วันพุธที่ 6 สิงหาคม พ.ศ. 2557

รู้หรือไม่ ตามกฏหมาย เราต้องเก็บ Log ของ Zimbra ไว้ 90 วันย้อนหลัง

ตามหัวข้อที่ผมจั่วไว้ครับ ทีมาที่ไป ก็เนี่องมาจากในปี 2550 มีการประกาศ พรบ. คอมพิวเตอร์ ออกมา ซึ่งมีส่วนที่เกี่ยวข้องกับ Mail Server ด้วย และจากประสบการณ์ที่ผมได้เป็นวิทยากรอบรม Zimbra Adminstration ให้กับบุคคลทั่วไปหลายรุ่น พบว่า ผู้ดูแลระบบ Zimbra มือใหม่หลายๆ ท่าน ไม่ทราบเรื่องเกี่ยวกับ พรบ. คอมพิวเตอร์ มาก่อน  ประกอบกับที่ผมมีประสบการณ์ในการติดตั้งระบบเก็บข้อมูลตาม พรบ. คอมพิวเตอร์ เลยคิดว่าจะดีกว่า ถ้าได้เผยแพร่ข้อมูลให้กับคนอื่นๆที่ไม่ได้มาอบรมกับผมให้ทราบด้วย

พรบ.คอมพิวเตอร์
ตามที่บอกไว้ครับ เมื่อประมาณปี 2550 ได้มีการประกาศ พรบ. คอมพิวเตอร์ออกมา มีเนื้อหาเยอะแยะมากมาย  แต่เนื้อหาคร่าวๆที่เกี่ยวข้องกับพวกเราเหล่าผู้ดูแลระบบก็คือ องค์กรหรือหน่วยงานในไทย ถ้ามีการติดตั้งระบบต่อไปนี้เชื่อมต่อกับ Internet ภายนอกองค์กร

  1. Web Server
  2. Ftp Server
  3. Email Server
  4. ให้บริการใช้งาน  Internet

ต้องมีการเก็บข้อมูลการจราจรทางคอมพิวเตอร์ระหว่างระบบดังกล่าวกับ Internet ภายนอกองค์กรด้วย (ผมจะขอเรียกข้อมูลที่ต้องจัดเก็บว่า log ละกัน)

ตอนนั้นเป็นที่ฮืออาในวงการมากเพราะ หน่วยงานต่างๆ ต้องจัดเก็บข้อมูลกันเอง (อยู่เฉยๆ ก็มีงานให้ทำ  แถมเผลอๆ ต้องเสียเงินด้วย )ไม่ทำก็ถือว่าผิดกฏหมาย ถ้าพบว่าไม่ได้มีการเก็บ Log ตาม พรบ. ไว้ ก็ถูกปรับหลักแสน
ข้อมูลหรือเอกสารออกมาเป็นภาษากฏหมาย
ข้อสุดท้ายเนี่ยแหละครับสำคัญ ให้คนในวงการไอทีอ่านภาษากฏหมาย อ่านไปแล้วห้ารอบยังงงๆ ก็ยังไม่รู้ว่าจะต้องทำ (สารภาพเลยก็ได้ครับ ผมอ่านได้ไม่ถึงครึ่งก็เลิกแล้ว)  มีการจัดสัมมนากันไปหลายรอบสิบรอบ โดยหน่วยงานต่างๆ ทั้งภาครัฐและเอกชน จนสุดท้าย ถึงได้ข้อสรุปกันเองแบบไม่เป็นทางการ
จากข้อมูลข้างต้นจะเห็นว่าส่วนที่เกี่ยวข้องกับ Zimbra โดยตรง ก็คือ ส่วนของ Email Server ดังนั้น ในบทความนี้ผมจะขอพูดถึงเรื่องของ พรบ.ที่เกี่ยวข้องกับ Email Server เท่านั้นครับ

ทำไมต้องจัดเก็บ
เหตุผลที่ต้องจัดเก็บ ก็เพื่อในกรณีที่มีเรื่องทางกฏหมายหรืออาชญากรรมที่เกี่ยวข้องกับการรับส่ง Email ทางราชการสามารถสืบค้นและมีหลักฐานว่าบุคคลได้รับหรือส่ง Email ที่เกี่ยวข้องกับคดีนั้นๆ

ต้องเก็บข้อมูลอะไรบ้าง

  • ในการเก็บ log ของ Email Server ตามพรบ. นี้มีข้อมูลที่ต้องจัดเก็บคือEmail address ข้อผู้ส่ง และ Email address ของผู้รับ
  • เวลาที่ระบบ Mail Server ส่งหรือรับ Email
  • Email ID หรือ Message ID
  • IP Address ของเครื่องที่รับและส่ง Email

และเนื่องจากระบบนี้ต้องเก็บเวลาที่มีการรับส่ง Email ด้วย ในพรบ.ได้กำหนดไว้ว่าเวลาในระบบ Email Server ต้องมีการตั้งให้ตรงกับเวลามาตรฐานซึ่งผิดเพี้ยนไม่น้อยกว่าเวลาที่กำหนด ซึ่งสรุปเป็นภาษา IT ว่าคงต้องทำการ Synchronize เวลาในเครื่อง Email Server กับ Time Server มาตรฐานที่มีอยู่ โดยทั่วไปจะผ่านทาง NTP (Network Time Protocol)

แต่อย่างไรก็ตามใน พรบ. ไม่ได้พูดถึง Format หรือรูปแบบข้อมูลที่ต้องจัดเก็บ ซึ่งในวงการสรุปกันว่า เก็บยังไงก็ได้ขอให้ดึงข้อมูลกลับมาได้และได้ข้อมูลตามที่กฏหมายกำหนดละกัน (555...)

