สำรวจภูมิทัศน์และอนาคตของการจัดการสื่อในยุคหลอมรวมข้ามพรมแดน

ชื่อโครงการวิจัย: สำรวจภูมิทัศน์และอนาคตของการจัดการสื่อในยุคหลอมรวมข้ามพรมแดน (Media landscape and future of media regulation in the convergence era) โครงการศึกษาแนวทางส่งเสริมจริยธรรม จรรยาบรรณ และการกำกับกิจการสื่อใหม่ในยุคหลอมรวมเทคโนโลยี

ผู้วิจัย: มูลนิธิสื่อเพื่อการศึกษาของชุมชน

ปีที่วิจัย: กรกฎาคม 2557 – กรกฎาคม 2558 (เสนอ ธันวาคม 2558)

แหล่งทุน: สำนักส่งเสริมการแข่งขันและกำกับดูแลกันเอง (สส.) สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.)

ดาวน์โหลดรายงานวิจัยและเอกสารนำเสนอทั้งหมด

บทสรุปสำหรับผู้บริหาร

งานวิจัยชิ้นนี้ศึกษาแนวทางการกำกับดูแลสื่อใหม่ (New Media) ภายใต้ปรากฏการณ์การหลอมรวมและบรรจบกันของสื่อ (Media Convergence) ซึ่งทำให้เกิดการเปลี่ยนแปลงภูมิทัศน์ของสื่อในยุคปัจจุบันไปจากเดิมทั้งหมด โดยเฉพาะการทำให้เส้นแบ่งระหว่างประเภทของสื่อ ได้แก่ กิจการโทรคมนาคม กิจการกระจายเสียง และเครือข่ายข้อมูลคอมพิวเตอร์พร่าเลือนไป เนื่องจากเนื้อหาหรือบริการในลักษณะเดียวกันสามารถไปปรากฏบนสื่อกลาง (medium) หรือเครือข่ายข้อมูลที่หลากหลาย สภาวะเช่นนี้ทำให้การออกแบบการกำกับกิจการที่มองพรมแดนของสื่อในแบบเดิมประสบปัญหาในการกำกับดูแล นำไปสู่ความจำเป็นในการสำรวจและทำความเข้าใจกับพรมแดนของสื่อเสียใหม่

งานวิจัยชิ้นนี้เป็นงานวิจัยเชิงคุณภาพ เน้นศึกษานโยบายเชิงเปรียบเทียบ โดยใช้การวิจัยจากหนังสือเอกสาร การสัมภาษณ์เก็บข้อมูล และการระดมความคิดเห็นจากผู้เชี่ยวชาญและผู้เกี่ยวข้อง โดยมีโจทย์การวิจัยสามประการสำคัญ คือศึกษาความหมาย ปัจจัย และองค์ประกอบของสื่อใหม่ในยุคของการหลอมรวมทางเทคโนโลยี การศึกษาทบทวนความรู้ที่เกี่ยวข้องกับกลไกการกำกับกิจการสื่อใหม่โดยใช้กรณีตัวอย่างในต่างประเทศ และการรวบรวมความคิดเห็นและข้อเสนอแนะในเรื่องกลไกการกำกับกิจการสื่อใหม่ที่เหมาะสมกับประเทศไทย โดยเฉพาะข้อเสนอในการส่งเสริมการกำกับดูแลกันเอง

งานวิจัยชิ้นนี้เห็นว่ากรอบคิดหรือเป้าประสงค์ในการกำกับกิจการสื่อในยุคปัจจุบันที่สำคัญสามประการ ประกอบไปด้วย การมุ่งส่งเสริมการแข่งขันที่เสรีและเป็นธรรม, การกำกับภายใต้ความโปร่งใสและตรวจสอบได้, และการมุ่งส่งเสริมความหลากหลายของข้อมูลข่าวสารและพหุนิยมในสังคม รวมทั้ง คุ้มครองสิทธิของประชาชนทั้งในฐานะผู้บริโภคและในฐานะพลเมือง

สำหรับแนวคิดที่งานวิจัยชิ้นนี้ทบทวนเพื่อใช้ประกอบการศึกษา ประกอบไปด้วย แนวคิดเรื่องสื่อใหม่ แนวคิดการหลอมรวมทางเทคโนโลยี และแนวคิดที่เกี่ยวข้องกับการกำกับกิจการสื่อ ในส่วนประเทศที่คณะวิจัยเลือกใช้เป็นกรณีศึกษามีจำนวนสามประเทศหลัก ได้แก่ ประเทศเกาหลีใต้ ฝรั่งเศส และอินโดนีเซีย โดยพิจารณาจากองค์ประกอบของประเทศที่มีกฎหมายที่ดี มีเทคโนโลยีสูง และมีบริบทต่างๆ ที่คล้ายคลึงกับประเทศไทย

ขณะเดียวกัน งานวิจัยก็มีข้อจำกัดในเรื่องการติดตามให้ทันกับความเปลี่ยนแปลงของภูมิทัศน์สื่อใหม่ในระดับโลก ซึ่งกำลังดำเนินไปตลอดเวลาและเปลี่ยนแปลงอย่างรวดเร็ว เต็มไปด้วยพลวัต แนวทางการกำกับกิจการสื่อใหม่ยังมีลักษณะที่อยู่ในช่วงเปลี่ยนผ่าน ประเทศในกรณีศึกษายังไม่มีประเทศใดที่มีการกำกับกิจการที่ครอบคลุม และแบบแผนที่ชัดเจนลงตัว งานวิจัยนี้จึงเป็นเพียงจุดเริ่มต้นของการพิจารณาแนวทางในการกำกับสื่อใหม่เท่านั้น

สรุปผลการวิจัย

จากการศึกษากรณีตัวอย่างในต่างประเทศ พบว่าใน กรณีของประเทศเกาหลีใต้ มีเป้าหมายในการออกแบบการกำกับกิจการที่เด่นชัด คือเน้นการส่งเสริมการเติบโตของเศรษฐกิจโดยรวมของประเทศ แนวโน้มของแนวทางกำกับจึงมุ่งไปสู่การส่งเสริมการแข่งขันภายใต้กฎระเบียบของรัฐที่มีการผ่อนคลายลงมากขึ้นเรื่อยๆ เพื่อพยายามตอบสนองความเปลี่ยนแปลงของเทคโนโลยีได้อย่างรวดเร็ว เกาหลีใต้ยังพยายามออกแบบองค์กรกำกับกิจการสื่อหลอมรวมโดยตรง โดยแยกองค์กรที่กำกับกิจการด้านเนื้อหากับด้านโครงสร้างของสื่อออกจากกัน และรัฐมีบทบาทในการส่งเสริมการเข้าถึงโครงสร้างพื้นฐาน แต่ก็มีแนวโน้มในการปิดกั้นเสรีภาพในการแสดงออกและปัญหาการคุ้มครองข้อมูลส่วนบุคคล

กรณีประเทศฝรั่งเศสนั้น มีจุดเด่นในการมุ่งเน้นการคุ้มครองและส่งเสริมสิทธิเสรีภาพของประชาชน รับประกันความหลากหลายของการสื่อสาร ความหลากหลายทางวัฒนธรรม และการคุ้มครองผู้บริโภค ฝรั่งเศสใช้โครงสร้างการกำกับกิจการแบบเดิมซึ่งแยกตามชนิดของสื่อ โดยใช้วิธีการปรับปรุงกฎหมายเดิมเพิ่มเติม เพื่อให้สามารถดูแลข้อท้าทายใหม่ๆ ลักษณะขององค์กรกำกับกิจการแยกไปตามชนิดของสื่อ ไม่ได้รวมศูนย์อำนาจไว้ในหน่วยใดหน่วยหนึ่งโดยเฉพาะ แต่ก็ทำให้มีแนวโน้มที่จะปรับตัวค่อนข้างช้าต่อความเปลี่ยนแปลงของเทคโนโลยี และยังต้องขึ้นอยู่กับแนวทางการกำกับตามกฎระเบียบสหภาพยุโรป (EU Directive) อีกด้วย

กรณีประเทศอินโดนีเซีย อำนาจในการกำกับกิจการสื่อยังค่อนข้างรวมศูนย์อยู่ที่รัฐส่วนกลาง โดยองค์กรกำกับในลักษณะกระทรวงของรัฐมีอำนาจมากกว่าองค์กรที่เป็นอิสระ และประสบปัญหาการทับซ้อนกันของอำนาจหน้าที่ของหน่วยงาน แต่ภาครัฐก็ค่อยๆ ลดบทบาทลงไปเมื่อเปรียบเทียบกับสภาพการเมืองในอดีต โดยมีการออกกฎหมายที่สนับสนุนให้เปิดเสรีสื่อ และจัดตั้งองค์กรกำกับกิจการที่เป็นอิสระ ทำหน้าที่จัดสรรคลื่นความถี่ ออกใบอนุญาต และควบคุมเนื้อหา ขณะที่กลไกการกำกับสื่อหลอมรวมนั้นยังอยู่ในช่วงระหว่างการพัฒนากฎหมายและองค์กรกำกับ

ปัญหาประการหนึ่งที่พบร่วมกันในรูปแบบการกำกับกิจการที่แยกองค์กรและกฎหมายไปตามประเภทของสื่อแบบดั้งเดิม คือ มีแนวโน้มที่จะทำให้เกิดช่องว่างในการกำกับกิจการสื่อใหม่ๆ ที่เกิดขึ้นจากการพัฒนาเทคโนโลยี โดยเฉพาะสื่อที่มีลักษณะตัวกลางที่ซ้อนทับกัน และยังนำไปสู่การแข่งขันกันเองระหว่างองค์กรต่างๆ ในการพยายามเข้าไปมีอำนาจหน้าที่ในการกำกับดูแลสื่อใหม่ รวมทั้งปัญหาที่หลายประเทศมีร่วมกันคือความเป็นอิสระขององค์กรกำกับกิจการ

ในส่วนข้อสรุปจากการระดมความคิดเห็นของผู้เชี่ยวชาญในประเทศ พบว่า แนวทางที่มีความเห็นร่วมกัน คือควรเน้นส่งเสริมการกำกับกันเอง มากกว่าที่จะให้รัฐหรือองค์กรที่ใช้อำนาจรัฐมีบทบาทหน้าที่ในการกำกับมากเกินไป หากควรจำกัดบทบาทของรัฐ ในฐานะผู้บริหารจัดการส่งเสริมให้เกิดสภาพการแข่งขัน เอื้อให้มีผู้ประกอบการที่หลากหลาย ทั้งผู้ประกอบการรายใหญ่และรายย่อยสามารถเข้าสู่การแข่งขันได้อย่างเป็นธรรม ตลอดจนส่งเสริมบทบาทภาคประชาชนให้ได้รับการคุ้มครองในฐานะผู้บริโภค และมีส่วนร่วมในการสื่อสารของพลเมือง และยังควรคำนึงถึงผลกระทบทางสังคม เช่น ช่องว่างทางทักษะดิจิทัลและความเป็นส่วนตัว การใช้ทรัพยากรอย่างมีประสิทธิภาพต่อประโยชน์สาธารณะ การพัฒนาและประกันคุณภาพบริการ และคำนึงถึงโอกาสในการรับรู้ข้อมูลข่าวสารของประชาชนอย่างเท่าเทียมและทั่วถึง

ข้อเสนอในงานวิจัย

ข้อเสนอแนะของงานวิจัยชิ้นนี้เกี่ยวกับการกำกับกิจการสื่อใหม่ในยุคหลอมรวมเทคโนโลยี ได้แก่ หากจะมีการจัดตั้งองค์กรกำกับใดๆ ควรพิจารณาถึงหลักการเรื่องความชอบธรรมและการแบ่งแยกอำนาจให้มากที่สุด ควรรักษาหลักการคานอำนาจระหว่างฝ่ายนิติบัญญัติ ตุลาการ และบริหาร พร้อมแยกบทบาทระหว่างผู้ประกอบการกิจการและผู้กำกับกิจการ เพื่อตรวจสอบซึ่งกันและกันและเป็นอิสระจากกัน และดำเนินงานโดยคำนึงถึงหลักความยุติธรรมและธรรมาภิบาล นอกจากนี้ ยังควรทบทวนตัวกฎหมายและบทบาทหน้าที่ขององค์กรเป็นระยะ เพื่อให้ทันกับความเปลี่ยนแปลงของเทคโนโลยีและสภาพแวดล้อมทางสังคม

ส่วนหน่วยงานหรือบุคคลที่จะถูกกำกับนั้น จำเป็นจะต้องแยกประเภทออกจากกันตามบทบาทที่เข้าไปมีส่วนร่วมในการผลิตหรือเผยแพร่เนื้อหา โดยผู้ผลิตเนื้อหาควรพิจารณาคุ้มครองเสรีภาพในการแสดงออกของสื่ออาชีพและสื่อพลเมือง ที่คำนึงถึงข้อจำกัดในการเข้าถึงสิทธิโดยองค์กรหรือบุคคลที่แตกต่างกัน เพื่อให้ผลลัพธ์สุดท้ายนั้นสื่อทุกชนิดจะได้รับการคุ้มครองในระดับที่ไม่แตกต่างกัน

สำหรับการจัดสรรทรัพยากร ไม่ว่าจะเป็นเวลาในการออกอากาศ คลื่นความถี่ หรือกองทุน จำเป็นที่จะต้องจัดสรรทรัพยากรให้สื่อพลเมืองไม่น้อยไปกว่าสื่ออื่น และมีแนวทางที่สอดคล้องกับการกระจายอำนาจไปยังท้องถิ่น ซึ่งจะทำให้เนื้อหาข้อมูลข่าวสารและบริการนั้นๆ สอดรับกับการวิถีการดำรงชีวิตหรือภัยสาธารณะในแต่ละพื้นที่

ในส่วนกรณีของการจัดสรรคลื่นความถี่ในรอบใหม่ๆ รวมถึงคลื่นชุดที่จะได้รับคืนมาจากกิจการกระจายเสียงแบบแอนะล็อก ควรจัดสรรคลื่นความถี่ในอนาคตให้กับกิจการอินเทอร์เน็ตเป็นสัดส่วนที่มากกว่ากิจการอื่นๆ ภายใน 10 ปี เพื่อให้สอดคล้องกับทิศทางของสื่อใหม่ในยุคหลอมรวม คือการมีอินเทอร์เน็ตเป็นแพลตฟอร์มหลัก

ส่วนแนวทางการกำกับกิจการโดยหน่วยงานรัฐนั้น ควรหลีกเลี่ยงการกำกับเนื้อหา โดยประเด็นเกี่ยวกับเนื้อหาและคุณค่าเป็นเรื่องที่รัฐควรเข้าไปมีส่วนกำกับให้น้อยที่สุด และให้พื้นที่สำหรับการกำกับกันเองของสื่อเป็นบทบาทหลักในการกำกับเนื้อหา

ส่วนข้อเสนอเพื่อส่งเสริมการกำกับกันเองในงานวิจัยชิ้นนี้ เห็นว่าจำเป็นต้องรับประกันเสรีภาพในการทำงานของสื่อตัวกลาง มีกลไกการร้องเรียนชั้นต้นที่บริหารโดยตัวองค์กรสื่อเอง โดยกำหนดให้ทุกองค์กรสื่อมีหน่วยรับเรื่องร้องเรียน และให้ทบทวนมาตรฐานที่ได้จากการประมวลคำวินิจฉัยเป็นระยะเพื่อให้ทันต่อวัฒนธรรมเทคโนโลยีใหม่ เนื่องจากเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว อาจส่งผลต่อบรรทัดฐานเดิมที่กำหนดไว้ รวมไปถึงส่งเสริมการปรับปรุงมาตรฐานวิชาชีพ และการรวมกลุ่มของคนทำงานสื่อ

นอกจากนี้ยังควรส่งเสริมให้เกิดการแข่งขันและนวัตกรรมในอุตสาหกรรม ด้วยการสนับสนุนให้เกิดการพัฒนามาตรฐานเปิดที่ทุกฝ่ายเข้าถึงได้ เพื่อลดกำแพงในการเข้าสู่การให้บริการ และพิจารณาใช้หลักการกำกับตามหลังเท่าที่จำเป็น เฉพาะกรณีที่เห็นได้ชัดว่า มีปัญหาที่สำคัญเกิดขึ้นและตลาดหรือระบบที่มีอยู่เดิมไม่สามารถปรับตัวได้ดีพอเพื่อจัดการกับปัญหาดังกล่าว ทั้งนี้เพื่อไม่ให้เกิดการปิดกั้นโอกาสในการพัฒนาการใช้เทคโนโลยีในแนวทางใหม่ๆ

คณะผู้วิจัย

  • จันทจิรา เอี่ยมมยุรา – ที่ปรึกษา
  • จีรนุช เปรมชัยพร – ที่ปรึกษา
  • อุบลรัตน์ ศิริยุวศักดิ์ – ที่ปรึกษา
  • อาทิตย์ สุริยะวงศ์กุล – หัวหน้าคณะนักวิจัย
  • นพพล อาชามาส – นักวิจัย
  • ธีรมล บัวงาม – นักวิจัย
  • จิรนันท์ หาญธำรงวิทย์ – นักวิจัยและผู้ประสานงาน

รายงานการวิจัยฉบับสมบูรณ์ (ธันวาคม 2558)

เอกสารนำเสนอจากงานสัมมนา

เอกสารนำเสนอจากงานสัมมนา “คิดใหม่พรมแดนสื่อ” (New Thinking for New Media) 24 ก.ค. 2558 ณ โรงแรมอมารี วอเตอร์เกท กรุงเทพ

เสนองานวิจัย “สำรวจภูมิทัศน์และอนาคตของการจัดการสื่อในยุคหลอมรวมข้ามพรมแดน”

นวัตกรรมการกำกับกิจการจากการศึกษาเปรียบเทียบการกำกับกิจการในเกาหลีใต้ ฝรั่งเศส และอินโดนีเซีย และข้อเสนอแนะเพื่อสนับสนุนการกำกับกันเองในประเทศไทย) โดย อาทิตย์ สุริยะวงศ์กุล — เอกสารนำเสนอ

เสวนาหัวข้อ “Infrastructure for the Future: How convergent media governance could facilitate innovative economy and democratic society?”

โครงสร้างพื้นฐานสำหรับอนาคต: การอภิบาลสื่อในยุคหลอมรวมจะส่งเสริม เศรษฐกิจเชิงนวัตกรรมและสังคมประชาธิปไตยได้อย่างไร? — ดำเนินเสวนาโดย กรรณิการ์ กิจติเวชกุล FTA Watch กลุ่มศึกษาข้อตกลงเขตการค้าเสรีภาคประชาชน

เสวนาหัวข้อ “New media self-regulation for citizen self-determination”

การกำกับสื่อใหม่กันเองเพื่อความสามารถในการกำหนดชีวิตตัวเองพลเมือง — ดำเนินเสวนาโดย พิมพ์สิริ เพชรน้ำรอบ เจ้าหน้าที่ส่วนงานเอเชียตะวันออก FORUM-ASIA

ดาวน์โหลดรายงานวิจัยและเอกสารนำเสนอทั้งหมด

Internet of Opinions

อ.ย่า อุบลรัตน์ ศิริยุวศักดิ์ เคยพูด*ว่า พื้นที่สื่อสารทุกชนิดไม่ใช่พื้นที่เฉพาะสำหรับข้อเท็จจริง (ทั้งที่จริงและไม่จริง) แต่เป็นพื้นที่ของความคิดเห็นด้วย (ไม่สามารถระบุได้ว่าจริงหรือไม่จริง มีแค่เห็นด้วยกับไม่เห็นด้วย)

ดังนั้นถ้าจะให้พื้นที่ไหนเป็นพื้นที่สำหรับข้อเท็จจริงเท่านั้น เรากำลังทิ้งอีกครึ่งนึงไป และถ้าจะให้มีเฉพาะข้อเท็จจริงที่เป็นจริงเท่านั้น เราจะเหลือพื้นที่แค่ 1/4

คำถามก็คือ แล้วทำไมต้องไปให้พื้นที่ 1/4 สำหรับข้อเท็จจริงที่เป็นเท็จด้วย ให้ใครสักคนมากรองมันทิ้งไปเลยไม่ได้หรือไง คนที่เหลือจะได้สบาย ไม่ต้องกรองเอง

ก็เพราะของที่เป็นเท็จวันนี้ บางอย่างมันอาจจะจริงพรุ่งนี้ก็ได้ เมื่อมีวิธีการพิจารณาโลกแบบใหม่ หรือการที่จะเห็นว่าอะไรจริง มันจำเป็นต้องมีคู่เทียบที่เป็นเท็จมาทำให้เรามองชัดขึ้น หรือในการเรียนรู้เพื่อจะแยกแยะจริง-เท็จ (โดยไม่ต้องยืมจมูกคนอื่นหายใจ) มันจำเป็นมีตัวอย่างให้เราเห็นว่า อ๋อ เท็จมันเป็นแบบนี้ เพื่อว่าในวันข้างหน้า เราจะรู้ได้เองว่า ของทำนองนี้มันน่าจะเท็จ

สำหรับพื้นที่ความคิดเห็น ระบบการกรอง (ด้วยอัลกอริทึมของแพลตฟอร์มหรือด้วยการเลือกติดตามของคนเอง) ก็อาจนำไปสู้การที่พื้นที่ความคิดเห็น หดเหลือครึ่งเดียวได้ (เหลือเฉพาะความคิดเห็นที่เราชอบหรือที่เราเห็นด้วย)

Get full, 1/2, or 1/4 of the Internet?

ปัญหาต่อเสรีภาพการสื่อสารคือ มีคนที่อยากจะได้เฉพาะข้อเท็จจริงที่เป็นจริง (1/4) และความคิดเห็นที่เราเห็นด้วย (1/4) ซึ่งโดยตัวมันเองไม่ได้ผิดอะไร เพราะมันก็เป็นสภาวะที่ “ปลอดภัย” ที่อยู่แล้ว “สบายใจ” – แต่ปัญหาคือ กระบวนการที่จะไปทำให้เกิดสภาวะนั้น มันไปทำลายความปลอดภัยระยะยาว ของทุกๆ คน

เหมือนการใช้ยาปฏิชีวนะหรือยาฆ่าแมลงแรงๆ ฆ่าเชื้อทุกอย่าง เราจะได้สภาวะสะอาดปลอดภัยขึ้นมา แต่สภาวะนั้นจะอยู่กับเราเพียงชั่วคราว หลังเชื้อต่างๆ เริ่มดื้อยา และยาก็ไปทำลายระบบนิเวศที่จะมาจัดการเชื้อหรือศัตรูทางธรรมชาติกันเอง — และตัวเราเองก็ไม่ได้พัฒนาภูมิต้านทานขึ้นมาเองเสียที — ความพยายามจะมีพื้นที่ “ปลอดภัย” ในระยะสั้นและชั่วคราว ทำให้เราเสียความปลอดภัยในระยะยาวและยั่งยืนไป

เป็นความปลอดภัยแบบหลอกตัวเอง เป็นความปลอดภัยแบบเห็นแก่เฉพาะคนรุ่นเรา ไม่เผื่อความปลอดภัยเอาไว้ให้คนรุ่นต่อๆ ไป

เราไม่ได้ต้องการเฉพาะความจริง (truth) หรือข้อเท็จจริงที่เป็นจริง (true fact) เราต้องการข้อเท็จจริงอื่นๆ รวมถึงความคิดเห็นด้วย ทั้งที่เราชอบและไม่ชอบ ความคิดเห็นนั้นไม่เพียงมีคุณค่าในตัวเอง แต่ยังเป็นเครื่องมือพาเราไปหาความจริงและข้อเท็จจริงเพิ่มเติมในอนาคต (หรือกลับไปทบทวนข้อเท็จจริงที่เราเคยเชื่อว่าจริงในอดีต) ได้อีก


*จำได้ว่าในที่ประชุมคปส.ที่ตึกมอส.เมื่อนานมาแล้ว หลังรัฐประหาร 2549 สักปีสองปี ตอนนั้นตื่นเต้นมาก – เหมือนตอนนั้นมันจะเป็นช่วงที่คปส.ขยายมาทำประเด็นสื่อใหม่ ซึ่งก็หลังจากวิทยุชุมชน ก็มีอินเทอร์เน็ต และภาพยนตร์ สนช.ชุดนั้นเสนอกฎหมายจัดระเบียบสื่อใหม่หลายฉบับ รวมทั้ง พ.ร.บ.คอมพิวเตอร์ 2550 และพ.ร.บ.ภาพยนตร์และวีดิทัศน์ 2551 – ผมเริ่มเข้ามาทำงานประเด็นพวกนี้บ้างก็น่าจะจังหวะนั้น

โพสต์ครั้งแรกในเฟซบุ๊ก

อนุญาตให้เรียนไม่สดเพื่อเพิ่มโอกาสเข้าถึง + การสร้างพื้นที่ปลอดภัยระหว่างบันทึกการสอน

การสอนออนไลน์ ควรมีการบันทึกการสอนไว้ เพื่ออำนวยความสะดวกแก่ผู้เรียนที่มีทรัพยากรเพื่อการเข้าถึงจำกัด และในการบันทึกก็มีข้อควรพิจารณาต่างๆ เพื่อสร้างพื้นที่ปลอดภัยในการเรียนรู้สำหรับทั้งตัวผู้สอนและผู้เรียน

การสอนออนไลน์แบบสด มีข้อดีคือการโต้ตอบระหว่างผู้เรียนและผู้สอนโดยทันที หากผู้สอนมีทรัพยากรที่สามารถทำได้ก็เป็นเรื่องที่ดี อย่างไรก็ตาม ไม่ควรมีเฉพาะแบบสด ควรมีการบันทึกไว้ด้วย ควบคู่กัน เพื่อให้ผู้เข้าเรียนท่ี่ไม่สามารถเข้าเรียนสดได้ โดยเฉพาะในสถานการณ์ปัจจุบัน สามารถเลือกเรียนได้ใน “เวลาที่สะดวก”

เวลาที่สะดวกสำหรับการเรียนที่ขึ้นกับทรัพยากรของผู้เรียน

“เวลาที่สะดวก” ในแง่การเรียนออนไลน์นี้ จำเป็นต้องคำนึงถึงปัจจัยดังต่อไปนี้เป็นอย่างน้อย

1) การเข้าถึงอุปกรณ์ที่เหมาะสม (โทรศัพท์หรือคอมพิวเตอร์ที่มีความสามารถเพียงพอจะเปิดสื่อการสอนได้อย่างครบถ้วน)

2) ความเร็วและความเสถียรของอินเทอร์เน็ตที่เหมาะสม

3) พื้นที่ที่เหมาะสม เช่น ที่นั่ง ความสงบ (อาจเป็นในที่พักอาศัยหรือที่อื่น เช่น บ้านญาติ ร้านเน็ต)

“เวลาที่สะดวก” คือช่วงเวลาที่ผู้เรียนสามารถจัดหา (1), (2), และ (3) ได้พร้อมกัน

กรณีบ้านเดียวกันมีอุปกรณ์ตาม (1) เพียงเครื่องเดียว แต่มีสมาชิกในบ้านหลายคนที่ต้องทำงานหรือเรียน การเรียนแบบสด (real time) จะสร้างปัญหาการแย่งกันใช้ทรัพยากรที่มีจำกัด

กรณีมีอุปกรณ์ตาม (1) เพียงพอกับสมาชิกที่ต้องใช้ทุคนในเวลาเดียวกัน แต่บ้านมีพื้นที่เล็ก การต้องเปิดสื่อการสอนพร้อมกันในพื้นที่จำกัดตาม อาจทำให้เกิดการรบกวนสมาธิกันและกันระหว่างสมาชิกในบ้าน กล่าวคือปัจจัยที่ (3) ไม่เกิด หรือการแบ่งความเร็วอินเทอร์เน็ตกันเนื่องจากใช้งานพร้อมกัน ก็ทำให้ปัจจัยที่ (2) ด้อยลงไป

กรณีไม่มีอุปกรณ์ตาม (1) หรืออินเทอร์เน็ตตาม (2) หรือพื้นที่ตาม (3) ที่บ้านอย่างใดอย่างหนึ่ง และผู้เรียนจำเป็นต้องไปใช้อุปกรณ์ เน็ต หรือสถานที่นอกบ้าน เช่น บ้านญาติ หรือร้านเน็ต ก็จะมีเงื่อนไขข้อจำกัดของร้านหรือของบ้านนั้นๆ มาเกี่ยวข้องด้วย เช่น น้ายินดีให้ยืมคอม เพียงแต่ช่วง 9 โมงเช้าถึง 5 โมงเย็นน้าก็ต้องทำงานด้วยคอมเครื่องเดียวกัน ถ้าหลัง 5 โมงเย็นนี่ใช้ได้ไม่มีปัญหา หรือการไปใช้เน็ตที่ร้าน ก็ไม่รับประกันว่า ตอนไปถึงร้านจะมีที่นั่งว่างทันที

การมีการสอนสดเพียงอย่างเดียวจะทำให้การจัดการทรัพยากรที่มีจำกัดทำได้ลำบากขึ้น ทำให้เป็นไปได้ว่าครอบครัวของผู้เรียนอาจจำเป็นต้องดึงเงินที่ตั้งใจจะใช้เพื่อเรื่องอื่น มาซื้ออุปกรณ์ตาม (1) หรือเพิ่มคุณภาพเน็ตตาม (2) ส่วนเรื่องพื้นที่(3) นี่ดูจะเป็นที่จัดการลำบากอยู่

หากมีการบันทึกการสอนเอาไว้ด้วย ก็จะทำให้ผู้เรียนและสมาชิกคนอื่นๆ ในบ้าน สามารถจัดการทรัพยากรตาม (1), (2), และ (3) ได้ดีขึ้น มีการแบ่งใช้ทรัพยากรกันระหว่างสมาชิกในครอบครัวได้เหมาะสมขึ้นหรือเพิ่มทางเลือกให้สามารถหยิบยืมหรือใช้ทรัพยากรจากภายนอกครอบครัวเป็นการชั่วคราวได้สะดวกขึ้น

การบันทึกการสอนเอาไว้ ยังมีประโยชน์กับผู้เรียนสดอีกด้วย เนื่องจากเป็นไปได้ว่าคุณภาพสัญญาณอินเทอร์เน็ตในบางช่วงอาจมีปัญหา ทำให้พลาดจุดสำคัญบางช่วงไป ถ้ามีการบันทึกไว้ ก็จะสามารถย้อนกลับมาดูได้ในภายหลัง

ทั้งนี้ “เวลาที่สะดวก” ที่ผู้เรียนสามารถจัดหา (1), (2), และ (3) มาได้พร้อมกันนี้ ไม่จำเป็นจะต้องเป็นเวลาที่ต่อเนื่องกัน เช่น สำหรับคาบเรียน 2 ชั่วโมง ในสัปดาห์หนึ่ง ผู้เรียนรายหนึ่งอาจมีเวลาที่สะดวกตอน 11:30-12:30 หนึ่งชั่วโมงในวันจันทร์ และ 20:00-21:00 อีกหนึ่งชั่วโมงในวันอังคาร และเวลานี้อาจเปลี่ยนไปในอีกสัปดาห์

การบันทึกกับพื้นที่ปลอดภัยในการเรียนการสอน

การบันทึกนี้ ไม่จำเป็นต้องให้สาธารณะหรือบุคคลภายนอกวิชาเรียนในชั้นเรียนดังกล่าวเข้าถึง เพื่อสร้างพื้นที่ปลอดภัยในการเรียนรู้ให้กับผู้เรียน ที่ไม่สะดวกสอบถามแลกเปลี่ยนหากมีการบันทึกเสียงหรือภาพหรือสถานะบทจอภาพใดๆ ที่จะทำให้ระบุตัวตนได้

ทุกการเรียนการสอนที่จะมีการบันทึก และมีผู้เรียนเข้าร่วม ผู้สอนจะต้องแจ้งให้กับผู้เรียนทราบก่อนทุกครั้ง ว่าจะมีการบันทึก การบันทึกเริ่มเมื่อใด สิ้นสุดลงเมื่อใด และจะมีใครเข้าถึงการบันทึกได้บ้าง

เนื่องจากผู้เรียนอาจไม่สะดวกที่จะสอบถามแลกเปลี่ยนบางประเด็น ซึ่งอาจเป็นประเด็นอ่อนไหว ในระหว่างการบันทึก ผู้สอนควรแบ่งเวลาบางช่วงในระหว่างการสอนที่จะไม่มีการบันทึกใดๆ ให้ผู้เรียนซักถามแลกเปลี่ยนได้ โดยผู้เรียนจะต้องสามารถรับรู้และสังเกตได้อย่างชัดเจนว่า ขณะเวลาดังกล่าวมีการบันทึกอยู่หรือไม่

หากการบันทึกไม่ได้ทำโดยผู้สอนเอง แต่มีเจ้าหน้าที่หรือบุคคลที่สามอื่นทำการบันทึกให้ ในการบันทึก ผู้สอนจะต้องรู้อยู่เสมอด้วยว่ามีการบันทึกอยู่

จำนวนหรือกลุ่มประเภทของผู้เข้าถึงสื่อการสอนที่ได้มีการบันทึกไว้ จะต้องไม่มีการเปลี่ยนแปลงไปจากที่ได้แจ้งผู้สอนและผู้เรียนเอาไว้ในตอนเริ่มการบันทึก

การเผยแพร่สื่อบันทึกการเรียนการสอนสู่สาธารณะ

หากผู้เรียนและผู้สอนในชั้นเรียนได้ตกลงร่วมกันล่วงหน้า ว่าจะเปิดเผยการเรียนการสอนเผยแพร่ต่อสาธารณะ ก็สามารถทำได้ โดยอาจเลือกตัดไม่เผยแพร่บางช่วงที่เป็นการซักถามแลกเปลี่ยนประเด็นที่ต้องการให้มีเฉพาะผู้ลงเรียนเท่านั้นที่จะดูได้ ทั้งนี้ระหว่างการเรียนการสอน ให้ระมัดระวังการขานชื่อหรือส่งสัญญาณใดในลักษณะที่จะระบุตัวผู้เรียนได้ เว้นแต่กรณีผู้เรียนตั้งใจแสดงตนด้วยตัวเอง

สื่อการสอนดังกล่าว ถือว่าอยู่ในพื้นที่ของห้องเรียน เสรีภาพทางวิชาการย่อมได้รับการปกป้องคุ้มครอง ชื่อบุคคล ชื่อหน่วยงาน กรณีศึกษา และสิ่งอื่นใด ที่ถูกหยิบยกขึ้นมาอภิปรายเป็นส่วนหนึ่งของการสอน ทั้งผู้เรียนและผู้สอนควรมีอิสระเต็มที่ในการอภิปรายเพื่อการศึกษาโดยไม่ต้องกังวลว่าจะถูกฟ้องร้องดำเนินคดีตามกฎหมาย

การคำนึงถึงสมาธิในพื้นที่ทางกายภาพที่ไม่ใช่ห้องเรียนโดยเฉพาะ

ทั้งนี้ การออกแบบกระบวนการการเรียนการสอนและสื่อการสอน ที่เป็นออนไลน์ ทั้งแบบสด และแบบบันทึกไว้ล่วงหน้า ยังควรคำนึงถึงระยะเวลาที่ผู้เรียนจะสามารถมีสมาธิและเรียนได้อย่างมีประสิทธิภาพได้ต่อเนื่องในสภาพแวดล้อมที่ไม่ใช่ห้องเรียน ซึ่งอาจทำได้ต่อเนื่องสั้นกว่า จึงควรพิจารณาแบ่งช่วงการสอนเป็นช่วงที่ไม่ยาวจนเกินไป และกรณีเป็นการสอนสดก็ควรจัดให้มีเวลาพักตามความเหมาะสม เพื่อให้ผู้เรียนสามารถไปทำธุระส่วนตัว เช่น เข้าห้องน้ำ ได้ เช่นสอน 50 นาที พัก 10 นาที และสอนต่ออีก 50 นาที

การแบ่งเนื้อหาการสอนเป็นช่วงสั้นๆ และมีการเขียนกำกับไว้อย่างชัดเจนในสื่อที่ทำการบันทึก ยังมีประโยชน์เมื่อต้องการดูย้อนหลัง ทำให้ค้นหาเนื้อหาช่วงที่ต้องการได้สะดวกขึ้น

ฝากทางสถานศึกษาต่างๆ พิจารณาสำหรับภาคการศึกษานี้หรือที่จะถึงนี้ครับ

การร่วมสร้างอัตลักษณ์ “คนดี” โดยมวลมหาประชาชน: กรณีศึกษาสื่อส่วนบุคคล

โดย อาจินต์ ทองอยู่คง และ อาทิตย์ สุริยะวงศ์กุล ธันวาคม 2560

งานวิจัยนี้ใช้แนวคิดเรื่อง “มีม” (meme) ศึกษาการมีส่วนร่วมในขบวนการทางการเมืองในประเทศไทยช่วงปี 2556-2557 ผ่านการผลิตมีมของผู้สนับสนุนขบวนการ โดยใช้นิยามของมีมว่า “หน่วยของการส่งผ่านวัฒนธรรม”

  • มีม (meme) ในฐานะหน่วยที่เล็กที่สุดทางวัฒนธรรม เป็นแนวคิดที่ล้อกับ ยีน (gene) ในฐานะหน่วยที่เล็กที่สุดทางพันธุกรรม
  • มีมที่ประสบความสำเร็จ คือมีมที่ถูกคัดลอก ทำซ้ำ
  • Mike Godwin เสนอว่า มีมคือสิ่งที่สามารถรวบยอดความคิดของทั้งสายความคิด

หนึ่งในข้อเสนอของงานก็คือ ในแง่กระบวนการ มวลชนนั้นร่วมผลิตเนื้อหาที่ไหลเวียนในขบวนการด้วย ความคิดในขบวนการไม่ได้มาจากด้านบน (โดยแกนนำ) และไหลลงสู่ผู้สนับสนุนเท่านั้น แต่ผู้สนับสนุนก็ร่วมผลิตด้วย (และบางส่วนก็ไหลขึ้นไปสู่แกนนำ) — สิ่งที่คิดต่อไปจากข้อเสนอนี้ได้ก็คือ เมื่อมวลชนไม่ได้เป็นเพียงปัจเจกที่ไหลไปตามกระแสที่แกนนำกำหนด แต่ยังตัดสินใจกระทำการบางอย่าง ดังนั้นก็ต้องร่วมรับผิดชอบด้วยหรือไม่

สิ่งที่พบจากงานศึกษานี้อีกอย่างหนึ่ง คือลักษณะร่วมในมีมที่ถูกผลิตที่พอจะอธิบายได้ว่า อะไรคือ “คนดี” ในสายตาของผู้สนับสนุนการเมืองในแนวทางของ กปปส.

ดาวน์โหลดเอกสารนำเสนอและรายงานฉบับสมบูรณ์ได้ที่ท้ายโพสต์นี้ – มีลิงก์วิดีโอนำเสนอที่ด้านท้ายด้วย

When a meme catches on, it may crystallize whole school of thoughts.

โจทย์วิจัยและวิธีการศึกษา

โจทย์วิจัย

มวลชนร่วมผลิตอะไร – อย่างไร? สร้างอัตลักษณ์แบบไหน?

วิธีการศึกษา
เราจะดู การร่วมผลิต ผ่านอะไรได้บ้าง? โครงการวิจัยนี้เลือกดู

  • มีม – การผลิตออนไลน์
  • สินค้ารักชาติ – การผลิตออฟไลน์
  • เซเล็บ – บุคคลในฐานะที่เป็นสื่อ

โดยมองว่าสื่อส่วนบุคคลทั้ง 3 สิ่งนี้คือ “ภาชนะ”

โจทย์วิจัย: มวลชนร่วมผลิตอะไร - อย่างไร? สร้างอัตลักษณ์แบบไหน? (ภาพสินค้ารักชาติจากการชุมนุม กปปส.)

ทุนกับการผลิตสื่อ

เราพบว่า “ทุน” ในลักษณะต่างๆ ที่ผู้สนับสนุนมี ทั้งทุนทางเศรษฐกิจ ทุนทางสังคม และทุนทางวัฒนธรรม ทำให้สามารถผลิตสื่อส่วนบุคคลที่มีพลังทั้งทางรูปแบบ เนื้อหา และปฏิบัติการได้

  • มีม – ส่งต่อความคิด แสดงอัตลักษณ์ออนไลน์ ช่วยในการเปล่งความคิดออกมาเป็นคำพูด (articulate) ผลิตง่าย-รู้สึกได้ร่วมขบวนการ รู้สึกเป็นส่วนหนึ่งของขบวนการมากขึ้น
  • สินค้ารักชาติ – แสดงอัตลักษณ์และจุดยืนบนร่างกาย พาการชุมนุมออกไปนอกพื้นที่การชุมนุมอย่างเป็นทางการ ไปสู่พื้นที่ส่วนตัว พื้นที่ที่ใช้ร่วมกับเพื่อนร่วมงาน ครอบครัว พื้นที่ที่ใช้ร่วมกับคนแปลกหน้า เช่น ในรถโดยสารสาธารณะ ทำให้เห็นคนที่มีจุดยืนแบบเดียวกันโดยต่างฝ่ายต่างไม่ต้องเปล่งเสียง
  • เซเล็บ – ได้รับความสนใจจากสังคม เป็นผู้มีอิทธิพลทางความคิด โอกาสถูกผลิตซ้ำจากสื่อกระแสหลัก/สื่อดั้งเดิม เป็นตัวอย่างในการแสดงออก พื้นที่สื่อสังคมส่วนตัวในฐานะพื้นที่สาธารณะ
แผนผังแสดงพื้นที่แลกเปลี่ยน รูปแบบของสื่อ (ที่อยู่ของมีม) และเทคโนโลยีการผลิต

การผลิตสื่อส่วนบุคคลที่เป็นภาชนะส่งต่อความคิดและร่วมสร้างอัตลักษณ์ของขบวนการนี้ ใช้ “ทุน” (ในลักษณะที่ Pierre Bourdieu จำแนกไว้ใน “The Forms of Capital” [1986]) เป็นปัจจัยในการผลิตและการเข้าถึง “ตลาด”

ผลผลิตของมวลมหาประชาชน: การเคลื่อนไหวทางการเมืองที่ถูกทำให้ไม่เป็นการเมือง

ในกรณีของขบวนการ กปปส. (คณะกรรมการประชาชนเพื่อการเปลี่ยนแปลงปฏิรูปประเทศไทยให้เป็นประชาธิปไตยที่สมบูรณ์แบบอันมีพระมหากษัตริย์ทรงเป็นประมุข) งานศึกษาพบว่าสิ่งที่มีร่วมกันในมีมต่างๆ ที่ถูกผลิตนั้น คือการหลีกเลี่ยงความเป็นการเมือง ความเป็นการเมืองคือสิ่งไม่ดี

  • การกลายเป็นแฟนชั่นของการเคลื่อนไหวทางการเมือง
  • ลักษณะร่วมของ 3 สื่อ: สื่อสารประเด็นทางการเมืองในรูปแบบที่(พยายามทำให้)ดูไม่เป็นการเมือง
  • การเคลื่อนไหวทางการเมืองที่ถูกทำให้ดูไม่เป็นการเมือง (depoliticized political movement)
  • “ขบวนการทางการเมืองแบบคนดี” คือขบวนการทางการเมืองที่(ดู)ไม่เป็นการเมือง (apolitical political movement)
  • อัตลักษณ์: การหลีกเลี่ยงความเป็นการเมือง

งานศึกษาแยก: กรณีมีมอื่นๆ ในช่วงเวลาใกล้เคียงกัน

การผลิตมีมจำเป็นต้องอาศัยทุน การบริโภคมีมเองก็ต้องอาศัยทุน ซึ่งในแง่การเข้าใจมีมชุดหนึ่งจำเป็นต้องอาศัยทุนทางวัฒนธรรม สิ่งนี้อาจถูกใช้เพื่อสร้างภาษาเฉพาะเพื่อหลบเลี่ยงการปิดกั้นการแสดงความคิดเห็น (ทั้งจากรัฐหรือจากสังคม) แต่ในขณะเดียวกันก็อาจเป็นอุปสรรคในการส่งต่อความคิดออกไปยังวงสังคมที่กว้างขึ้น

The Art of Speaking on the Line

การนำเสนอจบโครงการ

การนำเสนอในสัมมนาสรุปโครงการวิจัย เมื่อวันศุกร์ที่ 15 ธันวาคม 2560เวลา 9.00 – 17.00 น. ณ ห้องประชุมบุญชู โรจนเสถียรอาคารอเนกประสงค์ 1 มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ (ดูกำหนดการ)

การนำเสนอของ อาจินต์ และ อาทิตย์ จะอยู่ในคลิปที่ 3 ของ playlist ตั้งแต่ประมาณนาทีที่ 26:40 เป็นต้นไป หลังการนำเสนอของ ประจักษ์ ก้องกีรติ (ประเด็นว่า ศีลธรรม กับ ความรุนแรง ไปด้วยกันได้อย่างไรในขบวนการ)

ดาวน์โหลด

โครงการวิจัยนี้เป็นส่วนหนึ่งของชุดโครงการ การเมืองของคนดี: ความคิด ปฏิบัติการ และอัตลักษณ์ทางการเมืองของผู้สนับสนุน “ขบวนการเปลี่ยนแปลงประเทศไทย” (“Good Man’s Politics”: Political Thoughts, Practices and Identities of the “Change Thailand Movement” Supporters) สนับสนุนโดย สำนักงานกองทุนสนับสนุนการวิจัย (สกว.) — ดูการสังเคราะห์จากงานของทั้งชุดโครงการวิจัยได้ใน อภิชาตและอนุสรณ์ 2560

ขอบคุณรายการ คนสวยเรียนสูงออนแอร์ EP. 5 ตอน hashtag the movement: ปั่นยังไงให้จีนสะดุ้ง (19 เม.ย. 2563) ที่ทำให้สลัดความขี้เกียจ รวบรวมลิงก์ต่างๆ มาโพสต์เสียที

“สุดงดงาม!!! นศ.ม.ศรีปทุม จัดทำภาพชุดพี่ตูน ใส่กรอบอย่างดี ติดชื่อผู้บริจาค นำรายได้สมทบ“ก้าวคนละก้าว”..โซเชียลแห่แชร์สนั่นหวั่นไหว!!!” — ทีนิวส์ 7 ธ.ค. 2560

ทำเว็บไซต์ให้ปลอดภัยขึ้นอีกนิดนึง ไม่ยากเกินไป ถ้าเขียนเว็บได้ก็น่าจะทำได้ #websecurity

ช่วงนี้เห็นเว็บไซต์ที่เกี่ยวกับคนใกล้ตัวโดนแฮ็กบ้าง หรือบางอันไม่ได้โดนแฮ็ก แต่เหมือนเอาของไปวางไว้หน้าบ้านรอคนมาหยิบเอาไปบ้าง เลยขอโน๊ตๆ ไว้หน่อย ถึงวิธีการป้องกันตัวเองเบื้องต้น (มากๆ) ที่คนทำเว็บน่าจะพอทำเองได้ครับ

