Technology Info


บทวิเคราะห์ สถานการณ์ล่าสุดเกี่ยวกับปัญหาในการปฏิบัติตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
พ.ศ. 2550 ขององค์กรในประเทศไทย

สืบเนื่องจากกระแส “Regulatory Compliance” ที่มีผลต่อวงการ “Information Security” ทั่วโลกรวมทั้งในประเทศไทย ทำให้ตลาด
ผลิตภัณฑ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนบริการต่างๆที่เกี่ยวข้องกับระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ มีอัตราการเติบโต
เพิ่มขึ้นจากปีที่ผ่านมาอย่างเห็นได้ชัด สำหรับความตื่นตัวที่กลับมาอีกครั้งขององค์กรเรื่องการปฏิบัติตาม พ.ร.บ. ว่าด้วยการกระทำผิดฯ
หลังจากการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 23 สิงหาคม 2550  ระยะเวลาผ่อนผันให้ทุกองค์กรปฏิบัติตามประกาศกระทรวง
เทคโนโลยีสารสนเทศ และการสื่อสารที่กำหนดให้หนึ่งปีจากวันที่ประกาศบังคับใช้ โดยจะหมดระยะผ่อนผันตั้งแต่วันที่ 23 สิงหาคม 2551
เป็นต้นไป ทำให้หลายองค์กรกำลังมองหา “The Right Solution” ที่จะทำให้การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือการจัดเก็บ
Log File ขององค์กรสามารถ “ผ่าน” หรือ “Comply” พ.ร.บ. ฯ ได้อย่างไม่มีปัญหาในกรณีที่ทางพนักงานเจ้าหน้าที่ต้องการข้อมูลจราจร
ทางคอมพิวเตอร์ องค์กรจะต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามประกาศกระทรวงฯ ไว้ไม่น้อยกว่า 90 วัน จากการสำรวจข้อมูล
จากหลายองค์กรชั้นนำ พบว่ามีหลากหลายปัญหาเกิดขึ้นระหว่างช่วงระยะผ่อนผัน สรุปสาเหตุของปัญหาและทางแก้ไขที่ถูกต้องได้ดังนี้

10 ปัญหาที่พบบ่อยเกี่ยวกับการปฏิบัติตาม พ.ร.บ. ว่าด้วยการกระทำผิดฯ ขององค์กร
ในประเทศไทย


1. ปัญหาที่เกิดจากผู้บริหารระดับสูงไม่ให้ความสำคัญเรื่องการปฏิบัติตาม พ.ร.บ.ฯ
สาเหตุ
ผู้บริหารระดับสูงอาจยังไม่ได้รับข่าวสารเรื่อง พ.ร.บ. ฯ เนื่องจากไม่มีการนำเสนอให้กับ
ผู้บริหารระดับสูง หรือ ผู้บริหารระดับสูงคาดว่าการบังคับใช้กฎหมายทางภาครัฐที่
รับผิดชอบคงไม่เอาจริง เนื่องจากพนักงานเจ้าหน้าที่ยังไม่พร้อม อีกทั้งยังไม่มีคดีตัวอย่าง
ให้เห็นจึงเพิกเฉยต่อการปฏิบัติตาม พ.ร.บ. ฯ
ทางแก้ไข
ทางภาครัฐควรมีการจัดทำการประชาสัมพันธ์เกี่ยวกับแนวทางการปฏิบัติตาม พ.ร.บ. ฯ และกระบวนการแจ้งความเกี่ยวกับการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนบทบาท
และอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ ตลอดจนนำกรณีศึกษาคดีตัวอย่างที่เกี่ยวข้องกับ
พ.ร.บ. ฯ  เพื่อให้เกิดความตระหนักและความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับ
ใช้ พ.ร.บ. ฯ สำหรับองค์กร  ผู้บริหารระบบสารสนเทศระดับสูง (CIO) หรือ ผู้จักการฝ่าย
สารสนเทศ (IT Manager) ควรชงเรื่องให้ฝ่ายบริหารระดับสูง (Top Management or
Board of Director)  และมีการประชาสัมพันธ์ในองค์กรในรูปแบบของการฝึกอบรม 
“Information Security Awareness Training” เพื่อให้ผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร
ได้ตระหนักถึงบทบัญญัติของ พ.ร.บ. ฯ และทำความเข้าใจ พ.ร.บ. ฯ  จากกรณีตัวอย่าง
ตลอดจนองค์กรควรประกาศบังคับใช้  Acceptable Use Policy (AUP) พร้อมกันกับการ
ฝึกอบรม Information Security Awareness Training  หลังจากที่ผู้ใช้คอมพิวเตอร์
เข้ารับการฝึกอบรมแล้วก็จะเกิดความเข้าใจเหตุผลและเข้าใจที่มาที่ไปของ AUP ว่าทำไม
องค์กรต้องมีการกำหนดนโยบาย AUP เช่น เพื่อให้สอดคล้องกับการประกาศบังคับใช้
พ.ร.บ. ฯ เป็นต้น

