คลังเก็บป้ายกำกับ: ปริญญา_หอมเอนก

ภาพรวมกฎหมาย ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศในประเทศไทย

การเตรียมพร้อมระดับองค์กรกับ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
รูปที่ 1

เริ่มจากภาพรวมโครงสร้างลำดับของกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ดังรูปที่ 1 เริ่มจาก พระราชบัญญัติ (พ.ร.บ.) พระราชกฤษฎีกา (พ.ร.ฎ.) ไปจนถึง ประกาศหน่วยงานกำกับดูแล (คธอ. ฯลฯ) สรุปได้ว่า กฎหมายสำคัญด้านเทคโนโลยีสารสนเทศ/ความมั่นคงปลอดภัยสารสนเทศ/การคุ้มครองข้อมูลส่วนบุคคล ประกอบไปด้วยกฏหมาย 6 ประเภทใหญ่ๆดังนี้ (ดูรูปที่ 2)

รูปที่ 2
รูปที่ 3

1. กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transaction Law)
2. กฎหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-related Crime Law)
3. กฎหมายระบบการชำระเงิน (Payment System Law)
4. กฎหมายดิจิทัลเพื่อเศรษฐกิจและสังคม (Digital Economy and Society)
5. กฎหมายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law)
6. กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Law)
ซึ่งมีรายละเอียดดังรูปที่ 3

โดยเมื่อปลายเดือนพฤษภาคม 2562 ที่ผ่านมามีการประกาศกฏหมายใหม่สองฉบับ ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จากบทความที่ผ่านมาเราได้กล่าวถึงรายละเอียดของพระราชบัญญัติทั้งสองฉบับไปแล้ว หากแต่เรายังไม่มีรายละเอียดในการเตรียมพร้อมปฏิบัติตามกฏหมายในระดับองค์กร ในบทความนี้จะขอกล่าวถึง ภาพรวมแนวทางดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ตามลำดับ

ภาพรวมแนวทางดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
แนวทางดำเนินการความมั่นคงปลอดภัยไซเบอร์ระดับชาติ มีแนวความคิดมาจาก กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ของสหรัฐ (NIST Cybersecurity Framework) ดังรูปที่ 4 โดยจะเห็นปรากฏอยู่ในมาตรา 13 ของ พ.ร.บ.

รูปที่ 4

ดังนั้น แนวทางในการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ควรจะสอดคล้องกับ NIST Cybersecurity Framework ดังกล่าว ควรมี Key Activities ดังต่อไปนี้ (ดูรูปที่ 5)

 กำหนดแนวทางการกำกับดูแลด้านไซเบอร์ (Cybersecurity Governance & Cyber Resilience)
 กำหนดโครงสร้างการกำกับดูแล นโยบายด้านความมั่นคงปลอดภัยไซเบอร์ และกรอบการดำเนินงาน/กรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Framework)
 กำหนดกรอบการบริหารความเสี่ยง การประเมินความเสี่ยงด้านภัยคุกคามไซเบอร์
(Cybersecurity Risk Assessment, Cybersecurity Maturity Assessment)
 กำหนดแนวทางบริหารจัดการความเสี่ยงของผู้ให้บริการ Supply Chain Risk Management
 ทดสอบด้านความมั่นคงปลอดภัย การตรวจสอบช่องโหว่และทดสอบเจาะระบบสำคัญ
 ตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit)
 พัฒนา วิธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานและการเฝ้าระวัง (ในภาวะปกติและในภาวะฉุกเฉิน)
 สร้างความตระหนักภัยคุกคามไซเบอร์ การเสริมสร้างความรู้ให้กับผู้บริหารและผู้ปฏิบัติงาน
 จัดให้มีระบบเฝ้าระวังและจัดการภัยคุกคามไซเบอร์
 พัฒนาแผนบริหารจัดการเหตุการณ์ภัยไซเบอร์ (Cybersecurity incident response plan)
 พัฒนาแผนรองรับภัยคุกคามไซเบอร์ระดับไม่ร้ายแรง ระดับร้ายแรง ระดับวิกฤติ
 กำหนดกรอบการประสานกับ Thai-CERT, TB-CERT, Sector-based CERT หน่วยงานกำกับดูแล ฯลฯ
 แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสำนักงาน
 แจ้งรายชื่อและข้อมูลการติดต่อของเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลระบบ (หลังจากมีประกาศฯ)

รูปที่ 5
ภาพรวมแนวทางในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีแนวคิดมาจาก หลักการด้านการคุ้มครองข้อมูลส่วนบุคคล OECD Privacy Principles ทั้ง 8 ข้อ และ กฏหมาย GDPR ของสหภาพยุโรป

องค์กรควรมีการจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) มีการจัดทำแนวปฏิบัติ (ข้อปฏิบัติ) ในการคุ้มครองข้อมูลส่วนบุคคล โดยนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กรควรสอดคล้องกับหลักการด้านการคุ้มครองข้อมูลส่วนบุคคล OECD Privacy Principles ทั้ง 8 ข้อ (ดรูปที่ 6) ได้แก่
1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
2. คุณภาพของข้อมูลส่วนบุคคล
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม
4. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
5. การรักษาความมั่นคงปลอดภัย
6. การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7. การมีส่วนร่วมของเจ้าของข้อมูล
8. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล

รูปที่ 6

การดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ควรมี Key Activities ดังต่อไปนี้ (ดูรูปที่ 7)
 กำหนดแนวทางการกำกับดูแลในการคุ้มครองข้อมูลส่วนบุคคล
 กำหนดโครงสร้างการกำกับดูแล นโยบายการคุ้มครองข้อมูลส่วนบุคคล และกรอบการดำเนินงาน
 กำหนด “ผู้ควบคุมข้อมูลส่วนบุคคล” “ตัวแทน”
 กำหนด “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO Data Protection Officer)
 กำหนด “ผู้ประมวลผลข้อมูลส่วนบุคคล “ตัวแทน”
 พิจารณาข้อมูลต่าง ๆ ของธนาคาร เพื่อกำหนด “ข้อมูลส่วนบุคคล” ที่ต้องดำเนินการตามกฎหมายหรือกฎเกณฑ์ที่ประกาศบังคับใช้
 พัฒนากรอบการกำกับดูแลและบริหารจัดการข้อมูลระดับองค์กร (Data Governance, Data Management, Data Protection)
 พัฒนากรอบการบริหารความเสี่ยง การประเมินความเสี่ยง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy/Data Protection Impact Assessment, Risk Assessment)
 กำหนด Business Owner, Data Owner, Data Protection Officer
 วิพัฒนาธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคล
 สร้างความตระหนัก การเสริมสร้างความรู้ให้กับผู้ปฏิบัติงาน
 กำหนดกรอบการประสานกับหน่วยงานกำกับดูแล หน่วยงานภาครัฐ และหน่วยงานความร่วมมืออื่นๆ

รูปที่ 7

ผู้เขียนแนะนำว่า การเตรียมพร้อมกับ พ.ร.บ. ทั้งสองฉบับ ควรรีบเตรียมการตั้งแต่วันนี้ ก่อนที่หน่วยงานกำกับจะเริ่มดำเนินการตรวจสอบ หรือ ก่อนที่จะมีเหตุไม่พึงประสงค์เกิดขึ้นในองค์กรของเรา

ปริญญา หอมเอนก CISSP, CISA and ACIS Cyber LAB  – ACIS Professional Center Co., Ltd. and Cybertron Co., Ltd.

from:https://www.enterpriseitpro.net/cyber-law-in-thailand/

ความสำคัญของกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ความเจริญก้าวหน้าทางเทคโนโลยีของมนุษย์ในตลอดหลายปีที่ผ่านมา ทำให้การใช้ชีวิตประจำวันของประชากรโลกมีลักษณะที่เปลี่ยนแปลงไปอย่างสิ้นเชิง สังเกตได้จากการเปลี่ยนแปลงเรื่องการสื่อสารของมนุษย์ จากการใช้จดหมายหรือโทรศัพท์ตามบ้าน มาเป็นการติดต่อผ่านโทรศัพท์เคลื่อนที่

ซึ่งในปัจจุบันกลายเป็นสมาร์ทโฟนซึ่งเปรียบเสมือนอวัยวะที่ 33ของมนุษย์ที่นำมาใช้ประโยชน์ในการติดต่อสื่อสารให้มีความสะดวกรวดเร็วมากขึ้น จึงเกิดลักษณะการดำเนินชีวิตประจำวันที่เรียกว่า “Digital Life Style” ที่มนุษย์ทุกคนบนโลกจำเป็นต้องมีทักษะในการใช้งานอุปกรณ์คอมพิวเตอร์แบบตั้งโต๊ะ และแบบพกพาให้ปลอดภัยจากอาชญากรรมทางเทคโนโลยี โดยทักษะดังกล่าวถูกกล่าวอยู่เป็นประจำในโลกไซเบอร์ว่า “Digital Literacy” เมื่อโลกเปลี่ยนจากยุค “Information Edge” ไปสู่ยุค “Cyber Edge” และ “AI Edge” ตามลำดับ ทำให้รัฐบาลในแต่ละประเทศทั่วโลกต้องมีการปรับตัวให้สอดคล้องกับยุคสมัยแห่งการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) จึงจำเป็นที่จะต้องตรากฎหมายและปรับปรุงกฎหมายที่มีอยู่ ให้สอดคล้องกับยุคสมัยแห่งการเปลี่ยนแปลงดังกล่าว

ทั้งนี้เพื่อความมั่นคงปลอดภัยของประเทศและป้องกันการละเมิดความเป็นส่วนตัวของประชาชน ซึ่งมีโอกาสที่จะถูกเอาเปรียบหรือละเมิดความเป็นส่วนตัวได้จากทั้งในและนอกประเทศ เมื่อโลกแคบลงจึงไม่มีขอบเขตชัดเจนเหมือนชายแดนประเทศทางกายภาพ หากแต่กลายเป็นโลกไซเบอร์ที่ไม่มีจำกัดขอบเขต จากเหตุผลดังกล่าว ประเทศไทยจึงจำเป็นต้องปรับตัวโดยการตรากฎหมายด้านเทคโนโลยีสารสนเทศที่เรียกกันว่า “ชุดกฎหมายดิจิทัล” เพิ่มขึ้นอีก 2 ฉบับ

โดยจากเดิมเรามีกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์และกฎหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์อยู่แล้ว ซึ่งถือว่าการทำธุรกรรมทางอิเล็กทรอนิกส์สามารถนำหลักฐานทางอิเล็กทรอนิกส์มาพิสูจน์ในชั้นศาลได้ ไม่ต่างจากการทำธุรกรรมในแบบเดิมและเรามีกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์เพื่อลงโทษแฮกเกอร์หรืออาชญากรทางไซเบอร์ที่เข้ามาละเมิดโจมตีระบบขององค์กรและบุคคลทั่วไป หากแต่กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์จะมีลักษณะที่ว่าต้องมีการกระทำผิดเสียก่อน จึงมีการกล่าวหาเอาผิดผู้กระทำผิดเหล่านั้น หากแต่ยังมีกฎหมายในบางข้อที่มีลักษณะที่องค์กรต้องปฏิบัติก่อนเหตุเกิด โดยถือเป็นวินัยขององค์กรและผู้ให้บริการ เช่น ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบ เพื่อเป็นประโยชน์ในการพิสูจน์หลักฐานทางคอมพิวเตอร์หลังจากเกิดเหตุ เป็นต้น


หากแต่ปรัชญาในการออกแบบพัฒนากฎหมายใหม่ทั้งสองฉบับจะเป็นลักษณะที่เป็นการป้องกันและการลดความเสี่ยงไม่ให้เกิดเหตุการณ์ไม่พึงประสงค์ทางไซเบอร์ จึงมองได้ว่า ข้อกำหนดในตัวบทกฎหมายเป็นวินัยที่องค์กรต้องปฏิบัติตามมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำ ตลอดจนประมวลแนวทางในทางปฏิบัติ (Code of Practices) ซึ่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เน้นไปที่หน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญของประเทศ (Critical Infrastructure) ได้แก่ บรรดาหน่วยงานหรือองค์กรหรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กรซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กรหรือส่วนงานของหน่วยงานหรือองค์กรนั้นมีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศหรือต่อสาธารณชน

