“มาตรฐานความปลอดภัยเว็บไซต์” ฉบับแรกของไทยประกาศใช้แล้ว หน่วยงานภาครัฐและเอกชนต้องรู้ทันเพื่อปรับตัว
ราชกิจจานุเบกษาได้ประกาศใช้ “มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security Standard – Version 1.0)” เมื่อวันที่ 16 กันยายน 2568 นับเป็นครั้งแรกที่ประเทศไทยมีมาตรฐานกลางสำหรับยกระดับความปลอดภัยของเว็บไซต์ โดยเฉพาะเว็บไซต์ของหน่วยงานรัฐและระบบที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
ทำไมต้องมีมาตรฐานนี้
ปัจจุบัน เว็บไซต์ภาครัฐตกเป็นเป้าหมายการโจมตีทางไซเบอร์อย่างต่อเนื่อง ไม่ว่าจะเป็นการเจาะระบบ การแก้ไขหน้าเว็บเพื่อบิดเบือนข้อมูล การสร้างเว็บปลอมเพื่อหลอกประชาชน หรือการใช้เป็นช่องทางแพร่กระจายมัลแวร์
การมีมาตรฐานกลางจึงเป็นกลไกสำคัญในการกำหนดเกณฑ์ขั้นต่ำที่ทุกหน่วยงานต้องปฏิบัติตาม เพื่อยกระดับความปลอดภัยของระบบสารสนเทศและสร้างความมั่นใจให้กับประชาชน
มาตรฐานนี้ถูกจัดทำและประกาศโดย คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) ซึ่งปฏิบัติหน้าที่ภายใต้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. – NCSA) ซึ่งเป็นองค์กรที่มีบทบาทสำคัญตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการกำหนดมาตรการ มาตรฐาน และติดตามการบังคับใช้ในหน่วยงานที่เกี่ยวข้อง โดยเฉพาะหน่วยงานภาครัฐและโครงสร้างพื้นฐานสำคัญของประเทศ
ขอบเขตการบังคับใช้
มาตรฐานนี้ครอบคลุมถึงหน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคัญ หน่วยงานกำกับดูแล รวมไปถึงเว็บไซต์ที่ประชาชนเข้าถึงได้จากอินเทอร์เน็ต โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับการบริการสาธารณะหรือธุรกรรมออนไลน์ ทั้งนี้ยังครอบคลุมทั้งระบบที่ติดตั้งในองค์กร ระบบบนคลาวด์ และระบบโฮสติ้งเว็บไซต์
องค์ประกอบสำคัญของมาตรฐาน
โครงสร้างของมาตรฐานแบ่งออกเป็นสองส่วนหลัก ได้แก่
การกำกับดูแลด้านความมั่นคงปลอดภัยของเว็บไซต์ ซึ่งมุ่งเน้นไปที่การจัดทำนโยบาย การกำหนดบทบาทและความรับผิดชอบ และการบริหารความเสี่ยง
การปฏิบัติการด้านความมั่นคงปลอดภัยของเว็บไซต์ ที่ครอบคลุมตั้งแต่การประเมินความเสี่ยง การป้องกัน การตรวจจับภัยคุกคาม การตอบสนองเหตุการณ์เมื่อถูกโจมตี ไปจนถึงการกู้คืนระบบให้กลับมาใช้งานได้ตามปรกติ
ข้อกำหนดที่ทุกหน่วยงานต้องดำเนินการ เช่น การใช้ SSL/TLS ที่ปลอดภัย การอัปเดตระบบและซอฟต์แวร์อย่างสม่ำเสมอ การติดตั้งระบบรักษาความปลอดภัย ไฟร์วอลล์ หรือ WAF และการมีแผนตอบสนองกรณีเกิดเหตุด้านความมั่นคงปลอดภัย
นอกจากนี้ยังมีข้อแนะนำเพิ่มเติมที่สามารถนำไปปรับใช้เพื่อเพิ่มระดับความปลอดภัยได้ตามความเหมาะสมของแต่ละองค์กร
ผลกระทบต่อบริษัทเอกชน
นอกจากหน่วยงานรัฐแล้ว บริษัทเอกชนที่รับงานกับภาครัฐ โดยเฉพาะผู้พัฒนาเว็บไซต์ ผู้ให้บริการโฮสติ้ง และผู้ให้บริการคลาวด์ จะต้องเร่งปรับตัวให้สอดคล้องกับข้อกำหนด เนื่องจาก TOR ของภาครัฐจะเริ่มระบุเงื่อนไขความมั่นคงปลอดภัยตามมาตรฐานนี้เป็นข้อบังคับ
ผู้รับจ้างจึงจำเป็นต้องพัฒนาเว็บไซต์โดยยึดหลัก Security by Design มีการทดสอบความปลอดภัยสม่ำเสมอ ใช้มาตรการด้าน SSL/TLS ที่ได้มาตรฐาน มีระบบรักษาความปลอดภัยต่างๆ รวมถึงเตรียมบุคลากรและทีมงานที่เข้าใจแนวทางปฏิบัติตามมาตรฐานใหม่นี้
ประโยชน์ที่ประชาชนได้รับ
มาตรฐานใหม่นี้ไม่เพียงแต่ยกระดับความปลอดภัยในเชิงนโยบายและเทคนิค แต่ยังสร้างความมั่นใจให้กับประชาชนผู้ใช้บริการเว็บไซต์ภาครัฐ ว่าจะได้รับบริการที่มีความปลอดภัย ลดความเสี่ยงจากการถูกโจมตี การปลอมแปลงข้อมูล และการเข้าถึงข้อมูลส่วนบุคคลโดยมิชอบ
ผู้ที่สนใจสามารถอ่านประกาศฉบับเต็มได้ทางเว็บไซต์ราชกิจจานุเบกษา
ratchakitcha.soc.go.th/documents/86192.pdf