2. ปัญหาที่เกิดจากผู้บริหารฝ่ายสารสนเทศ หรือ ผู้บริหารระบบสารสนเทศระดับสูง มีความเชื่อว่าการจัดชื้อระบบ SIM (Security Information Management) นั้นสามารถทำให้องค์กร “Comply” พ.ร.บ. ฯ ได้
สาเหตุ
ความเชื่อดังกล่าวเกิดจากการรับข้อมูลจากหลากหลายแหล่งที่มา ไม่ว่าจะเป็นจากอินเทอร์เน็ต จากฝ่ายขายของ System Integrator
จากงานสัมมนาผลิตภัณฑ์ระบบ SIM หรือ จากที่ปรึกษา ทำให้ผู้บริหารระบบสารสนเทศมีความเข้าใจผิดว่าการจัดซื้อระบบ “SIM” นั้น
จะช่วยให้องค์กรสามารถ “Comply” พ.ร.บ. ฯ ได้ ซึ่งความเชื่อดังกล่าวนั้นส่งผลเสียให้กับองค์กร เนื่องจากระบบ “SIM” นั้น ไม่ได้ถูก
ออกแบบมาให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ แต่ระบบ “SIM” ถูกออกแบบให้วิเคราะห์ข้อมูลจาก Log File  หากระบบ “SIM”
มีการพัฒนาเป็นระบบ “SIEM”  (Security Information and Event Management) ซึ่งมีการรวมระบบการจัดเก็บ Log หรือ “SEM”
(Security Event Management) เข้าไปด้วย ก็สามารถนำมาใช้ “Comply” พ.ร.บ. ฯ ได้ แต่ต้องติดตั้งให้ถูกต้องตามประกาศกระทรวง
เทคโนโลยีฯ เพื่อให้สามารถเก็บข้อมูลจราจรทางคอมพิวเตอร์ของบริการต่างๆ ได้ตามวัตถุประสงค์ของ พ.ร.บ. ฯ
ทางแก้ไข
การศึกษาลักษณะการทำงานของระบบ “SIM” เปรียบเทียบกับลักษณะการทำงานของระบบ “SEM” ในเชิงลึกจากการทำ POC (Proof of
Concept) จะทำให้ทราบว่าวัตถุประสงค์ในการทำงานที่แตกต่างกัน  ดังนั้นผู้บริหารระบบสารสนเทศควรพิจารณาความแตกต่างระหว่าง
“SIM” และ “SEM” ให้ชัดเจน ก่อนการตัดสินใจจัดซื้อจัดจ้างระบบ “SIM” ซึ่งปกติการลงทุนกับ “SIM” นั้น ใช้งบประมาณค่อนข้างสูง
เกินหนึ่งล้านบาทขึ้นไป ดังนั้นผู้บริหารระบบสารสนเทศควรไตร่ตรองและศึกษาอย่างรอบคอบเสียก่อน

 

