กรอบการดำเนินงานของ National Root CA ของประเทศไทย
รูปแบบการให้บริการด้วยวิธีทางอิเล็กทรอนิกส์ผ่านเครือข่ายสาธารณะในปัจจุบันได้รับความนิยมเพิ่มมากขึ้น
โดยเฉพาะในรูปแบบการทำ e-Transaction หรือ e-Commerce
ทั้งในหน่วยงานภาครัฐและเอกชน ทั้งนี้ เพื่อให้เกิดความเชื่อมั่นในธุรกรรมอิเล็กทรอนิกส์ที่เกิดขึ้น
จำเป็นจะต้องมีการสร้างมาตรการในการรักษาความปลอดภัยของข้อมูลและการยืนยันตัวบุคคลในกระบวนการดังกล่าว
ซึ่งสามารถใช้เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key
Infrastructure: PKI) สำหรับการยืนยันตัวตนในโลกอิเล็กทรอนิกส์
ในปัจจุบันประเทศไทยได้มีผู้ให้บริการที่เกี่ยวข้องกับเทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะซึ่งเรียกว่า
ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
(Certification Authority: CA) เกิดขึ้นหลายราย ซึ่งทำหน้าที่ในการออกใบรับรองอิเล็กทรอนิกส์เพื่อพิสูจน์และยืนยันตัวบุคคลในโลกอิเล็กทรอนิกส์
อย่างไรก็ตาม ในการใช้งานได้เกิดปัญหาการทำงานร่วมกันระหว่างระบบที่มีการใช้ใบรับรองอิเล็กทรอนิกส์ที่ออกโดย
CA ต่างรายกัน
(Interoperability) ด้วยเหตุนี้ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงได้ลงความเห็นว่า
ประเทศไทยควรมีระบบการมอบความไว้วางใจ (Trust Model) ในรูปแบบ
Root CA เนื่องจากได้พิจารณาแล้วเห็นว่า เป็นรูปแบบที่สามารถเกิดขึ้นได้ง่าย
และมีความเหมาะสมกับสภาพแวดล้อมทางธุรกิจของประเทศไทย ทั้งนี้ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารในฐานะผู้ดูแล
ได้มอบหมายให้สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) เป็นผู้ดำเนินการจัดตั้ง
National Root CA (NRCA) ขึ้น เมื่อเดือนสิงหาคม 2550
ที่ผ่านมา
การดำเนินงานของ
NRCA นั้น
ได้มีการกำหนด Milestone ในการดำเนินงาน ดังต่อไปนี้
การดำเนินงานในระยะแรกนั้น ได้มีการเตรียมความพร้อมของสภาพแวดล้อมต่างๆ
ในการให้บริการอย่างมั่นคงปลอดภัยและมีประสิทธิภาพ อันประกอบไปด้วย
บุคลากรที่มีความเชี่ยวชาญตามมาตรฐานวิชาชีพ เจ้าหน้าที่ให้บริการตลอด 24 ชั่วโมง
7 วัน การพัฒนาเว็บไซต์ NRCA (http://www.nrca.go.th)
ที่มีความพร้อมใช้งาน (Availability) ไม่ต่ำกว่า
99% การให้บริการตามฟังก์ชันงาน ได้แก่ การรับลงทะเบียน
การออกใบรับรอง การเพิกถอน/ต่ออายุ การเผยแพร่ใบรับรอง รวมถึงการจัดทำเอกสารแนวนโยบาย/แนวปฏิบัติ
(CP/CPS) ของ NRCA ที่สอดคล้องกับมาตรฐานสากล
