กรุงเทพฯ 15 ก.ย. – นักกฎหมายดิจิทัลสรุปบทเรียนแฮก รพ.สระบุรี เร่งกระทรวดิจิทัลเร่งออกแนวทางปฏิบัติคุ้มครองข้อมูลรัฐ
นายไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญกฎหมายไซเบอร์กล่าวถึงกรณีการบุกรุกระบบคอมพิวเตอร์ของโรงพยาบาลที่ทำให้เกิดความเสียหายกับข้อมูลของประชาชนบางส่วนไม่สามารถกู้คืนมาได้ว่า สิ่งที่เกิดขึ้นเป็นบทเรียนที่เกิดขึ้นบ่อยมาก สิ่งที่เกิดขึ้นเป็นการกระทำผิดคล้ายกัน คือ เป็นการส่ง ransomware เข้ามาโจมตีระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานของรัฐ สิ่งที่รัฐบาลควรทำอย่างเร่งด่วนเพื่อแก้ปัญหานี้คือ การจริงจังกับการปราบปรามโดยใช้กฎหมายที่เกี่ยวข้อง อาทิ พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ และประมวลกฎหมายวิธีพิจารณาความอาญา ที่นำมาจัดการกับคนที่ไปสร้างความเสียหายกับข้อมูลส่วนบุคคลของประชาชร เพราะถือว่าเป็นการขโมยเอกสารส่วนตัวของบุคคลอื่นไปถือว่ามีความผิด นอกจากนี้ยังมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แม้ปัจจุบันยังไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แต่กฎหมายมีผลบังคับใช้แล้ว สามารถที่จะทำผลการบังคับใช้นั้นไปดำเนินคดีกับคนที่กระทำความผิด
นอกจากนี้ควรมีแนวทางจัดการกับสถานการณ์ หรือ incident management การบริหารจัดการในสถานการณ์แบบนี้ควรมีการรายงานผลแจ้งว่าแต่ละหน่วยงานมีมาตรการป้องกันอย่างไร เมื่อ พ.ร.บ.การรักษาความั่นคงปลอดภัยไซเบอร์ (พ.ร.บ.ไซเบอร์) ที่มีผลบังคับใช้แล้ว ถึงจะยังไม่มีสำนักงานรักษาความมั่นคงปลอดภัยไซเบอร์ แต่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ก็ควรเร่งออกกฎหมายลูก หรืออย่างน้อยออกเป็นระเบียบวิธีปฎิบัติเพื่อให้องค์กรธุรกิจและหน่วยงานที่เกี่ยวข้องใช้เป็นแนวทางในการทำงาน ถ้ายังไม่แนวทางที่เป็นมาตรฐานพื้นฐานเพื่อเป็นแนวทางป้องกันข้อมูล สิ่งที่ต้องทำเร่งด้วยไม่ใช่แค่การดูแล แต่ต้องดูแลโครงสร้างพื้นฐานทางไซเบอร์
นายไพบูลย์ กล่าวอีกว่า นี่เป็นเรื่องที่กระทรวงฯ ต้องให้ความสำคัญอย่างมาก เพราะทุกครั้งที่หน่วยงานรัฐถูกแฮก หรือมีการกระทำความผิดที่มีผลกระทบกับข้อมูลส่วนบุคคลของประชาชนเป็นการสะท้อนให้เห็นว่าศักยภาพของเรายังไม่ดีเท่าที่ควร กฎหมายลูกที่ต้องออกมาทั้งความมั่นคงไซเบอร์ หรือการดูแลข้อมูลส่วนบุคคลจะทำเป็นหลักเกณฑ์หรือแนวทางปฎิบัติเพื่อให้ผู้ที่เกี่ยวข้องหรือเอกชนได้รู้ว่าควรต้องทำอะไรบ้าง กระบวนการเวลามีภัยคุกคามทางไซเบอร์ ต้องมีขั้อนตอนหรือกระบวนการจัดการอย่างไร ที่สำคัญคือ การกำหนดว่าเทคโนโลยีที่จะใช้ดูแลข้อมูลมาตรฐานเป็นอย่างไร ที่ใช้อยู่มีมาตรฐานไหม อย่างไร เรื่องที่เกิดขึ้นถ้าไม่มีการกระตุ้นให้ตื่นตัว หรือทำให้เอกชนเขาสร้างมาตรฐานในการพัฒนาบุคลากร หรือพัฒนาซอฟต์แวร์ และกระบวนการในการจัดการปัญหาความมั่นคงไซเบอร์เลยจะไม่ทันกับสภาพปัญหา รัฐควรเข้ามาดูอย่างจริงจัง ถ้าปล่อยไปจะกระทบกับความเชื่อมั่นของประเทศ. -สำนักข่าวไทย
