ความปลอดภัย (Security)
แอปพลิเคชัน “ทางรัฐ” มีความปลอดภัยหรือไม่ อย่างไร
ตอบ แอปพลิเคชันทางรัฐมีการออกแบบและพัฒนาตามมาตรฐานสากลเพื่อปกป้องข้อมูลส่วนบุคคลของผู้ใช้ โดยมีการเข้ารหัสข้อมูลและใช้เทคโนโลยีการยืนยันตัวตนที่ทันสมัย มีการตรวจสอบและทดสอบระบบอย่างต่อเนื่องเพื่อป้องกันการแฮ็กและการเข้าถึงโดยไม่ได้รับ อนุญาต ทั้งโดยทีมวิศวกรของ สพร. เอง และโดยผู้เชี่ยวชาญจาก สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
ระบบต่าง ๆ ที่เกี่ยวข้องกับแอปพลิเคชันทางรัฐติดตั้งอยู่บนผู้ให้บริการระบบคลาวด์ (Cloud Service Provider) ที่น่าเชื่อถือ มีการให้บริการที่มีระดับเสถียรภาพ และความมั่นคงปลอดภัยสูง ได้รับมาตรฐานต่าง ๆ อาทิ ISO 20000 (Service Management) ISO 27001 (Security Management) ISO 27701 (Privacy Information Management) ISO 27018 (Personal Data Protection) SOC2 (Security, Availability and Confidentiality Report) เป็นต้น มีเทคโนโลยีป้องกันการโจมตีทางไซเบอร์ในระดับสูง (State-of-the-Art Cybersecurity Protection) โดยในวันแรกที่เปิดรับลงทะเบียนโครงการเติมเงิน 10,000 บาทผ่าน Digital Wallet ก็มีความพยายามโจมตีระบบต่าง ๆ ที่เกี่ยวข้องในปริมาณมาก แต่ระบบก็สามารถให้บริการได้อย่างต่อเนื่อง ทั้งนี้ สพร. ยังจัดให้มีการเฝ้าระวังภัยคุกคามทางไซเบอร์ร่วมกับ สกมช. และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม อย่างต่อเนื่อง รวมถึงการ สนับสนุนการจัดทำแผนดำรงความต่อเนื่องของการดำเนินงานของระบบ (Business Continuity Plan) และ แผนการฟื้นฟูเพื่อคืนสภาพการพร้อมให้บริการ (Disaster Recovery Plan)
นอกจากนี้ สพร. ยังมีการดำเนินการต่าง ๆ ตาม พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มีมาตรการด้านความมั่นคงปลอดภัย และการคุ้มครองข้อมูลส่วนบุคคล ที่รัดกุม ข้อมูลส่วนบุคคลของประชาชนถูกจัดเก็บแบบเข้ารหัส (encrypted) โดยการเข้าถึงข้อมูลจะทำได้เฉพาะผู้เกี่ยวข้องที่ได้รับสิทธิ์ และเข้าถึงผ่านช่องทางที่มีความมั่นคงปลอดภัยสูงเท่านั้น
ระบบต่าง ๆ ที่เกี่ยวข้องกับแอปพลิเคชันทางรัฐติดตั้งอยู่บนผู้ให้บริการระบบคลาวด์ (Cloud Service Provider) ที่น่าเชื่อถือ มีการให้บริการที่มีระดับเสถียรภาพและความมั่นคงปลอดภัยสูง สพร. มีมาตรฐานการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผ่านการรับรองระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ ISO/IEC 27001 : 2022 (Information Security Management System) ซึ่งใช้หลักการของความมั่นคงปลอดภัยสารสนเทศ (Information Security) ที่มีองค์ประกอบ 3 ส่วน ได้แก่ 1) การรักษาความลับ (Confidentiality : C) 2) ความถูกต้องครบถ้วน (Integrity : I) และ 3) ความสมบูรณ์พร้อมใช้ (Availability : A) เพื่อให้ระบบสารสนเทศของ สพร. มีความมั่นคงปลอดภัย มีประสิทธิภาพ สามารถดำเนินงานได้อย่างต่อเนื่อง และมีมาตรฐานในการป้องกันปัญหาที่อาจเกิดขึ้นจากการใช้งานระบบสารสนเทศในลักษณะที่ไม่ถูกต้องหรือจากการถูกโจมตีจากภัยคุกคามต่าง ๆ รวมทั้ง สพร. ในฐานะเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่หน่วยงานของรัฐ (CII : Critical Information Infrastructure) ยังมีการดำเนินการด้านความมั่นคงปลอดภัยที่สอดคล้องกับตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ภายใต้การกำกับดูแลจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
พร้อมทั้ง สพร. คำนึงถึงผลกระทบเชิงลบหากบริการหยุดชะงักหรือไม่สามารถให้บริการได้อย่างเนื่อง จึงจัดให้มีเทคโนโลยีป้องกันการโจมตีทางไซเบอร์ในระดับสูง (State-of-the-Art Cybersecurity Protection) มีการติดตามเฝ้าระวังภัยคุกคามทางไซเบอร์ตลอด 24 ชม. ร่วมกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดยในวันแรกที่เปิดรับลงทะเบียนโครงการเติมเงิน 10,000 บาท ผ่าน Digital Wallet ก็มีความพยายามโจมตีระบบต่าง ๆ ที่เกี่ยวข้องในปริมาณมาก แต่ระบบก็สามารถให้บริการได้อย่างต่อเนื่อง รวมถึง จัดให้มีแผนบริหารความต่อเนื่องในการให้บริการ (Business Continuity Plan) การประเมินช่องโหว่ การประเมินความเสี่ยงและผลกระทบ หากบริการหยุดชะงักจากภาวะวิกฤติต่าง ๆ จัดทำแผนรับมือความมั่นคงปลอดภัยทางไซเบอร์ และแผนการฟื้นฟูและการกู้คืนระบบ เพื่อคืนสภาพการพร้อมให้บริการ (Disaster Recovery Plan)
นอกจากนี้ สพร. ยังมีการดำเนินการต่าง ๆ ตาม พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มีมาตรการด้านความมั่นคงปลอดภัย และการคุ้มครองข้อมูลส่วนบุคคล เก็บ รวบรวม ใช้ข้อมูลตามวัตถุประสงค์การให้บริการหรือตามความจำเป็น ข้อมูลส่วนบุคคลของประชาชนถูกจัดเก็บแบบเข้ารหัส (encrypted) โดยการเข้าถึงข้อมูลจะทำได้เฉพาะผู้เกี่ยวข้องที่ได้รับสิทธิ์ และเข้าถึงผ่านช่องทางที่มีความมั่นคงปลอดภัยสูงเท่านั้น