Thursday, January 19

การเก็บ Log เปลี่ยนแปลงไปแค่ไหน หากโลกนี้เป็น SSL กันหมด

จากหัวข้อที่กล่าวมาเป็นเรื่องท้าทายความเข้าใจในเรื่องการเก็บ Log พอสมควร ก่อนที่จะอธิบายในส่วนนี้ผมขอพูดถึงประเภทการเก็บ Log  เพื่อสร้างความเข้าใจให้ทุกท่านไม่ว่าเป็นฝ่ายเทคนิค หรือ จะเป็นบุคคลทั่วไป ให้ทราบ

การเก็บข้อมูลจราจรคอมพิวเตอร์ตามกฎหมาย (Log file) นั้นควรแบ่งเป็น 2 ส่วน

ส่วนที่ 1  Log สำหรับผู้ใช้งาน (Internet User Logs) 
การเก็บ Log files  เกี่ยวกับการใช้งานอินเทอร์เน็ต และการใช้งานข้อมูลสารสนเทศ

1.1 Internet Log   การเข้าถึงโลกอินเทอร์เน็ต  เช่น เว็บ (HTTP/HTTPS) เมล์ และการ สนทนาออนไลน์ (Line, whatap อื่นๆ)  มีทั้งมุมการใช้งานภายในองค์กร บนระบบเครือข่ายคอมพิวเตอร์องค์กร  และ  มุมของการใช้งานทั่วไปของบุคคลทั่วไปผ่านระบบเครือข่ายผู้ให้บริการ ไม่ว่าเป็นการใช้งานอินเทอร์เน็ตไร้สาย หรือ ผ่านระบบ 3G / 4G เช่น AIS , DTAC , True , CAT , TOT , 3BB

1.2 User data usage  เป็นมุมผู้ใช้งาน  จากการใช้งานข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร เช่น หน่วยงานหนึ่งมีพนักงานจำนวน 50 คน ใน 50 คนมีคอมพิวเตอร์ที่ใช้งานเข้าถึงอินเทอร์เน็ตได้ แชร์ไฟล์ในองค์กรได้  ปริ้นงานเอกสารได้   มีการรับ-ส่งไฟล์ทั้งผ่านระบบเครือข่ายและอินเทอร์เน็ต มีการใช้ VoIP (SIP Protocol) ผ่านสาขาและอินเทอร์เน็ต เป็นต้น รวมๆ อาจจะเรียกว่าการใช้งานระบบสารสนเทศ ที่มีปริมาณการใช้งานที่วัดค่าข้อมูลได้ (Data Bandwidth) นั้นเอง

ทั้ง 1.1 และ 1.2 ต้องมีการระบุตัวตนผู้ใช้งานภายในองค์กร (Authentication) และ ผู้ใช้งานทั่วไปไมว่าเป็นภายในองค์กร หรือ ผู้ใช้งานทั่วไป จะสามารถระบุตัวตนผู้ใช้งานได้ คือ รู้ว่าใคร (Who)  แต่ทำอะไร (What) นั้นส่วนใหญ่ในประเทศไทยไม่มีใครเก็บข้อมูลในส่วนนี้  ยกเว้นบริษัทเอกชนรายใหญ่ในประเทศไทย ก็จะเก็บทั้งหมด
 
หมายเหตุ : ในส่วนที่ 1  นี้เป็นส่วนที่ในเวลานี้มีปัญหาที่สุดเนื่องจากการติดต่อสื่อสารเป็นแบบ SSL เกือบหมดแล้ว ซึ่งผมจะขอขยายความในขั้นตอนต่อไป


ส่วนที่ 2  Log สำหรับเครื่องแม่ข่าย (Server Logs)
การเก็บ Log files  จากเครื่องแม่ข่ายคอมพิวเตอร์ (Server)
ส่วนนี้จะเกิดขึ้นภายในองค์กร  สำหรับองค์กรขนาดกลางไปใหญ่  (Enterprise)
หากในองค์กร มีระบบงาน เช่น มี Web Server  ของหน่วยงานเอง  ,  มี Mail Server ของหน่วยงานเอง มี ERP Server ของหน่วยงานเอง  ,  มี Data Base Server ของหน่วยงานเอง
เหล่านี้มีความจำเป็นต้องเก็บ Log สำหรับ Server
เก็บ Log อย่างเดียวเขาเรียกว่า "Logger"  ไม่มีการวิเคราะห์ข้อมูลจาก Log
ขนาดไฟล์ Log จะใหญ่ขึ้นกับ การ filter log จากแหล่งต้นทาง เช่น จาก Web Server , Mail Server , File Server ถ้าส่งมาหมดไม่ได้ filter ก็จะส่งมาหมด ตาม RFC5424

ตัวที่ขายกันในประเทศไทย มักจะขายตัววิเคราะห์ ตัวค้นหา และทำรายงาน ที่เรียกว่า SIEM (Security Information Event Management)   ซึ่งราคาไม่มีต่ำกว่า 7 หลัก  ถ้าต่ำกว่าแสดงว่าเป็นแค่ตัวเก็บ  Logger  ไม่รวม Storage  อีกนับเลขไม่ถูก   คนที่ซื้อสิ่งเหล่านี้ได้ คือระดับองค์กรขนาดใหญ่เท่านั้น

ซึ่งซื้อมาแล้วอาจติดปัญหาเรื่องการเก็บ Internet user logs  คือจัดเก็บ Log ผู้ใช้งานที่ออกอินเทอร์เน็ตไม่ได้ เป็นต้น

===============================================

ในโลกปัจจุบันเว็บไซต์และสื่อสังคมออนไลน์ ที่สำคัญปัจจุบัน เป็น HTTPS หมดแล้ว


เมื่อเป็น SSL หมดแล้วจะเกิดอะไรขึ้น?

