ความท้าทายในการ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law) ของไทย

ตุลาคม 15, 2018

ความเป็นมา

ในหัวข้อเรื่องความเชื่อ กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน/Trust and Sustainable Developemnt ตอนที่ 16 ที่พูดถึงเรื่องของความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ผมได้ออกความเห็นเกี่ยวกับหลักการ หลักเกณฑ์ กรอบความคิด ในการเป็นจุดตั้งต้นของการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อเป็นการให้ข้อสังเกตกับผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ว่า หากทำ Gap Analysis ถึงกระบวนการที่จำเป็นในการที่ควรมีกรอบการร่างกฎหมายที่ได้นำเสนอในครั้งที่แล้ว กับความเป็นจริงที่ผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. นี้ได้ดำเนินการไป และนำเสนอต่อสาธารณะ เพื่อระดมความคิดเห็นไปเมื่อวันที่ 5 และ 11 ตุลาคม 2561 และปรากฎตามสื่อต่างๆ ค่อนข้างมากว่า มีผู้ไม่เห็นด้วย และไม่อยากให้ร่าง พ.ร.บ. ฉบับนี้ถูกนำมาใช้โดยไม่มีการเปลี่ยนแปลงในเรื่องต่างๆ ที่เกี่ยวข้อง ในหลายองค์ประกอบและในหลายปัจจัย โดยเฉพาะในหลักการ กระบวนการ และอื่นๆ ตามที่ผมได้กล่าวไปแล้ว

ในครั้งนี้ ผมจึงขอรวบรวมความเห็นที่ได้จากการทำประชาพิจารณ์เท่าที่ได้รับมาเพียงบางส่วน มาให้ท่านผู้อ่านใช้ดุลยพินิจในการพิจารณาว่า พ.ร.บ. นี้ มีผลกระทบต่อความน่าเชื่อถือ ในระดับประเทศ ซึ่งมีผลกระทบในระดับมหภาคในมิติต่างๆ ของการพัฒนาประเทศไทยเพื่อการเติบโตอย่างยั่งยืนมากน้อยเพียงใด โดยเฉพาะอย่างยิ่ง หากกฎหมายนี้ผ่านออกมาได้และนำมาใช้ในทางปฏิบัติจริง น่าจะเป็นการละอายเพียงใด ในการนำ พ.ร.บ. ของต่างประเทศมาประยุกต์ใช้เป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ของไทย อย่างไม่เหมาะสม โดยการตัดข้อความที่สำคัญและมีนัยสำคัญต่อความหมายในการปฏิบัติงานการกำกับและการบริหารจัดการ ทางด้านความมั่นคงปลอดภัยไซเบอร์ของไทย ที่แน่นอนว่า โอกาสเป็นไปได้ในทางปฏิบัติมีน้อยมาก ซึ่งผมก็ได้กล่าวย้ำแล้วว่า เมื่อถอด พ.ร.บ. มาสู่แนวการปฏิบัติไม่ได้ ไม่ว่าในมิติของการกำกับ หรือในมิติของการปฏิบัติก็จะส่งผลให้ไม่สามารถที่จะปฏิบัติได้จริงตามตัวอย่างที่เกิดขึ้นมาแล้ว ในเรื่อง พ.ร.บ. หมา-แมว, พ.ร.บ. บ้านเช่า, การคิดค่าน้ำ ค่าไฟกับผู้เช่า, พ.ร.บ. รถกระบะ ฯลฯ ซึ่งไม่สามารถนำมาใช้ในทางปฏิบัติได้ เนื่องจาก พ.ร.บ. ดังกล่าวนั้น ไม่ได้คำนึงถึงผู้มีส่วนได้เสีย ตามหลักการกำกับดูแล กฎหมาย และการบริหารการจัดการ การติดตามผล รวมทั้งการตรวจสอบอย่างเป็นกระบวนการ

