ความรู้พื้นฐานเกี่ยวกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ พุทธคุณ สกุลอึ้ง

มาตรา ๔๖ เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานของรัฐหน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ เพื่อ ประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสํานักงาน ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าที่ตามวรรคหนึ่ง ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนทศ แจ้งให้สํานักงานทราบโดยเร็ว มาตรา ๔๗ ในกรณีที่การปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ต้องอาศัยความรู้ ความเชี่ยวชาญคณะกรรมการหรือ กกม. อาจมอบหมายให้เลขาธิการว่าจ้างผู้เชี่ยวชาญตามความเหมาะสมเฉพาะงานได้ ผู้เชี่ยวชาญตามวรรคหนึ่งต้องมีคุณสมบัติหรือประสบการณ์ที่เหมาะสมตามที่คณะกรรมการประกาศกําหนด เลขาธิการต้องออกบัตรประจําตัวผู้เชี่ยวชาญให้แก่บุคคลที่ได้รับการแต่งตั้ง และในการปฏิบัติหน้าที่บุคคลดัง กล่าวต้องแสดงบัตรประจําตัวในฐานะผู้เชี่ยวชาญ และเมื่อพันจากหน้าที่แล้วจะต้องคืนบัตรประจําตัวแก่สํานักงานโดย เร็ว 51 Cybersecurity Act BE ๒๕๖๒

โครงสร้างสําหรับการกํากับดูแลสําหรับ การบริหารจัดการและการรักษาความ มั่นคงปลอดภัยไซเบอร์ 52

โครงสร้างบุคลากร คุณสมบัติ และหน้าที่ ของ ส ศก. สํานักงานเศรษฐกิจการเกษตร คณะกรรมการเทคโนโลยี สารสนเทศและการสื่อสาร สํานักงานเศรษฐกิจการเกษตร คณะทํางานด้านการรักษา ความมั่นคงปลอดภัยทางไซ เบอร์ ศูนย์ปฏิบัติการด้านความ มั่นคงปลอดภัยไซเบอร์ คณะกรรมการกํากับดูแล ข้อมูล คณะทํางานคุ้มครองข้อมูล ส่วนบุคคล คณะ/เจ้าหน้าที่ คุ้มครองข้อมูล ส่วนบุคคล ระดับคุณสมบัติ ด้านความมั่นคง ปลอดภัยไซเบอร์ ด้านการคุ้มครอง ข้อมูลส่วนบุคคล คณะกรรมการฝ่ายบริหาร ตามคําสั่งแต่งตั้งที่ออกโดย สํานักงานเศรษฐกิจการ เกษตร คณะกรรมการเทคโนโลยี สารสนเทศและการสื่อสาร สํานักงานเศรษฐกิจการ เกษตร คณะกรรมการกํากับดูแล ข้อมูล คณะทํางาน (ปฏิบัติการ) ตาม คําสั่งแต่งตั้งที่ออกโดยคณะ กรรมการในเรื่องนั้น ๆ คณะทํางานด้านการรักษา ความมั่นคงปลอดภัยทางไซ เบอร์ คณะทํางานคุ้มครองข้อมูล ส่วนบุคคล บุคคล/หน่วยงาน รับผิดชอบ ตามภารกิจและโครงสร้าง ภายใน สศก. ศูนย์ปฏิบัติการด้านความ มั่นคงปลอดภัยไซเบอร์ คณะ/เจ้าหน้าที่ คุ้มครอง ข้อมูลส่วนบุคคล (ตามกรณีที่ มอบหมาย) โครงสร้างบุคลากร คุณสมบัติ และหน้าที่ 53

ระดับคุณสมบัติ บทบาทหน้าที่ความรับผิดชอบ คณะกรรมการฝ่ายบริหาร ตามคําสั่ง แต่งตั้งที่ออกโดยสํานักงานเศรษฐกิจ การเกษตร กําหนดผ่านการประกาศแต่งตั้ง โดยมีรายละเอียดตามประกาศ (อ้างอิงภาครายการ ในภาคผนวก) คณะทํางาน (ปฏิบัติการ) ตามคําสั่ง แต่งตั้งที่ออกโดยคณะกรรมการใน เรื่องนั้น ๆ กําหนดผ่านการประกาศแต่งตั้ง โดยมีรายละเอียดตามประกาศ (อ้างอิงภาครายการ ในภาคผนวก) หน่วยงานรับผิดชอบตามภารกิจและโครงสร้างภายใน สศก. คณะ/เจ้าหน้าที่ คุ้มครองข้อมูลส่วน บุคคล (ตามกรณีที่มอบหมาย) คณะ/เจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล สามารถใช้อํานาจตามมอบหมายดําเนินการใด ๆ อัน เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลได้ เช่น ● ตรวจสอบการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล ของ สศก. ● ให้คําแนะนําหรือเสนอให้หน่วยงานดําเนินการแก้ไข เหตุความไม่สอดคล้องหรือข้อสังเกตด้าน การคุ้มครองข้อมูลส่วนบุคคล ● ตรวจทานการเปิดเผยข้อมูลส่วนบุคคลที่พ้นวิสัยของการทํางานตามภารกิจปกติของหน่วย งาน ● ประสานงานหน่วยงานภายนอกและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ● รักษาความลับของข่าวสารราชการส่วนบุคคลที่อยู่ในการกํากับดูแลของตน โครงสร้างบุคลากร คุณสมบัติ และหน้าที่ โครงสร้างบุคลากร คุณสมบัติ และหน้าที่ 54

