนปฏิบัติงาน และขั้นตอนการปฏิบัติงานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์
4) เทคโนโลยี (Technology) หมายถึง แพลตฟอร์มของประเทศไทย และเทคโนโลยีดิจิทัลที่ใช้ในการรักษาความมั่นคงปลอดภัยไซเบอร์ และการปกป้องอธิปไตยทางไซเบอร์ของประเทศ

2.2 ยุทธศาสตร์เชิงรุก (Offensive strategy)

การกำหนดกลยุทธ์เพื่อให้บรรลุเป้าหมายในการป้องกันภัยคุกคามไซเบอร์และการรุกรานอธิปไตยทางไซเบอร์ จำเป็นต้องดำเนินการทั้งเชิงรับและเชิงรุก ด้านเชิงรับ เน้นการติดตามเฝ้าระวัง การเตือนภัยล่วงหน้า การรับมือกับเหตุการณ์ และการฟื้นฟูจากความเสียหาย ด้านเชิงรุก ควรสร้างและพัฒนาขีดความสามารถของทีมรับมือกับเหตุการณ์ให้สามารถโจมตีเครือข่ายหรือระบบของผู้ประสงค์ร้าย เพื่อทำลายโอกาสของการโจมตีทางไซเบอร์ ควรพัฒนาและสร้างแพลตฟอร์มของประเทศขึ้นเองให้สามารถตอบสนองความต้องการของผู้ใช้งาน และสามารถคุ้มครองความมั่นคงปลอดภัยของข้อมูลได้ด้วย ควรส่งผู้ดูแลรักษาผลประโยชน์ของชาติ (Custodian) ทั้งหน่วยงานด้านความมั่นคง และหน่วยงานด้านพัฒนาโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ ไปเข้าร่วมในเวทีความร่วมมือระหว่างประเทศต่าง ๆ ทั้งในระดับโลกและภูมิภาคอาเซียน เพื่อสร้างพันธมิตร ในการต่อต้าน ติดตาม และลงโทษผู้ประสงค์ร้ายทางไซเบอร์ เช่น องค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) และหน่วยงานตำรวจของสหภาพยุโรป (Europol) เป็นต้น รวมถึง เพื่อแลกเปลี่ยนประสบการณ์และร่วมเรียนรู้ไปพร้อมกับประเทศที่เริ่มตระหนักถึงปัญหาอธิปไตยทางไซเบอร์ และอยู่ระหว่างวางรากฐานของการป้องกันการรุกรานอธิปไตยทางไซเบอร์ เช่น มาเลเซีย อินโดนีเซีย สิงคโปร์ และเวียดนาม เป็นต้น

3. ข้อเสนอแนะระดับปฏิบัติ

3.1 แนวทางการพัฒนายุทธศาสตร์ออกเป็นสามภาคส่วน

การปรับปรุงกระบวนการและรูปแบบของนโยบายความมั่นคงแห่งชาติ ควรมีการทบทวนและปรับปรุงยุทธศาสตร์ชาติตามแนวคิดในการกำหนดบทบาทผู้ขับเคลื่อนแนวทางการแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ 3 บทบาท ได้แก่ 1) แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led) โดยสามารถกำหนดแผนปฏิบัติการ/โครงการภายในแนวทางการขับเคลื่อน หน่วยงานรับผิดชอบหลัก/หน่วยงานรับผิดชอบรอง เป้าหมาย วิธีดำเนินการ และกรอบระยะเวลาดำเนินการได้ ดังนี้

ตารางที่ 5-2 หน่วยงานรับผิดชอบการขับเคลื่อนการปรับปรุงยุทธศาสตร์ชาติด้านความมั่นคงปลอดภัยไซเบอร์

3.2 การจัดตั้งองค์กรภายใต้ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ที่มีบทบาทสำคัญ ประกอบด้วย 3 หน่วยงาน ได้แก่ ทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response team: CSIRT) ทีมรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) และศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศระดับองค์กร (Security Operations Center: SOC) เมื่อพิจารณาวัตถุประสงค์หลักและความสำคัญของ CSIRT และ CERT แล้ว จะเห็นได้ว่า CERT มีหน้าที่หลักในการจัดเก็บ รวบรวม และเผยแพร่ข้อมูลเหตุการณ์ภัยคุกคามทางไซเบอร์ ไม่มีความจำเป็นต้องมีปฏิบัติการเพื่อรับมือ หรือโต้ตอบกับเหตุการณ์ภัยคุกคามทางไซเบอร์ ในขณะที่CSIRT มีหน้าที่หลักในการรับมือและโต้ตอบเหตุการณ์ภัยคุกคามทางไซเบอร์ และกำจัดภัยคุกคามทางไซเบอร์ รวมถึงการฟื้นฟูจากความเสียหาย อย่างไรก็ดี การทำหน้าที่ของ CSIRT และ CERT อาจมีหน้าที่บางส่วนที่เหมือนกันได้ เช่น การทำความเข้าใจกับเหตุการณ์ และการให้คำแนะนำ เป็นต้น นอกจากนี้ ในส่วนของศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศระดับองค์กร (SOC) มีหน้าที่ติดตามเหตุการณ์ ลงทุนในระบบป้องกันโครงสร้างพื้นฐานด้านสารสนเทศขององค์กร และพัฒนาขีดความสามารถของบุคลากรด้านการป้องกันเครือข่ายและระบบระดับองค์กร

กรณีของประเทศไทย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ควรจัดตั้งทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (CSIRT) ระดับประเทศ ตามมาตรฐานของสหภาพโทรคมนาคมระหว่างประเทศ (ITU) เพิ่มเติมจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ซึ่งอยู่ระหว่างจัดตั้ง ภายใต้อำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยปัจจุบัน ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (Thailand computer emergency response team: ThaiCERT) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปฏิบัติหน้าที่แทน National CERT ดังกล่าวอยู่ ซึ่งครอบคลุมเฉพาะการติดตาม แนะนำ ประสานงาน และเผยแพร่ข่าวสารและเหตุการณ์ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อสาธารณชน แต่ไม่ครอบคลุมถึงภารกิจของ CSIRT ตามแนวคิดของ ITU ซึ่งปฏิบัติการโต้ตอบเหตุการณ์ความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ภายในประเทศ รวมถึงร่วมมือกับ CSIRT ในต่างประเทศด้วย

นอกจากนี้ CSIRT ควรจัดทำโครงการนำร่องในการพัฒนาขีดความสามารถของบุคลากร (Human capacity building) ในหน่วยงานภาครัฐต่าง ๆ ให้สามารถพัฒนาระบบ เตือนภัยล่วงหน้า ระบบป้องกัน และปฏิบัติการโต้ตอบเหตุการณ์ความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ในระดับองค์กร ในลักษณะเดียวกับศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศระดับองค์กร (SOC) ด้วย และสร้างความตระหนักให้ผู้นำหน่วยงานภาครัฐ ในเรื่องความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ เพื่อให้ทุกหน่วยงานภาครัฐสามารถรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ สามารถป้องกันผลประโยชน์ของชาติจากการโจมตีโครงสร้างพื้นฐานและฐานข้อมูลสารสนเทศที่สำคัญของประเทศ และสามารถโต้ตอบผู้ประสงค์ร้ายต่อรัฐได้อย่างรวดเร็ว ทันการณ์และมีประสิทธิภาพ

3.3 การจัดเก็บภาษีดิจิทัล (Digital tax)

ความท้าทายและประเด็นปัญหาในการจัดเก็บภาษีธุรกิจดิจิทัล แบ่งออก ตามประเภทภาษี 2 ประเภท ได้แก่ ภาษีการบริโภค (Consumption tax) และภาษีเงินได้ (Income tax) โดยสรุปสาระสำคัญได้ ดังนี้

1) ภาษีการบริโภค (Consumption tax)
ปัญหาอุปสรรคในการจัดเก็บภาษีการบริโภคธุรกิจดิจิทัล แบ่งออก ตามประเภทสินค้าและบริการ 2 ประเภท ได้แก่ (1) สินค้าที่มีตัวตนทางกายภาพ (Physical goods) ที่สั่งซื้อทางออนไลน์จากต่างประเทศแล้วจัดส่งเข้าประเทศทางไปรษณีย์ (2) บริการอิเล็กทรอนิกส์ (e-service) ที่สั่งซื้อและจัดส่งทางอิเล็กทรอนิกส์ถึงผู้ใช้บริการโดยตรง

1.1) กรณี Physical goods
หลักปฏิบัติของหลายประเทศทั่วโลก กำหนดให้มีการยกเว้นภาษี การบริโภคให้สินค้าที่มีราคาต่ำ (Low value) เนื่องจากกรมศุลกากร ซึ่งเป็นหน่วยงานประเมินและจัดเก็บภาษี มักจะมีข้อจำกัดหลายประการ เช่น ไม่มีระบบอิเล็กทรอนิกส์ที่การเชื่อมโยงข้อมูลกับผู้ให้บริการไปรษณีย์ หรือผู้ให้บริการขนส่งสินค้า (Express Carrier) อื่น ๆ ทำให้ขาดข้อมูลที่จะใช้ประเมินภาษี จำนวนเจ้าหน้าที่ไม่เพียงพอในการตรวจสอบและประเมินภาษีทั้งอากรขาเข้าและภาษีมูลค่าเพิ่ม และอาจไม่คุ้มค่ากับจำนวนภาษีที่จะได้รับจากสินค้าที่มีราคาต่ำ ไม่มีระบบคัดแยกพัสดุว่า พัสดุใดเป็นสินค้านำเข้า พัสดุใดเป็นของฝาก/ของขวัญ และจุดบริการรับชำระค่าภาษี ยังไม่ครอบคลุมทั่วประเทศ เป็นต้น ดังนั้น ผู้ให้บริการตลาดกลางอิเล็กทรอนิกส์พยายามแสวงหาโอกาสจากประเทศที่ยกเว้นการจัดเก็บภาษีการบริโภคสำหรับสินค้านำเข้าที่มีราคาต่ำ ส่งผลให้รัฐสูญเสียรายได้ภาษีการบริโภคอันพึงได้ และไม่เป็นธรรมกับผู้เสียภาษีสินค้าประเภทเดียวกันที่อยู่ในประเทศ

1.2) กรณี e-service
กฎหมายแม่บทด้านภาษีของหลายประเทศส่วนใหญ่ยังไม่ครอบคลุมถึงธุรกิจประเภท e-service ที่มีการสั่งซื้อและใช้บริการทางอิเล็กทรอนิกส์ กรณีของประเทศไทย การจัดเก็บภาษีมูลค่าเพิ่มจาก e-Service กำหนดหน้าที่ในการเสียภาษีไว้อยู่แล้วในประมวลรัษฎากร โดยกำหนดให้ผู้ซื้อมีหน้าที่นำส่งภาษีมูลค่าเพิ่ม (ยื่นแบบ ภ.พ. 36) ถึงแม้ว่าในกรณีของผู้จ่ายเงินค่าบริการ e-service ที่เป็นนิติบุคคล ไม่มีประเด็นปัญหาในการนำส่งภาษีมูลค่าเพิ่มให้กรมสรรพากร อย่างไรก็ดี กรณีผู้จ่ายเงินค่าบริการที่เป็นบุคคลธรรมดา มีการนำส่งภาษีมูลค่าเพิ่มจากการใช้บริการ e-service อย่างจำกัด

2) ภาษีเงินได้ (Income tax)
ปัญหาอุปสรรคในการจัดเก็บภาษีเงินได้จากแพลตฟอร์มต่างประเทศ เกิดขึ้นจากกรณีที่ประมวลรัษฎากรมาตรา 66 วรรคสอง มาตรา 76 ทวิ และอนุสัญญาภาษีซ้อน (Double tax agreement: DTA) ที่ประเทศไทยลงนามไว้กว่า 60 ฉบับ กำหนดให้ธุรกิจต่างประเทศที่มีกิจการในไทย หรือมีตัวแทนที่ขายในไทย มีหน้าที่เสียภาษีเงินได้นิติบุคคล หากมีสถานประกอบการถาวร (Permanent establishment: PE) ในประเทศไทย เช่น สำนักงาน สาขา โรงงาน เป็นต้น เฉพาะเงินได้ในส่วนที่เป็นของ PE ซึ่งแพลตฟอร์มต่างประเทศมักจะหลีกเลี่ยง การมี PE ในประเทศไทย เพื่อเลี่ยงภาระภาษีดังกล่าว นอกจากนี้ ยังมีปัญหาในการตีความหมายของค่าตอบแทนจากการใช้บริการ ซึ่งมีผลกระทบต่อการประเมินภาระภาษีอีกด้วย กล่าวคือ ค่าตอบแทนนั้นเป็นค่าบริการหรือค่าสิทธิ หากเป็นค่าบริการ กรณีที่ไม่มี PE ในประเทศไทย ไม่มีหน้าที่ต้องเสียภาษีเงินได้ ตามมาตรา 70 แห่งประมวลรัษฎากร หากเป็นค่าสิทธิ กรณีที่ไม่มี PE ในประเทศไทย ค่าสิทธิ

แนวทางการแก้ไขปัญหาอุปสรรคในการจัดเก็บภาษีและสถานะปัจจุบันของการดำเนินการในส่วนที่เกี่ยวข้อง แบ่งออกตามประเภทภาษี 2 ประเภท ได้แก่ 1) ภาษีการบริโภค (Consumption tax) และ 2) ภาษีเงินได้ (Income tax) สามารถสรุปได้ ดังนี้

1) ภาษีการบริโภค (Consumption tax)
องค์กรเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organisation for economic co-operation and development: OECD) ได้เผยแพร่รายงานและเสนอแนะ แนวทางการจัดเก็บภาษีมูลค่าเพิ่มจากแพลตฟอร์มดิจิทัลในปี 2558 และ 25622 โดยพบว่า หลายประเทศได้เริ่มนำแนวทาง The vendor collection model ในการกำหนดให้แพลตฟอร์มดิจิทัลมีการจดทะเบียนภาษีมูลค่าเพิ่มอย่างง่าย (Simplified VAT registration) ต่อกรมสรรพากร ในประเทศที่มีการใช้บริการ เช่น ออสเตรเลีย นิวซีแลนด์ กลุ่มสหภาพยุโรป สิงคโปร์ มาเลเซีย เป็นต้น

กรณีของประเทศไทย กระทรวงการคลังอยู่ระหว่างการตรา ร่างพระราชบัญญัติแก้ไขเพิ่มประมวลรัษฎากร (ฉบับที่ ..) พ.ศ. …. (ร่าง พ.ร.บ. การจัดเก็บภาษีมูลค่าเพิ่มจากผู้ประกอบการที่ได้ให้บริการทางอิเล็กทรอนิกส์จากต่างประเทศและได้มีการใช้บริการนั้นในราชอาณาจักรโดยผู้ใช้ซึ่งมิใช่ผู้ประกอบการจดทะเบียน) โดยกำหนดให้ผู้ประกอบการ ที่ได้ให้บริการทางอิเล็กทรอนิกส์ในต่างประเทศแก่ผู้ที่ไม่ได้เป็นผู้ประกอบการจดทะเบียนภาษีมูลค่าเพิ่มในประเทศไทย และได้มีการใช้บริการนั้นในประเทศไทย หากมีรายรับจาก การให้บริการดังกล่าวเกินกว่า 1.8 ล้านบาทต่อปี ให้ยื่นคำขอจดทะเบียนภาษีมูลค่าเพิ่ม และ ให้มีหน้าที่เสียภาษีมูลค่าเพิ่ม ทั้งนี้ สถานะปัจจุบันของร่าง พ.ร.บ. คณะรัฐมนตรีเห็นชอบหลักการเมื่อวันที่ 17 กรกฎาคม 2561 สภาผู้แทนราษฎรเห็นชอบหลักการ วาระที่ 1 เมื่อวันที่ 29 กรกฎาคม 2563 จากนั้นจะนำเข้าสู่วาระที่ 2 วาระที่ 3 และการพิจารณาของวุฒิสภา

2) ภาษีเงินได้ (Income tax)
ปัจจุบัน OECD อยู่ระหว่างการพิจารณาแนวทางการจัดเก็บภาษีเงินได้จากธุรกิจดิจิทัลภายใต้ OECD/G 20 Inclusive framework on base erosion and profit shifting (BEPS) เพื่อเป็นแนวทางการปฏิบัติมาตรฐานสำหรับทุกประเทศ ซึ่งปัจจุบัน OECD อยู่ระหว่างพิจารณาประเด็นที่สำคัญ 2 ประเด็น ดังนี้

2.1) การจัดสรรกำไรเพื่อชำระภาษี (Profit allocation) โดยอยู่ระหว่างเสนอวิธีการแบ่งกำไร (Profit Split) และวิธีการกำหนดอัตราภาษี ซึ่งมีความสัมพันธ์กับปัจจัยที่สำคัญ 3 ปัจจัย ดังนี้
(1) จำนวนผู้ใช้บริการ (User participation)
(2) ทรัพย์สินไม่มีรูปร่างประเภทการตลาด (Marketing intangibles) เช่น เครื่องหมายการค้า รายชื่อและข้อมูลลูกค้า ช่องทางการจำหน่าย เป็นต้น
(3) การมีนัยสำคัญทางเศรษฐกิจ (Significant economic presence) ซึ่งเป็นจุดเชื่อมโยงการชำระภาษี (Nexus/Tax presence) จุดใหม่ เช่น การกำหนดหลักเกณฑ์เกี่ยวกับการมีตัวตนทางดิจิทัล (Digital presence) จากเดิมที่มีเพียงสถานประกอบการถาวร (Permanent establishment: PE) การกำหนดรายรับขั้นต่ำ (Revenue threshold) เป็นต้น

2.2) การกำหนดภาษีเงินได้ขั้นต่ำ (Minimum taxation) เพื่อแก้ไขปัญหาการโอนย้ายกำไร (Profit shifting) ไปประเทศที่เสียภาษีต่ำกว่า โดยอยู่ระหว่างเสนอขอบเขตของประเภทรายจ่าย และอัตราภาษี
อย่างไรก็ดี ประเทศสหรัฐอเมริกาได้ประเทศถอนตัวจากการเจรจากับกลุ่มสหภาพยุโรปในเรื่องภาษีดิจิทัล (Digital tax) เมื่อเดือนมิถุนายน 2563 ซึ่งส่งผลกระทบต่อการประชุมหารือของ OECD เพื่อหาข้อยุติร่วมกัน ทั้งนี้ หลายประเทศทั่วโลกได้ทำเดินมาตรการภาษีฝุายเดียว (Unilateral tax measure) โดยจัดเก็บภาษีบริการดิจิทัล (Digital service tax: DST) แล้ว เช่น ฝรั่งเศส อิตาลี เป็นต้น
ดังนั้น กรณีของประเทศไทยควรรอให้ได้ข้อยุติเกี่ยวกับแนวทางการจัดเก็บภาษีเงินได้จากแพลตฟอร์มต่างประเทศในเวทีการเจรจาระดับโลกและภูมิภาค โดยเฉพาะ OECD ก่อน เนื่องจากการจัดเก็บภาษี โดยไม่รอให้ได้ข้อยุติร่วมกัน แม้ว่าจะจัดเก็บภาษีได้ แต่อาจเกิดข้อพิพาททางการค้า และถูกกีดกันทางการค้าสำหรับสินค้าและบริการอื่น ๆ ของประเทศไทยได้ ทั้งนี้ ควรศึกษาและประเมินผลดีและผลเสียของการดำเนินมาตรการจัดเก็บภาษีฝ่ายเดียว (Unilateral tax measure) ซึ่งบางประเทศเริ่มจัดเก็บภาษีโดยไม่รอข้อยุติจากองค์กรระหว่างประเทศ

3.4 การใช้ประโยชน์จากสมาร์ทโฟนและระบบอินเทอร์เน็ต

การใช้งานสมาร์ทโฟนและระบบอินเทอร์เน็ตช่วยให้โลกของเราเปิดกว้างและเชื่อมโยงถึงกันได้ ทำให้การติดต่อสื่อสารกันทำได้ง่าย สามารถค้นหาข้อมูลสถานที่ การสั่งซื้อของ รวมไปถึงการใช้เพื่อส่งเสริมการศึกษา เช่น ค้นหาคำศัพท์ ค้นหาข้อมูล และศึกษาผ่านวิดีโอ เป็นต้น นอกจากผลประโยชน์แล้ว การใช้งานสมาร์ทโฟนและระบบอินเทอร์เน็ตอย่างไม่เหมาะสมส่งผลเสียต่อผู้ใช้งานหลายประการ เช่น การเสพติดการใช้สมาร์ทโฟนตลอดเวลา จนไม่ทันได้สังเกตสิ่งกีดขวางขณะเดินหรือขับรถยนต์ การเสพติดการใช้งานสื่อสังคมออนไลน์ และการเสพติดเกมส์ออนไลน์ จนไม่สามารถพักผ่อนได้อย่างเพียงพอ หรือเสียโอกาสในการทำกิจกรรมอื่น ๆ เช่น การออกกำลังกาย พูดคุยกับพ่อเเม่ การทำการบ้าน หรือการพัฒนาตนเอง เป็นต้น