ยกตัวอย่าง เช่น โรงไฟฟ้า ผู้ให้บริการเครือข่ายโทรคมนาคม รถไฟฟ้าทั้งบนดินและใต้ดิน สนามบินทั้งในเมืองหลวงและหัวเมืองต่างๆ สถาบันการเงิน ธนาคารแห่งประเทศไทย ตลาดหลักทรัพย์ หน่วยงานด้านสาธารณสุข ทั้งโรงพยาบาลของรัฐและโรงพยาบาลเอกชน หน่วยงานรัฐในการให้บริการประชาชน เช่น กรมการปกครอง สำนักงานเขต สำนักงานที่ดิน หน่วยงานที่รัฐ Outsource ให้ผู้ให้บริการ/ผู้รับจ้างปฏิบัติหน้าที่แทนรัฐ เช่น หน่วยงานรับทำ passport เป็นบริษัทที่รับหน้าที่ทำ passport แทนกรมการกงสุล กระทรวงต่างประเทศ

ซึ่งหน่วยงานดังกล่าวจำเป็นต้องมีวินัยในการบริหารจัดการ “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” (Critical Information Infrastructure) หรือที่เรียกโดยย่อว่า “CII” หมายถึง คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศหรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ ตามประกาศที่ทางกฎหมายได้กำหนดไว้ จากเนื้อหาในกฎหมายดังกล่าว สรุปได้ว่าหน่วยงานที่อยู่ในมาตรา 49

หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ดังกล่าว จำเป็นต้องมีการจัดเตรียมการและปฏิบัติตามกรอบมาตรฐานในมาตรา 13 ซึ่งอ้างอิงมาจาก NIST Cybersecurity Framework ที่สหรัฐนำมาใช้ในการขอความร่วมมือจากหน่วยงานโครงสร้างพื้นฐานที่อยู่ในความดูแลของ Department of Homeland Security (DHS)

การที่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศปฏิบัติตามมาตรฐานขั้นต่ำตามที่ ตัวบทกฎหมายที่ได้ตราไว้ ย่อมส่งผลทำให้เกิดความมั่นคงปลอดภัยโดยรวมต่อประเทศ ทั้งนี้เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือและ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

และ เพื่อให้สามารถป้องกันภัยคุกคามดังกล่าวได้อย่างทันท่วงที โดยไม่ปล่อยให้นานจนเกิดผลกระทบกับประชาชน ส่งผลให้ประชาชนได้ประโยชน์โดยรวมในที่สุด

ผู้บริหารระดับสูง และกรรมการของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ ควรเริ่มศึกษาและตั้งคณะทำงานที่เกี่ยวข้องกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์เสียตั้งแต่บัดนี้ เพราะ พ.ร.บ. นี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป คือมีผลบังคับใช้ตั้งแต่วันที่ 28 พฤษภาคม 2562 ทั้งนี้ นอกจากวัตถุประสงค์เพื่อการปฏิบัติตามกฎหมายบ้านเมืองแล้ว ยังเป็นการป้องกันปัญหา “Reputational Risk” ที่อาจส่งผลกระทบต่อภาพลักษณ์และชื่อเสียงขององค์กรอีกด้วย

ปริญญา หอมเอนก CISSP, CISA and ACIS Cyber LAB
ACIS Professional Center Co., Ltd. and Cybertron Co., Ltd.

from:https://www.enterpriseitpro.net/cyber-security-law/

บทความพิเศษ : แนวโน้มความปลอดภัยด้านไซเบอร์ 5 ประการในปี 2020

ปัจจุบันวิวัฒนาการของโลกอยู่ในยุคคลื่นลูกที่ 4 ที่หมายถึง อุตสาหกรรมยุคดิจิทัล (Industry 4.0) รัฐบาลไทยเองก็ได้ประกาศนโยบายไทยแลนด์ 4.0 เพื่อก้าวไปสู่ยุคดิจิทัลเช่นกัน ซึ่งวันนี้เราผ่านจากยุคอินเทอร์เน็ตมาสู่ยุคไซเบอร์ที่ไม่ใช่เพียงแค่อินเทอร์เน็ตเท่านั้น แต่ยังมีเทคโนโลยีต่างๆ วิ่งอยู่บนเครือข่ายอินเทอร์เน็ต นั่นก็คือ Social, Mobile, Cloud, Big Bata (SMCL)

จากนี้ไป IT (Information Technology) แยกออกจากกัน โดย Information ขยายความสำคัญมากขึ้นซึ่งหมายรวมไปถึง Information Governance หรือ Data Governance เป็นการบริหารจัดการข้อมูลเพื่อให้เกิดธรรมาภิบาลสอดคล้องกับยุคไซเบอร์

การขับเคลื่อนธุรกิจในยุคไซเบอร์ทำให้องค์กรต้องตระหนักถึง Digital Transformation ซึ่งไม่ได้หมายถึงการลงทุนหรือนำเทคโนโลยีเข้ามาเป็นเครื่องมือเพียงเท่านั้น แต่ยังรวมไปถึงการปรับกระบวนทัศน์ทางความคิด (Mindset) ในระดับผู้บริหารลงไปถึงผู้จัดการฝ่ายและพนักงานทั่วไป โดยบุคลากรจะต้องมีวัฒนธรรมดิจิทัล อันจะนำไปสู่การสร้างรากฐานดิจิทัลอย่างยั่งยืน ทำให้เกิดการเปลี่ยนแปลงองค์กรตามแนวทาง Digital Transformation เช่น เกิดบริการใหม่ที่สร้างประสบการณ์ใหม่ให้แก่ลูกค้า เป็นต้น

เมื่อข้อมูลมีความสำคัญและวิ่งอยู่บนโลกไซเบอร์ ทุกภาคส่วนทั้งภาครัฐ ธุรกิจ และบุคคลทั่วไป จำเป็นจะต้องตระหนักถึงความปลอดภัย ซึ่ง อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ผู้จัดงานสัมมนา CDIC 2019 ภายใต้ธีม “The Trust Landscape of DATA Intelligence and Cybersecurity Governance” จะกล่าวถึง Top 10 Cybersecurity and Privacy Trends 2020 ซึ่งในที่นี้ได้สรุปไว้ 5 แนวโน้มก่อน ดังนี้

1. ข่าวปลอมที่ล้ำสมัยกว่าเดิม (Deepfake)

ด้านมืดของ AI ที่เกิดจากการหลอกลวงด้วยการสร้างวิดีโอปลอมแปลงเป็นบุคคลนั้ันๆ จากความฉลาดของ AI ที่สามารถเก็บข้อมูลมาประมวลผล วิเคราะห์ และเรียนรู้สิ่งต่างๆ ทำให้สามารถสร้างวิดีโอปลอมแปลงขึ้นมาได้ เช่น การปลอมแปลงเป็น ประธานาธิบดีดอนัลด์ จอห์น ทรัมป์ สามารถทำได้โดยการตัดต่อใบหน้าจากคนอื่นเป็น ทรัมป์ โดย AI จะเรียนรู้สีหน้าใบหน้า การขยับปากเมื่อพูด หรือการขยับใบหน้าต่างๆ จากทรัมป์ มาตัดต่อแทนที่ใบหน้าคนอื่น ซึ่งในความเป็นจริงบุคคลนั้นสามารถพูดอะไรก็ได้แล้วตัดต่อให้เป็นใบหน้าของประธานาธิบดีทรัมป์
การหลอกลวงด้วยวิดีโอปลอมแปลงเช่นนี้ เป็นภัยที่น่ากลัวในยุคปัจจุบันซึ่งเกิดขึ้นแล้ว และทำได้แนบเนียนมากจนจับผิดได้ยาก ทั้งนี้วิดีโออาจถูกตัดต่อปลอมแปลงเป็นใครก็ได้ เช่น อาจเป็นผู้นำประเทศต่างๆ เป็นผู้ที่มีชื่อเสียง ซึ่งจะให้พูดอะไรที่เสียหายย่อมได้ ภัยจาก Deepfakeจึงสามารถสร้างปัญหาระดับประเทศ หรือระดับโลกได้อย่างงายดาย

2. การสร้างข่าวจริงเพื่อโจมตีคู่แข่ง (Beyond Fake News)

ภัยที่น่ากลัวกว่าข่าวปลอมโดยเปรียบได้ว่าเป็นกระบวนการล้างสมอง โดจทำการสร้างภาพการ์ตูน หรืออินโฟกราฟฟิค ด้านลบของบุคคลหรือสถาบันใดสถาบันหนึ่งขึ้นมาอย่างต่อเนื่อง และเผยแพร่ออกไปเป็นระยะๆ ในเวลายาวนาน เพื่อตอกย้ำด้านลบของบุคคลหรือสถาบันนั้น มีเป้าหมายให้คนที่ได้เห็นภาพการ์ตูน หรืออินโฟกราฟฟิค เกิดความเชื่อทีละเล็กทีละน้อยสะสมไปเรื่อยๆ จนกระทั่งเป็นความเชื่ออย่างถาวร

Beyond Fake News เป็นกระบวนการล้างสมองโดยการสร้างข่าวจริง (Real News) ที่ทำได้อย่างแยบยล ลึกซึ้ง และอาจไม่สามารถเอาผิดทางกฎหมายจากผู้กระทำได้ โดยเฉพาะในกรณีที่ผู้กระทำอยู่ในต่างประเทศ ดังนั้นประเทศไทยจึงมีความจำเป็นจะต้องมีกฎหมายด้านไซเบอร์ไม่ว่าจะเป็นพระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงพระราชบัญญัติฉบับอื่นๆ ที่เกี่ยวกับดิจิทัล

3. การรุกล้ำอธิปไตย ผ่านทางไซเบอร์ (Data Sovereignty)

ในยุคข้อมูลคือ ขุมทรัพย์แห่งใหม่ หรือที่มีการนิยามไว้ว่า Data is the New Oil นั้นแฝงมาด้วยอธิปไตยไซเบอร์ (Data Sovereignty) ที่ผู้คนบนโลกใบนี้นำข้อมูลส่วนหนึ่งของชีวิตไปไว้บนโลกออนไลน์ไม่ว่าจะเป็นแพลตฟอร์มใดก็ตาม ต่างเป็นการแชร์ข้อมูลส่วนตัว ข้อมูลธุรกิจ หรือข้อมูลอื่นๆ ที่สามารถนำไปศึกษาวิเคราะห์ เพื่อใช้ประโยชน์ต่อไปได้ ซึ่งเป็นการรุกล้ำความเป็นส่วนตัว หรือรุกล้ำข้อมูลทางธุรกิจ

ตัวอย่างเช่น Google และ Facebook เป็นแพลตฟอร์มที่มีการเก็บข้อมูลส่วนตัว ซึ่งเป็นประโยชน์ต่อผู้ให้บริการทั้งสิ้น การแชร์ข้อมูลส่วนตัวหรือข้อมูลธุรกิจบนแพลตฟอร์มเหล่านั้น เจ้าของแพลตฟอร์มจะนำข้อมูลไปใช้ประโยชน์ ขาย หรือวิเคราะห์เพื่อศึกษาพฤติกรรมของผู้ใช้แต่ละรายเพื่อนำเสนอสินค้าและบริการถึงผู้ใช้โดยตรง

ยกตัวอย่างเช่น เมื่อเสิร์ชหาข้อมูลโรงแรม คนแต่ละคนจะได้ข้อมูลที่แตกต่างกันไป บางคนอาจได้ข้อมูลโรงแรมระดับ 5 ดาวในขณะที่อีกคนหนึ่งจะได้ข้อมูลโรงแรมระดับ 3 ดาว เป็นต้น ทั้งนี้เป็นเพราะ Google ทำการวิเคราะห์หรือ Analytics พฤติกรรมของผู้บริโภคแต่ละคน เพื่อนำเสนอสินค้าและบริการให้ตรงกับไลฟ์สไตล์ของคนนั้น นั่นก็คือ การรุกล้ําความเป็นส่วนตัวที่เรียกว่า อธิปไตยไซเบอร์ (Data Sovereignty) ดังเช่นกรณีที่ Facebook ถูกรัฐบาลสหรัฐอเมริกาฟ้องร้องกระทั่งต้องเสียค่าปรับราว 5,000 ล้านดอลลาร์สหรัฐไปเมื่อไม่นานนี้ ในโทษฐานที่มีความบกพร่องต่อการป้องกันข้อมูลความเป็นส่วนตัวของผู้ใช้

