การเก็บ Log ตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

สวัสดีครับ


วันนี้ผมขออนุญาติแนะนำคร่าวๆเรื่องการเก็บ Log ตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2560 ครับ แต่เนื่องจากเรื่องข้อกฏหมายพวกนี้ผมก็อาศัยจากการอ่าน และ ภาษากฏหมายนี้ก็น่ะ ต้องแปลจากไทยเป็นไทยอีก ถ้ามีข้อผิดพลาด ทางผมต้องขออภัยมา ณ.ที่นี้ด้วยครับ



ตามพระราชบัญญัติ หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ในมาตรา 3 เรื่อง "ข้อมูลจราจรทางคอมพิวเตอร์" หมายถึง ข้อมูลที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ แสดงถึงปหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณข้อมูล ระยะเวลาชนิดของบริการ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น


อ่า...ข้อมูลจราจรทางคอมพิวเตอร์ ก็คือ Log ครับ

ข้อกำหนดการเก็บ

ตามมาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ 

ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกิน 500,000 บาท 


สรุป เก็บ Log 90 วัน ถ้าเจ้าหน้าที่ให้เก็บเพิ่ม ต้องเก็บให้ได้ถึง 2 ปี ถ้าไม่ปฏิบัติ โดนไม่เกิน 5 แสน เรื่องติดคุกไม่มีบอก

ใครบ้างที่ต้องเก็บ Log

จากในเอกสาร อ้างตามมาตรา 26 ข้อ 5 --andgt; (1) --andgt; (ข) และ (ง)  หลักๆก็


ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
 
เช่น ผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider) ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม ในองค์กรต่างๆ เช่น หน่วยงานราชการ บริษัท หรือสถาบันการศึกษา

ง. ผู้ให้บริการร้านอินเทอร์เน็ต
 
เช่น ผู้ให้บริการร้านอินเทอร์เน็ต (Internet Cafe) ผู้ให้บริการร้านเกมออนไลน์ (Game Online)



สรุป ผู้ให้บริการตามข้อ 5 (1)  โรงแรม หอพัก ร้านอาหาร ที่มี Internet ให้ User ใช้ แบบนี้เรียกว่าผู้ให้บริการตามประเภท ข. และ ร้าน Internet Cafe เป็นผู้ให้บริการตามประเภท ง.  ต้องมีการเก็บ Log


ต่อ...

ข้อมูล Log ที่เราต้องเก็บ มันมีอะไรบ้าง

ผู้ให้บริการประเภท (1) ข.. 

ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย 

1) ข้อมูล Log ที่มีการบันทึกไว้เมื่อมีการเข้าถึงระบบเครือข่ายซึ่งระบุถึงตัวตนและสิทธิในการเข้าถึงเครือข่าย (Access Logs Specific to Authentication and Authorization Servers เช่น TACACS (Terminal Access Controller Access-Control System) or RADIUS (Remote Authentication Dial-In User Service) or DIAMETER (Used to Control Access to IP Routers or Network Access Servers)
2) ข้อมูลเกี่ยวกับวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (Date and Time of Connection of Client to Server)
3) ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID)
4) ข้อมูลหมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดให้โดยระบบผู้ให้บริการ (Assigned IP Address)
5) ข้อมูลที่บอกถึงหมายเลขสายที่เรียกเข้ามา(Calling Line Identification)

ผู้ให้บริการประเภท (1) ง.

- ข้อมูลที่สามารถระบุตัวบุคคล เวลาการเข้าใช้และเลิกบริการ หมายเลขเครื่องที่ใช้ หรือ IP Address



สรุป. โรงแรม หอพัก ร้านอาหาร ที่มี Internet ให้ User ใช้ ต้องมีการเก็บบันทึก User Name ไว้ และต้องรู้ว่า Username นั้นใครใช้งาน ได้ IP อะไรจาก DHCP Sever หรือ เป็น IP Address อะไร ในกรณีที่ Fix เอาไว้ รวมถึง วัน/เวลาที่ Login เข้ามา  


ยัง ยังมีข้อมูล Log ที่ต้องเก็บเพิ่มอีก 


ตามมาตรา 28 ข้อ 8 วรรค 4 จะมีเรื่องข้อมูลจราจร เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222 หรือ Wi-Fi Hotspot ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง 


ส่วนนี้ผมไม่แน่ใจรายละเอียด แต่ ก็คือต้องระบุได้ว่าเป็นใคร เช่น IP Source (เครื่อง User), IP Destination (IP เครื่อง Server ปลายทาง), หมายเลข Port เพราะ Internet ส่วนใหญ่เราจะทำ NAT กัน  แต่การทำ Proxy Cache เพื่อจะเก็บ URI ถ้าเป็น web ที่เป็น ssl จะค่อนข้างวุ่นวายมาก 



มีเรื่องการจัดเก็บรักษาข้อมูลด้วยครับ

เมื่อเก็บแล้ว ต้องมีเรื่องการจัดการรักษาไม่ให้มีใครเข้ามาเปลี่ยนแปลงข้อมูลได้


ข้อ ๘ การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคง ปลอดภัย ดังต่อไปนี้
(๑) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้
(๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่ เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data
Hashing เป็นต้น เว้นแต่ ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กร กำหนดให้สามารถเข้าถึง ข้อมูลดังกล่าวได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor) หรือบุคคลที่องค์กร มอบหมาย เป็นต้น รวมทั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้



สรุป มี Server หรือ Log Server ที่เก็บ Log ไม่ให้ใครเข้ามาแก้ไขได้ ผู้ที่จะเข้ามาดูต้องเป็นผู้ที่ได้รับแต่งตั้งเท่านั้น อาจจะเป็นพนักงานในองค์กร หรือ เจ้าหน้าที่รัฐที่มีสิทธิ์ เข้าไปดูข้อมูลนี้ได้ และทำ Hashing ข้อมูลไว้ เพื่อตรวจสอบว่าข้อมูลมีการเปลี่ยนแปลงหรือไม่



อ่าน เอกสารกฏหมายแล้วตาลาย เนื้อหาเพิ่มเติมอยู่ในไฟล์นี้ครับ หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ



เข้าเรื่องในส่วนอุปกรณ์ที่รองรับการจัดเก็บ Log กันครับ


อุปกรณ์ที่ทางร้านจำหน่าย เช่นพวก Gateway มีหลายๆรุ่นที่มี Feature รองรับการเก็บ Log การใช้งาน Internet แต่เนื่องจากอุปกรณ์พวกนี้ไม่ได้ออกแบบมาตามกฏหมายในประเทศไทย


ถ้าถามว่าตรงตาม พรบ.เป๊ะๆเลยมั้ย? 

ขอตอบเลย ไม่ตรงครับ...



เพราะนอกเหนือจากที่ผมอธิบายข้อกฏหมายคร่าวๆข้างต้น มันจะยังมีรายละเอียดปลีกย่อยอีกค่อนข้างเยอะ เช่น เรื่องมาตรฐานต่างๆ ที่เกี่ยวข้อง อย่าง มศอ.4003.1-2552 ของ NECTEC แต่ก็จะมีบริษัทที่ทำระบบพวกนี้มาโดยเฉพาะครับ ได้รับมาตรฐาน แต่ราคาก็สูงพอสมควร


ไม่อยากลงทุนแพงๆ Gateway ที่รองรับก็ไม่ตรงเป๊ะๆอีก ยังต้องเก็บ Log มั้ย?

คหสต... ถ้ามีไว้ มันก็ดีกว่าไม่มีครับ ถ้าลูกค้าต้องการเปลี่ยน Gateway อยู่แล้ว เลือกรุ่นที่รองรับการเก็บ Log ไว้ก็ดี เพราะแค่หา NAS มาเก็บ หรือ ถ้าช่วงไหนที่ทางรัฐเข้มงวดขึ้นมาก็ลงทุนไม่มาก


OK. มาถึงแนะนำอุปกรณ์ Gateway ที่เหมาะสมกับงาน Network ในปัจจุบัน แต่ละยี่ห้อมีหลายรุ่นตามขนาดของ User และ Internet Throughput รวมถึงราคาไม่แพงครับ

หลักการที่ใช้ในการเก็บ Log 

คือในตัว Gateway มันจะมี Protocol Syslog และในข้อมูล Syslog ก็จะมีรายละเอียดต่างๆ ไม่ว่าจะเป็น วันที่ เวลา, IP Source (เครื่อง User), IP Destination (IP เครื่อง Server ปลายทาง), หมายเลข Port, การระบุตัวตนของผู้ใช้งานด้วย Username 



ตัว Gateway จะส่งข้อมูลนี้ไปเก็บที่ Syslog Server อาจจะเป็น เครื่อง PC ที่ลง Software Syslog Server มีทั้งแบบติดตั้งบน Windows และ Linux หรือ จะเลือกเป็น NAS (Network Attatch Storage)  ที่มี Package  Syslog Server ให้ติดตั้ง



ทำไมถึงไม่เก็บในตัว Gateway เลย?


เนื่องจาก Log มีปริมาณข้อมูลค่อนข้างสูงมากครับ ถ้า User ซัก 20 คน วันๆนึง ก็เกือบ 1GB ทีนี้ Storage ในตัว Gateway มันไม่พอ แต่ก็มี Gateway บางรุ่นที่มี HDD ในตัวเลยครับ


ไฟล์ Log ที่เก็บไว้ใน NAS จะมีการจำกัดสิทธ์ไว้ คนดูแลระบบที่มี Account เท่านั้นถึงจะทำการแก้ไขหรือเข้าไปดูไฟล์นี้ได้ และจะมี Log เก็บไว้ด้วยกรณีที่มีการแก้ไขไฟล์


การระบุตัวตนผู้ใช้งาน Internet 


จะเป็นการสร้าง Username/Password ให้กับ User แล้วเราก็เก็บข้อมูลไว้ว่าใครที่ได้ Username นี้ไป พอ User จะใช้งาน Internet ต้องทำการ Login ด้วย Username/Password ที่ได้ การระบุตัวตนผู้ใช้งานจะช่วยให้เราสามารถกำหนด Policy ของแต่ User ได้ครับ ไม่ว่าจะเป็นความเร็ว Internet ที่ได้ ระยะเวลาที่เข้าใช้งาน Internet


หรือ ถ้าในองกรณ์ บริษัท อาจจะเป้นการระบุ Fix IP Address ให้แต่ละเครื่องของ User ใช้ Feature ARP Bindig ป้องกันไม่ให้ User ทำการเปลี่ยน IP Address เอง เพราะถ้าเปลี่ยน และ ไม่ตรงกับที่กำหนดใน Gateway ก็จะเข้า Internet ไม่ได้



อุปกรณ์แนะนำ

1. Ruijie Gateway

อุปกรณ์ Ruijie Gateway มี Feature Audit Log ที่จะเก็บข้อมูลทุกๆอย่างที่เรากำหนดไว้ เช่น เข้า Website ต้องห้าม, Load Bittorent , Facebook ฯลฯ 


ส่วนการระบุตัวตน ใช้วิธีสร้าง Username/Password ที่ตัว Gateway โดยตรงเลย หรือ จะสร้าง Username ผ่าน Cloud ก็ได้ครับ แล้วทำการ Sync Account กับ Ruijie Gateway 


เมื่อ User ทำการ Login ด้วย UserName/Password ที่ได้ก็จะมีการเก็บข้อมูลในส่วนนี้ไว้


ในรุ่นเล็ก Ruijie RG-EG2100-P  จำเป็นต้องส่ง Log ไปยัง NAS เพราะไม่มี Storage ในตัว ส่วน Ruijie Gateway ที่เป็ฯรุ่นกลางขึ้นไป เช่น Ruijie RG-EG3230
 พวกนี้จะมี HDD ขนาด 1TB ในตัว ทำให้เก็บ Log ใน Gateway ได้เลย


หน้าตา Log ที่ส่งไปยัง Syslog Server จะประมาณนี้ครับ




รูปนี้จะเป็น Audit Log ที่เก็บในอุปกรณ์ Ruijie Gateway รุ่นที่มี HDD




Export ออกมาเป็น Excel ได้ 






ถ้าสนใจรายละเอียดเพิ่มเติม แนะนำดูใน Review นี้ก่อนครับ มี Feature ต่างๆค่อนข้างครบ Review Ruijie RG-EG3230/RG-EG3250 Loadbalance Gateway


Log ที่เก็บใน HDD ในตัวเครื่อง ผู้ที่เป็น Admin จะสามารถลบได้ แต่เป็นการลบทั้งหมด หรือ ถ้าเก็บใน NAS ก็ต้องกำหนดสิทธ์ให้ Admin เข้าไปดูเช่นกัน


ข้อดี
สามารถ Manage และ Monitor ผ่าน Cloud ได้ ไม่มีค่า Subscription
ราคาไม่แพง ตอนนี้ออกมา 4 รุ่นให้เลือกตามสเกลของงาน เช่น จำนวน User, ความเร็ว Internet
ทำ Lodabalance ได้ มีตั้งแต่ 2 Wan จนถึง 6 Wan รองรับแบบ IP Based
ทำ VPN เชื่อมเครือข่ายระหว่างสาขา 
เก็บ Log ระดับ URL ได้ รวมถึงเก็บ Log ผู้ที่ละเมิด Policy ได้
Set ง่าย คือ ง่ายกว่า Mikrotik

ข้อเสีย
ยังไม่มี Dynamic DNS ให้ ถ้าทำ VPN หรือ ต้องการ Forward Port จำเป็นต้องสมัคร Fix IP
ราคาสูงกว่า Mikrotik หน่อย

2. Draytek Firewall Router

อุปกรณ์ Draytek มีหลายรุ่นตามสเกลของงาน เรื่องการส่ง Log ก็ต้องส่งข้อมูล Log ไปยัง NAS เช่นกันครับ เพราะไม่มี Storage ในตัว เลือกใช้ NAS ของ Zyxel  ก็ได้ครับ ต้นทุนรวม HDD ก็จะอยู่ประมาณ 5-6 พัน


ระบบ Hotspot Authen ที่ Build-In มา จะยังไม่ค่อยสมบูรณ์ เหมาะกับงาน Offic หรืออาจจะทำระบบ Authen โดยใช้ Protocol 802.1x เพราะใน Draytek จะมี Radius Server มาให้ครับ  และแนะนำให้ใส่ Cetificate ด้วย เวลา User Login เข้าใช้งาน จะง่ายหน่อย ไม่มี Warning เตือน


การ Config จะประมาณนี้ครับ การทำ Authenticate 802.1X Draytek Vigor3220 เก็บ Internet Log ด้วย NAS Zyxel 


รายละเอียด Log ที่เก็บก็มีครบ ไม่ว่าจะเป็น User ที่ Login, วัน เวลา, IP Address ของเครื่อง User , IP Source , IP Destination, Port และ เก็บ URL ของ Website ที่เข้าได้



หน้าตา Log ครับ





หรือ ถ้าไม่ต้องการทำ Authen ที่ต้องให้ User มา Login ก่อนเข้าใช้งาน Internet อาจจะเลือกใช้ Feature Bind IP to MAC แล้วเลือก Option Stric Bind ก็ได้ครับ เป็นการระบุว่า MAC Address ที่เชื่อมต่อเข้ามาจะได้ IP หมายเลขที่กำหนด ถ้า User มีการแก้ไขหมายเลข IP Address เอง จะไม่สามารถเข้าใช้งาน Internet ได้





ถ้าสนใจรายละเอียดเพิ่มเติม แนะนำดูใน Review นี้ก่อนครับ Review Draytek Vigor3910 Loadbalance Firewall รองรับ Internet สูงสุด 9.4Gbps


ข้อดี 
ราคาไม่แพง มีหลายรุ่นให้เลือกตามสเกลของงาน เช่น จำนวน User, ความเร็ว Internet
ทำ Lodabalance ได้ มีตั้งแต่ 2 Wan จนถึง 8 Wan รองรับแบบ Session Based
ทำ VPN เชื่อมเครือข่ายระหว่างสาขา มี Dynamic DNS ให้ และ Set ง่าย
เก็บ Log ระดับ URL ได้
สำคัญคือ config ง่าย

ข้อเสีย
ราคาสูงกว่า Mikrotik ซะหน่อย



3. Mikrotik Router

อุปกรณ์ Mikrotik Router มี Featrue ที่ทำระบบ Hotspot Authenticate มาให้เลย เรียกว่า UserManager หรือ Hotspot Server สามารถสร้าง Account เพื่อระบุตัวตนผู้ใช้งาน Internet ได้ เหมาะกับงาน หอพัก โรงแรม หรือถ้ามีความชำนาญก็สามารถนำไปทำระบบขั้น Advance ได้สบายๆ


รายละเอียด Log ก็ค่อนข้างครบครับ เช่น Username ที่ Login เข้ามา, IP Address, วัน เวลา, เข้า Website ก็มีส่ง IP Source , IP Destination, Port ไปยัง SysLog Server 

ส่วน URL ที่ผมลอง พวก Website ที่เป็น SSL จะยังไม่มีครับ หรืออาจจะต้องเอา Cert ไปลง ก็ค่อนข้างยุ่งยากไป เลยยังไม่มีโอกาสลองครับ 


ตัว Mikrotik มี Storage ที่ค่อนข้างน้อยมาก ต้องส่งไปเก็บที่ Log Server เช่น NAS แบบเดียวกับ Draytek การเลือกรุ่น ให้เลือกตามปริมาณของ User และ ความเร็ว Internet ที่ใช้ครับ


ลักษณะของ Log จะประมาณนี้






ผมเคยทำคู่มือไว้นานล่ะ คู่มือเก็บ Log การใช้งาน Internet จาก Mikrotik Router ด้วย Zyxel NAS326



ข้อดี 
ราคาประหยัด มีหลายรุ่นให้ใช้ตามสเกลของงาน
รองรับการ config ได้ตั้งแต่ Basic จนถึง Advance

ข้อเสีย
ผู้ใช้งานจำเป็นต้องมีความรู้ด้าน Network พอสมควร ไม่งั้นถ้าจ้างช่างดูแล ราคาจะไม่ประหยัดแล้วครับ
ไม่มี URL Log ที่เป็น HTTPS (อันนี้ไม่แน่ใจนะครับ เพราะจากที่ลองมันไม่มีมา)



หลักๆก็ประมาณนี้ครับ เดี๋ยวถ้าผมมีข้อมูลอะไรเพิ่มเติมจะเสริมเรื่อยๆ ข้อไหนที่เข้าใจผิดเรื่องข้อกฏหมาย รบกวนช่วยแนะนำทางผมด้วยนะครับ