การโจมตีทางไซเบอร์ได้เปลี่ยนจากพลอตเรื่องล้ำยุคในภาพยนตร์สายลับมาเป็นการโจมตีที่เกิดขึ้นอย่างเป็นรูปธรรมมากขึ้นในโลกจริงช่วงหลายปีที่ผ่านมาตั้งแต่แรนซัมแวร์เรียกค่าไถ่ข้อมูลบริษัทใหญ่ๆ การแฮ็กระบบบริษัทโซนี่โดยเกาหลีเหนือการโจมตีทางไซเบอร์ของสหรัฐฯ เพื่อตอบโต้อิหร่านที่โจมตีเรือบรรทุกน้ำมันจนทำให้มีการคาดการณ์ว่าอาวุธไซเบอร์จะกลายมาเป็นอาวุธสำคัญในการโจมตีและข่มขู่กันแทนการสะสมอาวุธนิวเคลียร์
ดร.ภูมิ ภูมิรัตน ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จากจี-เอเบิลกล่าวว่า ภัยไซเบอร์รุนแรงขึ้นเรื่อยๆทั้งผู้ก่อการร้ายและรัฐประเทศต่างๆ ก็เริ่มใช้วิธีนี้ในการโจมตีกันมากขึ้นเนื่องจากยังไม่มีข้อตกลงระดับโลกว่า อะไรคือการก่อสงครามในโลกไซเบอร์ เพราะฉะนั้นมันก็เหมือนเปิดพื้นที่ให้ใครลองโจมตีกันเทคโนโลยีและทักษะความสามารถที่ทำกันก็ลึกซึ้งขึ้นเรื่อยๆและไทยก็มีความเสี่ยงต่อภัยไซเบอร์สูง
ไทยเป็นฮับของแฮ็กเกอร์?
ประเทศไทยค่อนข้างเปิดกว้าง ขอวีซ่าไม่ยากมาก และไทยไม่ค่อยจะเข้าไปควบคุมดูแลส่วนหนึ่งก็เพราะกฎหมายมันไม่ได้ให้เราเข้าไปควบคุมดูแลได้ง่ายขนาดนั้นประเทศเหล่านั้นต้องประสานความร่วมมือมาการใช้อินเทอร์เน็ตตามมหาวิทยาลัย คาเฟ่ต่างๆ ก็ไม่ได้มีใครไม่ขอดูบัตรประชาชนตามที่พรบ.คอมพิวเตอร์กำหนด
บางกรณีแฮ็กเกอร์อาจอยู่ในไทยแล้วแฮ็กออกไปอีกหลายกรณีก็เชื่อว่าเป็นเพราะองค์กรต่างๆไม่ได้ดูแลระบบคอมพิวเตอร์ของตัวเองเข้มแข็งพอ โดยเฉพาะห้องสมุดห้องแล็บในมหาวิทยาลัย อินเทอร์เน็ตคาเฟ่ เครื่องอาจจะติดไวรัสหรือมัลแวร์แล้วโดนคนร้ายใช้เป็นฐานในการโจมตี คนร้ายจริงๆ อาจจะอยู่ประเทศอื่นแต่ใช้เครื่องในไทยไปโจมตี
รัฐต้องช่วยลดต้นทุนให้เอกชน และบังคับใช้กฎหมายกับเอกชน
ดร.ภูมิรัตนยังกล่าวว่า การปกป้องตัวเองในโลกไซเบอร์มันก็ต้องใช้ความรู้ใช้ประสบการณ์ แต่ถ้าเทียบสัดส่วนผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ในไทยกับจำนวนธุรกิจที่มีถือว่าน้อยมาก เอกชนต้องแย่งกันจ้างคนเหล่านี้ถ้าบริษัทใหญ่ที่มีทรัพยากร มีเงิน ก็เข้าใจระดับนึงว่าต้องปกป้องตัวเองเพราะส่วนใหญ่มันมีความจำเป็นในการแข่งขันทางธุรกิจ ไม่อยากให้เกิดความเสียหาย
อีกทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลก็จะมากำหนดด้วยว่าองค์กรเอกชนจะต้องดูแลข้อมูลคนดีแค่ไหนก็จะช่วยเสริมให้บริษัทเอกชนที่เก็บข้อมูลคนเยอะๆ ต้องดูแลตัวเองดีขึ้นเมื่อรัฐกำหนดมาตรฐานออกมาแล้ว ข้อมูลพวกเราจะได้รับการปกป้องแล้วก็เป็นค่าใช้จ่ายของเอกชนที่จะต้องไปลงทุนพอเป็นค่าใช้จ่ายของเอกชนที่จะต้องรัฐก็จะต้องเข้าไปช่วยให้มันเกิดการลงทุนที่ต้นทุนถูกลง
การต่อสู้กับภัยไซเบอร์มีความลึกซึ้งละเอียดอ่อน ยากลำบาก และจำเป็นต้องใช้ความเชี่ยวชาญ มันไม่ใช่การซื้อคอมฯ มาแล้ว patch แล้ว ซื้อ firewall มาแล้วก็จบ มันเป็นเรื่องการบริหารจัดการความเสี่ยง ก็ต้องสอนเตรียมความพร้อมให้องค์กรต่างๆ ในประเทศว่า ตัวเองอยู่ในประเภทธุรกิจขนาดของธุรกิจที่น่าจะมีความเสี่ยงแล้วหรือยัง ซึ่งพักหลังธุรกิจใหญ่เริ่มมีให้ความสำคัญกับเรื่องนี้มากขึ้นเรื่อยๆโดยเฉพาะเป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์
คนทั่วๆ ไปต้องมีสุขอนามัยทางไซเบอร์ ดร.ภูมิกล่าวว่า เรื่องความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องของทุกคนรัฐก็มีบทบาทที่เขาจะต้องเล่น แต่กฎหมายไม่ได้ออกมาให้รัไปปกป้องทุกคนคนก็ต้องปกป้องตัวเองด้วยในระดับนึง เช่น รู้จักใช้พาสเวิร์ดให้ปลอดภัยไม่ไปดาวน์โหลดโปรแกรมผิดกฎหมาย ไม่เข้าเว็บที่มันไม่ดี ไม่ซื้อโปรแกรมเถื่อนหัดระมัดระวังเวลาใครส่งลิงก์มา ไม่ควรกดเล่นๆ ซึ่งทั้งหมดนี้เรียกว่า Cyberhygience สุขอนามัยทางไซเบอร์
ไว้ใจพรบ.ความมั่นคงปลอดภัยไซเบอร์ได้จริงไหม?
ผมไม่ได้คิดว่าภาครัฐมีเป้าที่จะละเมิดสิทธิคนทุกวันโดยหลักแล้ว ผมเชื่อว่า 99% ของเคสฉุกเฉินไม่ต้องใช้อำนาจอำนาจสั่งการฉุกเฉินโดยไม่ผ่านศาลเพราะเอกชนน่าจะต้องการให้รัฐเข้าไปจัดการในกรณีฉุกเฉินอยู่แล้ว คงไม่ต้องบังคับแต่ เราก็ต้องมีกลไกกำกับดูแลว่ารัฐจะไม่ใช้อำนาจนี้เกินเลยไป เช่น การมี NGO เข้าไปดูแลสอดส่อง แก้กฎหมายหรือไปแก้ระเบียบหรือให้ภาครัฐหรือกระทรวงประกาศออกมาทุกครั้งที่ใช้อำนาจฉุกเฉิน เขาจะต้องเปิดเผยสถิติหรือรูปแบบการใช้อำนาจนี้ย้อนหลังให้สังคมตามดูว่ามีการละเมิดอำนาจนี้ไหม
เราอาจจะต้องสอดส่องดูแลว่า มีกลไกตรวจสอบมากพอไหมและเมื่อกฎหมายนี้มีผลบังคับใช้จริงแล้ว เมื่อเราเห็นการใช้อำนาจของรัฐแล้วอาจเสนอแก้ไขกฎหมายเพื่อปรับอำนาจกระชับขึ้น ชัดเจนขึ้นว่าใช้ทำอะไรได้หรือไม่ได้ต้องมีกระบวนกลั่นกรองเพิ่มไหม เช่น ก่อนสั่งจะต้องมีการเตรียมบางอย่างไว้ก่อนมีกระบวนการเรียกคนที่เกี่ยวข้องมาตอบคำถามก่อนอย่างน้อย 1 ครั้ง มันไม่ได้ทำให้กลไกการสั่งช้ามากเกินไปเพราะรีบสั่งมากเกินไปก็ไม่ได้มีผลดีมากนักในบางกรณี
