การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยการใช้คลาวด์ ตอนที่ 1

                ถ้าเราถามองค์กรที่ใช้ไอซีทีว่า พร้อมที่จะใช้บริการคลาวด์คอมพิวติงหรือยัง จะได้คำตอบคล้ายกันมาก คือ “….อยากใช้ครับ แต่ไม่แน่ใจว่าจะปลอดภัย…”

ความไม่แน่ใจในความปลอดภัย กลายเป็นประเด็นที่ชลอการเติบโตของการบริการไอซีทีแบบสาธารณูปโภค ในตัวผู้บริโภคเอง ส่วนใหญ่ยังไม่เข้าใจในเรื่องของความมั่นคงปลอดภัย ทั้งที่จะได้รับจากผู้ให้บริการ และระดับการคุ้มครองจากภาครัฐในเรื่องข้อมูล และการได้รับคุ้มครองความเป็นธรรมในฐานะผู้บริโภค ในส่วนผู้ให้บริการเอง ก็ยังไม่มีการประกาศที่ชัดเจน เรื่องหน้าที่และความรับผิดชอบต่อผู้รับบริการ เรียกได้ว่า ยังไม่มีหน่วยงานใดออกมาทำความกระจ่างเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยจากการใช้คลาวอย่างชัดเจน ตราบใดที่สังคมไทยยังกังวลในเรื่องของความปลอดภัย และยังไม่สามารถประมาณระดับความเสี่ยงของตนเองได้ ก็ยากที่จะมีผู้กล้าตัดสินใจนำระบบงานและข้อมูลไปฝากไว้กับศูนย์บริการ ไม่ว่าศูนย์จะมีข้อเสนอดีอย่างไรก็ตาม การประหยัด และความเป็นเลิศของการบริหารโครงสร้างพื้นฐานด้านไอซีทีที่ผู้ให้บริการนำเสนอ กลายเป็นเรื่องรองที่ไม่สามารถสร้างแรงจูงใจให้เกิดการตัดสินใจใช้บริการคลาวได้อย่างแน่นอน

              การสร้างความมั่นใจและความไว้วางใจในบริการคลาวด์คอมพิวติงด้วยมาตรการกำหนดเป็นนโยบายและกฎหมาย มีทั้งเรื่องการตราพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และนโยบายว่าด้วยความมั่นคงปลอดภัยที่เกี่ยวกับการใช้บริการคลาวด์คอมพิวติง

การคุ้มตรองข้อมูลส่วนบุคคล (Data Protection) เป็นการคุ้มคองผู้บริโภค และเจ้าของข้อมูล โดยกำหนดให้ผู้จัดเก็บข้อมูลต้องปฎิบัติต่อข้อมูลที่ไม่เป็นภัยต่อเจ้าของข้อมูล ประเทศไทยได้ร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมาตั้งแต่ปี พศ 2545 และได้รับการปรับปรุงแก้ไขมาแล้วหลายรอบ จนสุดท้ายได้รับความเห็นชอบจากคณะรัฐมนตรีแล้ว ขณะนี้ ยังอยู่ในระหว่างรอการพิจารณาจากสภาผู้แทนราษฎร

              สำหรับความมั่นคงปลอดภัยเกี่ยวกับการใช้บริการคลาวด์ (Cloud Security) นั้นมีทั้งประเด็นที่เกี่ยวกับการใช้เทคโนโลยี และข้อกำหนด กฎระเบียบ รวมทั้งนโยบายเกี่ยวกับการใช้และให้บริการ ซึ่งจำเป็นต้องมีผู้รับผิดชอบทำหน้าที่ตราเป็นกรอบให้ปฎิบัติได้ระดับหนึ่ง (Cloud Security Framework, CSF) CSF จะช่วยสร้างความกระจ่าง ถึงความเสี่ยง และมาตรการการป้องกันความเสี่ยงที่ชัดเจน รวมทั้งมีข้อชี้แนะการปฎิบัติที่ดี (Best practices) ที่นำไปสู่การใช้บริการ และการให้บริการอย่างปลอดภัย ประเทศสิงคโปร์ได้แนะนำข้อกำหนดด้านความมั่นคงปลอดภัยเป็นหกประการดังนี้

