ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ ยุติการเก็บข้อมูลที่ไม่เข้มงวด

การเปลี่ยนแปลงนี้ไม่เพียงแต่จะเติมเต็มช่องว่างทางกฎหมายเท่านั้น แต่ยังสร้างอุปสรรคทางเทคนิคที่เข้มงวดอีกด้วย กำหนดให้หัวหน้าองค์กรต้องมีใบรับรองความปลอดภัยทางไซเบอร์ และยุติยุคของการรวบรวมข้อมูล "ง่ายๆ" โดยธุรกิจต่างๆ

ข้อมูลกลายเป็นเรื่องของการอยู่รอดของชาติ

ในงานสัมมนา “กฎหมายความมั่นคงปลอดภัยไซเบอร์ 2568: ก้าวไปข้างหน้าในการปกป้องความปลอดภัยข้อมูล” ซึ่งจัดโดยสมาคมความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ในช่วงบ่ายของวันที่ 24 พฤศจิกายน ผู้เชี่ยวชาญเห็นพ้องต้องกันเป็นเอกฉันท์ว่ากรอบกฎหมายเดิมได้บรรลุภารกิจเบื้องต้นแล้ว แต่ยังไม่ครอบคลุมเพียงพอที่จะรองรับความเร็วในการเปลี่ยนแปลงสู่ดิจิทัลในปัจจุบัน

พันโทเหงียน ดินห์ โด ทิ รองหัวหน้ากรมความมั่นคงปลอดภัยไซเบอร์ (กรมความมั่นคงปลอดภัยไซเบอร์และการป้องกันและควบคุมอาชญากรรมไฮเทค กระทรวงความมั่นคงสาธารณะ ) เน้นย้ำถึงการเปลี่ยนแปลงวิธีคิดในการบริหารจัดการของรัฐเมื่อพิจารณาข้อมูลว่าเป็น "เลือด" ของเศรษฐกิจดิจิทัล และระบุถึงนโยบายหลักของรัฐในการรับรองความมั่นคงปลอดภัยไซเบอร์และความปลอดภัยของข้อมูล

ประการแรก ให้ความสำคัญกับความมั่นคงปลอดภัยทางไซเบอร์ในด้านการป้องกันประเทศ ความมั่นคง เศรษฐกิจ สังคม วิทยาศาสตร์และเทคโนโลยี และกิจการต่างประเทศ ประการที่สอง สร้างโลกไซเบอร์ที่ปลอดภัย ไม่ก่อให้เกิดความเสียหายต่อความมั่นคงแห่งชาติและความสงบเรียบร้อยทางสังคม

ประการที่สาม มุ่งเน้นทรัพยากรไปที่การสร้างกำลังพลเฉพาะทาง การพัฒนาบุคลากรที่มีคุณภาพสูง และการส่งเสริมการวิจัยและพัฒนา เทคโนโลยี ความมั่นคงปลอดภัยไซเบอร์ ประการที่สี่ ส่งเสริมให้องค์กรและบุคคลต่างๆ มีส่วนร่วมในการจัดการความเสี่ยงและประสานงานกับหน่วยงานที่เกี่ยวข้อง ประการที่ห้า ให้ความสำคัญกับการใช้ผลิตภัณฑ์และบริการด้านอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ของเวียดนาม ประการที่หก เสริมสร้างความร่วมมือระหว่างประเทศเพื่อปกป้องความมั่นคงปลอดภัยไซเบอร์

ความเร่งด่วนของการตรากฎหมายด้านความปลอดภัยข้อมูลมีสาเหตุมาจากข้อเท็จจริงที่ว่าความเสี่ยงต่อความไม่ปลอดภัยมีมากขึ้นเรื่อยๆ

พันเอก ธี ชี้ให้เห็นว่าในปี 2567 เพียงปีเดียว เวียดนามบันทึกการโจมตีทางไซเบอร์มากกว่า 600,000 ครั้ง โดยมีการโจมตีระบบของหน่วยงานของรัฐหลายหมื่นครั้ง

นอกจากนี้ การโจมตีด้วยแรนซัมแวร์ยังบังคับให้ธุรกิจในเวียดนามจำนวนมากต้องจ่ายเงินค่าไถ่ข้อมูลเป็นมูลค่าหลายล้านดอลลาร์สหรัฐฯ คล้ายกับกรณีในสหรัฐอเมริกาที่มีมูลค่าสูงถึง 40 ล้านดอลลาร์สหรัฐฯ สถานการณ์การซื้อขายข้อมูลกำลังเกิดขึ้นอย่างเปิดเผย โดยทั่วไปแล้วมักเป็นกรณีการรื้อถอนกลุ่มบุคคลที่ซื้อขายข้อมูลส่วนบุคคลอย่างผิดกฎหมายมากถึง 6 ล้านรายการในเดือนกุมภาพันธ์

นายหวู่ หง็อก เซิน หัวหน้าแผนกวิจัย ที่ปรึกษา พัฒนาเทคโนโลยี และความร่วมมือระหว่างประเทศ (สมาคมความปลอดภัยทางไซเบอร์แห่งชาติ) ซึ่งมีมุมมองเดียวกัน ประเมินว่าการเพิ่มแนวคิดเรื่อง "ความปลอดภัยของข้อมูล" ถือเป็นความสำเร็จครั้งยิ่งใหญ่ของร่างกฎหมายฉบับนี้ โดยทำให้ข้อมูลเป็นศูนย์กลางของงานด้านความปลอดภัย

นายซอน กล่าวว่า กฎระเบียบใหม่จะสร้างกระบวนการคัดกรองที่เข้มงวด โดยแบ่งตลาดออกเป็นสองกลุ่มที่แตกต่างกัน คือ กลุ่ม "หน่วยจริง" และกลุ่ม "หน่วยปลอม"

ก่อนหน้านี้ หน่วยงานต่างๆ สามารถรวบรวมและจัดเก็บข้อมูลได้อย่างอิสระโดยไม่ต้องลงทุนด้านความปลอดภัย อย่างไรก็ตาม คาดว่าร่างกฎหมายฉบับนี้จะยุติสถานการณ์นี้ หน่วยงานที่ไม่รับประกันโครงสร้างพื้นฐานและโซลูชันความมั่นคงปลอดภัยทางไซเบอร์จะไม่ได้รับอนุญาตให้รวบรวมและจัดเก็บข้อมูล

นายซอนเปรียบเทียบข้อมูลกับเงิน ผู้คนฝากเงินเฉพาะในธนาคารที่ตรงตามมาตรฐานการคุ้มครองเท่านั้น และในทำนองเดียวกัน พวกเขาจะไม่ให้ข้อมูลแก่องค์กรที่ไม่มีศักยภาพในการรับประกันความปลอดภัย

การเปลี่ยนแปลงนี้จะกระตุ้นให้เกิดภาคเศรษฐกิจใหม่ นั่นคือ อุตสาหกรรมข้อมูล ควบคู่ไปกับอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ ธุรกิจที่ไม่มีคุณสมบัติในการปกป้องข้อมูลด้วยตนเอง จะต้องเปลี่ยนไปใช้บริการต่างๆ เชื่อมต่อกับฐานข้อมูลระดับชาติ หรือเข้าร่วมในการแลกเปลี่ยนข้อมูลที่มีชื่อเสียง แทนที่จะรวบรวมข้อมูลด้วยตนเอง

สิ่งนี้ช่วยเพิ่มประสิทธิภาพทรัพยากรทางสังคม ลดต้นทุนการลงทุนแบบกระจายอำนาจ และจำกัดความเสี่ยงในการรั่วไหล” นายซอนกล่าวเสริม

การตรวจสอบใบหน้าไม่เพียงพอที่จะต่อสู้กับ Deepfake

นายทราน กง กวินห์ ลาน รองผู้อำนวยการธนาคารพาณิชย์ร่วมทุนเวียดนามเพื่ออุตสาหกรรมและการค้า (Vietinbank) กล่าวว่าปัจจุบันธุรกรรม 99% ของธนาคารแห่งนี้ดำเนินการผ่านช่องทางดิจิทัล

เพื่อตอบสนองความต้องการใหม่ VietinBank ได้นำโมเดลความปลอดภัยหลายชั้นมาใช้ โดยใช้การตรวจสอบสิทธิ์ 4 ชั้นที่กำลังใช้อยู่ในปัจจุบัน:

ชั้นที่ 1 และ 2: ชื่อผู้ใช้/รหัสผ่านและรหัส OTP

ชั้นเรียนที่ 3: ไบโอเมตริกส์ (ใบหน้า)

ชั้นที่ 4: การยืนยันตัวตนผ่านบัตรประจำตัวประชาชนแบบชิป โดยใช้เทคโนโลยี NFC (เทคโนโลยีการสื่อสารไร้สายระยะสั้น)

คุณหลานเน้นย้ำถึงบทบาทของการป้องกันชั้นที่สี่ในการต่อสู้กับการฉ้อโกงการระบุตัวตน (ดีปเฟก) ยกตัวอย่างเช่น เมื่อมีการโอนเงินมากกว่า 1 พันล้านดอง ระบบจะกำหนดให้ผู้ใช้สแกนบัตรประจำตัวประชาชนที่ฝังชิปเพื่อยืนยันตัวตน แทนที่จะใช้เพียงใบหน้า

ที่น่าสังเกตคือ เมื่อลูกค้าเปลี่ยนอุปกรณ์โทรศัพท์ของตน ซึ่งเป็นพฤติกรรมเสี่ยงสูง ธนาคารยังใช้การตรวจสอบสิทธิ์ NFC เพื่อรับรองความถูกต้องอีกด้วย

นอกเหนือจากแนวทางแก้ปัญหาทางเทคนิคแล้ว นายลานยังได้ชี้ให้เห็นถึงความท้าทายในการดำเนินงานหลักๆ ที่เกิดจากร่างกฎหมายฉบับนี้:

การจำแนกประเภทข้อมูล: ธนาคารต้องจำแนกประเภทและติดป้ายกำกับข้อมูลสำหรับธุรกรรมหลายล้านรายการในแต่ละวัน ข้อมูลไบโอเมตริกซ์ ข้อมูลทางการเงิน และข้อมูลพฤติกรรม ต้องมีกลไกการป้องกันและการอนุญาตการเข้าถึงที่แตกต่างกัน

การรายงานเหตุการณ์ภายใน 24 ชั่วโมง: ข้อกำหนดในการรายงานเหตุการณ์ทางไซเบอร์ภายใน 24 ชั่วโมงพร้อมแผนการตอบสนองทำให้กระบวนการตอบสนองมีความตึงเครียดอย่างมาก

“อย่าไว้ใจใคร” คือการปกป้องที่ปลอดภัยที่สุด

ในส่วนของโครงสร้างพื้นฐานเครือข่าย คุณ Le Cong Trung หัวหน้ากลุ่มงานความปลอดภัยเครือข่าย (MobiFone) ได้นำเสนอการประยุกต์ใช้สถาปัตยกรรม Zero Trust ซึ่งก็คือการไม่ไว้วางใจใคร เพื่อให้เป็นไปตามมาตรฐานความปลอดภัยเครือข่ายใหม่ๆ

โมเดลนี้ควบคุมโดยยึดหลัก 5 ประการ ได้แก่ การระบุตัวตน อุปกรณ์ เครือข่าย แอปพลิเคชัน และข้อมูล การเข้าถึงทุกครั้งต้องผ่านการตรวจสอบสิทธิ์ซ้ำอย่างต่อเนื่อง

ประเด็นสำคัญอีกประการหนึ่งคือการควบคุมความเสี่ยงในห่วงโซ่อุปทาน

“MobiFone กำลังส่งเสริมกลยุทธ์ความเป็นอิสระทางเทคโนโลยี โดยผลิตอุปกรณ์รักษาความปลอดภัยเครือข่ายด้วยตนเอง เช่น ไฟร์วอลล์ และโซลูชันการระบุตัวตน “Make in Vietnam” เพื่อหลีกเลี่ยงการพึ่งพาบุคคลที่สาม” นาย Trung กล่าว

ผู้แทนของ MobiFone ยังชื่นชมอย่างยิ่งที่ร่างพระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ปฏิบัติตามมาตรฐาน TCVN 11423 ว่าด้วยความมั่นคงปลอดภัยไซเบอร์อย่างใกล้ชิด โดยช่วยให้ธุรกิจต่างๆ มีมาตรการเชิงปริมาณที่เฉพาะเจาะจง (ข้อกำหนด 15 ประการสำหรับระบบหน่วยงานของรัฐ ข้อกำหนด 18 ประการสำหรับระบบระดับชาติที่สำคัญ) เพื่อปรับใช้โซลูชันทางเทคนิค

จุดเปลี่ยนแปลงใหม่ในกฎหมายความมั่นคงปลอดภัยไซเบอร์ปี 2568 ที่นายหวู่หง็อกเซินเน้นย้ำเป็นพิเศษคือข้อกำหนดของผู้นำ

ต่างจากกฎหมายเดิมที่จำกัดความรับผิดชอบโดยทั่วไปไว้เพียงเท่านั้น ร่างกฎหมายฉบับนี้กำหนดให้หัวหน้าองค์กรต้องมีความรู้และได้รับการรับรองด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ คุณซอนกล่าวว่านี่เป็นก้าวสำคัญในการเปลี่ยนแปลงวัฒนธรรมองค์กร เพราะหากผู้นำไม่เข้าใจ ก็จะไม่สามารถตัดสินใจลงทุนได้อย่างมีประสิทธิภาพ

“ผู้ใช้อินเทอร์เน็ตจำเป็นต้องเปลี่ยนทัศนคติจาก “ความสนุกสนาน” มาเป็น “ความรับผิดชอบ” การแบ่งปันข้อมูลส่วนบุคคลอย่างไม่ระมัดระวังและไร้การควบคุมก็เหมือนกับการปล่อยทรัพย์สินไว้โดยไม่ได้รับการคุ้มครอง ซึ่งเป็นการส่งเสริมให้เกิดอาชญากรรมทางอ้อม” นายซอนกล่าวเสริม

คุณซอนได้แบ่งปันประสบการณ์ระดับนานาชาติ โดยยกตัวอย่างประเทศเกาหลีใต้ ซึ่งครั้งหนึ่งเคยถูกโจมตีทางไซเบอร์มากที่สุดในโลก เกาหลีใต้ได้สร้างระบบการรับรองมาตรฐานความปลอดภัยทางไซเบอร์สากลตั้งแต่ระดับประถมศึกษาจนถึงระดับบัณฑิตศึกษา

“ด้วยการฝึกอบรมที่ละเอียดถี่ถ้วนนี้ ชาวเกาหลีและบุคลากรจึงมีทักษะการป้องกันประเทศที่ดีมาก เสมือนเป็น “เกราะ” ที่แข็งแกร่งให้กับประเทศ เมื่อทุกฝ่ายมีความรู้และการลงทุนด้านความปลอดภัยทางไซเบอร์” นายซอนกล่าว

ที่มา: https://dantri.com.vn/cong-nghe/du-thao-luat-an-ninh-mang-cham-dut-tinh-trang-thu-thap-du-lieu-de-dai-20251124225636608.htm