โครงสร้างบุคลากร คุณสมบัติ และหน้าที่ โครงสร้างบุคลากร คุณสมบัติ และหน้าที่ ระดับคุณสมบัติ บทบาทหน้าที่ความรับผิดชอบ ศูนย์ปฏิบัติการด้านความมั่นคง ปลอดภัยไซเบอร์ ศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์สามารถรับมือและแก้ไขเหตุภัยคุกคาม ประกอบด้วยบุคลากรที่มีค วามรู้และทักษะในการรับมือเหตุภัยคุกคามไซเบอร์ ให้ความช่วยเหลือหน่วยงานในการฟื้ นตัวจากผลกระทบของภัย คุกคามทางไซเบอร์ที่เกิดขึ้น สามารถจําแนกหน้าที่ออกเป็นกลุ่มดังนี้ หน้าที่เชิงแก้ไข (Correction) ● รับเรื่องทั้งเหตุการณ์และอุบัติการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ ● วิเคราะห์ปัญหา สาเหตุ และแนวทางการแก้ไขทั้งชั่วคราวและถาวร ● รวบรวมหลักฐาน ข้อมูล และพยาน (ถ้ามี) เพื่อดําเนินการตามกฎหมาย (แล้วแต่กรณี) ● ดําเนินการแก้ไขสถานกาณ์ บรรเทาผลกระทบที่เกิดขึ้น ● รายงานปัญหาและติดต่อประสานงานหน่วยงานที่เกี่ยวข้อง หน้าที่เชิงตรวจจับและเฝ้าระวัง (Detection and Monitoring) ● เฝ้าระวังเหตุการณ์ผิดปกติที่เกิดขึ้นจากระบบสารสนเทศและเครือข่าย ● ตรวจทานและวิเคราะห์บันทึกข้อมูลทางคอมพิวเตอร์ (Log) ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ อาทิ traffic log, system log ● ตรวจทานมาตรการด้านความมั่นคงปลอดภัยไซเบอร์และความเสี่ยงอย่างสมํ่าเสมอ ● ติดตามข่าวสารและการติดต่อจากหน่วยงานที่เกี่ยวข้องและกลุ่มหน่วยงานที่สนับสนุนด้านการรักษาความ มั่นคงปลอดภัยไซเบอร์ อาทิ ETDA ● จัดหาให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ ทั้งจากผู้ตรวจสอบภายใน และภายนอก หน้าที่เชิงป้องกัน (Prevention) ● ปฏิบัติตามมาตรการเชิงป้องกันอย่างเคร่งครัด เช่น การสํารองข้อมูลสารสนเทศ ติดตั้งโปรแกรม Anti-Virus ● ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และการรายงานผลไปยังหน่วยงานที่เกี่ยวข้อง ● อบรมสร้างความรู้ความตระหนักทราบให้เจ้าหน้าที่ของ สศก. เป็นประจําและเหมาะสม ● ปฏิบัติตามหน้าที่อื่น ๆที่ได้รับมอบหมายจากผู้บังคับบัญชาตามสายงาน 55

โครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ 56

โครงสร้างพื้นฐานสําคัญทางสารสนเทศ ๘ ทั้งด้าน ๑. ด้านความมั่นคงของรัฐ ๒. ด้านบริการภาครัฐที่สําคัญ ๓. ด้านการเงินการธนาคาร ๔. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ๕.ด้านการขนส่งและโลจิสติกส์ ๖. ด้านพลังงานและสาธารณูปโภค ๗. ด้านสาธารณสุข ๘. ด้านอื่นตามที่คณะกรรมการประกาศกําหนดเพิ่มเติม ● ให้คณะกรรมการมีอํานาจประกาศกําหนดลักษณะ หน้าที่และความรับผิดชอบ ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สําหรับ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศตามมาตรา ๔๙ เพื่อ ประสานงาน เฝ้าระวัง รับมือ และแก้ไขภัยคุกคามทางไซเบอร์โดยจะกําหนดให้ หน่วยงานของรัฐที่มีความพร้อม หรือหน่วยงานควบคุม หรือกํากับดูแลหน่วย งานโครงสร้างพื้นฐานสําคัญทางสารสนเทศนั้น ๆ ทําหน้าที่ดังกล่าวให้แก่ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศตามมาตรา ๔๙ ทั้งหมด หรือบางส่วนก็ได้ ● ให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศแจ้งรายชื่อและข้อมูล การติดต่อของเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ ดูแลระบบคอมพิวเตอร์ไปยังสํานักงาน หน่วยงานควบคุมหรือกํากับ ดูแลของตน และศูนย์ประสานงานการรักษาความมั่นคงปลอดภัย ที่ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศนั้นอยู่ภายใต้สังกัดหรือภาย ใต้การดูแลของศูนย์ประสานงานดังกล่าว ● ให้หน่วยงานควบคุมหรือกํากับดูแลตรวจสอบมาตรฐานขั้นตํ่าเรื่องความ มั่นคงปลอดภัยไซเบอร์ (กล่าวคือ ประมวลแนวทางปฏิบัติและกรอบ มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์) ของหน่วย งานโครงสร้างพื้นฐานสําคัญทางสารสนเทศที่อยู่ภายใต้การกํากับ ควบคุมดูแลของตน หากพบว่ายังไม่ได้มาตรฐาน ให้หน่วยงานควบคุมหรือ กํากับดูแลนั้นรีบแจ้งให้หน่วยงานโครงสร้างพื้นฐานดังกล่าวรีบดําเนินการ แก้ไขโดยเร็ว ● หากหน่วยงานโครงสร้างพื้นฐานดังกล่าวเพิกเฉยหรือไม่ดําเนินการให้แล้ว เสร็จภายในระยะเวลาที่กําหนดไว้ ให้หน่วยงานควบคุมหรือกํากับดูแลส่งเรื่อง ให้คณะกรรมการกํากับดูแลพิจารณาโดยเร็ว เพื่อใช้อานาจในการสั่งการให้ ดําเนินการโดยเร็ว มาตรา ๔๘ โครงสร้างพื้นฐานสําคัญทางสารสนเทศเป็นกิจการที่มีความ สําคัญต่อความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทาง เศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ และเป็นหน้าที่ของ สํานักงานในการสนับสนุนและให้ความช่วยเหลือในการป้องกัน รับมือ และ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซ เบอร์ที่กระทบหรือเกิดแก่โครงสร้างพื้นฐานสําคัญทางสารสนเทศ Critical Information Infrastructure 57

● หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศต้องจัดให้มีการ ประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้ง ต้องจัดให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจ สอบด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งอาจดําเนินการโดยผู้ ตรวจสอบภายในหรือโดยผู้ตรวจสอบอิสระภายนอกก็ได้ อย่างน้อยปีละ หนึ่งครั้ง ให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศจัดส่ง ผลสรุปรายงานการดําเนินการต่อสํานักงานภายในสามสิบวันนับแต่วัน ที่ดําเนินการแล้วเสร็จ ● หากการดําเนินการประเมินความเสี่ยงและการตรวจสอบด้านความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ ไม่ได้ มาตรฐานตามที่ต้องการ คณะกรรมการกํากับดูแลมีอานาจสั่งการให้ดําเนิน การแก้ไขใหม่ได้ ● หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ต้องกําหนดให้มีกลไกหรือ ขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับโครงสร้าง พื้นฐานสําคัญทางสารสนเทศของตนเอง และต้องเข้าร่วมซ้อมความพร้อมใน การรับมือกับภัยคุกคามทางไซเบอร์ที่สํานักงานจัดขึ้น ● เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสําคัญต่อระบบของหน่วย งานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ให้หน่วยงานนั้นรายงานต่อ สํานักงานและหน่วยงานควบคุมหรือกํากับดูแลของตนเอง และปฏิบัติการ รับมือกับภัยคุกคามทางไซเบอร์นั้นตามที่กําหนดในหัวข้อการรับมือกับภัย คุกคามทางไซเบอร์ Critical Information Infrastructure มาตรา ๔๙ ให้คณะกรรมการมีอํานาจประกาศกําหนด ลักษณะหน่วยงานที่มีภารกิจหรือให้บริการในด้านดังต่อ ไปนี้ เป็นหน่วยงานโครงสร้างพื้นฐานสําคัญทาง สารสนเทศ 58 โครงสร้างพื้นฐานสําคัญทางสารสนเทศ ๘ ทั้งด้าน ๑. ด้านความมั่นคงของรัฐ ๒. ด้านบริการภาครัฐที่สําคัญ ๓. ด้านการเงินการธนาคาร ๔. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ๕.ด้านการขนส่งและโลจิสติกส์ ๖. ด้านพลังงานและสาธารณูปโภค ๗. ด้านสาธารณสุข ๘. ด้านอื่นตามที่คณะกรรมการประกาศกําหนดเพิ่มเติม

