Cybersecurity

ความอุปสรรคและความหมายของกฎหมายความปลอดภัยไซเบอร์

กฎหมายกับความปลอดภัยไซเบอร์โจทย์ยากที่สุดของวงการความปลอดภัย

ตั้งแต่เทคโนโลยีเข้ามาแง่มุมต่างๆในชีวิตของเราก็เปลี่ยนไปเรื่อยๆ หลากหลายกิจกรรมตอนนี้ขึ้นอยู่กับเทคโนโลยี, อุปกรณ์อีเล็กทรอนิกส์, อินเตอร์เน็ต และข้อมูล ซึ่งทำให้ทุกอย่างเชื่อมถึงกัน ในขณะเดียวกันที่เราพบภัยคุกคามใหม่ๆ และช่องโหว่ที่รุนแรงและบ่อยขึ้น

ทั้งหมดที่บอกเราเป็นนัยๆว่าความรวดเร็วของเทคโนโลยีนั้นมาพร้อมกับความเสี่ยงอย่างหลีกเลี่ยงไม่ได้ การรักษาความปลอดภัยมีความจำเป็นในทุกพื้นที่ ไม่ใช่เพียงแค่ออุตสาหกรรม, องค์กร และผู้ใช้ แต่สำหรับประเทศชาติด้วย ในตอนนี้หลายประเทศกำลังเพิ่มกฎหมายเกี่ยวกับความปลอดภัยมากขึ้น

ความสำคัญของการประกาศใช้กฎหมายความปลอดภัยนั้นก็เพื่อช่วยลดเหตุการณ์ด้านความปลอดภัย สร้างสรรค์และพัฒนาวัฒนธรรมความปลอดภัยไซเบอร์ แต่ก็ไม่ได้ทำกันได้ง่ายๆ เพราะความปลอดภัยของข้อมูลนั้น เกิดจากหลายปัจจัย และในบทความนี้จะบอกถึงความสำคัญของกฎหมายที่มีต่อคนทั่วโลก

ความปลอดภัยไซเบอร์: องค์กรและความร่วมมือ

 shutterstock_437772883-1

ทั่วโลกมีแนวโน้มการเปลี่ยนแปลงด้านกฎหมายให้เข้ากับความปลอดภัย เกิดจากความร่วมมือของภาคเอกชนและรัฐบาล ด้สนจุดประสงค์เพื่อสร้างเครื่องมือในการรับมือกับความเสี่ยในยุคดิจิตอล และออกกฎหมายเพื่อรับมือกับอาชญากรรมไซเบอร์

สหภาพยุโรป (EU)

ทาง EU ได้มอบหมายให้ NIS Directive ดูแลความปลอดภัยของเครือข่ายและระบบ สนับสนุนด้านกฎหมายให้กับสมาชิกในประเทศเพื่อรับมือกับเหตุการณ์ด้านความปลอดภัย ด้วย Computer security Incident Response (CSIRT) และผู้มีอำนาจในพื้นที่นั้นๆ

shutterstock_336115082-1

จุดประสงค์ของการจัดจั้งเครือข่าย CSIRT เพื่อสนับสนุนการรับมือกับความเสี่ยงเกี่ยวกับข้อมูล และการพัฒนาความปลอดภัยในทุกๆภาคส่วนโดยเฉพาะด้านสังคมและเศรษฐกิจของยุโรป อย่างพลังงาน, ขนส่ง, การเงิน, สุขภาพ, และโครงสร้างดิจิตอล กฎหมายใหม่มีจุดประสงค์ในการเพิ่มประสิทธิภาพและป้องกันเหตุการณ์ที่มีผลกระทบต่อเศรษฐกิจ สร้างความเชื่อมั่นให้ผู้ใช้ และการทำงานของระบบและเครือข่ายในแต่ละประเทศ

สหรัฐอเมริกา

ในช่วงปลายปี 2015 สภาคองเกรสของสหรัฐฯอนุมัติ Cybersecurity Act of 2015 เพื่อปกป้องประเทศจากการโจมตีไซเบอร์ และส่งเสริมการแลกเปลี่ยนข้อมูลระหว่างภาครัฐและเอกชนเพื่อรับมือกับภัยคุกคามไซเบอร์

ภายใต้พรบ.ใหม่ ข้อมูลเกี่ยวกับการค้นพบภัยคุกคามจะถูกส่งต่อเพื่อป้องกันการโจมตี และลดทอนความเสี่ยงให้กับองค์กร, ตัวแทน และผู้ใช้ ผ่านข้อมูลที่ถูกรวบรวม, ตรวจสอบ และผ่านมาตรการป้องกัน ทั้งองค์กรและรัฐบาลสามารถร่วมมือกันได้อย่างมีประสิทธิภาพ

เอเชียแปซิฟิค

shutterstock_333765437-1

การงานวิจัยยืนยันว่าระดับของความปลอดภัยไซเบอร์ในภูมิภาคเอเชียแปซิฟิค ยังคงอยู่ในระดับเริ่มต้น ในปี 2016 หลายประเทศในเอชียแปซิฟิคมีการเพิ่มนโยบายและมาตรการด้านความปลอดภัยไซเบอร์ และเพิ่มมาตรฐานให้กับนโยบายก่อนหน้า เพื่อรับมือกับภัยคุกคามใหม่ๆ

ยกตัวอย่างประเทศออสเตรเลียมีกลยุทธ์ส่งเสริมความปลอดภัย ให้เงินทุนกับภาคเอกชนที่ยอมทำตามนโยบายเกี่ยวกับความปลอดภัยใหม่ ประเทศนิวซีแลนด์เริ่มกลยุทธ์ความปลอดภัยไซเบอร์ เน้นไปที่การเพิ่มความยืดหยุ่น, การร่วมมือระหว่างประเทศ และความสามารถที่จะยับยั้งภัยคุกคามไซเบอร์

ความท้าทายและความหมายของตรากฎหมายเกี่ยวความปลอดภัยไซเบอร์

shutterstock_247631098-1

การบริหารจัดการกฎหมายด้านความปลอดภัยเป็นสิ่งที่จำเป็นอย่างยิ่ง ด้วยการเพิ่มขึ้นของจำนวนองค์กร การสมัครงานและความปลอดภัยในระดับชาติ เพราะกฎหมายค่อนข้างมีประสิทธิภาพในการควบคุมพฤติกรรมของคน

แต่เมื่อถึงเวลาความท้าทายต่างๆก็ไหลเข้ามา ยกตัวอย่าง Global Agenda Council Report on Cybersecurity ที่เสนอความยากของการออกกฎหมายในแต่ละประเทศ การบังคับใช้กฎหมายมีผลกระทบต่อผู้มีส่วนได้เสียจำนวนมากตั้งแต่ระดับองค์กรถึงผู้ใช้ ทำให้เกิดปัญหาและข้อขัดแย้ง ซึ่งเราจะนำมาให้ดูต่อไปนี้

ความล่าช้าในการตรากฎหมาย

เนื่องจากมีตัวแปรจำนวนมากที่ต้องพิจารณาทั้งในและนอกประเทศ และยังการบังคับใช้ที่ขึ้นอยู่กับการเมือง และอื่นๆอีกมากที่ได้รับผลกระทบ นี่ยังไม่รวมถึงความสัมพันธ์ระหว่างประเทศและความร่วมมือต่างๆ

แต่อย่างไรก็ตาม ด้วยสาเหตุนี้ทำให้การตรากฎหมายที่ถูกเลื่อนออกไปบ่อยครั้ง ในปี 2016 ตัวแทนประเทศกว่าครึ่งให้สัตยาบันว่าจะเข้าร่วมการประชุม Budapest ที่ใช้เวลากว่า 10 ปีในการรวบรวมสมาชิก

กฎหมายเดินตามหลังสภาวะแวดล้อมและเวลา

ทุกครั้งที่มีการพิจารณาเกี่ยวกับเทคโนโลยี ซึ่งเทคโนโลยีเป็นสิ่งที่เดินหน้ารวดเร็วมาก แต่การพิจารณาต้องใช้เวลา ทำให้การทำงานนั้นไม่สามารถเดินตามวิวัฒนาการของเทคโนโลยีได้ทัน ทั้งที่กฎหมายเป็นสิ่งแรกที่ต้องใช้เพื่อตอบสนองกับเหตุการณ์

อาจมีทางที่จะแก้ไขความเหลื่อมล้ำระหว่างเทคโนโลยีกับความเสี่ยงและการตรากฎหมาย คือพฤติกรรมของมนุษย์มากกว่าที่จะให้กฎหมายไล่ตามเทคโนโลยี

ความไม่สม่ำเสมอของกฎหมายและเทคนิค

เราเข้าใจกันดีว่าในแต่ละประเทศมีวิธีแตกต่างกันที่จะเลือกทำตามฝ่ายนานาชาติหรือภูมิภาค และความแตกต่างตรงนี้จะเป็นจุดเริ่มต้นของการออกกฎหมาย กฎหมายและเทคนิคมีความเหลื่อมล้ำทำให้การตรวจสอบและการควบคุมนั้นเป็นไปได้ยาก รวมถึงการประสานงานระหว่างประเทศด้วย ยกตัวอย่างการประชุมทวิภาคี EU-US Privacy Shield ที่กล่าวถึงสิทธิของชาวยุโรปที่มีข้อมูลของตนไหลไปยัง US