ดังนั้น ความเห็นของประชาชนจำนวนไม่น้อยต่อร่าง พ.ร.บ. นี้ จึงมีลักษณะในเชิงไม่เห็นด้วยในหลายเรื่องที่เกี่ยวข้อง ซึ่งในตอนนี้ ผมจะนำความเห็นของท่านผู้ทำประชาพิจารณ์บางส่วนเท่าที่เผยแพร่ได้ เป็นการทั่วไป เพื่อไม่ให้กระทบกับความเป็นส่วนตัวของผู้ออกความเห็นนั้นๆ ในภาพโดยรวม เมื่อท่านผู้อ่านได้อ่านความเห็นในลักษณะที่ไม่เห็นด้วยนี้ ก็ไม่ควรสรุปว่า เป็นความเห็นที่ถูกต้องหรือไม่ ทั้งนี้เพราะขึ้นกับดุลยพินิจของแต่ละท่านเป็นสำคัญ เนื่องจากท่านผู้อ่าน ทุกกลุ่มของประชากรในประเทศไทย และผม ล้วนเป็นผู้มีส่วนได้เสียที่มีความต้องการแตกต่างกัน และขึ้นกับมุมมองความเข้าใจถึงผลกระทบกับวัตถุประสงค์ที่แตกต่างกันไปในแต่ละบุคคลและแต่ละกลุ่ม แต่ละองค์กรด้วย

อย่างไรก็ดี สำหรับผมเอง และน่าจะเป็นความเห็นส่วนใหญ่ที่วางเป้าประสงค์ของการวิจารณ์ภายใต้กรอบของผลประโยชน์ของประเทศชาติเป็นสำคัญ

ต่อไปนี้เป็นมุมมองจากสื่อบางสำนัก และจากความเห็นส่วนตัวที่ไม่ขอเอ่ยนาม ที่ได้แสดงความคิดเห็นต่อ พ.ร.บ. ฉบับนี้

ข่าวจากสื่อออนไลน์ เว็บไซต์ประชาไท รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ

ข่าวจากสื่อออนไลน์ เว็บไซต์ไทยรัฐ มนุษย์ไซเบอร์รวมตัว ยำใหญ่…ก.ม.ไซเบอร์

ข่าวจากสื่อออนไลน์ เว็บไซต์ thematter พ.ร.บ.ความมั่นคงไซเบอร์ ประตูสู่กฎอัยการศึกออนไลน์? คุยกับ อาทิตย์ สุริยะวงศ์กุล

ข้อมูลดังกล่าวข้างต้นเป็นข้อมูลเพียงบางส่วนที่ส่วนใหญ่ ก็นำมาจาก ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับความคิดเห็นที่ชัดเจนและค่อนข้างรุนแรงก็ไม่ได้นำมาเผยแพร่ ณ ที่นี้ รวมทั้งได้พยายามค้นคว้า ร่าง พ.ร.บ. ฉบับนี้ ที่มีผู้วิจารณ์ในลักษณะเห็นด้วยว่าเป็นประโยชน์ต่อประเทศไทยในการสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย ทั้งภายในและต่างประเทศ โดยร่างขึ้นตามหลักการที่ยอมรับกันโดยทั่วไปนั้น ยังไม่พบข้อมูลดังกล่าวนะครับ

อนึ่ง ทั้งหมดนี้ นำเสนอเพื่อให้ท่านผู้อ่านได้รับทราบและพิจารณาโดยรอบคอบ โดยควรนำหลักการ หลักเกณฑ์ตามที่ได้กล่าวถึง ความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ตอนที่ 16 มาใช้ด้วยนะครับ โดยเฉพาะอย่างยิ่ง การคำนึงถึงผู้มีส่วนได้เสียอย่างได้ดุลยภาพ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 16

ตุลาคม 15, 2018

การก้าวไปสู่การสร้างความเชื่อในเรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย

เรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ / Cybersecurity Law ของไทย ซึ่งกำลังอยู่ในช่วงสำคัญ ในการพิจารณาร่าง พ.ร.บ. ให้เป็นกฎหมายที่ใช้ในการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ ที่มีผลกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที โดยกำหนดลักษณะของภารกิจหรือบริการที่มีความสาคัญเป็นโครงสร้างพื้นฐานสาคัญทางสารสนเทศที่จะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ มิให้เกิดผลกระทบต่อความมั่นคงในด้านต่าง ๆ รวมทั้งให้มีหน่วยงานเพื่อรับผิดชอบในการดำเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน ไม่ว่าในสถานการณ์ทั่วไปหรือสถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง ตลอดจนกำหนดให้มีแผนปฏิบัติการและมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีเอกภาพและต่อเนื่อง อันจะทำให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ ทางรัฐบาลเห็นความจำเป็นที่จะต้องมี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จึงให้กระทรวงและหน่วยงานภาครัฐที่เกี่ยวข้องร่าง พ.ร.บ. นี้ เพื่อพิจารณา และได้มีการจัดทำประชาพิจารณ์ในเรื่องนี้ขึ้น ในวันที่ 5 และ 11 ตุลาคม 2561 ที่ผ่านมา ก่อนนำไปให้ สภานิติบัญญัติแห่งชาติ (ประเทศไทย) – สนช. พิจารณาตามกระบวนการก่อนประกาศใช้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการต่อไป นั้น

ผลของการประชาพิจารณ์ในเรื่องดังกล่าว ที่เป็นทางการและไม่เป็นทางการ รวมทั้งที่ผ่านสื่อต่างๆ ออกมาในลักษณะไม่เห็นด้วยเป็นส่วนใหญ่ เพราะจะมีผลกระทบกระเทือนในวงกว้าง ในระดับประเทศ ในระดับความน่าเชื่อถือระหว่างประเทศ ทั้งทางด้านเศรษฐกิจและสังคม และการลงทุน ซึ่งแทนที่จะเป็นการร่างกฎหมายเพื่อป้องกันภัยไซเบอร์จากต่างประเทศ หรือจากภายนอก แต่ พ.ร.บ. นี้ เมื่อผู้ที่มีความรู้ที่เกี่ยวกับการกำกับและการบริหาร รวมทั้งการปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์จำนวนไม่น้อย ได้ศึกษารายละเอียดในเชิงวิเคราะห์ สร้างสรร ที่มีเป้าหมาย เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างบูรณาการที่แท้จริง โดยเฉพาะอย่างยิ่ง ในหลักคิด หลักปฏิบัติ ที่ พ.ร.บ. นี้ จะครอบคลุมทั้งประเทศ ทั้งภาครัฐและภาคเอกชน รวมทั้งผู้มีส่วนได้เสียนานาชาติที่ต้องประยุกต์ใช้เป็นกรอบการดำเนินงาน เป็นหนึ่งเดียวกับการกำกับ การบริหาร และการจัดการไอที ในเรื่องอื่นๆ ที่ต้องบูรณาการเป็นหนึ่งเดียวตามหลักการมาตรฐาน หรือตามหลักการวิธีการปฏิบัติที่ดีที่เป็นสากลที่ทั่วโลกยอมรับกัน เพื่อให้กระบวนการและวิธีการปฏิบัติแบบองค์รวม (Enablers) สัมฤทธิ์ผล และแน่นอนว่า หลักการดังกล่าว ภายใต้กรอบที่นานาชาติยอมรับได้ก็คือ การแยกการกำกับดูแล (Governance) ออกจากการบริหารจัดการ (Management and Operation) โดยหลักการทั้ง 5 นี้ เป็นกรอบของแนวคิดที่ถ่ายทอดเป็นแนวทางและกระบวนการปฏิบัติงานที่ชัดเจนได้อย่างเป็นรูปธรรม นั้น

 

ผู้ที่มีส่วนเกี่ยวข้องกับการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ นี้ ได้วางกรอบและแนวคิดเป็นไปตามที่ผมได้กล่าวเป็นการอุ่นเครื่องข้างต้นหรือไม่ครับ

