Tags:
Node Thumbnail

ปัญหาอำนาจของพ.ร.บ.ความมั่นคงไซเบอร์ สร้างคำถามว่าทำไมจึงต้องมีอำนาจตามมาตรา 35(3) ที่ให้อำนาจดักฟัง และทางผู้ร่างคือสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้ไปออกรายการคมชัดลึก ผมเพิ่งมาฟังแล้วพบว่ามีประเด็นที่สำคัญคิดว่าต้องมานำเสนอ

แนวทางหนึ่ง คือ ใช้ป้องกันการแฮกล่วงหน้า โดยคำพูดของผอ.สพธอ. ระบุว่า "ก่อนที่ไฟจะลามบ้าน ไฟจะไหม้บ้าน รู้แล้วว่าทราฟิกแบบนี้ แพตเทิร์นแบบนี้ ทราฟิกแบบนี้มา จะมีการเจาะและจู่โจมแน่นอน" (นาทีที่ 19) การวิเคราะห์แพตเทิร์นของทราฟิกที่เข้าออกจากเซิร์ฟเวอร์ก็คือการดักฟัง โดยปกติแล้วการวิเคราะห์แบบนี้มักใช้ระบบป้องกันการโจมตีที่ตั้งไว้โดยเจ้าของเซิร์ฟเวอร์เอง แต่กระบวนการที่รัฐมาช่วยจับแพตเทิร์นทราฟิกให้คงเป็นเรื่องแปลก

อีกส่วนหนึ่งคือแนวทางการใช้งานกฎหมายตามอำนาจที่ได้มา คือ "เป็นเรื่องรับมือกับภัยคุกคามทางไซเบอร์ ที่เป็นลักษณะการเจาะ การแฮก การเอาสิ่งชั่วร้ายมาฝังไว้ในเครื่องเรา หรือซ่อนประตูลับเอาไว้" (นาทีที่ 26) ต่างจากนายกรัฐมนตรีที่ระบุว่าต้องใช้เพื่อจัดการพวกหมิ่น

ยินดีกับผู้ประกอบการทุกท่านครับ IDS ฟรีจากภาษีประชาชน

ที่มา - วิดีโอรายการคมชัดลึก (ท้ายข่าว)

Get latest news from Blognone

Comments

By: tgst
ContributoriPhoneWindows PhoneWindows
on 31 January 2015 - 08:52 #787413
tgst's picture

ดังฟังล่วงหน้าก่อนการแฮก > ดักฟังล่วงหน้าก่อนการแฮก

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 31 January 2015 - 08:52 #787414

อุ๊บร๊ะ เราแฮกเพื่อกันคนอื่นมาแฮกนะจ๊ะสำนึกบุญคุณกันหน่อย:P

By: zipper
ContributorAndroid
on 31 January 2015 - 08:56 #787415

คือเค้าจะนั่งดู traffic กันทั้งวันทั้งคืนเพื่อกันการแฮกเลยเหรอ

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 31 January 2015 - 09:30 #787428 Reply to:787415
PaPaSEK's picture

ขนาดโพสต์สดุดี ยังมีการทำกันทั้งวันทั้งคืนเลยครับ มีหน่วยงานที่ใช้ รด.นี่แหละเป็นคนทำ เพื่อนๆ ผมที่เรียน รด. ปี 4 ปี 5 โดนกันทุกคน

อันนี้ไม่ได้จะว่าอะไรนะครับ แต่จะบอกว่าเข้าถูก assign มาแบบนี้

great firewall ของจีนก็มีหน่วยงานแบบนี้ครับ

By: zipper
ContributorAndroid
on 31 January 2015 - 13:56 #787479 Reply to:787428

เคยได้ยินอยู่เหมือนกัน และก็นึกไม่ออกว่าทำอย่างนี้แล้วจะได้อะไร

ส่วนเรื่องความมั่นคงทางอินเตอร์เนตเนี่ย ถ้าอ้างว่าเป็นเรื่องความมั่นคงของ 3 จังหวัดชายแดนภาคใต้น่าจะดูดีกว่าเรื่อง 112 ถ้าอ้างเรื่องปัญหาภาคใต้มันดูเกี่ยวกับความมั่นคงของประเทศ, ความปลอดภัยของประชาชน แต่เรื่อง 112 มันดูเกี่ยวกับความมั่นคงทางการเมืองอย่างเดียว

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 31 January 2015 - 16:45 #787499 Reply to:787479
PaPaSEK's picture

การอ้าง 112 จะทำให้คนกลุ่มใหญ่กลุ่มนึงเห็นด้วยครับ

ถ้าอ้างความมั่นคงบลาๆ รับรองว่าแรงต้านมันจะเยอะกว่านี้

By: ch.krich
iPhoneWindows PhoneAndroidBlackberry
on 31 January 2015 - 17:55 #787509 Reply to:787479
ch.krich's picture

การที่มีคนคอยโพสแต่ด้านดี โพสยกย่อง มันมีผลต่อพฤติกรรมหมู่ของคนน่ะครับ ใช้ได้ดีกับสังคมที่ไม่มีการตั้งข้อสงสัย ไม่มีการตรวจสอบ :)

By: ch2r2
Windows PhoneAndroidWindows
on 27 January 2017 - 21:49 #967161 Reply to:787509

*1024K

By: leeyiankun
Windows PhoneAndroidWindows
on 31 January 2015 - 09:18 #787423

พี่จีนคงน้ำตาไหลด้วยความปลื้มในลูกศิษย์

By: redmaster
Contributor
on 31 January 2015 - 09:26 #787427
redmaster's picture

ถ้าเราโดน DDoS พี่เค้าจะช่วยป้องกันเราหรือช่วยตามหาคนยิงป่าวครับ -..-

By: ortree
iPhoneWindows
on 31 January 2015 - 09:31 #787429

ทำไมผมนึกถึงเรื่อง minority report

By: btssky
ContributoriPhoneAndroidRed Hat
on 31 January 2015 - 09:50 #787433

หรอ

By: LazarusSP1
ContributoriPhone
on 31 January 2015 - 09:57 #787436
LazarusSP1's picture

จริงๆ ถ้าท่านอยากได้แบบนี้ท่านไม่ต้องออกกฏหมายอะไรให้ซับซ้อนครับ ท่านไปเปิดดูใน norse-corp.com ท่านก็จะได้สถิติทุกประเภท แยกการโจมตี แยกประเทศ แถมสดๆอีกด้วยครับ
ท่านไม่ต้องบังคับพวกผมให้ถอดรหัสข้อมูลแล้วให้คนของท่านเก็บไปเลย เอาใครก็ไม่รู้มาเก็บข้อมูลผม CISSP ก็สอบผ่านกันไม่ถึง 10% ผมพูดเลยว่าไม่น่าไว้ใจยิ่งกว่าเอาเด็กแว้นมาใส่ชุดตำรวจอีก นี่มันคือพวกนู๊ปมากดคีย์บอร์ดชัดๆ

By: Perl
ContributoriPhoneUbuntu
on 31 January 2015 - 10:19 #787444
Perl's picture

แถอะไรได้ก็แถไป

By: LuvStry
ContributorAndroid
on 31 January 2015 - 10:32 #787447
LuvStry's picture

อ้างความปลอดภัย เพื่อทำกิจกรรมนอกกฎหมาย อืมเป็นนโยบายหลักของชุดนี้ไปแล้วหละ


Blognone = 138.1 news/w เยอะมากๆ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 31 January 2015 - 10:40 #787449

บอกตามตรงนะครับ มีคนไม่รู้เรื่องนี้ก็เชื่อได้ง่าายๆด้วยตำแหน่งแล้ว กว่าคนจะตามทันกว่าจะเข้าใจร่างนี้บังคับใช้ไปเรียบร้อยแล้วครับ เหมือนออกมาพูดให้สับสนมากกว่ามาพูดความจริงครับ เพราะมันลดกระแสได้เยอะถ้ามีมาพูดแบบวิชาการที่คนทั่วไปอาจไม่เข้าใจ ก็จะเชื่อเอาได้ง่ายๆเลย

By: pd2002 on 31 January 2015 - 11:28 #787464 Reply to:787449

+1 กำลังจะพิมพ์แบบท่านเลย

By: SomeThing
Windows
on 31 January 2015 - 10:47 #787451

SSL ต่อไปคงต้องเช็กกันหน่อยล่ะครับ
http://บีlog.sran.net/archives/719

By: charles
Ubuntu
on 31 January 2015 - 21:20 #787532 Reply to:787451

สร้าง certificate แล้วติดตั้งใส่ client ทุกเครื่องเหรอครับเนี่ย?

ไม่งั้นไม่น่าขึ้นไอคอนเขียวได้

By: SomeThing
Windows
on 1 February 2015 - 07:41 #787603 Reply to:787532

ไม่แน่ใจเหมือนกันครับ แต่คาดว่าก่อนจะใช้อินเตอร์เน็ตคงรีไดเรคให้ลง cert ตัวนี้ก่อนไม่งั้นจะใช้ไม่ได้
แต่ที่ผมสะดุดตาจริงๆ คือการทดสอบกับ facebook นี่แหละ แล้วช่วงเวลาที่พร้อมขาย พรบ.คอมฉบับใหม่ก็คงออกพอดี

By: runnary
iPhoneWindows PhoneAndroidBlackberry
on 31 January 2015 - 11:25 #787460
runnary's picture

ขอพูดจากใจ ตอนนี้เราๆ ท่านๆ หยุดไม่ได้หรอก ทำได้เพียงส่งหนังสือแสดงความเป็นห่วง ถึงผลเสีย ผลร้ายที่จะเกิด
ถ้ายังดันทุรังสร้าง คิงออฟเดอะริง ก็จะต้องระบุชื่อผู้ที่จะมีส่วนในความรับผิดชอบ ถ้าอนาคต แหวนวงนี้ตกอยู่ในมือผู้ไม่คู่ควร แล้วเกิดมหาวิบัติขึ้น ผู้ที่ร่วมหล่อแหวนวงนี้ จะต้องเป็นหนึ่งในผู้รับผิดชอบ จากการนิ่งเฉยที่จะก่อให้ การนำเครื่องมือไปก่อเหตุ ไม่พึงประสงค์ ลงแนบท้าย แหวนลงนี้จะต้องถูกทำลายทันทีที่เกิดปัญหา (ผมเวิ่นเว้อเกินไปไหม)

*** คนกำลังเมา เราบอกเค้ากำลังเมา ไม่ให้ขับรถ เค้าไม่เชื่อหรอกครับ เค้าจะบอกว่าเค้าไม่เมา เค้าขับได้ ก็ปล่อยให้ชนก่อนครับ แล้วเค้าจะรู้ว่าเค้าเมาแต่ก่อนปล่อยให้เค้าออกรถ ให้เค้าเซ็นรับผิดชอบผลที่จะเกิดด้วย ไม่ใช้ สบัดตูดหนีหายไป***

By: chettaphong
iPhoneWindows PhoneAndroidRed Hat
on 31 January 2015 - 12:06 #787466 Reply to:787460

บังเอิญว่าคนเมาได้นิรโทษตัวเองไว้แล้วนี่สิ

By: runnary
iPhoneWindows PhoneAndroidBlackberry
on 31 January 2015 - 12:32 #787468 Reply to:787466
runnary's picture

นี้ไง เราต้องบอก ถ้าจะทำ ห้ามนิรโทษ รับผิดชอบด้วย

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 31 January 2015 - 13:51 #787477 Reply to:787468

นิรโทษไปเรียบร้อยแล้วก่อนทำครับ รวมถึงการกระทำในอนาคต ถึงแม้จะฆ่าคนไทยพร้อมกันทั้งประเทศหรือรบกับอเมริกา หรือขายชาติยกแผ่นดินให้จีน ก็ไม่ต้องรับผิดครับตามกฏหมายเขา แล้วกฏหมายพวกเราทุกคนละไม่มีความหมายเลยจริงๆ

By: Aoun
AndroidWindows
on 31 January 2015 - 23:16 #787556 Reply to:787477

และเป็นสิ่งแรกที่ทำหลังการยึดอำนาจซะด้วย โดยไม่ต้องรับผลจากการกระทำทุกอย่าง (ยกเว้นเฉพาะเรื่องดีๆ เพราะอ้างว่ามาทำดี)

By: Onewings
Windows
on 31 January 2015 - 15:10 #787482 Reply to:787460

แล้วเดี๋ยวคนเมาอีกกลุ่มก็ออกมายึดอำนาจซ้ำไงครับอย่างรัฐธรรมนูญที่พึ่งฉีกไปก็มาจากคนเมาหนิครับทำไมเขาถึงออกมาฉีกมันหละ..

By: iDan
ContributorAndroidSUSEUbuntu
on 31 January 2015 - 11:26 #787461

พวกเราอยู่กันเอง ทำกันเอง ส่งเสริมกันเอง ดูจะชิบหายน้อยกว่านี้เยอะเลยนะครับ

By: leeyiankun
Windows PhoneAndroidWindows
on 31 January 2015 - 16:06 #787490

นิรโทษกรรมไปแล้ว อย่าว่าแต่ดักฟังเลย พรุ่งนี้ประกาศเป็นศัตรูกับคนทั้งโลก ยังไม่ผิดเลยครับ เดินเอาปืนไล่เป่าหัวคนเดินถนนก็ไม่ผิด

By: Fourpoint
Windows PhoneAndroidSymbian
on 31 January 2015 - 16:26 #787496

เอ ถ้ายังไม่กระทำผิด แล้วจะจับก่อนได้อย่างไร?

By: WattZ
AndroidRed HatSymbianWindows
on 31 January 2015 - 18:22 #787510 Reply to:787496
WattZ's picture

ส่อ... ไงครับ

By: Aoun
AndroidWindows
on 31 January 2015 - 23:31 #787557 Reply to:787510

หลักฐานชัดเจน ส่วนต่างเยอะแยะ ยังบอก "คลุมเครือ" ไม่สั่งฟ้องได้เลย
ที่จริงในภาวะอย่างนี้ อยากทำอะไรทำไปเลยครับ อย่าสร้างภาพว่าทำมาอย่างถูกต้องเลยครับ เพราะทุกอย่างบิดเบี้ยวไปหมด
อำนาจล้นแต่ผู้ร้ายโจร ขโมย ไม่เคยกลัว เพราะมัวแต่ไปคอยยุ่งกับอีกฝาก กับคอยเอาใจกองเชียร์

By: zerost
AndroidWindows
on 31 January 2015 - 18:14 #787507
zerost's picture

Big brother is looking you!

By: mementototem
ContributorJusci's WriterAndroidWindows
on 31 January 2015 - 18:49 #787515
mementototem's picture

อยากจะบอกท่านว่า "ไม่เป็นไรครับ ผมป้องกันตัวเองได้" จังเลย T-T


Jusci - Google Plus - Twitter - FSN

By: PathSNW
iPhoneAndroidSymbianWindows
on 31 January 2015 - 20:20 #787525
PathSNW's picture

#ดีออก #หยุดกมมั่นคงไซเบอร์

By: jeepthai
Windows
on 31 January 2015 - 22:12 #787541
jeepthai's picture

ท่าทางแบบนี้ อารมณ์แบบนี้ อยู่ฝ่ายนี้ จะมีการโพสแบบว่า.... อย่างแน่นอน

เราก็แค่ป้องกันไม่ให้เขาโพสเรื่องอย่างว่า หรือจะพูดก็คือ "ก่อนที่เขาจะโพส เราก็เตรียมกุญแจมือไว้ให้แล้ว..."

หวังว่าทางรัฐบาลจะไม่เอาไปใช้แบบนี้นะครับ

By: mypooh10 on 1 February 2015 - 00:22 #787563

ไม่อยากจะคิดถึงงบโครงการนี้เลยปกติก็หารกันเยอะอยู่แล้วยิ่งลับนี่ยิ่งตามยากฟินกันถ้วนหน้า

By: EThaiZone
ContributorAndroidUbuntuWindows
on 1 February 2015 - 04:15 #787592
EThaiZone's picture

Internal Intrusion Detection System

มันเรียกแบบนี้ต่างหาก เอาไว้ใช้ตรวจจับภายใน เหอๆ


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: -Rookies-
ContributorAndroidWindowsIn Love
on 2 February 2015 - 11:11 #787860

แหม่...จะมีแฮกเกอร์ไทยใจกล้าคนไหนหมั่นไส้แฮกโชว์หลังจากกม.ข้อนี้ออกมามามั้ย?


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: jedi
Contributor
on 7 February 2017 - 05:55 #968531

การวิเคราะห์แพตเทิร์นของทราฟิกที่เข้าออกจากเซิร์ฟเวอร์ก็คือการดักฟัง

ดูเหมือนว่าผู้เขียนได้ใส่ความคิดเห็นของตัวเองเข้าไปโดยใช้คำที่ผิดเพี้ยนและแรงเกินไป มันยังมีคำที่น่าจะถูกต้องและเหมาะสมกว่านี้เช่นคำว่ามอนิเตอร์ ในบทสัมภาษณ์ผู้ถูกสัมภาษณ์ไม่ได้ใช้คำว่าดักฟังเลยแม้แต่ครั้งเดียว แต่มีใช้คำว่า surveillance ซึ่งก็หมายถึงการเฝ้าระวัง ไม่ใช่การดักฟัง ถ้าจะใช้คำว่าดักฟังนั้นก็จะต้องสามารถเข้าถึงข้อความหรือเสียงที่ใช้สนทนาจริงๆได้ ซึ่งถ้าเป็น SSL ก็จะต้องมีการแกะ SSL ออกก่อน แต่นี่เขาไม่ได้จะออกกฎหมายมาเพื่อจะตั้งเซิร์ฟเวอร์ที่ไหนเพื่อแกะ SSL เพื่อดูข้อความการสนทนาข้างในของใคร เขาแค่จะทำเรื่อง cyber security เช่นการเฝ้าระวังหรือมอนิเตอร์ทราฟฟิกให้เพื่อป้องกันการโจมตีในทาง cyber warfare ในระดับประเทศ ซึ่งยังไม่มีใครรับผิดชอบตรงนี้โดยตรง ไม่ว่า ISP หรือเราๆท่านๆ

โดยปกติแล้วการวิเคราะห์แบบนี้มักใช้ระบบป้องกันการโจมตีที่ตั้งไว้โดยเจ้าของเซิร์ฟเวอร์เอง

ไม่ใช่เฉพาะการป้องกันเซิร์ฟเวอร์ของตัวเองบนอินเตอร์เน็ต แต่ยังรวมไปถึงการป้องกันคนของตัวเองให้ปลอดภัยจากการเข้าถึงอินเตอร์เน็ต เช่นบริษัทห้างร้านติดตั้ง IDS/IPS เพื่อป้องกันพนักงานจะได้รับอันตรายจากภัยจากไซเบอร์ขณะใช้อินเตอร์เน็ตในขณะปฏิบัติงาน

แต่กระบวนการที่รัฐมาช่วยจับแพตเทิร์นทราฟิกให้คงเป็นเรื่องแปลก

ไม่ใช่เรื่องแปลกถ้าจะต้องมีหน่วยงานกลางขึ้นมาทำเรื่องนี้ในระดับประเทศ เพราะ ISP ก็ยังไม่ได้ทำให้เรา (เช่น มี ISP รายไหนติดตั้ง IDS/IPS ให้ลูกค้าเครือข่ายมือถือหรือ ADSL/Fiber ตามบ้านบ้าง?) คนทั่วไปที่ไม่รู้เรื่องก็มีมากมาย ถ้ารัฐไม่ทำแล้วใครจะทำ

สรุปคือข่าวนี้มีการหยิบคำพูดมาแค่บางประโยคแล้วก็เติมความเห็นของตัวเองหรือสิ่งที่ตัวเองกลัวเข้าไปจนเกินจริงตามแนวทางที่ตัวเองอยากให้ปรากฎออกมา เจตนาของการออกกฎหมายก็เพื่อการรับมือกับภัยคุกคามทางด้านไซเบอร์ในระดับประเทศ ถ้าไม่มีตรงนี้เกิดเราโดนต่างชาติโจมตีในระดับประเทศไม่ว่าจากนอกหรือในประเทศเราก็ต้องโทษรัฐบาลกันอีกอยู่ดี เช่นมีแฮกเกอร์เข้ามาชัตดาวน์โรงไฟฟ้าของเราแบบที่เกิดในต่างประเทศทำให้ทุกคนเดือดร้อนกันหมดแล้วเราจะโทษใคร ทำก็โดนไม่ทำก็โดน สรุปโดนทั้งขึ้นทั้งล่อง การทำตรงนี้ก็ไม่จำเป็นต้องทำถึงขนาดดักฟัง แค่มอนิเตอร์ก็เพียงพอ และการมอนิเตอร์ไม่จำเป็นต้องเป็นการดักฟัง มันสามารถมอนิเตอร์ทราฟฟิกเพื่อวิเคราะห์แพทเทิร์นต่างๆได้โดยที่ไม่จำเป็นต้องแกะ SSL ออกมา ซึ่งทุกวันนี้บริษัทต่างๆก็ทำกันอยู่ ถ้าการทำแบบนี้คือการดักฟังนั่นก็แสดงว่าตอนนี้มีการดักฟังกันอย่างเอิกเกริกและแพร่หลายในหลายๆองค์กรแล้ว และถึงแม้จะต้องทำ deep packet analysis คือต้องแกะ SSL ออกมาเพื่อวิเคราะห์ลึกไปถึงระดับ HTTP หรือ SMTP หรืออะไรๆที่ถูกหุ้มด้วย SSL อยู่มันก็เป็นสิทธิ์ที่องค์กรที่เขาจะทำได้ โดยไม่ได้หมายความว่าเขาจะมาดักฟังพนักงาน เพราะเขาแค่จะให้โปรแกรมมันวิเคราะห์และตรวจจับแพทเทิร์นให้เพื่อการป้องกันอะไรต่างๆในบริษัทเท่านั้น ไม่ได้จะมานั่งแอบดู(ดักฟัง)ว่าใครคุยอะไรกับใครที่ไหน เพราะระบบที่ติดตั้งเพื่อการนี้มันก็ต้องทำมาให้ตรวจสอบได้ audit ได้ เพื่อจะได้บังคับใช้บทลงโทษได้ในกรณีการใช้อำนาจหน้าที่โดยมิชอบ (ซึ่งก็ไม่ได้มีการยกมานำเสนอทั้งที่มีการย้ำในบทสัมภาษณ์) ฉะนั้นถ้ารัฐอยากทำแบบเดียวกันให้กับประชาชนบ้างก็คงเป็นเรื่องที่ต้องมาดีเบทกัน เพราะมันก็ใช่ว่าจะมีแค่คนไม่เห็นด้วย คนเห็นด้วยมันก็อาจมีพอสมควรอยู่เหมือนกัน (แต่ส่วนตัวแล้วผมไม่เห็นด้วย ต้องบอกไว้ก่อนที่จะมีใครมาทัก ผมแค่มองอะไรอย่างเป็นกลางเท่านั้น)


รายชื่อใบรับรองดิจิตอลทั้งหมดที่ออกโดย Root CA และ Intermediate CA สัญชาติไทย

By: Fourpoint
Windows PhoneAndroidSymbian
on 15 February 2017 - 08:53 #970052 Reply to:968531

ก็คงต้องชี้แจงกระบวนการให้โปร่งใส ว่าเป็นการทำ pattern recognition เพื่อป้องกัน cyber warfare หรือตรวจจับการบุกรุกจริงๆ ไม่ใช่เจาะเข้าไปอ่านในเนื้อหาของpacket "เป้าหมาย"ที่ถูก"เฝ้าระวัง"โดยไม่มีหมายศาลรองรับ เพราะมันอาจถูกใช้ในการโจมตีทางการเมืองส่วนตัวได้

สิ่งที่รัฐยังไม่ทำ และเหมือนไม่คิดจะทำ คือการนิยามคำว่า"ความมั่นคง" ว่าหมายถึงความมั่นคงของใคร ถ้าหมายถึงของประเทศ นี้รวมความมั่นคงของ"ประชาชน"แต่ละคนด้วยไหม? หรือเหมารวมถึงความมั่นคงของ"รัฐบาล(ทหาร)"เท่านั้น?

อีกอย่างการยกตัวอย่างการป้องกันระดับองค์กรที่โดนบังคับให้ลง root CA ในเครื่อง มันคนละเรื่องกัน เพราะเครื่องมือในองค์กร ย่อมมีเป้าหมายเพื่อประโยชน์ขององค์กรเท่านั้น พนักงานต้องยอมรับและทำตาม ถ้าไม่ยอมรับก็มีตัวเลือกไปทำงานที่อื่น แต่ก็มีข้อยกเว้นกับอุปกรณ์ส่วนตัว ที่องค์กรจะไปบังคับ"แอบดู"ไม่ได้(แต่อาจห้ามนำมาใช้ในบริเวณ หรือห้ามใช้network องค์กรได้) ส่วนจะไปเทียบกับ"ประเทศ"นี่เรียกได้ว่าคนละเรื่องเดียวกัน เพราะประชาชนไม่ใช่พนักงานหรือลูกน้องของรัฐ แต่เป็น"เจ้าของ"ร่วมตะหาก