พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 เป็นหนึ่งในประเด็นร้อนที่ทำให้การวางแผนเรื่องงบประมาณด้านไอทีของหน่วยงานต้องปรับเปลี่ยนกันอย่างหนัก ซึ่ง พ.ร.บ.คอมพิวเตอร์นั้น ได้ให้ระยะเวลาในการเตรียมการก่อนที่จะมีผลบังคับใช้เป็นระยะเวลา 1 ปีโดยประมาณและกำลังจะมีผลบังคับใช้ตามกฎหมายในวันที่ 23 สิงหาคม 2551 ที่จะถึงนี้ เราจะมาเตรียมความพร้อมขั้นสุดท้ายก่อนที่ พ.ร.บ. จะเริ่มมีผลบังคับใช้
ถ้าเวลานี้มีการส่งแบบสำรวจถามผู้ดูแลระบบคอมพิวเตอร์ในประเทศว่าในปีที่ผ่านมามีประเด็นร้อนอะไรบ้างที่เป็นที่น่าสนใจและต้องจับตามองคงต้องยอมรับว่าหนึ่งในประเด็นร้อนของวงการระบบรักษาความลอยภัยในบ้านเราประจำปี 2550 ที่ผ่านมาเห็นจะต้องมีเรื่องเกี่ยวกับ พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 หรือที่เราเรียกกันอย่างติดปากว่าพ.ร.บ.คอมพิวเตอร์ อย่างหลีกเลี่ยงไม่ได้ เรียกได้ว่าประเด็นนี้เป็นหนึ่งในประเด็นร้อนที่ทำให้การวางแผนเรื่องงบประมาณด้านไอทีของหน่วยงานต้องปรับเปลี่ยนกันอย่างหนัก ชนิดถึงขนาดที่บางหน่วยงานได้หยุดการใช้งบประมาณด้านอื่นๆ และนำมาลงงบประมาณกับเรื่องนี้โดยเฉพาะกันเลยทีเดียว ซึ่ง พ.ร.บ.คอมพิวเตอร์นั้น ได้ให้ระยะเวลาในการเตรียมการก่อนที่จะมีผลบังคับใช้เป็นระยะเวลา 1 ปีโดยประมาณและกำลังจะมีผลบังคับใช้ตามกฎหมายในวันที่ 23 สิงหาคม 2551 ที่จะถึงนี้ เราจะมาเตรียมความพร้อมขั้นสุดท้ายก่อนที่ พ.ร.บ. จะเริ่มมีผลบังคับใช้ในอีกไม่กี่วันข้างหน้านี้
ทำความเข้าใจพระราชบัญญัติฯ รอบสุดท้ายก่อนถึงวันบังคับ
หลายท่านคงได้ผ่านตากับ พ.ร.บ. ฉบับจริงกันมาบ้างไม่มากก็น้อย บางท่านคงได้เห็นประกาศแนบท้ายหรือแม้กระทั่งฉบับเวอร์ชันภาษาอังกฤษกันมาบ้าง (เรียกว่า CCA : Computer Crime related Act) ซึ่งเนื้อหานัยสำคัญของ พ.ร.บ.คอมพิวเตอร์ ฉบับปี 2550 อยู่ที่เรื่องของการให้ผู้ให้บริการเครือข่ายคอมพิวเตอร์ที่มีการเชื่อมต่ออินเตอร์เน็ตเก็บ Log ของข้อมูลการเชื่อมต่อระหว่างองค์กรและบุคคลภายนอกที่กระทำผ่านอินเตอร์เน็ตเอาไว้ทั้งหมดเพื่อให้ทางเจ้าหน้าที่สามารถวิเคราะห์และสืบสวนสอบสวนได้ในกรณีที่เกิดปัญหาด้านกฎหมายและใช้เป็นหลักฐานเพื่อที่จะสามารถเอาผิดกับผู้ที่กระทำได้โดยมีระยะเวลาในการจัดเก็บไม่น้อยกว่า 90 วันนับแต่วันที่ข้อมูลการจราจรดังกล่าวถูกสร้างขึ้นมา โดยคำจำกัดความของผู้ให้บริการจะไม่ได้หมายถึงเพียงแต่ ISP เพียงอย่างเดียว แต่ทั้งนี้ยังเลยไปถึงบริษัท หน่วยงาน