ผู้เชี่ยวชาญชี้ พ.ร.บ.ไซเบอร์ เน้นป้องกันโจมตีระบบโครงสร้างพื้นฐาน

ผู้เชี่ยวชาญชี้ พ.ร.บ.ไซเบอร์ เน้นป้องกันโจมตีระบบโครงสร้างพื้นฐาน

ผู้เชี่ยวชาญชี้ พ.ร.บ.ไซเบอร์ เน้นป้องกันโจมตีระบบโครงสร้างพื้นฐาน

รูปข่าว : ผู้เชี่ยวชาญชี้ พ.ร.บ.ไซเบอร์ เน้นป้องกันโจมตีระบบโครงสร้างพื้นฐาน

เลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ยืนยัน พ.ร.บ.ไซเบอร์ เน้นปกป้องระบบโครงสร้างสารสนเทศเมื่อถูกโจมตีไซเบอร์ไม่เกี่ยวข้องกับเนื้อหาและการละเมิดสิทธิบุคคล

วันนี้ (1 มี.ค.62) นายปริญญา หอมเอนก เลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) และคณะกรรมกรรมาธิการวิสามัญ พิจารณาร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ...ให้สัมภาษณ์ไทยพีบีเอสถึงกรณีมีข้อกังวลเกี่ยวกับร่าง พ.ร.บ.ไซเบอร์ว่าจะละเมิดสิทธิส่วนบุคคลหรือไม่ โดยระบุว่า ร่างพ.ร.บ.ไซเบอร์ ฉบับเก่า ส่วนตัวได้ดำเนินการคัดค้านเนื่องจากไม่เห็นด้วยกับเนื่องจากมีความกระทบกับประชาชนเพราะไม่ต้องขอหมายศาลในการเข้าตรวจสอบ

 

 

แต่ในการปรับแก้ร่างกฎหมายได้เสนอปรับแก้ เช่น กรณีติดไวรัส มัลแวร์ ต่างๆ ซึ่งทั้งบุคคลหรือองค์กรล้วนแล้วแต่มีโอกาสติดมัลแวร์ทั้งสิ้น การที่จะเข้าตรวจยึดคอมาพิวเตอร์โดยไม่มีหมายศาลย่อมไม่เหมาะสม ดังนั้นจึงมีการปรับแก้ไขเป็นภัยทั่วไปหรือภัยระดับร้ายแรงต้องขอนุญาตศาลก่อนและหากเจ้าหน้าที่นำข้อมูลไปเปิดเผยจะได้รับโทษอาญา ดังนั้นก่อนที่จะดำเนินการเจ้าหน้าที่ต้องมีความมั่นใจ

นายปริญญากล่าวว่า ส่วนตัวมีความต้องการให้ ร่าง พ.ร.บ.ไซเบอร์ ฉบับนี้ไม่เกี่ยวข้องกับเนื้อหา เพราะฉะนั้น พ.ร.บ.ฉบับนี้จึงไม่มีการบัญญัติไว้เลยที่จะขอดูข้อมูลประชาชนหรือละเมิดสิทธิ ซึ่งข้อมูลคือ ข้อมูลภัยไซเบอร์ เท่านั้น

ทั้งนี้ ภัยระดับวิกฤตสามารถไประงับเหตุก่อนจึงไปขอหมายศาลได้ ซึ่งเขียนไว้ชัดเจนในมาตรา 53 (3) คำว่า วิกฤตมีบัญญัติไว้ว่า ต้องมีคนล้มตาย โจมตีจนระบบของรัฐล่มเป็นวงกว้าง ซึ่งมีความชัดเจนจึงขอเข้าไประงับโดยไม่ต้องขออนุญาตศาลและภายหลังระงับเสร็จสิ้นจึงทำหนังสือชี้แจงไปยังศาล

นายปริญญา กล่าวเพิ่มเติมว่า กฎหมายฉบับนี้ไม่ได้ออกแบบมาเพื่อใช้กับประชาชน แต่ออกแบบมาโดยใช้กับโครงสร้างหน่วยงานพื้นฐานสารสนเทศหรือที่เรียกว่า critical infrastructure cyber attacks ยกตัวอย่างเช่น การโจมตีระบบคอมพิวเตอร์ของท่าอากาศยานสุวรรณภูมิ รถไฟฟ้า บริษัทให้บริการโทรคมนาคมรายต่างๆ การประปาทุกวันนี้หน่วยงานเหล่านี้ดำเนินการโดยระบบคอมพิวเตอร์ซึ่งหากถูกโจมตี เช่น โทรศัพท์ไม่ได้ ธนาคารโอนเงินไม่ได้ ที่ผ่านมายังไม่มีเจ้าภาพในการดูแลหรือมาตรฐานในการดูแล กฎหมายฉบับนี้ออกแบบมาเพื่อดำเนินการในสิ่งเหล่านี้

เลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ระบุว่า การขอเครื่องมาตรวจสอบนั้นเป็นการนำข้อมูลมาวิเคราะห์ว่ามีมัลแวร์หรือไม่ ถ้ามีต้องคืนใน 30 วัน ซึ่งการจะดำเนินการในสิ่งเหล่านี้ก็ต่อเมื่อเกิดผลกระทบเป็นวงกว้าง ร้ายแรง และมีผู้เสียหาย ไม่ใช่เพียงสงสัยและเข้าตรวจค้นย่อมไม่สามารถกระทำได้

 

 

นายปริญญา มองว่า ความกังวลของโลกออนไลน์นั้นอาจมาจาก ร่าง พ.ร.บ.ไซเบอร์ฉบับเก่า ไม่ได้ระบุถึงการขอหมายศาลแต่การปรับแก้นั้น ระบุว่าต้องเพิ่มการขอหมายศาลเข้าไปซึ่งดีขึ้นกว่าฉบับเดิมค่อนข้างมาก ซึ่งส่วนหนึ่งอาจมีความเข้าใจถึงฉบับเก่า ขณะที่อีกกลุ่มหนึ่ง การไม่ต้องขอหมายศาลก่อนเข้าตรวจค้นเพราะเกรงว่าจะถูกละเมิดสิทธิส่วนบุคคล ซึ่งการจะโพสต์ถึงบุคคลอื่นกฎหมายฉบับนี้ไม่เกี่ยวข้อง เพราะมีกฎหมายอาญา หรือกฎหมายหมิ่นประมาทครอบคลุมอยู่แล้ว และการจะใส่เนื้อหาใดไ เข้าไป พ.ร.บ.ไซเบอร์ไม่เกี่ยวข้องแต่จะเกี่ยวเฉพาะการโจมตีไซเบอร์เท่านั้นหรือการโจมตีของแฮกเกอร์เท่านั้น

ขณะที่ ข้อกังวลเรื่อง "ข้อมูลเวลาจริง" (Realtime) ใน พ.ร.บ.ไซเบอร์ ปรับแก้เป็น ขอข้อมูลล่าสุดที่เป็นปัจจุบันและขอข้อมูลต่อเนื่อง ซึ่งสามารถขอข้อมูลได้แต่จะดักข้อมูลไม่ได้ซึ่งจะผิดกฎหมายทันที ซึ่งการขอข้อมูลจะนำไปวิเคราะห์ว่าถูกโจมตีจากที่ใด หากเจ้าของคอมพิวเตอร์ไม่ยินยอมก็ต้องมีหมายศาล

ข้อมูลปัจจุบันหมายถึง ข้อมูลที่ถูกโจมตีจากแฮกเกอร์ที่มีอยู่ก่อนหน้านี้แล้ว ไม่ใช่การพูดคุยกับภรรยา การไปเที่ยว ซึ่งการตรวจสอบจะเป็นข้อมูลเกี่ยวกับการโจมตีไซเบอร์ ซึ่งมีเหตุจำเป็นต้องขอข้อมูลนั้น ถ้าไม่ให้ต้องขอหมายศาล ซึ่งสามารถอุทธรณ์ได้ 2 แบบ คือ อุทธรณ์คำสั่งคณะกรรมการและอุทธรณ์คำสั่งศาล

นายปริญญากล่าวว่า ในร่าง พ.ร.บ.ไซเบอร์ ระบุว่าเมื่อคณะกรรมการมีคำสั่งการอุทธรณ์สามารถอุทธรณ์ได้เมื่อเป็นภัยระดับไม่ร้ายแรง ขณะที่ภัยร้ายแรงหรือวิกฤตอุทธรณ์คำสั่งไม่ได้ แต่การออกหมายศาลสามารถอุทธรณ์คำสั่งศาลได้ตามปกติ ซึ่งมีกลไกในการดำเนินการอยู่การละเมิดจะไม่อยู่ใน พ.ร.บ.ฉบับนี้

 

 

 

เลขาธิการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ กล่าวเพิ่มเติมว่า ความกังวลกรณีการให้สภาความมั่นคงแห่งชาติ (สมช.) เข้ามาดูแลนั้น ได้ระบุไว้ว่า ในกรณีวิกฤตที่ส่งผลกระทบเป็นวงกว้างจนขับเคลื่อนไม่ได้ ซึ่งเดิม สมช.สามารถใช้ พ.ร.บ.ฉุกเฉินอยู่แล้ว ซึ่งสามารถดำเนินการได้อยู่แล้วแต่ไม่ต้องการให้ใช้ พ.ร.ก.ฉุกเฉินโดยไม่มาที่มาที่ไปจึงเขียนให้ชัดว่ามีผลกระทบเป็นวงกว้างมีผลกระทบประชาชนเป็นจำนวนมาก จึงถ่ายโอนหน้าที่จาก สำนักงานควบคุมครองไซเบอร์แห่งชาติ ไปให้ สมช.ดูและมีนายกฯเป็นประธาน

อย่างไรก็ตาม หลักจากกฎหมายฉบับนี้ถูกประกาศผ่านราชกิจจานุเบกษา ยังใช้งานไม่ได้ถ้าไม่มีกฎหมายลูก หรือ กฎกระทรวง เช่นเดียวกับกฎหมาย คอมพิวเตอร์ ที่ประกาศออกมาแต่ยังไม่สามารถใช้งานได้ทันทีต้องมีรายละเอียดเพิ่มเติมว่าจะดำเนินการอย่างไร ซึ่งจากนี้ไปจะต้องมีการเขียนให้ละเอียดและมีการรับฟังความเห็น ซึ่ง พ.ร.บ.ฉบับนี้ เป็นหลักการที่ค่อนข้างกว้างและยังสามารถไปปรับได้อีกในชั้นกฎหมายลูก

นายปริญญากล่าวว่า ความกังวลเรื่องกฎหมายฉบับนี้ อาจมาจากความเร็วของสื่อต่างๆในปัจจุบันทำให้ประชาชนอ่านยังไม่ได้อ่านเนื้อหาทั้งหมด และไม่เข้าใจวัตถุประสงค์ของการออกกฎหมายฉบับนี้ ขณะที่อาจมีบางกลุ่มที่อาจต้องการให้เป็นประเด็นทางการเมือง หรือเข้าใจว่ามีใครอยู่เบื้องหลัง ผมยืนยันได้เลยว่าตลอดการร่าง พ.ร.บ.ไม่มีผู้ใหญ่มาครอบงำให้มาเขียน หรือให้มาทำอะไรตรงนี้ อาจเข้าใจว่ามีผู้ใหญ่ให้เร่งออกเพราะขณะนี้มี พ.ร.บ.หลายฉบับ จึงเข้าใจไปอย่างนั้น อยากให้ตั้งสติ พิจารณารายมาตรา และอย่าเอามาประเด็นทางการเมือง

 

 

กลับขึ้นด้านบน