เก็บ Log ได้ตาม “มาตรฐาน” พรบ. หรือเปล่า?

หนึ่งในเหตุยอดนิยมให้คนหันมาใช้ Mikrotik คือ ต้องการเก็บ “Log” ตาม พรบ. อาชญากรรมคอมพิวเตอร์ เพราะไม่อยากเป็นผู้รับความเสี่ยงจากการใช้งานที่สมัครเน็ตในชื่อเจ้าของแต่แชร์บริการให้คนอื่นใช้ ยิ่งในธุรกิจที่ผู้ใช้งานไม่ใช่พนักงาน แต่เป็นที่พักอย่างอพาร์ทเม้นท์ หรือร้านกาแฟ อันนี้ใครบ้างก็ไม่รู้

แต่อีกคำถามที่เจอประจำก็คือ “Log ของ Mikrotik ได้มาตรฐาน พรบ ไหม” – แล้วก็มีกลุ่มคนที่รู้ว่าถ้าตอบว่า “ไม่” ลูกค้าก็พร้อมจะทิ้งไปหาทางเลือกอื่นทันที โดยไม่มีอะไรต้องคุยต่อ และถ้าตอบว่า “ใช่” แถมราคาย่อมเยาไม่กี่พันบาท ตัวเองก็ได้งาน ลูกค้าก็สบายใจ “คิดว่า” ได้ Log ที่ได้ มาตรฐาน พรบ เอาไว้ใช้งาน

เราจะไม่ไปที่ความคิดเห็นกันนะครับ แต่ไปเส้น “ความรู้” และ “มาตรฐาน” ที่ถูกขีดไว้อย่างชัดเจนกันแล้วดีกว่า หลังจากรู้แล้ว เราจะมาดูทางเลือกกัน – ระบบเก็บ Log ที่ได้มาตรฐาน พรบ. ในราคาหลักพัน ณ วันที่เขียนโพสต์นี้ “ยังไม่เกิดขึ้นในโลกนี้” – มาตรฐานเก็บ Log ไม่ใช่เรื่องลึกลับอะไร ณ วันที่เขียนโพสต์ คำว่ามาตรฐานของการเก็บ Log นั้นมีการระบุชัดเจนว่ามีรายละเอียดอะไรบนมาตรฐานที่ชื่อว่า NTS-4003.1-2560 (มศอ. ๔๐๐๓.๑-๒๕๖๐) สามารถโหลดมาอ่านกันได้ (มีลิงค์ให้โหลดอยู่ด้านล่าง) ซึ่งจะเห็นว่าไม่ได้แค่เก็บ แต่ต้องมีเรื่องการจำกัดการเข้าถึงข้อมูลที่เก็บ ว่าจะต้องเป็นผู้ได้รับอนุญาตเท่านั้น จะมีเรื่องการของพิสูจน์ได้ของความสมบูรณ์ถูกต้องว่าข้อมูลไม่ถูกเปลี่ยนแปลงแก้ไข มาตรฐานการปรับตั้งเวลาอ้างอิงกับมาตรฐานระดับชาติ ฯลฯ ถ้าต้องการซื้อระบบเก็บ Logs ให้แน่ใจว่าได้มาตรฐาน ให้ขอสำเนาเอกสารใบรับรองผลการทดสอบจาก NECTEC จากผู้ขายดูครับ

แล้วผู้ประกอบการรายเล็กมีทางเลือกอะไรบ้าง? เนื่องเป็นของกฏหมาย การทำย่อมเสี่ยงน้อยกว่าไม่ทำ ซึ่งสิ่งที่นิยมทำกันจะแบ่งออกเป็น 2 เรื่อง ที่บางคนก็เลือกจะทำอย่างเดียวแล้วคิดว่าใช้ได้แล้วเช่นกัน โดยเรื่องแรกคือ บันทึกการใช้งาน ว่ามีการติดตั้งระหว่าง IP Address ระบบของเรากับระบบภายนอกวันไหนเวลาอะไรบ้าง ส่วนอีกระบบคือการจับคู่ IP Address กับบุคคลที่ใช้งาน ซึ่งหลายๆ คนทำแต่ในส่วนแรก เข้าใจว่า มี mac address ที่บันทึกไว้พึ่งพาได้ ซึ่งไม่ใช่เลย ดังนั้นกรณีนี้มีข้อมูลก็จริงแต่ระบุตัวตนไม่ได้ว่าใคร ส่วนเรื่องที่สองคือการระบุตัวตนที่ตรงนี้บางทีธุรกิจขนาดเล็กไม่อยากทำ ธุรกิจบางอย่างเช่น ที่พัก โรงแรม จะมีรายละเอียดของแขกที่เข้ามาพักอยู่แล้ว อันนี้ระบุตัวตนกันไม่ยากนัก แต่อย่างร้านกาแฟ ยุคนี้ถ้าลูกค้าที่อยากใช้ Wifi ถึงกับต้องให้รายละเอียดบนบัตรประชาชนคงโดนมองค้อนแล้วค้อนอีก ถึงทำ hotspot บอกได้ว่า account ไหนเป็นคนใช้งาน แต่ถ้าวันหนึ่งเกิดงานเข้าแล้วไม่สามารถระบุว่า account นั้นบุคคลใดเป็นผู้ใช้ ยังไงเจ้าของก็ยังต้องรับผิดชอบอยู่ดี

จะเห็นว่าเรื่อง log ประเด็นเอามาใช้ไม่ใช่เรื่องเทคนิคเลย แต่จะเป็นงบประมาณ และการจัดการหน้างานเพื่อจับคู่บุคคลกับข้อมูล log ที่เก็บไว้ให้อ้างอิงกันได้ซะมากกว่า

ลิงค์เพื่อโหลดเอกสาร รายละเอียดมาตรฐาน ระบบเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ มศอ. 4003.1 – 2560 / NTS 4003.1 – 2560