กฏหมายและความปลอดภัยบนอินเทอร์เน็ต
ในโลกยุคปัจจุบัน คือ สังคมของสารสนเทศซึ่งสามารถสื่อสารข้อมูลข่าวสารได้อย่างอิสระโดยมีระบบเครือข่ายอินเทอร์เน็ตเป็นสื่อกลางในการสื่อสารที่สามารถสื่อสารข้อมูลข่าวสารกันได้ทุกที่ เหมือนกับเส้นใยแมงมุมที่สามารถกระจายไปได้ทุกทิศทางทั่วโลก ทำให้ช่องทางในการสื่อสารมีหลากหลายรูปแบบ เมื่อมีจำนวนผู้ใช้ช่องทางการสื่อสารในระบบเครือข่ายอินเทอร์เน็ตมากขึ้น จึงจำเป็นที่ต้องมีกฏหมายเข้ารองรับการใช้งาน
ความก้าวหน้าทางด้านเทคโนโลยีมีการพัฒนาแบบไม่หยุดยั้ง และต่อมานอกจากการพัฒนาระบบและอุปกรณ์ของคอมพิวเตอร์ หรือการสื่อสารของระบบเครื่อข่ายอินเทอร์เน็ตแล้ว ยังสามารถดำเนินการด้านธุรกรรมอิเล็กทรอนิกส์ และพาณิชย์อิเล็กทรอนิกส์ ซึ่งเป็นช่องทางการค้าในรูปแบบใหม่ของระบบการสื่อสารแบบไร้พรมแดน ทำให้สามารถซื้อขายสินค้ากันได้อย่างกว้างขวาง และไม่จำเป็นที่จะต้องหาทำเลในการตั้งกิจการก็สามารถทำธุรกิจบนระบบเครือข่ายอินเทอร์เน็ตได้
ดังนั้น จึงจำเป็นที่จะต้องมีกฏหมายมารองรับในการดำเนินงานด้านธุรกรรมต่างๆ เพื่อความถูกต้อง และสร้างความเชื่อถือในการดำเนินงาน หรือการสื่อสารบนระบบเครือข่ายอินเทอร์เน็ต
กฏหมายเทคโนโลยีสารสนเทศ
ถึงแม้ว่าในปัจจุบันบางประเทศที่พัฒนาแล้วจะมีกฎหมายควบคุมสื่ออินเทอร์เน็ต ก็ยังไม่สามารถควบคุมภัยล่อลวงต่าง ๆ จากสื่ออินเทอร์เน็ตได้อย่างมีประสิทธิภาพอย่างเด็ดขาดเต็มที่โดยเฉพาะควบคุมดูแลการเผยแพร่ข้อมูลข่าวสารบนสื่ออินเทอร์เน็ตนั้นก็ยังเป็นปัญหา โดยเฉพาะการเผยแพร่สื่อสารลามกหรือบ่อนการพนัน
ซึ่งปัญหาดังกล่าว นอกจากจะเกี่ยวข้องกับสิทธิส่วนบุคคลในการเข้าถึงข้อมูล การก้าวก่ายสิทธิเสรีภาพในการแสดงออก ซึ่งเป็ยสิทธิพื้นฐานของประชาชน ยังอาจจะขัดต่อกฏหมายรัฐธรรมนูญของประเทศอีกด้วย อีกทั้งลักษณะพิเศษของข้อมูลต่างๆ ที่อยู่ในเครือข่ายอินเทอร์เน็ต เป็นเครือข่ายที่ลักษณะเป็นใยแมงมุม ซึ่งระบบกระจายความรับผิดชอบไม่มีศูนย์กลางของระบบ และเป็นเครื่อข่ายข้อมูลระดับโลกยากต่อกรควบคุม และเป็นสื่อที่ไม่มีตัวตน หรือแหล่งที่มาที่ชัดเจนทั้งผู้ส่งข้อมูล หรือผู้รับข้อมูล
ดังนั้นกฏหมายที่จะมากำกับดูแล หรือควบคุมสื่ออินเทอร์เน็ต จะต้องเป็นกฏหมายลักษณะพิเศษเป็นที่ยอมรับในระดับสากล แต่ความแตกต่างในระดับการเมือง สังคม และวัฒนธรรม ในแต่ละประเทศยังเป็นปัญหาอุปสรรค ในการร่างกฏหมายดังกล่าวซึ่งปัจจุบันยังไม่ปรากฏผลเป็นกฏหมายยังคงอยู่ในระยะที่กำลังสร้างกฏเกณฑ์กติกาขึ้นมากำกับบริการอินเทอร์เน็ต
ประเทศไทยกับการพัฒนา กฎหมายเทคโนโลยีสารสนเทศ
กฎหมายเทคโนโลยีสารสนเทศของประเทศไทยเริ่มวันที่ 15 ธันวาคม 2541 โดยคณะ กรรมการเทคโนโลยีสารสนเทศแห่งชาติเรียก (กทสช) ได้ทำการศึกษาและยกร่างกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ ได้แก่
1. กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law)
เพื่อรับรองสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ให้เสมอด้วยกระดาษ อันเป็นการรองรับนิติสัมพันธ์ต่าง ๆ ซึ่งแต่เดิมอาจจะจัดทำขึ้นในรูปแบบของหนังสือให้เท่าเทียมกับนิติสัมพันธ์รูปแบบใหม่ที่จัดทำขึ้นให้อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์ รวมตลอดทั้งการลงลายมือชื่อในข้อมูลอิเล็กทรอนิกส์ และการรับฟังพยานหลักฐานที่อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์
2. กฎหมายเกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signatures Law)เพื่อรับรองการใช้ลายมือชื่อิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์ และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์
3. กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึง และเท่าเทียมกัน (National Information Infrastructure Law)เพื่อก่อให้เกิดการส่งเสริม สนับสนุน และพัฒนาโครงสร้างพื้นฐานสารสนเทศ อันได้แก่ โครงข่ายโทรคมนาคม เทคโนโลยีสารสนเทศ สารสนเทศทรัพยากรมนุษย์ และโครงสร้างพื้นฐานสารสนเทศสำคัญอื่น ๆ อันเป็นปัจจัยพื้นฐาน สำคัญในการพัฒนาสังคม และชุมชนโดยอาศัยกลไกของรัฐ ซึ่งรองรับเจตนารมณ์สำคัญประการหนึ่งของแนวนโยบายพื้นฐานแห่งรัฐตามรัฐธรรมนูญ มาตรา 78 ในการกระจายสารสนเทศให้ทั่วถึง และเท่าเทียมกัน และนับเป็นกลไกสำคัญในการช่วยลดความเหลื่อมล้ำของสังคมอย่างค่อยเป็นค่อยไป เพื่อสนับสนุนให้ท้องถิ่นมีศักยภาพในการปกครองตนเองพัฒนาเศรษฐกิจภายในชุมชน และนำไปสู่สังคมแห่งปัญญา และการเรียนรู้
4. กฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Law) เพื่อก่อให้เกิดการรับรองสิทธิและให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจถูกประมวลผล เปิดเผยหรือเผยแพร่ถึงบุคคลจำนวนมากได้ในระยะเวลาอันรวดเร็วโดยอาศัยพัฒนาการทางเทคโนโลยี จนอาจก่อให้เกิดการนำข้อมูลนั้นไปใช้ในทางมิชอบอันเป็นการละเมิดต่อเจ้าของข้อมูล ทั้งนี้ โดยคำนึงถึงการรักษาดุลยภาพระหว่างสิทธิขั้นพื้นฐานในความเป็นส่วนตัว เสรีภาพในการติดต่อสื่อสาร และความมั่นคงของรัฐ
5. กฎหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer Crime Law) เพื่อกำหนดมาตรการทางอาญาในการลงโทษผู้กระทำผิดต่อระบบการทำงานของคอมพิวเตอร์ ระบบข้อมูล และระบบเครือข่าย ทั้งนี้เพื่อเป็นหลักประกันสิทธิเสรีภาพ และการคุ้มครองการอยู่ร่วมกันของสังคม
6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law) เพื่อกำหนดกลไกสำคัญทางกฎหมายในการรองรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ทั้งที่เป็นการโอนเงินระหว่างสถาบันการเงิน และระบบการชำระเงินรูปแบบใหม่ในรูปของเงินอิเล็กทรอนิกส์ก่อให้เกิดความเชื่อมั่นต่อระบบการทำธุรกรรมทางการเงิน และการทำธุรกรรมทางอิเล็กทรอนิกส์มากยิ่งขึ้น
6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law) เพื่อกำหนดกลไกสำคัญทางกฎหมายในการรองรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ทั้งที่เป็นการโอนเงินระหว่างสถาบันการเงิน และระบบการชำระเงินรูปแบบใหม่ในรูปของเงินอิเล็กทรอนิกส์ก่อให้เกิดความเชื่อมั่นต่อระบบการทำธุรกรรมทางการเงิน และการทำธุรกรรมทางอิเล็กทรอนิกส์มากยิ่งขึ้น
มาตรการป้องกันและปราบปรามอาชญากรรมทางคอมพิวเตอร์
มาตรการป้องกันและปราบปรามอาชญากรรมทางคอมพิวเตอร์ ได้จัดแบ่งออกเป็น 4 ประเภท ดังต่อไปนี้
มาตรการด้านเทคโนโลยี
เป็นการต่อต้านอาชญากรรมทางคอมพิวเตอร์โดยผู้ใช้สามารถใช้หรือติดตั้งเทคโนโลยีต่างๆ ที่มีอยู่ในปัจจุบัน อาทิ การติดตั้งระบบการตรวจจับการบุกรุก (Intrusion Detection) หรือการติดตั้งกำแพงไฟ (Firewall) เพื่อป้องกันหรือรักษาคอมพิวเตอร์ของตนให้มีความ ปลอดภัย ซึ่งนอกเหนือจากการติดตั้งเทคโนโลยีแล้วการตรวจสอบเพื่อประเมินความเสี่ยง อาทิ การจัดให้มีระบบวิเคราะห์ความเสี่ยงและการให้การรับรอง (Analysis Risk and Security Certification) รวมทั้งวินัยของ ผู้ปฏิบัติงานก็เป็นสิ่งสำคัญที่ต้องได้รับการปฏิบัติอย่างเคร่งครัดและสม่ำเสมอ มิเช่นนั้นการติดตั้งเทคโนโลยีที่มีประสิทธิภาพเพื่อใช้ในการป้องกันปัญหาดังกล่าวก็ไม่ก่อให้เกิดประโยชน์แต่อย่างใด
มาตรการด้านกฏหมาย
มาตรการด้านกฎหมายเป็นนโยบายของรัฐบาลไทยประการหนึ่งที่นำมาใช้ในการต่อต้านอาชญากรรมคอมพิวเตอร์ โดยการบัญญัติหรือตรากฎหมายเพื่อกำหนดว่าการกระทำใดบ้างที่มีโทษทางอาญา ในปัจจุบัน ประเทศไทยมีกฎหมายที่เกี่ยวข้องหลายฉบับ
ดังนี้
1.2 การให้อำนาจพิเศษแก่เจ้าพนักงานในการปราบปรามการกระทำความผิด นอกเหนือเพิ่มเติมไปจากอำนาจโดยทั่วไป
ที่บัญญัติไว้ในกฎหมายอื่นๆ อาทิ การให้อำนาจในการสั่งให้ถอดรหัสข้อมูลคอมพิวเตอร์ อำนาจในการเรียกดูข้อมูลจราจร (traffic
data) หรือ อำนาจค้นโดยไม่ต้องมีหมายในบางกรณี
2. กฏหมายอื่นที่เกี่ยวข้อง นอกเหนือจากกฎหมายอาชญากรรมคอมพิวเตอร์ดังที่ได้กล่าวไว้ในตอนต้นแล้ว ปัจจุบันมีกฎหมายอีกหลายฉบับทั้งที่ตราขึ้นใช้บังคับแล้ว และที่อยู่ระหว่างกระบวนการตรานิติบัญญัติ ที่มีเนื้อหาเกี่ยวข้องกับการป้องกันหรือปราบปรามอาชญากรรม
ทางคอมพิวเตอร์ เช่น
2.1 พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 74 ซึ่งกำหนดฐานความผิดเกี่ยวกับการดักรับไว้ หรือใช้ประโยชน์ หรือเปิดเผยข้อความข่าวสาร หรือข้อมูลอื่นใดที่มีการสื่อสารโทรคมนาคมโดยไม่ชอบด้วยกฎหมาย
2.2 กฎหมายอื่นที่อยู่ระหว่างการดำเนินการ ได้แก่ ร่างพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายอาญา โดยเป็นการกำหนดฐานความผิดเกี่ยวกับการปลอมหรือแปลงบัตรอิเล็กทรอนิกส์ ตลอดจนกำหนดฐานความผิดเกี่ยวกับการใช้ มีไว้เพื่อใช้ นำเข้า หรือส่งออก การจำหน่ายซึ่งบัตรอิเล็กทรอนิกส์ปลอมหรือแปลง และลงโทษบุคคลที่ทำการผลิต หรือมีเครื่องมือในการผลิต
1. กฏหมายเทคโนโลยีสารสนเทศ กฎหมายอาชญากรรมทางคอมพิวเตอร์ หรือร่างพระราชบัญญัติว่าด้วยอาชญากรรมทางคอมพิวเตอร์ พ.ศ. …. ซึ่งขณะนี้เป็นกฎหมายหนึ่งในหกฉบับที่อยู่ภายใต้ความรับผิดชอบของโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ โดยมีสาระสำคัญของกฎหมายแบ่งออกได้เป็น 2 ส่วนหลัก คือ
1.1 การกำหนดฐานความผิดและบทลงโทษเกี่ยวกับการกระทำที่เป็นอาชญากรรมทางคอมพิวเตอร์ เช่น ความผิดเกี่ยวกับการ
เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยไม่มีอำนาจ (Illegal Access) ความผิดฐานลักลอบดักข้อมูลคอมพิวเตอร์
(Illegal Interception) หรือ ความผิดฐานรบกวนข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์โดยมิชอบ (Interference
computer data and computer system) ความผิดฐานใช้อุปกรณ์ในทางมิชอบ (Misuse of Devices) เป็นต้น
ดังนี้
1.2 การให้อำนาจพิเศษแก่เจ้าพนักงานในการปราบปรามการกระทำความผิด นอกเหนือเพิ่มเติมไปจากอำนาจโดยทั่วไป
ที่บัญญัติไว้ในกฎหมายอื่นๆ อาทิ การให้อำนาจในการสั่งให้ถอดรหัสข้อมูลคอมพิวเตอร์ อำนาจในการเรียกดูข้อมูลจราจร (traffic
data) หรือ อำนาจค้นโดยไม่ต้องมีหมายในบางกรณี
