| 24 สิงหาคมนี้ ครบ 1 ปีที่ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มีผลบังคับใช้ และยังครบกำหนดการผ่อนผันให้ทุกหน่วยงานที่มีบริการเข้าถึงอินเทอร์เน็ตได้เตรียมตัวในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (log file) แล้ว ฉะนั้นนับตั้งแต่ 24 ส.ค.นี้ ทุกหน่วยงานต้องปฏิบัติตามข้อกำหนดในการจัดเก็บ log file ไว้อย่างน้อย 90 วัน โดยต้องเก็บในลักษณะที่สามารถระบุตัวตนผู้ใช้งานที่แท้จริง ณ เวลาต่างๆ ได้
"ปริญญา หอมเอนก" นักวิชาการด้านความปลอดภัย ข้อมูลสารสนเทศ และประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด แนะนำวิธีปฏิบัติตาม พ.ร.บ.ว่า ระบบโครงสร้างพื้นฐานไอทีขั้นต่ำที่องค์กรควรจัดทำ หลัง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มีผลบังคับใช้ จุดสำคัญคือ ต้องมีระบบโครงสร้างพื้นฐานสำหรับพิสูจน์ตัวตน เพื่อให้ผู้ใช้บริการเข้ามา log in หรือ sign on กับระบบส่วนกลางก่อนใช้ระบบคอมพิวเตอร์ในองค์กร
โดยผ่านทางระบบ proxy หรือระบบ cache ให้สามารถตรวจสอบผู้ใช้บริการเป็นรายบุคคลแบบหนึ่งต่อหนึ่ง หรือ "1 คน 1 ชื่อผู้ใช้ 1 รหัสผ่าน"
โดยควรให้ทุกเครื่องคอมพิวเตอร์ในระบบ LAN จะใช้งานระบบได้ต้องเข้าสู่ระบบการพิสูจน์ตัวตนจากส่วนกลางทุกองค์กรต้องให้ความสำคัญกับการสร้างความเข้าใจให้ผู้ใช้บริการเก็บรักษารหัสผ่านของตนไว้เป็นความลับ และไม่ควรมีการใช้ชื่อร่วมกันในการเข้าใช้งานระบบภายในองค์กร โดยเฉพาะระบบอินเทอร์เน็ต
นอกจากนี้ยังต้องมีระบบโครงสร้าง พื้นฐานสำหรับเก็บ log file ที่ส่วนกลาง เนื่องจากการเก็บ log file ไว้ในเครื่องอาจไม่ปลอดภัยและไม่น่าเชื่อถือพอ เพราะ ผู้ดูแลระบบในเครื่องหรือแม้แต่แฮกเกอร์ก็สามารถเข้าไปแก้ไขได้
นอกจากนี้แต่ละองค์กรยังต้องเตรียมรับมือกับปัญหาที่อาจเกิดขึ้นจากการปฏิบัติตาม พ.ร.บ.ด้วย อาทิ การเกิดปัญหาคอขวดในระบบคอมพิวเตอร์ ที่เกิดจากการวางระบบไม่ดี ไม่ได้เผื่อขนาดของอุปกรณ์ ที่ต้องจัดเก็บข้อมูลไว้ถึง 90 วัน จึงอาจเกิดปัญหาเวลามีผู้ใช้งานเครือข่ายจำนวนมาก
ดังนั้นการวางระบบในเบื้องต้นต้องคำนึงถึงปริมาณการใช้งานที่แท้จริงภายในองค์กร ซึ่งจุดนี้ต้องอาศัยผู้เชี่ยวชาญเข้ามาดูแล ดังนั้นการใช้เอาต์ซอร์ซให้ผู้เชี่ยวชาญจากภายนอกมาช่วย จึงเป็นทางออกที่ดี บริษัทไม่จำเป็นต้องทำในสิ่งที่องค์กรไม่มีความถนัดและเชี่ยวชาญ หรือลงทุนเพิ่มเรื่องบุคลากร
ปัญหาสำคัญที่สุดคือ ผู้ใช้งานระบบเคยชินกับการทำงานแบบเดิมๆ รู้สึกไม่สะดวกและไม่ยอมรับกับการต้องป้อน user name กับ password ทุกครั้งเมื่อใช้งานในระบบ ดังนั้นจึงควรจัดอบรมสร้างความเข้าใจพื้นฐานด้านความปลอดภัยของข้อมูลและความผิดตาม พ.ร.บ.คอมพิวเตอร์ภายในองค์กรเพื่อให้พนักงานพร้อมปฏิบัติตามนโยบายด้วยความเต็มใจ โดยเฉพาะในระดับผู้บริหาร เนื่องจากต้องเป็นผู้รับผิดชอบตาม พ.ร.บ.นี้ หากไม่ปฏิบัติตามข้อกำหนดหรือปล่อยให้เกิดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ขึ้นในองค์กร
รวมถึงปัญหาที่ผู้บริหารระดับสูงของหลายองค์กรมักเชื่อว่า การจัดซื้อระบบ SIM (security information management) จะถือว่าองค์กรได้ปฏิบัติตาม พ.ร.บ.ครบถ้วนแล้ว ซึ่งเป็นความเข้าใจผิดที่อาจส่งผลเสียต่อองค์กรได้ เนื่องจากระบบ SIM ไม่ได้ถูกออกแบบมาให้จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ แต่ถูกออกแบบมาให้วิเคราะห์ข้อมูลจาก log file เท่านั้น จึงต้องมีการรวม ระบบการจัดเก็บ log หรือ SEM (security event management) เข้าไปด้วยและติดตั้งให้ถูกต้องเพื่อจัดเก็บข้อมูลจราจรได้ครบตาม พ.ร.บ. รวมถึงต้องมีระบบพื้นฐานในการพิสูจน์ตัวบุคคลภายในองค์กร
นอกจากข้อเสนอแนะสำหรับองค์กรแล้ว "ปริญญา หอมเอนก" ยังเสนอแนะให้ ภาครัฐประชาสัมพันธ์เกี่ยวกับแนวทางการปฏิบัติตาม พ.ร.บ. กระบวนการแจ้งความในความผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนกรณีศึกษาหรือคดีตัวอย่าง เพื่อให้เกิดความตระหนัก และความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับใช้กฎหมาย เนื่องจาก ปัจจุบันหลายองค์กรยังไม่ให้ความสำคัญกับการปฏิบัติตาม พ.ร.บ. เพราะยังไม่ได้รับข้อมูล และประเมินว่าภาครัฐคงไม่เอาจริง
หน้า 31 ที่มา : matichon.co.th |