เครื่องมือตรวจสอบเบื้องต้น (ส่วนใหญ่ฟรี)

ใครเป็นคนดูแลเว็บ ลองใช้เครื่องมือในลิงก์นี้ตรวจสอบเบื้องต้นก่อนก็ได้ครับ ว่าเว็บไซต์เรายังโอเคไหม: 12 Online Free Tools to Scan Website Security Vulnerabilities & Malware

เข้าไล่มา 12 เครื่องมือ ผมก๊อปมาให้ดูตรงนี้อีกที (บางตัวก็ทำงานคล้ายๆ กัน)

  • Scan My Server – ตรวจหารูรั่วอย่าง SQL injection, PHP injection, HTTP Header injection, cross site scripting (XSS)
  • SUCURI – ตรวจหามัลแวร์ ลิงก์สแปม
  • Qualys SSL Server Test – ตรวจความปลอดภัยของการเข้ารหัสลับข้อมูลที่เว็บไซต์รับส่ง
  • Quttera – ตรวจหามัลแวร์และรูรั่วอื่นๆ
  • Detectify – ตรวจหาจุดอ่อน เช่นจุดอ่อนตามรายการ OWASP Top 10 ที่เว็บแอปโดนเจาะบ่อยๆ
  • SiteGuarding – ตรวจหามัลแวร์ ลิงก์สแปม
  • Web Inspector – ตรวจหา backdoor มัลแวร์ เฟรมหรือการเชื่อมต่อแปลกๆ
  • Acunetix – ตรวจหาความผิดปกติที่ระดับเครือข่าย อย่าง DNS รวมไปถึงการตรวจหารูรั่วอื่นด้วย
  • Asafa Web – ตรวจหาการใช้คุกกี้ที่ไม่ได้เข้ารหัสลับ clickjacking
  • Netsparker Cloud – ตรวจหารูรั่วประเภท injection, permission
  • UpGuard Web Scan – ตรวจหาความไม่ปลอดภัย โดยอาศัยข้อมูลที่บุคคลภายนอกสามารถดูได้ เช่น ตรวจว่ามีใครส่งอีเมลจากชื่อโดเมนเราได้ไหม
  • Tinfoil Security – ตรวจหาความไม่ปลอดภัย อย่างเช่นตามรายการ OWASP Top 10 และรูรั่วอื่นๆ

ที่ตรวจดูได้โดยไม่ต้องพึ่งผู้เชี่ยวชาญมากๆ ก็เช่น ติดมัลแวร์รึเปล่า การส่งข้อมูลได้เข้ารหัสลับ (https) ดีพอไหม พวกคุกกี้ของเว็บไซต์เราที่ไปฝากไว้กับเครื่องผู้ใช้นี่เว็บไซต์อื่นเข้ามาอ่านได้ไหม

ส่วนใหญ่จะฟรี บางอันต้องลงทะเบียนก่อน หรือต้องยืนยันสิทธิ์ก่อนว่าเราเป็นผู้ดูแลของเว็บไซต์นั้นจริงๆ (ด้วยการเอาไฟล์บางอย่างไปวางไว้ในเครื่องเรา – ยังไงก็ตรวจสอบดีๆ ก่อนจะเอาไฟล์อะไรไปวางนะครับ มันควรจะเป็น text/html file ที่เราเปิดเข้าไปอ่านๆ ได้ ถ้าดูแปลกๆ ก็อย่าทำต่อ)

* สำหรับตัวที่มีการทดสอบ SQL injection ให้ระวังด้วยว่ามันจะพยายามยิงอะไรบางอย่างเข้าไปในฐานข้อมูลของคุณ เพื่อจะทดสอบ แปลว่ามันอาจจะทำให้เกิดขยะในฐานข้อมูลได้  ดังนั้นไม่ควรทดสอบกับระบบที่ใช้อยู่จริง (on production) นะครับ ให้ทดสอบกับระบบที่เอาไว้ทดสอบเท่านั้น ถ้าเจอรูก็รีบอุด พอแน่ใจแล้วค่อยไปอัปเดตโค้ดในส่วนของ production ครับ [ขอบคุณคุณ Thitipong Samranvarnich ในกลุ่มสมาคมโปรแกรมเมอร์ไทย ที่เตือนเรื่องนี้ครับ]

หลายตัวยังสามารถเปิดให้มันทำงานอัตโนมัติ หรือผสานมันเข้าไปในระบบการทำงานของเรา (เช่นทุกครั้งที่อัปเดตเว็บไซต์ด้วยโค้ดชุดใหม่ ก็ให้มันสแกนอัตโนมัติเลย)

ทีนี้ถ้าสมมติว่าพบสิ่งปกติ แล้วอยากแก้ไข ถ้าไม่มั่นใจจะทำเอง ก็อาจจะต้องเรียกหาคนที่ทำเป็นมาทำน่ะครับ

(แต่ถ้าไม่พบ ก็ไม่ได้แปลว่าไม่มีนะครับ อาจจะแค่หาไม่เจอ)

ป้องกันคนมาดูภาพหรือไฟล์ที่ยังไม่พร้อมเผยแพร่

สำหรับเว็บไซต์ที่ไม่อยากให้คนมาดูภาพ ดูข้อมูลอะไรที่อยู่เว็บไซต์นั่นแหละ อัปโหลดเตรียมไว้ แต่ยังไม่ได้เผยแพร่ในหน้าเว็บ อันแรกที่ควรทำก็คือ ปิด directory listing ไม่ให้คนมาไล่ดูชื่อไฟล์ได้ง่ายๆ

ถ้าเว็บเซิร์ฟเวอร์ใช้ Apache HTTP Server ก็ทำได้ด้วยการแก้ไขไฟล์ .htaccess โดยเพิ่มบรรทัด

Options -Indexes

ทีนี้ก็จะยังมีปัญหาอยู่บ้าง คือถ้าคนรู้ชื่อไฟล์ (อาจจะเดาไปเรื่อยๆ) เขาก็จะยังดูได้อยู่ดี

อันนึงที่ทำได้ก็คือ อย่าตั้งขึ้นไฟล์ให้มันเดาง่ายนัก (พวกรันเลขเรียงลำดับไปเรื่อยๆ นี่เดาสบายเลย)

อีกวิธีคือ ป้องกันการ hot link ไม่ให้คนเข้าถึงได้โดยตรง (พิมพ์ url ชื่อไฟล์ในเบราว์เซอร์ตรงๆ จะดูไม่ได้ ) แต่ถ้าภาพไหนถูกโหลดจากหน้าเว็บของโดเมนนั้นเอง จะโหลดดูได้ (ซึ่งกรณีหลังนี้ เป็นเรื่องที่เราต้องการให้ทำได้ เพราะเราเป็นคนเผยแพร่เอง)

แต่ปลอดภัยที่สุดคือ อะไรที่ไม่อยากให้คนเห็น ลับมาก อย่าเพิ่งไปอัปขึ้นเว็บเซิร์ฟเวอร์ครับ lol

Please do not leave the key in the lock

ปกปิดข้อมูลเว็บเซิร์ฟเวอร์

อีกอันที่ทำได้ไม่ยาก และช่วยให้การเจาะเว็บเราวุ่นวายขึ้นมาอีก “เล็กน้อย” คือปิดข้อมูลเกี่ยวกับเว็บเซิร์ฟเวอร์เราครับ

ไอเดียมันคือว่า ซอฟต์แวร์ที่เอามาใช้เป็นเว็บเซิร์ฟเวอร์นี่มันก็มีบั๊ก มีรูรั่วอะไรอยู่แหละ คนเจออยู่เรื่อยๆ ทีนี้พอเจอปุ๊บก็จะมีการแก้ไขในซอฟต์แวร์รุ่นใหม่ แต่ถ้าใครไม่อัปเดต ก็จะมีความเสี่ยง คนที่อยากจะลองเจาะ เขาก็จะไปไล่หาเว็บไซต์ที่ยังใช้ซอฟต์แวร์ตกรุ่นพวกนี้แหละครับ เพราะเป็นเป้าหมายที่รู้อยู่แล้วว่าจะเจาะตรงไหนได้

ถ้าเราปกปิดข้อมูลเกี่ยวกับเว็บไซต์เราเสียหน่อย ก็จะลดโอกาสเป็นเป้าไปไ้ด้บ้างจากนักเจาะที่ฉวยโอกาส

อย่างไรก็ตามวิธีนี้ไม่ได้ทำให้ปลอดภัยขึ้นจากนักเจาะที่ล็อกเป้าหมายมุ่งมั่นว่าต้องการจะเจาะเราอยู่แล้วนะครับ – เพราะสุดท้ายมันไม่ได้เป็นการแก้ไขปัญหาในซอฟต์แวร์รุ่นที่เราใช้อยู่ เป็นแค่การปกปิดไม่บอกคนอื่นว่าเราใช้ซอฟต์แวร์รุ่นอะไรเท่านั้น

ยังไงก็ควรหมั่นอัปเดตรุ่นของซอฟต์แวร์ที่เขาแก้ไขเรื่องความปลอดภัยครับ

WordPress และ CMS อื่นๆ

ใครใช้เวิร์ดเพรส ลองดูหน้านี้ครับ มีอะไรที่พอทำตามได้บ้าง เช่นการตั้ง permission ของ directory ต่างๆ การปิดไม่ใช้แก้ไขไฟล์ของเวิร์ดเพรสผ่านหน้า dashboard ได้
https://codex.wordpress.org/Hardening_WordPress

คนใช้ Joomla, Drupal หรือ CMS อื่นๆ ลองเสิร์ชดูครับ ผมว่ามีแน่ๆ
https://docs.joomla.org/Security
https://www.keycdn.com/blog/drupal-security/

พอทำได้เบื้องต้นไปก่อน-แต่ในระยะยาวก็ต้องลงทุนน่ะ

ทั้งหมดที่เขียนมานี้ เป็นของที่ ถ้าเขียนเว็บได้ ตั้งค่าเว็บไซต์เบื้องต้นได้ อัปโหลดไฟล์ขึ้นไปเซิร์ฟเวอร์ได้เอง ก็น่าจะพอทำตามตัวอย่างในลิงก์ได้ครับ

แน่นอนว่าถ้าจะให้ดี ก็ควรปรึกษากับคนที่ชำนาญเรื่องความปลอดภัยของเว็บไซต์ (ซึ่งก็อาจจะมีค่าใช้จ่ายน่ะแหละ แต่อันนี้ก็ต้องไปอธิบายกันในองค์กรว่า มันสำคัญยังไง ทำไมถึงควรจ่าย – คิดมันอยู่ในหมวดเดียวกับรปภ.ไรงี้ได้ไหม อันนั้นยังจ่ายได้เลย :p)

คำเตือน

ผมไม่ใช่ผู้เชี่ยวชาญด้านนี้ ไม่ต้องมาถามผมเรื่องนี้ lol
ทั้งหมดนี้อาศัยจำจากเพื่อนๆ ที่เขาทำงานพวกนี้ และอ่านๆ เอาในเน็ตทั้งนั้น

แต่นั่นหมายความว่า นักออกแบบเว็บและคนทำเว็บไซต์ทั่วไปทุกคน ก็เข้าใจเรื่องพวกนี้ในเบื้องต้นได้ครับ ไม่ต้องเป็นผู้เชี่ยวชาญด้านความปลอดภัยมากๆ ก็พอจะตามประเด็นและป้องกันตัวเองได้ในระดับหนึ่งครับ 🙂

ชุมชนความปลอดภัยเว็บ

เพิ่มอีกอัน บางทีถ้ามีเวลา ก็อาจจะไปอัปเดตความรู้ใหม่ๆ พวกนี้กับชุมชนที่เขาทำงานเรื่องนี้โดยตรงก็ได้ครับ ในไทยก็มีกลุ่มพวกนี้ ที่คุยทั้งออนไลน์ และทุกเดือนก็อาจจะมีพบปะเจอหน้ากันบ้าง มีสัมมนาบ้าง บางเรื่องนี้ก็อาจจะลึกเกินไป เราเลือกไปอันที่ดูเป็นสำหรับคนเพิ่งเริ่มต้นก็ได้ครับ

https://www.facebook.com/groups/2600Thailand/
https://www.facebook.com/groups/owaspthailand/

อันนึงที่ได้แน่ๆ คือ เราจะได้รู้จักกับคนที่ทำงานพวกนี้โดยตรง เผื่อจะปรึกษาทำงานอะไรด้วยกันในอนาคตก็พอได้ หรือถ้ามันมีอะไรติดขัดนิดๆ หน่อยๆ ไม่ได้เหลือบ่ากว่าแรงมาก โพสต์ถามในกรุ๊ป ก็มีคนพร้อมจะตอบอยู่เรื่อยๆ นะครับ

อีกกรุ๊ปในเฟซบุ๊กที่ก็เข้าไปถามได้เหมือนกัน คือกลุ่มสมาคมโปรแกรมเมอร์ไทยครับ กลุ่มนี้ใหญ่และหลากหลายครับ https://www.facebook.com/groups/ThaiPGAssociateSociety/

เพิ่มเติม

  • คำแนะนำในการเก็บรหัสผ่านในระบบสำหรับนักพัฒนาซอฟต์แวร์ และผู้ดูแลระบบไอที@FordAntiTrust แนะนำวิธีการเก็บ “ข้อมูลตัวแทนรหัสผ่าน” ที่ทำให้เราไม่จำเป็นต้องเก็บรหัสผ่านต้นฉบับ ทำให้แม้ระบบถูกเจาะหรือข้อมูลรั่ว ข้อมูลที่หลุดไปก็ไม่ใช้รหัสผ่านที่เอาไปใช้ได้ทันที ต้องใช้เวลาในการย้อนรอยหารหัสผ่านจริงๆ ทำให้ผู้ใช้พอมีเวลาบ้างในการเปลี่ยนไปใช้รหัสผ่านใหม่
  • การออกแบบระบบให้รับ Request เยอะๆ — อันนี้ไม่ใช่ระดับพื้นฐานละ แต่เห็นว่าน่าสนใจดี เผื่อใช้เป็น reference เอาไปคุยตอนจ้างคนมาทำระบบ — คุณ ijemmy อธิบายแนวคิดเอาไว้ในโพสต์นี้ครับ (เรื่องจริงๆ ก็มีมุม security เหมือนกัน คือมุม availability หรือความพร้อมใช้ของระบบ ออกแบบยังไงให้ระบบไม่ล่มตอนมีคนใช้เยอะๆ พร้อมๆ กัน)

(เผยแพร่ครั้งแรกในเฟซบุ๊ก 1 พ.ค. 2018)

ภาพประกอบ “Key locker” โดย Jonathan O’Donnell สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน

Timeline of SIM registration in Thailand + Notes on regulatory impact assessment

เวียดนามกำลังวางแผนจะให้ลงทะเบียนซิม – ตอนเย็นนักข่าวบีบีซีเวียดนามขอสัมภาษณ์เรื่องนี้ เขาอยากรู้ประสบการณ์เมืองไทย เลยกดๆ หาข้อมูลเร็วๆ เอาโน๊ตมาแชร์กันครับ (พูดไม่หมดหรอกนะ โดยเฉพาะตอนท้ายเรื่อง RIA) เคยเขียนเรื่องนี้ไว้สองปีที่แล้ว (ประวัติกฎหมายลงทะเบียนซิมใน 3 จังหวัดภาคใต้ [2548 – ยุคก่อนประกาศกสทช.]) อันนี้เหมือนเป็นอัปเดต+ความเห็นเพิ่มเติม

Vietnam is about to adopt mandatory SIM registration policy. Last Friday, BBC Vietnamese interview me for background and thoughts on SIM registration in Thailand. This is my rough notes for the interview. For more details on this, from the beginning in 2004 up until 2013, see this blog post (in Thai).

Rational

In general, Thai government and the telecom regulator (National Broadcasting and Telecommunications Commission – NBTC) put concerns on criminal activities (like identity fraud) and on terrorism (like using phone call to activate bombs).

History

  • Apr 2005 — the SIM registration idea first discussed in the cabinet.
  • 15 Nov 2005 — 3 provinces in Deep South only – SIM must be registered. Non-registered SIM will be cut off from the network. This measure is issued under the power of Emergency Decree on Public Administration in State of Emergency, BE 2548 (2005).
  • 18 Jan 2013 — NBTC (telecom regulator) made SIM registration announcement. New SIM must be registered at the selling point, using national ID card.
  • 31 Jul 2015 — Last day for existing SIM registration (or else can no longer make call, send SMS, or use internet. But can still receiving call/SMS)
  • 15 Dec 2017 — Biometric (face recognition / fingerprint) is required at the selling point, in addition to ID card. To verify that the card is actually belongs to the buyer.

“เมื่อมีการลงทะเบียนซิมการ์ดเรียบร้อยแล้ว ข้อมูลของผู้ใช้บริการจะถูกจัดส่งตรงไปยังฐานข้อมูลของผู้ให้บริการโทรศัพท์เคลื่อนที่ โดยไม่ได้มีการจัดเก็บข้อมูลไว้ที่จุดให้บริการ ซึ่งประชาชนสามารถมั่นใจได้ว่าข้อมูลส่วนบุคคลจะถูกจัดเก็บเป็นความลับและปลอดภัยอย่างแน่นอน ซึ่งการดำเนินงานครั้งนี้เป็นการสนับสนุนนโยบายของรัฐบาลในเรื่องการดำเนินการธุรกรรมอิเล็กทรอนิกส์ ในการจัดเก็บข้อมูลผู้ใช้บริการโทรศัพท์เคลื่อนที่ให้มีประสิทธิภาพ มีการพิสูจน์ตัวตนได้ และยังช่วยในเรื่องความมั่นคงของรัฐ และความปลอดภัยของสังคมด้วย” นายฐากร กล่าว

Cases

Recent cases related to personal data breach/fraud

Assessment

Question on the policy. Should there be a Regulatory Impact Assessment (RIA) for a public policy with wide impact like this?

Some thoughts…

WITHOUT SIM registration:

  • Risk on crimes/terrorist attacks

WITH SIM registration:

  • Reduced risk on crimes/attacks (to be measured, there are cases that terrorist improvise ham radio to replace phone activation, also cases that people can buy already-activated SIM in the market)
  • Opportunity for business to use the data for other purposes (this may or may not against the customers [data subjects]’ will)
  • Administration burden, for the regulator
  • Financial cost to implement data collection and protection, for the operator (will be passed to customers)
  • Legal risk, for the operator
  • Data leak and consequences (including identity fraud, financial lost, and criminal offences), for the consumers

Last Point

Do we pay the high prices of our personal data for, in the end, low or no benefits at all?

Privacy by design, at the protocol level

Doing human rights right at the internet infrastructure level. Wow.

Read about this for quite sometime, the works by IETF and friends, but mostly from ones that related to HTTP/2 development. Today I’m learning more on these efforts (and beyond) during APC Member Meeting 2017. Thanks to Avri Doria.

Find out more RFC (request for comment) documents at Internet Architecture Board – Privacy and Security Program.

More explanations on human rights and internet engineering standards here:

Also these initiatives:

 

(photo by thierry ehrmann. Creative Commons Attribution License)

ความมั่นคงปลอดภัยของ Internet of Things – ข้อคิดจาก Bruce Schneier ในงาน #infosec17

โพสต์ที่แล้วเล่าเรื่องงาน Infosecurity Europe วันที่สองไป เรื่อง General Data Protection Regulation (GDPR) จากมุมมอง ICO ยังเหลืออีกเรื่องที่ไปฟังมา คือเรื่อง ความปลอดภัยของ Internet of Things (IoT)

หัวข้อคือ Artificial Intelligence and Machine Learning: Cybersecurity Risk vs Opportunity? มี Bruce Schneier เป็นคนพูด คนแน่นมาก ตรงที่เป็นถ่ายทอดให้ดูทางจอก็ยังแน่น (ในภาพนี้เฉพาะที่นั่ง มียืนรอบๆ อีก)

Schneier พูดหลายประเด็น แต่อันหลังสุดมาเน้นเรื่องความมั่นคงปลอดภัยของ Internet of Things หรือ “อินเทอร์เน็ตของสรรพสิ่ง”

เขาบอกว่า ผู้ผลิตอุปกรณ์ไอทีสำหรับใช้ตามบ้านอย่างไมโครซอฟท์ กูเกิล แอปเปิล อาจจะอัปเดตแพตช์ต่อเนื่องสัก 2-5 ปี แต่อุปกรณ์อย่างกล้องวงจรปิดหรือเราเตอร์ถูกๆ ไม่มีการอัปเดต ผู้ผลิตอุปกรณ์ IoT ราคาถูกเหล่านี้มีกำไรน้อยเกินกว่าจะตามออกแพตช์ หรืออุปกรณ์บางรุ่นไม่มีวิธีจะอัปเดตด้วยซ้ำ วิธีอัปเดตของพวกนี้คือ ทิ้งของเก่า ซื้อใหม่ ติดตั้งใหม่

เราเปลี่ยนมือถือทุก 2-3 ปี กล้องวงจรปิดทุก 5-10 ปี ตู้เย็นบางบ้าน 20 ปี รถยนต์ที่มีตลาดมือสองอาจมีอายุการใช้งาน 40-50 ปี

คนทำซอฟต์แวร์ควบคุมรถยนต์ทำแล้วใช้ไปได้ 40-50 ปี แต่คนทำซอฟต์แวร์มือถือหรือ IoT ไม่เคยทำอะไรแบบนี้มาก่อน

ที่ซอฟต์แวร์ในบางอุตสาหกรรมมีความปลอดภัยสูง เพราะการกำกับดูแลและระบบนิเวศน์มันทำให้เป็นแบบนั้นได้ ต้องมีใบรับรอง มีการทดสอบ มีการตรวจสภาพ ซึ่ง IoT ยังไม่มีระบบนิเวศน์แบบนั้น

Schneier มองว่า รัฐมีบทบาทตรงนี้ได้ ด้วยการกำหนดนโยบาย เช่นการกำหนดให้ซอฟต์แวร์ในกิจการที่สำคัญมากๆ (critical) เก็บประวัติการทำงานและข้อผิดพลาด แบบที่อุตสาหกรรมการบินและยานยนต์ทำนั้น ทำให้เรามีข้อมูลเพื่อศึกษาและปรับปรุงระบบในอนาคตให้ปลอดภัยขึ้นได้

เขาเห็นว่า ข้อถกเถียงที่ว่า การกำกับดูแลจะจำกัดนวัตกรรมนั้นไม่ได้จริงเสมอไป

สำหรับอุตสาหกรรมนี้ มันไม่ใช่ทางเลือกระหว่าง “กำกับ vs ไม่กำกับ” แต่เป็นระหว่าง “กำกับอย่างฉลาด vs กำกับอย่างโง่” (smart regulation vs stupid regulation)

เขาทิ้งท้ายว่า ในบางประเทศเริ่มมีความเคลื่อนไหวเรื่องนี้แล้ว ว่าจะทำอย่างไรให้ผู้ผลิตอุปกรณ์พวกนี้ “รับผิดชอบ” กับผู้ใช้มากขึ้น — เช่นในสหรัฐอเมริกา ที่ FTC และ FCC สอบสวนว่าทำไมผู้ผลิตโทรศัพท์ออกอัปเดตความปลอดภัยช้า หรือที่หน่วยงานคุ้มครองผู้บริโภคของเนเธอร์แลนด์ฟ้องซัมซุงและเรียกร้องให้ออกอัปเดตความปลอดภัยอย่างสม่ำเสมอตลอด 2 ปีนับจากวันที่ซื้อ

ใครสนใจงานนี้ ติดตามแฮชแท็ก #infosec17 ได้ในทวิตเตอร์ครับ ส่วนเรื่อง AI กับ security มีอีกโพสต์เรื่อง adversarial machine learning

บูต Pen Test Partners โชว์เจาะระบบข้าวของเครื่องใช้ภายในบ้าน ทั้งกล้องวงจรปิด ตุ๊กตา เครื่องดูดฝุ่น กลอนประตู
บูต Pen Test Partners โชว์เจาะระบบข้าวของเครื่องใช้ภายในบ้าน ทั้งกล้องวงจรปิด ตุ๊กตา เครื่องดูดฝุ่น กลอนประตู

ยากและไม่ค่อยปลอดภัย Facebook Wi-Fi #FAIL @ ห้องสมุด TCDC

วันนี้มีสัมภาษณ์ เลยลองนัดที่ TCDC ใหม่ ตรงไปรษณีย์กลาง บางรัก ช่วงนี้จนถึงสิ้นเดือนพฤษภาคมเขาเปิดให้ใช้ห้องสมุดฟรี

พบว่าการใช้ไวไฟที่นี่วุ่นวายไปหน่อย คือคงตั้งใจดี ทางหนึ่งก็จะได้ยอดเช็กอินเพิ่ม อีกทางก็คงอยากให้ผู้ใช้ล็อกอินได้ง่ายๆ เลยใช้ Facebook Wi-Fi ในการลงทะเบียน (พูดอีกแบบคือ ฝากภาระในการบันทึกผู้เข้าใช้ระบบให้เฟซบุ๊กทำ – จะไม่ทำเลยก็คงไม่ได้ เพราะพ.ร.บ.คอมพิวเตอร์กำหนดให้บันทึกข้อมูลการจราจร-ที่ระบุตัวผู้ใช้ได้)

รวมๆ คือเราพบว่าการล็อกอินไวไฟที่ TCDC ไม่ค่อยเป็นมิตรเท่าไร แถมอาจส่งเสริมพฤติกรรมเสี่ยงด้านความปลอดภัยของข้อมูลส่วนบุคคล โพสต์นี้จะบอกว่าทำไม ปัญหาน่าจะอยู่ตรงไหน และน่าจะแก้ไขยังไงได้บ้าง (ใครใช้ Facebook Wi-Fi ก็อาจจะเจอปัญหาแบบเดียวกันนี้ได้ ไม่เฉพาะ TCDC – เคยเจอร้านกาแฟบางร้านก็ใช้)

มั่นใจว่าไม่ได้เจอปัญหานี้อยู่คนเดียว เพราะระหว่างที่นั่งทำงานอยู่ที่นั่นตั้งแต่ประมาณ 12:40 จนถึงราว 17:00 ได้ยินโต๊ะรอบๆ ถามกันเป็นระยะถึงเรื่องต่อไวไฟ กดตรงไหน ทำไมต่อไม่ได้

บางส่วนอาจจะเกี่ยวกับ UI (เช่น พอ CSS ไม่โหลด ตำแหน่งของแบบฟอร์มที่จะต้องกรอกก็สับสน) แต่ยังมีส่วน UX ด้วย ที่ประสบการณ์ตั้งแต่ต้นจนจบกว่าจะต่อเน็ตได้มีอุปสรรคพอสมควร ซึ่งถ้ายังยืนยันจะใช้ Facebook Wi-Fi อยู่ คงต้องหาทางไปตั้งค่าให้ถูกต้องและรองรับผู้ใช้ที่มีความต้องการหรือข้อจำกัดแตกต่างกันไป

นี่คือเครือข่ายไวไฟที่พบที่บริเวณห้องสมุดชั้น 5 ของ TCDC (จับภาพหน้าจอมาเมื่อ 19 พ.ค. 2560 ประมาณ 14:30)

TCDC wifi list

Guest@TCDC เป็นเครือข่ายสำหรับผู้ใช้ทั่วไป ส่วน Member@TCDC นั้นสำหรับสมาชิก (บุคคลทั่วไป 1,200 บาท/ปี นักศึกษา 600 บาท/ปี) เนื่องจากเรายังไม่ได้เป็นสมาชิก ก็ลองเลือก Guest@TCDC

ซึ่งก็เหมือนกับการเข้าใช้เครือข่ายไวไฟสาธารณะทั่วไป ที่เราคาดได้ว่าจะมีหน้าจอล็อกอินขึ้นมา ให้ใส่ชื่อหรือรหัสเพื่อเข้าใช้ ของ Guest@TCDC ก็จะเด้งหน้าจอนั้นขึ้นมา เพียงแต่มันจะแสดงคำเตือนนี้มาคั่นก่อน

Cannot verify identity of the log in page

ซึ่งหมายความว่า เว็บเบราว์เซอร์ของเรา ไม่สามารถตรวจสอบได้ว่า หน้าเว็บสำหรับการล็อกอินซึ่งอ้างว่าอยู่ที่หมายเลขไอพี 172.16.170.13 นั้น อยู่ที่หมายเลขไอพีดังกล่าวจริงๆ หรือไม่ เนื่องจากใบรับรอง (certificate) ที่เว็บเบราว์เซอร์ได้รับจากหน้าจอล็อกอิน เป็นใบรับรองที่ไม่ได้รับความน่าเชื่อถือ

ถ้ากด “Show Certificate” เพื่อดูรายละเอียดก็จะพบว่า เป็นใบรับรองที่ออกโดย Root Certificate Authority (Root CA – หน่วยงานออกใบรับรองระดับบนสุด) ที่ชื่อว่า cmx.cisco.com และจะหมดอายุวันที่ 12 ตุลาคม 2560 เวลา 01:59:08 (UTC+7) แต่เว็บเบราว์เซอร์ของเรา ไม่เชื่อถือ Root CA รายนี้ มันก็เลยขึ้นคำเตือน

เครือข่ายไวไฟ Member@TCDC ก็พบปัญหาเดียวกัน

ถ้าอยากจะใช้งานเครือข่ายไวไฟ ก็จำเป็นต้องไปให้ถึงหน้าล็อกอินให้ได้ จะไปให้ถึงหน้าล็อกอิน ก็ต้องยอมกด “Continue” ไป ทั้งๆ เราไม่แน่ใจว่ามันปลอดภัยหรือไม่ หรือจะเกิดอะไรขึ้นหลังจากนี้

พอกด Continue ไปแล้ว จะเจอหน้าจอให้ “เช็กอินบน Facebook เพื่อรับการเข้าถึงอินเทอร์เน็ตฟรี”

แต่หน้าจอเช็กอิน/ล็อกอินนี้ จะสับขาหลอกนิดหน่อย เพราะช่องล็อกอินที่เราเห็นเด่นๆ มันไม่ใช่อันที่จะต้องใช้ เราต้องเลื่อนหน้าลงไปอีก ถึงจะเจอฟอร์มที่ใช่ (ปัญหาอาจจะมาจากการที่ CSS ไม่ยอมโหลดด้วย – แต่ลองทั้งมือถือและเดสก์ท็อปก็เป็นเหมือนกัน)

เลื่อนหน้าจอล็อกอินลงมาหน่อย จะเจอคำว่า “หากต้องการเช็กอิน ให้สมัครใช้งาน Facebook วันนี้ หรือคลิกที่ลิงก์ ‘ข้ามการเช็กอิน’ ข้างล่างนี้” ให้มองหาลิงก์ “เข้าสู่ระบบ” (มันจะอยู่ติดกับลิงก์ “สมัครใช้งาน” เลย วรรคก็ไม่ยอมเว้น) พอคลิกที่ลิงก์ “เข้าสู่ระบบ” มันจะนำเราไปที่หน้าล็อกอินที่ถูกต้อง

(ลิงก์ “ข้ามการเช็กอิน” นั้นไม่สามารถคลิกได้ – ส่วนช่องที่เขียนว่า “ป้อนรหัส Wi-Fi” นั้นก็ใช้ไม่ได้ สอบถามเจ้าหน้าที่ TCDC แล้ว ไม่มีการออกรหัสให้ใช้กับช่องนี้)

ถ้าล็อกอินสำเร็จ จะได้หน้าจอแบบข้างล่างนี้
(ใครใช้การยืนยันตัวตนแบบสองชั้น ก็จะมีให้ใส่โค้ดไประหว่างขั้นตอนนี้ด้วย ตัวโค้ดสามารถดูได้ที่โทรศัพท์มือถือ – ซึ่งคนที่ใช้มือถือจะลำบากหน่อย เพราะทันทีที่เราสลับหน้าจอไปดูโค้ด หน้าจอล็อกอินจะหายไป ทุกอย่างต้องเริ่มใหม่ตั้งแต่การเลือกเครือข่าย.. เราต้องรีบจำโค้ดแล้วล็อกอินให้เสร็จภายใน 30 วินาที ก่อนโค้ดหมดอายุ)

ถ้ามาถึงหน้าจอนี้ หมายถึงใกล้สำเร็จแล้ว แต่เราจะเจอปัญหากับใบรับรองเหมือนกับที่เราเจอไปแล้วทีหนึ่ง ตรงนี้เว็บเบราว์เซอร์จะแจ้งว่ามันไม่สามารถยืนยันได้ว่าหน้าจอนี้ที่อ้างว่ามาจากหมายเลขไอพี 1.1.1.1 นั้นเป็นอย่างที่อ้างจริงๆ ถ้าเราเชื่อใจ อยากไปต่อ ก็ให้กด “Continue” อีกทีหนึ่ง

บนมือถือ (iOS) จะเป็นแบบนี้

Canno Verify Server Identity "1.1.1.1"

ถ้ากด “Continue” ก็จะมีหน้าจอให้เช็กอิน ประกาศให้โลกรู้ว่าเรามาอยู่ที่ TCDC แล้วนะ พอเราเช็กอินเสร็จ ก็จะใช้อินเทอร์เน็ตได้แล้ว

สรุป

พบว่าการเข้าใช้เครือข่ายไวไฟ Guest@TCDC นั้นเป็นประสบการณ์ที่ยากลำบากมาก โดยปัญหาที่พบคือ

  • พบปัญหาใบรับรองออกโดย CA ที่เว็บเบราว์เซอร์ไม่ให้การยอมรับถึง 2 ครั้ง ทั้งช่วงก่อนหน้าจอล็อกอินและช่วงใกล้จะล็อกอินสำเร็จ
    • ผู้ใช้ทั่วไปอาจจะทำตัวไม่ถูกว่าให้ทำอย่างไรต่อ เพราะข้อความเตือนของเว็บเบราว์เซอร์อาจเข้าใจยาก
    • กรณีผู้ใช้ TCDC ถูกสอนว่า “ไม่ต้องสนใจ คลิก Continue” ไปเลย ก็จะเป็นการส่งเสริมพฤติกรรมเสี่ยงให้กับผู้ใช้ โดยอาจเข้าใจไปว่า ต่อไปหากเจออาการแบบนี้อีกไม่ว่ากับเครือข่ายไหน หากอยากไปต่อ ก็ให้กด “Continue” เสีย ก็จะแก้ปัญหาได้ พฤติกรรมเช่นนี้ทำให้ผู้ใช้อาจตกเป็นเหยื่อของอาชญากรรมคอมพิวเตอร์หรือข้อมูลส่วนบุคคลถูกขโมยได้
    • ปัญหาใบรับรองนี้ พบว่าไม่ได้เป็นเฉพาะกับหน้าจอล็อกอินไวไฟของ TCDC หน้าเว็บไซต์หลักของ TCDC ก็มีปัญหานี้ด้วย 🙁TCDC Bad Certificate
  • หน้าจอ Facebook Wi-Fi ในบางกรณี อาจแสดงผลไม่ชัดเจนเพียงพอ ว่าผู้ใช้จะต้องกรอกแบบฟอร์มล็อกอินอันไหน ผู้ใช้ไม่สามารถรู้ได้เองอย่างชัดเจน ว่าจะต้องเลื่อนหน้าจอลงมาเพื่อคลิกลิงก์ “เข้าสู่ระบบ” เพื่อจะไปยังหน้าจอล็อกอินอีกอัน ซึ่งจะสามารถนำไปสู่การเช็กอินและใช้อินเทอร์เน็ตได้
  • ใครไม่มีบัญชีเฟซบุ๊กจะใช้อินเทอร์เน็ตผ่านเครือข่าย Guest@TCDC ไม่ได้ เนื่องจากผู้ใช้จะต้องล็อกอินเฟซบุ๊กก่อน
    • หรือถ้าวันไหนเฟซบุ๊กล่มหรือถูกปิดไป ก็อาจจะล็อกอินไม่ได้เหมือนกัน
    • เจ้าหน้าที่ Info Guru ที่ TCDC ยืนยันว่าไม่มีรหัสให้ป้อนเพื่อข้ามการล็อกอินเฟซบุ๊ก
  • ผู้ใช้ถูกบังคับให้ต้องเช็กอิน เนื่องจากลิงก์ “ข้ามการเช็กอิน” ใช้งานไม่ได้  ซึ่งก็คงไม่ใช่ผู้ใช้ทุกคนที่รู้สึกสะดวกเช็กอินหรือรู้วิธีการตั้งค่าโพสต์เช็กอินให้เป็นส่วนตัว (สำหรับ Facebook Wi-Fi เจ้าของหน้าเฟซบุ๊กอย่าง TCDC สามารถตั้งค่า “โหมดบายพาส” ให้ผู้ใช้ไม่ต้องเช็กอินก็ได้ แค่ล็อกอินเฟซบุ๊กก็พอ)
    • สอบถามเจ้าหน้าที่เพิ่มเติม ได้ข้อมูลว่า ถ้าเป็นบนมือถือ จะข้ามได้ แต่เท่าที่ลองบนเดสก์ท็อปข้ามไม่ได้
  • กรณีผู้ใช้ใช้การยืนยันตัวตนแบบสองชั้นและล็อกอินผ่านมือถือเครื่องเดียวกัน จะมีเวลาไม่เกิน 30 วินาทีในการล็อกอิน เนื่องจากถ้าสลับหน้าจอมาเพื่อดูโค้ด หน้าล็อกอินจะหายทันที
  • แถม: พบว่าโปรแกรมอีเมล (อย่าง Mail บน macOS กับ iOS หรือ Thunderbird) ใช้ไม่ได้ พอร์ต 993 (SSL/TLS encrypted IMAP) และ 465 (SSL/TLS encrypted SMTP) ถูกปิด และแอปแชต Signal ก็ใช้ไม่ได้

ข้อเสนอแนะ

  • ที่แก้ไขได้โดยไม่ต้องรอฝ่ายนโยบายนัก เพราะน่าจะเป็นเรื่องการตั้งค่าเครือข่าย คือเรื่องใบรับรองและเรื่องหน้าจอล็อกอิน กรณีใช้ Cisco น่าจะลองดูเอกสารตรง Clients Redirected to External Web Authentication Server Receive a Certificate Warning กับ Cisco Wireless 1.1.1.1/login.html redirect issues (ผมไม่มีความรู้เรื่องการติดตั้งระบบเครือข่ายใดๆ นี่เป็นการลองค้นข้อมูลเบื้องต้นเท่านั้น)
  • ปัญหาการโหลด CSS ไม่ขึ้น ส่งผลให้การใช้งานหน้าจอล็อกอินสับสน ควรหาทางแก้ไข (ผมไม่แน่ใจว่าเกิดเพราะอะไร)
  • ควรอย่างยิ่งที่จะมีทางเลือกให้ผู้ที่ไม่ได้ใช้เฟซบุ๊ก หรือไม่สะดวกจะล็อกอินด้วยเฟซบุ๊ก (เช่นติดปัญหาการยืนยันตัวตนแบบสองชั้น) ให้สามารถกรอกรหัสไวไฟเพื่อเข้าใช้งานได้ (เลือกใน Facebook Wi-Fi ได้)
  • ควรมีทางเลือกให้ผู้ใช้เฟซบุ๊กหลังจากล็อกอินแล้วไม่จำเป็นต้องเช็กอินก็ใช้งานได้ (เลือกใน Facebook Wi-Fi ได้)
  • พิจารณาเปิดพอร์ตพื้นฐานอย่างอีเมล (IMAP, POP, SMTP)

ใครมีโอกาสก็มาลองใช้งานดูครับ TCDC ใหม่ ทางเข้าห้องสมุดอยู่ชั้น 5 หลังจากนี้ถ้าไม่ใช่สมาชิก ก็ใช้บริการได้ โดยจ่ายค่าบริการรายวัน 100 บาท/วัน มีโต๊ะทำงาน มีปลั๊กไฟ มีไวไฟ (ถ้าเข้าได้) ถูกกว่าไปนั่งร้านกาแฟอีก (ถ้าไม่รวมค่ารถ :p) นอกจากนี้ยังมีส่วนนิทรรศการ Maker Space และส่วนอื่นๆ อีก

อ้อ นอกจากที่กรุงเทพ ที่เชียงใหม่ก็มี TCDC นะ และที่ขอนแก่นก็กำลังจะเปิด (ตอนนี้มี mini TCDC อยู่ในมหาวิทยาลัยขอนแก่นอยู่แล้ว)

OTT (Over the Top) คืออะไร?

“Over the Top” หรือ OTT เป็นศัพท์ในวงการโทรคมนาคมและกระจายภาพและเสียง มีความหมายโดยทั่วไปถึงเนื้อหาหรือบริการที่ถูกส่งผ่านโครงข่ายที่ไม่ได้ถูกออกแบบมาให้ทำสิ่งดังกล่าวตั้งแต่ต้น ด้วยเหตุนี้ OTT จึงถูกเรียกในภาษาทั่วไปว่า “value added” ซึ่งหมายถึงเนื้อหาหรือบริการที่สร้าง “มูลค่าเพิ่ม” จากเนื้อหรือบริการพื้นฐานที่โครงข่ายถูกออกแบบมาแต่แรก

เรื่อง OTT จะเห็นบ่อยขึ้นช่วงนี้ตามสื่อ เนื่องจากกสทช.มีแนวคิดจะเข้ามากำกับบริการมูลค่าเพิ่มเหล่านี้ โดยยกประเด็น เช่น การจัดเก็บภาษี การกำกับเนื้อหา และการแข่งขัน “ที่เป็นธรรม” (ระหว่างผู้ประกอบกิจการที่ต้องมีใบอนุญาตและไม่ต้องมีใบอนุญาต)

ตัวอย่างของ OTT

ตัวอย่างหนึ่งของ OTT คือ “เนื้อหา OTT” (Over-the-top content) ซึ่งในบริบทของกิจการกระจายภาพและเสียง หมายถึงภาพ เสียง หรือสื่ออื่นใด ที่ส่งผ่านโครงข่ายอื่นใดที่มิใช่โครงข่ายกระจายภาพและเสียง เช่น บริการภาพยนตร์ผ่านโครงข่ายอินเทอร์เน็ต

อีกตัวอย่างหนึ่งคือ “Telco-OTT” ซึ่งหมายถึงการให้บริการโทรคมนาคมของผู้ให้บริการรายหนึ่งผ่านโครงข่ายของผู้ให้บริการโทรคมนาคมรายอื่นหรือชนิดอื่น เช่น การให้บริการโทรศัพท์ด้วยเสียงผ่านโครงข่ายไวไฟอินเทอร์เน็ตสาธารณะ

นอกจากนี้การให้บริการอย่างการจ่ายเงินชำระเงินผ่านอินเทอร์เน็ต ซื้อสินค้าบริการผ่านอินเทอร์เน็ต ก็ถูกนับเป็น OTT เช่นกัน

วิธีแบ่งประเภทมีหลายแบบ

เนื่องจาก OTT เป็นการผสานเนื้อหา บริการ และโครงข่ายหลายชนิดเข้าด้วยกัน การแบ่งประเภทของ OTT จึงสามารถแบ่งได้หลายวิธีเพื่อความสะดวกในการพิจารณาประเด็นหนึ่งๆ เช่น

  • แบ่งตามชนิดบริการ — รายการวิทยุหรือโทรทัศน์ที่เผยแพร่เวลาตรงกับที่กำลังเผยแพร่ในโครงข่ายกระจายภาพและเสียง รายการวิทยุหรือโทรทัศน์ที่เคยหรือจะเผยแพร่ในโครงข่ายกระจายภาพและเสียงและผู้ชมเลือกเวลาดูได้เอง เนื้อหาแบบรายการวิทยุหรือโทรทัศน์ที่ไม่ได้ผลิตเพื่อเผยแพร่ในโครงข่ายกระจายภาพและเสียง ภาพยนตร์ ฯลฯ
  • แบ่งตามความสัมพันธ์ของผู้ผลิตเนื้อหา — ผลิตเอง v จ้างผลิต v ผู้ใช้เป็นผู้ผลิต
  • แบ่งตามความสัมพันธ์ของผู้ให้บริการ — ผู้ให้บริการเนื้อหาเป็นรายเดียวกับผู้ให้บริการโครงข่าย vs เป็นคนละราย
  • แบ่งตามการบอกรับสมาชิก — เสียค่าบอกรับหรือไม่, subscription-based v advertising-based
  • แบ่งตามชนิดใบอนุญาต — โทรคมนาคม v กระจายภาพและเสียง v ไม่ต้องมีใบอนุญาต
  • แบ่งตามประเด็นในการกำกับกิจการ
  • แบ่งตามมิติอื่นๆ

การแบ่ง OTT ตามประเด็นในการกำกับกิจการนั้น เช่นที่ Body of European Regulators for Electronic Communications (BEREC) ซึ่งเป็นองค์การกลางของหน่วยงานกำกับกิจการสื่อสารอิเล็กทรอนิกส์ของสหภาพยุโรป แบ่งบริการ OTT เป็น 3 ประเภทคือ

  1. บริการ OTT ที่ถือเป็น “บริการสื่อสารอิเล็กทรอนิกส์” (electronic communications service – ECS)
  2. บริการ OTT ที่ไม่ถือเป็น ECS แต่มีศักยภาพจะแข่งขันกับ ECS และ
  3. บริการ OTT อื่นๆ

สาเหตุที่ BEREC แบ่งประเภทเช่นนี้ เพราะคำว่า OTT นั้นไม่มีสถานะทางกฎหมายในระดับสหภาพยุโรป และกิจการที่ BEREC กำกับได้ตามกฎหมายนั้นมีเพียงบริการสื่อสารอิเล็กทรอนิกส์ (ECS) เท่านั้น การแบ่งตามสถานะทางกฎหมายที่ BEREC อาจเข้าไปกำกับได้ จึงเป็นการแบ่งขั้นต้นที่สะดวกสำหรับการทำงาน

ดูเพิ่ม

เอกสารเกี่ยวกับ OTT นั้นมีอยู่เยอะและอัปเดตค่อนข้างเร็ว เพราะเป็นประเด็นค่อนข้างใหม่ (OTT นั้นมีมานานแล้ว แต่ประเด็นการกำกับดูแลมีการพูดถึงมากขึ้นในบริบทอินเทอร์เน็ต) หลายประเทศก็มีความสนใจจะกำกับกิจการส่วนนี้ให้เป็นระบบระเบียบมากขึ้น จึงมีเอกสารการศึกษาและข้อคิดเห็นจากหลายฝ่ายหลายมุมมองเผยแพร่ ตัวอย่างใกล้บ้านเราที่สนใจจะกำกับกิจการ OTT เช่น อินโดนีเซีย ที่เริ่มพูดคุยเรื่องดังกล่าวมาตั้งแต่ปีที่แล้ว (2016) ยังไงลองค้นๆ ในเน็ตดูครับ

Over the Top (1987)