จาก eLEADER เดือน เมษายน 2008
Column : CIO Talk
มติคณะรัฐมนตรีว่าด้วยระบบจดหมายอิเล็กทรอนิกส์กลาง
CIO Talk #1 – April 2008
มติคณะรัฐมนตรีว่าด้วยระบบจดหมายอิเล็กทรอนิกส์กลาง
ก่อนอื่นผู้เขียนต้องขอชื่นชมผู้ที่อยู่เบื้องหลังในการผลักดันแนวคิดในการให้ยกเลิกการใช้จดหมายอิเล็กทรอนิกส์ฟรีของเอกชนในงานราชการ หรือที่ที่นิยมเรียกกันว่าฟรีอีเมล (Free E-mail) และคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร.) ที่ได้มีการศึกษาถึงนโยบายการคุ้มครองข้อมูลส่วนบุคคลของเวบไซต์ต่างประเทศ ที่ให้บริการจดหมายอิเล็กทรอนิกส์แบบไม่คิดค่าบริการ หรือ ที่นิยมเรียกกันว่า ฟรีอีเมล (free e-mail) ที่เป็นที่นิยมแพร่หลายไปทั่วโลก หากมองในแง่ความสะดวกสบาย ก็ไม่น่าแปลกใจที่มีผู้ใช้งานกันอย่างแพร่หลาย แต่หากมองถึงการล่วงรู้ข้อมูลของผู้ให้บริการ การขายข้อมูลที่อยู่จดหมายอิเล็กทรอนิกส์กับผู้ประกอบการพาณิชย์อิเล็กทรอนิกส์หลายๆแห่งโดยที่เจ้าของ e-mail account ไม่ทราบล่วงหน้ามาก่อน อันเป็นที่มาของอีเมลแปลกๆ อีเมลโฆษณาสินค้า อีเมลเสนอขายสินค้าและบริการ และนำไปสู่ปัญหาของคนดูแลระบบ จนก่อให้เกิดปริมาณข้อมูลล้นท่อจนส่งเข้าสู่ระบบอีเมลของค์กรไม่ได้ก็มีให้เห็น ประมาณว่าอีเมลหายไปกลางอากาศโดยที่ผู้ดูและระบบก็ไม่ทราบ จนกว่าผู้ส่งจะแจ้งเบาะแส หรือผู้รับที่อยู่ในวงเดียวกันที่ใช้อีเมลต่างระบบกันจะแจ้งให้ทราบอีกทีหนึ่ง จนต้องมาไล่ตามหาว่ามีผู้ส่ง ได้ส่งเข้ามาตั้งแต่เมื่อไร ทำไมระบบของเรารับไม่ได้ ระบบของเพื่อนฝูงที่รับอยู่ในวงเดียวกันได้รับ แต่ของเรารับไม่ได้เลยพาลสรุปว่าระบบของเราไม่ดี ก็มีปรากฏให้เห็นอยู่บ่อยๆ หรือแม้กระทั่งส่งภัยต่างๆฝังมากับอีเมลที่ติดต่อกัน อันนำไปสู่การสูญเสียเวลาและทรัพยากรในการดูแล ป้องกัน และแก้ไข แต่ภัยทั้งหมดนี้คงไม่เท่ากับการล่วงรู้ความลับของทางราชการ หากข้าราชการทั้งหลายแหล่ใช้ช่องทางของอีเมล ในการแลกเปลี่ยนข้อมูล ในการหารือ ส่งผ่านแนวคิด หากเป็นเรื่องที่เกี่ยวข้องกับผลประโยชน์ของประเทศ หรือเป็นเงื่อนไขในการเจรจาต่อรองกับต่างประเทศในด้านต่างๆ อันนำไปสู่ความได้เปรียบเสียเปรียบกับต่างประเทศแล้วละก็ ผลกระทบคงประมาณไม่ได้จริงๆ หรือเป็นเรื่องที่อาจทำให้มีทั้งผู้ได้และเสียประโยชน์หากได้ล่วงรู้ก่อน อาจเกิดการเลือกปฏิบัติแบบไม่ได้ตั้งใจ ซึ่งก็มีผลกระทบสูงเช่นเดียวกัน รวมไปถึงการใช้อีเมลของหน่วยงาน แต่ระบบรักษาความปลอดภัยไม่เข้มแข็งพอ ก็ยังประมาทไม่ได้เช่นกัน ในช่วง 2-3 ปีที่ผ่านมา จึงมักจะพบเห็นข่าวสารที่เกี่ยวกับความเสียหายจากการใช้อีเมลอยู่เนืองๆ
ผลของมติ ค.ร.ม.จึงถือเป็นนิมิตหมายที่ดี ที่จะทำให้มีการจัดระเบียบการใช้งานอีเมลแบบปลอดภัย เป็นการนำไปสู่การสร้างความเชื่อมั่นให้กับคนทุกระดับในการยกเลิกการสื่อสารที่เป็นกระดาษ ถือเป็นการส่งเสริมให้เกิดช่องทางการสื่อสารที่มีประสิทธิภาพ และก่อให้เกิดประสิทธิผล ช่วยร่นเวลาในการรับส่ง การตอบกลับ และมีระบบช่วยติดตามร่องรอย หากมีการสูญหาย ล่าช้า หรือส่งผิดที่ก็ตาม ทั้งในทางทฤษฎี ก็ยังมีข้อกำหนดของกฎหมายที่รับรองช่องทางการติดต่อนี้ไว้อยู่แล้ว แต่ในทางปฏิบัติยังเป็นเรื่องที่หลายฝ่ายที่เกี่ยวข้องต้องช่วยกันขับเคลื่อนเพื่อให้สังคมไทยใช้งานกันอย่างแพร่หลายมากขึ้น ด้วยความเชื่อมั่นที่มากขึ้น และสามารถผลักดันตัวเองสู่เวทีสากลที่เป็นสังคมดิจิตอลให้ได้ในที่สุด
และผลของมติ อีกเช่นกัน ที่เสมือนดาบสองคม หากแต่ละหน่วยงานขับเคลื่อนไม่ถึงแก่นของเรื่อง ดำเนินการไม่สอดคล้องกับเจตนารมณ์อันเป็นที่มาของมติ ก็อาจะก่อให้เกิดผลเสียหายได้เช่นเดียวกัน ซึ่งเป็นเรื่องที่ ก.พ.ร. ในฐานะหน่วยงานกลางร่วมกับสำนักข่าวกรองแห่งชาติ สำนักงานปลัดสำนักนายกรัฐมนตรี สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ และหน่วยงานที่เกี่ยวข้อง รวมถึงหน่วยงานราชการทุกหน่วยต้องออกข้อกำหนดให้เกิดการปฏิบัติ และสอบทานเป็นระยะๆ ต้องสร้างกลไกช่วยให้มีการบริหารจัดการอย่างครบวงจร ต้องมีกลไกในการสร้างความรู้ความเข้าใจให้ใช้งานได้อย่างปลอดภัย จึงจะทำให้ช่องทางสื่อสารนี้สัมฤทธิ์ผล และเป็นที่ยอมรับ และกล้าใช้กันอย่างเชื่อมั่นและปลอดภัยสูง
หากขยายผลของมติ เพื่อนำไปสู่การวางระบบอีเมลแบบปลอดภัย และสะดวกต่อการใช้งาน หากองค์กรใดๆ นำมติไปแปรเป็นภาคปฏิบัติ แล้วดำเนินการระบบอีเมลให้ปลอดภัยเพียงอย่างเดียวโดยลำพัง เห็นทีจะรับประกันได้เลยว่าลางแห่งความล้มเหลวคงจะมาเยือนแน่นอน เพราะช่องทางการสื่อสารมีแบบไร้ขีดจำกัด การบริหารจัดการความปลอดภัยจึงต้องคำนึงถึงช่องท่างอื่นๆ โดยเฉพาะบนเวบไซต์ของหน่วยงานภาครัฐ ที่เปิดช่องทางสื่อสารสำหรับข้าราชการไปสู่บุคคลภายนอกในหลากหลายรูปแบบนอกเหนือจากการรับส่งอีเมล การจะรักษาข้อมูลข่าวสารลับของราชการได้ หัวใจสำคัญจึงอยู่ที่การจัดระเบียบงานสารบรรณแบบครบวงจร ซึ่งมีระเบียบงานสารบรรณของสำนักนายกรัฐมนตรี และ พระราชบัญญัติข้อมูลข่าวสารของราชการ เป็นข้อกำหนดหลัก ที่กำหนดว่าการรับ-ส่งเอกสารของทางราชการที่ต้องมีการลงทะเบียนหนังสือต้องถือปฏิบัติตามระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ ซึ่งปัจจุบันนี้สำนักงานปลัดสำนักนายกรัฐมนตรีกำลังดำเนินการยกร่างทางปฏิบัติเรื่องนี้ให้เป็นภาคผนวกของระเบียบฯ ต่อไปให้รองรับการรับส่งทางอิเล็กทรอนิกส์รวมถึงการเชื่อมต่อระบบงานสารบรรณ กับข้อมูลอีกลักษณะหนึ่ง คือการรับ-ส่งข้อมูลของทางราชการระหว่างข้าราชการหรือพนักงานของรัฐในรูปแบบอื่นทางระบบจดหมายอิเล็กทรอนิกส์ที่ไม่เข้าข่ายของระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ ยังมีกฎหมายที่ต้องปฏิบัติตามอีก 1 ฉบับ คือพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ที่สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการในสังกัดสำนักงานปลัดสำนักนายกรัฐมนตรีเป็นหน่วยงานรับผิดชอบ ซึ่งประสานการปฏิบัติงานอย่างใกล้ชิดกับสำนักข่าวกรองแห่งชาติอยู่แล้ว
การคำนึงถึงการพิจารณาถึงนโยบายด้านความมั่นคงปลอดภัยของข่าวสารภาครัฐกับการรับ-ส่งข้อมูลของทางราชการทางระบบจดหมายอิเล็กทรอนิกส์ ว่าควรต้องใช้ระบบจดหมายอิเล็กทรอนิกส์ของราชการ โดยผู้ใช้สามารถเลือกได้ว่าจะใช้ระบบจดหมายอิเล็กทรอนิกส์ของส่วนราชการในสังกัด หรือใช้ระบบจดหมายอิเล็กทรอนิกส์กลางที่จะจัดทำขึ้นใหม่ ก็เป็นแนวทางที่ กพร ขับเคลื่อนอยู่ เพื่อให้เป็นทางเลือกสำหรับหน่วยงานขนาดเล็กที่มีข้อจำกัดในเรื่องบุคลากร และการบริหารจัดการในองค์รวม หรือหน่วยงานที่ยังไม่พร้อมในการดำเนินการในช่วงต้น ก็สามารถใช้ช่องทางของระบบอีเมลกลางในการติดต่อสื่อสารแทนระบบฟรีอีเมลได้ จะเป็นปัญหาก็ตรงรอยต่อของมติกับวันที่มีผลบังคับใช้ เพราะกว่าที่ระบบอีเมลกลางจะสามารถใช้งานได้ ก็เลยวันดีเดย์ที่ให้ผู้บริหารตั้งแต่ระดับผู้อำนวยการกองหรือเทียบเท่าขึ้นไปยกเลิกการใช้ฟรีอีเมลภายใน 3 เดือน นับตั้งแต่วันที่ 18 มีนาคม 2551 เป็นต้นไปจะทำอย่างไร สำหรับหน่วยงานที่ยังขาดความพร้อมในการมีระบบอีเมลของตนเองและหวังพึ่งพาอีเมลกลาง
ยิ่งเมื่อได้มาดูยกร่างข้อกำหนดมาตรฐานสำหรับการพัฒนาระบบจดหมายอิเล็กทรอนิกส์ของส่วนราชการต่าง ๆ ให้สอดคล้องกับนโยบายด้านความมั่นคงปลอดภัยของข่าวสารภาครัฐและระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ โดยผู้แทนสำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ซึ่งได้รับมอบหมายให้ดำเนินการในการให้บริการระบบอีเมลกลาง เป็นผู้ยกร่าง ซึ่งเป็นข้อกำหนดที่ดีและหวังผลเลิศในการให้บริการระบบที่มีความเชื่อถือได้ พร้อมใช้งานตลอดเวลา และมีความปลอดภัยสูง แต่ก็ทำได้ไม่ง่ายนักในทางปฏิบัติ โดยเฉพาะอย่างยิ่งส่วนงานราชการขนาดเล็ก หรือแม้แต่หน่วยงานขนาดใหญ่ แต่หากขาดความเข้าใจและไม่เห็นความสำคัญของการขับเคลื่อนงานไอทีในองค์กรแล้วละก็ ต้องบอกว่าเป็นงานหินเลยทีเดียว โดยเฉพาะการออกแบบระบบให้มีความเสถียร พร้อมให้บริการตลอด 24 ชั่วโมง มีการวางแผนการเติบโตที่ดี และมีระบบป้องกันภัยที่แข็งแรงตั้งแต่ด่านแรกที่ Mail Gateway ด่านที่สอง ที่ Mail Server และด้านที่ 3 ที่ Mail Client ที่จะต้องมีระบบ anti virus, anti spam และระบบ e-mail filtering ในแต่ละด่านที่แตกต่างกันไป นอกเหนือระบบป้องกันภัยอื่นๆ เช่น fire wall, intrusion detection system (IDS), intrusion prevention system (IPS) ที่พึงมีของแต่ละหน่วยงาน
คุณสมบัติของระบบเมล์ที่กำหนดขึ้นแม้จะเป็นเบื้องต้นแต่ก็นับว่าระบุความต้องการด้วยมาตรฐานสากลทีเดียว ทั้งนี้ก็เพื่อให้บรรลุวัตถุประสงค์ของการรักษาความมั่นคงปลอดภัยให้กับอีเมลและเอกสารต่างๆที่ส่งผ่านระบบอีเมลและระบบสารบรรณอิเล็กทรอนิกส์ หากไม่ดำเนินการอย่างเข้มงวด ความปลอดภัยก็เกิดไม่ได้ซึ่งก็คงไม่ได้ดีไปกว่าการใช้ฟรีอีเมลเท่าใดนัก ด้วยความต้องการที่เข้มงวดแบบนี้ก็ยิ่งบีบให้แต่ละหน่วยงานต้องมาใช้อีเมลกลางกันอย่างไม่มีทางเลี่ยง เว้นแต่หน่วยงานนั้นๆมีความพร้อมอยู่แล้วก็จะเป็นทางเลือกที่ดีที่สุด แต่จะเกิดอะไรขึ้นหากจะใช้ระบบอีเมลของหน่วยงานเองที่มีอยู่ แต่คุณสมบัติไม่เทียบเท่าข้อกำหนดข้างต้นแล้วผลจะเป็นอย่างไร ถือว่าหน่วยงานไม่ปฏิบัติตามหรือเปล่า หากไม่ปฏิบัติตามแล้วผลจะเป็นเช่นไร หรือแนวทางที่กำหนดขึ้นเป็นเป้าหมายหรือเป็น bench mark ที่อยากให้ทุกคนไปถึง แต่ไม่ถึงก็ไม่เป็นไรหรือเปล่า คงต้องติดตามความชัดเจนอีกในเวลาต่อๆไป ที่สำคัญการใช้อีเมลกลางก็มีค่าใช้จ่ายราย e-mail account ประมาณ 300-500 บาท ที่ขนาด mail box ประมาณ 1-3 GB ก็ต้องผูกเรื่องงบประมาณเข้ามาเป็นเรื่องเดียวกันอีกเรื่องหนึ่ง
ก็คงต้องจับตาดูกันต่อไปว่าหน่วยงานที่เกี่ยวข้องว่าจะดำเนินการกันอย่างไรนับจากนี้ไป ที่จะทำให้มติ ค.ร.ม. มีความศักดิ์สิทธิ์ และหน่วยงานราชการต่างๆ ก็พร้อมให้ความร่วมมือและพร้อมที่จะดำเนินการ การสร้างความพร้อมทั้งเรื่องระบบ เรื่องคน รวมไปถึงการจัดระเบียบการใช้งานระบบสารบรรณอิเล็กทรอนิกส์ และรวมไปถึงอีเมลกลาง เป็นภารกิจที่ผู้เขียนอยากเห็นการขับเคลื่อนอย่างเป็นรูปธรรมมากกว่านี้ ไม่อยากให้มติ ดีๆแบบนี้ ออกมาแล้วกลายเป็นคลื่นกระทบฝั่ง
มติคณะรัฐมนตรีเมื่อวันที่ 18 ธันวาคม 2550 เรื่อง การพัฒนาระบบจดหมายอิเล็กทรอนิกส์กลางเพื่อการสื่อสารในภาครัฐ มีรายละเอียดดังนี้
1. รับทราบและอนุมัติในหลักการการพัฒนาระบบจดหมายอิเล็กทรอนิกส์กลางเพื่อการสื่อสารในภาครัฐ ตามมติคณะกรรมการพัฒนาระบบราชการ ครั้งที่ 12/2550 วันที่ 26 พฤศจิกายน 2550 ตามที่สำนักงาน ก.พ.ร.เสนอ โดยถือเป็นนโยบายด้านความมั่นคงปลอดภัยของข่าวสารภาครัฐ ดังนี้
1.1 ให้ข้าราชการและพนักงานของรัฐยุติการใช้จดหมายอิเล็กทรอนิกส์ฟรีของเอกชน โดยเฉพาะของต่างประเทศภายใน 1 ปี ทั้งนี้ ให้ข้าราชการระดับผู้อำนวยการกองหรือเทียบเท่าขึ้นไปต้องใช้ระบบของตนเองหรือของภาครัฐภายใน 3 เดือน
1.2 ให้สำนักงาน ก.พ.ร. เป็นหน่วยงานกลางร่วมกับสำนักข่าวกรองแห่งชาติ สำนักงานปลัดสำนักนายกรัฐมนตรี สำนักบริการเทคโนโลยีสารสนเทศภาครัฐและหน่วยงานที่เกี่ยวข้อง ดำเนินการพัฒนาระบบจดหมายอิเล็กทรอนิกส์ของรัฐต่อไป
2. ให้สำนักงาน ก.พ.ร. รับความเห็นของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร และสำนักงานปลัดสำนักนายกรัฐมนตรี รวมทั้งความเห็นของคณะรัฐมนตรีดังต่อไปนี้ไปพิจารณาด้วย ดังนี้
2.1 การรักษาความปลอดภัยของข่าวสารภาครัฐอาจพิจารณาดำเนินการโดยใช้ทางเลือกอื่นที่มีความสามารถเท่าเทียมกันแทนการลงทุนในระบบฮาร์ดแวร์ (hardware) ซึ่งต้องเสียค่าใช้จ่ายสูงได้ เช่น การใช้โปรแกรมซอฟต์แวร์เข้ารหัสลับ (software scrambling) เป็นต้น
2.2 ในระยะต้นควรเร่งพัฒนาให้ระบบจดหมายอิเล็กทรอนิกส์และเว็บไซต์ของหน่วยงานภาครัฐมีความมั่นคง ปลอดภัยและน่าเชื่อถือ ก่อนที่จะเปิดใช้บริการจดหมายอิเล็กทรอนิกส์กลาง
1. ระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ พ.ศ. 2526
2. ระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ (ฉบับที่ 2) พ.ศ. 2548
3. พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
คุณสมบัติเบื้องต้น ที่กำหนดขึ้นประกอบด้วย
1) ควรเป็น Web-based e-mail service เช่นเดียวกับ Gmail, Hotmail, Yahoo Mail ที่มีคุณสมบัติเบื้องต้น ดังนี้
- ใช้งานได้ง่าย
- สามารถใช้งานร่วมกับ Browser ต่างๆ เช่น Internet Explorer, Mozilla Firefox, Safari และอื่นๆ ได้
- สามารถแจ้งข่าวสารให้ผู้ใช้ทราบได้
2) ควรเป็นระบบที่มีเสถียรภาพสูงสุดเท่าที่จะบริการได้ ระดับการบริการ 99.5% เป็นอย่างน้อย (Service Availability)
- Downtime น้อยกว่า 216 นาทีต่อเดือน
- ออกแบบระบบในลักษณะ Redundant ซึ่งสามารถทำงานทดแทนกันได้กรณีที่เครื่องมีปัญหา
- นำเครื่องมาต่อเพิ่มขึ้นได้เมื่อต้องการการให้บริการที่เพิ่มมากขึ้น
3) ควรจัดระบบเฝ้าระวังให้มีการตรวจไวรัสและจดหมายอิเล็กทรอนิกส์ขยะอย่างเต็มที่ (Anti-Virus, Anti-Spam)
- มีระบบป้องกันจดหมายขยะ ที่มีประสิทธิภาพและสามารถคัดกรองจดหมายขยะที่เป็นภาษาไทยได้
- มีระบบป้องกันไวรัส ที่แฝงมากับจดหมายอิเล็กทรอนิกส์ รวมถึงป้องกัน Phishing, Pharming โดยอิงกับฐานข้อมูลสากล และมีกลไกในการแจ้งข้อมูลที่ผู้ใช้ค้นพบได้
4) จัดทำระบบบันทึกข้อมูลจรารจรให้สอดคล้องกับข้อกำหนดใน พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 กล่าวคือ
- ต้องมีการเก็บรักษาข้อมูลการเข้าใช้งานอย่างน้อย 90 วัน (Log)
- มีการเก็บข้อมูลที่จำเป็นและสามารถนำมาใช้ตรวจสอบได้ เช่น การใช้งานผ่าน Web mail, การรับ-ส่งจดหมาย, การตรวจสอบจดหมายขยะ และไวรัส
- เครื่องบริการ email ทุกเครื่องต้องตั้งนาฬิกาให้เที่ยงตรงเมื่อเทียบกับมาตรฐานเวลาตรงกันตามข้อกำหนดประกาศของรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
5) กำหนด Email Address ของตัวบุคคลที่มีสถานะเป็นข้าราชการและพนักงานของรัฐให้สามารถใช้ Email Address เดิมได้แม้เปลี่ยนสังกัดทำงาน ทั้งนี้อาจผนวกข้อมูลนี้เข้ากับนามสงเคราะห์ที่จัดทำอยู่ในปัจจุบัน
6) ควรมีการจัดการชั้นความลับและขั้นความเร็วให้แก่เอกสารทางราชการ
- มีชั้นความลับ : ชั้นลับ, ชั้นลับมาก
- มีชั้นความเร็ว : ด่วน, ด่วนมาก, ด่วนที่สุด
7) ควรจัดทำบริการสมุดที่อยู่สำหรับจดหมายอิเล็กทรอนิกส์ เชื่อมต่อกับ “นามสงเคราะห์อิเล็กทรอนิกส์”
8) ระบบจดหมายอิเล็กทรอนิกส์กลางต้องจัดขนาดของพื้นที่เก็บข้อมูลให้เพียงพอกับการเก็บข้อมูลผู้ใช้ละ 3 พันล้านตัวอักษร (3 GB) เท่ากับขนาดของจดหมายอิเล็กทรอนิกส์ฟรีของต่างประเทศ
9) สำหรับหน่วยงานต่างๆ ที่มีอีเมล์ของหน่วยงานให้กำหนดขนาดพื้นที่ให้เหมาะสมตามความจำเป็นของหน่วยงาน (ประมาณ 100 MB ขึ้นไป)
Filed under: Article | Tagged: GITS, governement email management, OPDC