2. กฏหมายอื่นที่เกี่ยวข้อง นอกเหนือจากกฎหมายอาชญากรรมคอมพิวเตอร์ดังที่ได้กล่าวไว้ในตอนต้นแล้ว ปัจจุบันมีกฎหมายอีกหลายฉบับทั้งที่ตราขึ้นใช้บังคับแล้ว และที่อยู่ระหว่างกระบวนการตรานิติบัญญัติ ที่มีเนื้อหาเกี่ยวข้องกับการป้องกันหรือปราบปรามอาชญากรรม
ทางคอมพิวเตอร์ เช่น
2.1 พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 74 ซึ่งกำหนดฐานความผิดเกี่ยวกับการดักรับไว้ หรือใช้ประโยชน์ หรือเปิดเผยข้อความข่าวสาร หรือข้อมูลอื่นใดที่มีการสื่อสารโทรคมนาคมโดยไม่ชอบด้วยกฎหมาย
2.2 กฎหมายอื่นที่อยู่ระหว่างการดำเนินการ ได้แก่ ร่างพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายอาญา โดยเป็นการกำหนดฐานความผิดเกี่ยวกับการปลอมหรือแปลงบัตรอิเล็กทรอนิกส์ ตลอดจนกำหนดฐานความผิดเกี่ยวกับการใช้ มีไว้เพื่อใช้ นำเข้า หรือส่งออก การจำหน่ายซึ่งบัตรอิเล็กทรอนิกส์ปลอมหรือแปลง และลงโทษบุคคลที่ทำการผลิต หรือมีเครื่องมือในการผลิต
1. กฏหมายเทคโนโลยีสารสนเทศ กฎหมายอาชญากรรมทางคอมพิวเตอร์ หรือร่างพระราชบัญญัติว่าด้วยอาชญากรรมทางคอมพิวเตอร์ พ.ศ. …. ซึ่งขณะนี้เป็นกฎหมายหนึ่งในหกฉบับที่อยู่ภายใต้ความรับผิดชอบของโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ โดยมีสาระสำคัญของกฎหมายแบ่งออกได้เป็น 2 ส่วนหลัก คือ
1.1 การกำหนดฐานความผิดและบทลงโทษเกี่ยวกับการกระทำที่เป็นอาชญากรรมทางคอมพิวเตอร์ เช่น ความผิดเกี่ยวกับการ
เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยไม่มีอำนาจ (Illegal Access) ความผิดฐานลักลอบดักข้อมูลคอมพิวเตอร์
(Illegal Interception) หรือ ความผิดฐานรบกวนข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์โดยมิชอบ (Interference
computer data and computer system) ความผิดฐานใช้อุปกรณ์ในทางมิชอบ (Misuse of Devices) เป็นต้น
มาตรการด้านความร่วมมือระหว่างหน่วยงาน
นอกเหนือจากมาตรการทางเทคโนโลยีที่ผู้ใช้ต้องดำเนินการ หรือมาตรการทางกฎหมายที่รัฐบาลต้องผลักดันกฎหมายต่างๆ แล้ว
มาตรการสำคัญอีกประการหนึ่งที่จะช่วยให้การป้องกันปราบปรามอาชญากรรมทางคอมพิวเตอร์สัมฤทธิ์ในทางปฏิบัติได้นั้น คือ
มาตรการด้านความร่วมมือกับระหว่างหน่วยงานต่างๆ ที่เกี่ยวข้อง ทั้งภาครัฐและเอกชนซึ่งมิได้จำกัดเพียงเฉพาะหน่วยงานที่มี
หน้าที่ตามกฎหมายเท่านั้น แต่ยังรวมไปถึงหน่วยงานอื่นๆ ที่อาจเกี่ยวข้องไม่ว่าจะเป็นในด้านของผู้พัฒนาระบบ
หรือผู้กำหนดนโยบายก็ตาม
นอกเหนือจากความร่วมมือระหว่างหน่วยงานต่างๆ แล้วสิ่งสำคัญอีกประการหนึ่งคือความจำเป็นที่จะต้องมีหน่วยงานด้านความปลอดภัยของเครือข่ายเพื่อรับมือ กับปัญหาฉุกเฉินด้านความปลอดภัยคอมพิวเตอร์ขึ้นโดยเฉพาะ และเป็นศูนย์กลางคอยให้ค วามช่วยเหลือในด้านต่างๆ รวมทั้งให้คำปรึกษาถึงวิธีการหรือแนวทางแก้ไข ซึ่งปัจจุบันศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือเนคเทค ได้จัดตั้งศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (Thai ComputerEmergency Response Team / ThaiCERT) เพื่อเป็นหน่วยงานให้ความช่วยเหลือและให้ข้อมูลทางวิชาการเกี่ยวกับการ ตรวจสอบและการรักษาความปลอดภัยคอมพิวเตอร์แก่ผู้ที่สนใจทั้งภาครัฐและเอกชน รวมทั้งเป็นหน่วยงานรับแจ้งเหตุกรณีที่มีการ
ละเมิดความปลอดภัยคอมพิวเตอร์เกิดขึ้น
มาตรการสำคัญอีกประการหนึ่งที่จะช่วยให้การป้องกันปราบปรามอาชญากรรมทางคอมพิวเตอร์สัมฤทธิ์ในทางปฏิบัติได้นั้น คือ
มาตรการด้านความร่วมมือกับระหว่างหน่วยงานต่างๆ ที่เกี่ยวข้อง ทั้งภาครัฐและเอกชนซึ่งมิได้จำกัดเพียงเฉพาะหน่วยงานที่มี
หน้าที่ตามกฎหมายเท่านั้น แต่ยังรวมไปถึงหน่วยงานอื่นๆ ที่อาจเกี่ยวข้องไม่ว่าจะเป็นในด้านของผู้พัฒนาระบบ
หรือผู้กำหนดนโยบายก็ตาม
นอกเหนือจากความร่วมมือระหว่างหน่วยงานต่างๆ แล้วสิ่งสำคัญอีกประการหนึ่งคือความจำเป็นที่จะต้องมีหน่วยงานด้านความปลอดภัยของเครือข่ายเพื่อรับมือ กับปัญหาฉุกเฉินด้านความปลอดภัยคอมพิวเตอร์ขึ้นโดยเฉพาะ และเป็นศูนย์กลางคอยให้ค วามช่วยเหลือในด้านต่างๆ รวมทั้งให้คำปรึกษาถึงวิธีการหรือแนวทางแก้ไข ซึ่งปัจจุบันศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือเนคเทค ได้จัดตั้งศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (Thai ComputerEmergency Response Team / ThaiCERT) เพื่อเป็นหน่วยงานให้ความช่วยเหลือและให้ข้อมูลทางวิชาการเกี่ยวกับการ ตรวจสอบและการรักษาความปลอดภัยคอมพิวเตอร์แก่ผู้ที่สนใจทั้งภาครัฐและเอกชน รวมทั้งเป็นหน่วยงานรับแจ้งเหตุกรณีที่มีการ
ละเมิดความปลอดภัยคอมพิวเตอร์เกิดขึ้น
มาตรการทางสังคม
