พ.ร.บ. ไซเบอร์ฯ บังคับใช้แล้ว CAT cyfence พร้อมให้คำปรึกษาและปฏิบัติตามได้ในทันที

สุธีร์ กิจเจริญการกุล

นักเขียนและผู้ก่อตั้งเว็บไซต์ Techtalkthai เว็บไซต์ที่รวบรวมข่าวสารทางด้านผลิตภัณฑ์ IT ระดับใช้งานในองค์กรโดยเฉพาะ

ปลายเดือนพฤษภาคมที่ผ่านมา พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาและเริ่มบังคับใช้กับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure) ทั่วประเทศ หน่วยงานของรัฐและเอกชนที่เกี่ยวข้องสามารถขอคำปรึกษาด้านการดำเนินงานให้สอดคล้องกับตัวบทกฎหมาย รวมไปถึงเรียกใช้บริการจากทาง CAT cyfence บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยชั้นนำของไทยได้ทันที

ยกระดับการรักษาความมั่นคงปลอดภัย CII ด้วย พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์

รายงาน The Global Risks Report ประจำปี 2019 โดย World Economic Forum ได้ทำการจัดอันดับการโจมตีไซเบอร์เป็น 1 ใน 10 ความเสี่ยงที่เกิดขึ้นบ่อยและส่งผลกระทบรุนแรงที่สุดในโลก แม้ว่าการโจมตีไซเบอร์ที่เกิดขึ้นกับบริษัททั่วไปจะส่งผลกระทบเฉพาะตัวบริษัท พนักงาน และลูกค้าที่ใช้บริการบริษัทนั้น ๆ เท่านั้น แต่การโจมตีไซเบอร์ที่เกิดขึ้นกับโครงสร้างพื้นฐานสำคัญของประเทศ เช่น ธนาคาร โทรคมนาคม หรือสาธารณูปโภค อาจส่งผลกระทบต่อประชาชนเป็นวงกว้างหรือความสงบเรียบร้อยของประเทศได้ นี่จึงเป็นที่มาของการออกพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ต้องการยกระดับการรักษาความมั่นคงปลอดภัยของโครงสร้างพื้นฐานสำคัญของประเทศให้ดียิ่งขึ้น เพื่อให้สามารถป้องกันภัยคุกคามดังกล่าวได้อย่างทันท่วงที โดยไม่ปล่อยให้นานจนเกิดผลกระทบกับประชาชน

พ.ร.บ. ไซเบอร์ฯ ฉบับนี้มีวัตถุประสงค์เพื่อยกระดับการรักษาความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ให้มีประสิทธิภาพยิ่งขึ้น พร้อมทั้งมีมาตรการในการป้องกัน รับมือ และลดความเสี่ยงจากการบุกรุกโจมตีไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของรัฐ เศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ

กฎหมายฉบับนี้ถูกบังคับใช้กับหน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศรวมทั้งสิ้น 8 กลุ่ม ได้แก่ ด้านความมั่นคงของรัฐ, ด้านบริการภาครัฐที่สำคัญ, ด้านการเงินการธนาคาร, ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม, ด้านการขนส่งและโลจิสติกส์, ด้านพลังงานและสาธารณูปโภค, ด้านสาธารณสุข และด้านอื่น ๆ ตามที่คณะกรรมการฯ ประกาศกำหนดเพิ่มเติม

ครอบคลุมการรักษาความมั่นคงปลอดภัยตาม พ.ร.บ. ไซเบอร์ฯ ด้วยบริการจาก CAT cyfence

สาระสำคัญของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 8 กลุ่มต้องปฏิบัติตามอยู่ที่หมวดที่ 3 การรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งแบ่งออกเป็น 4 ส่วน คือ นโยบายและแผน การบริหารจัดการ โครงสร้างพื้นฐานสำคัญทางสารสนเทศ และการรับมือกับภัยคุกคามไซเบอร์ ครอบคลุมตั้งแต่มาตรา 41 – 69 สามารถสรุปประเด็นสำคัญที่จำเป็นต้องดำเนินการได้ดังนี้

  • มีการกำหนดโครงสร้างและแนวทางการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์
  • มีการกำหนดนโยบาย แผนงาน และกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์
  • จัดทำแผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
  • มีการทดสอบด้านความมั่นคงปลอดภัย ค้นหาช่องโหว่ และทดสอบเจาะระบบ CII ที่สำคัญ
  • จัดทำแผนการรับมือภัยคุกคามไซเบอร์ รวมไปถึงแนวทางปฏิบัติ และการเฝ้าระวังทั้งในภาวะปกติและภาวะฉุกเฉิน
  • มีกลไกหรือขั้นตอนสำหรับเฝ้าระวังและรับมือกับภัยคุกคามไซเบอร์ทั้งระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต
  • มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจสอบภายในหรือผู้ตรวจอิสระภายนอก
  • มีการประสานงานกับ ThaiCERT, TB-CERT, หน่วยงานควบคุมและกำกับดูแลที่เกี่ยวข้อง
  • มีการพัฒนาบุคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน
  • สร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้บริหารและผู้ปฏิบัติงาน