จัดเก็บอย่างไร
ตาม พรบ.คอมพิวเตอร์ logทั้งหมดจะต้องถูกจัดเก็บไปไว้ที่ Centralized Log Server ซึ่งเป็นเครื่อง Server สำหรับเก็บ log โดยเฉพาะ และมีข้อกำหนดตามนี้ครับ

ต้องจัดเก็บข้อมูลย้อนหลัง ไว้ไม่ต่ำกว่า 90 วันย้อนหลัง และสามารถจัดเก็บได้มากกว่านี้ ถ้ามีการร้องขอจากทางราชการ  แต่ไม่เกิน 1 ปี
ข้อมูลที่จัดเก็บ จะต้องไม่สามารถเปลี่ยนแปลงแก้ไขได้  และต้องสามารถตรวจสอบและยืนยันได้ว่า ข้อมูลนั้นถูกต้อง
ผู้ดูแลระบบ จะต้องไม่สามารถเข้าไปแก้ไขหรือดูข้อมูลได้  โดยผู้ที่จะเข้าไปดูข้อมูลได้ ต้องเป็นเจ้าหน้าที่ ที่ตามกฏหมายอนุญาตเท่านั้น
นั่นแสดงว่า ตามกฏหมาย ไม่ใช่แค่เก็บ log ไว้ใน Email Server ไว้ย้อนหลัง 90 วันเท่านั้นจะพอนะครับ ต้องเก็บไว้ที่เครื่อง Centralized Log Server อีกตัวซึ่งต้องเป็นไปตามข้อกำหนดข้างต้นด้วย

บทปรับถ้าไม่มี log ตามพรบ. คอมพิวเตอร์
ไม่รู้ว่าเป็นเรื่องดีของเหล่าผู้ดูแลระบบหรือเปล่าเพราะ พรบ. นี้บอกว่าถ้าองค์กรใดถูกตรวจพบว่าไม่สามารถให้ข้อมูลตามที่ พรบ. ได้พูดถึงไว้ ถ้าถูกตรวจพบ ผู้รับผิดชอบตามกฏหมายคือ Managing Director หรือตำแหน่งที่เทียบเท่า (ไม่เกี่ยวกับเจ้าหน้าที่ IT หรือแม้แต่ IT Manager) จะโดนปรับก่อนเลย 5 แสนบาท  และถ้ายังไม่สามารถให้ข้อมูลได้ในวันต่อๆไปที่ทางการร้องขอ โดนปรับอีกวันละ 5,000 บาท
แต่อย่างไรก็ตามถ้า MD โดนก็ไม่แน่นะครับว่าพวกเราเหล่า Mail Server Admin จะไม่โดนหางเลขจาก MD ในข้อหารู้แล้วทำไมไม่บอก หรือทำไม่ไม่รู้ ดังนั้น คำแนะนำของผมก็คือ วันนี้ คุณรู้แล้ว บอกให้เจ้านายคุณทราบไว้ ซะเค้าจะอนุมัติให้เราจัดเก็บข้อมูล ตาม พรบ. นี้หรือเปล่าเป็นเรื่องของเขา

แล้วเราต้องทำอะไรกับ Zimbra Server
ในส่วนของ Zimbra Server  มีเรื่องทีต้องทำสองเรื่องใหญ่ๆ คือ

1) ส่ง log ที่มีข้อมูลการรับส่ง Email ตามกฏหมาย ไปยัง Centralized Log Server
2) ต้อง synchronize เวลาของเครื่อง ให้ตรงกับเวลามาตรฐาน

ในครั้งถัดไปผมจะพูดถึงการ setup  Zimbra Server ให้สามารถส่ง log ของ email ไปยัง Centralized Log Server ตามข้อ 1  ครับ ว่าต้องทำอย่างไรบ้าง

ในระหว่างนี้ถ้ามีคำถาม เกี่ยวกับ พรบ. คอมพิวเตอร์ สอบถามผมมาได้ครับ หรือใครต้องการตัว พรบ. ตัวจริงไปอ่านฆ่าเวลา ขอมาที่ผมได้ครับ email มาที่ siwat@xsidekick.com ผมมีเก็บไว้อยู่

เจอกันในบทความหน้าครับ

ไม่มีความคิดเห็น:

แสดงความคิดเห็น