ในบทความที่แล้ว (บริหารจัดการข้อมูลตามหลัก PDPA ด้วย Data Lifecycle Management) เราได้อธิบายวงจรชีวิตของข้อมูล (Data Life Cycle) กันเป็นที่เรียบร้อยไปแล้วว่าตัวข้อมูลเองก็มีอายุของมันเองเช่นกัน ในบทความนี้เราจะมาอธิบายเพิ่มเติมให้เห็นว่าการเก็บ Log นั้น เกี่ยวข้องและสำคัญกับ PDPA อย่างไร
หลายคนอาจสงสัยว่า PDPA บังคับเก็บ Log ด้วยหรือไม่? Log มาเกี่ยวอะไรกับเรื่องนี้? ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ไม่ได้มีระบุเอาไว้ว่าให้ทำการเก็บ Log เป็นจำนวนกี่วัน แต่ พ.ร.บ. คอมพิวเตอร์ ที่บังคับใช้ตั้งแต่ปี 2550 กำหนดไว้ว่าทางบริษัทต้องจัดเก็บ Log จุดประสงค์ของ พ.ร.บ. คอมพิวเตอร์เพื่อที่ต้องการให้ความผิดในโลกดิจิทัลมาเป็นความผิดในโลกของความเป็นจริง ในปัจจุบันประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องหลักเกณฑ์การจัดเก็บ Log ที่ประกาศในปี 2564 ก็เป็นเหตุผลหนึ่งที่มีว่าทำไมเราถึงต้องจัดเก็บ Log อีกเหตุผลหนึ่งก็คือองค์กรต้องมีหลักฐานว่าเกิดเหตุการณ์อะไรขึ้นบ้างในโลก Digital ถ้าเป็นในโลกของความเป็นจริง เราจะใช้กล้องวงจรปิดบันทึกภาพเพื่อเป็นหลักฐานในโลกของความจริงแต่ในโลกของดิจิทัล หลักฐานเดียวที่มีนั่นก็คือตัว Log นั่นเอง
Log คือ คือบันทึกข้อมูลที่ระบบหรือแอปพลิเคชันต่างๆ สร้างขึ้นเมื่อเกิดเหตุการณ์หรือกิจกรรมต่าง ๆ ที่สำคัญ บันทึกในรูปแบบไฟล์ ฐานข้อมูล หรือแม้แต่รูปแบบข้อมูลที่ไม่ใช่ข้อความ เช่น บันทึกเสียง บันทึกวิดีโอ หรือบันทึกแพคเกจข้อมูลในระบบเครือข่าย มักถูกนำมาใช้ในการตรวจสอบปัญหา วิเคราะห์ประสิทธิภาพ ตรวจสอบความปลอดภัย หรือปฏิบัติตามข้อกำหนดทางกฎหมาย โดยปกติแล้ว บันทึกจะระบุเหตุการณ์ที่เกิดขึ้นพร้อมกับเวลา วันที่ และอื่นๆ ถ้าให้เห็นภาพง่ายๆ Log ก็คือสมุดไดอารี่ที่สาวๆ ชอบเขียนกันนี่เอง ต่างกันตรงไดอารี่เล่มนี้เขียนละเอียดแบบรายวินาที หรือเสี้ยววินาทีกันทีเดียว การเก็บ Log ก็สามารถเก็บได้จากหลายที่มา ยกตัวอย่างเช่น Fire Walls, Servers, Database และอื่นๆ
จะเห็นได้ว่า Log ที่เราพูดถึง หรือเคยได้ยินกันนั้นเกิดขึ้นมาได้ยังไง เกิดมาเพื่ออะไร ส่วนการใช้ประโยชน์จาก Log ก็ค่อนข้างตรงไปตรงมา นั้นก็คือใช้เป็นหลักฐาน จากการจดบันทึกข้อมูลขององค์กร เพื่อให้สืบสาวราวเรื่องได้ว่าเหตุการณ์ต่างๆ นั้นเริ่มมาจากอะไร เกิดจากช่องโหว่หรือความผิดพลาดตรงไหน ยกตัวอย่างเช่น องค์กร ก.ไก่ เป็นบริษัทเกี่ยวกับการทำการตลาด ได้มีการเก็บข้อมูลส่วนบุคคลของลูกค้าเพื่อประโยชน์ทางการสื่อสารโดยได้มีการขอคำยินยอมจากลูกค้าทุกครั้ง แต่แล้ววันหนึ่งลูกค้ากลับมาฟ้องร้องว่า องค์กร ก.ไก่ นำข้อมูลไปใช้โดยไม่ได้รับหากองค์กร ก.ไก่ ไม่ได้มีหลักฐานที่เป็น Log file บันทึกไว้ว่าลูกค้าผู้นี้ได้ให้คำยินยอม ก็อาจจะตกเป็นฝ่ายผู้มีความผิดได้ เราสามารถนำ Log นี้ไปใช้ในชั้นศาลเพื่อแสดงความบริสุทธิ์ขององค์กรได้นั่นเอง
เจ้า Log ที่เราพูดถึงกันอยู่รูปร่างหน้าตานั้นมีหน้าตาแปลกประหลาดมากเลยทีเดียว น้อยคนนักที่จะสามารถอ่านและทำความเข้าใจได้ เราจึงต้องมีวิธีการจัดการ Log เพื่อให้สามารถนำมาสร้างประโยชน์ให้ได้ โดยมีขั้นตอน 5 ขั้นตอนดังต่อไปนี้
- การรวบรวมบันทึก (Log Collection): การเก็บรวบรวมบันทึกจากแหล่งที่มาต่าง ๆ โดยใช้วิธีการได้หลายแบบ เช่น การส่งบันทึกข้ามเครือข่าย (Log Forwarding) การรวมบันทึก (Log Aggregation) หรือการใช้เครื่องมือหรือตัวแทนสำหรับรวบรวมบันทึก (Log Agents or Connectors)
- การจัดเก็บบันทึก (Log Storage): การจัดเก็บบันทึกแบบรวมศูนย์ (Centralized Log Repository) ซึ่งอาจเป็นระบบเซิร์ฟเวอร์บันทึก (Log Server) หรือฐานข้อมูลบันทึก (Log Database) ระบบจัดการบันทึก (Log Management Platform) ซึ่งควรมีความสามารถในการจัดเก็บข้อมูลจำนวนมากและรองรับการเก็บบันทึกที่เพิ่มขึ้นได้
- การวิเคราะห์และค้นหาบันทึก (Log Analysis and Search): การวิเคราะห์และค้นหาข้อมูลในบันทึกเพื่อสกัดข้อมูลที่มีความสำคัญและระบุรูปแบบหรือเหตุการณ์ที่ผิดปกติ มีเครื่องมือและเทคนิคในการกรอง แยกส่วน และแสดงข้อมูลบันทึกอย่างเหมาะสม การค้นหาข้อมูลที่มีความสำคัญตามคำสำคัญ การใช้นิพจน์ทางคณิตศาสตร์เพื่อค้นหา และการสอบถามบันทึกอย่างละเอียดเพื่อหาเหตุการณ์เฉพาะ
- การเก็บรักษาและเก็บถาวรบันทึก (Log Retention and Archiving): การกำหนดนโยบายในการเก็บรักษาและเก็บถาวรบันทึกตามความต้องการด้านความปลอดภัยข้อกำหนดข้อจำกัด การตรวจสอบความเข้ากันได้กับข้อกำหนดของกฎหมาย หรือความต้องการด้านปฏิบัติ บันทึกอาจต้องเก็บรักษาเป็นเวลาหนึ่งช่วงเพื่อให้สอดคล้องกัน
- การรายงานและการแจ้งเตือน (Log Reporting and Alerting): กระบวนการสร้างรายงานและแจ้งเตือนจากข้อมูลบันทึกเหตุการณ์ที่สำคัญ รายงานและการแจ้งเตือนช่วยให้ผู้ดูแลระบบและผู้ที่เกี่ยวข้องสามารถติดตามและรับทราบข้อมูลเหตุการณ์ที่เกิดขึ้นในระบบได้
จาก 5 ขั้นตอนที่กล่าวไปจะเห็นได้ถึงขั้นตอนและความยุ่งยากที่อาจเกิดขึ้นกับผู้ที่มีหน้าที่ดูแลเรื่องเหล่านี้ ซึ่งในปัจจุบันบริษัท ไซเบอร์ อีลีท จำกัด ได้มีการพัฒนาซอฟต์แวร์ที่ชื่อว่า LogYou ที่ถูกพัฒนาโดยทีมวิจัยและพัฒนาจากบริษัทฯ เพื่อเข้ามาช่วยแก้ไขความยุ่งยากที่เกิดขึ้นในกระบวนการจัดการเหล่านี้ อีกทั้งยังสามารถนำ Log มาประมวลผลให้เกิดเป็นภาพ (Virtualization) เพื่อให้การอ่าน Log ทำได้ง่ายขึ้น เข้าใจง่ายกว่าภาษาคอมพิวเตอร์ทั่วๆ ไป และที่สำคัญคือใช้เวลาน้อยกว่า ในบทความหน้าเราจะพาทุกท่านไปรู้จักกับ Log You แบบเจาะลึกเพื่อให้เห็นได้ว่า Log Management นั้นง่ายแค่ไหน