อธิปไตยไซเบอร์จึงเป็นภัยที่อาจจะลุกลามไปถึงความมั่นคงปลอดภัยของประเทศในระยะยาว รวมถึงอาจเกิดขึ้นจากรัฐบาลเป็นผู้กระทำการรุกล้ำอำนาจอธิปไตยทางไซเบอร์ของประเทศอื่นก็ได้

4. ความปกติแบบใหม่ (The New Normal)

The New Normal หรือ ความผิดปกติแบบใหม่ เป็นความปกติสำหรับไซเบอร์ซิเคียวริตี้ คือ การพร้อมรับเข้าสู่ยุคแห่งการเตรียมการเมื่อโดนภัยจู่โจม เพราะการโดนภัยคุกคามถือว่าเป็นเรื่องปกติที่จะต้องเกิดขึ้น ดังนั้น สิ่งที่ต้องวางแผนคือ จะทำอย่างไร หากองค์กรโดนจู่โจม เรียกว่า หมดยุคของ Cybersecurity แต่เป็นการก้าวเข้าสู่ยุคของ Cyber Resiliency ผู้บริหารต้องเปลี่ยนความคิดใหม่ ในการวางมาตรการต่อกรกับไซเบอร์ซิเคียวริตี้ เพราะองค์กรต้องโดนภัยคุกคามอย่างเลี่ยงไม่ได้ เพียงแต่ว่าจะเกิดขึ้นเมื่อใด ดังนั้น องค์กรต้องเตรียมพร้อมและบริหารจัดการความเสี่ยงที่จะเกิดขึ้น การวางแผนสำรองเมื่อโดนจู่โจม

ทุกวันนี้ เราอยู่บนโลกของ VUCA World คือ อยู่กับ Volatility- การระเหย Uncertainty- ความไม่แน่นอน Complexity – ความซับซ้อน และ Ambiguity – ความคลุมเครือ ปัจจัยทั้งหมดเหล่านี้รวมกันเรียกว่า The New Normal หรือ ความปกติแบบใหม่

5. กฏระเบียนด้านไซเบอร์ซีเคียวริตี้จะเข้มข้นขึ้น (Tighten in Cybersecurity)

ความเข้มงวดของอธิปไตยไซเบอร์ซิเคียวริตี้ที่ต้องเข้มข้นขึ้น จากข้อมูลรั่วไหลที่เกิดขึ้นบ่อยครั้งขึ้น ดังนั้นมาตรการที่องค์กรต้องมีจำเป็นต้องรองรับต่อการจู่โจมบนไซเบอร์ การทำระบบให้รองรับต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลจากข้อมูลที่รั่วไหล องค์กรจำเป็นต้องทำระบบรักษาความปลอดภัยเพื่อให้การบริการดิจิทัลขององค์กรมีเสถียรภาพ หรือการลงทุนใน Value Preservation เช่น การบริการผ่านแอปพลิเคชั่นจำเป็นต้องมีเสถียรภาพและความปลอดภัยต่อการใช้งาน ซึ่งในยุคดิจิทัลถือว่ามีความสำคัญอย่างมาก เช่น การโอนเงินผ่านมือถือ จำเป็นต้องมีเสถียรภาพและปลอดภัย ผู้บริหารจำเป็นต้องมีวิสัยทัศน์ และเห็นความสำคัญต่อการลงทุนเพื่อสร้างเสถียรภาพและความปลอดภัยบนบริการดิจิทัล เพื่อให้ลูกค้าเกิดความไว้วางใจ และเกิดมูลค่าต่อแบรนด์ในท้ายที่สุด ไม่ใช่แค่คำนึงถึงแต่เพียงความคุ้มค่าจากการลงทุน (Value Creation)

ผู้แต่ง : อ.ปริญญา หอมเอนก ประธานและผู้ก่อตั้ง, ACIS Professional Center Co., Ltd. (ACIS)

from:https://www.enterpriseitpro.net/top-5-cybersecurity-and-privacy-trends-2020/

