Thai (TH) 
English (UK) 
สวัสดีปีใหม่ครับทุกท่าน ในปี 2563 นี้ขอให้เป็นปีที่ดีสำหรับทุก ๆ ท่านนะครับ ในปีนี้คงไม่มีเรื่องไหนร้อนแรงกว่าการบังคับใช้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในเดือนมิถุนายน พ.ศ. 2563 แล้วละครับ
โดยวันนี้เราจะขอเริ่มต้นจาก พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (พ.ร.บ. ไซเบอร์ฯ) ก่อนนะครับ ใจความสำคัญของพ.ร.บ. ไซเบอร์ฯ นี้ เน้นเรื่อง ความสามารถในการให้บริการ (Resilience) เมื่อเกิดภัยคุกคามทางไซเบอร์ (Cyber Threat) ต่อระบบให้บริการที่สำคัญ (Critical Services) ก่อนอื่นเลยผู้บริหารจึงควรปรับเปลี่ยนแนวคิดจาก “ระบบของเรายังปลอดภัยไหม?” เป็น “เมื่อถูกโจมตีทางไซเบอร์แล้ว เรายังคงสามารถให้บริการได้หรือไหม” เพราะบริษัทต้องเข้าใจก่อนว่าการโจมตีทางไซเบอร์เกิดขึ้นทุกวันและมีปรับเปลี่ยนเทคนิคการโจมตีให้ซับซ้อนยิ่งขึ้น ซึ่งบริษัทไม่สามารถปรับเปลี่ยนมาตรการป้องกันภัยคุกคามทางไซเบอร์ให้ทันได้ ดังนั้นจะเป็นประโยชน์มากกว่าหากบริษัทพิจารณาถึงมาตรการตอบสนองภัยคุกคามทางไซเบอร์เพื่อให้มั่นใจว่าบริษัทจะสามารถให้บริการได้อย่างต่อเนื่อง
ดังนั้นเราต้องมาทำความเข้าใจองค์ประกอบต่าง ๆ ที่สำคัญต่อพ.ร.บ. ไซเบอร์ฯ เสียก่อนครับ
ภัยคุมคามทางไซเบอร์ (Cyber Threat) หมายถึง ภัยคุกคามที่เกิดจากเทคโนโลยี เช่น การโจมตีโดยผู้ใช้คอมพิวเตอร์และซอฟต์แวร์อย่างชำนาญ (Hacker) การโจมตีแบบ Social Engineering การแพร่กระจายมัลแวร์ หรือการโจมตีจากภายในโดยพนักงานภายระบบสารสนของบริษัท เป็นต้น
ความสามารถในการให้บริการหรือความทนทานต่อการถูกโจมตี (Resilience) หมายถึง กระบวนการในการเตรียมตัว ป้องกัน ตอบสนองและกู้คืนระบบให้บริการที่สำคัญ (Critical Services) เมื่อเกิดเหตุการณ์ภัยคุกคามทางไซเบอร์ เพื่อให้บริษัทได้รับผลกระทบจากเหตุการณ์ดังกล่าวน้อยที่สุด
และสุดท้ายระบบให้บริการที่สำคัญ (Critical Services) บริษัทต้องดำเนินการระบุระบบให้บริการที่สำคัญ (Critical Services) ที่กระทบต่อโครงสร้างพื้นฐานสำคัญของประเทศ (Critical Information Infrastructure) ตามประกาศของพ.ร.บ. ไซเบอร์
ไม่ยากเลยใช่ไหมครับ การเตรียมความพร้อมสำหรับพ.ร.บ. ไซเบอร์ ที่จะบังคับใช้ในเร็ววันนี้ ในบทความถัดไปเราจะมาลงรายละเอียดเกี่ยวกับกระบวนการ Cyber Resilience หรือท่านใดต้องการคำปรึกษาเกี่ยวกับเตรียมความพร้อมพระราชบัญญัติต่าง ๆ หรือต้องการประเมินระบบการควบคุมที่เกี่ยวข้อง สามารถติดต่อสอบถามข้อมูลได้ที่ โทร. 02-596-0500 ต่อ 327 หรืออีเมล์ This email address is being protected from spambots. You need JavaScript enabled to view it. หรือ ผ่านทาง Facebook Dharmniti.InternalAudit นะครับ
ผู้เขียน : พชร แก้ววิเศษ, CISA, CISM ผู้จัดการฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ บริษัท ตรวจสอบภายในธรรมนิติ จำกัด