3. ปัญหาที่เกิดจากผู้บริหารฝ่ายสารสนเทศมีความต้องการ “ซื้อ” ระบบ SIM และ SEM มากกว่า การ “เช่าใช้” ระบบ
สาเหตุ
ปัญหานี้เป็นปัญหาที่ไม่เกี่ยวข้องกับเรื่องทางเทคนิค แต่เป็น “ค่านิยม” ของผู้บริหารระบบสารสนเทศในประเทศไทย ส่วนใหญ่
ที่มีแนวคิด “ซื้อ” มากกว่า “เช่า” เพราะการซื้อระบบนั้นสามารถจับต้องได้และเป็นทรัพย์สินถาวรขององค์กร แต่หากพิจารณา
โดยละเอียดถี่ถ้วนแล้ว จะพบว่าการ “เช่า” นั้น  มีความคุ้มค่าในการลงทุน (ROI) มากกว่าการ “ซื้อ” ตลอดจนสามารถลด
ต้นทุน (TCO) ได้มากกว่า  ดังนั้นองค์กรขนาดใหญ่ระดับ Enterprise ในประเทศไทย จึงหันไป “Outsource” หรือ “เช่าใช้”
ระบบ “SIEM”, “SIM” หรือ “SEM” มากกว่า 
แต่ในบางองค์กร เช่น ภาครัฐ อาจติดปัญหาเรื่องระบบราชการ เช่น งบลงทุนต่างจากงบค่าใช้จ่าย เป็นต้น  ดังนั้นการตัดสินใจ
“ซื้อ” หรือ “เช่า” จึงขึ้นกับลักษณะขององค์กร  ระเบียบปฏิบัติ และความเหมาะสมในแง่มุมของการลงทุนเป็นสำคัญ
ทางแก้ไข
หากตัดปัญหาเรื่องระเบียบการเช่าซื้อ ควรพิจารณาว่าการเช่า หรือ “Outsource” นั้นไม่ขัดต่อระเบียบราชการ แต่สำหรับ
องค์กรเอกชน แนะนำให้เลือกบ่ริการ Outsource จาก MSSP ที่มีอยู่มากกว่าสี่รายในประเทศไทย เป็นทางออกที่น่าจะคุ้มค่า
กว่า ขณะเดียวกัน  MSSP ควรรักษาระดับคุณภาพในการให้บริการตาม SLA ให้ได้มาตรฐานเพื่อให้เกิดความเชื่อมั่นในการใช้
บริการ “Outsource” ซึ่งในประเทศแถบเอเซียนั้นถือว่าอยู่ในช่วงเริ่มต้นเท่านั้น

4. ปัญหาความไม่ชัดเจนของ พ.ร.บ. ฯ และประกาศกระทรวงฯ สำหรับขั้นตอน และวิธีการในการปฏิบัติตาม
ได้อย่างถูกต้องตามวัตถุประสงค์

สาเหตุ
เนื่องจากการปฏิบัติตาม พ.ร.บ. ฯ  และประกาศกระทรวงฯ นั้น ผู้รับผิดชอบในองค์กรจำเป็นต้องมีความรู้ทางด้านเทคนิคมาก
พอสมควร เพื่อที่จะปฏิบัติได้อย่างถูกต้อง ดังนั้นหลายคนก็อาจตีความ พ.ร.บ. ฯ และประกาศฯ ไปในหลากหลายมุมมอง
ผิดบ้างถูกบ้างก็แล้วแต่พื้นฐานความรู้ความเข้าใจของแต่ละคน ทำให้อาจเกิดปัญหาจากการที่องค์กรไม่ “Comply” พ.ร.บ. ฯ
ได้ในอนาคต ซึ่งในช่วงแรกๆอาจยังไม่เห็นปัญหา แต่เมื่อเวลาผ่านไปสักระยะหนึ่ง หรือเมื่อพนักงานเจ้าหน้าที่เริ่มเข้ามาขอ
ข้อมูลต่างๆ ตามประกาศฯ  องค์กรจึงจะพบว่า ไม่มีข้อมูลที่พนักงานเจ้าหน้าที่ต้องการ เพราะปฏิบัติไม่ถูกต้องตามขั้นตอน
ทางเทคนิคที่ควรจะเป็น
ทางแก้ไข
สำหรับภาครัฐที่มีหน้าที่รับผิดชอบในการบังคับใช้ พ.ร.บ. ฯ โดยตรงควรจัดให้มีการประชาสัมพันธ์ให้รายละเอียดหรือ คู่มือ
“แนวทางการปฏิบัติทางด้านเทคนิคที่ถูกต้องตาม พ.ร.บ. ฯ” ให้แก่องค์กร และสำหรับภายในองค์กรเอง ผู้บริหารควรศึกษา
พ.ร.บ.ฯ และประกาศกระทรวงฯ ให้เกิดความรู้ความเข้าใจโดยการปรึกษาที่ปรึกษา ผู้เชี่ยวชาญเฉพาะทาง หรือ MSSP (Managed Security Service Provider) ตลอดจนทำ “Computer Crime Law GAP Analysis” เปรียบเทียบระบบการจัดเก็บ
Log ในปัจจุบันขององค์กรกับข้อกำหนดในประกาศกระทรวงฯ ว่ายังมีช่องว่างที่องค์กรยังไม่ “Comply” อยู่หรือไม่ หากยังมี
ก็ให้รีบดำเนินการให้องค์กร “Comply” พ.ร.บ. ฯ ก่อนวันที่ 23 สิงหาคม 2551 ต่อไป

 
 

5. ปัญหาของผลิตภัณฑ์ “SIM” และ “SIM” ที่มีราคาสูงเกินความเป็นจริง
สาเหตุ
เนื่องจากเทคโนโลยีของระบบ “SIM” และ “SEM” เป็นเรื่องที่ค่อนข้างใหม่ในบ้านเรา ตลอดจนผู้จัดจำหน่ายระบบ ก็ยังมีไม่
มากนักในท้องตลาด ทำให้ราคาของระบบ “SIM” และ “SEM” นั้นค่อนข้างสูงสำหรับผลิตภัณฑ์ที่มีชื่อเสียง ซึ่งทางเจ้าของ
ผลิตภัณฑ์ ยังมองว่าเทคโนโลยีเป็นเทคโนโลยีปิดที่ทำได้เพียงไม่กี่บริษัท ดังนั้นในปัจจุบันราคาจึงสูงเกินกว่าความเป็นจริง
ทางแก้ไข
เมื่อเวลาผ่านไปและลูกค้าเริ่มมีความรู้มากขึ้น ประกอบกับมีบริษัทผู้ผลิต “SIM” และ “SEM” เข้ามาในประเทศไทยมากขึ้น
ตลาดก็จะเข้าสู่ภาวะสมดุล ราคาผลิตภัณฑ์จะถูกปรับลงโดยอัตโนมัติตามกลไกของตลาด

6. ปัญหาความเข้าใจผิดว่าหลังจากการจัดซื้อระบบ “SIM” หรือ “Centralized  Log  Management  System” แล้ว องค์กรจะผ่าน พ.ร.บ. ฯ ในขณะที่โครงสร้างพื้นฐานขององค์กรยังไม่รองรับ
สาเหตุ
การจัดซื้อระบบ “SIM” เพื่อจัดทำระบบบริหารจัดการข้อมูลจราจรทางคอมพิวเตอร์แบบรวมศูนย์นั้น เป็นแนวทางที่ถูกต้อง
แต่ต้องคำนึงถึง “โครงสร้างพื้นฐาน” หรือ “Network and System Infrastructure” ของระบบเดิม เนื่องจากประกาศ
กระทรวงฯ กำหนดว่าต้องสามารถระบุที่มาของ Log ได้เป็น “รายบุคคล” ดังนั้น ระบบควรจะมีโครงสร้างพื้นฐานในการพิสูจน์
ตัวตน (Authentication System or Identity Management System) เสียก่อน โดยการพิสูจน์ตัวตนสามารถกระทำที่ Proxy
Server หรือที่ Firewall ขึ้นกับอุปกรณ์ที่มีอยู่ว่ามีขนาดเหมาะสมที่จะรองรับการพิสูจน์ตัวตน (Authentication) ของผู้ใช้งานระบบพร้อมๆกันในเวลาเดียวกันได้หรือไม่   ดังนั้นการจัดซื้อระบบ “SEM” ก็ยังไม่ใช่คำตอบสุดท้าย  ถ้าโครงสร้างพื้นฐานในการพิสูจน์ตัวตนขององค์กรยังไม่ถูกปรับแก้ไขตามประกาศของกระทรวงฯดังกล่าว                    
ทางแก้ไข
ก่อนที่จะติดตั้งระบบ “ SEM” หรือระบบ “Centralized Log Management” ควรจัดเตรียมระบบพิสูจน์ตัวตน (Authentication)
ให้เรียบร้อยเสียก่อน ขณะเดียวกันที่ Web Sever และ FTP Sever ก็ควรติดตั้ง Agent ที่สามารถส่ง Log ผ่านทางระบบ
เครือข่ายเข้าไปยังระบบ Centralized Log Management เช่นเดียวกับ Mail Sever ก็ควรปรับแต่งให้ส่ง SMTP Log จากตัว
Mail Sever เอง หรือส่งจาก Mail Gateway ก็ได้ แล้วแต่ว่าองค์กรมีการใช้งานในรูปแบบใด เพราะฉะนั้นการ “ผ่าน” หรือ
“Comply” พ.ร.บ. ฯ นั้นไม่ขึ้นอยู่กับระบบ “SIM” หรือระบบ “SEM” แต่เพียงอย่างเดียว หากขึ้นอยู่กับการปรับแต่งโครงสร้าง
พื้นฐานและเครื่องแม่ข่ายต่างๆ ให้เหมาะสมและสอดคล้องกับข้อมูลจราจรตามที่ประกาศของกระทรวงฯ ได้กำหนดไว้หรือไม่

 
 

7. ปัญหาความไม่เข้าใจประเภทของบริการที่องค์กรต้องจัดเก็บข้อมูลจราจรว่าต้องจัดเก็บอะไรบ้าง และต้อง
จัดเก็บมากน้อยเพียงใด

สาเหตุ
ประกาศกระทรวงฯ ได้กำหนดให้ข้อมูลจราจรทางคอมพิวเตอร์ที่องค์กรต้องจัดเก็บนั้น แบ่งออกเป็น 6 ประเภทด้วยกัน
แต่รายละเอียดทางด้านเทคนิคเชิงลึกนั้น พ.ร.บ. ฯ และประกาศกระทรวงฯ ไม่ได้กำหนดไว้ ดังนั้นจึงทำให้หลายคน
เกิดความสับสนและไมแน่ใจว่าระบบที่องค์กรใช้ในการจัดเก็บ Log ในองค์กรนั้น ถูกต้องตามประกาศกระทรวงฯ หรือไม่
ทางแก้ไข
ก่อนอื่นต้องทำความเข้าใจถึงข้อมูลที่เกิดจากบริการทั้ง 6 รูปแบบ ที่ประกาศกระทรวงฯ ได้กำหนดให้องค์กรทั่วไปเก็บข้อมูล
จราจรไว้ไม่น้อยกว่า 90 วัน ได้แก่

  • ข้อมูลที่เกิดจากการพิสูจน์ตัวตน (Authentication) ผ่านทาง Firewall หรือ Proxy Server เพื่อใช้งานระบอินเทอร์เน็ต
    ซึ่งปกติองค์กรควรมีระบบ Directory  Service  รองรับเสียก่อน เช่น ระบบ Microsoft  Active Directory หรือ LDAP
    Server
  • ข้อมูลที่เกิดจากการรับ-ส่งและการเข้ามาอ่าน e-Mail จาก Mail Server โดยองค์กรสามารถเก็บข้อมูลจราจรที่ไม่รวม
    Payload ของ e-Mail ได้จากตัว Mail Server เองหรือจาก Mail Gateway ส่งมาเก็บยังระบบ Centralized Log
    Management ถ้ายังใช้ POP3 และ IMAP4 อยู่ ต้องเก็บข้อมูลจราจรด้วย
  • ข้อมูลที่เกิดจากการรับ-ส่ง ไฟล์ข้อมูล ยกตัวอย่างเช่น ที่ FTP Server เราสามารถเก็บข้อมูลจราจรได้จาก Log
    ที่เกิดจากตัว FTP Server โดยตรง และข้อมูลจราจรทั้งหมดควรถูกส่งจาก FTP Server เข้ามาเก็บในระบบ
    Centralized Log  Management 
  • ข้อมูลที่เกิดจากการเข้าถึง Content ใน Web Server โดยปกติแล้วข้อมูลจราจรที่เก็บอยู่ใน Web Server ในรูปแบบ
    ของ http log จะเก็บได้เฉพาะข้อมูล URI ที่เกิดจาก Method “GET” เท่านั้น ทำให้ได้ข้อมูลจราจรไม่ครบถ้วน โดย
    ข้อมูลจราจรดังกล่าวเพียงพอต่อการปฎิบัติตามข้อกำหนดของประกาศกระทรวงฯ แต่ไม่เพียงพอต่อการนำข้อมูล
    ไปวิเคราะห์การโจมตี Web Site ขององค์กร วิธีการแก้ปัญหาคือการใช้ WAF (Web Application Firewall) นำไป
    วางไว้หน้า Web Server ในลักษณะของ “Reverse Proxy” จะทำให้สามารถเก็บข้อมูลการเข้าถึง Web Server
    ได้ครบถ้วน เพื่อให้สามารถนำข้อมูลไปวิเคราะห์การโจมตี Web Server และ Web Application (หมายเหตุ :
    การวิเคราะห์การโจมตี Web Site โดยใช้ข้อมูล http log จาก Web Server โดยตรงนั้นไม่ค่อยได้ผลเท่าใดนัก
    เนื่องจากข้อมูลไม่เพียงพอในการวิเคราะห์ ทำให้การเฝ้าระวังของ MSSP ไม่ได้ผลเท่าที่ควร หากไม่มีการติดตั้ง
    WAF จึงควรพิจารณาเรื่องการติดตั้ง WAF เพิ่มเติมด้วย)
  • ข้อมูลที่เกิดจากการใช้โปรแกรมประเภท Instant Messaging เช่น MSN หรือการใช้งานโปรแกรม Internet Relay
    Chat (IRC) สามารถจัดเก็บ Log ได้ที่ Firewall (บางรุ่น บางยี่ห้อ) หรือที่ Proxy Server (บางรุ่น บางยี่ห้อ เช่นเดียว
    กัน)
  • ข้อมูลที่เกิดจากการใช้โปรแกรมประเภท Usenet หรือ Newsgroups (NNTP Protocol) ในปัจจุบันองค์กรส่วนใหญ่
    ไม่ค่อยได้ใช้แล้ว จึงไม่พบปัญหาในข้อนี้

8. ปัญหาที่ผู้บริหารระบบสารสนเทศไม่สามารถแยกความแตกต่างระหว่าง “SIM” และ “MSSP” ได้
สาเหตุ
บริษัท System Integrator (SI) ในปัจจุบันสามารถจัดจำหน่ายและติดตั้งได้ทั้งระบบ “SEM” และระบบ “SIEM” แต่บริษัท SI
โดยทั่วไปมักจะไม่มีบุคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล (CISSP, SSCP หรือ SANS GIAC) ในการวิเคราะห์
ความผิดปกติและการโจมตีจากแฮกเกอร์ในลักษณะ “รายวัน” ซึ่งจะต้องมีบุคลากรที่ “Dedicate” ในการให้บริการสำหรับ
ลูกค้าแต่ละราย ซึ่งบริษัทที่ให้บริการ Outsource หรือ Managed Security Services Provider (MSSP) ต้องมีการจัดเตรียม
บุคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลในการวิเคราะห์ (Security Analyst) ไว้วิเคราะห์ข้อมูลจราจรที่เข้ามาในลักษณะ
“Real-Time” อีกทั้งยังต้องติดต่อประสานงานกับลูกค้าในกรณีเกิดความผิดปกติขึ้นในระบบตามระยะเวลาที่ตกลงกันไว้ตาม
Service Level Agreement (SLA) ดังนั้นการใช้บริการจาก MSSP ที่มีความพร้อม จึงตรงจุดประสงค์มากกว่าการใช้บริการ
จากบริษัท SI ที่ไม่มีความพร้อมด้านบุคลากรดังกล่าว แต่ถ้าหากบริษัท SI สามารถจัดทีมงานบุคลากรผู้เชี่ยวชาญในการ
เฝ้าระวังและวิเคราะห์เหตุการณ์ผิดปกติให้กับองค์กรในลักษณะรายวันได้ การใช้บริการของบริษัท SI ก็จะมีลักษณะคล้ายกับ
การบริการของ MSSP ไปโดยปริยาย หากแต่วัตถุประสงค์หลักของบริษัทนั้นแตกต่างกัน
ทางแก้ไข
หากองค์กรต้องการผลการวิเคราะห์เหตุการณ์ผิดปกติแบบรายวันโดยผู้เชี่ยวชาญเฉพาะทางด้านความปลอดภัยข้อมูล ควรใช้
บริการจาก MSSP น่าจะตรงวัตถุประสงค์มากกว่า แต่ถ้าหากต้องการเพียงการติดตั้งระบบ “SEM” หรือ “SIEM” แต่ไม่รวมการ
บริการเฝ้าระวังและวิเคราะห์การโจมตี การใช้บริการจาก SI ก็สามารถที่จะทำได้เช่นกัน

 
 

9. ปัญหาที่ผู้บริหารระบบสารสนเทศคิดว่า “MSS” หรือ “Managed  Security Services” ก็คือการจัดซื้อระบบ
“SIM” พร้อมบริการเฝ้าระวัง

สาเหตุ
การใช้บริการ MSS จาก MSSP นั้น ทาง MSSP จะมีหน้าที่ความรับผิดชอบในการจัดเตรียมระบบ SIM ทั้งฮาร์ดแวร์และ
ซอฟฟ์แวร์ในการให้บริการกับผู้ใช้บริการ โดยที่ผู้ใช้บริการไม่จำเป็นต้องลงทุนซื้อระบบ “SIM” แต่อย่างใด  ปัญหาก็คือ
ทางผู้บริหารระบบสารสนเทศบางท่านยังไม่เข้าใจแนวคิดนี้ เลยคิดว่าการที่องค์กรลงทุนซื้อระบบ “SIM” เอง และจ้าง
ผู้เชี่ยวชาญเฝ้าระวังนั้นเปรียบเหมือนกับการใช้บริการจาก MSSP ซึ่งจริงๆ แล้วมีความแตกต่างกันอย่างที่กล่าวมาแล้ว
ทางแก้ไข
ต้องถามความต้องการขององค์กรก่อนว่าต้องการใช้บริการการเฝ้าระวังเหตุการณ์ผิดปกติ และการวิเคราะห์ Log จากผู้
เชี่ยวชาญอย่าง MSSP ในลักษณะ “Outsource” หรือไม่  ถ้าวัตถุประสงค์ขององค์กร ไม่ต้องการเฝ้าระวังโดยใช้บุคลากร
ขององค์กรเอง การจ้าง MSSP เป็นทางออกที่ดีที่สุด แต่หากองค์กรจัดซื้อระบบ “SIM” เอง องค์กรต้องลงทุนค่อนข้างสูง
ใช้งบประมาณหลักล้านบาทขึ้นไป และยังต้องใช้ผู้เชี่ยวชาญเฉพาะทางซึ่งเป็นบุคลากรขององค์กรเองในการใช้งานระบบ
“SIM” ให้เกิดประสิทธิภาพให้มากที่สุด ทำให้เกิดค่าใช้จ่ายในการเพิ่ม Head Count และ การจัดจ้างบุคลากรเฉพาะทาง
ในรูปแบบการจ้างเป็นพนักงานประจำอีกด้วย จะเห็นได้ว่าหากมองในรูปของความคุ้มค่าในการลงทุนและการบริหารความ
เสี่ยงแล้ว การ “Outsource” ดูจะเป็นทางออกที่ลงตัวที่สุด

10. ปัญหาความไม่ตระหนักในการปฏิบัติตาม พ.ร.บ. ฯ และความไม่ชัดเจนของภาครัฐในการบังคับใช้ พ.ร.บ. ฯ
สาเหตุ
ปัญหานี้คล้ายกับปัญหาของผู้บริหารระดับสูงในข้อหนึ่ง แต่ต่างกันตรงที่ความไม่ตระหนักในการปฏิบัติตาม พ.ร.บ. ฯ เกิดขึ้นกับพนักงาน
ทุกคน ในองค์กรไม่เฉพาะผู้บริหารระดับสูงเท่านั้น
ทางแก้ไข
วิธีการที่ดีที่สุดในการแก้ไขปัญหานี้ก็คือ การจัดฝึกอบรมให้ความรู้เรื่องกฎหมาย พ.ร.บ. ฯ และประกาศกระทรวงฯ ให้แก่พนักงานในองค์กร
ให้รับทราบโดยทั่วกัน ในรูปแบบของการจัดการอบรม “Information Security Awareness Training” โดยใช้ระยะเวลาประมาณ 3-6 ชั่วโมง
พร้อมอธิบายตัวอย่างและกรณีศึกษาประกอบการบรรยายตัวบทกฎหมาย จะทำให้พนักงานในองค์กรเกิดความเข้าใจมากขึ้น ซึ่งจะส่งผลให้
พนักงานปฏิบัติตาม พ.ร.บ. ฯ ได้อย่างมีประสิทธิภาพ โดยเกิดจากความเข้าใจของพนักงานเองหลังจากการฝึกอบรมดังกล่าว

บทความโดย:
อาจารย์ปริญญา หอมเอนก,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center

 
 



   

Copyright © BB Broadband Co., Ltd. All Rights Reserved Disclaimer.