หลังจากที่ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ประกาศใช้ไปเมื่อวันที่ 18 มิ.ย.2550 ที่ผ่านมา  ทำให้หลายองค์กรทั้งภาครัฐและภาคเอกชนต้องมีการปรับตัวครั้งใหญ่ เนื่องจากในมาตรา 26 ของ พรบ.กำหนดว่า

“ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน 90 วัน แต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็น เพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท”

ปัญหาที่กังวลกันอยู่คือ แล้วใครบ้างที่เป็น “ผู้ให้บริการ” ก็มีหลายคำถามประดังเข้ามา อาทิ “มีไวไฟ เราเตอร์ไว้ที่บ้านต่อเล่นอินเทอร์เน็ตกันหลายเครื่องโดนด้วยหรือเปล่า เปิดไวไฟให้ลูกค้าในร้านกาแฟเกี่ยวไหม ร้านอินเทอร์เน็ตลูกค้าเข้าๆ ออกๆ วันละเป็นร้อยคนก็โดนเหมือนกันใช่ไหม องค์กรไม่ว่าขนาดไหนก็โดนใช้หรือไม่ และอีกมากมาย ฯลฯ”

แต่พอกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) ได้ออกประกาศกระทรวงฯสำหรับหลักเกณฑ์ในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ดังกล่าว เพื่อให้เกิดความเหมาะสมในทางปฏิบัติและเพื่อให้หลายองค์กรได้มีแนวทางที่ชัดเจนในการปฏิบัติว่า ข้อมูลจราจรอะไรบ้างที่ควรจัดเก็บ  ข้อมูลอะไรที่ไม่ต้องจัดเก็บ ตลอดจนวิธีการจัดเก็บอย่างถูกต้อง เรื่องคาใจก็อาจจะคลายข้อสงสัยได้อีกระดับหนึ่ง แต่ก็ยังงงอีกว่าเมื่อรู้ว่าใครต้องเก็บข้อมูลจราจรนี้แล้ว จะเก็บยังไงให้ถูกกฎหมายเมื่อเจ้าพนักงานมาขอดู

IT Digest ได้ไปเก็บตกงานสัมมนาของ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ หรือ TISA ในหัวข้อ “พรบ.การกระทำผิดกับการตีความโดยผู้เชี่ยวชาญ” ที่สถาบันบัณฑิตบริหารธุรกิจ ศศินทร์ แห่งจุฬาลงกรณ์มหาวิทยาลัย เมื่อไม่นานมานี้ โดยในงานถือว่ารวมเอาบรรดาคนในวงการด้านระบบความปลอดภัยของคอมพิวเตอร์ ผู้ดูแลระบบไอทีในแต่ละองค์กร รวมถึงผู้ประกอบการธุรกิจด้านไอทีซิเคียวริติ้คับคั่ง

โดยหัวข้อหลักที่สัมมนาในงาน ได้แก่ “ พรบ.กระทำผิด กับการตีความที่ยังสับสน” และ“เจาะลึกการเตรียมความพร้อมของผู้ให้บริการตามประกาศของกระทรวง ไอซีที”

พ.ต.อ.ญาณพล ยั่งยืน ผู้บัญชาการสำนักคดีเทคโนโลยีและสารสนเทศ กรมสอบสวนคดีพิเศษ กระทรวงยุติธรรม หรือมือปราบไซเบอร์ ให้ความเห็นในแง่ของการบังคับใช้กฎหมายว่า อยากให้ผู้ใช้งานทุกคนคำนึงถึงเรื่องนี้ โดยเฉพาะการใช้งานไวร์เลสแลน อยากให้มองเรื่องแอคเซสพ้อยท์และความรับผิดชอบ หากเราเปิดสัญญาณโดยไม่มีการป้องกัน วันดีคืนดีข้างบ้านเอาสัญญาณเราไปต่อเน็ตโพสกระทู้ลบหลู่เบื้องสูงขึ้นมาจะเดือดร้อน เพราะตกอยู่ในข่ายผู้ร่วมสนับสนุนกระทำความผิด

“หากตำรวจแกะรอยคนผิดแล้วมาจ๊ะเอ๋ที่บ้านเรา โดยแฮกเกอร์หรือคนเลวสามารถอาศัยช่องโหว่กฎหมาย ปฏิเสธความรับผิดชอบได้ เพราะเขาจะอ้างไว้ก่อนว่าไม่รู้เรื่อง ที่บ้านไม่มีเครื่องคอมพิวเตอร์ ไม่ได้ติดตั้งอินเทอร์เน็ต บางรายมีการฮั้วกันกับข้างบ้าน ให้เพื่อนบ้านติดตั้งอินเทอร์เน็ตและไวร์เลส ออกค่าใช้จ่ายให้ทั้งหมด แล้วให้เปิดสัญญาณไว้ตลอดเวลาไม่ต้องป้องกันอะไร สุดท้ายเพื่อนบ้านกลายเป็นเครื่องมือให้โจรใช้ เพราะหิ้วโน้ตบุ๊คไปนั่งอยู่ริมรั้วบ้านก็เชื่อมต่ออินเทอร์เน็ตไป ถล่มใครต่อใครได้แล้ว ดังนั้น หน้าที่ของคนดีเพื่อป้องกันตัวเองอันดับแรกต้องมีระบบป้องกัน ไม่ว่าจะเป็นการใส่พาสเวิร์ด หรือไฟร์วอลล์ ” มือปราบไซเบอร์ กล่าว

พ.ต.อ.ญาณพล เล่าถึงช่องทางที่แฮกเกอร์ใช้โจมตีชาวบ้านว่า ในส่วนของผู้ประกอบการโทรคมนาคม ที่ตาม พรบ.ฉบับนี้ ต้องเก็บข้อมูลจราจรบนเครือข่าย แต่เวลานี้การโจมตีผ่าน ซิมการ์ดพรีเพด เชื่อมต่อ GPRS/EDGE ก็ทำให้ตำรวจปวดหัว เพราะซิมการ์ดเหล่านี้ไม่ได้ลงทะเบียนตามจับไม่ได้ รวมถึงอินเทอร์เน็ตฟรี 1222 ของทีโอทีก็เช่นกัน อยากให้ทราบว่าจากนี้ไปการใช้งานไว-ไฟสาธารณะ จะต้องมีการลงทะเบียนผู้ใช้ก่อนเข้าใช้งาน เช่น ซื้อพรีเพดการ์ดไว-ไฟต้องกรอกชื่อ-นามสกุล เลขบัตรประจำตัวประชาชนก่อนซื้อใช้งาน หรือแม้แต่การจัดอบรม หรือแข่งขันเกมคอมพิวเตอร์ ก็ต้องลงทะเบียนผู้ใช้ชั่วคราว เพื่อใช้เป็นหลักฐานกรณีเกิดคดีความเช่นเดียวกัน

ด้านนางมรกต กุลธรรมโยธิน รองกรรมการผู้จัดการ บริษัท อินเทอร์เน็ตประเทศไทย จำกัด (มหาชน) หรือไอเน็ต ในฐานะนายกสมาคมผู้ให้บริการอินเทอร์เน็ตไทย ให้ความเห็นในมุมผู้ประกอบการว่า การเตรียมพร้อมของผู้ให้บริการตามที่ พรบ.ฉบับนี้กำหนดนั้น ทุกคนที่ใช้อินเทอร์เน็ตไม่ว่าจะต่อ LAN หรือ WAN หากมีการเชื่อมต่อกับคอมพิวเตอร์ก็เป็นผู้ให้บริการทั้งนั้น อยากเตือนคนที่มีอินเทอร์เน็ตไว-ไฟใช้งานว่า ขอให้มีระบบยืนยันตัวบุคคล เพื่อควบคุมการใช้งานให้เรียบร้อย เพราะหากแฮกเกอร์เข้ามาใช้งานในระบบเรา หมายเลขไอพีที่เขาใช้ก็คือเรา คนผิดในคดีนั้นก็ย่อมเป็นเรา

นายกสมาคมผู้ให้บริการอินเทอร์เน็ตไทย ให้ความเห็นเสริมว่า สำหรับองค์กร เช่น ไอเน็ตเองเตรียมพร้อมมานานแล้วก่อนที่ พรบ.การกระทำความผิดจะประกาศใช้ จึงไม่ค่อยมีปัญหาอะไรเมื่อพ้นช่วงอนุโลมทางกฎหมาย โดยทางไอเน็ตก็มีการตั้งทีมศึกษากฎหมาย พิจารณาข้อบังคับต่างๆ จากนั้นจึงตรวจสอบข้อมูลที่จะต้องเก็บ จัดหาฮาร์ดแวร์เพื่อเก็บข้อมูล รวมทั้งออกนโยบายการใช้งานคอมพิวเตอร์ให้สอดคล้องกับกฎหมาย ไอเอสพีต้องเตรียมคนที่คอยให้ความสะดวกกับเจ้าพนักงาน กรณีที่มาขอดูข้อมูลการจราจร รวมถึงการบล็อกเว็บไซต์หากมีหมายศาล ก็เป็นหน้าที่ที่ไอเอสพีต้องทำ เช่นกัน

นายกำพล ศรธนะรัตน์ ผู้อำนวยการฝ่ายเทคโนโลยีสารสนเทศ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ให้ความเห็นในฐานะหน่วยงานของรัฐที่อยู่ภายใต้กฎหมายว่า เช่นเดียวกับทางไอเอสพี กลต.เองก็มีทีมที่ติดตามกฎหมาย เพื่อวิเคราะห์ แล้วออกกฎระเบียบ สร้างความตระหนักในตัวกฎหมายแก่พนักงาน เนื่องจาก กลต.เองถือว่ามีความเสี่ยง เพราะมีพนักงานต่ออินเทอร์เน็ต มีการใช้แอพลิเคชันที่หลากหลาย มีการเปิดไว-ไฟให้คนนอกใช้งาน ทั้งหมดนี้จากนี้ไปต้องถูกควบคุมแบบรัดกุม รวมทั้งบริการบางอย่างต้องถูกปิดหากประเมินแล้วว่า มีความเสี่ยงสูง เช่น การใช้โปรแกรมสนทนา (IM)

ปิดท้ายด้วย นายปริญญา หอมอเนก ผู้เชี่ยวชาญด้านความปลอดภัย และอดีตกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ที่มีส่วนเกี่ยวข้องกับกฎหมายฉบับนี้ ให้ความเห็นว่า องค์กรแต่ละองค์กรมีลักษณะการใช้ระบบสารสนเทศที่แตกต่างกัน  ดังนั้น จึงควรมีแนวทางในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ให้ถูกต้อง และ เหมาะสมกับลักษณะการใช้ระบบไอที หรือระบบอินเตอร์เน็ตของแต่ละองค์กรที่มีความแตกต่างกันค่อนข้างมาก

ผู้เชี่ยวชาญด้านความปลอดภัย ให้ความเห็นอีกว่า แม้แต่ผู้ให้บริการเช่น เว็บไซต์ต่างๆ และเกมออนไลน์ รวมทั้งร้านอินเตอร์เน็ตคาเฟ่ที่มีอยู่มากมายในประเทศไทย ตลอดจนหลายองค์กรยังไม่มีความพร้อมในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ทำให้ผู้บริหารระบบสารสนเทศขององค์กร ต้องการทราบระยะเวลาในการผ่อนผันว่าทางการจะผ่อนผันได้นานเท่ากี่วัน นับจากวันที่กฎหมายประกาศใช้ โดยกฎกระทรวงก็ให้เวลาองค์กรต่างๆ และอินเทอร์เน็ตคาเฟ่ 1 ปีในการเตรียมตัว ก่อนที่จะมีการตรวจสอบหรือการขอข้อมูลโดยพนักงานเจ้าหน้าที่ ที่ได้รับการแต่งตั้งโดยรัฐมนตรีว่าการกระทรวงไอซีที ที่ขณะนี้ ได้แต่งตั้งเป็นที่เรียบร้อยแล้ว15 คน

“สำหรับเรื่องการเก็บข้อมูลการจราจรบนเครือข่าย คือ Traffic Data เป็นข้อมูลที่เกิดขึ้นในระบบคอมพิวเตอร์ เช่น ข้อมูลใน web server ที่เกิดจากการเข้าถึงข้อมูลโดยผู้เข้าเยี่ยมชมเว็บไซต์ เป็นต้น โดยระบบคอมพิวเตอร์มักจะเก็บ log file ไว้ในเครื่อง และ log file ดังกล่าวอาจถูกเขียนข้อมูลทับในระยะเวลาไม่ถึง 90วัน ตามที่กฎหมายกำหนด อีกทั้ง log file อาจถูกแก้ไขโดย system admin หรือถูกลบโดยแฮกเกอร์ก็มีความเป็นไปได้สูง ดังนั้น ควรเก็บแบบ Centralized Log ที่อยู่บนเซิร์ฟเวอร์กลางที่ผู้ดูแลระบบไม่อาจเข้าไปเปลี่ยนแปลงค่าใดๆ ได้ หากทำแบบนี้จะทำให้ข้อมูลที่เก็บมีน้ำหนักและน่าเชื่อถือเมื่อเข้าสู่ชั้นศาล” นายปริญญา กล่าว

ผู้เชี่ยวชาญด้านความปลอดภัย กล่าวสรุปเรื่องนี้ว่า ผู้บริหารองค์กรควรตั้งคณะทำงาน เพื่อวิเคราะห์พรบ.การกระทำผิดฯ และประกาศกระทรวงฯอย่างละเอียดรอบคอบ ตลอดจนจัดเตรียมงบประมาณในการจัดซื้อฮาร์ดแวร์และซอฟต์แวร์ ที่เหมาะสมและสอดคล้องกับวัตถุประสงค์ของกฎหมาย หรืออาจมีทางเลือกโดยการเอาท์ซอร์สให้ผู้เชี่ยวชาญ หรือ MSSP เข้ามาบริหารจัดการให้แบบครบวงจร ก็จะช่วยแบ่งเบาภาระของผู้บริหารองค์กร ตลอดจนเป็นการบริหารความเสี่ยงอย่างชาญฉลาดอีกด้วย

ทั้งนี้ การปฏิบัติตาม พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ ถือเป็นหน้าที่อันพึงปฏิบัติของคนไทยทุกคนในสังคมยุคสารสนเทศ ที่คอมพิวเตอร์ได้เข้ามามีบทบาทสำคัญกับการทำงาน และการใช้ชีวิตประจำวันของพวกเราทุกคนอย่างหลีกเลี่ยงไม่ได้

กฎหมายมีไว้เพื่อแยกคนเลวออกจากคนดี และไม่ให้คนไม่ดีเอาคนดีไปใช้เป็นเครื่องมือ หรือละเมิดข้อมูลส่วนบุคคล เมื่อรู้แล้วว่าใครมีภาระหน้าที่อะไรในกฎหมายฉบับนี้ ก็ต้องรีบดำเนินการ เตรียมตัวให้พร้อม เพราะเรื่องนี้เปรียบเสมือนระเบิดเวลา หากมีเรื่องมีราวขึ้น แล้วไม่มีหลีกฐานให้เจ้าหน้าที่ ค่าปรับ 5 แสนบาทก็ถือว่าไม่น้อยทีเดียวสำหรับร้านค้าหรือธุรกิจขนาดกลางและเล็ก...

จุลดิศ รัตนคำแปง
itdigest@thairath.co.th