ภาพจาก whitakerbrothers.com
สำนักข่าว CNN (4 ก.พ.66) – ผู้พิพากษาศาลสูงสุดของสหรัฐฯ บางรายมักใช้อีเมลส่วนตัวในการส่งข้อมูลอ่อนไหว อีกทั้งเครื่องพิมพ์ของสำนักงานศาลสูงสุดไม่มีระบบบันทึกข้อมูลการใช้งาน (log) และยังสามารถสั่งพิมพ์เอกสารสำคัญต่าง ๆ จากนอกสำนักงานได้โดยไม่มีการติดตามตรวจสอบ ขณะที่ถุงบรรจุเอกสารลับสำหรับรอการทำลายถูกเปิดและวางทิ้งไว้บริเวณทางเดินโดยไม่มีใครสนใจ แหล่งข่าวซึ่งเป็นอดีตเจ้าหน้าที่ศาลสูงสุดระบุว่า มาตรการรักษาความปลอดภัยภายในที่หละหลวมเช่นนี้เกิดขึ้นมาเป็นเวลานานหลายปีแล้ว ซึ่งอาจก่อให้เกิดความไม่ปลอดภัย อันนำไปสู่การรั่วไหลของข้อมูลสำคัญ และเป็นอุปสรรคในการสืบสวนหาตัวผู้กระทำผิดหากมีเหตุข้อมูลข่าวสารลับรั่วไหลเกิดขึ้น
ผู้พิพากษาฯ บางคนที่ปรับตัวตามเทคโนโลยีได้ช้ายังคงใช้อีเมลส่วนตัวในการทำงาน แทนที่จะใช้เซิร์ฟเวอร์ที่มีการตั้งค่าระบบความปลอดภัยสำหรับป้องกันข้อมูลข่าวสารรั่วไหล ประกอบกับเจ้าหน้าที่ศาลฯ นั้นรู้สึกลำบากใจที่จะกล่าวเตือนให้บุคคลเหล่านี้ระมัดระวังที่จะทำข้อมูลสำคัญรั่วไหล สิ่งนี้สะท้อนว่า ผู้พิพากษาฯ ไม่ได้เป็นตัวอย่างในการรักษาความปลอดภัยที่เข้มงวด นอกจากนี้ อดีตลูกจ้างศาลฯ ยังมองว่าผู้พิพากษาฯ ไม่ได้เป็น “ผู้เชี่ยวชาญด้านกฎระเบียบการรักษาความปลอดภัยข้อมูลข่าวสารลับ”
การจัดการกับถุงกระดาษนิรภัย อดีตเจ้าหน้าที่ศาลฯ อธิบายว่า ถุงบรรจุเอกสารลับสำหรับรอการทำลายนั้น เป็นถุงกระดาษนิรภัยที่มีแถบสีแดงคาดไว้สำหรับใส่เอกสารสำคัญหรือเอกสารลับ ซึ่งจะนำไปทำลายโดยการเผาหรือการย่อย ก่อนหน้านี้ไม่ได้มีมาตรการหรือข้อกำหนดที่ชัดเจนทั้งการใช้งานและการทำลาย และผู้พิพากษาฯ แต่ละรายก็จะมีวิธีปฏิบัติแตกต่างกันไป ภายหลังทางศาลฯ ให้นำถุงกระดาษนิรภัยไปเทลงในถังขยะที่ล็อกไว้ที่ชั้นใต้ดินของอาคาร เพื่อรอให้บริษัททำลายเอกสารนำไปทำลายทิ้ง ก่อนที่จะนำไปทิ้งในถังขยะที่จัดไว้ เจ้าหน้าที่บางคนจะเย็บปิดปากถุงด้วยเครื่องเย็บกระดาษก่อนนำไปทิ้ง บางคนวางถุงไว้ใกล้โต๊ะทำงานรอจนกว่าเอกสารเต็มแล้วถึงจะนำไปทิ้ง นอกจากนี้ ยังพบถุงบางส่วนถูกทิ้งไว้ที่ทางเดินนอกห้องทำงาน ซึ่งคาดว่าน่าจะรอนำไปทิ้งที่ชั้นใต้ดิน แม้บริเวณดังกล่าวจะไม่ใช่พื้นที่สาธารณะแต่ก็ไม่ใช่ เรื่องยากนักที่คนทั่วไปจะเข้าถึงได้
ช่องโหว่จากการใช้เครื่องพิมพ์ การเข้าถึงเครื่องพิมพ์จากระยะไกลผ่านเครือข่ายส่วนตัวเสมือน หรือ VPN (Virtual Private Network) เพื่อเข้าสู่เครือข่ายภายในขององค์กร ทำให้เจ้าหน้าที่ศาลฯ สั่งพิมพ์เอกสาร ได้จากทุกที่ และจากคอมพิวเตอร์เครื่องใดก็ได้ ทำให้ยากที่จะตรวจสอบที่มาของการพิมพ์สำเนาเอกสาร โดยปกติแล้วการบันทึกข้อมูลการใช้งานของเครื่องพิมพ์จะเป็นสิ่งที่ทำให้เราทราบถึงข้อมูลการสั่งพิมพ์ แต่เครื่องพิมพ์ที่เชื่อมต่อเครือข่ายภายในองค์กรบางเครื่องจะบันทึกประวัติการพิมพ์เอกสารล่าสุดได้เพียง 60 ฉบับ กรณีเกิดเหตุข้อมูลข่าวสารรั่วไหล เมื่อกระบวนการสืบสวนเริ่มขึ้นช้า หลักฐานการสั่งพิมพ์ต่าง ๆ ก็อาจไม่หลงเหลืออยู่แล้ว
ก่อนการแพร่ระบาดของโควิด-19 แนวทางการปฏิบัติเกี่ยวกับการใช้งานระบบสารสนเทศของศาลฯ คือห้ามนำข้อมูลอ่อนไหว (ทั้งในรูปแบบเอกสารหรืออิเล็กทรอนิกส์) ออกนอกสำนักงานโดยไม่ได้รับอนุญาต แต่ในช่วงที่มีสถานการณ์โควิด-19 กฎระเบียบดังกล่าวจำเป็นต้องผ่อนปรน อย่างไรก็ตาม แม้จะมีกฎก็มิได้มีกลไกใดที่จะตรวจสอบการละเมิดในการนำเอกสารหรือข้อมูลสำคัญออกจากศาล ทั้งนี้ แหล่งข่าวยังแนะนำว่า โถงทางเดินภายในศาลฯ ซึ่งเป็นพื้นที่หวงห้าม ควรจะป้องกันการเข้าถึงด้วยประตูรหัสด้วย
Marine Corps Colonel Pete Devlin, JIOCEUR Analytic Center Commander tosses the first burn bag into the new industrial shredder at RAF Molesworth as JAC Chief of Installation Management, Mr. Robert J. James and JAC Chief of Security Support Mr. Joseph P. Bowen look on. U.S. Air Force Photo by Staff Sgt. Javier Cruz
ที่มาของการตรวจสอบมาตรการการรักษาความปลอดภัยข้อมูลข่าวสารลับของหน่วยงานศาลสูงสุดของสหรัฐฯ มีขึ้น หลังพบว่าข้อมูลข่าวสารลับที่มาจากการประชุมลับถูกเผยแพร่ต่อสาธารณชน ข้อมูลดังกล่าวเป็นร่างความเห็นของตุลาการศาลสูงสุดสหรัฐฯ ที่มีแนวโน้มว่าจะล้มคำพิพากษาในคดี Roe v. Wade เมื่อเกือบ 50 ปีที่ผ่านมา แต่เดิมชี้ว่าการทำแท้งไม่ถือว่าเป็นสิ่งผิดกฎหมาย สตรีสามารถยุติการตั้งครรภ์ได้ ตามรัฐธรรมนูญ โดยไม่กี่สัปดาห์ต่อมา ศาลสูงสุดของสหรัฐฯ มีคำวินิจฉัยเป็นไปในทางเดียวกับข้อมูลข่าวสารที่รั่วไหลออกมา และการตัดสินใจเรื่องสิทธิการทำแท้งให้เป็นเรื่องของเเต่ละรัฐกำหนดเอง
โดยทั่วไปหน่วยงานของรัฐในสหรัฐฯ จะมีกฎระเบียบเกี่ยวกับการใช้อีเมล ระบุให้เจ้าหน้าที่ ของรัฐหลีกเลี่ยงการใช้อีเมลส่วนตัวในการดำเนินกิจการของรัฐ เว้นแต่มีเหตุให้ไม่สามารถใช้อีเมลราชการได้หรือยังไม่มีบัญชีอีเมลอย่างเป็นทางการ การใช้อีเมลส่วนตัวทำงานราชการยังไม่ถือว่าผิดกฎหมาย อย่างไรก็ดี กฎหมายของรัฐบาลกลางสหรัฐฯ ระบุให้เจ้าหน้าที่ต้องส่งต่อ (forward) หรือส่งจดหมายราชการนั้น เข้าบัญชีอีเมลราชการภายใน 20 วัน เพื่อลดความเสี่ยงที่ข้อมูลจากบัญชีส่วนตัวจะรั่วไหลได้ ด้วยเหตุที่กระบวนการตรวจสอบการใช้บัญชีอีเมลส่วนตัวของเจ้าหน้าที่เป็นไปได้ยาก ประกอบกับไม่เป็นความผิดตามกฎหมายทำให้เจ้าหน้าที่ละเลยที่จะปฏิบัติตามกฎระเบียบของหน่วยงาน