กรณีของประเทศไทย จึงควรมีการปรับปรุงหลักสูตรการเรียนการสอนตั้งแต่ระดับประถมศึกษา เพื่อให้ประชาชนเข้าใจถึงวิธีที่ถูกต้องในการใช้สมาร์ทโฟนและระบบอินเทอร์เน็ตเพื่อการเรียนรู้อย่างเหมาะสมและมีขอบเขตความรับผิดชอบต่อการใช้งาน โดยสามารถรู้จักการจำกัดเวลาอย่างเหมาะสมด้วยตนเองในการใช้งานเครือข่ายสังคมออนไลน์ และเกมออนไลน์ เพื่อความบันเทิง

3.5 การพัฒนาขีดความสามารถและความตระหนักรู้ในการหวงแหนข้อมูล ส่วนบุคคล

การเข้าสู่ยุค S-M-C-I (Social–Mobile–Information–Cloud) ทำให้ข้อมูลส่วนบุคคลจำนวนมหาศาลอยู่ในความควบคุมของแพลตฟอร์มต่างประเทศ ซึ่งเป็นผลของการพัฒนาเทคโนโลยีดิจิทัล ที่แซงหน้าการพัฒนาขีดความสามารถและความตระหนักรู้ของมนุษย์ ทำให้เกิดปัญหาหลายประการ เช่น ความทุกข์ที่เกิดจากการเปรียบเทียบตัวเองกับคนอื่น หรือเรื่องเล่า บนเครือข่ายสังคมโซเชียล การไม่สามารถแยกแยะเรื่องจริงและเรื่องไม่จริงในเครือข่ายสังคมออนไลน์ได้ ความอ่อนไหวต่อเรื่องราวในเครือข่ายสังคมออนไลน์ที่มีเป้าประสงค์ในการเปลี่ยนแปลงความคิด ความเชื่อ และอุดมการณ์ได้ นอกจากนี้ ข้อมูลที่ไหลเวียนอยู่ในแพลตฟอร์มต่างประเทศสุ่มเสี่ยงต่อการถูกนำไปใช้ประโยชน์ โดยที่เจ้าของข้อมูลไม่รู้ตัว ซึ่งเท่ากับการถูกรุกรานอธิปไตยด้านข้อมูล หรือ “Data Sovereignty”

ดังนั้น รัฐบาลควรเพิ่มบทบาทในการพัฒนาขีดความสามารถและสร้าง ความตระหนักรู้ให้กับประชาชน เช่น การเพิ่มพื้นที่ของการให้ความรู้ ความเข้าใจ และการสร้าง ความตระหนักรู้ในเรื่องการคุ้มครองและหวงแหนข้อมูลส่วนบุคคลบนเว็บไซต์ของหน่วยงานภาครัฐ การประชาสัมพันธ์อย่างแพร่หลาย ให้ประชาชนทั่วไปรู้เท่าทันวิธีการที่ผู้ประสงค์ร้ายมักจะใช้ล้วงข้อมูลส่วนบุคคล การให้ความรู้ประชาชนเกี่ยวกับความจำเป็นและความสำคัญของ การเข้ารหัสข้อมูล (Data Encryption) หรือการใช้กุญแจการเข้ารหัส (Encryption key) ซึ่งถือเป็นส่วนหนึ่งของระบบความปลอดภัยด้านข้อมูล (Data Security) เพื่อป้องกัน การรั่วไหลของข้อมูลส่วนบุคคล และรักษาความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งแม้ว่าแพลตฟอร์มต่างชาติจะได้ข้อมูลไป เป็นข้อมูลที่ถูกเข้ารหัสอยู่ ไม่สามารถอ่านไม่ได้ หรืออ่านได้แต่ต้องใช้เวลาในการถอดรหัสนาน จนข้อมูลที่ได้มาไม่เป็นประโยชน์แล้ว เป็นต้น

3.6 การเพิ่มบทบาทของประเทศไทยในเวทีระดับโลกและความร่วมมือระหว่างประเทศ

ในช่วงที่ผ่านมา หน่วยงานในประเทศไทยที่ปฏิบัติงานร่วมกับสหภาพโทรคมนาคมนานาชาติ (International telecommunication union: ITU) ได้แก่ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. ซึ่งผู้แทนประเทศไทยเคยได้เข้าร่วมเป็นกรรมการบริหารของ ITU ด้วย ในสมัยที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารยังไม่เปลี่ยนโครงสร้างมาเป็นกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม อย่างไรก็ดี ITU เป็นหน่วยงานระดับนานาชาติเฉพาะทางที่กำหนดมาตรฐานสากลในส่วนที่เกี่ยวข้องกับระบบโทรคมนาคม รวมถึงระบบอินเทอร์เน็ต และความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งไม่ใช่หน่วยงานปฏิบัติการรับมือหรือโต้ตอบภัยคุกคามโดยตรง นอกจากนี้ หน่วยงานในประเทศไทย ที่ปฏิบัติงานร่วมกับ ITU ไม่มีหน้าที่ในด้านการป้องกันและโต้ตอบภัยคุกคามทางไซเบอร์โดยตรง

ดังนั้น แนวทางการเพิ่มบทบาทของประเทศไทย จึงควรจัดตั้งหน่วยงาน ที่มีหน้าที่ความรับผิดชอบในการนำมาตรฐานของ ITU มาปฏิบัติ โดยควรจัดตั้งหน่วยงานในลักษณะของศูนย์รับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response team: CSIRT) โดยอาศัยอำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ทำหน้าที่เฝ้าระวัง เตือนภัยล่วงหน้า สร้างระบบป้องกัน และปฏิบัติการโต้ตอบเหตุการณ์ความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ภายในประเทศ รวมถึงร่วมมือกับ CSIRT ในต่างประเทศ ซึ่งยึดถือแนวปฏิบัติตามมาตรฐานของ ITU เช่นเดียวกัน ทั้งนี้ CSIRT แตกต่างจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ซึ่งประเทศไทยอยู่ระหว่างจัดตั้ง และแตกต่างจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) ซึ่งทำหน้าที่ติดตาม แนะนำ ประสานงาน และเผยแพร่ข่าวสารและเหตุการณ์ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อสาธารณชน

กลุ่มประเทศอาเซียน (ASEAN ) ได้บรรลุข้อตกลงจากการประชุมสุดยอดผู้นำอาเซียนครั้งที่ 36 (The 36th ASEAN summit) จัดขึ้นที่ประเทศเวียดนาม เมื่อเดือนมิถุนายน 2563 ที่ผ่านมา ว่าจะทำให้ภูมิภาคเป็น One ASEAN Digital ซึ่งจะเป็นกรอบทิศทางให้เกิด ความร่วมมือกันและการพัฒนาในอาเซียนด้าน Digital technology มากยิ่งขึ้นในอนาคต เช่น การใช้ Digital technology เพื่อเพิ่มคุณภาพให้กับบริการสาธารณสุขทางอิเล็กทรอนิกส์ (e-Healthcare) การท่องเที่ยวเชิงสุขภาพ และการสื่อสาร โดยเฉพาะในช่วงของวิกฤตหรือช่วงของการแพร่ระบาดของโรคติดต่อร้ายแรง นอกจากนี้ ASEAN ยังให้ความสำคัญกับการสร้างความร่วมมือด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) และการสร้างความทนทานต่อภัยคุกคามทางไซเบอร์ ทั้งในมิติด้านความร่วมมือด้านนโยบาย การพัฒนาขีดความสามารถ และเสนอให้มีการจัดตั้งคณะกรรมการความร่วมมือด้านความมั่นคงปลอดภัยทางไซเบอร์ (ASEAN coordinating committee on cybersecurity: ASEAN -Cyber CC) รวมถึงการจัดทำโปรแกรมฝึกอบรมบุคลากรด้านไซเบอร์จาก 10 ชาติอาเซียน โดยจัดทำขึ้นที่ศูนย์ความร่วมมืออาเซียน-ญี่ปุุน เพื่อพัฒนาบุคลากรความมั่นคงปลอดภัยไซเบอร์ (ASEAN -Japan cybersecurity capacity building Centre: building Centre: AJCCBC) ที่ตั้งอยู่ในจังหวัดกรุงเทพมหานคร ประเทศไทย และศูนย์ความร่วมมืออาเซียน-สิงคโปร์ เพื่อพัฒนาบุคลากรความมั่นคงปลอดภัยไซเบอร์ (ASEAN-Singapore Cybersecurity Centre of Excellence: ASCCE) ที่ตั้งอยู่ในประเทศสิงคโปร์

ทั้งนี้ ปัจจุบันศูนย์ AJCCBC มีหลักสูตรอบรมบุคลากรไซเบอร์ที่สำคัญ 3 หลักสูตร ประกอบด้วย (1) หลักสูตรการรับมือภัยคุกคาม (Cyber defense exercise with recurrence: CYDER) ที่เน้นการรับมือกับภัยคุกคามทางไซเบอร์ ซึ่งเป็นหลักสูตรที่ประสบความสำเร็จในประเทศญี่ปุุนมาแล้ว (2) หลักสูตร Digital forensics เป็นหลักสูตรที่เกี่ยวข้องกับการตรวจพิสูจน์พยานหลักฐานดิจิทัลจากการโจมตีทางไซเบอร์ ทั้งความรู้พื้นฐานและการลงมือปฏิบัติ (3) หลักสูตรการวิเคราะห์มัลแวร์ (Malware analysis) ที่จะเป็นการวิเคราะห์มัลแวร์ประเภทต่าง ๆ ตามเทรนด์ของภัยคุกคามทางไซเบอร์ โดยเนื้อหาหลักสูตรเหล่านี้จะทบทวนและปรับปรุงให้เป็นปัจจุบันทุกปีเพื่อให้ทันต่อเหตุการณ์และสามารถรองรับการรับมือกับภัยคุกคามประเภทใหม่ ๆ ได้ เหมาะกับเจ้าหน้าที่ด้านไอทีของหน่วยงานที่ต้องมีความรู้เพื่อรับมือภัยคุกคามไซเบอร์

นอกจากนี้ กลุ่มประเทศอาเซียนให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยไซเบอร์อย่างมาก เห็นได้จากการกำหนดให้ “ความมั่นคงปลอดภัยทางสารสนเทศและการรับรองความปลอดภัย (Information security and assurance)” เป็น 1 ใน 8 ของยุทธศาสตร์ ในแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารอาเซียน ปี 2563 (The ASEAN ICT masterplan 2020) ซึ่งจะเน้นเรื่องการส่งเสริมความร่วมมือระหว่าง CERT ธรรมาภิบาลข้อมูล หรือการกำกับดูแลข้อมูล (Data Governance) และการระบุและปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศ อีกทั้งกลุ่มประเทศอาเซียนยังได้ร่วมกันจัดทำ ASEAN Cybersecurity cooperation strategy ซึ่งระบุถึงความร่วมมือระหว่างประเทศสมาชิกอาเซียนเพื่อเสริมสร้างความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับชาติ รวมถึงความร่วมมือกับ Dialogue Partners และผู้มีส่วนได้ส่วนเสียอื่น ๆ ด้วย

ดังนั้น แนวทางการเพิ่มบทบาทของประเทศไทย จึงควรส่งบุคลากรด้านไซเบอร์ของหน่วยงานภาครัฐในประเทศเข้าร่วมโปรแกรมฝึกอบรมบุคลากรด้านไซเบอร์ของศูนย์ AJCCBC และจัดตั้งหน่วยงานหลักที่รับผิดชอบในการเฝูาระวังและรับมือกับภัยคุกคามไซเบอร์ ทั้งในลักษณะของ CERT และ CSIRT เพื่อประสานความร่วมมือกับหน่วยงาน CERT และ CSIRT ในต่างประเทศ รวมถึงการทบทวนและปรับปรุงยุทธศาสตร์ชาติให้สอดคล้องกับแผนแม่บทและยุทธศาสตร์อาเซียนด้านความมั่นคงปลอดภัยไซเบอร์ การรักษาความเป็นส่วนตัว ข้อมูลส่วนบุคคล และอธิปไตยทางไซเบอร์ ซึ่งต้องร่วมมือตั้งแต่ระดับบุคคลที่เป็นผู้ใช้งาน องค์กรในภาคเอกชน หน่วยงานภาครัฐ และความร่วมมือระหว่างประเทศ

ในเวทีสหประชาชาติ (United nations: UN) ประเทศไทยสนับสนุนการทำงานของกรอบ United nations open ended working group (UN OEG) และ United nations group of governmental experts (UN GGEs) ในเรื่องพฤติกรรมความรับผิดชอบของรัฐทางไซเบอร์ที่เป็นบรรทัดฐานทางสังคม (Cyber norms) ทั้งหมด 11 เรื่อง ดังนี้

(1) การรักษาสันติภาพและความมั่นคงระหว่างประเทศ (International peace and security) และให้ความร่วมมือในการพัฒนาเสถียรภาพและความมั่นคงของการใช้เทคโนโลยีสารสนเทศ และการสื่อสาร และการป้องกันกิจกรรมทางเทคโนโลยีสารสนเทศและการสื่อสารที่เป็นภัยคุกคามต่อสันติภาพและความมั่นคงระหว่างประเทศ
(2) ในกรณีที่เกิดเหตุการณ์ผิดปกติหรือปัญหาด้านเทคโนโลยีสารสนเทศและการสื่อสาร รัฐพึงพิจารณาข้อมูลที่เกี่ยวข้อง ผลกระทบทุกมิติ ผลกระทบในวงกว้าง ผลกระทบต่อสภาพแวดล้อมทางเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT environment) รวมถึงลักษณะและความรุนแรงของผลกระทบ (Nature and extent of the consequences)
(3) รัฐพึงไม่ยินยอมให้มีการใช้ดินแดนของรัฐในการกระทำความผิดทางเทคโนโลยีสารสนเทศ และการสื่อสาร (Wrongful acts using ICTs) ต่อรัฐอื่น
(4) รัฐพึงพิจารณาแนวทางการสร้างความร่วมมือในการแลกเปลี่ยนข้อมูล (Exchange of information) ความช่วยเหลือ และการลงโทษอาชญากรและผู้ก่อการร้ายทางเทคโนโลยีสารสนเทศ และการสื่อสาร รวมถึงความร่วมมืออื่น ๆ ในการแก้ไขปัญหาภัยคุกคามไซเบอร์ และการพัฒนามาตรการรูปแบบใหม่ที่จำเป็น
(5) รัฐพึงสร้างความมั่นคงในการใช้เทคโนโลยีสารสนเทศ และการสื่อสาร การเคารพสิทธิมนุษยชน (Human rights) ในระบบอินเทอร์เน็ต และเสรีภาพในการแสดงออก (Freedom of expression)
(6) รัฐพึงไม่ดำเนินการหรือสนับสนุนกิจกรรมที่ขัดแย้งต่อข้อตกลงภายใต้กฎหมายระหว่างประเทศ (Obligations under international law) ซึ่งสร้างความเสียหายต่อโครงสร้างพื้นฐานที่สำคัญของรัฐอื่น หรือสร้างผลกระทบต่อการให้บริการสาธารณะ
(7) รัฐพึงกำหนดมาตรการที่เหมาะสมในการคุ้มครองโครงสร้างพื้นฐาน ที่สำคัญจากภัยคุกคามทางเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT threats)
(8) รัฐพึงให้ความช่วยเหลืออย่างเหมาะสมแก่รัฐอื่น (Requests for assistance) ซึ่งประสบภัยคุกคามต่อโครงสร้างพื้นฐานที่สำคัญ รวมถึงการให้ความช่วยเหลือในการลดผลกระทบของกิจกรรมที่ประสงค์ร้ายต่อรัฐอื่น (Malicious ICT acts) หรือการโจมตีโครงสร้างพื้นฐานพื้นฐานของรัฐอื่น ซึ่งเกิดขึ้นจากการกระทำภายในเขตแดนของรัฐ โดยคำนึงถึงอธิปไตยของรัฐ
(9) รัฐพึงสนับสนุนให้ห่วงโซการผลิต (Supply chain) มีความซื่อสัตย์ต่อผู้บริโภคขั้นสุดท้าย เพื่อให้เกิดความเชื่อมั่นต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และการสื่อสาร และรัฐควรปูองกันการขยายตัวของเครื่องมือและเทคนิคที่ประสงค์ร้ายต่อระบบเทคโนโลยีสารสนเทศ และการสื่อสาร รวมถึงการใช้งานฟังก์ชั่นลับที่ประสงค์ร้าย (Hidden functions)
(10) รัฐพึงจัดทำรายงานความเปราะบางด้านเทคโนโลยีสารสนเทศ และ การสื่อสาร (ICT vulnerabilities) และแบ่งปันข้อมูลที่จำเป็นต่อการพื้นฟูและลดความเปราะบางดังกล่าว เพื่อกำจัดภัยคุกคามที่ส่งผลกระทบต่อระบบและโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT-dependent infrastructure)
(11) รัฐพึงไม่ปฏิบัติหรือสนับสนุนกิจกรรมที่ประสงค์ร้ายต่อระบบข้อมูล (Information systems) ของ CERTs หรือ CSIRTs ของรัฐอื่น และไม่ใช้ทีมโต้ตอบเหตุการณ์ในการปฏิบัติการเพื่อประสงค์ร้ายต่อกิจกรรมระหว่างประเทศ (Malicious international activity)

ดังนั้น ประเทศไทยควรมีการศึกษาแนวทางการดำเนินการพฤติกรรม ความรับผิดชอบของรัฐทางไซเบอร์ที่เป็นบรรทัดฐานทางสังคม (Cyber Norms) ของ UN และ ความสอดคล้องกับกฎหมายภายในประเทศต่อไป

Leave a Comment » | ความมั่นคงปลอดภัยไซเบอร์ของชาติ | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 7

มีนาคม 9, 2021

บทที่ 4
การกำหนดยุทธศาสตร์การรักษาความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติของประเทศไทย และกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย ใน ๕ มิติ

แนวคิดในการปรับยุทธศาสตร์ความมั่นคงแห่งชาติ นโยบายความมั่นคงแห่งชาติ

จากการวิเคราะห์สภาพแวดล้อมทางไซเบอร์ในภาพรวมของประเทศไทย ในเรื่อง ความมั่นคงปลอดภัยไซเบอร์ในระดับชาติ สามารถสรุปปัญหาที่สำคัญของประเทศออกเป็น 2 ปัญหาใหญ่ ดังนี้

1) ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ (Lack of national cybersecurity incident response capability and national cybersecurity defense capability)

2) ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ (Lack of defensive/offensive capability in cyber warfare/hybrid warfare, cybersecurity strategy for protecting cyber sovereignty at the national level)

ปัญหาใหญ่ที่ 1 เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่ เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน และรัฐได้ดำเนินการไปบ้างแล้ว ผ่านยุทธศาสตร์ชาติ 20 และการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสำนักงานสภาความมั่นคงแห่งชาติ (สมช.)

ปัญหาใหญ่ ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์ “Social Media as a new source of soft power” และการสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่ามาก เราควบคุมไม่ได้ และรัฐยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (แผนภาพที่ 4-1)

เมื่อทำการวิเคราะห์เจาะลึกลงไปในรายละเอียดของปัญหาพบว่า เราสามารถจัดกลุ่มของปัญหาใหญ่ทั้ง 2 ออกเป็น 10 ปัญหาย่อย ดังนี้

ปัญหาย่อยที่ 1 การโจมตีโครงสร้างพื้นฐานที่สำคัญยิ่งยวดในระดับประเทศ (National level critical infrastructure attack) การขาดยุทธศาสตร์ แผนงานที่มีประสิทธิภาพในการบริหารจัดการความเสี่ยงทางไซเบอร์ในระดับประเทศ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐานมีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น เช่น “พลเมืองต่อต้าน Single gateway #opsinglegateway” รณรงค์ให้มีการโจมตี DDoS กับเว็บไซต์ของหน่วยงานของรัฐ ทำให้หลายระบบสำคัญของรัฐขัดข้อง ในปี 2559 ATM 21 ตู้ของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และลอบขโมยเงิน 12 ล้านบาท มัลแวร์ที่พบคล้ายกับที่ใช้โจมตี ATM ในประเทศไต้หวันในปีเดียวกัน ในปี 2559 ระบบคอมพิวเตอร์ของ มหาวิทยาลัยธรรมศาสตร์ ถูกกลุ่ม GOP (Guardians of peace) ใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures สหรัฐอเมริกา ในปี 2557 เป็นต้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่าประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวันทั้งในระดับประชาชน องค์กร และระดับประเทศ

ปัญหาย่อยที่ 2 ปัญหาการขาดแคลนบุคลากรด้านไซเบอร์ในระดับประเทศ การขาดการพัฒนาทักษะความรู้ในระดับต้น ระดับกลาง ระดับสูง ของผู้ปฎิบัติและควบคุมในการปฏิบัติงานด้านไซเบอร์ทั้งในระดับองค์กรและระดับประเทศ โดยในปัจจุบัน องค์กรทั้งภาครัฐและเอกชน ในประเทศไทย ขาดแคลนผู้เชี่ยวชาญทางไซเบอร์ ส่งผลกระทบต่อความเชื่อมั่นและความมั่นคง ในระดับชาติในระยะยาว จากการประมาณการของบริษัทไซเบอร์ซีเคียวริตี้เวนเจอร์ส คาดว่า ในปี พ.ศ. 2564 โลกจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ถึง 3,500,000 คน และจากการประมาณการของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ประเทศไทยจะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์สูงถึง 12,000 คน โดยกลุ่มที่ขาดแคลนมากที่สุดคือ กลุ่มผู้พัฒนาและออกแบบระบบ (Securely provision: SP)

ปัญหาย่อยที่ 3 ปัญหาอาชญากรรมไซเบอร์ ภัยคุกคามไซเบอร์ การโจมตีทางไซเบอร์ต่อภาครัฐ ภาคเอกชน และประชาชนทั่วไป (Rising of cyber crime at national level) โดยประชาชนส่วนใหญ่ และองค์กรทั้งภาครัฐและเอกชน ถูกโจมตีทางไซเบอร์รายวัน ขณะที่ประเทศไทยยังขาดหน่วยงานรับผิดชอบโดยตรง ส่งผลต่อเศรษฐกิจและสังคม และ ส่งผลกระทบต่อความเชื่อมั่นในระดับชาติ ทั้งนี้ ในช่วงครึ่งปีแรกของปี 2563 จำนวนภัยคุกคามไซเบอร์ที่ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ได้รับแจ้งและดำเนินการทั้งสิ้น 1,474 กรณี โดยภัยคุกคามที่ได้รับแจ้งมากที่สุด คือ การโจมตีด้วยโปรแกรมไม่พึงประสงค์หรือโค้ดอันตราย (Malicious code) และการฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์ (Fraud) โดยมีอัตราส่วนถึงร้อยละ 36 และ 24 ตามลำดับ

ปัญหาย่อยที่ 4 ปัญหาขาดยุทธศาสตร์และแผนงานที่มีประสิทธิภาพในการบังคับใช้กฎหมายความมั่นคงปลอดภัยทางไซเบอร์ โดยในปัจจุบันจำนวนเหตุการณ์การหยุดให้บริการของหน่วยงานโครงสร้างพื้นฐาน มีอัตราการเกิดเหตุเพิ่มขึ้นอย่างต่อเนื่องและยาวนานขึ้น ส่งผลกระทบต่อประชาชน คงปฏิเสธไม่ได้ว่า ประเทศไทยกำลังเผชิญกับความเสี่ยงทางไซเบอร์รายวัน ทั้งในระดับประชาชน องค์กร และ ระดับประเทศ

ปัญหาย่อยที่ 5 ปัญหาการขาดการถ่ายทอดความรู้ให้กับหน่วยงานยุติธรรม ในการปฏิบัติและควบคุมการปฏิบัติตามกฎหมาย โดยหลายปีที่ผ่านมา ประเทศไทยมีกฎหมายด้านเทคโนโลยีสารสนเทศหลายฉบับ แต่ยังไม่สามารถบังคับใช้กฎหมายได้อย่างมีประสิทธิภาพเท่าใดนัก ในปัจจุบัน ตำรวจ ผู้พิพากษา อัยการ ศาล หลายท่านยังขาดองค์ความรู้ทางด้านไซเบอร์ในการพิจารณาคดี ทำให้มีผลต่อการบังคับใช้กฎหมาย

ปัญหาย่อยที่ 6 ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty) การขาดความเข้าใจในผลกระทบจากกระบวนการปฏิบัติการข่าวสารในรูปแบบใหม่ผ่านสื่อสังคมออนไลน์ (Social media) โดยปัจจุบันประชาชนชาวไทยกำลังถูกละเมิดข้อมูลส่วนบุคคลทางไซเบอร์ และถูกทำให้หลงเชื่อในการโฆษณาชวนเชื่อรายวัน อย่างต่อเนื่อง จากปรากฏการณ์ดังกล่าว ทำให้มีผลต่อเศรษฐกิจ สังคม การเมือง การปกครอง ทั้งในระยะสั้นและระยะยาว มีผลกระทบต่อความมั่นคงของชาติในระยะยาว

ปัญหาย่อยที่ 7 ปัญหาการใช้ประโยชน์จากการเข้าถึงข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์โดยไม่ได้รับอนุญาต เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น

ปัญหาย่อยที่ 8 ปัญหาขาดทักษะและความเข้าใจและความรู้ในการใช้เทคโนโลยีดิจิทัลหรือ Digital literacy โดยเฉพาะการทิ้งรอยเท้าดิจิทัล (Digital footprint) เช่น หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน ส่งผลให้ข้อมูลอยู่ในมือผู้ไม่หวังดี มีโอกาสโดนทำสำเนาไปนับไม่ถ้วน เป็นต้น เทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล (Phishing) เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น การหลอกลวงออนไลน์ (Fraud) เช่น ส่งสินค้าปลอมให้เหยื่อ หรือในกรณีที่แย่ที่สุด คือไม่ส่งสินค้าใด ๆ ให้เลย เป็นต้น ความเข้าใจสื่อดิจิทัล เช่น กับดักโซเซียลจากข่าวปลอม เป็นต้น

ปัญหาย่อยที่ 9 ปัญหาขาดการบูรณาการทั้งองค์กรภาครัฐ ฝ่ายตำรวจ ทหาร พลเรือน และภาคส่วนต่าง ๆ ภายในประเทศเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ ขาดการพัฒนากรอบความร่วมมือระหว่างประเทศและอาเซียนเพื่อป้องกันและแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ จากปัญหาที่ประเทศไทยยังไม่สามารถบริหารจัดการปัญหาความมั่นคงปลอดภัยไซเบอร์ให้เกิดการบูรณาการได้ ทำให้เกิดความซ้ำซ้อน สิ้นเปลืองงบประมาณ ไม่ส่งผลเป็นรูปธรรม ไม่เกิดประสิทธิผลและประสิทธิภาพในการรับมือต่อการโจมตีทางไซเบอร์ รวมถึงขาดการถ่ายทอดความรู้และการประสานงานความร่วมมืออย่างเป็นทางการในระดับชาติกับประชาคมอาเซียน

ปัญหาย่อยที่ 10 ปัญหาขาดการพัฒนาแพลตฟอร์มของประเทศ เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ในระดับชาติ โดยแพลตฟอร์ม Social media ไทยมีอยู่แพลตฟอร์มเดียวคือ Pantip แต่ Pantip นั้นถูกแพลตฟอร์มต่างชาติแย่งเวลาของคนไปเป็นส่วนใหญ่ โดยปัจจุบัน คนไทยใช้ Facebook มากกว่า 50 ล้านคนแล้ว และใช้ Twitter มากกว่า 20 ล้านคนแล้ว แม้แต่ในยามที่เกิดวิกฤตการระบาดของโรค COVID-19 ธุรกิจแพลตฟอร์มดิลิเวอร์รี่ไทยยังมีขนาดเล็ก ประเทศไทยจึงยังต้องพึ่งพาแพลตฟอร์มดิลิเวอรี่ขนาดใหญ่ของต่างชาติ การทำงานที่บ้านหรือ Work from home ที่ผู้ประกอบการเล็กใหญ่ทุกราย ต้องปรับตัวประชุมทางไกล (Video-conference) ซึ่งก็อยู่บนแพลตฟอร์มของต่างชาติเช่นกัน

ทั้งนี้ สามารถนำเสนอแนวคิดในการปรับยุทธศาสตร์ชาติ 20 ปี เพื่อแก้ไขปัญหาย่อย ทั้ง 10 ปัญหาได้ (ตารางที่ 4-1) ดังนี้

แนวทางในการพัฒนายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของประเทศไทย และรูปแบบในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

เมื่อพิจารณาแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับชาติเพื่อค้นหาแนวทางในการปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยจำแนกออกตามองค์กร ที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ ตามแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ) ซึ่งได้เสนอแนะให้จำแนกแนวทางการพัฒนายุทธศาสตร์ออกเป็น 3 บทบาท ได้แก่ 1) แนวทางที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถ จัดหมวดหมู่ของ 10 แนวคิดในการปรับปรุงยุทธศาสตร์ที่ได้จากการวิเคราะห์ปัญหาย่อยทั้ง 10 ปัญหา ออกตามผู้มีบทบาทนำในการขับเคลื่อนยุทธศาสตร์ได้ ดังนี้ทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้

  1. แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led)
    โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น ร่วมกับผู้เชี่ยวชาญในภาคเอกชนในการขับเคลื่อนแผนปฏิบัติการและโครงการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
    1.1 บริหารความเสี่ยงและสร้างกลไกตอบสนองต่อความเสี่ยงในหน่วยงานโครงสร้างพื้นฐานที่สำคัญ
    1.2 พัฒนานโยบาย กฎหมายลูก และมาตรฐานด้านความมั่นคงปลอยภัยทางไซเบอร์
    1.3 พัฒนาบุคลากรจากหน่วยงานที่เกี่ยวข้องในกระบวนการยุติธรรม เช่น การบังคับใช้กฎหมาย การสืบสวน และการตัดสินคดีทางไซเบอร์ เป็นต้น
    1.4 บูรณาการหน่วยงานภาครัฐ ในลัษณะของปฏิบัติการร่วม (Joint-force) โดยมีหน่วยงานหลักที่เป็นเจ้าภาพชัดเจน และสร้างความร่วมมือกับภาคเอกชน ภาคประชาสังคม และองค์กรระหว่างประเทศ เพื่อรักษาสมดุลระหว่างเสรีภาพในโลกไซเบอร์สเปซและความมั่นคงปลอดภัยทางไซเบอร์
  1. แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led)
    โดยรัฐบาลควรสร้างความร่วมมือและอาศัยกลไกของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน เพื่อให้ประชาชนและภาคเอกชนมีบทบาทนำในการรักษาความมั่นคงปลอดภัยไซเบอร์ ดังต่อไปนี้
    2.1 พัฒนาระบบการศึกษา โดยปฏิรูปหลักสูตรการเรียนการสอน โดยสอดแทรกเนื้อหาความรู้เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในแต่ละระดับการเรียนการสอน และพัฒนาบุคลากรภาครัฐโดยเฉพาะหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญให้มีความรู้ด้านความมั่นคงปลอดภัยด้านไซเบอร์
    2.2 สร้างความตระหนักรู้ (Awareness) ด้านความมั่นคงปลอดภัยด้านไซเบอร์ ให้แก่ประชาชนเพื่อให้รู้เท่าทันภัยจากการใช้งานสื่อสังคมออนไลน์ (Social media) และการเปิดเผยข้อมูลส่วนบุคคลให้แก่แพลตฟอร์ม (Platform) ต่างประเทศ เพื่อป้องกันการรุกล้ำทางไซเบอร์ในระดับประเทศ
    2.3 สร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสาร (IO) ทางสื่อสังคมออนไลน์ (Social Media) ทั้งจากภายในประเทศและต่างประเทศ
    2.4 สร้างความตระหนักรู้ถึงการใช้ประโยชน์จากข้อมูลส่วนบุคคลในการโฆษณาชวนเชื่อ รวมถึงสิทธิและวิธีการปกป้องและคุ้มครองข้อมูลส่วนบุคคล
    2.5 สร้างทักษะความเข้าใจและใช้เทคโนโลยีดิจิทัล หรือ Digital literacy ให้มี “ภูมิคุ้มกันทางดิจิทัล” และ“ภูมิคุ้มกันทางไซเบอร์” (Digital immunity/Cyber immunity) ที่ดี
  1. แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led)
    โดยรัฐบาลควรส่งเสริมและสนับสนุนการวิจัยและพัฒนาเพื่อสร้างแพลตฟอร์มที่เป็นนวัตกรรมทางดิจิทัลที่ล้ำหน้าทันสมัย (Leapfrog digital innovation platform) ของประเทศไทย ที่สามารถตอบสนองความต้องการของประชาชนเหนือกว่าแพลตฟอร์มต่างประเทศ เพื่อให้ประเทศไทยมีแพลตฟอร์มของตนเองที่สามารถดูแลข้อมูลส่วนบุคคลของประชาชนได้ด้วย และสามารถป้องกันการรุกรานอธิปไตยทางไซเบอร์ผ่านทางสื่อสังคมออนไลน์ (Social media) เพื่อป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) และแพลตฟอร์ม (Platform) ต่างประเทศ
    ทั้งนี้ การสร้างแพลตฟอร์มของประเทศไทย ในลัษณะที่เป็นการเลียนแบบหรือเพื่อแข่งขันกับแพตฟอร์มต่างประเทศ เช่น Twitter และ Netflix เป็นต้น ในระยะสั้นอาจไม่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ อาจไม่ตรงตามความต้องการของประชาชน และอาจด้อยกว่าแพลตฟอร์มต่างประเทศที่มีลูกเล่น (Feature) ใหม่เพิ่มอยู่ตลอดเวลาได้ รวมถึงอาจด้อยกว่าในเชิงโครงสร้างพื้นฐานและเครือข่ายสนับสนุนการใช้งาน หรือพันธมิตร (Partner) จึงควรกำหนดแผนระยะปานกลางถึงระยะยาวในการวิจัยและพัฒนาแพลตฟอร์มที่มีความใหม่ แตกต่าง และล้ำหน้า ด้วยการใช้นวัตกรรมทางดิจิทัล ซึ่งต้องอาศัยผู้เชี่ยวชาญทางเทคโนโลยีดิจิทัล ทั้งจากภายในประเทศไทยและต่างประเทศ เพื่อสร้างสิ่งใหม่ที่สามารถเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานได้ และตอบโจทย์ความต้องการของประชาชนอย่างแท้จริง
    จากการเปรียบเทียบปัญหาใหญ่ที่ 1 ความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับประเทศ ซึ่งเปรียบเสมือนเป็นยอดภูเขาน้ำแข็งที่ลอยอยู่เหนือน้ำ (Tip of the iceberg) และปัญหาใหญ่ที่ 2 ความไม่พร้อมในการรับมือปรากฏการณ์การใช้สื่อสังคมออนไลน์เป็นเครื่องมือในการรุกรานความคิด และการสูญเสียอธิปไตยไซเบอร์ของชาติ ซึ่งเปรียบเสมือนเป็นส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ประเทศไทยเปรียบเหมือนเป็นเรือไทยทานิค (แผนภาพที่ 4-3) ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติ ทุก 5 ปี โดยรอบระยะเวลาของ การทบทวนปรับปรุงแก้ไขครั้งแรกคือ ปี 2565 ซึ่งหากไม่มีการปรับปรุงแก้ไขยุทธศาสตร์ชาติในด้านความมั่นคงปลอดภัยไซเบอร์และอธิปไตยไซเบอร์ของชาติ ภายในปี 2568 หรืออีก 5 ปีข้างหน้า ปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 จะส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติ ระบบเศรษฐกิจ อันดับความมั่นคงปลอดภัยไซเบอร์ของประเทศ การสูญเสียอธิปไตยทางไซเบอร์ และการขาดรายได้ภาษีจากแพลตฟอร์มต่างชาติ ซึ่งเปรียบเหมือนเรือไทยทานิคชนกับภูเขาน้ำแข็งจนต้องอับปางลงนั่นเอง

กรณีที่ประเทศไทยมีการทบทวนและปรับปรุงแก้ไขยุทธศาสตร์ชาติ โดยยึดหลักการขับเคลื่อนตามแนวทางที่รัฐมีบทบาทนำ (Government-led) ภาคประชาชนมีบทบาทนำ (Civilian-led) และแพลตฟอร์มมีบทบาทนำ (Platform-led) ตามที่อภิปรายไว้ข้างต้น ย่อมเปรียบเหมือนเรือดำน้ำที่พุ่งชนภูเขาน้ำแข็งให้เปลี่ยนทิศทางออกไปจนเรือไทยทานิคสามารถหลุดพ้นปัญหาใหญ่ที่ 1 และปัญหาใหญ่ที่ 2 ได้

การปรับปรุงยุทธศาสตร์ชาติตามแนวคิดในการกำหนดบทบาทผู้ขับเคลื่อนแนวทาง การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์ 3 บทบาท ได้แก่ 1) แนวทางขับเคลื่อนที่รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนที่ภาคประชาชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนที่แพลตฟอร์มมีบทบาทนำ (Platform-led) สามารถกำหนดโครงการภายในแนวทางการขับเคลื่อน หน่วยงานรับผิดชอบหลัก/หน่วยงานรับผิดชอบรอง เป้าหมาย วิธีดำเนินการ และกรอบระยะเวลาดำเนินการได้ ดังนี้

กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยใน ๕ มิติ

การพัฒนา “กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย” ได้นำกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity Capacity Centre แห่ง University of Oxford มาประยุกต์ให้เหมาะสมกับสถานการณ์ปัจจุบันและสภาวะแวดล้อมของประเทศไทย เพื่อช่วยเพิ่มขีดความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยให้เป็นระบบ มีประสิทธิผล และได้มาตรฐานสากลได้

ทั้งนี้ Global Cybersecurity Capacity Centre ได้นำ CMM มาใช้ในการประเมินความสามารถด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์มาแล้วกว่า 100 ประเทศทั่วโลก โดยสามารถแบ่งมิติในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยออกเป็น 5 มิติ (แผนภาพที่ 4-5) ดังนี้

มิติที่ 1 National cybersecurity framework and policy การพัฒนานโยบายและกรอบแนวคิดเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ`เป็นเรื่องสำคัญในลำดับต้น ๆ ของการพัฒนายุทธศาสตร์ไซเบอร์ในระดับประเทศ

มิติที่ 2 Cyber culture and society การปรับมุมมองและทัศนคติของประชาชน ในเรื่องความเชื่อมั่นในการใช้ชีวิตในโลกไซเบอร์ เป็นการสร้างความเชื่อมั่นของประชาชนในการใช้บริการอินเทอร์เน็ต หรือ Online service ต่าง ๆ รวมทั้งความเข้าใจของประชาชนในเรื่องความเสี่ยงในการใช้อินเทอร์เน็ต

มิติที่ 3 Cybersecurity education, training and skills การบริหารจัดการเรื่อง การสร้างความตระหนักรู้ถึงความสำคัญในเรื่องความมั่นคงปลอดภัยไซเบอร์ ของภาครัฐภาคเอกชน และ ประชาชนทั่วไป ตลอดจน การอบรมความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ของภาครัฐ ภาคเอกชนและประชาชนทั่วไป

มิติที่ 4 Legal and regulatory frameworks การพัฒนากฎหมายและกฎระเบียบ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ ถือว่าเป็นอีกมิติที่มีความจำเป็นต้องพัฒนาเพื่อให้เท่าทันการเปลี่ยนแปลงทางดิจิทัล (Digital transformation) ที่กำลังเกิดขึ้น และส่งผลกระทบต่อการดำเนินชีวิตของประชาชนทั่วโลก

มิติที่ 5 Standards, organizations, and technologies การพัฒนามาตรฐานและการปฏิบัติตามมาตรฐานที่เกี่ยวกับการใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ การควบคุมความมั่นคงปลอดภัยไซเบอร์ การใช้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้องกันภัยไซเบอร์ในระดับบุคคล ระดับองค์กร และ โครงสร้างพื้นฐานของประเทศ ตลอดจนการพัฒนาเทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

๑. Cybersecurity framework and policy

๒. Cyber culture and society

๓. Cybersecurity education, training and skills

๔. Legal and regulatory frameworks

๕. Standard, organizations and technologies

สรุป

ปัญหาความไม่พร้อมในการปกป้อง ป้องกัน รับมือและแก้ไขภัยคุกคามทางไซเบอร์ และ ความไม่พร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับประเทศ เปรียบเสมือนยอดภูเขาน้ำแข็ง (Tip of the iceberg) ที่ส่วนใหญ่เป็นภัยคุกคามไซเบอร์ทางกายภาพ ซึ่งสามารถรับรู้ได้ชัดเจน ปัญหาความไม่พร้อมในการรับมือปรากฏการณ์ “Social media as a new source of soft power” ที่ใช้ในการรุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty) นั้นเปรียบเสมือนส่วนของภูเขาน้ำแข็งที่จมอยู่ใต้น้ำ (Submerged part of the iceberg) ซึ่งเป็นส่วนที่ใหญ่กว่าการโจมตีทางกายภาพมาก กฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้าน ความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาตช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์