การกําหนดแนวทางการรักษา ความมั่นคงปลอดภัยไซเบอร์ 59

● ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศ ซึ่งอยู่ในความดูแลรับผิดชอบของหน่วย งานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศใด ให้หน่วยงานนั้นดําเนินการตรวจสอบข้อมูลที่ เกี่ยวข้อง ข้อมูลคอมพิวเตอร์ และระบบคอมพิวเตอร์ของหน่วยงานนั้น เพื่อประเมินว่ามีภัยคุกคามทางไซเบอร์เกิด ขึ้นหรือไม่ ● หากเกิดหรือคาดว่าจะเกิด ให้ดําเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ตามประมวล แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของตนเอง และแจ้งไปยังสํานักงาน และหน่วยงานควบคุมหรือกํากับดูแลของตนเองโดยเร็ว ● เมื่อหน่วยงานควบคุมหรือกากับดูแลทราบเหตุหรือได้รับแจ้งเหตุภัยคุกคามทางไซเบอร์ ให้หน่วยงานควบคุมหรือ กํากับดูแล ร่วมกับศูนย์ประสานงานการรักษาความมั่นคงปลอดภัย ดําเนินการรวบรวมข้อมูล ตรวจสอบวิเคราะห์ สถานการณ์ และประเมินผลกระทบของเหตุที่เกิดขึ้น ● หน่วยงานควบคุมหรือกํากับดูแลต้องสนับสนุนและให้ความช่วยเหลือแก่หน่วยงานที่อยู่ภายใต้การควบคุมหรือกา กับดูแลของตนเองและให้ความร่วมมือและประสานงานกับสํานักงานในการบริหารจัดการภัยคุกคามทางไซเบอร์นั้น ● หน่วยงานควบคุมหรือกํากับดูแลต้องแจ้งเตือนหน่วยงานอื่นๆ ที่อยู่ภายใต้การควบคุมหรือกํากับดูแลของตนเองให้ ได้รับทราบ ตลอดจนแจ้งเตือนไปยังหน่วยงานอื่นๆ ที่เกี่ยวข้อง การรับมือกับภัยคุกคามทางไซเบอร์ (โดยสรุป) Cybersecurity Act BE ๒๕๖๒ 60

การแบ่งระดับภัยคุกคามทางไซเบอร์ (ม. ๖๐) ระดับวิกฤติ ภัยคุกคามทางไซเบอร์ในระดับ วิกฤติ ที่มีลักษณะ ล้มเหลวทั้งระบบ จนรัฐไม่สามารถควบคุมการ ทํางานจาก ส่วนกลางของระบบ คอมพิวเตอร์ของรัฐได้ หรือ ทําให้ประเทศหรือส่วนใดส่วนหนึ่งข องประเทศตกอยู่ในภาวะคับขัน ระดับไม่ร้ายแรง ภัยคุกคามทางไซเบอร์ในระดับที่ ทําให้ระบบคอมพิวเตอร์ของหน่ว ยงานโครงสร้างพื้นฐานสําคัญข อง ประเทศ หรือการให้บริการ ของรัฐ ด้อยประสิทธิภาพลง ระดับร้ายแรง ภัยคุกคามทางไซเบอร์ในระดับที่มี การโจมตีระบบคอมพิวเตอร์ หรือ ข้อมูลคอมพิวเตอร์ โดยมุ่งหมาย เพื่อ โจมตีและการโจมตีดังกล่าวมี ผล ทําให้ระบบคอมพิวเตอร์หรือโครงส ร้างสําคัญทางสารสนเทศ ที่ เกี่ยวข้องกับการให้บริการของ โครงสร้างพื้นฐานสําคัญของ ประเทศ เสียหายจนไม่ Cybersecurity Act BE ๒๕๖๒ สามารถทํางานหรือให้บริการได้ 61

แนวทางการการรับมือกับภัย คุกคามทางไซเบอร์ 62

รายงาน การปฎิบัติของหน่วยงาน ต่างๆ เมื่อเกิดเหตุการณ์ไซ เบอร์ หน่วยงานควบคุมและกํากับดูแล หน่วยงาน A ศูนย์ประสานงานการรักษาความ มั่นคงปลอดภัยของตนเอง หน่วยงาน B หน่วยงาน ... หน่วยงาน X ศูนย์ประสานการรักษาความมั่นคง ปลอดภัยระบบคอมพิวเตอร์แห่งชาติ สํานักงานคณะกรรมการไซเบอร์ คณะกรรมการกํากับดูแล คณะกรรมการไซเบอร์ กํากับดูแล รายงาน กํากับดูแล รายงาน เกิดเหตุการณ์ ความมั่นคงไซเบอร์ กํากับดูแล กํากับดูแล กํากับดูแล ดัดแปลงมาจาก Tnet security Cybersecurity Act BE ๒๕๖๒ 63