ภารกิจของสำนักงานศาลสูงสุดของสหรัฐฯ มีลักษณะงานที่ต้องเกี่ยวข้องกับการพิมพ์เอกสารข้อมูลคดีความ สำนวนการสอบสวน ฯลฯ ซึ่งเป็นข้อมูลข่าวสารลับหรือข้อมูลอ่อนไหว ดังนั้น ผู้พิมพ์เอกสารดังกล่าว ควรต้องอยู่ภายในสำนักงานและรอรับเอกสารจากเครื่องพิมพ์ทันที และหลีกเลี่ยงการสั่งพิมพ์จากระยะไกล การใช้เครื่องพิมพ์ของหน่วยงานที่ต้องเกี่ยวข้องกับการพิมพ์ข้อมูลข่าวสารลับหรือข้อมูลอ่อนไหว การใช้งานเครื่องพิมพ์อาจต้องกำหนดมาตรการการรักษาความปลอดภัยที่เข้มงวดขึ้น เช่น การตั้งค่า VPN ไม่ให้สามารถสั่งพิมพ์จากระยะไกล การเลือกใช้เครื่องพิมพ์ที่สามารถบันทึกข้อมูลการใช้งาน (log) ได้จำนวนมาก การออกแบบสถาปัตยกรรมองค์กรที่ทำให้สามารถระบุตัวตนผู้ใช้งาน โดยใช้ Active Directory หรือระบบการบริหารจัดการจากศูนย์กลาง การตั้งค่าเฉพาะ IP Address เครื่องคอมพิวเตอร์สำนักงานที่กำหนดเท่านั้น เป็นต้น
หน่วยงานควรมีแนวทางปฏิบัติด้านการรักษาความปลอดภัยเกี่ยวกับข้อมูลข่าวสารลับของทางราชการที่ชัดเจน เช่น การจัดทำข้อมูลข่าวสารลับเมื่อได้ดำเนินการเสร็จสิ้นแล้ว วัสดุหรือกระดาษที่อยู่ในกระบวนการจัดทำให้ทำลายทันที ถ้าเป็นการจัดทำโดยใช้ระบบเทคโนโลยีสารสนเทศให้ลบหรือทำลาย การเก็บรักษาข้อมูลข่าวสารลับต้องเก็บไว้ในสถานที่ซึ่งเป็น “พื้นที่หวงห้าม” ให้เก็บข้อมูลข่าวสารลับในตู้เหล็กหรือตู้ที่มั่นคงแข็งแรง และปิดล็อกด้วยกุญแจที่มั่นคง ห้ามเก็บข้อมูลข่าวสารลับไว้บนโต๊ะทำงานหรือที่อื่นซึ่งอาจเป็นการเสี่ยงต่อการรักษาความปลอดภัย เว้นแต่เป็นการเก็บชั่วคราวในระหว่างการปฏิบัติงานประจำวัน นอกจากนี้ หน่วยงานควรกำหนดให้มีการปฏิบัติหน้าที่เวรรักษาความปลอดภัยประจำวันของแต่ละสำนัก/กอง ซึ่งนอกจากการรับผิดชอบเรื่องการรักษาความปลอดภัยทุกด้านแล้ว เจ้าหน้าที่เวรจะต้องตรวจตราการปฏิบัติต่อข้อมูลข่าวสารลับหลังเลิกงาน เช่น ไม่ทิ้ง/วางข้อมูลข่าวสารลับไว้บนโต๊ะทำงานโดยไม่มีการปกปิด เป็นต้น
ช่องโหว่ต่าง ๆ จากข่าวสารข้างต้นเป็นความเสี่ยงที่อาจทำให้ข้อมูลข่าวสารลับของทางราชการรั่วไหล แม้จะไม่ได้มีบทลงโทษตามกฎหมาย อย่างไรก็ดี สิ่งเหล่านี้แสดงถึงความตระหนักต่อการรักษาความปลอดภัยและการรักษาความลับ ส่งผลกระทบต่อภาพลักษณ์ ชื่อเสียง ความโปร่งใส ความน่าเชื่อถือขององค์กร โดยเฉพาะอย่างยิ่ง “ผู้พิพากษา” ผู้ซึ่งควรเป็นแบบอย่างในการปฏิบัติตามกฎระเบียบการรักษาความปลอดภัยอย่างเคร่งครัด และถึงแม้ว่าจะมีมาตรการรักษาความปลอดภัยข้อมูลข่าวสารลับที่รัดกุมเพียงใด แต่หากผู้ปฏิบัติงานละเลยและขาดจิตสำนึกในการรักษาความปลอดภัยและการรักษาความลับของทางราชการแล้ว ก็ยากที่องค์กรนั้นจะป้องกันมิให้ข้อมูลข่าวสารลับนั้นรั่วไหล
บทความโดย… องค์การรักษาความปลอดภัยฝ่ายพลเรือน / วันที่เผยแพร่ 3 มี.ค. 66
