หยวนดิจิทอล ความท้าทายใหม่ของธนาคารกลางจีน

CTO Brief

หยวนดิจิทอล ความท้าทายใหม่ของธนาคารกลางจีน   ช่วงปีที่ผ่านมาในโลกการเงินมีข่าวเกี่ยวกับเงินหยวนดิจิทัลกันมาก แม้ในช่วงแรกชื่อจะทำให้เข้าใจไปได้ว่าหยวนดิจิทัลเป็นเหมือนคริปโตเคอเรนซี่ที่มีมากมายหลายสกุลในโลกตอนนี้ แต่เมื่อรัฐบาลจีนเริ่มทดสอบหลายครั้งทำให้มีข้อมูลออกมาเพิ่มขึ้นว่าหยวนดิจิทัลนั้นคล้ายกับพร้อมเพย์ของไทยเป็นอย่างมากเนื่องจากเป็นแอปที่ผูกเงินเข้ากับบัญชีธนาคารโดยตรง เมื่อร้านค้ารับเงินจากลูกค้าแล้วก็จะได้รับเงินเข้าบัญชีธนาคารทันที แนวทางการใช้เงินอิเล็กทรอนิกส์ของจีนนั้นเริ่มต้นจากเอกชนเป็นหลัก โดยบริษัทเช่น Alipay และ WeChat สร้างระบบของตัวเองทั้งระบบ ไม่ว่าจะเป็นการออกแบบ QR ของตัวเอง กระบวนการโอนเงินระหว่างกันก็เป็นระบบภายใน หากต้องการโอนเงินกลับไปยังบัญชีธนาคารต้องเสียค่าธรรมเนียม แม้ว่าแนวทางนี้จะทำให้พัฒนาการเงินอิเล็กทรอนิกส์ในจีนเปลี่ยนแปลงอย่างรวดเร็ว แต่ก็สร้างความกังวลต่อการผูกขาดตลาดมากขึ้น ธนาคารกลางของจีนพยายามผลักดันหยวนดิจิทัล ด้วยการ “ทดสอบ” ระบบจากการแจกเงินคนละ 200 หยวน (ประมาณหนึ่งพันบาท) ซึ่งเป็นแนวทางเดียวกับบริษัทเอกชนที่เคยอาศัยการแจกเงินเพื่อให้คนทั่วไปหันมาใช้งานเหมือนกัน ในแง่เทคโนโลยี หยวนดิจิทัลมีความก้าวหน้ากว่าพร้อมเพย์ของไทยอยู่บ้างเพราะผู้ใช้สามารถจ่ายเงินได้แม้ไม่ได้เชื่อมต่ออินเทอร์เน็ต นับว่าน่าสนใจเพราะเราหลายคนคงเคยเจอปัญหากกันบ้างว่าจะจ่ายเงินผ่านพร้อมเพย์แต่แอปโหลดช้าเนื่องจากอยู่ในพื้นที่อินเทอร์เน็ตไม่ดีนัก สร้างความลำบากทั้งคนซื้อคนขายกันพอสมควร นอกจากนี้หยวนดิจิทัลยังใช้งานผ่านบัตรได้เช่นเดียวกับบัตรเดบิตในไทย หรือการใช้ผ่านแอปในโทรศัพท์เองก็รองรับการจ่ายผ่าน NFC ลดปัญหาการสแกน QR ไม่ติดไปอีกส่วน แม้จะน่าสนใจในแง่เทคโนโลยี แต่การดึงประชาชนและร้านค้าที่รองรับ Alipay และ WeChat Pay กันเป็นวงกว้างแล้วให้มาใช้งานหยวนดิจิทัลก็คงเป็นความท้าทายของธนาคารกลางจีนอีกมาก – – – โดยคุณลิ่ว วสันต์ ลิ่วลมไพศาล Chief Technology Officer, MFEC

ทดลองใช้ Amazon CodeGuru ผู้ช่วยตรวจสอบคุณภาพโค้ดอัตโนมัติจาก AWS

CTO Brief

ทดลองใช้ Amazon CodeGuru ผู้ช่วยตรวจสอบคุณภาพโค้ดอัตโนมัติจาก AWS การพัฒนาแอปพลิเคชั่นให้มีความปลอดภัยนั้นเป็นความท้าทายอย่างยิ่งในทุกวันนี้ ไม่ว่าโปรแกรมเมอร์แต่ละคนจะมีความเชี่ยวชาญเพียงใดก็มีโอกาสที่จะพลั้งเผลอเขียนโค้ดในรูปที่แม้จะทำงานได้ แต่มีโอกาสแสดงบั๊กเมื่อทำงานในโลกความเป็นจริง การตรวจสอบโค้ดด้วยเครื่องมือต่างๆ จึงเป็นเรื่องที่เราควรต้องทำเสมอ ทุกวันนี้ภาษาโปรแกรมส่วนมากมีโครงการตรวจสอบโค้ดที่เรียกว่า Lint อยู่ภาษาที่ได้รับความนิยมสูงๆ ก็จะมีโครงการในกลุ่มเดียวกันอยู่หลายตัวให้เลือกใช้ ⠀⠀⠀⠀ แต่ Lint มักมีข้อจำกัดจากการวิเคราะห์โค้ดตามกฎตายตัวชุดหนึ่งเท่านั้น ไม่สามารถแนะนำแนวทางการเขียนโค้ดที่ซับซ้อนขึ้นไป เช่น การใช้ไลบรารีอย่างถูกวิธี ข้อจำกัดเช่นนี้ทำให้หลายโครงการมีเงื่อนไขให้นักพัฒนารีวิวโค้ดกันเองเป็นขั้นสุดท้ายก่อนรับโค้ดเข้าระบบ แต่หลายทีมก็อาจจะไม่พร้อมวางกระบวนการรีวิวโค้ดเช่นนั้น (และแม้แต่คนรีวิวเองหลายครั้งก็มองข้ามจุดผิดพลาดกันได้) การใช้เครื่องมือตรวจสอบโค้ดที่เก่งกาจขึ้นจึงเป็นทางเลือกที่ดีสำหรับหลายๆ คน ⠀⠀⠀⠀ ผู้ให้บริการคลาวด์รายใหญ่อย่าง AWS เปิดบริการ CodeGuru Reviewer ให้บริการตรวจสอบคุณภาพโค้ดในระดับลึก โดยเมื่อตอนเปิดตัวในปี 2019 นั้นรองรับเฉพาะโค้ดภาษา Java เท่านั้น แต่มาประกาศเพิ่มภาษา Python ในงาน re:Invent 2020 ที่ผ่านมา ⠀⠀⠀⠀ CodeGuru Reviewer อาศัยเทคโนโลยี machine learning เพื่อจับรูปแบบโค้ดที่ซับซ้อนขึ้นกว่าซอฟต์แวร์ Lint แบบเดิมๆ มันสามารถจับบั๊กที่พบบ่อยๆ เช่น…

Pull Backup ทางรอดภัย Ransomware

CTO Brief

Pull Backup ทางรอดภัย Ransomware การวางระบบที่มีความสำคัญมากๆ มักมาพร้อมกับการวางแผนสำรองข้อมูลเป็นเรื่องปกติ แต่แผนสำรองข้อมูลส่วนมากกลับวางแผนไว้เพื่อเตรียมพร้อมกรณีฮาร์ดแวร์เสียหายเป็นหลัก เราจึงมักเห็นเซิร์ฟเวอร์แอปพลิเคชั่นต่างๆ ติดตั้งซอฟต์แวร์สำรองข้อมูลเอาไว้ เพื่อสำเนาข้อมูลไปยังที่ต่างๆ ทั้งไดร์ฟภายนอกและบริการคลาวด์ แนวทางนี้เรียกว่า push backup เป็นการส่งข้อมูลสำรองออกไปจากเครื่องหลัก ปัญหาของ push backup คือหากแอปพลิเคชั่นเซิร์ฟเวอร์ถูกแฮก หรือถูกโจมตีด้วยมัลแวร์ต่างๆ ในเซิร์ฟเวอร์มักมีรหัสผ่านหรือกุญแจสำหรับเข้าถึงเซิร์ฟเวอร์และสตอเรจต่างๆ ที่ใช้เก็บข้อมูลสำรองไปด้วย ในยุค ransomware เช่นทุกวันนี้ ตัวมัลแวร์เริ่มมีความสามารถมากขึ้นรวมถึงบางครั้งมีการทำงานร่วมกับแฮกเกอร์ที่สั่งการโดยตรง (human operated ransomware) ทำให้การทำ push backup ยังเหลือความเสี่ยงอยู่พอสมควร อีกแนวทางหนึ่งคือการทำ pull backup ที่ซอฟต์แวร์สำรองข้อมูลไปติดตั้งอยู่บนเครื่องเก็บข้อมูลสำรอง จากนั้นสร้าง user บนแอปพลิเคชั่นเซิร์ฟเวอร์เพื่อให้ซอฟต์แวร์สำรองข้อมูลสามารถเข้ามากวาดข้อมูลออกไปได้ แนวทางนี้มีข้อดีคือเราสามารถจำกัดสิทธิ์ของ user สำหรับสำรองข้อมูลให้เข้าถึงข้อมูลบนแอปพลิเคชั่นเซิร์ฟเวอร์ได้อย่างจำกัด เช่น สามารถอ่านได้อย่างเดียว ทำให้แม้เซิร์ฟเวอร์สำรองข้อมูลอาจจะถูกแฮก คนร้ายก็ไม่สามารถทำลายข้อมูลในแอปพลิเคชั่นเซิร์ฟเวอร์ได้ ซอฟต์แวร์สำรองข้อมูลจำนวนมากมีทั้งโหมด push และ pull สำหรับลินุกซ์ ผู้ดูแลระบบสามารถเขียนสคริปต์โดยใช้ rsync รวมกับ…

Kubernetes ตลาดที่ยังไปได้อีกไกล

CTO Brief

Kubernetes ตลาดที่ยังไปได้อีกไกล ปี 2020 หากไม่เกิด COVID เสียก่อน เราอาจจะได้เห็นธีมเทคโนโลยีของปีนี้ว่าเป็นปีแห่ง Kubernetes ของโลกองค์กร ความนิยมในเทคโนโลยี Kubernetes ที่องค์กรจำนวนมากมองว่าเป็นโอกาสที่จะรวมแพลตฟอร์มที่กระจัดกระจายเข้าเป็นแพลตฟอร์มมาตรฐาน แม้จะใช้ Kubernetes หลากหลายยี่ห้อก็มีโอกาสจัดการได้ด้วยเครื่องมือชุดเดียวกัน ผู้เล่นรายใหญ่อย่าง IBM ซื้อ Red Hat แทบจะเรียกได้ว่าซื้อ OpenShift แถม Linux เพราะสิ่งที่ IBM น่าจะมองเห็นจริงๆ คือโลกองค์กรทั้งหมดในอนาคตจะย้ายโหลดงานขึ้นไปอยู่บน Kubernetes แทบทั้งสิ้น การใช้ Kubernetes ทำให้การสร้าง deploy แอปพลิเคชั่นไม่ว่าจะเป็น on-premise หรือคลาวด์ใดๆ สามารถใช้คอนฟิกชุดเดียวกันได้เสมอ ปีนี้ VMware กำลังลงมาเล่นตลาดนี้เต็มตัวด้วย Tanzu บริษัทซอฟต์แวร์สำหรับองค์กรรายใหญ่ล้วนกำลังก้าวไปยัง Kubernetes ทั้งสิ้น Elasticsearch นั้นรองรับ Elastic Cloud ตั้งแต่ปีที่แล้ว ผมเองได้ลองใช้งานแล้วก็ต้องยอมรับว่าสะดวกกว่าเซ็ตอัพเองมาก แม้กระบวนการอัพเกรดซอฟต์แวร์ที่ลองแล้วยังมีปัญหาอัพเกรดแล้วค้างไปกลางทาง คำถามคือในโลกองค์กรที่เราเห็นเริ่มใช้ Kubernetes…

On-Premise Cloud คลื่นลูกใหม่ที่กำลังเป็นความท้าทายของธุรกิจ SI

CTO Brief

On-Premise Cloud คลื่นลูกใหม่ที่กำลังเป็นความท้าทายของธุรกิจ SI นาทีนี้หากจะมีองค์กรใดวางระบบไอที หากเป็นไปได้องค์กรเหล่านั้นมักวางระบบบนคลาวด์แทบทั้งหมด ด้วยเหตุผลสำคัญจากการลดระยะเวลาการพัฒนาบริการใหม่ๆ ที่องค์กรไม่ต้องเสียเวลาจัดซื้อเซิร์ฟเวอร์, วางโครงสร้างเน็ตเวิร์ค และการประเมินความเสี่ยงในระยะยาวอื่นๆ ที่ผ่านมาบริการคลาวด์เหล่านี้กระทบรายผู้ให้บริการวางระบบไอทีไปไม่น้อย จากเดิมที่องค์กรต่างๆ มักต้องวางระบบไอทีด้วยตัวเอง มีการจัดซื้อฮาร์ดแวร์และซอฟต์แวร์จำนวนมาก มาเป็นการซื้อสร้างเซิร์ฟเวอร์ทีละน้อยๆ และขยายตามโหลดที่จำเป็นต่อการใช้งานได้ทันที การวางระบบขนาดใหญ่ๆ เพื่อรองรับการใช้งานทีละ 3-5 ปีข้างหน้าจึงหายไปในกลุ่มองค์กรที่ใช้งานคลาวด์ไปแล้ว Naver Cloud Platform คลาวด์จากเกาหลีใต้ที่ประกาศว่าจะเข้าไทย ก็ประกาศให้บริการ On-Premise Cloud แล้ว   อีกจุดสำคัญของธุรกิจคลาวด์คือการทำให้สินค้าสำหรับองค์กรกลายเป็นสินค้าสำหรับผู้บริโภคทั่วไปได้อย่างน่าทึ่ง กระบวนการ “ทำราคา” ที่ออกแบบราคาสำหรับลูกค้าแต่ละรายตามขนาดการสั่งซื้อกลายเป็นการนำเสนอราคาอย่างเปิดเผย ทุกวันนี้เราสามารถดูราคาของเซิร์ฟเวอร์ใน AWS, Azure, หรือ Google Cloud ได้ทั้งหมด ไม่ว่าจะเป็นเครื่องเริ่มต้นเดือนละร้อยกว่าบาท หรือเครื่องขนาดใหญ่เดือนละหลายแสนบาทก็ตามที การเปิดเผยราคาเช่นนี้ทำให้ผู้ให้บริการคลาวด์ทุกรายต้องทำราคาแข่งกันอย่างหนัก เมื่อผู้ให้บริการรายหนึ่งประกาศปรับราคาสินค้าตัวใดลง รายอื่นๆ ก็มักจะประกาศปรับราคาให้เท่าๆ กันภายในไม่กี่วัน ไม่นับว่าบริการเหล่านี้พยายามทำตลาดอย่างหนักด้วยการให้โควต้าใช้งานฟรีจำนวนมาก การแข่งขันกันเช่นนี้บีบให้ส่วนแบ่งของตัวแทนจำหน่ายบริการคลาวด์ทุกรายต่ำกว่าการขายสินค้า On-Premise เดิมๆ ไม่ว่าจะเป็นเซิร์ฟเวอร์, สตอเรจ, หรือระบบเน็ตเวิร์คอื่นๆ แต่องค์กรจำนวนมากก็ยังคงต้องรักษาระบบในองค์กรเอาไว้จากความจำเป็นด้านความปลอดภัย,…

Continuous Integration เปลี่ยนกระบวนการพัฒนาให้เป็นเรื่องอัตโนมัติ

CTO Brief

Continuous Integration เปลี่ยนกระบวนการพัฒนาให้เป็นเรื่องอัตโนมัติ กระบวนการพัฒนาซอฟต์แวร์แบบเดิมๆ นั้นหากมีการควบคุมคุณภาพ เราก็มักจะรวบรวมฟีเจอร์ต่างๆ จากทีมพัฒนาเข้ามารวมกันเป็นรอบๆ แล้วส่งทีมควบคุมคุณภาพเพื่อทดสอบและหาบั๊กในโค้ดที่กำลังพัฒนาต่อไป กระบวนการเช่นนี้ทำให้โปรแกรมเมอร์อาจจะต้องรอเป็นเวลานาน กว่าจะรับรู้ว่าฟีเจอร์ที่ตัวเองพัฒนาไปนั้นไปสร้างบั๊กให้กับโครงการโดยรวมในจุดอื่นๆ หรือไม่ ทำให้แนวทาง Continuous Integration (CI) ได้รับความสนใจขึ้นมามากในช่วงหลัง แนวทาง CI คือการสร้างระบบที่รวบรวมโค้ดจากนักพัฒนาเข้ามาเป็นชุดเดียวกันอย่างต่อเนื่อง โดยไม่ปล่อยให้โค้ดที่อยู่ในมือนักพัฒนาแต่ละคนต่างกันนานเกินไป แนวทางนี้มักรวบเข้ากันกระบวนการทดสอบซอฟต์แวร์โดยอัตโนมัติ (automated test) ที่ทำให้โค้ดที่ถูกรวมเข้าไปถูกทดสอบว่าสามารถทำงานตามเงื่อนไขได้อย่างถูกต้อง ซอฟต์แวร์ CI มักเชื่อมต่อกับระบบเก็บซอร์สโค้ด เมื่อมีการส่งโค้ดเข้าโครงการ เช่น นักพัฒนาคนหนึ่งส่ง pull request เข้ามาเพื่อส่งฟีเจอร์ใหม่ ระบบจะนำโค้ดนั้นไปคอมไพล์และรันทดสอบว่าผ่านดีหรือไม่โดยอัตโนมัติ ผู้ดูแลโครงการสามารถเห็นรายงานเบื้องต้นว่าคุณภาพโค้ดยอมรับได้ ตัวซอฟต์แวร์ที่ทำงานเช่นนี้มีหลายตัวในตลาด ระบบจัดเก็บซอร์สโค้ดอย่าง GitLab นั้นมีฟีเจอร์ CI ในตัว หรือบริการคลาวด์หลายตัวก็เริ่มให้บริการ CI บ้างแล้ว เช่น Azure Pipelines หรือแพลตฟอร์ม Kubernetes อย่าง OpenShift ก็มีฟีเจอร์ OpenShift Pipelines การจัดหาซอฟต์แวร์ที่เหมาะสมก็เป็นความท้าทายอย่างหนึ่ง…

Grafana ทางเลือกสำหรับการทำ dashboard ในองค์กร

CTO Brief

Grafana ทางเลือกสำหรับการทำ dashboard ในองค์กร งาน dashboard เป็นงานที่เกิดขึ้นเสมอๆ โดยแพลตฟอร์มข้อมูลต่างๆ มักมีระบบสร้าง dashboard ที่เหมาะกับตัวเอง เช่น Kibana ที่ออกแบบมาสำหรับใช้ร่วมกับ Elasticsearch เฉพาะ แต่ซอฟต์แวร์ dashboard อย่าง Grafana สามารถเชื่อมต่อข้อมูลได้หลายแหล่ง ทำให้ใช้งานได้หลากหลาย รูปแบบของ Grafana นั้นมองฐานข้อมูลต่างๆ เป็นแหล่งข้อมูล (data source) โดยสามารถรวมเอาข้อมูลจากหลายๆ แหล่งมาแสดงในหน้าจอ dashboard เดียวกันได้ ข้อดีสำคัญของ Grafana คือการทำงานที่ค่อนข้างรวดเร็ว เมื่อเทียบกับ dashboard อย่าง Kibana การใช้งานแสดงผลทันใจกว่ามาก และมีฟีเจอร์จัดการการแจ้งเตือนที่สามารถส่งข้อความแจ้งเตือนเข้าอีเมล, Microsoft Teams หรือบริการอื่นเมื่อค่าที่ตั้งไว้เกินกำหนดได้ ฟีเจอร์เช่นนี้ dashboard หลายตัวไม่มีให้ หรือมีก็ต้องติดตั้งส่วนเสริมเอง ไปจนถึงต้องเป็นเวอร์ชั่นจ่ายเงินเพิ่มเติม แต่ Grafana นั้นใช้งานได้จากเวอร์ชั่นโอเพนซอร์สเลย ตัวซอฟต์แวร์ Grafana เป็นโอเพนซอร์ส…

ทำไมโครงการอินเทอร์เน็ตดาวเทียม Starlink จึงน่าสนใจ

CTO Brief

ทำไมโครงการอินเทอร์เน็ตดาวเทียม Starlink จึงน่าสนใจ SpaceX เป็นบริษัทที่หลายคนคงได้ยินชื่อกันบ่อยครั้งในช่วงหลัง แม้บริการของ SpaceX คือการให้บริการขนดาวเทียมขึ้นไปยังวงโคจรซึ่งเป็นบริการที่ไม่เกี่ยวกับชีวิตประจำวันของเราแต่อย่างใด แต่บริการอินเทอร์เน็ตดาวเทียม Starlink น่าจะเป็นบริการที่เรามีโอกาสได้ใช้งานกันในระยะเวลาไม่นานเกินไป อินเทอร์เน็ตผ่านดาวเทียมไม่ใช่เรื่องใหม่แต่อย่างใด แม้แต่ในประเทศไทยหลายคนก็อาจจะได้ใช้งานดาวเทียม IPStar กันมาบ้างแล้ว แต่อินเทอร์เน็ตดาวเทียมก่อนหน้านี้มักใช้ดาวเทียมวงโคจรค้างฟ้า ที่ตัวดาวเทียมอยู่ตำแหน่งเดิมเมื่อเรามองขึ้นไปจากโลกตลอดเวลา (ทำให้เราสามารถเล็งจานดาวเทียมไปทางเดิมครั้งเดียวตอนติดตั้ง) แม้ว่าจะอินเทอร์เน็ตดาวเทียมจะมีข้อดีที่พื้นที่ให้บริการครอบคลุมกว้างไกล แต่ข้อเสียสำคัญคือแบนด์วิดท์นั้นจำกัดเพราะดาวเทียมหนึ่งดวงให้บริการพื้นที่แทบทั้งทวีป แถมระยะเวลาหน่วง (latency) ยังสูงมากเพราะดาวเทียมอยู่ไกล ทำให้ไม่สามารถใช้งานบางประเภทเช่นการคุยโทรศัพท์ผ่านอินเทอร์เน็ต Starlink อาศัยดาวเทียมวงโคจรต่ำ ที่โคจรไม่หยุดนิ่งอยู่กับที่เมื่อเรามองจากพื้นโลก แล้วอาศัยการยิงดาวเทียมจำนวนมากๆ เพื่อให้มีดาวเทียมเข้ามาให้บริการในพื้นที่ตลอดเวลา โดยคาดว่ากว่า Starlink จะให้บริการครอบคลุมทั้งโลกได้ จะต้องใช้ดาวเทียมนับหมื่นดวง ขณะที่ดาวเทียมค้างฟ้านั้นใช้เพียง 3 ดวงเท่านั้น แต่ความที่ Starlink เป็นดาวเทียมใกล้พื้นผิวโลก ทำให้ latency และแบนด์วิดท์นั้นอาจจะใกล้เคียงกับอินเทอร์เน็ตบ้านทุกวันนี้เลยทีเดียว และผู้บริหารของ SpaceX ก็ออกมาให้ข่าวหลายครั้งว่าราคาค่าบริการจะไม่ต่างจากอินเทอร์เน็ตบ้านมากนัก การให้บริการระดับอินเทอร์เน็ตบ้านโดยมีพื้นที่ครอบคลุมทั่วโลกจะสร้างโอกาสใหม่ เช่น การใช้บริการอินเทอร์เน็ตบนเครื่องบินหรือเรือโดยสารที่ทุกวันนี้ยังมีราคาแพงก็อาจจะถูกลงจนทุกคนใช้งานเป็นเรื่องปกติ โดยปีนี้กองทัพสหรัฐฯ ได้ทดสอบอินเทอร์เน็ตบนเครื่องบินผ่าน Starlink ได้แบนด์วิดท์ถึง 610Mbps เลยทีเดียว การประชุมวิดีโอคุณภาพสูงที่ทุกวันนี้หลายคนอยู่ในพื้นที่ห่างไกลสักหน่อย…

รหัสผ่านรั่วไหล ความเสี่ยงใหม่ในการรักษาความปลอดภัยองค์กร

CTO Brief

รหัสผ่านรั่วไหล ความเสี่ยงใหม่ในการรักษาความปลอดภัยองค์กร เวลาที่องค์กรตั้งบริการออนไลน์สักอย่างไม่ว่าจะเพื่อให้บริการภายในกันเองหรือให้บริการลูกค้าภายนอก ขั้นตอนหนึ่งที่ต้องทำเสมอคือการยืนยันตัวตนผู้ใช้ หรือ authentication ซึ่งกระบวนการปกติก็คงเป็นการล็อกอินด้วยรหัสผ่าน ที่หลายองค์กรก็มีเงื่อนไขความซับซ้อนรหัสผ่านไม่เท่ากัน ไม่ว่าจะเป็นการกำหนดความยาว, บังคับใช้ตัวเลข หรืออักษรพิเศษ แต่ความเสี่ยงใหม่ของการใช้รหัสผ่านคือผู้ใช้จำนวนมากเลือกที่จะล็อกอินบริการต่างๆ ไม่ว่าจะนอกหรือในองค์การด้วยรหัสผ่านซ้ำๆ กัน เพื่อความสะดวก ทำให้หากผู้ใช้นำรหัสไปใช้งานเว็บที่รักษาความปลอดภัยไม่ดีพอ เมื่อถูกแฮกขึ้นมาแฮกเกอร์ได้รหัสผ่าน สิ่งที่แฮกเกอร์ทำแทนที่จะนำรหัสผ่านไปใช้ในเว็บที่ถูกแฮกเท่านั้น ก็นำไปทดลองล็อกอินที่อื่นๆ ไปด้วย หากผู้ใช้ใช้รหัสซ้ำกัน ไม่ว่ารหัสจะซับซ้อนแค่ไหนแฮกเกอร์ก็ล็อกอินเข้ามาแทนโดยง่าย มาตรฐานความปลอดภัยสมัยใหม่เริ่มตระหนักถึงความเสี่ยงนี้ และแนะนำให้องค์กรตรวจสอบฐานข้อมูลรหัสผ่านรั่วไหลตลอดเวลา องค์กรอาจะต้องเทียบว่าผู้ใช้ได้ใช้งานรหัสผ่านที่เคยรั่วที่อื่นมาแล้วหรือไม่ หากพบรหัสผ่านในฐานข้อมูลก็อาจจะต้องแจ้งให้เปลี่ยนรหัสแม้จะซับซ้อนพอสมควรแล้วก็ตามที – – – โดยคุณ วสันต์ ลิ่วลมไพศาล Chief Technology Officer, MFEC

