Tuesday, August 26

หัวใจของกฏหมายคอมพิวเตอร์ไทย

เนื่องจากกฏหมายนี้ออกมามีเสียงวิจารณ์อยู่จำนวนมาก ถึงจะมากด้วยเสียงบ่นก็ต้องทำความเข้าใจว่า นี้เป็นมิติใหม่ของวงการไอซีทีประเทศไทย ที่จะก้าวไปอีกก้าวหนึ่ง จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจากทางโลก มากกว่าทางธรรม นั้นคือ ทางโลกใช้พฤติกรรมมนุษย์ (Hacker) ไม่ว่าเป็นรัก โลภ โกรธ หลง มาใช้ในการสืบหา ในทางธรรม คือเทคโนโลยี เช่นระบบดิจิตอลที่ไม่หลอกคนใช้งาน แสดงผลอย่างไรก็ว่าไปอย่างนั้น การที่จะหาผู้กระทำความผิดทางระบบคอมพิวเตอร์มาลงโทษเมื่อสมัยก่อนจึงเป็น เรื่องที่ยากและเป็นเรื่องไกลตัว จากสถิติการใช้งานอินเตอร์เน็ตที่สูงขึ้นในอัตราที่ก้าวกระโดดทุกปี ปรากฏว่ามีคดีฟ้องร้องกันในด้านระบบไอทีไม่น้อยกว่า 2 คดีในแต่ละเดือน และมีแนวโน้มที่สูงขึ้น จึงขออยากทำความเข้าใจให้มากขึ้นสำหรับผู้ที่ศึกษาหาข้อมูล พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นี้ขึ้นอีกครั้ง โดยจะเน้นไปที่เนื้อหาใจความสำคัญที่เป็นหัวใจของกฏหมายฉบับนี้

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นคือ "ต้องการหาผู้กระทำความผิดมาลงโทษ"

หลายคนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตาม พ.ร.บ ฉบับนี้ แต่หากเข้าใจความหมายและหัวใจของกฏหมายฉบับนี้แล้วจะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก "เอาใจเขามาใส่ใจเรา" หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้

ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์

ปัญหาส่วนใหญ่ที่มักเกิดความเสี่ยงภัยไม่ว่าเป็น การหมิ่นประมาท การก่อการร้าย การขโมยข้อมูล การปลอมแปลงข้อมูล การก่อกวนทำให้ผู้อื่นเสียหาย มักจะเกิดจากการใช้งานอินเตอร์เน็ต หนีไม่พ้น Application Protocol ดังต่อไปนี้ คือ Web (HTTP, HTTPS) , Mail (SMTP , POP3 , IMAP อื่นๆ) , Chat (MSN , Yahoo , ICQ , IRC อื่นๆ) , VoIP , การ Upload / Download ที่อาจมีละเมิดทรัพย์สินทางปัญญา โดยใช้การใช้โปรแกรมพวก P2P , การ Remote Access ทั้งจากภายในองค์กร สู่ภายนอก และ ภายนอกองค์กร เข้าสู่ระบบภายใน เป็นต้น ล้วนมีความเสี่ยงหากใช้ด้วยพฤติกรรมที่ไม่เหมาะสมและขาดจริยธรรม ซึ่งอาจทำให้เกิดเป็นคดี ตามมาตรา 5 - 16 ได้เช่นกัน

โดยความเสี่ยงภัยดังกล่าวสามารถมองได้ 2 มุม คือ

1. มุมภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

2. มุมระดับเครื่องคอมพิวเตอร์ ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ทั้ง 2 ข้อนี้พบว่าส่วนใหญ่แล้วผู้ที่มีความเสี่ยงภัยที่ก่อเหตุการอันไม่พึ่งประสงค์ ล้วนแล้วแต่เป็น ผู้ใช้งาน (User)

ในมุมที่หนึ่ง : หน่วยงานที่ยังขาดโครงสร้างพื้นฐาน (ICT Infrastructure) เป็นเรื่องยากที่จะควบตุมการใช้งาน User ในองค์กรได้ หากยังไม่สามารถควบคุมการใช้งาน User ได้แล้วความเสี่ยงภัยย่อมเกิดขึ้นอย่างแน่นอน หากไม่มีการควบคุมการใช้งาน User นั้นคือ ขาดการควบคุมการใช้งาน User สำหรับใช้อินเตอร์เน็ต และขาดการควบคุมการใช้งาน User ที่ใช้ระบบไอซีทีภายในองค์กร เช่น การแชร์เอกสารไฟล์ , ขาดระบบระบุตัวตน (A=Authentication A=Authorization A=Accounting A=Auditing) , ขาดการมีสิทธิที่จะลงซอฟต์แวร์ในเครื่อง หรือการมีสิทธิในการรีโมตเข้าเครื่องสำคัญๆโดยปราศจากการเก็บบันทึก เช่น การ Telnet , Remote Desktop , FTP , VNC , VPN เป็นต้น

การควบคุม User ในการใช้งานอินเตอร์เน็ตไม่ใช่เรื่องยาก สามารถทำได้หลายวิธี แต่การควบคุม User การใช้งานภายในองค์กรเป็นเรื่องที่ยากและต้องใช้วิธีการออกแบบระบบจากผู้เชี่ยวชาญและมีประสบการณ์

จึงกล้าพูดอย่างชนิดว่าเป็นความจริงว่าน้อยนักที่หน่วยงานในบ้านเราจะมีความพร้อมทางโครงสร้างพื้นฐาน ICT Infrastructure

ความหมายของโครงสร้างพื้นฐาน (ICT Infrastructure) นั้นคือ ต้องมีเทคโนโลยีที่เหมาะสม ต้องมีคนดูแลเทคโนโลยีให้เหมาะสม และมีนโยบายที่เหมาะสมในการจัดระเบียบการทำงานให้มีความเป็นมาตราฐาน และควบคุมคนเพื่อให้คนควบคุมเทคโนโลยีได้อย่างสอดคล้องกัน

ดังนั้นจากการวิจัยและพัฒนากว่า 4 ปีพบว่าหน่วยงานส่วนใหญ่ในประเทศไทย ยังขาดเรื่องโครงสร้างพื้นฐาน (ICT Infrastructure) ดังนั้นเพื่อเป็นการอำนวยความสะดวกจึงได้จัดทำอุปกรณ์ที่ชื่อว่า SRAN Security Center เราจะช่วยลดปัญหานั้นได้คือเราไม่จำเป็นต้องนำ Log จากทุกเครื่องคอมพิวเตอร์มาประมวลผลที่ศูนย์กลางเป็นเก็บเป็นหลักฐาน ซึ่งในความเป็นจริงแล้วเป็นเรื่องที่ยากมากในการติดตั้งให้ครบและมีค่าใช้จ่ายสูงมาก แต่เราใช้เทคนิคทั้ง 4 ส่วนคือ Network Analysis , Network IDS/IPS , VA/VM และ Syslog เฉพาะเครื่องแม่ข่ายที่สำคัญ รวมถึงเทคนิคการ Correlation คือการจับเปรียบเทียบเหตุการณ์ให้โยงความสัมพันธ์จากพฤติกรรมการใช้งานและ ภัยคุกคามที่พบ นำมาเรียบเรียงเพื่อให้เข้าใจง่าย ตามแบบอย่าง Chain of Event นั้นคือห่วงโซ่ของเหตุการณ์ ที่พูดถึง ใคร (Who) , ทำอะไร (What) , ที่ไหน (Where) , เมื่อไหร่ (When) , อย่างไร (How/Why) ซึ่งถือว่าเทคนิคนี้จะช่วยลดปัญหาความซับซ้อนทางด้านเทคโนโลยีไปได้สูงมาก และเป็นสูตรลัดในการจัดหาอุปกรณ์ด้านระบบรักษาความมั่นคงปลอดภัยเพื่อใช้ เป็นตัวสอดส่องภัยคุกคามและเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นในองค์กรที่ยังขาดโครงสร้างพื้นฐานเป็นอย่างมาก

ใน ต้นปีที่ผ่านมาเราได้นำนวัตกรรมนี้ไปโชว์ที่งาน CeBIT ประเทศเยอรมัน จนได้รับความชื่นชมในส่วนผสมผสานเทคโนโลยีได้อย่างลงตัวและกระชับในด้าน ผลลัพธ์ที่ปรากฏ ที่เรียกว่า ระบบ Hybrid Log Recorder และนี้เป็นมิติใหม่การประยุกต์เทคโนโลยี SRAN จึงถือได้ว่าสร้างมาเพื่อค้นหาผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ได้ เรียบง่ายและสมดุลที่สุด "Simple is the Best"

ส่วนสำคัญประการหนึ่ง SRAN คือการขับเคลื่อนเศรษฐกิจของคนในชาติ จากที่ต้องสูญเสียเงินจำนวนมากในการลงทุนเทคโนโลยีจากข้ามชาติ เราก็ประหยัดงบประมาณในการลงทุนได้ เงินไม่ไหลออกนอกประเทศ อีกทั้งเป็นการสร้างงานสร้างคน ให้มีความรู้และรายได้หมุนเวียนจากบริษัทหนึ่ง(ตัวแทนขายสินค้า) ไปสู่ที่หนึ่ง(ลูกค้า) เป็นเกิดการสร้างงานคือได้ขายสินค้า ค่าติดตั้งอุปกรณ์ ค่าอบรมบุคคลากร จึงเป็นการหมุนเวียนเงินในประเทศและกระตุ้นเศรษฐกิจได้อีกทางหนึ่งถึงแม้จะ ไม่ใหญ่ เม็ดเงินไม่มหาศาล แต่ก็เป็นจุดเล็ก และสำคัญที่ทำให้ชาติเราหยั่งยืนได้ หากนำ Model แนวคิด SRAN ไปใช้ประกอบธุรกิจจะเป็นการสร้างสรรค์ผลงานซอฟต์แวร์ไทย มีแบนด์ของคนไทยในด้าน IT Security นี้ขึ้นมาเราพร้อมเป็นแม่แบบต้นแบบให้ศึกษา และพัฒนาเพื่อนำส่งออกเป็นสินค้าจากประเทศไทยเพื่อขายในต่างประเทศได้อีกทาง หนึ่ง

หากกล้องวงจรปิด (CCTV) คืออุปกรณ์ที่คอยเก็บบันทึกข้อมูลทางกายภาพ ที่จำเป็นต้องติดทุกสถานที่ ที่มีการเฝ้าระวัง

SRAN ก็คือ กล้องวงจรปิด (CCTV) ทางด้านไอซีที ที่ต้องติดทุกสถานที่ ที่มีการใช้ระบบสารสนเทศ เพื่อเฝ้าระวังภัยและเก็บบันทึกเหตุการณ์ที่มีประโยชน์ต่อการสืบสวนสอบสวนหา ผู้กระทำความผิด เพราะหากมีการใช้งานระบบไอทีก็ย่อมมีภัยคุกคามที่อาจจะเกิดขึ้นได้ทุกเมื่อ ดังนั้นเราควรเฝ้าระวังภัยและพร้อมเก็บบันทึกข้อมูลเพื่ออันเป็นประโยชน์ต่อ เจ้าหน้าที่พนักงาน

อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/167 "SRAN ช่วยลดปัญหาโลกร้อนได้"

ใบรับรองคุณภาพอุปกรณ์ SRAN http://www.sran.net/archives/165

คดีแรก พ.ร.บ คอมพิวเตอร์ฯ ที่เป็นทางการนำ Log filesจาก SRAN ในการจับคดีอาชญากรรมข้ามชาติ http://www.sran.net/archives/161

SRAN เป็นมากกว่าอุปกรณ์เก็บ Log http://www.sran.net/archives/137

นนทวรรธนะ สาระมาน
Nontawattana Saraman