บทที่ 10 กฎหมายและความปลอดภัยบนอินเทอร์เน็ต
บทที่ 10 กฎหมายและความปลอดภัยบนอินเทอร์เน็ต
ปัจจุบันการใช้งานระบบอินเทอร์เน็ตมีประโยชน์อย่างมาก จึงทำให้การใช้งานเป็นไปอย่างแพร่หลาย บุคคลที่ใช้อินเทอร์เน็ตจึงมีหลายจุดประสงค์ ทั้งใช้งานในสิ่งที่เป็นประโยชน์ และการใช้งานที่เป็นผลร้ายต่อบุคคลอื่น เพื่อจะได้ปลอดภัย จากภัยร้ายบนอินเทอร์เน็ต จึงควรศึกษาคู่มือวิธีการใช้อินเตอร์เน็ตอย่างระเอียด และปฏิบัติตาม เพื่อความปลอดภัยในการใช้อินเตอร์เน็ต (ข้อความจากเวบไซต์สำนักงานตำรวจแห่งชาติ)
1. เมื่อเริ่มใช้อินเทอร์เน็ตเป็นครั้งแรก ควรปรึกษาผู้ใหญ่เกี่ยวกับแนวทางในการใช้ในการใช้อินเทอร์เน็ตต่อวัน และเมื่อผู้ใช้มีความรู้ และคุ้นเคยในการใช้งานจริงบ้างแล้ว จึงค่อยปรับเปลี่ยนแนวทางในใช้เวลาในการใช้อินเทอร์เน็ตให้เหมาะสมต่อไป และควรเขียนแนวทางในการใช้อินเทอร์เน็ตติดไว้ใกล้กับคอมพิวเตอร์ เพื่อความสะดวกในการจัดระบบการใช้อินเทอร์เน็ต
2. อย่าให้รหัสลับแก่ผู้อื่น
3. ต้องได้รับอนุญาตจากผู้ใหญ่ ทุกครั้งที่ให้ข้อมูลส่วนตัวกับบุคคลอื่นในอินเทอร์เน็ต
4. ตรวจทานว่าได้พิมพ์ชื่อเว็บไซด์ถูกต้องเสียก่อน แล้วจึงกด Enter เพื่อจะได้เข้าเว็บไซด์ที่ต้องการได้ถูกต้อง
5. ปรึกษาผู้ใหญ่ ก่อนเข้าใช้ห้องสนทนาบนอิน เทอร์เน็ต เพราะว่าห้องสนทนาแต่ละห้องมีการสนทนาที่แตกต่างกัน บางห้องอาจไม่เหมาะสม
6. ถ้าพบเห็นข้อความ หรือสิ่งใด ที่ไม่เหมาะสม หรือ คิดว่าไม่ดีต่อการใช้อินเทอร์เน็ต ควรออกจากเว็บไซด์นั้น และแจ้งให้ผู้ใหญ่ทราบทันที
7. อย่าส่งรูปภาพของตนเอง หรือรูปภาพของผู้อื่น ให้คนอื่นทางอีเมลล์ ยกเว้นได้รับอนุญาตจากผู้ใหญ่เสียก่อน
8. ถ้าได้รับอีเมลล์ที่มีข้อความไม่เหมาะสมหรือทำให้ไม่สบายใจ ไม่ควรโต้ตอบ และควรบอกให้ผู้ใหญ่ทราบก่อนทันที
9. บนอินเทอร์เน็ต ทุกอย่างที่คุณเห็นไม่ใช่เรื่องจริงเสมอไป
10. อย่าบอกอายุจริงของคุณกับคนอื่น ถ้ามีความจำเป็นควรปรึกษาผู้ใหญ่ก่อน
11. อย่าบอกชื่อจริง และนามสกุลจริงกับบุคคลอื่น ถ้ามีความจำเป็นควรปรึกษา และขออนุญาตผู้ใหญ่ก่อน
12. อย่าบอกที่อยู่ ของคุณกับบุคคลอื่น
13. ปรึกษาผู้ใหญ่ก่อนทุกครั้งที่จะทำการลงทะเบียนใด ๆ บนอินเทอร์เน็ต
14. อย่าให้หมายเลขของบัตรเครดิตการ์ดของคุณกับบุคคลอื่น ถ้ามีความจำเป็นควรปรึกษาผู้ใหญ่ก่อน
15. ขณะที่ใช้อินเทอร์เน็ต ทุกอย่างขึ้นอยู่กับเรา คุณสามารถทำในสิ่งที่ตัวเองต้องการ และไม่ทำในสิ่งที่ไม่ต้องการได้
16. อย่าเปิดเอกสารหรืออีเมลล์หรือไฟล์ จากบุคคลอื่นที่ไม่รู้จัก เพราะอาจมีไวรัส หรือข้อมูลไม่เหมาะสม มากับเอกสารหรืออีเมลล์นั้น
17. ควรวางเครื่องคอมพิวเตอร์ไว้ในสถานที่ที่สะดวกในการดูแลเอาใจใส่ เช่น ห้องนั่งเล่น หรือ ห้องส่วนรวม
18. อย่าตัดสินใจที่จะไปพบบุคคลอื่นซึ่งรู้จักกันทางอินเทอร์เน็ตโดยไม่ได้รับอนุญาตจากผู้ใหญ่ และถ้ามีการนัดพบกันไม่ควรไปเพียงลำพัง ควรมีผู้ใหญ่หรือคนที่รู้จักหรือเพื่อนไปด้วย และควรนัดพบกันในที่สาธารณะ
19. บนอินเทอร์เน็ตข้อมูลต่าง ๆ ที่เราพิมพ์ลงไป บุคคลอื่นที่เราไม่รู้จักสามารถล่วงรู้ได้ จึงควรใช้อย่างระมัดระวัง
20. อย่าบอกเบอร์โทรศัพท์ของคุณกับบุคคลอื่น ในอินเทอร์เน็ต
21. พูดคุยกับผู้ใหญ่อย่างสม่ำเสมอ เกี่ยวกับสถานที่ กิจกรรม และสิ่งต่าง ๆ ที่พบเห็น บนอินเทอร์เน็ตที่ได้พบเห็น ระหว่างการใช้อินเทอร์เน็ต
22. ใช้ชื่อที่ต่างจากชื่อจริง และชื่อเล่นของตัวเองเพื่อใช้แทนตัวเอง ในขณะใช้อินเทอร์เน็ต
23. ควรปรึกษาผู้ใหญ่ ถ้าต้องการที่จะให้อีเมลล์แอดเดรสกับบุคคลอื่นในอินเทอร์เน็ต
24. ถ้ามีบุคคลอื่นที่ไม่รู้จักกันมาก่อน ถามเกี่ยวกับข้อมูลส่วนตัวมากเกินไป ไม่ควรให้ข้อมูล และควรหยุดการสนทนานั้น
25. อย่าบอกชื่อ ที่อยู่ของโรงเรียนของคุณ กับบุคคลอื่นบนอินเทอร์เน็ต
26. ขณะใช้อินเทอร์เน็ตไม่ควรเชื่อคำพูดหรือข้อมูลของบุคคลอื่น เพราะการปลอมตัวทำได้ง่าย และอาจไม่เป็นความจริง
27. อย่าทำสิ่งผิดกฎหมายบนอินเตอร์เน็ต เช่น ถ้าไม่เคยใช้บัตรเครดิต ก็ไม่ควรกรอกข้อมูลในการซื้อของ โดยใช้บัตรเครดิต บนอินเทอร์เน็ต
28. เมื่อมีใครบางคนให้เงินหรือของขวัญ ฟรี ๆ กับคุณ ควรบอกปฏิเสธ และบอกให้ผู้ใหญ่ทราบทันที
29. อย่าใช้คำไม่สุภาพ ขณะใช้อินเทอร์เน็ต
30. คุณสามารถออกจากอินเทอร์ได้ด้วยตัวเอง ถ้าไม่ต้องการใช้อินเทอร์เน็ต
การ ใช้งานอินเตอร์เน็ตนอกสถานที่ ไม่ว่าจะเป็นที่ร้านอินเตอร์เน็ตคาเฟ่, Business Center ของโรงแรม หรือสถานที่ใดๆ ที่ให้บริการ สิ่งหนึ่งที่พบก็คือการขาดความดูแลในเรื่องของการให้บริการ security สำหรับส่วนของลูกค้า ดังนั้นเราในฐานะผู้ใช้งานคงจำเป็นต้องดูแล เรื่องข้อมูลของเราด้วยตัวเอง โดยเฉพาะรหัสผ่านในการเข้าถึงเมล์ของเรา
กฎหมายเทคโนโลยีสารสนเทศ
ถึงแม้ว่าในปัจจุบันบางประเทศที่พัฒนาแล้วจะมีกฎหมายควบคุมสื่ออินเทอร์เน็ต ก็ยังไม่สามารถควบคุมภัยล่อลวงต่าง ๆ จากสื่ออินเทอร์เน็ตได้อย่างมีประสิทธิภาพอย่างเด็ดขาดเต็มที่โดยเฉพาะควบคุมดูแลการเผยแพร่ข้อมูลข่าวสารบนสื่ออินเทอร์เน็ตนั้นก็ยังเป็นปัญหา โดยเฉพาะการเผยแพร่สื่อสารลามกหรือบ่อนการพนัน
ซึ่งปัญหาดังกล่าว นอกจากจะเกี่ยวข้องกับสิทธิส่วนบุคคลในการเข้าถึงข้อมูล การก้าวก่ายสิทธิเสรีภาพในการแสดงออก ซึ่งเป็นสิทธิพื้นฐานของประชาชน ยังอาจจะขัดต่อกฎหมายรัฐธรรมนูญของประเทศอีกด้วย อีกทั้งลักษณะพิเศษของข้อมูลต่าง ๆ ที่อยู่ในเครือข่ายอินเทอร์เน็ต เป็นเครือข่ายที่มีลักษณะเป็นใยแมงมุม ซึ่งระบบกระจายความรับผิดชอบไม่มีศูนย์กลางของระบบ และเป็นเครือข่ายข้อมูลระดับโลกยากต่อการควบคุม และเป็นสื่อที่ไม่มีตัวตน หรือแหล่งที่มาที่ชัดเจน ทั้งผู้ส่งข้อมูล หรือผู้รับข้อมูล
ดังนั้นกฎหมายที่จะมากำกับดูแล หรือควบคุมสื่ออินเทอร์เน็ต จะต้องเป็นกฎหมายลักษณะพิเศษ เป็นที่ยอมรับในระดับสากล แต่ความแตกต่างในระบบการเมือง สังคม และวัฒนธรรม ในแต่ละประเทศยังเป็นปัญหาอุปสรรค ในการร่างกฎหมายดังกล่าวซึ่งปัจจุบันยังไม่ปรากฏผลเป็นกฎหมายยังคงอยู่ในระยะที่กำลังสร้างกฎเกณฑ์กติกาขึ้นมากำกับบริการอินเทอร์เน็ต
ประเทศไทยกับการพัฒนากฎหมายเทคโนโลยีสารสนเทศ กฎหมายเทคโนโลยีสารสนเทศของประเทศไทยเริ่มวันที่ 15 ธันวาคม 2541 โดยคณะ กรรมการเทคโนโลยีสารสนเทศแห่งชาติเรียก (กทสช) ได้ทำการศึกษาและยกร่างกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ ได้แก่ 1. กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law)
เพื่อรับรองสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ให้เสมอด้วยกระดาษ อันเป็นการรองรับนิติสัมพันธ์ต่าง ๆ ซึ่งแต่เดิมอาจจะจัดทำขึ้นในรูปแบบของหนังสือให้เท่าเทียมกับนิติสัมพันธ์รูปแบบใหม่ที่จัดทำขึ้นให้อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์ รวมตลอดทั้งการลงลายมือชื่อในข้อมูลอิเล็กทรอนิกส์ และการรับฟังพยานหลักฐานที่อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์
2. กฎหมายเกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signatures Law)
เพื่อรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์ และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์
3. กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึง และเท่าเทียมกัน(National Information Infrastructure Law) เพื่อก่อให้เกิดการส่งเสริม สนับสนุน และพัฒนาโครงสร้างพื้นฐานสารสนเทศ อันได้แก่ โครงข่ายโทรคมนาคม เทคโนโลยีสารสนเทศ สารสนเทศทรัพยากรมนุษย์ และโครงสร้างพื้นฐานสารสนเทศสำคัญอื่น ๆ อันเป็นปัจจัยพื้นฐาน สำคัญในการพัฒนาสังคม และชุมชนโดยอาศัยกลไกของรัฐ ซึ่งรองรับเจตนารมณ์สำคัญประการหนึ่งของแนวนโยบายพื้นฐานแห่งรัฐตามรัฐธรรมนูญ มาตรา 78 ในการกระจายสารสนเทศให้ทั่วถึง และเท่าเทียมกัน และนับเป็นกลไกสำคัญในการช่วยลดความเหลื่อมล้ำของสังคมอย่างค่อยเป็นค่อยไป เพื่อสนับสนุนให้ท้องถิ่นมีศักยภาพในการปกครองตนเองพัฒนาเศรษฐกิจภายในชุมชน และนำไปสู่สังคมแห่งปัญญา และการเรียนรู้ 4. กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Law)
เพื่อก่อให้เกิดการรับรองสิทธิและให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจถูกประมวลผล เปิดเผยหรือเผยแพร่ถึงบุคคลจำนวนมากได้ในระยะเวลาอันรวดเร็วโดยอาศัยพัฒนาการทางเทคโนโลยี จนอาจก่อให้เกิดการนำข้อมูลนั้นไปใช้ในทางมิชอบอันเป็นการละเมิดต่อเจ้าของข้อมูล ทั้งนี้ โดยคำนึงถึงการรักษาดุลยภาพระหว่างสิทธิขั้นพื้นฐานในความเป็นส่วนตัว เสรีภาพในการติดต่อสื่อสาร และความมั่นคงของรัฐ 5.กฎหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer Crime Law)
เพื่อกำหนดมาตรการทางอาญาในการลงโทษผู้กระทำผิดต่อระบบการทำงานของคอมพิวเตอร์ ระบบข้อมูล และระบบเครือข่าย ทั้งนี้เพื่อเป็นหลักประกันสิทธิเสรีภาพ และการคุ้มครองการอยู่ร่วมกันของสังคม
6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law)
เพื่อกำหนดกลไกสำคัญทางกฎหมายในการรองรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ทั้งที่เป็นการโอนเงินระหว่างสถาบันการเงิน และระบบการชำระเงินรูปแบบใหม่ในรูปของเงินอิเล็กทรอนิกส์ก่อให้เกิดความเชื่อมั่นต่อระบบการทำธุรกรรมทางการเงิน และการทำธุรกรรมทางอิเล็กทรอนิกส์มากยิ่งขึ้น
ดังนั้นกฎหมายที่จะมากำกับดูแล หรือควบคุมสื่ออินเทอร์เน็ต จะต้องเป็นกฎหมายลักษณะพิเศษ เป็นที่ยอมรับในระดับสากล แต่ความแตกต่างในระบบการเมือง สังคม และวัฒนธรรม ในแต่ละประเทศยังเป็นปัญหาอุปสรรค ในการร่างกฎหมายดังกล่าวซึ่งปัจจุบันยังไม่ปรากฏผลเป็นกฎหมายยังคงอยู่ในระยะที่กำลังสร้างกฎเกณฑ์กติกาขึ้นมากำกับบริการอินเทอร์เน็ต
ประเทศไทยกับการพัฒนากฎหมายเทคโนโลยีสารสนเทศ กฎหมายเทคโนโลยีสารสนเทศของประเทศไทยเริ่มวันที่ 15 ธันวาคม 2541 โดยคณะ กรรมการเทคโนโลยีสารสนเทศแห่งชาติเรียก (กทสช) ได้ทำการศึกษาและยกร่างกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ ได้แก่ 1. กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law)
เพื่อรับรองสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ให้เสมอด้วยกระดาษ อันเป็นการรองรับนิติสัมพันธ์ต่าง ๆ ซึ่งแต่เดิมอาจจะจัดทำขึ้นในรูปแบบของหนังสือให้เท่าเทียมกับนิติสัมพันธ์รูปแบบใหม่ที่จัดทำขึ้นให้อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์ รวมตลอดทั้งการลงลายมือชื่อในข้อมูลอิเล็กทรอนิกส์ และการรับฟังพยานหลักฐานที่อยู่ในรูปแบบของข้อมูลอิเล็กทรอนิกส์
2. กฎหมายเกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signatures Law)
เพื่อรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ด้วยกระบวนการใด ๆ ทางเทคโนโลยีให้เสมอด้วยการลงลายมือชื่อธรรมดา อันส่งผลต่อความเชื่อมั่นมากขึ้นในการทำธุรกรรมทางอิเล็กทรอนิกส์ และกำหนดให้มีการกำกับดูแลการให้บริการ เกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ตลอดจนการให้ บริการอื่น ที่เกี่ยวข้องกับลายมือชื่ออิเล็กทรอนิกส์
3. กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึง และเท่าเทียมกัน(National Information Infrastructure Law) เพื่อก่อให้เกิดการส่งเสริม สนับสนุน และพัฒนาโครงสร้างพื้นฐานสารสนเทศ อันได้แก่ โครงข่ายโทรคมนาคม เทคโนโลยีสารสนเทศ สารสนเทศทรัพยากรมนุษย์ และโครงสร้างพื้นฐานสารสนเทศสำคัญอื่น ๆ อันเป็นปัจจัยพื้นฐาน สำคัญในการพัฒนาสังคม และชุมชนโดยอาศัยกลไกของรัฐ ซึ่งรองรับเจตนารมณ์สำคัญประการหนึ่งของแนวนโยบายพื้นฐานแห่งรัฐตามรัฐธรรมนูญ มาตรา 78 ในการกระจายสารสนเทศให้ทั่วถึง และเท่าเทียมกัน และนับเป็นกลไกสำคัญในการช่วยลดความเหลื่อมล้ำของสังคมอย่างค่อยเป็นค่อยไป เพื่อสนับสนุนให้ท้องถิ่นมีศักยภาพในการปกครองตนเองพัฒนาเศรษฐกิจภายในชุมชน และนำไปสู่สังคมแห่งปัญญา และการเรียนรู้ 4. กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Law)
เพื่อก่อให้เกิดการรับรองสิทธิและให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจถูกประมวลผล เปิดเผยหรือเผยแพร่ถึงบุคคลจำนวนมากได้ในระยะเวลาอันรวดเร็วโดยอาศัยพัฒนาการทางเทคโนโลยี จนอาจก่อให้เกิดการนำข้อมูลนั้นไปใช้ในทางมิชอบอันเป็นการละเมิดต่อเจ้าของข้อมูล ทั้งนี้ โดยคำนึงถึงการรักษาดุลยภาพระหว่างสิทธิขั้นพื้นฐานในความเป็นส่วนตัว เสรีภาพในการติดต่อสื่อสาร และความมั่นคงของรัฐ 5.กฎหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer Crime Law)
เพื่อกำหนดมาตรการทางอาญาในการลงโทษผู้กระทำผิดต่อระบบการทำงานของคอมพิวเตอร์ ระบบข้อมูล และระบบเครือข่าย ทั้งนี้เพื่อเป็นหลักประกันสิทธิเสรีภาพ และการคุ้มครองการอยู่ร่วมกันของสังคม
6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law)
เพื่อกำหนดกลไกสำคัญทางกฎหมายในการรองรับระบบการโอนเงินทางอิเล็กทรอนิกส์ ทั้งที่เป็นการโอนเงินระหว่างสถาบันการเงิน และระบบการชำระเงินรูปแบบใหม่ในรูปของเงินอิเล็กทรอนิกส์ก่อให้เกิดความเชื่อมั่นต่อระบบการทำธุรกรรมทางการเงิน และการทำธุรกรรมทางอิเล็กทรอนิกส์มากยิ่งขึ้น
มาตรการป้องกันและปราบปรามอาชญากรรมทางคอมพิวเตอร์
มาตรการป้องกันและปราบปรามอาชญากรรรมทางคอมพิวเตอร์ ได้จัดแบ่งออกเป็น 4 ประเภท ดังต่อไปนี้
มาตรการด้านเทคโนโลยี
การต่อต้านอาชญากรรมทางคอมพิวเตอร์ในรูปแบบนี้ จะป้องกันได้โดยที่ผู้ใช้สามารถนำระบบเทคโนโลยีต่าง ๆ มาติดตั้งในการใช้งาน เช่น ระบบการตรวจจับการบุกรุก (Intrusion Detection) หรือการติดตั้งกำแพงไฟ (Firewall) เพื่อป้องกันระบบเครือข่ายคอมพิวเตอร์ของตนให้มีความปลอดภัย ซึ่งนอกเหนือจากการติดตั้งเทคโนโลยีแล้วการตรวจสอบเพื่อประเมินความเสี่ยง เช่น การจัดให้มีระบบวิเคราะห์ความเสี่ยงและการให้การรับรอง (Analysis Risk and Security Certification) รวมทั้งวินัยของผู้ปฏิบัติงาน ก็เป็นสิ่งสำคัญที่ต้องได้รับการปฏิบัติอย่างเคร่งครัดและสม่ำเสมอ มิเช่นนั้นการติดตั้งเทคโนโลยีที่มีประสิทธิภาพเพื่อใช้ในการป้องกันปัญหาด้านอาชญากรรมทางคอมพิวเตอร์ ก็จะไม่ก่อให้เกิดประโยชน์แต่อย่างใด
มาตรการด้านกฎหมาย
มาตรการด้านกฎหมายเป็นนโยบายของรัฐบาลที่ได้นำมาใช้ในการต่อต้านอาชญากรรมทางคอมพิวเตอร์ โดยการบัญญัติหรือตรากฎหมายเพื่อกำหนดว่าการกระทำใดบ้างที่มีโทษทางอาญา ในปัจจุบันประเทศไทยมีกฎหมายที่เกี่ยวข้อง ดังนี้
1. กฎหมายเทคโนโลยีสารสนเทศ เป็นกฎหมายหนึ่งในหกฉบับที่อยู่ภายใต้ความรับผิดชอบของโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ ซึ่งมีสาระสำคัญ 2 ส่วนหลัก คือ
1.1 การกำหนดฐานความรับผิดและบทลงโทษเกี่ยวกับการกระทำที่เป็นอาชญากรรมทางคอมพิวเตอร์ เช่น ความผิดเกี่ยวกับการเข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยไม่มีอำนาจ (Illegal Access) ความผิดฐานลักลอบดักข้อมูลคอมพิวเตอร์ (Illegal Interception) หรือความผิดฐานรบกวนข้อมูลคอมพิวเตอร์ และระบบคอมพิวเตอร์โดยมิชอบ (Interference Computer Data and Compute System) ความผิดฐานใช้อุปกรณ์ในทางมิชอบ (Misuse of Devices) เป็นต้น
1.2 การให้อำนาจพิเศษแก่เจ้าพนักงานในการปราบปรามการกระทำความผิด นอกเหนือเพิ่มเติมไปจากอำนาจโดยทั่วไปที่บัญญัติไว้ในกฎหมายอื่น ๆ เช่น การให้อำนาจในการสั่งให้ถอดรหัสข้อมูลคอมพิวเตอร์ อำนาจในการเรียกดูข้อมูลจราจร (Traffic Data) หรืออำนาจค้นโดยไม่ต้องมีหมายค้นในบางกรณี
2. กฎหมายอื่นที่เกี่ยวข้อง นอกเหนือจากกฎหมายอาชญากรรมทางคอมพิวเตอร์ดังที่ได้กล่าวมาแล้ว ปัจจุบันมีกฎหมายอีกหลายฉบับที่ตราขึ้นใช้บังคับแล้ว และที่อยู่ระหว่างกระบวนการตรานิติบัญญัติที่มีเนื้อหาเกี่ยวข้องกับการป้องกันหรือปราบปรามอาชญากรรมทางคอมพิวเตอร์ เช่น
2.1 พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 74 ซึ่งกำหนดฐานความผิดเกี่ยวกับการดักรับไว้ หรือใช้ประโยชน์ หรือเปิดเผยข้อความข่าวสาร หรือข้อมูลอื่นใดที่มีการสื่อสารโทรคมนาคมโดยไม่ชอบด้วยกฎหมาย
2.2 กฎหมายอื่นที่อยู่ระหว่างการดำเนินการ ได้แก่ ร่างพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายอาญา โดยเป็นการกำหนดฐานความผิดเกี่ยวกับการปลอมหรือแปลงบัตรอิเล็กทรอนิกส์ ตลอดจนกำหนดฐานความผิดเกี่ยวกับการใช้ มีไว้เพื่อใช้ นำเข้า หรือส่งออก การจำหน่ายซึ่งบัตรอิเล็กทรอนิกส์ปลอมหรือแปลง และลงโทษบุคคลที่ทำการผลิตหรือมีเครื่องมือในการผลิตบัตรดังกล่าว และบทบัญญัติเกี่ยวกับการส่งสำเนาหมายอาญาผ่านสื่ออิเล็กทรอนิกส์
มาตรการด้านความร่วมมือระหว่างหน่วยงาน
เป็นมาตรการสำคัญอีกประการหนึ่งที่จะช่วยให้การป้องกันปราบปรามอาชญากรรมทางคอมพิวเตอร์สัมฤทธิ์ในทางปฏิบัติได้นั้นคือ มาตรการด้านความร่วมมือกันระหว่างหน่วยงานต่าง ๆ ที่เกี่ยวข้อง ทั้งภาครัฐและเอกชน ซึ่งมิได้จำกัดเพียงเฉพาะหน่วยงานที่มีหน้าที่ตามกฎหมายเท่านั้น แต่ยังรวมไปถึงหน่วยงานอื่น ๆ ที่อาจเกี่ยวข้อง ไม่ว่าจะเป็นในด้านของผู้พัฒนาระบบ หรือผู้กำหนดนโยบายก็ตาม นอกเหนือจากความร่วมมือระหว่างหน่วยงานต่าง ๆ แล้วสิ่งสำคัญอีกประการหนึ่งคือ ความจำเป็นที่จะต้องมีหน่วยงานด้านความปลอดภัยของเครือข่ายเพื่อรับมือกับปัญหาฉุกเฉินด้านความปลอดภัยทางคอมพิวเตอร์ขึ้นโดยเฉพาะ และเป็นศูนย์กลางคอยให้ความช่วยเหลือในด้านต่าง ๆ รวมทั้งให้คำปรึกษาถึงวิธีการ หรือแนวทางแก้ไข ซึ่งปัจจุบันศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติหรือเนคเทค ได้จัดตั้งศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (Thai Computer Emergency Response Team ThaiCERT) เพื่อเป็นหน่วยงานให้ความช่วยเหลือและให้ข้อมูลทางวิชาการเกี่ยวกับการตรวจสอบและการักษาความปลอดภัยคอมพิวเตอร์แก่ผู้ที่สนใจทั้งภาครัฐและเอกชน รวมทั้งเป็นหน่วยงานรับแจ้งเหตุการณ์ที่มีการละเมิดความปลอดภัยคอมพิวเตอร์เกิดขึ้น
มาตรการทางสังคม
ในปัจจุบันสังคมไทยกำลังเผชิญกับปัญหาการใช้อินเทอร์เน็ตไปในทางไม่ชอบหรือฝ่าฝืนต่อบทบัญญัติของกฎหมาย ทั้งดารการเผยแพร่เนื้อหาอันไมเหมาะสม ไม่ว่าจะเป็นสื่อลามกอนาจาร ข้อความหมิ่นประมาท การชักจูงล่อลวง หลอกลวงเด็กและเยาวชนไปในทางที่เสียหาย หรือพฤติกรรมอื่นอันเป็นภัยต่อสังคม โดยคาดการณ์ว่าการกระทำ หรือพฤติกรรมดังกล่าวจะมีปริมาณที่เพิ่มสูงขึ้นตามสัดส่วนการใช้งานของผู้ใช้อินเทอร์เน็ต อันส่งผลกระทบต่อเด็กและเยาวชนของชาติ ดังนั้น หน่วยงานทั้งภาครัฐและเอกชนจึงได้เร่งรณรงค์ในการป้องกันปัญหาดังกล่าวร่วมกันเพื่อดูแลและปกป้องเด็กและเยาวชนจากผลกระทบดังกล่าว ซึ่งสามารถสรุปได้ ดังต่อไปนี้
1. มาตรการเร่งด่วนของคณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ
คณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ (กทสช.) ได้มีมติเห็นชอบต่อมาตรการเร่งด่วนเกี่ยวกับการป้องกันและปราบปรามการเผยแพร่เนื้อหาที่ไม่เหมาะสมทางอินเทอร์เน็ต เมื่อวันที่ 20 กรกฎาคม 2544 ตามข้อเสนอของคณะอนุกรรมการด้านนโยบายอินเทอร์เน็ตสำหรับประเทศไทย ซึ่งมีศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) หน่วยงานภายใต้การดูแลของกระทรวงวิทยาศาสตร์และเทคโนโลยี ซึ่งทำหน้าที่เป็นเลขานุการคณะอนุกรรมการกำหนดให้หน่วยงานภาครัฐและเอกชนที่เกี่ยวข้องประสานความร่วมมือตามลำดับ คือการบันทึกข้อมูลเกี่ยวกับผู้ใช้อินเทอร์เน็ตเพื่อประโยชน์ในการสืบสวน สอบสวน และรวบรวมพนายหลักฐาน การสกัดกั้นการเผยแพร่เนื้อหาอันไม่เหมาะสม รวมทั้งการรับแจ้งเหตุเมื่อมีกรณีดังกล่าวเกิดขึ้น เช่น
1.1 การสื่อสารแห่งประเทศไทย และบริษัท ทศท.คอร์ปอเรชั่น จำกัด (มหาชน) ได้กำหนดให้ผู้ให้บริการอินเทอร์เน็ต (ISP) และผู้ให้บริการโทรศัพท์ทุกราย ให้ความร่วมมือในการตั้งนาฬิกาของอุปกรณ์สื่อสาร และอุปกรณ์ให้บริการให้ตรงกัน เพื่อบันทึกข้อมูลการบันทึกการเข้าออกจากระบบ รวมทั้งการบันทึกและเก็บข้อมูลการใช้อินเทอร์เน็ตของผู้ใช้บริการ (Log File for User Access) พร้อมหมายเลขโทรศัพท์ต้นทาง (Caller ID) เป็นระยะเวลาอย่างน้อย 3 เดือน
1.2 ผู้ให้บริการอินเทอร์เน็ต (ISP) กำหนดให้ผู้ให้บริการอินเทอร์เน็ตทุกรายระงับการเผยแพร่เนื้อหาอันมีข้อความหรือภาพที่ไม่เหมาะสม และสกัดกั้นมิให้ผู้ใช้เข้าถึงแหล่งข้อมูลที่มีเนื้อหาไม่เหมาะสม
1.3 สำนักงานคณะกรรมการตำรวจแห่งชาติ ให้สำนักงานคณะกรรมการตำรวจแห่งชาติประสานงานกับหน่วยงานที่เกี่ยวข้อง ทั้งฝ่ายเทคนิคและฝ่ายกฎหมายในการจัดตั้งศูนย์รับแจ้งเหตุบนอินเทอร์เน็ต (Hot Line) เมื่อพบเห็นการเผยแพร่เนื้อหาที่ไม่เหมาะสมทางอินเทอร์เน็ตรวมทั้งสอดส่องดูแลการให้บริการของร้านบริการอินเทอร์เน็ตคาเฟ่มิให้เป็นในทางที่ไม่ชอบ
2. มาตรการระยะยาวของคณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ
สืบเนื่องจากปัญหาด้านความปลอดภัยของระบบคอมพิวเตอร์เครือข่าย และการเผยแพร่สื่อลามกอนาจารทางอินเทอร์เน็ต เป็นปัญหาซึ่งมาตรการทางกฎหมายในปัจจุบันยังไม่เพียงพอ คณะรัฐมนตรีจึงได้มอบหมายให้ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ทำหน้าที่เลขานุการในการยกร่างกฎหมายที่เกี่ยวข้องเพื่อกำหนดฐานความผิด ป้องกันและปราบปรามการกระทำผิดกล่าวคือ ร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ เพื่อบรรเทาปัญหาสังคมและเยียวยาความเสียหายที่เกิดขึ้นในระยะยาว
3. การดำเนินการของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.)
3.1 การจัดทำฐานข้อมูลรวบรวมเว็บไซต์ หรือพฤติกรรมการใช้อินเทอร์เน็ตในทางไม่เหมาะสม เพื่อประโยชน์ในการศึกษา ติดตาม และเฝ้าระวังพฤติกรรมในการใช้อินเทอร์เน็ต หรือการเผยแพร่เนื้อหารทางอินเทอร์เน็ตในทางไม่เหมาะสม
3.2 รายงานผลการสำรวจกลุ่มผู้ใช้อินเทอร์เน็ตในประเทศไทยประจำปี นับเนื่องมาตั้งแต่ปี 2543 โดยเป็นการสำรวจการใช้แบบทั่งไปรวมถึงการเผยแพร่เนื้อหาอันไม่เหมาะสม
3.3 การรณรงค์การท่องอินเทอร์เน็ตอย่างปลอดภัยและได้ประโยชน์ ด้วยการให้ความรู้แก่ผู้ใช้อินเทอร์เน็ตอย่างถูกต้อง การปลูกฝังคุณธรรม จรรยาบรรณ หรือจริยธรรม นับเป็นมาตรการที่ดีที่สุดในการปกป้องเด็ก เยาวชน และสังคม จากการใช้อินเทอร์เน็ตโดยไม่เหมาะสม หรือฝ่าฝืนต่อบรรทัดฐานและครรลองที่ดีงามของสังคม หรือฝ่าฝืนต่อบทบัญญัติของกฎหมาย เช่น การจัดทำหนังสือท่องอินเทอร์เน็ตอย่างปลอดภัยและได้ประโยชน์ เป็นต้น
3.4 โครงการ Training for The Trainers สืบเนื่องจากการเตรียมความพร้อมในการรับมือกับปัญหาการก่ออาชญากรรมทางคอมพิวเตอร์ หรือการเผยแพร่เนื้อหาอันไม่เหมาะสม ซึ่งคุกคามความสงบสุขของสังคมไทย ทำให้มีความจำเป็นต้องเตรียมความพร้อมของบุคลากรโดยเฉพาะอย่างยิ่งในสาขานิติศาสตร์ ให้เตรียมรับมือกับปัญหาดังกล่าว และเพื่อความสัมฤทธิ์ผลในการใช้บังคับกฎหมาย การทำความเข้าใจศาสตร์ด้านวิทยาการทางคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศ ประกอบกับกฎหมายที่ตราขึ้นรองรับปัญหาดังกล่าว จึงจำเป็นต้องอาศัยทั้งความรู้ ความเข้าใจ ทางเทคนิค และกฎหมายเฉพาะด้าน ดังนั้น โครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ สำนักงานเลขานุการคณะกรรมการเทคโนโลยีแห่งชาติ จึงได้พัฒนาโครงการ Training for The Trainers ขึ้น โดยจัดอบรมความรู้ทั้งด้านเทคนิค นโยบาย และกฎหมายให้แก่กลุ่มบุคลากรขององค์กรต่าง ๆ เช่น สำนักงานศาลยุติธรรม สำนักงานอัยการสูงสุด สภาทนายความ และหน่วยงานของรัฐที่เกี่ยวข้อง
3.5 การรณรงค์และสำรวจเกี่ยวกับการเผยแพร่สื่อลามกอนาจารโดยหน่วยงานอื่น เพื่อให้มีการใช้ประโยชน์จากอินเทอร์เน็ตอย่างถูกต้อง รวมทั้งการสำรวจการเผยแพร่สื่ออันไม่เหมาะสม ที่มีผลกระทบต่อเด็ก เยาวชน และสังคม
ภัยร้ายบนอินเทอร์เน็ต
ภัยร้ายบนอินเทอร์เน็ตที่จัดอยู่ในรูปแบบของการล่อลวง โดยใช้โปรแกรมคอมพิวเตอร์ประกอบด้วย (http://ictlaw.thaigov.net/ictlaws.html)
โปรแกรมรหัสลับ (Encryption Software)
โปรแกรมนี้จะล็อกแฟ้มข้อมูลหรือข้อความไว้ เพื่อให้เปิดได้เฉพาะในหมู่ผู้ใช้ที่มีโปรแกรมคอมพิวเตอร์ชนิดเดียวกัน หรือมี “รหัสผ่าน” หรือ “Password” ที่ใช้เปิดแฟ้มนี้ อาจเป็นชุดตัวเลขที่ตั้งขึ้นมาแบบสุ่ม โปรแกรมชนิดนี้โดยทั่วไปนิยมใช้กันในเครื่องมืออุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ เช่น ที่เปิดประตูอัตโนมัติ เครื่องกดเงินด่วน (ATM) เป็นต้น
หลายประเทศต้องการควบคุมเนื้อหา หรือข้อมูลที่เก็บไว้ในโปรแกรมเหล่านี้ จึงมีความพยายามที่จะควบคุม เช่น มีข้อกำหนดให้ผู้สร้าง หรือผู้ใช้ซอฟต์แวร์แปลงรหัสต้องยื่นเรื่องกับรัฐบาลหรือเจ้าหน้าที่ เพื่อให้ผู้รักษากฎหมายสามารถเข้าไปอ่านแฟ้มเหล่านี้ได้ มีผู้ที่เห็นด้วยกับแนวทางนี้ เห็นด้วยที่รัฐบาลควรเข้ามามีบทบาทควบคุมการใช้อินเทอร์เน็ต แต่มีผู้คัดค้านจำนวนมากที่กลัวว่าจะมีการใช้ระบบนี้ไปในทางที่ผิด โดยชี้ให้เห็นว่า อาจเกิดผิดพลาดทางเทคนิคและทำให้ผู้ไม่ประสงค์ดีใช้ประโยชน์ในทางที่ผิดจากระบบนี้ เมื่อไม่นานมานี้รัฐบาลจีนได้กำหนด ให้มีการลงทะเบียน “รหัสผ่าน” ของโปรแกรมแปลงรหัสกับรัฐบาลเรียบร้อยแล้ว
หลายประเทศต้องการควบคุมเนื้อหา หรือข้อมูลที่เก็บไว้ในโปรแกรมเหล่านี้ จึงมีความพยายามที่จะควบคุม เช่น มีข้อกำหนดให้ผู้สร้าง หรือผู้ใช้ซอฟต์แวร์แปลงรหัสต้องยื่นเรื่องกับรัฐบาลหรือเจ้าหน้าที่ เพื่อให้ผู้รักษากฎหมายสามารถเข้าไปอ่านแฟ้มเหล่านี้ได้ มีผู้ที่เห็นด้วยกับแนวทางนี้ เห็นด้วยที่รัฐบาลควรเข้ามามีบทบาทควบคุมการใช้อินเทอร์เน็ต แต่มีผู้คัดค้านจำนวนมากที่กลัวว่าจะมีการใช้ระบบนี้ไปในทางที่ผิด โดยชี้ให้เห็นว่า อาจเกิดผิดพลาดทางเทคนิคและทำให้ผู้ไม่ประสงค์ดีใช้ประโยชน์ในทางที่ผิดจากระบบนี้ เมื่อไม่นานมานี้รัฐบาลจีนได้กำหนด ให้มีการลงทะเบียน “รหัสผ่าน” ของโปรแกรมแปลงรหัสกับรัฐบาลเรียบร้อยแล้ว
โปรแกรมแปลงภาพและแต่งภาพ
เทคโนโลยีด้านคอมพิวเตอร์สมัยใหม่ก่อให้เกิดสื่อด้านลามกขึ้นมากมายเพราะมีโปรแกรมคอมพิวเตอร์สำหรับใช้การตกแต่งภาพและแปลงภาพในรูปแบบต่าง ๆ เช่น โปรแกรม Photoshops, Illustrator หรือ Photo Editor ซึ่งโปรแกรมคอมพิวเตอร์เหล่านี้ เมื่อนำไปใช้ในทางที่ถูกต้องก็จะทำให้เกิดภาพที่สวยงาม หรือเป็นการสร้างภาพงานศิลปะ เช่น การปรับแต่งรูปภาพนางแบบสำหรับนิตยสารเพื่อช่วยให้ได้ภาพที่สวยงาม ในส่วนใดที่มีข้อบกพร่องก็สามารถใช้โปรแกรมคอมพิวเตอร์ช่วยในการแต่งเติมรูปภาพได้ แต่ในระบบเครือข่ายอินเทอร์เน็ตเป็นระบบที่เปิดกว้างในการใช้งานกับบุคคลทุกคน ซึ่งจะมีทุกกลุ่มบุคคลและทุกประเภทที่สามารถเข้ามาใช้งานโดยมีบางคนที่ขาดคุณธรรม จริยธรรมในการใช้งานอินเทอร์เน็ต ซึ่งได้นำภาพที่ไม่เหมาะสมของกลุ่มคนที่มีชื่อเสียง เช่น ดารา นักร้อง หรือนำภาพของบุคคลเหล่านั้นไปใช้โปรแกรมคอมพิวเตอร์ในการตกแต่งภาพ ซึ่งเป็นภาพที่บิดเบือนจากความเป็นจริง โดยส่วนมากจะเป็นภาพที่สื่อให้เกิดภาพอนาจาร แล้วนำไปเผยแพร่บนเครือข่ายอินเทอร์เน็ต ก่อให้เกิดความเสื่อมเสียแก่บุคคลนั้น นับว่าเป็นการละเมิดสิทธิส่วนบุคคล ในอดีตจะไม่มีการคุ้มครอง ซึ่งบุคคลที่กระทำการแปลงภาพเหล่านี้จะไม่ถูกดำเนินคดีทางกฎหมาย แต่ในปัจจุบันได้มีการออกกฎหมายด้านเทคโนโลยีสารสนเทศขึ้นมาเพื่อดำเนินคดีสำหรับผู้กระทำการปลอมแปลงภาพ โดยจะถือว่าผู้ใดที่ทำการปลอมแปลงภาพซึ่งบิดเบือนจากความเป็นจริง ถือว่ากระทำการที่ผิดกฎหมาย
อาชญากรรมทางคอมพิวเตอร์
เทคโนโลยีสมัยใหม่ที่ก่อให้เกิดความสะดวกในการใช้งาน และเป็นการเปิดโลกกว้างในการสื่อสารของโลกยุคปัจจุบันจนเป็นที่ยอมรับกันอย่างแพร่หลาย แต่อย่างไรก็ตาม เทคโนโลยีเหล่านี้จะมีทั้งจุดเด่น และจุดด้อย ซึ่งอาจจะก่อให้เกิดปัญหาตามมาอีกมากมายบนโลกของการสื่อสาร หรือแม้แต่ก่อให้เกิดอาชญากรรมคอมพิวเตอร์ ซึ่งเป็นปัญหาหลักที่นับว่ายิ่งมีความรุนแรงและหลากหลายรูปแบบเพิ่มมากขึ้น ระบบเครือข่ายอินเทอร์เน็ตจะเป็นแหล่งสำคัญที่จะถูกโจมตีได้ง่าย และมีปัญหามากที่สุด คือไวรัสคอมพิวเตอร์ ซึ่งส่วนมากจะถูกเผยแพร่มาจากระบบเครือข่ายอินเทอร์เน็ตที่เราใช้กันอยู่ในปัจจุบัน เช่น การแนบไฟล์ไวรัสมากับจดหมายอิเล็กทรอนิกส์ เป็นต้น นับเป็นปัญหาใหญ่สำหรับหน่วยงานทุกหน่วยงาน ที่นำระบบเครือข่ายอินเทอร์เน็ตมาใช้งาน ดังนั้น ทุกหน่วยงานจึงต้องตระหนักในปัญหานี้ และต้องหาทางป้องกันภัยที่จะเกิดขึ้นในรูปแบบต่าง ๆ จึงควรจะมีผู้ที่เชี่ยวชาญด้านรักษาความปลอดภัย พร้อมกันนี้จะต้องมีซอฟต์แวร์ และฮาร์ดแวร์ที่มีประสิทธิภาพในการป้องกันการถูกโจมตีจากกลุ่มผู้ไม่หวังดีทั้งหลายนั้น เพื่อความปลอดภัยของข้อมูลและเครือข่ายคอมพิวเตอร์ของหน่วยงาน โดยจะต้องมีการปรับปรุงระบบรักษาความปลอดภัยให้ทันสมัยอย่างสม่ำเสมอ ซึ่งระบบการโจมตีที่พบบ่อย ๆ ได้แก่
1. Hacker คือ ผู้ที่มีความสนใจด้านคอมพิวเตอร์ที่ลึกลงไปในส่วนของระบบปฏิบัติการคอมพิวเตอร์ โดยส่วนมาก hacker จะเป็นโปรแกรมเมอร์ ดังนั้น Hacker จึงได้รับความรู้ขั้นสูงเกี่ยวกับระบบปฏิบัติการคอมพิวเตอร์ และภาษาคอมพิวเตอร์ (Programming Language) พวกเขาจะค้นหาจุดอ่อนของระบบ โดยจะเป็นประเภทกลุ่มบุคคลที่ชอบค้นคว้า อยากรู้อยากเป็น อยากทดลอง โดย Hacker จะไม่มีเจตนาร้ายในการทำลายข้อมูล
2. Cracker คือ บุคคลที่บุกรุกเข้าไปในระบบคอมพิวเตอร์ของบุคคลอื่นเพื่อทำลายข้อมูลที่สำคัญ ทำให้เกิดปัญหาในระบบคอมพิวเตอร์ของกลุ่มเป้าหมาย
3. Phoneker คือ กลุ่มบุคคลที่จัดอยู่ในพวก Cracker โดยมีลักษณะของการกระทำไปทางด้านโทรศัพท์ และการติดต่อสื่อสารผ่านตัวกลางต่าง ๆ เพียงอย่างเดียว โดยมีวัตถุประสงค์เพื่อต้องการใช้โทรศัพท์ฟรี หรือแอบดักฟังโทรศัพท์เท่านั้น
4. Buffer Overflow เป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่ทำอันตรายให้กับระบบได้มากที่สุด โดยอาชญากรจะอาศัยจุดอ่อนของระบบปฏิบัติการคอมพิวเตอร์ และขีดจำกัดของทรัพยากรระบบมาใช้ในการจู่โจม เมื่อมีการส่งคำสั่งให้เครื่องแม่ข่าย เป็นปริมาณมาก ๆ ในเวลาเดียวกัน ซึ่งจะส่งผลให้เครื่องไม่สามารถปฏิบัติงานได้ตามปกติ หน่วยความจำไม่เพียงพอ จนกระทั้งเกิดการแฮงค์ของระบบ
5. Backdoors หรือ ประตูด้านหลัง โดยปกตินักพัฒนาระบบมักจะสร้าง Backdoors เพื่อช่วยอำนวยความสะดวกในการทำงาน ซึ่งถือว่าเป็นจุดที่ถูกโจมตีได้ ถ้าอาชญากรรู้ก็สามารถใช้ประโยชน์จาก Backdoors เปิดเข้าไปโจมตีระบบได้
6. CGI Seript ภาษาคอมพิวเตอร์ที่นิยมมากในการพัฒนาเว็บไซต์ ก็มักเป็นช่องโหว่ที่รุนแรงอีกทางหนึ่งได้เช่นกัน
7. Hidden HTML การสร้างฟอร์มด้วยภาษา HTML และสร้างฟิลด์เก็บรหัสแบบ hidden จะเป็นช่องทางที่อำนวยความสะดวกให้กับอาชญากรได้เป็นอย่างดี โดยการเปิดดูรหัสคำสั่ง (Source Code) ก็สามารถตรวจสอบและทำการใช้งานได้ทันที
8. Failing to Update การประกาศจุดอ่อนของซอฟต์แวร์ เพื่อให้ผู้ใช้นำไปปรับปรุงเป็นทางหนึ่งที่อาชญากรนำไปจู่โจมระบบที่ใช้ซอฟต์แวร์นั้นได้เช่นกัน
9. Illegal Browsing ธุรกรรมทางอินเทอร์เน็ตต้องส่งค่าต่าง ๆ ผ่านทางเว็บเบราว์เซอร์แม้กระทั่งรหัสผ่านต่าง ๆ ซึ่งเว็บเบราว์เซอร์บางรุ่นจะไม่มีความสามารถในการเข้ารหัส หรือป้องกันการเรียกดูข้อมูล นี่ก็คือจุดอ่อนของธุรกรรมอิเล็กทรอนิกส์เช่นเดียวกัน
10. Malicious Scrips การเขียนโปรแกรมไว้ในเว็บไซต์ แล้วผู้ใช้เรียกเว็บไซต์ดูบนเครื่องของตน อาชญากรจะเขียนโปรแกรมแฝงในเอกสารเว็บ เมื่อถูกเรียกโปรแกรมนั้นจะถูกดึงไปประมวลผลในเครื่องฝั่งไคลเอนท์ และทำงานตามที่กำหนดไว้อย่างง่ายดาย โดยเราเองไม่รู้ว่าได้เป็นผู้สั่งให้เครื่องทำการประมวลผลโปรแกรมนั้นด้วยตนเอง
11. Poison Cookies หรือขนมหวานอิเล็กทรอนิกส์ ที่เก็บข้อมูลต่าง ๆ ตามแต่จะกำหนดจะถูกเรียกทำงานทันทีเมื่อมีการเรียกดูเว็บไซต์ที่บรรจุคุกกี่ชิ้นนี้ และจะทำการเขียนโปรแกรมแฝงอีกชิ้นให้ส่งคุกกี้ที่บันทึกข้อมูลต่าง ๆ ของผู้ใช้ส่งกลับไปยังอาชญากร
12. ไวรัสคอมพิวเตอร์ คือ โปรแกรมที่มีความสามารถในการแก้ไขดัดแปลงโปรแกรมอื่นเพื่อที่จะทำให้โปรแกรมนั้น สามารถเป็นที่อยู่ของมันได้ และสามารถให้มันทำงานได้ต่อไปเรื่อย ๆ เมื่อเรียกใช้โปรแกรมที่ติดเชื้อไวรัสนั้น
ในปี ค.ศ. 1983 นาย Fred Cohen นักศึกษาปริญญาเอกด้านวิศวกรรมไฟฟ้า ที่มหาวิทยาลัยเซาเทอร์นแคลิฟอร์เนีย ได้คิดค้นโปรแกรมคอมพิวเตอร์ซึ่งสามารถทำลายล้างโปรแกรมคอมพิวเตอร์ด้ายกัน เปรียบเสมือนเชื้อไวรัสที่แพร่กระจายเข้าสู่ตัวคน และเรียกโปรแกรมดังกล่าวว่า “Computer Virus” และชื่อนี้ก็ได้ใช้เรียกโปรแกรมชนิดนี้นับแต่นั้นมา
13. บุคลากรในหน่วยงาน ที่ลาออกหรือถูกให้ออกจากงานไปแล้ว แต่เป็นบุคคลที่มีรหัสผ่านในการเข้าถึงข้อมูลของหน่วยงาน ก็จะเป็นปัญหาของอาชญากรรมได้เช่นกัน
จากรายงานผลสำรวจอาชญากรรมทางคอมพิวเตอร์และความปลอดภัยของสถาบันด้านความปลอดภัยและสำนักสืบสวนสอบสวนกลาง (CSI/FBI) ของสหรัฐอเมริกา ซึ่งรวบรวมจากการสอบถามองค์กรทั้งภาครัฐ สถาบันการเงิน สถาบันยา องค์กรธุรกิจ และมหาวิทยาลัย รวมทั้งสิ้น 495 แห่ง
อาชญากรรมทางคอมพิวเตอร์ที่สร้างความสูญเสียทางเศรษฐกิจ 10 อันดับ ได้แก่
1. การทำให้ระบบไม่สามารถให้บริการได้
2. การขโมยข้อมูลทางอินเทอร์เน็ต โดยเฉพาะข้อมูลที่เป็นความลับต่าง ๆ เช่น ข้อมูลบัตรเครดิต เป็นต้น
3. การโจมตีระบบจากคนภายในองค์กร
4. การโจมตีระบบเครือข่ายไร้สาย
5. การฉ้อโกงเงิน โดยใช้คอมพิวเตอร์แอบโอนเงินจากบัญชีผู้อื่นเข้าบัญชีตนเอง
6. การถูกขโมยคอมพิวเตอร์ Notebook
7. การเข้าถึงระบบโดยไม่ได้รับอนุญาต
8. การฉ้อโกงด้านโทรคมนาคม
9. การใช้เว็บแอพพลิเคชั่นด้านสาธารณะในทางที่ผิด โดยใช้คอมพิวเตอร์แพร่ภาพ เสียง ลามก อนาจาร และข้อมูลไม่เหมาะสม
10.การเปลี่ยนโฉมเว็บไซต์ โดยไม่ได้รับอนุญาต
จากหลากหลายรูปแบบของการโจมตีระบบคอมพิวเตอร์ ทำให้หน่วยงานต่าง ๆ ให้ความสำคัญกับระบบรักษาความปลอดภัยของระบบข้อมูล และระบบเครือข่ายคอมพิวเตอร์ โดยจะลงทุนด้านเทคโนโลยี ด้านการใช้ซอรฟต์แวร์ป้องกันไวรัส การสร้างไฟร์วอล หรือกำแพงไฟ การจัดทำรายชื่อผู้เข้ามาใช้เครือข่าย รวมถึงการเข้ารหัสข้อมูล เป็นต้น
บัญญัติ 10 ประการ ด้านความปลอดภัยของอินเทอร์เน็ต
1. ตั้งรหัสผ่านที่ยากแก่การเดา
2. เปลี่ยนรหัสผ่านสม่ำเสมอ เช่น ทุก 3 เดือน
3. ปรับปรุงโปรแกรมป้องกันไวรัสตลอดเวลา
4. ให้ความรู้แก่บุคลากรในเรื่องความปลอดภัยในการรับไฟล์ หรือการดาวน์โหลดไฟล์จากอินเทอร์เน็ต เช่น อีเมล เว็บไซต์
5. ติดตั้งระบบรักษาความปลอดภัยสำหรับเครือข่ายอ่างสมบรูณ์
6. ประเมินสถานการณ์ของความปลอดภัยในเครือข่ายอย่างสม่ำเสมอ
7. ลบรหัสผ่าน และบัญชีการใช้ของพนักงานที่ออกจากหน่วยงานทันที
8. วางระบบรักษาความปลอดภัยสำหรับการเข้าถึงระบบของพนักงานจากภายนอกหน่วยงาน
9. ปรับปรุงซอฟต์แวร์อย่างสม่ำเสมอ
10. ไม่ใช้การบริการบางตัวบนเครือข่ายอินเทอร์เน็ตอย่างไม่จำเป็น เช่น การดาวน์โหลดโปรแกรมเกม เพราะไวรัสคอมพิวเตอร์มักจะถูกแฝงมากับโปรแกรมเกมต่าง ๆ ได้
วิธีการประกอบอาชญากรรมทางคอมพิวเตอร์
1. Data Diddling คือ การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต หรือระหว่างที่กำลังบันทึกข้อมูลลงในระบบคอมพิวเตอร์ การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลที่สามารถเข้าถึงตัวข้อมูลได้ เช่น พนักงานที่มีหน้าที่บันทึกเวลาการทำงานของพนักงานทั้งหมดทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาลงเป็นชั่วโมงการทำงานของตนเอง เป็นต้น
2. Trojan Horse คือ การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์เมื่อถึงเวลาโปรแกรมที่ไม่ดีจะปรากฏตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์ หรือการทำลายข้อมูล หรือระบบคอมพิวเตอร์
3. Salami Techniques คือ วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงินที่สามารถจ่ายได้ แล้วนำเศษทศนิยมหรือเศษที่ปัดทิ้งมาใส่ในบัญชีของตนเอง หรือของผู้อื่น ซึ่งจะทำให้ผลรวมบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงินออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ววิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
4. Superzapping มาจากคำว่า “Superzap” เป็นโปรแกรม “Marcro Utility” ที่ใช้กับศูนย์คอมพิวเตอร์ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน เสมือนเป็นกุญแจผีที่จะนำมาใช้เมื่อกุญแจดอกอื่นหายหรือมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) อย่างเช่นโปรแกรม Superzap จะมีความเสี่ยงมากหากตกไปอยู่ในมือของผู้ที่ไม่หวังดี
5. Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์เพื่อลวงผู้ที่มาใช้คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูลที่ต้องการไว้ในไฟล์ลับ
6. Logic Bombs เป็นการเขียนโปรแกรมคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะ หรือสภาพการณ์ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือนแล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
7. Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงาน Asynchronous คือ สามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างานที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดูระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่างที่เครื่องกำลังทำงานเข้าไปแก้ไขเปลี่ยนแปลง หรือกระทำการอื่นใดโดยที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
8. Scavenging คือ วิธีการที่จะได้ข้อมูลที่ทิ้งไว้ในระบบคอมพิวเตอร์ หรือบริเวณใกล้เคียงหลังจากเสร็จการใช้งานแล้ว วิธีที่ง่ายที่สุด คือค้นหาตามถึงขยะที่อาจมีข้อมูลสำคัญไม่ว่าจะเป็นเบอร์โทรศัพท์ หรือรหัสผ่านหลงเหลืออยู่ หรืออาจใช้เทคโนโลยีที่ซับซ้อนทำการหาข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ เมื่อผู้ใช้เลิกใช้งานแล้ว
9. Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ก็ตาม เช่น การแผ่รังสีของคลื่นแม่เหล็กไฟฟ้า ในขณะที่กำลังทำงานคนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์เพื่อรับข้อมูลตามที่ตนเองต้องการ
10.Piggybacking วิธีการดังกล่าวสามารถทำได้ทั้งทางภายภาพ (Physical) การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจ หรือ ได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลคนนั้นได้เข้าไปแล้ว ค้นร้ายก็ฉวยโอกาสตอนที่ประตูยังไม่ปิดสนิทแอบเข้าไปได้ ในทางอิเล็กทรอนิกส์ก็เช่นเดียวกัน อาจเกิดขึ้นในกรณีที่ใช้สายสื่อสารเดียวกันกับผู้ที่มีอำนาจใช้ หรือได้รับอนุญาต เช่น ใช้สายเคเบิล หรือโมเด็มเดียวกัน
11.Impersonation คือ การที่คนร้ายแกล้งปลอมเป็นบุคคลอื่นที่มีอำนาจ หรือได้รับอนุญาต เช่น เมื่อคนร้ายขโมยบัตรเอทีเอ็มของเหยื่อได้ก็จะโทรศัพท์และแกล้งทำเป็นเจ้าพนักงานของธนาคาร และแจ้งให้เหยื่อทราบว่ากำลังหาวิธีป้องกันมิให้เงินในบัญชีของเหยื่อสูญหายจึงบอกให้เหยื่อเปลี่ยนรหัสประจำตัว (Personal Identification Number : PIN ) โดยเหยื่อบอกรหัสเดิมก่อน คนร้ายจึงทราบหมายเลขรหัส และได้เงินของเหยื่อไป
12. Wiretapping เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาที่จะได้รับประโยชน์จากการเข้าถึงข้อมูลผ่านเครือข่ายการสื่อสาร หรือที่เรียกว่าโครงสร้างพื้นฐานสารสนเทศ โดยการกระทำความผิดดังกล่าวกำลังเป็นที่หวาดวิตกกับผู้ที่เกี่ยวข้องอย่างมาก
13.Simulation and Modeling ในปัจจุบันคอมพิวเตอร์ถูกใช้เป็นเครื่องมือในการวางแผนการควบคุมและติดตามความเคลื่อนไหวในการประกอบอาชญากรรม และกระบวนการดังกล่าวก็สามารถใช้โดยอาชญากร ในการรสร้างแบบจำลองในการวางแผนเพื่อประกอบอาชญากรรมได้เช่นกัน เช่น ในกิจการประกันภัยมีการสร้างแบบจำลองในการปฏิบัติการ หรือช่วยในการตัดสินใจในการทำกรมธรรม์ประกันภัย โปรแกรมสามารถทำกรมธรรม์ประกันภัยปลอมขึ้นมาเป็นจำนวนมาก ส่งผลให้บริษัทประกันภัยล้มละลาย เมื่อถูกเรียกร้องให้ต้องจ่ายเงินให้กับกรมธรรม์ที่ขาดต่ออายุ หรือกรมธรรม์ที่มีการจ่ายเงินเพียงการบันทึก (จำลอง) แต่ไม่ได้รับเบี้ยประกันจริง หรือต้องจ่ายเงินให้กับกรมธรรม์ที่เชื่อว่ายังไม่ขาดอายุความ
ประเภทของอาชญากรรมทางคอมพิวเตอร์
สามารถแบ่งประเภทของอาชญากรรมทางคอมพิวเตอร์ได้ 5 ประเภท คือ
1. พวกมือใหม่หรือมือสมัครเล่น อยากทดลองความรู้ และส่วนใหญ่จะมิใช่ผู้ที่เป็นอาชญากรโดยนิสัย มิได้ดำรงชีพโดยการกระทำผิด
2. นักเจาะข้อมูล (Hacker) ผู้ที่ชอบเจาะเข้าระบบคอมพิวเตอร์ของผู้อื่น พยายามหาความท้าทายทางเทคโนโลยีเข้าไปในเครือข่ายของผู้อื่นโดยที่ตนเองไม่มีสิทธิ์
3. อาชญากรในรูปแบบเดิมที่ใช้เทคโนโลยีเป็นเครื่องมือ เช่น พวกลักเล็กขโมยน้อยที่พยายามขโมยบัตร ATM ของผู้อื่น
4. อาชญากรมืออาชีพ คนพวกนี้จะดำรงชีพจากการกระทำความผิด เช่น พวกที่มักจะใช้ความรู้ทางเทคโนโลยีฉ้อโกงสถาบันการเงิน หรือการจารกรรมข้อมูลไปขาย เป็นต้น
5. พวกหัวรุนแรงคลั่งอุดมการณ์หรือลัทธิ มักก่ออาชญากรรมทางคอมพิวเตอร์เพื่ออุดมการณ์ทางการเมือง เศรษฐกิจ ศาสนา หรือสิทธิมนุษยชน เป็นต้น
ความเสียหายที่เกิดขึ้นจากอาชญากรรมทางคอมพิวเตอร์นั้นคงจะมิใช่มีผลกระทบเพียงแต่ความมั่งคงของบุคคลใดบุคคลหนึ่งเพียงเท่านั้น แต่ยังมีผลกระทบไปถึงเรื่องความมั่นคงของประเทฟศชาติเป็นการส่วนรวม ทั้งความมั่นคงภายในประเทศและภายนอกประเทศ โดยเฉพาะในส่วนที่เกี่ยวกับข่าวกรอง หรือการจารกรรมข้อมูลต่าง ๆ ที่เกี่ยวกับความมั่นคงของประเทศ ซึ่งในปัจจุบันได้มีการเปลี่ยนแปลงรูปแบบไปจากเดิม เช่น
1. ในปัจจุบันความมั่นคงของรัฐนั้นมิใช่จะอยู่ในวงทหารเพียงเท่านั้น บุคคลธรรมดาก็สามารถป้องกัน หรือทำลายความมั่งคงประประเทศได้
2. ในปัจจุบันการป้องกันประเทศอาจไม่ได้อยู่ที่พรมแดนอีกต่อไปแล้ว แต่อยู่ที่ทำอย่างไรจึงจะไม่ให้มีการคุกคาม หรือทำลายโครงสร้างพื้นฐานสารสนเทศ
3. การทำจารกรรมในสมัยนี้มักจะใช้วิธีการทางเทคโนโลยีที่ซับซ้อนเกี่ยวกับเทคโนโลยีอิเล็กทรอนิกส์ และคอมพิวเตอร์
บนโครงสร้างพื้นฐานสารสนเทศ ความผิดต่าง ๆ ล้วนแต่สามารถเกิดขึ้นได้ เช่น การจารกรรม การก่อการร้าย การค้ายาเสพติด การแบ่งแยกดินแดน การฟอกเงิน การโจมตีระบบ สาธารณูปโภคพื้นฐานของประเทศที่มีระบบคอมพิวเตอร์ควบคุม เช่น ระบบจราจร หรือระบบรถไฟฟ้า เป็นต้น ซึ่งสามารถเห็นได้ว่า ความสัมพันธ์ระหว่างอาชญากรรมทางคอมพิวเตอร์ ความมั่นคงของประเทศ และโครงสร้างพื้นฐานสารสนเทศของชาติ (National Information Infrastructure : NII) เป็นเรื่องที่มาสามารถแยกจากกันได้อย่างเด็ดขาด การโจมตีผ่านระบบ NII สามารถทำได้ด้วยความเร็วของการเคลื่อนที่เกือบเท่าความเร็วแสดงเหนือกว่าการเคลื่อนทัพทางบก หรือการโจมตีทางอากาศ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น