บทความต่อไปนี้เป็นทัศนะคติส่วนตัวของทีมงาน SRAN คนหนึ่ง ถึงกรณีการที่กระทรวงไอซีทีจะนำ sniffer มาใช้ในการตรวจหาการละเมิดทรัพย์สินทางปัญญา จึงขอนำบทความนี้มาแสดงให้เห็นว่ายังมีอีกมุมหนึ่งที่น่าสนใจ และอยากให้ลองอ่านและวิเคราะห์ตามบทความต่อไปนี้
อ่านบทความเต็มที่ http://sran.org/gxครั้งแรกกะว่าจะไม่เขียนแล้วนั่งดูกระแสสังคมเงียบๆ และปล่อยให้เวลาเป็นตัวสร้าง ระดับการเรียนรู้ของผู้คนที่ใช้งานอินเตอร์เน็ตในประเทศไทยได้เรียนรู้ กันเอง แต่อดไม่ได้จึงขอเขียนบทความนี้ขึ้นมาสักหน่อยเผื่อว่าใครค้นหาเจอแล้วได้พบ ข้อมูลนี้ขึ้น และเผื่อว่าจะเพิ่มมุมมองอีกด้านหนึ่งให้เป็นที่รับรู้กัน
จาก ข่าวที่ออกมาว่า กระทรวงเทคโนโลยีและการสื่อสาร หรือ ไอซีที นั้นได้ขอความร่วมมือจากภาคเอกชนในการแก้ไขปัญหาการละเมิดทรัพย์สินทางปัญญา บนเครือ ข่ายอินเทอร์เน็ต ออกใบอนุญาตให้กับผู้ประกอบการต้องติดตั้งอุปกรณ์ดักจับข้อมูลบนเครือข่าย อินเทอร์เน็ต หรือ Sniffer ไว้ที่เกตเวย์ด้วยเพื่อใช้ดักอ่านข้อมูลที่วิ่งบนระบบเน็ตเวิร์ค จนเกิดกระแสสังคมต่อต้านอย่างสูงจนเป็นประเด็นร้อนในสังคมออนไลท์เมืองไทยใน ช่วงอาทิตย์ที่ผ่านมา
ซึ่งทำให้สังคมออนไลท์มองว่าการนำ sniffer มาใช้นั้นจะผิดกฏหมายในมาตรา 8 ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และทำให้เป็นการละเมิดสิทธิส่วนบุคคล
หากแยกเป็นสองส่วนคือ เรื่องผิดกฏหมายในมาตรา 8 และเรื่องละเมิดสิทธิส่วนบุคคล
1. เรื่องผิดกฏหมาย
ซึ่งหากให้อธิบายในส่วนมาตรา 8 นั้นอาจกล่าวได้ว่าการกระทำผิดนั้นจะเกิดขึ้นได้ก็ต่อเมื่อการกระทำนั้นเกิดจากการกระทำโดยมิชอบด้วยกฏหมาย โดยดูที่เจตนาผู้ใช้เครื่องมือนี้เป็นหลัก จึงจะมีผลในมาตรา 8 หากชอบโดยกฏหมายแล้วนั้นการกระทำเช่นนี้ก็ไม่ผิด
ผม ขอสร้างความเข้าใจเพิ่มขึ้น สักนิด โดยการยกตัวอย่าง บริษัท ABC เป็นโรงงานแห่งหนึ่ง ออกกฏให้พนักงานต้องพิสูจน์ตัวตนก่อนใช้งานคอมพิวเตอร์และเชื่อมต่อ อินเตอร์เน็ต จากนั้นถ้าบริษัท ABC ได้จัดซื้อระบบ Monitoring System และประกาศให้พนักงานทุกคนรับทราบ ก็เพื่อดูพฤติกรรมการใช้งานผิดประเภทของพนักงานที่ใช้งานอินเตอร์เน็ต เช่น การส่งความลับบริษัทออกไปภายนอก , การติดไวรัสคอมพิวเตอร์การอินเตอร์เน็ตบราวเซอร์ เครื่องคอมพิวเตอร์ในเครือข่ายติด Spyware และเป็น botnet สร้างความเสียหายให้แก่บริษัทและชื่อเสียงองค์กร และอื่นๆ ที่พึ่งเป็นประโยชน์แก่องค์กร บริษัท ABC ซื้อระบบนี้ก็เพื่อป้องกันภัยที่อาจจะเกิดขึ้นในอนาคต คำถามว่าบริษัท ABC ทำผิด พรบ.