สรุปเนื้อหาบทที่ 6 (คำถามท้ายบทที่ 6)

บทที่6

กฎหมาย จริยธรรม และความปลอดภัย

ในการใช้เทคโนโลยีสารสนเทศ

กฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ

        1. พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550

พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มีทั้งสิ้น 30 มาตราแบ่งโครงสร้างออกเป็น 3 ส่วน ได้แก่ ส่วนทั่วไป ส่วนที่ 2 ว่าด้วยฐานความผิดและบทลงโทษผู้กระทำความผิดและส่วนที่ 3 ที่เป็นการกำหนดอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ และหน้าที่ของผู้ให้บริการ ในส่วนต่อไปจะกล่าวถึงรูปแบบการกำหนดการกระทำผิดในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งมีมาตราต่างๆ เพื่อรองรับรูปแบบการกระทำผิดด้วย

        2.พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์

กฎหมายส่วนใหญ่รับรองธุรกรรมที่มีลายมือชื่อบนเอกสารที่เป็นกระดาษ ทำให้เป็นปัญหาต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ ประเทศต่างๆ รวมทั้งไทยจึงต้องสร้างกฎหมายใหม่ เพื่อให้การรองรับธุรกรรมอิเล็กทรอนิกส์เหล่านี้ ทั้งนี้กฎหมายของประเทศส่วนใหญ่ถูกสร้างบนแม่แบบที่กำหนดโดยคณะทำงานสหประชาชาติ (UNCITRAL) สำหรับประเทศไทยมีพระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ.2544 และมีผลบังคับใช่ตั้งแต่เดือนเมษายน พ.ศ.2545 โดยคณะกรรมการธุรกรรมอิเล็กทรอนิกส์จะเป็นผู้ดูแลการบังคับใช้กฎหมายฉบับนี้

        3.กฎมายลิขสิทธิ์ และการใช้งานโดยธรรม (Fair Use)

กฎหมายลิขสิทธิ์ภายใต้พระราชบัญญัติ พ.ศ.2537 ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศและการใช้งานโดยธรรม ก็คือมาตรา 15 ที่มีสาระสำคัญในการคุ้มครองลิขสิทธิ์ของเจ้าของลิขสิทธิ์ เช่น สิทธิในการทำซ้ำหรือดัดแปลงงาน การเผยแพร่งานต่อสาธารณชน และให้เช่าต้นฉบับหรือสำเนางานบางประเภท เป็นต้น ดังนั้นลิขสิทธิ์จึงเป็นสิทธิแต่ผู้เดียว ของเจ้าของลิขสิทธิ์ อันเกิดจากงานสร้างสรรค์ที่ได้รับความคุ้มครองตามกฎหมายลิขสิทธิ์ นอกจากนี้ก็มีมาตรา 32 ถึง มาตรา 36 และมาตรา 43 ในหมวด 1 ส่วนที่ 6 ว่าด้วยข้อยกเว้นการละเมิดลิขสิทธิ์ ให้สามารถนำข้อมูลของผู้อื่นมาใช้โดยไม่ต้องขออนุญาต หรือเป็นการใช้งานโดยธรรม

จริยธรรมในการใช้เทคโนโลยีสารสนเทศ

1.ความเป็นส่วนตัว (Information Privacy)

ความเป็นส่วนตัว คือสิทธิที่จะอยู่ตามลำพัง และเป็นสิทธิที่เจ้าของสามารถที่จะควบคุมข้อมูลของตนเองในการเปิดเผยให้กับผู้อื่น

2.ความถูกต้องแม่นยำ (Information Accuracy)

ความถูกต้องแม่นยำในการเผยแพร่ข่าวสารข้อมูลต่างๆ บนอินเทอร์เน็ต นับว่าให้ความสำคัญเป็นอย่างมาก เพราะข้อมูลดังกล่าวจะเผยแพร่อย่างรวดเร็ว และเข้าถึงได้ง่าย

3.ความเป็นเจ้าของ (Information Property)

ความเป็นเจ้าของเป็นกรรมสิทธิ์ในการถือครองทรัพย์สิน ซึ่งอาจเป็นทรัพย์สินทั่วไปที่จับต้องได้ เช่น คอมพิวเตอร์ อุปกรณ์ทางอิเล็กทรอนิกส์ และที่จับต้องไม่ได้ เช่น ทรัพย์สินทางปัญญา บทเพลง

4.การเข้าถึงข้อมูล (Data Accessibility)

การเข้าถึงข้อมูลของผู้อื่นโดยไม่ได้รับความยินยอมนั้น ถือเป็นการผิดจริยธรรมเช่นเดียวกับการละเมิดข้อมูลส่วนตัว เพราะบางครั้งในการเข้าถึงข้อมูล การเข้าใช้บริการระบบหรือเว็บไซต์ในหน่วยงาน หรือองค์กรจะมีการกำหนดสิทธิ์ว่าใครมีสิทธิ์ในการเข้าใช้ข้อมูล

รูปแบบการกระทำผิดตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550

1.การเข้าถึงระบบและข้อมูลคอมพิวเตอร์

โดยรูปแบบการกระทำผิดมีรายละเอียดดังนี้

        1.1สปายแวร์ เป็นโปรแกรมที่อาศัยช่องทางการเชื่อมต่อกับอินเตอร์เน็ตขณะที่เราท่องเว็บไซต์บางเว็บหรือทำการดาวน์โหลดข้อมูล

        1.2สนิฟเฟอร์ คือโปรแกรมที่คอยดักฟังการสนทนาบนเครือข่าย รวมถึงการดักจับแพ็กเก็ตในเครือข่าย

        1.3ฟิชชิ่ง เป็นการหลอกลวงเหยื่อเพื่องล่วงเอาข้อมูลส่วนตัว โดยการส่งอีเมลหลอกลวงเพื่อขอข้อมูลส่วนตัว

2.การรบกวนระบบและข้อมูลคอมพิวเตอร์

รายละเอียดการโจมตีระบบและข้อมูลคอมพิวเตอร์มีดังนี้

        2.1ไวรัสคอมพิวเตอร์ เป็นโปรมแกรมชนิดหนึ่งที่พัฒนาขึ้นเพื่อก่อให้เกิดความเสียหายต่อข้อมูล

        2.2ดิไนออล อ๊อฟ เซอร์วิส เป็นการโจมตีจากผู้บุกรุกที่ต้องการทำให้เกิดภาวะที่ระบบคอมพิวเตอร์ไม่สามารถให้บริการได้

3.สารสแปม (จดหมายบุกรุก)

เป็นการส่งจดหมายอิเล็กทรอนิกส์หรืออีเมลไปให้บุคคลอื่น โดยการซ้อนหรือปลอมชื่อ อีเมล และหากการส่งอีเมลไปให้ผู้รับคนใดคนหนึ่งมากเกินปกติ ก็ถือว่าเป็นการส่งอีเมลสแปมเช่นกัน

4.การใช้โปรมแกรมเจาะระบบ (Hacking Tool)

การแฮกระบบ เป็นการเข้าสู่ระบบคอมพิวเตอร์ที่ได้มีการรักษาความปลอดภัยไว้ ให้สามารถเข้าใช้ได้สำหรับผู้ที่อนุญาตเท่านั้น ส่วนผู้ที่เข้าสู่ระบบโดยไม่ได้รับอนุญาตจะเรียกว่า แฮกเกอร์ ซึ่งวิธีการที่แฮกเกอร์ใช้ในการเจาะระบบมีหลายวิธี เช่น การอาศัยช่องโหว่ของระบบปฏิบัติการ

5.การโพสต์ข้อมูลเท็จ

สำหรับการโพสต์ข้อมูลเท็จ หรือการใส่ร้าย กล่าวหาผู้อื่น การหลอกลวงผู้อื่นให้หลงเชื่อ หรือการโฆษณาชวนเชื่อใดๆ ที่จะส่งผลกระทบต่อระบบเศรษฐกิจ สังคม

6.การตัดต่อภาพ

ความผิดฐานการตัดต่อภายให้ผู้อื่นได้รับความเสียหายการกระทำผิดรวมถึงการแต่งเติมรูปภาพด้วยวิธีใดๆ จนเป็นเหตุให้ผู้ถูกกระทำได้รับความเสื่อมเสียชื่อเสียง ถูกเกลียดชังหรือได้รับความอับอาย

การรักษาความปลอดภัยในการใช้งานเทคโนโลยีสารสนเทศ

มีรายละเอียดดังนี้

1.แนวทางป้องกันสปายแวร์ 

        1.1ไม่คลิกลิงค์บนหน้าต่างเล็กของป๊อบอัพโฆษณา ให้รีบปิดหน้าต่างโดยคลิกที่ปุ่ม    “ X ”

        1.2ระมัดระวังอย่างมากในการดาวน์โหลดซอฟแวร์ที่จัดให้ดาวน์โหลดฟรี โดยเฉพาะ

        1.3ไม่ควรติดตามอีเมลลิงค์ที่ให้ข้อมูลว่ามีการเสนอซอฟแวร์ป้องกันสปายแวร์

2.แนวทางป้องกันภัยจากสนิฟเฟอร์

การป้องกันสนิฟเฟอร์วิธีที่ดีที่สุดที่สามารถป้องกันการดักฟัง หรือการดักจับแพ็กเก็ตทางออนไลน์ ก็คือ การเข้ารหัสข้อมูล โดยทำได้ดังนี้

        2.1SSL ใช้ในการเข้ารหัสข้อมูลผ่านเว็บ ส่วนใหญ่จะใช้ในธุรกรรมอิเล็กทรอนิกส์

        2.2SSH ใช้ในการเข้ารหัสเพื่อเข้าไปใช้งานบนระบบยูนิกซ์ เพื่อป้องกันการดักจับ

        2.3VPN เป็นการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเทอร์เน็ต

        2.4PGP เป็นวิธีการเข้ารหัสของอีเมล แต่ที่นิยมอีกวิธีหนึ่งคือ S/MIME

3.แนวทางป้องกันภัยจากฟิชชิ่ง ทำได้ง่ายๆดังนี้

        3.1หากอีเมลส่งมาในลักษณะของข้อมูลควรติดต่อและสอบถามด้วยตนเอง เพื่อป้องกันไม่ให้ถูกหลอกเอาข้อมูลไป

        3.2ไม่คลิกลิงค์ที่แฝงมากับอีเมลไปยังเว็บไซต์ที่ไม่น่าเชื่อถือ

4.แนวทางป้องกันภัยจากไวรัสคอมพิวเตอร์   สามารถทำได้ดังนี้

        4.1ติดตั้งซอฟแวร์ป้องกันไวรัสบนระบบคอมพิวเตอร์

        4.2ตรวจสอบและอุดช่องโหว่ของระบบปฏิบัติการอย่างสม่ำเสมอ

        4.3ใช้ความระมัดระวังในการเปิดอ่านอีเมล

5.แนวทางป้องกันภัยการโจมตีแบบ Dos  มีดังนี้

        5.1ใช้กฎฟิลเตอร์แพ็กเก็ตบนเราเตอร์สำหรับกรองข้อมูล

        5.2ติดตั้งซอฟแวร์เพิ่มเติมในการแก้ไขปัญหาของการโจมตี

        5.3ปิดบริการบนระบบที่ไม่มีการใช้งานหรือบริการเปิดโดยดีฟอลต์

        5.4นำระบบกำหนดโควตามาใช้

6.แนวทางป้องกันสแปมหรือจดหมายบุกรุก   มีรายละเอียดดังนี้

        6.1แจ้งผู้ให้บริการอินเทอร์เน็ตบล็อกอีเมลที่มาจากชื่ออีเมลหรือโดเมนนั้นๆ

        6.2ตั้งค่าโปรแกรมอีเมลที่ใช่บริการอยู่โดยสามารถกำหนดได้ว่าให้ลบ

        6.3กำหนดขนาดของอีเมลบอกซ์ของแต่ละแอคเคาท์ว่าสามารถเก็บอีเมลได้สูงสุดเท่าใด

7.การป้องกันภัยจากการเจาะระบบ  มีแนวทางป้องกันโดนใช้ไฟร์วอลล์ ซึ่งไฟร์วอลล์อาจจะอยู่ในรูปของฮาร์ดแวร์หรือซอฟแวร์ก็ได้โดยเปรียบเสมือนยามเผ้าประตุที่จะเข้าสู่ระบบ

แนวโน้มด้านความปลอดภัยในอนาคต

1.เกิดข้อบังคับในหลายหน่วยงานในการเข้ารหัสเครื่องคอมพิวเตอร์แลปท็อป

2.ปัญหาความปลอดภัยของข้อมูลใน PDA สมารทโฟน และ iPhone

3.การออกกฎหมายที่เกี่ยวข้องกับการป้องกันข้อมูลส่วนบุคคล

4.หน่วยงานภาครัฐที่สำคัญเป็นเป้าหมายการโจมตีของแฮกเกอร์

5.หนอนอินเทอร์เน็ต (Worms) บนโทรศัพท์มือถือ

6.เป้าหมายการโจมตี VoIP (Voice over IP) มีมากขึ้น

7.ภัยจากช่องโหว่แบบซีโร-เดย์ (Zero-Day) ลักษณะของช่องโหว่แบบ Zero-Day คือช่องโหว่ของระบบปฏิบัติการหรือซอฟแวร์ต่างๆ

8.Network Access Control (NAC) มีบทบาทสำคัญมากขึ้นในองค์กร NAC นับว่าเป็นเทคโนโลยีที่เข้ามาใช้มากขึ้นในองค์กรเพื่อช่วยแบ่งเบาภาระขององค์กรในการจัดการปัญหาที่บุคคลในองค์กรรำเครื่องคอมพิวเตอร์ที่ไม่ได้รับอนุญาต

คำถามท้ายบทที่ 6

1. จงระบุความสำคัญของการใช้เทคโนโลยีสารสนเทศบนพื้นฐานของคุณธรรม  จริยธรรม

ตอบ  1.ความเป็นส่วนตัว (Information Privacy)  ความเป็นส่วนตัว คือสิทธิที่จะอยู่ตามลำพัง และเป็นสิทธิที่เจ้าของสามารถที่จะควบคุมข้อมูลของตนเองในการเปิดเผยให้กับผู้อื่น

        2.ความถูกต้องแม่นยำ (Information Accuracy) ความถูกต้องแม่นยำในการเผยแพร่ข่าวสารข้อมูลต่างๆ บนอินเทอร์เน็ต นับว่าให้ความสำคัญเป็นอย่างมาก เพราะข้อมูลดังกล่าวจะเผยแพร่อย่างรวดเร็ว และเข้าถึงได้ง่าย

        3.ความเป็นเจ้าของ (Information Property) ความเป็นเจ้าของเป็นกรรมสิทธิ์ในการถือครองทรัพย์สิน ซึ่งอาจเป็นทรัพย์สินทั่วไปที่จับต้องได้ เช่น คอมพิวเตอร์ อุปกรณ์ทางอิเล็กทรอนิกส์ และที่จับต้องไม่ได้ เช่น ทรัพย์สินทางปัญญา บทเพลง

        4.การเข้าถึงข้อมูล (Data Accessibility)  การเข้าถึงข้อมูลของผู้อื่นโดยไม่ได้รับความยินยอมนั้น ถือเป็นการผิดจริยธรรมเช่นเดียวกับการละเมิดข้อมูลส่วนตัว เพราะบางครั้งในการเข้าถึงข้อมูล การเข้าใช้บริการระบบหรือเว็บไซต์ในหน่วยงาน หรือองค์กรจะมีการกำหนดสิทธิ์ว่าใครมีสิทธิ์ในการเข้าใช้ข้อมูล 

2. หากเพื่อนของนักศึกษาได้ประสบรูปแบบการโจมตีแบบสนิฟเฟอร์ นักศึกษาจะมีแนวทางป้องกันภัยจากการโจมตีรูปแบบนี้อย่างไร

ตอบ  แนวทางป้องกันภัยจากสนิฟเฟอร์  การป้องกันสนิฟเฟอร์วิธีที่ดีที่สุดที่สามารถป้องกันการดักฟัง หรือการดักจับแพ็กเก็ตทางออนไลน์ ก็คือ การเข้ารหัสข้อมูล โดยทำได้ดังนี้

        2.1SSL ใช้ในการเข้ารหัสข้อมูลผ่านเว็บ ส่วนใหญ่จะใช้ในธุรกรรมอิเล็กทรอนิกส์

        2.2SSH ใช้ในการเข้ารหัสเพื่อเข้าไปใช้งานบนระบบยูนิกซ์ เพื่อป้องกันการดักจับ

        2.3VPN เป็นการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเทอร์เน็ต

        2.4PGP เป็นวิธีการเข้ารหัสของอีเมล แต่ที่นิยมอีกวิธีหนึ่งคือ S/MIME

3. ให้อธิบายแนวโน้มรูปแบบการโจมตีระบบเครือข่ายในอนาคต

ตอบ 1.เกิดข้อบังคับในหลายหน่วยงานในการเข้ารหัสเครื่องคอมพิวเตอร์แลปท็อป

        2.ปัญหาความปลอดภัยของข้อมูลใน PDA สมารทโฟน และ iPhone

        3.การออกกฎหมายที่เกี่ยวข้องกับการป้องกันข้อมูลส่วนบุคคล

        4.หน่วยงานภาครัฐที่สำคัญเป็นเป้าหมายการโจมตีของแฮกเกอร์

        5.หนอนอินเทอร์เน็ต (Worms) บนโทรศัพท์มือถือ

        6.เป้าหมายการโจมตี VoIP (Voice over IP) มีมากขึ้น

        7.ภัยจากช่องโหว่แบบซีโร-เดย์ (Zero-Day) ลักษณะของช่องโหว่แบบ Zero-Day คือช่องโหว่ของระบบปฏิบัติการหรือซอฟแวร์ต่างๆ

        8.Network Access Control (NAC) มีบทบาทสำคัญมากขึ้นในองค์กร NAC นับว่าเป็นเทคโนโลยีที่เข้ามาใช้มากขึ้นในองค์กรเพื่อช่วยแบ่งเบาภาระขององค์กรในการจัดการปัญหาที่บุคคลในองค์กรรำเครื่องคอมพิวเตอร์ที่ไม่ได้รับอนุญาต

4. นักศึกษาจะมีวิธีการใช้ VoIP (Voice over IP) อย่างไรจึงจะปลอดภัยจากอาชญากรรมทางคอมพิวเตอร์

ตอบ  เป้าหมายการโจมตี VoIP (Voice over IP) มีมากขึ้น เนื่องจาก VoIP เป็นเทคโนโลยีทางเลือกที่องค์กรนำมาใช้งานโทรศัพท์ระหว่างประเทศที่มีค่าใช้จ่ายน้อย  ลักษณะของ VoIP จะใช้เทคโนโลยีการส่งข้อมูลเสีบงบน IP โปรโตคอล รูปแบบการโจมตีจะมีสองลักษณะ คือ การทำให้ระบบ VoIP ไม่สามารถทำงานได้ และอีกรูปแบบหนึ่งคือ การขโมยข้อมูลเสียงที่ถูกส่งโดย VoIP หรือการเปลี่ยนแปลงข้อมูลเสียงที่ถูกส่งโดย VoIP ก่อนที่จะไปถึงผู้ใช้  เป็นต้น