บทที่ 1 จริยธรรมทางเทคโนโลยีสารสนเทศ

จริยธรรม (Ethics)

          หลักของความถูกต้องและไม่ถูกต้อง ซึ่งถูกใช้เป็นตัวแทนของหลักในการปฏิบัติตนของบุคคล ความสัมพันธ์ของหลักทางศีลธรรม อันได้แก่ ความดีและความชั่วความถูกต้องและไม่ถูกต้อง หรือหน้าที่และกฎเกณฑ์ทางศีลธรรม เป็นศาสตร์ แขนงหนึ่งของ “ปรัชญา” ที่เกี่ยวข้องกับหลักในการปฏิบัติตนของมนุษย ที่อยู่ร่วมกันในสังคมหรือหมู่คณะใดๆ บุคคลใดที่ประพฤติตนตามหลักจริยธรรม ไม่สร้างความเดือดร้อนให้กับผู้อื่น จะถือว่าบุคคลนั้นประพฤติตนได้สอดคล้องกับมาตรฐานทางสังคมที่ยอมรับกันโดยทั่วไป

          ดังนั้น “หลักจริยธรรม”  จึงเป็นกฎเกณฑ์ที่กำหนดขึ้นเพื่อสร้างความเป็นระเบียบเรียบร้อยของคนในสังคม

     

          จริย หมายถึง การแสดงออกทางกาย ทางวาจา ของมนุษย์

          ธรรม หมายถึง ธรรมชาติของมนุษย์ที่มีกาย วาจา เป็นสื่อภาษาที่ใช้ในการติดต่อสื่อสารระหว่างกัน

          จริยธรรม หมายถึง เป็นหลักประพฤติปฏิบัติของบุคคลในสังคมใดๆ (ไม่บังคับใช้แต่เกิดจากการปลูกฝัง สร้างจิตสำนึก เป็นเรื่องของการแสดงออกทางกาย ทางวาจา)

          ศีลธรรม หมายถึง เป็นการประพฤติที่ดีที่ชอบ เป็นการประพฤติปฏิบัติในทางศาสนา

          จรรณยาบรรณ หมายถึง เป็นการประมวลความประพฤติที่ผู้ประกอบอาชีพการงานแต่ละอย่างกำหนดขึ้น เพื่อรักษาและส่งเสริมเกียรติคุณ ชื่อเสียง และฐานะของสมาชิก อาจเป็นลายลักษณ์ อักษรหรือไม่ก็ได้

เทคโนโลยีเป็นส่วนหนึ่งในชีวิตประจำวันของเรา

จริยธรรมทางธุรกิจ (Business Ethics)

          หลักและมาตรฐานด้านศีลธรรม ที่ชี้นำพฤติกรรมในโลกธุรกิจ เพื่อการตัดสินใจของแต่ละบุคคลภายในบทบาทขององค์ การภายใต้ข้อขัดแย้งระหว่างวัตถุประสงค์ และค่านิยม การนำหลักธรรมจริยธรรมมาประยุกต์ใช้เป็นเครื่องชี้นำกิจกรรมทางธุรกิจขององค์ กร หากองค์กรดำเนินธุรกิจอย่างมีจริยธรรม จะทำให้เกิดผลดี 5 ประการ ดังนี้

          1.ได้ค่านิยมหรือมีค่าความนิยมเพิ่มมากขึ้นองค์กรที่มีจริยธรรมทางธุรกิจ จะมีค่าความนิยมเพิ่มขึ้น การดำเนินธุรกิจก็จะง่ายขึ้น มีโอกาสได้รับแต่สิ่งที่ดีที่สุด เช่น องค์ กรใดที่ให้สวัสดิการที่ดีแก่พนักงาน จะเป็นที่ต้องการของผู้สมัครงานที่มีความสามารถสูง องค์ กรก็มีโอกาสสูงที่จะได้ผู้สมัครงานที่มีความสามารถเข้ามาเป็นพนักงาน

          2.การดำเนินงานในองค์กรมีความสอดคล้องกันองค์กรที่มีจริยธรรมทางธุรกิจ จะสามารถตอบสนองต่อความต้องการของผู้ถือผลประโยชน ร่วมกันได้หลายฝ่าย เช่น พนักงาน ลูกค้า ผู้ถือหุ้นหรือชุมชน ซึ่งเมื่อแต่ละฝ่ายต่างได้รับการตอบสนองที่ดีแล้ว ย่อมให้ความร่วมมือเป็นอย่างดีในการดำเนินงาน ทำให้ดำเนินงานร่วมกันมีความสอดคล้องกันเป็นอย่างดี

          3.เพิ่มผลกำไรให้กับธุรกิจ การมีจริยธรรมที่ดีทางธุรกิจ ทำให้ธุรกิจดีไปด้วย ยังส่งผลให้มีกำไรเพิ่มขึ้นด้วย เช่น องค์ กรที่ให้บริการลูกค้าด้วยความยุติธรรม จะสามารถรักษาฐานลูกค้าไว้ได้นาน และมีลูกค้าเพิ่มขึ้นอยู่เสมอองค์กรที่ให้ความสำคัญต่อขวัญกำลังใจของพนักงาน ย่อมสามารถรักษาพนักงานที่มีศักยภาพสูงไว้ได้นาน

          4.ป้องกันองค์กรและพนักงานจากการดำเนินการทางกฎหมาย องค์กรควรดำเนินธุรกิจด้วยจริยธรรมอันดี และไม่ขัดต่อกฎหมาย โดยองค์กรสามารถจัดตั้งโครงการเสริมสร้างจริยธรรมทางธุรกิจ ดังนี้กำหนดนโยบายเกี่ยวกับการกระทำที่ไม่ขัดต่อกฎหมายและจะต้องมีจริยธรรมอันดีทำความเข้าใจในจุดแข็งและจุดอ่อนของวัฒนธรรมและความสามารถขององค์กรวิเคราะห์สภาพแวดล้อมทางธุรกิจ เพื่อพิจารณาว่าอะไรคือแรงกดดันที่ธุรกิจต้องเผชิญ พิจารณาพฤติกรรมเสี่ยงด้านอาชญากรรม ความล่อแหลมต่อกฎหมาย และอื่นๆ ที่เกี่ยวข้อง

          5.หลีกเลี่ยงข่าวในแง่ลบได้ หากองค์กรมีชื่อเสียงในทางที่ดี จะช่วยให้มูลค่าหุ้นขององค์ กรเพิ่มมากขึ้นในทางตรงกันข้าม หากองค์ กรมีชื่อเสียงในแง่ลบก็จะส่งผลให้มูลค่าหุ้นลดต่ำลงทันทีหลายองค์ กรจึงให้ความสนใจกับโครงการเสริมสร้างจริยธรรมทางธุรกิจและความรับผิดชอบต่อสังคมอย่างมาก เพื่อสร้างชื่อเสียงในด้านดี และหลีกเลี่ยงข่าวในแง่ลบ

การเสริมสร้างจริยธรรมทางธุรกิจในองค์กร

          ความเสี่ยงของพฤติกรรมที่ขัดกับหลักจริยธรรมมีแนวโน้มเพิ่มขึ้น ซึ่งอาจนำมาซึ่งความเสียหายแก้องค์กร ดังนั้นหลายองค์ กรในปัจจุบันจึงให้ความสำคัญกับการเสริมสร้างจริยธรรมทางธุรกิจ ด้วยกิจกรรมต่างๆ ดังต่อไปนี้

          1.แต่งตั้งเจ้าหน้าที่ด้านจริยธรรมขององค์กร เจ้าหน้าที่ด้านจริยธรรมขององค์กร คือ ผู้จัดการระดับอาวุโส ทำหน้าที่กำหนดวิสัยทัศน์ และทิศทางที่เกี่ยวข้องกับหลักปฏิบัติของธุรกิจโดยทำหน้าที่บูรณาการจริยธรรมขององค์กร นโยบาย กิจกรรมการ

          2.กำหนดมาตรฐานทางจริยธรรม การกำหนดมาตรฐานทางจริยธรรมขององค์กร เพื่อให้มั่นใจว่าธุรกิจขององค์กรดำเนินไปด้วยความโปร่งใสปฏิบัติตามกฎหมายและขอบังคับทางอุตสาหกรรม และไม่มีความเสี่ยงต่อการถูกฟ้องร้อง

          3.กำหนดจรรณยาบรรณขององค์กร เป็นการประกาศประเด็นด้านจริยธรรมและระบุหลักการปฏิบัติที่สำคัญต้อองค์กรและการตัดสินใจในระดับต่างๆ ควรเน้นในเรื่องของความเสี่ยงด้านจริยธรรมทางธุรกิจ ที่เกี่ยวข้องกับการปฏิบัติหน้าที่ของตนในแต้ละวันมีวิธีการช่วยเหลือและข้อแนะนำในการปฏิบัติตนเมื่อต้องเผชิญกับสถานการณ์ ความขัดแย้งด้านจริยธรรมทำให้มั่นใจว่าพนักงานจะปฏิบัติตามกฎหมาย ข้อบังคับด้านอุตสาหกรรม และทำงานด้วยวิธีการที่โปร่งใส ไม่นำมาซึ่งความเสื่อมเสียแก่องค์กร

          4.ให้มีการตรวจสอบทางสังคม เป็นการตรวจสอบการดำเนินกิจกรรมทางสังคมขององค์กร โดยองค์กรจะต้องรายงานผลการดำเนินกิจกรรมทางสังคมให้แก่บุคลากรทุกกลุ่มไม่ว่าจะเป็นพนักงาน นักลงทุน ผู้ถือหุ้น ลูกค้า ซัพพลายเออร์  ตลอดจนเจ้าหน้าที่รัฐบาล และประชาชนทั่วไปเพื่อให้มั่นใจว่าองค์กรสามารถดำเนินนโยบายทางสังคมที่ได้กำหนดไว้ในอดีตได้อย่างไม่ขาดตกบกพร่อง และเพื่อหลีกเลี่ยงการกระทำที่ผิดพลาดในอนาคต

