September 2015A Guideline and Recommendations

รายงานฉบบนเปนเอกสารไมมชนความลบ

เนองจากแหลงอางองทงหมด

เปนเอกสารเปดเผยตอสาธารณะ

ค าน า

การเชอมโยงประเทศตางๆ ในโลกดวยไซเบอรสเปซ (Cyber Space) มผลกระทบในดาน

ความมนคงในระดบนานาชาตมากขนเปนล าดบ จงท าใหประเทศตางๆ หนมาใหความสนใจในการ

วางยทธศาสตรความมนคงปลอดภยไซเบอรใหเปนยทธศาสตรระดบชาต เพอทจะสามารถใชระบบ

ไซเบอรในการขบเคลอนเศรษฐกจและสงคมใหเจรญกาวหนาดวยความเสยงทนอยทสด

ประเทศไทยเปนประเทศหนง ทมความเจรญกาวหนาทางดานเทคโนโลยสอสาร

โทรคมนาคม และมการใชงานเปนล าดบตนๆ ของประเทศในภมภาคอาเซยน จงปฏเสธไมไดวาม

ระดบความเสยงในระดบสงทระบบไซเบอรของประเทศจะถกโจมตและคกคามจนเกดความ

เสยหายตอความมนคงทางเศรษฐกจ และสงคมของประเทศ

รายงานฉบบนจดท าขนเพอเปนแนวทางในการพฒนายทธศาสตรความมนคงปลอดภยไซ

เบอรแหงชาต (National Cybersecurity Strategy) โดยผลของรายงานฉบบนไดมาจาก

การศกษา วจยและวเคราะห แนวทางการพฒนายทธศาสตรจากประเทศตางๆ ทวโลก โดยเอกสาร

เหลานนไมมชนความลบ เปนเอกสารเชงวชาการเพอใหผศกษาเอกสารฉบบนไดน าไปประยกตใช

ใหเหมาะสมกบสถานการณของประเทศและวฒนธรรมขององคกรตอไป

พ.อ.ดร.เศรษฐพงค มะลสวรรณ

ประธานกรรมการกจการโทรคมนาคม/

รองประธาน กสทช.

แนวทางการพฒนายทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต

(National Cybersecurity Strategy) พนเอก ดร.เศรษฐพงค มะลสวรรณ

ประธานกรรมการกจการโทรคมนาคม

รองประธาน กสทช.

ปจจบน ประชาคมนานาชาตมความกงวลดานความมนคงปลอดภยดานไซเบอรเปนอยาง

มาก เนองจากมแนวโนมการกอความไมสงบ และการกอการรายโดยใชชองทางไซเบอรสเปซ

(Cyber Space) เปนชองทางการปฏบตการ ดงนน รฐบาลในทกประเทศจงหนมาใหความส าคญใน

การวางยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาตขน ซงในปจจบนพบวาการด าเนนการโดย

ภาครฐฝายเดยวนนไมสามารถทจะลดความเสยงดานไซเบอรไดอกตอไป ความมนคงปลอดภยไซ

เบอรนนตองเปนการปฏบตการดวยความรวมมอจากฝายตางๆ ทงองคกรภาครฐ และเอกชนทม

หนาทรบผดชอบควบคม ดแลระบบโครงสรางพนฐานทขบเคลอนดวยระบบไซเบอรสเปซ

รายงานฉบบนมวตถประสงคเพอเปนแนวทางในการด าเนนการการวางยทธศาสตรดาน

ความมนคงปลอดภยไซเบอรแหงชาตจนไปถงการบรหารจดการในระดบองคกรทงแนวคดทางดาน

บรหารจดการและทางเทคนค โดยไดอธบายถงหลกการพนฐาน รวมทงขอเสนอแนะในการจดท า

ยทธศาสตรดงกลาวตอไป

1. โครงสรางพนฐานสารสนเทศ

จากผลการศกษาของสหภาพโทรคมนาคมระหวางประเทศ (ITU) ไดระบวา เทคโนโลย

สารสนเทศ และการสอสาร (ICTs) เปนตวขบเคลอนโครงสรางพนฐานทส าคญของประเทศตางๆ

ทวโลก เชน ระบบไฟฟา, โทรคมนาคม, การเงนการธนาคาร เปนตน ซงสามารถเรยกไดวาเปน

โครงสรางพนฐานสารสนเทศส าคญ (Critical Information Infrastructure: CII) หาก CII นนม

ความเปราะบางในเรองความนาเชอถอ และความมนใจในความปลอดภย อาจจะท าใหเกดผล

กระทบตอการด าเนนชวตประจ าวนของประชาชน ความมนคงทางการคา และความมนคงของชาต

ได จงท าใหความมนคงปลอดภยไซเบอรเปนประเดนทจะตองถกยกเปนประเดนในระดบ

ยทธศาสตรของชาตในทสด เพราะเนองจากผลกระทบเปนวงกวางมความซบซอน และมการ

เชอมโยงถงกนระหวาง CII จงท าใหยากตอการคาดการณผลลพธทจะเกดขนจากการคกคามทางไซ

เบอร จงมความจ าเปนอยางยงทรฐบาลจะตองมการด าเนนการโครงการ (Project) หรอ โปรแกรม

(Program) เพอเปนการปองกน ปกปองโครงสรางพนฐานส าคญ (CIIP) ตอไป

2. วตถประสงคของยทธศาสตรความมนคงปลอดภยไซเบอร

ผน าของประเทศทกประเทศควรจะมมมมองตอยทธศาสตรความมนคงปลอดภยไซเบอร

แหงชาต ไปในเชงสงเสรมสนบสนนคณคาทเกดขนจากการใชไซเบอรสเปซ ไมควรคดไปในเชง

อปสรรค เพราะระบบเครอขายสารสนเทศเปนเครองมอขบเคลอนหลกเศรษฐกจดจทลของ

ประเทศ ดงนน วตถประสงคของยทธศาสตรดงกลาว จะตองใหเกดผลวาจะท าอยางไรทประเทศ

จะสามารถใชระบบไซเบอรสเปซเพอสรางความมนคงทางเศรษฐกจและสงคมไดอยางตอเนอง ดวย

ความเสยงทนอยทสด และสรางความมนใจตอผใชประโยชนไดมากทสด

ปจจบน มการเสนอแนวคดทสามารถชวยผน าในระดบชาตเพอใชในการโนมนาวให

ผเกยวของใหเหนความส าคญของยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต ตลอดจนความ

