สรุปหน้าที่ของข้าราชการและพนักงาน ต่อกฎหมายรักษาความมั่นคงไซเบอร์
บทนำ: เพราะความผิดพลาดเล็กน้อย อาจกลายเป็นความเสียหายระดับประเทศ
ข้อมูลภาครัฐและหน่วยงานสำคัญของประเทศจำนวนมากถูกเก็บและประมวลผลในระบบดิจิทัล การรั่วไหลหรือถูกโจมตีเพียงครั้งเดียวอาจกระทบทั้งความเชื่อมั่น เศรษฐกิจ และความปลอดภัยของประชาชน กฎหมายที่เข้ามากำกับดูแลด้านนี้คือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งไม่ได้เป็นเรื่องของฝ่าย IT เท่านั้น แต่เกี่ยวข้องกับข้าราชการและพนักงานทุกคนที่ใช้งานระบบสารสนเทศของหน่วยงาน
บทความนี้สรุปหน้าที่เชิงปฏิบัติที่ข้าราชการและพนักงานควรรู้ เพื่อปฏิบัติตามกฎหมายอย่างถูกต้อง ลดความเสี่ยงจากภัยไซเบอร์ และรองรับการตรวจสอบด้าน Compliance ได้อย่างมั่นใจ
ใจความสำคัญ: ความมั่นคงไซเบอร์เริ่มต้นจาก “พฤติกรรมของคน” ไม่ใช่แค่ “ระบบขององค์กร”
ทำความเข้าใจกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ แบบไม่ซับซ้อน
สาระหลักของกฎหมายที่เกี่ยวข้องกับเจ้าหน้าที่และพนักงาน
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ มีเป้าหมายเพื่อป้องกัน รับมือ และลดความเสียหายจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐ บริการสาธารณะ และระบบโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure – CII) เช่น พลังงาน การเงิน การสื่อสาร ขนส่ง สาธารณสุข และบริการภาครัฐ
สำหรับข้าราชการและพนักงาน สิ่งที่ต้องเข้าใจคือกฎหมายฉบับนี้:
- กำหนดให้หน่วยงานต้องมีมาตรการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ชัดเจน
- เปิดช่องให้มี “การตรวจสอบ” และ “การขอข้อมูล” จากหน่วยงานรัฐที่รับผิดชอบด้านไซเบอร์
- ให้ความสำคัญอย่างมากกับ “การป้องกันเชิงรุก” และ “การรายงานเหตุผิดปกติ”
เหตุผลที่พนักงานทั่วไปต้องให้ความสำคัญ
- การคลิกลิงก์ผิดเพียงครั้งเดียวอาจเปิดช่องให้มัลแวร์หรือแรนซัมแวร์เข้าระบบองค์กร
- การใช้รหัสผ่านซ้ำระหว่างระบบส่วนตัวและระบบงาน อาจทำให้ข้อมูลภายในถูกเจาะจากภายนอก
- การส่งข้อมูลราชการผ่านช่องทางที่ไม่ปลอดภัย (เช่น แอปแชทส่วนตัว) เพิ่มโอกาสรั่วไหลโดยไม่รู้ตัว
หน้าที่หลักของข้าราชการและพนักงาน ภายใต้ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์
1) ปฏิบัติตามนโยบายและมาตรการด้านความมั่นคงไซเบอร์ของหน่วยงาน
หน่วยงานส่วนใหญ่จะมี “ระเบียบ/แนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ” ซึ่งต้องปรับให้สอดคล้องกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หน้าที่ของข้าราชการและพนักงานคือ:
- อ่านและทำความเข้าใจระเบียบด้านความมั่นคงไซเบอร์ของหน่วยงานอย่างสม่ำเสมอ
- เข้าร่วมการอบรมหรือทดสอบความรู้ด้าน Cybersecurity Awareness ตามที่หน่วยงานกำหนด
- ปฏิบัติตามขั้นตอนการใช้ระบบสารสนเทศ การขอสิทธิ์เข้าถึงข้อมูล และการอนุมัติการใช้งานระบบใหม่
- ไม่พยายาม “เลี่ยงระบบ” เช่น ใช้แฟลชไดรฟ์ส่วนตัว หรือส่งเอกสารงานผ่านอีเมลส่วนตัวโดยไม่ได้รับอนุญาต
2) ดูแลการใช้บัญชีผู้ใช้และการยืนยันตัวตนอย่างรอบคอบ
บัญชีผู้ใช้ (User Account) เปรียบเหมือน “กุญแจดิจิทัล” ที่ผูกกับสิทธิ์การเข้าถึงข้อมูลราชการ หากถูกขโมยไป ผู้ไม่หวังดีอาจเข้าถึงระบบได้ในนามของเจ้าหน้าที่ ดังนั้นจึงต้อง:
- ตั้งรหัสผ่านที่คาดเดายาก และไม่ใช้ข้อมูลส่วนตัวตรงๆ เช่น วันเกิด เลขบัตรประชาชน ชื่อเล่น
- เปลี่ยนรหัสผ่านตามรอบระยะเวลาที่หน่วยงานกำหนด และไม่ใช้รหัสผ่านเดียวกันทุกระบบ
- เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) เมื่อระบบรองรับ
- ล็อกหน้าจอทุกครั้งเมื่อเดินออกจากโต๊ะทำงาน หรือเมื่อต้องทิ้งอุปกรณ์ไว้โดยไม่มีการเฝ้าดู
- ไม่บอกรหัสผ่านให้เพื่อนร่วมงาน ผู้บังคับบัญชา หรือบุคคลภายนอก ไม่ว่าด้วยเหตุผลใด
3) ป้องกันและระมัดระวังการใช้งานอุปกรณ์และสื่อเก็บข้อมูล
ในหลายกรณี การรั่วไหลของข้อมูลไม่ได้เกิดจากแฮ็กเกอร์ระดับสูง แต่เกิดจากการ “ลืม” หรือ “สะเพร่า” ของผู้ใช้งานเอง ข้าราชการและพนักงานจึงควร:
- ใช้คอมพิวเตอร์ของหน่วยงานตามข้อกำหนด ไม่ติดตั้งโปรแกรมนอกเหนือจากที่ได้รับอนุญาต
- หลีกเลี่ยงการใช้แฟลชไดรฟ์หรือฮาร์ดดิสก์พกพาส่วนตัวกับเครื่องคอมพิวเตอร์ของหน่วยงาน
- เก็บรักษาโน้ตบุ๊ก แท็บเล็ต และสมาร์ตโฟนที่ใช้เชื่อมต่อระบบงานให้ปลอดภัยเสมอ
- เข้ารหัสข้อมูลสำคัญ (ถ้าระบบรองรับ) เมื่อจำเป็นต้องเคลื่อนย้ายข้อมูลออกนอกอาคาร
- ลบข้อมูลให้ถูกวิธีเมื่อต้องเลิกใช้อุปกรณ์ ไม่เพียงแค่ “ลบไฟล์” แต่ควรผ่านกระบวนการทำลายข้อมูลตามมาตรฐานที่หน่วยงานกำหนด
หน้าที่เมื่อเกิดเหตุหรือสงสัยว่ามีภัยคุกคามไซเบอร์
4) การแจ้งเหตุผิดปกติและเหตุการณ์ด้านความมั่นคงไซเบอร์
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้ความสำคัญอย่างมากกับ “การตรวจพบและรายงานเหตุ” อย่างรวดเร็ว เพราะยิ่งตรวจพบเร็ว โอกาสจำกัดความเสียหายยิ่งสูง หน้าที่ของข้าราชการและพนักงาน ได้แก่:
- แจ้งผู้ดูแลระบบ (IT/หน่วยงานด้านเทคโนโลยีขององค์กร) ทันที เมื่อพบสิ่งผิดปกติ เช่น เครื่องทำงานช้าผิดปกติ มีหน้าต่างแปลกๆ เด้งขึ้นมา หรือไฟล์ถูกเข้ารหัส
- ไม่ปกปิดเหตุการณ์จากความกลัวว่าจะถูกตำหนิ เพราะการชะลอการแจ้งอาจทำให้ความเสียหายขยายวงกว้าง
- ให้ข้อมูลข้อเท็จจริงอย่างครบถ้วน เช่น ก่อนหน้าที่เกิดเหตุได้คลิกอะไร เปิดไฟล์จากใคร ใช้อุปกรณ์ใดเชื่อมต่อ
- ปฏิบัติตามคำแนะนำของทีมรักษาความมั่นคงไซเบอร์ เช่น ถอดสาย LAN หรือปิดเครื่องทันทีเมื่อได้รับคำสั่ง
5) การเก็บรักษาหลักฐานดิจิทัล
เมื่อเกิดเหตุการณ์โจมตีไซเบอร์ หลักฐานต่างๆ เช่น Log File, Email, ไฟล์แนบ หรือภาพหน้าจอ มีความสำคัญต่อการสืบสวนและดำเนินการทางกฎหมาย ข้าราชการและพนักงานควร:
- ไม่ลบอีเมลหรือไฟล์ที่เกี่ยวข้องกับเหตุการณ์โจมตีไซเบอร์ ยกเว้นได้รับคำสั่งจากผู้รับผิดชอบ
- ถ่ายภาพหน้าจอ (Screenshot) หรือบันทึกเวลาที่เกิดเหตุ เพื่อเป็นข้อมูลประกอบ
- ส่งมอบหลักฐานให้เจ้าหน้าที่ที่ได้รับมอบหมายอย่างเป็นทางการ ไม่ส่งผ่านช่องทางส่วนตัวที่ไม่ได้เข้ารหัส
มุมมองด้าน Compliance: ความรับผิดชอบต่อหน่วยงานและต่อกฎหมาย
6) การให้ความร่วมมือในการตรวจสอบและประเมินความเสี่ยง
ภายใต้กรอบของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หน่วยงานอาจถูกตรวจสอบด้านความมั่นคงไซเบอร์จากหน่วยงานกำกับดูแลหรือคณะทำงานที่เกี่ยวข้อง หน้าที่ของข้าราชการและพนักงานคือ:
- ให้ความร่วมมือในการตอบแบบสอบถาม หรือแบบประเมินด้านความมั่นคงไซเบอร์
- อธิบายขั้นตอนการทำงานและการใช้ระบบสารสนเทศของตนอย่างตรงไปตรงมา
- หลีกเลี่ยงการเก็บข้อมูลสำคัญไว้ “นอกระบบ” เช่น เก็บไฟล์งานสำคัญไว้ใน Cloud ส่วนตัวโดยไม่ได้รับอนุญาต
- เคารพข้อกำหนดด้านการเข้าถึงข้อมูล (Access Control) แม้ว่าจะทำให้ขั้นตอนการทำงานดูช้าลงบ้าง
7) ความเชื่อมโยงกับกฎหมายและมาตรฐานอื่น
แม้โฟกัสหลักของบทความนี้คือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ แต่ในการทำงานจริง ข้าราชการและพนักงานยังต้องคำนึงถึงกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง เช่น:
- กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) เมื่อมีการประมวลผลข้อมูลประชาชน
- ระเบียบการรักษาความลับของทางราชการ เมื่อข้อมูลเกี่ยวข้องกับความมั่นคงของรัฐ
- ระเบียบว่าด้วยการใช้งานอีเมล วงจรสื่อสาร และระบบเครือข่ายของหน่วยงาน
การปฏิบัติงานให้สอดคล้องทั้งด้านไซเบอร์และด้านข้อมูลส่วนบุคคล ช่วยลดความเสี่ยงด้านกฎหมาย และสร้างความเชื่อมั่นให้กับประชาชนผู้รับบริการของภาครัฐ
แนวทางปฏิบัติที่แนะนำ เพื่อยกระดับความมั่นคงไซเบอร์ในชีวิตการทำงานประจำวัน
8) พฤติกรรมดิจิทัลที่ควรฝึกให้เป็นนิสัย
- ตรวจสอบที่อยู่อีเมลผู้ส่งและลิงก์ทุกครั้งก่อนคลิก โดยเฉพาะอีเมลที่เร่งรัดให้กรอกข้อมูลหรือดาวน์โหลดไฟล์
- สำรองข้อมูลงานสำคัญตามนโยบายหน่วยงาน แยกสำรองระหว่างระบบหลักและระบบสำรอง
- หลีกเลี่ยงการเชื่อมต่อ Wi-Fi สาธารณะเพื่อเข้าระบบราชการหรือระบบงานสำคัญ
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการตามรอบการอัปเดตด้านความปลอดภัยที่ฝ่าย IT กำหนด
- ไม่โพสต์ข้อมูลเกี่ยวกับโครงสร้างระบบงานภายใน หรือข้อมูลอ่อนไหวลงบนโซเชียลมีเดียส่วนตัว
9) บทบาทของหัวหน้าหน่วยงานและผู้บังคับบัญชา
นอกจากบุคลากรทั่วไปแล้ว หัวหน้าและผู้บังคับบัญชามีบทบาทสำคัญในการผลักดันให้การปฏิบัติตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นส่วนหนึ่งของวัฒนธรรมองค์กร เช่น:
- สนับสนุนเวลาและทรัพยากรให้บุคลากรเข้าร่วมการอบรมด้านความมั่นคงไซเบอร์
- เป็นตัวอย่างที่ดีในการปฏิบัติตามกฎเรื่องรหัสผ่าน การใช้ระบบ และการจัดการข้อมูล
- สื่อสารความสำคัญของความมั่นคงไซเบอร์ในที่ประชุมหรือช่องทางภายในหน่วยงานอย่างสม่ำเสมอ
- ประสานงานกับฝ่ายเทคนิคหรือผู้ให้บริการระบบ เพื่อพัฒนามาตรการรักษาความปลอดภัยให้ทันต่อภัยคุกคามรูปแบบใหม่
สรุปหน้าที่สำคัญที่ต้องยึดถือในระยะยาว
หน้าที่ของข้าราชการและพนักงานภายใต้กรอบของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ไม่ใช่เพียงการ “ทำตามกฎหมาย” แต่คือการร่วมกันป้องกันไม่ให้ระบบงานภาครัฐและโครงสร้างพื้นฐานสำคัญถูกโจมตีหรือนำไปใช้ในทางที่ผิด แนวทางเชิงปฏิบัติในบทความนี้สามารถปรับใช้ได้ทั้งในระดับหน่วยงานและระดับบุคคลในทุกวันทำงาน
📌 Checklist สั้นๆ ที่นำไปใช้ได้ทันที
– ทำความเข้าใจนโยบายและระเบียบด้านความมั่นคงไซเบอร์ของหน่วยงานให้ชัดเจน
– ใช้รหัสผ่านที่ปลอดภัย เปิดใช้ MFA และไม่แชร์บัญชีผู้ใช้กับผู้อื่น
– ระมัดระวังการเปิดอีเมล ลิงก์ และไฟล์แนบจากแหล่งที่ไม่แน่ชัด
– แจ้งเหตุผิดปกติด้านระบบหรือข้อมูลให้ฝ่ายรับผิดชอบทันทีที่พบ
– ให้ความร่วมมือในการตรวจสอบและประเมินความเสี่ยงด้านไซเบอร์ของหน่วยงาน
– ปรับพฤติกรรมดิจิทัลให้เป็นนิสัย ไม่เสี่ยงกับความปลอดภัยเพื่อความสะดวกเพียงชั่วคราว
หากเห็นว่าเนื้อหาเหล่านี้เป็นประโยชน์ ขอเชิญชวนท่านกลับมาติดตามความรู้ด้านความมั่นคงไซเบอร์และการจัดการระบบดิจิทัลอย่างปลอดภัยอย่างสม่ำเสมอ และกรุณาส่งต่อบทความนี้ให้เพื่อนร่วมงานหรือผู้ที่เกี่ยวข้อง เพื่อร่วมกันยกระดับความปลอดภัยไซเบอร์ในหน่วยงานและสังคมไทยอย่างยั่งยืน
