Chapter 6 ประกาศ/ระเบียบ

งานนำเสนอเรื่อง: "Chapter 6 ประกาศ/ระเบียบ"— ใบสำเนางานนำเสนอ:

1 Chapter 6 ประกาศ/ระเบียบ
ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐

2 และแก้ไขเพิ่มเติม (ฉบับที่ ๒) พ.ศ. ๒๕๖๐
มาตรา 26 แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และแก้ไขเพิ่มเติม (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะราย และเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท

3 ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐ ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำ คัญในการดำ เนินคดีอันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงสมควรกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว อาศัยอำนาจตามความในมาตรา ๒๖ วรรค ๓ แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และแก้ไขเพิ่มเติม (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ดังนั้น รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จึงได้กำหนดหลักเกณฑ์ไว้ ดังต่อไปนี้ ข้อ ๑ ประกาศนี้เรียกว่า “หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐” ข้อ ๒ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป (ประกาศในราชกิจจานุเบกษาเมื่อ ๒๓ สิงหาคม ๒๕๕๐)

4 ข้อมูลจราจรทางคอมพิวเตอร์
ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐ “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น

5 ประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ (ต่อ)
วัตถุประสงค์ ออกภายใต้มาตรา ๒๖ ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำคัญในการดำเนินคดีอันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำผิดมาลงโทษ ข้อมูลที่ต้องเก็บ เก็บข้อมูลจราจรที่สามารถระบุผู้ใช้บริการเป็นรายบุคคลได้ รูปแบบการเก็บ ต้องเก็บในสื่อที่รักษาคุณลักษณะIntegrity/Confidentiality/Identification บทเฉพาะกาล (ผ่อนผัน จากเดิมที่ระบุในประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ ที่ประกาศให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาคือวันที่ 23 สิงหาคม 2550 เป็นต้นไป) เริ่มเก็บ 30 วัน/180 วัน/1 ปี นับจากวันประกาศในราชกิจจานุเบกษา

6 ตามประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ
ประเภทผู้ให้บริการ ตามประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ ผู้ให้บริการ ซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์แบ่งได้ 2 ประเภทใหญ่ ดังนี้ ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือเพื่อประโยชน์ของบุคคลอื่น แบ่งออกเป็น ก. ผู้ประกอบกิจการโทรคมนาคม (Telecommunication Carrier) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ ต่างๆ (Host Service Provider) ผู้ให้บริการร้านอินเทอร์เน็ต ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอิ่นเช่น ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชั่นต่าง ๆ (Content Service Provider)

7 ตัวอย่าง : ผู้ให้บริการ ประเภทที่ 1
(1) ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น ทั้งนี้ โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น สามารถจำแนกได้ 4 ประเภท ดังนี้   ก. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง เสียง (Telecommunication and Broadcast Carrier) ตัวอย่างเช่น   ผู้ให้บริการโทรศัพท์พื้นฐาน (Fixed Line Service Provider) ผู้ให้บริการโทรศัพท์เคลื่อนที่ (Mobile Service Provider) ผู้ให้บริการวงจรเช่า (Leased Circuit Service Provider) ผู้ให้บริการดาวเทียม (Satellite Service Provider) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ตัวอย่างเช่น ผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider) ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่าย คอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและ เครื่องดื่มในองค์กรต่างๆ เช่น หน่วยงานราชการ บริษัท หรือ สถาบันการศึกษา

8 ตัวอย่าง : ผู้ให้บริการ ประเภทที่ 1 ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต (ต่อ...)
ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรม ประยุกต์ต่างๆ (Host Service Provider) ตัวอย่างเช่น ผู้ให้เช่าระบบคอมพิวเตอร์ (WebHosting)  การให้บริการเช่า Web Server  ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File Server หรือ File Sharing)  ผู้ให้บริการเข้าถึงจดหมายอิเล็กทรอนิกส์ (Mail Service Provider)  ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต (Internet Data Center) ง. ผู้ให้บริการร้านอินเทอร์เน็ต ตัวอย่างเช่น ผู้ให้บริการร้านอินเทอร์เน็ต (Internet Cafe)  ผู้ให้บริการร้านเกมออนไลน์ (Game Online)

9 ตัวอย่าง : ผู้ให้บริการ ประเภทที่ 2
(2) ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคล (Content Service Provider) เช่น ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ (Application Service Provider) ตัวอย่างเช่น ผู้ให้บริการเว็บบอร์ด (Web board)  ผู้ให้บริการบล็อก (Blog)  ผู้ให้บริการการทำธุรกรรมทางการเงินทางอินเทอร์เน็ต (Internet Bangking)  ผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ (Electronic Payment Service Provider)  ผู้ให้บริการเว็บเซอร์วิส (Web Services)  ผู้ให้บริการพาณิชย์อิเล็กทรอนิกส์ (e-Commerce) หรือ ธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions)

10 ข้อมูลที่ผู้ให้บริการแต่ละประเภทต้องเก็บ
ผู้ให้บริการประเภท ข้อ 5 (1) ก. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง ข้อมูลที่สามารถระบุและติดตามถึงแหล่งกำเนิด ต้นทาง ปลายทาง และทางสายที่ผ่านของการติดต่อสื่อสาร อันได้แก่ ข้อมูลระบบชุมสายโทรศัพท์พื้นฐาน โทรศัพท์วิทยุมือถือ ระบบตู้โทรศัพท์สาขา หมายเลขโทรศัพท์ เลขหมายวงจร รวมทั้งบริการเสริมอื่น ๆ เช่น บริการโอนสาย และหมายเลขโทรศัพท์ที่ได้โอนสาย รวมทั้งหมายเลขโทรศัพท์ซึ่งถูกเรียกจากโทรศัพท์ที่มีการโอน และชื่อที่อยู่ของผู้ใข้บริการหรือผู้ใช้งานที่ลงทะเบียน ข้อมูลที่สามารถระบุวันที่ เวลา ระยะเวลาของการติดต่อสื่อสาร วันที่ เวลาเริ่มต้นและสิ้นสุดของการใช้งาน ข้อมูลที่ระบุที่ตั้งในการใช้โทรศัพท์มือถือ หรืออุปกรณ์ติดต่อสื่อสารแบบไร้สาย ได้แก่ ที่ตั้ง label ในการเชื่อมต่อ Cell ID) ณ สถานที่เริ่มติดต่อสื่อสาร ข้อมูลซึ่งระบุที่ตั้งทางกายภาพของโทรศัพท์มือถืออันเชื่อมโยงกับข้อมูลที่ตั้งของ Cell ID ขณะที่มีการติดต่อสื่อสาร และต้องจัดให้มีระบบบริการตรวจสอบบุคคลผู้ใช้บริการ

11 ผู้ให้บริการประเภท ข้อ 5 (1) ข
ผู้ให้บริการประเภท  ข้อ 5 (1) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ และ ข้อ 5 (1) ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ - ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย ได้แก่ ข้อมูลที่ระบุถึงตัวตนและสิทธิในการเข้าถึงเครือข่าย วันและเวลาของการเข้ามาใช้บริการ ชื่อที่ระบุตัวตนผู้ใช้ (User ID) หมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดโดยระบบผู้ให้บริการ (IP Address) และข้อมูลที่บอกหมายเลขสายที่เรียกเข้ามา - ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการอีเมล ได้แก่ หมายเลขของข้อความในอีเมล ชื่อที่อยู่ผู้ส่งและผู้รับอีเมล และสถานะของการส่งนั้นๆ IP Address ของผู้ใช้บริการ วันเวลาของการใช้บริการ ชื่อผู้ใช้งาน (User ID) รวมถึงบันทึกการเข้าถึงอีเมลที่ผ่านโปรแกรมการจัดการจากเครื่องของสมาชิก - ข้อมูลอินเทอร์เน็ตจากการโอนแฟ้มข้อมูลบนเครื่องให้บริการโอนแฟ้มข้อมูล ได้แก่ บันทึกการเข้าถึง วัน เวลา ชื่อผู้ใช้ ที่อยู่ทางอินเทอร์เน็ตของผู้ใช้ (IP Address) ตำแหน่งและชื่อไฟล์ที่มีการโอนถ่ายข้อมูล

12 ผู้ให้บริการประเภท ข้อ 5 (1) ข
ผู้ให้บริการประเภท  ข้อ 5 (1) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ และ ข้อ 5 (1) ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ (ต่อ...) - ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บ ได้แก่ บันทึกการเข้าถึง วัน เวลา ที่อยู่ทางอินเทอร์เน็ตของผู้ใช้ระบบ (IP Address) คำสั่งการใช้งาน เส้นทางในการเรียกดูข้อมูล - ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ขนาดใหญ่ ได้แก่ บันทึกการเข้าถึง วัน เวลา หมายเลย port ของการใช้งาน ชื่อเครื่องให้บริการ หมายเลขข้อมูลที่ถูกส่งไปแล้ว - ข้อมูลที่เกิดจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต เช่น Instance Message (IM) หรือ Internet Relay Chat ได้แก่ วัน เวลา การติดต่อของผู้ใช้บริการ ชื่อเครื่องบนเครือข่าย หมายเลขเครื่องผู้ให้บริการ

13 ผู้ให้บริการประเภท ข้อ 5 (1) ง
ผู้ให้บริการประเภท ข้อ 5 (1) ง. ผู้ให้บริการร้านอินเทอร์เน็ต, ผู้ให้บริการร้านเกมออนไลน์ ข้อมูลที่สามารถระบุตัวบุคคล เวลาการเข้าใช้และเลิกบริการ หมายเลขเครื่องที่ใช้ หรือ IP Address ผู้ให้บริการประเภท ข้อ 5 (2) ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชั่นต่าง ๆ เช่นผู้ให้บริการเว็บบอร์ด, เว็บบล็อค.... ข้อมูลรหัสประจำตัวผู้ใช้ หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการ เลขประจำตัว (User ID) ของผู้ขายสินค้าหรือบริการ อีเมลของผู้ใช้บริการ บันทึกข้อมูลการเข้าใช้บริการ ในกรณีของเว็บบอร์ดหรือผู้ให้บริการเว็บบล็อค ให้เก็บข้อมูลของผู้โพสต์ข้อมูล

14 การระบุตัวบุคคลผู้ทำการเข้าถึงเครือข่ายอินเทอร์เน็ต
ปัญหาสำคัญในการสอบสวนคดีอาชญากรรมทางคอมพิวเตอร์คือการระบุตัวบุคคลผู้ทำการเข้าถึงเครือข่ายอินเทอร์เน็ต ในบางกรณี เช่น การใช้อินเทอร์เน็ตผ่านร้านอินเทอร์เน็ตคาเฟ่ ซึ่งไม่สามารถระบุตัวผู้ใช้งานคอมพิวเตอร์ในร้านได้ เนื่องจากไม่มีระบบการลงทะเบียนผู้ใช้ ดังนั้น หากมีผู้กระทำความผิดผ่านทางร้านอินเทอร์เน็ตคาเฟ่ จะทำให้การสืบสวนว่าผู้ใดเป็นผู้กระทำความผิดเป็นไปได้ยากมากขึ้น ดังนั้น ในบางประเทศ ได้แก้ปัญหานี้โดยการบัญญัติกฎหมายเพื่อบังคับให้ผู้ใช้งานให้ข้อมูลเกี่ยวกับตนเองก่อนเข้าใช้บริการ สำหรับประเทศไทยได้กำหนดหลักเกณฑ์ดังกล่าวเกี่ยวกับการจดทะเบียนผู้ใช้อินเทอร์เน็ตโดยผ่านผู้ให้บริการอินเทอร์เน็ตสาธารณะไว้ในพระราชบัญญ้ติฯ ถึงแม้ว่าจะเป็นความไม่สะดวกประการหนึ่งที่สวนทางกับนโยบายในการส่งเสริมสนับสนุนการให้ความสะดวกแก่การทำธุรกรรมผ่านทางอินเทอร์เน็ตก็ตาม

15 ข้อมูลจราจรทางคอมพิวเตอร์ (traffic data) ที่เก็บใน Log File
“ข้อมูล” อีกรูปแบบหนึ่งซึ่งมีความสำคัญอย่างมากต่อการรวบรวมพยานหลักฐานอันสำคัญอย่างยิ่งต่อการสืบสวนสอบสวน ซึ่งเป็นข้อมูลคอมพิวเตอร์ที่เกิดขึ้นจากระบบคอมพิวเตอร์ อันเป็นส่วนหนึ่งของการติดต่อสื่อสาร ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารนั้น ได้แก่ หมายเลขโทรศัพท์ เลขที่อยู่ไอพี (Internet Protocol address) หรือ IP address ส่วนข้อมูลปลายทางนั้น ได้แก่ เลขที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ ( address) หรือที่อยู่เว็บไซต์ (URL) ที่ผู้ใช้อินเทอร์เน็ตแวะเข้าไปดูข้อมูล เป็นต้น นอกจากข้อมูลต้นทางหรือปลายทางแล้วยังรวมถึงข้อมูลต่างๆ เกี่ยวกับเวลาที่มีการติดต่อสื่อสาร วันที่ ลักษณะของการใช้บริการหรือประเภทของการติดต่อสื่อสาร เช่น ติดต่อในรูปของไปรษณีย์อิเล็กทรอนิกส์ หรือการโอนแฟ้มข้อมูล เป็นต้น

16 สิ่งที่ Logfile บอก คือ มีคนเล่นอินเทอร์เน็ตจากที่ใด เวลาใด ที่อยู่และเบอร์โทรศัพท์อะไร ไปที่เว็บนั้น ๆ แล้วทำอะไรบ้างและสามารถบอกเส้นทางการเล่นอินเทอร์เน็ตว่าเข้าจากหน้าเว็บใดไปสู่เว็บใด มีการส่งข้อความทั้งผ่านทางข้อความทันใจ หรือทางอีเมล ไปหาใครบ้าง

17 Log File ตามมาตรา 26 แห่งพระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์ พ.ศ  และแก้ไขเพิ่มเติม (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ มาตรา 26 “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวัน แต่ไม่เกินสองปี เป็นกรณีพิเศษ เฉพาะราย และเฉพาะคราว ก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็น เพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการ และต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวัน นับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท”

18

19 "ข้อมูลจราจรทางคอมพิวเตอร์" หัวข้อ แหล่งกำเนิด    คือ  ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID)  Mac-address

20 " ต้นทาง " คือ หมายเลข  MAC Address ( หมายเลขประจำ ของอุปกรณ์เชื่อมต่อ wifi,  lan ของผู้ใช้งาน )

21 " ปลายทาง "    ได้แก่ User ID: ต้นทาง ( IP, Mac-Address) และ แหล่งกำเหนิดของต้นทางนั้นได้ใช้งานไปที่ปลายทางใดบ้าง เช่น  เข้า Website ใด เวลาใด    เส้นทางใช้งานผ่าน www, เวลา  วันที่  , ปริมาณ in/out package  ระยะเวลา

22 Log และ ลำดับการบันทึกเหตุการณ์
Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน เป็นไปตามลำดับเหตุการณ์ ดังตัวอย่าง 1. เริ่มจากเอานิ้วกดปุ่ม Enter เพื่อเข้าเว็บไซด์ใดเว็บไซด์หนึ่ง จะเกิดการเปลี่ยนแปลงขึ้น เพราะการสื่อสารของเราและเว็บไซด์นั้น จะเกิดร่องรอยแห่งการเปลี่ยนแปลงทันที 2. จากปุ่ม Enter ผ่านการ์ดแลน หรือ Wi-fi จากเครื่องเราเอง วิ่งตรงสู่ระบบเครือข่ายที่เราอาศัยอยู่ (วิ่งไปสู่ระบบอินเตอร์เน็ต จาก ISP ที่เราใช้) เพื่อเรียกเว็บไซด์นั้น ผ่าน Protocol HTTP port 80 โดยเป็นการเชื่อมต่อแบบ TCP 3. จากนั้น เว็บไซด์ที่เราเข้าไป จะมีการบันทึกข้อมูลหมายเลขไอพีของเราที่เข้าเยี่ยมชมลงใน Log ของเว็บไซต์ในวันนั้น ซึ่งหมายถึงมีการรับส่งข้อมูลเกิดขึ้นแล้ว โดยมีการประมวลผลผ่านระบบ Operating System ซึ่งอาจเป็น Windows โดยใช้ IIS หรือ อาจเป็น Linux ที่ใช้ Apache และอาศัย CPU / RAM ประมวลผลจากการเยี่ยมชมเว็บในครั้งนี้ และส่งค่าการประมวลผลนั้นกลับมาจากฝั่งเครื่อง Web server โดยผ่านระบบเครือข่ายที่เช่าพื้นที่อยู่บน Data Center (Internet Data Center : IDC) ใน ISP สักที่หนึ่งบนโลก (สมมุติ) และ ผ่านการ Routing จาก Router หนึ่งไปยังอีกที่หนึ่ง กลับมาสู่เครือข่ายที่เครื่องคอมพิวเตอร์ของเราอาศัยอยู่ ผ่านอุปกรณ์เครือข่าย Core Switch ในองค์กรของเรา และมาถึงหน้าจอเราซึ่งเป็นผู้รับสารภายในชั่วพริบตา และเราก็ได้รับความบันเทิงจากเว็บไซด์นั้น

23 ห่วงโซ่ของเหตุการณ์ "Chain of Event"
จากผลการคลิก Enter ของเราเอง การเปลี่ยนแปลงย่อมเกิดขึ้นในปัจจุบัน ได้แก่ เกิดการบันทึกเส้นทางการเดินทางไว้บนอุปกรณ์ต่างๆ เช่น Switch ไปสู่ Firewall ไปสู่ Router , จาก Router เมืองไทย ออกสู่ Router ต่างประเทศ และวิ่งตรงไปสู่เว็บไซด์ที่ต้องการ มีการถูกบันทึกไว้แล้วบนอุปกรณ์ตามเส้นทางลำเลียงข้อมูล ข้อมูลจรารจรเกิดขึ้นจากการสื่อสารที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer  ซึ่งเป็นเส้นทางลำเลียงข้อมูลคือห่วงโซ่ของเหตุการณ์ (Chain of Event) เป็นลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป สิ่งที่ควรบันทึกตามห่วงโซ่เหตุการณ์ คือ Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why, (ทำไม), (how) อย่างไร ซึ่งการบันทึกสิ่งเหล่านี้ที่ประกอบกันขึ้นเป็นห่วงโซ่เหตุการณ์ เรียกว่า "Data Archive"

24 ข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real - Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก "Log“  "ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน“ (จาก Nontawattalk.sran.org)

25

26 Nontawatt 'n talk Network Indicators of compromise Researcher Thursday, April 23 เทคนิคการสืบหาผู้กระทำความผิดบนระบบเครือข่ายคอมพิวเตอร์

27 ประเภท Log ที่ต้องเก็บตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 และแก้ไขเพิ่มเติม 2560 ตามมาตรา 26 ได้มีการกำหนดให้หน่วยงานหรือองค์กร จะต้องทำการเก็บข้อมูลจราจร (เก็บ log ) ทางคอมพิวเตอร์ (traffic data) ซึ่งเป็นข้อมูลสำคัญที่สามารถนำมาใช้ในการสืบสวนหรือสอบสวนการกระทำผิดตาม พรบ. เป็นระยะเวลา 90 วัน แต่ไม่เกิน 2 ปี โดยมีการกำหนดประเภทของ Log File ที่มีความจำเป็นต้องเก็บไว้ ดังนี้ การเก็บข้อมูล Personal Computer (Personal Computer log file) คือการจัดเก็บข้อมูลบนคอมพิวเตอร์ส่วนบุคคล เช่น อีเมล ชื่อ รหัสเข้าใช้งาน การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Web Server การเก็บข้อมูลจราจรทางคอมพิวเตอร์ FTP Server การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Mail Server การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Web Board & Web Blog การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Chat / IM การเก็บข้อมูลจราจรทางคอมพิวเตอร์ระบบเครือข่าย

28 สำหรับข้อมูลจราจรหรือข้อมูล Log ที่ต้องจัดเก็บนั้นจะแตกต่างกันไปตาม protocol ที่ใช้ในแต่ละบริการขององค์กรนั้น ๆ เช่น การใช้บริการรับหรือส่ง  การจัดเก็บก็จะให้ความสำคัญที่การเก็บในส่วนของ header และส่วนประกอบอื่นๆ โดยทั่วไป ข้อมูลจราจรที่ต้องมีการจัดเก็บจะประกอบไปด้วย • แหล่งกำเนิด         • ต้นทาง ปลายทาง • เส้นทาง • เวลาและวันที่ • ปริมาณ • ระยะเวลา • ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์

29 การเก็บข้อมูลจราจรคอมพิวเตอร์ ปรีชาพล จันทรัตนวงศ์
ผู้จัดการฝ่ายปฏิบัติการและวิศวกรรม บริษัท อินฟอร์เมชั่น เซอร์วิส แอนด์ คอนซัลแทนต์ จำกัด

30 เป็นข้อมูลที่มีรูปแบบของ Log
การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Web Server การจัดเก็บข้อมูลอินเทอร์เน็ตของเครื่องผู้ให้บริการเว็บ ข้อมูล log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ 2) ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (วันที่ และเวลาของผู้ใช้บริการ) 3) ข้อมูลหมายเลขชุดอินเทอร์เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น (IP Address ของผู้ใช้บริการ) 4) ข้อมูลคำสั่งการใช้งานระบบ (Method: Get / Post) 5) ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่น ตำแหน่งของเว็บเพจ เป็นข้อมูลที่มีรูปแบบของ Log

31 การเก็บข้อมูลจราจรทางคอมพิวเตอร์ FTP Server
คือการจัดเก็บข้อมูลอินเทอร์เน็ตที่เกิดจากการโอนถ่ายแฟ้มข้อมูล เช่นรูปภาพ,ข้อความ,เพลง,บทความ,โปรแกรมต่าง ๆ บนเครื่องให้บริการโอนแฟ้มข้อมูล ข้อมูล log ที่บันทึกเมื่อมีการเข้าถึงเครื่องให้บริการโอนแฟ้มข้อมูล (เป็นข้อมูลที่มีรูปแบบของ Log) ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (Date and time of connection of client to server) (วันที่ และ เวลา ของผู้ใช้บริการ) ข้อมูลหมายเลขชุดอินเทอร์เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น (IP source address) (IP Address ของผู้ใช้บริการ) ข้อมูลชื่อผู้ใช้งาน (User ID) (User Account ของผู้ใช้บริการ) ข้อมูลตำแหน่ง (path) และ ชื่อไฟล์ที่อยู่บนเครื่องให้บริการโอนถ่ายข้อมูลที่มีการส่งขึ้นมาบันทึก หรือให้ดึงข้อมูลออกไป (Path and filename of data object uploaded or downloaded) (Path / ชื่อ File / Operation)

32 การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Mail Server
ข้อมูลอินเทอร์เน็ตจากเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ ข้อมูล Log ที่บันทึกไว้เมื่อเข้าถึงเครื่องให้บริการไปรษณีย์ อิเล็กทรอนิกส์ (Simple Mail Transfer Protocol : SMTP Log) ซึ่งได้แก่ – ข้อมูลหมายเลขของข้อความที่ระบุในจดหมายอิเล็กทรอนิกส์ (Message ID) – ข้อมูลชื่อที่อยู่อิเล็กทรอนิกส์ของผู้ส่ง (Sender Address) ( ผู้ส่ง) – ข้อมูลชื่อที่อยู่อิเล็กทรอนิกส์ของผู้รับ (Receiver Address) ( ผู้รับ) – ข้อมูลที่บอกถึงสถานะในการตรวจสอบ (Status Indicator) (สถานะการส่ง) เช่น ส่งสำเร็จ, ตีกลับ, หรือ ส่งล่าช้า เป็นต้น 2. ข้อมูลหมายเลขชุดอินเทอร์เน็ตของเครื่องคอมพิวเตอร์ผู้ใช้บริการที่เชื่อมต่ออยู่ขณะเข้ามาใช้บริการ (IP Address of Client Connected to Server) (IP Address ของผู้ใช้บริการ ) 3. ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (Date and time of connection of Client Connected to server) (วันที่ และ เวลา ของผู้ใช้บริการ)

33 Log การเข้าถึง E-mail เช่น ผ่าน Web Mail, POP3, IMAP
การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Mail Server (ต่อ…) ข้อมูลหมายเลขชุดอินเทอร์เน็ตของเครื่องบริการจดหมายอิเล็กทรอนิกส์ ที่ถูกเชื่อมต่อ อยู่ในขณะนั้น (IP Address of Sending Computer) (IP Address ของ Mail Server) ชื่อผู้ใช้งาน (User ID) (ถ้ามี) (User Account ของผู้ใช้บริการ) ข้อมูลที่บันทึกการเข้าถึงข้อมูลจดหมายอิเล็กทรอนิกส์ ผ่านโปรแกรมจัดการจากเครื่องของสมาชิก หรือการเข้าถึงเพื่อดึงจดหมายอิเล็กทรอนิกส์ไปยังเครื่องสมาชิก โดยยังคงจัดเก็บข้อมูลที่บันทึกการเข้าถึงข้อมูลจดหมายอิเล็กทรอนิกส์ที่ดึงไปนั้นไว้ที่เครื่องให้บริการ (POP3 (Post Office Protocol version 3) Log หรือ IMAP4 (Internet Message Access Protocol Version 4) Log Log การเข้าถึง เช่น ผ่าน Web Mail, POP3, IMAP

34 การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Web-board & Web Blog
ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์ (Content Service Provider) ข้อมูลรหัสประจำตัวผู้ใช้หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการได้ และ/หรือเลข ประจำตัว (User ID) ของผู้ขายสินค้าหรือบริการและ/หรือ เลขประจำตัวผู้ใช้บริการ (User ID) และ/หรือที่อยู่จดหมายอิเล็กทรอนิกส์ ของผู้ใช้บริการ (User Account / ของผู้ใช้บริการ) บันทึกข้อมูลการเข้าใช้บริการ (วันที่ และ เวลา ของผู้ใช้บริการ) กรณีผู้ให้บริการเว็บบอร์ด (Web-board) หรือผู้ให้บริการบล็อก (Blog) ให้เก็บข้อมูล ของผู้ประกาศ (Post) ข้อมูล (ข้อความที่ Post)

35 การเก็บข้อมูลจราจรทางคอมพิวเตอร์ Chat/IM
ข้อมูลที่เกิดจากการตอบโต้กันบนเครือข่ายอินเทอร์เน็ต เช่น IRC หรือ IM ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (วันที่ และ เวลา ของผู้ใช้บริการ และ ผู้ให้บริการ) ข้อมูลชื่อเครื่องบนเครือข่าย และ/หรือหมายเลขเครื่องของผู้ให้บริการที่เครื่องคอมพิวเตอร์เชื่อมต่ออยู่ในขณะนั้น (Hostname and/or IP address) (IP Address หรือ Hostnameของผู้ให้บริการ)

36 การเก็บข้อมูลจราจรทางคอมพิวเตอร์ระบบเครือข่าย
ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย ข้อมูล log ที่มีการบันทึกไว้เมื่อมีการเข้าถึงระบบเครือข่ายซึ่งระบุถึงตัวตนและสิทธิในการ เข้าถึงเครือข่าย (Log ที่อ้างอิง Authentication/authorization Server) ข้อมูลเกี่ยวกับวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (Date and time of connection of client to server) (วันที่ และ เวลา ของผู้ใช้บริการ) ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID) (User Account ของผู้ใช้บริการ ) ข้อมูลหมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดให้โดยระบบผู้ให้บริการ (Assigned IP address) (IP Address ของผู้ใช้บริการ) ข้อมูลที่บอกถึงหมายเลขสายที่เรียกเข้ามา (Calling line Identification) (หมายเลขโทรศัพท์ที่เกิดจากการใช้งานผ่าน Remote Access Server : RAS)

37 สรุป Log และ Archive Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว และมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน Log Record คือ การเก็บบันทึกข้อมูล Data Traffic ที่เกิดจากการสื่อสารระหว่างผู้ส่งสาร ถึง ผู้รับสาร Data Archive เก็บ Log ทั้งหมดตามลำดับจากห่วงโซ่เหตุการณ์ (Chain of event) Data Hashing วิธีการรักษาหลักฐานเพื่อยืนยันความเป็น Logต้นฉบับที่ไม่ได้ถูกเปลี่ยนแปลงเนื้อหาจากห่วงโซ่เหตุการณ์ ด้วย Algorithm ในแบบต่างๆ

38 การขาดความน่าเชื่อถือ Log และการแก้ไข
การขาดความน่าเชื่อถือ Log และการแก้ไข เนื่องจาก Log อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ถึงแม้การแก้ไข อาจเกิดขึ้นบนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ แต่การเปลี่ยนแปลงนั้นอาจส่งผลให้ข้อมูลตามห่วงโซ่มีความคลาดเคลื่อนไปได้ จนไม่สามารถสืบหาสาเหตุได้ เพราะหลักฐานไม่เพียงพอได้เช่นกัน ดังนั้น ห่วงโซ่เหตุการณ์ (Chain of event) จึงควรถูกคุ้มกัน เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม กล่าวคือ ข้อมูลที่เป็นหลักฐานนั้นจะไม่มีการเปลี่ยนแปลงได้ด้วยการทำ Data Hashing เพื่อยืนยันความไม่เปลี่ยนแปลงของข้อมูล HASH เป็นการนำข้อมูลมาคำนวณด้วย Algorithm ในแบบต่างๆ (โดยสากลใช้ Algorithm MD5 , SHA-1) เพื่อให้ได้ค่าตาม Algorithm นั้นๆ แล้วก็นำค่านั้นๆมาใช้ในการตรวจสอบ เพื่อการยืนยัน Integrity ของ Log (ยืนยันความเป็น Log ต้นฉบับจริง)