Prediction Machines หนังสือแนะนำถึงการใช้ปัญญาประดิษฐ์ในโลกธุรกิจ

CTO Brief

Prediction Machines หนังสือแนะนำถึงการใช้ปัญญาประดิษฐ์ในโลกธุรกิจ ช่วงสองสามปีที่ผ่านมา นับว่าเป็นยุคของปัญญาประดิษฐ์อย่าง นับตั้งแต่กูเกิลเปิดงานวิจัยว่าสามารถสร้างปัญญาประดิษฐ์ที่เอาชนะเกมโกะกับผู้เล่นระดับมืออาชีพได้เมื่อปี 2016 และสามารถเอาชนะแชมป์โลกอย่าง Lee Sedol ได้ในปี 2017 ธุรกิจต่างๆ ก็ตื่นตัวว่าจะเอาปัญญาประดิษฐ์มาใช้งานกันได้อย่างไรบ้าง หนังสือ Prediction Machines โดย Ajay Agrawal, Joshua Gans, Avi Goldfarb ตีพิมพ์ออกมาตั้งแต่ปี 2018 ไม่ได้ลงลึกไปว่าปัญญาประดิษฐ์ที่เกิดขึ้นมากมายในช่วงหลังมานี้ทำงานอย่างไร แต่มุ่งไปว่ามันแก้ปัญหาอะไร โดยบอกว่ามันทำนาย (predict) ผลจากอินพุต หลังจากนั้นก็เล่าถึงผลกระทบว่าหากเราสามารถทำนายสิ่งต่างๆ ได้แม่นยำขึ้น มันจะแก้ปัญหาอะไรได้บ้าง เช่น การทำนายเส้นทางที่ดีที่สุดในการเดินทาง เนื้อหาในหนังสือเน้นหนักไปที่การใช้งานจริงในธุรกิจ หนังสือบอกเล่าถึงทางเลือกของการใช้ปัญญาประดิษฐ์ในองค์กร ทั้งการซื้อมาใช้งานในรูปแบบต่างๆ ทางเลือกในการถือทรัพย์สินที่ใช้สร้างปัญญาประดิษฐ์ และข้อกังวลจากการใช้ปัญญาประดิษฐ์ที่อาจกลายเป็นการทำผิดกฎหมายในบางประเทศโดยไม่รู้ตัว นับเป็นหนังสือเล่มหนึ่งที่แนะนำให้ทุกคนที่กำลังนำปัญญาประดิษฐ์มาใช้ในองค์กรได้อ่านกัน หนังสือมีแปลเป็นภาษาไทยแล้ว ในชื่อ จักรกลพยากรณ์ – – – โดยคุณลิ่ว วสันต์ ลิ่วลมไพศาล Chief Technology Officer, MFEC

Contact Tracing การใช้ Bluetooth มารับมือโรค COVID-19

CTO Brief

Contact Tracing การใช้ Bluetooth มารับมือโรค COVID-19 ในช่วง COVID-19 นี้เราเห็นความพยายามในการใช้เทคโนโลยีจัดการโรคจนกว่าจะแน่ใจได้ว่าหมดวิกฤติครั้งนี้ไป และเทคโนโลยีตัวหนึ่งที่ถูกเสนอมาใช้งานคือการติดตามการเข้าใกล้กัน หรือ contact tracing ที่ผู้ใช้เพียงติดตั้งแอปแล้ว หากวันใดมีคนใกล้ตัวเราติดโรค COVID-19 ขึ้นมา หน่วยงานรัฐก็สามารถแจ้งเตือนเราให้กักตัวเองหรือไปตรวจที่โรงพยาบาลได้ Contact Tracing นั้นมีแกนกลางหลักเป็นเทคโนโลยี Bluetooth Beacon ที่มีใช้งานมานาน โดยหลักการคือโทรศัพท์ หรืออุปกรณ์ Bluetooth ใดๆ สามารถกระจายข้อมูลในพื้นที่ใกล้ๆ ได้โดยใช้พลังงานเพียงเล็กน้อย เทคโนโลยีนี้ใช้งานในช่วงแรกๆ เพื่อการโฆษณา เช่น ร้านค้าอาจจะส่งลิงก์สำหรับโปรโมชั่นล่าสุดเข้าไปยังโทรศัพท์ลูกค้าเมื่อเดินเข้ามาในร้าน ด้วยความที่เป็นเทคโนโลยีสำหรับการสื่อสารระยะใกล้อยู่แล้ว ทำให้ Beacon เหมาะแก่การตรวจสอบประวัติการเข้าใกล้ชิดกันในช่วง COVID-19 ไปด้วย โดยตอนนี้มีกลุ่มที่พัฒนาแอปและโปรโตคอลในการส่งสัญญาณ Beacon ออกมาแล้วหลายกลุ่ม เช่น TraceTogether ของสิงคโปร์หรือแอปหมอชนะของไทย แต่ความร่วมมือระหว่างแอปเปิลและกูเกิลที่ออกโปรโตคอลใหม่และสัญญาว่าจะฝังฟีเจอร์นี้ไว้ในโทรศัพท์จำนวนมาก (แม้ผู้ใช้ต้องไปเปิดเอง) ก็ทำให้สุดท้ายแอป contact tracing ทั้งหมดต้องไปใช้งานเทคโนโลยีของทั้งสองบริษัท อย่างไรก็ตาม ตัวเทคโนโลยี Beacon…

Augmented Reality หรือกระแสนี้จะเป็นของจริง

CTO Brief

Augmented Reality หรือกระแสนี้จะเป็นของจริง หลายปีก่อนเรามักได้ยินคำว่า Virtual Reality หรือ VR กันอย่างมาก โดยว่ามันจะเข้ามาเปลี่ยนการใช้งานคอมพิวเตอร์ไป โดย VR เป็นการใส่แว่นครอบหัวที่ทำให้เราเข้าไปในโลกเสมือน ความเปลี่ยนแปลงสำคัญคือเมื่อกูเกิลออก Google Cardboard กระดาษง่ายๆ ที่เปลี่ยนโทรศัพท์มือถือให้เป็นแว่น VR ได้ก็ทำให้คนจำนวนมากเข้าใช้งาน VR ได้อย่างง่ายดาย แต่ผ่านไปหลายปีความนิยม VR ก็ยังไม่ไปถึงไหนนัก ความนิยมยังค่อนข้างจำกัดนอกจากเกมบางเกมเท่านั้น คำที่เกิดขึ้นตามหลัง VR มากคือ Augmented Reality หรือ AR ที่ขยายโลกเสมือนจากหน้าจอโทรศัพท์มือถือเข้าไปในโลกความเป็นจริง ตัวอย่างสำคัญของ AR คือเกม Pokemon Go ที่เราเคยเห็นมันโด่งดังไปทั่วโลกรวมถึงประเทศไทยเองก็ตาม ที่มีคนรวมตัวไปจับตัว Pokemon กันมากมาย แต่ประโยชน์ของ AR ไม่ได้มีเพียงแค่เกมเท่านั้น ในช่วงหลังมานี้หลายบริษัทสามารถนำ AR มาใช้ประโยชน์อื่นได้อย่างชัดเจน เช่น แผนที่ที่หลายคนอาจจะมีปัญหาไม่สามารถอ่านแผนที่บนหน้าจอได้ เมื่อใช้ AR เพียงยกโทรศัพท์ขึ้นส่องถนนหนทาง แอปแผนที่แบบ…

Third Party Cookie การสมดุลใหม่ระหว่างวงการโฆษณาและความเป็นส่วนตัว

CTO Brief

Third Party Cookie การสมดุลใหม่ระหว่างวงการโฆษณาและความเป็นส่วนตัว ความเป็นส่วนตัวเป็นประเด็นสำคัญอย่างมากในช่วงหลังที่เราพบว่าบริการต่างๆ เข้าถึงข้อมูลของเราได้อย่างง่ายดายมากขึ้น เช่น เราอาจจะถูกโทรมาโฆษณาจากบริษัทแปลกๆ ที่เราไม่เคยให้ข้อมูลเอาไว้ แต่แนวทางทั่วโลกที่ผู้บริโภคเริ่มแสดงความไม่พอใจ และภาครัฐที่เข้ามากำกับกันมากขึ้นก็ทำให้แนวทางนี้เริ่มเปลี่ยนไป ในโลกไอทีเอง เราอาจจะเคยแปลกใจที่เมื่อเราเข้าไปซื้อของชิ้นหนึ่ง โฆษณาของประเภทเดียวกันสามารถติดตามเราเข้าไปยังเว็บอื่นๆ ไม่ว่าจะเป็นเฟซบุ๊ก หรือโฆษณาตามเว็บต่างๆ ได้ กระบวนการติดตามตัวผู้ใช้นี้ใช้หลายเทคนิคและใช้ข้อมูลต่างกันไป แต่ข้อมูลหนึ่งที่ใช้คือ cookie ในเบราว์เซอร์ของเรา cookie เป็นข้อมูลที่เซิร์ฟเวอร์กำหนดให้เบราว์เซอร์ส่งกลับไปทุกครั้งที่เรียกใช้งานเว็บ มันทำให้เว็บสามารถให้บริการที่ต้องล็อกอินได้อย่างปลอดภัยเพราะแจกค่า cookie ให้กับผู้ใช้แต่ละคนโดยไม่ซ้ำกัน เมื่อผู้ใช้ล็อกอินด้วยรหัสผ่านสำเร็จเซิร์ฟเวอร์ก็จะผูกว่าผู้ใช้นั้นใช้ cookie ค่าอะไร แต่ในหน้าเว็บหนึ่งๆ อาจจะมีการเรียกใช้ข้อมูลจากเซิร์ฟเวอร์จำนวนมากนับสิบตัว เซิร์ฟเวอร์เหล่านั้นสามารถสั่งให้เบราว์เซอร์ตั้งค่า cookie ได้เช่นเดียวกัน แม้ไม่ใช่เว็บที่กำลังใช้งานอยู่โดยตรง เรียกว่า third party cookie กระบวนการนี้ทำให้เฟซบุ๊กรับรู้ว่าเราเข้าเว็บอะไรบ้าง เพราะเว็บจำนวนมากมีปุ่ม like หรือหากเครือข่ายโฆษณาใช้เซิร์ฟเวอร์ร่วมกันก็จะแลกเปลี่ยนข้อมูลกันได้ว่าผู้ใช้เข้าชมหรือสนใจซื้อสินค้าอะไรบ้าง แต่เบราว์เซอร์ยุคใหม่ๆ เริ่มไม่ยอมรับ third party cookie มากขึ้นเรื่อยๆ ทำให้และเบราว์เซอร์ที่มีส่วนแบ่งตลาดสูงอย่าง Chrome นั้นก็ประกาศว่าอาจจะปิดการทำงาน third party cookie…

Infrastructure as Code เมื่อโครงสร้างพื้นฐานกลายเป็นซอร์สโค้ด

CTO Brief

Infrastructure as Code เมื่อโครงสร้างพื้นฐานกลายเป็นซอร์สโค้ด กระบวนการพัฒนาซอฟต์แวร์ในมีกระบวนการควบคุมการพัฒนาด้วยเครื่องมือหลายอย่าง เช่น ระบบควบคุมเวอร์ชั่น (version control) อย่าง Subverion หรือ Git กันมานาน แต่กับโครงสร้างพื้นฐานอย่าง การเซ็ตอัพระบบปฎิบัติการ หรือการคอนฟิกค่าซอฟต์แวร์ต่างๆ กลับเป็นกระบวนการที่หลายครั้งแทบไม่มีการควบคุมอะไร ระบบมักถูกเซ็ตอัพโดยอาศัยความเชี่ยวชาญส่วนตัวของเจ้าหน้าที่ แม้องค์กรหลายแห่งจะมีนโยบายให้เจ้าหน้าที่ต้องบันทึกว่ามีการปรับปรุงแก้ไขอะไรในระบบบ้าง แต่บางครั้งก็เกิดการละเลยหรือตกหล่นไประหว่างทางได้เสมอ แนวทาง Infrastructure as Code (IaC) เป็นกระบวนการจัดการโครงสร้างของระบบไอที ที่เลือกจะเก็บกระบวนการติดตั้งระบบต่างๆ เป็นโค้ด และมีการควบคุมเวอร์ชั่นแบบเดียวกับซอร์สโค้ดของซอฟต์แวร์ ไปจนถึงสามารถทดสอบว่าโค้ดที่เก็บไว้ยังทำงานได้ถูกต้องหรือไม่โดยง่าย IaC ทำให้องค์กรมั่นใจได้ว่าระบบที่กำลังทำงานอยู่ตอนนี้หากต้องการสร้างขึ้นมาใหม่นั้นจะทำอย่างไร โดยการวางระบบแต่ละครั้งสามารถทำได้เหมือนเดิมทุกประการเพราะถูกสร้างใหม่จากโค้ดเดียวกัน เราสามารถสร้างระบบทดสอบที่บางครั้งเปลี่ยนบางอย่าง เช่น ซอฟต์แวร์เวอร์ชั่นใหม่ หรือติดตั้งแพตช์ระบบปฎิบัติการเพื่อทดสอบว่าระบบยังทำงานได้ถูกต้อง ซอฟต์แวร์ที่ช่วยอำนวยความสะดวกให้ปรับการคอนฟิกกลายเป็นโค้ด มีหลายตัว เช่น Ansible, Chef, หรือ Puppet ซอฟต์แวร์เหล่านี้ครอบคลุมโครงสร้างพื้นฐานขององค์กรทั้งการคอนฟิกเซิร์ฟเวอร์, อุปกรณ์เน็ตเวิร์ค, ไปจนถึงไฟล์วอลล์เลยทีเดียว – – – โดยคุณลิ่ว วสันต์ ลิ่วลมไพศาล Chief…

Day 2 Operations โจทย์ใหญ่ของระบบไอที

CTO Brief

Day 2 Operations โจทย์ใหญ่ของระบบไอที โครงสร้างไอทีกลายเป็นหัวใจของธุรกิจมากขึ้นเรื่อยๆ ในช่วงหลัง โดยเฉพาะยุคที่เราต้องทำงานจากที่บ้านมากขึ้น กลายเป็นว่าองค์กรจำนวนมากยิ่งต้องพึ่งระบบไอทีอย่างหนัก หลายครั้งเราอาจะพบว่าระบบไอทีราคาแพงที่เราติดตั้งไปนั้น ต้องกลับมีประสิทธิภาพไม่ดีพอ บางครั้งก็มีฟีเจอร์เล็กๆ น้อยๆ ที่ขาดหายไปต้องการการปรับแต่ง หรือมีช่องโหว่ความปลอดภัย ความท้าทายเช่นนี้พบเหมือนๆ กันในระบบไอทีจำนวนมากจนช่วงหลังมักเรียกเหมือนๆ กันว่า Day 2 Operations คำว่า Day 2 หรือวันที่สองเป็นการแยกออกจากวันแรกที่ระบบติดตั้งหรือคอนฟิกให้พร้อมใช้งาน ระบบอาจจะอยู่ในมือของทีมพัฒนาหรือทีมติดตั้ง แต่หลังจากนั้นระบบถูกส่งมอบให้กับหน่วยงานที่ดูแลระบบระยะยาวที่ต้องซ่อมบำรุงระบบต่อๆ ไป ตลอดช่วงอายุขัยของระบบนั้น ไม่ว่าจะเป็นระบบง่ายๆ อย่างการแชร์ไฟล์ในองค์กรหรือระบบที่ซับซ้อนอย่าง ERP ก็ตามที การวางระบบที่ไม่ได้คิดเผื่อ Day 2 เลยสร้างภาวะที่ดูแลรักษาอะไรแทบไม่ได้ในระบบ ระบบอาจจะเซ็ตอัพไว้หลายปีแล้วและทำงานได้โดยไม่มีปัญหา แต่ก็ไม่มีใครรู้ว่าจะทำอย่างไรหากวันหนึ่งระบบมีปัญหาขึ้นมาไม่ว่าจะฮาร์ดแวร์หรือซอฟต์แวร์ ผู้ดูแลเลือกที่จะไม่ติดตั้งแพตช์ความปลอดภัยใดๆ แม้ช่องโหว่จะร้ายแรงแค่ไหนก็ตาม ขณะที่ผู้ใช้ก็ไม่สามารถปรับเปลี่ยนอะไรแม้จะเกิด requirement ทางธุรกิจใหม่ เช่นจำนวนผู้ใช้เพิ่มขึ้นแต่ระบบกลับรองรับไม่ไหว ซอฟต์แวร์สำหรับระบบไอทีใหม่ๆ ระบุถึงฟีเจอร์เพื่อช่วยซัพพอร์ตผู้ดูแลระบบในระยะยาวเช่นนี้มากขึ้นเรื่อยๆ เช่น การติดตั้งด้วย Kubernetes Operator ที่ช่วยให้การอัพเกรดในระยะยาวทำได้โดยง่าย และสามารถขยายระบบเพิ่มเติมด้วยคอนฟิกเพียงไม่กี่บรรทัด หรือซอฟต์แวร์บางตัวอาจจะมาพร้อมกับสคริปต์คอนฟิกและอัพเกรด ฟีเจอร์เหล่านี้ก็น่าจะเป็นปัจจัยสำคัญสำหรับการเลือกวางระบบที่ต้องอยู่กับองค์กรไปอีกนาน -…