สกมช.ปลื้มหน่วยงานตบเท้าร่วมโครงการปั้นผู้จัดการด้านความมั่นคงปลอดภัยไซเบอร์กว่า 1,000 คน คัดเหลือ 600 สู่โปรแกรมอบรมระดับ เข้มพร้อมสอบใบประกาศ CISSP คาดมีผู้ผ่านมาตรฐาน 50 คนภายในต้นปีหน้า ดันหน่วยงานปั้นตำแหน่ง CISO บริหารจัดการความเสี่ยงด้านไซเบอร์ตามกฎหมาย
พลอากาศตรี อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่ากฎหมายลูกของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ระบุว่าหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII : Critical Information Infrastructure) ต้องมีตำแหน่ง Chief Information Security Officer (CISO) เพื่อทำหน้าที่บริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ จึงจำเป็นต้องมีความรู้ด้านการบริหารจัดการในการเป็นผู้วางแผนรับมือกับภัยไซเบอร์ที่จะเกิดขึ้นร่วมกับประธานเจ้าหน้าที่บริหารหรือ ซีอีโอ ไม่ว่าจะเป็นการวางระบบเองหรือใช้เอาท์ซอร์สจากบริษัทอื่นหากไม่มีการบริหารความเสี่ยงที่ดีเมื่อเกิดช่องโหว่หน่วยงาน CII ต้องรับผิดทางกฎหมาย
ทว่าในตำแหน่งดังกล่าวยังมีหน่วยงาน CII โดยเฉพาะในหน่วยงานภาครัฐไม่ค่อยมีตำแหน่งนี้ ส่วนใหญ่เป็นเพียงตำแหน่งCIO ( Chief Information Officer) ซึ่งเป็นตำแหน่งดูแลเรื่องเทคนิค มากกว่าการวางแผน ดังนั้น สกมช.จึงต้องมีส่วนช่วยในการสร้างบุคลากรด้านนี้ขึ้นผ่านโครงการสอบประกาศนียบัตร CISSP (Certified Information Systems Security Professional ) สมาคมไอเอสซี สแควร์ ภาคพื้นกรุงเทพมหานคร ซึ่งเป็นองค์กรระดับสากลที่เกิดจากการรวมตัวของผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อยกระดับผู้เชี่ยวชาญด้านไอทีไปสู่ผู้เชี่ยวชาญด้านความมั่นคงความปลอดภัยไซเบอร์ระดับสูงและก้าวขึ้นสู่ตำแหน่ง CISO ซึ่งปัจจุบันในประเทศไทยมีบุคลากรที่ได้ประกาศ CISSP เพียง 270 คน และส่วนใหญ่เป็นหน่วยงานเอกชน ขณะที่สิงค์โปร์มีบุคลากรด้านนี้ 3,000 คน มาเลเซีย มี 400 คน
“ตัวเลขคนได้รับประกาศ CISSP ของประเทศไทยนิ่งอยู่ที่ 270 คน มาหลายปีแล้ว เพราะเป็นการสอบที่ยาก และมีค่าใช้จ่ายสูง สกมช.จึงต้องทำหน้าที่กระตุ้นให้เพิ่มขึ้น เพราะเข้าใจว่าหน่วยงานโดยเฉพาะภาครัฐอาจมีข้อจำกัดเรื่องงบประมาณ ที่น่าเป็นห่วงคือภาคการศึกษา ปัจจุบันพบว่าเป็น CII ที่น่าเป็นห่วงที่สุดเพราะมีช่องโหว่ถูกฝังมัลแวร์ และสามารถเป็นจุดเริ่มต้นกระจายความเสี่ยงไปยังองค์กรอื่นๆได้ง่ายกว่าภาคสาธารณสุข ”
พลอากาศตรี อมร กล่าวว่า หลังจากเปิดรับสมัครโครงการสอบประกาศนียบัตร CISSP มีหน่วยงานที่สนใจส่งเจ้าหน้าที่เข้าร่วมกิจกรรมกว่า 1,000 คน ส่วนใหญ่เป็นภาคการเงิน ธนาคาร และ โทรคมนาคม โดยสกมช.ได้คัดคนเหลือ 600 คน ที่มีคุณสมบัติและความพร้อมในการเข้าร่วมอบรมหลักสูตรความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ระดับสูงเพื่อให้มีความรู้ความเข้าใจเตรียมตัวสอบประกาศนียบัตร CISSP คาดว่าจะมีผู้ได้รับใบประกาศประมาณ 50 คน ภายในต้นปีหน้า เพื่อป้อนบุคลากรให้ประเทศ ส่วนผู้ที่ไม่ผ่านก็จะได้รับความรู้ ความเข้าใจ เกิดการสร้างเครือข่าย มีความรู้ ความเข้าใจในสายงานใหม่นี้ ทั้งกับคนที่มาอบรมเองและหน่วยงานที่ส่งตัวแทนเข้าร่วมอบรม โดยยังสามารถเข้าร่วมกิจกรรมเพื่อสอบใบประกาศในปีถัดไปได้
สกมช.ต้องการให้เป็นโครงการระยะยาว ทำอย่างต่อเนื่อง โดยสกมช.ได้งบประมาณมาจากกองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม (กองทุนดีอี) ของสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.) เพราะแม้เทรนด์การใช้งานคลาวด์เพิ่มสูงขึ้น ไม่ได้หมายความว่าบุคลากรในหน่วยงานไม่จำเป็นต้องรู้เรื่องภัยไซเบอร์เพราะเมื่อเกิดช่องโหว่หน่วยงานต้องรับผิดชอบ การมีตำแหน่ง CISO ในองค์กรจะช่วยทำให้หน่วยงานมีการวางแผนบริหารความเสี่ยงตลอดจนการวางงบประมาณในการใช้เทคโนโลยีอย่างคุ้มค่า นอกจากนี้ยังเป็นการยกระดับของประเทศโดยเฉพาะอันดับของประเทศในด้านไซเบอร์ ซิเคียวริตี้ด้วย
อย่างไรก็ตาม เพื่อให้ตำแหน่ง CISO เกิด บุคลากรมีแรงบันดาลใจในการสอบประกาศนียบัตร CISSP ฝ่ายทรัพยากรบุคคลของแต่ละหน่วยงาน ต้องให้ความสำคัญด้วยการสร้างแรงจูงใจไม่ว่าจะเป็นเงินเดือนที่เพิ่มขึ้น หรือ หากเพิ่มเงินเดือนไม่ได้ก็ต้องสร้างความสำคัญกับบุคลากรด้านนี้ให้ชัดเจนเพื่อยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศและเป็นการยกระดับอันดับความเชื่อมั่นด้านความปลอดภัยของประเทศไทยในระดับอาเซียน