ไปเป็นลิงน้อยหน้างง อยู่ในการประชุม ที่เรียกว่า "ประชาพิจารณ์มาตรฐานระบบเก็บข้อมูลจราจรคอมพิวเตอร์ ฉบับที่ 1" ขอเรียกชื่องานนี้ด้วยภาษาปากว่า "ประชาพิจารณ์มาตรฐานระบบเก็บ log file" จัดที่เนคเทค อะแคเดมี ตรงตึกมหานครยิปซัม
งานนี้จัดประชาพิจารณ์สิ่งที่เรียกว่า "(ร่าง) มาตรฐานศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ" หรือ NECTEC Standard ที่จัดทำโดยเนคเทคร่วมกับกระทรวงวิทยาศาสตร์ คนนำเสนอหลัก คือ นายบรรจง หะรังษี จากบริษัท ที-เน็ต จำกัด
ที่มาที่ไปของบทสนทนาเรื่องการเก็บ log นี้ มันสืบเนื่องมาจากข้อกำหนดในพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ที่บอกว่าผู้ให้บริการจะต้องเก็บ log file เป็นเวลา 90 วัน ซึ่งเจ้า log นี้มันก็คือหลักฐานชิ้นเอกสำหรับการสืบคดีที่มีคอมพิวเตอร์มาเกี่ยวข้อง
ภาระการเก็บ log file เป็นเรื่องใหม่ ไม่ใช่แค่รู้เทคนิคและยินดีทำตามกฎหมายเท่านั้น แต่ต้องมีสตางค์ด้วย เพราะเขาว่ากันว่าไอ้ log file 90 วันนี้ มันก็คือข้อมูลมหาศาล (หน้าตามันแนวๆ ตัวหนังสือกระยึกกระยือที่คนทั่วไปอ่านไม่เข้าใจ แต่มันสามารถถอดรหัสออกมาได้ว่า ใครทำอะไรที่ไหนอย่างไรเมื่อไร) การเก็บข้อมูลมหาศาลก็ต้องมี "ผลิตภัณฑ์" ที่รับประกันคุณภาพได้
งานนี้เขาว่ากันด้วยเรื่องการวาง "มาตรฐาน" ของ "ผลิตภัณฑ์" ที่จะมาเก็บ log ซึ่งเป็นหน้าที่ของผู้ให้บริการ โดยมาตรฐานระบบเก็บ log ฉบับนี้ มุ่งไปที่ผู้ให้บริการประเภท ๕ (๑) ข และ ๕ (๑) ค ตัวอย่างเช่น ผู้ให้บริการอินเทอร์เน็ต (ISP), ผู้ประกอบการซึ่งให้บริการในห้องพัก ห้องเช่า โรงแรม ร้านอาหารและเครื่องดืม, ผู้ให้บริการประเภทองค์กรเช่น หน่วยงานราชการ บริษัท สถาบันการศึกษา, Web Hosting, Web Server, File Server, Mail Server, Internet Data Center
ในงานพยายามเน้นว่า มาตรฐานในการเก็บข้อมูล จะต้องมั่นคงปลอดภัยเชื่อถือได้ มีการตรวจสอบความสมบูรณ์และถูกต้องของข้อมูลด้วยวิธี hashing มีระบบการเก็บและต้องกำหนดชั้นความลับในการเข้าถึงข้อมูลนี้เพื่อไม่ให้ใครก็ตามเข้าไปแก้ไขข้อมูลนั้น เพื่อสุดท้ายจะได้สามารถนำข้อมูลนี้ไปใช้ในชั้นศาลได้
อย่างไรก็ดี แม้การจัดงานแบบ "ประชาพิจารณ์" จะฟังดูมีน้ำหนักทางนโยบาย แต่มาตรฐานที่ว่านี้ เป็นการกำหนดกรอบขึ้นโดยไม่มีผลบังคับตามกฎหมาย.. แปลว่าลงเอยสุดท้ายคุณจะใช้ผลิตภัณฑ์ใดก็ได้ แต่หากไม่ได้เป็นมาตรฐานแบบผมบ็อบ-รองทรงสูง คุณในฐานะผู้ให้บริการก็มีหน้าที่ต้องพิสูจน์เองว่า log ที่คุณจัดเก็บมันมีความน่าเชื่อถือหรือไม่เพียงใด
อาจิน จิรชีพพัฒนา ผู้อำนวยการสำนักส่งเสริมอุตสาหกรรมเทคโนโลยีสารสนเทศและการสื่อสาร บอกไว้ในงานครั้งนี้ว่า...พูดง่ายๆ คืออยากทำมาตรฐานให้ศาลยอมรับ และให้ผู้บริหารหน่วยงานภาครัฐซึ่งมักมีคำถามเรื่องนี้ และจะได้ทำการจัดซื่อจัดจ้างตามมาตรฐาน ตอนนี้จึงอยากให้ทุกท่านช่วยกันดูว่า หลักฐาน (log) ตามมาตรฐานที่วางไว้มันน่าเชื่อถือไหม ถ้ามันน่าเชื่อถือ เราจะได้ทำให้ทุกหน่วยงานจัดซื้อตามมาตรฐานนี้
อาจินยังเสริมต่อไปด้วยว่า หากมองว่ามาตรฐานที่วางไว้มันเข้มงวดเกินไปก็แล้วแต่ท่าน แต่หากสุดท้าย เมื่อมีคดีแล้วต้องขึ้นศาล หากศาลไม่เชื่อในหลักฐาน ไอ้หมอนั่น (หมายถึงคนร้ายทางคอมพิวเตอร์) ก็อาจจะหลุดคดีไปได้
"ไม่ได้หมายความว่า อุปกรณ์ที่ไม่ได้ทำตามมาตรฐานจะผิดพ.ร.บ.เสมอไป แต่อุปกรณ์ที่ไม่ได้ทำตามมาตรฐานอาจจะต้องไป defend เองว่าได้จัดเก็บข้อมูลมาอย่างไร"
เนื่องจากในร่างมาตรฐาน มีส่วนหนึ่งที่ระบุเรื่อง "การพิสูจน์ตัวตน" ซึ่งเป็นขั้นตอนที่ยืนยันความถูกต้องการหลักฐานที่จะแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ซึ่งในสองขั้นตอน คือ การระบุตัวตน (Identification) ขั้นนี้จะบอกหลักฐานว่าผู้ใช้คือ username อะไร ขั้นถัดมาคือ การพิสูจน์ตัวตน (Authentication) ขั้นนี้จะตรวจสอบว่านั่นคือบุคคลคนนั้นจริงๆ นะ
ด้วยเรื่องนี้ทำให้มีผู้เข้าร่วมท่านหนึ่งที่แสดงความเห็นว่า จากที่ผู้ให้บริการต้องเก็บ log แต่ตอนนี้เหมือนว่าต้องเป็นผู้ชี้ตัว ต้องพิสูจน์ตัวตน ตรงนี้เราทำหน้าที่เกินตำรวจไปไหม แทนที่จะเพียงแค่ส่งข้อมูลให้ตำรวจเท่านั้น
อาจินบอกว่า คนชี้ตัวคือตำรวจ แต่ log จะช่วยให้ผู้บริการพ้นผิด เจ้าของเว็บ เจ้าของเครื่องพ้นผิด และช่วยตำรวจด้วย
.............................
เราไม่ได้อยู่ฟังจนจบเพราะรีบออกไปประชุมอีกนัดหนึ่ง และเราไม่มีความรู้เรื่องนี้เลย หากข้อมูลส่วนใดที่เราพิมพ์มามันผิดไป ก็ขอให้ช่วยบอกเราด้วย
ยังไงก็ตาม เราแอบมีความรู้สึกว่า เหมือนเขาจัดประชาพิจารณ์เพื่อให้คนทั่วไปช่วยเป็นพยานให้เขาไฟเขียวเดินหน้าต่อไป แล้วนำไปสู่การจัดซื้อจัดจ้าง "ผลิตภัณฑ์" อันมีมาตรฐานดังว่า...
แม้จะบอกว่าเรื่องนี้ไม่ได้บังคับเป็นกฎหมายก็ตาม แต่หวังว่าการวาง "มาตรฐาน" นี้ จะไม่ได้มีนัยยะว่า อะไรที่นอกเหนือจากนี้ แม้ไม่ผิด แต่ก็ไร้เครดิตให้ศาลเชื่อถือ อย่าลืมว่า คดีตามพ.ร.บ.คอมพิวเตอร์ เท่าที่เห็นตอนนี้ ไม่ค่อยเน้นจับคนผิด แต่เน้นที่คนเห็นต่าง และคนไม่รู้อิโหน่อิเหน่ ... นะเออ
งานนี้จัดประชาพิจารณ์สิ่งที่เรียกว่า "(ร่าง) มาตรฐานศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ" หรือ NECTEC Standard ที่จัดทำโดยเนคเทคร่วมกับกระทรวงวิทยาศาสตร์ คนนำเสนอหลัก คือ นายบรรจง หะรังษี จากบริษัท ที-เน็ต จำกัด
ที่มาที่ไปของบทสนทนาเรื่องการเก็บ log นี้ มันสืบเนื่องมาจากข้อกำหนดในพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ที่บอกว่าผู้ให้บริการจะต้องเก็บ log file เป็นเวลา 90 วัน ซึ่งเจ้า log นี้มันก็คือหลักฐานชิ้นเอกสำหรับการสืบคดีที่มีคอมพิวเตอร์มาเกี่ยวข้อง
ภาระการเก็บ log file เป็นเรื่องใหม่ ไม่ใช่แค่รู้เทคนิคและยินดีทำตามกฎหมายเท่านั้น แต่ต้องมีสตางค์ด้วย เพราะเขาว่ากันว่าไอ้ log file 90 วันนี้ มันก็คือข้อมูลมหาศาล (หน้าตามันแนวๆ ตัวหนังสือกระยึกกระยือที่คนทั่วไปอ่านไม่เข้าใจ แต่มันสามารถถอดรหัสออกมาได้ว่า ใครทำอะไรที่ไหนอย่างไรเมื่อไร) การเก็บข้อมูลมหาศาลก็ต้องมี "ผลิตภัณฑ์" ที่รับประกันคุณภาพได้
งานนี้เขาว่ากันด้วยเรื่องการวาง "มาตรฐาน" ของ "ผลิตภัณฑ์" ที่จะมาเก็บ log ซึ่งเป็นหน้าที่ของผู้ให้บริการ โดยมาตรฐานระบบเก็บ log ฉบับนี้ มุ่งไปที่ผู้ให้บริการประเภท ๕ (๑) ข และ ๕ (๑) ค ตัวอย่างเช่น ผู้ให้บริการอินเทอร์เน็ต (ISP), ผู้ประกอบการซึ่งให้บริการในห้องพัก ห้องเช่า โรงแรม ร้านอาหารและเครื่องดืม, ผู้ให้บริการประเภทองค์กรเช่น หน่วยงานราชการ บริษัท สถาบันการศึกษา, Web Hosting, Web Server, File Server, Mail Server, Internet Data Center
ในงานพยายามเน้นว่า มาตรฐานในการเก็บข้อมูล จะต้องมั่นคงปลอดภัยเชื่อถือได้ มีการตรวจสอบความสมบูรณ์และถูกต้องของข้อมูลด้วยวิธี hashing มีระบบการเก็บและต้องกำหนดชั้นความลับในการเข้าถึงข้อมูลนี้เพื่อไม่ให้ใครก็ตามเข้าไปแก้ไขข้อมูลนั้น เพื่อสุดท้ายจะได้สามารถนำข้อมูลนี้ไปใช้ในชั้นศาลได้
อย่างไรก็ดี แม้การจัดงานแบบ "ประชาพิจารณ์" จะฟังดูมีน้ำหนักทางนโยบาย แต่มาตรฐานที่ว่านี้ เป็นการกำหนดกรอบขึ้นโดยไม่มีผลบังคับตามกฎหมาย.. แปลว่าลงเอยสุดท้ายคุณจะใช้ผลิตภัณฑ์ใดก็ได้ แต่หากไม่ได้เป็นมาตรฐานแบบผมบ็อบ-รองทรงสูง คุณในฐานะผู้ให้บริการก็มีหน้าที่ต้องพิสูจน์เองว่า log ที่คุณจัดเก็บมันมีความน่าเชื่อถือหรือไม่เพียงใด
อาจิน จิรชีพพัฒนา ผู้อำนวยการสำนักส่งเสริมอุตสาหกรรมเทคโนโลยีสารสนเทศและการสื่อสาร บอกไว้ในงานครั้งนี้ว่า...พูดง่ายๆ คืออยากทำมาตรฐานให้ศาลยอมรับ และให้ผู้บริหารหน่วยงานภาครัฐซึ่งมักมีคำถามเรื่องนี้ และจะได้ทำการจัดซื่อจัดจ้างตามมาตรฐาน ตอนนี้จึงอยากให้ทุกท่านช่วยกันดูว่า หลักฐาน (log) ตามมาตรฐานที่วางไว้มันน่าเชื่อถือไหม ถ้ามันน่าเชื่อถือ เราจะได้ทำให้ทุกหน่วยงานจัดซื้อตามมาตรฐานนี้
อาจินยังเสริมต่อไปด้วยว่า หากมองว่ามาตรฐานที่วางไว้มันเข้มงวดเกินไปก็แล้วแต่ท่าน แต่หากสุดท้าย เมื่อมีคดีแล้วต้องขึ้นศาล หากศาลไม่เชื่อในหลักฐาน ไอ้หมอนั่น (หมายถึงคนร้ายทางคอมพิวเตอร์) ก็อาจจะหลุดคดีไปได้
"ไม่ได้หมายความว่า อุปกรณ์ที่ไม่ได้ทำตามมาตรฐานจะผิดพ.ร.บ.เสมอไป แต่อุปกรณ์ที่ไม่ได้ทำตามมาตรฐานอาจจะต้องไป defend เองว่าได้จัดเก็บข้อมูลมาอย่างไร"
เนื่องจากในร่างมาตรฐาน มีส่วนหนึ่งที่ระบุเรื่อง "การพิสูจน์ตัวตน" ซึ่งเป็นขั้นตอนที่ยืนยันความถูกต้องการหลักฐานที่จะแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ซึ่งในสองขั้นตอน คือ การระบุตัวตน (Identification) ขั้นนี้จะบอกหลักฐานว่าผู้ใช้คือ username อะไร ขั้นถัดมาคือ การพิสูจน์ตัวตน (Authentication) ขั้นนี้จะตรวจสอบว่านั่นคือบุคคลคนนั้นจริงๆ นะ
ด้วยเรื่องนี้ทำให้มีผู้เข้าร่วมท่านหนึ่งที่แสดงความเห็นว่า จากที่ผู้ให้บริการต้องเก็บ log แต่ตอนนี้เหมือนว่าต้องเป็นผู้ชี้ตัว ต้องพิสูจน์ตัวตน ตรงนี้เราทำหน้าที่เกินตำรวจไปไหม แทนที่จะเพียงแค่ส่งข้อมูลให้ตำรวจเท่านั้น
อาจินบอกว่า คนชี้ตัวคือตำรวจ แต่ log จะช่วยให้ผู้บริการพ้นผิด เจ้าของเว็บ เจ้าของเครื่องพ้นผิด และช่วยตำรวจด้วย
.............................
เราไม่ได้อยู่ฟังจนจบเพราะรีบออกไปประชุมอีกนัดหนึ่ง และเราไม่มีความรู้เรื่องนี้เลย หากข้อมูลส่วนใดที่เราพิมพ์มามันผิดไป ก็ขอให้ช่วยบอกเราด้วย
ยังไงก็ตาม เราแอบมีความรู้สึกว่า เหมือนเขาจัดประชาพิจารณ์เพื่อให้คนทั่วไปช่วยเป็นพยานให้เขาไฟเขียวเดินหน้าต่อไป แล้วนำไปสู่การจัดซื้อจัดจ้าง "ผลิตภัณฑ์" อันมีมาตรฐานดังว่า...
แม้จะบอกว่าเรื่องนี้ไม่ได้บังคับเป็นกฎหมายก็ตาม แต่หวังว่าการวาง "มาตรฐาน" นี้ จะไม่ได้มีนัยยะว่า อะไรที่นอกเหนือจากนี้ แม้ไม่ผิด แต่ก็ไร้เครดิตให้ศาลเชื่อถือ อย่าลืมว่า คดีตามพ.ร.บ.คอมพิวเตอร์ เท่าที่เห็นตอนนี้ ไม่ค่อยเน้นจับคนผิด แต่เน้นที่คนเห็นต่าง และคนไม่รู้อิโหน่อิเหน่ ... นะเออ
Comments
พี่อ่านแล้วไม่แตกฉานเลย
ด้อยปัญญาอ่ะ
-_-"