CDIC 2017 ชูภัยไซเบอร์ยุค 4.0 ใช้เทคโนโลยีใหม่อย่างไรป้องภัยคุกคาม

CDIC หรือ Cyber Defense Initiative Conference เป็นงานสัมมนาด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้รวบรวมความรู้จากทั่วโลกมาไว้ในงานเดียว เช่น ประเด็นสำคัญจากงาน RSA Conference USA เวทีระดับโลกซึ่ง CDIC ไม่พลาดที่จะเก็บความรู้ทุกประเด็นมานำเสนอ อีกทั้งยังมีผู้บริหารระดับสูงและผู้เชี่ยวชาญในสาขาต่างๆ ที่เกี่ยวข้องมาร่วมถ่ายทอดประสบการณ์ใหม่ๆ ในช่วงปีที่ผ่านมามากกว่า 30 ท่าน โดยกล่าวได้ว่างาน CDIC เป็นช่องทางในการอัพเดทความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทย และภูมิภาคเอเชีย

นายปริญญา หอมเอนก ประธานและผู้ก่อตั้ง บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ผู้จัดการงานสัมมนา เปิดเผยว่า สำหรับ CDIC 2017 จัดขึ้นภายใต้แนวคิด The Edge of Cybersecurity Intelligence and Literacy in Digital Value-driven Economy ได้รับความร่วมมือจากหน่วยงานรัฐและภาคเอกชนชั้นนำจำนวนมาก ในปีนี้มีไฮไลท์หลายเรื่อง เช่น Cyber Security 4.0, Essential Digital Literacy for 21st Century, Next Generation Cybersecurity Innovation Through Hacker’s View และ Blockchain or Distributed Ledger Technology and Cyber Resilience เป็นต้น

CDIC 2017 ยังได้นำเสนอสาระความรู้ที่ไม่ควรพลาดเกี่ยวกับเทคโนโลยีอุบัติใหม่ (Emerging Technology) สามารถนำมาประยุกต์ใช้ให้เกิดประโยชน์ เพื่อช่วยให้เกิดความมั่นคงปลอดภัยต่อภัยคุกคามต่างๆ ในปัจจุบัน ดังเช่น เทคโนโลยีปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) เทคโนโลยี Machine Learning (ML) ตลอดจนภัยคุกคามบนอุปกรณ์ขนาดเล็กแต่เกิดความเสียหายที่ยิ่งใหญ่ในนวัตกรรม IoT เป็นต้น

นายปริญญา หอมเอนก ประธานและผู้ก่อตั้ง บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด

“ผู้เข้าร่วมสัมมนาทุกท่านจะได้ประโยชน์จากงานนี้มากมาย ทั้งได้เปิดมุมมองใหม่ๆ จากวิทยากรทั้งในและต่างประเทศ รับรู้กลโกลเทคนิคของอาชญากรไซเบอร์ในยุค 4.0 เพื่อไม่ให้ตกเป็นเหยื่อ อีกทั้งยังได้เรียนรู้นวัตกรรมและเฟรมเวิร์คใหม่ ด้านความมั่นคงปลอดภัยไซเบอร์ เพื่อเป็นแนวทางในการวางแผนยุทธศาสตร์ขององค์กร” นายปริญญา กล่าว

สำหรับ CDIC 2017 Live Shows สาธิตเทคนิคการเจาะระบบหลากหลายรูปแบบ นำเสนอหัวข้อ NSA Exploitation, IoT Device Physical Attack, GPS Spoofing, Why it’s so Serious?, Advanced Malware Over Legitimated Channels, New Ways of Information Espionage, Cheap and DIY, How to Cheat Physical Electronic Payment Cards, Exploiting Intel Chipset Hidden Feature และ Amplification DDoS Attack Demystified

โดยงาน CDIC 2017 จะจัดขึ้นระหว่างวันที่ 14-15 พฤศจิกายน 2560 ณ ศูนย์นิทรรศการและการประชุมไบเทค (BITEC)

from:https://www.enterpriseitpro.net/archives/8550