ในกรณีที่เกิดภัยคุกคามทางไซเบอร์หรือคาดว่าจะเกิด มาตรา ๖๑ เมื่อปรากฏแก่ กกม. ว่าเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ให้ กกม. ออกคําสั่งให้สํานักงานดําเนินการ ดังต่อไปนี้ (๑) รวบรวมข้อมูล หรือพยานเอกสาร พยานบุคคล พยานวัตถุที่เกี่ยวข้องเพื่อวิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ (๒) สนับสนุน ให้ความช่วยเหลือ และเข้าร่วมในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เกิดขึ้น (๓) ดําเนินการป้องกันเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกิดจากภัยคุกคามทางไซเบอร์ เสนอแนะหรือสั่งการให้ใช้ระบบที่ใช้แก้ปัญหาเพื่อ รักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึงการหาแนวทางตอบโต้หรือการแก้ไขปัญหาเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ (๔) สนับสนุน ให้สํานักงาน และหน่วยงานที่เกี่ยวข้องทั้งภาครัฐและเอกชน ให้ความช่วยเหลือและเข้าร่วมในการป้องกัน รับมือ และลดความเสี่ยงจากภัย คุกคามทางไซเบอร์ที่เกิดขึ้น (๕) แจ้งเตือนภัยคุกคามทางไซเบอร์ให้ทราบโดยทั่วกัน ทั้งนี้ ตามความจําเป็นและเหมาะสมโดยคํานึงถึงสถานการณ์ ความร้ายแรง และผลกระทบจากภัย คุกคามทางไซเบอร์นั้น (๖) ให้ความสะดวกในการประสานงานระหว่างหน่วยงานของรัฐที่เกี่ยวข้องและหน่วยงานเอกชน เพื่อจัดการความเสี่ยงและเหตุการณ์ที่เกี่ยวกับความมั่นคง ปลอดภัยไซเบอร์ มาตรา ๖๒ ในการดําเนินการตามมาตรา ๖๑ เพื่อประโยชน์ในการวิเคราะห์สถานการณ์และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการสั่งให้ พนักงานเจ้าหน้าที่ดําเนินการ ดังต่อไปนี้ (๑) มีหนังสือขอความร่วมมือจากบุคคลที่เกี่ยวข้องเพื่อมาให้ข้อมูลภายในระยะเวลาที่เหมาะสมและตามสถานที่ที่กําหนด หรือให้ข้อมูลเป็นหนังสือเกี่ยวกับภัย คุกคามทางไซเบอร์ (๒) มีหนังสือขอข้อมูล เอกสาร หรือสําเนาข้อมูลหรือเอกสารซึ่งอยู่ในความครอบครองของผู้อื่นอันเป็นประโยชน์แก่การดําเนินการ (๓) สอบถามบุคคลผู้มีความรู้ความเข้าใจเกี่ยวกับข้อเท็จจริงและสถานการณ์ที่มีความเกี่ยวพันกับภัยคุกคามทางไซเบอร์ (๔) เข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้อง โดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น ผู้ให้ข้อมูลตามวรรคหนึ่ง ซึ่งกระทําโดยสุจริตย่อมได้รับการคุ้มครอง และไม่ถือว่าเป็นการละเมิดหรือผิดสัญญา Cybersecurity Act BE ๒๕๖๒ 64

มาตรา ๖๓ ในกรณีที่มีความจําเป็นเพื่อการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้ กกม. มีคําสั่งให้ หน่วยงานของรัฐให้ข้อมูล สนับสนุนบุคลากรในสังกัด หรือใช้เครื่องมือทางอิเล็กทรอนิกส์ที่อยู่ในความครอบครองที่เกี่ยวกับ การรักษาความมั่นคงปลอดภัยไซเบอร์ กกม. ต้องดูแลมิให้มีการใช้ข้อมูลที่ได้มาตามวรรคหนึ่งในลักษณะที่อาจก่อให้เกิดความเสียหายและให้ กกม. รับผิดชอบ ในค่าตอบแทนบุคลากร ค่ใช้จ่ายหรือความเสียหายที่เกิดขึ้นจากการใช้เครื่องมือทางอิเล็กทรอนิกส์ดังกล่าว ให้นําความในวรรคหนึ่งและรรคสองมาใช้บังคับในการร้องขอต่อเอกชนโดยความยินยอมของเอกชนนั้นด้วย มาตรา ๖๔ ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ซึ่งอยู่ในระดับร้ายแรงให้ กกม. ดําเนินการป้องกัน รับมือ และ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์และดําเนินมาตรการที่จําเป็น ในการดําเนินการตามวรรคหนึ่ง ให้ กกม. มีหนังสือถึงหน่วยงานของรัฐที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัย ไซเบอร์ให้กระทําการหรือระงับการดําเนินการใด ๆ เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่าง เหมาะสมและมีประสิทธิภาพตามแนวทางที่ กกม. กําหนดรวมทั้งร่วมกันบูรณาการในการดําเนินการเพื่อควบคุม ระงับ หรือ บรรเทาผลที่เกิดจากภัยคุกคามทางไซเบอร์นั้นได้อย่างทันท่วงที ให้เลขาธิการรายงานการดําเนินการตามมาตรานี้ต่อ กกม. อย่างต่อเนื่อง และเมื่อภัยคุกคามทางไซเบอร์ดังกล่าวสิ้นสุด ลง ให้รายงานผลการดําเนินการต่อ กกม. โดยเร็ว ในกรณีที่เกิดภัยคุกคามทางไซเบอร์หรือคาดว่าจะเกิด Cybersecurity Act BE ๒๕๖๒ 65

มาตรา ๖๕ ในการรับมือและบรรเทาความเสียหายจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กกม. มีอํานาจออกคําสั่งเฉพาะเท่าที่จําเป็นเพื่อ ป้องกันภัยคุกคามทางไซเบอร์ให้บุคคลผู้เป็นเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือผู้ดูแลระบบ คอมพิวเตอร์ซึ่งมีเหตุอันเชื่อได้ว่าเป็นผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ดําเนินการ ดังต่อ ไปนี้ (๑) เฝ้าระวังคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในช่วงระยะเวลาใดระยะเวลาหนึ่ง (๒) ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อหาข้อบกพร่องที่กระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ วิเคราะห์ สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ (๓) ดําเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์เพื่อจัดการข้อบกพร่องหรือกําจัดชุดคําสั่งไม่พึงประสงค์ หรือระงับบรรเทาภัย คุกคามทางไซเบอร์ที่ดําเนินการอยู่ (๔)รักษาสถานะของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ด้วยวิธีการใด ๆ เพื่อดําเนินการทางนิติวิทยาศาสตร์ทางคอมพิวเตอร์ (๕) เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่เกี่ยวข้องเฉพาะเท่าที่จําเป็น เพื่อป้องกันภัยคุกคามทางไซเบอร์ ในกรณีมีเหตุจําเป็นที่ต้องเข้าถึงข้อมูลตาม (๕) ให้ กกม. มอบหมายให้เลขาธิการยื่นคําร้องต่อศาลที่มีเขตอํานาจเพื่อมีคําสั่งให้ เจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือผู้ดูแลระบบคอมพิวเตอร์ตามวรรคหนึ่งดําเนินการตามคําร้อง ทั้งนี้ คําร้องที่ยื่นต่อศาลต้องระบุเหตุอันควรเชื่อได้ว่าบุคคลใดบุคคลหนึ่งกําลังกระทําหรือจะกระทําการอย่างใดอย่างหนึ่งที่ก่อให้เกิดภัย คุกคามทางไซเบอร์ในระดับร้ายแรง ในการพิจารณาคําร้องให้ยื่นเป็นคําร้องต่สวนคําร้องฉุกเฉินและให้ศาลพิจารณาไต่สวนโดยเร็ว ในกรณีที่เกิดภัยคุกคามทางไซเบอร์หรือคาดว่าจะเกิด Cybersecurity Act BE ๒๕๖๒ 66

มาตรา ๖๖ ในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กกม. มีอํานาจปฏิบัติการหรือสั่ง ให้พนักงานเจ้าหน้าที่ปฏิบัติการเฉพาะเท่าที่จําเป็นเพื่อป้องกันภัยคุกคามทางไซเบอร์ในเรื่อง ดังต่อไปนี้ (๑) เข้าตรวจสอบสถานที่ โดยมีหนังสือแจ้งถึงเหตุอันสมควรไปยังเจ้าของหรือผู้ครอบครองสถานที่เพื่อเข้าตรวจสอบสถานที่ นั้น หากมีเหตุอันควรเชื่อได้ว่ามีคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบ จากภัยคุกคามทางไซเบอร์ (๒) เข้าถึงข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ทําสําเนา หรือสกัดคัดกรอง ข้อมูลสารสนเทศหรือโปรแกรมคอมพิวเตอร์ ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ (๓) ทดสอบการทํางานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัย คุกคามทางไซเบอร์ หรือถูกใช้เพื่อค้นหาข้อมูลใด ๆ ที่อยู่ภายในหรือใช้ประโยชน์จากคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น (๔) ยึดหรืออายัดคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรืออุปกรณ์ใด ๆ เฉพาะเท่าที่จําเป็นซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องกับภัย คุกคามทางไซเบอร์ เพื่อการตรวจสอบหรือวิเคราะห์ ทั้งนี้ ไม่เกินสามสิบวัน เมื่อครบกําหนดเวลาดังกล่าวให้ส่งคืนคอมพิวเตอร์ หรืออุปกรณ์ใด ๆ แก่เจ้าของกรรมสิทธิ์หรือผู้ครอบครองโดยทันทีหลังจากเสร็จสิ้นการตรวจสอบหรือวิเคราะห์ ในการดําเนินการตาม (๒) (๓) และ (๔) ให้ กกม. ยื่นคําร้องต่อศาลที่มีเขตอํานาจเพื่อมีคําสั่งให้พนักงานเจ้าหน้าที่ดําเนิน การตามคําร้อง ทั้งนี้ คําร้องต้องระบุเหตุอันควรเชื่อได้ว่าบุคคลใดบุคคลหนึ่งกําลังกระทําหรือจะกระทําการอย่างใดอย่างหนึ่งที่ ก่อให้เกิดภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ในกรพิจรณาคําร้องให้ยื่นเป็นคําร้องไต่สวนคําร้องฉุกเฉินและให้ศาลพิจารณา ไต่สวนโดยเร็ว ในกรณีที่เกิดภัยคุกคามทางไซเบอร์หรือคาดว่าจะเกิด Cybersecurity Act BE ๒๕๖๒ 67

ให้เป็นหน้าที่และอํานาจของสภาความมั่นคงแห่งชาติ ในการดําเนินการรักษาความมั่นคง ปลอดภัยไซเบอร์ตามกฎหมายว่าด้วยสภาความมั่นคงแห่งชาติและกฎหมายอื่นที่เกี่ยวข้อง (ม.๖๗) ในกรณีที่เป็นเหตุจําเป็นเร่งด่วนและเป็นภัยคุกคามทางไซเบอร์ในระดับวิกฤติ คณะ กรรมการไซเบอร์อาจมอบหมายให้เลขาธิการมีอํานาจดําเนินการได้โดยทันทีเท่าที่จําเป็นเพื่อ ป้องกันและเยียวยาความเสียหายก่อนล่วงหน้าได้โดยไม่ต้องยื่นคําร้องต่อศาล แต่หลังจาก การดําเนินการดังกล่าว ให้แจ้งรายละเอียดการดําเนินการดังกล่าวต่อศาลที่มีเขตอํานาจให้ ทราบโดยเร็ว (ม.๖๘) ในกรณีที่เกิดภัยคุกคามทางไซเบอร์ในระดับวิกฤต Cybersecurity Act BE ๒๕๖๒ 68

บทกําหนดโทษ ตามพระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ 69

การกระทําผิด (ม.๗๐-๗๖) โทษจําคุก-ปรับ (ไม่เกิน) พนักงานเจ้าหน้าที่ เปิดเผย/ส่งมอบข้อมูลให้บุคคลใด ๓ ปี ๖ หมื่นบาท พนักงานเจ้าหน้าที่ ประมาทเป็นเหตุให้ผู้อื่นรู้ข้อมูล ๑ ปี ๒ หมื่นบาท ผู้ใด ล่วงรู้ข้อมูลจากเจ้าหน้าที่แล้วเปิดเผย ๒ ปี ๔ หมื่นบาท หน่วยงาน CII ไม่รายงานเหตุภัยคุกคาม ๒ แสนบาท ผู้ใด ไม่ปฎิบัติตามหนังสือเรียก ๑ แสนบาท ผู้ใด ไม่ปฎิบัติตามคําสั่งของ กกม. ไม่เฝ้าระวัง/ไม่ตรวจหาข้อบกพร่อง ไม่แก้ไข/ไม่หยุดใช้งานระบบ ขัดขวางคําสั่งตรวจสอบสถาณที่/เข้าถึงข้อมูล/ยึดเครื่อง ๓ แสนบาท + วันละ ๑หมื่นบาท ๑ ปี ๒ หมื่นบาท ๓ ปี ๖ หมื่นบาท บทกําหนดโทษ: ตามพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ Cybersecurity Act BE ๒๕๖๒ 70

การกระทําความผิดของนิติบุคคล มาตรา ๗๗ ในกรณีที่ผู้กระทําความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้า การกระทําความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทําของ กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดําเนินงานของ นิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทําการ และละเว้นไม่สั่งการหรือไม่กระทําการจนเป็นเหตุให้นิติบุคคลนั้นกระทําความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สําหรับความผิดนั้น ๆ ด้วย Cybersecurity Act BE ๒๕๖๒ 71

เครื่องมือ 72

สาระสาคัญของกฏหมายว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ที่ประกาศ ขึ้นนั้นคือ “ต้องการหาผู้กระทําความผิดมาลงโทษ” “Log File” หรือ Traffic Data ▪ “ข้อมูลจราจรทางคอมพิวเตอร์” ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ▪ ต้นทาง, ปลายทาง, เส้นทาง, เวลา, วันที่, ปริมาณ, ระยะเวลา, ชนิดของบริการ หรือ อื่นๆ การจัดเก็บ Log file ตาม พ.ร.บ.คอมพิวเตอร์ ๒๕๖๐ Log File 73

Log Management Design Log File 74

ผู้ดูแลระบบ : บุคคล หรือ กลุ่มบุคคล หรือเรียกว่า Administrator หน้าที่ : ดูแลรักษา ระบบเก็บข้อมูลจราจรทางคอมพิวเตอร์ สิทธิ : ไม่มีสิทธิ์ในการเข้าถึงข้อมูลจราจรคอมพิวเตอร ผู้ดูแลข้อมูล : ผู้ที่ได้รับมอบสิทธิ์จากองค์กร/หน่วยงานในการเข้าถึงข้อมูลจราจรคอมพิวเตอร์ หน้าที่ : เข้าถึงข้อมูลในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ วิเคราะห์ ตรวจสอบข้อมูล ออกรายงานผลการจัดเก็บ บันทึกข้อมูลจราจร สิทธิ์ : เข้าถึงข้อมูล แต่ไม่สามารถแก้ไข เปลี่ยนแปลง ลบ หรือ ทําลายข้อมูล เจ้าหน้าที่พนักงาน : ผู้ที่ได้รับการแต่งตั้งตามกฎหมายให้มีหน้าที่ในการตรวจสอบข้อมูลจราจรคอมพิวเตอร์ ปกติพนักงานเจ้าหน้าที่ จะติดต่อประสานงานกับผู้ดูแลข้อมูลขององค์กรเฉพาะ เมื่อเกิดกรณีที่สงสัยว่ามีการกระทํา ผิดกฎหมายและเกี่ยวข้องกับองค์กรนั้นๆ สิทธิ์ : เข้าถึงข้อมูล เพื่อน ไปสู่กระบวนการตรวจสอบตามกฎหมาย ผู้กู้ข้อมูล : เพื่อเข้ามาปรับค่าหรือแก้ไข เพื่อให้ระบบกลับมาใช้งานอย่างปกติเป็นการแก้ไขค่าสําหรับผู้ผลิต สิทธิ : สามารถการเข้าถึงข้อมูล สามารถลบข้อมูล และคืนค่าให้กับมาใช้งานปกติ แต่ไม่สามารถเปิดอ่านข้อมูล สิทธิการเข้าถึงระบบ Log File 75

● ระบุ ใคร, ทําอะไร, ที่ไหน, เมื่อไหร่ และ อย่างไร ○ Data Archive ● มีหลักห่วงโซ่ของเหตุการณ์ ○ Chain of Event ● หลักฐานมีความน่าเชื่อถือ ○ “Data Hashing” ● มีหลักการรักษาข้อมูล ○ Chain of Custody Log File ที่ดี Log File 76