ในปัจจุบันสังคมไทยกำลังเผชิญกับปัญหาการใช้อินเทอร์เน็ตไปในทางไม่ชอบหรือฝ่าผืนต่อบทบัญญัติของกฏหมาย ทั้งโดยการเผยแพร่เนื้อหาอันไม่เหมาะสม ไม่ว่าจะเป็นสื่อสามกอนาจาร ข้อความหมิ่นประมาท การชักจูงล่อล่วง หลอกลวงเด็กและเยาวชนไปในทางที่เสียหาย หรือพฤติกรรมอื่นอันเป็นภัยต่อสังคม โดยคาดการณ์ว่าการกระทำ หรือพฤติกรรมดังกล่าวจะมีปริมาณที่เพิ่มสูงขึ้นตามสัดส่วนการใช้งานของผู้ใช้อินเทอร์เน็ต อันส่งผลกระทบต่อเด็กและเยาวชนของชาติ ดังนั้น หน่วยงานทั้งภาครัฐและเอกชนจึงได้เร่งรณรงค์ในการป้องกันปัญหาดังกล่าวร่วมกันเพื่อดูแลและปกป้องเด็กและเยาวชนจากผลกระทบดังกล่าว
ภัยร้ายบนอินเทอร์เน็ต
ภัยร้ายบนอินเทอร์เน็ตที่จัดอยู่ในรูปแบบของการล่อล่วง โดยใช้โปรแกรมคอมพิวเตอร์ประกอบด้วย
โปรแกรมรหัสลับ ( Encryption Software)
โปรแกรมนี้จะล็อกแฟ้มข้อมูลหรือข้อความไว้ เพื่อให้เปิดได้เฉพาะในหมู่ผู้ใช้ที่มีโปรแกรมคอมพิวเตอร์ชนิดเดียวกัน หรือมี "รหัสผ่าน" หรือ "Password" ที่ใช้เปิดแฟ้มนี้ อาจเป็นชุดตัวเลขที่ตั้งขึ้นมาแบบสุ่ม โปรแกรมชนิดนี้ดดยทั่วไปนิยมใช้กันในเครื่องมืออุปกรณ์อิเล็กทรอนิกส์ต่างๆ เช่น ที่เปิดประตูอัตโนมัติ เครื่องกดเงินด่วน (ATM) เป็นต้น
โปรแกรมแปลงภาพและแต่งภาพ
เทคโนโลยีด้านคอมพิวเตอร์สมัยใหม่ก่อให้เกิดสื่อด้านลามกขึ้นมากมายเพราะมีโปรแกรมคอมพิวเตอร์สำหรับใช้ในการตกแต่งภาพและแปลงภาพในรูปแบบต่างๆ เช่น โปรแกรม Photoshops, Illustrator หรือ Photo Editor ซึ่งโปรแกรมคอมพิวเตอร์เหล่านี้ เมื่อนำไปใช้ในทางที่ถูกต้องก้จะทำให้เกิดภาพที่สวยงาม หรือเป็นการสร้างภาพงานศิลปะ เช่น การปรับแต่งรูปภาพนางแบบสำหรับนิตยสารเพื่อช้วยให้ได้ภาพที่สวยงาม ในส่วนใดที่มีข้อบกพร่องก็สามารถใช้โปรแกรมคอมพิวเตอร์ช่วยในการแต่งเติมรูปภาพได้ แต่ในระบบเครือข่ายอินเทอร์เน็ตเป็นระบบที่เปิดกว้างในการใช้งานกับบุคคลทุกคน ซึ่งจะมีทุกกลุ่มบุคคลและทุกประเภทที่สามารถเข้ามาใช้งานโดยมีบางคนที่ขาดคุณธรรม จริยธรรมในการใช้งานอินเทอร์เน็ต ซึ่งได้นำภาพที่ไม่เหมาะสมของกลุ่มคนที่มีชื่อเสียง เช่น ดารา นักร้อง หรือนำภาพของบุคคลเหล่านั้นไปใช้โปรแกรมคอมพิวเตอร์ในการตกแต่งภาพ ซึ่งเป็นภาพที่บิดเบือนจากความเป็นจริงดยส่วนมากจะเป็นภาพที่ส่อให้เกิดภาพอนาจาร แล้วนำไปเผยแพร่บนเครือข่ายอินเทอร์เน็ต ก่อให้เกิดความเสื่อมเสียแก่บุคคลนั้น นับว่าเป็นการละเมิดสิทธิส่วนบุคคล ในอดีตจะไม่มีการคุ้มครอง ซึ่งบุคคลที่กระทำการแปลงภาพเหล่านี้จะไม่ถูกดำเนินคดีทางกฏหมาย แต่ในปัจจุบันได้มีการออกกฏหมายด้านเทคโนโลยีด้านสารสนเทศขึ้นมาเพื่อดำเนินคดีสำหรับผู้กระทำการปลอบแปลงภาพ โดยจะถือว่าผู้ใดที่ทำการปลอมแปลงภาพซึ่งบิดเบือยจากความเป็นจริง ถือว่ากระทำการที่ผิดกฏหมาย
อาชญากรรมทางคอมพิวเตอร์
เทคโนโลยีที่ทันสมัย แม้จะช่วยอำนวยความสะดวกได้มากเพียงใดก็ตาม สิ่งที่ต้องยอมรับความจริงก็คือ เทคโนโลยีทุกอย่างมีจุดเด่น ข้อด้อยของตนทั้งสิ้น ทั้งที่มาจากตัวเทคโนโลยีเอง และมาจากปัญหาอื่นๆ เช่น บุคคลที่มีจุดประสงค์ร้าย ในโลก cyberspace อาชญากรรมคอมพิวเตอร์เป็นปัญหาหลักที่นับว่ายิ่งมีความรุนแรง เพิ่มมากขึ้น ประมาณกันว่ามีถึง 230% ในช่วงปี 2002 และ แหล่งที่เป็นจุดโจมตีมากที่สุดก็คือ อินเทอร์เน็ต นับว่ารุนแรงกว่าปัญหาไวรัสคอมพิวเตอร์เสียด้วยซ้ำ หน่วยงานทุกหน่วยงานที่นำไอทีมาใช้งาน จึงต้องตระหนักในปัญหานี้เป็นอย่างยิ่ง จำเป็นต้องลงทุนด้านบุคลากรที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัย ระบบซอฟต์แวร์ ฮาร์ดแวร์ที่มีประสิทธิภาพ การวางแผน ติดตาม และประเมินผลที่ต้องกระทำอย่างสม่ำเสมอต่อเนื่อง แต่ไม่ว่าจะมีการป้องกันดีเพียงใด ปัญหาการโจมตีระบบคอมพิวเตอร์ก็มีอยู่เรื่อยๆ ทั้งนี้ระบบการโจมตีที่พบบ่อยๆ ได้แก่
Hacker & Cracker อาชญากรที่ได้รับการยอมรับว่ามีผลกระทบต่อสังคมไอทีเป็นอย่างยิ่ง บุลากรในองค์กร หน่วยงานคุณไล่พนักงานออกจากงาน, สร้างความไม่พึงพอใจให้กับพนักงาน นี่แหล่ะปัญหาของอาชญกรรมได้เช่นกัน
Buffer overflow เป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่ทำอันตรายให้กับระบบได้มากที่สุด โดยอาชญากรจะอาศัยช่องโหว่ของระบบปฏิบัติการ และขีดจำกัดของทรัพยากรระบบมาใช้ในการจู่โจม การส่งคำสั่งให้เครื่องแม่ข่ายเป็นปริมาณมากๆ ในเวลาเดียวกัน ซึ่งส่งผลให้เครื่องไม่สามารถรันงานได้ตามปกติ หน่วยความจำไม่เพียงพอ จนกระทั่งเกิดการแฮงค์ของระบบ เช่นการสร้างฟอร์มรับส่งเมล์ที่ไม่ได้ป้องกัน ผู้ไม่ประสงค์อาจจะใช้ฟอร์มนั้นในการส่งข้อมูลกระหน่ำระบบได้
Backdoors นักพัฒนาเกือบทุกราย มักสร้างระบบ Backdoors เพื่อช่วยอำนวยความสะดวกในการทำงาน ซึ่งหากอาชญากรรู้เท่าทัน ก็สามารถใช้ประโยชน์จาก Backdoors นั้นได้เช่นกัน
CGI Script ภาษาคอมพิวเตอร์ที่นิยมมากในการพัฒนาเว็บเซอร์วิส มักเป็นช่องโหว่รุนแรงอีกทางหนึ่งได้เช่นกัน
Hidden HTML การสร้างฟอร์มด้วยภาษา HTML และสร้างฟิลด์เก็บรหัสแบบ Hidden ย่อมเป็นช่องทางที่อำนวยความสะดวกให้กับอาชญากรได้เป็นอย่างดี โดยการเปิดดูรหัสคำสั่ง (Source Code) ก็สามารถตรวจสอบและนำมาใช้งานได้ทันที
Failing to Update การประกาศจุดอ่อนของซอฟต์แวร์ เพื่อให้ผู้ใช้นำไปปรับปรุงเป็นทางหนึ่งที่อาชญากร นำไปจู่โจมระบบที่ใช้ซอฟต์แวร์นั้นๆ ได้เช่นกัน เพราะกว่าที่เจ้าของเว็บไซต์ หรือระบบ จะทำการปรับปรุง (Updated) ซอตฟ์แวร์ที่มีช่องโหว่นั้น ก็สายเกินไปเสียแล้ว
Illegal Browsing ธุรกรรมทางอินเทอร์เน็ต ย่อมหนีไม่พ้นการส่งค่าผ่านทางบราวเซอร์ แม้กระทั่งรหัสผ่านต่างๆ ซึ่งบราวเซอร์บางรุ่น หรือรุ่นเก่าๆ ย่อมไม่มีความสามารถในการเข้ารหัส หรือป้องกันการเรียกดูข้อมูล นี่ก็เป็นอีกจุดอ่อนของธุรกรรมอิเล็กทรอนิกส์ได้เช่นกัน
Malicious scripts ก็เขียนโปรแกรมไว้ในเว็บไซต์ แล้วผู้ใช้เรียกเว็บไซต์ดูบนเครื่องของตน มั่นใจหรือว่าไม่เจอปัญหา อาชญากรอาจจะเขียนโปรแกรมแผงในเอกสารเว็บ เมื่อถูกเรียก โปรแกรมนั่นจะถูกดึงไปประมวลผลฝั่งไคลน์เอ็นต์ และทำงานตามที่กำหนดไว้อย่างง่ายดาย โดยเราเองไม่รู้ว่าเรานั่นแหล่ะเป็นผู้สั่งรันโปรแกรมนั้นด้วยตนเอง น่ากลัวเสียจริงๆๆ
Poison cookies ขนมหวานอิเล็กทรอนิกส์ ที่เก็บข้อมูลต่างๆ ตามแต่จะกำหนด จะถูกเรียกทำงานทันทีเมื่อมีการเรียกดูเว็บไซต์ที่บรรจุคุกกี้ชิ้นนี้ และไม่ยากอีกเช่นกันที่จะเขียนโปรแกรมแฝงอีกชิ้น ให้ส่งคุกกี้ที่บันทึกข้อมูลต่างๆ ของผู้ใช้ส่งกลับไปยังอาชญากร
ไวรัสคอมพิวเตอร์ ภัยร้ายสำหรับหน่วยงานที่ใช้ไอทีตั้งแต่เริ่มแรก และดำรงอยู่อย่างอมตะตลอดกาล ในปี 2001 พบว่าไวรัส Nimda ได้สร้างความเสียหายได้สูงสุด เป็นมูลค่าถึง 25,400 ล้าบบาท ในทั่วโลก ตามด้วย Code Red, Sircam, LoveBug, Melissa ตามลำดับที่ไม่หย่อนกว่ากัน
Buffer overflow เป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่ทำอันตรายให้กับระบบได้มากที่สุด โดยอาชญากรจะอาศัยช่องโหว่ของระบบปฏิบัติการ และขีดจำกัดของทรัพยากรระบบมาใช้ในการจู่โจม การส่งคำสั่งให้เครื่องแม่ข่ายเป็นปริมาณมากๆ ในเวลาเดียวกัน ซึ่งส่งผลให้เครื่องไม่สามารถรันงานได้ตามปกติ หน่วยความจำไม่เพียงพอ จนกระทั่งเกิดการแฮงค์ของระบบ เช่นการสร้างฟอร์มรับส่งเมล์ที่ไม่ได้ป้องกัน ผู้ไม่ประสงค์อาจจะใช้ฟอร์มนั้นในการส่งข้อมูลกระหน่ำระบบได้
Backdoors นักพัฒนาเกือบทุกราย มักสร้างระบบ Backdoors เพื่อช่วยอำนวยความสะดวกในการทำงาน ซึ่งหากอาชญากรรู้เท่าทัน ก็สามารถใช้ประโยชน์จาก Backdoors นั้นได้เช่นกัน
CGI Script ภาษาคอมพิวเตอร์ที่นิยมมากในการพัฒนาเว็บเซอร์วิส มักเป็นช่องโหว่รุนแรงอีกทางหนึ่งได้เช่นกัน
Hidden HTML การสร้างฟอร์มด้วยภาษา HTML และสร้างฟิลด์เก็บรหัสแบบ Hidden ย่อมเป็นช่องทางที่อำนวยความสะดวกให้กับอาชญากรได้เป็นอย่างดี โดยการเปิดดูรหัสคำสั่ง (Source Code) ก็สามารถตรวจสอบและนำมาใช้งานได้ทันที
Failing to Update การประกาศจุดอ่อนของซอฟต์แวร์ เพื่อให้ผู้ใช้นำไปปรับปรุงเป็นทางหนึ่งที่อาชญากร นำไปจู่โจมระบบที่ใช้ซอฟต์แวร์นั้นๆ ได้เช่นกัน เพราะกว่าที่เจ้าของเว็บไซต์ หรือระบบ จะทำการปรับปรุง (Updated) ซอตฟ์แวร์ที่มีช่องโหว่นั้น ก็สายเกินไปเสียแล้ว
Illegal Browsing ธุรกรรมทางอินเทอร์เน็ต ย่อมหนีไม่พ้นการส่งค่าผ่านทางบราวเซอร์ แม้กระทั่งรหัสผ่านต่างๆ ซึ่งบราวเซอร์บางรุ่น หรือรุ่นเก่าๆ ย่อมไม่มีความสามารถในการเข้ารหัส หรือป้องกันการเรียกดูข้อมูล นี่ก็เป็นอีกจุดอ่อนของธุรกรรมอิเล็กทรอนิกส์ได้เช่นกัน
Malicious scripts ก็เขียนโปรแกรมไว้ในเว็บไซต์ แล้วผู้ใช้เรียกเว็บไซต์ดูบนเครื่องของตน มั่นใจหรือว่าไม่เจอปัญหา อาชญากรอาจจะเขียนโปรแกรมแผงในเอกสารเว็บ เมื่อถูกเรียก โปรแกรมนั่นจะถูกดึงไปประมวลผลฝั่งไคลน์เอ็นต์ และทำงานตามที่กำหนดไว้อย่างง่ายดาย โดยเราเองไม่รู้ว่าเรานั่นแหล่ะเป็นผู้สั่งรันโปรแกรมนั้นด้วยตนเอง น่ากลัวเสียจริงๆๆ
Poison cookies ขนมหวานอิเล็กทรอนิกส์ ที่เก็บข้อมูลต่างๆ ตามแต่จะกำหนด จะถูกเรียกทำงานทันทีเมื่อมีการเรียกดูเว็บไซต์ที่บรรจุคุกกี้ชิ้นนี้ และไม่ยากอีกเช่นกันที่จะเขียนโปรแกรมแฝงอีกชิ้น ให้ส่งคุกกี้ที่บันทึกข้อมูลต่างๆ ของผู้ใช้ส่งกลับไปยังอาชญากร
ไวรัสคอมพิวเตอร์ ภัยร้ายสำหรับหน่วยงานที่ใช้ไอทีตั้งแต่เริ่มแรก และดำรงอยู่อย่างอมตะตลอดกาล ในปี 2001 พบว่าไวรัส Nimda ได้สร้างความเสียหายได้สูงสุด เป็นมูลค่าถึง 25,400 ล้าบบาท ในทั่วโลก ตามด้วย Code Red, Sircam, LoveBug, Melissa ตามลำดับที่ไม่หย่อนกว่ากัน
อาชญากรรมทางคอมพิวเตอร์ที่สร้างความสูญเสียทางเศรษฐกิจ 10 อันดับ ได้แก่
1. การทำให้ระบบไม่สามารถให้บริการได้
2. การขโมยข้อมูลทางอินเทอร์เน็ต โดยเแพาะข้อมูลที่เป็นความลับต่างๆ เช่น ข้อมูล บัตรเครดิต เป็นต้น
3. การโจมตีระบบจากคนภายในองค์กร
4. การโจมตีระบบเครือข่ายไร้สาย
5. การฉ้อโกงเงิน โดยใช้คอมพิวเตอร์แอบโอนเงินจากบัญชีผู้อื่นเข้าบัญชีตนเอง
6. การถูกขโมยคอมพิวเตอร์ Notebook
7. การเข้าถึงระบบโดยไม่ได้รับอนุญาต
8. การฉ้อโกงด้านโทรคมนาคม
9. การใช้เว็บแอพพลิเคชั่นด้านสารณะในทางที่ผิด โดยใช้คอมพิวเตอร์แพร่ภาพ เสียง ลามก อนาจาร และข้อมูลไม่เหมาะสม
10. การเปลี่ยนโฉมเว็บไซต์โดยไม่ได้รับอนุญาต
บัญญัติ 10 ประการ ด้านความปลอดภัยของอินเทอร์เน็ต
1. ตั้งรหัสผ่านที่ยากแก่การเดา
2. เปลี่ยนรหัสผ่านสม่ำเสมอ เช่น ทุก 3 เดือน
3. ปรับปรุงโปรแกรมป้องกันไวรัสตลอดเวลา
4. ให้ความรู้แก่บุคลากรในเรื่องความปลอดภัยในการรับไฟล์ หรือการดาวน์โหลดไฟล์จากอินเตอร์เน็ต
5. ติดตั้งระบบรักษาความปลอดภัยสำหรับเครื่อข่ายอย่างสมบูรณ์
6. ประเมินสถานการณ์ของความปลอดภัยในเครื่อข่ายอย่างสม่ำเสมอ
7. ลบรหัสผ่าน และบัญชีการใช้ของพนักงานที่ออกจากหน่วยงานทันที
8. วางระบบรักษาความปลอดภัยสำหรับการเข้าถึงระบบของพนักงานจากภายนองหน่วยงาน
9. ปรับปรุงซอฟต์แวร์อย่างสม่ำเสมอ
10. ไม่ใช้การบริการบางตัวบนเครื่อข่ายอินเทอร์เน็ตอย่างไม่จำเป็น
2. เปลี่ยนรหัสผ่านสม่ำเสมอ เช่น ทุก 3 เดือน
3. ปรับปรุงโปรแกรมป้องกันไวรัสตลอดเวลา
4. ให้ความรู้แก่บุคลากรในเรื่องความปลอดภัยในการรับไฟล์ หรือการดาวน์โหลดไฟล์จากอินเตอร์เน็ต
5. ติดตั้งระบบรักษาความปลอดภัยสำหรับเครื่อข่ายอย่างสมบูรณ์
6. ประเมินสถานการณ์ของความปลอดภัยในเครื่อข่ายอย่างสม่ำเสมอ
7. ลบรหัสผ่าน และบัญชีการใช้ของพนักงานที่ออกจากหน่วยงานทันที
8. วางระบบรักษาความปลอดภัยสำหรับการเข้าถึงระบบของพนักงานจากภายนองหน่วยงาน
9. ปรับปรุงซอฟต์แวร์อย่างสม่ำเสมอ
10. ไม่ใช้การบริการบางตัวบนเครื่อข่ายอินเทอร์เน็ตอย่างไม่จำเป็น
วิธีการประกอบอาชญากรรมทางคอมพิวเตอร์
Data Diddling คือ การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต หรือระหว่างที่กำลังบันทึกข้อมูลในระบบคอมพิวเตอร์
การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลที่สามารถเข้าถึงตัวข้อมูลได้ เช่น พนักงานที่มีหน้าที่บันทึกเวลา
การทำงานของพนักงานทั้งหมด ทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาเป็นชั่วโมงการทำงานของตนเอง เป็นต้น
Trojan Horse คือ การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์ เมื่อถึงเวลาโปรแกรมที่ไม่ดี
จะปรากฏตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์ หรือการทำลายล้างข้อมูล หรือระบบคอมพิวเตอร์
Salami Techniques คือ วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงิน
ที่จ่ายได้ และจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงิน ออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ววิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
Super zapping มาจากคำว่า Super zap เป็นโปรแกรม Macro Utility ที่ใช้เป็นศูนย์คอมพิวเตอร์
ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉินเสมือนกุญแจดอกอื่นหายหรือมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) เช่นโปรแกรม Super zap จะมีความเสี่ยงมากหากตกไปอยู่ในมือผู้ที่ไม่หวังดี
Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้
คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูล
ที่ต้องการ ไว้ในไฟล์ลับ
Logic Bombs เป็นการเขียนโปรแกรมที่มีคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะ หรือสภาพการณ์ ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือน แล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คืสามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างานที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู ระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่าง ที่เครื่องกำลังทำงาน เข้าไปแก้ไขเปลี่ยนแปลง หรือกระทำการอื่นใดโดยที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
Scavenging คือ วิธีการที่จะได้ข้อมูลที่ทิ้งไว้ในระบบคอมพิวเตอร์ หรือบริเวณใกล้เคียงหลังจากเสร็จการใช้งานแล้ววิธีที่ง่ายที่สุด คือ ค้นหาตามถังขยะที่อาจมีข้อมูลสำคัญไม่ว่าจะเป็นเบอร์โทรศัพท์ หรือรหัสผ่านหลงเหลืออยู่ หรืออาจใชเทคโนโลยีที่ซับซ้อนทำการหาข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกงานแล้ว
Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ได้ตั้งใจก็ตาม เช่น การแผ่รังสี
ของคลื่นแม่เหล็กไฟฟ้า ในขณะที่กำลังทำงานคนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกใช้งาน
Piggybacking วิธีการนี้สามารถทำได้ทางกายภาพ (Physical) คือ การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลนั้นได้เข้าไ คนร้ายก็ฉวยโอกาสตอนที่ประตูยังปิดไม่สนิทแอบเข้าไปได้ ในทางอิเล็กทรอนิกส์ก็เช่นเดียวกัน อาจเกิดในกรณีที่ใช้สายสื่อสารเดียวกับผู้ที่มีอำนาจใช้ หรือได้รับอนุญาต เช่น ใช้สายเคเบิล หรือโมเด็มเดียวกัน
Impersonation คือ การที่คนร้ายแกล้งปลอมเป็นบุคคลอื่นที่มีอำนาจ หรือได้รับอนุญาต เช่น เมื่อคนร้ายขโมย
บัตรเอทีเอ็มของเหยื่อได้ก็จะโทรศัพท์และแกล้งทำเป็นเจ้าพนักงานของธนาคาร และแจ้งให้เหยื่อทราบว่ากำลังหาวิธีการป้องกันไม่ให้เงินในบัญชีของเหยื่อสูญหายจึงบอกให้เหยื่อเปลี่ยนรหัสผ่าน โดยให้เหยื่อบอกรหัสเดิมก่อน คนร้ายจึงทราบหมายเลขรหัส