รบผดชอบของผมสวนไดสวนเสย (Stakeholder) ซงรฐบาลควรเรมตนดวยหลกฐานสนบสนนทวา

ผทมสวนเกยวของทงหมดตองเขาใจวาการสนบสนนของ CII ตอการสงมอบบรการนนจ าเปน

ส าหรบชวตประจ าวนของประชาชน การคา และความมนคงของชาต แตผทมสวนเกยวของ อาจ

ขาดทกษะความรเกยวกบขนตอนทตองปฏบตเพอเพมความมนคงใหกบระบบทใชงานและควบคม

อย ผมสวนเกยวของทกภาคสวนอาจตองการความชวยเหลอเพอใหพวกเขาเขาใจบทบาทของ

ตนเองในการพฒนาความมนคงปลอดภยไซเบอร เพอทจะสงเสรมใหความมนคงของชาตโดยรวมม

ความมนคงปลอดภยอยางยงยนตอไป

3. หลกพนฐานส าหรบโครงสรางยทธศาสตร

ความมนคงปลอดภยไซเบอรแหงชาต เปนความทาทายอยางหนงในระดบโลก ดวยเหตน

การตอบรบความรวมมอจากหลายๆ ภาคสวน ทงภายในประเทศ และระหวางประเทศ จงเปน

หนทางปฏบตทดทสด เพอสรางความมนใจและความเชอมนจากประชาชนในการใช ICTs แต

เนองจากเราไมมรฐบาลกลางของโลก ดงนนความพยายามจากทวโลกในการลดความเสยงดานไซ

เบอรจงขนอยกบการปฏบตการระดบชาต ทจะตองมความรวมมอกนทงในภมภาค และระหวาง

ภมภาคในโลก

จากการเปดเสรทางการคาจงท าใหอตสาหกรรมโทรคมนาคมถกก ากบดแลดวยองคกร

อสระ โดยปราศจากการแทรกแซงจากรฐบาล แตก ไมไดหมายความวารฐบาลจะไมสามารถ

ควบคมดแล และก าหนดทศทางดานยทธศาสตรความมนคงปลอดภยไซเบอรในระดบชาตได

ในทางตรงกนขาม รฐจะตองวางกลยทธ กลไก และโครงการทจะท าใหเกดความมนใจ และ

คมครองปกปองทรพยสนของประชาชน รฐตองเปนผน าในความพยายามท จะก าหนดเปา

หมายความมนคงปลอดภยไซเบอรแหงชาต สรางโครงการหรอโปรแกรมส าหรบปกปองโครงสราง

สารสนเทศพนฐานส าคญของชาตอยางเปนระบบ เพอปกปองไซเบอรสเปซจากการคกคาม อกทง

มอบหมายหนาทรบผดชอบตอผทมหนาทและผมสวนไดสวนเสยดวยความเขาใจและเตมใจในการ

ใหความรวมมอ และปฏบตงาน รวมทงตองมการวเคราะหความเสยงและใหขอมลดานความเสยง

มาตรการปองกน และการรบมออยางมประสทธภาพ

ดงนน หลกพนฐานทส าคญเพอทจะท าใหยทธศาสตรความมนคงปลอดภยไซเบอร

แหงชาตบรรลผล คอ ตองไดรบความรวมมอจากทกสวนทเกยวของ และรฐจะตองมการควบคม

ปองกนระบบสอสารโทรคมนาคมอยในระดบทสามารถลดความเสยงของความมนคง และยง

สามารถด าเนนการการใชงานระบบสอสารโทรคมนาคมไดอยางตอเนอง

4. การสรางขดความสามารถทรพยากรบคคล

ขดความสามารถของบคลากร และสถาบนฝกอบรมดานความมนคงปลอดภยไซเบอรนน

มความส าคญอยางยงในการพฒนาการปกปองไซเบอรสเปซทมประสทธภาพ ถงแมวาการก าหนด

วสยทศน แนวทาง วธการ และเครองมอ หรอทรพยากร มความส าคญมากกตาม แตหากขาด

บคลากรทมความสามารถกจะไมสามารถปกปองระบบไซเบอรสเปซใหมความมนคงได สวนความ

รวมมอ และแลกเปลยนขอมลระหวางองคกร และบคคลกเปนสงทมความส าคญตามมาเมอเราได

ผลตบคลากรทมความร ความสามารถ และมคณธรรม

5. ผมสวนไดสวนเสยดานความมนคงปลอดภยไซเบอร

รฐควรมสวนรวมกบผมสวนไดเสยทกภาคสวนใหมากทสดเทาทจะท าได ในการวางแผน

กลยทธดานความมนคงปลอดภยไซเบอรแหงชาตอยางละเอยด นนเปนเพราะไซเบอรสเปซเขาถง

กจกรรมความมนคงดานสงคม เศรษฐกจ และชาต ในทกรปแบบ การเชอมโยงกลมผมสวนรวม

อยางกวางขวางมความส าคญดวยสาเหตในทางปฏบต อนดบแรก คอชวยสรางความมนใจใหผถอ

ประโยชนรวมยอมรบ ผไดรบผลประโยชนรวมมกจะพฒนาจตส านกของการเปนเจาขององคกร

การสนบสนนเปนสงส าคญในระหวางการน ากลยทธไปใช ประการตอมา คอรฐบาลอาจไมไดอยใน

สถานะทเหมาะตอการควบคมกลยทธ เนองจากผมสวนไดสวนเสย ลวนเปนเจาของและ

ผปฏบตงานดานโครงสรางพนฐาน ซงปกตแลวผมสวนไดสวนเสย โดยสวนมากมกมทกษะ

ความสามารถนอกเหนอจากความสามารถหลกของหนวยงานรฐ อยางไรกตาม ผมบทบาทจะรวา

ควรปฏบตงานอยางไร หนวยงานทมกมบทบาทในการสรางยทธศาสตร และกลยทธเพอความ

มนคงปลอดภยไซเบอรแหงชาตใหเกดขน มดงน

5.1) ฝายบรหารของรฐ

รฐบาลมหนาทสรางความเชอมนดานความเจรญรงเรองและความมนคงของชาต

รบผดชอบในการสรางความมนใจใหดานความมนคงปลอดภยของชาตทงหมด ตามหลกการแลว

ฝายบรหารระดบรฐบาลควรปฏบตหนาท ดงตอไปน

- ใหค าจ ากดความของบทบาทของไซเบอรสเปซเพอบรรลเปาหมายการพฒนาชาต

- มการก าหนด การวเคราะห และการลดความเสยง เพอผลประโยชนของชาต

- มการจดสรรทรพยากรแกโครงการหรอโปรแกรมเพอความมนคงปลอดภยไซเบอร

แหงชาต

- มการพฒนาการออกกฎหมายอาชญกรรมทางคอมพวเตอร ซงสามารถน าไปใชและ

ท างานรวมกนกบประเทศตางๆ ไดทวโลก

- การสงเสรมการพฒนาเทคโนโลยดานความปลอดภย เชน เทคโนโลยการใชรหสลบ

เปนตน

- การจดการโครงการ หรอโปรแกรมการสรางความสามารถของบคคลากรและองคกร

- การลงนามความมนคงปลอดภยไซเบอรทเกยวของกบสญญาและขอตกลงระหวาง

ประเทศ

- การก าหนดบทบาทของความมนคงปลอดภยไซเบอรในการประชมระดบภมภาคและ

ระดบโลก

ภาครฐเปนผใชอ านาจ และท าใหเกดอ านาจนตบญญตและเปนผออกแบบมาตรการ

กระตนเศรษฐกจดจทล เพอชวยสรางความเชอมนใหผไดรบผลประโยชนรวมทงหมดยอมรบความ

รบผดชอบและใชมาตรการเพอปกปองไซเบอรสเปซเพอสวนรวม

5.2) ฝายกฎหมายของรฐ

หนวยงานภาครฐมบทบาทส าคญในดานการสรรหาผบรหารทมความสามารถ ซงเปน

ทรพยากรทจ าเปนตอการด าเนนการใหไซเบอรสเปซมความปลอดภย มนคง และขบเคลอน

เศรษฐกจของประเทศ สภานตบญญตแหงชาตจะตองออกกฎหมาย เพอมนใจไดวาการปองกนไซ

เบอรสเปซจะไมละเมดคานยมของชาต เชน สทธเสรภาพในการแสดงออก เปนตน

5.3) ผควบคมโครงสรางพนฐานส าคญ

ผควบคมโครงสรางพนฐาน ควรมสวนในการรบผดชอบเพอลงรายละเอยดเกยวกบกล

ยทธความมนคงปลอดภยไซเบอรแหงชาต เนองจากผลประโยชนทางเศรษฐกจโดยตรงทพวกเขา

ไดรบจากความส าเรจของโครงการหรอโปรแกรมเพอความมนคงปลอดภยไซเบอรแหงชาต รฐอาจ

วางมาตรการทางกฎหมายและกฎระเบยบเพอใหเกดการยอมรบ ตามขอก าหนดของความมนคง

ปลอดภยไซเบอร การเขามามสวนรวมของผควบคมโครงสรางพนฐานส าคญ จะท าประโยชนใหแก

ประเทศชาตไดในระยะยาว เจาของและผควบคมโครงสรางพนฐานส าคญมบทบาทในการวางแผน

รายละเอยดในระดบกลยทธ ดงตอไปน

- ใหรายละเอยดเชงลกวาภยคกคาม และความไมมนคงทางไซเบอร สงผลกระทบตอ

อตสาหกรรมอยางไร

- ใหขอมลวาความไมมนคงทางไซเบอร สงผลกระทบตอระบบและซอฟตแวรทใชงานอย

อยางไร

- แลกเปลยนความรจากการปฏบตงานจรง ผานประสบการณการรกษาความปลอดภย

ในการปฏบตงาน

- แลกเปลยน แบงปนทกษะความรความเชยวชาญ ดานเครอขาย ระบบ อปกรณอ านวย

ความสะดวกโปรแกรมประยกต และการท างานดานไซเบอร

- น าเสนอวธรกษาความมนคงปลอดภยไซเบอรใหมความสมดลกนระหวางประสทธภาพ

การควบคมและผลประโยชนทไดรบ

- มสวนชวยในดานความเชยวชาญและประสบการณการรบมอกบเหตการณไมคาดคด

5.4) การบงคบใชกฎหมาย

คณะท างานดานกฎหมายทท าหนาทบงคบใชกฎหมายอาชญากรรมคอมพวเตอร ควรม

สวนรวมในการวางแผนรายละเอยดของยทธศาสตรและกลยทธความมนคงปลอดภยไซเบอร

แหงชาตดวยเหตผลหลายประการ เหตผลประการแรกคอ การบงคบใชกฎหมายสามารถ

ตรวจสอบความถกตองของการบงคบใชกรอบการด าเนนงานดานอาชญกรรมคอมพวเตอรตามท

วางแผนไว เหตผลประการทสองคอ คณะท างานสามารถแนะน าเกยวกบกฎเกณฑการตรวจสอบ

อาชญากรรมคอมพวเตอรทงในปจจบนและอนาคต ประการทสาม การบงคบใชกฎหมายอาจท าให

ไดรบความคดเหนดานการจดการความรวมมอระดบนานาชาตดานอาชญากรรมคอมพว เตอร

คณะท างานดานการบงคบใชกฎหมาย จะเปนผมสวนรวมกบองคกรตางๆ เชน Interpol และ

Virtual Global Taskforce (VGT)

5.5) ประชาคมดานขาวกรอง

เพอความพรอม เราควรตระหนกไววาองคกรดานขาวกรองมบทบาทอยางยงในการ

วางแผนและการด าเนนการดานกลยทธเพอความมนคงปลอดภยไซเบอร โดยองคกรดานขาวกรอง

จะตองมความเชยวชาญในการเฝาระวงตรวจสอบเครอขายโทรคมนาคม เราควรตระหนกวา

ความสมพนธขององคกรดานขาวกรองตางๆ มการถวงดลและความขดแยงกน หลายประเทศมการ

แบงแยกระหวางเครอขายพลเรอนและเครอขายทหาร ดงนน การรวมองคกรขาวกรองไวในการ

วางแผนกลยทธอาจท าใหเกดอปสรรคในการด าเนนการอยบาง และอาจเกดปญหาในการถกเถยง

กนในประเดนดานเสรภาพของประชาชน

5.6) ผจ าหนายอปกรณ

ผจ าหนายอปกรณ หรอ vendor ควรเขารวมในกระบวนการการวางแผนรายละเอยด

ดานกลยทธดวย เนองจากผจ าหนายอปกรณท าหนาทออกแบบมาตรการทางเทคนคทจ าเปนตอ

การหลกเลยง การปองกน การยบยง และการฟนฟจากภยคกคามไซเบอร การกดกนไมใหผ

จ าหนายอปกรณเขามามสวนรวมกบกระบวนการน อาจจะท าใหประเทศชาตสญเสยความคดเหน

ทเปนสวนส าคญจากภายนอก ซงความคดเหนเหลานสามารถเปนแหลงขอมลหรอเปนแนวทาง

ส าหรบแกปญหาภยคกคามและความไมมนคงทางไซเบอรได โดยบทบาทของผจ าหนายอปกรณม

ดงน

- ใหขอมลความไมมนคงทางไซเบอรทสงผลกระทบแกระบบและซอฟตแวรของพวกเขา

อยางไร

- ใหขอมลเชงลกดานความสามารถในการออกแบบ การจดการ และปกปองอปกรณ

และเครองมอดานความปลอดภย

- ท าใหความสามารถดานการตรวจจบภยคกคามไซเบอรเปนรปธรรมมากขน

- แลกเปลยนประสบการณทางเทคนค ในการรบมอกบเหตการณตางๆ ทเกดขน

- สรางขดความสามารถเพอก าหนดวธการแกปญหาความมนคงปลอดภยไซเบอร

ทางดานเทคนค

5.7) สถาบนทางวชาการ

สถาบนทางวชาการ ควรมบทบาทในการวางแผนรายละเอยดของกลยทธดวยเหตผลดงน

1) สถาบนทางวชาการเปนผใหความรกบผเชยวชาญทางเทคนค การจดการ และปกปองขอมล ซง

เปนทตองการเพอการคดคนและด าเนนการจดการกลยทธเพอความมนคงปลอดภยไซเบอร 2)

กลมทางวชาการ มสวนรวมเปนผจดตงศนยประสานงานการรกษาความปลอดภยคอมพวเตอร

และ 3) กลมทางวชาการ ท าใหเกดการศกษา วจย คนควา และการพฒนาการแกปญหาดานความ

มนคงปลอดภยไซเบอร

5.8) องคกรความรวมมอระหวางประเทศ

ควรมการพจารณาในการขอใหพนธมตรและองคกรความรวมมอระหวางประเทศ เขามาม

สวนรวมในการวางยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต โดยการรวมมอกนนนม

ความส าคญ เนองจาก ทกคนทกสวนพงพาไซเบอรสเปซเดยวกน ดงนนความไมมนคงในองคกร

หนงหรอประเทศหนง อาจสงผลกระทบตอประเทศอนๆ ทมความเชอมโยงกนในดานเศรษฐกจ

และความมนคงของชาตดวย อยางไรกตาม ความมนคงดานเศรษฐกจ การเมอง และประเทศชาต

ทเกยวของกบความรวมมอกนระหวางรฐบาลกบตางประเทศ อาจเกดความกงวลในเรองความลบ

และอาจจะเปนศตรกนในอนาคตกเปนได รฐบาลอาจลดความกงวลนนโดยลงนามขอตกลงดาน

ความรวมมอ (MOU) เพอการรวมมอกนเฉพาะดาน เชน มาตรการทางกฎหมาย การรบมอกบ

เหตการณฉกเฉน การวจย และการพฒนา เปนตน

5.9) ประชาชน

ประชาชน มความส าคญมากส าหรบการสรางยทธศาสตรและกลยทธเพอความมนคง

ปลอดภยไซเบอรแหงชาต โดยกลยทธดานความมนคงปลอดภยไซเบอรแหงชาตจะตองปรบตาม

เสยงของประชาชนเทาทท าได ไซเบอรสเปซเปนสงจ าเปนส าหรบวถชวตยคใหม เชน การ

ตดตอสอสารระหวางบคคล การรวมกลมสงคม การท าธรกรรมการเงน และเรยนรผานอนเทอรเนต

เปนตน ดงนนประชาชนถอเปนผมสวนหลกในการด าเนนงาน อยางไรกตามประชาชนอาจไม

สามารถสงเสรมกลยทธเพอความมนคงปลอดภยไซเบอรแหงชาตได หากกลยทธนไดรบการจดให

อยเหนอสทธพนฐาน เชน ความเปนสวนตว อาจเปนไปไมไดทจะไดรบการสนบสนนจากประชาชน

โดยตรง ดงนน ระบบรฐสภาและองคกรภาคประชาสงคมอาจเปนผเสนอความเหนของประชาชน

ในลกษณะตวแทนของประชาชนได

6. กระบวนการและขนตอนการวางแผน

เพอใหการวางยทธศาสตรความมนคงปลอดภยไซเบอร เปนทเขาใจตรงกนของทกฝายท

เกยวของ จงมความจ าเปนทจะตองก าหนดกระบวนการการพฒนายทธศาสตรความมนคง

ปลอดภยไซเบอรอยางชดเจน เพอความงายเราจะก าหนดกระบวนการดงกลาวเปนขนๆ ดงน

Stage 0 - Cybersecurity Strategy Driver

Stage 1 - Direct and Coordinate Elaboration

Stage 2 - Define and Issue Strategy

Stage 3 - Sector Strategies

Stage 4 - Implement Cybersecurity Strategy

Stage 5 - Report on Compliance and Efficacy

0

1

2

3

4

5

7. กรณศกษากรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอรของ NIST

กรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอร (Cybersecurity Framework)

ของสถาบนมาตรฐานและเทคโนโลยแหงสหรฐอเมรกา หรอ The Nationals Institute of

Standards and Technology (NIST) สามารถน ามาปรบใชใหเขากบวฒนธรรมองคกรและ

นโยบายของประเทศตางๆ ได ดงนนในบทความนจงขอยกการด าเนนการพฒนายทธศาสตรเพอ

ความมนคงปลอดภยไซเบอรของ NIST เปนกรอบตงตนในการท าความเขาใจเพอใหเกดความร

พนฐานทตรงกนตอไป

กรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอร (Cybersecurity Framework) ท

รางโดยสถาบนมาตรฐานและเทคโนโลย (NIST) กระทรวงพาณชย สหรฐอเมรกา นน เปนการ

ก าหนดนโยบายเกยวกบความมนคงปลอดภยของหนวยงานโครงสรางพนฐานส าคญ ซงกรอบการ

ด าเนนงานนไมไดเปนการเพมมาตรฐานหรอแนวคดใหม ในทางตรงขามกลบเปนการผลกดนและ

ผสมผสานแนวปฏบตดานความมนคงปลอดภยไซเบอรของอตสาหกรรมชนน าทไดรบการพฒนา

จากองคกรตางๆ เชน NIST และองคการระหวางประเทศวาดวยเรองมาตรฐาน (ISO)

กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอรน เปนผลมาจากค าสง Executive

Order ของประธานธบดสหรฐอเมรกา ในเดอนกมภาพนธ พ.ศ.2556 ทชอวา “Improving

Critical Infrastructure Cybersecurity” หรอ “การพฒนาความมนคงปลอดภยไซเบอรของ

โครงสรางพนฐานทส าคญของประเทศ” ระยะเวลา 10 เดอนทมการปรกษาหารอรวมกนจาก

ผเชยวชาญดานความปลอดภยมากกวา 3,000 คน รวมถงการรวบรวมแนวทางความเสยงทอาจ

เกดขน จะสามารถชวยองคกรตางๆ ในการระบ จดเตรยม และพฒนาแนวปฏบตส าหรบความ

มนคงปลอดภยไซเบอรใหส าเรจ และยงสรางภาษากลางส าหรบการสอสารกนทงภายในและ

ระหวางองคกรเกยวกบประเดนความมนคงปลอดภยไซเบอรอกดวย

กรอบการด าเนนงานนเปนกระบวนการแบบวนซ า ซงถกออกแบบมาเพอพฒนาแบบคอย

เปนคอยไป พรอมๆ กบการเปลยนแปลงรปแบบภยคกคามความมนคงปลอดภยไซเบอร

กระบวนการ และเทคโนโลย ซงจะมการปรบปรงเปนระยะจากบทเรยนตางๆ ทไดรบ และผลตอบ

รบจากภาคอตสาหกรรม โดยทกรอบการด าเนนงานนมองความมนคงปลอดภยไซเบอรทมการ

พฒนาอยางมประสทธภาพ จะตองมการพฒนาปรบปรงยทธศาสตร และกลยทธในลกษณะวงจร

พลวตแบบตอเนองทมทงการรบมอจากภยคมคามและมแนวทางการแกปญหาอกดวย

ในกรอบการด าเนนงานนมกลไกในการประเมน ซงท าใหองคกรตางๆ ทงภาครฐและ

เอกชนสามารถก าหนดขดความสามารถดานความมนคงปลอดภยไซเบอรทเกดขนในปจจบนได

สามารถก าหนดจดมงหมายของอตสาหกรรม และสรางแผนส าหรบการปรบปรงแนวทางดานความ

มนคงปลอดภยไซเบอร ซงกรอบการด าเนนงานนในเบองตนไดน าเสนอโดยหยบยกมาตรฐาน

NIST ซงกระทรวงแหงความมนคงมาตภม ของประเทศสหรฐอเมรกาน าไปใช ประกอบดวย 3

องคประกอบหลก ไดแก ขอมลโดยรวม (Profile), ระดบชนการบรหารจดการ (Implementation

Tiers) และโครงสรางหลก (Core)

โครงสรางพนฐานส าคญทมผลตอความมนคงปลอดภยไซเบอร ครอบคลม 16 กลมท

ส าคญ ดงน

1) กลมอตสาหกรรมเคมภณฑ Chemical Sector

2) ภาคการพาณชย Commercial Facilities Sector

3) ภาคอตสาหกรรมโทรคมนาคมสอสาร Communications Sector

4) ภาคอตสาหกรรมการผลตทส าคญ Critical Manufacturing Sector

5) เขอน Dams Sector

6) การปองกนฐานอตสาหกรรม Defense Industrial Base Sector

7) บรการชวยเหลอในภาวะฉกเฉน Emergency Services Sector

8) ภาคสวนพลงงาน Energy Sector

9) บรการทางดานการเงน Financial Services Sector

10) อตสาหกรรมอาหารและการเกษตร Food and Agriculture Sector

11) การอ ายวนความสะดวกภาครฐ Government Facilities Sector

12) บรการดแลสขภาพและการสาธารณสข Healthcare and Public Health

Sector

13) เทคโนโลยสารสนเทศ Information Technology Sector

14) อตสาหกรรมเกยวกบนวเคลยร วตถดบและปฏกล Nuclear Reactors,

Materials, and Waste Sector

15) ระบบขนสง Transportation Systems Sector

16) น าและระบบก าจดน าเสย Water and Wastewater Systems Sector

กรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอรเปนการรวบรวมแนวทางตามความ

เสยง ทไดรบการออกแบบเพอชวยใหองคกรตางๆ สามารถประเมนขดความสามารถในปจจบน

และรางแผนยทธศาสตรส าคญเกยวกบแนวปฏบตดานความมนคงปลอดภยไซเบอรทไดรบการ

ปรบปรงแลว

สวนประกอบดานขอมลโดยรวม (Profile) มไวเพอท าใหองคกรตางๆ สามารถก าหนด

ต าแหนงและปรบปรงแกไขแนวปฏบตดานความมนคงปลอดภยไซเบอรใหเหมาะสมตามความ

ตองการของแตละธรกจ ตานทานตอความเสยง และสามารถจดการทรพยากรทมอยได ซงในแตละ

องคกรจะตองสรางขอมลโดยรวม (Profile) ในปจจบน โดยการประเมนโปรแกรมทมอยเดมเทยบ

กบแนวปฏบตทแนะน าในโครงสรางหลกของกรอบแนวคดน (Core) โดยแนวปฏบตน

ประกอบดวยกระบวนการ วธด าเนนการ และเทคโนโลย เชน การจดการสนทรพยใหเปนไปตาม

แนวทางของกลยทธทางธรกจ การประเมนความเสยง การควบคมการเขาถง การฝกอบรม

พนกงาน ความปลอดภยของขอมล การบนทกการใชงานและวเคราะหเหตการณตางๆ และแผนใน

การรบมอกบสถานการณตางๆ เปนตน

การระบกลมเปาหมายของขอมลโดยรวม องคกรจะใชเกณฑของโครงสรางหลกเดยวกน

ในการก าหนดผลลพธทจ าเปน ส าหรบการพฒนาปรบปรงลกษณะความมนคงปลอดภยไซเบอร

ขององคกร โดยขอก าหนดเฉพาะของอตสาหกรรม ลกคา และพนธมตรทางธรกจ ถอเปนปจจยใน

การก าหนดกลมเปาหมายขอมลโดยรวมเชนกน เมอเตรยมกลมเปาหมายขอมลโดยรวมเรยบรอย

แลว การเปรยบเทยบระหวางขอมลโดยรวมปจจบนและขอมลทองคกรควรจะมไวเพอความมนคง

ปลอดภยทพอเพยง จะท าใหเหนชองโหวทควรจะแกไข เพอน ามาปรบปรงความมนคงปลอดภยไซ

เบอรและวางรากฐานแผนกลยทธส าคญทชวยใหการพฒนานใหประสบความส าเรจ ซงการ

ด าเนนการนคลายกบการวเคราะห Gap Analysis

ระดบการบรหารจดการ (Implementation Tiers) ชวยสรางสภาพแวดลอมทท าให

องคกรเขาใจวาขดความสามารถในการจดการความเสยงดานความมนคงปลอดภยไซเบอรใน

ปจจบนขององคกรแตกตางกบคณลกษณะทอธบายไวในกรอบการด าเนนการอยางไร โดยการ

ก าหนดขอบเขตจากระดบยอย (ระดบ 1) สระดบการปรบตว (ระดบ 4) ดงตารางท 1 สถาบน

NIST ไดแนะน าใหองคกรจดเตรยมการด า เนนการดานความมนคงปลอดภยไซเบอรทม

ประสทธภาพ และสามารถรบมอกบภยคกคามทางไซเบอรได และสามารถกาวเขาสระดบ 3 หรอ

ระดบ 4 ไดส าเรจ

ตารางท 1 ระดบขนของการพฒนาความมนคงปลอดภยไซเบอร

ระดบ 1 ระดบยอย การบรหารจดการความเสยงเปนแบบเฉพาะกจ ดวยขอจ ากดในการรบรความเสยง และยงไมมความรวมมอกบภาคสวนอน

ระดบ 2 รบทราบความเสยง

มขนตอนและแนวทางจดการความเสยง แตยงไมไดน าไปใชครอบคลมทวทงองคกร องคกรมความเขาใจการประสานงานและความรวมมอ แตยงขาดความสามารถในการปฏบต

ระดบ 3 ท าซ า มการใชนโยบายการปฏบตส าหรบกระบวนการและแนวทางจดการความเสยงในองคกร พรอมกบเรมมความรวมมอกบองคกรภายนอกแลวในบางสวน

ระดบ 4 ปรบตว กระบวนการและแนวทางจดการความเสยง เปนพนฐานมาจากบทเรยนทไดรบ และจากการปลกฝงทางวฒนธรรม พรอมกบมการรวมมอกนในเชงรก

โครงสรางหลกของกรอบด าเนนงานดานความมนคงปลอดภยไซเบอร (Framework

Core) น เปนตวก าหนดมาตรฐานดานความมนคงปลอดภยไซเบอร ผลลพธทเกดขน และเปน

กรอบอางองทสามารถน าไปใชงานได และมกจกรรมพนฐานทตอเนองกน สามารถแบงยอยได 5

กจกรรมหลก ไดแก การก าหนด การปองกน การตรวจจบ การรบมอ และการคนสภาพ (ตารางท

2) โดยโครงสรางหลกของกรอบการด าเนนงานอธบายวงจรตอเนองของกระบวนการทางธรกจซง

ท าใหเกดความมนคงปลอดภยไซเบอรทมประสทธภาพ

ตารางท 2 โครงสรางหลก 5 ประการ ของความมนคงปลอดภยไซเบอรทมประสทธภาพ

ฟงกชน ความหมาย หมวดหม การก าหนด การศกษา ท าความเขาใจวธการจดการความเสยง

ดานความมนคงปลอดภยไซเบอรทมตอระบบ ทรพยสน ขอมล และขดความสามารถ

การจดการทรพยสน สภาพแวดลอมทางธรกจ การด าเนนงานภาครฐ การประเมนความเสยง กลยทธการจดการความเสยง

การปองกน ควบคม และด าเนนงานตามมาตรการปองกนทเหมาะสม เพอปองกนหรอจ ากดระดบของภยคกคามดานความมนคงปลอดภยไซเบอร

การควบคมการเขาถง การรบรและการฝกอบรม ความปลอดภยของขอมล กระบวนการปองกนขอมล การดแลรกษา เทคโนโลยทใชในปองกน

การตรวจจบ การเฝาระวง หรอมการตรวจสอบตดตามอยางตอเนองเพอการเตอนภยกบเหตการณทเกยวของดานความมนคงปลอดภยไซเบอรไดอยางทนท และสามารถควบคมสถานการณได

ความผดปกตและเหตการณตางๆ การสงเกตการณอยางตอเนอง และกระบวนการตรวจสอบ

การรบมอ กจกรรมการรบมอกบเหตการณตางๆ ทเกดขน การวางแผนรบมอ การสอการ การวเคราะห การลดความเสยง และปรบปรงแกไข

การคนสภาพ แผนความตอเนองทางธรกจเพอรองรบการด าเนนงานตอเนอง แผนการกคนขดความสามารถภายหลงจากการโดนคกคามทางไซเบอร

การวางแผนฟนฟ การปรบปรง การสอสาร

8. บทบาทและกระบวนทศนของคณะกรรมการและฝายบรหารระดบสง

การสอสารองคกรและการก าหนดทศทางจากคณะกรรมการบอรด และฝายบรหาร

ระดบสง เปนจดเรมตนของการด าเนนการดานความมนคงปลอดภยไซเบอร คณะกรรมการบอรด

ตองมความชดเจนในเรอง ทศทางและนโยบายตอฝายบรหารระดบสงอยางชดเจนเสยกอน กอนท

จะเรมกระบวนการในการวางยทธศาสตรและกลยทธการสอสารนนไมใชแคเพยงมความถท

สม าเสมอเทานน แตยงตองมการพฒนาการสอสารทมประสทธภาพและเหมาะสมกบวฒนธรรม

องคกรอกดวย องคประกอบของบทบาทและกระบวนทศนของคณะกรรมการบอรด และฝาย

บรหารระดบสงมดงน (แสดงดงรปท 1)

รปท 1 กระบวนทศนของคณะกรรมการบอรด และฝายบรหารระดบสง

1) ความเปนผน า (Leadership)

การแสดงถงความเปนผน าทชดเจนทจะตองแสดงถงเจตนาทมงมนในการใหความส าคญ

ตอความมนคงปลอดภยไซเบอร และสามารถแปลงความหมายความเสยงขององคกรใหบคลากร

เขาใจในทศทางเดยวกน และมความตระหนกรในการรวมกนในการวางแผนตอไป

2) ปจจยดานบคลากร (Human Factors)

การปรบเปลยนวธคดและความเชอ รวมทงวฒนธรรมองคกรใหสอดคลองกบยทธศาสตร

โดยตองโนมนาวใหบคลากรมความเตมใจ และเขารวมกบฝายบรหารในการด าเนนการอกทงตองม

ความระมดระวงในประเดนสทธเสรภาพทางไซเบอรของบคคลากรดวย

3) การบรหารความเสยงดานขอมล (Information Risk Management)

มการบรหารความเสยงดานขอมลอยางมประสทธภาพทวทงองคกร และสามารถสงผาน

ขอมลดวยมาตรการทลดและควบคมความเสยงไดอยางมประสทธภาพ

4) การด าเนนการทางธรกจอยางตอเนองและการบรหารในสภาวะวกฤต (Business

Continuity and Crisis Management)

มการเตรยมการในดานความปลอดภย และมความสามารถในการปองกนและลด

ผลกระทบ เมอเกดภาวะวกฤตใหแกองคกร และใหแกผมสวนไดสวนเสย (Stakeholder) ของ

องคกร จงจะท าใหองคกรสามารถด าเนนธรกจไดตอเนองไมหยดชะงก

5) กระบวนการด าเนนงานและเทคโนโลย (Operations and Technology)

มมาตรการควบคมในระดบปฏบตการและมเทคโนโลยทอยในระดบทท าใหองคกร

สามารถตรวจสอบและระบความเสยงได และสามารถลดผลกระทบจากภยคกคามไดอยางม

ประสทธภาพ

6) กฎหมายและการก ากบดแล (Legal and Compliance)

การก ากบดแล และมาตรฐานระดบสากลเปนสงทมความจ าเปนเพอใหเกดความมนใจ

และเกดความเชอมนใหแกบคคลากร และองคกรภายนอก

9. แนวทางการพฒนายทธศาสตรดานความมนคงปลอดภยไซเบอรแหงชาต

ผลจากการศกษาของรายงานฉบบน สรปไดวาควรน ากรอบการด าเนนงานการบรหาร

จดการโครงการดานไซเบอร (Cyber Program Management: CPM) ของ ITU มาใชเปนขอมล

อางองส าหรบการสรางกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร ซงพนฐานของกรอบ

การด าเนนงานของ ITU นถกน ามาใชในการพจารณาบทบาทของการรกษาความปลอดภยของ

ขอมล, เทคโนโลยสารสนเทศในธรกจ และกระบวนการของภาครฐ ซงอาจมขอมลส าคญรวไหล

ออกมา และมความเสยงในการจดการโครงสรางภายใตการคกคามทางไซเบอร ดงนนจงควรมการ

จดล าดบความส าคญเชงยทธศาสตรและวตถประสงคขององคกรอยางชดเจน ทงองคกรธรกจและ

หนวยงานภาครฐ

รายงานฉบบนเสนอใหน ากรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอรของ NIST

(NIST Cybersecurity Framework) รวมกบเครองมอทใชในการบรหารความเสยงดานขอมล ดง

แสดงในรปท 2

รปท 2 Integrated Cybersecurity Framework

กรอบการด าเนนงานดงรปท 2 น แสดงใหเหนถงผมสวนไดสวนเสยทกภาคสวนไวอยาง

ชดเจน ในการสรางแนวทางดานความมนคงปลอดภยไซเบอรทมความยดหยน สามารถน ามาปรบ

ใชในองคกรทกขนาดไดอยางมประสทธภาพ ดงนนผเขยนจงขอสรปประเดนส าคญในการสราง

ความมนคงปลอดภยไซเบอรแหงชาต โดยมกรอบการด าเนนงาน ทประกอบดวยประเดนตางๆ

ดงตอไปน:

Service

Tactical Level

Vision & Strategy (National level)

Strategic Level

Enterprise Cybersecurity Framework

Organization & Authority

Policy Incident Management Risk Management

Audit & Compliance Architecture Education & Awareness

Operation Management

Net

work

sec

uri

ty

Th

reat

an

d v

uln

erab

ilit

y m

anag

emen

t

Soft

war

e se

curi

ty

Host

sec

uri

ty

Dat

a pro

tect

ion

Iden

tity

an

d a

cces

s m

anag

emen

t

Ass

et m

anag

emen

t

Mon

itori

ng &

M

easu

rem

ent

Acc

oun

t M

anag

emen

t &

O

uts

ourc

ing

Busi

nes

s co

nti

nuit

y m

anag

emen

t

Inci

den

t res

pon

se a

nd

pro

cess

Confidentiality Integrity Availability

National and Organization Assets

Technology protection Functional operation Resiliency

Nati

onal

Cyb

erse

curi

tyF

ram

ework

Gover

nm

ent

Agen

cies

and B

usi

nes

s E

nte

rpri

se

Risk Statement

Specific to each risk

category and relates to

security objectives and

threats

Objective

Specific to each security

element

Threats

Specific to each security

element

Strategic Plan and

Projects

Based on risk and

targeted security

objectives

1) ในการบรณาการยทธศาสตรดานความมนคงปลอดภยไซเบอร จะตองพจารณาบทบาท

ของผมสวนไดเสยทงหมด โดยกรอบการด าเนนงานจะตองถกสรางขนโดยอาศยความรวมมอ

ระหวางภาคอตสาหกรรมและรฐบาล ซงตองมมาตรฐานในการด าเนนการและมาตรฐานท

เฉพาะเจาะจง แนวทางและวธปฏบตในการสงเสรมความมนคงของชาต โดยกรอบการด าเนนงาน

จะตองมการสรางแนวทางเพอท าความเขาใจถงภยคกคาม และมแนวทางส าหรบการลดความเสยง

จากภยคกคามทางไซเบอรโดยเฉพาะ ซงเปนการชวยใหทกภาคสวนสามารถจดล าดบความส าคญ

และด าเนนการควบคมความมนคงปลอดภยไซเบอรทส าคญไดรวดเรวและมความเหมาะสมมากขน

2) องคประกอบของกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร สามารถจ าแนก

ไดเปน 5 ขนตอน ไดแก การระบ (Identify), การปองกน (Protect), การตรวจสอบ (Detect),

การตอบสนอง (Respond) และการคนสภาพ (Recover) ซงชวยในการเรยนรถงความเสยงทางไซ

เบอรทเกดขนได โดยสามารถจดระเบยบขอมล เพอชวยในการตดสนใจเกยวกบการบรหารความ

เสยง และการบรหารและการบรรเทาผลกระทบของภยคกคาม จากการเรยนรและการพฒนาจาก

ประสบการณในอดตทผานมา

3) กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร จะตองก าหนดใหเปนภาษากลางท

เขาใจงาย เพอใหเกดความสอดคลองตรงกน ทงในเรองความเขาใจ การจดการ และความเสยงทาง

ไซเบอรทงภายในและภายนอกองคกร โดยกรอบการด าเนนงานนสามารถชวยก าหนดและจดล าดบ

ความส าคญส าหรบการด าเนนการเพอลดความเสยงดานความปลอดภยไซเบอร และเปนเครองมอ

ส าหรบการปรบนโยบาย กระบวนการทางธรกจ และวธการทางเทคนคเพอการจดการความเสยง

ทางไซเบอร

4) กรอบการด าเนนงานนจะเปนแนวทางใหองคกรธรกจและภาครฐ สามารถท าความเขาใจ

ในการปฏบตงานและการลงทนดานความมนคงปลอดภยไซเบอร ทมความสอดคลองกบความ

ตองการในองคกรแตละองคกร อยางไรกตามกรอบการด าเนนงานอาจมแนวปฏบตดานการรกษา

ความปลอดภยทไมไดเหมาะสมกบองคกรทกองคกร แตถอเปนจดเรมตนทดในการด าเนนงานดาน

ความปลอดภยไซเบอรส าหรบทกองคกร โดยกรอบการด าเนนงานนถกสรางมาเพอก าหนดทศทาง

แกองคกรธรกจและภาครฐ ซงไมไดเปนการก าหนดเพอใหเหมาะสมกบทกองคกร ซงในบางองคกร

อาจมแนวทางการปฏบตงานดานการรกษาความปลอดภยโดยเฉพาะขององคกรทแตกตางจาก

องคกรอนๆ

5) กรอบการด าเนนงานน มวธการคดและการพฒนาแนวทางด าเนนงานในการบรหารจดการ

โครงการดานไซเบอรภายในองคกร ซงไมไดเปนการแกปญหาดานความปลอดภยไซเบอร แตเปน

การวเคราะหจดแขงจดออนของการด าเนนงาน (GAP analysis)

6) การพฒนาของกรอบการด าเนนงานน เปนการบรณาการหลกการด าเนนงานดานความ

มนคงปลอดภยไซเบอรทมอย และมาตรฐานการบรหารความเสยงซงรวมถงมาตรฐาน the NIST

SP 800 series, COBIT, ISO/IEC และ the Critical Security Controls (CSC) เปนตน อยางไรก

ตามโดยทวไปภยคกคามทางไซเบอรจะมการเปลยนแปลงอยเสมอ หรออาจจะมความรนแรง

เพมขนหรอลดลง ซงในบทความน ผเขยนไดพฒนาและปรบปรงกรอบการด าเนนงานภายใตความ

คดเหนทไดจากอตสาหกรรมทมการน ากรอบการด าเนนงานดานความมนคงปลอดภยไซเบอรนไป

ใช และในฐานะทกรอบการด าเนนงานนเปนแนวทางน าไปสการปฏบต ดงนนสงทไดรบจากการ

ปฏบตนนจะถกน ามาบรณาการเขากบกรอบการด าเนนการใหมในอนาคต ทงนเพอใหตอบสนอง

ความตองการของเจาของโครงสรางพนฐานทส าคญและผประกอบการ ในสภาพแวดลอมแบบได

นามกและมความทาทายของภยคกคาม ความเสยง และการแกปญหาใหมๆอยเสมอ

7) ในระหวางขนตอนการออกแบบกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร

ผออกแบบควรพจารณาแนวทางจากค าถามทวา

เราสามารถก าหนดกรอบการด าเนนงานเบองตนไดอยางไร:

(1) เพอใหมการก าหนดกรอบและผลทไดรบอยางเหมาะสม โดยมความมนคง

ปลอดภยไซเบอรทแขงแกรง และสามารถสนบสนนวตถประสงคทางธรกจ?

(2) เพอใหเกดการด าเนนงานมประสทธภาพ?

(3) เพอใหมการบรณาการความเสยงทางไซเบอรกบความเสยงทางธรกจทเหมาะสม?

(4) ส าหรบจดเตรยมเครองมอ แกผบรหารระดบสงและคณะกรรมการบรหาร เพอท า

ความเขาใจความเสยงและวธการลดความเสยง ในระดบทเหมาะสม?

(5) เพอท าใหผบรหารระดบสงตระหนกถงผลกระทบทอาจเกดขนจากการโจมตทาง

ไซเบอร?

(6) เพอใหไดค าแนะน าทเหมาะสม และสามารถจดหาทรพยากรทเพยงพอ เพอชวย

ใหองคกรธรกจทกขนาดยงคงรกษาความยดหยนไวได?

กระบวนการทส าคญอยางหนงในการพฒนายทธศาสตรดานความมนคงปลอดภยไซเบอร

แหงชาต คอการปรบปรงวธการอยางตอเนอง เพอสรางมาตรการการรกษาความปลอดภยทางไซ

เบอรทมประสทธภาพมากขนเทาทจะเปนไปได กระบวนการทางยทธศาสตรแสดงใหเหนอยาง

ชดเจนวา มการด าเนนงานหลายระดบและในแตละระดบมขนตอนทแตกตางกน เปาหมายคอการ

สรางกระบวนการทางยทธศาสตรอยางตอเนอง และการปรบปรงแนวทางการปฏบตอยางตอเนอง

จากการศกษาของผเขยนพบวากระบวนการพฒนาความมนคงปลอดภยไซเบอรอยางตอเนอง คอ

การบรณาการโดยน ากรอบแนวคดแบบ Ends-Ways-Means ของ ITU มาใช ในการปรบปรง

เชอมโยงยทธศาสตรดานความมนคงปลอดภยไซเบอร รปท 3 แสดงตวแบบ (Model) การวาง

ยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต

รปท 3 National Cybersecurity Strategy Model

การด าเนนการในการจดการความเสยงในประเดนทส าคญ มดงตอไปน

(1) ก าหนดใหความเสยงทางไซเบอร เปนสวนหนงของการบรหารจดการความเสยง

และแนวทางการด าเนนงานภาครฐ ทด าเนนการอยในปจจบน

Ends

National cybersecurityobjectives

Timescales & Performance Measures

Actions on cybersecurity priorities

National cybersecurity priorities

Clear, succinct and achievable cybersecurity ends/objectives

National cybersecurity strategic context: Cyber threats and risks

A clear statement of purpose, scope and assumptions of the strategy

National

CybersecurityStrategy

Strategic Context

National Interests

Threats and Risks

International Treaties and Conventions

Factors influencing

national cybersecurityactivities

National Interest

Defense of Homeland

Economic Well-being

Favorable World Order

Promotion of Values

Identify Cyber threats and rate their impact

Means

Legal Resources

Technical & Procedural

Organizational

Resources devoted to

action on cybersecuritypriorities

Capacity Building

International Cooperation

Command and Control

Interagency Cooperation

Ways

Approaches to executing cybersecurity strategy

National Response Plan

Analysis

Planning

Decision Production

The continuous improvement process of cybersecurity

Political mandate

Political approval

Implementation

(2) หยบยกการอภปรายเรองการบรหารความเสยงดานไซเบอรกบผบรหารระดบ

สงสดและ CEO

(3) ใหความส าคญกบมาตรฐานอตสาหกรรมและแนวปฏบตทดทสด

(4) ประเมนผลและตอบสนองไดโดยทนท รวมทงมการจดการความเสยงดานไซเบอร

ทเฉพาะเจาะจงขององคกรในเชงรก

(5) มการทดลองและทดสอบ แผนและกระบวนการในการตอบสนองการถกคกคาม

ทางไซเบอร

(6) ประสานงานการวางแผนการตอบสนองเหตการณทเกดขนทางไซเบอรทวทง

องคกร

(7) ตระหนกถงสถานการณของภยคกคามทางไซเบอรอยเสมอ

(8) มการจดการและตอบสนองตออาชญากรรมทางไซเบอรในเชงรกและม

ประสทธภาพ จ าเปนจะตองมขอก าหนดระหวางประเทศอยางเหมาะสม มความ

รวมมอมความชวยเหลอซงกนและกนระหวางประเทศมากขนภายใตกรอบของ

กฎหมาย

(9) จะตองมการบรหารจดการอาชญากรรมทางไซเบอรอยางมประสทธภาพ โดยการ

ประสานงานกบองคกรความมนคงปลอดภยไซเบอรระหวางประเทศ นอกจากน

จะตองท าความเขาใจดานความมนคงปลอดภยทางไซเบอร ยทธศาสตร และ

กฎหมาย ทมความสอดคลองกนในภมภาค และในประเทศเพอนบานอนๆ

รปท 4 มาตรการความมนคงปลอดภยไซเบอรในเชงรก

(Proactive measures of Cybersecurity)

ตารางท 3 มาตรการความมนคงปลอดภยไซเบอรเชงรก

มาตรการ การปฏบต

การวางแผน (Plan) ประเมนสภาพแวดลอม ก าหนดและแกไขปญหาทเกดขน พฒนาแผนการรบมอเหตการณตางๆทเกดขน

การปองกน (Protect) มสภาพแวดลอมทเขมแขง มการปรบปรงทนาเชอถอ การจดการสทธในการใชงาน จ ากดขอบเขตการสอสารทไมจ าเปน ลดจ านวนสทธของผใชงานเทาทจะเปนไปได

การตรวจหา (Detect) มการโปรแกรมส าหรบตรวจสอบการรกษาความปลอดภยเครอชายภายใน

มการตรวจสอบจดทเชอมตอไปภายนอกเครอขาย บนทกและวเคราะห ขอมลการใชงาน จดเกบรวบรวมขอมลทส าคญ

การตอบสนอง (Respond) เจาหนาทและการฝกอบรมทมงานทรบผดชอบเกยวกบเหตการณทเกยวของกบความปลอดภยของคอมพวเตอร (Computer Incident Response Team: CIRT)

CIRT เปนผมหนาทตอบสนองตอเหตกาณทเกดขนทางไซเบอร เวลาทใชการตอบสนองลดลง

(10) ภาคธรกจจะตองมมาตรการเชงรกในการจดการภยคกคามทางไซเบอรและม

ยทธศาสตรในการตอบสนองไดอยางรวดเรวและมประสทธภาพ ในรปท 4 แสดง

ใหเหนวาองคกรควรจะวางแผนส าหรบการปองกน การตรวจหา และการ

ตอบสนองตอเหตการณทเกดขนทางไซเบอร และในตารางท 3 ไดแสดง

รายละเอยดของมาตรการความมนคงปลอดภยไซเบอรในเชงรก ซงการจโจมทาง

ไซเบอรไมสามารถมองเหนได แตสามารถเพมประสทธภาพในการจ ากดความ

รนแรงทจะเกดขนไดอยางมนยส าคญ

10. กรอบแนวคดการบรหารความมนคงปลอดภยไซเบอร (Cybersecurity Management

Framework)

กรอบแนวคดเพอขบเคลอนการบรหารจดการความมนคงปลอดภยไซเบอรถอเปน

องคประกอบทส าคญของการด าเนนงานขององคกรทงภาครฐและเอกชน โดยกรอบแนวคด

ดงกลาวสามารถแบงออกเปน 3 ล าดบ ดงน

1) ระดบกลยทธ (Strategic Direction)

การก าหนดกลยทธเปนจดเรมตนในการขบเคลอนจากกรอบแนวคดไปสการปฏบตการ

(operation) ซงตองการบคคลากรในการระบถงความตองการดานตางๆ เพอความมนคงปลอดภย

ไซเบอรท าการพจารณาประเดนส าคญตางๆ ของการขบเคลอนองคกร ใหค านยาม จดท าเอกสาร

ส าคญตางๆ และประกาศอยางเปนทางการในเรองทศทางในการด าเนนการขององคกร เพอทจะ

ท าใหโครงการหรอโปรแกรมการบรหารความมนคงปลอดภยไซเบอรสามารถขบเคลอนไดอยาง

เปนรปธรรม

2) การปฏบตการ (Operation)

ระดบปฏบตการจะมงเนนไปยงกจกรรมทเกยวของกบโครงการหรอโปรแกรมทจะท า ให

กลยทธทก าหนดมาแลวแปลงใหสามารถปฏบตเปนรปโรรมได โดยจะตองก าหนดวธการด าเนนการ

ใหเปนไปตามความตองการของกลยทธทถกระบไว ซงในระดบปฏบตการนจะตองมการจดท า

เอกสารทมการอธบายค านยามหรอความหมายทเกยวของกบมาตรฐานขนตอนการด าเนนการ,

กระบวนการ, ขนตอนในรายละเอยด โดยมรายละเอยดอธบายถงใครเปนผปฏบต (Who) และ

ปฏบตอยางไร (How)

3) การปฏบตการเชงเทคนคความมนคงปลอดภย (Tactical Security)

ในการปฏบตการเชงเทคนค ซงอาจใชค าภาษาองกฤษวา ‘Tactical security’ นน

หมายความถง การควบคมความมนคงปลอดภยในเชงเทคนค มการระบความตองการในการ

ด าเนนการแบบเจาะจงในเอกสารปฏบตการอยางเปนทางการ เพอผปฏบตจะไดมความเขาใจ

ตรงกนไมคลาดเคลอน ในระดบยทธวธนจะเปนการควบคมรบผดชอบในทกมตของระบบ

สารสนเทศขององคกร โดยมการตรวจสอบตรวจตราอยางตอเนอง มการเกบขอมล วเคราะหขอมล

ตรวจจบการบกรก และมการจดท ารายงานอยางเปนระบบ ซงรปแบบรายงานอาจเปนเชง

Security metrics กจะท าใหงายตอการรวบรวมและบรณาการขอมล

แมวาเราจะแบงระดบชนการบรหารความมนคงปลอดภยไซเบอรขององคกรเปน 3 ระดบ

แตเพอความเขาใจในรายละเอยดทตรงกน เราสามารถทจะแบงระดบยอยลงไปเพอรายละเอยดท

ชดเจนยงขนเปนองคประกอบ ดงน

- องคประกอบดานผบรหารระดบสง (Executive Sponsorship) ซงถอวาเปนตว

จกรส าคญในการขบเคลอนโครงการหรอโปรแกรม

- องคประกอบดานการบรหารจดการความเสยงสารสนเทศ (IT Risk

Management) เปนการจดการในการระบ, ตรวจสอบตรวจจบ และก าหนด

ความเสยงดานไซเบอรใหแกองคกร

- องคประกอบดานการตรวจสอบความมนคงปลอดภยสารสนเทศ (IT and

Security Audit) ซงมความจ าเปนเพอทจะเกดความมนใจไดวาระบบสารสนเทศ

ไดรบการดแลอยางครบถวนตามมาตรฐานทองคกรไดก าหนดไว และตรวจสอบ

เพอมนใจไดวาบคคลากรในองคกรมการปฏบตเปนไปตามขอก าหนดและ

มาตรการตางๆ ครบถวน

- การขาวกรองดานความมนคงปลอดภย (Security Intelligence)

- เปนการวเคราะหขอมลในอดตและปจจบนเพอการพยากรณภยคกคามในอนาคต

ทอาจจะเกดขนทงภยคกคามจากภายในและภายนอกองคกร และเพอปองกน

และลดความเสยงตอองคกรใหนอยทสด

- การปกปองเครอขายและระบบ (Secure Network and Systems) องคกรม

ความจ าเปนอยางยงทจะตองท าการออกแบบและบรหารจดการอปกรณเครอขาย

และระบบเพอใหสามารถปกปองทรพยสนทจบตองไมได เชน ความร และ

ทรพยสนทางปญญา เปนตน ทเกบไวในเครอขายคอมพวเตอรขององคกร

- การปกปองโปรแกรมประยกต (Secure Applications) องคกรจะตองให

ความส าคญอยางยงในการออกแบบและบรหารจดการระบบอจฉรยะขององคกร

ทอยในรปแบบของโปรแปรมประยกตเพอปกปองทรพยสนขององคกรทอยใน

ระบบโปรแกรมประยกตดงกลาว

กรอบแนวคดการบรหารจดการความมนคงปลอดภยไซเบอรดงทกลาวมาแลวสามารถ

แสดงดงตารางท 4

ตารางท 4 องคประกอบการบรหารความมนคงปลอดภยไซเบอร

องคประกอบหลก องคประกอบยอย

ดานผบรหารระดบสง

(Executive Sponsorship)

คณะท างานดานกฎหมาย

การบรหารงานบคคล

การศกษาและการฝกอบรม

การจดการสภาวะวกฤต

โครงการการจดการดาน Cybersecurity

การจดการโครงสราง Cybersecurity

การสนบสนนความมนคงดานกายภาพ

ดานการจดการความเสยง

สารสนเทศ

(IT Risk Management)

โครงการการจดการดาน Cybersecurity

การบรหารทรพยสน

การจดการดานการระบอตลกษณ (Identity)

การคดกรองแบงแยกขอมล

การจดการการด าเนนการธรกจตอเนอง (Business Continuity)

การกระบบจากภยพบต (Disaster Recovery)

การตอบโตสถานการณฉกเฉน (Incident Response)

ดานการตรวจสอบความ

มนคงปลอดภยสารสนเทศ

(IT and Security Audit)

การบรหารการก ากบดแลและการปฏบตตามกฎระเบยบ

การบรหารจดการผจ าหนายอปกรณและรบจางด าเนนงาน

การบรหารจดการทะเบยน และประวตขอมลการบนทก

การบรหารจดการการพฒนาโปรแกรมประยกต

ดานการขาวกรองความมนคง

ปลอดภย

(Security Intelligence)

การบรหารจดการการวเคราะหตรวจหาชองโหวของระบบ

การวเคราะหภยคกคามและพฤตกรรมทมแนวโนมเปนภยคกคาม

การจดการ Log file

การปกปองเครอขายและ การปองกนไวรสและโปรแกรมท าลายระบบ

ระบบ

(Secure Network and

System)

การปองกนระบบเกบขอมล

การปองกนการเจาะระบบ

การออกแบบเครอขายเพอความมนคงปลอดภย

การเขารหส (Encryption)

การ Back up ขอมล

การปกปองโปรแกรม

ประยกต

(Secure Applications)

ความเปนสวนตวดานขอมล (Data Privacy)

การพฒนาการเขารหส (Secure Code)

การจดการการระบตวบคคล และพสจนอตลกษณ (Identity)

การจดการระบบความปลอดภยโปรแปรมประยกต

11. การพฒนาขดความสามารถของหนวยงานตอบโตสถานการณคกคามดานไซเบอร

หนวยงานทท าหนาทตอบโตภยคกคามดานไซเบอร (Cyber Incident Response)

สามารถทจะประยกตใชกรอบความคดในการพฒนาขดความสามารถของหนวยงานและทมในดาน

ตางๆ ดงน (แสดงดงรปท 5)

รปท 5 กรอบความคดในการพฒนาขดความสามารถ

ของหนวยงานและทมในดานตางๆ

1) ขดความสามารถในการตอบโตภยคกคาม (Incident response capabilities)

การพฒนาขดความสามารถภายในหนวยงานเพอการตอบโตภยคกคามดานไซเบอรอยาง

มประสทธภาพ และสามารถทจะคาดการณภยคกคามในอนาคตเพอการเตรยมการไดอยางม

ประสทธภาพ และทนทวงท

Cyber response team

Cyber

response team

Investigative capability

Incident

response capability

Containment plan

Cyber

technical skills

2) ขดความสามารถในการสบสวนสอบสวน (Investigative capabilities)

ความสามารถในการระบสาเหตทางดานเทคนค และทางดานบคคลเพอตอบโตภยคกคาม

ไดตอบปญหาและสาเหตเปนสงส าคญยงในการหยดยงความเสยงหรอลดความเสยงของภยคกคาม

และการกออาชญากรรมดานไซเบอร

3) ขดความสามารถทางดานเทคนคไซเบอร (Cyber technical skills)

ขดความสามารถทางดานเทคนคไซเบอร เปนสงทซบซอนและตองใชเวลาและความ

เชยวชาญในการพฒนา และหนวยงานควรมงบประมาณในการฝกอบรมใหแกบคลากรทงใน

ประเทศ และตางประเทศ เนองจากการพฒนาทางเทคโนโลยไซเบอร มการพฒนาอยางรวดเรว

เกนกวาทองคกรจะสามารถพฒนาไดทนโดยปราศจากการวางแผนการพฒนาบคคลากรดวย

งบประมาณทเพยงพอ

4) แผนความตอเนอง (Containment plan)

การพฒนาขดความสามารถของหนวยงานและทมอยางตอเนองนน มความส าคญตอการ

ตดตามและคาดการณภยคกคามในอนาคตเพอการเตรยมขดความสามารถใหพรอมตลอดเวลา

หนวยงานจงตองมวสยทศนในการด าเนนการพฒนาขดความสามารถอยางตอเนอง

12. การตอบโตภยคกคามดานไซเบอร (Cyber Incident Response)

การตอบโตภยคกคามดานไซเบอรนนตองมการเตรยมการและวางแผนอยบนพนฐานจาก

มาตรฐานความมนคงปลอดภยดานไซเบอรทอตสาหกรรมและองคกรยอมรบเปนสากล อกทงตอง

น าเอากรณศกษาทไดจากประสบการณของหลายประเทศพนธมตรมาศกษาเพอน าเอาแนวทาง

ปฏบตทดทสด (Best practices) ทมอยมาประยกตใช เพอน ามาประกอบเขากบการจดการความ

เสยง (Risk Management) เพอปกปองทรพยสนและชอเสยงขององคกร

แผนตอบโตภยคกคามดงกลาวจะตองมความชดเจน โดยตองมกระบวนการในการท างาน

(task) และการวเคราะหความเสยงทเปนปจจบน (update) อยเสมอ และยงตองเอออ านวยใหม

การตดสนใจในการปฏบตการรวดเรว ทนเหตการณ

เพอการจดการความเสยงทมประสทธภาพ องคกรมความจ าเปนทจะตองเขาใจเชง

จตวทยาตอเจตนาและแรงจงใจของแฮกเกอร (Hacktivists) อาชญากรไซเบอร และผไมหวงดทจะ

คกคามระบบไซเบอรของชาตหรอขององคกร

ความรวดเรว และมประสทธภาพในการตอบโตนนเปนสงทจ าเปนอยางยง การตอบโตภย

คกคาม (Incident response) และขดความสามารถในดานนตวทยาศาสตร (Forensic

capabilities) จะตองถกสรางและออกแบบใหครอบคลมเหตการณภยคกคามทจะเกดขนไดอยาง

ครบวงจร (Incident lifecycle) เพอทจะสามารถตรวจจบ คาดการณ และถอนรากถอนโคน

แหลงทมาได โดยกระบวนการปฏบตสามารถน าเสนอเปนรปท 6

รปท 6 การบรหารจดการการตอบโตภยคกคามไซเบอร (Cyber Incident Management)

13. ประโยชนทไดรบจากการพฒนาดานความมนคงปลอดภยไซเบอร

กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร (NIST Cybersecurity

Framework) ถกน ามาใชประโยชนเพอจดมงหมายทก าหนดไวส าหรบการปรบปรงความปลอดภย

ความเสยงพนฐาน ส าหรบเจาของ ผประกอบการ หรอผสรางโครงสรางพนฐานส าคญในองคกร ยง

ไปกวานน กรอบการด าเนนงานนยงสามารถน ามาซงประโยชนตางๆ ไดแก ความรวมมอและการ

สอสารทมประสทธภาพ อกดวย

หลกปฏบตของกรอบการด าเนนงานทส าคญยง คอการรวมมอกนเพอแลกเปลยนขอมล

และพฒนาแนวปฏบตเพอความมนคงปลอดภยไซเบอร และการละเมดทรพยสนทางปญญา ซงใน

การรวมมอกน จะกอใหเกดประโยชนอยางแทจรง โดยแนวทางปฏบตดานความปลอดภยทม

ประสทธภาพสง มกจะมการประสานรวมมอกบองคกรอน เพอยกระดบดานความปลอดภยและ

การรบรถงภยคกคาม โดยทวไปแลวองคกรทมแนวปฏบตดานความปลอดภยทมประสทธภาพสง

จะมการรวมมอกบองคกรอนๆ เพอใหสามารถบรรลเปาหมาย ดานความมนคงปลอดภยไซเบอร

หนงในวธการรวมมอทมประสทธภาพสงสด คอการจดตงและมสวนรวมในศนยแลกเปลยนและ

วเคราะหขอมล (Information Sharing and Analysis Centers : ISACs) ซงสามารถจดตงขน

เปนองคกรกลางเพอการพฒนาความมนคงปลอดภยไซเบอรอยางยงยน

Cyber incident response

Cyber forensic

investigation

Cyber incident timeline

การประสานรวมมอกนอยางมประสทธภาพขนอยกบการแลกเปลยนความคดเหนทเปด

กวางและมเปาหมาย ซงสดทายแลวกรอบการด าเนนงานควรจะมภาษากลางเพออ านวยความ

สะดวกในการสอสาร เกยวกบแนวทางปฏบต นโยบาย และเทคโนโลยดานความมนคงปลอดภยไซ

เบอร ทงภายในและภายนอกองคกร เชน ผใหบรการภายนอกและพนธมตรทางการคา เปนตน

รฐบาลควรสนบสนนองคกรตางๆ เพอแบงปนขอมลดานความไมมนคง ภยคกคามตอขอมล และ

กลยทธในการรบมอ ผลประโยชนทไดจากการใชสอกลางในการสอสาร และความรวมมอทมมาก

ขน คอ ความเขมแขง ยกตวอยางเชน ถาในหวงโซอปทานทงหมดขององคกรหนง สามารถใช

ค าศพทหรอภาษาของกรอบการด าเนนงานเหมอนกน จะสามารถสอสาร ท าความเขาใจ และ

สามารถลดความเสยงลงไดอยางมประสทธภาพ

สงส าคญทควรรกคอ กรอบการด าเนนการนมการแลกเปลยนความคดเหนมการสอสาร

เรองความมนคงปลอดภยไซเบอร ดวยค าศพทดานการจดการความเสยง ดวยเหตผลทวา ผน าฝาย

บรหารและคณะกรรมการขององคกรตางมความรอบร เกยวกบการจดการความเสยงอยแลว และ

การวางกรอบเพอความมนคงปลอดภยไซเบอร จะท าใหผน าดานความมนคงปลอดภยนสามารถ

เชอมโยงความส าคญและเปาหมายของความมนคงปลอดภยไซเบอรไดอยางมประสทธภาพมาก

ยงขน นอกจากนยงสามารถชวยใหองคกรตางๆ สามารถจดล าดบความส าคญและตรวจสอบความ

สมเหตสมผลดานการลงทนบนพนฐานการจดการความเสยงไดอกดวย

14. ขอเสนอแนะ

รายงานฉบบนมขอเสนอแนะในการด าเนนการพฒนายทธศาสตรและกลยทธความมนคง

ปลอดภยไซเบอรแหงชาต ดงตอไปน

1) เพอใหมระบบการรกษาความปลอดภยทแขงแกรง รฐบาลควรจดตงศนยอาชญากรรมทาง

ไซเบอรโดยเฉพาะ ซงในระหวางนนรฐบาลจะตองด าเนนการเพอแสวงหาโอกาสใหมส าหรบการ

ด าเนนงานรวมกนระหวางประเทศ

2) หนวยงานดานความปลอดภยของขอมล ตองมการท างานรวมกบผก าหนดนโยบาย เพอให

ไดมมมองทกวางขน และการเยยวยาการถกโจมตบนคอมพวเตอรและโครงสรางพนฐาน ใน

ขณะเดยวกน รฐบาลไมควรแยกการปองกนโครงสรางพนฐานออกจากการปองกนแอพพลเคชน

3) รฐบาลควรรวมมอกบภาคสวนโทรคมนาคม , การเงนการธนาคาร, การคมนาคมขนสง

และภาคประชาชน เพอน ามาตรการบรหารความเสยงมาใช และเพอรายงานเหตการณทเกดขนตอ

เจาหนาทผมอ านาจตามกฎหมาย

4) อาชญากรรมทางไซเบอร อาจถกสรางขนมาเปนแอพพลเคชน ทสามารถเขาถงการใชงาน

แอพพลเคชนอนๆ ของผใชได ซงเปนการเขาโจมตโดยไมมสงปดกน ท าใหการตรวจสอบ

อาชญากรรมทางไซเบอรมความซบซอนมากขน ดงนนเพอใหสามารถรบมอกบอาชญากรรมไซ

เบอรไดอยางมประสทธภาพ จงมความจ าเปนทจะตองเตรยมวธการปองกนอยางเหมาะสม และม

ความรวมมอและความชวยเหลอกนระหวางประเทศภายใตขอบงคบของกฎหมาย หรอความ

รวมมอกนในภมภาค

5) รฐบาลตองเขาใจวากรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร ซงเปนแนวทาง

ทสามารถเปลยนแปลงไดตลอดเวลา ชวยใหรฐสามารถก าหนดสถานการณดานไซเบอรในปจจบน

และอนาคต และลกษณะความมนคงปลอดภยไซเบอรทตองการ ตลอดจนวธการในการด าเนนงาน

ไปในทศทางทก าหนดได เชน ค าแนะน าเกยวกบวธการสอสารกบผมสวนไดเสยทงภายในและ

ภายนอก ในเรองความเสยงทเปนภยคกคาม

6) ปญหาดานความมนคงปลอดภยไซเบอร ถอเปนปญหาทเกดขนทวโลก ไมไดเกดขนใน

ธรกจใดธรกจหนง หรอประเทศใดประเทศหนงเทานน ดงนนจงตองมความรวมมอจากรฐบาลและ

ภาคอตสาหกรรม ดงนนรฐบาลจะตองสงเสรมใหผมสวนไดเสยทกภาคสวน มการด าเนนการ

ดงตอไปน

(1) ปรบปรงเอกสารเกยวกบนโยบายความปลอดภย โดยมการสอสารภาษากลางท

เขาใจตรงกน เพออ านวยความสะดวกในการสอสาร

(2) ก าหนดขนตอนการด าเนนงานส าหรบภยคกคามใหมๆ กระบวนการทดสอบความ

มนคงปลอดภย และการปรบปรงกระบวนการตางๆ เพอรบมอกบภยคกคาม

ใหมๆเหลานน ดวยการสรางโปรแกรมดานความมนคงปลอดภยไซเบอร

(cybersecurity program) ททนสมยสอดคลองกบการเปลยนแปลง

(3) มการสรางยทธศาสตร และกลยทธดานความมนคงปลอดภยไซเบอรส าหรบ

องคกร และมการตรวจสอบการด าเนนงานของยทธศาสตรและกลยทธนนอยาง

ตอเนอง

สรป

ยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาตนนไมมค าตอบสดทาย และค าตอบท

ชดเจน ส าหรบรปแบบทถกตองส าหรบทกองคกร เพราะแตละองคกรมระดบความเสยงทแตกตาง

กน อกทงวฒนธรรมองคกรแตละองคกรกมความแตกตางกน ในแตละประเทศมกฎหมายและ

ระดบสทธเสรภาพของประชาชนทแตกตางกน อ านาจการตอรองของแตละประเทศกมระดบท

แตกตางกน รายงานฉบบนมวตถประสงคเพยงเพอเปนแนวทางพนฐานในการท าความเขาใจตอ

การวางยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาตเพอการน าไปประยกตใชตอไป

บรรณานกรม

[1] เอกสารของ Carnegie Mellon ชอวา “Best Practice for National Cybersecurity.

Building a National Computer Security Incident Management Capability”

น าเสนอรายชอผไดรบผลประโยชนรวมของความมนคงปลอดภยไซเบอรแหงชาตทงหมด

เราน ารายชอจากรายการนไปใช

[2] https://update.cabinetoffice.gov.uk/sites/default/files/resources/CyberCom

munique-Final.pdf

[3] InternetWorldStats. (2015). Internet Users in the World Distribution - 2014

Q4. Available: http://www.internetworldstats.com/stats.htm

[4] WorldPopulationStatistics. (2014). Asia Population 2014. Available:

http://www.worldpopulationstatistics.com/asia-population-2013/

[5] UN, "Comprehensive Study on Cybercrime," UNODC, Vienna2013.

[6] Cisco, "The Internet of Everything and the Connected Athlete: This

Changes… Everything," 2013.

[7] F. Wamala, "ITU National Cybersecurity Strategy Guide," ed, 2011.

[8] Ernst&Young, "Get ahead of cybercrime," 2014.

[9] TheWhiteHouseWashington, "THE NATIONAL STRATEGY TO SECURE

CYBERSPACE 2003," ed, 2003.

[10] ITU, "Guidelines for the preparation of national wireless broadband

masterplans for the Asia Pacific region," 2012.

[11] NIST, "Framework for Improving Critical Infrastructure Cybersecurity," 2014.

[12] HomelandSecurity, "Cybersecurity Questions for CEOs," 2014.

[13] EuRActiv. (2012). Cybersecurity: Protecting the digital economy. Available:

http://www.euractiv.com/infosociety/cybersecurity-protecting-oil-internet-li

nksdossier-508217#group_positions

WE’RE SMARTER

WHEN WE’RE CONNECTED