คอมพ์ฯ หรือไม่ หากเราคิดเอาแต่ได้คือคิดฝั่งเราเองแต่อย่างเดียว ไม่เห็นอกเห็นใจ เจ้าของบริษัท ABC ผู้ที่ซื้อคอมพิวเตอร์ให้พนักงาน ให้เช่าสัญญาณอินเตอร์เน็ต จ่ายค่าไฟฟ้า ค่าลิขสิทธิ์ระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน และค่าซ่อมบำรุงต่างๆแล้วนั้น ก็แน่นอนอาจตีความหมายได้ว่าบริษัท ABC มีโอกาสผิด พรบ. แต่ในความเป็นจริงแล้ว ต้องบอกว่าบริษัท ABC ใช้ระบบ Monitoring System ซึ่งอาจใช้เทคนิคการ sniffer ก็ได้ แต่เป็นการทำโดยชอบ เพราะเขาได้ลงทุนระบบไปแล้ว และหากทำโดยชอบแล้วก็ไม่ถือว่าผิดมาตรา 8 ที่กล่าวมา กลับเป็นเรื่องดีเสียอีกที่ทำให้บริษัท ABC ไม่เสียโอกาสกับการทำ “Internal Threat” ที่ อาจจะเกิดขึ้นได้ทุกองค์กรที่มีการเชื่อมต่ออินเตอร์เน็ต คำตอบในข้อนี้คือหากทำจริงก็ไม่ถือว่าผิดกฏหมาย แต่ต้องตีความหมายใหม่ซึ่งผมจะอธิบายต่อไป
กลับมาสู่ประเด็น รัฐบาลจะใช้ sniffer เพื่อดูเรื่องละเมิดทรัพย์สินทางปัญญา นั้นควรทำหรือไม่ ?
ตอบ : ในส่วนตัวผมคิดว่า “ควรทำ” ด้วยมีเหตุผลสมทบ 3 เหตุ ดังนี้
1.1 หากจะทำควรให้ความรู้ประชาชนก่อน (User ผู้ใช้อินเตอร์เน็ต) ถึงพิษภัยบนโลกไซเบอร์ ว่าปัญหาการใช้ข้อมูลบนโลกอินเตอร์เน็ตนับวันยิ่งผู้ใช้งานมากขึ้น มากขึ้นๆ และมีทั้งคุณและโทษ โดยในด้านโทษนั้นจะเห็นได้ชัดว่าอินเตอร์เน็ตเป็นเหตุปัจจัยให้เกิดคดีต่างๆ มากมายเช่นกัน เช่น คดีหลอกหลวงคน จากการซื้อขายสินค้าในอินเตอร์เน็ต , คดีละเมิดทางเพศ ไม่เว้นแต่พระ , คดีหมิ่นประมาท , หรือจะเป็นการโจมตีระบบเครือข่ายจนไม่สามารถใช้งานได้ โดยปีที่แล้วก็มีข่าวอันโด่งดังคือ ข่าว DDoS/DoS ที่ประเทศเกาหลี จนเกาหลีไม่สามาถใช้อินเตอร์เน็ตได้ทั่วประเทศ แต่เกาหลีมีระบบ Monitoring ที่ดีจึงสามารถตรวจหาผู้โจมตีและเอาผิดดำเนินคดีได้ในระยะอันสั้น ถึงได้กล่าวว่าภัยเหล่านี้มีความถี่มากขึ้นๆ ซึ่งทุกวันนี้ ประเทศไทยเราเอง หากมีการกระทำผิดบนโลกอินเตอร์เน็ตและเป็นคดีความนั้น จะเป็นไปได้ยากมากในสืบหาผู้กระทำความผิด
ขอยกตัวอย่างกรณีแก๊งไนเจีย 419 ทาง FBI แจ้งมาที่ตำรวจไทยว่าแก๊งนี้อยู่ที่เมืองไทยโดยใช้ประเทศไทยเป็นฐานในการ หลอกลวง (Phishing) ผู้คนทั่วโลกผ่าน e-mail เชื่อหรือไม่ว่าตำรวจเรากว่าจะหาแก๊งนี้และจับได้นั้นใช้ความสามารถของคนและ โชค โดยแท้ และหาก FBI ไม่แจ้งมานั้นเราก็ไม่รู้หลอกว่าประเทศเราได้เป็นฐานของแก๊งนี้ใช้หลอกลวง ขึ้น เหมือนดังว่าประเทศของเรากลายเป็นแหล่งเพาะเชื้อโรคด้านอาชญากรรมข้ามชาติไป เลยในกรณีนี้
ดังนั้นวิธีอย่างหนึ่งที่จะช่วยให้สังคมอินเตอร์เน็ต สงบได้ก็คือทุกๆที่มีการให้บริการข้อมูลควรมีการเก็บ Log และ Log ที่เก็บต้องเป็นประโยชน์ในการสืบสวนมิใช่เป็น Log ที่อ่านยาก จนไม่รู้จะหาผู้กระทำผิดและเป็นหลักฐานได้อย่างไร อันที่จริงแล้วก็มีประกาศเป็นกฏหมายในมาตรา 26 ของ พรบ.คอมพ์ฯ แต่หลายๆครั้งเราก็พบว่าหลายก็ยังไม่ได้มีการเก็บ Log : ขออธิบายเสริมนอกเรื่อง ว่าในการเก็บ Log ที่ดีนั้นถ้าเลือกได้ Log Server ไม่ควรรับ Log มาจาก Router หรือ Switch เหล่านี้การพิสูจน์หาหลักฐานแล้วแทบไม่มีประโยชน์จาก Log เหล่านั้นเลย เนื่องจากโลกอินเตอร์เน็ตทุกวันเป็น Content Application มิใช่เพียงแค่ Network IP , ดังนั้น Log จาก Router หรือ Switch มีประโยชน์เพียงการดูความผิดปกติจากการโจมตี DDoS/DoS และการแพร่ไวรัสชนิดที่ยังไม่มีฐานข้อมูล หากจำเป็นต้องเก็บ Log (ภายในองค์กร) ควรเป็น Log จาก Firewall (UTM) หรือ Proxy หรือ NIDS/IPS และ AD (Active Directory) เป็นอย่างน้อย (อ่านเพิ่มเติมจากบทความเทคนิคการสืบหาผู้กระทำความผิด , สืบจาก Log ) แต่การเก็บบันทึก Log ก็ไม่ได้ซึ่งเหตุการณ์ที่ทันเวลา และไม่สามารถบังคับให้ทุกทีเก็บ Log ได้เหมือนกันหมดเพราะเหตุปัจจัยด้านการออกแบบทั้งระบบ Log Management เองและ ระบบ Network ซึ่งแต่ละที่มีการออกแบบที่แตกต่างกันอยู่ และที่สำคัญคือทุนในการจัดซื้อจัดจ้างเทคโนโลยี สุดท้ายคือบุคคลากร ที่ทำงานด้านนี้ต้องประสานกันได้
1.2 กระทรวงไอซีที ไม่ควรใช้คำว่า sniffer หากเป็นลักษณะการ Tap ข้อมูลก็ต้องอธิบายให้เข้าใจว่าไม่มีทางที่เอาข้อมูลมาได้ทั้งหมด หรือหากได้ทั้งหมดด้วยทุนมหาศาลแล้วนั้น ก็ไม่สามารถที่รู้ได้ว่าใครเป็นใคร ในโลกอินเตอร์เน็ตได้ นอกเสียจาก IP Address ผู้ใช้งานเท่านั้น ควรใช้คำว่า การทำ Lawful interception ที่หลายๆประเทศทั้งยุโรป อเมริกา และ ญี่ปุ่น เกาหลี และจีน ก็ทำกันทั้งนั้น
ผมขอให้ข้อมูลเพิ่มเติมว่า ในต่างประเทศเขาเรียกการทำแบบนี้ว่า Lawful Interception หากแปลเป็นไทยคือการตรวจสอบข้อมูลโดยชอบด้วยกฏหมาย ซึ่งในต่างประเทศจะต้องออกกฏระเบียบ เป็นกฏหมายขึ้นมาก่อน แล้วให้หน่วยงานกลางเป็นผู้ดูแลเรื่องเหล่านี้ ซึ่งจะมีประโยชน์กับ ISP หรือผู้ให้บริการ หากมีคดีความ และเหตุการณ์ด้านความมั่นคงฉุกเฉิน จะได้ไม่ต้องขอข้อมูลจาก ISP อีกต่อไป ตำรวจและเจ้าหน้าที่จะตรงไปที่หน่วยงานกลางที่จัดตั้งขึ้นมานี้ทันที
ซึ่ง หากเมืองไทยจะทำ กฏหมายเหล่านี้ นั้นมีอยู่แล้วในเรื่องความมั่นคงในราชอาณาจักร ทั้งกฏหมายไทย เช่นหน่วยงาน DSI หรือ หน่วยพิเศษทางทหารบางหน่วย ก็สามารถใช้กฏพิเศษเหล่านี้ได้ เพื่อจุดประสงค์ด้านความมั่นคงของชาติเป็นหลัก
1.3 กระทรวงไอซีที ควรมองเรื่องนี้ไปในทิศทางด้านความมั่นคงของสถาบันหลักของชาติไทยเป็นหลัก มากกว่าเรื่องละเมิดทรัพย์สินทางปัญญา เพราะหาก Implement สำเร็จ สิ่งที่ได้ตามมานั้นคือการ Trackback เรื่องละเมิดทรัพย์สินทางปัญญาได้อยู่แล้ว เป็นผลพ่วงทางอ้อม และสิ่งที่ได้มาจริงๆ นั้นก็เป็นเพียง IP Address ต้นทาง ที่ ISP จ่าย IP ให้ ไม่ได้รู้หลอกว่าเป็นใคร ซึ่งส่วนนั้นต้องไปตามกันต่อที่ระบบ Radius หรือระบบ Billing ที่จ่ายค่า account อินเตอร์เน็ตไปกับหมายเลขโทรศัพท์ซึ่งจะตามต่อได้แล้วว่าเป็นใคร ซึ่งมีกระบวนการทำงานอีกพอสมควร (ถึงแม้จะมี IPv6 ก็ตามขั้นตอนก็ไม่ได้แตกต่างไปเลย ยกเว้นบ้าง ISP ที่มีระบบ Inventory ดีๆ อาจจะ Trackback ได้ง่ายขึ้นโดยเฉพาะ พวกที่ใช้มือถือใช้งานอินเตอร์เน็ต เป็นต้น)
ใน ต่างประเทศให้ความสำคัญเรื่อง Lawful Interception มาก โดยเฉพาะประเทศที่มีบทเรียนด้านอาชญากรรมทางคอมพิวเตอร์มาแล้ว เช่น อเมริกา ทุกวันนี้หากกล่าวกันอย่างเต็มปากเต็มคำแล้ว ประเทศไทยเรายังโชคดีมาก ที่การใช้งานอินเตอร์เน็ตถือว่าเสรีมากๆ และไม่มีระบบระเบียบอะไรมาควบคุม และสาวตัวถึงต้นตอของการกระทำผิดผ่านทางอินเตอร์เน็ตได้ คือต้องอาศัยความสามารถส่วนบุคคลในการสืบ การติดต่อ ISP และการพิสูจน์หาหลักฐานในอินเตอร์เน็ตมากกว่าเทคโนโลยี อเมริกา จีน และประเทศในฝั่งยุโรป นั้นตรวจหมดใน Protocol ที่สำคัญ ไม่ว่าเป็น HTTP (Web) , SMTP , POP3 , Web Mail , VoIP อื่นๆ อเมริกาถึงขั้นตรวจภาพเพื่อตรวจหาการซ่อนข้อความไว้ในภาพ (Steganography) ที่ตรวจละเอียดจนไม่เหลือความเป็นส่วนตัวได้นั้นก็เพราะเขามีบทเรียนจาก เหตุการณ์ 9/11 มาแล้วว่าผู้ร้ายซ่อนข้อมูลในภาพและส่ง e-mail กัน
