สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ DGA เปิดเวทีระดมสมองหัวข้อ “มาตรการผลักดันการบังคับใช้มาตรฐานความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล” เมื่อวันที่ 11 กันยายน 2568 ณ โรงแรมเดอะ เบอร์เคลีย์ ประตูน้ำ โดยมี นายชรินทร์ ธีรฐิตยางกูร ผู้อำนวยการฝ่ายขับเคลื่อนนโยบายรัฐบาลดิจิทัล DGA เป็นประธานกล่าวเปิดงานพร้อมเล่าถึงวัตถุประสงค์ในการระดมความคิดเห็นให้ฟังว่าเพื่อยกระดับความปลอดภัยและความเชื่อมั่นของบริการดิจิทัลภาครัฐ ในการหาแนวทางป้องกันเรื่องความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นความท้าทายสำคัญของประเทศ
โดยภายในงานได้รับเกียรติจาก นายพลสุธี ธเนศนิรัตศัย ผู้อำนวยการสายงาน Cybersecurity บริษัท บลูบิค ไททันส์ มานำเสนอถึงข้อมูลเชิงสถิติที่น่าสนใจให้ฟังว่า การเติบโตของระบบดิจิทัลนั้นจะตามมาด้วยการคุกคามทางไซเบอร์ ซึ่งถือเป็นเรื่องที่ทุกภาคส่วนต้องให้ความสำคัญ ที่ผ่านมาไทยเผชิญการโจมตีทางไซเบอร์มากกว่า 1,700 ครั้งในช่วงเดือน ม.ค.–ก.ค. 2568 โดยหน่วยงานรัฐเป็นเป้าหมายสำคัญ ดังนั้นจึงต้องเร่งยกระดับทั้งในด้านการกำหนดมาตรฐานและโครงสร้างพื้นฐานทางสารสนเทศ (Standards & CII), การผลักดันและบังคับใช้ (Enforcement), การตรวจสอบและกำกับดูแล (Governance & Monitoring) และ การบริการจัดการเหตุการณ์ไซเบอร์ (Incident Management) โดยได้นำเสนอแนวปฏิบัติที่ดีของประเทศต้นแบบได้แก่
– ประเทศสิงคโปร์ มีความโดดเด่นด้วยโมเดล ‘ควบคุมจากส่วนกลางที่เข้มแข็ง’ โดยมีหน่วยงานอย่าง Cyber Security Agency (CSA) เป็นแกนหลักที่มีอำนาจเบ็ดเสร็จในการตรวจสอบและบังคับใช้กฎหมายอย่างจริงจัง พร้อมบทลงโทษที่รุนแรงทั้งทางแพ่งและอาญา นอกจากนี้ยังมี ศูนย์ GCSOC ที่ใช้ AI เฝ้าระวังและแจ้งเตือนภัยคุกคามเครือข่ายรัฐบาลแบบเชิงรุก
– ประเทศเอสโตเนีย มีหน่วยงานกลาง RIA (Information System Authority) ที่ทำหน้าที่กำหนดมาตรฐานและบังคับใช้กฎหมายความมั่นคงปลอดภัยไซเบอร์กับทั้งภาครัฐและเอกชนอย่างจริงจัง มีบทลงโทษชัดเจนและได้รับการสนับสนุนจากหน่วยงานรับมือเหตุการณ์อย่าง CERT-EE ด้วย มีการวางรากฐานระบบดิจิทัลที่ปลอดภัยตั้งแต่เริ่มต้นผ่านบริการกลาง เช่น ใบรับรองดิจิทัล, ลายมือชื่อดิจิทัล และการบุกเบิกใช้เทคโนโลยี Blockchain ในภาครัฐเพื่อสร้างความโปร่งใสและตรวจสอบได้ นอกจากนี้ มีการกำหนดให้หน่วยงานรัฐต้องเผยแพร่รายงานสรุปเหตุการณ์สู่สาธารณะเมื่อถูกโจมตีทางไซเบอร์เพื่อสร้างความเชื่อมั่นในด้านการคุ้มครองข้อมูลส่วนบุคคล
– ประเทศสหรัฐอเมริกา ใช้แนวทางกำกับดูแลตามภาคส่วนอุตสาหกรรม (Sector-specific) ซึ่งมีหน่วยงานกลางอย่าง NIST ทำหน้าที่กำหนดมาตรฐาน และ CISA รับผิดชอบการตรวจสอบและประสานงานรับมือเหตุการณ์ นอกจากนี้ได้พัฒนาเครื่องมือสนับสนุน เช่น แดชบอร์ด CDM สำหรับติดตามความเสี่ยง และ SCuBA เพื่อตรวจสอบความปลอดภัยบนระบบคลาวด์ โดยหน่วยงานรัฐต้องรายงานภายใน 1 ชั่วโมง ขณะที่ภาคเอกชนต้องรายงานภายใน 72 ชั่วโมง และบริษัทจดทะเบียนในตลาดหลักทรัพย์ยังต้องเปิดเผยรายละเอียดของเหตุการณ์สำคัญต่อสาธารณะเพื่อสร้างความโปร่งใส เป็นต้น
สำหรับประเทศไทยมีหน่วยงานการกำกับดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์ ได้แก่ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) ทำหน้าที่กำหนดนโยบาย, สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ทำหน้าที่ขับเคลื่อนฯ, ThaiCERT หน่วยงานภายใต้การกำกับของ สกมช. ทำหน้าที่เฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์, CII Regulators เช่น ธนาคารแห่งประเทศไทย (BOT) และ กสทช. กำกับดูแลโครงสร้างพื้นฐานสำคัญเฉพาะภาคส่วน และ สำนักงานคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งทำหน้าที่บังคับใช้กฎหมาย PDPA
ทั้งนี้ ผู้เข้าร่วมจากหลายภาคส่วนสะท้อนว่าประชาชนยังห่วงเรื่องข้อมูลรั่วไหล เช่น มิจฉาชีพ Call Center โดยเสนอให้รัฐจัดบริการกลางแบบ “Plug and Play” ที่เชื่อมต่อใช้งานได้ทันที พร้อมทั้งเพิ่มมาตรการตรวจสอบเชิงรุก และเปิดเผยข้อมูลเหตุละเมิดที่มีนัยสำคัญเพื่อสร้างความโปร่งใส ทั้งนี้ ที่ประชุมเห็นพ้องว่า ประเทศไทยควร
- ผลักดันมาตรการ Cybersecurity และ Data Privacy อย่างบูรณาการ
- สร้างกลไกกำกับดูแลที่ชัดเจน ลดความซ้ำซ้อน
- ส่งเสริมการตรวจสอบเชิงรุกและการเปิดเผยข้อมูลเหตุสำคัญ
- จัดตั้งเครือข่ายแลกเปลี่ยน Best Practices
- สร้างความตระหนักรู้แก่ผู้บริหารและบุคลากรทุกระดับ
การเดินหน้าตามแนวทางเหล่านี้จะช่วยยกระดับความมั่นใจของประชาชนและนักลงทุนต่อระบบดิจิทัลไทย พร้อมผลักดันประเทศสู่การเป็น “รัฐบาลดิจิทัลที่ปลอดภัย โปร่งใส และน่าเชื่อถือ” ในระดับสากล
ที่มา DGA / วันที่เผยแพร่ 16 กันยายน 2568
Link https://www.dga.or.th/document-sharing/dga-news/125441/