ผู้วิจัยจึงได้เสนอแนะแนวทางขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ระดับชาติ โดยนำแนวคิดของผู้ทรงคุณวุฒิ (รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ) มาประยุกต์ใช้ โดยแบ่งแนวทางออกเป็น 3 บทบาท ประกอบด้วย 1) แนวทาง ที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางที่แพลตฟอร์มมีบทบาทนำ (Platform-led) และได้นำกรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ 5 มิติ CMM มาประยุกต์ใช้กับประเทศไทย ประกอบด้วย มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 legal and regulatory frameworks มิติที่ 5 Standards, organizations, and technologies เพื่อเสนอแนะแนวทางการทบทวนและปรับปรุงยุทธศาสตร์ชาติ 20 ปี ด้านความมั่นคง และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ให้ครอบคลุมการป้องกันและรับมือกับปัญหาปรากฏการณ์ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยทางไซเบอร์ (Cyber sovereignty)

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 6

กุมภาพันธ์ 27, 2021

สำหรับผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ในตอนที่ 6 นี้ ผมขอนำเสนอต่อในเรื่อง การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์ ซึ่งเป็นบทที่ 3 จากผลงานโครงการวิจัย ความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อ ความมั่นคงของชาติในระยะยาว และ แนวทางการกำหนดยุทธศาสตร์ชาติ ของ ดร.ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ที่ได้ให้ความอนุเคราะห์นำมาเผยแพร่ในเว็บไซต์ itgthailand.com และ itgthailand.wordpress.com ทั้งสองแห่งนี้

การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์ ในบทที่ 3 จะเป็นการวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในระดับสากล และ การวิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย รวมถึง วิเคราะห์ความสอดคล้องยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกับการแก้ปัญหาอธิปไตยไซเบอร์ในระดับสากลที่จะได้นำเสนอตามลำดับ

บทที่ 3

การพิจารณายุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเฉพาะที่มีความสอดคล้องกับอธิปไตยไซเบอร์

วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในระดับสากล

ปรากฎการณ์ “Digital transformation” และการเข้าสู่ยุค S-M-I-C (Social–Mobile–Information–Cloud) นำไปสู่การเจริญเติบโตของธุรกิจแพลตฟอร์ม (Platform) ซึ่งธุรกิจไม่จำเป็นต้องผลิตสินค้าและบริการเอง แต่เป็นการให้บริการอำนวยความสะดวกและเป็นตัวกลาง ในการทำธุรกิจระหว่างลูกค้ามากกว่าหนึ่งประเภท ตัวอย่าง Platform ประเภทเครือข่ายสังคม เช่น Facebook Twitter Line Instagram เป็นต้น ประเภทค้าปลีก เช่น eBay Alibaba Amazon เป็นต้น ประเภทสื่อ เช่น YouTube เป็นต้น ประเภทการชำระเงิน เช่น PayPal Alipay เป็นต้น ประเภทระบบปฏิบัติการบนสมาร์ทโฟน เช่น ios Android เป็นต้น ประเภทการท่องเที่ยว เช่น Airbnb เป็นต้น ประเภทบริการรถสาธารณะ เช่น Uber Grab เป็นต้น

นอกจากจากรูปแบบกระบวนการดำเนินธุรกิจที่เปลี่ยนแปลงไปตามการพัฒนาเทคโนโลยีแล้ว การวิเคราะห์ทางการตลาดยังเปลี่ยนแปลงไปด้วย จากเดิมที่วิเคราะห์กลุ่มเป้าหมายด้วยหลักประชากรศาสตร์ (Demographic) เช่น อายุ เพศ การศึกษา รายได้ สถานภาพ เป็นต้น เป็นการวิเคราะห์กลุ่มเป้าหมายด้วยหลักจิตนิสัย (Psychographic) เช่น รูปแบบการดำเนินชีวิต (Lifestyles) ความชื่นชอบ ความเชื่อ ค่านิยม เป็นต้น โดยอาศัยข้อมูลที่อยู่ในความครอบครองของแพลตฟอร์ม (Platform) บนสมาร์ทโฟน หรือเครือข่ายสังคมออนไลน์ (Social media) ซึ่งทำให้ธุรกิจ Platform มีความได้เปรียบในการประกอบธุรกิจ

แม้ว่าเครือข่ายสังคมออนไลน์ (Social media) และสมาร์ทโฟนจะเป็นประโยชน์ต่อการใช้ชีวิตประจำวันของทุกคนอย่างมหาศาล ด้วยเจตนารมณ์ที่หวังจะส่งมอบสิ่งที่ดีที่สุดให้ผู้ใช้บริการ แต่ผู้ให้บริการย่อมถูกกดดันด้วยภาวะการแข่งขันของธุรกิจ เพื่อเข้าถึงผู้ใช้บริการให้มากที่สุด จึงสร้างผลเสียต่อประชาชนโดยไม่รู้ตัว อาทิ การเสพติดดิจิทัล (Digital addiction) จากอุปกรณ์ดิจิทัลที่เข้ามาครอบงำชีวิตเราในทุกเรื่อง สุขภาพทางจิตใจ (Mental health) จากความทุกข์ที่เกิดจากการเปรียบเทียบตัวเองกับคนอื่น หรือเรื่องเล่าบนเครือข่ายสังคมโซเชียล และถูกกลั่นแกล้ง ในเครือข่ายสังคมโซเชียล (Cyber bullying) การแยกแยะความจริงจากความไม่จริง (Breakdown of truth) ทำได้ยากขึ้นเรื่อย ๆ การแบ่งขั้วแยกข้าง (Polarization) ทางอุดมการณ์ ทำให้การสร้าง ความปรองดองและความร่วมมือในสังคมกระทำได้ยากยิ่งขึ้น และสุดท้ายการชักใยทางการเมือง (Political manipulation) เพื่อสร้างความขัดแย้งและการทำสงครามไซเบอร์ ผลเสียเหล่านี้ ล้วนเกิดมาจากขีดความสามารถของเทคโนโลยีที่ก้าวข้ามขีดความสามารถของมนุษย์ ซึ่งเข้าใจง่ายกว่า หากพิจารณาจากเทคโนโลยีที่ก้าวข้ามข้อด้อยของมนุษย์ (Human vulnerabilities) ในขณะเดียวกันความไม่สอดคล้องกันระหว่างความก้าวหน้าทางเทคโนโลยีอย่างก้าวกระโดดและความสามารถในการตระหนักรู้ของมนุษย์ (Human sensitivities) ส่งผลกระทบต่อความคิด ความรู้สึก และการกระทำของมนุษย์ ซึ่งล้วนสร้างผลเสีย เช่น ช่วงความสนใจที่สั้นลง (Attention span) อ่านแค่พาดหัว โดยไม่สนใจรายละเอียด แข่งขันกันที่ยอดไลค์และยอดแชร์บน Social media เป็นต้น

นอกจากนี้ ข้อมูลส่วนบุคคลจำนวนมหาศาลที่อยู่ในอำนาจการควบคุมของแพลตฟอร์ม (Platform) หรือผู้ให้บริการ Social media ต่างประเทศ ทำให้ผู้ให้บริการสามารถล่วงรู้ถึงรูปแบบการดำเนินชีวิตทางดิจิทัล หรือ “Digital lifestyle” ของผู้ใช้งาน ในด้านหนึ่งย่อมมีประโยชน์ต่อระบบเศรษฐกิจ โดยทำให้ผู้ใช้บริการสามารถได้รับบริการที่มีประสิทธิภาพ และตรงตามความคาดหวัง ในอีกด้านหนึ่ง การใช้ประโยชน์จากข้อมูลส่วนบุคคลจำนวนมหาศาลผ่าน Google Facebook และ Social media เช่น ตำแหน่งการใช้งาน พฤติกรรมการค้นหาข้อมูล (Search behavior) พฤติกรรมการเข้าชมภาพ/วีดีโอ พฤติกรรมการเลือกซื้อสินค้าและบริการ เป็นต้น อาจนำไปสู่การส่งผ่านข้อมูลที่มีอิทธิพลต่อทัศนคติ ความคิดเห็น พฤติกรรมและการตัดสินใจของผู้ใช้บริการได้โดยตรง โดยที่ผู้ใช้บริการอาจไม่รู้ตัว โดยเฉพาะอย่างยิ่งกลุ่มเยาวชนและคนรุ่นใหม่ ซึ่งเป็นกลุ่มที่มีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น อิทธิพลจากการเข้าถึงข้อมูลส่วนบุคคล และ Social media อาจทำให้เกิดการเปลี่ยนแปลงความเข้าใจ ความเชื่อ แนวคิด อุดมการณ์ และอาจทำให้เกิดการรับรู้ข้อมูลที่ไม่ตรงกับความเป็นจริงได้ เนื่องจากผู้ใช้บริการอาจไม่ได้ตรวจสอบความถูกต้องของข้อมูลก่อน รวมถึงสามารถส่งผ่านข้อมูลที่ชักจูงและสร้างกระแสสังคมที่ส่งผลกระทบในวงกว้าง และอาจส่งผลกระทบต่อความมั่นคงของสถาบันหลักของชาติได้โดยง่าย จึงถือเป็นการรุกรานทางความคิดต่อประชาชนรูปแบบใหม่ที่สามารถส่งผลกระทบต่อเศรษฐกิจ สังคม และประเทศชาติได้

ปัจจุบัน การปฏิบัติการข่าวสาร (Information operations : IO ) ทั้งภาวะปกติ และภาวะสงคราม รวมไปถึงความขัดแย้งทางการเมืองและทางสังคม มักนิยมใช้ไซเบอร์สเปซ เป็นช่องทางในการดำเนินการ โดยการกระจายข้อมูลข่าวสาร เช่น ข้อความ ภาพนิ่ง ภาพเคลื่อนไหว การประชาสัมพันธ์ การโฆษณาชวนเชื่อ เป็นต้น ผ่านเครือข่ายสังคมออนไลน์ (Social media) ต่าง ๆ เช่น Line Facebook Twitter เป็นต้น ทำให้สามารถเข้าถึงกลุ่มเป้าหมายด้วยความรวดเร็วชั่วพริบตา และมีการแชร์ข้อมูลต่อ ๆ กันไปอย่างรวดเร็ว ซึ่งมีอิทธิพลต่อความรู้สึกนึกคิด ความเชื่อ ทัศนคติ อุดมการณ์ และมีผลต่อการตัดสินใจของคนเป็นจำนวนมาก จึงก่อให้เกิดปัญหาใหญ่คือ การรุกล้ำ “อธิปไตยไซเบอร์” หรือ “ความเป็นเอกราชทางไซเบอร์” (Cyber sovereignty) ของประชาชนในประเทศ ตลอดจนปัญหาความมั่นคงของชาติ (National security) ซึ่งประชาชน ส่วนใหญ่ยังไม่รู้ตัวเลยด้วยซ้ำว่ากำลังถูกละเมิดในเรื่อง “อธิปไตยไซเบอร์” เนื่องจากปัญหาดังกล่าวถูกซ่อนอยู่ในการใช้งานอินเทอร์เน็ต และการใช้งานสมาร์ทโฟนในปัจจุบันที่อยู่ในชีวิตประจำวันของคนจำนวนมาก

ประธานาธิบดีแห่งสาธารณรัฐประชาชนจีน สี จิ้นผิง ได้กล่าวเสมอในการประชุมสุดยอดผู้นำโลกเกี่ยวกับปัญหา “อธิปไตยไซเบอร์” (Cyber sovereignty) ที่กำลังเกิดขึ้นทั่วโลก ท่านกล่าวว่าทุกประเทศทั่วโลกมีสิทธิที่จะกำหนดนโยบายด้านไซเบอร์ในประเทศของตน เพื่อป้องกันการรุกรานโดยต่างชาติ ในรูปแบบที่ไม่ต้องใช้กำลังทางทหารหรือกระสุนแม้แต่เพียงนัดเดียว แต่เป็นการรุกรานหรือการล่าอาณานิคมในรูปแบบใหม่ ที่ประชาชนในประเทศเป้าหมายไม่ได้รับรู้ว่ากำลังถูกรุกรานอยู่ เนื่องจากการรุกรานดังกล่าวไม่ต้องใช้กำลังแต่อย่างใด เป็นการรุกรานทางความคิด ความเชื่อ ค่อย ๆ ส่งข้อมูลเข้ามาปรับเปลี่ยนพฤติกรรมของคนในชาติเหล่านี้

เราคงเคยเห็นกันจากประสบการณ์การปฏิวัติประชาธิปไตยในหลายประเทศ ในตะวันออกกลางและอาฟริกาเหนือ หรือการลุกฮือขึ้นโค่นล้มรัฐบาลในหลายประเทศของชาวอาหรับ (Arab Spring) มาแล้ว การใช้สื่อสังคมออนไลน์ที่สะดวก รวดเร็วนี้ เป็นมีดสองคม อาจเริ่มจากสร้างเพจ Facebook เพื่อหาแนวร่วม ไปจนถึงการออกมาแสดงพลังเงียบในโลกจริง มีผลต่อการเลือกตั้ง มีผลต่อการเมืองการปกครอง ภัยจากการรุกรานเข้ามาเปลี่ยนความคิดดังกล่าวนั้น น่ากลัวยิ่งกว่าภัยจากการแฮกของแฮกเกอร์เสียอีก เนื่องจากแฮกเกอร์จะเข้าระบบเพื่อดึงข้อมูล หรือทำให้ระบบล่ม ที่เราเห็นปัญหามัลแวร์ (Malware) กันอยู่เป็นประจำ หากแต่การเจาะเข้าไปในจิตใจของมนุษย์ ให้ปรับเปลี่ยนความคิด ความเชื่อ ความศรัทธา ทำให้ชอบหรือไม่ชอบ รักหรือเกลียดในตัวบุคคล สินค้า หรือบริการ หรือบริษัทต่าง ๆ ตลอดจนผู้นำในแต่ละประเทศมีผลกระทบโดยตรงต่อเศรษฐกิจและสังคมของประเทศต่าง ๆ ตลอดจนส่งผลกระทบถึงความมั่นคงของชาติหรือ “National security” ในที่สุด

จากผลการศึกษาของ Hao Yeli (2560) ได้กล่าวว่า ปัญหาการรุกล้ำอธิปไตยทางไซเบอร์ (Cyber sovereignty) เป็นภัยคุกคามทางไซเบอร์อันดับหนึ่ง (Tier one) ของปัญหาความมั่นคงปลอดภัยไซเบอร์ของประเทศ และถือเป็นโดเมนที่ห้าแห่งการทำสงครามทางการทหาร (The fifth domain of warfare) นอกเหนือจาก พื้นดิน ผืนฟ้า อากาศ และอวกาศ โดยปัจจุบันประเทศสหรัฐอเมริกาและองค์การสนธิสัญญาแอตแลนติกเหนือหรือนาโต (NATO) ได้กำหนดให้โลกไซเบอร์สเปซ (Cyberspace) เป็นโดเมนแห่งสงคราม และจัดตั้งกองกำลังทางทหารด้วยแล้ว ในขณะที่ในยุคโบราณพื้นดินถูกห้อมล้อมไปด้วยผืนน้ำ ผืนน้ำถูกห้อมล้อมไปด้วยอากาศ อากาศ ถูกห้อมล้อมไปด้วยอวกาศ ในขณะที่ไซเบอร์สเปซนั้นไร้ขอบเขตจำกัด ถือว่าเป็นโดเมนหนึ่ง ที่มีความสำคัญในการสู้รบเอาชนะฝ่ายตรงข้าม (แผนภาพที่ 3-1) ประเทศสหรัฐอเมริกาและประเทศจีนได้ให้ความสำคัญกับเรื่อง สงครามไซเบอร์ (Cyber warfare) ถึงขนาดให้การสนับสนุนให้มีการผลิตนักรบไซเบอร์ (Cyber warriors) ขึ้นมาประจำการในกองกำลังทหาร เพื่อเสริมสร้างกำลังอำนาจทางทหาร ซึ่งเป็นกำลังอำนาจแห่งชาติ (National power) ที่สำคัญด้านหนึ่ง

อย่างไรก็ตาม หลายประเทศยังคงให้ความสำคัญกับการคุ้มครองโลกไซเบอร์สเปซของตนเอง จากการคุกคามและการโจมตีทางไซเบอร์ทางกายภาพจากภายนอกประเทศ โดยไม่คำนึงถึงการคุกคามในระดับผู้ใช้งาน (Practical level)

Hao Yeli (2560) ได้เสนอทฤษฎีสามมุมมอง (Three perspective theory) เพื่ออภิปรายถึงปัญหาของการรุกล้ำอธิปไตยทางไซเบอร์ (Cyber sovereignty) โดยสามารถแบ่งชั้นของการรุกล้ำออกเป็น 3 ระดับ ในลักษณะของพีระมิด ดังปรากฎในแผนภาพที่ 3-2

  1. ระดับล่างสุดของพีระมิด หรือฐานพีระมิดคือ ระดับการรุกล้ำทางกายภาพ (Physical level) หมายถึงโครงสร้างพื้นฐานทางไซเบอร์สเปซและโครงสร้างพื้นฐานทางเทคนิค (Technical foundation) การป้องกันคือ การพัฒนามาตรฐานระบบป้องกันภัยคุกคามทัดเทียมมาตรฐานระดับโลกการสร้างความเชื่อมโยงกันของระบบเทคโนโลยีสารสนเทศ และการพัฒนาขีดความสามารถ ในการป้องกันภัยคุกคามไซเบอร์
  2. ระดับกลางพีระมิดคือ ระดับแอพพลิเคชั่น (Application level) หมายถึง แพลตฟอร์มและตัวกลางที่เชื่อมโยงภาคส่วนต่าง ๆ เข้าด้วยกัน อาทิ เทคโนโลยี วัฒนธรรม เศรษฐกิจ การค้า และการใช้ชีวิตประจำวันของประชาชน การป้องกันคือ การสร้างดุลยภาพและความร่วมมือระหว่างหน่วยงานรัฐและเอกชนเพื่อรักษาสมดุลระหว่างความเป็นอิสระเสรีและความมั่นคง
  3. ระดับยอดของพีระมิด (Top or core level) ประกอบด้วยรากฐานความมั่นคงของรัฐ ได้แก่ นโยบายรัฐ กฎหมาย เสถียรภาพทางเมือง และอุดมการณ์ทางการเมือง และโครงสร้างของความหลากหลาย เช่น ศาสนา และวัฒนธรรม เป็นต้น การป้องกันคือ การสร้างความร่วมมือระหว่างภาครัฐและภาคส่วนอื่นๆ (Multi-stakeholder) การกำหนดนโยบายและกติกาการใช้งานระบบอินเทอร์เน็ตร่วมกัน ทั้งนี้ บางรัฐอาจมีอำนาจตามกฎหมายในการควบคุมโครงสร้างพื้นฐานด้านข้อมูลสารสนเทศของประเทศ

ตัวอย่างประเทศที่ป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ได้สำเร็จ คือ ประเทศจีน ขอบเขตของความปลอดภัยทางไซเบอร์ของจีนกว้างขวางกว่าของชาติตะวันตก ในขณะที่ชาติตะวันตกเน้นเรื่องความปลอดภัยของระบบและโครงสร้างพื้นฐานเป็นสำคัญ ในประเทศจีน ความปลอดภัยทางไซเบอร์มีความหมายกว้าง โดยรวมถึงการรักษาเสถียรภาพทางการเมืองและสังคมด้วย โดยประเทศจีนสามารถควบคุมการใช้อินเทอร์เน็ตของพลเมืองภายในประเทศตนเองได้ การคุ้มครองข้อมูลส่วนบุคคลให้อำนาจรัฐบาลในการเข้าถึงข้อมูลเหล่านั้น ผู้ให้บริการทางโครงข่ายระบบโครงสร้างพื้นฐานที่สำคัญมีความรับผิดชอบในการปกป้องความมั่นคงของรัฐด้วย มีการเร่งพัฒนาศักยภาพด้านไซเบอร์ให้มีเทคโนโลยีและนวัตกรรมเป็นของตนเอง โดยได้ดำเนินโครงการ National public security work informational project ตั้งแต่ปี 2541 ซึ่งมีโครงการย่อย ภายใต้ชื่อกำแพงเมืองจีนบนโลกออนไลน์ “The great firewall” หรือ “GFW” ใช้ทางผ่านอินเทอร์เน็ต 3 ช่องทาง อยู่ที่ปักกิ่ง เซี่ยงไฮ้ และกว่างโจว ในด้านเทคนิคถือว่ามี 3 ช่องทาง แต่ในด้านการควบคุมเป็น “National gateway” ซึ่งพัฒนามาเป็นลำดับตลอดระยะเวลา 20 ปี ที่ผ่านมา และมีการออกกฎหมายควบคุม Virtual private networks (VPN) หรือ “เครือข่ายส่วนตัวเสมือน” ที่ไม่ได้รับอนุญาต ซึ่งเป็นบริการที่ช่วยให้ชาวจีนสามารถเชื่อมต่อกับอินเทอร์เน็ตได้ โดยไม่ต้องการผ่าน National gateway ทำให้เครือข่าย VPN บางเครือข่ายไม่สามารถใช้งานได้ และบางรายถูกปิดอย่างถาวร

ด้วยเหตุนี้เว็บไซต์ที่คนใช้กันอย่างแพร่หลายทั่วโลก เช่น Facebook Youtube Twitter Google Instagram LINE dropbox ไม่สามารถใช้งานในประเทศจีนได้ โดยประเทศจีนได้สร้างสังคมออนไลน์ใช้ภายในประเทศขึ้นมามากมาย เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google แอพพลิเคชั่นไป่ตู้แมพ (Baidu map) ซึ่งเป็นบริการค้นหาสถานที่คล้ายกับ Google map เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) ซึ่งคล้ายกับ Twitter วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศเวียดนาม กัมพูชา และเมียนมา กำลังพัฒนาศักยภาพด้านไซเบอร์เชิงรุกเช่นกัน โดยที่รัฐบาลของมาเลเซีย อินโดนีเซีย สิงคโปร์ และเวียดนาม สนับสนุนให้ภาคเอกชนพัฒนาและเริ่มใช้ Platform เป็นของตนเอง

ตัวอย่างประเทศที่อยู่ระหว่างริเริ่มการป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ คือ ประเทศออสเตรเลีย ซึ่งมีการบัญญัติกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) เมื่อเดือนธันวาคมปี 2561 ซึ่งกำหนดให้บริษัทผู้ให้บริการเทคโนโลยีคอมพิวเตอร์ และเว็บไซต์ที่ปฏิบัติการในออสเตรเลีย ต้องให้ความร่วมมือกับรัฐ ตำรวจ หรือข้าราชการในองค์การเกี่ยวกับ ความปลอดภัย เข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน โดยเจ้าหน้าที่อาจแฮกเข้าอุปกรณ์ไอที ผังมัลแวร์เพื่อทำลายการเข้ารหัส อัยการสูงสุดของออสเตรเลียมีอำนาจออกคำสั่งให้บริษัทเทคชั้นนำอย่าง Apple, Facebook และ Whatsapp สร้างโค้ดซอฟต์แวร์หรืออื่นๆ หากบริษัทปฏิเสธไม่ยอมทำตามจะเจอโทษปรับ 10 ล้านดอลลาร์ และ 5 หมื่นดอลลาร์ นอกจากนี้ บริษัทเหล่านี้อาจต้องมอบข้อมูลเกี่ยวกับสเป็คการออกแบบทางเทคโนโลยีให้กับตำรวจ เพื่ออำนวยความสะดวกในการเข้าถึงอุปกรณ์และบริการเฉพาะได้ อีกทั้งช่วยเหลือทางการออสเตรเลีย ในการพัฒนาขีดความสามารถของตนเอง และช่วยปกปิดข้อเท็จจริงเกี่ยวกับปฏิบัติการของทางการด้วย เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรม การก่อการร้าย และดูแลความมั่นคงของประเทศออสเตรเลีย

นอกจากนี้ ประเทศสิงคโปร์เป็นอีกประเทศที่ริเริ่มการป้องกันการรุกล้ำอธิปไตยทางไซเบอร์ โดยองค์กรด้านการพัฒนาและกำกับดูแลสื่อสารสนเทศภาครัฐของสิงคโปร์ (Infocomm media development authority: IMDA) ได้ออกแนวปฏิบัติทางอินเทอร์เน็ต (Internet code of practice) ภายใต้ Broadcasting act เพื่อควบคุมเนื้อหาต้องห้ามทางออนไลน์ (Prohibited online material) ตั้งแต่ปี 2539 จนกระทั่งเมื่อปลายเดือนพฤษภาคม พ.ศ. 2556 รัฐบาลได้ประกาศให้ผู้ที่จะเปิดเว็บไซต์ข่าวจะต้องมาขึ้นทะเบียนขออนุญาตจากหน่วยงานของรัฐ ทั้งนี้ เพื่อให้สอดคล้องกับสื่อกระจายเสียงที่ต้องปฏิบัติตามแนวปฏิบัติในเรื่องการนำเสนอเนื้อหาข้อมูลข่าวสาร และหากเจ้าหน้าที่รัฐพบว่า มี “เนื้อหาต้องห้าม” จะต้องลบข้อมูลดังกล่าวภายใน 24 ชั่วโมง เนื้อหาต้องห้าม ดังกล่าว ประกอบด้วย เรื่องลามกอนาจาร ความรุนแรงแบบสุดขั้ว และเนื้อหาที่เกี่ยวข้องกับการเมือง และศาสนา องค์กรที่กำกับเรื่องสื่อของสิงคโปร์ได้แก่ The media development authority (MDA) อยู่ภายใต้กระทรวงข้อมูลและการสื่อสาร หน่วยงานแห่งนี้ก่อตั้งขึ้นในปี พ.ศ. 2546 โดยผู้บริหารองค์กรได้รับการแต่งตั้งจากรัฐบาล และมีการบัญญัติกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) หรือที่เรียกง่าย ๆ ว่า Fake news law เมื่อวันที่ 3 ตุลาคม 2562 เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ กฎหมายฉบับนี้ กำหนดโทษแก่ผู้ที่ถูกตัดสินว่าเผยแพร่ข่าวปลอมผ่านบัญชีออนไลน์ โดยผู้กระทำผิดประเภทรายบุคคลจะต้องเสียค่าปรับ 1 แสนดอลลาร์สิงคโปร์ หรือ 72,108 ดอลลาร์สหรัฐฯ หรือจำคุกเป็นเวลาถึง 10 ปี (ขั้นสูงสุด) หรือทั้งจำคุกและปรับ ขณะที่ผู้กระทำผิด ที่เป็นองค์กร จะต้องจ่ายค่าปรับขั้นสูงสุดถึง 1 ล้านดอลลาร์สิงคโปร์ กฎหมายให้อำนาจแก่รัฐบาล ในการกำหนดทิศทางการแก้ไข เพื่อบังคับให้ผู้โพสต์ข่าวปลอมบนช่องทางออนไลน์ต้องแก้ไขและ หยุดเผยแพร่ข้อมูลข่าวปลอมนั้น ๆ นอกจากนี้ รัฐบาลยังสามารถสั่งให้ผู้ให้บริการอินเทอร์เน็ตหรือตัวกลางผู้ให้บริการอินเทอร์เน็ตระงับการเข้าถึงเว็บไซต์ที่ฝ่าฝืน หรือปรับสูงถึงวันละ 20,000 ดอลลาร์สหรัฐฯ รวมสูงสุดไม่เกิน 500,000 ดอลลาร์สหรัฐฯ

กองทัพแห่งประเทศสหรัฐอเมริกาได้จัดการประชุมเชิงปฏิบัติการเกี่ยวกับปัญหา การรุกรานอธิปไตยไซเบอร์ในโลกของไซเบอร์สเปซ ในปี 2560 Cynthia (2559) ได้สรุป ผลการประชุมเชิงสัมมนาว่า สหรัฐอเมริกายังขาดยุทธศาสตร์แบบองค์รวมในการป้องกันการรุกรานอธิปไตยทางไซเบอร์ การแก้ไขปัญหาด้วยการสร้างการทำงานของหน่วยงานภาครัฐให้เป็นไปในทิศทางเดียวกัน (Whole-of-government approach) ไม่เพียงพอที่จะแก้ไขปัญหาได้ จำเป็นต้องขยายการแก้ไขปัญหาเป็นการทำงานของสังคมในทิศทางเดียวกัน (Whole-of-community) และ การทำงานของชาติในทิศทางเดียวกัน (Whole-of-nation) หมายความถึงการดึงให้ภาคเอกชน รัฐบาล และกองทัพของประเทศพันธมิตรเข้ามามีส่วนร่วมด้วย

ในขณะที่ประเทศรัสเซียมีแนวคิดว่า รูปแบบการรุกรานอธิปไตยทางไซเบอร์มีอยู่ 3 รูปแบบ ได้แก่ 1) การรุกรานรัฐ (State) ด้วยนโยบายการต่างประเทศ 2) การรุกรานประเทศ (National) ผ่านการเมือง วัฒนธรรม และเอกลักษณ์ของชาติ และ 3) ความชื่นชอบ (Popular) ผ่านกระบวนการรู้คิด (Cognitive processes) ของประชาชน โดยประเทศรัสเซียเริ่มมีมาตรการป้องกันการรุกรานอธิปไตยทางไซเบอร์ เช่น การห้ามนักลงทุนต่างชาติถือครองหุ้นของสื่อในรัสเซียมากกว่าร้อยละ 20 การทดลองเครือข่ายอินเทอร์เน็ตภายในประเทศ (Runet) หรืออินเทอร์เน็ตทางเลือก เพื่อควบคุมการเชื่อมต่ออินเทอร์เน็ตของประชาชนกับเครือข่ายในต่างประเทศ ซึ่งมีลักษณะเดียวกับกำแพงเมืองจีนบนโลกออนไลน์ “The great firewall” ของประเทศจีน รวมถึงมีเป้าหมายให้บริษัทเทคโนโลยีในประเทศสามารถผลิตเทคโนโลยี แอปพลิเคชัน (Application) และบริการต่าง ๆ ที่เป็นที่นิยมในกลุ่มผู้ใช้งานในประเทศขึ้นมาด้วยตัวเองเหมือนที่ประเทศจีนประสบความสำเร็จ เป็นต้น อย่างไรก็ดี รัสเซียยังประสบความล้มเหลวในการสกัดกั้นไม่ให้ประชาชนเข้าถึงแอพพลิเคชั่นสนทนา “เทเลแกรม (Telegram)” ที่บทสนทนาของผู้ใช้งานจะถูกเข้ารหัสเพื่อรักษาความเป็นส่วนตัว และการทดสอบเครือข่ายอินเทอร์เน็ตภายในประเทศ (Runet) ของรัสเซีย ไม่มีข้อมูลที่ชัดเจนว่าประสบความสำเร็จเพียงใดในการตัดการเชื่อมต่อจากโลกภายนอก

ดังนั้น เมื่อพิจารณาสถานะของการป้องกันการรุกรานทางอธิปไตยไซเบอร์ สามารถกล่าวได้ว่า ประเทศจีนเป็นประเทศที่ประสบความสำเร็จประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศ ที่กำลังตามหลังประเทศจีน และริเริ่มมาตรการการป้องกันอธิปไตยไซเบอร์ ได้แก่ ประเทศออสเตรเลีย และประเทศสิงคโปร์ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act – AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือเป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ ในขณะที่ เมื่อพิจารณาขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือ Soft power รุกรานอธิปไตยไซเบอร์ได้ หากไม่มีการวางระบบป้องกันด้านไซเบอร์ของประเทศที่เพียงพอ

วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย

1. วิเคราะห์กระบวนการ รูปแบบ และลักษณะของปัญหาอธิปไตยไซเบอร์ในประเทศไทย

1.1 ประเทศไทยไม่มีการพัฒนาเทคโนโลยีและนวัตกรรมให้เป็นของตนเอง ต้องพึ่งพาแพลตฟอร์มจากต่างประเทศ ไม่มี Platform ที่ทำธุรกิจหารายได้เข้าประเทศ ลดการสูญเสียเงินตราให้กับ Platform ต่างประเทศ ทั้งนี้ จากการสำรวจสัดส่วนการใช้งานแพลตฟอร์มสื่อสังคมออนไลน์ในประเทศไทยต่อการใช้งานอินเทอร์เน็ตทั้งหมด ของ We Are Social และ Hootsuite เมื่อเดือนมกราคมปี 2563 พบว่า กว่าร้อยละ 94 ของผู้ใช้งานอินเทอร์เน็ตใช้งาน Facebook และ Youtube และแพลตฟอร์มใหม่ ๆ อย่าง Tiktok เริ่มมีสัดส่วนเพิ่มขึ้นอย่างรวดเร็ว แพลตฟอร์มทั้งหลายเหล่านี้ล้วนเป็นแพลตฟอร์มของต่างประเทศทั้งสิ้น (แผนภาพที่ 3-3)

1.2 อัตราการใช้สื่อสังคมออนไลน์และการใช้โทรศัพท์เคลื่อนที่ของประชาชน ในประเทศไทยอยู่ในระดับต้น ๆ ของโลกเมื่อเทียบกับจำนวนประชากร และในห้วงการแพร่ระบาดของโรคโควิด-19 ปรากฎชัดว่าประชาชนใช้บริการอินเทอร์เน็ตสูงขึ้นในการทำกิจกรรมที่เกี่ยวกับ การค้า การเงิน การใช้ชีวิตประจำวัน ฯลฯ ทั้งระดับองค์กร และประชาชนรายบุคคล ทั้งนี้ จากการสำรวจของ We Are Social และ Hootsuite เมื่อเดือนมกราคมปี 2563 พบว่า จำนวนผู้ใช้งานสื่อสังคมออนไลน์ในประเทศไทยมีจำนวน 52 ล้านคน คิดเป็นร้อยละ 75 ของประชากร มีอัตราเพิ่มของจำนวนผู้ใช้งาน Social media ร้อยละ 4.7 หรือเพิ่มขึ้น 2.3 ล้านคนจากปีก่อน และผู้ใช้งานสมาร์ทโฟนร้อยละ 99 ใช้งาน Social media ด้วย (แผนภาพที่ 3-4) และจากข้อมูลงานวิจัยของ Kantar GREYnJ United และ Mindshare (Thailand) พบว่า คนไทยมีความตื่นตัวกับการใช้ Social media อย่างมาก ทั้งเพื่อติดตามสถานการณ์ และข้อมูล COVID-19 และเพื่อคลายเหงา ซึ่งเกิดจากการมี Emotional engagement กับสถานการณ์การแพร่ระบาดของโรค COVID-19 โดยพฤติกรรมและไลฟ์สไตล์ของคนไทยร้อยละ 63 ลดการเข้าสังคม /พบปะผู้คน และหันไปกระทำกิจกรรมบน Social media มากขึ้น

1.3 ไซเบอร์มีแนวโน้มที่จะถูกนามาใช้ทั้งเชิงรุกและเชิงรับในการปฏิบัติการทางทหารมากขึ้น ซึ่งอาจสามารถเอาชนะกันได้ตั้งแต่ต้นโดยไม่ต้องใช้อาวุธหรือการรบเกิดขึ้นจริง และในสงครามผสมผสาน (Hybrid war) ซึ่งเป็นสงครามที่มีการผสมผสานกำลังตามแบบและกำลังนอกแบบปฏิบัติการทางทหารร่วมกันอย่างแยกไม่ออก โดยอยู่ในรูปแบบ “สงครามข่าวสาร” (Information warfare) ที่เข้าถึงประชาชนได้ง่ายผ่านสื่อสังคมออนไลน์ เช่น การใช้เพจ Facebook หรือ Twitter สร้างมวลชนที่ต่อต้านอำนาจรัฐและสถาบันหลักของชาติ ข่าวสาร ที่บิดเบือนความจริงที่นำไปสู่การขาดความเชื่อมั่นต่อรัฐและสถาบันหลักของชาติ หรือการสื่อสารกันโดยตรงที่ยากที่จะตรวจจับ เป็นต้น

1.4 ภัยคุกคามจากตัวแสดงที่ไม่ใช่รัฐ (Non-state actor) เช่น อาชญากร กลุ่มผู้ก่อการร้าย กลุ่มค้ายาเสพติด กลุ่มการพนันออนไลน์ เป็นต้น มีแนวโน้มจะใช้/แสวงประโยชน์ ใช้ไซเบอร์ในการปฏิบัติการมากขึ้น รวมถึงกลุ่มตรงข้าม/ศัตรูทางการเมืองจะใช้ประโยชน์ในกิจกรรมทางการเมืองมากขึ้นเช่นกัน โดยเฉพาะการใช้ Social media ที่มีการใช้ อย่างแพร่หลายในการเลือกตั้งสำคัญต่าง ๆ เนื่องจากเครื่องมือในการสื่อสารที่มีพลังอำนาจสูงในการสร้างความเปลี่ยนแปลงให้เกิดขึ้นได้ในสังคม เป็นช่องทางการสื่อสารระหว่างพรรคการเมือง แกนนำทางการเมืองและแกนนำทางการเคลื่อนไหว และใช้ในการติดต่อสื่อสารกับผู้สนับสนุน ระดมบุคลากรและทรัพยากรในการเคลื่อนไหวทางการเมือง ส่งผลให้นักการเมืองและพรรคการเมือง สามารถใช้ Social media ในการหาเสียง โจมตีให้ร้ายคู่แข่ง สร้างความเกลียดชัง และสร้างความรู้สึกแตกแยกให้เกิดขึ้นในสังคมได้ ผู้ติดตามใน Social media เป็นผู้ช่วยแชร์ (Share) และกระจายข้อมูลไปยังกลุ่มเพื่อนและเครือข่ายของตนได้อย่างรวดเร็ว

1.5 มีบุคคล/กลุ่มบุคคลใช้ไซเบอร์ เป็นเครื่องมือบ่อนทำลายสถาบันหลักของชาติ โดยการปฏิบัติการข่าวสาร (Information Operation: IO) การโฆษณาชวนเชื่อ การบิดเบือนข้อมูลที่กระทำซ้ำ ๆ และการปลูกฝังแนวความคิดที่กระทบต่อความมั่นคง (ในรูปแบบการแอบแฝง/ทำซ้ำ/จิตวิทยาหมู่) รวมถึงมีแนวโน้มที่จะมีการใช้เพื่อประโยชน์ทางการเมืองมากขึ้น ทั้งด้วยเครื่องมือ เทคนิค/วิธีการ และเทคโนโลยี ตลอดจนการระดมกลุ่มที่มีแนวคิดเดียวกันด้วยสื่อออนไลน์ (วิธีการทางไซเบอร์) เช่น เว็บไซต์หมิ่นสถาบันพระมหากษัตริย์ เพจ Facebook จาบจ้วงสถาบันพระมหากษัตริย์ ข้อความหมิ่นสถาบันพระมหากษัตริย์ทาง Facebook และ Youtube channel ที่บิดเบือนบ่อนทำลายสถาบันหลักของชาติ เป็นต้น

1.6 บริษัทต่างชาติที่ครอบครองเทคโนโลยีและนวัตกรรมใช้ประโยชน์ดูดซับความมั่งคั่งออกไปนอกประเทศ โดยอำนาจการจัดเก็บเสียภาษีตามกฎหมายของประเทศไทย ยังไม่ครอบคลุม โดยประมวลรัษฎากรและอนุสัญญาภาษีซ้อน (Double tax agreement: DTA) ที่ประเทศไทยลงนามกับประเทศคู่สัญญา 60 ประเทศ กำหนดให้บริษัทต่างชาติที่มีกิจการในประเทศไทย หรือมีตัวแทนที่ขายในประเทศไทย มีหน้าที่เสียภาษีเงินได้นิติบุคคล เฉพาะกรณีมี สถานประกอบการถาวรอยู่ในไทย (Permanent establishment: PE) เช่น สำนักงาน สาขา โรงงาน เป็นต้น เฉพาะเงินได้ในส่วนที่เป็นของ PE ซึ่งบริษัทต่างชาติที่ใช้แพลตฟอร์มในการประกอบธุรกิจให้บริการในประเทศไทย เช่น Facebook Youtube Google Twitter เป็นต้น มักจะหลีกเลี่ยง การจัดตั้ง PE ในประเทศไทย ทำให้ประเทศไทยไม่สามารถจัดเก็บภาษีเงินได้จากบริษัทต่างชาติได้ นอกจากนี้ กรณีที่มีการจ่ายเงินได้ให้บริษัทต่างชาติ ประมวลรัษฎากรได้ยกเว้นภาษี หัก ณ ที่จ่าย สำหรับเงินได้ตามมาตรา 40 (8) (เงินได้จากการธุรกิจ การพาณิชย์ การเกษตร การอุตสาหกรรม การขนส่ง หรือการอื่น เช่น ค่าจ้างโฆษณา ค่าเบี้ยประกันภัย ค่าธรรมเนียมที่เกี่ยวกับการพาณิชย์ เป็นต้น) ด้วยเหตุนี้ กรณี Youtube และ Facebook มีเงินได้ค่าโฆษณาจากประเทศไทย ซึ่งเป็นเงินได้ประเภท 40 (8) ผู้จ่ายเงินได้ค่าโฆษณาไปให้แพลตฟอร์มต่างประเทศ ซึ่งส่วนใหญ่ เป็นผู้ประกอบการไทย จึงไม่มีหน้าที่หักภาษีเงินได้ ณ ที่จ่าย นำส่งกรมสรรพากร ตามมาตรา 70 แห่งประมวลรัษฎากร

