การกระทำความผิดเกียวกับคอมพิวเตอร์

เสวนา พรบ.ว่าด้วยการกระทำความผิดเกียวกับคอมพิวเตอร์

Public September 26th, 2008

ในงานมหกรรมซอฟต์แวร์โอเพนซอร์สแห่งชาติครั้งที่ 8 (25 กันยายน 2551) ซึ่งจัดพร้อมกับงานประชุมวิชาการประจำปีของเนคเทค 2008 มีรายการเสวนา พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และ Central Log Server ซึ่งมีแขกรับเชิญ 3 ท่านคือ ร.ต.ท.ดรัณ จาดเจริญ สว.กลุ่มงานตรวจสอบฯ ศูนย์ตรวจสอบและวิเคราะห์การกระทำความผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ คุณสถาพร สอนเสนา จากกลุ่มงานนิติกร สำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร และคุณสว่างพงศ์ หมวดเพชร จากบริษัทไอทีเบเกอรี่ เป็นหนึ่งในผู้ที่ได้พัฒนาผลิตภัณฑ์และจัดอบรมการทำ Central Log Server ด้วยตนเอง โดยที่ พรบ.แล้วก็ยังติดใจหลายประเด็น ก็ได้โอกาสซักถามในประเด็นต่าง ๆ ที่ตนสงสัย และเพื่อกันลืม และเป็นข้อมูลให้ผู้อื่นได้รับทราบด้วย ขอลิสต์เป็นประเด็นไปดังนี้

·         ทำไมต้องมี พรบ.นี้ – เพราะการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มีลักษณะที่ต่างไปจากการกระทำความผิดอื่น ๆ เช่น ผู้กระทำความผิดสามารถทำในที่ลับไม่ให้ใครเห็นได้อย่างง่ายดาย ไม่ต้องเปิดเผยตัว พฤติกรรมการกระทำก็ไม่ชัดเจนเหมือนความผิดอื่น ๆ เช่น การขโมยปากกา ก็คือการนำเอาปากกาของผู้อื่นไปเป็นของของตน ปากกาของผู้เสียหาย ก็เห็นได้ขัดเจนว่าไปอยู่กับผู้กระทำความผิด ในขณะที่การขโมยข้อมูลในคอมพิวเตอร์นั้น ข้อมูลเดิมยังอยู่ แต่ผู้กระทำความผิดได้ลักลอบสำเนาออกไปด้วยวิธีกาาต่าง ๆ โดยหาหลักฐานแทบไม่ได้เลย การมีพรบ.นี้ทำให้การกระทำดังกล่าวสามารถระบุความผิดได้ชัดเจนยิ่งขึ้น

·         ทำไมต้องเก็บข้อมูลการจราจรทางคอมพิวเตอร์ – เพื่อใช้ประโยชน์ในการสืบสวนสอบสวน และใช้เป็นพยานหลักฐานการเอาผิด ถ้าไม่เก็บ ก็สืบหาผู้กระทำความผิดไม่ได้ จับได้ก็ไม่มีหลักฐาน

·         อะไรบ้างที่จะถูกใช้เป็นหลักฐานในการเอาผิด – 1.เนื้อหา เช่นภาพที่อัพโหลดขึ้นเว็บ ข้อความที่โพสต์ 2. ข้อมูลการจราจรทางคอมพิวเตอร์ 3. การระบุตัวตน เช่น ณ เวลาดังกล่าว ใครเป็นผู้ใช้คอมพิวเตอร์ที่เป็นหมายเลขไอพีดังกล่าว ซึ่งการเก็บเวลาที่แม่นยำตรงกัน จะช่วยให้ระบุตัวตนได้ถูกต้อง

·         IT Policy – ในองค์กรต้องกำหนด IT Policy ให้ชัดเจนเพื่อให้ผู้ปฏิบัติงานมีความระมัดระวังการใช้คอมพิวเตอร์ที่ปลอดภัยขึ้น เช่นการใช้งานคอมพิวเตอร์ที่มีการใช้ร่วมกัน เมื่อใช้เสร็จต้องล็อกเอาท์ทุกครั้ง เพื่อป้องกันคนอื่นสวมรอยใช้งานในชื่อเรา เป็นต้น

·         ถ้าไม่มีเหตุการกระทำความผิดฯ จะมีเจ้าหน้าที่เข้ามาตรวจสอบการเก็บข้อมูลการจราจรทางคอมพิวเตอร์ และฟ้องเอาผิดหรือไม่ – ไม่มี ถ้าเราไม่เก็บข้อมูลการจราจรทางคอมพิวเตอร์ เจ้าหน้าที่จะไม่ทราบเลย จนกระทั่งมีเหตุการกระทำความผิดฯ เกิดขึ้น แล้วเจ้าหน้าที่ขอเรียกดูข้อมูลจากเรา แล้วเราไม่มีให้ เราก็มีความผิดทันที (ประเด็นนี้ยังติดใจอยู่ เพราะเหมือนว่าจริง ๆ แล้วเจ้าหน้าที่มีเพียงไม่กี่คน ไม่ว่างที่จะไปไล่ตรวจสอบด้วยอีกเหตุหนึ่ง)

·         ผลิตภัณฑ์สำหรับจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ที่อ้างว่าได้รับการรับรองจากกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เป็นเช่นนั้นจริงหรือไม่ – ไม่จริง กระทรวงฯ ไม่เคยรับรองและไม่มีนโยบายจะรับรองผลิตภัณฑ์จัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ใด ๆ ถ้ามีแสดงว่าแอบอ้างเพื่อประโยชน์ทางการค้า

·         แล้วจะทราบได้อย่างไรว่าผลิตภัณฑ์ฯ ดังกล่าว ทำงานได้ถูกต้องจริง – ให้อ้างอิงจาก พรบ.และประกาศที่เกี่ยวข้อง ว่าคุณสมบัติของผลิตภัณฑ์เป็นไปตาม พรบ.และประกาศหรือไม่ (ผู้ขายต้องรับรองผลิตภัณฑ์ตัวเอง ว่างั้นเถอะ)

·         จำเป็นต้องซื้อผลิตภัณฑ์ฯ หรือไม่ – ไม่จำเป็น สามารถทำเองได้โดยใช้เครื่องมือที่เป็นโอเพนซอร์สทั้งหมด โดยต้องลงทุนศึกษา หรือเข้าอบรมก็ทำได้ แต่ถ้าจะให้สะดวก จะใช้บริการจากผู้ให้บริการ ต่าง ๆ ก็ได้

·         การทำให้ข้อมูลการจราจรทางคอมพิวเตอร์เชื่อถือได้ ทำอย่างไร – ใน พรบ. ไม่ได้กำหนดว่าทำอย่างไร ขึ้นอยู่กับเทคนิคและความเหมาะสม เช่นการแยก Server กับ Central Log ออกจากกัน การ sign key ใน archive ของ log หรือแม้แต่เก็บ log ตามปกติแต่มีขั้นตอนระเบียบวิธีปฏิบัติที่เชื่อถือได้ว่าไม่มีการดัดแปลงแก้ไข

·         ในการสืบสวน หรือแสดงพยานหลักฐานในศาล จะมีการตรวจสอบหรือไม่ว่าข้อมูลดังกล่าวได้รับการจัดเก็บอย่างน่าเชื่อถือจริง – โดยปกติจะไม่ตรวจสอบ ถือว่าผู้จัดเก็บข้อมูลเป็นพยาน ไม่มีส่วนได้ส่วนเสียในการกระทำความผิด เมื่อแสดงพยานหลักฐานอย่างไร ตำรวจ และศาลจะเชื่อตามนั้น ยกเว้นมีเหตุอันเชื่อได้ว่า ผู้จัดเก็บข้อมูลดังกล่าว อาจจะเกี่ยวข้อง รู้เห็นเป็นใจ หรือมีส่วนได้ส่วนเสียกับการกระทำความผิดดังกล่าว หรือถูกสงสัยว่าเป็นผู้กระทำความผิดเสียเอง

·         การจัดเก็บข้อมูลการจราจรด้วยวิธี sniff สามารถใช้ได้หรือไม่ – ไม่แนะนำให้ใช้วิธีดังกล่าว เนื่องจากเสี่ยงต่อการขัดต่อมาตราอื่นบางมาตรา ซึ่งจะทำให้ไม่สามารถนำมาใช้เป็นพยานหลักฐานได้ และมีเทคนิคอื่น ๆ ที่ไม่ต้องใช้วิธีการ sniff

·         ร้านอินเทอร์เน็ตคาเฟ่ ควรจัดเก็บข้อมูลอย่างไร – 1. จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามปกติ (คือยังไงก็ต้องมี gateway ที่เก็บ log อยู่ดี) 2. ผู้ใช้บริการต้องแสดงบัตรให้เจ้าหน้าที่ลงบันทึกหมายเลขบัตร และบันทึกเวลาใช้งาน เครื่องที่ใช้ทุกครั้ง ชาวต่างชาติก็ต้องแสดงพาสปอร์ต

·         ทำไมร้านเน็ตฯ ถูกเพ่งเล็งเป็นพิเศษ – ร้านอินเทอร์เน็ตคาเฟ่เป็นสถานที่สาธารณะที่มีคนเข้าออกเยอะ ถ้าร้านไหนไม่เข้มงวดเรื่องการจัดเก็บข้อมูลจะเป็นแหล่งให้ผู้กระทำความผิดเลือกใช้เป็นที่ก่อเหตุได้

·         ประเด็น Free Wi-Fi – 1. Free Wi-Fi ควรมีการออกรหัสให้ผู้ใช้ที่มีการลงทะเบียนด้วยหมายเลขบัตรฯ เท่านั้น มิฉะนั้นจะเป็นแหล่งเอื้อให้กระทำความผิดได้ 2. ระวัง Free Wi-Fi ปลอม ที่แอบเปิดให้บริการเพื่อดักจับ ID และรหัสผ่าน โดยเฉพาะที่ตั้งชื่อเลียนแบบ Wi-Fi อื่น ๆ แถว ๆ นั้น

                                 ฝากให้รับฟังไว้ครับ เพราะหลายประเด็นไม่ได้ระบุชัดเจนใน พรบ. ซึ่งอาจจะมีแนวทางปฏิบัติเปลี่ยนไปในอนาคตก็ได้

ขออนุญาตเจ้าของบทความนี้ เพื่อนำมาเผยแพร่ด้วย