สำหรับการดำเนินการในระยะถัดไปนั้น
NRCA จะมีการออกใบรับรองให้กับ
Licensed CA ในประเทศไทย
เพื่อให้สามารถติดต่อสื่อสาร และสร้างความเชื่อมั่นระหว่างกันได้ รวมไปถึงการทำ Interoperability
กับต่างประเทศ เพื่อสนับสนุนการทำงานร่วมกันในระดับสากลต่อไป
- การขับเคลื่อนของ Thailand PKI Forum และความพร้อมของ
สบทร. ในการดำเนินงาน NRCA
ดร.ศักดิ์ เสกขุนทด
ในฐานะประธานสมาคม Thailand PKI Forum และผู้อำนวยการ
สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ ได้ชี้แจงในงานสัมมนา National Root CA
ว่า ในการประชุม Thailand PKI Forum ได้มีการหารือในประเด็นที่มีความเกี่ยวข้องกับการดำเนินงานของ
NRCA อย่างต่อเนื่องและสม่ำเสมอ เพื่อสร้างแนวทางที่ชัดเจน
เหมาะสมและเตรียมความพร้อมในการให้บริการในอนาคต ทั้งนี้ หัวข้อที่จะหารือในลำดับถัดไปจะเกี่ยวกับแนวทางการดำเนินงานการย้ายโครงสร้างของ
CA ให้อยู่ภายใต้ NRCA (Transition) โดยให้มีผลกระทบน้อยที่สุด
รวมทั้งการเสริมสร้างความเข้าใจกับผู้ใช้งานด้วย
อย่างไรก็ตาม
การที่สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.)
ได้รับมอบหมายจากกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ให้ดำเนินการจัดตั้ง NRCA นั้น เนื่องจาก
สบทร. เป็นหน่วยงานภาครัฐที่ได้มีการวิจัยและพัฒนา
และให้บริการใบรับรองอิเล็กทรอนิกส์อย่างต่อเนื่อง มาตั้งแต่ปี 2541 ทั้งนี้ สบทร.ได้เตรียมความพร้อมอย่างต่อเนื่องที่จะสร้างความมั่นคงปลอดภัยตามมาตรฐานสากล
และได้รับการรับรองระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC
27001: 2005 ตั้งแต่เดือนธันวาคม 2549
เป็นต้นมา
- ความเชื่อมั่นของผู้ให้บริการใบรับรองอิเล็กทรอนิกส์
(CA) ที่มีต่อ NRCA
ดร.ทัศไนย เปียระบุตร
ผู้แทนจากบริษัท ทีโอที จำกัด (มหาชน) ซึ่งถือเป็นผู้ให้บริการใบรับรองอิเล็กทรอนิกส์รายหนึ่งของประเทศ
กล่าวว่า บริษัท ทีโอที จำกัด (มหาชน) ได้เล็งเห็นถึงความสำคัญของการนำเทคโนโลยี PKI
เข้ามาใช้งาน เนื่องจากบริการหลักของ บริษัท ทีโอที จำกัด (มหาชน)
เป็นบริการทางด้านระบบเครือข่าย จึงมีความเสี่ยงในเรื่องความปลอดภัยของข้อมูลที่มีชั้นความลับ
ทั้งนี้ ดร.ทัศนัย มีความเห็นว่า ตนมีความมั่นใจในการดำเนินงานของ NRCA และเห็นว่าผู้ให้บริการ CA ต่างๆ ควรได้รับการตรวจสอบเพื่อความมั่นคงปลอดภัยในการให้บริการ
ดร.อโนทัย ศรีกิจจา
ผู้แทนจากบริษัท กสท โทรคมนาคม จำกัด (มหาชน) กล่าวว่า ได้นำเทคโนโลยี PKI เข้ามาให้บริการเนื่องจากมองว่าในอนาคตจะมีการแลกเปลี่ยนข้อมูลสำคัญระหว่างหน่วยงานภาครัฐ
ซึ่งข้อมูลเหล่านั้นควรได้รับการรักษาความปลอดภัยในระดับสูง รวมไปถึง การดำเนินงานภายใต้กรอบ
FTA ที่ระบุว่า ข้อมูลที่มีการรับ
ส่ง ระหว่างประเทศในอนาคตจะต้องเป็น Paperless เท่านั้น
จึงจำเป็นจะต้องมีการยืนยันตัวบุคคล โดยใช้งานใบรับรองอิเล็กทรอนิกส์จาก CA
ที่มีความน่าเชื่อถือ ทั้งนี้ การจัดตั้ง NRCA จะทำให้เกิดการทำ Interoperability ระหว่างประเทศ
ทำให้ธุรกรรมระหว่างประเทศมีความน่าเชื่อถือมากยิ่งขึ้น อย่างไรก็ตาม ดร.อโณทัย
ค่อนข้างกังวลในเรื่องการปรับเปลี่ยนโครงสร้างเพื่อมาอยู่ภายใต้ NRCA ซึ่งขอให้มีการกำหนด Transition ให้เหมาะสมและเกิดผลกระทบต่อผู้ประกอบการน้อยที่สุด
คุณโอฬาร วัฒนาสว่าง ผู้แทนจากบริษัท
ไทยดิจิทัล ไอดี จำกัด กล่าวว่า บริษัทฯ ได้ดำเนินธุรกิจทางด้านการเงิน (e-Payment)
ในลักษณะ B2B ซึ่งถือเป็นธุรกิจที่มีความเสี่ยงค่อนข้างสูง
จึงได้ดำเนินธุรกิจทางด้าน CA ขึ้นมาควบคู่
เพื่อเสริมสร้างความสมบูรณ์และปลอดภัยในการใช้งาน Application ต่างๆ โดยเห็นว่า การจัดตั้ง NRCA ขึ้นในประเทศไทยจะทำให้ผู้ใช้บริการถือใบรับรองเพียงใบเดียว
และสามารถใช้งานได้ทุก Application ในลักษณะ ATM Pool
และมีความเห็นว่า การจัดตั้ง NRCA จะทำให้ตลาดของใบรับรองอิเล็กทรอนิกส์
ขยายตัวขึ้นอีกด้วย
คุณวัชรพงษ์ ยะไวทย์ ผู้แทนจากบริษัท Max Savings จำกัด ซึ่งดำเนินธุรกิจทางด้าน
PKI Application และเติบโตมาพร้อมกับการพัฒนา e-Commerce
ของประเทศไทย ได้ให้มุมมองทางด้านผู้ใช้งานว่า NRCA ในฐานะหน่วยงานระดับประเทศ
ควรมีการพิจารณาให้มีการนำใบรับรองของประเทศไทยไปไว้ใน Microsoft Trusted
List เพื่อให้เกิดความน่าเชื่อถือและสะดวกในการใช้งานมากยิ่งขึ้น
- โครงการในระดับประเทศในอนาคต
การที่ประเทศไทยเริ่มดำเนินการ NRCA จะก่อให้เกิดการผลักดันให้โครงการต่างๆ
ในระดับประเทศที่มีความเกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์ประสบความสำเร็จได้รวดเร็วขึ้น
ดังจะเห็นได้จากโครงการดังต่อไปนี้
1) โครงการ CA to CA ภายใต้กรอบ ASEAN
เป็นการทดสอบการทำงานร่วมกันระหว่างระบบ (Interoperability) ระหว่าง CA ในประเทศสมาชิก ASEAN ซึ่งประเทศไทยได้รับมอบหมายให้เป็นเจ้าภาพในโครงการนี้
โดยในระยะเริ่มแรกนั้น คาดว่าจะดำเนินการทดสอบการทำงานร่วมกันระหว่างระบบ (Interoperability)
ระหว่าง 4 ประเทศ อันได้แก่ ไทย มาเลเซีย สิงคโปร์ และฟิลิปปินส์ ซึ่งจะทำให้ได้
Interoperability Framework ในการทำงานร่วมกันระหว่างประเทศ เพื่อเป็นแนวทางในการติดต่อสื่อสารกันได้ในอนาคต
ทั้งนี้โครงการดังกล่าวมีระยะเวลาดำเนินโครงการ 1 ปี และจะเริ่มดำเนินโครงการในเดือนมีนาคม
2551
2) โครงการ FTA ระหว่างไทยและออสเตรเลีย
(TAFTA)
นายกรัฐมนตรีของประเทศไทยและประเทศออสเตรเลียได้มีการเจรจาความตกลงทางการค้าเสรีระหว่างกัน
เมื่อวันที่ 30 พฤษภาคม 2545 และลงนามมีผลบังคับใช้เมื่อ 1 มกราคม 2548
โดยมีประเด็นสำคัญของ TAFTA
3 เรื่อง คือ การค้าไร้กระดาษ การสร้างความร่วมมือ
และการจัดการทางด้านเทคโนโลยี ซึ่งการค้าไร้กระดาษ (Paperless Trading) ถือเป็นจุดเริ่มต้นของการยืนยันตัวบุคคลทางอิเล็กทรอนิกส์ที่จะต้องมีการนำเทคโนโลยี
PKI มาใช้งาน
3) โครงการ National Single Window Exchange
ที่มา : Study
and Analysis for the Development of Thailand Single Window e-Logistics
Systems
โครงการ
Single Window
e-Logistics หรือโครงการระบบอำนวยความสะดวกด้านการค้าแก่ผู้นำเข้าและผู้ส่งออก
เป็นโครงการที่ได้รับความเห็นชอบจากคณะรัฐมนตรี ภายใต้ยุทธศาสตร์การพัฒนาโลจิสติกส์ของประเทศไทย
โดยจะต้องมีระบบโลจิสติกส์ที่ได้มาตรฐานสากล
เพื่อสนับสนุนการเป็นศูนย์กลางธุรกิจและการค้าของภูมิภาคอินโดจีน
ในปัจจุบันได้มีการพัฒนามาใช้ระบบอิเล็กทรอนิกส์ในขั้นตอนโลจิสติกส์ และพัฒนาระบบ Single
Window Entry เพื่อให้เกิดความสะดวกรวดเร็วและมีประสิทธิภาพในด้านข้อมูลเอกสารและการประสานกับหน่วยงานต่างๆ
ที่เกี่ยวข้อง
ทั้งนี้
โครงสร้างพื้นฐานที่มีความสำคัญต่อการดำเนินการโครงการ Single Window e-Logistics ประการหนึ่งคือ ระบบ National Root CA ซึ่งเป็นกลไกในการเชื่อมโยงระบบลายมือชื่ออิเล็กทรอนิกส์ที่มีการใช้งานในประเทศ
ให้สามารถยืนยันตัวตนของผู้ใช้บริการได้แม้ว่าจะใช้บริการจาก CA ต่างรายกัน รวมทั้งยังเป็นโครงสร้างพื้นฐานสำคัญในการลดกระดาษ
อันจะนำไปสู่ระบบ Paperless ได้ในอนาคต
- ประเด็นปัญหาการใช้งานใบรับรองอิเล็กทรอนิกส์ในประเทศไทย
และแนวทางการส่งเสริมให้มีการใช้งานเทคโนโลยี PKI มากขึ้น
ในปัจจุบันจะเห็นได้ว่า
ความตื่นตัวในการใช้งานใบรับรองอิเล็กทรอนิกส์ของประเทศไทยยังอยู่ในวงค่อนข้างจำกัด
อันเนื่องมาจากประเด็นปัญหาต่างๆ ได้แก่
1.) ปัญหาด้านการใช้งาน ซึ่งผู้ใช้งานมักจะมองว่าการนำใบรับรองอิเล็กทรอนิกส์มาใช้งานนั้น
เป็นเรื่องที่ยุ่งยาก ซับซ้อน และก่อให้เกิดปัญหาในการทำงาน ดังนั้น ผู้ประกอบการด้าน
PKI ควรจะทำให้การใช้
PKI เป็นเรื่องที่ง่าย โดยให้ประเด็นทางเทคนิคอยู่เบื้องหลังมากที่สุด
2.) ปัญหาด้านการตระหนักถึงการรักษาความปลอดภัย เป็นปัญหาสำคัญที่ผู้ใช้งานไม่ค่อยเล็งเห็นถึงความสำคัญของการรักษาความปลอดภัย
โดยมองว่าทำให้การทำงานเกิดความยุ่งยากซับซ้อน ซึ่งปัญหาเหล่านี้จำเป็นต้องอาศัยทุกภาคส่วนในการให้ความรู้
สนับสนุน และผลักดันให้ผู้ใช้งานเกิดความเชื่อมั่น อย่างไรก็ตาม
ในระยะแรกนั้นอาจจำเป็นต้องกำหนดนโยบายบังคับให้ทุกคนใช้งาน
3.) ปัญหาด้านกฎหมาย ผู้ใช้งานบางกลุ่มยังมีข้อกังวลในประเด็นเกี่ยวกับผลผูกพันทางกฎหมายหากมีการนำใบรับรองอิเล็กทรอนิกส์มาใช้งาน
ซึ่งประเด็นดังกล่าว การให้ความรู้ที่ถูกต้องมีความจำเป็นอย่างยิ่ง เพื่อให้ผู้ใช้งานมีความเข้าใจในประเด็นทางกฎหมายมากขึ้น
4.) ปัญหาด้าน Application เนื่องจากในปัจจุบันยังมี
Application ที่ใช้งานร่วมกับใบรับรองอิเล็กทรอนิกส์ไม่มากนัก
ทำให้การใช้งานใบรับรองอิเล็กทรอนิกส์ยังไม่แพร่หลาย ในประเด็นนี้
ควรมีการผลักดันจากหน่วยงานภาครัฐเพื่อให้เกิดการพัฒนาระบบงานที่จำเป็นและนำเทคโนโลยี
PKI มาใช้งาน และส่งเสริมให้เกิดการใช้งานอย่างเหมาะสมและต่อเนื่องต่อไป
จากประเด็นต่างๆ ข้างต้น ส่งผลให้การใช้งานใบรับรองอิเล็กทรอนิกส์ยังไม่แพร่หลายเท่าที่ควร
ดังนั้น สิ่งที่สำคัญคือ การพยายามให้ความรู้ ความเข้าใจ และส่งเสริมให้เกิดความตระหนักถึงความปลอดภัยของข้อมูลที่มีการรับ-ส่งในระบบเครือข่าย
ควบคู่ไปกับการกำหนดนโยบายจากหน่วยงานภาครัฐ
ผ่านการพัฒนาระบบที่มีความจำเป็นและมีการบังคับใช้อย่างเหมาะสมและต่อเนื่อง เพื่อส่งเสริมให้เกิดการพัฒนาและใช้งานที่เพิ่มขึ้นพร้อมๆ
กับการจัดตั้ง National
Root CA ของประเทศไทยต่อไป
******************************
ที่มา:
-
เอกสารประกอบการสัมมนา National Root
CA ทำอย่างไรให้ใบรับรองฯ
ที่ออกโดยผู้ให้บริการต่างรายกัน สามารถทำงานร่วมกันได้
โดย ดร.ทวีศักดิ์ กออนันตกูล รองผู้อำนวยการ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
วันศุกร์ที่ 14 ธันวาคม 2550 โรงแรม มิราเคิล แกรนด์ คอนเวนชั่น
-
ประเด็นเสวนา
แนวทางการประชาสัมพันธ์ความรู้ความเข้าใจเกี่ยวกับเทคโนโลยี PKI ให้เป็นที่รู้จัก
และความอยู่รอดของผู้ให้บริการ CA ไทย วันศุกร์ที่ 14 ธันวาคม
2550 โรงแรม มิราเคิล แกรนด์ คอนเวนชั่น
-
NRCA
Website: http://www.nrca.go.th