1.7 หน่วยงานที่เป็นกลไกตามกฎหมาย (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒) ยังอยู่ระหว่างการจัดตั้งและขับเคลื่อน แม้ว่าหน่วยงานด้านความมั่นคง โดยเฉพาะกองทัพมีการจัดตั้งหน่วยงานด้านไซเบอร์ขึ้นมารับผิดชอบแล้ว เช่น การจัดตั้งศูนย์ไซเบอร์กองทัพบก (Army cyber center) ในปี 2559 การจัดตั้งศูนย์ไซเบอร์ กรมเทคโนโลยีสารสนเทศและอวกาศกลาโหม ในปี 2560 เป็นต้น ทั้งนี้ ปัจจุบัน ณ เดือนมิถุนายน 2563 สำนักงานตำรวจแห่งชาติ อยู่ระหว่างการจัดตั้งกองบัญชาการ “ตำรวจไซเบอร์” เพื่อแยกหน้าที่กับหน่วยปฏิบัติให้มีความชัดเจน เนื่องจากปัจจุบัน สำนักงานตำรวจแห่งชาติมีเพียงหน่วยงานกองบังคับการปราบปรามอาชญากรรมทางเทคโนโลยี หรือ บก.ปอท. ซึ่งเป็นระดับกองบังคับการ เท่านั้น นอกจากนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยังอยู่ระหว่างการจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (National CERT) ภายใต้อำนาจตามมาตรา 22 แห่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

1.8 กฎหมายที่เกี่ยวข้อง (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (2560-2564) ยังไม่ครอบคลุมทั้ง 5 มิติด้านความมั่นคงปลอดภัยไซเบอร์ ตามมิติที่ 2 ของกรอบแนวคิด CMM ในเรื่อง Cyber culture and society ความรู้ความเข้าใจ ความเชื่อมั่นของผู้ใช้บริการ เกี่ยวกับการละเมิดและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต ช่องทางการรายงานอาชญากรรมทางไซเบอร์อิทธิพลของ Social media และอธิปไตยไซเบอร์ ทั้งนี้ กฎหมายที่เกี่ยวข้องส่วนใหญ่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพและภัยคุกคามทางไซเบอร์เป็นหลักไม่ครอบคลุมถึงการรุกรานทางความคิดผ่านเครือข่ายสังคมออนไลน์และอธิปไตยทางไซเบอร์

2. วิเคราะห์การขับเคลื่อนทางยุทธศาสตร์ในช่วงที่ผ่านมา

2.1 การป้องกันการรุกล้ำอธิปไตยไซเบอร์ภายใต้ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580)
รัฐบาลพลเอก ประยุทธ์ จันทร์โอชา ได้ให้ความสำคัญกับความมั่นคงปลอดภัยทางไซเบอร์ โดยมีวัตถุประสงค์เพื่อป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ และรักษาความมั่นคงปลอดภัยทางไซเบอร์ของชาติ โดยกำหนดให้ความมั่นคงปลอดภัยทางไซเบอร์ถือเป็นส่วนหนึ่งของยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) ในด้านความมั่นคง โดยแผนแม่บทย่อยจะมุ่งเน้นที่ความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์เป็นหลัก ประกอบด้วย 9 แผนงาน 15 โครงการ ที่สำคัญ (ตารางที่ 3-2) ดังนี้

ในส่วนของการให้ความสำคัญกับ “ปัญหาอธิปไตยทางไซเบอร์ (Cyber sovereignty)” ถูกบรรจุอยู่ในยุทธศาสตร์ชาติ 20 ปี ในประเด็นยุทธศาสตร์ชาติด้านการสร้างความสามารถในการแข่งขัน ประเด็นที่ 4.2 อุตสาหกรรมและบริการแห่งอนาคต ประเด็นย่อยที่ 4.2.5 อุตสาหกรรมความมั่นคงของประเทศ เพื่อสร้างอุตสาหกรรมที่ส่งเสริมความมั่นคงปลอดภัยทางไซเบอร์ และเพื่อปกป้องอธิปไตยทางไซเบอร์ เพื่อรักษาผลประโยชน์ของชาติจากการทำธุรกิจดิจิทัล โดยแผนแม่บทยุทธศาสตร์ของอุตสาหกรรมความมั่นคงของประเทศได้กำหนดโครงการ ที่สำคัญเอาไว้ 3 โครงการ ดังปรากฎในตารางที่ 3-3

จะเห็นได้ว่า การให้ความสำคัญของปัญหาการรุกรานอธิปไตยทางไซเบอร์ ในยุทธศาสตร์ชาติ 20 ปี มีความหมายในเชิงการป้องกันการรุกรานระบบฐานข้อมูล โครงสร้างพื้นฐาน และการโจมตีเทคนิค ซึ่งยังไม่มีความชัดเจนในการสร้างความตระหนักรู้แก่ภาคประชาชนเพื่อป้องกันการรุกรานทางความคิด ความเชื่อ และอุดมการณ์ และการสร้างความรู้ความเข้าใจให้ประชาชนรู้เท่าทันปฏิบัติการข่าวสารผ่านสื่อสังคมออนไลน์ (Social media) การโฆษณาชวนเชื่อ และข่าวปลอม (Fake news) โดยเฉพาะอย่างยิ่งกลุ่มเป้าหมายที่เป็นเยาวชนและคนรุ่นใหม่ ซึ่งมีการใช้งานอุปกรณ์สมาร์ทโฟน และ Social media มากกว่ากลุ่มอื่น

2.2 การป้องกันการรุกล้ำอธิปไตยไซเบอร์ภายใต้ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) โดยสานักงานสภาความมั่นคงแห่งชาติ
สำนักงานสภาความมั่นคงแห่งชาติ (สมช.) ได้จัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) (National cybersecurity strategy) ซึ่งเป็นแนวนโยบายระดับชาติฉบับแรกของไทยในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่กำหนดยุทธศาสตร์ที่สำคัญ 6 ด้าน (ตารางที่ 3-4) พร้อมทั้งมีการแต่งตั้งคณะกรรมการเตรียมการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติในปี 2560 และมีการแต่งตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (National cybersecurity committee: NCSC) (กมช.) ซึ่งมีนายกรัฐมนตรีเป็นประธาน และคณะกรรมการกำกับดูแลด้านความั่นคงปลอดภัยไซเบอร์ (กกม.) ซึ่งมีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน ภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

จะเห็นได้ว่า ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. ส่วนใหญ่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางกายภาพ และภัยคุกคามทางไซเบอร์เป็นหลัก มีเพียงยุทธศาสตร์เดียวที่กล่าวถึงการสร้างความรู้ทางดิจิทัลให้แก่ประชาชน แต่เป็นการสร้างความรู้เฉพาะในด้านการเคารพสิทธิและเสรีภาพขั้นพื้นฐานของผู้อื่นบนโลกไซเบอร์ และตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เป็นการคุมทางกายภาพ มิใช่การรุกรานทางความคิดและอธิปไตยทางไซเบอร์

วิเคราะห์ความสอดคล้องยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกับการแก้ปัญหาอธิปไตยไซเบอร์ในระดับสากล

เมื่อพิจารณาเปรียบเทียบยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ 5 ปี (พ.ศ. 2560 – 2564) กับกรอบแนวคิด National cybersecurity capacity maturity model (CMM) ซึ่งจัดทำโดย The Global Cybersecurity capacity centre แห่ง University of Oxford (ตารางที่ 3-5) จะเห็นได้ว่า ประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติครอบคลุมทุกมิติของแนวคิด CMM แล้ว แต่หากพิจารณาในรายละเอียดจะพบว่า แผนงานที่ 7 การสร้างความตระหนักรู้ประชาชนและหน่วยงาน เน้นเฉพาะในการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ตามมิติที่ 2 ของ CMM ส่วนแผนงานที่ 5 การปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนาบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทันการละเมิดข้อมูลส่วนบุคคล และนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์” ตามมิติที่ 2 ของ CMM เช่นกัน

สำหรับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. มีเพียงยุทธศาสตร์เดียวที่กล่าวถึงการสร้างความรู้ทางดิจิทัลให้แก่ประชาชน แต่เป็นการสร้างความรู้เฉพาะในด้านการเคารพสิทธิและเสรีภาพขั้นพื้นฐานของผู้อื่นบนโลกไซเบอร์ และตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เป็นการคุมทางกายภาพ มิใช่การรุกรานทางความคิดและ “อธิปไตยทางไซเบอร์ (Cyber sovereignty)” ตามมิติที่ 2 ของ CMM นอกจากนี้ ถึงแม้ว่า ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (2560 – 2564) ของ สมช. ครอบคลุมทุกมิติของแนวคิด CMM แล้ว แต่ในมิติที่ 3 ของ CMM ในเรื่อง Cybersecurity education, training and skills แต่กลับไม่มียุทธศาสตร์รองรับ มีเพียงแนวทางการดำเนินการที่ 2.8 ภายใต้ประเด็นยุทธศาสตร์ที่ 2 การปกป้องโครงสร้างพื้นฐานสำคัญ ที่พูดถึงเฉพาะเรื่องการพัฒนาศักยภาพของบุคลากรในภาครัฐ แต่ไม่ครอบคลุมถึงกลุ่มเยาวชนและประชาชนทั่วไป ซึ่งจำเป็นต้องมีการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสมกับแต่ละช่วงวัยแต่ตั้งระดับประถมศึกษา และใน มิติที่ 4 ของ CMM ในเรื่อง Legal and regulatory frameworks ก็ไม่มียุทธศาสตร์รองรับ มีเพียงแนวทางการดำเนินการที่ 2.7 ภายใต้ประเด็นยุทธศาสตร์ที่ 2 การปกป้องโครงสร้างพื้นฐานสำคัญ ที่พูดถึงการร่างและปรับปรุงกฎหมาย ระเบียบปฏิบัติ และข้อกำหนด เพื่อกำกับและวางกรอบการรักษาความมั่นคงปลอดภัยไซเบอร์

ดังนั้น จึงควรนำ Cybersecurity capacity maturity model (CMM) มาใช้เป็นกรอบแนวคิดในการพัฒนาและขับเคลื่อนยุทธศาสตร์ชาติ และยุทธศาสตร์การดูแลความมั่นคงปลอดภัยทางไซเบอร์

สรุป

จากการศึกษายุทธศาสตร์ในการป้องกันการรุกรานทางอธิปไตยไซเบอร์ของต่างประเทศ พบว่า ประเทศจีนเป็นประเทศที่ประสบความสำเร็จเพียงประเทศเดียว จากการมี “National gateway” หรือ “The great firewall” และการมีแพลตฟอร์มของประเทศตนเอง เช่น เว็บไซต์ค้นหา (Search engine) อย่างไป่ตู้ (Baidu) ซึ่งมีฟังก์ชั่นการใช้งานที่คล้ายกับ Google เครือข่ายสังคมออนไลน์เวย์ปั๋ว (Weibo) วีแชท (WeChat) ซึ่งมีลักษณะคล้ายกับ LINE ในขณะที่ประเทศ ออสเตรเลีย และศสิงคโปร์ กำลังตามหลังประเทศจีน โดยริเริ่มมาตรการการป้องกันการรุกรานอธิปไตยทางไซเบอร์แล้ว ได้แก่ โดยกรณีประเทศออสเตรเลีย มีกฎหมายการเข้ารหัสข้อมูล (Assistance and access act: AAA) ที่ช่วยให้เจ้าหน้าที่รัฐหรือตำรวจเข้าถึงข้อมูลที่เข้ารหัสหรือ เป็นความลับของผู้ใช้งาน เพื่อประโยชน์ต่อการสืบสวนคดี และรับมือกับเครือข่ายการก่ออาชญากรรมทางไซเบอร์ และกรณีประเทศสิงคโปร์ที่มีแนวปฏิบัติควบคุม “เนื้อหาต้องห้าม” บนอินเทอร์เน็ต และกฎหมาย Protection from online falsehoods and manipulation act 2019 (POFMA) เพื่อจัดการกับการเผยแพร่ข่าวปลอม และการปลุกปั่นในโลกออนไลน์ ในขณะที่ เมื่อพิจารณา ขีดความสามารถด้านเทคโนโลยีของประเทศในภูมิภาคอาเซียน จะเห็นได้ว่า ประเทศในภูมิภาคอาเซียนไม่มีหรือไม่ได้ครอบครองเทคโนโลยีดิจิทัลเป็นของตนเอง ไม่มี Platform หรือโปรแกรม Social media เป็นของตนเอง เช่นเดียวกับกรณีของประเทศไทย จึงมีแนวโน้มที่จะถูกประเทศ/องค์กรที่มีศักยภาพด้านไซเบอร์ ใช้เครื่องมือ Cyber ผ่าน Platform และ Social media เป็นเครื่องมือพลังอำนาจอ่อน (Soft power) รุกรานอธิปไตยไซเบอร์ได้

กรณีของประเทศไทย ความไม่พร้อมในการรับมือปรากฏการณ์ Social media และ การสูญเสียอธิปไตยทางไซเบอร์ (Cyber sovereignty) รัฐบาลยังไม่มีวิธีจัดการทั้งตามยุทธศาสตร์ชาติและยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติประเด็นยุทธศาสตร์ของยุทธศาสตร์ชาติ 20 ปี (2561 – 2580) มีแผนงานการสร้างความตระหนักรู้ประชาชนและหน่วยงาน ที่เน้นเฉพาะในการการโจมตีทางไซเบอร์ ยังไม่ครอบคลุมเรื่องการรักษาอธิปไตยทางไซเบอร์ และแผนงานการปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ ซึ่งมีเรื่องของการพัฒนาบุคลากรและแลกเปลี่ยนความรู้ แต่ยังไม่ครอบคลุมการพัฒนาบุคลากรให้รู้เท่าทัน การละเมิดข้อมูลส่วนบุคคลและนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาต และการรักษา “อธิปไตยทางไซเบอร์”

Leave a Comment » | ความมั่นคงปลอดภัยไซเบอร์ของชาติ | ติดป้ายกำกับ: , , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของชาติ : ปัญหาอธิปไตยไซเบอร์ และแนวทางการกำหนดยุทธศาสตร์ชาติ ตอนที่ 5

กุมภาพันธ์ 11, 2021

ในตอนที่ 3 และ ตอนที่ 4 ที่ผ่านมา ผมได้ลงเนื้อหาของบทที่ 2 ซึ่งเป็นการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง โดย อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด เจ้าของผลงานการวิจัยกฎหมายที่เกี่ยวข้องกับ พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ของชาติ พ.ศ. 2562 และ พรบ. ที่เกี่ยวข้อง และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยุทธศาสตร์ชาติ 20 ปี (พ.ศ. 2561 – 2580) และยุทธศาสตร์ด้านความมั่นคงไซเบอร์แห่งชาติ (พ.ศ. 2560 – 2564) ในหัวข้อเรื่อง “ความมั่นคงปลอดภัยไซเบอร์ของชาติ ปัญหาอธิปไตยไซเบอร์ ผลกระทบต่อความมั่นคงของชาติในระยะยาว และแนวทางการกำหนดยุทธศาสตร์ชาติ” ได้เขียนถึงทฤษฎีและแนวคิดในการจัดทำยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของต่างประเทศ และ กรอบแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับสากล ซึ่งเป็นส่วนของการทบทวนวรรณกรรม สำหรับในตอนที่ 5 นี้ ผมขอลงเนื้อหาส่วนที่เกี่ยวกับงานวิจัยที่เกี่ยวข้องต่อนะครับ

การศึกษาวิจัยที่เกี่ยวกับยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

1. การศึกษาวิจัยภายในประเทศ

พลเรือตรี อุดม ประตาทะยัง (2560) ได้ศึกษาเกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ พัฒนาการของความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ รูปแบบการโจมตีทางไซเบอร์ ความรุนแรงที่เกิดจากผลกระทบของการโจมตีทางไซเบอร์ต่องานด้านความมั่นคงของประเทศ และศึกษาแนวทางในการรับมือกับภัยคุกคาม อันเนื่องมาจากความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมในอนาคต โดยผลการศึกษาพบว่า การมีหน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ เพื่อการป้องกันภัยคุกคามทางไซเบอร์ และประสานงานทั้งภายในและระหว่างประเทศ ในการแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยไซเบอร์มีความสำคัญอีกทั้งต้องมีการบูรณาการร่วมกันของหน่วยงานภาครัฐและเอกชน เพื่อยกระดับความพร้อมรับมือภัยคุกคามทางไซเบอร์ ที่มีผลกระทบต่อโครงสร้างพื้นฐานที่สำคัญของประเทศ การดำเนินงานรักษาความปลอดภัยไซเบอร์ของประเทศไทยยังมีลักษณะต่างฝ่ายต่างทำ ถึงแม้ว่าในปัจจุบันความเสี่ยงด้านความปลอดภัยทางไซเบอร์มากขึ้น แต่องค์กรต่าง ๆ มีการรักษาความปลอดภัยแบบแยกส่วน และบางครั้งมีความขัดแย้งกัน ประกอบกับการขาดแคลนทักษะด้านการรักษาความปลอดภัย ทำให้หลายองค์กรไม่เข้าใจและไม่สามารถจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพ การขาดแคลนบุคลากรด้านการรักษาความปลอดภัยไซเบอร์ และการพัฒนาบุคลากรด้านนี้ ยังไม่ทันต่อความต้องการของประเทศ องค์กรภาคเอกชนปกปิดเหตุการณ์การถูกโจมตีทางไซเบอร์ เนื่องจากกลัวการเสียชื่อเสียง นอกจากนี้ ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ในปัจจุบันนั้น อาจยังขาดองค์ประกอบที่สำคัญหลายประการ

พลเรือตรี อุดม ประตาทะยัง (2560) ได้เสนอแนะแนวทางการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์ ใน 3 ประเด็น ประกอบด้วย 1) การกำหนดให้มีเป้าหมาย (Ends) ที่ชัดเจน คือ เพื่อปกป้อง รับมือ ป้องกันและลดความเสี่ยงจากสถานการณ์ภัยคุกคามทางไซเบอร์ อันกระทบต่อความมั่นคงของชาติทั้งจากภายในและภายนอกประเทศ 2) การกำหนด แผนงาน/โครงการ (Projects/Plans) ประกอบยุทธศาสตร์ไว้อย่างเหมาะสม และ 3) การมีแนวทางในการนำยุทธศาสตร์ไปสู่การปฏิบัติ (Implementation) ไว้อย่างเหมาะสม นอกจากนี้ ยังได้เสนอให้มีการจัดตั้งศูนย์ไซเบอร์แห่งชาติ เพื่อบูรณาการการดำเนินการในส่วนที่เกี่ยวข้อง การกำหนดกรอบแนวคิดนโยบายและแผนระดับชาติ การยกระดับแผนการทำงานร่วมกัน เช่นแผนการซ้อมรับมือภัยคุกคามทางไซเบอร์ เป็นต้น การวางรากฐานการศึกษาเกี่ยวกับความปลอดภัยทางไซเบอร์ การศึกษากระบวนการการรักษาความปลอดภัยสารสนเทศ และการสร้างความร่วมมือด้านความมั่นคงทางไซเบอร์ระหว่างประเทศ

ยุทธนา เจียมตระการ (2560) ได้ศึกษาแนวทางการจัดการความมั่นคงปลอดภัยไซเบอร์สำหรับอุตสาหกรรมขนาดใหญ่ให้มีประสิทธิผลและประสิทธิภาพ และสอดรับกับนโยบายของประเทศในเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ และข้อเสนอแนะการดำเนินการสำคัญสำหรับภาครัฐและอุตสาหกรรมขนาดใหญ่ในภาคธุรกิจ เพื่อช่วยให้การสร้างความมั่นคงปลอดภัยไซเบอร์บรรลุความสำเร็จอย่างมีประสิทธิภาพยิ่งขึ้น เช่น การกำหนดเป้าหมายในยุทธศาสตร์ชาติ การจัดทำแผนแม่บทของประเทศ การสร้างความตระหนักกับผู้บริหารระดับสูงขององค์กร การใช้หลักการบริหารจัดการความเสี่ยงเพื่อการดำเนินการ การสร้างเครือข่ายความร่วมมือ เป็นต้น

ผลการศึกษาพบว่า ยุทธศาสตร์ที่ 1 และยุทธศาสตร์ที่ 2 ของร่างยุทธศาสตร์ชาติ 20 ปี ไม่มีการกำหนดเป้าหมายในเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ และขาดความเชื่อมโยงในส่วนของเป้าหมายกับนโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ (พ.ศ.2560-2564) ขาดการเตรียมการของหน่วยงานภาครัฐที่เกี่ยวข้องซึ่งไม่ได้อยู่ในเป้าหมายระยะ 5 ปีแรก แต่ต้องรองรับในเฟสถัดไป (ปีที่ 6 ถึงปีที่ 20) ขาดการแสดงสมดุลและบูรณาการในระยะยาวของแผนพัฒนาด้านความมั่นคง และด้านเศรษฐกิจ ทำให้แผนพัฒนา 5 ปี ของหน่วยงานด้านความมั่นคง และหน่วยงานด้านเศรษฐกิจที่รองรับอาจมีความขัดแย้งกัน จึงเสนอแนะให้ภาครัฐกำหนดเป้าหมายเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ในยุทธศาสตร์ชาติ จัดทำแผนแม่บทของประเทศในเรื่องการสร้างความมั่นคงปลอดภัยไซเบอร์ กำหนดกลไกในการขับเคลื่อนภาคธุรกิจให้เกิดการปฏิบัติตามแผนแม่บทของประเทศ สนับสนุนให้เกิดหน่วยงานกลางด้านความมั่นคงปลอดภัยไซเบอร์ทั้งในส่วนของภาครัฐเอง และของภาคธุรกิจในลักษณะกลุ่มอุตสาหกรรม เพื่อให้เกิดการจัดตั้งเครือข่าย ความร่วมมือในการเฝ้าระวังภัย การแบ่งปันข้อมูลทั้งเรื่องภัยคุกคามไซเบอร์ และแนวปฏิบัติที่ดี (Good practices) การพัฒนาความรู้และความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์แก่บุคลากร การจัดตั้งกลุ่มผู้เชี่ยวชาญร่วม (Pool specialist) เพื่อให้ความช่วยเหลือหรือเป็นที่ปรึกษาด้านการสร้างความมั่นคงปลอดภัยไซเบอร์ จัดตั้งศูนย์พัฒนาบุคลากรด้านความมั่นคงปลอดภัย ไซเบอร์ ทั้งระดับผู้เชี่ยวชาญในการทำสงครามไซเบอร์ ระดับตรวจสอบหรือประเมินช่องโหว่ของระบบ และระดับประกาศนียบัตรด้านมาตรฐานการจัดการ จัดตั้งศูนย์วิจัยและพัฒนาเครื่องมือ และ/หรือโปรแกรมการป้องกันหรือตรวจสอบภัยคุกคามไซเบอร์ จัดตั้งศูนย์กลางรวบรวมข่าวสาร หรือแหล่งความรู้ด้านภัยคุกคามไซเบอร์ทั้งของประเทศไทยและทั่วโลกที่ภาคธุรกิจหรือประชาชนทั่วไปสามารถเข้าถึงได้ตลอดเวลา

นาวาอากาศเอก ชนินทร เฉลิมทรัพย์ (2560) ได้ศึกษาแนวคิดทฤษฎีเกี่ยวกับสมรรถนะองค์กรการบูรณาการการบริหารจัดการและการรักษาความมั่นคงปลอดภัยทางไซเบอร์ รวมทั้งการศึกษาค้นคว้า นโยบาย ยุทธศาสตร์และการดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของกระทรวงกลาโหม และกระทรวงดิจิทัล เพื่อเศรษฐกิจและสังคม โดยผลการศึกษาพบว่า การศึกษาแนวคิดทฤษฎีเกี่ยวกับสมรรถนะองค์กรการบูรณาการการบริหารจัดการ และการรักษาความมั่นคงปลอดภัยไซเบอร์ จำเป็นต้องมีองค์กรที่นำเทคนิคการบริหารจัดการมาใช้ ต้องมีโครงสร้างและรูปแบบที่สอดคล้องกับสภาพแวดล้อมของสังคมนั้น การบูรณาการ การบริหารจัดการ ต้องมีเจ้าภาพที่ชัดเจน ทำงานแบบมุ่งเน้นผลงานตามยุทธศาสตร์ โดยใช้ทรัพยากรร่วมกัน เพื่อให้บรรลุเปูาหมาย สำหรับภัยคุกคามด้านไซเบอร์ โดยสภาพและลักษณะของภัยคุกคาม ที่มีการเปลี่ยนแปลงไปจากเดิม มีรูปแบบการโจมตีที่หลากหลาย การวางแผนป้องกัน คือ การปรับกลยุทธ์ในการรับมือและใช้ระบบมาตรฐานทางไซเบอร์ (ISO/IEC 27001 : 2013) หรือมาตรฐานที่จะถูกพัฒนาขึ้นต่อไป มาช่วยดำเนินการบริหารจัดการ แต่ปัจจัยในการดำเนินงานที่สำคัญที่สุดคือมนุษย์ การศึกษาแนวนโยบายและยุทธศาสตร์ ตลอดจนการดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ พบว่า กระทรวงกลาโหมใช้แนวความคิดในการป้องกันทางไซเบอร์ เช่นเดียวกับการศึกษามั่นคงของประเทศ โดยเน้นการป้องกันเชิงรุก การผนึกกำลังป้องกันประเทศ และ การร่วมมือด้านความมั่นคงทางไซเบอร์ โดยได้จัดตั้งส่วนปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity operation center : CSDC) เชิงรับและส่วนสนับสนุนในการตอบสนองต่ออุบัติการณ์ด้านความมั่นคงปลอดภัย (Computer security incident response team : CSIRT) สำหรับกระทรวงดิจิทัลฯ ได้กำหนดกรอบแนวคิดและนโยบายในระดับชาติกำหนดโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical information infrastructure : CII) ของประเทศ กำหนดแนวทางปฏิบัติเพื่อตอบสนองต่อสถานการณ์ฉุกเฉินทางความมั่นคงปลอดภัยไซเบอร์ (Standard operating procedure : SOP) รวมทั้งเสนอแนวความคิดในการจัดตั้ง Cybersecurity agency (CSA) หน้าที่เป็นหน่วยงานกลาง ในการประสานงานและเผชิญเหตุด้านความมั่นคงปลอดภัยไซเบอร์

ข้อเสนอแนะสำหรับแนวทางการบูรณาการการรักษาความมั่นคงปลอดภัยทางไซเบอร์มีดังนี้ คือ การจัดการความรู้และบริหารความเสี่ยง (Knowledge management & risk) เพื่อให้ผู้นำองค์กร ผู้กำหนดนโยบายและผู้ปฏิบัติ ได้ตระหนักรู้และเก็บสะสมองค์ความรู้ และประสบการณ์ เพื่อเป็นประโยชน์ต่อไป มีการทำงานแบบเครือข่าย (Network) เชื่อมโยงตามประเด็นยุทธศาสตร์ร่วม (Common agenda) ปฏิบัติงานตามมาตรฐานการปฏิบัติทางเทคโนโลยี และจัดตั้งศูนย์การศึกษาและการวิจัยพัฒนาด้านความมั่นคงปลอดภัยทางไซเบอร์

พลตรี ปรัชญา เฉลิมวัฒน์ (2560) ได้ศึกษาแนวทางการพัฒนากำลังพลด้านไซเบอร์ เพื่อการเตรียมความพร้อมต่อภัยคุกคามไซเบอร์ในระดับชาติ โดยคำนึงถึงการบูรณาการแนวความคิดจากประเด็นปัญหาในด้านต่าง ๆ ทั้งปัจจัยด้านเวลาการพัฒนาและด้านการเสริมสร้างกำลังพลไซเบอร์ในรูปแบบกองกำลังผสมพลเรือน ตำรวจ ทหาร และการพิจารณาใช้ข้อกฎหมาย ที่เกี่ยวข้องกับการเตรียมกำลังพลสำรองในระดับชาติ โดยผลการศึกษาพบว่า แนวทางในการพัฒนากำลังพลด้านไซเบอร์จะเป็นประโยชน์ต่อการกำหนดกรอบเวลา การวางแผน การดำเนินการเสริมสร้างความแข็งแกร่งของบุคลากรด้านไซเบอร์ให้กับประเทศชาติ ซึ่งหากนำไปใช้ปฏิบัติได้อย่างจริงจังจะทำให้สามารถลดปัญหาการขาดแคลนกำลังพลไซเบอร์ และทำให้เกิดความ “ยั่งยืน” ในการเสริมสร้างกำลังพลไซเบอร์ในระยะยาวได้เป็นอย่างดี นอกจากนั้นกำลังพลสำรองไซเบอร์ ยังเป็นส่วนสำคัญในการพัฒนาอุตสาหกรรมซอฟท์แวร์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ของประเทศในอนาคต

ข้อเสนอแนะสำหรับการพัฒนากำลังพลด้านไซเบอร์ ประกอบด้วย 1) การกำหนดแนวทางในการจัดการกำลังพลสำรองที่ปลดประจำการ (ผ่านการเกณฑ์ทหารไปแล้ว) แต่ทำงานในสาขาที่เกี่ยวข้องอยู่แล้ว พิจารณาการเรียกเข้ามาเพื่อเป็นผู้ฝึกให้กับ “ทหารใหม่ไซเบอร์” ได้เป็นอย่างดี โดยที่เขาเหล่านั้นก็ถือได้ว่ามารับใช้ประเทศชาติในอีกทางหนึ่งในมิติของไซเบอร์ 2) การกำหนดนโยบายกำลังพลสำรองไซเบอร์ เพื่อนำทหารกองหนุน/กองเกินที่มีประสบการณ์ด้านไซเบอร์มาประกอบกำลังในสถานการณ์ฉุกเฉิน และการทำให้บุคลกรไซเบอร์สามารถทำงานได้ ทั้งภาครัฐและเอกชน อาศัยหลักการ “แบ่งเวลา” ตามความเหมาะสมหรือความต้องการของบุคคลนั้น ๆ 3) การจัดตั้งคณะทำงานเพื่อหาแนวทางร่วมกันระหว่างหน่วยที่เกี่ยวข้องเพื่อให้ได้ข้อสรุปการบริหารจัดการกำลังพลสำรองไซเบอร์ 4) การยื่นข้อเสนอพิเศษให้บุคลากรที่มีพื้นฐานด้านคอมพิวเตอร์อยู่แล้ว เป็นการสร้างทางเลือกให้แก่ผู้ที่คิดจะหลีกเลี่ยงการเกณฑ์ทหารด้วยมีภาพลักษณ์ของการฝึกทหารใหม่ที่มีการใช้ความรุนแรง แต่สามารถเข้ารับการเกณฑ์ทหารด้วยการฝึกแบบพิเศษ เพื่อให้สามารถเข้าทำการในลักษณะปฏิบัติการไซเบอร์ได้ ทั้งในหน่วยทหารและองค์กรที่มีความต้องการบุคลากรด้านไซเบอร์

2. การศึกษาวิจัยต่างประเทศ

Darius และคณะ (2560) ได้ศึกษารูปแบบของการกำหนดยุทธศาสตร์ ความมั่นคงปลอดภัยไซเบอร์ของประเทศลิทัวเนีย ซึ่งเป็นประเทศสมาชิกกลุ่มสหภาพยุโรป ที่มีการนำระบบ FTTP (Fiber to the premise) ซึ่งเป็นโครงข่ายโทรคมนาคมที่ใช้ optical fiber ตั้งแต่อุปกรณ์ส่งสัญญาณของผู้ให้บริการไปจนถึงพื้นที่บริเวณจุดใช้งานของผู้ใช้ เช่น ห้องนั่งเล่นภายในบ้าน หรือ สำนักงานของผู้ใช้ เป็นต้น มาใช้งานสูงที่สุดในกลุ่มสหภาพยุโรป โดยศึกษาจากงานวิจัยที่ผ่านมา บทสัมภาษณ์ผู้เชี่ยวชาญ และกรณีศึกษาที่ดี โดยผลการศึกษาได้เสนอยุทธศาสตร์การรักษา ความมั่นคงปลอดภัยไซเบอร์ 7 ด้าน ประกอบด้วย 1) การคุ้มครองโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Protection of critical infrastructure) 2) การคุ้มครองทรัพยากรข้อมูลภาครัฐ (Protection of state information resources) 3) การสร้างความร่วมมือระหว่างภาครัฐและเอกชน (Cooperation of the private and public sectors) 4) การมอบหมายอำนาจหน้าที่ของหน่วยงานภาครัฐอย่างเป็นระบบ (Formation of the institutional system) 5) การพัฒนาวัฒนธรรมไซเบอร์ที่ดี (Development of the cyber culture) 6) การสร้างความร่วมมือกับองค์กรระหว่างประเทศ (International cooperation) และ 7) การพัฒนาสภาพแวดล้อมของการบังคับใช้กฎหมาย (Development of the legal environment)

นอกจากนี้ Darius และคณะ (2560) ได้สรุปว่า ความมั่นคงปลอดภัยไซเบอร์สามารถเชื่อมโยงกับภาคส่วนเศรษฐกิจต่าง ๆ ผ่านการให้บริการทางอิเล็กทรอนิกส์ (e-service) และการติดต่อสื่อสารบนเครือข่ายอิเล็กทรอนิกส์ ปัญหาความมั่นคงปลอดภัยไซเบอร์ของประเทศลิทัวเนีย ส่วนใหญ่เกิดจากประเทศเพื่อนบ้าน ซึ่งหากประเทศเพื่อนบ้านมียุทธศาสตร์ที่แตกต่างออกไป การสร้างความร่วมมือในการค้นหากลไกวิธีจัดการกับภัยคุกคามไซเบอร์อาจทำได้ยากขึ้น จึงมีความจำเป็นต้องจัดทำยุทธศาสตร์ให้มีความง่ายต่อการเข้าใจ และมีค่าบ่งชี้ที่เป็นสากล เพื่อให้สามารถสื่อสารกับประเทศอื่น ๆ ด้วยความเข้าใจที่ตรงกัน อย่างไรก็ดี ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ ยังจำเป็นต้องเน้นการรับมือกับสถานการณ์ และอุบัติการณ์ทางไซเบอร์ที่เกิดขึ้นภายในประเทศ เนื่องจากภัยคุกคามไซเบอร์ที่เกิดขึ้นทั่วโลกย่อมมีความแตกต่างกัน

Kaushik และคณะ (2562) ได้ศึกษาเปรียบเทียบยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศบังคลาเทศกับต่างประเทศ เพื่อให้ประเทศบังคลาเทศ มียุทธศาสตร์ที่ทันสมัย โดยศึกษาและจัดหมวดหมู่ของยุทธศาตร์ความมั่นคงปลอดภัยไซเบอร์ของ 5 ประเทศ ได้แก่ สหรัฐอเมริกา ญี่ปุุน สิงคโปร์ อินเดีย และมาเลเซีย และกำหนดสถานะของแต่ละยุทธศาสตร์ออกเป็น 3 สถานะ ได้แก่ 1) มี 2) มีบางส่วน และ 3) ไม่มี โดยพบว่า ยุทธศาสตร์ที่ทุกประเทศมีเหมือนกันมีทั้งสิ้น 11 ยุทธศาสตร์ ได้แก่ 1) การสนับสนุนการวิจัยและพัฒนาด้านความมั่นคงปลอดภัยไซเบอร์ (Promote cybersecurity R& D) 2) การสนับสนุนการศึกษาด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ (Promote cybersecurity education) 3) การบริหารจัดการความเสี่ยง (Ensuring ongoing risk assessment) 4) การสนับสนุนนโยบายรับมืออาชญากรรมไซเบอร์ (Promote counter cybercrime policy) 5) การบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ไว้ในกฎหมายระหว่างประเทศ (Promote cybersecurity in international law) 6) การมีกฎระเบียบและการกำหนดอำนาจหน้าที่ขององค์กร (Forms of regulation and institutional aspects) 7) การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและเสรีภาพของประชาชน (Balancing Cybersecurity with civil liberties) 8) การสร้างความร่วมมือระหว่างภาครัฐและเอกชน (Public private platform) 9) การสร้างความร่วมมือระหว่างหน่วยงานภาครัฐ (Inter-governmental cooperation) 10) การสร้างความร่วมมือระหว่างภูมิภาค (Regional cooperation) และ 11) การสร้างความร่วมมือระหว่างรัฐบาล (Intra-governmental cooperation) ดังปรากฎในตารางที่ 2-1

Narmeen และ Ashraf (2559) ได้ศึกษาเปรียบเทียบยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ของ 20 ประเทศ โดยพิจารณาจากกฎหมาย การดำเนินงาน นโยบาย ที่เกี่ยวข้อง โดยยุทธศาสตร์ส่วนใหญ่เน้นการมอบหมายหน่วยงานรับผิดชอบในการรับมือกับ ภัยคุกคามไซเบอร์ เช่น ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (Computer emergency response teams: CERTs) และทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (Computer security incident response teams: CSIRTs) เป็นต้น การให้ความสำคัญกับการสร้างความตระหนักรู้ทางไซเบอร์ (Cyber awareness) และขีดความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ด้วย ทั้งนี้ หากพิจารณาความมั่นคงปลอดภัยไซเบอร์ของประเทศพัฒนาแล้วตามการจัดลำดับของสหภาพโทรคมนาคมระหว่างประเทศ (ITU) ในปี 2558 จะเห็นได้ว่า ประเทศสหรัฐอเมริกาเป็นประเทศที่อยู่อันดับที่ 1 เนื่องจากมีการปรับปรุงยุทธศาสตร์ให้ทันสมัย อย่างสม่ำเสมอ และเป็นประเทศที่มียุทธศาสตร์และแผนปฏิบัติการที่ชัดเจนทั้งเชิงรับและเชิงรุก รองลงมาคือกลุ่มประเทศแคนาดา สเปน ญี่ปุุน และออสเตรเลีย ซึ่งมีอัตราการใช้งานเทคโนโลยีสารสนเทศและการสื่อสาร และอัตราการเกิดอาชญากรรมไซเบอร์อยู่ในระดับสูง แสดงได้ ดังตารางที่ 2-2

การจัดลำดับความมั่นคงปลอดภัยไซเบอร์ของประเทศกำลังพัฒนา ตามแนวคิดของสหภาพโทรคมนาคมระหว่างประเทศ (ITU) จะเห็นได้ว่า ประเทศมาเลเซียเป็นประเทศที่มีความก้าวหน้าด้านความมั่นคงปลอดภัยไซเบอร์มากที่สุด ส่วนประเทศอินเดียและอิหร่านเป็นกลุ่มประเทศที่ประสบปัญหาการโจมตีทางไซเบอร์ในระดับสูง แสดงได้ดังตารางที่ 2-3

หากพิจารณาหน่วยงานรับผิดชอบหลักของแต่ละประเทศ เพื่อพิจารณากลไก การสั่งการเพื่อรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ จะเห็นได้ว่า หลายประเทศกำหนดหน่วยงานหลักที่แตกต่างกัน รายละเอียดปรากฎตามตารางที่ 2-4

การจัดตั้งทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ (CERTs) และทีมรับมือกับสถานการณ์ความมั่นคงที่เกี่ยวกับคอมพิวเตอร์ (CSIRTs) ระดับประเทศ ถือได้ว่า เป็นวิธีการรับมือภัยคุกคามทางไซเบอร์ที่มีประสิทธิภาพ โดยมีลักษณะของการเตือนภัยล่วงหน้า โดยแต่ละประเทศได้มีเวลาที่ริเริ่มการจัดตั้ง CERTs แตกต่างกันไป รายละเอียดปรากฎตาม ตารางที่ 2-5

แนวคิดของผู้ทรงคุณวุฒิ

ในการศึกษาวิจัยครั้งนี้ ได้สัมภาษณ์ผู้ทรงคุณวุฒิ ซึ่งเป็นกรรมการในคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งแต่งตั้งขึ้นภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 จำนวน 3 ท่าน ประกอบด้วย 1) พันตำรวจเอกญาณพล ยั่งยืน (กรรมการผู้ทรงคุณวุฒิ ด้านวิศวกรรมศาสตร์) 2) นายไพบูลย์ อมรภิญโญเกียรติ (กรรมการผู้ทรงคุณวุฒิด้านกฎหมาย) และ 3) รองศาสตราจารย์ปณิธาน วัฒนายากร (กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ) โดยผู้ทรงคุณวุฒิได้ให้ข้อเสนอแนะ โดยมีรายละเอียดดังต่อไปนี้

1. พันตำรวจเอกญาณพล ยั่งยืน กรรมการผู้ทรงคุณวุฒิ ด้านวิศวกรรมศาสตร์ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ปัจจุบันมีการใช้สื่อสังคมออนไลน์ (Social network) และระบบแอปพลิเคชันต่าง ๆ ในชีวิตประจำวันของผู้คนในโลกเป็นอย่างมากมาย แน่นอนว่า เพื่อเสริมสร้างประสิทธิภาพในการทำงาน ในชีวิตประจำวัน เสริมความรู้ ความบันเทิง ฯลฯ ซึ่งระบบส่วนใหญ่นั้น ก็ต้องมาจากต่างประเทศ ทั้งนี้ เพราะระบบต่าง ๆ จำเป็นจะต้องใช้ระบบฐานข้อมูลขนาดใหญ่ (Big data) เป็นข้อมูลปัจจุบันสมัย (Real time) ต้องมีผู้ใช้งานมหาศาลจึงจะเพิ่มประสิทธิภาพได้ ต้องมีเทคโนโลยีที่ล้ำหน้าทันสมัย ซึ่งจำเป็นจะต้องใช้ทุนมหาศาล ยากที่ผู้ประกอบการรายเล็กในประเทศ จะสามารถกระทำได้ ข้อดีอีกอย่างคือ ระบบส่วนใหญ่มักจะเป็นของฟรี (ดูเหมือนจะฟรี) จึงทำให้มีผู้ใช้งานกันอย่างกว้างขวางทั่วโลกด้วยความเชื่ออย่างสนิทใจ “ว่าฟรี” ทำให้ผู้ประกอบการมีข้อมูลของผู้ใช้บริการอย่างมากมาย แต่แน่นอนว่า ของฟรีย่อมไม่มีในโลก เบื้องต้น เมื่อมีผู้ใช้งานมากขึ้น ก็ย่อมมีเพียงโฆษณาเข้ามาบ้าง ต่อมาเมื่อมีเทคโนโลยี AI เข้ามาจึงทำให้มีการแสวงหาประโยชน์จากข้อมูลของผู้มาใช้บริการได้ง่ายและมากขึ้น ผู้ประกอบการจึงสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์หาความสัมพันธ์ รสนิยมความชอบ ไม่ชอบ ทัศนคติ ชีวิตประจำวัน และสามารถส่งข้อมูลบางประการ เพื่อมาโน้มน้าวผู้คนตามเป้าหมายให้เป็นไปตามประสงค์ได้ ซึ่งนับเป็นภัยอย่างมหันต์ จนมีบางท่านกล่าวว่า การที่บริษัทยักษ์ใหญ่ต่างชาติ ยินยอมให้เราใช้แอปพลิเคชันต่าง ๆ ฟรีนั้น เปรียบเสมือนกับพวกเราผู้ใช้บริการเป็นสัตว์ที่ถูกเลี้ยงในฟาร์มปศุสัตว์ต่าง ๆ ซึ่งจะได้การเลี้ยงดูเป็นอย่างดี กินฟรี อยู่ฟรี ไม่ต้องทำอะไร กินอาหารที่เขาป้อนให้ไปเรื่อย ๆ ขุนจนอ้วนพี เมื่อถึงเวลาเจ้าของคอกปศุสัตว์ ก็จะนำไปเชือดได้อย่างดีมีราคา

ตัวอย่างที่มีให้เห็นแล้วได้แก่ กรณี อาหรับสปริง (Arab Spring) ที่ทำให้รัฐบาลในหลายประเทศ มีการล่มสลายและถูกเปลี่ยนแปลง การโน้มน้าวให้ผู้มีสิทธิออกเสียงเลือกตั้งผู้นำประเทศ มีความชื่นชอบฝ่ายใดเพิ่มขึ้น และไม่ชอบหรือเกลียดชังฝ่ายใดที่เขากำหนดได้ง่ายขึ้น นอกจากนั้นเจ้าของแอปพลิชันต่าง ๆ เหล่านี้ นอกจากจะมักหลีกเลี่ยงไม่ชำระภาษีให้แต่ประเทศนั้น ๆ แล้ว ยังไม่ให้ความร่วมมือใด ๆ กับการปฏิบัติตามกฎหมายอื่น ๆ ของประเทศนั้น ๆ อีกด้วย โดยไม่สนใจเรื่องของความมั่นคงของประเทศนั้น ๆ จนทำตัวเหมือนเป็นผู้อยู่เหนือกฎหมาย โดยอ้างว่า ไม่มีบริษัทหรือสาขาในประเทศนั้น ๆ

สิ่งต่าง ๆ เหล่านี้ สมควรแล้วที่ประเทศเราจำเป็นจะต้องมีการศึกษาถึงความเหมาะสมเรื่อง ปัญหาอธิปไตยทางไซเบอร์ กันอย่างจริงจังให้ครอบคลุมในทุกมิติ เพื่อให้มีการเตรียมการแก้ไขไว้ก่อนที่เราจะสูญเสียอธิปไตยทางไซเบอร์ในอันดับแรกไปมากกว่านี้ และตามไปด้วยอธิปไตยของชาติอันเป็นที่รักของเรา เป็นอันดับต่อไป

2. นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้ทรงคุณวุฒิด้านกฎหมาย ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

เมื่อพิจารณาถึงรายละเอียดของงานวิจัยดังกล่าวแล้ว ผู้ทรงคุณวุฒิด้านกฎหมาย เห็นด้วยกับงานวิจัยดังกล่าว แต่เห็นควรเพิ่มเติมรายละเอียดเกี่ยวกับการป้องกันหรือยุทธศาสตร์ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของประเทศ ในหัวข้อ “Quick win project” (กรณีที่มีการแก้ไขแผนยุทธศาสตร์แห่งชาติ) ดังนี้

ในส่วนนโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ พ.ศ. 2560 – 2564 ระบุให้ภัยคุกคามทางไซเบอร์เป็นภัยคุกคามทางความมั่นคงแห่งชาติ ซึ่งกำหนดแนวทางไว้ในประเด็นที่ 3.7.15 ในเรื่องการป้องกันความมั่นคงทางไซเบอร์ โดยระบุให้ต้องมีกลยุทธ์ 6 ด้าน คือ
2.1 การพัฒนาขีดความสามารถขององค์กรภาครัฐ ทั้งฝุายทหาร พลเรือน และตำรวจ
2.2 การพัฒนากรอบความร่วมมือของประเทศและอาเซียน
2.3 การพัฒนามนุษย์ องค์ความรู้ ให้ตระหนักรู้ถึงความสำคัญของภัยคุกคามทาง ไซเบอร์
2.4 การปกป้อง ป้องกันภัยคุกคามทางไซเบอร์ โดยสร้างเครือข่ายทุกภาคส่วน ทั้งในประเทศ และนอกประเทศ
2.5 *** การพัฒนาการบังคับใช้กฎหมาย ระเบียบต่าง ๆ เพื่อรักษาความมั่นคงทางไซเบอร์ ***
2.6 การส่งเสริมพัฒนาขีดความสามารถขององค์กรทุกภาคส่วนให้มีความรู้ ความเชี่ยวชาญทางไซเบอร์

ในส่วนประเด็นข้อที่ 2.5 ในเรื่องการปูองกันรักษาความมั่นคงของชาติ และ การมั่นคงทางไซเบอร์ รวมถึงอธิปไตยทางไซเบอร์ เดิมระบุกฎหมาย (Legal framework) ไว้เพียง เรื่อง คือ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ. 2562 รวมถึงหมวดกฎหมายความมั่นคงปลอดภัยที่เป็นกฎหมายพิเศษ

ผู้ทรงคุณวุฒิ มีความเห็นว่า ควรเพิ่มเติมกฎหมายอีก 1 ฉบับที่เกี่ยวข้องกับการดูแลความมั่นคงและการดูแลอธิปไตยทางไซเบอร์ (ในกรณีที่มีการแก้ไขแผนยุทธศาสตร์แห่งชาติ หรือ แผนยุทธศาสตร์แห่งชาติในปี พ.ศ. 2565 – 2567 คือ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” เนื่องจากในการดูแลเรื่องการรักษาความปลอดภัยมั่นคงทางไซเบอร์ ซึ่งตามรายงานการวิจัยของอาจารย์ปริญญาฯ ผู้ศึกษา ระบุว่า ควรจะพัฒนากฎหมายลูก มีกองบัญชาการ และพัฒนาตำรวจไซเบอร์ หรือดูแลหน่วยงานที่ดูแลความปลอดภัยทางไซเบอร์โดยเฉพาะ ในกรณีดังกล่าว ผู้ทรงคุณวุฒิเห็นว่า กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมควรทำงานร่วมมือกับสภาความมั่นคงแห่งชาติ (สมช.) และคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) โดยร่วมกันบูรณาการให้กฎหมายลูกที่ออกตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีความสอดคล้องกับแผนความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ และสอดคล้องกับนโยบายและสอดคล้องกับนโยบายแผนแม่บทและการปรับใช้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพื่อหาจุดถ่วงดุลระหว่างความมั่นคงปลอดภัยทางไซเบอร์ และสร้างการให้ความคุ้มครองข้อมูลส่วนบุคคล เนื่องจากองค์ประกอบและมาตรการหลักของการปกป้องอธิปไตยไซเบอร์ และการป้องกันความปลอดภัยไซเบอร์ ที่ประกอบด้วย 3 ส่วนคือ บุคลากร (People) กระบวนการ (Process) และ เทคโนโลยี (Technology) เป็นมาตรการที่ใช้แก้ไขปัญหาเพื่อใช้รักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity solution) ในส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งสิ้น กล่าวคือ การดำเนินการเพื่อดูแลรักษาความมั่นคงปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นการป้องกัน (Prevention) การลดความเสี่ยง (Reduction) การตรวจสอบ (Detection) การป้องปราม (Repression) การแก้ไข (Correction) และการประเมินความเสี่ยง (Evaluation) เป็นกระบวนการที่ต้องใช้ข้อมูลส่วนบุคคลของประชาชนและภาคส่วนต่าง ๆ เพื่อบูรณาการให้เกิดความมั่นคงปลอดภัยและรักษาอธิปไตยไซเบอร์ได้

โดยผู้ทรงคุณวุฒิขอเสนอเพิ่มเติมให้หน่วยงานความมั่นคงควรออกหรือบังคับใช้กฎหมายลำดับรองข้างต้น กล่าวคือ นโยบาย แผน กฎกระทรวง ข้อบังคับ และแนวทางต่าง ๆ หน่วยงานที่เกี่ยวข้องจำเป็นต้องใช้ “ข้อมูลส่วนบุคคล” ของประชาชน และ “ข้อมูลส่วนบุคคล” ที่อยู่ในหน่วยงานต่าง ๆ ทั้ง ภาครัฐและเอกชน เพื่อวัตถุประสงค์ตามแผนความมั่นคงปลอดภัยแห่งชาติ และความมั่นคงปลอดภัยทางไซเบอร์ ตามแผนแม่บทยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ดังต่อไปนี้
ก) ป้องกันภัยคุกคามต่อความมั่นคงแห่งชาติ และภัยคุกคามทางไซเบอร์ ที่อาจจะเกิดขึ้นจากการโจมตีด้วยวิธีการทางอาชญากรรมทางคอมพิวเตอร์
ข) เฝ้าระวังความเสี่ยง ติดตาม วิเคราะห์ ประมวลผล ภัยคุกคามเกี่ยวกับเรื่องความมั่นคงทั้งทางกายภาพและไซเบอร์ที่อาจเกิดขึ้น รวมถึงการกระทำที่อาจเป็นภัยต่อความมั่นคงของรัฐ หรือเพื่อรักษาไว้ซึ่งระบอบประชาธิปไตยอันมีพระมหากษัตริย์อันเป็นประมุข ความปลอดภัยของประชาชน ความสงบเรียบร้อยของส่วนรวม หรือภัยพิบัติสาธารณะ
ค) การดำเนินการสืบสวนสอบสวนข้อเท็จจริง รวบรวมพยานหลักฐาน เพื่อดำเนินคดีกับบุคคลที่กระทำความผิดหรืออาชญากรรมคอมพิวเตอร์ ซึ่งก่อให้เกิดภัยคุกคามทางไซเบอร์ต่อหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
ง) การประเมินสถานการณ์ภัยคุกคามทางไซเบอร์ ตรวจสอบแหล่งที่มาของการกระทำความผิดทางไซเบอร์
จ) การดำเนินการรวบรวมพยานหลักฐาน เพื่อดำเนินคดีกับผู้กระทำความผิด ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์
ฉ) การดำเนินการกู้ข้อมูลคอมพิวเตอร์ที่ถูกทำลาย การตรวจสอบข้อมูลหรือรักษาสถานะของข้อมูลคอมพิวเตอร์เพื่อหาข้อบกพร่องในทางเทคนิค
ช) การกำหนดมาตรการการเข้าถึงข้อมูลหรือระบบคอมพิวเตอร์ ที่ต้องมีมาตรการการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน

3. รองศาสตราจารย์ปณิธาน วัฒนายากร กรรมการผู้ทรงคุณวุฒิ ด้านความสัมพันธ์ระหว่างประเทศ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ผู้ทรงคุณวุฒิด้านความสัมพันธ์ระหว่างประเทศ เห็นว่า แนวทางการขับเคลื่อนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับชาติ (ยุทธศาสตร์ฯ) ควรจำแนกออกตามองค์กรที่มีบทบาทเป็นผู้นำของการขับเคลื่อนยุทธศาสตร์ในแต่ละประเด็นยุทธศาสตร์ โดยควรจำแนกแนวทางการขับเคลื่อนการพัฒนายุทธศาสตร์ฯ ออกเป็น 3 แนวทาง ได้แก่ 1) แนวทางขับเคลื่อนยุทธศาสตร์ที่ให้รัฐมีบทบาทนำ (Government-led) 2) แนวทางขับเคลื่อนยุทธศาสตร์ฯ ที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian-led) และ 3) แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่แพลตฟอร์มมีบทบาทนำ (Platform-led) โดยสรุปได้ ดังนี้

3.1 แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่ให้รัฐมีบทบาทนำ (Government-led) โดยรัฐบาลควรอาศัยกลไกหน่วยงานภาครัฐ เช่น สกมช. กมช. ดศ. สมช. เป็นต้น เพื่อขับเคลื่อนแผนปฏิบัติงานที่หน่วยงานรัฐต้องเป็นผู้นำ เช่น การสร้างมาตรฐานการรักษาความมั่นคงปลอดภัย ไซเบอร์ การตั้งหน่วยงานรับมือภัยคุกคามไซเบอร์ เป็นต้น กำหนดหน่วยงานกลางที่บทบาทในการบูรณาการและประสานการทำงานของหน่วยงานภาครัฐต่าง ๆ รัฐบาลต้องเป็นผู้นำในการสร้างความร่วมมือระหว่างรัฐและผู้เชี่ยวชาญในภาคเอกชน ทั้งภายในประเทศและภายนอกประเทศในการขับเคลื่อนแผนปฏิบัติการ (Action Plan) และโครงการที่เกี่ยวข้อง เช่น การแลกเปลี่ยนข้อมูลระหว่างหน่วยงาน การระบุและบริหารความเสี่ยง การเตือนภัยล่วงหน้า การรณรงค์สร้างความตระหนักรู้ให้กับประชาชน การพัฒนาบุคลากรภาครัฐให้มีขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ เป็นต้น

3.2 แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่ให้ภาคประชาชนและภาคเอกชนมีบทบาทนำ (Civilian led) โดยภาครัฐควรเสริมสร้างขีดความสามารถด้าน Cybersecurity ให้กับภาคประชาชนอย่างต่อเนื่อง ควรอาศัยกลไกของกระทรวงศึกษาธิการ หน่วยงานภาครัฐ รัฐวิสาหกิจ ภาคเอกชน ในการพัฒนาความรู้และความตระหนักรู้ให้แก่ประชาชน เช่น การปรับปรุงหลักสูตรการเรียนการสอนตั้งแต่ระดับชั้นประถมศึกษา และมัธยมศึกษา รวมถึงสาขาวิชาด้าน Cybersecurity ในระดับอุดมศึกษา การให้รัฐวิสาหกิจและภาคเอกชนมีส่วนร่วมในการสร้างความรับผิดชอบต่อสังคมผ่านการจัดทำโครงการถ่ายทอดความรู้และสร้างความตระหนักรู้ด้าน Cybersecurity ให้แก่เยาวชน เพื่อให้ประชาชนมีภูมิคุ้มกันทางไซเบอร์ มีความรู้ทางดิจิทัล และรู้เท่าทันภัยคุกคามไซเบอร์ทุกรูปแบบ

3.3 แนวทางการขับเคลื่อนยุทธศาสตร์ฯ ที่ให้แพลตฟอร์มมีบทบาทนำ (Platform Led) โดยภาครัฐควรส่งเสริมและสนับสนุนการวิจัยและพัฒนาการสร้างแพลตฟอร์มของประเทศไทย ที่เป็นนวัตกรรมทางเทคโนโลยีดิจิทัล ตอบสนองความต้องการของประชาชนได้ อย่างมีประสิทธิภาพสูงกว่าแพลตฟอร์มต่างประเทศ และสามารถดูแลข้อมูลส่วนบุคคลของประชาชนด้วย ซึ่งแพลตฟอร์มต่างประเทศไม่สามารถกระทำได้ รวมถึงสามารถป้องกันประชาชนจากการรุกล้ำทางเศรษฐกิจ สังคม วัฒนธรรม ความคิด ความเชื่อ อุดมการณ์ ทัศนคติ ค่านิยมผ่านสื่อสังคมออนไลน์ (Social media) ของแพลตฟอร์มต่างประเทศ เช่น ข่าวปลอม ปฏิบัติการข่าวสารที่หวังผลทางการเมือง การยุยงปลุกปั่นที่ส่งผลกระทบต่อสถาบันหลักของชาติ เป็นต้น โดยอาจระดมผู้เชี่ยวชาญด้านเทคโนโลยีดิจิทัลทั้งจากภายในประเทศและต่างประเทศมาช่วยวิจัยและพัฒนา ซึ่งอาจให้แรงจูงใจต่าง ๆ เช่น สิทธิประโยชน์ทางภาษี เป็นต้น

ทั้งนี้ ควรจัดให้มีหน่วยงานฝ่ายความมั่นคงทำหน้าที่ประสานงานทั้ง 3 ภาคส่วน ในแนวทาง co-ordination mechanism เพื่อให้เกิดการบูรณาการในการทำงานร่วมกัน เช่น จัดให้มีหน่วยงานภายใต้สำนักงานสภาความมั่นคงแห่งชาติ ทำหน้าที่เป็น co-ordination body

กรอบความคิดของงานวิจัย

  1. ในการศึกษาวิจัยนี้ จะนำกรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้าน ความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ GCSCC แห่ง University of Oxford มาประยุกต์ใช้ในการประเมินศักยภาพและ ขีดความสามารถของประเทศไทยในการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งเป็นการวิเคราะห์และระบุประเด็นปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย เพื่อเสนอแนะแนวทาง การแก้ไขปัญหาใหญ่ด้านความมั่นคงของประเทศ
  2. ในการศึกษาวิจัยนี้ จะนำข้อเสนอแนะของผู้ทรงคุณวุฒิมาสังเคราะห์เป็นแนวทางการแก้ไขปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย โดยเสนอแนะโครงการและแผนปฏิบัติการ ภายใต้แนวทางการขับเคลื่อนการแก้ไขปัญหา หน่วยงานรับผิดชอบ รวมถึงเพื่อให้ข้อเสนอแนะ เชิงนโยบายต่อรัฐบาลเพื่อเป็นแนวทางในการปรับปรุงยุทศาสตร์ชาติ 20 ปี ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยรอบระยะเวลาของการทบทวนปรับปรุงแก้ไขยุทธศาสตร์ชาติ ครั้งแรกคือ ปี 2565 (เนื่องจากกรอบระยะเวลาของการทบทวนยุทธศาสตร์ชาติคือ 5 ปี หลังจากยุทธศาสตร์ชาติมีผลใช้บังคับในปี 2560)

สรุป

จากการการทบทวนวรรณกรรม และงานวิจัยที่เกี่ยวข้อง ในการศึกษานี้พบว่า การพัฒนาและจัดทำยุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ควรมีเครื่องมือที่เหมาะสมในการวิเคราะห์ปัญหาของประเทศ ซึ่งเป็นการประเมินสภาพแวดล้อมทางไซเบอร์ของประเทศ การประเมินขีดความสามารถของประเทศในการรับมือกับภัยคุกคามทางไซเบอร์ โดยที่ปัจจุบัน เครื่องมือที่เหมาะสมดังกล่าวคือ กรอบแนวคิดแบบจำลองวุฒิภาวะความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (National cybersecurity capacity maturity model: CMM) ของ GCSCC แห่ง University of Oxford ซึ่งแบ่งมิติของการประเมินขีดความสามารถของประเทศออกเป็น 5 มิติ ได้แก่ มิติที่ 1 National cybersecurity framework and policy มิติที่ 2 Cyber culture and society มิติที่ 3 Cybersecurity education, training and skills มิติที่ 4 legal and regulatory frameworks และมิติที่ 5 Standards, organizations, and technologies ดังนั้น การศึกษานี้ใช้ CMM ในการวิเคราะห์ปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย

นอกจากนี้ จากการศึกษาแนวคิดในการพัฒนายุทธศาสตร์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และแนวปฏิบัติที่ดี (Good practice) ของต่างประเทศ พบว่า โครงสร้างยุทธศาสตร์ของประเทศให้ความสำคัญกับวิสัยทัศน์และบทบาทผู้นำ ซึ่งเป็นปัจจัยแห่งความสำเร็จที่จะจุดประกายให้ทุกภาคส่วนมีการบูรณาการ ประสานความร่วมมือ (Inclusiveness) ความเข้าใจต่อปัญหา ประเภท แหล่งที่มาของภัยคุกคาม การปกป้องโครงสร้างพื้นฐานและบริการที่สำคัญยิ่งยวดของประเทศ การบริหารจัดการความเสี่ยงและการเตือนภัยล่วงหน้า การเพิ่มขีดความสามารถและความตระหนักรู้ (Awareness) ให้กับประชาชนและบุคลากรภาครัฐ การแลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์ทั้งภายในและภายนอกประเทศ การบัญญัติกฎหมายและการบังคับใช้กฎหมาย การฝึกซ้อมแผนรับมือ การรักษาสมดุลระหว่างความมั่นคงปลอดภัยและเสรีภาพของประชาชน รวมถึงการวิจัยและพัฒนานวัตกรรมด้านเทคโนโลยีดิจิทัลเพื่อรับมือกับภัยคุกคามทางไซเบอร์

Leave a Comment » | ความมั่นคงปลอดภัยไซเบอร์ของชาติ | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »