รับทำเว็บไซต์ ออกแบบเว็บไซต์ บริษัทรับทำเว็บไซต์ รับดูแลเว็บไซต์ ดูแลเว็บไซต์ จดโดเมน เว็บโฮสติ้ง ดูแลคอมพิวเตอร์ วางระบบ network ระบบรับจองออนไลน์ ระบบสนามกอล์ฟ web design responsive web design web responsive custom website design bespoke web design booking system web maintenance ecommerce website web design thailand web management website maintenance DiTC ดีไอทีซี ธรรมนิติ

ระวัง! ไม่เก็บข้อมูลการใช้งานอินเทอร์เน็ต โดนปรับสูงสุด 500,000 บาท

22 Aug 2019      เขียนโดย : Admin DiTC


 

          พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฉบับ 2560 ใหม่ล่าสุด ซึ่งนอกจากจะมีเนื้อหาที่เกี่ยวกับผู้ใช้งานแล้วยังมีส่วนที่เกี่ยวกับผู้ให้บริการอินเทอร์เน็ต ที่ครอบคลุมถึงหมายถึงบริษัทและหน่วยงานต่าง ๆ ที่มีบริการอินเทอร์เน็ตกับพนักงานและลูกค้า ดังนั้นการเก็บ Log File หรือ ข้อมูลการจราจรคอมพิวเตอร์ จึงเป็นเรื่องสำคัญที่ต้องดำเนินการให้ถูกต้องครบถ้วน เพื่อไม่สุ่มเสี่ยงกับกับการผิดกฎหมายนั่นเอง

ผู้ให้บริการมีความผิดเช่นเดียวกับผู้กระทำความผิด!
          พ.ร.บ. ฉบับนี้ระบุถึงโทษของผู้ให้บริการ และข้อยกเว้นหากทำตามประกาศจึงต้องไม่รับโทษ !


          พ.ร.บ. 2560 มาตรา 15
          “ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษ เช่นเดียวกับผู้กระทำความผิดตามมาตรา 14

          ให้รัฐมนตรีออกประกาศกำหนดขั้นตอนการแจ้งเตือน การระงับการทำให้แพร่หลายของ ข้อมูลคอมพิวเตอร์ และการนำข้อมูลคอมพิวเตอร์นั้นออกจากระบบคอมพิวเตอร์ ถ้าผู้ให้บริการพิสูจน์ได้ว่าตนได้ปฏิบัติตามประกาศของรัฐมนตรีที่ออกตามวรรคสอง ผู้นั้นไม่ต้องรับโทษ”


Log คืออะไร
          Log File ที่เรียกว่า ข้อมูลจราจรทางคอมพิวเตอร์ (ถ้าภาษาเข้าใจแบบง่าย ก็คือข้อมูลการใช้งานอินเทอร์เน็ต) เปรียบเสมือนกับ กล้องวงจรปิดCCTV ตามห้างสรรพสินค้า ที่มีไว้คอยบันทึกเหตุการณ์ต่าง ๆ หรือเอาไว้ตามจับคนร้าย เช่นเดียวกันกับการใช้งานอินเทอร์เน็ตก็ต้องมีสิ่งที่คอยบันทึกกิจกรรมต่าง ๆ ที่เราใช้งานบนระบบคอมพิวเตอร์ เพื่อใช้เป็นหลักฐานประกอบในการดำเนินคดีของคนร้ายที่กระทำผิดในระบบคอมพิวเตอร์ และยังช่วยวิเคราะห์เหตุการณ์ต่าง ๆ เพื่อป้องกันไม่ให้เกิดเหตุอันไม่ปกติแบบนั้นขึ้นอีกในภายหลัง โดยผู้ให้บริการต้องเก็บข้อมูลไว้ไม่น้อยกว่า 90 วัน


          พ.ร.บ. 2560 มาตรา 26
          “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทาง คอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้น เข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีเป็น พนักงาน เจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทาง คอมพิวเตอร์ไว้เกินเก้าสิบวัน แต่ไม่เกินสองปีเป็นกรณีพิเศษ เฉพาะรายและเฉพาะคราวก็ได้”


