ความรู้เกี่ยวกับ พรบ.คอมพิวเตอร์
“พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550” ซึ่งมีผลบังคับใช้ในวันที่ 18 กรกฎาคม พ.ศ. 2550 นับได้ว่าเป็นที่จับตามองและมีความสำคัญอย่างมากในทุกวงการ เพราะปัจจุบันคอมพิวเตอร์ได้เข้ามามีบทบาทและเป็นส่ว นหนึ่งในชีวิตประจำวัน ของเราไปแล้ว ไม่ว่าจะเป็นหน่วยงาน องค์กรต่างๆ ภาครัฐ เอกชน คนทำงาน นิสิต นักศึกษา ก็ล้วนเกี่ยวข้องกับคอมพิวเตอร์ทั้งสิ้น จึงจำเป็นอย่างยิ่งที่เราจะต้องศึกษาข้อมูลและทำความ เข้าใจเกี่ยวกับพ .ร.บ.ฉบับนี้ และเตรียมพร้อมรับมือ เพื่อป้องกันไม่ให้เกิดการกระทำผิดทางคอมพิวเตอร์ และให้การใช้งานคอมพิวเตอร์ในประเทศไทยของเราเป็นไปใ นทางที่สร้างสรรค์
ความผิดที่เข้าข่าย
การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
สำหรับผู้ให้บริการตามที่พ.ร.บ.นี้ได้ระบุไว้ สามารถจำแนกได้เป็น 4 ประเภทใหญ่ๆ ดังนี้
1. ผู้ประกอบกิจการโทรคมนาคมไม่ว่าโดยระบบโทรศัพท์ ระบบดาวเทียม ระบบวงจรเช่าหรือบริการสื่อสารไร้สาย
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ไม่ว ่าโดยอินเทอร์เน็ต ทั้งผ่านสายและไร้สาย หรือในระบบเครือข่ายคอมพิวเตอร์ภายในที่เรียกว่อินเท อร์เน็ต ที่จัดตั้งขึ้นในเฉพาะองค์กรหรือหน่วยงาน
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ (Host Service Provider)
4. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน application ต่างๆ ที่เรียกว่า content provider เช่นผู้ให้บริการ web board หรือ web service เป็นต้น
ในกรณีนี้ผู้ให้บริการต้องเก็บรักษาข้อมูล 2 ประเภท โดยแบ่งตามรูปแบบได้ ดังนี้
1. “ข้อมูลการจราจรทางคอมพิวเตอร์” ซึ่งเป็นข้อมูลเกี่ยวกับการติดต่อสื่อสาร ที่บอกถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง วันที่ เวลา ปริมาณ ระยะเวลา ชนิดของบริการหรืออื่นๆ ที่เกี่ยวข้อง จะต้องเก็บไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นๆ เข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นเจ้าหน้าที่จะสั่งให้ผู้ให้บริการเก็ บข้อมูลนั้นๆ ไว้ เกิน 90 วัน แต่ไม่เกิน 1 ปี เป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
2. ข้อมูลของผู้ใช้บริการทั้งที่เสียค่าบริการหรือไม่ก็ ตาม โดยต้องเก็บข้อมูลเท่าที่จำเป็นเพื่อให้สามารถระบุตั วผู้ใช้บริการได้ ไม่ว่าจะเป็นชื่อ นามสกุล เลขประจำตัวประชาชน USERNAME หรือ PIN CODE และจะต้องเก็บรักษาไว้ไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการสิ้นสุดลง
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ กำลังจะมีการประกาศใช้ในวันที่ 19 กรกฎาคม 2550 พวกเราเลยต้องมารับรู้กันซะหน่อย ว่าทำอะไรผิดบ้างถึงจะถูกกฎหมายนี้ลงโทษเอาได้ พวกเราจะได้ระวังตัวกัน ไม่เผลอไผลให้อารมณ์พาไปจนทำผิดเน้อะ!!!
จะถอดความโดยสรุปเลยก็แล้วกันนะ ว่าทำอะไรผิดแล้วจะโดนลงโทษบ้าง
1. เจ้าของไม่ให้เข้าระบบคอมพิวเตอร์ของเขา แล้วเราแอบเข้าไป ... เจอคุก 6 เดือน
2. แอบไปรู้วิธีการเข้าระบบคอมพิวเตอร์ของชาวบ้าน แล้วเที่ยวไปโพนทะนาให้คนอื่นรู้ ... เจอคุกไม่เกินปี
3. ข้อมูลของเขา เขาเก็บไว้ในระบบคอมพิวเตอร์ดี ๆ แล้วแอบไปล้วงของเขา ... เจอคุกไม่เกิน 2 ปี
4. เขาส่งข้อมูลหากันผ่านเครือข่ายคอมพิวเตอร์แบบส่วนตั๊วส่วนตัว แล้วเราทะลึ่งไปดักจับข้อมูลของเขา ... เจอคุกไม่เกิน 3 ปี
5. ข้อมูลของเขาอยู่ในระบบคอมพิวเตอร์ของเขาดี ๆ เราดันมือบอนไปโมมันซะงั้น ... เจอคุกไม่เกิน 5 ปี
6. ระบบคอมพิวเตอร์ของชาวบ้านทำงานอยู่ดี ๆ เราดันยิง packet หรือ message หรือ virus หรือ trojan หรือ worm หรือ (โอ๊ยเยอะ) เข้าไปก่อกวนจนระบบเขาเดี้ยง ... เจอคุกไม่เกิน 5 ปี
7. เขาไม่ได้อยากได้ข้อมูลหรืออีเมลล์จากเราเล้ย เราก็ทำตัวเป็นอีแอบเซ้าซี้ส่งให้เขาซ้ำ ๆ อยู่นั่นแหล่ะ จนทำให้เขาเบื่อหน่ายรำคาญ ... เจอปรับไม่เกินหนึ่งแสนบาท
8. ถ้าเราทำผิดข้อ 5. กับ ข้อ 6. แล้วมันสร้างความพินาศใหญ่โตในระดับรากหญ้า งานนี้มีซวยแน่ เจอคุกสิบปีขึ้น
9. ถ้าเราสร้างซอฟต์แวร์เพื่อช่วยให้ใคร ๆ ทำเรื่องแย่ ๆ ในข้อข้างบน ๆ ได้ ... เจอคุกไม่เกินปีนึงเหมือนกัน
10. โป๊ก็โดน, โกหกก็โดน, เบนโลก็โดน, ท้าทายอำนาจรัฐก็โดน ... เจอคุกไม่เกิน 5 ปี
11. ใครเป็นเจ้าของเว็บ แล้วยอมให้เกิดข้อ 10. โดนเหมือนกัน ... เจอคุกไม่เกิน 5 ปี
12. ถ้าเราเรียกให้ชาวบ้านเข้ามาดูงานของศิลปินข้างถนน ซึ่งชอบเอารูปชาวบ้านมาตัดต่อ เตรียมใจไว้เลยมีโดน ... เจอคุกไม่เกิน 3 ปี
13. เราทำผิดที่เว็บไซต์ซึ่งอยู่เมืองนอก แต่ถ้าเราเป็นคนไทย หึ ๆ อย่าคิดว่ารอด โดนแหง ๆ
14. ฝรั่งทำผิดกับเรา แล้วมันอยู่เมืองนอกอีกต่างหาก เราเป็นคนไทย ก็เรียกร้องเอาผิดได้เหมือนกัน (จริงดิ?)
ความผิดที่เข้าข่าย
การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
- การเปิดเผยข้อมูลมาตรการป้องกันการเข้าถึงระบบคอมพิว เตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ
- การเข้าถึงข้อมูลคอมพิวเตอร์โดยไม่ชอบ
- การดักรับข้อมูลคอมพิวเตอร์ของผู้อื่น
- การทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง เพิ่มเติมข้อมูลคอมพิวเตอร์โดยไม่ชอบ
- การกระทำเพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื ่นไม่สามารถทำงานได้ตามปกติ
- การส่งข้อมูลคอมพิวเตอร์รบกวนการใช้ระบบคอมพิวเตอร์ข องคนอื่นโดยปกติสุข
- การจำหน่ายชุดคำสั่งที่จัดทำขึ้นเพื่อนำไปใช้เป็นเคร ื่องมือในการกระทำความผิด
- การใช้ระบบคอมพิวเตอร์ทำความผิดอื่น ผู้ให้บริการจงใจสนับสนุนหรือยินยอมให้มีการกระทำควา มผิด
- การตกแต่งข้อมูลคอมพิวเตอร์ที่เป็นภาพของบุคคล
- เหล่านี้ถือว่าเข้าข่ายความผิดตามพ.ร.บ. ฉบับนี้
สำหรับผู้ให้บริการตามที่พ.ร.บ.นี้ได้ระบุไว้ สามารถจำแนกได้เป็น 4 ประเภทใหญ่ๆ ดังนี้
1. ผู้ประกอบกิจการโทรคมนาคมไม่ว่าโดยระบบโทรศัพท์ ระบบดาวเทียม ระบบวงจรเช่าหรือบริการสื่อสารไร้สาย
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ไม่ว ่าโดยอินเทอร์เน็ต ทั้งผ่านสายและไร้สาย หรือในระบบเครือข่ายคอมพิวเตอร์ภายในที่เรียกว่อินเท อร์เน็ต ที่จัดตั้งขึ้นในเฉพาะองค์กรหรือหน่วยงาน
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ (Host Service Provider)
4. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน application ต่างๆ ที่เรียกว่า content provider เช่นผู้ให้บริการ web board หรือ web service เป็นต้น
ในกรณีนี้ผู้ให้บริการต้องเก็บรักษาข้อมูล 2 ประเภท โดยแบ่งตามรูปแบบได้ ดังนี้
1. “ข้อมูลการจราจรทางคอมพิวเตอร์” ซึ่งเป็นข้อมูลเกี่ยวกับการติดต่อสื่อสาร ที่บอกถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง วันที่ เวลา ปริมาณ ระยะเวลา ชนิดของบริการหรืออื่นๆ ที่เกี่ยวข้อง จะต้องเก็บไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นๆ เข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นเจ้าหน้าที่จะสั่งให้ผู้ให้บริการเก็ บข้อมูลนั้นๆ ไว้ เกิน 90 วัน แต่ไม่เกิน 1 ปี เป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
2. ข้อมูลของผู้ใช้บริการทั้งที่เสียค่าบริการหรือไม่ก็ ตาม โดยต้องเก็บข้อมูลเท่าที่จำเป็นเพื่อให้สามารถระบุตั วผู้ใช้บริการได้ ไม่ว่าจะเป็นชื่อ นามสกุล เลขประจำตัวประชาชน USERNAME หรือ PIN CODE และจะต้องเก็บรักษาไว้ไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการสิ้นสุดลง
พ.ร.บ.คอมพิวเตอร์ ฉบับชาวบ้าน
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ กำลังจะมีการประกาศใช้ในวันที่ 19 กรกฎาคม 2550 พวกเราเลยต้องมารับรู้กันซะหน่อย ว่าทำอะไรผิดบ้างถึงจะถูกกฎหมายนี้ลงโทษเอาได้ พวกเราจะได้ระวังตัวกัน ไม่เผลอไผลให้อารมณ์พาไปจนทำผิดเน้อะ!!!
จะถอดความโดยสรุปเลยก็แล้วกันนะ ว่าทำอะไรผิดแล้วจะโดนลงโทษบ้าง
1. เจ้าของไม่ให้เข้าระบบคอมพิวเตอร์ของเขา แล้วเราแอบเข้าไป ... เจอคุก 6 เดือน
2. แอบไปรู้วิธีการเข้าระบบคอมพิวเตอร์ของชาวบ้าน แล้วเที่ยวไปโพนทะนาให้คนอื่นรู้ ... เจอคุกไม่เกินปี
3. ข้อมูลของเขา เขาเก็บไว้ในระบบคอมพิวเตอร์ดี ๆ แล้วแอบไปล้วงของเขา ... เจอคุกไม่เกิน 2 ปี
4. เขาส่งข้อมูลหากันผ่านเครือข่ายคอมพิวเตอร์แบบส่วนตั๊วส่วนตัว แล้วเราทะลึ่งไปดักจับข้อมูลของเขา ... เจอคุกไม่เกิน 3 ปี
5. ข้อมูลของเขาอยู่ในระบบคอมพิวเตอร์ของเขาดี ๆ เราดันมือบอนไปโมมันซะงั้น ... เจอคุกไม่เกิน 5 ปี
6. ระบบคอมพิวเตอร์ของชาวบ้านทำงานอยู่ดี ๆ เราดันยิง packet หรือ message หรือ virus หรือ trojan หรือ worm หรือ (โอ๊ยเยอะ) เข้าไปก่อกวนจนระบบเขาเดี้ยง ... เจอคุกไม่เกิน 5 ปี
7. เขาไม่ได้อยากได้ข้อมูลหรืออีเมลล์จากเราเล้ย เราก็ทำตัวเป็นอีแอบเซ้าซี้ส่งให้เขาซ้ำ ๆ อยู่นั่นแหล่ะ จนทำให้เขาเบื่อหน่ายรำคาญ ... เจอปรับไม่เกินหนึ่งแสนบาท
8. ถ้าเราทำผิดข้อ 5. กับ ข้อ 6. แล้วมันสร้างความพินาศใหญ่โตในระดับรากหญ้า งานนี้มีซวยแน่ เจอคุกสิบปีขึ้น
9. ถ้าเราสร้างซอฟต์แวร์เพื่อช่วยให้ใคร ๆ ทำเรื่องแย่ ๆ ในข้อข้างบน ๆ ได้ ... เจอคุกไม่เกินปีนึงเหมือนกัน
10. โป๊ก็โดน, โกหกก็โดน, เบนโลก็โดน, ท้าทายอำนาจรัฐก็โดน ... เจอคุกไม่เกิน 5 ปี
11. ใครเป็นเจ้าของเว็บ แล้วยอมให้เกิดข้อ 10. โดนเหมือนกัน ... เจอคุกไม่เกิน 5 ปี
12. ถ้าเราเรียกให้ชาวบ้านเข้ามาดูงานของศิลปินข้างถนน ซึ่งชอบเอารูปชาวบ้านมาตัดต่อ เตรียมใจไว้เลยมีโดน ... เจอคุกไม่เกิน 3 ปี
13. เราทำผิดที่เว็บไซต์ซึ่งอยู่เมืองนอก แต่ถ้าเราเป็นคนไทย หึ ๆ อย่าคิดว่ารอด โดนแหง ๆ
14. ฝรั่งทำผิดกับเรา แล้วมันอยู่เมืองนอกอีกต่างหาก เราเป็นคนไทย ก็เรียกร้องเอาผิดได้เหมือนกัน (จริงดิ?)
กฎหมายออกมาแล้ว ก็คงต้องระวังตัวกันให้มากขึ้นนะพวกเรา ... จงถึงพร้อมด้วยความไม่ประมาท
24 สิงหาคม 2551 นี้ ครบ 1 ปีที่ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มีผลบังคับใช้ และยังครบกำหนดการผ่อนผันให้ทุกหน่วยงานที่มีบริการเข้าถึงอินเทอร์เน็ตได้เตรียมตัวในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (log file) แล้ว ฉะนั้นนับตั้งแต่ 24 สิงหาคมนี้ ทุกหน่วยงานต้องปฏิบัติตามข้อกำหนดในการจัดเก็บ log file ไว้อย่างน้อย 90 วัน โดยต้องเก็บในลักษณะที่สามารถระบุตัวตนผู้ใช้งานที่แท้จริง ณ เวลาต่างๆ ได้
"ปริญญา หอมเอนก" นักวิชาการด้านความปลอดภัย ข้อมูลสารสนเทศ และประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด แนะนำวิธีปฏิบัติตาม พ.ร.บ.ว่า ระบบโครงสร้างพื้นฐานไอทีขั้นต่ำที่องค์กรควรจัดทำ หลัง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มีผลบังคับใช้ จุดสำคัญคือ ต้องมีระบบโครงสร้างพื้นฐานสำหรับพิสูจน์ตัวตน เพื่อให้ผู้ใช้บริการเข้ามา log in หรือ sign on กับระบบส่วนกลางก่อนใช้ระบบคอมพิวเตอร์ในองค์กร โดยผ่านทางระบบ proxy หรือระบบ cache ให้สามารถตรวจสอบผู้ใช้บริการเป็นรายบุคคลแบบหนึ่งต่อหนึ่ง หรือ "1 คน 1 ชื่อผู้ใช้ 1 รหัสผ่าน" เนื่องจากระบบ LAN ที่ใช้อยู่ในปัจจุบัน โดยปกติจะไม่มีการ log on เข้าระบบที่ส่วนกลาง และหลายแห่งอนุญาตให้มีการเข้าระบบได้อย่างง่ายดาย
ฉะนั้นควรให้ทุกเครื่องคอมพิวเตอร์ในระบบ LAN จะใช้งานระบบได้ต้องเข้าสู่ระบบการพิสูจน์ตัวตนจากส่วนกลาง ซึ่งการจัดเก็บ log file จะสามารถทำได้ง่ายจากส่วนกลาง ทุกองค์กรต้องให้ความสำคัญกับการสร้างความเข้าใจให้ผู้ใช้บริการเก็บรักษารหัสผ่านของตนไว้เป็นความลับ และไม่ควรมีการใช้ชื่อร่วมกันในการเข้าใช้งานระบบทุกระบบภายในองค์กร โดยเฉพาะระบบอินเทอร์เน็ต
นอกจากนี้ยังต้องมีระบบโครงสร้างพื้นฐานสำหรับเก็บ log file ที่ส่วนกลาง เนื่องจากการเก็บ log file ไว้ในเครื่องอาจไม่ปลอดภัยและไม่น่าเชื่อถือพอ เพราะผู้ดูแลระบบในเครื่องหรือแม้แต่แฮกเกอร์ก็สามารถเข้าไป
24 สิงหาคม 2551 นี้ ครบ 1 ปีที่ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มีผลบังคับใช้ และยังครบกำหนดการผ่อนผันให้ทุกหน่วยงานที่มีบริการเข้าถึงอินเทอร์เน็ตได้เตรียมตัวในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (log file) แล้ว ฉะนั้นนับตั้งแต่ 24 สิงหาคมนี้ ทุกหน่วยงานต้องปฏิบัติตามข้อกำหนดในการจัดเก็บ log file ไว้อย่างน้อย 90 วัน โดยต้องเก็บในลักษณะที่สามารถระบุตัวตนผู้ใช้งานที่แท้จริง ณ เวลาต่างๆ ได้
"ปริญญา หอมเอนก" นักวิชาการด้านความปลอดภัย ข้อมูลสารสนเทศ และประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด แนะนำวิธีปฏิบัติตาม พ.ร.บ.ว่า ระบบโครงสร้างพื้นฐานไอทีขั้นต่ำที่องค์กรควรจัดทำ หลัง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มีผลบังคับใช้ จุดสำคัญคือ ต้องมีระบบโครงสร้างพื้นฐานสำหรับพิสูจน์ตัวตน เพื่อให้ผู้ใช้บริการเข้ามา log in หรือ sign on กับระบบส่วนกลางก่อนใช้ระบบคอมพิวเตอร์ในองค์กร โดยผ่านทางระบบ proxy หรือระบบ cache ให้สามารถตรวจสอบผู้ใช้บริการเป็นรายบุคคลแบบหนึ่งต่อหนึ่ง หรือ "1 คน 1 ชื่อผู้ใช้ 1 รหัสผ่าน" เนื่องจากระบบ LAN ที่ใช้อยู่ในปัจจุบัน โดยปกติจะไม่มีการ log on เข้าระบบที่ส่วนกลาง และหลายแห่งอนุญาตให้มีการเข้าระบบได้อย่างง่ายดาย
ฉะนั้นควรให้ทุกเครื่องคอมพิวเตอร์ในระบบ LAN จะใช้งานระบบได้ต้องเข้าสู่ระบบการพิสูจน์ตัวตนจากส่วนกลาง ซึ่งการจัดเก็บ log file จะสามารถทำได้ง่ายจากส่วนกลาง ทุกองค์กรต้องให้ความสำคัญกับการสร้างความเข้าใจให้ผู้ใช้บริการเก็บรักษารหัสผ่านของตนไว้เป็นความลับ และไม่ควรมีการใช้ชื่อร่วมกันในการเข้าใช้งานระบบทุกระบบภายในองค์กร โดยเฉพาะระบบอินเทอร์เน็ต
นอกจากนี้ยังต้องมีระบบโครงสร้างพื้นฐานสำหรับเก็บ log file ที่ส่วนกลาง เนื่องจากการเก็บ log file ไว้ในเครื่องอาจไม่ปลอดภัยและไม่น่าเชื่อถือพอ เพราะผู้ดูแลระบบในเครื่องหรือแม้แต่แฮกเกอร์ก็สามารถเข้าไป
แก้ไขได้
นอกจากนี้แต่ละองค์กรยังต้องเตรียมรับมือกับปัญหาที่อาจเกิดขึ้นจากการปฏิบัติตาม พ.ร.บ.ด้วย อาทิ การเกิดปัญหาคอขวดในระบบคอมพิวเตอร์ ที่เกิดจากการวางระบบไม่ดี ไม่ได้เผื่อขนาดของอุปกรณ์ และข้อมูล log file ที่ต้องจัดเก็บไว้ถึง 90 วัน จึงอาจเกิดปัญหาเวลามีผู้ใช้งานเครือข่ายเป็นจำนวนมาก
ดังนั้นการวางระบบในเบื้องต้นต้องคำนึงถึงปริมาณการใช้งานที่แท้จริงภายในองค์กร ซึ่งจุดนี้ต้องอาศัย ผู้เชี่ยวชาญเข้ามาดูแล รวมถึงการจัดเก็บและการวิเคราะห์ log file ดังนั้นการใช้เอาต์ซอร์ซให้ผู้เชี่ยวชาญจาก ภายนอกมาช่วย จึงเป็นทางออกที่ดี บริษัทไม่จำเป็นต้องทำในสิ่งที่องค์กรไม่มีความถนัดและเชี่ยวชาญ หรือ ลงทุนเพิ่มเรื่องบุคลากร
ปัญหาสำคัญที่สุดคือ ผู้ใช้งานระบบเคยชินกับการทำงานแบบเดิมๆ รู้สึกไม่สะดวกและไม่ยอมรับกับการต้องป้อน user name กับ password ทุกครั้งเมื่อใช้งานในระบบ ดังนั้นจึงควรจัดอบรมสร้างความเข้าใจพื้นฐานด้านความปลอดภัยของข้อมูลและความผิดตาม พ.ร.บ.คอมพิวเตอร์ภายในองค์กรเพื่อให้พนักงานพร้อมปฏิบัติตามนโยบายด้วยความเต็มใจ โดยเฉพาะในระดับผู้บริหาร เนื่องจากต้องเป็นผู้รับผิดชอบตาม พ.ร.บ.นี้ ในหลายประเด็น หากไม่ปฏิบัติตามข้อกำหนดหรือปล่อยให้เกิดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ขึ้นในองค์กร
รวมถึงปัญหาที่ผู้บริหารระดับสูงของหลายองค์กรมักเชื่อว่า การจัดซื้อระบบ SIM (security information management) จะถือว่าองค์กรได้ปฏิบัติตาม พ.ร.บ.ครบถ้วนแล้ว ซึ่งเป็นความเข้าใจผิดที่อาจส่งผลเสียต่อองค์กรได้ เนื่องจากระบบ SIM ไม่ได้ถูกออกแบบมาให้จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ แต่ถูกออกแบบมาให้วิเคราะห์ข้อมูลจาก log file เท่านั้น จึงต้องมีการรวมระบบการจัดเก็บ log หรือ SEM (security event management) เข้าไปด้วยและติดตั้งให้ถูกต้องเพื่อจัดเก็บข้อมูลจราจรได้ครบตาม พ.ร.บ. รวมถึงต้องมีระบบ พื้นฐานในการพิสูจน์ตัวบุคคลภายในองค์กร
นอกจากข้อเสนอแนะสำหรับองค์กรต่างๆ ในการปฏิบัติตาม พ.ร.บ.แล้ว "ปริญญา หอมเอนก" ยังเสนอแนะให้ภาครัฐประชาสัมพันธ์ให้มากขึ้นเกี่ยวกับแนวทางการปฏิบัติตาม พ.ร.บ. กระบวนการแจ้งความในความผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนกรณีศึกษาหรือคดีตัวอย่าง เพื่อให้เกิดความตระหนัก และความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับใช้กฎหมาย เนื่องจากปัจจุบันหลายองค์กรยังไม่ให้ความสำคัญกับการปฏิบัติตาม พ.ร.บ. เพราะยังไม่ได้รับข้อมูล และประเมินว่าภาครัฐคงไม่เอาจริง
และที่สำคัญคือการปฏิบัติตาม พ.ร.บ.ให้ถูกต้อง ยังต้องอาศัยผู้รับผิดชอบที่มีความรู้ด้านเทคนิคอย่างมาก เพราะสามารถตีความได้หลากหลายมุม แล้วแต่พื้นฐานความรู้ความเข้าใจ ขณะที่ภาครัฐควรออกคู่มือแนะนำแนวทางปฏิบัติทางเทคนิคที่ถูกต้องให้กับองค์กร
นอกจากนี้แต่ละองค์กรยังต้องเตรียมรับมือกับปัญหาที่อาจเกิดขึ้นจากการปฏิบัติตาม พ.ร.บ.ด้วย อาทิ การเกิดปัญหาคอขวดในระบบคอมพิวเตอร์ ที่เกิดจากการวางระบบไม่ดี ไม่ได้เผื่อขนาดของอุปกรณ์ และข้อมูล log file ที่ต้องจัดเก็บไว้ถึง 90 วัน จึงอาจเกิดปัญหาเวลามีผู้ใช้งานเครือข่ายเป็นจำนวนมาก
ดังนั้นการวางระบบในเบื้องต้นต้องคำนึงถึงปริมาณการใช้งานที่แท้จริงภายในองค์กร ซึ่งจุดนี้ต้องอาศัย ผู้เชี่ยวชาญเข้ามาดูแล รวมถึงการจัดเก็บและการวิเคราะห์ log file ดังนั้นการใช้เอาต์ซอร์ซให้ผู้เชี่ยวชาญจาก ภายนอกมาช่วย จึงเป็นทางออกที่ดี บริษัทไม่จำเป็นต้องทำในสิ่งที่องค์กรไม่มีความถนัดและเชี่ยวชาญ หรือ ลงทุนเพิ่มเรื่องบุคลากร
ปัญหาสำคัญที่สุดคือ ผู้ใช้งานระบบเคยชินกับการทำงานแบบเดิมๆ รู้สึกไม่สะดวกและไม่ยอมรับกับการต้องป้อน user name กับ password ทุกครั้งเมื่อใช้งานในระบบ ดังนั้นจึงควรจัดอบรมสร้างความเข้าใจพื้นฐานด้านความปลอดภัยของข้อมูลและความผิดตาม พ.ร.บ.คอมพิวเตอร์ภายในองค์กรเพื่อให้พนักงานพร้อมปฏิบัติตามนโยบายด้วยความเต็มใจ โดยเฉพาะในระดับผู้บริหาร เนื่องจากต้องเป็นผู้รับผิดชอบตาม พ.ร.บ.นี้ ในหลายประเด็น หากไม่ปฏิบัติตามข้อกำหนดหรือปล่อยให้เกิดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ขึ้นในองค์กร
รวมถึงปัญหาที่ผู้บริหารระดับสูงของหลายองค์กรมักเชื่อว่า การจัดซื้อระบบ SIM (security information management) จะถือว่าองค์กรได้ปฏิบัติตาม พ.ร.บ.ครบถ้วนแล้ว ซึ่งเป็นความเข้าใจผิดที่อาจส่งผลเสียต่อองค์กรได้ เนื่องจากระบบ SIM ไม่ได้ถูกออกแบบมาให้จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ แต่ถูกออกแบบมาให้วิเคราะห์ข้อมูลจาก log file เท่านั้น จึงต้องมีการรวมระบบการจัดเก็บ log หรือ SEM (security event management) เข้าไปด้วยและติดตั้งให้ถูกต้องเพื่อจัดเก็บข้อมูลจราจรได้ครบตาม พ.ร.บ. รวมถึงต้องมีระบบ พื้นฐานในการพิสูจน์ตัวบุคคลภายในองค์กร
นอกจากข้อเสนอแนะสำหรับองค์กรต่างๆ ในการปฏิบัติตาม พ.ร.บ.แล้ว "ปริญญา หอมเอนก" ยังเสนอแนะให้ภาครัฐประชาสัมพันธ์ให้มากขึ้นเกี่ยวกับแนวทางการปฏิบัติตาม พ.ร.บ. กระบวนการแจ้งความในความผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนกรณีศึกษาหรือคดีตัวอย่าง เพื่อให้เกิดความตระหนัก และความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับใช้กฎหมาย เนื่องจากปัจจุบันหลายองค์กรยังไม่ให้ความสำคัญกับการปฏิบัติตาม พ.ร.บ. เพราะยังไม่ได้รับข้อมูล และประเมินว่าภาครัฐคงไม่เอาจริง
และที่สำคัญคือการปฏิบัติตาม พ.ร.บ.ให้ถูกต้อง ยังต้องอาศัยผู้รับผิดชอบที่มีความรู้ด้านเทคนิคอย่างมาก เพราะสามารถตีความได้หลากหลายมุม แล้วแต่พื้นฐานความรู้ความเข้าใจ ขณะที่ภาครัฐควรออกคู่มือแนะนำแนวทางปฏิบัติทางเทคนิคที่ถูกต้องให้กับองค์กร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น