เพื่อให้การจัดทำแผนและการดำเนินการต่าง ๆ สามารถกระทำได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตราใน พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 CAT cyfence จึงได้เปิดบริการที่ให้คำปรึกษา จัดทำแผน ตรวจประเมิน และดูแลรักษาโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมไปถึงอบรมผู้เชี่ยวชาญและสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ทั้งหน่วยงานของรัฐและเอกชนผ่านบริการต่าง ๆ ได้แก่ IT Risk Assessment, Standard Consulting, Managed Security Services และ IT Professional Training โดยมีรายละเอียด ดังนี้

บริการ IT Risk Assessment

บริการจัดทำแผนการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของระบบสารสนเทศ ซึ่งครอบคลุมตั้งแต่การวิเคราะห์ช่องโหว่ การตรวจสอบ และการทดสอบความมั่นคงปลอดภัยของระบบ ไปจนถึงการให้คำปรึกษาในการจัดการกับช่องโหว่เหล่านั้นก่อนที่ผู้ไม่ประสงค์ดีจะเข้ามาขโมย แก้ไข หรือทำลายข้อมูลสำคัญขององค์กร และลดโอกาสการเกิดความเสียหายแก่ระบบเทคโนโลยีสารสนเทศในอนาคต

สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ต้องการตรวจสอบและประเมินความเสี่ยงตามมาตรฐานสากล CAT cyfence ก็มีบริการตรวจสอบและประเมินความเสี่ยงด้วยเช่นกัน

บริการ IT Risk Assessment ครอบคลุม

  • มาตรา 44 (1) แผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละหนึ่งครั้ง
  • มาตรา 54 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องจัดให้มีการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยมีผู้ตรวจประเมิน รวมทั้งต้องจัดให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบด้านมั่นคงปลอดภัยสารสนเทศทั้งโดยผู้ตรวจสอบภายในหรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละหนึ่งครั้ง

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/it-risk-assessment/

บริการ Security Standard Consulting

บริการให้คำปรึกษาด้านการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Information Security Management System: ISMS) พร้อมช่วยเหลือด้านการจัดทำนโยบายการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับเป้าประสงค์เชิงธุรกิจขององค์กร รวมไปถึงออกแบบและจัดทำกระบวนการต่าง ๆ เช่น Incident Response Process หรือ Escalation Process ให้เป็นไปตามมาตรฐานสากล ยกระดับองค์กรให้เติบโตอย่างมั่นคงปลอดภัย

บริการ Security Standard Consulting ครอบคลุม

  • มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตนฯ

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/security-standard-consulting/

บริการ Managed Security Services

Managed Security Service เป็นบริการจัดการระบบเทคโนโลยีสารสนเทศผ่านศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operation Center: SOC) ซึ่งพร้อมตรวจจับและเฝ้าระวังภัยคุกคามบนระบบเครือข่ายและเทคโนโลยีสารสนเทศขององค์กรแบบเรียลไทม์ตลอด 24 ชั่วโมง โดยมีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยคอยดูแล วิเคราะห์ และทำการแจ้งเตือนเมื่อเกิดเหตุไม่พึงประสงค์ หรือค้นพบช่องโหว่ใหม่ ๆ รวมไปถึงแก้ไขปัญหาที่เกิดขึ้นอย่างทันท่วงทีก่อนที่เหตุการณ์จะลุกลามบานปลาย

นอกจากนี้ CAT cyfence ยังมีบริการสำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ต้องการสร้างศูนย์ SOC เป็นของตนเอง พร้อมบริการการจัดทำกระบวนการและพัฒนาบุคลากรเพื่อให้สามารถปฏิบัติงานในศูนย์ SOC ได้อย่างมีประสิทธิภาพด้วยเช่นกัน

บริการ Managed Security Service จาก CAT cyfence ช่วยให้องค์กร

  • ได้รับการดูแลระบบเทคโนโลยีสารสนเทศแบบเรียลไทม์ตลอดเวลาเพื่อเฝ้าระวังและแจ้งเตือนเมื่อมีเหตุการณ์ไม่พึงประสงค์เกิดขึ้น
  • แจ้งเตือนเมื่อมีภัยคุกคามรูปแบบใหม่ ๆ เกิดขึ้น (Early Warning) พร้อมให้คำแนะนำเบื้องต้นสำหรับแก้ไขปัญหาอย่างทันท่วงที
  • วิเคราะห์หาสาเหตุและจัดลำดับความสำคัญของการบุกรุกโจมตีจากผลกระทบที่เกิดขึ้นกับองค์กร
  • ได้รับความช่วยเหลือในการแก้ไขปัญหาและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์โดยทีมผู้เชี่ยวชาญ CAT CSIRT
  • ปิดช่องโหว่ที่มีความเสี่ยงต่อการถูกบุกรุกโจมตีในรูปแบบต่าง ๆ
  • สรุปข้อมูลและจัดทำรายงานเพื่อใช้เป็นแนวทางในการกำหนดและปรับปรุงนโยบายขององค์กรต่อไป รวมไปถึงใช้ประกอบการรายงานต่อสำนักงานและหน่วยงานกำกับดูแลที่เกี่ยวข้อง