ท่านทราบไหมครับว่า คำจำกัดความของ การกำกับดูแล (Governance) ยุคดิจิทัลนั้น นานาชาติให้คำจำกัดความไว้ว่า “การกำกับดูแล ทำให้มั่นใจได้ว่า ความต้องการ เงื่อนไข และทางเลือกของผู้มีส่วนได้เสียได้รับการประเมิน เพื่อกำหนดวัตถุประสงค์ที่องค์กรต้องการให้บรรลุ ซึ่งมีความสมดุลและเห็นชอบร่วมกัน; การกำหนดทิศทางผ่านการจัดลำดับความสำคัญและการตัดสินใจ; และการเฝ้าติดตามผลการดำเนินงานและการปฏิบัติตามเทียบกับทิศทางและวัตถุประสงค์ที่ได้ตกลงร่วมกัน” และ ความหมายของคำว่าการบริหารจัดการ (Management) คือ ผู้บริหารวางแผน สร้าง ดำเนินงาน และเฝ้าติดตามกิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนดโดยหน่วยงานกำกับดูแล (Governance body) เพื่อให้บรรลุวัตถุประสงค์ขององค์กร/ประเทศ

คำถามของผมในตอนนี้ก็คือ ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ท่านได้ใช้กรอบและแนวคิด/หลักคิด ที่สามารถถ่ายทอดไปสู่ขั้นตอน กระบวนการ แนวทาง และวิธีการปฏิบัติ ทั้งในระดับ Governance body/Regulators และในระดับ Regulated entities ทั้งภาครัฐและเอกชนได้อย่างเป็นรูปธรรมหรือไม่? และการร่าง พ.ร.บ. นี้ มีบทลงโทษที่เลขาธิการมีอำนาจอย่างกว้างขวางนั้น เป็นการบังคับใช้อำนาจที่ขาดการพิจารณาความเหมาะสมของผู้ปฏิบัติงานตามที่ควรหรือไม่ เช่น การใช้แนวทางกฎหมาย Cybersecurity Law ของสิงคโปร์ มาเป็นส่วนหนึ่งของการร่าง พ.ร.บ. นี้นั้น ไม่มีอะไรผิด แต่สิ่งที่น่าคิดก็คือ ท่านได้ตัดถ้อยคำบางส่วนที่มีนัยสำคัญของต้นร่างที่ท่านได้นำมาเป็นแบบอย่างในการร่างเป็น พ.ร.บ. การรักษาความมั่นคงปลอดภัย Cybersecurity Law ของไทย ทำให้ผู้บริหารหรือเลขาธิการของหน่วยงานใหม่ มีอำนาจล้นฟ้า ถึงแม้จะมีนายกรัฐมนตรีเป็นผู้กำกับฯ ด้วยก็ตาม

เป็นความเหมาะสมแล้วหรือ ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ กำลังร่างกฎเกณฑ์และข้อบังคับในลักษณะที่แทบไม่มีทางเลือกอื่นใด คือบังคับให้ผู้อยู่ภายใต้กฎหมายต้องปฏิบัติ (Comply) ตามกฎหมายนี้เท่านั้นหรือ? มีทางออกที่ดีกว่านี้หรือไม่?

ท่านผู้ที่เกี่ยวข้องในการร่าง พ.ร.บ. นี้ ไม่มีทางเลือกอื่นให้ผู้ที่ต้องปฏิบัติตามกฎหมายหรือ พ.ร.บ. นี้ ใช้หลักการที่ยืดหยุ่น และด้วยต้นทุนที่อาจต่ำกว่ามากหรือปฏิบัติได้สะดวกกว่ามาก โดยใช้หลัก Imply and Inform ที่สามารถครอบคลุมการปฏิบัติตามร่าง พ.ร.บ. ฉบับนี้ได้ โดยใช้เทคโนโลยีและนวัตกรรมใหม่ๆ รวมทั้งการใช้ปัญญาประดิษฐ์ใหม่ๆ ทดแทนการบังคับ ตามแนวความคิดที่เป็นอยู่ คือการ Comply  ท่านว่าแบบนี้เป็นการเหมาะสมกว่าไหมครับ และการร่าง พ.ร.บ. นี้ อาจจะผ่านได้ง่ายกว่าเดิมไหมครับ

