บทที่  14

จริยธรรมและการรักษาความปลอดภัยของระบบสารสนเทศ

จริยธรรมในสังคมสารสนเทศ

จริยธรรม (Ethics) หมายถึง  ความถูกต้องหรือไม่ถูกต้อง ที่เป็นตัวแทนศีลธรรมที่เป็นอิสระในการเลือกที่จะชักนำพฤติกรรมบุคคล เนื่องจากเทคโนโลยีสารสนเทศและระบบสารสนเทศทำให้เกิดปัญหาความแตกต่างระหว่างบุคคล และสังคมเพราะทั้ง 2 สิ่งนี้ทำให้เกิดการเปลี่ยนแปลงทางด้านสังคม

โดยทั่วไปเมื่อพิจารณาถึงจริยธรรมเกี่ยวกับการใช้เทคโนโลยีคอมพิวเตอร์และสารสนเทศแล้วจะกล่าวถึง 4 ประเด็น ที่รู้จักกันในลักษณะตัวย่อว่า PAPA ประกอบด้วย

                1)  ความเป็นส่วนตัว (Information Privacy) คือ สิทธิที่จะอยู่ตามลำพัง และเป็นสิทธิที่เจ้าของสามารถที่จะควบคุมข้อมูลของตนเองในการเปิดเผยให้กับผู้อื่น สิทธินี้ใช้ได้ครอบคลุมทั้งปัจเจกบุคคล กลุ่มบุคคล และองค์การต่างๆ

                2)  ความถูกต้อง (Information Accuracy)

                3)  ความเป็นเจ้าของ (Information Property) คือกรรมสิทธิ์ในการถือครองทรัพย์สิน ซึ่งอาจเป็นทรัพย์สินทั่วไปที่จับต้องได้ เช่น คอมพิวเตอร์ รถยนต์ และที่จับต้องไม่ได้เช่น ทรัพย์สินทางปัญญา บทเพลง โปรแกรมคอมพิวเตอร์

                ทรัพย์สินทางปัญญาได้รับการคุ้มครองสิทธิภายใต้กฎหมาย (1) ความลับทางการค้า (Trade Secret) (2) ลิขสิทฺธิ (Copyright) (3) สิทธิบัตร (Patent)

                4)  การเข้าถึงข้อมูล (Data Accessibility) การเข้าถึงข้อมูลของผู้อื่นโดยไม่ได้รับความยินยอมนั้นถือเป็นการผิดจริยธรรมเช่นเดียวกับการละเมิดข้อมูลสวนตัว

กฎหมายเทคโนโลยีสารสนเทศ

                   กฎหมายเทคโนโลยีสารสนเทศสำหรับประเทศไทย มีอยู่ 6 ฉบับ คือ

1. กฎหมายเกี่ยวกับธุรกรรมอิเล็กทรอนิกส์

2. กฎหมายลายมือชื่ออิเล็กทรอนิกส์

3. กฎหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์

4. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์

5. กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนตัว

6. กฎหมายลำดับรอง รัฐธรรมนูญ มาตรา 78 หรือกฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศ

ความเคลื่อนไหวของรัฐและสังคมต่อผลกระทบทางสังคมของเทคโนโลยีคอมพิวเตอร์

                รัฐและสังคมตระหนักต่ออิทธิพลของคอมพิวเตอร์ จึงมีความพยายามที่จะปรับปรุงแก้ไขหรือวางกฎหมายที่ตอบสนองต่อการเปลี่ยนแปลงของสังคมในยุคปัจจุบัน เช่น การปรับปรุงกฎหมายที่เกี่ยวข้องกับทรัพย์สินทางปัญญา กฎหมายเกี่ยวกับสิทธิส่วนบุคคล กฎหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์

อาชญากรรมคอมพิวเตอร์

                เป็นการกระทำที่ผิดกฎหมายโดยใช้คอมพิวเตอร์เป็นเครื่องมือ เช่น การโจรกรรมข้อมูลหรือความลับของบริษัท การบิดเบือนข้อมูล การฉ้อโกง การฟอกเงิน การถอดรหัสโปรแกรมคอมพิวเตอร์

                แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ความรู้ความสามารถในทางที่ไม่ถูกต้อง/ผิดกฎหมาย ได้แก่ การลักลอบเข้าไปยังคอมพิวเตอร์เครื่องอื่นโดยผ่านการสื่อสารเครือข่ายโดยไม่ได้รับอนุญาต

                แคร็กเกอร์ (Cracker) คือแฮกเกอร์ที่ลักลอบเข้าไปยังคอมพิวเตอร์ของผู้อื่นเพื่อวัตถุประสงค์ในเชิงธุรกิจ

                Hacktivist หรือ Cyber Terrorist ได้แก่แฮกเกอร์ที่ใช้อินเทอร์เน็ตในการส่งข้อความเพื่อผลประโยชน์ทางการเมือง

การใช้คอมพิวเตอร์ในฐานะที่เป็นเครื่องมือในการก่ออาชญากรรม

1.  การขโมยหมายเลขบัตรเครดิต

2.  การแอบอ้างตัว เป็นการแอบอ้างตัวของผู้กระทำต่อบุคคลที่สามว่าตนเป็นอีกบุคคลหนึ่งเพื่อหาผลประโยชน์

3.  การฉ้อโกงหรือการสแกมทางคอมพิวเตอร์ เช่น การฉ้อโกงด้านธุรกรรมทางการเงินหรือPhishing เป็นการสร้างจดหมาย ข้อความเลียนแบบหรือรูปแบบการแจ้งข่าวสารของบริษัทที่มีชื่อเสียงเพื่อหลอกลวงเอาข้อมูลบางอย่างจากผู้ใช้

การใช้คอมพิวเตอร์ในฐานะเป็นเป้าหมายของอาชญากรรม

1.   การเข้าถึงและการใช้คอมพิวเตอร์โดยไม่ได้รับอนุญาต

2.   การก่อกวนหรือทำลายข้อมูล คือ การแทรกแซงการทำงานของคอมพิวเตอร์ฮาร์ดแวร์และซอฟแวร์โดยไม่ได้รับอนุญาต เช่น ไวรัสคอมพิวเตอร์ และการทำให้ระบบปฏิเสธการให้บริการ

3.   การขโมยข้อมูลและอุปกรณ์คอมพิวเตอร์

การรักษาความปลอดภัยของระบบสารสนเทศ

                1)  การใช้ Username หรือ User ID และรหัสผ่าน (Password)

                2)  การใช้วัตถุใดๆ เพื่อการเข้าสู่ระบบ

                3)  การใช้อุปกรณ์ทางชีวภาพ (Biometric Devices)

                4)  การเรียกกลับ (Callback System)

ข้อควรระวังและแนวทางการป้องกันการใช้เครือข่ายคอมพิวเตอร์

                -  ข้อควรระวังก่อนเข้าไปในโลกโซเบอร์ Haag ได้เสนอกฎไว้ 2 ข้อคือ

1) ถ้าคอมพิวเตอร์มีโอกาสถูกขโมย ให้ป้องกันโดยการล็อคมัน

2) ถ้าไฟล์มีโอกาสที่จะถูกทำลาย ให้ป้องกันด้วยการสำรอง (Backup)

                -  ข้อควรระวังในการเข้าไปยังโลกไซเบอร์

                1)  บัตรเครดิตและการแอบอ้าง

                       -  ให้หมายเลยบัตรเครดิตเฉพาะบริษัทที่ท่านไว้วางได้เท่านั้น

                       -  ใช้เฉพาะเว็บไซต์ที่มีระบบรักษาความปลอดภัย เช่น https://

                       -  ใช้รหัสผ่านอย่างน้อย 10 ตัวอักขระ (ควรผสมกันระหว่างตัวอักษรและตัวเลข)

                       -  ใช้รหัสผ่านที่แตกต่างกันในแต่ละระบบหรือเว็บไซต์

                2)  การป้องกันข้อมูลส่วนบุคคล พิจารณาอย่างรอบคอบก่อนการให้ข้อมูลส่วนตัว

                3)  การป้องกันการติดตามการท่องเว็บไซต์ ใช้โปรแกรม เช่น SurfSecret เพื่อป้องกันการติดตามการท่องเว็บไซต์ โปรแกรมจะทำงานคล้ายกับโปรแกรมป้องกันไวรัส และลบข่าวสาร/โฆษณาที่เกิดขึ้นเมื่อผู้ใช้ทางเว็บไซต์

                4)  การหลีกเลี่ยงสแปมเมล

                5)  การป้องกันระบบคอมพิวเตอร์และเครือข่าย ใช้ไฟร์วอลล์ (Firewall) ที่เป็นอาร์ดแวร์หรือซอฟต์แวร์เพื่อทำหน้าที่เป็นยามประตูตรวจสอบการเข้าระบบ

                6)  การป้องกันไวรัสคอมพิวเตอร์

                       -  ปฏิบัติตามเคล็ดลับง่ายๆ 5 ข้อ ด้วยตัวอักษรย่อ EMAIL ดังนี้

                           E ย่อมาจาก Exempt from unknown คือ ไม่เปิดอีเมลจากคนแปลกหน้า

                           M ย่อมาจาก Mind the subject คือ หมั่นสังเกตหัวข้อของจดหมายก่อนที่จะเปิดอ่าน

                           A  ย่อมาจากประโยค Antivirus must be installed หมายความว่า ควรติดตั้งโปรแกรมป้องกันไวรัส เช่น Norton Antivirus

                           I ย่อมาจาก Interest on virus news หมายความว่า ควรให้ความสนใจกับข่าวเกี่ยวกับไวรัส ติดตามข่าวสารจากสื่อต่างๆ

                           L  ย่อมาจาก Learn to be cautious หมายความว่า ให้ระวังให้มาก อย่าเปิดอีเมลแบบไม่ยั้งคิด

                       -  ติดตามข่าวสารเกี่ยวกับการป้องกันการก่อกวนและทำลายข้อมูลได้ที่ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (http://thaicert.nectec.or.th/)

                นอกจากข้อควรระวังแล้วยังมีข้อแนะนำบางประการเพื่อสร้างสังคมและรักษาสิ่งแวดล้อมดังนี้

                1)  การป้องกันเด็กเข้าไปดูเว็บไซต์ที่ไม่เหมาะสม

                2)  การวางแผนเพื่อจัดการกับเครื่องคอมพิวเตอร์ที่ไม่ใช้แล้ว

                3)  การใช้พลังงาน

                                                 กรณีศึกษา : การโจมตีแบบฟิชชิ่งลูกค้าธนาคาร

1.  การกระทำดังกล่าวเป็นเทคนิคการโจมตีแบบฟิชชิ่งอย่างไร จงอธิบาย

ตอบ =    คือ การกระทำความผิดด้วยการหลอกลวง เพื่อให้ได้ข้อมูลสำคัญบางอย่างของผู้อื่นไป อาทิ เช่น พาสเวิร์ด, หมายเลขบัตรเครดิต, หมายเลขพิน หรือบรรดาเลขหลายไอเดนติตี้อื่น ๆ โดยเฉพาะอย่างยิ่งข้อมูล หรือรหัสที่เกี่ยวข้องกับ การเงิน การธนาคาร โดยผู้กระทำ Phisher จะส่งข้อความหลอกลวงนั้น ผ่านทางอีเมล์บ้าง ไปยังลูกค้าของสถานบันการเงิน หรือ ธนาคาร ที่หมายตา ทำทีแจ้งแก่ลูกค้า หลอกว่าทางบริษัท หรือธนาคาร มีปัญหาเกี่ยวกับระบบคอมพิวเตอร์ ขณะนี้อยู่ใน ระหว่างการ ซ่อมแซม และรวบรวมข้อมูลที่เสียหาย จึงจำเป็นต้องขอทราบข้อมูลของลูกค้า ให้ลูกค้ารีบติดต่อกลับ หรือมอบข้อมูลเหล่านั้นกลับโดยเร็ว โดยให้เข้าไปที่เว็บไซท์ หรือบริการ Online ของบริษัท หรือธนาคารนั้น ๆ ตามลิงค์ที่แนบมาด้วยแล้วในอีเมล์

2.  จงยกตัวอย่างกรณีศึกษาการโจมตีแบบฟิชชิ่งมา 2 ตัวอย่าง

ตอบ =    1. Paypal   การสร้างจดหมาย ข้อความเลียนแบบหรือรูปแบบการแจ้งข่าวสารของบริษัทเพื่อหลอกลวงเอาข้อมูลบางอย่างจากผู้ใช้ Paypal  เช่น การแจ้งทางเมลล์ว่าบัญชี Paypal  ของคุณกำลังจะหมดอายุ คุณต้องกรอกข้อมูลเพื่อยืนยันการต่ออายุบัญชี เช่น ข้อมูลส่วนตัวต่างๆ บัญชีผู้ใช้  Email Address  รหัสผ่าน เป็นต้น

                2. Egold   การแฮก Egold โดยการสร้างจดหมาย ข้อความเลียนแบบหรือรูปแบบการแจ้งข่าวสารของบริษัทเพื่อหลอกลวงเอาข้อมูลบางอย่างจากผู้ใช้ Egold   เช่น การส่งเมลล์มาให้แก้ไขข้อมูลเพราะทางบริษัทได้จัดทำระบบใหม่เพื่อการสร้างบริการที่ดีลูกค้ามากยิ่งขึ้น โดยให้กรอก  Username , Password , Account Number , Passphrase , Email Address  ใหม่เพื่อเป็นการยืนยันว่าคุณเป็นลูกค้าของทางบริษัทจริง

3. ท่านมีวิธีหลีกเลี่ยงและป้องกันกลลวงจากฟิชชิ่งได้อย่างไร

ตอบ =    1. อย่าเช็คอีเมล์เวลาเบลอๆ หรือใกล้จะหลับ เวลามึนหรือเมา

                2. ให้หมายเลขบัตรเครดิตเฉพาะบริษัทที่วางใจเท่านั้น

                3. ใช้เฉพาะเว็บไซต์ที่มีระบบรักษาความปลอดภัย เช่น http://

                4. พิจารณาอย่างรอบคอบก่อนการให้ข้อมูลส่วนตัว และให้ข้อมูลในส่วนที่จำเป็นเฉพาะบุคคลนั้นๆ

                5. ใช้โปรแกรม เช่น SurfSecret  เพื่อป้องกันการติดตามการท่องเว็บไซต์