ตั้งแต่วันที่ 18 มกราคม 2568 เป็นต้นไป คณะกรรมการการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ได้บังคับใช้ประกาศย่อยที่สำคัญ 2 ฉบับภายใต้พระราชบัญญัติฯ ได้แก่:

• มาตรฐานการกําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ. 2566
• มาตรฐานขั้นต่ำของข้อมูลหรือระบบสารสนเทศ พ.ศ. 2566

ประกาศเหล่านี้กำหนดให้องค์กรที่เป็นโครงสร้างพื้นฐานข้อมูลสำคัญ (CII) ต้องจัดประเภทข้อมูลและระบบสารสนเทศตามหมวดหมู่ความมั่นคงปลอดภัย และดำเนินการตามมาตรฐานการป้องกันทางไซเบอร์ขั้นต่ำตามหมวดหมู่ที่กำหนดไว้ องค์กรที่เกี่ยวข้องกับความมั่นคงของชาติ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจ หรือโครงสร้างพื้นฐานสาธารณะที่สำคัญ จะต้อง

หน่วยงานและองค์กรที่ถูกจัดประเภทเป็นโครงสร้างพื้นฐานข้อมูลสำคัญ (Critical Information Infrastructure - CII) จำเป็นต้องปฏิบัติตามพระราชบัญญัติความมั่นคงปลอดภัยทางไซเบอร์ของประเทศไทย ซึ่งรวมถึง:

• ความมั่นคงของชาติ
• เทคโนโลยีสารสนเทศและโทรคมนาคม
• พลังงานและสาธารณูปโภค
• สาธารณสุข
• ธนาคารและการเงิน
• การให้บริการสาธารณะที่มีสาระสำคัญ
• การขนส่งและโลจิสติกส์
• ภาคส่วนอื่น ๆ ที่ถือว่ามีความสำคัญต่อผลประโยชน์ของชาติ

แม้ว่าข้อกำหนดด้านกฎระเบียบจะมีความชัดเจน แต่แต่ละภาคส่วนของโครงสร้างพื้นฐานข้อมูลสำคัญ (CII) ก็เผชิญกับความท้าทายที่แตกต่างกัน ตั้งแต่การขาดความสามารถในการมองเห็นระบบทั้งหมด ความไม่แน่ใจเกี่ยวกับความพร้อมในการปฏิบัติตามข้อกำหนด ไปจนถึงความไม่ชัดเจนว่ากฎระเบียบเหล่านี้มีผลต่อการดำเนินงานของตนอย่างไร 

ความท้าทายเหล่านี้อาจทำให้การดำเนินการล่าช้า และเพิ่มความเสี่ยงต่อระบบที่มีความสำคัญ ที่ ABB เราช่วยให้คุณดำเนินการตามข้อกำหนดได้อย่างมั่นใจ ด้วยการเสริมสร้างความเข้าใจในแนวทางปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ในปัจจุบัน และช่วยให้คุณสามารถรับมือกับความเสี่ยงเฉพาะในแต่ละอุตสาหกรรมได้อย่างมีประสิทธิภาพ

พระราชบัญญัติความมั่นคงปลอดภัยทางไซเบอร์ของประเทศไทย พร้อมด้วยประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ฉบับใหม่ 2 ฉบับในปี 2568 ว่าด้วยมาตรฐานขั้นต่ำของข้อมูลหรือระบบสารสนเทศ ได้ขยายขอบเขตข้อกำหนดสำหรับองค์กรโครงสร้างพื้นฐานข้อมูลสำคัญ (CII) อย่างมีนัยสำคัญ โดยกำหนดให้องค์กรเหล่านี้ต้องดำเนินการตามชุดมาตรการควบคุมด้านความมั่นคงปลอดภัยไซเบอร์ที่ครอบคลุม ซึ่งสอดคล้องกับหลักการด้านความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability)

องค์กร CII จะต้องจัดทำเอกสารกลยุทธ์การบริหารความเสี่ยง แผนตอบสนองต่อเหตุการณ์ กระบวนการจัดการสินทรัพย์ การประเมินช่องโหว่ การควบคุมการเข้าถึง ขั้นตอนการเสริมความมั่นคงของระบบ โปรแกรมสร้างความตระหนักรู้ แผนการสื่อสารในภาวะวิกฤต และแนวทางการจัดการบุคคลภายนอก

ข้อกำหนดเหล่านี้มีเป้าหมายเพื่อให้องค์กร CII ดำเนินการเชิงรุกและเป็นระบบในการปกป้องระบบที่มีความสำคัญ เสริมสร้างความสามารถในการรับมือภัยไซเบอร์ของประเทศ และรักษาความต่อเนื่องในการดำเนินงานท่ามกลางภัยคุกคามที่เปลี่ยนแปลงอย่างต่อเนื่อง

การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นถึง 151% ในปี 2021 โดยสร้างความเสียหายให้กับระบบ OT เฉลี่ยถึง 4.82 ล้านดอลลาร์ต่อเหตุการณ์ อย่างไรก็ตาม 48% ขององค์กรยังไม่ทราบว่าระบบของตนถูกเจาะหรือไม่ การศึกษาจาก Sophos พบว่า 62% ของโครงสร้างพื้นฐานสำคัญ เช่น ภาคพลังงาน ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ เมื่อเทียบกับ 49% ในภาคส่วนอื่น ๆ เช่น การผลิต ก่อสร้าง และ IT ดังนั้น ความมั่นคงปลอดภัยไซเบอร์จึงไม่ใช่ทางเลือกอีกต่อไป แต่เป็นสิ่งจำเป็นในการปกป้องการดำเนินงาน รักษาความต่อเนื่อง และเสริมความหยืดหยุ่นด้านธุรกิจ

ที่ ABB เราให้คำแนะนำเพื่อช่วยให้คุณเตรียมพร้อมรับมือกับการโจมตีด้วยแรนซัมแวร์ก่อนที่จะเกิดขึ้นแนวทางความมั่นคงปลอดภัยเชิงรุกของเราช่วยให้สามารถตรวจพบช่องโหว่ได้ตั้งแต่เนิ่น ๆ เฝ้าระวังภัยคุกคามแบบเรียลไทม์ และดำเนินมาตรการป้องกันล่วงหน้า ดาวน์โหลด e-book เพื่อเรียนรู้วิธีปกป้องการดำเนินงานของคุณและเสริมความสามารถในการรับมือกับแรนซัมแวร์

เรามีชุดโซลูชันที่ครบถ้วนเพื่อช่วยลูกค้าจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ในระบบ OT และสนับสนุนการปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย.