เกี่ยวกับเรา

ด้วยการทำธุรกรรมทางอิเล็กทรอนิกส์ซึ่งครอบคลุมการทำธุรกรรมต่างๆ ทั้งในภาคธุรกิจ และการให้บริการของรัฐในงานรัฐบาลอิเล็กทรอนิกส์ รวมทั้งการทำธุรกรรมในส่วนของประชาชนหรือผู้บริโภค มีความสำคัญมากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งในการสร้างมูลค่าเพิ่มทางเศรษฐกิจและการยกระดับคุณภาพชีวิตที่ดีขึ้นของประชาชน แต่การติดต่อสื่อสารกันทางออนไลน์เพื่อทำธุรกรรมต่างๆ ก็มีประเด็นความเชื่อมั่นว่าบุคคล เว็บไซต์ เครื่องให้บริการ (เชิร์ฟเวอร์/server) หรืออุปกรณ์หนึ่งอุปกรณ์ใด หรือระบบสารสนเทศระบบหนึ่งระบบใด หรือเอนทิตี (Entity)หนึ่งเอนทิตีใดนั้น เป็นบุคคลหรือเป็นสิ่งนั้นจริง จึงเป็นที่มาของการพัฒนาเทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure) หรือมักเรียกกันว่า “เทคโนโลยี PKI” ซึ่งมีคุณสมบัติในการเข้ารหัสลับเพื่อรักษาความลับ และใช้ในการลงลายมือชื่อดิจิทัล ซึ่งสามารถระบุตัวเจ้าของลายมือชื่อดิจิทัล และเมื่อใช้ลายมือชื่อดิจิทัลกำกับข้อความใดแล้ว หากมีการเปลี่ยนแปลงใดๆ เกิดขึ้นกับข้อความหรือลายมือชื่อดิจิทัล ก็จะตรวจพบการเปลี่ยนแปลงที่เกิดขึ้นนั้นได้ ซึ่งทำให้การลงลายมือชื่อดิจิทัลดังกล่าวนั้น นอกจากสามารถระบุตัวบุคคลได้แล้ว ยังสามารถตรวจสอบความครบถ้วนของข้อมูล อันทำให้เจ้าของลายมือชื่อดิจิทัลไม่สามารถปฏิเสธความรับผิดในธุรกรรมที่ทำได้


ภาพที่ 1 แสดงเป้าประสงค์ของการประยุกต์ใช้เทคโนโลยี PKI

อนึ่ง ในการให้บริการเกี่ยวกับใบรับรองอิเล็กทรอนิกส์นั้น ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority)หรือที่มักเรียกกันว่า “CA” เป็นองค์กรที่ให้บริการ ภายใต้แนวปฏิบัติ มาตรฐาน หรือมาตรการด้านความมั่นคงปลอดภัยตามมาตรฐานสากลมากมายที่เกี่ยวข้อง  ขณะนี้ ในประเทศไทยมีCA ที่ให้บริการแล้วจำนวน 4 ราย และที่อยู่ระหว่างการพัฒนาระบบเพื่อให้บริการอีกหลายราย ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แล้วหลายรายทั้งแบบที่ใช้เป็นการภายในองค์กร

อย่างไรก็ตาม การตรวจสอบลายมือชื่อดิจิทัลหรือตรวจสอบว่าใบรับรองอิเล็กทรอนิกส์เป็นของใคร หรือออกโดย CA รายใดนั้น จำเป็นต้องทำให้เกิดการทำงานร่วมกันระหว่างระบบ (Interoperability)ของ CA ผู้ให้บริการเพื่อป้องกันปัญหาที่อาจเกิดจากข้อมูลหรือซอฟต์แวร์ที่มีลักษณะเฉพาะ (Proprietary)ของ CA แต่ละราย เพื่อมิให้มีปัญหาเกี่ยวกับอัลกอริทึม (Algorithm)หรือขั้นตอนวิธีในการคำนวณทางคณิตศาสตร์ที่พัฒนาโดยผู้ให้บริการแต่ละราย อันเป็นที่มาของระบบทรัสต์โมเดล (Trust Model)หรือระบบการมอบความไว้วางใจเพื่อทำให้การตรวจสอบใบรับรองที่ CA แต่ละรายออกนั้น สามารถทำงานร่วมกันหรือตรวจสอบกันได้ ทั้งนี้ ระบบทรัสต์โมเดลมีหลายรูปแบบ โดยประเทศไทยด้วยการผลักดันนโยบายของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ที่มีความรับผิดชอบในเรื่องดังกล่าว ได้เลือกทรัสต์โมเดลแบบ Root CA เพื่อให้ National RootCA เป็นศูนย์กลางในการเชื่อมโยงใบรับรองอิเล็กทรอนิกส์สามารถทำงานร่วมกันได้ ดังนั้น สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ส่วนงานในสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (สปทก.) จึงได้รับผิดชอบงาน National Root CA นับตั้งแต่ปี 2550 เป็นต้นมา โดยในทางปฏิบัติ สปทก. ก็ได้ว่าจ้างให้สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ หน่วยงานภายใต้สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ เป็นที่ปรึกษาในการพัฒนา National Root CA ในลักษณะการเช่าระบบเพื่อใช้ในการทดสอบหรือทำงาน

ต่อมาเมื่อวันที่ 22 กุมภาพันธ์ 2554 ได้มีการจัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) เพื่อให้ทำหน้าที่พัฒนา ส่งเสริม และสนับสนุนการทำธุรกรรมทางอิเล็กทรอนิกส์ของประเทศ รวมทั้งการพัฒนามาตรฐานและมาตรการด้านความมั่นคงปลดภัยของประเทศ พร้อมกันกับการโอนย้ายสบทร.ไปเป็นสำนักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน) หรือสรอ. ที่จัดตั้งขึ้นมาพร้อมกัน ภารกิจที่สปทก.ว่าจ้างสบทร.จึงโอนมายังสรอ.ด้วย

อย่างไรก็ตาม ต่อมาเมื่อวันที่ 30 มีนาคม 2554 คณะรัฐมนตรีก็ได้มีมติอนุมัติให้โอนบรรดาอำนาจหน้าที่และงบประมาณของภารกิจที่เกี่ยวกับการพัฒนา National Root CA จากสปทก.มายังสพธอ. เพื่อให้เป็นหน่วยงานที่ดำเนินงานทางปฏิบัติในการพัฒนาและดูแลระบบ National Root CA ซึ่งถือเป็นโครงสร้างพื้นฐานสำคัญที่รองรับการทำธุรกรรมทางอิเล็กทรอนิกส์ที่มีขอบเขตครอบคลุมมิใช่แต่เพียงการซื้อขาย การให้บริการ หรือการจ้างแรงงาน การชำระเงินทางอิเล็กทรอนิกส์ และยังรวมไปถึงการให้บริการของรัฐทางอิเล็กทรอนิกส์หรือในงานรัฐบาลอิเล็กทรอนิกส์ การให้บริการด้านระบบ National Single Window ของระบบ e-Logisticsและการให้บริการด้านสาธารณสุขทางออนไลน์ในระดับชาติ (National Healthcare)

อนึ่ง ในระดับอาเซียนได้มีการรับรองแผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารอาเซียน 2015 (ASEAN ICT Master Plan 2015)ซึ่งเป็นเอกสารที่กำหนดยุทธศาสตร์และแผนการดำเนินงานความร่วมมือด้านไอซีทีในกรอบอาเซียน ระยะ 5 ปี ระหว่างปี พ.ศ.             2554-2558       โดยมีเป้าหมายหลัก 4 ประการ คือ

  1. ใช้ ICT เป็นเครื่องมือในการผลักดันให้อาเซียนมีความเจริญเติบโตทางเศรษฐกิจ
  2. ให้อาเซียนได้รับการยอมรับในฐานะเป็นศูนย์กลางด้าน ICT ของโลกแห่งหนึ่ง
  3. ให้ประชากรอาเซียนมีคุณภาพชีวิตที่ดีขึ้น
  4. ให้ ICT มีส่วนช่วยส่งเสริมการรวมตัวเป็นหนึ่งเดียวของอาเซียน

ซึ่งการผลักดันภายใต้แผนแม่บทดังกล่าว ได้มีการกำหนดยุทธศาสตร์ในด้านการพัฒนาโครงสร้างพื้นฐาน (Infrastructure Development) โดยถือเป็นแนวทางหนึ่งที่สำคัญที่ต่างประเทศได้ให้ความสำคัญในการใช้   ICT  เป็นเครื่องมือสำคัญในการผลักดันให้เศรษฐกิจของอาเซียนมีความเจริญเติบโต ในขณะเดียวกันแผน/นโยบายระดับชาติของประเทศไทยเองก็ได้มีการกำหนดยุทธศาสตร์เพื่อพัฒนาและส่งเสริมโครงสร้างพื้นฐาน
ที่สำคัญทาง ICT โดยคำนึงถึงความมั่นคงปลอดภัยเป็นสำคัญ ซึ่งจะสอดคล้องกับการผลักดันให้ประเทศไทยไปสู่การเป็น SMART Thailand ตามกรอบนโยบาย ICT 2020

ดังนั้น การดำเนินงานเพื่อสนับสนุนให้เกิดความเชื่อมั่นในการทำธุรกรรมฯ ตามพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ที่ได้มีการประกาศใช้ตั้งแต่ปี พ.ศ. 2544 นั้น  ประเทศไทยจำเป็นต้องมีโครงสร้างพื้นฐานที่สำคัญเพื่อช่วยเป็นกลไกในการตรวจสอบและยืนยันที่มาที่ไปในการทำธุรกรรมฯ ให้มีความน่าเชื่อถือมากยิ่งขึ้น ในที่นี้ การผลักดันการประยุกต์ใช้เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI: Public Key Infrastructure) จึงถือเป็นกลไกหนึ่งที่ได้มีความพยายามในการผลักดันเพื่อให้เกิดการใช้ในหน่วยงานต่างๆ มากขึ้น ที่ต้องอาศัย CA เป็นองค์ประกอบหลักในการทำหน้าที่ในการออกใบรับรองอิเล็กทรอนิกส์เพื่อใช้ในการตรวจสอบที่มาที่ไปของการทำธุรกรรมฯ นั้นๆ

ดังนั้น การมี National Root CA เป็นศูนย์กลางในการสร้างความเชื่อมั่นในการเชื่อมโยงระบบลายมือชื่ออิเล็กทรอนิกส์ที่มีการใช้งานทั้งในประเทศ และต่างประเทศให้สามารถยืนยันตัวตัวตนของผู้ใช้บริการได้แม้ว่าจะใช้บริการใบรับรองอิเล็กทรอนิกส์จากผู้ให้บริการต่างรายกัน อีกทั้งยังช่วยส่งเสริมและสนับสนุนการทำธุรกรรมทางอิเล็กทรอนิกส์ของประเทศ ซึ่งยังเป็นการเพิ่มประสิทธิภาพและศักยภาพในการดำเนินงานของภาครัฐและภาคเอกชนที่มีการใช้งานใบรับรองอิเล็กทรอนิกส์
อีกด้วยจึงเป็นโครงสร้างพื้นฐานที่สำคัญและจำเป็นของประเทศ

นอกจากนั้น เมื่อพิจารณาพันธกรณีระหว่างประเทศ จะพบว่า ได้มีพันธกรณีที่ประเทศจะต้องดำเนินการอันเป็นผลมาจากการทำความร่วมมือระหว่างประเทศ เช่น พันธกรณีที่ทำร่วมกับออสเตรเลีย และ e-ASEAN ที่มีประเด็นว่าจะต้องส่งเสริมให้เกิด Interoperability of digital certificates ในภาคธุรกิจส่งผลให้ต้องจำเป็นที่จะต้องมีการจัดทำมาตรฐานแอพพลิเคชั่นเพื่อการประยุกต์ใช้เทคโนโลยี PKI รวมถึงการทดสอบการทำงานระหว่างระบบของผู้ให้บริการ CA ไทยทุกรายและทดสอบการทำงานบน Application ต่างๆ ด้วย นอกจากนี้ ในส่วนของการสนับสนุน National Single Window ยังมีการส่งเสริมให้มีการทำการแลกเปลี่ยนกันในรูปแบบ  eb/ML และใช้การเข้ารหัสด้วย PKI โดยจะต้องมีการลงลายมือชื่ออิเล็กทรอนิกส์ด้วย(e-Signature) สิ่งเหล่านี้ เป็นการสะท้อนให้เห็นถึงความจำเป็นในการนำเทคโนโลยี PKI มาประยุกต์ใช้ในกระบวนการต่างๆ ของการทำธุรกรรมฯ เพื่อสร้างความน่าเชื่อถือทั้งในและต่างประเทศ รวมทั้งยังเป็นโครงสร้างพื้นฐานสำคัญในการลดกระดาษ อันจะทำให้ประเทศไทยก้าวสู่ระบบ Paperless ได้ในอนาคต ส่งผลต่อการกระตุ้นเศรษฐกิจในด้านการสร้าง/เพิ่มความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งจะส่งผลต่อการเพิ่มมูลค่าทางเศรษฐกิจโดยรวม


ภาพที่ 2 สรุปประเด็นที่เกี่ยวกับเทคโนโลยี PKI และการให้บริการ CA ซึ่งเกิดจากพันธกรณี หรือข้อตกลงที่ประเทศไทยได้ลงนามกับประเทศออสเตรเลีย นิวซีแลนด์ ญี่ปุ่น และประชาคมเศรษฐกิจอาเซียน

ซึ่งนอกจากการดำเนินงานดังกล่าวข้างต้นแล้ว ที่ผ่านมาได้มีการผลักดันการจัดตั้งสมาคมไทยแลนด์พีเคไอ ที่ก่อตั้งเมื่อปี พ.ศ. 2552 โดยเป็นการรวมตัวกันของกลุ่มผู้ให้บริการหรือผู้ประกอบการที่เกี่ยวกับเทคโนโลยี PKIเพื่อสร้างความรู้ความเข้าใจในเรื่องเทคโนโลยี PKI ให้เป็นที่รู้จักในสังคมไทยให้มากขึ้น และเพื่อสร้างความเข้มแข็งในการช่วยเหลือกันทั้งทางเทคนิค

การดำเนินงานที่ผ่านมานอกจากการรวมกลุ่มเพื่อผลักดันให้มีการประยุกต์ใช้เทคโนโลยี PKI เพิ่มมากขึ้นแล้ว ยังมีในส่วนของการผลักดันทั้งในด้านดำเนินการทดสอบทางเทคนิคการออกใบรับรองอิเล็กทรอนิกส์กับผู้ให้บริการภายในประเทศ  ได้แก่  บริษัท  ทีโอที  จำกัด  (มหาชน)  บริษัท  กสท  โทรคมนาคม จำกัด (มหาชน) และ บริษัท ไทยดิจิทัลไอดี จำกัด รวมถึงได้ดำเนินการทดสอบการเชื่อมโยงใบรับรองอิเล็กทรอนิกส์ระหว่างประเทศ (CA-CAInteroperability)ระหว่างประเทศโดยทดสอบทางเทคนิคร่วมกับประเทศสิงคโปร์ สาธารณรัฐไต้หวัน และเขตปกครองพิเศษฮ่องกง

ปัญหาการดำเนินงานที่ผ่านมานั้น มีหลายปัจจัยที่ส่งให้การส่งเสริมการใช้เทคโนโลยี PKI ไม่ประสบความสำเร็จเท่าที่ควร เช่น ขาดความต้องการในการใช้งานน้อย มีการใช้งานในวงแคบ แอพพลิเคชั่นมีนำไปใช้งานมีน้อย กลไกส่งเสริมด้านการตลาดของ CA ยังไม่ปรากฏชัดนัก อีกทั้งเงินลงทุนค่อนข้างสูง ดังนั้น การส่งเสริมที่สำคัญ  จึงจำเป็นต้องมีการดำเนินงานทั้งในเชิงรุกโดยการดำเนินงานร่วมกับหน่วยงานที่เกี่ยวข้อง  การเตรียมความพร้อมในด้านอุปกรณ์ทั้งฮาร์ดแวร์ และซอฟต์แวร์เพื่อรองรับการดำเนินงาน ตลอดจน การนำ Cert ของ NRCA ไปไว้ใน Trust List

นอกจากนี้ ยังต้องอาศัยบุคลากรที่มีความเชี่ยวชาญเพื่อให้การดำเนินงานเป็นไปตามมาตรฐานระดับสากล โดยปัจจุบันได้มีการประยุกต์ใช้มาตรฐาน ISO/IEC 27001:2005 (Information Security Management System: ISMS)เพื่อให้มีระบบการบริหารความมั่นคงปลอดภัยของสารสนเทศที่สามารถจัดการความเสี่ยงด้านความมั่นคงปลอดภัยอย่างม
ีประสิทธิภาพ ที่ต้องอาศัยการสนับสนุนอย่างต่อเนื่อง

สพธอ. จึงเห็นว่าการดำเนินการ National Root CA เป็นกิจกรรมหลักที่สนับสนุนให้เกิดความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส์ทั้งในระดับประเทศและระดับนานาชาติ จึงเสนอดำเนินการเป็น National Root CA ภายใต้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร การดำเนินงานในส่วนนี้ของ สพธอ. จึงจำเป็นจะต้องมีการลงทุนทางด้านการพัฒนาระบบสารสนเทศและจัดทำสถานที่สำหรับจัดตั้งระบบสารสนเทศดังกล่าวให้มี
ความมั่นคงปลอดภัย และพร้อมใช้งานอย่างต่อเนื่อง เพื่อเป็นการสร้างองค์ความรู้ให้เกิดขึ้น ตลอดจนเป็นการผลักดันการดำเนินงานของ National Root CA ให้มีศักยภาพร่วมกับ CA ในต่างประเทศอันจะนำไปสู่การสร้างมูลค่าการทำธุรกรรมทางอิเล็กทรอนิกส์ และสร้างความน่าเชื่อถือในการทำธุรกรรมฯ ทั้งภายในและต่างประเทศต่อไป

การดำเนินงาน National Root CA
1. สพธอ. ดำเนินให้ประเทศไทยมีระบบNational Root CA ซึ่งเป็นโครงสร้างพื้นฐานสำคัญที่พร้อมให้บริการอย่างมีประสิทธิภาพ มีการดำเนินการตามมาตรฐานสากล และมีการรักษาความมั่นคงปลอดภัยในระดับสูงสุด
2. National Root CA เป็นศูนย์กลางในการสร้างความเชื่อมโยงในการทำงานร่วมกันทางเทคนิคระหว่างผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ภายใน
และต่างประเทศอันทำให้เกิดความเชื่อมั่นว่า การตรวจสอบใบรับรองอิเล็กทรอนิกส์ของ CA ในประเทศ และ CA ในต่างประเทศ สามารถทำงานหรือตรวจสอบระหว่างกันได้ และพร้อมสำหรับใช้สนับสนุนโครงสร้างพื้นฐานสำคัญอื่นของประเทศ เช่น โครงการ National Single Window และ National Healthcare เป็นต้น
3. National Root CA เป็นระบบที่ช่วยลดต้นทุนและประหยัดค่าใช้จ่ายของประเทศในภาพรวม เพราะเป็นศูนย์กลางในการทดสอบและเชื่อมโยงการทำงานทางเทคนิคกับ CA ต่างประเทศ ต่างไปจากระบบที่ให้ CA แต่ละรายในประเทศต่างรายต่างไปทดสอบทำงานร่วมกับ CA ในต่างประเทศเอาเอง

ผลที่คาดว่าจะได้รับ

  1. มีระบบและสถานที่แบบมั่นคงปลอดภัยสำหรับดำเนินการ National Root CA
  2. สามารถดำเนินการเพื่อพร้อมให้บริการในการทดสอบและเชื่อมโยงใบรับรองอิเล็กทรอนิกส์ของ CA ในประเทศ  และพร้อมทดสอบกับ CA ในต่างประเทศ โดยให้ความสำคัญกับประเทศสมาชิกอาเซียน ด้วยการทำ digital certificate mutual recognition framework
  3. ให้บริการสนับสนุนการเชื่อมโยงใบรับรองอิเล็กทรอนิกส์สำหรับโครงสร้างพื้นฐานอื่น เช่น National Single Window
  4. มีความร่วมมือกับ CA ต่างประเทศ ในการประสานการทำงานร่วมกัน เพื่อแลกเปลี่ยนประสบการณ์และถ่ายทอดเทคโนโลยี (Technology Transfer) ที่เกี่ยวกับ PKI และความมั่นคงปลอดภัย รวมทั้งมาตรฐานที่เกี่ยวข้อง