ข้อสำคัญของประเด็นดังกล่าวข้างต้นนี้ เป็นการยอมรับความต้องการ หรือรับฟังความเห็นของผู้มีส่วนได้เสีย และเข้าใจสภาพแวดล้อมของการเปลี่ยนแปลงที่มีความก้าวหน้าทางด้านเทคโนโลยีในอนาคตอย่างแท้จริงนะครับ

ผู้มีส่วนได้เสีย คือใครกันแน่ จะกำกับและบริหารให้ได้ดุลยภาพกันได้อย่างไร

มีคำถามมากพอสมควรว่า การกำหนดสิ่งที่คาดหวังจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้ง สิ่งที่คาดหวังได้จากสารสนเทศ และเทคโนโลยีที่เกี่ยวข้อง ซึ่งอาจจะเข้าใจในภาพรวมๆ ว่า เป็นประโยชน์ที่ได้รับ ณ ระดับความเสี่ยงที่ยอมรับได้ และด้วยต้นทุนที่จะเกิดขึ้น และระดับความสำคัญของสิ่งเหล่านั้น เพื่อให้มั่นใจว่า คุณค่าที่คาดหวังโดยผู้มีส่วนได้เสีย จะได้รับการส่งมอบจริง เช่น พ.ร.บ. นี้ ผู้มีส่วนได้เสียบางกลุ่ม อาจต้องการผลประโยชน์ในระยะสั้น บางคน บางกลุ่มต้องการผลประโยชน์ในระยะยาว เพื่อการเติบโตอย่างยั่งยืน บางคนพร้อมที่จะรับความเสี่ยงสูง แต่บางคน บางกลุ่มอาจไม่ยอมรับความเสี่ยงได้เลย ความคาดหวังที่แตกต่างกันเหล่านี้ ต้องได้รับการกำกับ และการจัดการที่มีประสิทธิผล นอกจากนี้ ผู้มีส่วนได้เสียเหล่านี้ ยังไม่เพียงต้องการมีส่วนร่วมมากขึ้นเท่านั้น แต่พวกเขาต้องการความโปร่งใสด้วยว่า สิ่งเหล่านี้ หรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์นี้ จะเกิดขึ้นได้อย่างไร นั่นคือ การถ่ายทอดเป้าประสงค์หลักไปสู่วิธีการปฏิบัติ และจะบรรลุผลลัพธ์จริงได้ชัดเจนและพิสูจน์ได้ในกระบวนการที่เกี่ยวข้อง

ตามที่ผมได้กล่าวไว้ข้างต้นว่า หลักคิด ต้องเกี่ยวข้องกับหลักปฏิบัติได้จริง มีความสอดคล้องกับมาตรฐาน หรือแนวปฏิบัติที่ดีที่เป็นสากล เพื่อให้เป็นที่ยอมรับได้ เพราะหาก การร่าง พ.ร.บ. ของเราไม่ได้รับการยอมรับจากผู้มีส่วนได้เสียทั้งภายในและระหว่างประเทศอย่างแท้จริง ก็จะมีปัญหาต่อนโยบาย Thailand 4.0 และเป็นอุปสรรคต่อเศรษฐกิจ การเงิน การลงทุน และการให้บริการ ในระดับกว้าง และลึกเกินกว่าที่ประเทศหรือผู้มีส่วนได้เสียโดยรวมยอมรับได้ และจะนำไปสู่การยอมรับที่แท้จริงและปฏิบัติได้จริงของผู้มีส่วนได้เสียในที่สุดนั่นคือ อาจไม่มีการยอมรับในการปฏิบัติ หรือต่อต้าน พ.ร.บ. ในรูปแบบต่างๆ ที่ไม่อยากจะให้เกิดขึ้น ฯลฯ