เทคโนโลยีและเครื่องมือ Package Capture tcpdump is a data-network packet analyzer computer program that runs under a command line interface. It allows the user to display TCP/IP and other packets being transmitted or received over a network to which the computer is attached. Snort is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and approximately ๓๐๐,๐๐๐ registered users, Snort has become the de facto standard for IPS. Attack Detection Technology and Tools 77

เทคโนโลยีและเครื่องมือ Traffic Inspection A free network protocol analyzer for Unix and Windows. It allows you to examine data from a live network or from a capture file on disk. You can interactively browse the capture data, viewing summary and detail information for each packet. Wireshark has several powerful features, including a rich display filter language and the ability to view the reconstructed stream of a TCP session. Technology and Tools 78

เทคโนโลยีและเครื่องมือ Log analysis tools As more and more companies move to the cloud, log analytics, log analysis, and log management tools and services are becoming more critical. DevOps engineers, system administrators, site reliability engineers, and web developers can all use logs to make better data-driven decisions. Technology and Tools 79

Workshop 80

กระบวนการรองรับอุบัติการณ์ด้านไซเบอร์ จําลองเหตุกาณ์การเกิดอุบัติการณ์ด้านไซเบอร์ดังต่อไปนี้ ให้ผู้เข้าร่วมอบรมประเมินความพร้อมและบอกกระบวนการ รับมือ “เช้าวันหนึ่ง เมื่อท่านพร้อมสําหรับการทํางานในเช้าวันใหม่ (เหมือนดั่งทุกๆวัน) แต่ท่านกลับได้รับสายโทรศัพท์จากเพื่อน ร่วมงานฝ่ายไอที ด้วยเสียงสั่นครอน “ระบบเราโดนโจมตี ตอนนี้ข้อมูลเกษตรกรถูกเผยแพร่บนเวปไซต์และสื่อออนไลน์” ท่านรีบเปิดสื่อสังคม พบว่ามีการร้องเรียนและฟ้องร้องความเสียหายที่เกิดขึ้น ทั้งการฟ้องร้องให้หน่วยงานรับผิดเหตุ ละเมิด และการร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคณะกรรมการกับดูแลความมั่นคงปลอด อภัยไซเบอร์ คุณพระ! เคราะห์ซํ้ากรรมซ้อน เพื่อนสาวอีกแผนกงานส่งไลน์ด่วนแจ้งถึงอาการไวรัสเรียกค่าไถ่ (Ransomware) เข้ารหัส ไฟล์สําคัญของแผนกงานต่าง ๆ รวมถึงแนวทางการแก้ไขระบบที่เพิ่งถูกโจมตี ทําให้การเยียวยาผู้เสียหายไม่สามารถ กระทําการใด เหตุเนื่องจากการขาดเอกสารประกอบการตั้งค่าระบบ ต่อมาไม่นาน หลังจากที่ท่านเหนื่อยหอบจากการ เร่งรีบเดินทางมาถึงสํานักงานฯ ท่านพบว่าปัญหาทวีความร้ายแรงขึ้นเมื่อไวรัสตัวดีได้เข้าถึงระบบสารสนเทศสําคัญของ กรมส่งเสริมการเกษตร ผู้เป็นโครงสร้างพื้นฐานสําคัญของประเทศไทยที่เชื่อมต่อเครือข่ายกับสํานักงานฯ และมีแนวโน้ม ถึงการรุกลามไปยังหน่วยงานอื่น ๆ ของรัฐ ผู้บริหารระดับสูงสั่งประชุมหารือเร่งด่วนผู้ที่เกี่ยวข้องทุกฝ่ายถึงปัญหาและแนวทางการรับมือเหตุการณ์ และท่านอยู่ในที่ ประชุมและพร้อมทําทุกอย่างเพื่อการกอบกู้สถานการณ์ในฐานะ … - นิติกร ผู้เชี่ยวชาญด้านกฎหมายที่เกี่ยวข้อง - นักการคอมพิวเตอร์ ผู้ดูแลระบบเครือข่ายและระบบสารสนเทศ - ประธานคณะทํางานด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ - เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ประจําสํานักงานเศรษฐกิจการเกษตร ท่านจะทําอย่างไร?” Workshop 81

Thank you… พุทธคุณ สกุลอึ้ง ที่ปรึกษา ประสบการณ์การเป็นที่ปรึกษาองค์กร - สถาปัตยกรรมองค์กร - ธรรมาภิบาลข้อมูล - ระบบบริหารความมั่นคงปลอดภัยสารสนเทศและ การคุ้มครองข้อมูลส่วนบุคคล - การบริหารจัดการความเสี่ยง - ระบบบริหารจัดการความต่อเนื่องทางธุรกิจ - ระบบงานประกันคุณภาพ งานวิจัย - ปัญญาประดิษฐ์และนวัตรกรรม - นวัตกรรม IoT แบบบูรณาการ: Smart City, Government, Farming, Factory, Home. - การพัฒนามาตรฐานการศึกษาไทย 82