          5.กำหนดเงื่อนไขทางจริยธรรมไว้ในแบบประเมินพนักงาน เพื่อให้การดำเนินงานเป็นไปตามนโยบายจริยธรรมทางธุรกิจบางองค์กรอาจเพิ่มเงื่อนไขที่เกี่ยวข้องกับจริยธรรมในแบบประเมินพนักงานเพื่อใช้เป็นเกณฑ์ ในการวัดจริยธรรมของพนักงาน เช่น พนักงานเคารพสิทธิของเพื่อนร่วมงานหรือไม่พนักงานปฏิบัติตนต่อเพื่อนร่วมงานอย่างเป็นธรรมหรือไม่ พนักงานพัฒนาตนเองอย่างต่อเนื่องหรือไม่พนักงานร่วมงานกับผู้อื่นด้วยความจริงใจและซื่อสัตย์หรือไม่

จริยธรรมสำหรับผู้ใช้ไอที

     ประเด็นด้านจริยธรรมสำหรับผู้ใช้ไอที

1. การละเมิดลิขสิทธิ์ซอฟต์แวร์  (Software Piracy) คือการทำซ้ำหรือดัดแปลง การเผแพร่ซอฟต์ แวร์ต่อสาธารณะชนการให้เช้าต้นฉบับหรือสำเนาซอฟต์แวร์  ตลอดจนการแสวงหากำไรจากซอฟต์แวร์ โดยไม่ได้รับอนุญาติ หรือโดยไม่ได้เสียค่าใช้จ่ายตามลิขสิทธิ์ที่กำหนดไว้

2. การใช้งานคอมพิวเตอร์อย่างไม่เหมาะสม เช่น การเข้าเยี่ยมชมเว็บไซต์ต่างๆ ในเวลางานเข้าเว็บไซ์ลามกอนาจาร การดาวน์ โหลดภาพยนตร์  เพลง หรือซอฟต์แวร์ อื่นๆ โดยใชอินเทอร์เน็ตขององค์กร การสนทนากับเพื่อนด้วยโปรแกรมแชทต่างๆ และการเล่นเกมส์ในเวลาทำงานพฤติกรรมดังกล่าวจัดว่าเป็นการใช้ทรัพยากรคอมพิวเตอร์ขององค์กรอย่างไม่เหมาะสม ทำให้ปริมาณงานลดน้อยลงองค์กรมีความเสี่ยงต่อการกระทำผิดทางคอมพิวเตอร์ด้วย เช่น การ Forward E-mail ลามกอนาจาร เป็นต้น

3. การแบ่งปันสารสนเทศอย่างไม่เหมาะสม ผู้ใช้งานไอทีและผู้ใช้ทั่วไป มักมีการแบ่งปันข้อมูลข่าวสารระหว่างกันอยู่เสมอ เนื้อหาของข้อมูลข่าวสารที่แลกเปลี่ยนกัน บางครั้งเป็นข้อมูลส่วนบุคคลของผู้อื่น เช่น ข้อมูลส่วนบุคคลของลูกค้า หรือข้อมูลที่เป็นความลับทางการค้า เช่น แผนงานโปรโมชั่นทางการตลาด สูตรการผลิต กระบวนการผลิต เป็นต้น บางครั้งมักสนทนากับเพื่อโดยการเล่าให้ฟังนับว่าเป็นการเปิดเผยความลับขององค์กรให้บุคคลอื่นทราบอาจไปถึงมือคู่แข่งทางธุรกิจ และสร้างความเสียหายแก่องค์กรได้ในที่สุด

 

อาชญากรรมและอาชญากรคอมพิวเตอร์

          อาชญากรคอมพิวเตอร์ คือ ผู้กระทำผิดกฎหมายโดยใช้เทคโนโลยีคอมพิวเตอร์เป็นเครื่องมือสำคัญในการก่ออาชญากรรมและกระทำความผิดนั้น สามารถจำแนกอาชญากรเป็นกลุ่มได้ดังนี้

1.อาชญากรมือใหม่หรือมือสมัครเล่น เป็นพวกที่อยากทดลองความรู้และส่วนใหญ่จะไม่ใช่ผู้ที่เป็นอาชญากรโดยนิสัย