39 การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไป
(๑) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) ตามที่กฎหมายกำหนด และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้ (๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บและกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น เว้นแต่ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กรกำหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor) หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้ง พนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ 

40 การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไป (ต่อ….)
3. จัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้งตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ เพื่อให้การส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว 4. ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้จริง (Identification and Authentication)

41 การบังคับใช้หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550
ประกาศกระทรวงฯ เรื่อง "หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550" ซึ่งประกาศในราชกิจจานุเบกษามาตั้งแต่วันที่ 23 สิงหาคม พ.ศ.2550 ประกาศนี้ได้ผ่อนผันให้ผู้ให้บริการทางคอมพิวเตอร์มีเวลาเตรียมตัว ก่อนที่จะต้องเริ่มเก็บข้อมูลการจราจรทางคอมพิวเตอร์ตามบริการประเภทต่างๆ แตกต่างกัน ดังนี้ ผู้ให้บริการที่ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier) ให้เริ่มเก็บสามสิบวันหลังจากประกาศ ผู้ให้บริการอินเทอร์เน็ตสาธารณะ (ISP) ทั้งมีสายและไร้สาย เริ่มเก็บ หนึ่งร้อยแปดสิบวัน หลังจากประกาศ

42 การบังคับใช้หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550 (ต่อ…)
ส่วนผู้ให้บริการประเภทอื่นๆ นอกจากที่กล่าวมาแล้ว ให้เริ่มเก็บข้อมูลจราจรทางคอมพิวเตอร์เมื่อพ้น หนึ่งปี นับจากวันที่ประกาศในราชกิจจานุเบกษา ได้แก่ ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม ร้านอาหาร หรือสถานบริการ รวมถึงผู้ให้บริการที่เป็นองค์กร เช่น หน่วยราชการ บริษัท หรือ สถาบันการศึกษา ที่ให้บริการให้กับบุคลากรภายในองค์กรของตนเอง, กลุ่มผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File Server หรือ File Sharing), ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ (Hosting Service Provider), ผู้ให้บริการเช่า Web Server, ผู้ให้บริการเข้าถึง (Mail Server Service Provider), ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต (Internet Data Center) เช่น ผู้ให้บริการเช่า Web Server ผู้ให้บริการรับฝากข้อมูลทางอินเทอร์เน็ต เป็นต้น และกลุ่มผู้ให้บริการร้านอินเทอร์เน็ต (Internet Café), ผู้ให้บริการร้านเกมออนไลน์ (Game Online )

43 การบังคับใช้หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550 (ต่อ…)
การจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์มีเจตนาเพื่อใช้เป็นเครื่องมือสำหรับพนักงานเจ้าหน้าที่ในการระบุและหาตัวผู้กระทำความผิด แต่ถ้าองค์กรใดไม่มีผู้ใช้บริการคอมพิวเตอร์เพื่อไปกระทำความผิดตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เจ้าหน้าที่ตำรวจหรือแม้แต่พนักงานเจ้าหน้าที่ตามพ.ร.บ.ฯ ก็ไม่สามารถดำเนินการเข้าขอตรวจสอบข้อมูลการจราจรทางคอมพิวเตอร์ได้ เพราะโดยเจตนาของตัวกฎหมายแล้ว ข้อมูลการจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการต้องจัดเก็บนั้น เป็นไปเพื่อประโยชน์ในการสืบสวนสอบสวน และการใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิดและหาตัวผู้กระทำความผิด ในกรณีที่มีเหตุอันควรให้เชื่อได้ว่ามีการกระทำความผิดตามพ.ร.บ.นี้

44 แนวทางในการปฏิบัติของผู้ให้บริการในเรื่องการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์
แนวทางในการปฏิบัติของผู้ให้บริการในเรื่องการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์นั้น ผู้ให้บริการจะต้องเร่งดำเนินการตามที่กฎหมายกำหนด โดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้พยายามเผยแพร่ความรู้ในด้านการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ และให้คำแนะนำการใช้ซอฟต์แวร์ที่เป็น Open-Source เพื่อให้สิ้นเปลืองค่าใช้จ่ายน้อยที่สุด ซึ่งสามารถ Download ได้จากเว็บไซต์ของกระทรวงฯ ส่วนการปรับตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล เพื่อให้ข้อมูลจราจรทางคอมพิวเตอร์ที่จัดเก็บมีความถูกต้อง และนำมาใช้ประโยชน์ได้จริงนั้น ผู้ให้บริการสามารถปรับเทียบมาตรฐานเวลา ให้มีความเที่ยงตรงและไม่ให้ผิดพลาดเกินกว่า 10 มิลลิวินาทีตามประกาศฯ ข้อ 9 ได้จากหน่วยงานที่ทำหน้าที่จัดทำและรักษาเวลามาตรฐานประเทศไทยตามระบบสากล อาทิ สถาบันมาตรวิทยาแห่งชาติ กรมอุทกศาสตร์กองทัพเรือ

45 การตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล
ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐ ข้อ ๙ เพื่อให้ข้อมูลจราจรมีความถูกต้องและนํามาใช้ประโยชน์ได้จริง ผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน ๑๐ มิลลิวินาที

46 โปรโตคอลสำหรับใช้เทียบเวลา (Synchronize) กับเวลาอ้างอิงสากล
ตามหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550 ที่ผู้ให้บริการจะต้องจัดเก็บข้อมูลเอาไว้ 90 วัน โดยจะต้องตั้งนาฬิกาของอุปกรณ์ทุกชนิดให้มีความเที่ยงตรงแม่นยำตามเวลาอ้างอิงสากล ซึ่งประกาศนี้จะมีผลบังคับใช้ในวันที่ 23 สิงหาคม 2551 นั้น เพื่อให้ข้อมูลจราจรมีความถูกต้องและนำมาใช้ประโยชน์ได้จริงผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน ๑๐ มิลลิวินาที Network Time (NTP Server) รองรับการทำหน้าที่เป็น Network Time Server ให้กับเครือข่าย โดยสามารถเช็คเวลา (Time Synchronization) กับเวลามาตราฐาน Stratum 1 ได้ เช่น สถาบันมาตรวิทยาแห่งชาติ, กรมอุทกศาสตร์กองทัพเรือ

47 Network Time (NTP Server)
NTP (Network Time Protocol) เป็นโปรโตคอลสำหรับใช้เทียบเวลา (Synchronize) ระหว่างอุปกรณ์ที่ให้บริการเทียบเวลา (Time Server) กับคอมพิวเตอร์หรืออุปกรณ์ที่ต้องการเทียบเวลา (Time Client) ผ่านทางเครือข่ายการสื่อสารต่างๆ โดยโปรโตคอลทำงานที่พอร์ต 123 รายละเอียดอ่านใน NTP_stratum1.docx

48 NTP (Network Time Protocol)
เพื่อให้เครื่อง SERVER ตั้งเวลาที่ถูกต้องตามฐานเวลาในประเทศไทย ผู้ดูแลระบบจำเป็นต้องปรับค่าการตั้งฐานเวลาเอง โดยปกติในระบบปฏิบัติการ จะเปิดบริการ NTP (Network Time Protocol) ให้อัตโนมัติ หลักการติดตั้ง ผู้ดูแลระบบสามารถที่ตั้งค่าเองได้ เพื่อป้องกันความผิดพลาดในการเก็บไฟล์ logต่างๆ อีกทั้งเพื่อให้สอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐ และแก้ไขเพิ่มเติม ตาม พ.ร.บ. (ฉบับที่ ๒) พ.ศ.๒๕๖๐ เรื่องหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ข้อ 9 ดังนี้ ******************* ข้อ ๙ เพื่อให้ข้อมูลจราจรมีความถูกต้องและนํามาใช้ประโยชน์ได้จริง ผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิง สากล (Stratum 0) โดยผิดพลาดไม่เกิน ๑๐ มิลลิวินาที

49 ลักษณะการให้บริการเทียบเวลาของโปรโตคอล NTP
ลักษณะการให้บริการเทียบเวลาของโปรโตคอล NTP จะแบ่งออกเป็นลำดับชั้น เรียกว่า Clock Strata โดยในแต่ละลำดับชั้นจะเรียกว่า Stratum โดยเริ่มต้นที่ Stratum 0 ไปจนถึงลำดับชั้นที่ยอมรับว่ายังมีความเที่ยงตรง คือ Stratum 4 หากมากกว่านี้จะไม่ได้รับการยอมรับตามมาตรฐานที่กำหนดขึ้นมาจากหน่วยงาน ANSI (American National Standards Institute) สำหรับอุปกรณ์คอมพิวเตอร์ที่เทียบเวลากับ Stratum 0 เรียกว่า Stratum 1 ถ้ามีอุปกรณ์คอมพิวเตอร์อื่นๆ ขอเทียบเวลากับ Stratum 1 จะเรียกว่า Stratum 2 ตามลำดับ จนถึง Stratum 4 หมายถึงลำดับของ Stratum ที่มากขึ้นจะมีค่าเวลาที่มีความห่างกับเวลามาตรฐานสากล Stratum 0 มากขึ้นด้วย ระดับของ Stratum ที่สูงขึ้นหมายถึง NTP server จะมีระยะห่างจาก Stratum-1 server มากขึ้น เช่น Stratum-2 หมายถึง NTP Server ที่อ้างอิงเวลามาจาก NTP Server ระดับ Stratum-1, Stratum-3 Server หมายถึง NTP Server ที่อ้างอิงเวลามาจาก NTP Server ระดับ Stratum-2 เป็นอย่างนี้ไปเรื่อยๆ โดยเวลามาตรฐานโลก ที่เรียกว่า “Universal Time Clock (UTC) นับเริ่มต้นที่เมือง กรีนิช ประเทศอังกฤษ เป็น UTC+0 (ประเทศไทย UTC+7)

50 Stratum 0 เป็นลำดับชั้นแรกในการเทียบเวลา ซึ่งใช้อุปกรณ์ที่ทำหน้าที่ Synchronize เวลามาตรฐานสากล โดยไม่มีค่าหน่วงเวลาใดๆ โดยใช้เทคโนโลยีต่างๆ ได้แก่ Atomic Clock, คลื่นยาว (Long wave radio), การส่งสัญญา GPS, เทคโนโลยี CDMA (Code Division Multiple Access คือเทคโนโลยีการสื่อสารไร้สายด้วยระบบดิจิตอลแบบที่ค่ายมือถือใช้) ฯลฯ (การประยุกต์ใช้ GPS จะมีต้นทุนที่ต่ำกว่า Atomic clock มาก แต่จะมีเสถียรภาพที่น้อยกว่า หากสภาพอากาศไม่เหมาะสม GPS จะไม่สามารถรับสัญญาดาวเทียมได้ เป็นต้น) อุปกรณ์ที่เป็น Stratum 0 จะไม่ได้ต่อในระบบ Network แต่จะเชื่อมโดยตรงกับเครื่องที่ทำหน้าที่เป็น Stratum 1 ดังนั้นเซิร์ฟเวอร์ ที่ต่อโดยตรงกับ อุปกรณ์พวก Stratum-0 จะเรียกว่าเป็น Stratum-1 server ซึ่ง Stratum-1 server ถือว่าเป็น Time server ระดับต้น (Primary Time Server) ที่อยู่ในระบบ Network ที่ผู้ใช้บริการ Network Time Protocol (NTP) สามารถมาเชื่อมผ่าน Network มาอ้างอิงเวลาได้

51 Stratum 1 เป็นลำดับที่คอมพิวเตอร์เซิร์ฟเวอร์เชื่อมต่อเข้ากับ Stratum 0 เพื่อขอเทียบเวลาโดยตรงผ่านการเชื่อมต่อในระบบคอมพิวเตอร์ โดยใช้โปรโตคอล NTP ในประเทศไทยมีหน่วยงานที่ทำหน้าที่ระดับ Stratum 1 ได้แก่ สถาบันมาตรวิทยาแห่งชาติ และ กรมอุทกศาสตร์กองทัพเรือ ฯลฯ Stratum 2 เป็นลำดับที่เครื่องคอมพิวเตอร์ที่ร้องขอการเทียบเวลาจากเครื่องคอมพิวเตอร์แม่ข่าย stratum 1 ผ่านระบบเครือข่าย TCP/IP ด้วยการใช้งาน NTP เครื่องคอมพิวเตอร์ในระดับนี้อาจจะร้องขอการเทียบเวลาจาก stratum 1 ได้มากกว่า 1 แหล่งเพื่อรองรับการทำงานแบบทดแทนกันเมื่อไม่สามารถเข้าถึงstratum 1 ตัวใดตัวหนึ่งก็จะสามารถร้องขอการเทียบเวลาจาก stratum 1 ตัวอื่นได้ต่อไป นอกจากนี้เครื่องคอมพิวเตอร์ใน stratum 2 สามารถเทียบเคียงเวลาระหว่างกันแบบ peer-to-peer เพื่อรักษาเวลาให้เทียบเท่ากันในระดับเดียวกัน Stratum 3 เป็นลำดับที่เครื่องคอมพิวเตอร์ที่ร้องขอการเทียบเวลาจากเครื่องคอมพิวเตอร์แม่ข่าย stratum 2 ผ่านระบบเครือข่าย TCP/IP ด้วยการใช้งาน NTP เครื่องคอมพิวเตอร์ในระดับนี้จะสามารถอ้างอิง stratum 2 ได้มากกว่า 1 แหล่ง และสามารถทำงานในรูปแบบ peer-to-peer ได้เช่นเดียวกัน 

52 การประยุกต์ใช้งาน NTP
รูปแบบการทำงานของ NTP จะอยู่ในลักษณะของ Server- Client  ซึ่ง Server จะทำหน้าที่แจกจ่ายเวลาให้กับ Client ที่อยู่ในระดับ stratum ที่ต่ำกว่า แนวทางการเทียบเวลาให้สอดคล้องกับพระราชบัญญัติฯ นั่นคือการกำหนดให้ Client ภายในเครือข่ายขององค์กรขอเทียบเวลาจากเครื่องให้บริการ NTP ในระดับ stratum 1 ซึ่งในปัจจุบันมีเครื่องให้บริการขอเทียบเวลาในรูปแบบ NTP อยู่มากมาย เช่น NTP pool Project ( , Stratum One Time Server Project ( ThaiCERT  มีบริการ stratum 1 ที่ชื่อ clock.thaicert.org และ Kasetsart University มีบริการ Stratum 1 ชื่อ ntp.ku.ac.th

53 FAQ 1 เวลา Stratum แต่ละระดับจะมีความผิดเพี้ยนจาก UTC ได้มากน้อยเพียงใด? Stratum-1 มีค่าความผิดเพี้ยนไม่เกิน 1 มิลลิวินาที จาก UTC Stratum-2 มีค่าความผิดเพี้ยนประมาณ มิลลิวินาที จาก UTC

54 FAQ 2 ทำอย่างไรไม่ให้ NTP มีความผิดพลาดเกิน 10 มิลลิวินาที
โดยทั่วไปเรามักจะกำหนด Server หรืออุปกรณ์ Network ให้ไป Synchronize time กับ NTP Server ใน Internet ปัญหาคือ การออก Internet นั้นต้องผ่าน Firewall, ผ่านอุปกรณ์ Network ต่างๆ มากมาย ทำให้เกิดการหน่วงเวลา และเวลาที่ได้อาจมีความผิดเพี้ยนสูง อาจเกินกว่า 100 มิลลิวินาที Answer: 1. แนวทางแรกคือ ตั้ง NTP Server Stratum-1 ขึ้นมาเองในองค์กร ซึ่งจะทำให้เวลาผิดเพี้ยนน้อยกว่า 10 มิลลิวินาที อย่างแน่นอน 2. แนวทางที่สองคือ ตั้ง NTP Server Straum-2 ขึ้นมา ซึ่งยอมให้เวลาผิดเพี้ยนได้ในระดับ มิลลิวินาที แล้วให้ NTP Server ของเราไป Synchronize time กับ Stratum-1 Server จาก Internet และควรเลือก Stratum-1 NTP Server ในประเทศไทย ดังนั้น NTP Server ที่เราตั้งขึ้นมาจะนับเป็น Stratum-2 Server จากนั้นกำหนดให้ อุปกรณ์ Network หรือ Servers ทุกชนิดในองค์กร Synchronize time มาจาก NTP Server ของเราเอง 3. แนวทางที่สามคือ ไม่ตั้ง NTP Server โดยยังคงกำหนดให้อุปกรณ์ Network หรือ Server ไป Synchronize time ผ่าน Internet โดยพยายามเลือก Stratum-1 Server ซึ่งเวลาก็อาจจะเพี้ยนไปบ้าง เกินกว่า 10 มิลลิวินาทีขึ้นไป ดีกว่าไม่ทำอะไรเลย

55 รายชื่อ NTP Server ของไทย
เอาไว้ Update NTP Client เพื่อเทียบเวลาให้ตรงกับมาตรฐานสากล Name:    ntp.ku.ac.th Address:   Name:    fw.eng.ku.ac.th Address:   Name:    ilm.live.rmutt.ac.th Address:   Name:    time.uni.net.th Address:   Name:    itoml.live.rmutt.ac.th Address:  

56 รายชื่อ NTP Server ของไทย
Name:    delta.cpe.ku.ac.th Address:   Name:   time.navy.mi.th  <<< >>> ปกติใช้อันนี้ Address: Name:    clock.nectec.or.th Address:   Name:    time1.nimt.or.th Address:   Name:    time2.nimt.or.th Address:   Name:    time3.nimt.or.th Address: