เนื่องจากผมมีอาชีพที่ โดนพรบนี้เต็มๆและคิดว่าหลายๆน่าจะเป็นประโยชน์แก่ทุกๆท่าน จึงอยากนำมาเสนอให้รับฟังกันวันนี้ โดยสืบเนื่องจากภาครัฐ ที่ไม่มีประสิทธิภาพ ไม่มีความสามารถในการติดตามผู้จรากรรมด้าน IT มาลงโทษได้ จึงได้ทำการโยนภาระก้อนโตลงมา + แทรกปมทางธุรกิจไว้อย่างน่าสงสัย  เรามาลองวิเคราะห์กันก่อนดังนี้

ข้อกำหนด

1.ใครต้องทำบ้าง

-ทุกองค์กรที่ใช้งานอินเตอร์เนตนอกเหนือจากที่ใช้อินเตอร์เนตตามบ้าน เช่น บริษัท ห้างร้าน โรงเรียน โรงพยาบาล ร้านเนต บ้านเช่า ห้องพัก โดยไม่ระบุถึงจำนวนเครื่อง และผู้ใช้ นั่นหมายความว่า เจ๊ก ซิม แป๊ะ เด็ก3ขวบ หรือผู้ให้บริการมือถือระดับโลก ก็สามารถโดนได้เช่นกัน ถ้าคุณเป็นเจ้าขององค์กรดังที่กล่าวมา

2.ทำอะไร

-เก็บข้อมูลการใช้งานทางที่เข้าออก อินเตอร์เนต เช่น FTP web Im (MSN ICQ QQ etc) Mail.

3.เก็บอย่างไร

-ผู้ใช้

-ต้นทาง

-เส้นทาง

-เวลา ที่ส่ง

-ปริมาณ

-ระยะเวลาที่เชื่อมต่อ

-ปลายทาง

4.ระยะเวลาในการเก็บ

-90วัน-1ปี(ในข้อมูลบางชนิด)

5.โทษ

ปรับไม่เกิน 5แสนบาท และต้องเสียค่าปรับเพิ่มวันละ 5พันบาท จนกว่าจะปรับปรุงระบบเรียบร้อย

6.เริ่มบังคับใช้

1หรือ 23 สิงหาคม 2551 นี้

7.วิธีการจัดเก็บ

“  การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัยดังต่อไปนี้
(๑) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง(Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้
(๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บและกําหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าวเพื่อรักษาความน่าเชื่อถือของข้อมูลและไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่นการเก็บไว้ในCentralized Log Server หรือการทํา Data Archiving หรือทํา
Data Hashing เป็นต้นเว้นแต่ ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กรกําหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่นผู้ตรวจสอบระบบสารสนเทศขององค์กร(IT Auditor)
หรือบุคคลที่องค์กรมอบหมายเป็นต้นรวมทั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้”

 คัดลอกจาก ” ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ว่าด้วยเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ เล่มที่ 124 ตอนพิเศษ 102 ง วันที่ 23 สิงหาคม 2550 หน้า 5 ข้อ 8″

  ภาพรวมของ พรบ. และ สิ่งที่น่าจะเข้าใจกันผิด

จุดมุ่งหมาย

          “ด้วยในปัจจุบันการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือระบบอิเล็กทรอนิกส์เริ่มเข้าไปมีบทบาท
และทวีความสำคัญเพิ่มขึ้นตามลำดับต่อระบบเศรษฐกิจและคุณภาพชีวิ ตของประชาชน
แต่ในขณะเดียวกันการกระทําความผิดเกี่ยวกับคอมพิวเตอร์มีแนวโน้มขยายวงกว้าง และทวีความรุนแรง
เพิ่มมากขึ้นข้อมูลจราจรทางคอมพิวเตอร์ นับเป็นพยานหลั กฐานสำคัญในการดำเนินคดี
อันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงสมควรกําหนด
ให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว”

 คัดลอกจาก ” ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ว่าด้วยเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ เล่มที่ 124 ตอนพิเศษ 102 ง วันที่ 23 สิงหาคม 2550 หน้า 1″

สิ่งที่น่าจะเข้าใจกันผิด

-การคิดว่าซื้ออุปกรณ์มาวางแล้วจบ!!!!!!!

        เป็นความคิดที่ผิดมหันต์อย่างร้ายแรงเนื่องจากตามพรบ. ระบุให้ตัวตนผู้กระทำผิดได้อย่างชัดเจนด้วย นั่นหมายความว่าท่านต้องมีระบบพิสูจน์ตัวตน ในระบบคอมของท่านด้วย(พวกที่ใช้ work group ในการแชร์ลำบากแน่) อาจจะต้องเปลี่ยนมาใช้ระบบ AD (Active directory) หรือ LDAP หรือ poxy ที่ได้มีระบบ authorize ในการใช้งาน

- ระบบอย่างเดียวคงไม่พอ

        เนื่องจากมีหลายกรณีที่ไม่สามารถจัดการได้โดยระบบ เช่น มีลูกค้า หรือพนักงานที่ใช้คอมพิวเตอร์ โน๊ตบุ๊ค เทียวไปมาระหว่างสาขา ต้องมีการกำหนด account กลางขึ้นมาใช้งานด้วยและยังต้องมีการลงชื่อรับทราบและขอเข้าใช้ระบบด้วย

- มีคิดว่าไม่มีความจำเป็นหรือเป็นการยากที่จะจับได้

        จริงอยู่ที่องกร์ที่เข้าข่ายที่จะต้องทำตามกฏหมายฉบับนี้เยอะมาก จนทำให้ผู้บริหารบางคนไม่ใส่ใจกับ พรบฉบับนี้ แต่อยากขอเตือนพวกท่านไว้สักนิดว่า พรบ.ฉบับนี้ต่างกับพวก พรบ.ลิขสิทธิ์ ที่เจ้าของลิขสิทธิ์เป็นโจทย์ในการฟ้อง (ซึ่งโดยปกติถ้าไม่ละเมิดกันแบบโอเวอร์จริงๆ ก็ไม่ค่อยเห็นว่ามีการจับกัน หรือจับรายเล็กรายน้อยหาตังกินหนมไปวันๆ) แต่โจทย์ตามพรบ.นี้เป็นกระทรวง ICT คงพอจะนึกภาพกันออกนะครับ ว่าจะเป็นเช่นไร…….. 

การรับมือกับพรบฉบับนี้

-ส่วนพิสูจน์ตัวตน

ก่อนอื่นคงต้องมีระบบพิสูจน์ตัวตนกันก่อนเลยครับ อาจจะเป็น AD(Active directory) สำหรับ วินโดวส์ หรือ LDAP(Lightweight Directory Access Protocol ( LDAP )) สำหรับลีนุ๊กกันก่อนครับสำหรับพิสูจน์ตัวตน ส่วน proxy เซอร์เวอร์บางตัวก็ ระบุตัวตนได้แต่คงจะไม่ครบตามพรบ เลยไม่ขอแนะนำครับ

-ส่วนที่เก็บข้อมูล

ไม่ว่าจะเป็นเวลาที่เชื่อต่อ จาก IP อะไรและไปเวปไหนเปิดอะไรบ้าง ต้องใช้ firewall หรือ proxy เท่านั้นในการเก็บหรือสร้างข้อมูล log ในส่วนนี้ และจะต้องมี log จาก router มาด้วยนะครับดังนั้น router ที่ไม่สามารถ manage syslog ได้คงจะต้องโล๊ะทิ้งซื้อใหม่กันละครับงานนี้ เนื่องจาก proxy จะไม่เก็บข้อมูลการใช้ shell บาง shell เช่น telnet เป็นต้น

-ส่วนของการเก็บ Log (Centralized Log Server )

เป็นส่วนที่ลำบากที่สุดเลยครับเนื่องจากต้องมีการเข้าระหัสของ log หรือวิธีการที่จะตรวจสอบได้ว่า log ที่เก็บไว้จะไม่ถูกแก้ไขหรือทำลาย และเมื่อมีการเข้าไปดูlog ในระบบนี้ยังต้องมีการบันทึกอีกว่ามีการเข้าไปใช้งานเมื่อไร ระบบตรงนี้ปัจจุบัน (กรกฏาคม 2551) มีมูลค่าหลักแสนขึ้นทั้งนั้นเลย

หมายเหตุ เนื่องจากตอนนี้ยังอยู่ในช่วงการศึกษาและค้นคว้า ของฟรีให้ตรงกับ พรบ. อยุ่เพราะฉะนั้น ลองเทสตามได้แต่ ผมยังรับประกันไม่ได้ว่ามันตามพรบ.หรือเปล่านะ  ถ้าสำเร็จแล้วจะมาบอกให้ละเอียดยิบเลยว่าทำกันยังไงบ้างแบบ step-by-step ให้พวกขายของแพงๆ หน้าหงายกันไปเลย