และได้เงินของเหยื่อไป
Wiretapping เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาที่จะได้รับประโยชน์จากการเข้าถึงข้อมูลผ่าน
เครือข่ายการสื่อสาร หรือที่เรียกว่าโครงสร้างพื้นฐานสารสนเทศโดยการกระทำความผิดดังกล่าวกำลังเป็นที่หวาดวิตกกับ
ผู้ที่เกี่ยวข้องเป็นอย่างมาก
Simulation and Modeling ในปัจจุบันคอมพิวเตอร์ถูกใช้เป็นเครื่องมือในการวางแผนการควบคุมและติดตาม
ความเคลื่อนไหวในการประกอบอาชญากรรม และกระบวนการดังกล่าวก็สามารถใช้โดยอาชญากร ในการสร้างแบบจำลอง
ในการวางแผน เพื่อประกอบอาชญากรรมได้เช่นกัน เช่น ในกิจการประกันภัยมีการสร้างแบบจำลองในการปฏิบัติการ หรือ
ช่วยในการตัดสินใจ ในการทำกรมธรรม์ประกันภัย โปรแกรมสามารถทำกรมธรรม์ประกันภัยปลอมขึ้นมาเป็นจำนวนมาก ส่งผล
ให้บริษัทประกันภัยจริงล้มละลาย เมื่อถูกเรียกร้องให้ต้องจ่ายเงินให้กับกรมธรรม์ที่ขาดการต่ออายุ หรือกรมธรรม์ที่มีการจ่ายเงิน
เพียงการบันทึก (จำลอง) ไม่ได้รับเบี้ยประกันจริง หรือต้องจ่ายเงินให้กับกรมธรรม์ที่เชื่อว่ายังไม่ขาดอายุ
การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลที่สามารถเข้าถึงตัวข้อมูลได้ เช่น พนักงานที่มีหน้าที่บันทึกเวลา
การทำงานของพนักงานทั้งหมด ทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาเป็นชั่วโมงการทำงานของตนเอง เป็นต้น
Trojan Horse คือ การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์ เมื่อถึงเวลาโปรแกรมที่ไม่ดี
จะปรากฏตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์ หรือการทำลายล้างข้อมูล หรือระบบคอมพิวเตอร์
Salami Techniques คือ วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงิน
ที่จ่ายได้ และจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงิน ออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ววิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
Super zapping มาจากคำว่า Super zap เป็นโปรแกรม Macro Utility ที่ใช้เป็นศูนย์คอมพิวเตอร์
ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉินเสมือนกุญแจดอกอื่นหายหรือมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) เช่นโปรแกรม Super zap จะมีความเสี่ยงมากหากตกไปอยู่ในมือผู้ที่ไม่หวังดี
Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้
คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูล
ที่ต้องการ ไว้ในไฟล์ลับ
Logic Bombs เป็นการเขียนโปรแกรมที่มีคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะ หรือสภาพการณ์ ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือน แล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คืสามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างานที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู ระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่าง ที่เครื่องกำลังทำงาน เข้าไปแก้ไขเปลี่ยนแปลง หรือกระทำการอื่นใดโดยที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
Scavenging คือ วิธีการที่จะได้ข้อมูลที่ทิ้งไว้ในระบบคอมพิวเตอร์ หรือบริเวณใกล้เคียงหลังจากเสร็จการใช้งานแล้ววิธีที่ง่ายที่สุด คือ ค้นหาตามถังขยะที่อาจมีข้อมูลสำคัญไม่ว่าจะเป็นเบอร์โทรศัพท์ หรือรหัสผ่านหลงเหลืออยู่ หรืออาจใชเทคโนโลยีที่ซับซ้อนทำการหาข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกงานแล้ว
Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ได้ตั้งใจก็ตาม เช่น การแผ่รังสี
ของคลื่นแม่เหล็กไฟฟ้า ในขณะที่กำลังทำงานคนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกใช้งาน
Piggybacking วิธีการนี้สามารถทำได้ทางกายภาพ (Physical) คือ การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลนั้นได้เข้าไ คนร้ายก็ฉวยโอกาสตอนที่ประตูยังปิดไม่สนิทแอบเข้าไปได้ ในทางอิเล็กทรอนิกส์ก็เช่นเดียวกัน อาจเกิดในกรณีที่ใช้สายสื่อสารเดียวกับผู้ที่มีอำนาจใช้ หรือได้รับอนุญาต เช่น ใช้สายเคเบิล หรือโมเด็มเดียวกัน
Impersonation คือ การที่คนร้ายแกล้งปลอมเป็นบุคคลอื่นที่มีอำนาจ หรือได้รับอนุญาต เช่น เมื่อคนร้ายขโมย
บัตรเอทีเอ็มของเหยื่อได้ก็จะโทรศัพท์และแกล้งทำเป็นเจ้าพนักงานของธนาคาร และแจ้งให้เหยื่อทราบว่ากำลังหาวิธีการป้องกันไม่ให้เงินในบัญชีของเหยื่อสูญหายจึงบอกให้เหยื่อเปลี่ยนรหัสผ่าน โดยให้เหยื่อบอกรหัสเดิมก่อน คนร้ายจึงทราบหมายเลขรหัส
และได้เงินของเหยื่อไป
Wiretapping เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาที่จะได้รับประโยชน์จากการเข้าถึงข้อมูลผ่าน
เครือข่ายการสื่อสาร หรือที่เรียกว่าโครงสร้างพื้นฐานสารสนเทศโดยการกระทำความผิดดังกล่าวกำลังเป็นที่หวาดวิตกกับ
ผู้ที่เกี่ยวข้องเป็นอย่างมาก
Simulation and Modeling ในปัจจุบันคอมพิวเตอร์ถูกใช้เป็นเครื่องมือในการวางแผนการควบคุมและติดตาม
ความเคลื่อนไหวในการประกอบอาชญากรรม และกระบวนการดังกล่าวก็สามารถใช้โดยอาชญากร ในการสร้างแบบจำลอง
ในการวางแผน เพื่อประกอบอาชญากรรมได้เช่นกัน เช่น ในกิจการประกันภัยมีการสร้างแบบจำลองในการปฏิบัติการ หรือ
ช่วยในการตัดสินใจ ในการทำกรมธรรม์ประกันภัย โปรแกรมสามารถทำกรมธรรม์ประกันภัยปลอมขึ้นมาเป็นจำนวนมาก ส่งผล
ให้บริษัทประกันภัยจริงล้มละลาย เมื่อถูกเรียกร้องให้ต้องจ่ายเงินให้กับกรมธรรม์ที่ขาดการต่ออายุ หรือกรมธรรม์ที่มีการจ่ายเงิน
เพียงการบันทึก (จำลอง) ไม่ได้รับเบี้ยประกันจริง หรือต้องจ่ายเงินให้กับกรมธรรม์ที่เชื่อว่ายังไม่ขาดอายุ
ประเภทของอาชญากรรมทางคอมพิวเตอร์
อาชญากรรมทางคอมพิวเตอร์ (Cyber-Crime) เป็นการกระทำที่ผิดกฎหมายโดยใช้วิธีการทางอิเล็กทรอนิกส์เพื่อโจมตีระบบคอมพิวเตอร์และข้อมูลที่อยู่บนระบบดังกล่าว ส่วนในมุมมองที่กว้างขึ้น “อาชญากรรมที่เกี่ยวเนื่องกับคอมพิวเตอร์” หมายถึงการกระทำที่ผิดกฎหมายใดๆ ซึ่งอาศัยหรือมีความเกี่ยวเนื่องกับระบบคอมพิวเตอร์หรือเครือข่าย อย่างไรก็ตาม อาชญากรรมประเภทนี้ไม่ถือเป็นอาชญากรรมทางคอมพิวเตอร์โดยตรงในการประชุมสหประชาชาติครั้งที่ 10 ว่าด้วยการป้องกันอาชญากรรมและการปฏิบัติต่อผู้กระทำผิด (The Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders) ซึ่งจัดขึ้นที่กรุงเวียนนา เมื่อวันที่ 10-17 เมษายน 2543 ได้มีการจำแนกประเภทของอาชญากรรมทางคอมพิวเตอร์ โดยแบ่งเป็น 5 ประเภท คือ การเข้าถึงโดยไม่ได้รับอนุญาต, การสร้างความเสียหายแก่ข้อมูลหรือโปรแกรมคอมพิวเตอร์, การก่อกวนการทำงานของระบบคอมพิวเตอร์หรือเครือข่าย, การยับยั้งข้อมูลที่ส่งถึง/จากและภายในระบบหรือเครือข่ายโดยไม่ได้รับอนุญาต และการจารกรรมข้อมูลบนคอมพิวเตอร์
โครงการอาชญากรรมทางคอมพิวเตอร์และการโจรกรรมทรัพย์สินทางปัญญา (Cyber-Crime and Intellectual Property Theft) พยายามที่จะเก็บรวบรวมและเผยแพร่ข้อมูล และค้นคว้าเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ 6 ประเภท ที่ได้รับความนิยม ซึ่งส่งผลกระทบโดยตรงต่อประชาชนและผู้บริโภค นอกจากนี้ยังทำหน้าที่เผยแพร่ความรู้เกี่ยวกับขอบเขตและความซับซ้อนของปัญหา รวมถึงนโยบายปัจจุบันและความพยายามในการปัญหานี้ อาชญากรรม 6 ประเภทดังกล่าวได้แก่
โครงการอาชญากรรมทางคอมพิวเตอร์และการโจรกรรมทรัพย์สินทางปัญญา (Cyber-Crime and Intellectual Property Theft) พยายามที่จะเก็บรวบรวมและเผยแพร่ข้อมูล และค้นคว้าเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ 6 ประเภท ที่ได้รับความนิยม ซึ่งส่งผลกระทบโดยตรงต่อประชาชนและผู้บริโภค นอกจากนี้ยังทำหน้าที่เผยแพร่ความรู้เกี่ยวกับขอบเขตและความซับซ้อนของปัญหา รวมถึงนโยบายปัจจุบันและความพยายามในการปัญหานี้ อาชญากรรม 6 ประเภทดังกล่าวได้แก่
- การเงิน – อาชญากรรมที่ขัดขวางความสามารถขององค์กรธุรกิจในการทำธุรกรรม อี-คอมเมิร์ซ(หรือพาณิชย์อิเล็กทรอนิกส์)
- การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ ในปัจจุบันคอมพิวเตอร์ส่วนบุคคลและอินเทอร์เน็ตถูกใช้เป็นสื่อในการก่ออาชญากรรม แบบเก่า โดยการโจรกรรมทางออนไลน์หมายรวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเทอร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
- การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต และในบางกรณีอาจหมายถึงการใช้สิทธิการเข้าถึงนี้โดยไม่ได้รับอนุญาต นอกจากนี้การเจาะระบบยังอาจรองรับอาชญากรรมทางคอมพิวเตอร์ในรูปแบบอื่นๆ (เช่น การปลอมแปลง การก่อการร้าย ฯลฯ)
- การก่อการร้ายทางคอมพิวเตอร์ – ผลสืบเนื่องจากการเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว เช่นเดียวกับการก่อการร้ายทั่วไป โดยการกระทำที่เข้าข่าย การก่อการร้ายทางอิเล็กทรอนิกส์ (e-terrorism) จะเกี่ยวข้องกับการเจาระบบคอมพิวเตอร์เพื่อก่อเหตุรุนแรงต่อบุคคลหรือทรัพย์สิน หรืออย่างน้อยก็มีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
- ภาพอนาจารทางออนไลน์ – ตามข้อกำหนด 18 USC 2252 และ 18 USC 2252A การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย และตามข้อกำหนด 47 USC 223 การเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย อินเทอร์เน็ตเป็นเพียงช่องทางใหม่สำหรับอาชญากรรม แบบเก่า อย่างไรก็ดี ประเด็นเรื่องวิธีที่เหมาะสมที่สุดในการควบคุมช่องทางการสื่อสารที่ครอบคลุมทั่วโลกและเข้าถึงทุกกลุ่มอายุนี้ได้ก่อให้เกิดการถกเถียงและการโต้แย้งอย่างกว้างขวาง
- ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชนจำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออันทรงพลังนี้อย่างปลอดภัยและมีความรับผิดชอบ โดยเป้าหมายหลักของโครงการนี้คือ เพื่อกระตุ้นให้เด็กได้เรียนรู้เกี่ยวกับข้อกำหนดทางกฎหมาย สิทธิของตนเอง และวิธีที่เหมาะสมในการป้องกันการใช้อินเทอร์เน็ตในทางที่ผิด
ไม่มีความคิดเห็น:
แสดงความคิดเห็น