เมื่อวันที่ 25 ก.พ. ผศ.ดร.นพดล กรรณิกา ผู้ก่อตั้งซูเปอร์โพลและศิษย์เก่ามหาวิทยาลัยจอร์ชทาวน์ วอชิงตัน ดีซี สหรัฐอเมริกาด้านความปลอดภัยทางไซเบอร์และการจัดการความเสี่ยง กล่าวว่า ในฐานะผู้แทนภาคประชาชนในกรรมการนโยบายตำรวจแห่งชาติ (ก.ต.ช.) ที่เป็นอีกบทบาทหนึ่งเกี่ยวข้องกับนโยบายตำรวจแห่งชาติดูแลความปลอดภัยในชีวิตและทรัพย์สินของประชาชนที่มีแนวโน้มของปัญหาเดือดร้อนของประชาชนเพิ่มขึ้นมาจากกรณีเงินถูกโจรกรรมในโลกออนไลน์ที่ผ่านมาอย่างต่อเนื่อง สำนักวิจัย ซูเปอร์โพล จึงได้ทำการศึกษา เงินถูกโจรกรรม ใครต้องรับผิด กรณีศึกษาตัวอย่างประชาชนทุกสาขาอาชีพทั่วประเทศ ดำเนินโครงการทั้งการวิจัยเชิงปริมาณ (Quantitative Research) และการวิจัยเชิงคุณภาพ (Qualitative Research) รวมจำนวนตัวอย่างในการวิเคราะห์ทางสถิติทั้งสิ้น จำนวนทั้งสิ้น 1,125 ตัวอย่าง ดำเนินโครงการระหว่างวันที่ 20–24 กุมภาพันธ์ พ.ศ.2567 ที่ผ่านมา
เมื่อถามถึง เงินถูกโจรกรรมจากกลุ่มโจรไซเบอร์ ใครต้องรับผิด ผลสำรวจพบว่า ส่วนใหญ่หรือร้อยละ 75.4 ระบุ ธนาคารผู้รับฝากเงิน รองลงมาคือร้อยละ 56.4 ระบุ โจรไซเบอร์ ร้อยละ 31.8 ระบุ ประชาชนเจ้าของบัญชี ร้อยละ 23.0 ระบุ ธนาคารแห่งประเทศไทย และร้อยละ 13.5 ระบุ ตำรวจ ตามลำดับ เมื่อถามถึงความรู้สึกกังวลต่อความไม่ปลอดภัยต่อชีวิตและทรัพย์สินจากโจรไซเบอร์ พบว่า ส่วนใหญ่หรือร้อยละ 89.4 กังวลมากที่สุด ร้อยละ 6.4 กังวลมาก ร้อยละ 3.4 กังวลค่อนข้างน้อยและเพียงร้อยละ 0.8 เท่านั้นกังวลน้อยถึงไม่กังวลเลย
ที่น่าพิจารณาคือ ความเห็นต่อการยกระดับความปลอดภัยทางไซเบอร์ เป็นวาระแห่งชาติ แก้ไขกฎหมายดูแลรักษาความปลอดภัยของประชาชนและความมั่นคงของชาติให้มากยิ่งขึ้น พบว่า ส่วนใหญ่หรือร้อยละ 68.3 เห็นด้วยอย่างยิ่ง ร้อยละ 26.8 เห็นด้วย ร้อยละ 3.3 ค่อนข้างเห็นด้วย และเพียงร้อยละ 1.6 เท่านั้นไม่ค่อยเห็นด้วยถึงไม่เห็นด้วย
ที่น่าเป็นห่วงคือ วลีและประโยคสำคัญสะท้อนความรู้สึกและข้อเสนอแนะจากประชาชนต่อทุกภาคส่วนรับผิดชอบความปลอดภัยทางไซเบอร์ เงินของประชาชนในระบบออนไลน์ ได้แก่ ธนาคารไม่ใส่ใจ ไม่กระตือรือร้น ไม่ช่วยเหลือลูกค้าผู้ตกเป็นเหยื่อโจรไซเบอร์ให้ทันเวลา เอาผิดธนาคารที่ไม่มีมาตรฐานความปลอดภัยไซเบอร์ มีช่องโหว่ ถูกโจรกรรม ข้อมูลลูกค้ารั่ว ธนาคารต้องรับผิดชอบทุกกรณี เพราะลูกค้าเชื่อว่า ธนาคารปลอดภัยจึงเอาเงินไปฝาก มีกฎหมายเอาผิดธนาคารที่ไม่ให้ความร่วมมือกับเจ้าหน้าที่ตำรวจอายัดบัญชีคนร้ายทันที จำกัดวงเงินในการโอนแต่ละครั้งแต่ละวัน แก้กฎหมายเพิ่มโทษโจรไซเบอร์ เพิ่มจำนวนตำรวจปราบโจรไซเบอร์ ทำให้ตำรวจมีเทคโนโลยีทันสมัยเชื่อมโยงตามคนร้ายได้เร็ว รณรงค์ประชาสัมพันธ์ให้ความรู้ประชาชนและเจ้าหน้าที่รัฐเท่าทันโจรไซเบอร์ ควรแก้กฎหมายให้ครอบคลุมและทันการเปลี่ยนแปลงรูปแบบของโจรไซเบอร์ และเพิ่มโทษกฎหมายเอาผิด หน่วยงานรัฐ เอกชน ต้นทางทำข้อมูลสำคัญของประชาชนรั่วไหล เป็นต้น
ผศ.ดร.นพดล กรรณิกา นักวิชาการด้านความปลอดภัยทางไซเบอร์และเป็นกรรมการนโยบายตำรวจแห่งชาติผู้ทรงคุณวุฒิผู้แทนภาคประชาชน (ก.ต.ช. ผู้แทนภาคประชาชน) กล่าวว่า ในปี พ.ศ. 2565 สหภาพยุโรปมีกฎหมายใหม่ป้องกันข้อมูลที่เรียกว่า General Data Protection Regulation (GDPR) และมีการปรับกูเกิลไปประมาณ 2 พันล้านบาทด้วยความผิดต่อกฎหมายฉบับนี้หลายประการ อาทิ ผู้ใช้กูเกิลเข้าใจไม่ชัดเจนว่ากูเกิลเอาข้อมูลของพวกเขาไปทำอะไร การนำข้อมูลส่วนบุคคลของผู้ใช้กูเกิลไปใช้ในทางผลประโยชน์ทางธุรกิจของบริษัท เป็นต้น ในขณะที่ ปี พ.ศ. 2565 เช่นกัน ศาลสหรัฐอเมริกาตัดสินลงโทษคุมประพฤติพนักงานธนาคาร Capital One เป็นผู้เชี่ยวชาญในระบบ AWS เป็นเวลา 5 ปีที่แฮกข้อมูลลูกค้าธนาคารในปี พ.ศ. 2562 นำข้อมูลลูกค้าไปเผยแพร่ออนไลน์และหลังเกิดเหตุโจรกรรมข้อมูลลูกค้าธนาคารนั้น ในปี พ.ศ. 2564 ธนาคาร Capital One ตกลงจ่ายเงินรวมประมาณ 6 พันกว่าล้านบาทเพื่อเยียวยาลูกค้าและพัฒนาปรับปรุงระบบความปลอดภัยทางไซเบอร์ตามคำแนะนำของ AWS ผู้ให้บริการดูแลระบบความปลอดภัยทางไซเบอร์ให้ธนาคารแห่งนี้
นักวิชาการด้านความปลอดภัยทางไซเบอร์ กล่าวต่อว่า ถึงเวลาแล้วที่เราต้องมาคุยกันจริงจังเรื่องความปลอดภัยทางไซเบอร์ให้มากขึ้นกว่าปัจจุบันที่เรามีกฎหมายด้านความปลอดภัยทางไซเบอร์มาระยะหนึ่งแต่ประเทศและประชาชนยังมีปัญหาความไม่ปลอดภัยทางไซเบอร์ทั้งต่อความมั่นคงของชาติ เสาหลักของชาติและชีวิตกับทรัพย์สินของประชาชนร่วม 60 ล้านคนบนโลกออนไลน์ จากการศึกษาครั้งนี้พบว่า สิ่งที่ต้องทำ 3 เรื่องเร่งด่วน คือ
1) จำเป็นต้องยกระดับความปลอดภัยทางไซเบอร์เป็นวาระแห่งชาติและมีการแก้ไขกฎหมายครั้งใหญ่ ให้ทุกหน่วยงานและองค์กรที่เกี่ยวข้องกับข้อมูลสำคัญด้านความมั่นคงของชาติ เสาหลักของชาติและความปลอดภัยในชีวิตและทรัพย์สินของประชาชนต้องรับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้น
2) จำเป็นต้องบริหารจัดการทรัพยากรด้านความปลอดภัยทางไซเบอร์ให้เหมาะสมทันต่อการเปลี่ยนแปลงและภัยคุกคามต่อความมั่นคงของชาติ เสาหลักของชาติและความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เช่น การนำโมเดลรักษาความปลอดภัยทางไซเบอร์ระหว่าง ผู้ใช้บริการ-คู่ค้า กับ ผู้ให้บริการมาประยุกต์ใช้ (End to End Cybersecurity) ตามแผนภาพแนบมานี้ โดยผู้บริหาร (CEO) หรือหัวหน้าหน่วยมีความรู้ความเข้าใจแนวโน้มการเปลี่ยนแปลงของภัยคุกคามและความปลอดภัยทางไซเบอร์ มีหลักธรรมาภิบาลด้านความปลอดภัยทางไซเบอร์ ข้อกฎหมายที่เกี่ยวข้อง พัฒนาขีดความสามารถของ คน (people) กระบวนการ (process) และเทคโนโลยี (Technology) โดยออกแบบโครงสร้างสถาปัตยกรรมด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดในมิติของ “ความไว้วางใจเป็นศูนย์” (Zero Trust) คือไม่ไว้ใจใครเลยในเรื่องความปลอดภัยให้เป็นศาสตร์แห่งความปลอดภัยทางไซเบอร์ในทุกมิติ เช่น ไฟร์วอลล์ (Firewall) มีเครื่องมือระบบตรวจจับภัยคุกคามการบุกรุก (Intrusion Detection System, IDS) ระบบป้องกันการบุกรุก (Intrusion Prevention System, IPS) ในขั้นเครือข่ายออนไลน์ ในขั้นอุปกรณ์ เช่น Web Application Firewall (WAF) กับ Anti Virus (AV) ในขณะที่ชั้นข้อมูลควรถูกจัดแยกแบ่งชั้นความลับของข้อมูลเข้ารหัส (Encryption) ภายใต้สถาปัตยกรรมแบบ Zero Trust และระบบเฝ้าระวังและตอบโต้อัตโนมัติ (Auto Alert and Response) ตามแผนภาพแนบ
3) จำเป็นต้องมีการรณรงค์เสริมสร้างความตระหนักรู้และเข้าใจความปลอดภัยทางไซเบอร์ให้ทุกภาคส่วนของสังคมอย่างจริงจังต่อเนื่อง
4) หลีกเลี่ยงใช้บริษัทสัญชาติต่างชาติมาดูแลระบบความปลอดภัยทางไซเบอร์ของประเทศไทย แต่ถ้าหลีกเลี่ยงไม่ได้ควรใช้มากกว่า 1 สัญชาติและมีสัญญาประกันความเสี่ยงความเสียหายในทุกมิติ
โดยสรุปตามแนวนโยบายนำของรัฐบาล นายเศรษฐา ทวีสิน นายกรัฐมนตรีในการดูแลความปลอดภัยในชีวิตและทรัพย์สินของประชาชนและนโยบายหลักของ พล.ต.อ.ต่อศักดิ์ สุขวิมล ผู้บัญชาการตำรวจแห่งชาติ และพล.ต.อ.กิตติ์รัฐ พันธุ์เพ็ชร์ รองผู้บัญชาการตำรวจแห่งชาติ ในการป้องกันและปราบปรามอาชญากรรมทุกรูปแบบ “ตำรวจในยุคนี้ทำงานเชิงรุก” ดูแลความปลอดภัยทางไซเบอร์ให้ประชาชนในทุกมิติ เช่น การระบุ (identify) และเก็บข้อมูลกิจกรรมอาชญากรรมที่เกิดขึ้นในระบบคอมพิวเตอร์และโครงสร้างเครือข่ายออนไลน์ของกลุ่มเป้าหมายรวมถึงวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ตรงไปที่ลูกค้าประชาชน ผู้ประกอบการ องค์กรหน่วยงานต่าง ๆ ในอดีต ปัจจุบัน และเฝ้าระวังไปยังอนาคต โดยมีการเชื่อมโยงข้อมูลระหว่างหน่วยงานด้วยฐานข้อมูลขนาดใหญ่ (Big Data) ภายในสำนักงานตำรวจแห่งชาติและระหว่างหน่วยงานรัฐ-เอกชนนอกองค์กรตำรวจกระชับความสัมพันธ์ทำงานใกล้ชิดกับธนาคาร สถาบันการเงินและองค์กรต่าง ๆ เพื่อประเมินสถานการณ์ความเสี่ยงตัวบุคคลเฝ้าระวังพิเศษและเสนอให้ “ขึ้นบัญชีดำโจรไซเบอร์” และการป้องกันไม่ให้เกิดความสูญเสียซ้ำของรูปแบบโจรไซเบอร์ที่กำลังเกิดขึ้นในปัจจุบันและอนาคต ไม่ให้มาสร้างความเดือดร้อนแก่ประชาชนได้อีก โดยยกระดับความปลอดภัยทางไซเบอร์เป็นวาระแห่งชาติ ปรับปรุงกฎหมายครั้งใหญ่บังคับใช้ให้ทุกภาคส่วนเกิดความรับผิดชอบ (Responsibility) และสำนึกรับผิดชอบ (Accountability) เสริมสร้างความปลอดภัยทางไซเบอร์ของชาติและประชาชนให้แข็งแกร่งมั่นคงมากยิ่งขึ้น