กรอบการดำเนินงานของ National Root CA ของประเทศไทย

รูปแบบการให้บริการด้วยวิธีทางอิเล็กทรอนิกส์ผ่านเครือข่ายสาธารณะในปัจจุบันได้รับความนิยมเพิ่มมากขึ้น โดยเฉพาะในรูปแบบการทำ e-Transaction หรือ e-Commerce ทั้งในหน่วยงานภาครัฐและเอกชน ทั้งนี้ เพื่อให้เกิดความเชื่อมั่นในธุรกรรมอิเล็กทรอนิกส์ที่เกิดขึ้น จำเป็นจะต้องมีการสร้างมาตรการในการรักษาความปลอดภัยของข้อมูลและการยืนยันตัวบุคคลในกระบวนการดังกล่าว ซึ่งสามารถใช้เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure: PKI) สำหรับการยืนยันตัวตนในโลกอิเล็กทรอนิกส์
 
            ในปัจจุบันประเทศไทยได้มีผู้ให้บริการที่เกี่ยวข้องกับเทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะซึ่งเรียกว่า “ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority: CA)” เกิดขึ้นหลายราย ซึ่งทำหน้าที่ในการออกใบรับรองอิเล็กทรอนิกส์เพื่อพิสูจน์และยืนยันตัวบุคคลในโลกอิเล็กทรอนิกส์ อย่างไรก็ตาม ในการใช้งานได้เกิดปัญหาการทำงานร่วมกันระหว่างระบบที่มีการใช้ใบรับรองอิเล็กทรอนิกส์ที่ออกโดย  CA ต่างรายกัน (Interoperability)  ด้วยเหตุนี้ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงได้ลงความเห็นว่า ประเทศไทยควรมีระบบการมอบความไว้วางใจ (Trust Model) ในรูปแบบ Root CA เนื่องจากได้พิจารณาแล้วเห็นว่า เป็นรูปแบบที่สามารถเกิดขึ้นได้ง่าย และมีความเหมาะสมกับสภาพแวดล้อมทางธุรกิจของประเทศไทย ทั้งนี้ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารในฐานะผู้ดูแล ได้มอบหมายให้สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) เป็นผู้ดำเนินการจัดตั้ง National Root CA (NRCA) ขึ้น เมื่อเดือนสิงหาคม 2550 ที่ผ่านมา
 
            การดำเนินงานของ NRCA นั้น ได้มีการกำหนด Milestone ในการดำเนินงาน ดังต่อไปนี้
 

           
            การดำเนินงานในระยะแรกนั้น ได้มีการเตรียมความพร้อมของสภาพแวดล้อมต่างๆ ในการให้บริการอย่างมั่นคงปลอดภัยและมีประสิทธิภาพ อันประกอบไปด้วย บุคลากรที่มีความเชี่ยวชาญตามมาตรฐานวิชาชีพ เจ้าหน้าที่ให้บริการตลอด 24 ชั่วโมง 7 วัน การพัฒนาเว็บไซต์ NRCA (http://www.nrca.go.th) ที่มีความพร้อมใช้งาน (Availability) ไม่ต่ำกว่า 99% การให้บริการตามฟังก์ชันงาน ได้แก่ การรับลงทะเบียน การออกใบรับรอง การเพิกถอน/ต่ออายุ การเผยแพร่ใบรับรอง รวมถึงการจัดทำเอกสารแนวนโยบาย/แนวปฏิบัติ (CP/CPS) ของ NRCA ที่สอดคล้องกับมาตรฐานสากล
 
            สำหรับการดำเนินการในระยะถัดไปนั้น NRCA จะมีการออกใบรับรองให้กับ Licensed CA ในประเทศไทย เพื่อให้สามารถติดต่อสื่อสาร และสร้างความเชื่อมั่นระหว่างกันได้ รวมไปถึงการทำ Interoperability กับต่างประเทศ เพื่อสนับสนุนการทำงานร่วมกันในระดับสากลต่อไป
 
การขับเคลื่อนของ Thailand PKI Forum และความพร้อมของ สบทร. ในการดำเนินงาน NRCA
 
“ดร.ศักดิ์ เสกขุนทด” ในฐานะประธานสมาคม Thailand PKI Forum และผู้อำนวยการ สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ ได้ชี้แจงในงานสัมมนา National Root CA[1] ว่า ในการประชุม Thailand PKI Forum ได้มีการหารือในประเด็นที่มีความเกี่ยวข้องกับการดำเนินงานของ NRCA อย่างต่อเนื่องและสม่ำเสมอ เพื่อสร้างแนวทางที่ชัดเจน เหมาะสมและเตรียมความพร้อมในการให้บริการในอนาคต ทั้งนี้ หัวข้อที่จะหารือในลำดับถัดไปจะเกี่ยวกับแนวทางการดำเนินงานการย้ายโครงสร้างของ CA ให้อยู่ภายใต้ NRCA (Transition) โดยให้มีผลกระทบน้อยที่สุด รวมทั้งการเสริมสร้างความเข้าใจกับผู้ใช้งานด้วย
 
อย่างไรก็ตาม การที่สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ได้รับมอบหมายจากกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ให้ดำเนินการจัดตั้ง NRCA นั้น เนื่องจาก สบทร. เป็นหน่วยงานภาครัฐที่ได้มีการวิจัยและพัฒนา และให้บริการใบรับรองอิเล็กทรอนิกส์อย่างต่อเนื่อง มาตั้งแต่ปี 2541 ทั้งนี้ สบทร.ได้เตรียมความพร้อมอย่างต่อเนื่องที่จะสร้างความมั่นคงปลอดภัยตามมาตรฐานสากล และได้รับการรับรองระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2005 ตั้งแต่เดือนธันวาคม 2549 เป็นต้นมา
 
ความเชื่อมั่นของผู้ให้บริการใบรับรองอิเล็กทรอนิกส์ (CA) ที่มีต่อ NRCA
 
“ดร.ทัศไนย เปียระบุตร” ผู้แทนจากบริษัท ทีโอที จำกัด (มหาชน) ซึ่งถือเป็นผู้ให้บริการใบรับรองอิเล็กทรอนิกส์รายหนึ่งของประเทศ กล่าวว่า บริษัท ทีโอที จำกัด (มหาชน) ได้เล็งเห็นถึงความสำคัญของการนำเทคโนโลยี PKI เข้ามาใช้งาน เนื่องจากบริการหลักของ บริษัท ทีโอที จำกัด (มหาชน) เป็นบริการทางด้านระบบเครือข่าย จึงมีความเสี่ยงในเรื่องความปลอดภัยของข้อมูลที่มีชั้นความลับ ทั้งนี้ ดร.ทัศนัย มีความเห็นว่า ตนมีความมั่นใจในการดำเนินงานของ NRCA และเห็นว่าผู้ให้บริการ CA ต่างๆ ควรได้รับการตรวจสอบเพื่อความมั่นคงปลอดภัยในการให้บริการ
“ดร.อโนทัย ศรีกิจจา” ผู้แทนจากบริษัท กสท โทรคมนาคม จำกัด (มหาชน) กล่าวว่า ได้นำเทคโนโลยี PKI เข้ามาให้บริการเนื่องจากมองว่าในอนาคตจะมีการแลกเปลี่ยนข้อมูลสำคัญระหว่างหน่วยงานภาครัฐ ซึ่งข้อมูลเหล่านั้นควรได้รับการรักษาความปลอดภัยในระดับสูง รวมไปถึง การดำเนินงานภายใต้กรอบ FTA ที่ระบุว่า ข้อมูลที่มีการรับ – ส่ง ระหว่างประเทศในอนาคตจะต้องเป็น Paperless เท่านั้น จึงจำเป็นจะต้องมีการยืนยันตัวบุคคล โดยใช้งานใบรับรองอิเล็กทรอนิกส์จาก CA ที่มีความน่าเชื่อถือ ทั้งนี้ การจัดตั้ง NRCA จะทำให้เกิดการทำ Interoperability ระหว่างประเทศ ทำให้ธุรกรรมระหว่างประเทศมีความน่าเชื่อถือมากยิ่งขึ้น อย่างไรก็ตาม ดร.อโณทัย ค่อนข้างกังวลในเรื่องการปรับเปลี่ยนโครงสร้างเพื่อมาอยู่ภายใต้ NRCA ซึ่งขอให้มีการกำหนด Transition ให้เหมาะสมและเกิดผลกระทบต่อผู้ประกอบการน้อยที่สุด
 
“คุณโอฬาร วัฒนาสว่าง” ผู้แทนจากบริษัท ไทยดิจิทัล ไอดี จำกัด กล่าวว่า บริษัทฯ ได้ดำเนินธุรกิจทางด้านการเงิน (e-Payment) ในลักษณะ B2B ซึ่งถือเป็นธุรกิจที่มีความเสี่ยงค่อนข้างสูง จึงได้ดำเนินธุรกิจทางด้าน CA ขึ้นมาควบคู่ เพื่อเสริมสร้างความสมบูรณ์และปลอดภัยในการใช้งาน Application ต่างๆ โดยเห็นว่า การจัดตั้ง NRCA ขึ้นในประเทศไทยจะทำให้ผู้ใช้บริการถือใบรับรองเพียงใบเดียว และสามารถใช้งานได้ทุก Application ในลักษณะ ATM Pool และมีความเห็นว่า การจัดตั้ง NRCA จะทำให้ตลาดของใบรับรองอิเล็กทรอนิกส์ ขยายตัวขึ้นอีกด้วย
 
            “คุณวัชรพงษ์ ยะไวทย์” ผู้แทนจากบริษัท Max Savings จำกัด ซึ่งดำเนินธุรกิจทางด้าน PKI Application และเติบโตมาพร้อมกับการพัฒนา e-Commerce ของประเทศไทย ได้ให้มุมมองทางด้านผู้ใช้งานว่า NRCA ในฐานะหน่วยงานระดับประเทศ ควรมีการพิจารณาให้มีการนำใบรับรองของประเทศไทยไปไว้ใน Microsoft Trusted List เพื่อให้เกิดความน่าเชื่อถือและสะดวกในการใช้งานมากยิ่งขึ้น
 
โครงการในระดับประเทศในอนาคต
 
การที่ประเทศไทยเริ่มดำเนินการ NRCA จะก่อให้เกิดการผลักดันให้โครงการต่างๆ ในระดับประเทศที่มีความเกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์ประสบความสำเร็จได้รวดเร็วขึ้น ดังจะเห็นได้จากโครงการดังต่อไปนี้
 
1)     โครงการ CA to CA ภายใต้กรอบ ASEAN
 

 
            เป็นการทดสอบการทำงานร่วมกันระหว่างระบบ (Interoperability) ระหว่าง CA ในประเทศสมาชิก ASEAN ซึ่งประเทศไทยได้รับมอบหมายให้เป็นเจ้าภาพในโครงการนี้ โดยในระยะเริ่มแรกนั้น คาดว่าจะดำเนินการทดสอบการทำงานร่วมกันระหว่างระบบ (Interoperability) ระหว่าง 4 ประเทศ อันได้แก่ ไทย มาเลเซีย สิงคโปร์ และฟิลิปปินส์ ซึ่งจะทำให้ได้ Interoperability Framework ในการทำงานร่วมกันระหว่างประเทศ เพื่อเป็นแนวทางในการติดต่อสื่อสารกันได้ในอนาคต ทั้งนี้โครงการดังกล่าวมีระยะเวลาดำเนินโครงการ 1 ปี และจะเริ่มดำเนินโครงการในเดือนมีนาคม 2551
 
2)     โครงการ FTA ระหว่างไทยและออสเตรเลีย (TAFTA)
 
นายกรัฐมนตรีของประเทศไทยและประเทศออสเตรเลียได้มีการเจรจาความตกลงทางการค้าเสรีระหว่างกัน เมื่อวันที่ 30 พฤษภาคม 2545 และลงนามมีผลบังคับใช้เมื่อ 1 มกราคม 2548 โดยมีประเด็นสำคัญของ TAFTA 3 เรื่อง คือ การค้าไร้กระดาษ การสร้างความร่วมมือ และการจัดการทางด้านเทคโนโลยี ซึ่งการค้าไร้กระดาษ (Paperless Trading) ถือเป็นจุดเริ่มต้นของการยืนยันตัวบุคคลทางอิเล็กทรอนิกส์ที่จะต้องมีการนำเทคโนโลยี PKI มาใช้งาน
 
3)     โครงการ National Single Window Exchange
 

                   
ที่มา : Study and Analysis for the Development of Thailand Single Window e-Logistics Systems
 
โครงการ Single Window e-Logistics หรือโครงการระบบอำนวยความสะดวกด้านการค้าแก่ผู้นำเข้าและผู้ส่งออก เป็นโครงการที่ได้รับความเห็นชอบจากคณะรัฐมนตรี ภายใต้ยุทธศาสตร์การพัฒนาโลจิสติกส์ของประเทศไทย โดยจะต้องมีระบบโลจิสติกส์ที่ได้มาตรฐานสากล เพื่อสนับสนุนการเป็นศูนย์กลางธุรกิจและการค้าของภูมิภาคอินโดจีน ในปัจจุบันได้มีการพัฒนามาใช้ระบบอิเล็กทรอนิกส์ในขั้นตอนโลจิสติกส์ และพัฒนาระบบ Single Window Entry เพื่อให้เกิดความสะดวกรวดเร็วและมีประสิทธิภาพในด้านข้อมูลเอกสารและการประสานกับหน่วยงานต่างๆ ที่เกี่ยวข้อง
 
ทั้งนี้ โครงสร้างพื้นฐานที่มีความสำคัญต่อการดำเนินการโครงการ Single Window e-Logistics ประการหนึ่งคือ ระบบ National Root CA ซึ่งเป็นกลไกในการเชื่อมโยงระบบลายมือชื่ออิเล็กทรอนิกส์ที่มีการใช้งานในประเทศ ให้สามารถยืนยันตัวตนของผู้ใช้บริการได้แม้ว่าจะใช้บริการจาก CA ต่างรายกัน รวมทั้งยังเป็นโครงสร้างพื้นฐานสำคัญในการลดกระดาษ อันจะนำไปสู่ระบบ Paperless ได้ในอนาคต
 
ประเด็นปัญหาการใช้งานใบรับรองอิเล็กทรอนิกส์ในประเทศไทย และแนวทางการส่งเสริมให้มีการใช้งานเทคโนโลยี PKI มากขึ้น
 
ในปัจจุบันจะเห็นได้ว่า ความตื่นตัวในการใช้งานใบรับรองอิเล็กทรอนิกส์ของประเทศไทยยังอยู่ในวงค่อนข้างจำกัด อันเนื่องมาจากประเด็นปัญหาต่างๆ ได้แก่
 
1.)   ปัญหาด้านการใช้งาน ซึ่งผู้ใช้งานมักจะมองว่าการนำใบรับรองอิเล็กทรอนิกส์มาใช้งานนั้น เป็นเรื่องที่ยุ่งยาก ซับซ้อน และก่อให้เกิดปัญหาในการทำงาน ดังนั้น ผู้ประกอบการด้าน PKI ควรจะทำให้การใช้ PKI เป็นเรื่องที่ง่าย โดยให้ประเด็นทางเทคนิคอยู่เบื้องหลังมากที่สุด
 