และห้างร้านต่างๆ ที่อนุญาตให้พนักงานใช้งานอินเทอร์เน็ตได้ ตลอดจนเหล่าผู้ให้บริการในด้านอื่นๆ เช่น ผู้ให้บริการข้อมูลผ่านแอพพลิเคชัน (ASP) และ Content Service Provider อีกด้วย แต่ทั้งนี้หาใช่ว่าถ้าเราเก็บ Log ของข้อมูลเราเป็นระยะเวลา 90 วันแล้วจะครอบคลุมถึงมาตรา 26 ของ พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ซึ่งว่าด้วยการเก็บ Log ทั้งหมด เพราะว่าในตัวของมาตรา 26 เองยังได้มีข้อความพ่วงท้ายอีกว่า “ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะราย และเฉพาะคราวก็ได้” ซึ่งนั่นย่อมหมายถึงว่าในแง่ของการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ เราจำเป็นที่จะต้องเก็บข้อมูลไว้เป็นระยะเวลาอย่างน้อยหนึ่งปีนั่นเอง
ซึ่งโดยปกติทั่วไปถ้าเราพูดถึงหลักการของการบริหารระบบรักษาความปลอดภัยในท้องตลาดหรือมาตรฐานการใช้งานระบบบริหารจัดการรักษาความปลอดภัยเกือบทุกราย ล้วนแล้วแต่พูดถึงส่วนของระยะเวลาจัดเก็บ Log เพื่อใช้ในการวิเคราะห์และสืบสวน (Forensic) อย่างมีประสิทธิภาพไว้ที่ระดับ 1 ปี (หรือ 365 วัน) กันแทบทั้งสิ้น ทั้งนี้เพื่อให้ระบบหรือผู้ที่วิเคราะห์ข้อมูลจะสามารถเปรียบเทียบข้อมูลในอดีตและปัจจุบันได้อย่างทรงประสิทธิภาพนั่นเอง โดยระบบเวลาในการจัดเก็บดังกล่าวเองก็ได้ถูกระบุเอาไว้ในมาตรฐานหลายๆ ตัวในโลกด้วยเช่นกัน ดังนั้นแล้วเซ็กลิสต์ที่จะฝากเอาไว้ให้ทุกท่านในจุดนี้คือ ต้องอย่าลืมตรวจสอบถึงรายละเอียดของมาตรฐานต่างๆ ที่องค์กรของท่านได้มีการใช้งานอยู่นอกเหนือจาก พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เพราะหลายครั้งที่ผู้ดูแลระบบอย่างเราๆ ท่านๆ จะมุ่งในการปรับปรุงระบบสำหรับมาตรฐานหรือกฎระเบียบของส่วนไอทีเพียงอย่างเดียว ทำให้พลาดลืมตรวจสอบเลยไปถึงกฎเกณฑ์ของมาตรฐานในด้านอื่นๆ ไป
ทั้งนี้ประเด็นถัดมาที่จะมาทำความเข้าใจกันในขั้นสุดท้าย คือชนิดข้อมูลการจราจรใดบ้างที่เราจะต้องจัดเก็บในทางกฎหมาย ซึ่งข้อมูลในส่วนนี้เราจะสามารถค้นหาได้จากประกาศแนบท้ายฯ โดยได้สรุปอย่างย่อมาไว้ดังต่อไปนี้
1.) ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย ::: ครอบคลุมเรื่องการจัดเก็บข้อมูลของการเข้าถึงเครือข่ายเป็นหลัก (Inbound traffic) โดยข้อมูลส่วนใหญ่สามารถจัดเก็บได้จากอุปกรณ์ประเภทไฟร์วอลล์โดยจะต้องประกอบไปด้วย ข้อมูล Log ที่มีการบันทึกเมื่อมีการเข้าถึงฯโดยต้องสามารถระบุตัวตน, สิทธิในการเข้าถึง, วัน เวลา, IP address และหมายเลขต้นทาง (ในกรณีที่เป็นdial-up)
2.) Log ที่มาจากอีเมล์เซิร์ฟเวอร์ ::: ครอบคลุมถึงเครื่องแม่ข่ายที่ทำหน้าที่ในการรับและส่งอีเมล์ขององค์กรทั้งหมด ไม่ว่าจะใช้อยู่มาตรฐานใด (IMAP, POP และอื่นๆ) โดยจะต้องประกอบไปด้วย Log เมื่อมีการเข้าถึงเครื่องโดยจะต้องมี หมายเลขของตัวจดหมาย, อีเมล์ของผู้ส่ง, อีเมล์ของผู้รับ, สถานะ, ไอพีที่ทำการติดต่อเข้ามา, วันและเวลา, ไอพีของเครื่องแม่ข่าย, ชื่อผู้ใช้และข้อมูลในการดึงตัวจดหมาย (เช่น จาก pop3) เป็นอย่างน้อย
3.) บริการโอนถ่ายแฟ้มข้อมูล ::: ครอบคลุมถึงทุกบริการ/มาตรฐานที่มีการอนุญาตให้มีการรับและส่งไฟล์ได้ เช่น Peer-to-Peer, การอัพโหลดไฟล์, การโพสต์รูป หรือบริการพื้นฐานอย่างเช่นการทำ file sharing หรือ File Transfer Protocol โดยจะต้องมีการเก็บ Log ที่ระบุว่ามีการเข้าถึง, วันและเวลา, ไอพีของเครื่องต้นทาง, ชื่อผู้ใช้งานและชื่อไฟล์ตลอดจนตำแหน่งของไฟล์ที่มีการเข้าถึง
4.) ผู้ให้บริการเว็บ ::: กล่าวถึงผู้ที่ให้บริการเว็บเซอร์วิสทุกประเภท เช่น web server, web portal หรือแม้แต่ web gateway โดยเนื้อหาที่บังคับให้จัดเก็บประกอบไปด้วย Log ที่บังคับให้จัดเก็บประกอบไปด้วย Log ที่ยืนยันการเข้าถึง, วันและเวลา, ไอพีของเครื่องต้นทาง, คำสั่งในการใช้งานและ URL เป็นอย่างน้อย
5.) บริการข้อมูลบนเครือข่ายความรู้ (Bulleting Board/Usenet) ::: ครอบคลุมถึงบริการเครือข่ายองค์ความรู้หรือประสบการณ์ทั่วไป เช่น Bulletin Board System (BBS), Usenet หรือ ตัวอย่างที่เห็นได้ชัดที่สุดได้แก่ เว็บบอร์ด โดยมีข้อกำหนดที่ให้จัดเก็บอย่างชัดเจนคือ Log เมื่อมีการเข้าถึง, วันและเวลา, ชื่อเครื่องที่ให้บริการ, หมายเลขของข้อความ ตลอดจนพอร์ตที่ใช้ในการติดต่อสื่อสาร
6.) ระบบโต้ตอบบนเครือข่าย ::: เห็นจะเป็นข้อใหญ่และยากเกือบจะที่สุดในการจัดเก็บ เนื่องด้วยหัวข้อนี้คือ การจัดเก็บข้อมูลการโต้ตอบของ Instant
ข้อควรระวังสำหรับเรื่องการจัดเก็บข้อมูล
เหล่าบรรดาผู้จัดการฝ่ายไอทีหลายต่อหลายท่าน เมื่อเจอเรื่อง พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์เข้าไปเกิดอาการตกใจ มุ่งเน้นหาระบบที่จะเก็บ Log เพียงอย่างเดียวอย่าลืมว่าระบบที่จะบริหารจัดการ Log ที่คุณเก็บเข้ามาแล้วทั้งหลาย เป็นสิ่งที่จำเป็นไม่แพ้กันไม่ว่าจะเป็นสตอเรจดีๆ สักชุด ซอฟต์แวร์แบ็กอัพเจ๋งๆ หรือแม้แต่เทปสักชุด เชื่อขนมกินได้ว่าเกือบจะครึ่งหนึ่งของผู้จัดการไอทีในประเทศไทยลืมข้อนี้... เอาล่ะ คุณอยากเป็นข้างไหนล่ะ?
Messaging (IM) ชนิดต่างๆ ตลอดจนเครือข่าย Internet Relay Chat ซึ่งข้อมูลที่ต้องจัดเก็บนั้นมีเพียง วันและเวลา, ชื่อเครื่องต้นทางที่ติดต่อและไอพีของปลายทางที่กำลังติดต่ออยู่ด้วย
โดยเราจะเห็นได้ว่าทั้ง 6 ข้อกำหนดเรื่องการจัดเก็บข้อมูลทางด้าน พ.ร.บ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์จะพูดถึงการจัดเก็บข้อมูลเฉพาะในส่วนของเฮดเดอร์ของข้อมูลเพียงอย่างเดียว ไม่ว่าจะเป็น source/destination IP address, mac address, ตัวตนของผู้ใช้/เข้าถึงข้อมูลหรือแม้แต่โพรโตคอลที่ใช้ในการติดต่อสื่อสาร แต่ไม่มีการระบุถึงการอนุญาตให้บันทึกและจัดเก็บข้อมูลในส่วนของเนื้อหาตามกฎหมายแต่อย่างใด ดังนั้นสิ่งที่ท่านจำเป็นที่จะต้องระวังคือการจัดเก็บข้อมูลของท่านอย่าให้ลึกจนเกินไป ทั้งนี้เพราะเนื่องจากว่าความสามารถของอุปกรณ์ในการจัดเก็บข้อมูลในปัจจุบันมีความสามารถสูงขนาดที่สามารถจัดเก็บเนื้อของข้อมูลได้ ซึ่งนั่นอาจจะทำให้ท่านสามารถผ่านตามมาตรฐานการจัดเก็บข้อมูลของ พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ แต่อาจจะมีปัญหากับเรื่องของสิทธ์ส่วนบุคคลแทน
จัดเก็บอย่างไร
ประเด็นสุดท้ายในด้านของการจัดเก็บข้อมูลสำหรับ พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ หลังจากที่เราได้จัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์เป็นที่เรียบร้อยแล้วอีกสิ่งหนึ่งที่ถูกระบุไว้อย่างชัดเจนในตัว พระราชบัญญัติฯคือเรื่องของความถูกต้องและการแก้ไขของข้อมูลจราจรที่ได้จัดเก็บอยู่ ทั้งนี้ตามข้อกำหนดของตัวพระราชบัญญัติฯเองได้มีระบุเอาไว้ว่าข้อมูลจะต้องไม่สามารถเปลี่ยนแปลงแก้ไขได้หลังการจัดเก็บ อีกทั้งยังต้องเข้ารหัสตลอดตนสามารถให้ข้อมูลเพื่อตรวจสอบได้ว่าข้อมูลที่จัดเก็บ มิได้มีการเปลี่ยนแปลงนับแต่วันที่จัดเก็บจริง ซึ่งในจุดนี้เองอาจจะเป็นจุดที่ท่านผู้อ่านหลายๆ ท่านลืมคาดการณ์ผิดพลาดไปและผิดตามมาตราข้อกำหนดในเรื่องของการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ได้อย่างง่ายดาย
จำเป็นต้องเป็น Centralize ? อีกหนึ่งประเด็นที่เป็นข้อถกเถียงกันอย่างหนักและก่อให้เกิดการเข้าใจผิดสำหรับเรื่องของการเก็บ Log ในวงกว้างคือ ถ้าเราพูดถึงเรื่องโซลูชันที่ออกมาช่วยเราในการคอมไพล์ตาม พ.ร.บ. คอมพิวเตอร์ แล้วเราจะพบว่าผู้ผลิตระบบรักษาความปลอดภัยทั้งจากต่างประเทศและในประเทศต่างก็นำเสนอระบบจัดเก็บในแบบ Centralize Log Management กันแทบทั้งสิ้น แต่คำถามที่อาจเกิดขึ้นในใจคือ เราจำเป็นที่จะต้องเก็บ Log ที่ส่วนกลางหรือที่เราเรียกกันว่า Centralize Management หรือไม่ หรือว่าในพระราชบัญญัติฯ มีข้อกำหนดที่ระบุถึงเรื่องของการเก็บ Log ในแบบ Centralize กันหรือเปล่า?
โดยถ้าเราค้นหาข้อมูลดังกล่าวจากตัวพระราชบัญญัติฯโดยตรง จะพบว่าตามาประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เมื่อวันที่ 23 สิงหาคม 2550 ในหัวข้อวิธีการเก็บข้อมูล ข้อที่ 8 หัวข้อย่อยที่ 2 หน้าที่ 7 ระบุว่า “มีระบบการเก็บรักษาความลับของข้อมูลฯ และกำหนดชั้นในการเข้าถึง...และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centrailzed Log Server … เว้นแต่...” โดยจากข้อความดังกล่าวข้างต้นจะเห็นได้ว่า ตัว พ.ร.บ. เองไม่ได้ระบุว่าเราจำเป็นจะต้องใช้ระบบ Centralize Log Management มาเพื่อจัดเก็บ Log เพียงแต่เป็นการยกตัวอย่างเท่านั้นเพียงแต่ระบบ Centralize Log Management โดยทั่วไปในปัจจุบัน จะมาพร้อมกับความสามารถในการรวบรวมและวิเคราะห์ข้อมูล (Data Aggregation & Correlation) ซึ่งเป็นส่วนหนึ่งของระบบ Security Event & Incident Management เพื่อช่วยให้เราสามารถวิเคราะห์การโจมตีได้อย่างแม่นยำมากขึ้นนั่นเอง
ดังนั้นแล้ว ถ้าท่านต้องการที่จะสร้างและปรับเปลี่ยนระบบของท่านเพียงเพื่อให้คอมไพล์ตาม พ.ร.บ. คอมพิวเตอร์เพียงอย่างเดียว สิ่งที่ท่านจำเป็นต้องให้ความสำคัญคือ การป้องกันไม่ให้มีการเข้าถึงข้อมูลและการจำกัดสิทธิ์เท่านั้นหาใช่เรื่อง Centralize Log Management แต่อย่างใด...
จะปรับปรุงระบบอย่างไรให้ต้นทุนต่ำที่สุด?
ทุกครั้งที่พูดถึงเรื่อง พ.ร.บ.คอมพิวเตอร์ก็เป็นหนึ่งหัวข้อที่ถูกหยิบยกขึ้นมาถามว่า เราควรจะทุ่มเทงบประมาณของเราลงไปเพื่อปรับปรุงระบบให้เหมาะสมกับ พ.ร.บ. เลยหรือเปล่า หรือว่าควรจะทำพอประมาณระดับกลางๆ ก็เพียงพอ เพื่อรอกฎหมายหรือพระราชบัญญัติฉบับหน้าดี เรื่องของอนาคตคงไม่สามารถจำคาดการณ์กันได้ว่าควรจะรอดีหรือไม่ แต่ถ้าท่านยังลังเลว่าจะควรปรับปรุงแค่ไหนดี ในขณะที่เวลาเหลืออีกไม่ถึงหนึ่งเดือนข้างหน้านี้... เรามีวิธีมาแนะนำอยู่สองแบบครับ
แบบที่หนึ่งใช้บริการเอาต์ซอร์ส
ถ้าคุณเป็นคนที่กำลังคิดไม่ตกว่าจะเลือกซื้อดีไหม หรือทำอย่างไรเพื่อที่จะปรับปรุงระบบให้เหมาะสมกับพระราชบัญญัติฉบับนี้แล้วล่ะก็... นั่นย่อมแสดงว่าท่านกำลังเกิดอาการรักพี่เสียดายน้อง ไม่อยากจะลงทุนเยอะมาก แต่อีกด้านก็อยากจะปรับปรุงให้มีระบบที่สมบูรณ์แบบไปเลย ในขณะเดียวกันเวลาก็หมดไปเรื่อยๆ ซึ่งในกรณีนี้ฟันธงได้เลยว่า ณ เวลานี้ตัวเลือกทางด้านการใช้บริการใช้บริการเอาต์ซอร์สดูเหมือนจะเป็นทางเลือกที่ดีที่สุดสำหรับคุณแล้ว ทั้งนี้เนื่องจากว่าข้อดีของการทำเอาต์ซอร์ส คือการกระจายรายจ่ายออกเป็นค่าใช้จ่ายฟุ่มเฟือยในแต่ละเดือนแทน ซึ่งในแง่ของทางบัญชีมันจะไม่ถูกนับเป็นค่าใช้จ่ายในการลงทุนอีกทั้งบริการด้านเอาต์ซอร์สในประเทศไทยในปัจจุบันเองก็มีความสามารถในการให้บริการถึงระดับ Correlation ได้ในราคาที่ไม่สูงมากเมื่อเทียบกับค่าใช้จ่าย ยิ่งเมื่อนำมารวมกับค่าใช้จ่ายด้านบุคลากรด้วยแล้ว ยิ่งทำให้สามารถประหยัดงบประมาณการลงทุนได้อีกมากโขเลยทีเดียว ดังนั้นแล้วถ้าคุณยังคิดเกิดอาการรักพี่เสียดายน้อง ขอให้มองหาผู้ให้บริการ Managed Security Services Provider โดยด่วน ก่อนที่จะเสียทั้งที่ทั้งน้องเลยครับ...
แบบที่สอง ของฟรีก็ยังมีนะ...
แต่ถ้าคุณกำลังมีปัญหา หารงบประมาณไม่ลงตัว วิเคราะห์แล้วว่าต้องลงทุนอะไรปรับแต่งตรงไหนบ้างเพื่อให้รับกับพระราชบัญญัติฯ แต่กลับไม่สามารถกระทำได้อย่าเพิ่งตกใจไปครับ มี developer ใจดีอยู่ท่านหนึ่งได้พัฒนาซอฟต์แวร์เพื่อช่วยในการเก็บและบริหารจัดการ Log ตามพระราชบัญญัติออกมาชื่อปลาวาฬ (Plawan Central Log) โดยแน่นอนว่ามันเป็นฟรีแวร์อย่างที่ผมได้เกริ่นเอาไว้ ระบบมาในแผ่นซีดีหนึ่งแผ่นพร้อมลีนุกซ์ยอดฮิตอย่าง Ubuntu 8.04 ที่ตั้งค่ามาเรียบร้อย เรียกได้ว่าเอามาแผ่นเดียวติดตั้งหายห่วงไปเลย
บทสรุป
โดยส่วนตัวแล้วผมมองว่าพระราชบัญญัติฯ ฉบับนี้ ถึงแม้จะยังไม่ดีที่สุด เมื่อมันถูกนำไปเทียบกับมาตรฐานด้านไอทีในอีกหลายๆ ประเทศ แต่ก็จัดได้ว่าเป็นก้าวแรกของกฎเกณฑ์มาตรฐานต่างๆ ของระบบไอทีในบ้านเราที่กำลังเริ่มก่อตัวกันเป็นรูปเป็นร่าง ซึ่งเราคงจะยังจำเป็นที่จะต้องพัฒนากันอีกมากเพื่อให้ร่างกฎหมายด้านไอทีในฉบับต่อๆ ไป จะสร้างออกมาเพื่อปกป้องผลประโยชน์ของผู้ใช้อย่างเราๆ มากขึ้นไปกว่านี้
คอลัมน์ ENTERPRISE นิตยสาร PC magazine thailand Vol.14 No.07
ที่มา ข้อมูลจากเว็บไซต์ www.stc.ac.th