บทที่  14

จริยธรรมและการรักษาความปลอดภัยของระบบสารสนเทศ

จริยธรรมในสังคมสารสนเทศ

จริยธรรม (Ethics) หมายถึง  ความถูกต้องหรือไม่ถูกต้อง ที่เป็นตัวแทนศีลธรรมที่เป็นอิสระในการเลือกที่จะชักนำพฤติกรรมบุคคล เนื่องจากเทคโนโลยีสารสนเทศและระบบสารสนเทศทำให้เกิดปัญหาความแตกต่างระหว่างบุคคล และสังคมเพราะทั้ง 2 สิ่งนี้ทำให้เกิดการเปลี่ยนแปลงทางด้านสังคม

โดยทั่วไปเมื่อพิจารณาถึงจริยธรรมเกี่ยวกับการใช้เทคโนโลยีคอมพิวเตอร์และสารสนเทศแล้วจะกล่าวถึง 4 ประเด็น ที่รู้จักกันในลักษณะตัวย่อว่า PAPA ประกอบด้วย

                1)  ความเป็นส่วนตัว (Information Privacy) คือ สิทธิที่จะอยู่ตามลำพัง และเป็นสิทธิที่เจ้าของสามารถที่จะควบคุมข้อมูลของตนเองในการเปิดเผยให้กับผู้อื่น สิทธินี้ใช้ได้ครอบคลุมทั้งปัจเจกบุคคล กลุ่มบุคคล และองค์การต่างๆ

                2)  ความถูกต้อง (Information Accuracy)

                3)  ความเป็นเจ้าของ (Information Property) คือกรรมสิทธิ์ในการถือครองทรัพย์สิน ซึ่งอาจเป็นทรัพย์สินทั่วไปที่จับต้องได้ เช่น คอมพิวเตอร์ รถยนต์ และที่จับต้องไม่ได้เช่น ทรัพย์สินทางปัญญา บทเพลง โปรแกรมคอมพิวเตอร์

                ทรัพย์สินทางปัญญาได้รับการคุ้มครองสิทธิภายใต้กฎหมาย (1) ความลับทางการค้า (Trade Secret) (2) ลิขสิทฺธิ (Copyright) (3) สิทธิบัตร (Patent)

                4)  การเข้าถึงข้อมูล (Data Accessibility) การเข้าถึงข้อมูลของผู้อื่นโดยไม่ได้รับความยินยอมนั้นถือเป็นการผิดจริยธรรมเช่นเดียวกับการละเมิดข้อมูลสวนตัว

กฎหมายเทคโนโลยีสารสนเทศ

                   กฎหมายเทคโนโลยีสารสนเทศสำหรับประเทศไทย มีอยู่ 6 ฉบับ คือ

1. กฎหมายเกี่ยวกับธุรกรรมอิเล็กทรอนิกส์

2. กฎหมายลายมือชื่ออิเล็กทรอนิกส์

3. กฎหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์

4. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์

5. กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนตัว

6. กฎหมายลำดับรอง รัฐธรรมนูญ มาตรา 78 หรือกฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศ

ความเคลื่อนไหวของรัฐและสังคมต่อผลกระทบทางสังคมของเทคโนโลยีคอมพิวเตอร์

                รัฐและสังคมตระหนักต่ออิทธิพลของคอมพิวเตอร์ จึงมีความพยายามที่จะปรับปรุงแก้ไขหรือวางกฎหมายที่ตอบสนองต่อการเปลี่ยนแปลงของสังคมในยุคปัจจุบัน เช่น การปรับปรุงกฎหมายที่เกี่ยวข้องกับทรัพย์สินทางปัญญา กฎหมายเกี่ยวกับสิทธิส่วนบุคคล กฎหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์

อาชญากรรมคอมพิวเตอร์

                เป็นการกระทำที่ผิดกฎหมายโดยใช้คอมพิวเตอร์เป็นเครื่องมือ เช่น การโจรกรรมข้อมูลหรือความลับของบริษัท การบิดเบือนข้อมูล การฉ้อโกง การฟอกเงิน การถอดรหัสโปรแกรมคอมพิวเตอร์

                แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ความรู้ความสามารถในทางที่ไม่ถูกต้อง/ผิดกฎหมาย ได้แก่ การลักลอบเข้าไปยังคอมพิวเตอร์เครื่องอื่นโดยผ่านการสื่อสารเครือข่ายโดยไม่ได้รับอนุญาต

                แคร็กเกอร์ (Cracker) คือแฮกเกอร์ที่ลักลอบเข้าไปยังคอมพิวเตอร์ของผู้อื่นเพื่อวัตถุประสงค์ในเชิงธุรกิจ

                Hacktivist หรือ Cyber Terrorist ได้แก่แฮกเกอร์ที่ใช้อินเทอร์เน็ตในการส่งข้อความเพื่อผลประโยชน์ทางการเมือง

การใช้คอมพิวเตอร์ในฐานะที่เป็นเครื่องมือในการก่ออาชญากรรม

1.  การขโมยหมายเลขบัตรเครดิต

2.  การแอบอ้างตัว เป็นการแอบอ้างตัวของผู้กระทำต่อบุคคลที่สามว่าตนเป็นอีกบุคคลหนึ่งเพื่อหาผลประโยชน์

3.  การฉ้อโกงหรือการสแกมทางคอมพิวเตอร์ เช่น การฉ้อโกงด้านธุรกรรมทางการเงินหรือPhishing เป็นการสร้างจดหมาย ข้อความเลียนแบบหรือรูปแบบการแจ้งข่าวสารของบริษัทที่มีชื่อเสียงเพื่อหลอกลวงเอาข้อมูลบางอย่างจากผู้ใช้

การใช้คอมพิวเตอร์ในฐานะเป็นเป้าหมายของอาชญากรรม

1.   การเข้าถึงและการใช้คอมพิวเตอร์โดยไม่ได้รับอนุญาต

2.   การก่อกวนหรือทำลายข้อมูล คือ การแทรกแซงการทำงานของคอมพิวเตอร์ฮาร์ดแวร์และซอฟแวร์โดยไม่ได้รับอนุญาต เช่น ไวรัสคอมพิวเตอร์ และการทำให้ระบบปฏิเสธการให้บริการ

3.   การขโมยข้อมูลและอุปกรณ์คอมพิวเตอร์

การรักษาความปลอดภัยของระบบสารสนเทศ

                1)  การใช้ Username หรือ User ID และรหัสผ่าน (Password)

                2)  การใช้วัตถุใดๆ เพื่อการเข้าสู่ระบบ

                3)  การใช้อุปกรณ์ทางชีวภาพ (Biometric Devices)

                4)  การเรียกกลับ (Callback System)

ข้อควรระวังและแนวทางการป้องกันการใช้เครือข่ายคอมพิวเตอร์

                -  ข้อควรระวังก่อนเข้าไปในโลกโซเบอร์ Haag ได้เสนอกฎไว้ 2 ข้อคือ

1) ถ้าคอมพิวเตอร์มีโอกาสถูกขโมย ให้ป้องกันโดยการล็อคมัน

2) ถ้าไฟล์มีโอกาสที่จะถูกทำลาย ให้ป้องกันด้วยการสำรอง (Backup)

                -  ข้อควรระวังในการเข้าไปยังโลกไซเบอร์

                1)  บัตรเครดิตและการแอบอ้าง

                       -  ให้หมายเลยบัตรเครดิตเฉพาะบริษัทที่ท่านไว้วางได้เท่านั้น

                       -  ใช้เฉพาะเว็บไซต์ที่มีระบบรักษาความปลอดภัย เช่น https://

                       -  ใช้รหัสผ่านอย่างน้อย 10 ตัวอักขระ (ควรผสมกันระหว่างตัวอักษรและตัวเลข)

                       -  ใช้รหัสผ่านที่แตกต่างกันในแต่ละระบบหรือเว็บไซต์

                2)  การป้องกันข้อมูลส่วนบุคคล พิจารณาอย่างรอบคอบก่อนการให้ข้อมูลส่วนตัว

                3)  การป้องกันการติดตามการท่องเว็บไซต์ ใช้โปรแกรม เช่น SurfSecret เพื่อป้องกันการติดตามการท่องเว็บไซต์ โปรแกรมจะทำงานคล้ายกับโปรแกรมป้องกันไวรัส และลบข่าวสาร/โฆษณาที่เกิดขึ้นเมื่อผู้ใช้ทางเว็บไซต์

                4)  การหลีกเลี่ยงสแปมเมล

                5)  การป้องกันระบบคอมพิวเตอร์และเครือข่าย ใช้ไฟร์วอลล์ (Firewall) ที่เป็นอาร์ดแวร์หรือซอฟต์แวร์เพื่อทำหน้าที่เป็นยามประตูตรวจสอบการเข้าระบบ

                6)  การป้องกันไวรัสคอมพิวเตอร์

                       -  ปฏิบัติตามเคล็ดลับง่ายๆ 5 ข้อ ด้วยตัวอักษรย่อ EMAIL ดังนี้

                           E ย่อมาจาก Exempt from unknown คือ ไม่เปิดอีเมลจากคนแปลกหน้า

                           M ย่อมาจาก Mind the subject คือ หมั่นสังเกตหัวข้อของจดหมายก่อนที่จะเปิดอ่าน

                           A  ย่อมาจากประโยค Antivirus must be installed หมายความว่า ควรติดตั้งโปรแกรมป้องกันไวรัส เช่น Norton Antivirus

                           I ย่อมาจาก Interest on virus news หมายความว่า ควรให้ความสนใจกับข่าวเกี่ยวกับไวรัส ติดตามข่าวสารจากสื่อต่างๆ

                           L  ย่อมาจาก Learn to be cautious หมายความว่า ให้ระวังให้มาก อย่าเปิดอีเมลแบบไม่ยั้งคิด

                       -  ติดตามข่าวสารเกี่ยวกับการป้องกันการก่อกวนและทำลายข้อมูลได้ที่ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (http://thaicert.nectec.or.th/)

                นอกจากข้อควรระวังแล้วยังมีข้อแนะนำบางประการเพื่อสร้างสังคมและรักษาสิ่งแวดล้อมดังนี้

                1)  การป้องกันเด็กเข้าไปดูเว็บไซต์ที่ไม่เหมาะสม

                2)  การวางแผนเพื่อจัดการกับเครื่องคอมพิวเตอร์ที่ไม่ใช้แล้ว

                3)  การใช้พลังงาน

                                                 กรณีศึกษา : การโจมตีแบบฟิชชิ่งลูกค้าธนาคาร

1.  การกระทำดังกล่าวเป็นเทคนิคการโจมตีแบบฟิชชิ่งอย่างไร จงอธิบาย

ตอบ =    คือ การกระทำความผิดด้วยการหลอกลวง เพื่อให้ได้ข้อมูลสำคัญบางอย่างของผู้อื่นไป อาทิ เช่น พาสเวิร์ด, หมายเลขบัตรเครดิต, หมายเลขพิน หรือบรรดาเลขหลายไอเดนติตี้อื่น ๆ โดยเฉพาะอย่างยิ่งข้อมูล หรือรหัสที่เกี่ยวข้องกับ การเงิน การธนาคาร โดยผู้กระทำ Phisher จะส่งข้อความหลอกลวงนั้น ผ่านทางอีเมล์บ้าง ไปยังลูกค้าของสถานบันการเงิน หรือ ธนาคาร ที่หมายตา ทำทีแจ้งแก่ลูกค้า หลอกว่าทางบริษัท หรือธนาคาร มีปัญหาเกี่ยวกับระบบคอมพิวเตอร์ ขณะนี้อยู่ใน ระหว่างการ ซ่อมแซม และรวบรวมข้อมูลที่เสียหาย จึงจำเป็นต้องขอทราบข้อมูลของลูกค้า ให้ลูกค้ารีบติดต่อกลับ หรือมอบข้อมูลเหล่านั้นกลับโดยเร็ว โดยให้เข้าไปที่เว็บไซท์ หรือบริการ Online ของบริษัท หรือธนาคารนั้น ๆ ตามลิงค์ที่แนบมาด้วยแล้วในอีเมล์

2.  จงยกตัวอย่างกรณีศึกษาการโจมตีแบบฟิชชิ่งมา 2 ตัวอย่าง

ตอบ =    1. Paypal   การสร้างจดหมาย ข้อความเลียนแบบหรือรูปแบบการแจ้งข่าวสารของบริษัทเพื่อหลอกลวงเอาข้อมูลบางอย่างจากผู้ใช้ Paypal  เช่น การแจ้งทางเมลล์ว่าบัญชี Paypal  ของคุณกำลังจะหมดอายุ คุณต้องกรอกข้อมูลเพื่อยืนยันการต่ออายุบัญชี เช่น ข้อมูลส่วนตัวต่างๆ บัญชีผู้ใช้  Email Address  รหัสผ่าน เป็นต้น

                2. Egold   การแฮก Egold โดยการสร้างจดหมาย ข้อความเลียนแบบหรือรูปแบบการแจ้งข่าวสารของบริษัทเพื่อหลอกลวงเอาข้อมูลบางอย่างจากผู้ใช้ Egold   เช่น การส่งเมลล์มาให้แก้ไขข้อมูลเพราะทางบริษัทได้จัดทำระบบใหม่เพื่อการสร้างบริการที่ดีลูกค้ามากยิ่งขึ้น โดยให้กรอก  Username , Password , Account Number , Passphrase , Email Address  ใหม่เพื่อเป็นการยืนยันว่าคุณเป็นลูกค้าของทางบริษัทจริง

3. ท่านมีวิธีหลีกเลี่ยงและป้องกันกลลวงจากฟิชชิ่งได้อย่างไร

ตอบ =    1. อย่าเช็คอีเมล์เวลาเบลอๆ หรือใกล้จะหลับ เวลามึนหรือเมา

                2. ให้หมายเลขบัตรเครดิตเฉพาะบริษัทที่วางใจเท่านั้น

                3. ใช้เฉพาะเว็บไซต์ที่มีระบบรักษาความปลอดภัย เช่น http://

                4. พิจารณาอย่างรอบคอบก่อนการให้ข้อมูลส่วนตัว และให้ข้อมูลในส่วนที่จำเป็นเฉพาะบุคคลนั้นๆ

                5. ใช้โปรแกรม เช่น SurfSecret  เพื่อป้องกันการติดตามการท่องเว็บไซต์

บทที่  13

เทคโนโลยีและการจัดการความรู้

ความหมายของความรู้

                ความรู้เป็นการผสมผสานของประสบการณ์  สารสนเทศ  ความเข้าใจ  ทักษะและความเชี่ยวชาญ  รวมถึงสิ่งที่ได้รับการสั่งสมมาจากการศึกษาเล่าเรียน  ค้นคว้าและถ่ายทอด  ที่นำไปสู่การกำหนดกรอบความคิดสำหรับการประเมินความเข้าใจและการนำสารสนเทศและประสบการณ์ใหม่มาผสมรวมกัน

ประเภทของความรู้

                1.  ความรู้โดยนัย (Tacit Knowledge)  เป็นความรู้ที่ซ่อนอยู่ในตัวบุคคล  ยากที่จะถ่ายทอดออกมาเป็นตัวอักษร

                2.  ความรู้ที่ชัดเจน (Explicit Knowledge)  เป็นความรู้ที่เป็นเหตุและผลสามารถเขียนบรรยายหรือถ่ายทอดมาเป็นตัวอักษร  ข้อความ  กฎเกณฑ์  สูตร  นิยาม  หรือลักษณะตัวแบบทางคณิตศาสตร์ได้

ความหมายของการจัดการความรู้ (Knowledge management)

                กระบวนการอย่างเป็นระบบในการสรรหา การเลือก การรวบรวมการจัดระบบ  และจัดเก็บความรู้ในลักษณะที่เป็นแหล่งความรู้ที่ทุกคนในองค์การสามารถถึงได้ง่ายและแบ่งปันความรู้ได้อย่างเหมาะสม

ประโยชน์ของการจัดการความรู้

                -  ช่วยเก็บรักษาความรู้ให้ควบคู่กับองค์การตลอดไป

                -  ช่วยลดระยะเวลาการพัฒนาผลิตภัณฑ์ การให้บริการ

-  ช่วยปรับปรุงประสิทธิภาพ

-  เสริมสร้างนวัตกรรมใหม่

-  ส่งเสริมให้มีการเรียนรู้ แสดงความคิดเห็นและแลกเปลี่ยนความรู้ส่งผลให้บุคลากรมีคุณภาพเพิ่มขึ้น

-  ช่วยให้องค์การมีความพร้อมในการปรับตัว

รูปแบบการจัดการความรู้

                1. เป็นการจัดการการเปลี่ยนแปลงและพฤติกรรม (Transition and Behavior Management) สร้างวัฒนธรรมที่เอื้อต่อการแลกเปลี่ยนและแบ่งปันความรู้

                2. การสื่อสาร (Communication)  องค์การต้องมีการวางแผนการสื่อสารอย่างเป็นระบบต่อเนื่องและสม่ำเสมอ โดยคำนึงถึงเนื้อหา กลุ่มเป้าหมาย รวมถึงช่องทางในการสื่อสาร

                3.  กระบวนการและเครื่องมือ (Process and Tool)  มีกระบวนการและเครื่องมือที่เหมาะสมและเอื้อให้เกิดการแลกเปลี่ยนความรู้ในองค์การ

                4.  เรียนรู้ (Learning)  เป็นการเตรียมความพร้อม สร้างความเข้าใจเพื่อให้บุคลากรตระหนักถึงความสำคัญในการจัดการความรู้ รวมถึงจัดการฝึกอบรมที่เหมาะสมให้กับบุคลากร

                5.  การวัดผล (Measurements)  เลือกการวัดผลเพื่อให้ทราบถึงสถานะ ความคืบหน้าและผลที่ได้เป็นไปตามที่คาดหวังหรือไม่ อย่างไร ซึ่งจะช่วยให้องค์การสามารถทบทวน และปรับปรุงกระบวนการต่างๆเพื่อให้บรรลุเป้าหมายของการจัดการความรู้

                6.  การยกย่องชมเชยและให้รางวัล (Recognition and Rewards)  มีการยกย่องชมเชยและระบบการให้รางวัลเพื่อจูงใจให้บุคลากรเข้าร่วมกิจกรรม

บทบาทของเทคโนโลยีสารสนเทศต่อการจัดการความรู้ในองค์การ

                -  เป็นเครื่องมือที่สนับสนุนการจัดการความรู้ในองค์การให้มีประสิทธิภาพ

                -  ระบบจัดการอิเล็กทรอนิกส์ (Document and Content Management Systems)

                -  ระบบสืบค้นข้อมูลข่าวสาร (Search Engines)

                -  ระบบการเรียนรู้ทางอิเล็กทรอนิกส์ (E-Learning)

                -  ระบบประชุมอิเล็กทรอนิกส์ (Electronics Meeting Systems and VDO conference)

                -  การเผยแพร่สื่อผ่านระบบเครือข่าย (E-Broadcasting)

                -  การระดมความคิดผ่านระบบเครือข่าย (Web board หรือ E-Discussion)

                -  ซอฟต์แวร์สนับสนุนการทำงานร่วนกันเป็นทีม (Groupware)

                -  บล็อก (Blog หรือ Web log) เป็นเครื่องมือในการแลกเปลี่ยนความรู้

ปัจจัยที่เอื้อต่อความสำเร็จ

                1.  ได้รับการสนับสนุนจากผู้บริหาร

                2.  มีเป้าหมายความรู้ที่ชัดเจน ซึ่งเป้าหมายนี้ต้องสอดคล้องกับกลยุทธ์ขององค์การ

                3.  มีวัฒนธรรมที่เอื้อต่อการแลกเปลี่ยนความรู้ภายในองค์การ

                4.  มีการนำเทคโนโลยีสารสนเทศมาใช้เป็นเครื่องมือในกาจัดการความรู้

                5.  ได้รับความร่วมมือจากบุคลากรทุกระดับ และตระหนักถึงความสำคัญของการจัดการความรู้

                6.  มีการวัดผลการจัดการความรู้ เพื่อให้บรรลุเป้าหมายที่กำหนดไว้

                7.  มีโครงสร้างพื้นฐานที่รองรับการแลกเปลี่ยนความรู้

                8.  มีการพัฒนาการจัดการความรู้อย่างสม่ำเสมอ

กรณีศึกษา : บริษัท ทรู คอร์ปอเรชั่น จำกัด(มหาชน)  กับการจัดการความรู้

1.  เป้าหมายในการจัดการความรู้ของบริษัท ทรู และยุทธศาสตร์ของบริษัทเกี่ยวข้องกันอย่างไรจงอธิบาย

ตอบ =   เป้าหมายคือให้การบริการที่ดีเลิศแก่ลูกค้า โดยสร้างความพึงพอใจสูงสุดให้กับลูกค้าและต้องการพัฒนาการดำเนินงานรวมทั้งศักยภาพการแข่งขันขององค์การ ยุทธศาสตร์ของบริษัทคือการเป็นผู้นำทางด้านการให้บริการที่เป็นเลิศ แต่ถ้าบุคลาการในบริษัทขาดความรู้ในด้านที่ตนเองรับผิดชอบส่งผลให้บริษัทขาดศักยภาพในการดำเนินงาน เพราะฉะนั้นจึงควรที่จะพัฒนาบุคลากรให้มีความรู้ความสามารถอย่างแท้จริงทางด้านต่างๆ ที่รับผิดชอบโดยการสร้างแหล่งความรู้ที่ทุกคนในองค์การสามารถเข้าถึงได้โดยง่ายและศึกษาแลกเปลี่ยนความรู้ที่จะพัฒนาตนเองให้มีความสามารถที่นำความรู้ไปประยุกต์ใช้ให้เกิดประโยชน์ต่อการปฏิบัติงานของตนเอง ซึ่งจะส่งผลต่อการเพิ่มความสามารถในการแข่งขันขององค์การ

2. เทคโนโลยีสารสนเทศใดบ้างที่มีบทบาทสำคัญต่อการจัดการความรู้ของบริษัท ทรู และเทคโนโลยีบล็อก (Blog หรือ Web log) จะสามารถถูกนำมาใช้ประโยชน์สำหรับการสร้าง การแลกเปลี่ยนและเผยแพร่ความรู้ได้อย่างไร

ตอบ  = เทคโนโลยีสารสนเทศที่ใช้ เช่น E-mail, E-card, KM web, E-Learning , E-book, ในด้านของบล็อก (Blog หรือ Web log) สามารถนำมาใช้ประโยชน์สำหรับการสร้าง การแลกเปลี่ยนและเผยแพร่ความรู้ได้โดยการเขียนความรู้ลงไปในบล็อก(BlogหรือWeb log)เมื่อมีคนมาอ่านเขาก็จะได้ความรู้จากเนื้อหาที่อ่านในบล็อก (Blog หรือ Web log) และคนที่อ่านก็สามารถแสดงความคิดเห็นเกี่ยวกับเรื่องที่อ่านได้ เป็นการแลกเปลี่ยนความรู้ซึ่งกันและกัน และเมื่อมีคนทำหลายๆบล็อก (Blog หรือ Web log) เรื่องราวความรู้ที่ใส่ลงไปก็จะหลากหลายยิ่งขึ้น ทำให้การเผยแพร่ความรู้กระจายได้กว้างขึ้นไม่จำกัดเฉพาะความรู้ในองค์การ