ความขัดแย้งระหว่างกฎหมายและหลักการ

ในบริบทเดียวกัน กฎหมายมีประสิทธิภาพสำหรับการควบคุมพฤติกรรม และสามารถแก้ไขได้ แต่หลายครั้งที่เราพบว่ากฎหมายนั้นกลับเป็นบ่อนทำลายหลักการและสิทธิของมนุษย์ เพราะสำหรับอินเตอร์เน็ตนั้นไม่มีเส้นกั้นชายแดน และบางอย่างที่ใช้ได้ในที่ๆหนึ่งอาจใช้ไม่ได้ในที่อีกที่หนึ่ง

ข้อจำกัดของขอบเขตแอปพลิเคชั่น

shutterstock_422575195-2

การขาดตัวบทกฎหมายหรือข้อตกลงมีส่วนทำให้การทำงานร่วมกันของแต่ละชาติเกิดปัญหา หรือแม้กระทั่งประเทศเดียวกัน ทั้งภาครัฐและเอกชนกำลังเผชิญกับอุปสรรคเมื่อต้องเข้าถึงข้อมูลสำหรับการสืบสวน, ข้อมูลสำหรับความปลอดภัย, สิทธิ และข้อมูลเชิงพาณิชย์

กรณีศึกษาที่ชัดเจนที่สุดคงหนีไม่พ้น FBI และ Apple ที่ฝ่าย FBI เรียกร้องให้ทาง Apple ปลดล็อคหน้าจอโทรศัพท์มือถือของหนึ่งในผู้ต้องสงสัยที่ก่อเหตุวินาศกรรม หรือกรณีที่ศาลของบราซิลสั่งให้บล็อคแอปพลิเคชั่น WhatsApp ซึ่งเป็นที่ถกเถียงกันมาก เนื่องจากต่างฝ่ายก็ต่างมีแนวทางที่ชัดเจนของตัวเอง และไม่มีกฎหมายหรือแนวทางในการทำงานร่วมกัน

สานต่องานพัฒนาและทำให้ความปลอดภัยไซเบอร์เป็นที่รู้จัก

ในช่วงใหม่ๆที่มีการประกาศใช้กฎหมายเกี่ยวกับความปลอดภัยไซเบอร์มีผู้ใช้สนใจเป็นจำนวนมาก เนื่องจากจำนวนครั้ง, ความถี่ และผลกระทบจากเหตุการณ์ความปลอดภัยที่เกิดขึ้นทั่วโลก และได้นำไปใช้เป็นพื้นฐานในการพัฒนาประเทศ

จุดมุ่งหมายของกฎหมายมีไว้เพื่อเป็นมาตรการในการป้องกันทุกระดับในทุกๆพื้นที่ และผู้บังคับใช้กฎหมายจะสามารถวิเคราะห์ความต้องการด้านความปลอดภัยของประเทศตัวเองได้ ทั้งความสามารถในการรับมือกับเหตุการณ์ขนาดใหญ่, การปกป้องโครงสร้างพื้นฐานสำคัญของประเทศ, ความสามารถในการทำงานร่วมกันประเทศอื่นๆ และการปลูกฝังผู้คนในชาติเกี่ยวกับความปลอดภัย

ณ ตอนนี้มีการพัฒนากฎหมายกันอย่างต่อเนื่อง เพื่อให้แต่ละประเทศสามารถกำหนดคำว่าความปลอดภัยได้ในบริบทของตัวเอง ตลอดจนสนับสนุนการทำงานร่วมกันระหว่างภาครัฐและเอกชน รวมไปถึงระดับชาติ พร้อมรับมือกับภัยคุกคามแล้วการโจมตีที่จะเกิดขึ้น

แต่งานเบื้องหลังกฎหมายนี้ต้องทำขึ้นมาให้เป็นรูปธรรม เพื่อให้คนเข้าใจและตอบรับกับเงื่อนไขของภาครัฐและเอกชน เช่นเดียวกับเหล่านักลงทุน เพราะหนึ่งในอุปสรรคที่ก้าวผ่านไปได้ยากก็คือความเชื่อใจ, กฎหมายที่ไม่ดี และความสนใจที่แตกต่างกันของแต่ละภาคส่วน

ความโปร่งใสเป็นสิ่งสำคัญของการซื้อใจนักลงทุน กฎเกณฑ์ข้อตกลงที่ตั้งขึ้นมาต้องชัดเจนสำหรับทุกฝ่าย เพื่อให้ทุกฝ่ายเต็มใจที่จะทำตามและสร้างวัฒนธรรมความปลอดภัยขึ้นมา

Author: MIGUEL ÁNGEL MENDOZA
Source: http://www.welivesecurity.com/2017/03/13/challenges-implications-cybersecurity-legislation/
Translated by: Worapon H.

%d bloggers like this: