บทที่8 กฎหมาย จริยธรรม และความปลอดภัย ในการใช้เทคโนโลยีสารสนเทศ

บทที่8 กฎหมาย จริยธรรม และความปลอดภัยในการใช้เทคโนโลยีสารสนเทศ

กฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ

1. พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

  1.1 ส่วนทั่วไป บทบัญญัติใยส่วนทั่วไปประกอบด้วย มาตรา 1 ชื่อกฎหมาย มาตรา 2 วันบังคับใช้กฎหมาย มาตรา 3 คำนิยาม และมาตรา 4 ผู้รักษาการ

  1.2 หมวด 1 บทบัญญัติความผิดเกี่ยวกับคอมพิวเตอร์มีทั้งสิ้น 13 มาตรา ตั้งแต่มาตรา 5 ถึงมาตรา 17 สาระสำคัญของหมวดนี้ว่าด้วยฐานความผิด อันเป็นผลจากการกระทำผิดที่กระทบต่อความมั่นคง ปลอดภัย ของระบบสารสนเทศ

1.2.1 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ รายละเอียดอยู่ในมาตรา 5

1.2.2 การล่วงรู้มาตรการป้องกันการเข้าถึง และนำไปเปิดเผยโดยมิชอบ จะเกี่ยวข้องกับมาตรา 6

1.2.3 การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบมาตรา 7 

1.2.4 การดักข้อมูลคอมพิวเตอร์โดยมิชอบรายละเอียดอยู่ในมาตรา 8

1.2.5 ในมาตรา 9 และ มาตรา 10 เนื้อหาเกี่ยวกับการรบกวนข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยมิชอบ ซึ่งการรบกวนข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์

1.2.6 การสแปมเมล์ จะเกี่ยวข้องกับมาตรา 11 มาตรานี้เป็นมาตราที่เพิ่มเติมขึ้นมาเพื่อให้ครอบคลุมถึงการส่งสแปมเมล์ซึ่งเป็นลักษณะการกระทำความผิดที่ใกล้เคียงกับมาตรา 10 

1.2.7 มาตรา 12 การกระทำความผิดที่ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อความมั่นคงของประเทศ

1.2.8 การจำหน่ายหรือเผยแพร่ชุดคำสั่งเพื่อใช้กระทำความผิดรายละเอียดอยู่ในมาตรา 13

1.2.9 มาตรา 14 และมาตรา 15 จะกล่าวถึงการปลอมแปลงข้อมูลคอมพิวเตอร์หรือเผยแพร่เนื้อหาที่ไม่เหมาะสม และการรับผิดของผู้ให้บริการ

1.2.10 การเผยแพร่ภาพจากการตัดต่อหรือดัดแปลงให้ผู้อื่นถูกดูหมิ่น หรืออับอายจะเกี่ยวข้องกับมาตรา 16

1.2.11 มาตรา 17 เป็นมาตราที่ว่าด้วยการนำตัวผู้กระทำความผิดมาลงโทษ เนื่องจากมีความกังวลว่า หากมีการกระทำความผิดนอกประเทศแต่ความเสียหายเกิดขึ้นในประเทศ

  1.3 หมวด 2 อำนาจของพนักงานเจ้าหน้าที่ และการตรวจสอบการใช้อำนาจของพนักงานเจ้าหน้าที่ รวมทั้งยังมีการกำหนดหน้าที่ของผู้ให้บริการที่ต้องเก็บรักษาข้อมูลคอมพิวเตอร์

2. พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์

2.1 กฎหมายนี้รับรองการทำธุรกรรมด้วยเอกสารอิเล็กทรอนิกส์ทั้งหมด เช่น โทรสาร โทรเลข ไปรษณีย์อิเล็กทรอนิกส์ 

2.2 ศาลจะต้องยอมรับฟังเอกสารอิเล็กทรอนิกส์

2.3 ปัจจุบันธุรกิจจำเป็นต้องเก็บเอกสารทางการค้าที่เป็นกระดาษจำนวนมาก

2.4  การทำสัญญาบนเอกสารที่เป็นกระดาษจะมีการระบุวันเวลาที่ทำธุรกรรมนั้นด้วย

2.5 มาตรา 25 ระบุถึงบทบาทของภาครัฐในการให้บริการประชาชนด้วยระบบอิเล็กทรอนิกส์ ให้อำนาจหน่วยงานรัฐบาลสามารถสร้างระบบรัฐบาลอิเล็กทรอนิกส์

2.6 ใบรับรองอิเล็กทรอนิกส์

3. กฎหมายลิขสิทธิ์ และการใช้งานโดยธรรม (Fair Use) 

3.1 การกระทำดังกล่าวมีวัตถุประสงค์การใช้งานอย่างไร ลักษณะการนำไปใช้มิใช่เป็นเชิงพาณิชย์

3.2 ข้อมูลที่จะนำไปใช้ซึ่งข้อมูลดังกล่าวเป็นข้อเท็จจริง ซึ่งทุกคนสามารถนำไปใช้ประโยชน์ได้

3.3 จำนวนและเนื้อหาที่จะคัดลอกไปใช้เมื่อเป็นสัดส่วนกับข้อมูลที่มีลิขสิทธิ์ทั้งหมด

3.4 ผลกระทบของการนำข้อมูลไปใช้ที่มีต่อความเป็นไปได้ทางการตลาดหรือคุณค่าของงานที่มีลิขสิทธิ์นั้น 

จริยธรรมในการใช้เทคโนโลยีสารสนเทศ  

จริยธรรม (Ethics) เป็นแบบแผนความประพฤติหรือความมีสามัญสำนึกรวมถึงหลักเกณฑ์ที่คนในสังคมตกลงร่วมกันเพื่อใช้เป็นแนวทางในการปฏิบัติร่วมกันต่อสังคมในทางที่ดี

จริยธรรมในการใช้เทคโนโลยีสารสนเทศต้องอยู่บนพื้นฐาน 4 ประเด็นด้วยกัน

  1. ความเป็นส่วนตัว  (Information Privacy)

  2. ความถูกต้องแม่นยำ (Information Accuracy)

  3. ความเป็นเจ้าของ (Information Property)

  4. การเข้าถึงข้อมูล (Data Accessibility)

รูปแบบการกระทำผิดตามพระราชบัญญัติว่าด้วย

การกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

1. การเข้าถึงระบบและข้อมูลคอมพิวเตอร์

 1.1 สปายแวร์ เป็นโปรแกรมที่อาศัยช่องทางการเชื่อมต่อกับอินเตอร์เน็ตขณะที่เราท่องเว็บไซต์บางเว็บหรือทำการดาวน์โหลดข้อมูล

 1.2 สนิฟเฟอร์ คือโปรแกรมที่คอยดักฟังการสนทนาบนเครือข่าย

 1.3ฟิซชิ่ง เป็นการหลอกลวงเหยื่อเพื่อล้วงเอาข้อมูลส่วนตัว โดยการส่งอีเมล์หลอกลวง (Spoofing) เพื่อขอข้อมูลส่วนตัว

2. การรบกวนระบบและข้อมูลคอมพิวเตอร์

       2.1 ไวรัสคอมพิวเตอร์  ก่อให้เกิดความเสียหายต่อข้อมูล หรือระบบคอมพิวเตอร์

    2.1.1 หนอนอินเตอร์เน็ต (Internet Worm) หมายถึงโปรแกรมที่ออกแบบมาให้สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์เครื่องอื่นได้ด้วยตัวเอง โดยอาศัยระบบเครือข่ายคอมพิวเตอร์

      2.1.2 โทรจัน (Trojan) หมายถึง โปรแกรมที่ออกแบบมาให้แฝงเข้าไปสู่ระบบคอมพิวเตอร์ของผู้ใช้อื่น ในหลากหลายรูปแบบ เช่น โปรแกรม หรือ การ์ดอวยพร เป็นต้น

     2.1.3 โค้ด (Exploit) หมายถึง โปรแกรมที่ออกแบบมาให้สามารถเจาะระบบโดยอาศัยช่องโหว่ของระบบปฏิบัติการ

     2.1.4 ข่าวไวรัสหลอกลวง (Hoax) มักจะอยู่ในรูปแบบของการส่งข้อความต่อ ๆ กันไป เหมือนกับการส่งจดหมายลูกโซ่ถ้าผู้ที่ได้รับข้อความปฏิบัติตามอาจจะทำให้เกิดความเสียหายต่อระบบคอมพิวเตอร์

     2.2 ดิไนออล อ๊อฟ เซอร์วิส (Distributed of Service : DoS) หรือ ดิสตริบิวต์ ดิไนออล อ๊อฟ เซอร์วิส (Distributed Denial of Service : DDoS) ทำให้เกิดภาวะที่ระบบคอมพิวเตอร์ไม่สามารถให้บริการได้

       2.2.1 การแพร่กระจายของไวรัสปริมาณมากในเครือข่ายทำให้การสื่อสารในเครือข่ายตามปกติช้าลง หรือใช้ไม่ได้

    2.2.2 การส่งแพ็กเก็ตจำนวนมากเข้าไปในเครือข่ายหรือ ฟลัดดิ้ง(flooding)ส่งผลให้การติดต่อสื่อสารภายในเครือข่ายช้าลง

    2.2.3 การโจมตีข้อบกพร่องของซอฟต์แวร์ระบบ เพื่อจุดประสงค์ในการเข้าถึงสิทธิ์การใช้สูงขึ้น จนไม่สามารถเข้าไปใช้บริการได้

   2.2.4 การขัดขวางการเชื่อมต่อใดๆ  ในเครือข่ายทำให้คอมพิวเตอร์หรืออุปกรณ์เครือข่ายไม่สามารถสื่อสารกันได้

       2.2.5 การโจมตีที่ทำให้ซอฟต์แวร์ในระบบปิดตัวลงเองโดยอัตโนมัติ

      2.2.6 การกระทำใดๆ ก็ตามเพื่อขัดขวางผู้ใช้ระบบในการเข้าใช้บริการในระบบได้ เช่น การปิดบริการเว็บเซิร์ฟเวอร์ลง

       2.2.7 การทำลายระบบข้อมูล หรือบริการในระบบ 

3. การสแปมเมล์ (จดหมายบุกรุก)

  ความผิดฐานการสแปมเมล์อีเมล์ จะเกี่ยวข้องกับมาตรา 11 ในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ลักษณะการกระทำ เป็นการส่งจดหมายอิเล็กทรอนิกส์หรืออีเมล์ไปให้บุคคลอื่น โดยการซ่อนหรือปลอมชื่อ อีเมล์

4. การใช้โปรแกรมเจาะระบบ (Hacking Tool)

  การกระทำผิดฐานเจาะระบบโดยใช้โปรแกรม จะเกี่ยวข้องกับมาตรา 13 ซึ่งการเจาะระบบเรียกว่า การแฮคระบบ (Hack) เป็นการเข้าสู่ระบบคอมพิวเตอร์ที่ได้มีการรักษาความปลอดภัยไว้ ให้สามารถเข้าใช้ได้สำหรับผู้ที่อนุญาตเท่านั้น

5. การโพสต์ข้อมูลเท็จ

  สำหรับการโพสต์ข้อมูลเท็จ หรือการใส่ร้าย กล่าวหาผู้อื่น การหลอกลวงผู้อื่นให้หลงเชื่อหรือการโฆษณาชวนเชื่อใดๆ ที่จะส่งผลกระทบต่อระบบเศรษฐกิจ สังคม หรือก่อให้เกิดความเสื่อมเสียต่อสถาบันพระมหากษัตริย์

6. การตัดต่อภาพ

ความผิดฐานการตัดต่อภายให้ผู้อื่นได้รับความเสียหาย เป็นความผิดในมาตรา 16 ในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 

การรักษาความปลอดภัยในการใช้งานเทคโนโลยีสารสนเทศ

1. แนวทางป้องกันภัยจากสปายแวร์

  1.1  ไม่คลิกแบ่งลิงค์บนหน้าต่างเล็กของป๊อปอัพโฆษณา ให้รีบปิดหน้าต่างโดยคลิกที่ปุ่ม “X”

  1.2 ระมัดระวังอย่างมากในการดาวน์โหลดซอฟต์แวร์ที่จัดให้ดาวน์โหลดฟรี โดยเฉพาะเว็บไซต์ที่ไม่น่าเชื่อถือ เพราะสปายแวร์จะแฝงตัวอยู่ในโปรแกรมดาวน์โหลดมา

  1.3 ไม่ควรติดตามอีเมล์ลิงค์ที่ให้ข้อมูลว่ามีการเสนอซอฟต์แวร์ป้องกันสปายแวร์ เพราะอาจให้ผลตรงกันข้าม

2. แนวทางป้องกันภัยจากสนิฟเฟอร์

  2.1 SSL (Secure Socket Layer) ใช้ในการเข้ารหัสข้อมูลผ่านเว็บ ส่วนใหญ่จะใช้ในธุรกรรมอิเล็กทรอนิกส์

  2.2 SSH (Secure Shell) ใช้ในการเข้ารหัสเพื่อเข้าไปใช้งานบนระบบยูนิกซ์ เพื่อป้องกันการดักจับ

  2.3 VPN (Virtual Private Network) เป็นการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเตอร์เน็ต

  2.4 PGP (Pretty Good Privacy) เป็นวิธีการเข้ารหัสของอีเมล์ แต่ที่นิยมอีกวิธีหนึ่งคือ S/MIME

3. แนวทางป้องกันภัยจากฟิชชิ่ง

  3.1 หากอีเมล์ส่งมาในลักษณะของข้อมูล ควรติดต่อกับธนาคารหรือบริษัท และสอบถามด้วยตนเอง เพื่อป้องกันไม่ให้ถูกหลอกเอาข้อมูลไป

  3.2 ไม่คลิกลิงค์ที่แฝงมากับอีเมล์ไปยังเว็บไซต์ที่ไม่น่าเชื่อถือ เพราะอาจเป็นเว็บไซต์ปลอมที่มีหน้าตาคล้ายธนาคารหรือบริษัททางด้านการเงิน ให้กรอกข้อมูลส่วนตัว และข้อมูลบัตรเครดิต

4. แนวทางป้องกันภัยจากไวรัสคอมพิวเตอร์

  4.1 ติดตั้งซอฟแวร์ป้องกันไวรัสบนระบบคอมพิวเตอร์ และทำการอัพเดทฐานข้อมูลไวรัสของโปรแกรมอยู่เสมอ

  4.2 ตรวจสอบและอุดช่องโหว่ของระบบปฏิบัติการอย่างสม่ำเสมอ

  4.3 ปรับแต่งการทำงานของระบบปฏิบัติการ และซอฟต์แวร์บนระบบให้มีความปลอกภัยสูง

  4.4 ใช้ความระมัดระวังในการเปิดอีเมล์ และการเปิดไฟล์จากสื่อบันทึกข้อมูลต่างๆ

5. แนวทางการป้องกันภัยการโจมตีแบบ DoS (Denial of Service)

  5.1 ใช้กฎการฟิลเตอร์แพ็กเก็ตบนเราเตอรสำหรับกรองข้อมูล เพื่อลดผลกระทบต่อปัญหาการเกิด DoS

  5.2 ติดตั้งซอฟต์แวร์เพิ่มเติมในการแก้ไขปัญหาการโจมตีโดยใช้ TCP SYN Flooding

  5.3 ปิดบริการบนระบบที่ไม่มีการใช้งานหรือบริการที่เปิดโดยดีฟอลต์

  5.4 นำระบบการกำหนดโควตามาใช้ โดยการกำหนดโควตาเนื้อที่ดิสสำหรับผู้ใช้ระบบหรือสำหรับบริการระบบ

  5.5 สังเกตและเฝ้ามองพฤติกรรมและประสิทธิภาพการทำงานของระบบ 

  5.6 ตรวจตราระบบการจัดทรัพยากรระบบตามกายภาพอย่างสม่ำเสมอ 

  5.7 ใช้โปรแกรมทริปไวร์ (Tripwire) หรือโปรแกรมใกล้เคียงในการตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นกับไฟล์คอนฟิกหรือไฟล์สำคัญ

  5.8 ติดตั้งเครื่องเซิร์ฟเวอร์ฮ็อตสแปร์ (Hot Spares) ที่สามารถนำมาใช้แทนเครื่องเซิร์ฟเวอร์ได้ทันทีเมื่อเหตุฉุกเฉินขึ้น เพื่อลดช่วงเวลาดาวไทม์ของระบบ

  5.9 ติดตั้งระบบสำรองเครือข่าย หรือระบบห้องกันความสูญเสียการทำงานของระบบเครือข่าย

  5.10 การสำรองข้อมูลบนระบบอย่างสม่ำเสมอ โดยเฉพาะคอนฟิกที่สำคัญต่อการทำงานของระบบ

  5.11 วางแผนและปรับปรุงนโยบายการใช้งานรหัสผ่านที่เหมาะสม

6. แนวทางป้องกันแปมเมล์หรือจดหมายบุกรุก

  6.1 การป้องกันสแปมเมล์ ในการป้องกันจริงๆนั้นอาจทำไม่ได้ 100% แต่ก็สามารถลดปัญหาจากสแปมเมล์ได้ดังนี้

  6.1.1 แจ้งผู้ให้บริการอินเตอร์เน็ตบล็อคอีเมล์ที่มาจากชื่ออีเมล์หรือโดเมนนั้นๆ

  6.1.2 ตั้งค่าโปรแกรมอีเมล์ที่ใช้บริการอยู่โดยสามารถกำหนดได้ว่าให้ลบหรือย้ายอีเมล์ที่คาดว่าจะเป็นสแปมเมล์ไปไว้ในโฟลเดอร์ขยะ (Junk)

  6.1.3 ไม่สมัคร (Subscribe) จดหมายข่าว (Newsletter) เว็บไซต์ หรือโพสต์อีเมล์ในเว็บบอร์ดต่างๆ มากเกินไป 

  6.2 การป้องกันอีเมลบอมบ์ ลักษณะของอีเมลบอมบ์จะเป็นการส่งอีเมล์หลายฉบับไปหาคนเพียงคนเดียวหรือไม่กี่คนเพื่อหวังผลให้ไปรบกวนระบบอีเมลให้ล่มหรือทำงานผิดปกติ ในการป้องกันอีเมลบอมบ์สามารถทำได้ดังนี้

  6.2.1 กำหนดขนาดของอีเมลบอกซ์ของแต่ละแอคเคาท์ว่าสามารถเก็บอีเมล์ได้สูงสุดเท่าใด

  6.2.2 กำหนดจำนวนอีเมล์ที่มากที่สุดที่สามารถส่งได้ในแต่ละครั้ง

  6.2.3 กำหนดขนานของอีเมล์ที่ใหญ่มี่สุดที่สามารถรับได้

  6.2.4 ไม่อนุญาตให้ส่งอีเมล์แอคเคาท์ที่ไม่มีตัวตนในระบบ 

  6.2.5 ตรวจสอบว่ามีอีเมล์แอคเคาท์นี้จริงในระบบก่อนส่ง ถ้าเช็คไม่ผ่าน แสดงว่าอาจมีการปลอมชื่อมา

  6.2.6 กำหนด keyword ให้ไม่รับอีเมล์เข้ามาจาก subject ที่มีคำที่กำหนดไว้

  6.2.7 หมั่นอัพเดทรายชื่อโดเมนที่ติด black list จากการส่งอีเมล์สแปมหรืออีเมล์บอมบ์

7. การป้องกันภัยจากการเจาะระบบ

  มีแนวทางป้องกันโดยใช้ไฟร์วอลล์อาจจะอยู่ในรูปของฮาร์ดแวร์หรือซอฟแวร์ก็ได้ ตรวจค้นทุกคนที่เข้าสู่ระบบ มีการตรวจบัตรอนุญาต จดบันทึกข้อมูลการเข้าออก ติดตามพฤติกรรมการใช้งานในระบบ รวมทั้งสามารถกำหนดสิทธิ์ที่จะอนุญาตให้ใช้ระบบในระดับต่างๆ ได้

แนวโน้มด้านความปลอดภัยในอนาคต

1. เกิดข้อบังคับในหลายหน่วยงาน ในการเข้ารหัสเครื่องคอมพิวเตอร์แลปท็อป
2. ปัญหาความปลอดภัยของข้อมูล ใน PDA สมาร์ทโฟนและ Iphone

3.การออกกฎหมายที่เกี่ยวข้องกับการป้องกันข้อมูลส่วนบุคคล การกระทำผิดหรือการก่ออาชญากรรมทางคอมพิวเตอร์และทางด้านเทคโนโลยีสารสนเทศ

  4. หน่วยงานภาครัฐที่สำคัญเป็นเป้าหมายการโจมตีของแฮคเกอร์

  5. หนอนอินเตอร์เน็ต (Worms) บนโทรศัพท์มือถือ

  6. เป้าหมายการโจมตี VoIP (Voice over IP)

  7. ภัยจากช่องโหว่แบบซีโร-เดย์ (Zero-Day) ลักษณะของช่องโหว่แบบ Zero-day คือ ช่องโหว่ของระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ ที่ถูกแฮคเกอร์นำไปใช้ในการโจมตีระบบ

  8. Network Access control (NAC) มีบทบาทสำคัญมากขึ้นในองค์กร NAC ในการจัดการปัญหาที่บุคลากรในองค์กรนำเครื่องคอมพิวเตอร์ที่ไม่ได้รับอนุญาต