บริการ Managed Security Service ครอบคลุม

  • มาตรา 44 (2) แผนการรับมือภัยคุกคามทางไซเบอร์
  • มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตนฯ
  • มาตรา 57 เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสำคัญต่อระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รายงานต่อสำนักงานและหน่วยงานควบคุมหรือกำกับดูแล และปฏิบัติการรับมือกับภัยคุกคามทางไซเบอร์ฯ

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/managed-security-service/

บริการ IT Professional Training

บริการจัดหลักสูตรอบรมด้านความมั่นคงปลอดภัยไซเบอร์เพื่อยกระดับขีดความสามารถของบุคลากร ตั้งแต่การสร้างความตระหนักด้านภัยคุกคามและความมั่นคงปลอดภัยสำหรับทั้งผู้บริหารและผู้ปฏิบัติงาน ให้มีความพร้อมในการป้องกันและรับมือกับสถานการณ์ด้านภัยคุกคามไซเบอร์อันเป็นภัยต่อความมั่นคง ไปจนถึงการเตรียมความพร้อมของบุคลากรให้สามารถจัดทำแผนปฏิบัติการและมาตรการรับมือด้านความมั่นคงปลอดภัยไซเบอร์สำหรับใช้เป็นกลไกควบคุมสถานการณ์ เพื่อให้ผู้ที่มีส่วนเกี่ยวข้องสามารถแก้ไขสถานการณ์ที่เกิดขึ้นได้อย่างมีประสิทธิภาพและเป็นเอกภาพ

บริการ IT Professional Training ครอบคลุม

  • มาตรา 42 (6) การพัฒนาบุคคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน
  • มาตรา 42 (7) การสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

รายละเอียดเพิ่มเติม: https://www.catcyfence.com/it-security/services/it-professional-training/

นอกจากบริการหลักทั้ง 4 รายการที่กล่าวไปข้างต้นแล้ว CAT cyfence ยังให้บริการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อื่น ๆ สำหรับปกป้องและดูแลระบบสารสนเทศของหน่วยงานต่าง ๆ อย่างครอบคลุม ไม่ว่าจะเป็น CryptoSafe, Disaster and Recovery Management Center, Web Application Firewall, All@Secure, BCM Consulting, DDoS Protection, Web Monitoring, Secure Log Management และ CCTV Solution ด้วยทีมผู้เชี่ยวชาญที่มีประสบการณ์ทำงานมานานกว่า 14 ปี ซึ่งพร้อมที่จะเข้าไปช่วยเหลือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทุกกลุ่มตามมาตรา 47 ของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ระบุว่า “ในกรณีที่การปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ต้องอาศัยความรู้ความเชี่ยวชาญ คณะกรรมการหรือ กกม. อาจมอบหมายให้เลขาธิการว่าจ้างผู้เชี่ยวชาญตามความเหมาะสมเฉพาะงานได้”

สรุปมาตราของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ CAT cyfence พร้อมให้บริการ

หน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 8 กลุ่มตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่ต้องการใช้บริการของ CAT cyfence สามารถติดตามทีมงานได้ที่ CAT Contact Center โทร 1322 หรือเว็บไซต์ https://www.catcyfence.com/it-security/contact-us/

เขียนโดย : สุธีร์ กิจเจริญการกุล

นักเขียนและผู้ก่อตั้งเว็บไซต์ Techtalkthai เว็บไซต์ที่รวบรวมข่าวสารทางด้านผลิตภัณฑ์ IT ระดับใช้งานในองค์กรโดยเฉพาะ



เนื้อหาที่เกี่ยวข้อง

1. 10 วิธี ใช้งานบัตรเครดิต/เดบิต ให้ปลอดภัยจากมิจฉาชีพ

2. การยืนยันตัวตนแบบ 2 ปัจจัยด้วย Security Key (Yubikey)

3. มาลองแฮก Windows ด้วยเทคนิค LLMNR/NBNS Poisoning

4. 5 วิธีเพิ่มความปลอดภัยให้กับ Apple Watch

5. การยืนยันตัวตนด้วยลายนิ้วมือโดนแฮกได้ไหม ป้องกันอย่างไร