รัฐบาลสวิสฯ สั่งหน่วยงานรัฐเลิกฝาก “ความลับ” ไว้กับ Microsoft และคลาวด์ต่างชาติ
กลายเป็นประเด็นร้อนระดับโลกที่สั่นคลอนวงการคลาวด์ เมื่อหน่วยงานกำกับดูแลด้านข้อมูลของสวิตเซอร์แลนด์ ออกมติ “ขีดเส้นตาย” การใช้งานบริการคลาวด์ยักษ์ใหญ่ สั่งหน่วยงานรัฐให้หลีกเลี่ยงการฝาก “ข้อมูลลับ” ไว้กับผู้ให้บริการต่างชาติ โดยระบุชื่อ Microsoft 365 ชัดเจน
เกิดอะไรขึ้น?
เมื่อช่วงปลายเดือนพฤศจิกายน 2025 ที่ผ่านมา Privatim หรือ “ที่ประชุมคณะเจ้าหน้าที่คุ้มครองข้อมูลสวิตเซอร์แลนด์” ได้ออกมติสำคัญที่ส่งผลกระทบโดยตรงต่อกลยุทธ์ไอทีของภาครัฐ โดยเนื้อหาระบุว่า หน่วยงานของรัฐ (Public Bodies) ไม่ควรใช้ บริการ Hyperscale Cloud (เช่น AWS, Google, Microsoft) และบริการ Software-as-a-Service (SaaS) สำหรับจัดเก็บ “ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนสูง” (Sensitive Personal Data) หรือข้อมูลที่มีกฎหมายบังคับให้รักษาความลับ
ทำไมสวิสฯ ถึงกลัว Cloud นอก?
ทาง Privatim ให้เหตุผลทางเทคนิคและกฎหมายที่น่าสนใจมาก 3 ประการ:
- ภาพลวงตาของการเข้ารหัส (The Encryption Illusion): แม้ผู้ให้บริการจะบอกว่าข้อมูลถูกเข้ารหัส (Encrypted) แต่ในระบบ SaaS ส่วนใหญ่ ผู้ให้บริการยังคงถือ “กุญแจ” ในการถอดรหัสอยู่ เพื่อให้ระบบทำงานได้ (เช่น การค้นหาเอกสาร การพรีวิวไฟล์) ซึ่งนั่นหมายความว่า “ผู้ให้บริการสามารถเข้าถึงข้อมูลดิบ (Plaintext) ได้” หากต้องการหรือถูกบังคับ ซึ่ง Privatim มองว่านี่ไม่ใช่ End-to-End Encryption ที่แท้จริง
- ความเสี่ยงจาก US CLOUD Act : นี่คือประเด็นใหญ่ที่สุด แม้ดาต้าเซ็นเตอร์จะตั้งอยู่ในสวิตเซอร์แลนด์ แต่หากผู้ให้บริการเป็นบริษัทสัญชาติอเมริกัน (เช่น Microsoft, Google, Amazon) พวกเขาก็ต้องปฏิบัติตามกฎหมาย US CLOUD Act ซึ่งให้อำนาจทางการสหรัฐฯ สั่งให้ส่งมอบข้อมูลได้ไม่ว่าจะเก็บไว้ที่มุมไหนของโลก โดยไม่ต้องผ่านกระบวนการขอความร่วมมือระหว่างประเทศตามปกติ
- การสูญเสียการควบคุม (Loss of Control): การใช้ SaaS คือการยอมรับเงื่อนไข (Terms & Conditions) ที่ผู้ให้บริการเขียนขึ้นฝ่ายเดียว และสามารถเปลี่ยนแปลงเมื่อไหร่ก็ได้ รัฐบาลสวิสฯ มองว่าหน่วยงานรัฐไม่สามารถนำสิทธิขั้นพื้นฐานของประชาชนไปแขวนไว้บนความเสี่ยงที่ไม่สามารถควบคุมได้
ผลกระทบ: M365 โดนเพ่งเล็งเต็มๆ
ในเอกสารมติดังกล่าว มีการกล่าวถึง Microsoft 365 (M365) อย่างชัดเจนว่าเป็นตัวอย่างของบริการที่ “ไม่เหมาะสม” สำหรับการเก็บข้อมูลลับของทางราชการ โดยระบุว่าการใช้งานในปัจจุบันที่ผู้ใช้ไม่มีอำนาจควบคุมกุญแจเข้ารหัสเอง (Bring Your Own Key – BYOK) อย่างสมบูรณ์นั้น ถือว่า “ยอมรับไม่ได้” สำหรับข้อมูลอ่อนไหว
ทางออกของรัฐบาลสวิสฯ คืออะไร?
Privatim ไม่ได้ห้ามใช้ Cloud ไปเสียทั้งหมด แต่กำหนดเงื่อนไขที่เข้มงวดมากจนแทบจะเป็นไปไม่ได้สำหรับ SaaS ทั่วไป คือ:
- ต้องเข้ารหัสเอง (Client-side Encryption): หน่วยงานรัฐต้องเป็นผู้ถือ Key เองเท่านั้น และผู้ให้บริการต้องไม่มีทางเข้าถึง Key นี้ได้
- ใช้ Local Cloud: หันมาใช้ผู้ให้บริการ Cloud สัญชาติสวิสฯ หรือยุโรปที่ไม่อยู่ภายใต้กฎหมาย CLOUD Act ของสหรัฐฯ
- On-Premises: กลับมาเก็บข้อมูลสำคัญไว้ในเซิร์ฟเวอร์ของตัวเองสำหรับข้อมูลชั้นความลับสูงสุด