The Latest update problems about Computer Crime Law Implementation in Thailand
by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
สืบเนื่องจากกระแส “Regulatory Compliance” ที่มีผลต่อวงการ “Information Security” ทั่วโลกรวมทั้งในประเทศไทย ทำให้ตลาดผลิตภัณฑ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนบริการต่างๆที่เกี่ยวข้องกับระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ มีอัตราการเติบโตเพิ่มขึ้นจากปีที่ผ่านมาอย่างเห็นได้ชัด สำหรับความตื่นตัวที่กลับมาอีกครั้งขององค์กรเรื่องการปฏิบัติตามพรบ.ว่าด้วยการกระทำผิดฯ หลังจากการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 23 สิงหาคม 2550 ระยะเวลาผ่อนผันให้ทุกองค์กรปฏิบัติตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่กำหนดให้หนึ่งปีจากวันที่ประกาศบังคับใช้ โดยจะหมดระยะผ่อนผันตั้งแต่วันที่ 23 สิงหาคม 2551 เป็นต้นไป ทำให้หลายองค์กรกำลังมองหา ” The Right Solution” ที่จะทำให้การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ การจัดเก็บ Log File ขององค์กรสามารถ “ผ่าน” หรือ “Comply” พรบ.ฯ ได้อย่างไม่มีปัญหา ในกรณีที่ทางพนักงานเจ้าหน้าที่ต้องการข้อมูลจราจรทางคอมพิวเตอร์ ์ องค์กรจะต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามประกาศกระทรวงฯ ไว้ไม่น้อยกว่า 90 วัน จากการสำรวจข้อมูลจากหลายองค์กรชั้นนำ พบว่ามีหลากหลายปัญหาเกิดขึ้นระหว่างช่วงระยะผ่อนผัน สรุปสาเหตุของปัญหาและทางแก้ไขที่ถูกต้องได้ดังนี้
10 ปัญหาที่พบบ่อยเกี่ยวกับการปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดฯ ขององค์กรในประเทศไทย
1. ปัญหาที่เกิดจากผู้บริหารระดับสูงไม่ให้ความสำคัญเรื่องการปฏิบัติตามพรบ.ฯ
สาเหตุ
ผู้บริหารระดับสูงอาจยังไม่ได้รับข่าวสารเรื่องพรบ.ฯ เนื่องจากไม่มีการนำเสนอให้กับผู้บริหารระดับสูง หรือ ผู้บริหารระดับสูงคาดว่าการบังคับใช้กฎหมายทางภาครัฐที่รับผิดชอบคงไม่เอาจริง เนื่องจากพนักงานเจ้าหน้าที่ยังไม่พร้อม อีกทั้งยังไม่มีคดีตัวอย่างให้เห็น จึงเพิกเฉยต่อการปฏิบัติตาม พรบ.ฯ
ทางแก้ไข
ทางภาครัฐควรมีการจัดทำการประชาสัมพันธ์เกี่ยวกับแนวทางการปฏิบัติตาม พรบ.ฯ และกระบวนการแจ้งความเกี่ยวกับการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนบทบาทและอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ ตลอดจนนำกรณีศึกษาคดีตัวอย่างที่เกี่ยวข้องกับ พรบ.ฯ เพื่อให้เกิดความตระหนักและความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับใช้ พรบ.ฯ สำหรับองค์กร ผู้บริหารระบบสารสนเทศระดับสูง (CIO) หรือ ผู้จักการฝ่ายสารสนเทศ (IT Manager) ควรชงเรื่องให้ฝ่ายบริหารระดับสูง (Top Management or Board of Director) และมีการประชาสัมพันธ์ในองค์กรในรูปแบบของการฝึกอบรม “Information Security Awareness Training” เพื่อให้ผู้ใช้คอมพิวเตอร์ทุกคนในองค์กรได้ตระหนักถึงบทบัญญัติของ พรบ.ฯ และทำความเข้าใจ พรบ.ฯ จากกรณีตัวอย่าง ตลอดจนองค์กรควรประกาศบังคับใช้ Acceptable Use Policy ( AUP) พร้อมกันกับการฝึกอบรม Information Security Awareness Training หลังจากที่ผู้ใช้คอมพิวเตอร์เข้ารับการฝึกอบรมแล้วก็จะเกิดความเข้าใจเหตุผลและเข้าใจที่มาที่ไปของ AUP ว่าทำไมองค์กรต้องมีการกำหนดนโยบาย AUP เช่น เพื่อให้สอดคล้องกับการประกาศบังคับใช้ พรบ.ฯ เป็นต้น
2. ปัญหาที่เกิดจากผู้บริหารฝ่ายสารสนเทศ หรือ ผู้บริหารระบบสารสนเทศระดับสูง มีความเชื่อว่าการจัดชื้อระบบ SIM (Security Information Management) นั้นสามารถทำให้องค์กร “Comply” พรบ.ฯ ได้
สาเหตุ
ความเชื่อดังกล่าวเกิดจากการรับข้อมูลจากหลากหลายแหล่งที่มา ไม่ว่าจะเป็นจากอินเทอร์เน็ต, จากฝ่ายขายของ System Integrator, จากงานสัมมนาผลิตภัณฑ์ระบบ SIM หรือ จากที่ปรึกษา ทำให้ผู้บริหารระบบสารสนเทศมีความเข้าใจผิดว่าการจัดซื้อระบบ ” SIM ” นั้นจะช่วยให้องค์กรสามารถ ” Comply ” พรบ.ฯ ได้ ซึ่งความเชื่อดังกล่าวนั้นส่งผลเสียให้กับองค์กร เนื่องจากระบบ “SIM ” นั้น ไม่ได้ถูกออกแบบมาให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ แต่ระบบ “SIM ” ถูกออกแบบให้วิเคราะห์ข้อมูลจาก Log File หากระบบ “SIM” มีการพัฒนาเป็นระบบ “SIEM” (Security Information and Event Management) ซึ่งมีการรวมระบบการจัดเก็บ Log หรือ “SEM” (Security Event Management) เข้าไปด้วยก็สามารถนำมาใช้ “Comply” พรบ.ฯได้ แต่ต้องติดตั้งให้ถูกต้องตามประกาศกระทรวงเทคโนโลยีฯ เพื่อให้สามารถเก็บข้อมูลจราจรทางคอมพิวเตอร์ของบริการต่างๆ ได้ตามวัตถุประสงค์ของพรบ.ฯ
ทางแก้ไข
การศึกษาลักษณะการทำงานของระบบ “SIM” เปรียบเทียบกับลักษณะการทำงานของระบบ “SEM” ในเชิงลึกจากการทำ POC (Proof of Concept) จะทำให้ทราบว่าวัตถุประสงค์ในการทำงานที่แตกต่างกัน ดังนั้นผู้บริหารระบบสารสนเทศควรพิจารณาความแตกต่างระหว่าง “SIM” และ “SEM” ให้ชัดเจน ก่อนการตัดสินใจจัดซื้อจัดจ้างระบบ ” SIM” ซึ่งปกติการลงทุนกับ “SIM” นั้นใช้งบประมาณค่อนข้างสูงเกินหนึ่งล้านบาทขึ้นไป ดังนั้นผู้บริหารระบบสารสนเทศควรไตร่ตรองและศึกษาอย่างรอบคอบเสียก่อน
3. ปัญหาที่เกิดจากผู้บริหารฝ่ายสารสนเทศมีความต้องการ “ซื้อ” ระบบ SIM และ SEM มากกว่า การ “เช่าใช้” ระบบ
สาเหตุ
ปัญหานี้เป็นปัญหาที่ไม่เกี่ยวข้องกับเรื่องทางเทคนิค แต่เป็น “ค่านิยม” ของผู้บริหารระบบสารสนเทศในประเทศไทย ส่วนใหญ่ ที่มีแนวคิด “ซื้อ” มากกว่า “เช่า” เพราะการซื้อระบบนั้นสามารถจับต้องได้และเป็นทรัพย์สินถาวรขององค์กร แต่หากพิจารณาโดยละเอียดถี่ถ้วนแล้ว จะพบว่าการ “เช่า” นั้น มีความคุ้มค่าในการลงทุน (ROI) มากกว่าการ “ซื้อ” ตลอดจนสามารถลดต้นทุน (TCO) ได้มากกว่า ดังนั้นองค์กรขนาดใหญ่ระดับ Enterprise ในประเทศไทย จึงหันไป “Outsource” หรือ “เช่าใช้” ระบบ “SIEM”, “SIM” หรือ “SEM” มากกว่า แต่ในบางองค์กร เช่น ภาครัฐ อาจติดปัญหาเรื่องระบบราชการ เช่น งบลงทุนต่างจากงบค่าใช้จ่าย เป็นต้น ดังนั้นการตัดสินใจ “ซื้อ” หรือ “เช่า” จึงขึ้นกับลักษณะขององค์กร ระเบียบปฏิบัติ และความเหมาะสมในแง่มุมของการลงทุนเป็นสำคัญ
ทางแก้ไข
หากตัดปัญหาเรื่องระเบียบการเช่าซื้อ ควรพิจารณาว่าการเช่า หรือ “Outsource” นั้นไม่ขัดต่อระเบียบราชการ แต่สำหรับองค์กรเอกชนแนะนำให้เลือกบ่ริการ Outsource จาก MSSP ที่มีอยู่มากกว่าสี่รายในประเทศไทย เป็นทางออกที่น่าจะคุ้มค่ากว่า ขณะเดียวกัน MSSP ควรรักษาระดับคุณภาพในการให้บริการตาม SLA ให้ได้มาตรฐานเพื่อให้เกิดความเชื่อมั่นในการใช้บริการ “Outsource” ซึ่งในประเทศแถบเอเซียนั้นถือว่าอยู่ในช่วงเริ่มต้นเท่านั้น
4. ปัญหาความไม่ชัดเจนของพรบ.ฯ และประกาศกระทรวงฯ สำหรับขั้นตอนและวิธีการในการปฏิบัติตามได้อย่างถูกต้องตามวัตถุประสงค์
สาเหตุ
เนื่องจากการปฏิบัติตามพรบ.ฯ และประกาศกระทรวงฯ นั้น ผู้รับผิดชอบในองค์กรจำเป็นต้องมีความรู้ทางด้านเทคนิคมากพอสมควร เพื่อที่จะปฏิบัติได้อย่างถูกต้อง ดังนั้นหลายคนก็อาจตีความพรบ.ฯและประกาศฯ ไปในหลากหลายมุมมอง ผิดบ้างถูกบ้างก็แล้วแต่พื้นฐานความรู้ความเข้าใจของแต่ละคน ทำให้อาจเกิดปัญหาจากการที่องค์กรไม่ “Comply” พรบ.ฯ ได้ในอนาคต ซึ่งในช่วงแรกๆอาจยังไม่เห็นปัญหา แต่เมื่อเวลาผ่านไปสักระยะหนึ่ง หรือเมื่อพนักงานเจ้าหน้าที่เริ่มเข้ามาขอข้อมูลต่างๆตามประกาศฯ องค์กรจึงจะพบว่า ไม่มีข้อมูลที่พนักงานเจ้าหน้าที่ต้องการ เพราะปฏิบัติไม่ถูกต้องตามขั้นตอนทางเทคนิคที่ควรจะเป็น
ทางแก้ไข
สำหรับภาครัฐที่มีหน้าที่รับผิดชอบในการบังคับใช้พรบ.ฯ โดยตรงควรจัดให้มีการประชาสัมพันธ์ให้รายละเอียดหรือ คู่มือ “แนวทางการปฏิบัติทางด้านเทคนิคที่ถูกต้องตาม พรบ. ฯ” ให้แก่องค์กร และสำหรับภายในองค์กรเอง ผู้บริหารควรศึกษา พรบ.ฯ และ ประกาศกระทรวงฯ ให้เกิดความรู้ความเข้าใจโดยการปรึกษาที่ปรึกษา, ผู้เชี่ยวชาญเฉพาะทาง หรือ MSSP (Managed Security Service Provider) ตลอดจนทำ “Computer Crime Law GAP Analysis” เปรียบเทียบระบบการจัดเก็บ Log ในปัจจุบันขององค์กรกับข้อกำหนดในประกาศกระทรวงฯ ว่ายังมีช่องว่างที่องค์กรยังไม่ “Comply” อยู่หรือไม่ หากยังมีก็ให้รีบดำเนินการให้องค์กร “Comply” พรบ.ฯ ก่อนวันที่ 23 สิงหาคม 2551 ต่อไป
5. ปัญหาของผลิตภัณฑ์ “SIM” และ “SIM” ที่มีราคาสูงเกินความเป็นจริง
สาเหตุ
เนื่องจากเทคโนโลยีของระบบ “SIM” และ “SEM” เป็นเรื่องที่ค่อนข้างใหม่ในบ้านเรา ตลอดจนผู้จัดจำหน่ายระบบก็ยังมีไม่มากนักในท้องตลาด ทำให้ราคาของระบบ “SIM” และ “SEM” นั้นค่อนข้างสูงสำหรับผลิตภัณฑ์ที่มีชื่อเสียง ซึ่งทางเจ้าของผลิตภัณฑ์ยังมองว่าเทคโนโลยีเป็นเทคโนโลยีปิดที่ทำได้เพียงไม่กี่บริษัท ดังนั้นในปัจจุบันราคาจึงสูงเกินกว่าความเป็นจริง
ทางแก้ไข
เมื่อเวลาผ่านไปและลูกค้าเริ่มมีความรู้มากขึ้น ประกอบกับมีบริษัทผู้ผลิต “SIM” และ “SEM” เข้ามาในประเทศไทยมากขึ้น ตลาดก็จะเข้าสู่ภาวะสมดุล ราคาผลิตภัณฑ์จะถูกปรับลงโดยอัตโนมัติตามกลไกของตลาด
6. ปัญหาความเข้าใจผิดว่าหลังจากการจัดซื้อระบบ “SIM” หรือ “Centralized Log Management System” แล้ว องค์กรจะผ่านพรบ.ฯ ในขณะที่โครงสร้างพื้นฐานขององค์กรยังไม่รองรับ
สาเหตุ
การจัดฃื้อระบบ “SIM” เพื่อจัดทำระบบบริหารจัดการข้อมูลจราจรทางคอมพิวเตอร์แบบรวมศูนย์นั้นเป็นแนวทางที่ถูกต้อง แต่ต้องคำนึงถึง “โครงสร้างพื้นฐาน” หรือ “Network and System Infrastructure” ของระบบเดิม เนื่องจากประกาศกระทรวงฯ กำหนดว่าต้องสามารถระบุที่มาของ Log ได้เป็น “รายบุคคล” ดังนั้น ระบบควรจะมีโครงสร้างพื้นฐานในการพิสูจน์ตัวตน (Authentication System or Identity Management System) เสียก่อน โดยการพิสูจน์ตัวตนสามารถกระทำที่ Proxy Server หรือที่ Firewall ขึ้นกับอุปกรณ์ที่มีอยู่ว่ามีขนาดเหมาะสมที่จะรองรับการพิสูจน์ตัวตน (Authentication) ของผู้ใช้งานระบบพร้อมๆกันในเวลาเดียวกันได้หรือไม่ ดังนั้นการจัดซื้อระบบ “SEM” ก็ยังไม่ใช่คำตอบสุดท้าย ถ้าโครงสร้างพื้นฐานในการพิสูจน์ตัวตนขององค์กรยังไม่ถูกปรับแก้ไขตามประกาศของกระทรวงฯดังกล่าว
ทางแก้ไข
ก่อนที่จะติดตั้งระบบ ” SEM” หรือระบบ “Centralized Log Management” ควรจัดเตรียมระบบพิสูจน์ตัวตน (Authentication) ให้เรียบร้อยเสียก่อน ขณะเดียวกันที่ Web Sever และ FTP Sever ก็ควรติดตั้ง Agent ที่สามารถส่ง Log ผ่านทางระบบเครือข่ายเข้าไปยังระบบ Centralized Log Management เช่นเดียวกับ Mail Sever ก็ควรปรับแต่งให้ส่ง SMTP Log จากตัว Mail Sever เอง หรือส่งจาก Mail Gateway ก็ได้ แล้วแต่ว่าองค์กรมีการใช้งานในรูปแบบใด เพราะฉะนั้นการ “ผ่าน” หรือ “Comply” พรบ.ฯ นั้นไม่ขึ้นอยู่กับระบบ “SIM” หรือระบบ “SEM” แต่เพียงอย่างเดียว หากขึ้นอยู่กับการปรับแต่งโครงสร้างพื้นฐานและเครื่องแม่ข่ายต่างๆให้เหมาะสมและสอดคล้องกับข้อมูลจราจรตามที่ประกาศของกระทรวงฯ ได้กำหนดไว้หรือไม่
7. ปัญหาความไม่เข้าใจประเภทของบริการที่องค์กรต้องจัดเก็บข้อมูลจราจรว่าต้องจัดเก็บอะไรบ้าง และต้องจัดเก็บมากน้อยเพียงใด
สาเหตุ
ประกาศกระทรวงฯได้กำหนดให้ข้อมูลจราจรทางคอมพิวเตอร์ที่องค์กรต้องจัดเก็บนั้น แบ่งออกเป็น 6 ประเภทด้วยกัน แต่รายละเอียดทางด้านเทคนิคเชิงลึกนั้น พรบ.ฯและประกาศกระทรวงฯไม่ได้กำหนดไว้ ดังนั้นจึงทำให้หลายคนเกิดความสับสน และไมแน่ใจว่าระบบที่องค์กรใช้ในการจัดเก็บ Log ในองค์กรนั้น ถูกต้องตามประกาศกระทรวงฯหรือไม่
ทางแก้ไข
ก่อนอื่นต้องทำความเข้าใจถึงข้อมูลที่เกิดจากบริการทั้ง 6 รูปแบบที่ประกาศกระทรวงฯได้กำหนดให้องค์กรทั่วไปเก็บข้อมูลจราจรไว้ไม่น้อยกว่า 90 วัน ได้แก่
1. ข้อมูลที่เกิดจากการพิสูจน์ตัวตน (Authentication) ผ่านทาง Firewall หรือ Proxy Server เพื่อใช้งานระบอินเทอร์เน็ต ซึ่งปกติองค์กรควรมีระบบ Directory Service รองรับเสียก่อน เช่น ระบบ Microsoft Active Directory หรือ LDAP Server
2. ข้อมูลที่เกิดจากการรับ-ส่งและ การเข้ามาอ่าน eMail จาก Mail Server โดยองค์กรสามารถเก็บข้อมูลจราจรที่ไม่รวม Payload ของ eMail ได้จากตัว Mail Server เองหรือจาก Mail Gateway ส่งมาเก็บยังระบบ Centralized Log Management ถ้ายังใช้ POP3 และ IMAP4 อยู่ ต้องเก็บข้อมูลจราจรด้วย
3. ข้อมูลที่เกิดจากการรับ-ส่ง ไฟล์ข้อมูล ยกตัวอย่างเช่น ที่ FTP Server เราสามารถเก็บข้อมูลจราจรได้จาก Log ที่เกิดจากตัว FTP Server โดยตรง และ ข้อมูลจราจรทั้งหมดควรถูกส่งจาก FTP Server เข้ามาเก็บในระบบ Centralized Log Management
4. ข้อมูลที่เกิดจากการเข้าถึง Content ใน Web Server โดยปกติแล้วข้อมูลจราจรที่เก็บอยู่ใน Web Server ในรูปแบบของ http log จะเก็บได้เฉพาะข้อมูล URI ที่เกิดจาก Method “GET” เท่านั้น ทำให้ได้ข้อมูลจราจรไม่ครบถ้วน โดยข้อมูลจราจรดังกล่าวเพียงพอต่อการปฎิบัติตามข้อกำหนดของประกาศกระทรวงฯ แต่ไม่เพียงพอต่อการนำข้อมูลไปวิเคราะห์การโจมตี Web Site ชององค์กร วิธีการแก้ปัญหาคือการใช้ WAF (Web Application Firewall) นำไปวางไว้หน้า Web Server ใน ลักษณะของ “Reverse Proxy” จะทำให้สามารถเก็บข้อมูลการเข้าถึง Web Server ได้ครบถ้วนเพื่อให้สามารถนำข้อมูลไปวิเคราะห์การโจมตี Web Server และ Web Application ( หมายเหตุ : การวิเคราะห์การโจมตี Web Site โดยใช้ข้อมูล http log จาก Web Server โดยตรงนั้นไม่ค่อยได้ผลเท่าใดนัก เนื่องจากข้อมูลไม่เพียงพอในการวิเคราะห์ ทำให้การเฝ้าระวังของ MSSP ไม่ได้ผลเท่าที่ควร หากไม่มีการติดตั้ง WAF จึงควรพิจารณาเรื่องการติดตั้ง WAF เพิ่มเติมด้วย)
5. ข้อมูลที่เกิดจากการใช้โปรแกรมประเภท Instant Messaging เช่น MSN หรือ การใช้งานโปรแกรม Internet Relay Chat (IRC) สามารถจัดเก็บ Log ได้ที่ Firewall (บางรุ่น บางยี่ห้อ) หรือที่ Proxy Server (บางรุ่น บางยี่ห้อ เช่นเดียวกัน )
6. ข้อมูลที่เกิดจากการใช้โปรแกรมประเภท Usenet หรือ Newsgroups (NNTP Protocol) ในปัจจุบันองค์กรส่วนใหญ่ไม่ค่อยได้ใช้แล้ว จึงไม่พบปัญหาในข้อนี้
8. ปัญหาที่ผู้บริหารระบบสารสนเทศไม่สามารถแยกความแตกต่างระหว่าง “SIM” และ “MSSP” ได้
สาเหตุ
บริษัท System Integrator (SI) ในปัจจุบันสามารถจัดจำหน่ายและติดตั้งได้ทั้งระบบ “SEM” และระบบ “SIEM” แต่บริษัท SI โดยทั่วไปมักจะไม่มีบุคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล (CISSP,SSCP หรือ SANS GIAC) ในการวิเคราะห์ความผิดปกติและการโจมตีจากแฮกเกอร์ในลักษณะ “รายวัน” ซึ่งจะต้องมีบุคลากรที่ “Dedicate” ในการให้บริการสำหรับลูกค้าแต่ละราย ซึ่งบริษัทที่ให้บริการ Outsource หรือ Managed Security Services Provider (MSSP) ต้องมีการจัดเตรียมบุคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลในการวิเคราะห์ (Security Analyst) ไว้วิเคราะห์ข้อมูลจราจรที่เข้ามาในลักษณะ “Real-Time” อีกทั้งยังต้องติดต่อประสานงานกับลูกค้าในกรณีเกิดความผิดปกติขึ้นในระบบตามระยะเวลาที่ตกลงกันไว้ตาม Service Level Agreement (SLA) ดังนั้นการใช้บริการจาก MSSP ที่มีความพร้อม จึงตรงจุดประสงค์มากกว่าการใช้บริการจากบริษัท SI ที่ไม่มีความพร้อมด้านบุคลากรดังกล่าว แต่ถ้าหากบริษัท SI สามารถจัดทีมงานบุคลากรผู้เชี่ยวชาญในการเฝ้าระวังและวิเคราะห์เหตุการณ์ผิดปกติให้กับองค์กรในลักษณะรายวันได้ การใช้บริการของบริษัท SI ก็จะมีลักษณะคล้ายกับการบริการของ MSSP ไปโดยปริยาย หากแต่วัตถุประสงค์หลักของบริษัทนั้นแตกต่างกัน
ทางแก้ไข
หากองค์กรต้องการผลการวิเคราะห์เหตุการณ์ผิดปกติแบบรายวันโดยผู้เชี่ยวชาญเฉพาะทางด้านความปลอดภัยข้อมูล ควรใช้บริการจาก MSSP น่าจะตรงวัตถุประสงค์มากกว่า แต่ถ้าหากต้องการเพียงการติดตั้งระบบ “SEM” หรือ “SIEM” แต่ไม่รวมการบริการเฝ้าระวังและวิเคราะห์การโจมตี การใช้บริการจาก SI ก็สามารถที่จะทำได้เช่นกัน
9. ปัญหาที่ผู้บริหารระบบสารสนเทศคิดว่า “MSS” หรือ “Managed Security Services” ก็คือการจัดซื้อระบบ “SIM” พร้อมบริการเฝ้าระวัง
สาเหตุ
การใช้บริการ MSS จาก MSSP นั้น ทาง MSSP จะมีหน้าที่ความรับผิดชอบในการจัดเตรียมระบบ SIM ทั้งฮาร์ดแวร์และซอฟฟ์แวร์ ในการให้บริการกับผู้ใช้บริการ โดยที่ผู้ใช้บริการไม่จำเป็นต้องลงทุนซื้อระบบ “SIM” แต่อย่างใด ปัญหาก็คือ ทางผู้บริหารระบบสารสนเทศบางท่านยังไม่เข้าใจแนวคิดนี้ เลยคิดว่าการที่องค์กรลงทุนซื้อระบบ “SIM” เอง และจ้างผู้เชี่ยวชาญเฝ้าระวังนั้นเปรียบเหมือนกับการใช้บริการจาก MSSP ซึ่งจริงๆแล้วมีความแตกต่างกันอย่างที่กล่าวมาแล้ว
ทางแก้ไข
ต้องถามความต้องการขององค์กรก่อนว่าต้องการใช้บริการการเฝ้าระวังเหตุการณ์ผิดปกติและการวิเคราะห์ Log จากผู้เชี่ยวชาญอย่าง MSSP ในลักษณะ “Outsource” หรือไม่ ถ้าวัตถุประสงค์ขององค์กรไม่ต้องการเฝ้าระวังโดยใช้บุคลากรขององค์กรเอง การจ้าง MSSP เป็นทางออกที่ดีที่สุด แต่หากองค์กรจัดซื้อระบบ “SIM” เอง องค์กรต้องลงทุนค่อนข้างสูง ใช้งบประมาณหลักล้านบาทขึ้นไปและยังต้องใช้ผู้เชี่ยวชาญเฉพาะทางซึ่งเป็นบุคลากรขององค์กรเองในการใช้งานระบบ “SIM” ให้เกิดประสิทธิภาพให้มากที่สุด ทำให้เกิดค่าใช้จ่ายในการเพิ่ม Head Count และ การจัดจ้างบุคลากรเฉพาะทางในรูปแบบการจ้างเป็นพนักงานประจำอีกด้วย จะเห็นได้ว่าหากมองในรูปของความคุ้มค่าในการลงทุนและ การบริหารความเสี่ยงแล้ว การ “Outsource” ดูจะเป็นทางออกที่ลงตัวที่สุด
10. ปัญหาความไม่ตระหนักในการปฏิบัติตามพรบ.ฯ และความไม่ชัดเจนของภาครัฐในการบังคับใช้พรบ.ฯ
สาเหตุ
ปัญหานี้คล้ายกับปัญหาของผู้บริหารระดับสูงในข้อหนึ่ง แต่ต่างกันตรงที่ความไม่ตระหนักในการปฏิบัติตามพรบ.ฯ เกิดขึ้นกับพนักงานทุกคนในองค์กรไม่เฉพาะผู้บริหารระดับสูงเท่านั้น
ทางแก้ไข
วิธีการที่ดีที่สุดในการแก้ไขปัญหานี้ก็คือการจัดฝึกอบรมให้ความรู้เรื่องกฎหมายพรบ.ฯ และประกาศกระทรวงฯ ให้แก่พนักงานในองค์กรให้รับทราบโดยทั่วกัน ในรูปแบบของการจัดการอบรม “Information Security Awareness Training” โดยใช้ระยะเวลาประมาณ 3-6 ชั่วโมง พร้อมอธิบายตัวอย่างและกรณีศึกษาประกอบการบรรยายตัวบทกฎหมาย จะทำให้พนักงานในองค์กรเกิดความเข้าใจมากขึ้น ซึ่งจะส่งผลให้พนักงานปฏิบัติตาม พรบ.ฯ ได้อย่างมีประสิทธิภาพ โดยเกิดจากความเข้าใจของพนักงานเองหลังจากการฝึกอบรมดังกล่าว
จาก : หนังสือ eEnterprise (Thailand)
ประจำ เดือนมิถุนายน 2551
Update Information : 26 พฤษภาคม 2551