Current Duties
Courses
ICT Ideas
ICT Education
ICT Management
ICT Principles
ICT Standards
ICT Vocabulary
CMM / CMMI
Case Studies
General Articles
Presentations
Book Reviews
Buddhism
Personal Efficiency
Writing Guides
Research Guides
VIP
Q & A
Contacts
Archive
Seminars

Home
IT Idea for Spiritization

การปกป้องข้อมูลข่าวสารขององค์กร

ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต

        เมื่อสิบปีมาแล้วรัฐบาลไทยได้ตรา พรบ. ข้อมูลข่าวสารของราชการออกมาบังคับใช้ และทำให้เกิดการเปลี่ยนแปลงหลักการพื้นฐานของการเปิดเผยข้อมูลข่าวสาร จากการยึดแนวทางปิดบังเป็นปกติ ให้กลายเป็นการเปิดเผยเป็นปกติ พระราชบัญญัตินี้ได้ทำให้เกิดความโปร่งใสในการปฏิบัติงานหลายอย่างที่เราอาจจะไม่เคยคิดถึงมาก่อน

        พรบ. ข้อมูลข่าวสารของราชการนี้ส่งเสริมการเปิดเผยข้อมูลข่าวสารก็จริงอยู่ แต่ในทางปฏิบัติแล้วมีข้อมูลข่าวสารอีกหลายประเภทที่ไม่สามารถเปิดเผยได้ เช่น ข้อมูลข่าวสารที่เกี่ยวกับความมั่นคงของประเทศ หรือไม่จำเป็นต้องเปิดเผย เช่น ความเห็นของผู้บริหารหรือผู้ปฏิบัติงาน สำหรับข้อมูลส่วนบุคคลนั้นในพรบ. นี้มีบทบัญญัติให้หน่วยงานของรัฐต้องระมัดระวังตั้งแต่การเก็บเลยทีเดียว และแน่นอนว่าจะเปิดเผยข้อมูลส่วนบุคคลไม่ได้ สำหรับหน่วยงานเช่นโรงพยาบาลข้อมูลที่เปิดเผยไม่ได้คือ เวชระเบียน

        คำว่า "การเปิดเผย" นั้น เราหมายถึงการยอมให้บุคคลภายนอกหน่วยงานเข้าถึง และ รับทราบเนื้อความเท่าที่จำเป็นได้ ไม่ว่าบุคคลผู้นั้นจะมีส่วนได้ส่วนเสียกับข้อมูลข่าวสารนั้นหรือไม่ก็ตาม อย่างไรก็ตามในทางปฏิบัติแล้ว ข้อมูลที่เปิดเผยสำหรับสาธารณชนไม่ได้นั้น บุคลากรภายในอาจจะเข้าถึงได้โดยง่าย และ เมื่อเข้าถึงแล้วก็อาจจะนำไปเปิดเผยแก่บุคคลภายนอกได้ หรืออาจจะนำไปใช้ประโยชน์ในทางที่ไม่ควรได้เหมือนกัน

        เรื่องเช่นนี้ไม่ใช่มีเฉพาะในหน่วยงานราชการ แม้ในบริษัทเอกชนก็เป็นไปได้เหมือนกัน

        การเข้าถึงเรื่องที่เป็นความลับได้นั้นเป็นเรื่องจำเป็นสำหรับผู้ปฏิบัติงานภายในอยู่แล้ว เช่นหากมีการวางแผนที่จะนำผลิตภัณฑ์ใหม่ล้ำยุคออกสู่ตลาด ก็ต้องมีการพิจารณากันล่วงหน้าเป็นความลับนาน ๆ และอาจจะปรึกษาหารือกันถึงเรื่องข้อกำหนด และ คุณสมบัติของผลิตภัณฑ์ ตลอดจนกลยุทธ์ในการขาย หรือการตั้งราคาด้วย

        เรื่องที่เป็นความลับเหล่านี้อาจจะได้รับการเปิดเผยออกไปสู่คู่แข่งได้โดยที่เราไม่รู้ตัว การเปิดเผยนั้นอาจจะเกิดเพราะพนักงานของเราจงใจบอกคู่แข่ง (เพราะได้รับสินบนมา) หรือ อาจจะบอกให้คนอื่นทราบโดยไม่ได้ตั้งใจ แต่แล้วข้อมูลข่าวสารนั้นก็รั่วไปถึงมือคู่แข่งจนได้

        ในอดีตการที่จะนำข้อมูลข่าวสารเป็นความลับออกไปก็คงจะเป็นเหมือนในภาพยนตร์สายลับทั้งหลาย มีทั้งการแอบถ่ายรูป แอบถ่ายไมโครฟิล์ม ถ่ายแฟ้มลงในแผ่นบันทึกและลักลอบนำออกไปให้คนอื่น ทำให้บริษัทชั้นนำหลายแห่งก็ตั้งกระบวนการตรวจสอบขึ้นเพื่อป้องกันไม่ให้เกิดเรื่องเช่นนี้

        มายุคปัจจุบันนี้ การลักลอบส่งข้อมูลข่าวสารออกไปให้คนนอกทราบนั้น ไม่ใช่เรื่องยาก เพราะบริษัทและหน่วยงานส่วนใหญ่เวลานี้ก็มีอีเมลใช้กันแล้ว ผู้ที่เข้าถึงข้อมูลข่าวสารได้เพียงแต่บันทึกเรื่องที่ต้องการเป็นแฟ้มข้อมูลเก็บไว้ แล้วก็แนบเป็นไฟล์ส่งไปให้ผู้รับเท่านั้นเอง

        ด้วยเหตุนี้เอง บริษัทจำนวนมากจึงเริ่มป้องกันด้วยการตรวจสอบอีเมลของพนักงาน วิธีที่ทำได้ง่าย ๆ ก่อนก็คือใช้ระบบดักอีเมลของพนักงานเอาไว้ก่อน เปิดอ่านอีเมล และ แฟ้มที่แนบไป หากเห็นว่าไม่มีอะไรที่น่าจะเกี่ยวข้องกับเรื่องที่เป็นความลับของบริษัทก็ปล่อยให้อีเมลและแฟ้มนั้นออกไปได้

        แต่วิธีนี้ย่อมไม่ได้ผลถ้าหากเป็นบริษัทที่ใหญ่, มีพนักงานจำนวนมาก และ พนักงานเหล่านั้นใช้อีเมลเป็นเครื่องมือในการทำงาน

        ทางแก้ก็คือ การใช้ซอฟต์แวร์ตรวจสอบอีเมลแทนการใช้คน แน่นอนว่าโดยลำพังตัวมันเองแล้วซอฟต์แวร์ย่อมไม่สามารถบอกได้ว่าอีเมลใดส่งความลับออกไปเปิดเผยหรือไม่ และเชื่อว่ายังไม่มีใครสามารถพัฒนาซอฟต์แวร์ที่สามารถคิดและบอกได้เองว่า อีเมลของนายคนนั้นกำลังส่งความลับออกไปให้คู่แข่ง

        ซอฟต์แวร์ที่มีขายอยู่ทั่วไปนั้นใช้วิธีกำหนดคำสำคัญที่น่าจะเกี่ยวข้องกับเรื่องที่เป็นความลับ เช่น ชื่อของคู่แข่ง, ชื่อของคนต้องสงสัย, ชื่อโครงการที่กำลังดำเนินการ, รหัสโครงการ, หรือคำอื่น ๆ ที่น่าจะเป็นเรื่องที่เป็นความลับของบริษัท

        อีเมลทั้งหลายที่พนักงานส่งออกไปจะถูกส่งไปเข้าที่เซิรฟเวอร์ซึ่งมีซอฟต์แวร์ตัวนี้คอยตรวจสอบ หากพบว่าอีเมลใดไม่มีปัญหาก็จะส่งอีเมลนั้นออกไปให้ผู้รับเลยทันที แต่หากพบว่ามีอีเมลที่น่าสงสัย ซอฟต์แวร์ก็อาจจะเตือนผู้เขียนอีเมลว่า กำลังละเมิดกฎของบริษัทในการกล่าวถึงความลับ รวมทั้งอาจจะทำบันทึกให้ผู้บริหารความมั่นคงของบริษัทหรือหน่วยงานทราบด้วย

        เวลานี้ในอเมริกา เริ่มมีการคิดตำแหน่งขึ้นมาใหม่อีกตำแหน่งหนึ่ง เรียกว่า Information Compliance Officer หรือเจ้าหน้าที่ตรวจสอบข้อมูลข่าวสารว่าเป็นไปตามกฎเกณฑ์หรือไม่ กล่าวกันว่าเจ้าหน้าที่ตำแหน่งนี้อาจจะมีอำนาจมากกว่า CIO อีก เพราะทำหน้าที่ออกคำสั่งและตรวจสอบได้ด้วย

        ผมเชื่อว่าเวลานี้บ้านเรามีปัญหาการเปิดเผยข้อมูลความลับโดยไม่รู้ตัวค่อนข้างมาก เช่น บางครั้งผมก็ได้รับเชิญจากหน่วยงานราชการให้ไปประชุมเรื่องอันน่าจะเป็นความลับภายในของหน่วยงาน โดยผมไม่ได้รู้อิโหน่อิเหน่ด้วย และไม่มีทางที่จะเกี่ยวข้องกับผมด้วย เมื่อตรวจสอบดูแล้วก็พบว่า เป็นความพลั้งเผลอที่ใช้ชื่อกรุ๊ปเมล์ที่ผิด

        การใช้ซอฟต์แวร์ดักอีเมลและแฟ้มแนบที่อาจจะเป็นปัญหานั้นดูเหมือนจะเป็นการป้องกันที่แนบเนียนดีกว่าการให้มีบุคลากรมาคอยเปิดอ่านอีเมลที่พนักงานส่งออก โดยทั่วไปแล้วผมเชื่อว่าพนักงานย่อมไม่พอใจที่บริษัทหรือหน่วยงานทำเช่นนี้ แต่เรื่องเช่นนี้พอจะอธิบายให้พนักงานเข้าใจได้ไม่ยาก เพราะการส่งอีเมลโดยใช้เวลาและเครื่องคอมพิวเตอร์ของหน่วยงานนั้นน่าจะต้องเป็นเรื่องที่เกี่ยวข้องกับงานเท่านั้น ไม่ใช่เรื่องส่วนตัว หากเป็นเรื่องของหน่วยงาน ก็จำเป็นที่จะต้องจัดเก็บไว้เป็นหลักฐาน และแน่นอนที่สุดว่าจะต้องตรวจสอบได้ หากพนักงานต้องการส่งอีเมลที่เป็นเรื่องส่วนตัว ก็ไม่ควรใช้เวลาปฏิบัติงานมาเขียนอีเมลและส่งออก พนักงานควรใช้เวลาอื่นและควรทำที่บ้าน ไม่ใช่ที่ในสำนักงาน

        อินเทอร์เน็ตและอีเมลเป็นเทคโนโลยีสำคัญที่เราขาดไม่ได้ก็จริงอยู่ แต่การใช้ก็ต้องได้รับการควบคุมไม่ให้เกิดปัญหาต่อหน่วยงานครับ หากใครยังไม่ได้สนใจเรื่องนี้ก็ควรลองไตร่ตรองดูเถิดครับ

        

        


Home | Back