แนวคิดอีกอย่างหนึ่งที่น่าจะมีประโยชน์ในการปรับปรุงร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ก็คือ การเชื่อมโยงกับนโยบาย Thailand 4.0 และกลยุทธ์ที่จะนำประเทศไปสู่ยุค Thailand 4.0 โดยการเชื่อมโยงกฎหมาย หรือ พ.ร.บ. นี้ที่ควรจะสอดคล้องกับ พ.ร.บ. พ.ร.ก. ประกาศ คำสั่งต่างๆ ที่เกิดขึ้น ซึ่งจะทำให้เกิดความสอดคล้องกับกรอบการดำเนินงานของประเทศ และมาตรฐานอื่นๆ ที่มีใช้อยู่ นี่คือกระบวนการกำกับการบริหาร รวมทั้งการกำกับแบบบูรณาการระดับองค์กร และระดับประเทศ และควรจะสอดคล้องกับแนวปฏิบัติอื่นๆ ที่โดยหลักการแล้วควรจะนำมารวมเป็นกรอบการพิจารณาเป็นหนึ่งเดียวอย่างแท้จริง

ความสำคัญของปัจจัยเอื้อ (Enablers) ระดับประเทศ และระดับองค์กร ตามกรอบและหลักคิดแบบบูรณาการ

ความเข้าใจของผู้ร่าง พ.ร.บ. นี้ และ พ.ร.บ.อื่นๆ และกฎหมาย ประกาศ คำสั่งอื่นๆ ที่เกี่ยวข้อง ตามที่ผมได้กล่าวไว้ข้างต้นที่มีความสำคัญมากที่สุดอย่างหนึ่งในการสร้างคุณค่าเพิ่มก็คือ ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ (Enablers) สำหรับกรณีนี้ ผมกำลังชวนคุยในการนำเรื่องปัจจัยเอื้อมาเกี่ยวข้องกับกระบวนการของการกำกับ การบริหาร ที่ควรมีหลักคิดแบบบูรณาการที่ควรเข้าใจปัจจัยหรือหลายปัจจัยต่างๆ ที่เกี่ยวข้อง และต้องนำมารวมกันคิด เพราะมีอิทธิพลต่อความสำเร็จของ พ.ร.บ. การร่างกฎหมายที่เกี่ยวข้อง ซึ่งก็คือ การบริหารจัดการเรื่อง Cybersecurity ในระดับประเทศ และระดับองค์กร เพราะปัจจัยเอื้อขับเคลื่อนได้โดยการส่งทอดเป้าหมายของประเทศไปสู่เป้าหมายทางไอที ซึ่งรวมถึงเป้าหมายทางด้าน Cybersecurity ในภาพโดยรวม จะต้องมีปัจจัยเอื้อที่เกี่ยวข้องที่จะนำไปสู่ความสำเร็จของการกำกับ พ.ร.บ. นี้ โดยหน่วยงานที่จะตั้งขึ้นใหม่

การร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องใช้กรอบแนวคิดแบบบูรณาการนั้นเป็นที่เข้าใจตรงกันแล้ว แต่สิ่งที่อาจจะขาดไปอย่างมีนัยสำคัญก็คือ ความเข้าใจและการนำความเข้าใจมาสู่การปฏิบัติในการออกกฎหมาย หรือ พ.ร.บ. ต่างๆ ที่เกี่ยวข้อง จำเป็นต้องมีปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ ดังนั้น ผู้ที่ออกกฎหมาย ออกประกาศ คำสั่งต่างๆ ควรจะเข้าใจถึงปัจจัยเอื้อ 7 ประเภทดังต่อไปนี้

ท่านผู้ที่มีส่วนเกี่ยวข้องในการร่าง พ.ร.บ. ฉบับนี้ ได้พิจารณาหลักการภาพใหญ่ข้างต้น และการถ่ายทอดมาสู่ปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จ 7 ข้อตามที่จะกล่าวต่อไปนี้มากน้อยเพียงใด และหากจำเป็น ท่านสามารถที่จะถ่ายทอดมาเป็นกระบวนการและวิธีการปฏิบัติหลักได้หรือไม่?

  1. หลักการ นโยบาย และกรอบดำเนินงาน เป็นสิ่งที่นำไปสู่การเปลี่ยนแปลงหลักคิด และแนวทางปฏิบัติได้จริง (ตาม พ.ร.บ. นี้ ผู้ร่างฯ ได้ใช้อะไรเป็นหลักการ และกรอบการดำเนินงาน เพื่อไปสู่การปฏิบัติ)
  2. กระบวนการที่เกี่ยวเนื่องกับ ข้อ1. ซึ่งเป็นการอธิบายถึงแนวทางปฏิบัติและกิจกรรมที่ใช้ในการบรรลุวัตถุประสงค์บางประการ และให้ผลลัพธ์เพื่อสนับสนุนการบรรลุวัตถุประสงค์ของ พ.ร.บ. นี้
  3. โครงสร้างในการจัดการ เป็นการระบุถึงโครงสร้างของหน่วยงานใหม่ ที่ใช้เป็นหลักในการตัดสินใจในการกำกับและบริหารที่ชัดเจน ได้ดุลยภาพตามโครงสร้างที่แท้จริง
  4. วัฒนธรรม จริยธรรม และพฤติกรรม เรื่องนี้ปกติจะเป็นจุดอ่อนหรือ painpoint เกือบทุกหน่วยงาน ซึ่งส่วนใหญ่จะได้รับการประเมินค่าน้อยกว่าความเป็นจริง ทั้งๆ ที่เป็นปัจจัยสำคัญสู่ความสำเร็จของการร่าง พ.ร.บ. นี้
  5. ความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งเป็นหัวใจสำคัญยิ่งยวดของการกำกับดูแลที่ดี เพื่อสร้างความพึงพอใจให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพ ตามร่าง พ.ร.บ. ฉบับนี้
  6. บริการ โครงสร้างพื้นฐาน และระบบงาน เป็นเรื่องสำคัญยิ่งที่เกี่ยวเนื่องกับเป้าหมายหลัก ทางด้านความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที
  7. บุคลากร ทักษะ และศักยภาพ ปัจจัยเอื้อต่างๆ ที่รวมกันเพื่อก่อให้เกิดความสำเร็จตาม ร่าง พ.ร.บ. นี้ จะถูกเชื่อมโยงเข้ากับตัวบุคคล ซึ่งช่วยกิจกรรมต่างๆ ตามพันธกิจ สำเร็จลุล่วงไปได้ด้วยดี และสามารถช่วยในการตัดสินใจได้อย่างถูกต้อง พร้อมทั้งดำเนินการแก้ไข

ปัจจัยเอื้อตามที่กล่าวในข้อ 5. 6. 7. กล่าวรวมกันก็ได้แก่การบริหารทรัพยากรที่ต้องไปด้วยกันกับการบริหารความเสี่ยงที่ดี มีคุณภาพ เพื่อให้พ.ร.บ. นี้ได้รับผลประโยชน์ สนองตอบต่อความต้องการทางด้านความมั่นคงปลอดภัยอย่างแท้จริง

ปัจจัยเอื้อทั้ง 7 ประการ รวมทั้งการบริหารทรัพยากรตามที่กล่าวข้างต้นนั้น หน่วยงานผู้ร่าง พ.ร.บ. นี้ได้คำนึงถึงและนำมาสู่กรอบความคิดในการกำกับและบริหารการร่าง พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์หรือไม่ เพียงใด ครับ ทั้งนี้เพราะ ทรัพยากรที่เกี่ยวข้องกับ ข้อ 5. 6. 7. เป็นหัวใจที่สำคัญยิ่ง ที่หน่วยงานใหม่ที่ต้องกำกับงานตาม พ.ร.บ. นี้ต้องเข้าใจอย่างลึกซึ้ง เพื่อนำมาสู่การกำกับดูแลและการบริหารจัดการทางด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ทั้งในระดับองค์กรและระดับประเทศอย่างแท้จริงนะครับ

ความเห็นโดยสรุปของผู้เขียน

ความเห็นข้างต้นเป็นความเห็นส่วนตัวของผมในฐานะผู้เขียน สำหรับประชาพิจารณ์ท่านอื่นๆ ที่ไม่เห็นด้วย ซึ่งมีไม่น้อย อาจมีความเห็นที่แตกต่างในแต่ละมุมมองที่ไม่เหมือนกัน ซึ่งผมจะได้นำมาเสนอในตอนต่อไป