1.          เทคโนโลยี (Technology) ให้สังคมเข้าใจถึงความเสี่ยงที่เกี่ยวกับการใช้เทคโนโลยีใหม่ ๆ เช่น Virtualization เป็นต้น

2.          ความตระหนัก (Awareness) ในด้านความปลอดภัย ให้มีมาตรการสร้างความเข้าใจแก่ผู้ที่เกี่ยวข้อง ด้านความเสี่ยงที่อาจเกิดขึ้นจากการใช้บริการคลาว ผู้ให้บริการเองก็ต้องตระหนักถึงความรับผิดชอบ ที่ต้องให้บริการอย่างมีความปลอดภัยสูงสุด

3.          การจัดประเภท (Classification) ความเสี่ยง เป็นการจัดประเภทความเสี่ยงที่แตกต่างของธุรกิจ และระบบงานขององค์กร เพื่อการบริหารความเสี่ยงได้อย่างเหมาะสม เช่นการจัดประเภทระหว่างกลุ่ม ระบบ Back office และ Front office ระบบของธุรกิจการเงิน การบริการโทรคมนาคม การบริการทางการแพทย์ ฯลฯ

4.          มาตรฐาน (Standard) ที่เกี่ยวข้องกับความมั่นคงปลอดภัย ตั้งแต่กระบวนการปฎิบัติทั้งในฝั่งผู้รับบริการและผู้ให้บริการ ที่จะนำไปสู่ความมั่นคงปลอดภัย เช่นมาตรการที่ผู้ใช้ต้องปฎิบัติตามข้อแนะนำของผู้ให้บริการเกี่ยวกับการใช้บริการคลาว ข้อสัญญาที่เป็นมาตรฐาน ข้อตกลงระดับบริการ (Service Level Agreement, SLA) และการปฎิบัติงานที่ดี (Best practices) อื่น ๆ

5.          Certification เพื่อให้การบริหารจัดการการใช้คลาวอย่างปลอดภัย รวมทั้งการส่งเสริมให้ปฎิบัติการตามมาตรฐานที่กล่าว อาจต้องมีมาตรการใช้การรับรอง (Certification) ในหมวดเกี่ยวกับการใช้คลาวอย่างปลอดภัย ในลักษณะใกล้เคียงกับการรับรอง ISO27001 ว่าด้วยระบบการจัดการความมั่นคงและปลอดภัยด้านสารสนเทศ

6.          Policy & regulation เพื่อให้การปฎิบัติเกี่ยวกับความมั่นคงปลอดภัย ครอบคลุมทั้งผู้ใช้บริการ และผู้ให้บริการ อาจจำเป็นต้องพัฒนากรอบของนโยบายและข้อปฎิบัติ (Policy and regulatory framework) เพื่อให้มั่นใจว่าสังคมไทยสามารถนำไปปฎิบัติเพื่อให้เกิดผลได้ง่ายและทั่วถึงกัน

           เรื่องที่กล่าวโดยสรุปข้างต้น เป็นเรื่องสำคัญทั้งสิ้น แต่แปลกใจมากที่ไม่มีการพูดคุยกันในสังคมคลาวมากนัก  ก่อนที่พวกเราจะส่งเสริมและสนับสนุนการใช้คลาวอย่างจริงจัง จะโดย Government Cloud หรือ Public Cloud อยากเห็นหน่วยงานที่รับผิดชอบ และผู้ที่มีส่วนได้เสียทั้งหลาย ได้ทำเรื่องนี้อย่างจริงจัง เพื่อความยั่งยืนของการบริการสาธารณูปโภคชนิดใหม่ ที่มีความสำคัญต่อการส่งเสริมการใช้เทคโนโลยีเพื่อการพัฒนาเศรษฐกิจ สังคม การศึกษา การเมือง และการแข่งขัน หลายประเทศในอาเซียน กำลังหยิบประเด็นบริการคลาวคอมพิวติงเป็นจุดดึงดูดการลงทุนเข้าประเทศ คลาวจะกลายปัจจัยสำคัญของการแข่งขัน จึงเป็นวาระสำคัญของการเตรียมตัวเข้าสู่ AEC ด้วย

บทต่อไป ผมจะนำเสนอเรื่อง ร่างพรบว่าด้วยการคุ้มครองส่วนบุคคล