จริยธรรมในการใช้เทคโนโลยีสารสนเทศ หรือ PAPA ประกอบด้วยอะไรบ้าง

จริยธรรมคอมพิวเตอร์

ป็นหลักเกณฑ์ที่ประชาชนตกลงร่วมกันเพื่อใช้เป็นแนวทางในการปฏิบัติร่วมกัน  สำหรับตัวอย่างของการกระทำที่ยอมรับกันโดยทั่วไปว่าเป็นการกระทำที่ผิดจริยธรรม เช่น

1. การใช้คอมพิวเตอร์ทำร้ายผู้อื่นให้เกิดความเสียหายหรือก่อความรำคาญ
2. การใช้คอมพิวเตอร์ในการขโมยข้อมูล
3. การเข้าถึงข้อมูลหรือคอมพิวเตอร์ของบุคคลอื่นโดยไม่ได้รับอนุญาต
4. การละเมิดลิขสิทธิ์ซอฟต์แวร์

โดยทั่วไปเมื่อพิจารณาถึงจริยธรรมเกี่ยวกับการใช้เทคโนโลยีคอมพิวเตอร์และ

สารสนเทศแล้ว จะกล่าวถึงใน 4 ประเด็น ที่รู้จักกันในลักษณะตัวย่อว่า PAPA  ประกอบด้วย

1. ความเป็นส่วนตัว (Information Privacy)
2. ความถูกต้อง (Information Accuracy)
3. ความเป็นเจ้าของ (Intellectual Property)
4. การเข้าถึงข้อมูล (Data Accessibility)

ในประเทศไทยได้มีการร่างกฎหมายทั้งสิ้น 6 ฉบับ คือ

1. กฏหมายเกี่ยวกับธุรกรรมอิเล็กทรอนิกส์
2. กฏหมายลายมือชื่ออิเล็กทรอนิกส์
3. กฏหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์
4. กฏหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์
5. กฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
6. กฎหมายลำดับรอง รัฐธรรมนูญ มาตรา 78 หรือกฎหมายเกี่ยวกับการพัฒนา โครงสร้างพื้นฐานสารสนเทศ

ต่อมาได้มีการรวมเอากฎหมายธุรกรรมอิเล็กทรอนิกส์และกฎหมายลายมือชื่อ-อิเล็กทรอนิกส์เป็นฉบับเดียวกันเป็นพระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2544 ซึ่งมีผลบังคับใช้เมื่อวันที่ 3 เมษายน 2545 แต่ในปัจจุบันยังไม่ได้นำมาใช้สมบูรณ์แบบ เนื่องจากยังไม่มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์  ส่วนกฏหมายอีก 4 ฉบับที่เหลือ ขณะนี้อยู่ระหว่างการดำเนินการ (ข้อมูล ณ ตุลาคม 2546)

อาชญากรรมคอมพิวเตอร์ (computer crime or  cyber crime)

อาชญากรคอมพิวเตอร์จะก่ออาชญากรรมหลายรูปแบบ ซึ่งปัจจุบันทั่วโลกจัดออกเป็น 9 ประเภท (ตามข้อมูลคณะอนุกรรมการเฉพาะกิจร่างกฎหมายอาชญากรรมคอมพิวเตอร์)

1.การขโมยข้อมูลทางอินเตอร์เน็ต ซึ่งรวมถึงการขโมยประโยชน์ในการลักลอบใช้บริการ

2.อาชญากรนำเอาระบบการสื่อสารมาปกปิดความผิดของตนเอง

3.การละเมิดสิทธิ์ปลอมแปรงรูปแบบ เลียนแบบระบบซอพต์แวร์โดยมิชอบ

4.ใช้คอมพิวเตอร์แพร่ภาพ เสียง ลามก อนาจาร และข้อมูลที่ไม่เหมาะสม

5.ใช้คอมพิวเตอร์ฟอกเงิน

6.อันธพาลทางคอมพิวเตอร์ที่เช้าไปก่อกวน ทำลายระบบสาราณูปโภค เช่น ระบบจ่ายน้ำ จ่ายไป ระบบการจราจร

7.หลอกลวงให้ร่วมค้าขายหรือลงทุนปลอม

8.แทรกแซงข้อมูลแล้วนำข้อมูลนั้นมาเป็น)ระโยชน์ต่อตนโดยมิชอบ เช่น ลักรอบค้นหารหัสบัตรเครดิตคนอื่นมาใช้ ดักข้อมูลทางการค้าเพื่อเอาผลประโยชน์นั้นเป็นของตน

9.ใช้คอมพิวเตอร์แอบโอนเงินบัญชีผู้อื่นเข้าบัญชีตัวเอง

แหล่งที่มา : http://se-ed.net/hacking/t1.htm

การใช้คอมพิวเตอร์ในฐานะเป็นเครื่องมือในการก่ออาชญากรรม

–  การขโมยหมายเลขบัตรเครดิต

เมื่อจะซื้อสินค้าและชำระเงินด้วยบัตรเครดิตผ่านทางอินเทอร์เน็ต จะต้องแน่ใจว่าระบบมีการรักษาความปลอดภัย ซึ่งสังเกตง่าย ๆ จากมุมขวาล่างของเว็บไซต์จะมีรูปกุญแจล็อกอยู่ หรือที่อยู่เว็บไซต์หรือ URL จะระบุ https://

–  การแอบอ้างตัว

เป็นการแอบอ้างตัวของผู้กระทำต่อบุคคลที่สามว่าตนเป็นอีกคนหนึ่ง เช่นนำ หมายเลขบัตรประชาชน หมายเลขบัตรเครดิต หนังสือเดินทาง และข้อมูลส่วนบุคคลอื่น ๆ ของผู้ถูกกระทำไปใช้แอบอ้างเพื่อหาผลประโยชน์

–  การสแกมทางคอมพิวเตอร์

เป็นการกระทำโดยใช้คอมพิวเตอร์เป็นเครื่องมือในการหลอกลวงผู้อื่น ปัจจุบันมีรูปแบบที่แตกต่างกันมากมาย

ตัวอย่างลักษณะการกระทำที่เป็นอาชญากรรมคอมพิวเตอร์ใน 3 ประเด็นคือ

1. การเข้าถึงและการใช้คอมพิวเตอร์โดยไม่ได้รับอนุญาต
2. การก่อกวนหรือทำลายข้อมูล
3. การขโมยข้อมูลและอุปกรณ์คอมพิวเตอร์

อาชญากรคอมพิวเตอร์

อาชญากรคอมพิวเตอร์ คือ ผู้กระทำผิดกฎหมายโดยใช้เทคโนโลยีคอมพิวเตอร์เป็นส่วนสำคัญ มีการจำแนกไว้ดังนี้

1. พวกมือใหม่ (Novices) หรือมือสมัครเล่น อยากทดลองความรู้และส่วนใหญ่จะมิใช่ผู้ ที่เป็นอาชญากรโดยนิสัย มิได้ดำรงชีพโดยการกระทำผิดอาจหมายถึงพวกที่เพิ่งได้รับความไว้วางใจให้เข้าสู่ระบบเครือข่ายคอมพิวเตอร์
2. Darnged person คือ พวกจิตวิปริต ผิดปกติ มีลักษณะเป็นพวกชอบความรุนแรง และอันตราย มักเป็นพวกที่ชอบทำลายทุกสิ่งที่ขวางหน้าไม่ว่าจะเป็นบุคคล สิ่งของ หรือสภาพแวดล้อม
3. Organized Crime พวกนี้เป็นกลุ่มอาชญากรที่ร่วมมือกันทำผิดในลักษณะขององค์กรใหญ่ๆ ที่มีระบบ พวกเขาจะใช้คอมพิวเตอร์ที่ต่างกัน โดยส่วนหนึ่งอาจใช้เป็นเครื่องหาข่าวสาร เหมือนองค์กรธุรกิจทั่วไป อีกส่วนหนึ่งก็จะใช้เทคโนโลยีเพื่อเป็นตัวประกอบสำคัญในการก่ออาชญากรรม หรือใช้เทคโนโลยีกลบเกลื่อนร่องร่อย ให้รอดพ้นจากเจ้าหน้าที่
4. Career Criminal พวกอาชญากรมืออาชีพ เป็นกลุ่มอาชญากรคอมพิวเตอร์ที่มีอยู่มาก กลุ่มนี้น่าเป็นห่วงมากที่สุด เนื่องจากนับวันจะทวีจำนวนมากขึ้นเรื่อยๆ โดยจับผิดแล้วจับผิดเล่า บ่อยครั้ง

1. Com Artist คือพวกหัวพัฒนา เป็นพวกที่ชอบความก้าวหน้าทางคอมพิวเตอร์ เพื่อให้ได้มาซึ่งผลประโยชน์ส่วนตน อาชญากรประเภทนี้จะใช้ความก้าวหน้า เกี่ยวกับระบบคอมพิวเตอร์ และความรู้ของตนเพื่อหาเงินมิชอบทางกฎหมาย
2. Dreamer พวกบ้าลัทธิ เป็นพวกที่คอยทำผิดเนื่องจากมีความเชื่อถือสิ่งหนึ่งสิ่งใดอย่างรุ่นแรง
3. Cracker หมายถึง ผู้ที่มีความรู้และทักษะทางคอมพิวเตอร์เป็นอย่างดี จนสามารถลักลอบเข้าสู่ระบบได้ โดยมีวัตถุประสงค์เข้าไปหาผลประโยชน์อย่างใดอย่างหนึ่ง มักเข้าไปทำลายหรือลบไฟล์ หรือทำให้คอมพิวเตอร์ใช้การไม่ได้ รวมถึงทำลายระบบปฏิบัติการ
4. นักเจาะข้อมูล (Hacker) ผู้ที่ชอบเจาะเข้าระบบคอมพิวเตอร์ของผู้อื่น พยายามหาความท้าทายทางเทคโนโลยีเข้าไปในเครือข่ายของผู้อื่นโดยที่ตนเองไม่มีอำนาจ
5. อาชญากรในรูปแบบเดิมที่ใช้เทคโนโลยีเป็นเครื่องมือ เช่นพวกลักเล็กขโมยน้อยที่ พยายามขโมยบัตร ATM ของผู้อื่น
6. อาชญากรมืออาชีพ คนพวกนี้จะดำรงชีพจากการกระทำความผิด เช่นพวกที่มักจะใช้ ความรู้ทางเทคโนโลยีฉ้อโกงสถาบันการเงิน หรือการจารกรรมข้อมูลไปขาย เป็นต้น
7. พวกหัวรุนแรงคลั่งอุดมการณ์หรือลัทธิ มักก่ออาชญากรรมทางคอมพิวเตอร์ เพื่อ อุดมการณ์ทางการเมือง เศรษฐกิจ ศาสนา หรือสิทธิมนุษย์ชน เป็นต้น

และนอกจากนั้นยังพบว่า ผู้กระทำความผิดทางคอมพิวเตอร์มีลักษณะพิเศษดังต่อไปนี้

1. ส่วนใหญ่มักมีอายุน้อย
2. ส่วนใหญ่เป็นผู้ที่มีวิชาชีพ
3. ลักษณะส่วนตัวเช่น

– มีแรงจูงใจและความทะยานอยากสูงในการที่จะเอาชนะและฉลาด

– ไม่ใช่อาชญากรโดยอาชีพ

– กลัวที่จะถูกจับได้ กลัวครอบครัว เพื่อนและเพื่อนร่วมงานจะรู้ถึงการกระทำความผิดของตน

7.4  วิธีการป้องกันการเข้าถึงข้อมูลและคอมพิวเตอร์

1)  การใช้ username หรือ user ID และ รหัสผ่าน (password)  ผู้ใช้ควรเปลี่ยนแปลงด้วยตนเองในภายหลัง และควรหลีกเลี่ยงการกำหนดรหัสที่เป็นวันเกิด หรือรหัสอื่นๆ ที่   แฮกเกอร์สามารถเดาได้

2)  การใช้วัตถุใด ๆ เพื่อการเข้าสู่ระบบ ได้แก่ บัตร หรือกุญแจ ซึ่งรหัสผ่านไม่ควรใช้ปีเกิด หรือจดลงในบัตร

3)  การใช้อุปกรณ์ทางชีวภาพ (biometric device) เป็นการใช้อุปกรณ์ที่ตรวจสอบลักษณะส่วนบุคคลเพื่อการอนุญาตใช้โปรแกรม ระบบ หรือการเข้าใช้ห้องคอมพิวเตอร์

4)  ระบบเรียกกลับ (callback system) เป็นระบบที่ผู้ใช้ระบุชื่อและรหัสผ่านเพื่อขอเข้าใช้ระบบปลายทาง หากข้อมูลถูกต้อง คอมพิวเตอร์ก็จะเรียกกลับให้เข้าใช้งานเอง อย่างไรก็ตามการใช้งานลักษณะนี้จะมีประสิทธิภาพมากขึ้นถ้าผู้ขอใช้ระบบใช้เครื่องคอมพิวเตอร์จากตำแหน่งเดิม คือ จากบ้าน หรือที่ทำงาน (หมายเลขโทรศัพท์เดิม)ในขณะที่การใช้คอมพิวเตอร์แบบพกพาอาจต้องเปลี่ยนหมายเลขโทรศัพท์ ทำให้เกิดความเสี่ยงมากกว่า

ข้อควรระวังและแนวทางการป้องกันการใช้เครือข่ายคอมพิวเตอร์

1. ข้อควรระวังก่อนเข้าไปในโลกไซเบอร์

Haag ได้เสนอกฎไว้ 2 ข้อคือ ถ้าคอมพิวเตอร์มีโอกาสถูกขโมย ให้ป้องกันโดยการล็อกมัน และถ้าไฟล์มีโอกาสที่จะถูกทำลาย ให้ป้องกันด้วยการสำรอง (backup)

1. ข้อควรระวังในการเข้าไปยังโลกไซเบอร์

ถ้าท่านซื้อสินค้าและบริการผ่านอินเทอร์เน็ต ให้พิจารณาข้อพึงระวังต่อไปนี้

1)  บัตรเครดิตและการแอบอ้าง

2)  การป้องกันข้อมูลส่วนบุคคล

3)  การป้องกันการติดตามการท่องเว็บไซต์

4)  การหลีกเลี่ยงสแปมเมล์

5)  การป้องกันระบบคอมพิวเตอร์และเครือข่าย

6)   การป้องกันไวรัสคอมพิวเตอร์

ติดตามข่าวสารเกี่ยวกับการป้องกันการก่อกวนและทำลายข้อมูลได้ที่  ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย(http://thaicert.nectec.or.th/)

นอกจากข้อควรระวังข้างต้นแล้ว ยังมีข้อแนะนำบางประการเพื่อการสร้างสังคมและรักษาสิ่งแวดล้อม ดังนี้

1)  การป้องกันเด็กเข้าไปดูเว็บไซต์ที่ไม่เหมาะสม

2)  การวางแผนเพื่อจัดการกับเครื่องคอมพิวเตอร์ที่ไม่ใช้แล้ว

3)  การใช้พลังงาน

การใช้คอมพิวเตอร์ในฐานะเป็นเครื่องมือก่ออาชญากรรม

อาชญากรรมคอมพิวเตอร์   เป็นการกระทำที่ผิดกฎหมายโดยใช้คอมพิวเตอร์ เช่น การโจรกรรมข้อมูลขอลบริษัท การถอดรหัสโปรแกรมคอมพิวเตอร์ รวมถึงการก่อกวนโดยกลลุ่มแฮกเกอร์ เช่น ไวรัสคอมพิวเตอร์ การทำลายข้อมูลและอุปกรณ์

               อาชญากรคอมพิวเตอร์  คือ   ผู้กระทำผิดกฎหมายโดยใช้เทคโนโลยีคอมพิวเตอร์เป็นเครื่องในการก่อเหตุอาชญากรรมและกระทำความผิดนั้น สามารถจำแนกอาชญากร ดังนี้

               1.แฮกเกอร์

               2.แครกเกอร์

               3.แฮกตีวิสต์

               อาชญากรคอมพิวเตอร์จะก่ออาชญากรรมหลายรูปแบบ ปัจจุบันทั่วโลกจัดออกเป็น 9 ประเภท

               1.การขโมยข้อมูลทางอินเทอร์เน็ต

               2.การที่อาชญากรนำเอาระบบสื่อสารมาปกปิดความผิดของตนเอง

               3.การละเมิดสิทธิปลอมแปลงรูปแบบ

               4.การใช้คอมพิวเตอร์แพร่ข้อมูลที่ไม่เหมาะสม

               5.การใช้คอมพิวเตอร์ฟอกเงิน

               6.การที่มีอันธพาลทางคอมพิวเตอร์ที่เข้าไปก่อกวนทำลายระบบสาธารณูปโภค

               7.การหลอกลวงให้ค้าขายหรือลงทุนปลอม

               8.การแทรกแซงข้อมูลแล้วนำข้อมูลนั้นมาเป็นประโยชน์ต่อตนโดยมิชอบ

               9.การใช้คอมพิวเตอร์แอบโอนเงินบัญชีผู้อื่นเข้าบัญชีตนเอง

           การใช้คอมพิวเตอร์ในฐานะเป็นเครื่องมือในการก่ออาชญากรรม      มีหลายรูปแบบ เช่น

               1.การขโมยหมายเลขบัตรเครดิต

                   (1) การขโมยทางอิเล็กทรอนิกส์จะรู้เมื่อได้รับใบแจ้งยอดหนี้

                   (2) การชำระค่าสินค้าด้วยบัตรเครดิตผ่านทางินเทอร์เน็ตต้องแน่ใจว่ามีความปลอดภัย

เว็บไซต์ที่มีระบบรักษาความปลอดภัย

               2.การแอบอ้าง

3.การตรวจทางคอมพิวเตอร์

(1) การส่งข้อความ

                   (2) การให้เข้าไปใช้บริการเว็บไซต์ได้ฟรี

           คอมพิวเตอร์ในฐานะของเป้าหมายอาชญากรรม      คอมพิวเตอร์ก็อาจเป็นเป้าหมายของอาชญากรรมได้ ตัวอย่างลักษณะการกระทำที่เป็นอาชญากรรมคอมพิวเตอร์ใน 3 ประเด็น คือ

               1.การเข้าถึงและการใช้งานโดยไม่ได้รับอนุญาต

               2.การขโมยข้อมูลและอุปกรณ์คอมพิวเตอร์

               3.การก่อกวนหรือทำลายข้อมูล

การรักษาความปลอดภัยโดยใช้กล้องวงจรปิด

วิธีการใช้ในการกระทำความผิดทางอาชญากรรมทางคอมพิวเตอร์    มีดังนี้

                1.ดาตาดิดลิง    คือ    การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาตก่อน การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลใดก็ได้ที่สามารถเข้าไปถึงตัวข้อมูล

                2.โทรจันฮอร์ส   การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์ วิธีนี้มักใช้กับการฉ้อโกงทางคอมพิวเตอร์

                3.ซาลามิเทคนิค   วิธีการปัดเศษจำนวนเงิน นอกจากใช้กับการปัดเศษจำนวนเงินแล้ววิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสิรค้า

                4.ซูเปอร์แซพปิง   มาจากคำว่า Superzap เป็นโปรแกรมที่ใช้ในศูนย์คอมพิวเตอร์ในบริษัทไอบีเอ็ม เพื่อใช้เป็นเครื่องมือของระบบ ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน

                5.แทรปดอร์   เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์เพื่อลวงผู้ที่มาใช้คอมพิวเตอร์

                6.ลอจิกบอมบ์   เป็นการเขียนโปรแกรมคำสั่งอย่างมีเงื่อนไข โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะหรือสภาพการณ์ตามที่ผู้สร้างโปรแกรมกำหนด

                7.อัสซินครอนีสแอตแทก   คือ สามารถทำงานหลายๆอย่างพร้อมกันโดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน 

                8.สกาเวนจิง    คือ   วิธีการที่จะได้รับข้อมูลที่ทิ้งไว้ในระบบคอมพิวเตอร์ วิธี่ที่ง่ายที่สุด คือ ค้นหาตามถังขยะที่อาจมีข้อมูลสำคัญแฝงอยุ่

                9.คาตาลีเกต   หมายถึง   การทำให้ข้อมูลลั่วไหลออกไป อาจโดยตั้งใจหรือไม่ก็ตาม 

10.พิกกีแบกกิง   การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจมาใช้ประตู เมื่อประตูเปิดคนร้ายก็จะฉวยโอกาสตอนที่ประตูยังไม่ปิดสนิทแอบเข้าไปได้ ในทางอิเล็กทรอนิกส์ก็เช่นกัน

11.อิมเพอร์ซันเนชัน คือ การที่คนร้ายแกล้งปลอมเป็นบุคคลอื่นที่มีอำนาจหรือได้รับอนุญาต

               12.ไวร์แปทพิง เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาที่จะได้รับประโยชน์ โดยการกระทำความผิดดังกล่าวกำลังเป็นที่หวาดวิตกกับผู้เกี่ยวข้องอย่างมาก 

               13.ชิมูเลชันแอนโมเดลลิง ในปัจจุบันคอมพิวเตอร์ถูกใช้เป็นเครื่องมือในการวางแผนการควบคุมและติดตามความเคลื่อนไหวในการประกอบอาชญากรรมและกระบวนการดังกล่าวก็สามารถใช้โดยอาชญากร

วิธีการป้องการเข้าถึงข้อมูลและคอมพิวเตอร์    ในที่นี้จะกล่าวถึง 4 วิธี คือ

                1.ใช้ชื่อผู้ใช้และรหัสผ่าน

                2.ใช้วัตถุเพื่อการเข้าสู่ระบบ

                3.ใช้อุปกรณ์ทางชีวภาพ

                4.ระบบเรียกกลับ

คอมพิวเตอร์ในฐานะเป็นเป้าหมายของอาชญากรรม

1)  การเข้าถึงและการใช้คอมพิวเตอร์โดยไม่ได้รับอนุญาต เป็นการกระทำต่างๆ ที่เกี่ยวข้อมกับคอมพิวเตอร์หรือข้อมูลของผู้อื่นโดยที่เจ้าของไม่อนุญาต การเข้าถึงอาจใช้วิธีการขโมยรหัสส่วนตัว (Personal Identification Number : PIN) หรือการเข้ารหัสผ่าน (Password)

2)  การก่อกวนหรือทำลายข้อมูล เป็นอาชญากรรมคอมพิวเตอร์ที่เข้าไปปั่นป่วนและแทรกแซงการทำงานของคอมพิวเตอร์ฮาร์ดแวร์และซอฟต์แวร์โดยไม่ได้รับอนุญาต

–  ไวรัส (Virus) เป็นโปรแกรมที่ออกแบบมาเพื่อดัดแปลงโปรแกรมคอมพิวเตอร์อื่น โดยทั่วไปไวรัสคอมพิวเตอร์จะแบ่งออกเป็น 3 ชนิด

(1) ไวรัสที่ทำงานบน Boot Sector หรือบางครั้งเรียก System Virus

(2) ไวรัสที่ติดที่แฟ้มงานหรือโปรแกรม

(3)  มาโครไวรัส (Macro Virus)

–  เวิร์ม (Worm) เป็นโปรแกรมความพิวเตอร์ที่กระจายตัวเองเช่นเดียวกับไวรัส แต่แตกต่างที่ไวรัสต้องให้มนุษย์สั่งการเรียกใช้งาน ในขณะที่เวิร์มจะแพร่กระจายจากคอมพิวเตอร์สู่คอมพิวเตอร์เครื่องอื่นๆ โดยผ่านทางอีเมลและเครือข่ายอินเทอร์เน็ต

–  ม้าโทรจัน (Trojan Horse) เป็นโปรแกรมท่แตกต่างจากไวรัสและเวิร์มที่ม้าโทรจันจะไม่กระจายตัวมันเองไปยังคอมพิวเตอร์เครื่องอื่น แต่จะแฝงตัวอยู่กับโปรแกรมอื่นๆ ที่อาจส่งผ่านมาทางอีเมล เช่น zipped files.exeและเมื่อมีการเรียกใช้ไฟล์ โปรแกรมก็จะลบไฟล์ที่อยู่ในฮาร์ดดิสก์

–  ข่าวหลอกลวง (Hoax) เป็นการส่งข้อความต่างๆ กันเหมือนจดหมายลูกโซ่เพื่อให้เกิดความเข้าใจผิด โดยอาศัยเทคนิคทางจิตวิทยา เช่น “Virtual Card for You” “โปรดอย่างดื่ม….” “โปรดอย่าใช้มือถือยี่ห้อ…”

3)  การขโมยข้อมูลและอุปกรณ์คอมพิวเตอร์

การรักษาความปลอดภัยของระบบสารสนเทศ

1)  การใช้ Username หรือ User ID และรหัสผ่าน (Password)

2)  การใช้วัตถุใดๆ เพื่อการเข้าสู่ระบบ

3)  การใช้อุปกรณ์ทางชีพวภาพ (Biometric Devices)

4)  การเรียกกลับ (Callback System)

เทคโนโลยีสารสนเทศมีผลกระทบต่อสังคมเป็นอย่างมาก โดยเฉพาะประเด็นจริยธรรมที่เกี่ยวกับระบบสารสนเทศที่จำเป็นต้องพิจารณารวมทั้งเรื่องความปลอดภัยของระบบสารสนเทศการใช้เทคโนโลยีสารสนเทศหากไม่มีกรอบจริยธรรมกำกับไว้แล้ว สังคมย่อมจะเกิดปัญหาต่าง ๆ ตามมาไม่สิ้นสุด รวมทั้งปัญหาอาชญากรรมคอมพิวเตอร์ด้วย ดังนั้นหน่วยงานที่ใช้ระบบสารสนเทศจึงจำเป็นต้องสร้างระบบความปลอดภัยเพื่อป้องกันปัญหาดังกล่าว

ประเด็นเกี่ยวกับจริยธรรม

        คำจำกัดความของจริยธรรมมีอยู่มากมาย เช่น “ หลักของศีลธรรมใ นแต่ละวิชาชีพเฉพาะ ”

“ มาตรฐานของการประพฤติปฏิบัติในวิชาชีพที่ได้รับ ” “ ข้อตกลงกันในหมู่ประชาชนในการกระทำสิ่งที่ถูกและหลีกเลี่ยงการกระทำสิ่งที่ผิด ” หรืออาจสรุปได้ว่า จริยธรรม (Ethics) หมายถึง หลักของความถูกและความผิดที่บุคคลใช้เป็นแนวทางในการปฏิบัติ (Laudon & Laudon, 1999:105)

กรอบความคิดเรื่องจริยธรรม

        หลักปรัชญาเกี่ยวกับจริยธรรม มีดังนี้ (Laudon & Laudon, 1999)

R.O. Mason และคณะ ได้จำแนกประเด็นเกี่ยวกับจริยธรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเป็น 4 ประเภทคือ ความเป็นส่วนตัว (Privacy) ความถูกต้องแม่นยำ (Accuracy) ความเป็นเจ้าของ (Property) และความสามารถในการเข้าถึงได้ (Accessibility) (O’Brien, 1999: 675; Turban, et al., 2001: 512)

1) ประเด็นความเป็นส่วนตัว (Privacy) คือ การเก็บรวบรวม การเก็บรักษา และการเผยแพร่ ข้อมูลสารสนเทศเกี่ยวกับปัจเจกบุคคล

2) ประเด็นความถูกต้องแม่นยำ (Accuracy) ได้แก่ ความถูกต้องแม่นยำของการเก็บรวบรวมและวิธีการปฏิบัติกับข้อมูลสารสนเทศ

3) ประเด็นของความเป็นเจ้าของ (Property) คือ กรรมสิทธิ์และมูลค่าของข้อมูลสารสนเทศ (ทรัพย์สินทางปัญญา)

4) ประเด็นของความเข้าถึงได้ (Accessibility) คือ สิทธิในการเข้าถึงข้อมูลสารสนเทศได้และการจ่ายค่าธรรมเนียมในการเข้าถึงข้อมูลสารสนเทศ

การคุ้มครองความเป็นส่วนตัว (Privacy)

• ความเป็นส่วนตัวของบุคคลต้องได้ดุลกับความต้องการของสังคม
• สิทธิของสาธารณชนอยู่เหนือสิทธิความเป็นส่วนตัวของปัจเจกชน

การคุ้มครองทางทรัพย์สินทางปัญญา

        ทรัพย์สินทางปัญญาเป็นทรัพย์สินที่จับต้องไม่ได้ที่สร้างสรรค์ขึ้นโดยปัจเจกชน หรือนิติบุคคล ซึ่งอยู่ภายใต้ความคุ้มครองของกฎหมายลิขสิทธิ์ กฎหมายความลับทางการค้า และกฎหมายสิทธิบัตร

        ลิขสิทธิ์ (copyright) ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537 หมายถึง สิทธิ์แต่ผู้เดียวที่จะกระทำการใด ๆ เกี่ยวกับงานที่ผู้สร้างสรรค์ได้ทำขึ้น ซึ่งเป็นสิทธิ์ในการป้องกันการคัดลอกหรือทำซ้ำในงานเขียน งานศิลป์ หรืองานด้านศิลปะอื่น ตามพระราชบัญญัติดังกล่าวลิขสิทธิ์ทั่วไปมีอายุห้าสิบปีนับแต่งานได้สร้างสรรค์ขึ้น หรือนับแต่ได้มีการโฆษณาเป็นครั้งแรกในขณะที่ประเทศสหรัฐอเมริกาจะมีอายุเพียง 28 ปี

        สิทธิบัตร (patent) ตามพระราชบัญญัติสิทธิบัตร พ.ศ. 2522 หมายถึง หนังสือสำคัญที่ออกให้เพื่อคุ้มครองการประดิษฐ์ หรือการออกแบบผลิตภัณฑ์ ตามที่กฎหมายบัญญัติไว้ โดยสิทธิบัตรการประดิษฐ์มีอายุยี่สิบปีนับแต่วันขอรับสิทธิบัตร ในขณะที่ประเทศสหรัฐอเมริกาจะคุ้มครองเพียง 17 ปี

อาชญากรรมคอมพิวเตอร์ (Computer Crime)

        อาชญากรรมคอมพิวเตอร์อาศัยความรู้ในการใช้เครื่องมือคอมพิวเตอร์หรืออุปกรณ์อื่น โดยสามารถทำให้เกิดความเสียหายด้านทรัพย์สินเงินทองจำนวนมหาศาลมากกว่าการปล้นธนาคารเสียอีก นอกจากนี้อาชญากรรมประเภทนี้ยากที่จะป้องกัน และบางครั้งผู้ได้รับความเสียหายอาจจะไม่รู้ตัวด้วยซ้ำ

•  เครื่องคอมพิวเตอร์ในฐานะเป็นเครื่องประกอบอาชญากรรม

•  เครื่องคอมพิวเตอร์ในฐานะเป็นเป้าหมายของอาชญากรรม

•  การเข้าถึงและการใช้คอมพิวเตอร์ที่ไม่ถูกกฎหมาย

•  การเปลี่ยนแปลงและการทำลายข้อมูล

•  การขโมยข้อมูลข่าวสารและเครื่องมือ

•  การสแกมทางคอมพิวเตอร์ (computer-related scams)

การรักษาความปลอดภัยของระบบคอมพิวเตอร์

        การควบคุมที่มีประสิทธิผลจะทำให้ระบบสารสนเทศมีความปลอดภัยและยังช่วยลดข้อผิดพลาด การฉ้อฉล และการทำลายระบบสารสนเทศที่มีการเชื่อมโยงเป็นระบบอินเทอร์เน็ตด้วย ระบบการควบคุมที่สำคัญมี 3 ประการ คือ การควบคุมระบบสารสนเทศ การควบคุมกระบวนการทำงาน และการควบคุมอุปกรณ์อำนวยความสะดวก (O’Brien, 1999: 656)

การควบคุมระบบสารสนเทศ (Information System Controls)

•  การควบคุมอินพุท

•  การควบคุมการประมวลผล

•  การควบฮาร์ดแวร์ (Hardware Controls)

•  การควบคุมซอฟท์แวร์ (Software Controls)

•  การควบคุมเอาท์พุท (Output Controls)

•  การควบคุมความจำสำรอง (Storage Controls)

การควบคุมกระบวนการทำงาน (Procedural Controls)

•  การมีการทำงานที่เป็นมาตรฐาน และมีคู่มือ

•  การอนุมัติเพื่อพัฒนาระบบ

•  แผนการป้องกันการเสียหาย

•  ระบบการตรวจสอบระบบสารสนเทศ (Auditing Information Systems)

การควบคุมอุปกรณ์อำนวยความสะดวกอื่น (Facility Controls)

•  ความปลอดภัยทางเครือข่าย (Network Security)

•  การแปลงรหัส (Encryption)

•  กำแพงไฟ (Fire Walls)

•  การป้องกันทางกายภาพ (Physical Protection Controls)

•  การควบคุมด้านชีวภาพ (Biometric Control)

•  การควบคุมความล้มเหลวของระบบ (Computer Failure Controls)

วิธีป้องกันการเข้าถึงข้อมูลและคอมพิวเตอร์

วิธีการป้องกันการเข้าถึงข้อมูลและคอมพิวเตอร์

• การใช้ username หรือ user ID และ รหัสผ่าน (password) ผู้ใช้ควรเปลี่ยนแปลงด้วยตนเองในภายหลัง และควรหลีกเลี่ยงการกำหนดรหัสที่เป็นวันเกิด หรือรหัสอื่นๆ ที่ แฮกเกอร์สามารถเดาได้
• การใช้วัตถุใด ๆ เพื่อการเข้าสู่ระบบ ได้แก่ บัตร หรือกุญแจ ซึ่งรหัสผ่านไม่ควรใช้ปีเกิด หรือจดลงในบัตร
• การใช้อุปกรณ์ทางชีวภาพ (biometric device) เป็นการใช้อุปกรณ์ที่ตรวจสอบลักษณะส่วนบุคคลเพื่อการอนุญาตใช้โปรแกรม ระบบ หรือการเข้าใช้ห้องคอมพิวเตอร์
• ระบบเรียกกลับ (callback system) เป็นระบบที่ผู้ใช้ระบุชื่อและรหัสผ่านเพื่อขอเข้าใช้ระบบปลายทาง หากข้อมูลถูกต้อง คอมพิวเตอร์ก็จะเรียกกลับให้เข้าใช้งานเอง อย่างไรก็ตามการใช้งานลักษณะนี้จะมีประสิทธิภาพมากขึ้นถ้าผู้ขอใช้ระบบใช้เครื่องคอมพิวเตอร์จากตำแหน่งเดิม คือ จากบ้าน หรือที่ทำงาน (หมายเลขโทรศัพท์เดิม)ในขณะที่การใช้คอมพิวเตอร์แบบพกพาอาจต้องเปลี่ยนหมายเลขโทรศัพท์ ทำให้เกิดความเสี่ยงมากกว่า

จาก พรบ. ดังกล่าว สามารถสรุปได้ย่อๆ ดังนี้คือ แบ่งเป็น 10 ข้อห้าม และ 10 ข้อที่ควรกระทำ

10 ข้อห้าม

1. ห้ามเจาะ ข้อมูลคนอื่นที่ตั้ง Password เอาไว้
2. ห้ามเอา Password หรือระบบรักษาความปลอดภัยมั่นคงผู้อื่นไปเปิดเผย
3. ห้ามล้วงข้อมูลคนอื่นโดยยังไม่ได้รับอนุญาต
4. ห้ามดัก e-mail ส่วนตัวคนอื่นขณะทำการส่ง e-mail
5. ห้ามแก้ไข ทำลายข้อมูลคนอื่นโดยไม่ได้รับความยินยอม
6. ห้ามก่อกวน ระบบคนอื่นจนระบบล่ม
7. ห้ามส่ง ฟอร์เวิร์ดเมลล์รบกวนคนอื่น จนก่อให้เกิดความเดือดร้อน
8. ห้ามรบกวน ระบบโครงสร้างทางด้านสาธารณูปโภคและความมั่นคงของประเทศ
9. ห้ามเผย โปรแกรมที่ใช้ในการทำผิด
10. ห้ามส่งต่อ ภาพลามกและเนื้อหาที่ทำลายความมั่นคงของประเทศ

10 ควรกระทำ

1. เปลี่ยน…Password ทุกๆ 3 เดือน
2. ไม่แชร์…Password กับผู้อื่น
3. ใช้ Password เสร็จต้องออกจากโปรแกรมทันที
4. ตั้งระบบป้องกันการเจาะข้อมูล
5. ควรเก็บรักษาข้อมูลของตนอย่างดีและต้องไม่ให้ข้อมูลส่วนตัวกับผู้อื่น
6. ควรอ่านเงื่อนไขให้ละเอียดก่อนดาวน์โหลดโปรแกรม
7. ควรแจ้งพนักงานเจ้าหน้าที่เมื่อพบเจอการกระทำความผิด
8. ควรบอกต่อคนใกล้ชิด เช่น เพื่อน คนในครอบครัว ให้ใช้อินเทอร์เน็ตอย่างระมัดระวัง
9. ควรไม่ใช้ โปรแกรมที่ผิดกฎหมาย
10. ควรไม่หลงเชื่อโฆษณาหรือเนื้อหาในเว็บไซต์ที่ไม่เหมาะสม จนอาจถูกหลอกได้

การป้องกันระบบคอมพิวเตอร์และเครือข่าย

คุณจะทำอย่างไรถ้าวันหนึ่งมีเจ้าหน้าที่ตำรวจเดินมาเคาะประตูบริษัทของคุณ และแจ้งข้อหาต่อ่คุณว่า “ให้ความช่วยเหลือในการก่ออาชญากรรมทางคอมพิวเตอร์” ซึ่งเบื้องหลังสิ่งที่เกิดขึ้นนี้คือ การที่มีใครบางคนแอบติดต่อสื่อสารระยะไกลเข้ามาในเซิร์ฟเวอร์ของคุณและใช้เซิร์ฟเวอร์ของคุณเป็นฐานปฏิบัติการในการเจาะระบบเพื่อก่ออาชญากรรมต่างๆ

แต่สิ่งที่เกิดขึ้นแล้วก็คือ คุณปล่อยให้อาชญากรทางคอมพิวเตอร์ทำงานได้โดยสะดวก เพราะคุณไม่ได้ล็อกประตูระบบเครือข่ายของตัวเอง

อันตรายที่พอกพูน

ปัญหานี้ไม่ใช่เรื่องผิดปกติแต่อย่างใด แพราะอาชญากรในโลกไซเบอร์จะเริ่มต้นจากการเจาะระบบของระบบขนาดกลางและย่อมที่มีระบบรักษาความปลอดภัยประสิทธิภาพต่ำ และใช้เป็นฐานในการก่ออาชญากรรมขั้นร้ายแรงต่อไป เช่น การโจมกรรมข้อมูลด้านอุตสาหกรรมและพาณิชย์ การฉ้อโกงทางการเงิน เป็นต้น บริษัทของคุณอาจตกเป็นเหยื่อของอาชญากรไซเบอร์เหล่านี้ได้ หากขาดความเอาใจใส่เรื่องการรักษาความปลอดภัยของระบบโครงสร้างพื้นฐานไอทีขององค์กร และให้ความรู้แก่พนักงานไม่เพียงพอ รวมถึงขาดการบังคับใช้นโยบายรักษาความปลอดภัยที่ดี

การจัดการความเสี่ยงจากภายนอก

ตัวอย่างความเสี่ยงจากภายนอกเช่น ไวรัส เวิร์ม สแปม สปายแวร์ และแอพลิเคชั่นที่เข้ามาโจมตีระบบเพื่อทำให้ระบบปฎิเสธการให้บริการ การโจมตีเซิร์ฟเวอร์ หรือการบุกรุกอื่นๆ

วิธีการที่จะรับมือภัยคุกคามจากภายนอกนี้จำเป็นต้องมีระบบป้องกันพื้นฐานอย่าง ไฟร์วอลล์ ระบบป้องกันไวรัส และระบบบริหารการติดตั้งโปรแกรมซ่อมแซม เป็นต้น

• ระบบป้องกันไวรัส – ควรติดตั้งระบบป้องกันไวรัสทั้งในเครื่องพีซี โน้ตบุ๊ก และเซิร์ฟเวอร์ มิเช่นนั้นโน้ตบุ๊กที่ติดไวรัสมาจากข้างนอกอาจนำไวรัสมาแพร่ระบาดในเซิร์ฟเวอร์และเครือข่ายได้ นอกจากนี้ต้องทำการอัพเดทระบบป้องกันไวรัสอยู่เป็นประจำ และต้องสแกนไวรัสในเครื่องคอมพิวเตอร์ของสำนักงานเป็นประจำด้วย ที่สำคัญควรต้องปรับแต่ระบบป้องกันไวรัสให้คอยตรวจสอบเมล์ที่ดาวน์โหลดมาว่า มีซอฟต์แวร์ไม่พึงประสงค์ติดมากับไฟล์แนบหรือไม่่
• ระบบบริหารการติดตั้งโปรแกรมซ่อมแซม – ระบบปฏิบัติการ หรือซอฟต์แวร์ที่ออกมานานแล้วมักจะพบว่ามีบั๊ก (Bug) ซึ่งอาจกลายเป็นช่องโหว่ให้แฮกเกอร์เจาะเข้ามาโจมตีระบบได้ จึงจำเป็นต้องติดตั้งโปรแกรมซ่อมแซมและอัพเดทอัตโนมัติ และจะต้องไม่ปล่อยให้ผู้ใช้ปิดการทำงานของโปรแกรมเหล่านี้
• ไฟร์วอลล์ – ไฟร์วอลล์จะช่วยแยกแยะและจัดการกับผู้บุกรุกได้ และควรติดตั้งไฟร์วอลล์ส่วนตัวในโน้ตบุ๊ก เพื่อป้องกันไม่ให้โน้ตบุ๊กอัพโหลดข้อมูลโดยไม่ตั้งใจจากคอมพิวเตอร์ไปสู่อินเทอร์เน็ต หรือติดซอฟต์แวร์ประสงค์ร้าย
• การปรับแต่งตัวแปรระบบเครือข่าย – เปลี่ยนช่วงค่าไอพีปกติของเครือข่าย และตรวจดูพอร์ตการใช้งาน ปิดพอร์ตที่ไม่ได้ใช้ รวมถึงลบทรัพยากรที่ใช้ร่วมกันผ่านเครือข่ายที่ไม่จำเป็น
• การปรับแต่งตัวแปรระบบเครือข่าย – เปลี่ยนช่วงค่าไอพีปกติของเครือข่าย และตรวจดูพอร์ตการใช้งาน ปิดพอร์ตที่ไม่ได้ใช้ รวมถึงลบทรัพยากรที่ใช้ร่วมกันผ่านเครือข่ายที่ไม่จำเป็น
• ไฟล์ดาวน์โหลด – ตรวจสอบให้แน่ใจว่าพนักงานดาวน์โหลดไฟล์มาจากเว็บไซต์ที่เชื่อถือได้เท่านั้น หรือให้สิทธิ์ผู้ใช้ที่เชื่อใจได้ แต่ต้งตรวจสอบให้มั่นใจว่าผู้ที่ได้รับสิทธิ์นี้ได้ศึกษาวิธีดาวน์โหลไฟล์อย่างปลอดภัยมาแล้ว

• การจัดการความเสี่ยงจากภายใน

  มีข้อมูลทางสถิติระบุว่า 80% ของอาชญากรรมไอที เกิดจากคนภายในบริษัทเอง เช่น พนักงานที่ไม่พอใจองค์กร พนักงานที่เพิ่งถูกเลิกจ้าง ผู้รับเหมาติดตั้งระบบ หรือผู้ให้บริการ คนภายในเหล่านี้มีความรู้เกี่ยวกับระบบเครือข่ายของบริษัท จึงมีโอกาสที่จะก่อให้เกิดอันตรายได้มากกว่าบุคคลภายนอกที่ไม่คุ้นเคยกับสภาพแวดล้อมแบบนี้ การโจมตีนี้มีได้ตั้งแต่ การแอบดูไฟล์ ลบข้อมูลที่มีค่า เปลี่ยนแปลงรายการในฐานข้อมูล เป็นต้น ขึ้นอยู่กับเจตนาและทักษะของผู้กระทำ

  การป้องกันไม่ให้เกิดเหตุดังกล่าวทำได้ง่ายๆ โดยใช้เทคนิคดังต่อไปนี้

  • รหัสผ่าน – ยืนกรานให้พนักงานใช้รหัสผ่านที่มีความแข็งแกร่งและซับซ้อนเพียงพอ และตรวจสอบให้มั่นใจว่าพนักงานจะเก็บรหัสผ่านนี้ไว้เป็นความลับ รวมถึงนเอานโยบายรหัสผ่านที่ดีมาใช้ เพื่อให้แน่ใจว่า รหัสผ่านจะหมดอายุเมื่อผ่านไประยะหนึ่งและห้ามผู้ใช้ใช้รหัสผ่านเดิมซ้ำอีก นอกจากนั้นยังควรติดตั้งโปรแกรมตรวจสอบการล็อกอิน ไม่ให้ผู้ใช้เข้าใช้งานระบบหลังจากล็อกอินผิดครบจำนวนครั้งที่กำหนด
  • ระดับการให้สิทธิ์ – ใช้ซอฟต์แวร์เพื่อเข้ารหัสข้อมูลที่สำคัญของบริษัท เช่น รายงานต่างๆ โดยใช้คุณสมบัติการเข้ารหัสที่มีอยู่ในแอพลิเคชั่นต่างๆ ให้เป็นประโยชน์ และควรใช้ลายเซ็นดิจิตอลหรือเทคนิกการเข้ารหัสข้อมูลกับอีเมล์สำคัญ เพื่อให้แน่ใจว่าผู้รับที่ระบุชื่อเอาไว้เท่านั้นจึงจะเปิดอ่านได้
  • ใช้ระบบตรวจสอบสิทธิ์ที่ปลอดภัย – เช่น ระบบตรวจสอบสิทธิ์ในรูปของกุญแจอย่างสมาร์ทการ์ด หรือยูเอสบี รวมทั้งอุปกรณ์ไบโอเมทริกซ์ต่างๆ เมื่อใช้ร่วมกับรหัสผ่านที่แข็งแกร่งจะช่วยให้ระบบมีความปลอดภัยเพิ่มขึ้นอย่างมาก
  • ระบบควบคุมการเข้าถึงทรัพยากร – จัดเก็บอุปกรณ์ที่มีความสำคัญอย่าง เซิร์ฟเวอร์ เราเตอร์ อุปกรณ์สำรองข้อมูล และอุปกรณ์อื่นๆ ในที่ที่มีการป้องกัน เช่น ตู้ที่มีกุญแจล็อก หรือห้องที่แยกต่างหาก เพื่อป้องกันไม่ให้พนักงานที่ไม่เกี่ยวข้องหรือบุคคลภายนอกเข้าถึงได้ นอกจากนี้เพื่อป้องกันไม่ให้พนักงานดาวน์โหลดข้อมูลวิจัย รายชื่อลูกค้า ข้อมูลบัตรเครดิตลูกค้า หรือข้อมูลสำคัญอื่นๆ ไปเก็บในอุปกรณ์จัดเก็บข้อมูลอย่างแฟลชไดร์ฟยูเอสบี โทรศัพท์มือถือ หรือเครื่องเล่นเอ็มพี 3 อาจจำเป็นต้องปิดการทำงานของพอร์ตยูเอสบีในเครื่องพีซีด้วย โดยแก้ไขที่ไบออสของเครื่องหรือใช้ยูทิลิตี้อย่าง Drive lock ก็ได้ หรืออาจพิจารณาถึงการล็อกตัวถังเครื่องพีซีด้วยก็เป็นได้
  • ระบบบริหารแอพลิเคชั่น – จัดการลบซอฟต์แวร์ ยูทิลิตี้ และแอพลิเคชั่นที่ไม่ต้องการทิ้งไป และห้ามการใช้ซอฟต์แวร์สื่อสารแบบจุดต่อจุด และระบบรับส่งข่าวสารฉับพลัน เพราะซอฟต์แวร์ดังกล่าวสามารถหลบการทำงานของซอฟต์แวร์รักษาความปลอดภัยที่มีอยู่ แล้วทำการดาวน์โหลดและอัพโหลดข้อมูลได้ รวมทั้งห้ามไม่ให้พนักงานเข้าเว็บไซต์บางแห่ง เนื่องจากพนักงานอาจจะส่งอีเมล์หรือโอนถ่ายข้อมูลสำคัญของบริษัทออกไปได้
  • การกู้ระบบจากภัยพิบัติ – ทำการสำรองข้อมูลอย่างสม่ำเสมอ เพื่อให้สามารถกลับมาทำธุรกิจได้อย่างรวดเร็วในกรณีที่อานมีความเสียหายบเกิดขึ้นกับบริษัท

  ล็อกประตูให้มั่นคง

  องค์ประกอบที่สำคัญที่สุดของระบบรักษาความปลอดภัย คือแผนการรักษาความปลอดภัยที่ให้ความรู้แก่ทุกคนที่อยู่ในบริษัท เกี่ยวกับขั้นตอน เทคโนโลยี และความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ต่างๆ ที่มีอยู่ในระบบโครงสร้างพื้นฐานไอทีขององค์กร ไม่ว่าองค์กรจะติดตั้งเทคโนโลยีรักษาความปลอดภัยไว้มากแค่ไหนก็ตาม ก็จะไม่มีความปลอดภัยจนกว่าจะได้รับการสนับสนุนจากพนักงาน องค์กรต้องจัดทำคู่มือนโยบายรักษาความปลอดภัย และแจ้งให้พนักงานทราบถึงความคาดหวังขององค์กร ที่สำคัญคือต้องเอาจริงเอาจังในการปฏิบัติ เพื่อให้มั่นใจว่าระบบเครือข่ายขององค์กรจะมีความปลอดภัยอย่างที่ควรจะเป็น

  ล้อมกรอบ

  10 ขั้นตอนที่ช่วยให้รักษาความปลอดภัยได้ดีขึ้นกว่าเดิม ประเมินความเสี่ยงที่มีต่อระบบรักษาความปลอดภัย ค้นหาภัยคุกคามที่มีต่อธุรกิจของคุณ สร้างนโยบายรักษาความปลอดภัยข้อมูล ให้ความรู้แก่พนักงาน ปรับปรุงระบบรักษาความปลอดภัยโดยรวม จำกัดการเข้าถึงเซิร์ฟเวอร์ การติดตั้งระบบ การตรวจสอบสิทธิ์ของทรัพยากรไอทีต่างๆ และจำกัดการเข้าถึงข้อมูลลับรวมถึงข้อมูลสำคัญขององค์กร เสริมสร้างความแข็งแกร่งให้กับระบบเครือข่าย ติดตั้งระบบคัดกรองแพ็กเกตนเราเตอร์ และใช้ไฟร์วอลล์รักษาความปลอดภัยเครือข่ายไร้สาย ใช้ซอฟต์แวร์ป้องกันไวรัสที่เกตเวย์และพีซีทุกเครื่อง ใช้ระบบปฏิบัติการที่มีคุณสมบัติเกี่ยวกับระบบรักษาความปลอดภัย เปลี่ยนและอพเกรดระบบปฏิบัติการรุ่นเก่า ใช้ระบบเครือข่ายที่แข็งแกร่ง และเปลี่ยนรหัสผ่านเป็นประจำ ปรับปรุงระบบให้มั่นคง ลบแอพลิเคชั่นที่ไม่จำเป็นและบัญชีชื่อผู้ใช้ที่ไม่ได้ใช้งาน ติดตั้งโปรแกรมซ่อมแซมให้ระบบปฏิบัติการและแอพลิเคชั่น อย่าใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ ใช้ไฟร์วอลล์ส่วนตัว โดยเฉพาะอย่างยิ่งในโน้ตบุ๊ก ใช้ VPN เพื่อรองรับการติดต่อสื่อสารจากระยะไกลอย่างปลอดภัย ติดตั้งระบบระบบตรวจสอบสิทธิ์ที่แข็งแกร่ง และใช้ระบบเข้ารหัสสำหรับการโอนถ่ายข้อมูลไฟล์และอีเมล์ พัฒนาและใช้แผนการกู้ระบบจากภัยพิบัติ ทำการสำรองไฟล์ โปลเดอร์ และซอฟต์แวร์ที่มีความสำคัญ จัดเก็บข้อมูลสำรองไว้ในที่ๆ ปลอดภัย

   จรรยาบรรณในการใช้คอมพิวเตอร์

ผู้ใช้อินเตอร์เน็ตนั้น มีเป็นจำนวนมาก และมีแนวโน้มเพิ่มขึ้นเรื่อยๆ ดังนั้นการใช้งานระบบเครือข่ายนี้ก็ย่อมจะมีผู้ที่ประพฤติไม่ดี และสร้างปัญหาให้กับผู้อื่นเสมอ ดังนั้นแต่ละเครือข่ายจึงต้องมีการกำหนดกฎเกณฑ์ข้อบังคับไว้ และในฐานะผู้ใช้งานที่ได้รับสิทธิ์ ให้ใช้งานเครือข่ายนั้นก็ควรที่จะต้องเข้าใจ และปฏิบัติตามกฎที่ได้ถูกวางไว้ เพื่อให้การอยู่ร่วมกันในระบบอินเตอร์เน็ตเป็นไปอย่างสงบสุข จึงได้มีผู้พยายามรวบรวม กฎ กติกา มารยาท และวางเป็นจรรยาบรรณอินเตอร์เน็ต หรือที่เรียกว่าNetiquette ความรับผิดชอบต่อสังคม เป็นเรื่องที่จะต้องปลูกฝัง กฎเกณฑ์ของแต่ละเครือข่าย จึงต้องมีและวางระเบียบเพื่อให้ดำเนินงานเป็นไปอย่างมีระบบ และเอื้อประโยชน์ซึ่งกันและกัน อนาคตของการใช้เครือข่าย ยังมีอีกมาก จรรยาบรรณจึงเป็นสิ่งที่ช่วยให้ สังคมสงบสุข

จรรยาบรรณ ที่ผู้ใช้อินเตอร์เน็ต ต้องยึดถือไว้เสมือนเป็น แม่บทแห่งการปฏิบัติเพื่อระลึกและ เตือนความจำอยู่เสมอ

บัญญัติ 10 ประการ  คือ
1. ต้องไม่ใช้คอมพิวเตอร์เพื่อทำร้าย หรือละเมิดผู้อื่น
2. ต้องไม่รบกวนการทำงานของผู้อื่น
3. ต้องไม่สอดแนม หรือมาแก้ไขเปิดดูแฟ้มข้อมูลของผู้อื่น
4. ต้องไม่ใช้คอมพิวเตอร์ เพื่อการโจรกรรมข้อมูลข่าวสาร
5. ต้องไม่ใช้คอมพิวเตอร์ สร้างหลักฐานที่เป็นเท็จ
6. ต้องไม่คัดลอกโปรแกรม ที่ผู้อื่นมีลิขสิทธิ์ และไม่ได้รับการอนุญาต
7. ต้องไม่ละเมิด การใช้ทรัพยากรคอมพิวเตอร์ โดยที่ตนเองไม่มีสิทธิ์
8. ต้องไม่นำเอาผลงานของผู้อื่น มาเป็นของตน
9. ต้องคำนึงถึง สิ่งที่จะเกิดขึ้นกับสังคม อันติดตามมาจาก การกระทำของตน
10. ต้องใช้คอมพิวเตอร์โดยเคารพ กฎระเบียบ กติกา มารยาท

จรรยาบรรณ เกี่ยวกับการใช้ ระบบสนทนาแบบ Online

1. ควรเรียกสนทนาจากผู้ที่เรารู้จัก และต้องการจะสนทนาด้วย หรือมีเรื่องสำคัญที่จะติดต่อด้วย
   2. ควรระลึกเสมอว่าการขัดจังหวะผู้อื่น ที่กำลังทำงานอยู่อาจจะสร้างปัญหาได้
   3. ก่อนการเรียกคู่สนทนา ควรตรวจสอบสถานะ การใช้งานของคู่สนทนา ที่ต้องการเรียก เสียก่อนเพราะการเรียกแต่ละครั้ง จะมีข้อความไปปรากฏที่หน้าจอ ของฝ่ายที่ถูกเรียก ซึ่งก็สร้างปัญหาในการทำงานได้ เช่น ขณะกำลังทำงานค้าง FTP อยู่ ซึ่งไม่สามารถหยุดได้
   4. หลังจากเรียกไปชั่วขณะ คู่ที่ถูกเรียกไม่ตอยกลับ แสดงว่าคู่สนทนาอาจติดงานสำคัญ ขอให้หยุดการเรียก เพราะข้อความที่เรียกไป ปรากฏบนจออย่างแน่นอนแล้ว
   5. ควรใช้วาจาสุภาพ และให้เกียรติซึ่งกันและกัน

จรรยาบรรณเกี่ยวกับเวิล์ดไวด์เว็บ

1) ห้ามใส่รูปภาพที่มีขนาดใหญ่ไว้ในเว็บเพจของท่าน เพราะทำให้ผู้ที่เรียกดูต้องเสียเวลามากในการแสดงภาพเหล่านั้น ผู้ใช้งานอินเทอร์เน็ตส่วนมากเชื่อมต่ออินเทอร์เน็ตด้วยโมเด็ม ทำให้ผู้เรียกดูรูปภาพขนาดใหญ่  เบื่อเกินกว่าที่จะรอชมรูปภาพนั้นได้
2 ) เมื่อเว็บเพจของท่านต้องการสร้าง link ไปยังเว็บเพจของผู้อื่น ท่านควรแจ้งให้เจ้าของ
เว็บเพจ นั้นทราบ ท่านสามารถแจ้งได้ทางจดหมายอิเล็กทรอนิกส์
3 ) ถ้ามีวิดีโอหรือเสียงบนเว็บเพจ ท่านควรระบุขนาดของไฟล์วิดีโอหรือไฟล์เสียงไว้ด้วย (เช่น 10 KB, 2 MB เป็นต้น) เพื่อให้ผู้เรียกดูสามารถคำนวนเวลาที่จะใช้ในการดาวน์โหลดไฟล์วิดีโอหรือไฟล์เสียงนั้น
4 ) ท่านควรตั้งชื่อ URL ให้ง่าย ไม่ควรมีตัวอักษรตัวใหญ่ปนกับตัวอักษรตัวเล็ก ซึ่งจำได้ยาก
5 ) ถ้าท่านต้องการเรียกดูข้อมูลจาก URL ที่ไม่ทราบแน่ชัด ท่านสามารถเริ่มค้นหาจาก domain address ได้ โดยปกติ URL มักจะเริ่มต้นด้วย www แล้วตามด้วยที่อยู่ของเว็บไซด์
เช่น http://www.nectec.or.th/ http://www.tv5.co.th/ http://www.kmitl.ac.th/

6 ) ถ้าเว็บไซด์ของท่านมี link เชื่อมโยงไปยังเว็บเพจอื่นๆ ด้วยรูปภาพเท่านั้น อาจทำให้ผู้เรียกดูที่ใช้โปรแกรมบราวเซอร์ที่ไม่สนับสนุนรูปภาพ ไม่สามารถเรียกชมเว็บไซด์ของท่านได้ ท่านควรเพิ่ม link ที่เป็นตัวหนังสือเพื่อเชื่อมโยงไปยังเว็บเพจอื่นๆ ด้วย
7) ท่านไม่ควรใส่รูปภาพที่ไม่มีความสำคัญต่อข้อมูลบนเว็บเพจ เนื่องจากไฟล์ของรูปภาพมีขนาดใหญ่ ทำให้เสียเวลาในการเรียกดูและสิ้นเปลือง bandwidth โดยไม่จำเป็น
8 ) ท่านควรป้องกันลิขสิทธิ์ของเว็บไซด์ด้วยการใส่เครื่องหมาย trademark (TM) หรือเครื่องหมายCopyright ไว้ในเว็บเพจแต่ละหน้าด้วย
9) ท่านควรใส่ email address ของท่านไว้ด้านล่างของเว็บเพจแต่ละหน้า เพื่อให้ผู้เรียกชมสามารถสอบถามเพิ่มเติม หรือติดต่อท่านได้
10) ท่านควรใส่ URL ของเว็บไซด์ไว้ด้านล่างของเว็บเพจแต่ละหน้าด้วย เพื่อเป็นแหล่งอ้างอิงในอนาคตสำหรับผู้ที่สั่งพิมพ์เว็บเพจนั้น
11 ) ท่านควรใส่วันที่ของการแก้ไขข้อมูลบนเว็บไซด์ครั้งสุดท้ายไว้ด้วย เพื่อให้ผู้เรียกชมทราบว่าข้อมูลที่ได้รับนั้น มีความทันสมัยเพียงใด
12 ) ห้ามไม่ให้เว็บไซด์ของท่านมีเนื้อหาที่ละเมิดลิขสิทธิ์ มีเนื้อหาที่ตีความไปในทางลามกอนาจารหรือการใช้ความรุนแรง เนื้อหาที่ขัดต่อกฎหมาย ผู้จัดทำเว็บไซด์จะต้องเป็นผู้รับผิดชอบต่อเนื้อหาและข้อมูลทั้งหมดในเว็บไซด์นั้น