လက်ရှိ Cyber Security နှင့် Digital Forensics ဥပဒေအားနည်းချက်များ


ရိုက်တာသတင်းထောက် 2 ယောက်ရဲ့ ဖုန်းတွေကို သိမ်းဆည်းသောအခါမှာ ပထမဆုံး အားနည်းချက်ကတော့
First Responder Guide လို့ခေါ်တဲ့ Digital ပစ္စည်းတွေကို သိမ်းဆည်းတဲ့အခါမှာ လိုက်နာရမည့်အချက်တွေမှာ အားနည်းခဲ့ပါတယ်။ ဖုန်းကို Radio Frequency Shield ဖြစ်မဲ့အိတ် (Phone Line,Internet, Wifi, Bluetooth တို့ကိုကာကွယ်သည့်အိတ်) ထဲကို ထည့်ပြီး မသိမ်းဆည်းတဲ့အတွက် ဖမ်းဆည်း သိမ်းဆည်းပြီးအချိန်နောက်ပိုင်းမှာ "OK " ဆိုတဲ့ စာလုံးက WhatApp မှာ သွားပေါ်ပါတယ်။ သက်သေခံသွင်းတဲ့နေရာမှာ မဆိုင်ပဲစကားအများကြီးပြောရပါသည်။ တစ်ကယ်တန်း သိမ်းဆည်းချိန်မှာ "OK" ရိုက်နေတုန်း ဖုန်းကိုသိမ်းလိုက်တာဖြစ်နိုင်ပါတယ်။ Send မဖြစ်ဖူးပေါ့။ နောက်ပိုင်းမှ တစ်ခုခုနဲထိခိုက်မိပြီး အင်တာနက် ပွင့်သွားတဲ့အချိန်မှာ တစ်ဖက်ကို Send ဖြစ်သွားတာဖြစ်နိုင်ပါတယ်။ သိမ်းဆည်းရာမှာ အားနည်းချက်ဖြစ်တဲ့ အတွက် သိမ်းဆည်းသူကိုအပြစ်တင်လို့မရပါ။ လက်ရှိတည်ဆဲ Cyber Law , Electronic Law တွေမှာ တိကျတဲ့ လုပ်ထုံးလုပ်နည်းနည်းဥပဒေ မရှိပါ။
အခုဖြစ်ရပ်ဖြစ်တဲ့ 2018 အချိန်အထိ တိုးတက်လာတဲ့ နည်းပညာတွေနဲ့လိုက်ပြီး ဥပဒေကို ပြင်ဆင်တာတွေ နည်းဥပဒေ ရေးဆွဲတာတွေမရှိပါ။ ဥပဒေပြု အမတ်တွေရဲ့အားနည်းချက်လဲပါပါသည်။
2020 အချိန်အထိ Digital ပစ္စည်း သိမ်းဆည်းတာနဲ့ပတ်သတ်ပြီး သတ်မှတ်ထားတဲ့ ဥပဒေ စည်းမျဉ်းစည်းကမ်းတွေ မရှိသေးပါ။
Digital ပစ္စည်း စစ်ဆေးတာနဲ့ပတ်သတ်ပြီး သတ်မှတ်ထားတဲ့ ဥပဒေ စည်းမျဉ်းစည်းကမ်းတွေ လုပ်ထုံးလုပ်နည်းတွေမရှိသေးပါ။

ရိုက်တာသတင်းထောက်ဘက်ကနေလိုက်ပေးတဲ့ ရှေ့နေ အဖွဲ့ကလဲ Digital Forensics နဲ့ပတ်သတ်ပြီး တော်တော်လေး လေ့လာထားသလား ဒါမှမဟုတ် ပြည်ပ Expert တွေကနေပဲ အကြံပေးလား ? ဘာလို့လဲဆိုရင် အဲဒီအချိန်က UEFD နဲ့ပတ်သတ်ပြီး Expert ဖြစ်တာ မြန်မာပြည်မှာ လက်ငါးချောင်းမပြည့်ပြည့်အောင် အနိုင်နိုင်ချိုးရေရမည်။ ဘယ်သူကမြှောက်ပေးသည်မသိ Forensic Report ကို Soft Copy ကအစတောင်းဆိုသည်။ Forensics Log ဖတ်ဖို့
အတွက်ဖြစ်နိုင်သည်။ ဒါမျိုးကလဲသက်ဆိုင်ရာ Knowledge အပြင် စစ်ဆေးတဲ့ပစ္စည်းကို ရင်းနှီး‌ကျွမ်း၀င်သူရှိအုံးမှ။
ပြီးရင် Forensics Lab ကိုပို့တဲ့ Chain of custody (သက်သေခံပစ္စည်းပို့ဆောင်ခြင်း၊ လွှဲပြောင်းခြင်း) အပိုင်းကိုပါ ထောက်ပြသည်။ အဲဒီစံသတ်မှတ်ချက်တွေသည် US,UK မှာလုပ်တဲ့စနစ်တွေ နည်းလမ်းတွေဖြစ်သည်။ တိုးတက်သည့် နိုင်ငံတော်တော်များများမှာလဲ အဲဒီအတိုင်းပဲလုပ်ဆောင်ကြသည်။ ခက်တာက မြန်မာပြည်မှာ အဲလိုမျိုးစနစ်တွေ နည်းလမ်းတွေ လုပ်ဆောင်မှုတွေ ဖြည့်သွင်းရတဲ့ ဖောင်ပုံစံတွေ အရင်ကလဲ မရှိသလို အခုအချိန်အထိလဲမရှိ။ Case ကလဲ နိုင်ငံကျော်တဲ့အမှုဆိုတော့ကား ...။ Digital ပစ္စည်းတွေ လွှဲပြောင်းခြင်း chain of custody လုပ်ပုံလုပ်နည်းကိုတော့ ကျွန်တော်ရေးထားပြီးသားပါ။
နောက်တစ်ခုက စစ်ဆေးတဲ့သူလား သက်သေခံတင်ပြတဲ့သူလားမသိ မြန်မာဘက်က Expert မှာ UFED Certificate သက်တမ်းကုန်နေတာက အစ တစ်ဖက်ရှေ့နေက ထောက်သည်။ သက်ဆိုင်တဲ့ Certificate တွေကလဲ Up to date ဖြစ်နေမှ Digital Forensics ဘက်မှာ ပိုအဆင်ပြေသည်။ ဒါကလဲ အပြစ်ပြောလို့မရ ရှေ့နေအလုပ်ဖြစ်နေတာကိုး။ အဲလိုတွေဖြစ်ပြီးနောက်ပိုင်း ဆန်ရှင်လုပ်ပြီး Forensics ပစ္စည်းအချို့ကို မြန်မာဘက်ကို မရောင်းတော့ပါ။ အားနည်းချက်တွေကြောင့် နိုင်ငံတစ်ကာမှာ သုံးနေတဲ့ ပစ္စည်းက မြန်မာပြည်ရောက်မှ တရားမဝင်သလို
ဖြစ်သွားသည်။ အဓိက အချက်တွေကတော့ ကိုယ့်ဆီမှာ စံပြုလောက်တဲ့ နိုင်ငံတစ်ကာလေးစားလောက်တဲ့ ဥပဒေ နည်းဥပဒေ လုပ်ထုံးလုပ်နည်းတွေ အားနည်းရုံမက မရှိခဲ့တာ ပိုဆိုးသည်။ Digital ပစ္စည်းတွေ အသုံးများလာတဲ့ခေတ်ဆိုတော့ တစ်နည်းနဲ့မဟုတ် တစ်နည်း မှုခင်းတွေမှာ ဆက်စပ်မှုတွေကရှိလာသည်။ မီဒီယာများကလဲ ဒါမျိုးဆို ပြည်ပကသိအောင် အရှက်ရအောင် English လိုရေးသည်။ မြန်မာလို သတင်းဖော်ပြမှုမလုပ်

အစိုးရဝန်ကြီးဌာနများမှ ပြုလုပ်သော သတင်းစာရှင်းလင်းပွဲများ၊ ရဲဇာနည် (Facebook Blue Mark Page) ၊ Printed Media များမှ သတင်းများကိုသာ ကိုးကားပါသည်။
တိုက်ရိုက် (သို့မဟုတ်) သွယ်ဝိုက်သက်သေခံချက်ဖြစ်လာနိုင်သည့် DVR Hard Disk ကိုတစ်ခါတည်းသိမ်းယူမလာခြင်း
မသိမ်းယူတော့ လက်ရှိဥပဒေအရ ဘယ်လိုဖြစ်လာနိုင်သလဲ
(ယခုအချိန်အထိလဲ မည်သည့်အမှု မည်သည့်အနေအထားဆိုရင် CCTV တပ်ဆင်ထားသော နေရာများမှ DVR Hard Disk ကို သိမ်းဆည်းခြင်း ဥပဒေ Video Clip ကို စနစ်တကျ ရယူခြင်းနှင့်ပတ်သတ်သော ဥပဒေ နည်းဥပဒေ လုပ်ထုံးလုပ်နည်း မရှိသေးပါ) (Printed Media စာနယ်ဇင်း သတင်းများအရတော့ အမှုတွေမှာ IT ပိုင်းနဲ့ ဆက်စပ်လာရင် Law Enforcement ဘက်မှ အဆင်ပြေသလို ကြည့်လုပ်နေတာတွေ့ရပါသည်။)
တရားဥပဒေပြု အဖွဲ့အစည်းများတွင် IT ပိုင်းဆိုင်ရာ Knowledge နည်းပါခြင်း
(MCPA မှ Third Party အနေဖြင့် DVR Hard Disk အားစစ်ဆေးသောအခါ စစ်ဆေးရမည့် အချိန်တော်တော်နည်းတာကို တွေ့ရပါသည်)
မှုခင်းတွင် Digital ပစ္စည်းများပါဝင်လာလျှင် စနစ်တကျလုပ်ဆောင်ရမည့် လုပ်ငန်းစနစ်များ ဥပဒေ နည်းဥပဒေများ မရှိခြင်း
ဥပဒေရှိလာလျှင်လဲ အဓိကလုပ်ဆောင်ရမည့် လူ့စွမ်းအားအရင်းအမြစ် နည်းပါးခြင်း ထိရောက်သော သင်တန်းများပေးရာတွင် အားနည်းချက်များရှိခြင်း တတ်ကျွမ်းနားလည်းသူနည်းပါးခြင်း ဆက်စပ်သည့် ပစ္စည်းများထောက်ပံ့မှုအားနည်းခြင်းများကိုလည်း ဆက်လက်ကြုံတွေ့ရအုံးမည်ဖြစ်ပါသည်။
နိဂုံးချုပ်ရလျှင်
Victoria အမှုတွင် Digital ပစ္စည်းများနှင့်ဆက်စပ်သော မှုခင်းများတွင်ဥပဒေပိုင်းဆိုင်ရာအားနည်းမှု၊ အဆိုပါ ဥပဒေ အားနည်းချက်များကို ပြင်ဆင်အသစ်ပြဌာန်းရမည့်လွှတ်တော် အမတ်များ အားနည်းမှုသည် 50 ရာခိုင်နှုန်းခန့်ပါဝင်ပါသည်။
Law Enforcement များတွင် မှုခင်းနဲ့ဆက်စပ်သည့် IT ပိုင်းဆိုင်ရာ အားနည်မှုက 20 ရာခိုင်နှုန်းပါဝင်ပါသည်။
ကျန်တဲ့ အထွေထွေ အားနည်းချက်ကတော့ 30 ရာခိုင်နှုန်


Telecom (Call Detail Record ) တောင်းယူမှု Telenor ကနေ 2018 မှာကြေငြာခဲ့တာက Law Enforcement ဘက်ကနေ စုစုပေါင်းတောင်းဆိုမှု 64 ခုမှာ 46 ခုပြန်လည်ဖြေကြားခဲ့သည်ဟုသိရသည်။ Mytel ကတော့ 2019 မှာ တောင်ဆိုမှု 50 ခန့်ရရှိခဲ့တယ်လို့ သိရပါတယ်။ တောင်းဆိုမှုအများဆုံးမှာ လူကုန်ကူးခြင်းနှင့် မူယစ်ဆေးဝါးအမှုတွေဖြစ်ပါတယ်. နောက်ပိုင်းမှာ တောင်းဆိုမှုတိုင်းကို ပြန်လည်မဖြေကြားပေမဲ့ တောင်းဆိုမှုနှုန်းကတော့ မြင့်တက်နေကြောင်းလေ့လာသူတွေဆီကနေသိရပါတယ်။ တောင်းဆိုမှုတိုင်းကို ဘာလို့ ပြန်လည်မဖြေကြားရလဲဆိုရင် တောင်းဆိုမယ်ဆိုရင် စီနီယာကျတဲ့ရဲအရာရှိ (ရဲမှာဆိုဘယ်အဆင့်ရှိလဲ မခေါ်တတ်)ရယ် ဆက်သွယ်ရေးဝန်ကြီးဌာနရဲ့စာရယ် တရားရုံးရဲ့စာရယ် စုစုပေါင်းသုံးမျိုးစလုံးပြည့်စုံမှ တယ်လီကွန်းဘက်ကနေ ပြန်လည်ဖြေကြားမှာဖြစ်ပါတယ်။Law Enforcement ဘက်ကနေတောင်းဆိုမှုတွေမှာ တရားရုံးအမိန့် မပါဝင်တာတွေလဲ များတယ်လို့သိရပါတယ်။ အရင်အပတ်က Law Enforcement ဘက်က‌နေကူ ညီနေတဲ့ ပြင်ပက နည်းပညာ ပညာရှင်တစ်ယောက်ပြောတာလဲ လူသတ်မှုဆိုရင်တောင် တောင်းဆိုရင် ရက်ဆယ်ချီပြီးကြာတယ်လို့သိရပါတယ်။ မြန်မာနိုင်ငံတွင် Sim Reigistration / Live Evidences ( CDR/IPDR) / Lawful Intersection အတွက် ပြသာနာများ လက်ရှိတည်ဆဲဥပဒေများအရဆိုရင် လေ့လာမိသလောက် Call Detail Record / IP Address Detail Record တောင်းရင် Lawful Intersection လုပ်မယ်ဆိုရင် အားနည်းချက်တွေရှိပါတယ်။ တယ်လီကွန်းတွေကနေ ဆက်သွယ်ရေးဥပဒေ အခန်း (၁၉) ၇၅၊ ၇၆ ပါတဲ့အတိုင်း တောင်းဆိုချက်တွေကိုပေးရမှာဖြစ်သော်လည်း နိုင်လွတ်လုံ ဥပဒေအရ တော်တော်လေးကို ခက်ခဲနေတာ အချိန်ကြာမြင့်နိုင်တာကို သွားတွေ့ရပါတယ်။ နိုင်ငံတော်လုံခြုံရေး တရားဥပဒေစိုးမိုးရေးအတွက် ချက်ချင်းလုပ်ဆောင်ရမည့် ကိစ္စတွေမှာ အခက်အခဲများစွာရှိနိုင်ပါတယ်။ ဆက်သွယ်ရေးဥပဒေမှာလဲ Sim Registration အတွက် သတ်မှတ်ချက်တွေကို တိကျစွာ ပြဌာန်းထားတာ မရှိရှိပါဘူး။ အချို့အဖွဲ့အစည်းတွေဆို Date Out နေပြီး ဥပဒေပိုင်းအရာ လုပ်ဆောင်ရမည့် အချက်တွေ ကွဲကွဲပြားပြားမပါဝင်ပါဘူး။ ပြဌာန်းချက်တွေက အဓိပ္ပာယ်မရှင်းလင်းတဲ့အတွက် လိုရာကိုဆွဲပြီးယူနိုင်ပါတယ်။ ငွေကြေးခဝါချမှုတိုက်ဖျက်ရေအမိန့်းဥပဒေမှာ ပုဒ်မ (၈၊၉၁၀) မှာပါတဲ့ ဆက်သွယ်ရေး နဲ့ ဆိုင်တဲ့ Digital Evidences တွေကို ရယူတဲ့နေရာမှာလဲ မလိုအပ်ပဲ အချိန်ကြာတာတွေ Evidences အပြည့်အစုံမဖြစ်တာတွေဖြစ်လာနိုင်ပါတယ်။ အရေးယူလုပ်ဆောင်မယ်ဆိုရင်တောင် တာဝန်ရှိသူက နိုင်လွတ်လုံ ဥပဒေအရ အခြေအနေမကောင်းရင် ကိုယ်ပါ ထောင်ကျနိုင်ပါတယ်။ ပြသာနာနောက်တစ်ခုမှာ Cyber law , Electronic Law များထုတ်ပြန်ပြီးနောက် တိကျစွာလုပ်ဆောင်ရန်တွက် နည်းဥပဒေမရှိခြင်းဖြစ်ပါသည်။ အဓိကပြသာနာတွေကို ရေးသားထားခြင်းဖြစ်ပါသည်။


Reference
washingtonpost/world/asia_pacific/security-tech-companies-once-flocked-to-myanmar-one-firms-tools-were-used-against-two-journalists-
mizzima
use-digital-forensics-raises-questions-reuters-case

Comments

Popular posts from this blog

eCDFP (Data Representation & File Examination) (Part-5)