สำหรับตอนนี้ ผมขอนำความเห็นของผู้ทรงคุณวุฒิที่มีความรู้ทางด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ท่านหนึ่งที่ไม่ประสงค์เปิดเผยนาม และผมได้รับอนุญาตในการนำมาเผยแพร่ เพื่อเปรียบเทียบบางมุมมองของการร่าง พ.ร.บ. จากต้นฉบับที่นำเสนอเพื่อการทำประชาพิจารณ์ เปรียบเทียบควบคู่กันไปกับ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์ ของท่านผู้ทรงคุณวุฒิท่านนี้ ภายใต้กรอบสีเหลี่ยมที่เป็นการแก้ไขในมุมมองของท่านฯ ทั้งนี้ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ไซเบอร์นี้ ได้จัดทำขึ้นหลังการทำประชาพิจารณ์ (สามารถกดดาวโหลดไฟล์ได้ที่ลิงก์ ร่าง คู่ขนาน แก้ไข พ.ร.บ. ได้เลย) ครับ

อนึ่ง ความเชื่อ กับ การพัฒนาเพื่อการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตามที่ผมได้เขียนมา 15 ตอนนั้น ผมเพียงเพื่อจะย้ำความสำคัญของการสร้างความเชื่อให้กับประเทศ/องค์กร ในมิติต่างๆ ตามความเข้าใจของผม ในมิติที่เกี่ยวข้องกับการกำกับดูแล การบริหาร และการปฏิบัติงานที่ดี เพื่อเศรษฐกิจ การเงิน การลงทุน และความมั่นคงของประเทศ โดยการสร้างคุณค่าเพิ่มให้กับผู้มีส่วนได้เสียอย่างได้ดุลยภาพที่โยงใยกับระบบเทคโนโลยีสารสนเทศ และการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

มาถึงตอนนี้ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ กำลังเป็นเรื่องร้อนแรงและมีการกล่าวถึงเป็นอันมาก ผมจึงขอสรุปเรื่องความเชื่อในมุมมองต่างๆ เพื่อการพัฒนาและการเติบโตอย่างยั่งยืนให้เหมาะสมกับสภาพแวดล้อมที่กล่าวถึง ใน ร่าง พ.ร.บ. นี้ มาเพื่อให้ท่านผู้อ่านได้ติดตามโดยสะดวกขึ้นครับ เมื่อท่านได้อ่านแต่ละตอนแล้ว ลองช่วยประเมินดูนะครับว่า การพัฒนาเพื่อการเติบโตของประเทศไทย ยังมีปัญหาและอุปสรรคอะไรบ้าง โดยเฉพาะในแง่มุมของการกำกับ การดำเนินงาน การบริหารจัดการสารสนเทศ และการบริหาร Cybersecurity ที่ดีในระดับองค์กรและระดับประเทศ ในการก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล

GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล

Fintech กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน (Fintech and Sustainable Development)

ความโปร่งใสกับความน่าเชื่อถือ / Transparency and Trust

GRC ในมุมมองของ Governance

Integrated GRC and Digital Governance

Governance and Digital Governance and Innovative Technology / Business Model

ความเข้าใจในความหมายของคำว่า “ธรรมาภิบาล” หรือ การกำกับดูแลกิจการที่ดี กับความโปร่งใส

ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม (ภาคต่อ)

ผลกระทบต่อความเชื่อ ต่อการไม่ตอบสนองความต้องการของผู้มีผลประโยชน์ร่วม

การตอบสนองต่อความต้องการของ Stakeholders กับ Thailand 4.0

ผลกระทบต่อการเติบโตอย่างยั่งยืน หากผู้มีผลประโยชน์ร่วมขาดความเชื่อถือในระดับองค์กร และระดับประเทศ

โลกที่พลิกโฉม กับ ความเชื่อ ที่ผ่านกระบวนการกำกับของคณะกรรมการฯ และผู้นำประเทศ

ผลประโยชน์ทางสังคมกับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

เทคโนโลยีสารสนเทศและการสื่อสาร กับการพัฒนาเพื่อการเติบโตอย่างยั่งยืน

ความเชื่อ กับ การพัฒนาการเติบโตอย่างยั่งยืน / Trust and Sustainable Development ตอนที่ 1

 

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn