“จำเป็นและได้ส่วน”: บทเรียนข้ามโลกจากเอ็ดเวิร์ด สโนว์เดน

สฤณี อาชวานันทกุล

ตอนที่แล้วผู้เขียนเสนอว่า ในสังคมยุคดิจิทัล การสร้างความมั่นคงปลอดภัยไซเบอร์ (cyber security) กับการคุ้มครองความเป็นส่วนตัว (privacy) มีความสำคัญทั้งคู่ เพราะเป็นกุญแจสำคัญของการสร้าง “ความไว้วางใจ” อันเป็นหัวใจของเศรษฐกิจดิจิทัล

“ความมั่นคงปลอดภัยไซเบอร์” (cyber security) เป็นเรื่องของเสถียรภาพและความปลอดภัยของระบบคอมพิวเตอร์ เป็นเรื่องทางเทคนิค ไม่ใช่เรื่องเดียวกันกับ “ความมั่นคงของชาติ” (national security) ซึ่งบ่อยครั้งไม่ชัดเจนว่าหมายถึงอะไรกันแน่

การรักษาความมั่นคงปลอดภัยไซเบอร์กับการคุ้มครองความเป็นส่วนตัวไปด้วยกันได้ แต่การรักษาความมั่นคงของชาติกับการคุ้มครองความเป็นส่วนตัวอาจไปด้วยกันไม่ได้ โดยเฉพาะในสังคมที่ “ความมั่นคงของชาติ” ถูกผู้มีอำนาจตีความอย่างคลุมเครือและกว้างขวาง

ดังที่บทเรียนข้ามโลกจากอเมริกาชี้ให้เราเห็น

ปฏิเสธไม่ได้ว่าวันนี้การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องใหญ่ เพราะการโจมตีเจาะระบบสมัยนี้หลายครั้งไม่ใช่แฮ็กเกอร์ไร้สังกัดที่อยากโชว์กึ๋นหรือเจาะเอาข้อมูลไปขาย แต่เป็นทหารยุคใหม่ที่ถูกฝึกมาอย่างดีให้ทำ “สงครามไซเบอร์” กับประเทศศัตรูอย่างเป็นระบบ ดังเช่นกรณีการเจาะระบบของบริษัทโซนี่ เดือนพฤศจิกายน 2014 ซึ่งเจ้าหน้าที่ข่าวกรองอเมริกันหลายคนสรุปผลการวิเคราะห์ซอฟต์แวร์และเทคนิคการแฮ็กออกมาว่า เกาหลีเหนือน่าจะอยู่เบื้องหลัง

รายงานภัยคุกคามไซเบอร์ประจำปี 2014 ของ Verizon ผู้ให้บริการโซลูชั่นด้านความปลอดภัยไซเบอร์ชั้นนำ (อ่านสรุปภาษาไทยได้จากเว็บ ACIS Online) ชี้ว่าการจารกรรมไซเบอร์จะทวีความรุนแรง ที่น่าสนใจคือในบรรดาเหตุที่ระบบถูกรุกล้ำ (data breach) ทั้งหมดนั้น กว่าร้อยละ 97 สามารถป้องกันได้ด้วยมาตรการรักษาความปลอดภัยระดับพื้นฐานหรือปานกลางเท่านั้น และร้อยละ 92 ก็เป็นเหตุที่ถูกค้นพบโดยบุคคลที่สาม ไม่ใช่คนในองค์กรเอง (สถิติปี 2012)

สถิติการเจาะระบบประจำปี 2014 โดย Verizon ที่มาภาพ: http://www.privatewifi.com/wp-content/uploads/2014/05/2014-04-22_14-06-09.jpeg
สถิติการเจาะระบบประจำปี 2014 โดย Verizon ที่มาภาพ: http://www.privatewifi.com/wp-content/uploads/2014/05/2014-04-22_14-06-09.jpeg

สถิติเหล่านี้บ่งชี้ว่า วิธีรับมือกับภัยคุกคามไซเบอร์ที่ตรงจุด คือ การปรับปรุงมาตรฐานความปลอดภัยของระบบ ยกระดับเจ้าหน้าที่ที่ทำงานด้านนี้ ตลอดจนพัฒนาฮาร์ดแวร์และซอฟต์แวร์ รวมทั้งโปรโตคอลต่างๆ ให้มีความปลอดภัยมากขึ้น

ภายในเดือนธันวาคม ปี 2014 เดือนเดียว สภาคองเกรสอนุมัติกฎหมายที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ถึง 5 ฉบับ

กฎหมาย National Cybersecurity and Critical Infrastructure Protection Act of 2014 (NCCIPA) ยกระดับศูนย์บูรณาการความมั่นคงปลอดภัยไซเบอร์และการสื่อสารแห่งชาติ (National Cybersecurity and Communications Integration Center: NCCIC) ซึ่งอยู่ใต้สังกัดของกระทรวงความมั่นคงในประเทศ (Homeland Security) ให้เป็นศูนย์กลางการแลกเปลี่ยนข้อมูลเกี่ยวกับภัยคุกคามไซเบอร์ระหว่างภาครัฐกับภาคเอกชน

กฎหมายอีกฉบับคือ Cybersecurity Enhancement Act of 2014 มอบอำนาจให้สถาบันหลักของประเทศซึ่งเป็นผู้กำหนดมาตรฐานด้านเทคโนโลยี คือ National Institute of Standards and Technology’s (NIST) สนับสนุนและอำนวยความสะดวกให้กับภาคเอกชน ในการพัฒนามาตรฐานไซเบอร์และธรรมเนียมปฏิบัติอันเป็นเลิศ (best practices) สำหรับ “โครงสร้างพื้นฐานสำคัญ” (critical infrastructure) อย่างเช่นระบบธนาคาร ขนส่ง และพลังงาน ซึ่งหากถูกโจมตีทางไซเบอร์ย่อมเกิดความเสียหายใหญ่หลวง

กฎหมายฉบับนี้ยกระดับกระบวนการซึ่ง NIST ดำเนินการตาม Cybersecurity Framework มาก่อนหน้านี้แล้วให้เป็นกฎหมาย แต่กระบวนการพัฒนามาตรฐานและธรรมเนียมปฏิบัติที่ว่านี้ยังมีภาคเอกชนเป็นหัวหอก เป็นกระบวนการโดยสมัครใจ รัฐคือ NIST ทำหน้าที่เพียงสนับสนุน กฎหมายไม่ให้บังคับว่าเอกชนต้องใช้มาตรฐานใดมาตรฐานหนึ่ง เพื่อเปิดโอกาสให้มีการพัฒนาอย่างเป็นอิสระ และไม่เปิดช่องให้มีการเอื้อประโยชน์แก่บริษัทใดบริษัทหนึ่งเป็นการเฉพาะ

นอกจากนี้กฎหมายยังมอบอำนาจให้รัฐบาลกลางสามารถสนับสนุนการวิจัยและพัฒนา สร้างเสริมความตระหนักรู้ของประชาชนเกี่ยวกับภัยคุกคามไซเบอร์ และยกระดับบุคลากรด้านนี้ของประเทศ เพื่อจะได้มีทรัพยากรและความรู้ความสามารถอย่างเพียงพอ

กฎหมายใหม่ที่เหลืออีกสามฉบับเน้นไปที่การปรับปรุงระดับความปลอดภัยของระบบของรัฐ และจัดทัพบุคลากร ฉบับแรกมอบหมายให้กระทรวงความมั่นคงในประเทศทำหน้าที่รวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับ “ระดับความปลอดภัยของข้อมูล” (information security) ของหน่วยงานราชการต่างๆ และช่วยติดตั้งเครื่องมือเพื่อติดตามตรวจสอบระบบและบรรเทาความเสี่ยงจากภัยคุกคามไซเบอร์และจุดเปราะบางอื่นๆ ส่วนกฎหมายสองฉบับสุดท้ายให้กระทรวงความมั่นคงในประเทศประเมินศักยภาพของบุคลากรด้านไซเบอร์ และสามารถว่าจ้างผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ด้วยค่าจ้างที่แข่งขันได้กับภาคเอกชน

จากเนื้อหากฎหมายด้านความมั่นคงปลอดภัยไซเบอร์ทั้งหมดนี้ ชัดเจนว่ารัฐบาลอเมริกันพยายามรับมือกับภัยคุกคามไซเบอร์อย่างตรงจุด คือเน้นปรับปรุงมาตรฐานความปลอดภัยของระบบ การแลกเปลี่ยนข้อมูลที่เกี่ยวกับภัยคุกคามไซเบอร์ และศักยภาพของเจ้าหน้าที่ โดยที่ทุกอย่างอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลและมีกลไกตรวจสอบถ่วงดุลทุกขั้นตอน รวมทั้งรายงานผลการดำเนินงานประจำปีต่อกรรมาธิการในสภา

ไม่มีข้อไหนมอบอำนาจแบบ “เซ็นเช็คเปล่า” ให้รัฐดักฟัง สอดแนม หรือเจาะระบบ เพียงเพราะคิดว่ามีเหตุการณ์ที่ “อาจก่อให้เกิดความเสี่ยง” อย่างในร่างกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์ของไทย ฉบับที่คณะรัฐมนตรีเห็นชอบในเดือนมกราคม 2558

ร่างกฎหมายนี้นอกจากจะเซ็นเช็คเปล่าแล้ว ยังไม่มีข้อไหนวางมาตรการต่างๆ ที่จำเป็นต่อการสร้างความมั่นคงปลอดภัยไซเบอร์จริงๆ ดังตัวอย่างของกฎหมายอเมริกัน

คณะกรรมการอิสระที่ประธานาธิบดีโอบามาแต่งตั้งมาประเมินโครงการสอดแนมต่างๆ ของ National Security Agency หน่วยงานข่าวกรองอเมริกัน หลังจากที่โดน เอ็ดเวิร์ด สโนว์เดน ออกมาแฉในปี 2013 สรุปอย่างชัดเจนว่า การดักข้อมูลโทรศัพท์ของประชาชนทั้งประเทศนั้น “มีประโยชน์น้อยมาก” ต่อการรับมือกับการก่อการร้าย

วันนี้ร่างกฎหมายที่ยังถกเถียงกันในสภาอเมริกัน คือ กฎหมายที่เกี่ยวกับการ “ส่งข้อมูล” ภัยคุกคามไซเบอร์จากเอกชนไปให้รัฐ ซึ่งร่างกฎหมายบางฉบับถูกประณามว่าอาจทำให้ข้อมูลส่วนบุคคลที่ไม่เกี่ยวกับการโจมตีไซเบอร์ตกเป็นของรัฐ เพราะไม่บังคับให้เอกชน “ถอด” ข้อมูลที่ระบุตัวตนได้ (personally identifiable information) ออกก่อนส่งให้รัฐ หรือมีนิยามคลุมเครือ (ดูตารางประกอบ – คลิกที่รูปเพื่อขยาย)

เปรียบเทียบบางมาตราในร่างกฎหมายมั่นคงไซเบอร์ไทย กับร่างกฎหมายอเมริกัน 2 ฉบับ
เปรียบเทียบบางมาตราในร่างกฎหมายมั่นคงไซเบอร์ไทย กับร่างกฎหมายอเมริกัน 2 ฉบับ

บทเรียนจากประเทศบ้านเกิดของ “เศรษฐกิจดิจิทัล” ยังมีให้เราเรียนรู้อย่างไม่สิ้นสุด

เริ่มตั้งแต่อันตรายของการนำ “ความมั่นคงของชาติ” มาปนกับ “ความมั่นคงปลอดภัยไซเบอร์”.