(5 Steps preparing for new Cyber Crime Law )
by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
นับจากวันที่ 19 กรกฎาคม พ.ศ. 2550 ถือว่า พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ได้มีผลบังคับใช้แล้วในประเทศไทย ซึ่งหลาย ๆ องค์กรทั้งภาครัฐและเอกชนยังขาดความพร้อมในการเตรียมการรองรับ พรบ.ฯ ได้อย่างถูกต้อง ดังนั้น ทางภาครัฐโดยกระทรวงเทคโนโลยีสารสนเทศและสื่อสาร จึงได้ออกประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เกี่ยวกับ เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐ และ เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ พ.ศ.๒๕๕๐ เพื่อช่วยให้องค์กรต่าง ๆ สามารถปรับตัวโดยมีแนวทาง (Guideline) ในการจัดเก็บข้อมูลจราจรได้อย่างถูกต้องตามกฎหมาย และ เพื่อก่อให้เกิดความเข้าใจในคุณสมบัติของพนักงานเจ้าหน้าที่อย่างชัดเจนมากยิ่งขึ้น โดยในประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารกำหนดไว้ว่าองค์กรต่าง ๆ มีระยะเวลาผ่อนผันที่แตกต่างกันออกไป เช่น ถ้าเป็นผู้ให้บริการอินเทอร์เน็ต หรือ ISP จะมีระยะเวลาในการเตรียมการ 180 วัน นับจากวันที่ประกาศในราชกิจจานุเบกษา เป็นต้น ดังนั้นองค์กรควรมีการเตรียมการตั้งแต่วันนี้เพื่อรองรับพรบ.ฯได้อย่างถูกต้องตามกฎหมาย โดยควรปฏิบัติตามรายละเอียดขั้นตอนในการเตรียมการทั้งหมด 5 ขั้นตอน ตามลำดับ ดังต่อไปนี้
ขั้นตอนที่ 1 ศึกษารายละเอียดของพรบ. และทำความเข้าใจอย่างละเอียด (In-depth Study)
ขั้นตอนนี้สามารถทำได้ง่าย ๆ โดยการอ่าน พรบ.ฯ อย่างละเอียด ประกอบกับการศึกษาประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ทั้ง 2 ฉบับ ดังที่กล่าวมาแล้ว หรือ อ่านบทวิเคราะห์กฎหมายจากบทความของ eWeek หรือ eLeader ในฉบับเดือนที่ผ่านมา ตลอดจนการเข้าฟังสัมมนาที่เกี่ยวข้องกับพรบ. ฯ ซึ่งมีให้เข้าฟังอยู่หลายค่ายในเวลานี้ เช่น NECTEC กระทรวง ICT และ ล่าสุดงานสัมมนาที่กำลังจะจัดในเดือนหน้าคือ งานสัมมนาของสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ หรือ TISA (Thailand Information Security Association) และ งานสัมมนา CDIC 2007 (Cyber Defense Initiative Conference) ในวันที่ 22-23 พฤศจิกายน 2550
อีกวิธีหนึ่งซึ่งเป็นทางลัดในการศึกษาพรบ.ฯ ก็คือ การจัด Information Security Awareness Update ในองค์กรโดยการเชิญวิทยากรผู้ทรงคุณวุฒิ มาถ่ายทอดให้ทีมงานฟังเพื่อลดเวลาในการศึกษาด้วยตนเอง และ สามารถถาม – ตอบ ข้อซักถามกับวิทยากรดังกล่าว เพื่อความเข้าใจที่ชัดเจนยิ่งขึ้น
ขั้นตอนที่ 2 จัดสัมมนา Internal Information Security Awareness Training สำหรับผู้บริหารระดับสูง และ ผู้ใช้งานคอมพิวเตอร์ทั่วไปภายในองค์กร
ปัจจัยแห่งความสำเร็จที่สำคัญในการเตรียมองค์กรให้รองรับพรบ.ฯ ก็คือการจัดสัมมนาให้ความเข้าใจเรื่องความสำคัญของพรบ.ฯ และวิธีการปฏิบัติอย่างถูกต้องตามกฎหมาย การจัดสัมมนาภายในองค์กรในลักษณะ “Information Security Awareness Training” นั้น จะช่วยให้ผู้บริหารระดับสูงมีความเข้าใจในตัวพรบ.ฯ และ เข้าใจในหน้าที่ความรับผิดชอบของผู้บริหารเองได้ชัดเจนยิ่งขึ้น วัตถุประสงค์ในการจัดสัมมนาภายในองค์กรก็เพื่อที่จะให้ผู้บริหารระดับสูงได้ ให้การสนับสนุนในเรื่องงบประมาณและอัตรากำลังของบุคคลากรในการเตรียมตัวปฏิบัติให้สอดคล้องกับพรบ.ฯ
การจัดสัมมนาควรแยก Session ระหว่างผู้บริหารระดับสูง และ ผู้ใช้งานคอมพิวเตอร์ทั่วไป โดยระยะเวลาในการสัมมนาสำหรับผู้บริหารควรกระชับไม่เกิน 3 ชั่วโมง แต่สำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไปควรใช้เวลาประมาณ 6 ชั่วโมง เพื่อแสดงตัวอย่างการกระทำผิดให้เห็นในลักษณะ “Live Demonstration” เพื่อทำให้ผู้ใช้งานคอมพิวเตอร์เกิดความเข้าใจมากขึ้น อีกทั้งควรประกาศนโยบายด้านความปลอดภัยระบบสารสนเทศในการใช้งานคอมพิวเตอร์และระบบอินเทอร์เน็ตในองค์กร และ ควรให้ผู้ใช้งานคอมพิวเตอร์ทั่วไปได้เซ็นรับทราบ หนังสือยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศขององค์กร หรือ AUP (Acceptable Use Policy) ไปด้วยในตัวหลังจากจบงานสัมมนา เพื่อให้ผู้ใช้ได้ปฏิบัติตามนโยบายดังกล่าวต่อไป
ขั้นตอนที่ 3 ประเมินความเสี่ยงด้านความปลอดภัยระบบสารสนเทศในองค์กรและแก้ไขช่องโหว่ของระบบ (IT Risk Assessment)
ผู้บริหารระดับสูงขององค์กรควรจัดให้มีการตรวจสอบประเมินความเสี่ยงด้านความปลอดภัยระบบสารสนเทศในองค์กรโดยผู้ตรวจสอบอิสระภายนอกอย่างน้อยปีละหนึ่งครั้ง เพราะในอนาคตอันใกล้ การประเมินความเสี่ยงระบบสารสนเทศจะประกาศเป็นพระราชกฤษฎีกามาตรา 25 ใน พรบ. ธุรกรรมอิเล็กโทรนิกส์ ซึ่งจะมีผลบังคับใช้ในทุกองค์กร สำหรับภาครัฐ นับจากวันที่ 10 มกราคม 2550 ได้มีการประกาศ พระราชกฤษฎีกา มาตรา 35 ได้กำหนดให้องค์กรภาครัฐต้องมีการประเมินความเสี่ยงระบบสารสนเทศอย่างสม่ำเสมอ ดังนั้นการตรวจสอบโดย IT External Auditor และ IT Internal Auditor ถือเป็นเรื่องจำเป็น เพื่อที่องค์กรจะได้ทราบถึงช่องโหว่และจุดบกพร่องด้านความปลอดภัยระบบสารสนเทศ และ จะได้ทำการแก้ไขช่องโหว่ดังกล่าว โดยวิธีการ “Hardening” เพื่อให้เกิดความปลอดภัยตามมาตรฐานและสอดคล้องกับตัวพรบ.ฯ
วิธีการประเมินความเสี่ยงระบบสารสนเทศที่นิยมทำกันโดยทั่วไป ได้แก่การทำ Vulnerability Assessment และ Penetration Testing<BR>
ขั้นตอนที่ 4 จัดทำนโยบายด้านความมั่นคงปลอดภัยระบบสารสนเทศ (Information Security Policy)
พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2550 มาตรา 35 สำหรับภาครัฐที่มีผลบัลคับใช้แล้ว และ (ร่าง) พระราชกฤษฎีกากำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ มาตรา 25 ในพรบ. ธุรกรรมอิเล็กทรอนิกส์ ที่กำลังจะประกาศใช้ก่อนสิ้นปี ได้ระบุไว้ชัดเจนว่าองค์กรต้องมีการจัดทำนโยบายด้านความมั่นคงปลอดภัยระบบสารสนเทศเป็นลายลักษณ์อักษร และ ต้องมีการประกาศใช้นโยบายในองค์กรโดยผู้บริหารระดับสูง ดังนั้น การเตรียมคณะทำงานจัดทำนโยบายร่วมกับที่ปรึกษาและผู้เชี่ยวชาญจึงเป็นเรื่องสำคัญที่ต้องรีบปฏิบัติ ผู้บริหารระดับสูงขององค์กรควรมีความตระหนักในการสนับสนุนและประกาศใช้นโยบายอย่างจริงจัง ตลอดจน นโยบายควรสอดคล้องกับ พรบ.ฯ ทั้ง 2 ฉบับ เพื่อให้องค์กรได้ทั้งความปลอดภัยและถูกกฎหมาย
เทคนิคในการจัดทำนโยบายที่ถูกต้อง ก็คือ ควรจัดทำนโยบาย หลังจากการประเมินความเสี่ยงในขั้นตอนที่ 3 เพื่อที่จะสามารถนำข้อมูลรายงานจากขั้นตอนในการประเมินความเสี่ยงมาใช้เป็นแนวทางในการจัดทำนโยบายได้<BR>
ขั้นตอนที่ 5 การจัดเตรียมงบประมาณในการจัดซื้อ จัดจ้าง ระบบ Centralized Log หรือ การจ้าง Managed Security Service Provider (MSSP) มาบริหารจัดการแบบครบวงจร
ในมาตรา 26 ได้กำหนดไว้ชัดเจนให้องค์กรมีการจัดเก็บ Log ไม่ต่ำกว่า 90วัน และไม่เกิน 1 ปี ดังนั้น องค์กรต้องจัดเตรียมงบประมาณในการจัดเก็บ Log ดังกล่าวในลักษณะ Centralized Log Server ซึ่งอุปกรณ์ฮาร์ดแวร์ และซอฟท์แวร์ ดังกล่าวมีค่าใช้จ่ายค่อนข้างสูง เหมาะสำหรับองค์กรขนาดใหญ่แต่ถ้าเป็นองค์กรขนาดกลาง และขนาดเล็กอาจเป็นปัญหาในด้านงบประมาณได้ ตลอดจนอุปกรณ์ดังกล่าวไม่มีความสามารถในการวิเคราะห์ในลักษณะของ SIM (Security Information Management) โดยมีความสามารถในการจัดเก็บ Log เพียงอย่างเดียว การ Outsource ให้ MSSP มาบริหารจัดการ แทนองค์กรทั้งหมด ไม่ว่าจะเป็นการจัดเก็บ Log ในลักษณะ SEM (Security Event Management) และกาววิเคราะห์ Log ในลักษณะ SIM หรือ รวมทั้ง 2 แบบ เรียกว่า SIEM (Security Information and Event Management) นั้นเป็นทางออกที่ดีในยุคที่ทุกองค์กรต้องรัดเข็มขัด โดยองค์กรจะสามารถประหยัดงบการลงทุนในการจัดซื้อระบบ SIM และ SEM ได้อย่างมาก เป็นการประหยัดงบประมาณให้กับองค์กรและเป็นการ Transfer Risk ให้กับ MSSP โดยสามารถกำหนดใน SLA (Service Level Agreement) ไว้ได้อย่างชัดเจน ทำให้องค์กรมีความคล่องตัวในการบริหารความปลอดภัยระบบสารสนเทศขององค์กรมากขึ้นด้วย
กล่าวโดยสรุปจะเห็นว่าองค์กรทั้งภาครัฐและเอกชนควรรีบเตรียมการตามขั้นตอนทั้ง 5 ขั้นตอนซึ่งจะใช้เวลาประมาณ 6 เดือน – 1 ปี สอดคล้องกับข้อผ่อนผันในประกาศกระทรวง ICT เพื่อที่จะให้องค์กรสามารถรองรับ พรบ.ฯ ได้อย่างไม่มีปัญหาเมื่อหมดระยะเวลาผ่อนผันแล้ว และ สอดคล้องกับวัตถุประสงค์ที่แท้จริงของพรบ.ฯ ฉบับนี้ในที่สุด
จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนสิงหาคม2550
Update Information : 17 สิงหาคม 2550