กฏหมายและความปลอดภัยบนอินเทอร์เน็ต
ในโลกยุคปัจจุบัน คือ สังคมของสารสนเทศซึ่งสามารถสื่อสารข้อมูลข่าวสารได้อย่างอิสระโดยมีระบบเครือข่ายอินเทอร์เน็ตเป็นสื่อกลางในการสื่อสารที่สามารถสื่อสารข้อมูลข่าวสารกันได้ทุกที่ เหมือนกับเส้นใยแมงมุมที่สามารถกระจายไปได้ทุกทิศทางทั่วโลก ทำให้ช่องทางในการสื่อสารมีหลากหลายรูปแบบ เมื่อมีจำนวนผู้ใช้ช่องทางการสื่อสารในระบบเครือข่ายอินเทอร์เน็ตมากขึ้น จึงจำเป็นที่ต้องมีกฏหมายเข้ารองรับการใช้งาน ความก้าวหน้าทางด้านเทคโนโลยีมีการพัฒนาแบบไม่หยุดยั้ง และต่อมานอกจากการพัฒนาระบบและอุปกรณ์ของคอมพิวเตอร์ หรือการสื่อสารของระบบเครื่อข่ายอินเทอร์เน็ตแล้ว ยังสามารถดำเนินการด้านธุรกรรมอิเล็กทรอนิกส์ และพาณิชย์อิเล็กทรอนิกส์ ซึ่งเป็นช่องทางการค้าในรูปแบบใหม่ของระบบการสื่อสารแบบไร้พรมแดน ทำให้สามารถซื้อขายสินค้ากันได้อย่างกว้างขวาง และไม่จำเป็นที่จะต้องหาทำเลในการตั้งกิจการก็สามารถทำธุรกิจบนระบบเครือข่ายอินเทอร์เน็ตได้ ดังนั้น จึงจำเป็นที่จะต้องมีกฏหมายมารองรับในการดำเนินงานด้านธุรกรรมต่างๆ เพื่อความถูกต้อง และสร้างความเชื่อถือในการดำเนินงาน หรือการสื่อสารบนระบบเครือข่ายอินเทอร์เน็ต
กฏหมายเทคโนโลยีสารสนเทศ
ถึงแม้ว่าในปัจจุบันบางประเทศที่พัฒนาแล้วจะมีกฎหมายควบคุมสื่ออินเทอร์เน็ต ก็ยังไม่สามารถควบคุมภัยล่อลวงต่าง ๆ จากสื่ออินเทอร์เน็ตได้อย่างมีประสิทธิภาพอย่างเด็ดขาดเต็มที่โดยเฉพาะควบคุมดูแลการเผยแพร่ข้อมูลข่าวสารบนสื่ออินเทอร์เน็ตนั้นก็ยังเป็นปัญหา โดยเฉพาะการเผยแพร่สื่อสารลามกหรือบ่อนการพนัน ซึ่งปัญหาดังกล่าว นอกจากจะเกี่ยวข้องกับสิทธิส่วนบุคคลในการเข้าถึงข้อมูล การก้าวก่ายสิทธิเสรีภาพในการแสดงออก ซึ่งเป็ยสิทธิพื้นฐานของประชาชน ยังอาจจะขัดต่อกฏหมายรัฐธรรมนูญของประเทศอีกด้วย อีกทั้งลักษณะพิเศษของข้อมูลต่างๆ ที่อยู่ในเครือข่ายอินเทอร์เน็ต เป็นเครือข่ายที่ลักษณะเป็นใยแมงมุม ซึ่งระบบกระจายความรับผิดชอบไม่มีศูนย์กลางของระบบ และเป็นเครื่อข่ายข้อมูลระดับโลกยากต่อกรควบคุม และเป็นสื่อที่ไม่มีตัวตน หรือแหล่งที่มาที่ชัดเจนทั้งผู้ส่งข้อมูล หรือผู้รับข้อมูล ดังนั้นกฏหมายที่จะมากำกับดูแล หรือควบคุมสื่ออินเทอร์เน็ต จะต้องเป็นกฏหมายลักษณะพิเศษเป็นที่ยอมรับในระดับสากล แต่ความแตกต่างในระดับการเมือง สังคม และวัฒนธรรม ในแต่ละประเทศยังเป็นปัญหาอุปสรรค ในการร่างกฏหมายดังกล่าวซึ่งปัจจุบันยังไม่ปรากฏผลเป็นกฏหมายยังคงอยู่ในระยะที่กำลังสร้างกฏเกณฑ์กติกาขึ้นมากำกับบริการอินเทอร์เน็ต ประเทศไทยกับการพัฒนากฎหมายเทคโนโลยีสารสนเทศ กฎหมายเทคโนโลยีสารสนเทศของประเทศไทยเริ่มวันที่ 15 ธันวาคม 2541 โดยคณะ กรรมการเทคโนโลยีสารสนเทศแห่งชาติเรียก (กทสช) ได้ทำการศึกษาและยกร่างกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ ได้แก่
1. กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law) เพื่อรับรองสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ให้เสมอด้วยกระดาษ อันเป็นการรองรับนิติสัมพันธ์ต่าง ๆ ซึ่งแต่เดิมอาจจะจัดทำขึ้นในรูปแบบของหนังสือให้เท่าเทียมกับนิติสัมพันธ์รูปแบบใหม่ที่จัดทำขึ้นให้อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์ รวมตลอดทั้งการลงลายมือชื่อในข้อมูลอิเล็กทรอนิกส์ และการรับฟังพยานหลักฐานที่อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์
2. กฎหมายเกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signatures Law)
เพื่อรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์ เพื่อรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์ 3. กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึง และเท่าเทียมกัน(National Information Infrastructure Law) เพื่อก่อให้เกิดการส่งเสริม สนับสนุน และพัฒนาโครงสร้างพื้นฐานสารสนเทศ อันได้แก่ โครงข่ายโทรคมนาคม เทคโนโลยีสารสนเทศ สารสนเทศทรัพยากรมนุษย์ และโครงสร้างพื้นฐานสารสนเทศสำคัญอื่น ๆ อันเป็นปัจจัยพื้นฐาน สำคัญในการพัฒนาสังคม และชุมชนโดยอาศัยกลไกของรัฐ ซึ่งรองรับเจตนารมณ์สำคัญประการหนึ่งของแนวนโยบายพื้นฐานแห่งรัฐตามรัฐธรรมนูญ มาตรา 78 ในการกระจายสารสนเทศให้ทั่วถึง และเท่าเทียมกัน และนับเป็นกลไกสำคัญในการช่วยลดความเหลื่อมล้ำของสังคมอย่างค่อยเป็นค่อยไป เพื่อสนับสนุนให้ท้องถิ่นมีศักยภาพในการปกครองตนเองพัฒนาเศรษฐกิจภายในชุมชน และนำไปสู่สังคมแห่งปัญญา และการเรียนรู้ 4. กฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Law) เพื่อก่อให้เกิดการรับรองสิทธิและให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจถูกประมวลผล เปิดเผยหรือเผยแพร่ถึงบุคคลจำนวนมากได้ในระยะเวลาอันรวดเร็วโดยอาศัยพัฒนาการทางเทคโนโลยี จนอาจก่อให้เกิดการนำข้อมูลนั้นไปใช้ในทางมิชอบอันเป็นการละเมิดต่อเจ้าของข้อมูล ทั้งนี้ โดยคำนึงถึงการรักษาดุลยภาพระหว่างสิทธิขั้นพื้นฐานในความเป็นส่วนตัว เสรีภาพในการติดต่อสื่อสาร และความมั่นคงของรัฐ 5. กฎหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer Crime Law) เพื่อกำหนดมาตรการทางอาญาในการลงโทษผู้กระทำผิดต่อระบบการทำงานของคอมพิวเตอร์ ระบบข้อมูล และระบบเครือข่าย ทั้งนี้เพื่อเป็นหลักประกันสิทธิเสรีภาพ และการคุ้มครองการอยู่ร่วมกันของสังคม 6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law) เพื่อกำหนดกลไกสำคัญทางกฎหมายในการรองรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ทั้งที่เป็นการโอนเงินระหว่างสถาบันการเงิน และระบบการชำระเงินรูปแบบใหม่ในรูปของเงินอิเล็กทรอนิกส์ก่อให้เกิดความเชื่อมั่นต่อระบบการทำธุรกรรมทางการเงิน และการทำธุรกรรมทางอิเล็กทรอนิกส์มากยิ่งขึ้น
มาตรการป้องกันและปราบปรามอาชญากรรมทางคอมพิวเตอร์ ได้จัดแบ่งออกเป็น 4 ประเภท ดังต่อไปนี้
มาตรการด้านเทคโนโลยี
เป็นการต่อต้านอาชญากรรมทางคอมพิวเตอร์โดยผู้ใช้สามารถใช้หรือติดตั้งเทคโนโลยีต่างๆ ที่มีอยู่ในปัจจุบัน อาทิ การติดตั้ง
ระบบการตรวจจับการบุกรุก (Intrusion Detection) หรือการติดตั้งกำแพงไฟ (Firewall) เพื่อป้องกันหรือรักษาคอมพิวเตอร์
ของตนให้มีความ ปลอดภัย ซึ่งนอกเหนือจากการติดตั้งเทคโนโลยีแล้วการตรวจสอบเพื่อประเมินความเสี่ยง อาทิ การจัดให้มีระบบ
วิเคราะห์ความเสี่ยงและการให้การรับรอง (Analysis Risk and Security Certification) รวมทั้งวินัยของ ผู้ปฏิบัติงาน
ก็เป็นสิ่งสำคัญที่ต้องได้รับการปฏิบัติอย่างเคร่งครัดและสม่ำเสมอ มิเช่นนั้นการติดตั้งเทคโนโลยีที่มีประสิทธิภาพเพื่อใช้ในการป้องกัน
ปัญหาดังกล่าวก็ไม่ก่อให้เกิดประโยชน์แต่อย่างใด
มาตรการด้านกฏหมาย
มาตรการด้านกฎหมายเป็นนโยบายของรัฐบาลไทยประการหนึ่งที่นำมาใช้ในการต่อต้านอาชญากรรมคอมพิวเตอร์ โดยการ
บัญญัติหรือตรากฎหมายเพื่อกำหนดว่าการกระทำใดบ้างที่มีโทษทางอาญา ในปัจจุบัน ประเทศไทยมีกฎหมายที่เกี่ยวข้องหลายฉบับ
ดังนี้ 1. กฏหมายเทคโนโลยีสารสนเทศ กฎหมายอาชญากรรมทางคอมพิวเตอร์ หรือร่างพระราชบัญญัติว่าด้วยอาชญากรรมทางคอมพิวเตอร์ พ.ศ. …. ซึ่งขณะนี้เป็นกฎหมายหนึ่งในหกฉบับที่อยู่ภายใต้ความรับผิดชอบของโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ โดยมีสาระสำคัญของกฎหมายแบ่งออกได้เป็น 2 ส่วนหลัก คือ
1.1 การกำหนดฐานความผิดและบทลงโทษเกี่ยวกับการกระทำที่เป็นอาชญากรรมทางคอมพิวเตอร์ เช่น ความผิดเกี่ยวกับการ
เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยไม่มีอำนาจ (Illegal Access) ความผิดฐานลักลอบดักข้อมูลคอมพิวเตอร์
(Illegal Interception) หรือ ความผิดฐานรบกวนข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์โดยมิชอบ(Interference
computer data and computer system) ความผิดฐานใช้อุปกรณ์ในทางมิชอบ (Misuse of Devices)เป็นต้น
1.2 การให้อำนาจพิเศษแก่เจ้าพนักงานในการปราบปรามการกระทำความผิด นอกเหนือเพิ่มเติมไปจากอำนาจโดยทั่วไป
ที่บัญญัติไว้ในกฎหมายอื่นๆ อาทิ การให้อำนาจในการสั่งให้ถอดรหัสข้อมูลคอมพิวเตอร์ อำนาจในการเรียกดูข้อมูลจราจร (traffic
data) หรือ อำนาจค้นโดยไม่ต้องมีหมายในบางกรณี
2. กฏหมายอื่นที่เกี่ยวข้อง นอกเหนือจากกฎหมายอาชญากรรมคอมพิวเตอร์ดังที่ได้กล่าวไว้ในตอนต้นแล้ว ปัจจุบันมีกฎหมายอีกหลายฉบับทั้งที่ตราขึ้นใช้บังคับแล้ว และที่อยู่ระหว่างกระบวนการตรานิติบัญญัติ ที่มีเนื้อหาเกี่ยวข้องกับการป้องกันหรือปราบปรามอาชญากรรม
ทางคอมพิวเตอร์ เช่น
2.1 พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 74 ซึ่งกำหนดฐานความผิดเกี่ยวกับการดักรับไว้ หรือใช้ประโยชน์ หรือเปิดเผยข้อความข่าวสาร หรือข้อมูลอื่นใดที่มีการสื่อสารโทรคมนาคมโดยไม่ชอบด้วยกฎหมาย
2.2 กฎหมายอื่นที่อยู่ระหว่างการดำเนินการ ได้แก่ ร่างพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายอาญา โดยเป็นการกำหนดฐานความผิดเกี่ยวกับการปลอมหรือแปลงบัตรอิเล็กทรอนิกส์ ตลอดจนกำหนดฐานความผิดเกี่ยวกับการใช้ มีไว้เพื่อใช้ นำเข้า หรือส่งออก การจำหน่ายซึ่งบัตรอิเล็กทรอนิกส์ปลอมหรือแปลง และลงโทษบุคคลที่ทำการผลิต หรือมีเครื่องมือในการผลิต
มาตรการด้านความร่วมมือระหว่างหน่วยงาน
นอกเหนือจากมาตรการทางเทคโนโลยีที่ผู้ใช้ต้องดำเนินการ หรือมาตรการทางกฎหมายที่รัฐบาลต้องผลักดันกฎหมายต่างๆ แล้วมาตรการสำคัญอีกประการหนึ่งที่จะช่วยให้การป้องกันปราบปรามอาชญากรรมทางคอมพิวเตอร์สัมฤทธิ์ในทางปฏิบัติได้นั้น คือมาตรการด้านความร่วมมือกับระหว่างหน่วยงานต่างๆ ที่เกี่ยวข้อง ทั้งภาครัฐและเอกชนซึ่งมิได้จำกัดเพียงเฉพาะหน่วยงานที่มีหน้าที่ตามกฎหมายเท่านั้น แต่ยังรวมไปถึงหน่วยงานอื่นๆ ที่อาจเกี่ยวข้องไม่ว่าจะเป็นในด้านของผู้พัฒนาระบบหรือผู้กำหนดนโยบายก็ตาม
นอกเหนือจากความร่วมมือระหว่างหน่วยงานต่างๆ แล้วสิ่งสำคัญอีกประการหนึ่งคือความจำเป็นที่จะต้องมีหน่วยงานด้านความปลอดภัยของเครือข่ายเพื่อรับมือ กับปัญหาฉุกเฉินด้านความปลอดภัยคอมพิวเตอร์ขึ้นโดยเฉพาะ และเป็นศูนย์กลางคอยให้ค วามช่วยเหลือในด้านต่างๆ รวมทั้งให้คำปรึกษาถึงวิธีการหรือแนวทางแก้ไข ซึ่งปัจจุบันศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือเนคเทค ได้จัดตั้งศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (Thai ComputerEmergency Response Team / ThaiCERT) เพื่อเป็นหน่วยงานให้ความช่วยเหลือและให้ข้อมูลทางวิชาการเกี่ยวกับการ ตรวจสอบและการรักษาความปลอดภัยคอมพิวเตอร์แก่ผู้ที่สนใจทั้งภาครัฐและเอกชน รวมทั้งเป็นหน่วยงานรับแจ้งเหตุกรณีที่มีการละเมิดความปลอดภัยคอมพิวเตอร์เกิดขึ้น
มาตรการทางสังคม
ในปัจจุบันสังคมไทยกำลังเผชิญกับปัญหาการใช้อินเทอร์เน็ตไปในทางไม่ชอบหรือฝ่าผืนต่อบทบัญญัติของกฏหมาย ทั้งโดยการเผยแพร่เนื้อหาอันไม่เหมาะสม ไม่ว่าจะเป็นสื่อสามกอนาจาร ข้อความหมิ่นประมาท การชักจูงล่อล่วง หลอกลวงเด็กและเยาวชนไปในทางที่เสียหาย หรือพฤติกรรมอื่นอันเป็นภัยต่อสังคม โดยคาดการณ์ว่าการกระทำ หรือพฤติกรรมดังกล่าวจะมีปริมาณที่เพิ่มสูงขึ้นตามสัดส่วนการใช้งานของผู้ใช้อินเทอร์เน็ต อันส่งผลกระทบต่อเด็กและเยาวชนของชาติ ดังนั้น หน่วยงานทั้งภาครัฐและเอกชนจึงได้เร่งรณรงค์ในการป้องกันปัญหาดังกล่าวร่วมกันเพื่อดูแลและปกป้องเด็กและเยาวชนจากผลกระทบดังกล่าว
โปรแกรมรหัสลับ ( Encryption Software)
โปรแกรมนี้จะล็อกแฟ้มข้อมูลหรือข้อความไว้ เพื่อให้เปิดได้เฉพาะในหมู่ผู้ใช้ที่มีโปรแกรมคอมพิวเตอร์ชนิดเดียวกัน หรือมี "รหัสผ่าน" หรือ "Password" ที่ใช้เปิดแฟ้มนี้ อาจเป็นชุดตัวเลขที่ตั้งขึ้นมาแบบสุ่ม โปรแกรมชนิดนี้ดดยทั่วไปนิยมใช้กันในเครื่องมืออุปกรณ์อิเล็กทรอนิกส์ต่างๆ เช่น ที่เปิดประตูอัตโนมัติ เครื่องกดเงินด่วน (ATM) เป็นต้น
โปรแกรมแปลงภาพและแต่งภาพ
เทคโนโลยีด้านคอมพิวเตอร์สมัยใหม่ก่อให้เกิดสื่อด้านลามกขึ้นมากมายเพราะมีโปรแกรมคอมพิวเตอร์สำหรับใช้ในการตกแต่งภาพและแปลงภาพในรูปแบบต่างๆ เช่น โปรแกรม Photoshops, Illustrator หรือ Photo Editor ซึ่งโปรแกรมคอมพิวเตอร์เหล่านี้ เมื่อนำไปใช้ในทางที่ถูกต้องก้จะทำให้เกิดภาพที่สวยงาม หรือเป็นการสร้างภาพงานศิลปะ เช่น การปรับแต่งรูปภาพนางแบบสำหรับนิตยสารเพื่อช้วยให้ได้ภาพที่สวยงาม ในส่วนใดที่มีข้อบกพร่องก็สามารถใช้โปรแกรมคอมพิวเตอร์ช่วยในการแต่งเติมรูปภาพได้ แต่ในระบบเครือข่ายอินเทอร์เน็ตเป็นระบบที่เปิดกว้างในการใช้งานกับบุคคลทุกคน ซึ่งจะมีทุกกลุ่มบุคคลและทุกประเภทที่สามารถเข้ามาใช้งานโดยมีบางคนที่ขาดคุณธรรม จริยธรรมในการใช้งานอินเทอร์เน็ต ซึ่งได้นำภาพที่ไม่เหมาะสมของกลุ่มคนที่มีชื่อเสียง เช่น ดารา นักร้อง หรือนำภาพของบุคคลเหล่านั้นไปใช้โปรแกรมคอมพิวเตอร์ในการตกแต่งภาพ ซึ่งเป็นภาพที่บิดเบือนจากความเป็นจริงดยส่วนมากจะเป็นภาพที่ส่อให้เกิดภาพอนาจาร แล้วนำไปเผยแพร่บนเครือข่ายอินเทอร์เน็ต ก่อให้เกิดความเสื่อมเสียแก่บุคคลนั้น นับว่าเป็นการละเมิดสิทธิส่วนบุคคล ในอดีตจะไม่มีการคุ้มครอง ซึ่งบุคคลที่กระทำการแปลงภาพเหล่านี้จะไม่ถูกดำเนินคดีทางกฏหมาย แต่ในปัจจุบันได้มีการออกกฏหมายด้านเทคโนโลยีด้านสารสนเทศขึ้นมาเพื่อดำเนินคดีสำหรับผู้กระทำการปลอบแปลงภาพ โดยจะถือว่าผู้ใดที่ทำการปลอมแปลงภาพซึ่งบิดเบือยจากความเป็นจริง ถือว่ากระทำการที่ผิดกฏหมาย
เทคโนโลยีที่ทันสมัย แม้จะช่วยอำนวยความสะดวกได้มากเพียงใดก็ตาม สิ่งที่ต้องยอมรับความจริงก็คือ เทคโนโลยีทุกอย่างมีจุดเด่น ข้อด้อยของตนทั้งสิ้น ทั้งที่มาจากตัวเทคโนโลยีเอง และมาจากปัญหาอื่นๆ เช่น บุคคลที่มีจุดประสงค์ร้าย ในโลก cyberspace อาชญากรรมคอมพิวเตอร์เป็นปัญหาหลักที่นับว่ายิ่งมีความรุนแรง เพิ่มมากขึ้น ประมาณกันว่ามีถึง 230% ในช่วงปี 2002 และ แหล่งที่เป็นจุดโจมตีมากที่สุดก็คือ อินเทอร์เน็ต นับว่ารุนแรงกว่าปัญหาไวรัสคอมพิวเตอร์เสียด้วยซ้ำ หน่วยงานทุกหน่วยงานที่นำไอทีมาใช้งาน จึงต้องตระหนักในปัญหานี้เป็นอย่างยิ่ง จำเป็นต้องลงทุนด้านบุคลากรที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัย ระบบซอฟต์แวร์ ฮาร์ดแวร์ที่มีประสิทธิภาพ การวางแผน ติดตาม และประเมินผลที่ต้องกระทำอย่างสม่ำเสมอต่อเนื่อง แต่ไม่ว่าจะมีการป้องกันดีเพียงใด ปัญหาการโจมตีระบบคอมพิวเตอร์ก็มีอยู่เรื่อยๆ ทั้งนี้ระบบการโจมตีที่พบบ่อยๆ ได้แก่
Hacker & Cracker อาชญากรที่ได้รับการยอมรับว่ามีผลกระทบต่อสังคมไอทีเป็นอย่างยิ่ง บุลากรในองค์กร หน่วยงานคุณไล่พนักงานออกจากงาน, สร้างความไม่พึงพอใจให้กับพนักงาน นี่แหล่ะปัญหาของอาชญกรรมได้เช่นกัน
Buffer overflow เป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่ทำอันตรายให้กับระบบได้มากที่สุด โดยอาชญากรจะอาศัยช่องโหว่ของระบบปฏิบัติการ และขีดจำกัดของทรัพยากรระบบมาใช้ในการจู่โจม การส่งคำสั่งให้เครื่องแม่ข่ายเป็นปริมาณมากๆ ในเวลาเดียวกัน ซึ่งส่งผลให้เครื่องไม่สามารถรันงานได้ตามปกติ หน่วยความจำไม่เพียงพอ จนกระทั่งเกิดการแฮงค์ของระบบ เช่นการสร้างฟอร์มรับส่งเมล์ที่ไม่ได้ป้องกัน ผู้ไม่ประสงค์อาจจะใช้ฟอร์มนั้นในการส่งข้อมูลกระหน่ำระบบได้
Backdoors นักพัฒนาเกือบทุกราย มักสร้างระบบ Backdoors เพื่อช่วยอำนวยความสะดวกในการทำงาน ซึ่งหากอาชญากรรู้เท่าทัน ก็สามารถใช้ประโยชน์จาก Backdoors นั้นได้เช่นกัน
CGI Script ภาษาคอมพิวเตอร์ที่นิยมมากในการพัฒนาเว็บเซอร์วิส มักเป็นช่องโหว่รุนแรงอีกทางหนึ่งได้เช่นกัน
Hidden HTML การสร้างฟอร์มด้วยภาษา HTML และสร้างฟิลด์เก็บรหัสแบบ Hidden ย่อมเป็นช่องทางที่อำนวยความสะดวกให้กับอาชญากรได้เป็นอย่างดี โดยการเปิดดูรหัสคำสั่ง (Source Code) ก็สามารถตรวจสอบและนำมาใช้งานได้ทันที
Failing to Update การประกาศจุดอ่อนของซอฟต์แวร์ เพื่อให้ผู้ใช้นำไปปรับปรุงเป็นทางหนึ่งที่อาชญากร นำไปจู่โจมระบบที่ใช้ซอฟต์แวร์นั้นๆ ได้เช่นกัน เพราะกว่าที่เจ้าของเว็บไซต์ หรือระบบ จะทำการปรับปรุง (Updated) ซอตฟ์แวร์ที่มีช่องโหว่นั้น ก็สายเกินไปเสียแล้ว
Illegal Browsing ธุรกรรมทางอินเทอร์เน็ต ย่อมหนีไม่พ้นการส่งค่าผ่านทางบราวเซอร์ แม้กระทั่งรหัสผ่านต่างๆ ซึ่งบราวเซอร์บางรุ่น หรือรุ่นเก่าๆ ย่อมไม่มีความสามารถในการเข้ารหัส หรือป้องกันการเรียกดูข้อมูล นี่ก็เป็นอีกจุดอ่อนของธุรกรรมอิเล็กทรอนิกส์ได้เช่นกัน
Malicious scripts ก็เขียนโปรแกรมไว้ในเว็บไซต์ แล้วผู้ใช้เรียกเว็บไซต์ดูบนเครื่องของตน มั่นใจหรือว่าไม่เจอปัญหา อาชญากรอาจจะเขียนโปรแกรมแผงในเอกสารเว็บ เมื่อถูกเรียก โปรแกรมนั่นจะถูกดึงไปประมวลผลฝั่งไคลน์เอ็นต์ และทำงานตามที่กำหนดไว้อย่างง่ายดาย โดยเราเองไม่รู้ว่าเรานั่นแหล่ะเป็นผู้สั่งรันโปรแกรมนั้นด้วยตนเอง น่ากลัวเสียจริงๆๆ
Poison cookies ขนมหวานอิเล็กทรอนิกส์ ที่เก็บข้อมูลต่างๆ ตามแต่จะกำหนด จะถูกเรียกทำงานทันทีเมื่อมีการเรียกดูเว็บไซต์ที่บรรจุคุกกี้ชิ้นนี้ และไม่ยากอีกเช่นกันที่จะเขียนโปรแกรมแฝงอีกชิ้น ให้ส่งคุกกี้ที่บันทึกข้อมูลต่างๆ ของผู้ใช้ส่งกลับไปยังอาชญากร
ไวรัสคอมพิวเตอร์ ภัยร้ายสำหรับหน่วยงานที่ใช้ไอทีตั้งแต่เริ่มแรก และดำรงอยู่อย่างอมตะตลอดกาล ในปี 2001 พบว่าไวรัส Nimda ได้สร้างความเสียหายได้สูงสุด เป็นมูลค่าถึง 25,400 ล้าบบาท ในทั่วโลก ตามด้วย Code Red, Sircam, LoveBug, Melissa ตามลำดับที่ไม่หย่อนกว่ากัน
อาชญากรรมทางคอมพิวเตอร์ที่สร้างความสูญเสียทางเศรษฐกิจ 10 อันดับ ได้แก่
1. การทำให้ระบบไม่สามารถให้บริการได้
2. การขโมยข้อมูลทางอินเทอร์เน็ต โดยเแพาะข้อมูลที่เป็นความลับต่างๆ เช่น ข้อมูล บัตรเครดิต เป็นต้น
3. การโจมตีระบบจากคนภายในองค์กร
4. การโจมตีระบบเครือข่ายไร้สาย
5. การฉ้อโกงเงิน โดยใช้คอมพิวเตอร์แอบโอนเงินจากบัญชีผู้อื่นเข้าบัญชีตนเอง
6. การถูกขโมยคอมพิวเตอร์ Notebook
7. การเข้าถึงระบบโดยไม่ได้รับอนุญาต
8. การฉ้อโกงด้านโทรคมนาคม
9. การใช้เว็บแอพพลิเคชั่นด้านสารณะในทางที่ผิด โดยใช้คอมพิวเตอร์แพร่ภาพ เสียง ลามก อนาจาร และข้อมูลไม่เหมาะสม
10. การเปลี่ยนโฉมเว็บไซต์โดยไม่ได้รับอนุญาต
1. ตั้งรหัสผ่านที่ยากแก่การเดา
2. เปลี่ยนรหัสผ่านสม่ำเสมอ เช่น ทุก 3 เดือน
3. ปรับปรุงโปรแกรมป้องกันไวรัสตลอดเวลา
4. ให้ความรู้แก่บุคลากรในเรื่องความปลอดภัยในการรับไฟล์ หรือการดาวน์โหลดไฟล์จากอินเตอร์เน็ต
5. ติดตั้งระบบรักษาความปลอดภัยสำหรับเครื่อข่ายอย่างสมบูรณ์
6. ประเมินสถานการณ์ของความปลอดภัยในเครื่อข่ายอย่างสม่ำเสมอ
7. ลบรหัสผ่าน และบัญชีการใช้ของพนักงานที่ออกจากหน่วยงานทันที
8. วางระบบรักษาความปลอดภัยสำหรับการเข้าถึงระบบของพนักงานจากภายนองหน่วยงาน
9. ปรับปรุงซอฟต์แวร์อย่างสม่ำเสมอ
10. ไม่ใช้การบริการบางตัวบนเครื่อข่ายอินเทอร์เน็ตอย่างไม่จำเป็น
Data Diddling คือ การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต หรือระหว่างที่กำลังบันทึกข้อมูลในระบบคอมพิวเตอร์
การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลที่สามารถเข้าถึงตัวข้อมูลได้ เช่น พนักงานที่มีหน้าที่บันทึกเวลา
การทำงานของพนักงานทั้งหมด ทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาเป็นชั่วโมงการทำงานของตนเอง เป็นต้น
Trojan Horse คือ การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์ เมื่อถึงเวลาโปรแกรมที่ไม่ดี
จะปรากฏตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์ หรือการทำลายล้างข้อมูล หรือระบบ
คอมพิวเตอร์
Salami Techniques คือ วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงิน
ที่จ่ายได้ และจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงิน
ออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ววิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
Super zapping มาจากคำว่า Super zap เป็นโปรแกรม Macro Utility ที่ใช้เป็นศูนย์คอมพิวเตอร์
ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน
เสมือนกุญแจดอกอื่นหายหรือมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) เช่นโปรแกรม Super zap
จะมีความเสี่ยงมากหากตกไปอยู่ในมือผู้ที่ไม่หวังดี
Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้
คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูล
ที่ต้องการ ไว้ในไฟล์ลับ
Logic Bombs เป็นการเขียนโปรแกรมที่มีคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะ หรือ
สภาพการณ์ ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือน
แล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คือ
สามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างาน
ที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู ระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่าง
ที่เครื่องกำลังทำงาน เข้าไปแก้ไขเปลี่ยนแปลง หรือกระทำการอื่นใดโดยที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
Scavenging คือ วิธีการที่จะได้ข้อมูลที่ทิ้งไว้ในระบบคอมพิวเตอร์ หรือบริเวณใกล้เคียงหลังจากเสร็จการใช้งานแล้ว
วิธีที่ง่ายที่สุด คือ ค้นหาตามถังขยะที่อาจมีข้อมูลสำคัญไม่ว่าจะเป็นเบอร์โทรศัพท์ หรือรหัสผ่านหลงเหลืออยู่ หรืออาจใช้
เทคโนโลยีที่ซับซ้อนทำการหาข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกงานแล้ว
Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ได้ตั้งใจก็ตาม เช่น การแผ่รังสี
ของคลื่นแม่เหล็กไฟฟ้า ในขณะที่กำลังทำงานคนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกใช้งาน
Piggybacking วิธีการนี้สามารถทำได้ทางกายภาพ (Physical) คือ การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบ
รักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลนั้นได้เข้าไป
คนร้ายก็ฉวยโอกาสตอนที่ประตูยังปิดไม่สนิทแอบเข้าไปได้ ในทางอิเล็กทรอนิกส์ก็เช่นเดียวกัน อาจเกิดในกรณีที่ใช้สายสื่อสาร
เดียวกับผู้ที่มีอำนาจใช้ หรือได้รับอนุญาต เช่น ใช้สายเคเบิล หรือโมเด็มเดียวกัน
Impersonation คือ การที่คนร้ายแกล้งปลอมเป็นบุคคลอื่นที่มีอำนาจ หรือได้รับอนุญาต เช่น เมื่อคนร้ายขโมย
บัตรเอทีเอ็มของเหยื่อได้ก็จะโทรศัพท์และแกล้งทำเป็นเจ้าพนักงานของธนาคาร และแจ้งให้เหยื่อทราบว่ากำลังหาวิธีการป้องกัน
ไม่ให้เงินในบัญชีของเหยื่อสูญหายจึงบอกให้เหยื่อเปลี่ยนรหัสผ่าน โดยให้เหยื่อบอกรหัสเดิมก่อน คนร้ายจึงทราบหมายเลขรหัส
และได้เงินของเหยื่อไป
Wiretapping เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาที่จะได้รับประโยชน์จากการเข้าถึงข้อมูลผ่าน
เครือข่ายการสื่อสาร หรือที่เรียกว่าโครงสร้างพื้นฐานสารสนเทศโดยการกระทำความผิดดังกล่าวกำลังเป็นที่หวาดวิตกกับ
ผู้ที่เกี่ยวข้องเป็นอย่างมาก
Simulation and Modeling ในปัจจุบันคอมพิวเตอร์ถูกใช้เป็นเครื่องมือในการวางแผนการควบคุมและติดตาม
ความเคลื่อนไหวในการประกอบอาชญากรรม และกระบวนการดังกล่าวก็สามารถใช้โดยอาชญากร ในการสร้างแบบจำลอง
ในการวางแผน เพื่อประกอบอาชญากรรมได้เช่นกัน เช่น ในกิจการประกันภัยมีการสร้างแบบจำลองในการปฏิบัติการ หรือ
ช่วยในการตัดสินใจ ในการทำกรมธรรม์ประกันภัย โปรแกรมสามารถทำกรมธรรม์ประกันภัยปลอมขึ้นมาเป็นจำนวนมาก ส่งผล
ให้บริษัทประกันภัยจริงล้มละลาย เมื่อถูกเรียกร้องให้ต้องจ่ายเงินให้กับกรมธรรม์ที่ขาดการต่ออายุ หรือกรมธรรม์ที่มีการจ่ายเงิน
เพียงการบันทึก (จำลอง) ไม่ได้รับเบี้ยประกันจริง หรือต้องจ่ายเงินให้กับกรมธรรม์ที่เชื่อว่ายังไม่ขาดอายุ
อาชญากรรมทางคอมพิวเตอร์ (Cyber-Crime) เป็นการกระทำที่ผิดกฎหมายโดยใช้วิธีการทางอิเล็กทรอนิกส์เพื่อโจมตีระบบคอมพิวเตอร์และข้อมูลที่อยู่บนระบบดังกล่าว ส่วนในมุมมองที่กว้างขึ้น “อาชญากรรมที่เกี่ยวเนื่องกับคอมพิวเตอร์” หมายถึงการกระทำที่ผิดกฎหมายใดๆ ซึ่งอาศัยหรือมีความเกี่ยวเนื่องกับระบบคอมพิวเตอร์หรือเครือข่าย อย่างไรก็ตาม อาชญากรรมประเภทนี้ไม่ถือเป็นอาชญากรรมทางคอมพิวเตอร์โดยตรงในการประชุมสหประชาชาติครั้งที่ 10 ว่าด้วยการป้องกันอาชญากรรมและการปฏิบัติต่อผู้กระทำผิด (The Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders) ซึ่งจัดขึ้นที่กรุงเวียนนา เมื่อวันที่ 10-17 เมษายน 2543 ได้มีการจำแนกประเภทของอาชญากรรมทางคอมพิวเตอร์ โดยแบ่งเป็น 5 ประเภท คือ การเข้าถึงโดยไม่ได้รับอนุญาต, การสร้างความเสียหายแก่ข้อมูลหรือโปรแกรมคอมพิวเตอร์, การก่อกวนการทำงานของระบบคอมพิวเตอร์หรือเครือข่าย, การยับยั้งข้อมูลที่ส่งถึง/จากและภายในระบบหรือเครือข่ายโดยไม่ได้รับอนุญาต และการจารกรรมข้อมูลบนคอมพิวเตอร์
โครงการอาชญากรรมทางคอมพิวเตอร์และการโจรกรรมทรัพย์สินทางปัญญา (Cyber-Crime and Intellectual Property Theft) พยายามที่จะเก็บรวบรวมและเผยแพร่ข้อมูล และค้นคว้าเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ 6 ประเภท ที่ได้รับความนิยม ซึ่งส่งผลกระทบโดยตรงต่อประชาชนและผู้บริโภค นอกจากนี้ยังทำหน้าที่เผยแพร่ความรู้เกี่ยวกับขอบเขตและความซับซ้อนของปัญหา รวมถึงนโยบายปัจจุบันและความพยายามในการปัญหานี้ อาชญากรรม 6 ประเภทดังกล่าวได้แก่
