ในบทความสองตอนที่แล้วนั้น ได้มีการตีความ “ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550” ทั้งในส่วนเนื้อหา และภาคผนวกไปแล้ว ดังนั้น บทความในตอนสุดท้ายนี้จึงเป็นการยกตัวอย่างกรณีศึกษา เพื่อความเข้าใจที่ดียิ่งขึ้น

กรณีศึกษา (Case Study)

Question: กรณีที่องค์กรมีขนาดเล็กมาก เช่น มีเครื่อง PC ไม่กี่เครื่อง ต่ออินเทอร์เน็ตแบบ ADSL และมีผู้ใช้งาน Share กันใช้เครื่อง PC เพื่อเข้าสู่อินเทอร์เน็ต รวมถึงใช้อีเมล์แบบ Share กันด้วย ควรจะดำเนินการอย่างไร

Answer: สำหรับองค์กรขนาดเล็ก การจะลงทุนตั้ง Log Server หรือซื้อบริการManaged Security Service ดูจะเป็นแนวทางที่ไม่เหมาะสมนัก ดังนั้นควรดำเนินการในลักษณะที่พอเหมาะพอควร แต่ในขณะเดียวกันก็ครบถ้วนตามที่ พรบ.ต้องการ ดังนี้

ประเด็น การดำเนินการ
การเก็บ Log ในการเข้าสู่อินเทอร์เน็ต ปกติองค์กรขนาดเล็กมักจะ Share อินเทอร์เน็ตโดยใช้ ADSL Router, Wireless ADSL Router หรือใช้ADSL Modem ต่อกับ PC Server ซึ่งทำหน้าที่เป็นInternet Connection Sharing อีกทอดหนึ่ง ซึ่งกรณีนี้ควรศึกษาถึงความสามารถในการเก็บ Logของอุปกรณ์ว่าพอเพียงตามข้อกำหนดของ พรบ.หรือไม่ หากไม่ อาจทำการติดตั้งโปรแกรมประเภทProxy หรือ Personal Firewall ที่ PC Server แล้วปรับแต่งให้ทำการเก็บ Log ให้ครบถ้วนสำหรับส่วนของเครื่อง Client ควรกำหนดให้ต้องมีการ Log on เพื่อเข้าใช้งาน พร้อมทั้งป้องกันการแก้ไขค่าการปรับแต่ง (Configuration) โดยผู้ใช้งาน โดยอาจใช้ซอฟต์แวร์ช่วยได้
การเทียบเวลามาตรฐาน กำหนดให้ทั้ง Server และ Client เทียบเวลาตรงกับTime Server ที่เป็น Stratum-1 หรือใช้ซอฟต์แวร์ช่วยในการเทียบเวลา
การ Share User ID กรณีที่จำเป็นต้อง Share User ID ต้องนำหลักการของร้านอินเทอร์เน็ตมาประยุกต์ใช้ กล่าวคือจัดเก็บข้อมูลที่สามารถระบุตัวบุคคล เช่น เลขที่บัตรประจำตัวประชาชน พร้อมทั้งให้ผู้ใช้งานลงลายมือชื่อ และต้องเก็บเวลาเข้าใช้และเลิกใช้งาน รวมถึงต้องจัดเก็บหมายเลข IP Address ของเครื่องคอมพิวเตอร์แต่ละเครื่องให้สอดคล้องกับการใช้งาน เพื่อให้สามารถระบุตัวตนของผู้ใช้บริการในขณะใดขณะหนึ่งได้
การ Share Email Account การ Share Email Account นั้นเป็นสิ่งที่ควรหลีกเลี่ยง เพราะจะทำให้ระบุตัวผู้ส่งได้ยากมาก และผิดไปจากจุดประสงค์ของ พรบ. อย่างไรก็ตามหากจำเป็นจริงๆ ก็คงต้องนำเอาวิธีการในด้านการบริหารจัดการมาใช้ควบคู่กับการควบคุมการ Log-in เข้าสู่เครื่องคอมพิวเตอร์ที่สามารถเข้าใช้งาน Share Email Account นั้นได้

 

Question: สำหรับองค์กรขนาดกลางที่ไม่ต้องการลงทุนสูง และอยากจะใช้โซลูชั่นแบบ Open source ควรจะดำเนินการอย่างไร

Answer: สำหรับองค์กรขนาดกลาง การนำระบบ Open source มาใช้งาน จะช่วยประหยัดค่าใช้จ่ายในการ Implement ระบบโครงสร้างพื้นฐานเพื่อให้ตรงตามข้อกำหนดของ พรบ. ได้อย่างมาก ขณะเดียวกันก็ช่วยเพิ่มระดับความมั่นคงปลอดภัยให้แก่เครื่อง Server และระบบเครือข่ายขององค์กร ซึ่ง Solution Pack ที่แนะนำมีดังนี้

  • Linux Server (RedHat, Ubantu หรือตระกูลอื่นๆ) เพื่อทำหน้าที่เป็นAuthentication Server, Firewall, Proxy, Log Server และ Time Server
  • Syslog-NG เพื่อจัดเก็บ Log
  • โปรแกรมเสริมอื่นๆ เพื่อช่วยในการส่ง Log จาก Server ต่างๆ ไปยัง Syslog-NG เช่น MS Log Parser, IMspector, SnareIIS

ศึกษาข้อมูลเพิ่มเติมได้จากหลักสูตร “การฝึกอบรมเชิงปฏิบัติการ เรื่องการติดตั้งระบบเก็บข้อมูลจราจร (Traffic Data) ตาม พรบ.ฯ” จัดโดย SIPA และ ATSI

 

ประเด็นอื่นๆ ที่ควรพิจารณา

  • ควรพิจารณาถึงระบบอื่นๆ ในองค์กรที่มิได้ถูกระบุไว้ในประเภท ก-ฉ ข้างต้น ว่ามีความเสี่ยงที่จะก่อให้เกิดการกระทำความผิดตาม พรบ. มาตรา 5-16 หรือไม่ หากมีความเสี่ยงก็ควรจัดทำระบบ Authentication และจัดเก็บ Log ตามความเหมาะสม
  • วัตถุประสงค์หลักของ พรบ. คือ องค์กรต้องมีข้อมูลที่สามารถระบุตัวตนของผู้ใช้ได้ พร้อมทั้งข้อมูลประกอบอื่นๆ ตามแต่ละประเภทของบริการ เพื่อนำไปใช้เป็นหลักฐานในการสืบสวนหากมีการกระทำความผิด ดังนั้น เพื่อความสะดวกในการบริหารจัดการผู้ใช้งาน องค์กรควรพิจารณาใช้งานAuthentication Service จาก Directory Service กลางขององค์กร (เช่นActive Directory, OpenLDAP) หรือใช้งานโซลูชั่นประเภท Single Sign-on(เช่น Kerberos) เพราะผู้ใช้งานแต่ละคนจะใช้ User ID เพียงหนึ่งเดียวในการเข้าสู่ระบบสารสนเทศขององค์กร ซึ่งจะช่วยให้การตรวจสอบ (Trace) ตัวบุคคลที่ทำกิจกรรมต่างๆ ทำได้โดยง่าย นอกจากนั้นระบบ Directory Serviceยังสามารถกำหนดสิทธิ (Authorization) ให้แก่ผู้ใช้งานได้อีกด้วย
  • ไม่ควรใช้งาน User ID ร่วมกัน เพราะจะทำให้ไม่สามารถระบุตัวตนของผู้ใช้บริการได้
  • พิจารณาติดตั้งอุปกรณ์ประเภท Reverse Proxy เพื่อช่วยเก็บ Log ของHTTP “POST”
  • นอกจากเก็บ Log แล้ว Log ที่ถูกเก็บยังต้องได้รับการปกป้อง Integrity ด้วย ดังนั้นต้องมีการพิจารณาจัดทำ Data Hashing หรือจัดเก็บ Log ไว้ใน Mediaประเภท Secure Archive (1 record บันทึกได้เพียงครั้งเดียว)
  • พิจารณาทำการ Backup Log
  • จัดทำนโยบายด้านความมั่นคงปลอดภัย และ Acceptable Use Policy
  • จัดฝึกอบรมให้แก่ผู้ที่เกี่ยวข้อง
  • จัดให้มีการตรวจสอบกระบวนการจัดเก็บ Log ตาม พรบ. เป็นระยะ เพื่อให้มั่นใจว่าดำเนินการได้อย่างถูกต้องครบถ้วน หรือใช้บริการจากที่ปรึกษาของเอซีอินโฟเทค