จากการสำรวจของ Netcraft เมื่อเดือนมกราคม 2017  ปีนี้เอง มีเว็บไซต์ทั่วโลกถึง
 1,800,047,111 sites ซึ่งเป็นทั้ง HTTP/HTTPS


 ภาพนี้เป็นผลสำรวจจาก Netcraft  มีเพิ่มขึ้นกาให้บริการและเริ่มคงที่มา 2014   ส่วนหนึ่งที่มีทั้งเป็นเว็บที่เข้ารหัสผ่าน (HTTPS) ที่มาจากผู้ให้บริการชั้นนำ อันได้แก่  Google , Facebook , Twitter , Microsoft  อื่นๆ  เป็น SSL หมดแล้ว  ส่วนใหญ่เป็น Social Network site  จึงทำให้อัตราการขยายตัวเว็บทั่วไปน้อยลง

และเมื่อผู้ให้บริการรายใหญ่เป็น SSL หมดจะเกิดอะไรขึ้น บ้าง ?

ผมขอแสดงความคิดเห็นดังนี้

1.ไม่สามารถมองเห็นข้อมูลผ่านทางระบบเครือข่ายได้อีกต่อไป  

ในกรณีที่ 1 Internet User logs จะไม่สามารถมองเห็นข้อมูลได้


เมื่อทำการติดตั้งอุปกรณ์ Network Log/ Network Traffic Analyzer หรือแม้กระทั่งพวก UTM / Next Gen Firewall  ก็จะพบปัญหา SSL ที่ไม่สามารถมองเห็นได้เช่นกัน



ภาพการดักรับข้อมูลบนระบบเครือข่ายผ่าน Internet Gateway ภายในองค์กร
ถ้าเป็น HTTP  Protocol เราสามารถมองเห็นเนื้อหาทั้งหมดผ่านระบบเครือข่ายได้  ผ่านโปรแกรม Network Analyzer ทั่วไป  จากภาพจะเห็นว่า สามารถมองเห็น URI ที่เกิดขึ้น Method ที่ใช้งานและ HTTP HEAD อื่นๆ ที่สามารถระบุการใช้งานได้อย่างละเอียด


ภาพถ้าเป็นการติดต่อสื่อสารแบบ HTTP(S) ผ่าน SSL  สิ่งที่มองเห็นคือค่าการติดต่อสื่อสารระหว่างไอพีต้นทาง และ โดเมนที่ทำการติดต่อสื่อสาร จากนั้นเป็นค่าการเข้ารหัส  ซึ่ง Content ไม่สามารถระบุตำแหน่งปลายทาง เช่น ค่า URI ได้  HEAD ไม่สามารถมองเห็นได้เนื่องจากเกิดการเข้ารหัส

แบบนี้ก็ดีแล้วไม่มีใครเห็นเนื้อหาภายในการรับส่งข้อมูล  ในแง่ความลับการรับส่งข้อมูลดูเหมือนใช่ แต่อีกด้านหนึ่ง ภัยคุกคามสมัยใหม่แอบรับส่งข้อมูลที่เข้ารหัสเช่นกัน  เราจะบังคับให้ เจ้าของ Server Malware ส่ง Key มาให้เราเพื่อเราจะถอดดูข้อมูลก่อนก็เป็นไปไม่ได้

หรือในกรณีปกติ  เราจะบังคับบอก Facebook  ให้เอา Key มาให้เราเพื่อเราจะขออ่านข้อความของบุคคลที่ต้องสงสัยและเป็นภัยความมั่นคงของประเทศไทย ก็เป็นไปไม่ได้ เพราะเราไม่ใช่เจ้าของเทคโนโลยีนี้ และ เทคโนโลยีนี้ Server หัวใจ ก็ไม่ได้อยู่ในประเทศไทยเลย
ผมยกตัวอย่างมาเพื่อบอกว่า SSL จะมีปัญหาก็ต่อเมื่อเราต้องการดูข้อมูลในเชิงลึกเท่านั้นหากเราไม่ต้องการรู้ ก็ไม่มีผลอะไร แค่อย่าลืมว่าประเทศไทย นิยมฟ้องร้องคดีความกันผ่าน พรบ คอมพิวเตอร์ฯ ที่มีมาตรา เช่น 14(1)  ชอบแอบอ้างใช้อยู่  เหล่านี้ล้วนเป็นการกระทำจากการใช้งานสื่อสังคมออนไลน์ เช่น Youtube , Facebook , Line ทั้งสิ้น    แล้วจะเอาหลักฐานไหนมาอ้างอิงกันหากเป็นคดีความขึ้น เพราะเนื้อหาติด SSL รวมทั้งผู้ดูแลระบบทั้งหมดทั้งปวงอยู่ต่างประเทศทั้งหมด 

2. ไม่สามารถปิดกั้นการเข้าถึงเว็บไซต์ที่เป็น HTTPS ได้
  • ทำได้ก็ต่อเมื่อปิดกั้นทั้งโดเมน เช่น ปิดกั้น  facebook.com ทั้งหมด เป็นต้น
  • ปิดกั้น  https://www.facebook.com/abcdef  ไม่ได้
  • ทำให้อนาคตอันใกล้ จะทำการปิดกั้นเว็บไซต์ที่ไม่เหมาะสมผ่านช่องทางสื่อสังคมออนไลน์ Social Network เช่น  facebook, youtube, twitter, pantip  และอื่นๆ ที่เป็น HTTPS ไม่ได้อีกต่อไป


3.  ภัยคุกคามใหม่ๆ มักมากับการเข้ารหัส ผ่านช่องทาง SSL กันมากขึ้น
  • มัลแวร์  (Malware) สมัยใหม่จะทำการเข้ารหัสเพื่ออำพรางการตรวจจับของระบบรักษาความมั่นคงปลอดภัยทางข้อมูล 
  • ทำให้การตรวจข้อมูลแบบปกติทำไม่ได้อีกต่อไป ทำให้ต้องซื้อเทคโนโลยีเสริมเพื่อทดแทนการตรวจจับที่สามารถถอดรหัสค่าเหล่านี้ได้
4.  รูปแบบการเก็บบันทึก Log files ตามกฎหมายมีการเปลี่ยนแปลง

เนื่องจากการกระทำความผิดทางกฎหมายคอมพิวเตอร์ ส่วนใหญ่เกิดจากการใช้งานอินเทอร์เน็ต
และเมื่อการใช้งานอิเทอร์เน็ต ส่วนใหญ่เป็นการเข้ารหัสผ่าน SSL จึงทำให้ Logfiles ที่เก็บบันทึกไม่สามารถหาการกระทำผิดได้เหมือนเมื่อก่อน Log files จะไม่สามารถล่วงรู้ได้ว่ามีการกระทำอันใดเกิดขึ้น

ทั้งหมดที่กล่าวมา นั้นจะกระทบต่อการเก็บ Log ในอนาคต
และรูปแบบการเก็บ Log แบบที่ 1 คือเรื่อง Internet User Log  นี้กระทบมากที่สุดเนื่องจากจะไม่สามารถเก็บบันทึกการใช้งานของผู้ใช้งานทั้งในองค์กร และ ผู้ใช้งานทั่วไปได้

ในระดับองค์กร ต้องมีการติดตั้งเรื่อง CA (Certification Authority)  สามารถบังคับใช้ได้อยู่แล้ว จะผ่านทาง Domain Controller หรือ บังคับให้ติดตั้งทุกเครื่องเป็นนโยบายกลางจากหน่วยงาน  ซึ่งก็มีหน่วยงาน / บริษัท องค์กรในประเทศไทยหลายบริษัทก็ทำกันแล้วเนื่องจาก มาทำป้องกันภัยคุกคามรูปแบบใหม่ๆ ที่มากับ SSL  หรือ การเข้ารหัสในการรับส่งข้อมูล

แต่ระดับผู้ใช้งานทั่วไป  เช่น ใช้ 3G/4G  อินเตอร์เน็ตไร้สาย  หรือแม้กระทั่ง อินเทอร์เน็ตที่บ้าน นั้นจะไม่สามารถติดตั้ง CA  กับบุคคลทั่วไปได้แบบพร้อมเพียงกัน (คือบังคับให้ทุกคนในประเทศติดตั้ง Cert มิได้ เป็นที่มาว่าทำ Single Gateway ประเทศไทยทำไม่ได้ก็เพราะเรื่องนี้แหละ)
จึงทำให้ไม่สามารถเก็บ Log ได้จากผู้ให้บริการ คือเก็บได้แต่ สืบหา ค้นหา หรือ หาการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เมื่อเกิดคดีความไม่ได้ นั้นเอง เพราะ SSL

ส่วนแบบการเก็บ Log แบบที่ 2  คือ เรื่อง Server Log  นั้น ยังเป็นปกติอยู่  ติดเพียงว่าหาก Web Server  ของบริษัท หรือ หน่วยงาน  ต้องทำเป็น HTTPS  จำเป็นต้องใส่ CA  ที่ WAF  (Web Application Firewall) เพื่อใช้ในการป้องกันภัยเพิ่มเติม ส่วน Log file ถ้านำมาจากตัว Web Server เอง ก็จะมองเห็นอยู่แล้ว  เพราะนี้เป็น Web Server ขององค์กร  เจ้าของและทีมทำเป็นหน่วยงานภายใน ถึงแม้จะ Out Source ก็เป็นคนที่ติดต่อได้ Server ทางกายภาพอยู่ภายในประเทศ อยู่ภายในองค์กร เป็นทรัพย์สินขององค์กร  ดังนั้น Log  สามารถเอามาจากเครื่องแม่ข่าย (Server) ได้โดยตรง จึงไม่มีปัญหาในการเก็บ Log แบบที่ 2 เลย
ยกเว้น จะใช้บริการ 3 party  เช่น ใช้บริการ Cloud จาก Amazon หรือ Google Cloud  หรืออื่นๆ ที่ Server เราไม่สามารถควบคุมเองได้  แบบนี้จะหมดความหมายได้ปริยาย

สรุปว่า 
ผลกระทบเมื่อทุกอย่างเป็น SSL คือ การเก็บ log แบบที่ 1 ที่กล่าวในบทความนี้จะกระทบที่สุด
SSL  ทำให้มองเห็นคือต้องลง Certification ที่ฝั่งผู้ใช้งาน
เมื่อลงแล้วและอุปกรณ์ที่ติดตั้งอยู่ในระดับ Gateway องค์กรจะทำให้มองเห็น Internet Log ได้เช่นกันและสามารถปิดกั้นเนื้อหา และภัยคุกคามที่เกิดจากการเข้ารหัสได้

ส่วน Server Log  นั้นยังคงเก็บ Log ตาม RFC 5424 ต่อไป  ไม่เปลี่ยนแปลง แทบไม่มีผลกระทบอะไรจากการเก็บ Log Server ในองค์กร 

ใครได้ใครเสีย จากเรื่องการมองเห็นมองไม่เห็น SSL  ??  สำหรับผมมองว่า

คนที่ได้คือ ผู้ให้บริการระดับ Content / Application Provider  เช่น Line , Google , Apple  , Facebook  เพราะ Key อยู่ที่เขา SSL คือภาพสะท้อนของการเป็นมหาอำนาจในยุคปัจจุบัน

Pantip ตอนนี้เป็น SSL แล้วแต่เจ้าของเป็นคนไทย ดังนั้นหากมีเรื่องราวอะไร ที่ต้องการสามารถหาได้โดยไม่ต้องผ่าน FBI  ถ้าปล่อยให้ภาครัฐ/หน่วยงานด้านความมั่นคง ไปขอข้อมูลจาก Google , Facbook , Line  ท่านคิดว่าเขาจะให้หรือไม่ ?  ท่านคิดต่อเองได้ ...

ดังนั้นในอนาคตอันใกล้ เมืองไทยต้องตะหนักเรื่องนี้ให้มาก ว่า "ความมั่นคงของชาติ ควรเป็นเรื่องที่เราควบคุมเองได้" 
หากเรายังยืมจมูกนานาประเทศหายใจอยู่ อย่าหวังว่าเราจะมีความมั่นคงเพราะสมรภูมิรบใหม่อยู่ที่น่านฟ้าใหม่ที่เรียกว่า "Internet"  กันแล้ว  Spy ยุค Classic สงครามเย็นมารูปแบบ Hacker และ Malware ... อาวุธสงครามกลายเป็นกองทัพ Botnet ที่สามารถสั่งยิงและหยุดการทำงาน Server สำคัญของรัฐได้  ... เหล่านี้ไม่ใช่เรื่องไกลอีกต่อไปแล้ว



ภาครัฐ โดยเฉพาะหน่วยงานด้านความมั่นคง เจอเรื่องที่ท้าทายความสามารถขึ้น  ไม่สามารถตรวจหาด้วยเทคนิคแบบเดิมๆได้อีกต่อไป

ฝั่งผู้ให้บริการ ISP   ในประเทศไทย  โดยเฉพาะผู้ให้บริการอินเทอร์เน็ตแก่บุคคลทั่วไป  การเก็บ Log ที่พนักงานเจ้าหน้าที่ต้องการ  นั้นทาง ISP ไม่สามารถให้ได้เช่นเคย  หรือแทบจะหาไม่ได้ด้วยซ้ำ
จึงทำให้ งานนี้หนักที่สุดคือผู้ให้บริการอินเทอร์เน็ต ในประเทศไทยนั้นเอง  ทั้งข้อมูลไหลนอกประเทศ ทั้ง Cloud ที่อาจไปไม่ถึงฝัน คือเป็นเพียงคนขายของเทคโนโลยีต่างชาติ  และ มาทั้งเรื่อง Log SSL ที่ระบุการกระทำไม่ได้ อีก ISP อยู่ในฐานะลำบากขึ้นแน่นอน


18/01/60
นนวัตต์ สาระมาน
พ่อบ้าน ทีมพัฒนา SRAN

Sunday, January 1

สายลมแห่งการเปลี่ยนแปลง

ในรอบปีที่ผ่านมา ผมมีเรื่องอยากจะขยายความโดยเฉพาะ ส่วนใหญ่มาจากต่างประเทศ แต่เป็นผู้กำหนดวิถึชีวิตและการผูกขาดวิธีการใช้งาน รวมถึงเปลี่ยนแปลงชีวิตเราทุกคนที่อยู่ในยุคดิจิทัล
ซึ่งผมขอเรียกว่า "เส้นทางที่ถูกลิขิตไว้ บนก้อนเมฆแห่งข้อมูล"


แสงอาทิตย์กำลังจะลับขอบฟ้าที่หมู่บ้านในวันสิ้นปีผ่านกล้องเก่าๆที่ผู้เขียนไม่ได้ตั้งใจถ่าย

เส้นทางที่ถูกลิขิตไว้ บนก้อนเมฆแห่งข้อมูล  คือ อะไร? ตอบสั้นว่า มีคนสร้างบ้าน สร้างช่องทางให้เราหมดแล้ว  เราไม่มีสิทธิที่จะออกนอกลู่นอกทางได้เลย

 ที่จะพบในปี 2560 มีดังนี้

1) สมองไหลทางดิจิทัล
 สมองไหลในที่นี้ไม่ใช่สมองไหลจากทางกายภาพที่เกิดจากคนเลย แต่กับกลายเป็นวิถีชีวิตการใช้งานที่สมองไหล ไปใช้บริการในต่างประเทศ

นั้นหมายถึงปริมาณการใช้งานข้อมูลอินเทอร์เน็ตในประเทศไทย จะออกต่างประเทศมากขึ้น
เหตุผลมี 2 เรื่อง
เหตุผลที่ 1 เพราะต่างประเทศสะดวกกว่าทั้งเทคโนโลยี ความเร็ว ความเสถียร  ธุรกิจที่มีโอกาสหายในประเทศไทย คือ Hosting , Co-location บน IDC (Internet Data Center)  เนื่องจากเราจะเจอบริการอย่าง DigitalOcean  , AWS   , Google และ Microsoft  จะดึงให้เราสมองไหลมากขึ้น

เหตุผลที่ 2 ที่ทำให้ธุรกิจ Hosting , Co-location หรือ Cloud ในประเทศไทย โดยเฉพาะสีเทาถึงเทามากเป็นดำ จะย้ายไปต่างประเทศก่อนหน้านั้นแล้ว  ยังคงเหลือแต่พวกไม่ใช่สีเทา เป็นสีขาว ก็อาจจะย้ายไปอยู่ต่างประเทศหมดในเร็ววันนี้ เพราะเป็นห่วงในการตีความ พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ตัวใหม่ที่พึ่งผ่านและมีผลบังคับใช้เดือนเมษาฯ ปี 60
เท่ากับว่าธุรกิจนี้เคยรุ่งเรือง แต่เจอ Platform แบบครบเครื่องจากต่างแดนเข้าไป  ก็ไปไม่เป็นเหมือนกัน

ลองคิดภาพตาม IDC ที่เจ๋งสุดในประเทศไทย อยากมากก็มีความใหญ่เท่ากับจำนวน 10 ตึก  แต่ IDC ผู้ให้บริการในต่างประเทศ Google , Microsoft , AWS   ใหญ่พอกับอำเภอหนึ่งของประเทศเรา อันนี้จะไปเอาอะไรสู้ ?

แล้วธุรกิจจะมีปัญหาไหม  ไม่มีเพราะยังมีหน่วยงานราชการไทย จะต้องใช้ของไทย จำเป็นต้องวางในประเทศ หากวางในราคาประหยัด ก็อาจจะโดน F5 สะกิดนิดสะกิดหน่อยอาจหล่มได้

ดังนั้นหมายความว่า
บริการ Cloud ในประเทศไทยจะดูด้อยลง
เพราะโครงสร้างและเทคโนโลยีจะสู้ผู้ให้บริการระดับโลก ที่ลงมาแข่งขันตรงไม่ได้ โลกมันโหดร้าย การลงทุนของผู้ให้บริการเราอย่างไงก็สู้ระดับโลกไม่ได้  ตอนนี้ มี Player ในระดับที่โค่นและฝ่าด่านเพื่อชนะบริการเหล่านี้ได้ยาก เช่น AWS Amazon Cloud , Google Cloud , Microsoft Cloud  3 เจ้านี้ปัจจุบันติดต่อขายลูกค้าตรง ผ่าน Web Services โดยไม่มี Sales มาเคาะประตูขายถึงที่อีกแล้ว  คุณจะใช้ได้ทั้งเป็น VM หรือ จะเป็นทั้ง Infrastructure ที่มาพร้อมกับโปรแกรมมิ่งชั้นสูง ที่ทำให้เราเพิ่ม ขยาย หรือลด ปริมาณการใช้งานแล้วแต่ใจคุณต้องการ แล้วมีให้เลือกประเทศที่ให้บริการอีกด้วย  โครงสร้างที่เชื่อมถึงกันหมดทำให้ระบบความเสถียรภาพมีสูงมาก  สำหรับผู้ใช้งาน ถือว่าสะดวกมาก
การปรับตัวคือเป็นเพียงผู้ขายเทคโนโลยีของ Player ที่กล่าวมา สำหรับการขายสินค้าและบริการระดับองค์กรใหญ่ในประเทศไทยเท่านั้น   ส่วนรายเล็กและขนาดกลาง ที่ขาดความรู้ก็อาจเป็นลูกค้าได้  ซึ่งถือว่าน้อยลงเพราะความรู้หาได้จาก Google ไปแล้ว   DIY ด้วยตัวเองจึงเป็นเรื่องง่ายๆ สำหรับคนยุคดิจิทัล

สรุปว่า สมองไหลในที่นี้ไม่ใช่สมองไหลจากทางกายภาพที่เกิดจากคนเลย แต่กับกลายเป็นวิถีชีวิตการใช้งานที่สมองไหล ไปใช้บริการในต่างประเทศ  ทางกายภาพกับตรงข้ามเสียด้วยซ้ำเพราะปัจจุบันนี้ทำงานที่ไหนก็ได้หมดแล้ว ผ่านก้อนเมฆแห่งข้อมูลซึ่งตรงก้อนเมฆนี้แหละที่เกิดสมองไหล

ในโลกความเป็นจริงคือ ผู้ใช้บริการภาคเอกชนมีโอกาสย้าย Host ในนี้ประกอบด้วย Web Services , IOT (Internet of Thing) ที่ Sensor ในบ้านเราจะส่งข้อมูลผ่านก้อนเมฆที่คาดว่าจะอยู่ไปอยู่ต่างประเทศใช้บริการเช่น AWS , Google , Microsoft และ DigitalOcean หรือแม้กระทั่ง Cloudflar  ไปเพราะสะดวกรวดเร็ว ทุกอย่างผ่านออนไลน์  และมีความเสถียรสูง จะเหลือแต่หน่วยงานภาครัฐไทย ที่ยังคงต้องใช้บริการกับรายเดิมๆ ในประเทศ
ซึ่งทำให้การแข่งขันสูง คือ "คู่แข่งเยอะ แต่ผู้ใช้บริการส่วนใหญ่จะเหลือแต่ภาครัฐ  เปรียบอาหารมีชิ้นเดียวแต่เหล่าสิงโต เสือดาว ช้าง ไปจนถึงแมวน้อยก็กระโดดแย่งชิงกัน"
รายเล็กๆที่ทำธุรกิจด้านนี้อาจต้องคิดใหม่ เพราะแข่งขันในประเทศยากลำบากขึ้น

การปรับตัวอย่างชาญฉลาดจะอยู่รอดได้  
ถึงแม้ดูเหมือนว่าเราจะติดกับดักเทคโนโลยี และวิถีการใช้งานของตัวเราเอง  แต่ก็มีสิ่งที่ทำให้ผู้ประกอบการหน้าใหม่ที่เข้าวินได้เหมือนกัน  ในอดีตเราเคยใช้คำว่า Agility  ถึงจะสำเร็จ  ยังใช้ได้อยู่ แต่ถึงอย่างไร มันต้องใช่ด้วย หากทำอะไรที่ทุกคน ต้องร้องคำว่า "Wow"   นี้อย่างไงก็รอดในปี 2560   สิ่งที่ระมัดระวังคือต้องไม่โกหกผู้บริโภค  เพราะสมัยนี้ผู้บริโภคเข้าถึงข้อมูลได้หมดแล้ว  Google และ facebook  รวมไปถึง Pantip  เป็นที่ผู้บริโภคเกือบทุกคนที่เลือกใช้บริการค้นหาข้อมูลก่อนซื้อแน่นอน
แจ็คผู้ฆ่ายักษ์ ยังมี เช่น ธุรกิจ Startup  ถึงแม้ตัวเลขในปีที่ผ่านมา  จะเหลือรอดตายมาได้แค่ 3%  นอกนั้นเข้าสู่ห้อง ICU  ก็ตาม แต่เพียงหนึ่งใน 3 นั้นหากโดนจริงจะถูกบริษัทขนาดใหญ่เข้ามาเร่งปุ๋ยทันที จนมีโอกาสเข้าตลาดหลักทรัพย์ที่เป็นความต้องการของยุคนี้ที่ทุกบริษัทต้องเข้าตลาดทุนหมด  จะเหลือแต่ SME ตาดำๆ แล้วล่ะสิเพราะบริษัทเข้าตลาดหลักทรัพย์หมด

2)  รัฐเปลี่ยนมุมคิดเรื่อง พรบ. คอมพิวเตอร์ใหม่ จะได้บวกมากกว่าลบ
พรบ. คอมพิวเตอร์ ตัวใหม่ มีความกำกวม ในการตีความอย่างมาก โดยเฉพาะเรื่องของประชาชนที่กลัวโดนตรวจสอบเนื้อหาจากภาครัฐ  การไม่เป็นอิสระเสรีในเชิงความคิด  สรุปสั้นๆ  ประชาชนไม่ไว้ใจรัฐ
เพราะในหลายมาตราและหลายอำนาจ ที่ดูแล้วจะเน้นตรวจ "Content" เนื้อหามากกว่าจะช่วยป้องกันภัยอันตรายกับการใช้งานอินเทอร์เน็ตของประชาชนตา (ดำๆ)
ถ้ารัฐเปลี่ยนแนวคิดใหม่  ให้ พรบ คอมพิวเตอร์ นี้ จะทำให้ประชาชนทุกคนในประเทศไทยที่ใช้งานอินเทอร์เน็ตมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น   และตัดเรื่องอำนาจการพิจารณาที่ไร้การตรวจสอบออกหรือเขียนชี้ให้ชัดว่าขั้นตอนเป็นอย่างไร  โดยเน้นความปลอดภัยประชาชนมาก่อนจะเป็นการดีกว่า เช่น  นับแต่นี้ประชาชนในประเทศไทยที่ใช้งานอินเทอร์เน็ต จะติดเชื้อ Botnet น้อยลง  บริษัท ห้างร้านที่ใช้อินเทอร์เน็ต จะติด Ransomware น้อยลง  ผู้ให้บริการอินเทอร์เน็ต จะส่ง Spam น้อยลง
ประชาชนในประเทศไทยจะไม่ถูกหลอกจากเว็บหลอกลวงทางเทคนิค Phishing   ประชาชนในชาติจะติดเชื้อ Malware น้อยลง   ทำจริงๆ จังๆ จะเรียกแขกให้มาใช้งานอินเทอร์เน็ตในประเทศไทย  จากข้อ 1-2 ที่ผมกล่าวข้างต้น ก็จะทำเศรษฐกิจและสังคมดิจิทัลในประเทศไทยกลับคืนชีพมาได้บ้าง
ตัดเรื่อง Block หรือ ลบ (ในกฏหมายที่พูดถึงการ"ลบ" เป็นการสะท้อนการไม่เข้าใจของผู้ใหญ่ เพราะยุคสมัยนี้มันถ้าต้องลบด้วยคงต้องไปคุยผู้ให้บริการในต่างประเทศ เช่น ที่ Google , Apple  และ Line เป็นต้น ฝั่งหนึ่งอยู่ในเครื่องเราอีกฝั่งหนึ่งบนก้อนเมฆก็เก็บเหมือนกัน ลองคิดดูมีผู้ให้บริการไหนที่มีข้อมูลเรามากกว่า 2 รายที่กล่าวมาไหม อย่าไปเทียบเลย ถึงแม้ baidu กำลังจะมาในไทยแต่ก็ยังห่างไกล) อย่าได้ให้ประชาชนตาดำคิดว่ารัฐทำ Single gateway  ซึ่งในทางเทคนิคและการปฏิบัติแล้วทำได้ยากมากแทบไม่มีความเป็นไปได้เลย ถึงทำก็ไม่คุ้ม ที่ผมกล่าวมาข้างต้นก็พอสรุปได้ว่าไม่มีผลเพราะคนส่วนหนึ่งผ่าน VPN โดยใช้ Cloud จากภายนอกประเทศ คนที่ทำการส่วนใหญ่อำพรางไอพีทั้งนั้น ส่วนบุคคลปกติไม่มีความจำเป็นต้องอำพรางไอพีเพื่อเข้าถึงข้อมูล  รู้ทั้งรู้ว่าเกิดการอำพรางตัวตนและไอพีอยู่แล้ว  Log files ก็จะหาได้แต่ลงไอพีในต่างประเทศ แล้วจะมีประโยชน์อันใด

"ท่านที่ทำหน้าที่สืบสวนสอบสวนด้านนี้ ท่านควรกระโดดข้ามเรื่องไอพีแอดเดรสได้แล้ว มีอีกตั้งหลายวิธีที่ทำให้ท่านรู้ว่าใครเป็นใครบนพื้นที่ออนไลน์แห่งนี้"

ด้วยเหตุทั้งหมดนี้จึงบอกได้ Single gateway ไม่เกิดแน่นอนคนที่ทำให้เกิดคือไปหลอกผู้ใหญ่ในบ้านเมืองไทย ลองคิดดูทุกวันนี้การเข้าใช้งานเป็น HTTPS เกือบหมดแล้ว จะ block เป็น URL ที่มี path เช่น https://www.facebook.com/abcdefg   ไม่มีทางทำได้  ก็หลายปีก่อนมีผู้ใหญ่บ้านเราสั่ง block ทั้ง domain ลงไปที่ facebook ก็ทำให้ทั้งประเทศใช้งานไม่ได้ เรื่องนี้เป็นเพราะขาดความรู้   เมื่อก่อนผมได้คุยเรื่อง SSL ระดับผู้หลักผู้ใหญ่ในบ้านเรา แทบไม่มีใครรู้เรื่องเลย  ต้องขยายความให้วุ่นวาย แต่มาวันนี้มีพัฒนาการที่ดีขึ้นเริ่มคุยภาษาดอกไม้กันได้ ตั้งแต่เป็นข่าวพบเครื่องถอด SSL ที่กองทัพ อยากจะบอกว่าไม่ได้ง่ายอย่างงั้นครับ

ทุกวันนี้การเข้าถึงเว็บไซต์เป็น  HTTPS เกือบหมดแล้ว แม้กระทั่งเว็บโป๊ ยังเป็น HTTPS   เลยการจะ Block  (ที่เป็น path ไม่ใช่ domain) หรือ ดูข้อมูลได้จำเป็นต้องแกะ SSL ให้ได้ก่อน ซึ่งนั้นคือต้องลง CA  ทุกเครื่องในประเทศ ท่านคิดว่าเป็นไปได้ไหม ?

ทำไมรัฐไม่เปลี่ยนคำว่า Block เป็น Protect แทน แล้วทำแบบกระจาย ไม่ใช่รวมศูนย์ที่ ISP  ซึ่งในโลกความเป็นจริงแล้วหากท่านผู้มีอำนาจตรวจสอบแล้ว IP Public ที่ท่านพบไปลง โรงแรมแห่งหนึ่ง คือท่านก็จะแยกแยะไม่ออกอยู่ดีว่า ใครเป็นผู้ทำผิด หากโรงแรมแห่งนั้นไม่ได้เก็บ Log ที่มีคุณภาพ อย่างเก่งก็ได้แค่ชื่อเป็นอะไรก็ไม่รู้ แต่ไม่รู้ว่าทำอะไร พอหลักฐานไม่พอก็ยกฟ้องตามระเบียบ

หากรัฐทำการ Protect แทนคำว่า Block และติดตั้งแบบกระจายไปยังส่วนที่ควรจะควบคุมจะได้ดีกว่าไหม โรงเรียน โรงพยาบาล และพื้นที่สาธารณะที่ใช้ Free-wifi  ,หมู่บ้าน , ตำบล , อำเภอ จังหวัด เป็นต้น  เกิดการสร้างงานกระตุ้นเศรษฐกิจถึงรากหญ้าในทางอ้อมเพราะเกิดการสร้างงาน
ส่วนคำว่า Protect ในที่นี้คือ เว็บไซต์อันตราย ที่มีโอกาสติดเชื้อ(malware) , การหลอกลวง (Phishing)  และเนื้อหาไม่พึ่งประสงค์  เช่น การพนัน ลามกอนาจร และสิ่งผิดกฎหมาย รัฐต้องชัดจะป้องกันในส่วนไหน ไม่งั้นประชาชนจะตีความเอง  ตามมโนและประสบการณ์ของแต่ละบุคคล เมื่อทำเสร็จแล้วก็ควรมีรายงานบอกว่า ลดความเสี่ยงให้ประชาชนในประเทศปลอดภัยไปแล้วเท่าไหร่ กี่คนที่ช่วยเหลือเขาไปแล้ว  ในต่างประเทศ เช่น ญี่ปุ่น ไตหวัน และประเทศในทวีปยุโรป และสากลที่เขาทำกัน

อย่าใช้แนวคิด "เป็นนักตรวจสอบ แต่ให้เปลี่ยน นักช่วยเหลือ" จะดีกว่า ภาพจะดูดีขึ้นทันที


3) ตนเป็นที่พึ่งแห่งตน

ไม่มีอะไรจะดีไปกว่าการลงมือทำด้วยตัวเอง  สมัยนี้ไม่ว่าจะทำอะไร ก็สามารถทำด้วยตัวเองได้แบบง่ายๆ ผ่านช่องทางคลิปวีดิโอ หรือ การค้นหาข้อมูลด้วยตัวท่านเอง  ไม่ใช่เรื่องยากอีกต่อไป  จะมีเพียงเฉพาะทางที่ต้องมีความรู้เบื้องต้นมาก่อน  หากใครยังมีความเกียจคร้าน  ปล่อยเฉย ก็อาจจะโดนแซงไปได้ง่าย  งานด้าน IT Security ในประเทศไทย จะมีการเปลี่ยนแปลงเพราะมีบทเรียนและการเรียนรู้จากอดีตที่ผ่านมา และแน้วโน้มจากต่างประเทศ ดังนั้นบุคคลากรจำเป็นต้องมีความเชี่ยวชาญที่แท้จริง มิใช่มีแค่ Certificate อีกต่อไป
เพราะสิ่งที่จะเจอในอนาคต คือ หน่วยงานขนาดกลางและเล็ก แทบไม่มี Infrastructure  มีเพียงระบบไร้สาย Router / Switch และ notebook เชื่อมต่อไปยัง Cloud   ระบบความมั่นคงปลอดภัยอยู่ศูนย์กลางหมด ในศูนย์กลางที่ควบคุมทุกอย่างนั้น อาศัยบุคคลากรน้อยมากๆ เพราะมันจะเป็น Automatic เกือบทั้งหมด ทั้ง Automatic Incident Response  การแก้ไขปัญหาและสร้างขึ้นใหม่หากพบสิ่งผิดปกติ จะเกิดขึ้นการที่ Security Operation Center (SOC)  จะขนาดใหญ่  มีคนจำนวนหนึ่งจะเปลี่ยนไป จะกลายเป็น Mini SOC ที่ใช้เพียงไม่กี่อุปกรณ์ และไม่ต้องทำการเขียน rule ให้วุ่นวาย อีกต่อไป เพราะทุกอย่างจะทำงานแบบสอดคล้องกัน พร้อมแก้ไขปัญหาฉุกเฉินโดยอาศัยคนน้อยที่สุด
หน่วยงานที่ธุรกิจแทบไม่ต้องมีพนักงานด้านนี้อีกต่อไป  นี้คือมุมภายในองค์กร/ธุรกิจ ทั่วไป
ตนเป็นที่พึ่งแห่งตน ในแง่นี้ คือ มุมพนักงาน มุมบุคคลากร ที่ต้องเก่งอย่างมากมีความเชี่ยวชาญ ถึงจะอยู่รอดได้ ไม่เช่นนั้นไม่มีที่ไหนจ้างแน่  ต้องกลับมาเปิด Startup กันต่อ

แต่ในมุมระดับประเทศ นี้สิเข้มข้น

เนื่องด้วยสถานะการณ์ Cyber Security ระดับโลกเข้มข้นขึ้น
ตั้งแต่มีปรากฎการณ์  "Edward Snowden Effect" ประเทศมหาอำนาจได้ปรับตัวใหม่ โดยเฉพาะ จีน เกาหลีใต้  (บริษัทที่สัญชาติเกาหลีใต้ในประเทศไทย ใช้ Products Cyber Security ของตัวเองหมดเลย) อาจเป็นเพราะ มี "Awareness" ความตะหนักรู้จากการใช้งานงานมากขึ้น ทำให้เหล่าบรรดาประเทศมหาอำนาจไม่อยากเสี่ยงที่เกิดข้อมูลรั่ว

เราปฏิเสธไม่ได้อีกต่อไปว่า Cyber เป็นเรื่องไม่ล้อกันเล่น หรือ ขำขันอีกต่อไป ปลายเดือนธันวาคม 2559 ได้พบว่าทางสหรัฐได้ขับไล่ทูตรัสเซียจำนวน 35 นายออกนอกประเทศภายใน 72 ชั่วโมง เหตุผลมีความเป็นไปได้ว่า รัสเซียได้ทำการแฮกเข้าระบบฐานข้อมูลสำคัญของสหรัฐ
ยุทธวิธีนี้ ไม่ต่างอะไรกับการโชว์แฮกระบบ LI (Lawful Interception) ในสหภาพยุโรป ในงาน Blackhat เมื่อหลายปีก่อน ความหมายคือ  รัฐลงทุนทำระบบ LI โดยมีกฎหมายควบคุมอย่างชัดเจน แล้วแฮกเกอร์ค้นพบตัว Server ที่ทำ LI  รัฐลงทุนเป็นพันล้าน  แต่แฮกเกอร์รู้เป้าหมายแล้วแฮกลงทุนน้อยกว่ามาก แต่ได้ข้อมูลมหาศาล   เช่นกัน รัสเซีย รู้ว่าสหรัฐมีข้อมูลจำนวนมากการเข้าถึงระบบโดยทางลัดนี้ย่อมทำให้ได้ผลอย่างรวดเร็วกว่าที่ทำขึ้นมาเป็นไหนๆ อย่างไรก็ตามข่าวที่ได้รับมายังไม่ได้ระบุว่าเป็นการแฮกอะไรบ้าง แต่แน่ๆ คือกระต่อความมั่นคงของรัฐ   ซึ่งเหตุการณ์ดังกล่าว จะเป็นภาพสะท้อนว่า มีโอกาสที่เกิด "สงครามเย็นรอบใหม่"  ผ่านข่าวกรองและการโจมตีที่สายตามนุษย์มองไม่เห็น ผ่านช่องทางดิจิทัลได้เริ่มขึ้นและกินขยายความไปอย่างมาก

ประเทศไทยเราต้องตามให้ทัน ในปัจจุบันประเทศไทยไม่เคยคิดจะลงทุน R&D เอง  งบภาครัฐส่วนใหญ่จัดซื้อระบบ Cyber Security จากต่างประเทศเกือบ 100%  เช่นจาก จีน อิสราเอล สหรัฐ  ไม่เกิน 3 ประเทศนี้   คำถามว่า ประเทศไทยเราจะปลอดภัยได้อย่างไร ในเมื่อเทคโนโลยียังพึ่งพาคนอื่นเขา
ด้วยเทคโนโลยีสมัยใหม่จะวิ่งเป็น Cloud base หรือ มีการเชื่อมต่อ API จากภายนอก  งานระดับประเทศควรที่จะควบคุมได้ภายในประเทศไทย  ตามหลัก ตนเป็นที่พึ่งแห่งตน นี้คงไม่ผิด    อันไหนสำคัญควรควบคุม (Control) ถึงแม้จะทำเองดีไม่เท่าแต่ต้องควบคุมได้เองได้


สรุป การเปลี่ยนแปลงยังคงเกิดขึ้นโดยตลอด ทิศทางแนวโน้ม ยังคงเดิมมาแบบนี้สักพักหนึ่งแล้ว แต่จะผูกขาดมากขึ้น ผูกขาดตลอดเส้นทาง ตั้งแต่ OS ที่บรรจุลงไปในมือถือที่เราใช้ไป ยัน Cloud  รวมถึงการวิเคราะห์ข้อมูล Big data ที่จะรู้ทันเราตั้งแต่เกิดจนตาย จากเจ้าประจำในต่างแดน

สุดท้ายผมอยากให้ท่านกลับไปอ่านในสิ่งที่ผมเขียนเมื่อปีที่แล้ว http://nontawattalk.sran.org/2015/12/2559_31.html 
มันยังใช้ได้ และมีบางข้อเริ่มเห็นภาพชัดขึ้นเรื่อยๆเมื่อเวลาผ่านไป


ปล. ทั้งหมดเป็นเพียงการแสดงความคิดเห็นจากผู้เขียน มิได้อ้างอิงจะที่ใด บนทัศนะคติของข้าพเจ้าอย่างแท้จริง ดังนั้นผู้อ่านควรใตร่ตรองและหาเหตุผลสนับสนุนเองไม่จำเป็นต้องเชื่อทั้งหมด



เนื่องในโอกาสวาระดิถีขึ้นปีใหม่ 2560 ขออำนาจแห่งคุณพระศรีรัตนตรัย และสิ่งศักดิ์สิทธิ์ทั้งหลายในสากลโลกได้โปรดอำนวยพรให้ท่านผู้อ่านและครอบครัว มีแต่โชดดีปีใหม่ มีความสุข  ประสบกับความสำเร็จ และสมหวังตลอดปีใหม่และตลอดไป ขอจงมีแต่สิ่งดีๆเข้ามาในชีวิต มีสุขภาพร่างกายแข็งแรง ไม่มีโรคภัยเบียดเบียนและมีความก้าวหน้าในหน้าที่การงาน ตลอดปีใหม่ 2560 และตลอดไป

31/12/59
นนทวัตต์  สาระมาน
พ่อบ้าน