ในโลกยุคปัจจุบัน คือ สังคมของสารสนเทศซึ่งสามารถสื่อสารข้อมูลข่าวสารได้อย่างอิสระโดยมีระบบเครือข่ายอินเทอร์เน็ตเป็นสื่อกลางในการสื่อสารที่สามารถสื่อสารข้อมูลข่าวสารกันได้ทุกที่ เหมือนกับเส้นใยแมงมุมที่สามารถกระจายไปได้ทุกทิศทางทั่วโลก ทำให้ช่องทางในการสื่อสารมีหลากหลายรูปแบบ เมื่อมีจำนวนผู้ใช้ช่องทางการสื่อสารในระบบเครือข่ายอินเทอร์เน็ตมากขึ้น จึงจำเป็นที่ต้องมีกฏหมายเข้ารองรับการใช้งาน ความก้าวหน้าทางด้านเทคโนโลยีมีการพัฒนาแบบไม่หยุดยั้ง และต่อมานอกจากการพัฒนาระบบและอุปกรณ์ของคอมพิวเตอร์ หรือการสื่อสารของระบบเครื่อข่ายอินเทอร์เน็ตแล้ว ยังสามารถดำเนินการด้านธุรกรรมอิเล็กทรอนิกส์ และพาณิชย์อิเล็กทรอนิกส์ ซึ่งเป็นช่องทางการค้าในรูปแบบใหม่ของระบบการสื่อสารแบบไร้พรมแดน ทำให้สามารถซื้อขายสินค้ากันได้อย่างกว้างขวาง และไม่จำเป็นที่จะต้องหาทำเลในการตั้งกิจการก็สามารถทำธุรกิจบนระบบเครือข่ายอินเทอร์เน็ตได้ ดังนั้น จึงจำเป็นที่จะต้องมีกฏหมายมารองรับในการดำเนินงานด้านธุรกรรมต่างๆ เพื่อความถูกต้อง และสร้างความเชื่อถือในการดำเนินงาน หรือการสื่อสารบนระบบเครือข่ายอินเทอร์เน็ต
กฏหมายเทคโนโลยีสารสนเทศ
ถึงแม้ว่าในปัจจุบันบางประเทศที่พัฒนาแล้วจะมีกฎหมายควบคุมสื่ออินเทอร์เน็ต ก็ยังไม่สามารถควบคุมภัยล่อลวงต่าง ๆ จากสื่ออินเทอร์เน็ตได้อย่างมีประสิทธิภาพอย่างเด็ดขาดเต็มที่โดยเฉพาะควบคุมดูแลการเผยแพร่ข้อมูลข่าวสารบนสื่ออินเทอร์เน็ตนั้นก็ยังเป็นปัญหา โดยเฉพาะการเผยแพร่สื่อสารลามกหรือบ่อนการพนัน ซึ่งปัญหาดังกล่าว นอกจากจะเกี่ยวข้องกับสิทธิส่วนบุคคลในการเข้าถึงข้อมูล การก้าวก่ายสิทธิเสรีภาพในการแสดงออก ซึ่งเป็ยสิทธิพื้นฐานของประชาชน ยังอาจจะขัดต่อกฏหมายรัฐธรรมนูญของประเทศอีกด้วย อีกทั้งลักษณะพิเศษของข้อมูลต่างๆ ที่อยู่ในเครือข่ายอินเทอร์เน็ต เป็นเครือข่ายที่ลักษณะเป็นใยแมงมุม ซึ่งระบบกระจายความรับผิดชอบไม่มีศูนย์กลางของระบบ และเป็นเครื่อข่ายข้อมูลระดับโลกยากต่อกรควบคุม และเป็นสื่อที่ไม่มีตัวตน หรือแหล่งที่มาที่ชัดเจนทั้งผู้ส่งข้อมูล หรือผู้รับข้อมูล ดังนั้นกฏหมายที่จะมากำกับดูแล หรือควบคุมสื่ออินเทอร์เน็ต จะต้องเป็นกฏหมายลักษณะพิเศษเป็นที่ยอมรับในระดับสากล แต่ความแตกต่างในระดับการเมือง สังคม และวัฒนธรรม ในแต่ละประเทศยังเป็นปัญหาอุปสรรค ในการร่างกฏหมายดังกล่าวซึ่งปัจจุบันยังไม่ปรากฏผลเป็นกฏหมายยังคงอยู่ในระยะที่กำลังสร้างกฏเกณฑ์กติกาขึ้นมากำกับบริการอินเทอร์เน็ต ประเทศไทยกับการพัฒนากฎหมายเทคโนโลยีสารสนเทศ กฎหมายเทคโนโลยีสารสนเทศของประเทศไทยเริ่มวันที่ 15 ธันวาคม 2541 โดยคณะ กรรมการเทคโนโลยีสารสนเทศแห่งชาติเรียก (กทสช) ได้ทำการศึกษาและยกร่างกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ ได้แก่
1. กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law) เพื่อรับรองสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ให้เสมอด้วยกระดาษ อันเป็นการรองรับนิติสัมพันธ์ต่าง ๆ ซึ่งแต่เดิมอาจจะจัดทำขึ้นในรูปแบบของหนังสือให้เท่าเทียมกับนิติสัมพันธ์รูปแบบใหม่ที่จัดทำขึ้นให้อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์ รวมตลอดทั้งการลงลายมือชื่อในข้อมูลอิเล็กทรอนิกส์ และการรับฟังพยานหลักฐานที่อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์
2. กฎหมายเกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signatures Law)
เพื่อรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์ เพื่อรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์ 3. กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึง และเท่าเทียมกัน(National Information Infrastructure Law) เพื่อก่อให้เกิดการส่งเสริม สนับสนุน และพัฒนาโครงสร้างพื้นฐานสารสนเทศ อันได้แก่ โครงข่ายโทรคมนาคม เทคโนโลยีสารสนเทศ สารสนเทศทรัพยากรมนุษย์ และโครงสร้างพื้นฐานสารสนเทศสำคัญอื่น ๆ อันเป็นปัจจัยพื้นฐาน สำคัญในการพัฒนาสังคม และชุมชนโดยอาศัยกลไกของรัฐ ซึ่งรองรับเจตนารมณ์สำคัญประการหนึ่งของแนวนโยบายพื้นฐานแห่งรัฐตามรัฐธรรมนูญ มาตรา 78 ในการกระจายสารสนเทศให้ทั่วถึง และเท่าเทียมกัน และนับเป็นกลไกสำคัญในการช่วยลดความเหลื่อมล้ำของสังคมอย่างค่อยเป็นค่อยไป เพื่อสนับสนุนให้ท้องถิ่นมีศักยภาพในการปกครองตนเองพัฒนาเศรษฐกิจภายในชุมชน และนำไปสู่สังคมแห่งปัญญา และการเรียนรู้ 4. กฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Law) เพื่อก่อให้เกิดการรับรองสิทธิและให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจถูกประมวลผล เปิดเผยหรือเผยแพร่ถึงบุคคลจำนวนมากได้ในระยะเวลาอันรวดเร็วโดยอาศัยพัฒนาการทางเทคโนโลยี จนอาจก่อให้เกิดการนำข้อมูลนั้นไปใช้ในทางมิชอบอันเป็นการละเมิดต่อเจ้าของข้อมูล ทั้งนี้ โดยคำนึงถึงการรักษาดุลยภาพระหว่างสิทธิขั้นพื้นฐานในความเป็นส่วนตัว เสรีภาพในการติดต่อสื่อสาร และความมั่นคงของรัฐ 5. กฎหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer Crime Law) เพื่อกำหนดมาตรการทางอาญาในการลงโทษผู้กระทำผิดต่อระบบการทำงานของคอมพิวเตอร์ ระบบข้อมูล และระบบเครือข่าย ทั้งนี้เพื่อเป็นหลักประกันสิทธิเสรีภาพ และการคุ้มครองการอยู่ร่วมกันของสังคม 6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law) เพื่อกำหนดกลไกสำคัญทางกฎหมายในการรองรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ทั้งที่เป็นการโอนเงินระหว่างสถาบันการเงิน และระบบการชำระเงินรูปแบบใหม่ในรูปของเงินอิเล็กทรอนิกส์ก่อให้เกิดความเชื่อมั่นต่อระบบการทำธุรกรรมทางการเงิน และการทำธุรกรรมทางอิเล็กทรอนิกส์มากยิ่งขึ้น
มาตรการป้องกันและปราบปรามอาชญากรรมทางคอมพิวเตอร์
มาตรการด้านเทคโนโลยี
เป็นการต่อต้านอาชญากรรมทางคอมพิวเตอร์โดยผู้ใช้สามารถใช้หรือติดตั้งเทคโนโลยีต่างๆ ที่มีอยู่ในปัจจุบัน อาทิ การติดตั้ง
ระบบการตรวจจับการบุกรุก (Intrusion Detection) หรือการติดตั้งกำแพงไฟ (Firewall) เพื่อป้องกันหรือรักษาคอมพิวเตอร์
ของตนให้มีความ ปลอดภัย ซึ่งนอกเหนือจากการติดตั้งเทคโนโลยีแล้วการตรวจสอบเพื่อประเมินความเสี่ยง อาทิ การจัดให้มีระบบ
วิเคราะห์ความเสี่ยงและการให้การรับรอง (Analysis Risk and Security Certification) รวมทั้งวินัยของ ผู้ปฏิบัติงาน
ก็เป็นสิ่งสำคัญที่ต้องได้รับการปฏิบัติอย่างเคร่งครัดและสม่ำเสมอ มิเช่นนั้นการติดตั้งเทคโนโลยีที่มีประสิทธิภาพเพื่อใช้ในการป้องกัน
ปัญหาดังกล่าวก็ไม่ก่อให้เกิดประโยชน์แต่อย่างใด
มาตรการด้านกฏหมาย
มาตรการด้านกฎหมายเป็นนโยบายของรัฐบาลไทยประการหนึ่งที่นำมาใช้ในการต่อต้านอาชญากรรมคอมพิวเตอร์ โดยการ
บัญญัติหรือตรากฎหมายเพื่อกำหนดว่าการกระทำใดบ้างที่มีโทษทางอาญา ในปัจจุบัน ประเทศไทยมีกฎหมายที่เกี่ยวข้องหลายฉบับ
ดังนี้ 1. กฏหมายเทคโนโลยีสารสนเทศ กฎหมายอาชญากรรมทางคอมพิวเตอร์ หรือร่างพระราชบัญญัติว่าด้วยอาชญากรรมทางคอมพิวเตอร์ พ.ศ. …. ซึ่งขณะนี้เป็นกฎหมายหนึ่งในหกฉบับที่อยู่ภายใต้ความรับผิดชอบของโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ โดยมีสาระสำคัญของกฎหมายแบ่งออกได้เป็น 2 ส่วนหลัก คือ
1.1 การกำหนดฐานความผิดและบทลงโทษเกี่ยวกับการกระทำที่เป็นอาชญากรรมทางคอมพิวเตอร์ เช่น ความผิดเกี่ยวกับการ
เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยไม่มีอำนาจ (Illegal Access) ความผิดฐานลักลอบดักข้อมูลคอมพิวเตอร์
(Illegal Interception) หรือ ความผิดฐานรบกวนข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์โดยมิชอบ(Interference
computer data and computer system) ความผิดฐานใช้อุปกรณ์ในทางมิชอบ (Misuse of Devices)เป็นต้น
1.2 การให้อำนาจพิเศษแก่เจ้าพนักงานในการปราบปรามการกระทำความผิด นอกเหนือเพิ่มเติมไปจากอำนาจโดยทั่วไป
ที่บัญญัติไว้ในกฎหมายอื่นๆ อาทิ การให้อำนาจในการสั่งให้ถอดรหัสข้อมูลคอมพิวเตอร์ อำนาจในการเรียกดูข้อมูลจราจร (traffic
data) หรือ อำนาจค้นโดยไม่ต้องมีหมายในบางกรณี
2. กฏหมายอื่นที่เกี่ยวข้อง นอกเหนือจากกฎหมายอาชญากรรมคอมพิวเตอร์ดังที่ได้กล่าวไว้ในตอนต้นแล้ว ปัจจุบันมีกฎหมายอีกหลายฉบับทั้งที่ตราขึ้นใช้บังคับแล้ว และที่อยู่ระหว่างกระบวนการตรานิติบัญญัติ ที่มีเนื้อหาเกี่ยวข้องกับการป้องกันหรือปราบปรามอาชญากรรม
ทางคอมพิวเตอร์ เช่น
2.1 พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 74 ซึ่งกำหนดฐานความผิดเกี่ยวกับการดักรับไว้ หรือใช้ประโยชน์ หรือเปิดเผยข้อความข่าวสาร หรือข้อมูลอื่นใดที่มีการสื่อสารโทรคมนาคมโดยไม่ชอบด้วยกฎหมาย
2.2 กฎหมายอื่นที่อยู่ระหว่างการดำเนินการ ได้แก่ ร่างพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายอาญา โดยเป็นการกำหนดฐานความผิดเกี่ยวกับการปลอมหรือแปลงบัตรอิเล็กทรอนิกส์ ตลอดจนกำหนดฐานความผิดเกี่ยวกับการใช้ มีไว้เพื่อใช้ นำเข้า หรือส่งออก การจำหน่ายซึ่งบัตรอิเล็กทรอนิกส์ปลอมหรือแปลง และลงโทษบุคคลที่ทำการผลิต หรือมีเครื่องมือในการผลิต
มาตรการด้านความร่วมมือระหว่างหน่วยงาน
นอกเหนือจากมาตรการทางเทคโนโลยีที่ผู้ใช้ต้องดำเนินการ หรือมาตรการทางกฎหมายที่รัฐบาลต้องผลักดันกฎหมายต่างๆ แล้วมาตรการสำคัญอีกประการหนึ่งที่จะช่วยให้การป้องกันปราบปรามอาชญากรรมทางคอมพิวเตอร์สัมฤทธิ์ในทางปฏิบัติได้นั้น คือมาตรการด้านความร่วมมือกับระหว่างหน่วยงานต่างๆ ที่เกี่ยวข้อง ทั้งภาครัฐและเอกชนซึ่งมิได้จำกัดเพียงเฉพาะหน่วยงานที่มีหน้าที่ตามกฎหมายเท่านั้น แต่ยังรวมไปถึงหน่วยงานอื่นๆ ที่อาจเกี่ยวข้องไม่ว่าจะเป็นในด้านของผู้พัฒนาระบบหรือผู้กำหนดนโยบายก็ตาม
นอกเหนือจากความร่วมมือระหว่างหน่วยงานต่างๆ แล้วสิ่งสำคัญอีกประการหนึ่งคือความจำเป็นที่จะต้องมีหน่วยงานด้านความปลอดภัยของเครือข่ายเพื่อรับมือ กับปัญหาฉุกเฉินด้านความปลอดภัยคอมพิวเตอร์ขึ้นโดยเฉพาะ และเป็นศูนย์กลางคอยให้ค วามช่วยเหลือในด้านต่างๆ รวมทั้งให้คำปรึกษาถึงวิธีการหรือแนวทางแก้ไข ซึ่งปัจจุบันศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือเนคเทค ได้จัดตั้งศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (Thai ComputerEmergency Response Team / ThaiCERT) เพื่อเป็นหน่วยงานให้ความช่วยเหลือและให้ข้อมูลทางวิชาการเกี่ยวกับการ ตรวจสอบและการรักษาความปลอดภัยคอมพิวเตอร์แก่ผู้ที่สนใจทั้งภาครัฐและเอกชน รวมทั้งเป็นหน่วยงานรับแจ้งเหตุกรณีที่มีการละเมิดความปลอดภัยคอมพิวเตอร์เกิดขึ้น
มาตรการทางสังคม
ในปัจจุบันสังคมไทยกำลังเผชิญกับปัญหาการใช้อินเทอร์เน็ตไปในทางไม่ชอบหรือฝ่าผืนต่อบทบัญญัติของกฏหมาย ทั้งโดยการเผยแพร่เนื้อหาอันไม่เหมาะสม ไม่ว่าจะเป็นสื่อสามกอนาจาร ข้อความหมิ่นประมาท การชักจูงล่อล่วง หลอกลวงเด็กและเยาวชนไปในทางที่เสียหาย หรือพฤติกรรมอื่นอันเป็นภัยต่อสังคม โดยคาดการณ์ว่าการกระทำ หรือพฤติกรรมดังกล่าวจะมีปริมาณที่เพิ่มสูงขึ้นตามสัดส่วนการใช้งานของผู้ใช้อินเทอร์เน็ต อันส่งผลกระทบต่อเด็กและเยาวชนของชาติ ดังนั้น หน่วยงานทั้งภาครัฐและเอกชนจึงได้เร่งรณรงค์ในการป้องกันปัญหาดังกล่าวร่วมกันเพื่อดูแลและปกป้องเด็กและเยาวชนจากผลกระทบดังกล่าว
ภัยร้ายบนอินเทอร์เน็ต
ภัยร้ายบนอินเทอร์เน็ตที่จัดอยู่ในรูปแบบของการล่อล่วง โดยใช้โปรแกรมคอมพิวเตอร์ประกอบด้วยโปรแกรมรหัสลับ ( Encryption Software)
โปรแกรมนี้จะล็อกแฟ้มข้อมูลหรือข้อความไว้ เพื่อให้เปิดได้เฉพาะในหมู่ผู้ใช้ที่มีโปรแกรมคอมพิวเตอร์ชนิดเดียวกัน หรือมี "รหัสผ่าน" หรือ "Password" ที่ใช้เปิดแฟ้มนี้ อาจเป็นชุดตัวเลขที่ตั้งขึ้นมาแบบสุ่ม โปรแกรมชนิดนี้ดดยทั่วไปนิยมใช้กันในเครื่องมืออุปกรณ์อิเล็กทรอนิกส์ต่างๆ เช่น ที่เปิดประตูอัตโนมัติ เครื่องกดเงินด่วน (ATM) เป็นต้น
โปรแกรมแปลงภาพและแต่งภาพ
เทคโนโลยีด้านคอมพิวเตอร์สมัยใหม่ก่อให้เกิดสื่อด้านลามกขึ้นมากมายเพราะมีโปรแกรมคอมพิวเตอร์สำหรับใช้ในการตกแต่งภาพและแปลงภาพในรูปแบบต่างๆ เช่น โปรแกรม Photoshops, Illustrator หรือ Photo Editor ซึ่งโปรแกรมคอมพิวเตอร์เหล่านี้ เมื่อนำไปใช้ในทางที่ถูกต้องก้จะทำให้เกิดภาพที่สวยงาม หรือเป็นการสร้างภาพงานศิลปะ เช่น การปรับแต่งรูปภาพนางแบบสำหรับนิตยสารเพื่อช้วยให้ได้ภาพที่สวยงาม ในส่วนใดที่มีข้อบกพร่องก็สามารถใช้โปรแกรมคอมพิวเตอร์ช่วยในการแต่งเติมรูปภาพได้ แต่ในระบบเครือข่ายอินเทอร์เน็ตเป็นระบบที่เปิดกว้างในการใช้งานกับบุคคลทุกคน ซึ่งจะมีทุกกลุ่มบุคคลและทุกประเภทที่สามารถเข้ามาใช้งานโดยมีบางคนที่ขาดคุณธรรม จริยธรรมในการใช้งานอินเทอร์เน็ต ซึ่งได้นำภาพที่ไม่เหมาะสมของกลุ่มคนที่มีชื่อเสียง เช่น ดารา นักร้อง หรือนำภาพของบุคคลเหล่านั้นไปใช้โปรแกรมคอมพิวเตอร์ในการตกแต่งภาพ ซึ่งเป็นภาพที่บิดเบือนจากความเป็นจริงดยส่วนมากจะเป็นภาพที่ส่อให้เกิดภาพอนาจาร แล้วนำไปเผยแพร่บนเครือข่ายอินเทอร์เน็ต ก่อให้เกิดความเสื่อมเสียแก่บุคคลนั้น นับว่าเป็นการละเมิดสิทธิส่วนบุคคล ในอดีตจะไม่มีการคุ้มครอง ซึ่งบุคคลที่กระทำการแปลงภาพเหล่านี้จะไม่ถูกดำเนินคดีทางกฏหมาย แต่ในปัจจุบันได้มีการออกกฏหมายด้านเทคโนโลยีด้านสารสนเทศขึ้นมาเพื่อดำเนินคดีสำหรับผู้กระทำการปลอบแปลงภาพ โดยจะถือว่าผู้ใดที่ทำการปลอมแปลงภาพซึ่งบิดเบือยจากความเป็นจริง ถือว่ากระทำการที่ผิดกฏหมาย
อาชญากรรมทางคอมพิวเตอร์
Buffer overflow เป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่ทำอันตรายให้กับระบบได้มากที่สุด โดยอาชญากรจะอาศัยช่องโหว่ของระบบปฏิบัติการ และขีดจำกัดของทรัพยากรระบบมาใช้ในการจู่โจม การส่งคำสั่งให้เครื่องแม่ข่ายเป็นปริมาณมากๆ ในเวลาเดียวกัน ซึ่งส่งผลให้เครื่องไม่สามารถรันงานได้ตามปกติ หน่วยความจำไม่เพียงพอ จนกระทั่งเกิดการแฮงค์ของระบบ เช่นการสร้างฟอร์มรับส่งเมล์ที่ไม่ได้ป้องกัน ผู้ไม่ประสงค์อาจจะใช้ฟอร์มนั้นในการส่งข้อมูลกระหน่ำระบบได้
Backdoors นักพัฒนาเกือบทุกราย มักสร้างระบบ Backdoors เพื่อช่วยอำนวยความสะดวกในการทำงาน ซึ่งหากอาชญากรรู้เท่าทัน ก็สามารถใช้ประโยชน์จาก Backdoors นั้นได้เช่นกัน
CGI Script ภาษาคอมพิวเตอร์ที่นิยมมากในการพัฒนาเว็บเซอร์วิส มักเป็นช่องโหว่รุนแรงอีกทางหนึ่งได้เช่นกัน
Hidden HTML การสร้างฟอร์มด้วยภาษา HTML และสร้างฟิลด์เก็บรหัสแบบ Hidden ย่อมเป็นช่องทางที่อำนวยความสะดวกให้กับอาชญากรได้เป็นอย่างดี โดยการเปิดดูรหัสคำสั่ง (Source Code) ก็สามารถตรวจสอบและนำมาใช้งานได้ทันที
Failing to Update การประกาศจุดอ่อนของซอฟต์แวร์ เพื่อให้ผู้ใช้นำไปปรับปรุงเป็นทางหนึ่งที่อาชญากร นำไปจู่โจมระบบที่ใช้ซอฟต์แวร์นั้นๆ ได้เช่นกัน เพราะกว่าที่เจ้าของเว็บไซต์ หรือระบบ จะทำการปรับปรุง (Updated) ซอตฟ์แวร์ที่มีช่องโหว่นั้น ก็สายเกินไปเสียแล้ว
Illegal Browsing ธุรกรรมทางอินเทอร์เน็ต ย่อมหนีไม่พ้นการส่งค่าผ่านทางบราวเซอร์ แม้กระทั่งรหัสผ่านต่างๆ ซึ่งบราวเซอร์บางรุ่น หรือรุ่นเก่าๆ ย่อมไม่มีความสามารถในการเข้ารหัส หรือป้องกันการเรียกดูข้อมูล นี่ก็เป็นอีกจุดอ่อนของธุรกรรมอิเล็กทรอนิกส์ได้เช่นกัน
Malicious scripts ก็เขียนโปรแกรมไว้ในเว็บไซต์ แล้วผู้ใช้เรียกเว็บไซต์ดูบนเครื่องของตน มั่นใจหรือว่าไม่เจอปัญหา อาชญากรอาจจะเขียนโปรแกรมแผงในเอกสารเว็บ เมื่อถูกเรียก โปรแกรมนั่นจะถูกดึงไปประมวลผลฝั่งไคลน์เอ็นต์ และทำงานตามที่กำหนดไว้อย่างง่ายดาย โดยเราเองไม่รู้ว่าเรานั่นแหล่ะเป็นผู้สั่งรันโปรแกรมนั้นด้วยตนเอง น่ากลัวเสียจริงๆๆ
Poison cookies ขนมหวานอิเล็กทรอนิกส์ ที่เก็บข้อมูลต่างๆ ตามแต่จะกำหนด จะถูกเรียกทำงานทันทีเมื่อมีการเรียกดูเว็บไซต์ที่บรรจุคุกกี้ชิ้นนี้ และไม่ยากอีกเช่นกันที่จะเขียนโปรแกรมแฝงอีกชิ้น ให้ส่งคุกกี้ที่บันทึกข้อมูลต่างๆ ของผู้ใช้ส่งกลับไปยังอาชญากร
ไวรัสคอมพิวเตอร์ ภัยร้ายสำหรับหน่วยงานที่ใช้ไอทีตั้งแต่เริ่มแรก และดำรงอยู่อย่างอมตะตลอดกาล ในปี 2001 พบว่าไวรัส Nimda ได้สร้างความเสียหายได้สูงสุด เป็นมูลค่าถึง 25,400 ล้าบบาท ในทั่วโลก ตามด้วย Code Red, Sircam, LoveBug, Melissa ตามลำดับที่ไม่หย่อนกว่ากัน
อาชญากรรมทางคอมพิวเตอร์ที่สร้างความสูญเสียทางเศรษฐกิจ 10 อันดับ ได้แก่
1. การทำให้ระบบไม่สามารถให้บริการได้
2. การขโมยข้อมูลทางอินเทอร์เน็ต โดยเแพาะข้อมูลที่เป็นความลับต่างๆ เช่น ข้อมูล บัตรเครดิต เป็นต้น
3. การโจมตีระบบจากคนภายในองค์กร
4. การโจมตีระบบเครือข่ายไร้สาย
5. การฉ้อโกงเงิน โดยใช้คอมพิวเตอร์แอบโอนเงินจากบัญชีผู้อื่นเข้าบัญชีตนเอง
6. การถูกขโมยคอมพิวเตอร์ Notebook
7. การเข้าถึงระบบโดยไม่ได้รับอนุญาต
8. การฉ้อโกงด้านโทรคมนาคม
9. การใช้เว็บแอพพลิเคชั่นด้านสารณะในทางที่ผิด โดยใช้คอมพิวเตอร์แพร่ภาพ เสียง ลามก อนาจาร และข้อมูลไม่เหมาะสม
10. การเปลี่ยนโฉมเว็บไซต์โดยไม่ได้รับอนุญาต
บัญญัติ 10 ประการ ด้านความปลอดภัยของอินเทอร์เน็ต
2. เปลี่ยนรหัสผ่านสม่ำเสมอ เช่น ทุก 3 เดือน
3. ปรับปรุงโปรแกรมป้องกันไวรัสตลอดเวลา
4. ให้ความรู้แก่บุคลากรในเรื่องความปลอดภัยในการรับไฟล์ หรือการดาวน์โหลดไฟล์จากอินเตอร์เน็ต
5. ติดตั้งระบบรักษาความปลอดภัยสำหรับเครื่อข่ายอย่างสมบูรณ์
6. ประเมินสถานการณ์ของความปลอดภัยในเครื่อข่ายอย่างสม่ำเสมอ
7. ลบรหัสผ่าน และบัญชีการใช้ของพนักงานที่ออกจากหน่วยงานทันที
8. วางระบบรักษาความปลอดภัยสำหรับการเข้าถึงระบบของพนักงานจากภายนองหน่วยงาน
9. ปรับปรุงซอฟต์แวร์อย่างสม่ำเสมอ
10. ไม่ใช้การบริการบางตัวบนเครื่อข่ายอินเทอร์เน็ตอย่างไม่จำเป็น
วิธีการประกอบอาชญากรรมทางคอมพิวเตอร์
การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลที่สามารถเข้าถึงตัวข้อมูลได้ เช่น พนักงานที่มีหน้าที่บันทึกเวลา
การทำงานของพนักงานทั้งหมด ทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาเป็นชั่วโมงการทำงานของตนเอง เป็นต้น
Trojan Horse คือ การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์ เมื่อถึงเวลาโปรแกรมที่ไม่ดี
จะปรากฏตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์ หรือการทำลายล้างข้อมูล หรือระบบ
คอมพิวเตอร์
Salami Techniques คือ วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงิน
ที่จ่ายได้ และจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงิน
ออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ววิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
Super zapping มาจากคำว่า Super zap เป็นโปรแกรม Macro Utility ที่ใช้เป็นศูนย์คอมพิวเตอร์
ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน
เสมือนกุญแจดอกอื่นหายหรือมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) เช่นโปรแกรม Super zap
จะมีความเสี่ยงมากหากตกไปอยู่ในมือผู้ที่ไม่หวังดี
Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้
คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูล
ที่ต้องการ ไว้ในไฟล์ลับ
Logic Bombs เป็นการเขียนโปรแกรมที่มีคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะ หรือ
สภาพการณ์ ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือน
แล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คือ
สามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างาน
ที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู ระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่าง
ที่เครื่องกำลังทำงาน เข้าไปแก้ไขเปลี่ยนแปลง หรือกระทำการอื่นใดโดยที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
Scavenging คือ วิธีการที่จะได้ข้อมูลที่ทิ้งไว้ในระบบคอมพิวเตอร์ หรือบริเวณใกล้เคียงหลังจากเสร็จการใช้งานแล้ว
วิธีที่ง่ายที่สุด คือ ค้นหาตามถังขยะที่อาจมีข้อมูลสำคัญไม่ว่าจะเป็นเบอร์โทรศัพท์ หรือรหัสผ่านหลงเหลืออยู่ หรืออาจใช้
เทคโนโลยีที่ซับซ้อนทำการหาข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกงานแล้ว
Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ได้ตั้งใจก็ตาม เช่น การแผ่รังสี
ของคลื่นแม่เหล็กไฟฟ้า ในขณะที่กำลังทำงานคนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกใช้งาน
Piggybacking วิธีการนี้สามารถทำได้ทางกายภาพ (Physical) คือ การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบ
รักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลนั้นได้เข้าไป
คนร้ายก็ฉวยโอกาสตอนที่ประตูยังปิดไม่สนิทแอบเข้าไปได้ ในทางอิเล็กทรอนิกส์ก็เช่นเดียวกัน อาจเกิดในกรณีที่ใช้สายสื่อสาร
เดียวกับผู้ที่มีอำนาจใช้ หรือได้รับอนุญาต เช่น ใช้สายเคเบิล หรือโมเด็มเดียวกัน
Impersonation คือ การที่คนร้ายแกล้งปลอมเป็นบุคคลอื่นที่มีอำนาจ หรือได้รับอนุญาต เช่น เมื่อคนร้ายขโมย
บัตรเอทีเอ็มของเหยื่อได้ก็จะโทรศัพท์และแกล้งทำเป็นเจ้าพนักงานของธนาคาร และแจ้งให้เหยื่อทราบว่ากำลังหาวิธีการป้องกัน
ไม่ให้เงินในบัญชีของเหยื่อสูญหายจึงบอกให้เหยื่อเปลี่ยนรหัสผ่าน โดยให้เหยื่อบอกรหัสเดิมก่อน คนร้ายจึงทราบหมายเลขรหัส
และได้เงินของเหยื่อไป
Wiretapping เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาที่จะได้รับประโยชน์จากการเข้าถึงข้อมูลผ่าน
เครือข่ายการสื่อสาร หรือที่เรียกว่าโครงสร้างพื้นฐานสารสนเทศโดยการกระทำความผิดดังกล่าวกำลังเป็นที่หวาดวิตกกับ
ผู้ที่เกี่ยวข้องเป็นอย่างมาก
Simulation and Modeling ในปัจจุบันคอมพิวเตอร์ถูกใช้เป็นเครื่องมือในการวางแผนการควบคุมและติดตาม
ความเคลื่อนไหวในการประกอบอาชญากรรม และกระบวนการดังกล่าวก็สามารถใช้โดยอาชญากร ในการสร้างแบบจำลอง
ในการวางแผน เพื่อประกอบอาชญากรรมได้เช่นกัน เช่น ในกิจการประกันภัยมีการสร้างแบบจำลองในการปฏิบัติการ หรือ
ช่วยในการตัดสินใจ ในการทำกรมธรรม์ประกันภัย โปรแกรมสามารถทำกรมธรรม์ประกันภัยปลอมขึ้นมาเป็นจำนวนมาก ส่งผล
ให้บริษัทประกันภัยจริงล้มละลาย เมื่อถูกเรียกร้องให้ต้องจ่ายเงินให้กับกรมธรรม์ที่ขาดการต่ออายุ หรือกรมธรรม์ที่มีการจ่ายเงิน
เพียงการบันทึก (จำลอง) ไม่ได้รับเบี้ยประกันจริง หรือต้องจ่ายเงินให้กับกรมธรรม์ที่เชื่อว่ายังไม่ขาดอายุ
ประเภทของอาชญากรรมทางคอมพิวเตอร์
โครงการอาชญากรรมทางคอมพิวเตอร์และการโจรกรรมทรัพย์สินทางปัญญา (Cyber-Crime and Intellectual Property Theft) พยายามที่จะเก็บรวบรวมและเผยแพร่ข้อมูล และค้นคว้าเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ 6 ประเภท ที่ได้รับความนิยม ซึ่งส่งผลกระทบโดยตรงต่อประชาชนและผู้บริโภค นอกจากนี้ยังทำหน้าที่เผยแพร่ความรู้เกี่ยวกับขอบเขตและความซับซ้อนของปัญหา รวมถึงนโยบายปัจจุบันและความพยายามในการปัญหานี้ อาชญากรรม 6 ประเภทดังกล่าวได้แก่
- การเงิน – อาชญากรรมที่ขัดขวางความสามารถขององค์กรธุรกิจในการทำธุรกรรม อี-คอมเมิร์ซ(หรือพาณิชย์อิเล็กทรอนิกส์)
- การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ ในปัจจุบันคอมพิวเตอร์ส่วนบุคคลและอินเทอร์เน็ตถูกใช้เป็นสื่อในการก่ออาชญากรรม แบบเก่า โดยการโจรกรรมทางออนไลน์หมายรวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเทอร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
- การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต และในบางกรณีอาจหมายถึงการใช้สิทธิการเข้าถึงนี้โดยไม่ได้รับอนุญาต นอกจากนี้การเจาะระบบยังอาจรองรับอาชญากรรมทางคอมพิวเตอร์ในรูปแบบอื่นๆ (เช่น การปลอมแปลง การก่อการร้าย ฯลฯ)
- การก่อการร้ายทางคอมพิวเตอร์ – ผลสืบเนื่องจากการเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว เช่นเดียวกับการก่อการร้ายทั่วไป โดยการกระทำที่เข้าข่าย การก่อการร้ายทางอิเล็กทรอนิกส์ (e-terrorism) จะเกี่ยวข้องกับการเจาระบบคอมพิวเตอร์เพื่อก่อเหตุรุนแรงต่อบุคคลหรือทรัพย์สิน หรืออย่างน้อยก็มีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
- ภาพอนาจารทางออนไลน์ – ตามข้อกำหนด 18 USC 2252 และ 18 USC 2252A การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย และตามข้อกำหนด 47 USC 223 การเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย อินเทอร์เน็ตเป็นเพียงช่องทางใหม่สำหรับอาชญากรรม แบบเก่า อย่างไรก็ดี ประเด็นเรื่องวิธีที่เหมาะสมที่สุดในการควบคุมช่องทางการสื่อสารที่ครอบคลุมทั่วโลกและเข้าถึงทุกกลุ่มอายุนี้ได้ก่อให้เกิดการถกเถียงและการโต้แย้งอย่างกว้างขวาง
- ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชนจำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออันทรงพลังนี้อย่างปลอดภัยและมีความรับผิดชอบ โดยเป้าหมายหลักของโครงการนี้คือ เพื่อกระตุ้นให้เด็กได้เรียนรู้เกี่ยวกับข้อกำหนดทางกฎหมาย สิทธิของตนเอง และวิธีที่เหมาะสมในการป้องกันการใช้อินเทอร์เน็ตในทางที่ผิด
ที่มาเว็บไซต์ : http://noojna.blogspot.com/2011/12/10.html