2.อาชญากรพวกจิตวิปริต เป็นพวกผิดปกติ มีลักษณะนิสัยที่ชอบความรุนแรง

3.อาชญากรที่ร่วมมือกัน กระทำความผิดในลักษณะขององค์กรใหญ่ ๆ

4.อาชญากรมืออาชีพ

5.อาชญากรหัวพัฒนา เป็นพวกที่ชอบความก้าวหน้าทางคอมพิวเตอร์

6.อาชญากรพวกบ้าลัทธิ จะกระทำผิดเนื่องจากมีความเชื่อในสิ่งใดสิ่งหนึ่งอย่างรุนแรง

7.แคร็กเกอร์ Cracker คือบุคคลที่บุกรุกหรือรบกวนระบบคอมพิวเตอร์ที่อยู่ห่างไกลด้วยเจตนาร้าย cracker เมื่อบุกรุกเข้าสู่ระบบ จะทำลายข้อมูลที่สำคัญทำให้ผู้ใช้ไม่สามารถใช้งานคอมพิวเตอร์ หรืออย่างน้อยทำให้เกิดปัญหาในระบบคอมพิวเตอร์ของเป้าหมาย โดยกระทำของ hacker มีเจตนามุ่งร้ายเป็นสำคัญ

8.แฮกเกอร์ Hacker หมายถึงผู้ที่มีความสนใจอย่างแรงกล้าในการทำงานอันลึกลับซับซ้อนของการทำงานของระบบปฏิบัติการคอมพิวเตอร์ใดๆ ก็ตาม ส่วนมากแล้ว hacker จะเป็นโปรแกรมเมอร์

9.อาชญากรในรูปแบบเดิม ๆ ที่ใช้เทคโนโลยีเป็นเครื่องมือในการกระทำความผิด เช่น พยายามขโมยบัตร ATM และรหัสบัตรของผู้อื่น

บัญญัติ 10 ประการ ในการใช้คอมพิวิวเตอร์

          1. ต้องไม่ใช้คอมพิวเตอร์ทำอันตรายต่อผู้อื่น

          2. ต้องไม่แทรกแซงหรือรบกวนงานคอมพิวเตอร์ของบุคคลอื่น

          3. ต้องไม่สอดแนมไฟล์คอมพิวเตอร์ของบุคคลอื่น

          4. ต้องไม่ใช้คอมพิวเตอร์ในการลักขโมย

          5. ต้องไม่ใช้คอมพิวเตอร์เป็นพยานเท็จ

          6. ต้องไม่คัดลอกหรือใช้ซอฟต์แวร์ที่มีลิขสิทธิ์โดยไม่จ่ายค่าลิขสิทธิ์บัญญัติ 10 ประการ ในการใช้คอมพิวิวเตอร์

          7. ต้องไม่ใช้ทรัพยากรคอมพิวเตอร์ของคนอื่นโดยไม่ได้รับอนุญาตหรือไม่ได้จ่ายค่าตอบแทนอย่างเหมาะสม

          8. ต้องไม่ละเมิดลิขสิทธิ์ในทรัพย์สินทางปัญญาของผู้อื่น

          9. ต้องตระหนักถึงผลที่ตามมาต่อสังคมที่เกิดจากโปรแกรมที่ตัวเองเขียนหรือกำลังออกแบบอยู่เสมอ

          10. ต้องใช้คอมพิวเตอร์ในทางที่พิจารณาดีแล้วว่าเหมาะสม และเคารพต่อเพื่อมนุษย์ด้วยกันเสมอ

บทที่ 2 ความมั่นคงปลอดภัยของสารสนเทศ

ความมั่นคงปลอดภัย (Security) คืออะไร

การทำให้รอดพ้นจากอันตรายหรืออยู่ในสถานะที่มีความปลอดภัยไร้ความกังวลและความกลัวและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ

ความมั่นคงปลอดภัยของระบบสารสนเทศ (Information System Security)

คือการป้องกันข้อมูลสารสนเทศรวมถึงองค์ประกอบอื่นๆที่เกี่ยวข้องเช่นระบบและฮาร์ดแวร์ที่ใช้ในการจัดเก็บและถ่ายโอนข้อมูลสารสนเทศนั้นให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัยไร้ความกังวลและความกลัว

ประวัติของการรักษาความปลอดภัยของข้อมูล

การรักษาความปลอดภัยด้านกายภาพ (Physical Security)ในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุโดยจะถูกบันทึกไว้บนแผ่นหินแผ่นหนังหรือกระดาษแต่บุคคลสำคัญส่วนใหญ่ไม่นิยมบันทึกข้อมูลที่สำคัญมากๆลงบนสื่อถาวรและไม่สนทนาเกี่ยวกับข้อมูลกับคนที่ไม่ไว้ใจถ้าต้องส่งข้อมูลไปที่อื่นต้องมีผู้คุ้มกันติดตามไปด้วยเพราะภัยอันตรายจะอยู่ในรูปแบบทางกายภาพเช่นการขโมย

องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล

แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศกลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์  ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้นประกอบด้วย

     1. ความลับ Confidentiality

เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล   กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้

ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก

     2.ความสมบูรณ์ Integrity

ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน

ทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง

     3.ความพร้อมใช้ Availability

ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น

หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลงในที่สุด

     4.ความถูกต้องแม่นยำ Accuracy

ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ

เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

     5.เป็นของแท้ Authenticity

สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน   เทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน

     6.ความเป็นส่วนตัว Privacy

ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้ฯ

มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ

     5.องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย

1.Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลา ต้นทุน และกำลังคนที่จำกัด ซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว

2.Hardware  จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ที่ปลอดภัยให้กับอุปกรณ์หรือฮาร์ดแวร์

3.Data  ข้อมูล/สารสนเทศ เป็นทรัพยากรที่มีค่าขององค์กร การป้องกันที่แน่นหนาก็มีความจำเป็นสำหรับข้อมูลที่เป็นความลับ ซึ่งต้องอาศัยนโยบายความปลอดภัยและกลไกป้องกันที่ดีควบคู่กัน

4.People  บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมากที่สุด  โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็เป็นจุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษากันอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกหลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างเข้าสู่ระบบได้

5.Procedure  ขั้นตอนการทำงาน เป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม  หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถค้นหาจุดอ่อนเพื่อนกระทำการอันก่อนให้เกิดความเสียหายต่อองค์กรและลูกค้าขององค์กรได้

6.Network  เครือข่ายคอมพิวเตอร์  การเชื่อมต่อระหว่างคอมพิวเตอร์และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเตอร์เน็ต

     6.อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ

ความมั่นคงปลอดภัย คือ ความไม่สะดวก  เนื่องจากต้องเสียเวลาในการป้อน password และกระบวนการอื่น ๆ ในการพิสูจน์ตัวผู้ใช้

มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ  เช่น Registry , Port, Service ที่เหล่านี้จะทราบในแวดวงของ Programmer หรือผู้ดูแลระบบ

ผู้ใช้คอมไม่ระแวดระวัง

การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยภายหลัง

แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน  ไม่ใช่ การป้องกัน

มีการเข้าถึงข้อมูลได้จากทุกสถานที่

ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว

มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ)

ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

     7.บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย

7.1.ผู้บริการระดับสูง Senior Manager                       

     7.1.2. ผู้บริหารสารสนเทศระดับสูง chief Information   Officer: CIO มีหน้าที่ให้คำแนะนำและแสดงความคิดเห็นแก่ ผู้บริหารระดับสูง.

     7.1.2. ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสูง   Chief Information Security Officer: CISO ทำหน้าที่ในการประเมิน จัดการ และพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศในองค์กรโดยเฉพาะ

-ผู้สนับสนุน  Champion

-หัวหน้าทีม  Team Leader

-นักพัฒนานโยบายความมั่นคงปลอดภัย  Security Policy Development

-ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist

-ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ  Security Professional

-ผู้ดูแลระบบ  System Administrator

-ผู้ใช้ระบบ  End User

7.2.ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ Information Securtiy Project Team ทีมงานดำเนินโครงการ ควรเป็นผุ้ที่มีความรู้ ความสามารถในด้านเทคโนโลยีอย่างลึกซึ้ง และควรจะมีความรู้ในด้านอื่นๆ ที่เกี่ยวข้องควบคู่ไปด้วยทีมงานดำเนินโครงการประกอบไปด้วย

7.3.การเป็นเจ้าของข้อมูล Data Ownership  ประกอบด้วย

     7.3.1  เจ้าของข้อมูล Data Owners ผู้มีสิทธิในการใช้ข้อมูล และมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลด้วย

     7.3.2  ผู้ดูแลข้อมูล Data Cusodians เป็นผู้ที่ต้องทำงานร่วมกับ Data Owners  โดยตรง ทำหน้าที่จัดเก็บและบำรุงรักษาข้อมูล

     7.3.3  ผู้ใช้ข้อมูล  Data Users เป็นผู้ที่ทำงานกับข้อมูล โดยตรง

บทที่ 3 อาชญากรรมทางคอมพิวเตอร์และอินเตอร์เน็ต

                    อาชญากรรมทางคอมพิวเตอร์ (Cyber-Crime) เป็นการกระทำที่ผิดกฎหมายโดยใช้วิธีการทางอิเล็กทรอนิกส์เพื่อโจมตีระบบคอมพิวเตอร์และข้อมูลที่อยู่บนระบบดังกล่าว ส่วนในมุมมองที่กว้างขึ้น “อาชญากรรมที่เกี่ยวเนื่องกับคอมพิวเตอร์” หมายถึงการกระทำที่ผิดกฎหมายใดๆ ซึ่งอาศัยหรือมีความเกี่ยวเนื่องกับระบบคอมพิวเตอร์หรือเครือข่าย อย่างไรก็ตาม อาชญากรรมประเภทนี้ไม่ถือเป็นอาชญากรรมทางคอมพิวเตอร์โดยตรง

อาชญากรรม 6 ประเภทดังกล่าวได้แก่

1.การเงิน อาชญากรรมที่ขัดขวางความสามารถขององค์กรธุรกิจในการทำธุรกรรม อี-คอมเมิร์ซ(หรือพาณิชย์อิเล็กทรอนิกส์)

            2.การละเมิดลิขสิทธิ์ การคัดลอกผลงานที่มีลิขสิทธิ์ ในปัจจุบันคอมพิวเตอร์ส่วนบุคคลและอินเทอร์เน็ตถูกใช้เป็นสื่อในการก่ออาชญากรรม แบบเก่า โดยการโจรกรรมทางออนไลน์หมายรวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเทอร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์

3.การเจาะระบบ การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต และในบางกรณีอาจหมายถึงการใช้สิทธิการเข้าถึงนี้โดยไม่ได้รับอนุญาต นอกจากนี้การเจาะระบบยังอาจรองรับอาชญากรรมทางคอมพิวเตอร์ในรูปแบบอื่นๆ (เช่น การปลอมแปลง การก่อการร้าย ฯลฯ)

            4. การก่อการร้ายทางคอมพิวเตอร์ ผลสืบเนื่องจากการเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว เช่นเดียวกับการก่อการร้ายทั่วไป โดยการกระทำที่เข้าข่าย การก่อการร้ายทางอิเล็กทรอนิกส์ (e-terrorism) จะเกี่ยวข้องกับการเจาระบบคอมพิวเตอร์เพื่อก่อเหตุรุนแรงต่อบุคคลหรือทรัพย์สิน หรืออย่างน้อยก็มีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว

5.ภาพอนาจารทางออนไลน์ ตามข้อกำหนด 18 USC 2252 และ 18 USC 2252A การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย และตา

ข้อกำหนด 47 USC 223 การเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย อินเทอร์เน็ตเป็นเพียงช่องทางใหม่สำหรับอาชญากรรม แบบเก่า อย่างไรก็ดี ประเด็นเรื่องวิธีที่เหมาะสมที่สุดในการควบคุมช่องทางการสื่อสารที่ครอบคลุมทั่วโลกและเข้าถึงทุกกลุ่มอายุนี้ได้ก่อให้เกิดการถกเถียงและการโต้แย้งอย่างกว้างขวาง

6.ภายในโรงเรียน ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชนจำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออันทรงพลังนี้อย่างปลอดภัยและมีความรับผิดชอบ โดยเป้าหมายหลักของโครงการนี้คือ เพื่อกระตุ้นให้เด็กได้เรียนรู้เกี่ยวกับข้อกำหนดทางกฎหมาย สิทธิของตนเอง และวิธีที่เหมาะสมในการป้องกันการใช้อินเทอร์เน็ตในทางที่ผิด

มารยาทในการใช้เครือข่ายอินเตอร์เน็ต

-ไม่ใช้เครือข่ายเพื่อการทำร้ายหรือรบกวนผู้อื่น

-ไม่ใช้เครือข่ายเพื่อทำสิ่งผิดกฎหมาย หรือผิดศีลธรรม

-ไม่ใช้บัญชีอินเตอร์เน็ตของผู้อื่น

-ไม่คัดลอก โปรแกรม  รูปภาพโดยมิได้ขออนุญาตจากเจ้าของ

บทที่ 4 ภัยคุกคาม ช่องโหว่ และการโจมตี

ภัยคุกคาม

ภัยคุกคาม คือ วัตถุสิ่งของตัวบุคคลหรือสิ่งอื่นใดที่เป็นตัวแทนของการทําอันตรายต่อทรัพย์สิน คุกคามมีหลายกลุ่ม เช่น

- ภัยคุกคามที่เกิดขึ้นโดยเจตนา

- ภัยคุกคามที่เกิดขึ้นโดยไม่ได้เจตนา เช่น ภัยคุกคามจากธรรมชาติ หรือจากผู้ใช่ในองค์กรเอง

- ภัยคุกคามที่สามารถทำลายช่องโหว่ สร้างความเสียหายแก่ระบบได้

1.ความผิดพลาดที่เกิดจากบุคคล เป็นความผิดพลาดที่เกิดจากพนักงานหรือบุคคลที่ได้รับอนุญาตให้เข้าถึงสารสนเทศขององค์กรได้ อาจเกิดจากความไม่ได้ตั้งใจ เนื่องจากไม่มีประสบการณ์หรือขาดการฝึกอบรม หรือคาดเดา เป็นต้น ป้องกันภัยคุกคามโดยการให้ความรู้ด้านความมั่นคงปลอดภัยของสารสนเทศ การฝึกอบรมอย่างสม่ำเสมอมีมาตรการควบคุม

2.ภัยร้ายต่อทรัพย์สินทางปัญญา ทรัพย์สินสินทางปัญญา (Intellectual Property) คือ ทรัพย์สินที่จับต้องไม่ได้ ที่ถูกสร้างขึ้นมาโดยบุคคลหรือองค์กรใดๆ หากต้องการนำทรัพย์สินทางปัญญาของผู้อื่นไปใช้ อาจต้องเสียค่าใช้จ่าย และจะต้องระบุแหล่งที่มาของทรัพย์สินดังกล่าวไว้อย่างชัดเจนในทางกฎหมาย การให้สิทธิในความเป็นเจ้าของทรัพย์สินทางปัญญา มี 4ประเภท คือ

– ลิขสิทธิ์ (copyrights)

– ความลับทางการค้า (Trade Secrets)

– เครื่องหมายการค้า (Trade Marks)

– สิทธิบัตร (Patents)

การละเมิดความคุ้มครองทรัพย์สินทางปัญญาที่มากที่สุด คือ การละเมิดลิขสิทธิ์ซอฟต์แวร์ (Software Piracy)

3. การจารกรรมหรือการรุกล้ำ การจารกรรม (Espionage) เป็นการที่กระทำซึ่งใช้อุปกรณ์อิเลคทรอนิกส์หรือตัวบุคคลในการจารกรรมสารสนเทศที่เป็นความลับผู้จารกรรมจะใช้วิธีการต่างๆ เพื่อให้ถึงซึ่งสารสนเทศที่จัดเก็บไว้ และรวมรวมสารสนเทศนั้นโดยไม่ได้รับอนุญาต

การรุกล้ำ (Trespass) คือ การกระทำที่ทำให้ผู้อื่นสามารถเข้าสู้ระบบเพื่อรวมรวมสารสนเทศที่ต้องการโดยไม่ได้รับอนุญาตการควบคุม สามารถทำได้โดย การจำกัดสิทธิ์และพิสูจน์ตัวตนของผู้เข้าสู่ระบบทุกครั้งว่าเป็นบุคคลที่ได้รับอนุญาตจริง

4. การกรรโชกสารสนเทศ การที่มีผู้ขโมยข้อมูลหรือสารสนเทศที่เป็นความลับจากคอมพิวเตอร์ แล้วต้องการเงินเป็นค่าตอบแทน เพื่อแลกกับการคืนสารสนเทศนั้น หรือแลกกับการไม่เปิดเผยสารสนเทศดังกล่าว เรียกว่า Blackmail

5. การทำลายหรือทำให้เสียหาย เป็นการทำลายหรือก่อให้เกิดความเสียหายต่อระบบคอมพิวเตอร์ เว็บไซต์ภาพลักษณ์ธุรกิจ และทรัพย์สินขององค์กร ซึ่งอาจเกิดจากผู้อื่นที่ไม่หวังดีหรือแม้กระทั่งจากพนักงานขององค์เอง การทำลาย เช่น การขีดเขียนทำลายหน้าเว็บไซต์

6. การลักขโมย การถือเอาของผู้อื่นโดยผิดกฎหมายเช่น อุปกรณ์ต่างๆ ทั้งแบบธรรมดาและแบบอิเล็คทรอนิค แล้วยังรวมถึง สารสนเทศขององค์กร และทรัพย์สินทางปัญญาอื่นๆ

7. ซอฟต์แวร์โจมตี เรียกว่า การโจมตีโดยซอฟต์แวร์เกิดจากบุคคลหรือกลุ่มบุคคลออกแบบซอฟต์แวร์ให้ทำหน้าที่โจมตีระบบ เรียกว่า Malicious Code หรือ Malicious Software หรือ Malware

            มัลแวร์ (Malware) ถูกออกแบบเพื่อสร้างความเสียหาย ทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มีหลายชนิด เช่น virus worm, Zombie, Trojan Horse, Logic Bomb, Back door เป็นต้น

8. ภัยธรรมชาติ ภัยธรรมชาติต่างๆ สามารถสร้างความเสียหายให้กับสารสนเทศขององค์กรได้ หากไม่มีการป้องกันหรือวางแผนรับมือกับภัยธรรมชาติ อาจก่อให้เกิดความเสียหายแก่องค์กรได้อย่างมหาศาล สามารถป้องกันหรือจำกัดความเสียหาย โดยการวางแผนรับสถานการณ์ฉุกเฉินและภัยพิบัติ Contingency Plan ประกอบด้วย

                        8.1 ข้อปฏิบัติในการฟื้นฟูจากภัยพิบัติ

8.2 การดำเนินงานอย่างต่อเนื่องในสถานการณ์คับขัน

                        8.3 การรับมือกับเหตุการณ์ไม่คาดคิด

ช่องโหว่

ช่องโหว่ คือ ความอ่อนแอ่ของระบบคอมพิวเตอร์ หรือ ระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ซึ่งจะนำไปสู่ความเสียหายแก่สารสนเทศ หรือแม้แต้การทำงานของระบบ ตัวอย่างช่องโหว่ที่เกิดขึ้นในระบบ

1.การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ (User Account Management Process) ทุกองค์กรจำเป็นต้องมี การจัดทำบัญชีรายชื่อผู้ใช้ User Account เพื่อทำการล็อกอินเข้าสู่ระบบ ซึ่งต้องมี User Name , Password รวมถึงการควบคุมการเข้าถึง (Access Control ) และการให้สิทธิ์(Authorization) เป็นต้น

2. ระบบปฏิบัติการไม่ได้รับการซ่อมเสริมอย่างสม่ำเสมอ  หากองค์กรละเลยติดตามข่าวสารจากบริษัทผู้พัฒนาระบบปฏิบัติการ หรือแอลพลิเคชั่น และไม่ทำการ Download Patch มาซ่อมแซมระบบอย่างเป็นระยะ อาจทำให้ระบบปฏิบัติการมีช่องโหว่ และข้อผิดพลาดสะสมเรื่อยไป จนกลายเป็นจุดอ่อนที่เสี่ยงต่อการบุกรุก โจมตีได้มากที่สุด โดยเฉพาะระบบปฏิบัติการแบบเครือข่าย

3. ไม่มีการอัพเดทไวรัสอย่างสม่ำเสมอ การอัพเดทไวรัสเป็นการเพิ่มข้อมูลรายละเอียดคุณลักษณะของไวรัสชนิดใหม่ๆ ในฐานข้อมูลของโปรแกรม ซึ่งจะช่วยให้โปรแกรมสามารถตรวจจับไวรัสชนิดใหม่ได้ แต่หากไม่การอัพเดทจะส่งผลให้โปรแกรมไม่รู้จักไวรัสชนิดใหม่ ระบบจะเสี่ยงต่อการติดไวรัสมากขึ้น

4. การปรับแต่งค่าคุณสมบัติ ระบบผิดพลาด การที่ผู้ดูแลระบบต้องปรับแต่งคุณสมบัติต่างๆ ของระบบด้วยตนเอง Manually จะเสี่ยงต่อการกำหนดค่าผิดพลาดได้สูงกว่าระบบทำการกำหนดให้เองอัตโนมัติ

การโจมตี

การโจมตี คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ เพื่อเข้าควบคุมการทำงานของระบบ เพื่อให้ระบบเกิดความเสียหาย หรือเพื่อโจรกรรมสารสนเทศ

1. Malicious Code หรือ Malware โค๊ดมุ่งร้ายหรือเป็นอันตราย อันได้แก่ Virus, Worm, Trojan Horse ยังรวมถึง Web scripts รูปแบบการโจมตีของ Malicious Code

          1. สแกนหมายเลข IP Address เพื่อหาหมายเลขช่องโหว่ แล้วทําการติดตั้ง โปรแกรม Back door เพื่่อเปิดช่องทางลับให้กับแฮกเกอร์

          2. ท่องเว็บไซต์ระบบที่มี Malicious ฝังตัวอยู่ จะสร้างเว็บเพจชนิดต่างๆ เมื่อผู้ใช้เข้าไปเยี่ยมชมเว็บเพจที่มีอันตรายดังกล่าว ก็จะได้รับ Malicious Code ไปได้

3. Virus โดยการคัดลอกตัวเองไปอยู่กับโปรแกรม ที่ผู้ใช้รันโปรแกรม นั้นๆ

4. Email โดยการส่งอีเมล์ที่มี Malicious Code ซึ่งทันทีที่เปิดอ่าน Malicious Code ก็จะทำงานทันที

2. Hoaxes การปล่อยข่าวหลอกลวง เช่น ปล่อยข่าวการแพร่ระบาดของไวรัสคอมพิวเตอร์ทางเมล์ยังได้แนบโปรแกรมไวรัสไปด้วย เป็นต้น

3. Back door หรือ Trap Door เส้นทางลับที่จะช่วยผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่าน

กระบวนการตรวจสอบ

4. Password Cracking การบุกรุกเข้าไปในระบบคอมพิวเตอร์ของผู้ใช้ใดๆ โดยใช้วิธีการเจาะรหัสผ่าน เริ่มต้นด้วยการคัดลอกไฟล์  SAM (Security Account Manager) แล้วทำการถอดรหัส ด้วยอัลกอริทึ่มถอดรหัสชนิดต่างๆ จนกว่าจะได้รหัสผ่านที่ถูกต้อง

5. Brute Force Attack เป็นการพยายามคาดเดารหัสผ่าน โดยการนำคีย์ที่เป็นไปได้ทั้งหมดมาจัดหมู่ Combination การคาดเดารหัสผ่านนี้จะเป็นการคำนวณซ้ำหลายๆรอบ เพื่อให้ได้กลุ่มรหัสผ่านที่ถูกต้องจึงมีการพัฒนาโปรแกรมขึ้นมาเพื่อช่วยให้การคำนวณรวดเร็วขึ้น

6. Denial Of Service การปฏิเสธการให้บริการของระบบ เป็นการโจมตีโดยใช้วิธีส่งข้อมูลจลนวนมากไปยังเป้าหมาย กฎให้แบรนด์วิดธ์เต็มจนไม่สามารถให้บริการได้