2.)   ปัญหาด้านการตระหนักถึงการรักษาความปลอดภัย เป็นปัญหาสำคัญที่ผู้ใช้งานไม่ค่อยเล็งเห็นถึงความสำคัญของการรักษาความปลอดภัย โดยมองว่าทำให้การทำงานเกิดความยุ่งยากซับซ้อน ซึ่งปัญหาเหล่านี้จำเป็นต้องอาศัยทุกภาคส่วนในการให้ความรู้ สนับสนุน และผลักดันให้ผู้ใช้งานเกิดความเชื่อมั่น อย่างไรก็ตาม ในระยะแรกนั้นอาจจำเป็นต้องกำหนดนโยบายบังคับให้ทุกคนใช้งาน
 
 
3.)   ปัญหาด้านกฎหมาย ผู้ใช้งานบางกลุ่มยังมีข้อกังวลในประเด็นเกี่ยวกับผลผูกพันทางกฎหมายหากมีการนำใบรับรองอิเล็กทรอนิกส์มาใช้งาน ซึ่งประเด็นดังกล่าว การให้ความรู้ที่ถูกต้องมีความจำเป็นอย่างยิ่ง เพื่อให้ผู้ใช้งานมีความเข้าใจในประเด็นทางกฎหมายมากขึ้น
 
4.)   ปัญหาด้าน Application เนื่องจากในปัจจุบันยังมี Application ที่ใช้งานร่วมกับใบรับรองอิเล็กทรอนิกส์ไม่มากนัก ทำให้การใช้งานใบรับรองอิเล็กทรอนิกส์ยังไม่แพร่หลาย ในประเด็นนี้ ควรมีการผลักดันจากหน่วยงานภาครัฐเพื่อให้เกิดการพัฒนาระบบงานที่จำเป็นและนำเทคโนโลยี PKI มาใช้งาน และส่งเสริมให้เกิดการใช้งานอย่างเหมาะสมและต่อเนื่องต่อไป
 
จากประเด็นต่างๆ ข้างต้น ส่งผลให้การใช้งานใบรับรองอิเล็กทรอนิกส์ยังไม่แพร่หลายเท่าที่ควร ดังนั้น สิ่งที่สำคัญคือ การพยายามให้ความรู้ ความเข้าใจ และส่งเสริมให้เกิดความตระหนักถึงความปลอดภัยของข้อมูลที่มีการรับ-ส่งในระบบเครือข่าย ควบคู่ไปกับการกำหนดนโยบายจากหน่วยงานภาครัฐ ผ่านการพัฒนาระบบที่มีความจำเป็นและมีการบังคับใช้อย่างเหมาะสมและต่อเนื่อง เพื่อส่งเสริมให้เกิดการพัฒนาและใช้งานที่เพิ่มขึ้นพร้อมๆ กับการจัดตั้ง National Root CA ของประเทศไทยต่อไป
 
******************************
 
ที่มา:
-           เอกสารประกอบการสัมมนา National Root CA “ทำอย่างไรให้ใบรับรองฯ ที่ออกโดยผู้ให้บริการต่างรายกัน สามารถทำงานร่วมกันได้” โดย ดร.ทวีศักดิ์ กออนันตกูล รองผู้อำนวยการ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ วันศุกร์ที่ 14 ธันวาคม 2550 โรงแรม มิราเคิล แกรนด์ คอนเวนชั่น
-           ประเด็นเสวนา “ แนวทางการประชาสัมพันธ์ความรู้ความเข้าใจเกี่ยวกับเทคโนโลยี PKI ให้เป็นที่รู้จัก และความอยู่รอดของผู้ให้บริการ CA ไทย” วันศุกร์ที่ 14 ธันวาคม 2550 โรงแรม มิราเคิล แกรนด์ คอนเวนชั่น
-           NRCA Website:  http://www.nrca.go.th