เตรียมความพร้อมก่อน พรบ. คอมฉบับใหม่บังคับใช้ : keep yourself alive

สวัสดีครับ

ในที่สุด แม้จะผลักดันให้แก้ไขกันขนาดไหน ในที่สุด พรบ. คอมพิวเตอร์ ฉบับใหม่ก็มีจะมีผลบังคับใช้แล้ว ในฐานะประชาชนคนไทยที่อยู่ภายใต้การบังคับใช้ฯ คงได้แต่ยอมรับชะตากรรมที่กำลังจะเกิดขึ้นและรับมือต่อไป

สำหรับผม มีวิธีการรักษาความปลอดภัยทางคอมพิวเตอร์มาแนะนำ ดังนี้ครับ

หมายเหตุ: ผมไม่สนับสนุนให้ใช้การกระทำการดังกล่าวกับการกระทำผิดกฎหมายใดๆ ทั้งสิ้นนะครับ เป็นแต่เพียงการป้องกันตัวเองจากอัตรายที่อาจจะเกิดขึ้นได้โดยไม่ตั้งใจ และผมไม่รับผิดชอบใดๆ หากเกิดความเสียหายอันเนื่องมาจากการกระทำการตามที่แนะนำต่อไปนี้นะครับ

การเก็บข้อมูล/หลักฐาน (การแคป) : ไม่แคปแล้วเก็บไว้เอง

หนึ่งในการแก้ไขใหม่ คือในมาตรา 14 ที่กำหนดให้ข้อมูลอันเป็นเท็จก็เป็นความผิด แต่ไม่มีการนิยามหรือยกเว้นการเก็บรักษาข้อมูลเพื่ออ้างอิงในเชิงประวัติศาสตร์ ทำให้เป็นที่น่าระแวงได้ว่าหากมีการเก็บข้อมูลแล้วภายหลังหน่วยงานของรัฐระบุว่าเป็นความเท็จ/ผิดกฎหมาย การเก็บข้อมูลนั้นไว้กับตัวอาจจะทำให้ผิดตาม พ.ร.บ. ได้

การแก้ปัญหากรณีนี้ที่ง่ายที่สุด คือการเก็บไว้กับบุคคลที่ 3 ที่อยู่นอกประเทศไทยหรือไม่อยู่ในบังคับของกฎหมายไทยแต่อย่างใด ซึ่งในปัจจุบันก็มีหลายเจ้าที่เปิดให้บริการ cloud storage ฟรี หากบันทึกไว้เป็นไฟล์ก็สามารถเก็บข้อมูลนั้นไว้ได้

แต่สำหรับการเก็บเว็บไซต์ ผมแนะนำให้ใช้บริการ web archive เช่น archive.is เนื่องจากบริการเหล่านี้นอกจากจะเก็บบันทึกข้อมูลในฐานะบุคคลที่ 3 นอกประเทศไทยแล้ว ยังสามารถสืบค้นตาม URL และช่วงเวลาที่มีการบันทึกไว้ โดยเฉพาะ archive.is เองก็มีการทำ screen capture เป็นไฟล์ภาพให้เสร็จ เปิดให้ดาวน์โหลดเว็บเป็น .zip และทำ short URL ได้ทั้งตัวหน้าเว็บเองและ text hilight ที่เราต้องการได้ด้วย

ตัวอย่างการบันทึกหน้าเว็บด้วย archive.is

ตัวอย่างการบันทึกหน้าเว็บด้วย archive.is (ดูหน้าเว็บนี้ได้ที่ https://archive.is/3RpCF)

อย่างไรก็ตาม ก็ยังต้องระมัดระวังในการใช้ชื่อผู้ใช้/ข้อมูลที่สามารถสืบเนื่องไปถึงตัวเองได้ และการให้ผู้อื่นเข้าถึงได้ก็ยังเป็นความผิดอยู่ดี จึงควรระมัดระวังในการส่งต่อแม้จะผ่านบริการเหล่านี้แล้วก็ตาม

เข้ารหัสอยู่เสมอ : https, encrypted message และ 2-factor authentication

การเข้ารหัสในการส่งข้อมูลออกไปยังโลกภายนอก นอกจากทำเพื่อการปกปิดข้อมูลที่อ่อนไหวแล้ว ยังช่วยให้มั่นใจได้ว่าข้อมูลที่ส่งออกไปจะถูกเห็นเฉพาะผู้รับข้อมูลที่แท้จริงเท่านั้น ไม่ถูกทำ man-in-the-middle attack อีกด้วย ซึ่งมีหลายวิธี เช่น

การบังคับให้ใช้ https ในการเข้าถึงหน้าเว็บต่างๆ สำหรับ chrome และ firefox สามารถติดตั้ง https everywhere เพื่อบังคับได้ (อ่านรายละเอียดได้ที่ Thai Netizen networks) สำหรับผู้ให้บริการเว็บไซต์ สามารถ

2-factor authentication เป็นการยืนยันตนเองซ้ำนอกเหนือจากการใช้รหัสผ่าน เพื่อป้องกันเหตุกรณีถูกขโมยรหัสผ่าน เช่นการใช้ OTP ผ่าน SMS หรือ Code generator เป็นต้น หลายบริการ โดยเฉพาะเครือข่ายสังคมออนไลน์มีบริการลักษณะนี้อยู่แล้ว หากเป็นไปได้ควรเปิดใช้

– Encrypted message เป็นการเข้ารหัสข้อความ คู่สนทนาจะมีรหัสสำหรับการสนทนาแต่ละครั้งโดยเฉพาะ การอ่านข้อความจำเป็นต้องมีรหัส ในระบบสนทนาหลายแห่ง เช่น Line, Telegram หรือ Signal มีให้ใช้ ควรเปิดใช้

Password manager : ใครเขาจำรหัสกัน!

หลายครั้งเราไม่สามารถตั้งรหัสที่ซับซ้อนมากๆ หรือไม่ซ้ำกันในแต่ละบริการได้เนื่องจากความยุ่งยากในการจดจำ การใช้งาน Password manager เช่น KeePass หรือ 1Password นอกจากจะช่วยให้เราสามารถเข้ารหัสรหัสผ่านเก็บไว้ในที่ที่เรารู้โดยเฉพาะ รหัสผ่านที่เรารู้โดยเฉพาะ หรือกระบวนการอื่นผสม (เช่น private key file, OTP Challenge เป็นต้น) แล้ว ยังมีรูปแบบการสร้างรหัสผ่านที่ทำให้รหัสผ่านมีความยุ่งยากสูง อีกทั้งยังมีเครื่องมือช่วยในการกรอกรหัสผ่าน (เช่น software keyboard ของ KeePass เป็นต้น) ทำให้การจดจำรหัสผ่านทำได้ง่าย ในขณะเดียวกันยังง่ายต่อการป้องกันบุคคลที่ 3 ในการเข้าถึงบริการของเราโดยไม่ได้รับความยินยอมก่อนได้

ตัวอย่างหน้าจอ KeePass ที่ผมใช้ จะเห็นว่าเราสามารถแยกการเก็บรหัสผ่านของแต่ละบริการได้โดยที่เราไม่จำเป็นต้องรู้รหัสผ่านที่สร้างออกมาด้วยซ้ำ เวลาใช้ก็แค่กด Ctrl+V (กรณีสะดวกให้โปรแกรมพิมพ์ให้) หรือ Ctrl+C (กรณีต้องคัดลอกรหัสผ่านไปแปะเอง)

ก็ได้แต่หวังว่าคงจะ keep yourself alive ต่อไปกันได้ทุกคน ไม่โดนจับกันซะก่อนนะครับ