พ.ร.บ. ไซเบอร์ฯ บังคับใช้แล้ว CAT cyfence พร้อมให้คำปรึกษาและปฏิบัติตามได้ในทันที

สุธีร์ กิจเจริญการกุล

นักเขียนและผู้ก่อตั้งเว็บไซต์ Techtalkthai เว็บไซต์ที่รวบรวมข่าวสารทางด้านผลิตภัณฑ์ IT ระดับใช้งานในองค์กรโดยเฉพาะ

ปลายเดือนพฤษภาคมที่ผ่านมา พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาและเริ่มบังคับใช้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure) ทั่วประเทศ หน่วยงานของรัฐและเอกชนที่เกี่ยวข้องสามารถขอคำปรึกษาด้านการดำเนินงานให้สอดคล้องกับตัวบทกฎหมาย รวมไปถึงเรียกใช้บริการจากทาง CAT cyfence บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยชั้นนำของไทยได้ทันที

ยกระดับการรักษาความมั่นคงปลอดภัย CII ด้วย พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์

รายงาน The Global Risks Report ประจำปี 2019 โดย World Economic Forum ได้ทำการจัดอันดับการโจมตีไซเบอร์เป็น 1 ใน 10 ความเสี่ยงที่เกิดขึ้นบ่อยและส่งผลกระทบรุนแรงที่สุดในโลก แม้ว่าการโจมตีไซเบอร์ที่เกิดขึ้นกับบริษัททั่วไปจะส่งผลกระทบเฉพาะตัวบริษัท พนักงาน และลูกค้าที่ใช้บริการบริษัทนั้น ๆ เท่านั้น แต่การโจมตีไซเบอร์ที่เกิดขึ้นกับโครงสร้างพื้นฐานสำคัญของประเทศ เช่น ธนาคาร โทรคมนาคม หรือสาธารณูปโภค อาจส่งผลกระทบต่อประชาชนเป็นวงกว้างหรือความสงบเรียบร้อยของประเทศได้ นี่จึงเป็นที่มาของการออกพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ต้องการยกระดับการรักษาความมั่นคงปลอดภัยของโครงสร้างพื้นฐานสำคัญของประเทศให้ดียิ่งขึ้น เพื่อให้สามารถป้องกันภัยคุกคามดังกล่าวได้อย่างทันท่วงที โดยไม่ปล่อยให้นานจนเกิดผลกระทบกับประชาชน

พ.ร.บ. ไซเบอร์ฯ ฉบับนี้มีวัตถุประสงค์เพื่อยกระดับการรักษาความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ให้มีประสิทธิภาพยิ่งขึ้น พร้อมทั้งมีมาตรการในการป้องกัน รับมือ และลดความเสี่ยงจากการบุกรุกโจมตีไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของรัฐ เศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ

กฎหมายฉบับนี้ถูกบังคับใช้กับหน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศรวมทั้งสิ้น 8 กลุ่ม ได้แก่ ด้านความมั่นคงของรัฐ, ด้านบริการภาครัฐที่สำคัญ, ด้านการเงินการธนาคาร, ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม, ด้านการขนส่งและโลจิสติกส์, ด้านพลังงานและสาธารณูปโภค, ด้านสาธารณสุข และด้านอื่น ๆ ตามที่คณะกรรมการฯ ประกาศกำหนดเพิ่มเติม

ครอบคลุมการรักษาความมั่นคงปลอดภัยตาม พ.ร.บ. ไซเบอร์ฯ ด้วยบริการจาก CAT cyfence

สาระสำคัญของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 8 กลุ่มต้องปฏิบัติตามอยู่ที่หมวดที่ 3 การรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งแบ่งออกเป็น 4 ส่วน คือ นโยบายและแผน การบริหารจัดการ โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และการรับมือกับภัยคุกคามไซเบอร์ ครอบคลุมตั้งแต่มาตรา 41 – 69 สามารถสรุปประเด็นสำคัญที่จำเป็นต้องดำเนินการได้ดังนี้

  • มีการกำหนดโครงสร้างและแนวทางการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์
  • มีการกำหนดนโยบาย แผนงาน และกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์
  • จัดทำแผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
  • มีการทดสอบด้านความมั่นคงปลอดภัย ค้นหาช่องโหว่ และทดสอบเจาะระบบ CII ที่สำคัญ
  • จัดทำแผนการรับมือภัยคุกคามไซเบอร์ รวมไปถึงแนวทางปฏิบัติ และการเฝ้าระวังทั้งในภาวะปกติและภาวะฉุกเฉิน
  • มีกลไกหรือขั้นตอนสำหรับเฝ้าระวังและรับมือกับภัยคุกคามไซเบอร์ทั้งระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต
  • มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจสอบภายในหรือผู้ตรวจอิสระภายนอก
  • มีการประสานงานกับ ThaiCERT, TB-CERT, หน่วยงานควบคุมและกำกับดูแลที่เกี่ยวข้อง
  • มีการพัฒนาบุคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน
  • สร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้บริหารและผู้ปฏิบัติงาน

เพื่อให้การจัดทำแผนและการดำเนินการต่าง ๆ สามารถกระทำได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตราใน พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 CAT cyfence จึงได้เปิดบริการที่ให้คำปรึกษา จัดทำแผน ตรวจประเมิน และดูแลรักษาโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมไปถึงอบรมผู้เชี่ยวชาญและสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ทั้งหน่วยงานของรัฐและเอกชนผ่านบริการต่าง ๆ ได้แก่ IT Risk Assessment, Standard Consulting, Managed Security Services และ IT Professional Training โดยมีรายละเอียด ดังนี้

บริการ IT Risk Assessment

บริการจัดทำแผนการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของระบบสารสนเทศ ซึ่งครอบคลุมตั้งแต่การวิเคราะห์ช่องโหว่ การตรวจสอบ และการทดสอบความมั่นคงปลอดภัยของระบบ ไปจนถึงการให้คำปรึกษาในการจัดการกับช่องโหว่เหล่านั้นก่อนที่ผู้ไม่ประสงค์ดีจะเข้ามาขโมย แก้ไข หรือทำลายข้อมูลสำคัญขององค์กร และลดโอกาสการเกิดความเสียหายแก่ระบบเทคโนโลยีสารสนเทศในอนาคต

สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ต้องการตรวจสอบและประเมินความเสี่ยงตามมาตรฐานสากล CAT cyfence ก็มีบริการตรวจสอบและประเมินความเสี่ยงด้วยเช่นกัน

บริการ IT Risk Assessment ครอบคลุม

  • มาตรา 44 (1) แผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละหนึ่งครั้ง
  • มาตรา 54 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องจัดให้มีการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยมีผู้ตรวจประเมิน รวมทั้งต้องจัดให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบด้านมั่นคงปลอดภัยสารสนเทศทั้งโดยผู้ตรวจสอบภายในหรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละหนึ่งครั้ง

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/it-risk-assessment/

บริการ Security Standard Consulting

บริการให้คำปรึกษาด้านการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Information Security Management System: ISMS) พร้อมช่วยเหลือด้านการจัดทำนโยบายการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับเป้าประสงค์เชิงธุรกิจขององค์กร รวมไปถึงออกแบบและจัดทำกระบวนการต่าง ๆ เช่น Incident Response Process หรือ Escalation Process ให้เป็นไปตามมาตรฐานสากล ยกระดับองค์กรให้เติบโตอย่างมั่นคงปลอดภัย

บริการ Security Standard Consulting ครอบคลุม

  • มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตนฯ

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/security-standard-consulting/

บริการ Managed Security Services

Managed Security Service เป็นบริการจัดการระบบเทคโนโลยีสารสนเทศผ่านศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operation Center: SOC) ซึ่งพร้อมตรวจจับและเฝ้าระวังภัยคุกคามบนระบบเครือข่ายและเทคโนโลยีสารสนเทศขององค์กรแบบเรียลไทม์ตลอด 24 ชั่วโมง โดยมีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยคอยดูแล วิเคราะห์ และทำการแจ้งเตือนเมื่อเกิดเหตุไม่พึงประสงค์ หรือค้นพบช่องโหว่ใหม่ ๆ รวมไปถึงแก้ไขปัญหาที่เกิดขึ้นอย่างทันท่วงทีก่อนที่เหตุการณ์จะลุกลามบานปลาย

นอกจากนี้ CAT cyfence ยังมีบริการสำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ต้องการสร้างศูนย์ SOC เป็นของตนเอง พร้อมบริการการจัดทำกระบวนการและพัฒนาบุคลากรเพื่อให้สามารถปฏิบัติงานในศูนย์ SOC ได้อย่างมีประสิทธิภาพด้วยเช่นกัน

บริการ Managed Security Service จาก CAT cyfence ช่วยให้องค์กร

  • ได้รับการดูแลระบบเทคโนโลยีสารสนเทศแบบเรียลไทม์ตลอดเวลาเพื่อเฝ้าระวังและแจ้งเตือนเมื่อมีเหตุการณ์ไม่พึงประสงค์เกิดขึ้น
  • แจ้งเตือนเมื่อมีภัยคุกคามรูปแบบใหม่ ๆ เกิดขึ้น (Early Warning) พร้อมให้คำแนะนำเบื้องต้นสำหรับแก้ไขปัญหาอย่างทันท่วงที
  • วิเคราะห์หาสาเหตุและจัดลำดับความสำคัญของการบุกรุกโจมตีจากผลกระทบที่เกิดขึ้นกับองค์กร
  • ได้รับความช่วยเหลือในการแก้ไขปัญหาและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์โดยทีมผู้เชี่ยวชาญ CAT CSIRT
  • ปิดช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกโจมตีในรูปแบบต่าง ๆ
  • สรุปข้อมูลและจัดทำรายงานเพื่อใช้เป็นแนวทางในการกำหนดและปรับปรุงนโยบายขององค์กรต่อไป รวมไปถึงใช้ประกอบการรายงานต่อสำนักงานและหน่วยงานกำกับดูแลที่เกี่ยวข้อง

บริการ Managed Security Service ครอบคลุม

  • มาตรา 44 (2) แผนการรับมือภัยคุกคามทางไซเบอร์
  • มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตนฯ
  • มาตรา 57 เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสำคัญต่อระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รายงานต่อสำนักงานและหน่วยงานควบคุมหรือกำกับดูแล และปฏิบัติการรับมือกับภัยคุกคามทางไซเบอร์ฯ

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/managed-security-service/

บริการ IT Professional Training

บริการจัดหลักสูตรอบรมด้านความมั่นคงปลอดภัยไซเบอร์เพื่อยกระดับขีดความสามารถของบุคลากร ตั้งแต่การสร้างความตระหนักด้านภัยคุกคามและความมั่นคงปลอดภัยสำหรับทั้งผู้บริหารและผู้ปฏิบัติงาน ให้มีความพร้อมในการป้องกันและรับมือกับสถานการณ์ด้านภัยคุกคามไซเบอร์อันเป็นภัยต่อความมั่นคง ไปจนถึงการเตรียมความพร้อมของบุคลากรให้สามารถจัดทำแผนปฏิบัติการและมาตรการรับมือด้านความมั่นคงปลอดภัยไซเบอร์สำหรับใช้เป็นกลไกควบคุมสถานการณ์ เพื่อให้ผู้ที่มีส่วนเกี่ยวข้องสามารถแก้ไขสถานการณ์ที่เกิดขึ้นได้อย่างมีประสิทธิภาพและเป็นเอกภาพ

บริการ IT Professional Training ครอบคลุม

  • มาตรา 42 (6) การพัฒนาบุคคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน
  • มาตรา 42 (7) การสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/it-professional-training/

นอกจากบริการหลักทั้ง 4 รายการที่กล่าวไปข้างต้นแล้ว CAT cyfence ยังให้บริการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อื่น ๆ สำหรับปกป้องและดูแลระบบสารสนเทศของหน่วยงานต่าง ๆ อย่างครอบคลุม ไม่ว่าจะเป็น CryptoSafe, Disaster and Recovery Management Center, Web Application Firewall, All@Secure, BCM Consulting, DDoS Protection, Web Monitoring, Secure Log Management และ CCTV Solution ด้วยทีมผู้เชี่ยวชาญที่มีประสบการณ์ทำงานมานานกว่า 14 ปี ซึ่งพร้อมที่จะเข้าไปช่วยเหลือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทุกกลุ่มตามมาตรา 47 ของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ระบุว่า “ในกรณีที่การปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ต้องอาศัยความรู้ความเชี่ยวชาญ คณะกรรมการหรือ กกม. อาจมอบหมายให้เลขาธิการว่าจ้างผู้เชี่ยวชาญตามความเหมาะสมเฉพาะงานได้”

สรุปมาตราของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ CAT cyfence พร้อมให้บริการ

หน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 8 กลุ่มตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ต้องการใช้บริการของ CAT cyfence สามารถติดตามทีมงานได้ที่ CAT Contact Center โทร 1322 หรือเว็บไซต์ https://www.catcyfence.com/it-security/contact-us/

เขียนโดย : สุธีร์ กิจเจริญการกุล

นักเขียนและผู้ก่อตั้งเว็บไซต์ Techtalkthai เว็บไซต์ที่รวบรวมข่าวสารทางด้านผลิตภัณฑ์ IT ระดับใช้งานในองค์กรโดยเฉพาะ



เนื้อหาที่เกี่ยวข้อง

1. แฮกเกอร์พาเราเข้าเว็บปลอม ด้วย DNS Hijacking ได้อย่างไร

2. วิธีป้องกันข้อมูลใน USB Drive โดยการตั้งรหัสผ่าน

3. รู้ทัน!! คนโกงในโลกออนไลน์ และ วิธีป้องกันไม่ให้เป็นเหยื่อ

4. เช็คลิสต์!! 11 ข้อต้องทำ ก่อนใช้งานคอมพิวเตอร์สาธารณะ

5. ป้องกันแฮกเกอร์แอบดักข้อมูลคอมฯ ของเราได้อย่างไร