จัดเก็บ Log อย่างไรให้ครบถ้วน
          ในการเก็บ Log จะต้องสามารถระบุได้ว่า ใคร ทำอะไร ที่ไหน เมื่อไหร่ อย่างไร อีกทั้งยังต้องบ่งบอกเส้นทางการเรียกดูของข้อมูล เช่น ตำแหน่งของเว็บเพจ ซึ่ง Log ที่มีข้อมูลเหล่านี้สามารถเก็บได้จากอุปกรณ์ดังต่อนี้
          1. AAA Server เป็นอุปกรณ์ที่ให้บริการเก็บข้อมูลเกี่ยวผู้ใช้งานและ ระบุตัวตนในการเข้าใช้งานระบบในองค์กร เช่น Microsoft AD และ Radius ฯลฯ
          2. Email Server เป็นเซิร์ฟเวอร์ซึ่งให้บริการรับส่งอีเมล เช่น Microsoft Exchange, Linux, sendmail ฯลฯ
          3. File Server คือบริการที่ใช้ในการรับส่งข้อมูล ระหว่างผู้ใช้งานกับ Server เช่น FTP เป็นต้น
          4. Web Server เป็นเซิร์ฟเวอร์ที่ให้บริการฝากข้อมูลเว็บไซต์ เช่น APACHE เป็นต้น
          5. Router & Firewall เป็นอุปกรณ์ที่ใช้ในเชื่อมต่อระหว่างผู้ใช้งานอินเทอร์เน็ต กับระบบเครือข่ายอย่างหนึ่ง
          6. Proxy คืออุปกรณ์ที่ใช้เป็นตัวกลางระหว่าง ผู้ใช้งานอินเทอร์เน็ตกับ Web Server ซึ่งทำให้ผู้ใช้งานเข้าถึงข้อมูลเว็บไซต์ได้เร็วขึ้น เช่น Squid

 เห็นอุปกรณ์ทั้ง 6 ประเภทแล้ว หลายคนอาจจะงง ๆ อยู่ว่าทำไมถึงต้องเก็บ Log จากอุปกรณ์เหล่านี้ด้วย เราจะชี้แจงให้ดูเป็นข้อ ๆ

          1. หมายเลข MAC Address และ Username ของคนที่ใช้คอมพิวเตอร์เชื่อมต่ออินเทอร์เน็ต จากอุปกรณ์ Network Access Server or AAA server
          2. สถานะการส่งอีเมล ได้แก่ Email Account ของผู้รับและผู้ส่ง เวลารับและส่งอีเมล หัวข้ออีเมลของผู้รับและผู้ส่ง หมายเลข IP Address ของผู้รับและผู้ส่ง ทั้งนี้ ข้อมูลในส่วนนี้ไม่ได้รวมถึงเนื้อหาภายในอีเมล จาก Email Server
          3. สถานะการส่งไฟล์หากันระหว่างผู้ใช้ จาก FTP Server
          4. การใช้งานเว็บของ User จาก Web Application Server
          5. หมายเลข IP Address คอมพิวเตอร์ของผู้ใช้งาน (User) จากอุปกรณ์ Firewall or NAT Device
          6. เวลาที่ผู้ใช้งานทำการ Sign In เข้าสู่ระบบ Internet และเวลาที่ Sign Out จากระบบ Internet จากอุปกรณ์ Firewall or NAT Device
          7. หมายเลข IP Address Domain name และ URL Address จากอุปกรณ์ proxy server

  ทั้งนี้คงต้องดูว่าบริษัทหรือหน่วยงานมีความจำเป็นที่จะต้องเก็บข้อมูล Log File ประเภทไหน จึงจะได้เลือกใช้งานได้อย่างเหมาะสม 

ไม่เก็บ Log ผิดกฎหมายจริงหรือ?
          คำตอบคือจริง หากไม่เก็บ Log นอกจากจะถือว่าไม่ปฏิบัติตามตามกฎหมายแล้ว ยังโดนปรับไม่เกิน 500,000 บาท และปรับต่อเนื่องวันละไม่เกิน 5,000 บาท จนกว่าจะปฏิบัติได้อย่างถูกต้อง และยังส่งผลต่อภาคธุรกิจในหลาย ๆ ด้าน โดยที่ผ่านมาได้มีผู้กระทำผิดในระบบคอมพิวเตอร์ที่ก่อให้เกิดความเสียหาย ต่อบุคคล และองค์กร รวมทั้งความมั่นคงของประเทศ

          อ่านมาถึงตรงนี้คงพอสรุปได้ว่าการเก็บ Log หรือ Log file ถือเป็นพื้นฐานทั่วไปของการดูแลรักษาความปลอดภัยด้านไอทีของบริษัท นอกจากจะต้องปฏิบัติตามกฎหมายพ.ร.บ.คอมพิวเตอร์และลดความเสี่ยงกับการทำผิดกฎหมาย เพราะกฎหมายคุ้มครองผู้ให้บริการไว้เมื่อทำตามอย่างครบถ้วนและถูกต้อง

          การเก็บ Log ยังมีประโยชน์และช่วยเหลืองานด้านไอทีอีกมากมาย เช่น การแจ้งเตือนภัยการโจมตี การตรวจจับภัยโจมตี cyber การวิเคราะห์การใช้งานอินเทอร์เน็ต และยังรายงานพฤติกรรมการใช้อินเทอร์เน็ตของคนในองค์กรได้อีกด้วย
          สนใจปรึกษาเรื่องการเก็บ Log File ให้เหมาะสมกับการใช้งานขององค์กรและบริษัทของคุณ กับทีมงาน IT ที่เชี่ยวชาญของ DITC ติดต่อ 02-555-0999 หรือ contact@ditc.co.th

 

--------
ข้อมูลอ้างอิง
http://ilog.ai/log-file-to-comply-thai-cyber-law/
https://ilog.ai/what-is-log/
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/A/010/24.PDF

หมวดหมู่