แต่ไม่ทั้งหมดโดยเฉพาะสำหรับคนที่ทำงานด้านไอทีหรือดูแลด้านเครือข่าย พรบ.คอม 2560 นอกจากจะมีเนื้อหาครอบคลุมถึงเรื่องพฤติกรรมการใช้งานอินเตอร์เน็ต พรบ.คอมฉบับนี้ยังครอบคลุมเนื้อหาไปถึงส่วนของผู้ให้บริการอินเตอร์เน็ตซึ่งในที่นี้หมายถึง หน่วยงาน/องค์กรทั้งภาครัฐและเอกชนที่ให้บริการอินเตอร์เน็ตแก่พนักงาน โดยมีสาระสำคัญอยู่ตรงที่ทุกหน่วยงาน/องค์กรต้องจัด เก็บ log จราจรคอมพิวเตอร์ (log file) ให้เป็นไปตามมาตรฐาน พรบ.คอม 2560
ดังนั้นทางเราจะมาบรรยายว่าวิธีเก็บ log จราจรคอม (log file)ที่ถูกวิธีและปฏิบัติตรงตามข้อบังคับ พรบ.คอมนั้นมีอะไรบ้าง ? ในลำดับถัดไปผมจะอธิบายว่า “ทำไมทุกองค์กรต้อง เก็บ log ตาม พรบ.คอม” หากท่านใดที่มีข้อมูลอยู่แล้ว สามารถคลิกที่นี้ เพื่อข้ามไปยังส่วนของ “วิธีการเก็บ log ให้ถูกวิธีตาม พรบ.คอมได้เลยครับ”
ส่วนสำหรับท่านที่ยังไม่เคยได้ยินและสงสัยว่า log (ข้อมูลจราจรคอมพิวเตอร์) คืออะไร สามารถอ่านเพิ่มเติมได้ที่ “log คืออะไรและสำคัญแค่ไหน”
ทำไมจึงต้องเก็บ log จราจรคอม (log file)เพื่อให้องค์กรผ่าน พรบ.คอม ?
ก่อนอื่นเรามาทำความเข้าใจก่อนว่าเนื้อหาของ พรบ.คอมฉบับนี้แบ่งออกเป็น 2ส่วนสำคัญได้แก่ ในส่วนที่เกี่ยวข้องกับผู้ใช้งาน และส่วนที่เกี่ยวข้องกับผู้ที่ให้บริการ สำหรับท่านที่เป็นผู้ใช้งานคอมพิวเตอร์ทั่วไป รวมถึงทั้ง สมาร์ทโฟน โน๊ตบุ๊ค และแทปเลต
นอกจากนี้แล้ว พรบ.คอม ยังครอบคลุมถึงส่วนของผู้ให้บริการอินเตอร์เน็ตแก่บุคคลอื่นเช่น หากท่านเป็นเจ้าของธุรกิจร้านกาแฟหรือร้านอาหาร สามารถศึกษารายละเอียดได้ที่ ” วิธีเก็บ log สำหรับร้านกาแฟที่ให้บริการ Wifi “ หรือหากท่านอยู่ในภาคขององค์กรและได้ติดตั้งระบบอินเตอร์เน็ตให้แก่พนักงานภายใน ตามข้อบัญญัติแล้วท่านจะถูกระบุว่าเป็น “ผู้ให้บริการอินเตอร์เน็ต” โดยปกติแล้วเมื่อเกิดเหตุการณ์ที่มีคนทำผิด พรบ.คอม เจ้าหน้าที่รัฐหรือหน่วยงานที่เกี่ยวข้องจะสืบหาหลักฐานกับผู้ให้บริการต่างๆ ซึ่งตรงจุดนี้เองที่ พรบ. คอม ระบุว่าหน้าที่การเก็บหลักฐานนั้นเป็นของผู้ให้บริการอินเตอรเน็ต ดังนั้นจึงเป็นเรื่องจำเป็นที่หน่วยงาน/องค์กรต่างๆต้องเก็บข้อมูลจราจรคอมพิวเตอร์(log file) เพื่อเป็นหลักฐานในการส่งมอบให้แก่เจ้าหน้าที่รัฐ โดยกฏหมายระบุไว้ดังนี้
“ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินกว่าเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีเฉพาะรายและเฉพาะคราวก็ได้”
มาตรา ๑๗ ตาม พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ๒๕๖๐
หลายๆท่านคงสงสัย หากภายในบริษัทของท่านไม่ได้จัดเก็บ log จราจรคอม แล้วจะเกิดอะไรขึ้น ?
ตาม พรบ.คอม 2560 แล้วนอกจากจะกำหนดให้องค์กรต่างๆต้องเก็บข้อมูล log จราจรคอม (log file) ไว้เพื่อให้เจ้าหน้าที่รัฐมาตรวจสอบ ในเรื่องของการเก็บรักษาข้อมูล (log retention) ต้องถูกจัดการและจัดเก็บอย่างถูกวิธีอีกด้วย สาเหตุที่ทำไมต้องจัดเก็บ log ให้ถูกวิธี ก็เพราะว่า log file จะเก็บข้อมูลการเข้าออกใช้งานอินเตอร์เน็ตของทุกคนในองค์กรจึงสามารถระบุได้ว่า ผู้ใช้เครื่องไหน ใช้งานอย่างไร และเมื่อไหร่ ดังนั้นเวลาเจ้าหน้าที่รัฐเข้ามาตรวจสอบจะใช้หลักฐานดังกล่าวในการระบุผู้กระทำความผิด หากพบว่า log ไม่ได้จัดเก็บหรือจัดเก็บไม่ถูกวิธี ตามกฏหมายถือว่าผู้ให้บริการรู้เห็นเป็นใจและจงใจปิดบังผู้กระทำความผิด โดยจะต้องระวางโทษเท่ากับผู้กระทำความผิด นอกเหนือไปจากนี้หากเจ้าหน้าที่รัฐตรวจสอบแล้วว่าผู้ใช้ที่กระทำความผิดใช้บริการอินเตอร์เน็ตจากองค์กร แล้วทางองค์กรไม่สามารถระบุคนทำความผิดได้ คนที่ต้องได้รับโทษตามกฏหมายคือเจ้าของหรือคณะกรรมการบริหารของบริษัท โดยรายละเอียดดังกล่าวกฏหมายระบุไว้ดังนี้
“ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิดในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิด”
มาตรา ๙ ตาม พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ๒๕๖๐
ถ้าพิจารณาจากบริบทและความเข้มข้นของข้อกฏหมาย พรบ.คอม ข้างต้นแล้ว ในปัจจุบันความจำเป็นสำหรับบริษัทต่างๆที่ต้องหา solution ในการจัดเก็บ/จัดการข้อมูลจราจรคอมพิวเตอร์ (log file) จึงมีสูงมากขึ้นตามไปด้วยนั้นเอง
หลักเกณฑ์การเก็บ log ให้ถูกต้องตาม พรบ. คอม
เราทราบกันแล้วว่าผู้ให้บริการจำเป็นต้องเก็บ log file (ข้อมูลจราจรทางคอมพิวเตอร์) เพื่อเก็บรักษาตัว log ที่มีรายละเอียดระบุว่า ใครทำอะไร ที่ไหน และเมื่อไหร่ โดยทั่วไปแล้วตามกฏหมายระบุว่าจะต้องเก็บรักษาข้อมูลเหล่านั้นไว้ไม่ต่ำกว่า 90 วัน หรืออาจจะมากกว่านั้นหากองค์กรของท่านเป็นบริษัทในกลุ่มประกันภัย หลักทรัพย์ ฯลฯ นอกจากการเก็บรักษาข้อมูลแล้ว แนวทางการรักษาความปลอดภัยข้อมูลก็เป็นอีกข้อที่ต้องคำนึงถึง โดยข้อมูลที่เก็บนั้นต้อง”ปลอดภัยและมั่นคง” ซึ่งจะไปสอดคล้องกับหลักการ IT Security Standardขั้นพื้นฐานนั้นก็คือ “CIA” นั้นเองซึ่งจะพูดถึง 3เรื่องด้วยกันคือ
1. Confidential – ข้อมูลต้องเป็นความลับ ให้เฉพาะผู้มีสิทธิเข้าถึงข้อมูลได้เท่านั้น
2. Integrity – ข้อมูลต้องถูกต้องและสมบูรณ์ ต้องไม่มีการแก้ไขหรือเพิ่มเติมข้อมูลโดยไม่ได้รับอนุญาติ
3. Available – ข้อมูลต้องพร้อมใช้งานตลอดเวลา เพื่อบ่งบอกประสิทธิภาพและความน่าเชื่อถือของการทำงาน
จากปัจจัยดังกล่าวนั้นการเก็บ log จราจรคอมให้ปฏิบัติถูกต้องตามพรบ.คอมนั้น ผู้ให้บริการจำเป็นต้องคำนึงถึงความสามารถในการรักษาข้อมูลให้ครบถ้วน ถูกต้อง ต้องมั่นใจว่าข้อมูลจะไม่ถูกแก้ไข และสามารถระบุตัวตนได้ว่าบุคคลใดที่มีสิทธิในการเข้าถึงข้อมูลดังกล่าวได้ นอกจากนั้นเพื่อรักษาความน่าเชื่อถือของข้อมูลแล้วจะไม่อนุญาติให้ผู้ดูแลระบบเข้าไปปรับเปลี่ยนข้อมูลที่เก็บรักษาไว้ได้ อีกทั้งจะต้องมีผู้ประสานงานและให้ข้อมูลกับเจ้าหน้าที่ เพื่อให้ดำเนินการไปอย่างราบรื่น
รายละเอียดและวิธีเก็บ log ตาม พรบ.คอม
หลังจากพิจารณาเรื่องหลักเกณฑ์การเก็บ log แล้ว หลายท่านอาจยังสงสัยว่า แล้วเราจะเริ่มต้องเก็บ logจากตรงไหน เก็บจากอุปกรณ์ใด ชนิดของข้อมูลที่ต้องเก็บประกอบด้วยอะไรบ้างเพื่อให้ได้ข้อมูลครบถ้วน เนื่องจากหากเก็บข้อมูลได้ไม่ครบถ้วนแล้วเราจะไม่สามารถระบุบุคคลผู้กระทำความผิดได้ ทีนี้เรามาดูกันต่อดีกว่าครับ ว่าการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) ให้ครบถ้วนนี่ต้องมีอะไรบ้าง ซึ่งรายละเอียดของ log ต้องระบุได้ว่า ใครทำอะไร ที่ไหน เมื่อไหร่ อย่างไร อีกทั้งยังต้องบ่งบอกเส้นทางการเรียกดูของข้อมูล เช่น ตำแหน่งของเว็บเพ็จซึ่ง log ที่มีข้อมูลเหล่านี้สามารถเก็บได้ โดยดูประกอบกับภาพ infographic มีสรุปมาให้แล้วดังนี้
- AAA Server เป็นอุปกรณ์ที่ให้บริการเก็บข้อมูลเกี่ยวผู้ใช้งานและ ระบุตัวตนในการเข้าใช้งานระบบในองค์กร เช่น Microsofl AD และ Redius ฯลฯ
- Email Server เป็นเซิร์ฟเวอร์ซึ่งให้บริการรับส่งอีเมล เช่น Microsoft Exchange, Linux , sendmail ฯลฯ
- File Server คือบริการที่ใช้ในการรับส่งข้อมูล ระหว่างผู้ใช้งานกับ Server เช่น FTP เป็นต้น
- Web Server เป็นเซิฟเวอร์ที่ให้บริการฝากข้อมูลเว็บไซน์ เช่น APACHE เป็นต้น
- Router & Firewall เป็นอุปกรณ์ที่ใช้ในเชื่อมต่อระหว่างผู้ใช้งานอินเตอร์เน็ต กับระบบเครือข่ายอย่างหนึ่ง
- Proxy คืออุปกรณ์ที่ใช้เป็นตัวกลางระหว่าง ผู้ใช้งานอินเตอร์เน็ตกับ Web Server ซึ่งทำให้ผู้ใช้งานเข้าถึงข้อมูลเว็บไซต์ได้เร็วขึ้น เช่น Squid
เห็นทั้ง 6 type แล้วหลายคนอาจจะงงๆอยู่ว่าทำไมถึงต้องเก็บ log จากอุปกรณ์พวกนี้ด้วยผมจะชี้แจงให้ดูเป็นข้อๆครับ
- หมายเลข MAC Address และ Username ของคนที่ใช้คอมพิวเตอร์เชื่อมต่ออินเทอร์เน็ต จากอุปกรณ์ Network Access Server or AAA server
- สถานะการส่งอีเมล์ ได้แก่ Email Account ของผู้รับและผู้ส่ง เวลารับและส่งอีเมล หัวข้ออีเมลของผู้รับและผู้ส่ง หมายเลข IP Address ของผู้รับและผู้ส่ง ทั้งนี้ ข้อมูลในส่วนนี้ไม่ได้รวมถึงเนื้อหาภายในอีเมล์ จาก Email Server
- สถานะการส่งไฟล์หากันระหว่างผู้ใช้ จาก FTP Server
- การใช้งานเว็บของ User จาก Web Application Server
- หมายเลข IP Address คอมพิวเตอร์ของผู้ใช้งาน (User) จากอุปกรณ์ Firewall or NAT Device
- เวลาที่ผู้ใช้งานทำการ Sign In เข้าสู่ระบบ Internet และเวลาที่ Sign Out จากระบบ Internet จากอุปกรณ์ Firewall or NAT Device
- หมายเลข IP Address Domain name และ URL Address จากอุปกรณ์ proxy server
จะเห็นว่าการเก็บ log ที่ถูกต้องตามพรบ คอม นั้นไม่เพียงแค่เก็บข้อมูลให้ครบ 90 วันเท่านั้น log ยังจะต้องมีความครบถ้วนของข้อมูลอีกด้วย เนื่องจากหากข้อมูลไม่ครบถ้วนจะไม่สามารถระบุตัวผู้กระทำความผิดได้ ในทางกฎหมายจะเข้าใจว่าเราเป็นผู้สมรู้ร่วมคิดในการช่วยปกปิดหลักฐาน ทีนี้ผมได้ทำสรุปเป็น ภาพinfographic มาเรียบร้อยแล้วครับ เกี่ยวกับประเภทของข้อมูลที่ต้องเก็บ log ตามอุปกรณ์แต่ละชนิด
ทั้งหมดนี้ไม่ได้หมายความว่าหน่วยงานของท่านต้องมีอุปกรณ์และข้อมูล log ครบตามที่เขียนไว้ข้างบนทั้งหมดนะครับ โดยอุปกรณ์กลุ่มไหนถ้าภายในองค์กรของท่าน ไม่ได้ติดตั้งหรือไม่มีก็ไม่จำเป็นต้องไปหามา เพียงแต่ถ้ามีอุปกรณ์ดังกล่าวก็ต้องทำการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) และถ้าอุปกรณ์กลุ่มไหนที่ใช้งานแค่ภายในองค์กรก็ไม่จำเป็นต้องเก็บ เช่น ถ้าผมมี E-mail Server แต่ E-mail Server ของผมเนี่ยใช้ส่งกันแค่ภายในองค์กรไม่ได้ส่งไปหาคนข้างนอกก็ไม่จำเป็นต้องเก็บ Log ครับ
หลายท่านอาจจะยังสงสัยอยู่ ผมจะลองยกตัวอย่างว่า
สมมุติว่า ผมเปฺิดบริษัท ABC Co., Ltd. ในบริษัทผมมีพนักงาน 300 คน ทุกคนในองค์กรผมสามารถใช้งาน internet ได้ โดยมีอุปกรณ์ดังนี้
- Email Server (ส่งอีเมล์หาคนนอกองค์กร)
- FTP Server (ส่งไฟล์หากันระหว่างผู้ใช้ในองค์กร)
- Active Directory (ไว้เก็บข้อมูล user มีการ Sync ข้อมูลกับ Firewall)
- Firewall (ไว้ตั้ง Policy และป้องกันไวรัส)
- Router (ไว้ออกอินเทอร์เน็ต เชื่อมต่อผ่าน Firewall)
ทีนี้เรามาลองมาวิเคราะห์กันเล่นๆว่าผมจะต้องเก็บอะไรบ้าง ถึงจะผ่าน พรบ.คอมพิวเตอร์
เฉลยครับ : ผมต้องเก็บทั้งหมด 2 อุปกรณ์ครับ นั่นคือ Firewall และ Email Server ส่วนอุปกรณ์อื่นไม่ต้องเก็บครับ เนื่องจาก FTP Server เป็นเพียงการส่งหากันของคนในองค์กร ,Active Directory มีการ sync ข้อมูลกับ firewall แล้วทำให้ไปเก็บข้อมูลที่ firewall ได้ ,Router เชื่อมต่อผ่าน Firewall ทำให้ไปเก็บข้อมูลที่ firewall ได้เหมือนกัน
บทสรุป
จบกันไปแล้วนะครับสำหรับรายละเอียดการ เก็บ log ตาม พรบ.คอม ทีนี้ลองไปวิเคราะห์บริษัทตัวเองกันนะครับ ว่าวันนี้องค์กรของเราปฏิบัติถูกต้องตามกฎหมาย พรบ.คอมแล้วหรือยัง ถ้าท่านไหนสนใจและกำลังหามองหาตัวช่วยหรือ solution ในการจัด เก็บ log ตาม พรบ.คอมอยู่นั้น ท่านสามารถติดต่อและขอคำปรึกษาได้ที่ “ilog.ai” ผู้ให้บริการเก็บและจัดการ log ตามมาตรฐานต่างๆ ที่มีทีมงานที่ปรึกษาที่เชี่ยวชาญทั้งด้านวิศวกรไอทีและกฏหมายคอยช่วยสนับสนุนท่านในทุกๆเรื่อง
