กฎหมาย จริยธรรม และความปลอดภัยในการใช้เทคโนโลยีสารสนเทศ

23-12-54-2
บทที่8 กฎหมาย จริยธรรม และความปลอดภัยในการใช้เทคโนโลยีสารสนเทศ

1. พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

  1.1 ส่วนทั่วไป บทบัญญัติใยส่วนทั่วไปประกอบด้วย มาตรา 1 ชื่อกฎหมาย มาตรา 2 วันบังคับใช้กฎหมาย มาตรา 3 คำนิยาม และมาตรา 4 ผู้รักษาการ
  1.2 หมวด 1 บทบัญญัติความผิดเกี่ยวกับคอมพิวเตอร์มีทั้งสิ้น 13 มาตรา ตั้งแต่มาตรา 5 ถึงมาตรา 17 สาระสำคัญของหมวดนี้ว่าด้วยฐานความผิด อันเป็นผลจากการกระทำผิดที่กระทบต่อความมั่นคง ปลอดภัย ของระบบสารสนเทศ

1.2.1 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ รายละเอียดอยู่ในมาตรา 5

1.2.2 การล่วงรู้มาตรการป้องกันการเข้าถึง และนำไปเปิดเผยโดยมิชอบ จะเกี่ยวข้องกับมาตรา 6
1.2.3 การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบมาตรา 7
1.2.4 การดักข้อมูลคอมพิวเตอร์โดยมิชอบรายละเอียดอยู่ในมาตรา 8
1.2.5 ในมาตรา 9 และ มาตรา 10 เนื้อหาเกี่ยวกับการรบกวนข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์โดยมิชอบ ซึ่งการรบกวนข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์
1.2.6 การสแปมเมล์ จะเกี่ยวข้องกับมาตรา 11 มาตรานี้เป็นมาตราที่เพิ่มเติมขึ้นมาเพื่อให้ครอบคลุมถึงการส่งสแปมเมล์ซึ่งเป็นลักษณะการกระทำความผิดที่ใกล้เคียงกับมาตรา 10
1.2.7 มาตรา 12 การกระทำความผิดที่ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อความมั่นคงของประเทศ
1.2.8 การจำหน่ายหรือเผยแพร่ชุดคำสั่งเพื่อใช้กระทำความผิดรายละเอียดอยู่ในมาตรา 13
1.2.9 มาตรา 14 และมาตรา 15 จะกล่าวถึงการปลอมแปลงข้อมูลคอมพิวเตอร์หรือเผยแพร่เนื้อหาที่ไม่เหมาะสม และการรับผิดของผู้ให้บริการ
1.2.10 การเผยแพร่ภาพจากการตัดต่อหรือดัดแปลงให้ผู้อื่นถูกดูหมิ่น หรืออับอายจะเกี่ยวข้องกับมาตรา 16
1.2.11 มาตรา 17 เป็นมาตราที่ว่าด้วยการนำตัวผู้กระทำความผิดมาลงโทษ เนื่องจากมีความกังวลว่า หากมีการกระทำความผิดนอกประเทศแต่ความเสียหายเกิดขึ้นในประเทศ
  1.3 หมวด 2 อำนาจของพนักงานเจ้าหน้าที่ และการตรวจสอบการใช้อำนาจของพนักงานเจ้าหน้าที่ รวมทั้งยังมีการกำหนดหน้าที่ของผู้ให้บริการที่ต้องเก็บรักษาข้อมูลคอมพิวเตอร์
2. พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์
2.1 กฎหมายนี้รับรองการทำธุรกรรมด้วยเอกสารอิเล็กทรอนิกส์ทั้งหมด เช่น โทรสาร โทรเลข ไปรษณีย์อิเล็กทรอนิกส์
2.2 ศาลจะต้องยอมรับฟังเอกสารอิเล็กทรอนิกส์
2.3 ปัจจุบันธุรกิจจำเป็นต้องเก็บเอกสารทางการค้าที่เป็นกระดาษจำนวนมาก

2.4  การทำสัญญาบนเอกสารที่เป็นกระดาษจะมีการระบุวันเวลาที่ทำธุรกรรมนั้นด้วย

2.5 มาตรา 25 ระบุถึงบทบาทของภาครัฐในการให้บริการประชาชนด้วยระบบอิเล็กทรอนิกส์ ให้อำนาจหน่วยงานรัฐบาลสามารถสร้างระบบรัฐบาลอิเล็กทรอนิกส์

2.6 ใบรับรองอิเล็กทรอนิกส์

3. กฎหมายลิขสิทธิ์ และการใช้งานโดยธรรม (Fair Use)
3.1 การกระทำดังกล่าวมีวัตถุประสงค์การใช้งานอย่างไร ลักษณะการนำไปใช้มิใช่เป็นเชิงพาณิชย์
3.2 ข้อมูลที่จะนำไปใช้ซึ่งข้อมูลดังกล่าวเป็นข้อเท็จจริง ซึ่งทุกคนสามารถนำไปใช้ประโยชน์ได้
3.3 จำนวนและเนื้อหาที่จะคัดลอกไปใช้เมื่อเป็นสัดส่วนกับข้อมูลที่มีลิขสิทธิ์ทั้งหมด
3.4 ผลกระทบของการนำข้อมูลไปใช้ที่มีต่อความเป็นไปได้ทางการตลาดหรือคุณค่าของงานที่มีลิขสิทธิ์นั้น

 

image002

 

ริยธรรมในการใช้เทคโนโลยีสารสนเทศ

จริยธรรม (Ethics) เป็นแบบแผนความประพฤติหรือความมีสามัญสำนึกรวมถึงหลักเกณฑ์ที่คนในสังคมตกลงร่วมกันเพื่อใช้เป็นแนวทางในการปฏิบัติร่วมกันต่อสังคมในทางที่ดี
จริยธรรมในการใช้เทคโนโลยีสารสนเทศต้องอยู่บนพื้นฐาน 4 ประเด็นด้วยกัน
  1. ความเป็นส่วนตัว  (Information Privacy)
  2. ความถูกต้องแม่นยำ (Information Accuracy)
  3. ความเป็นเจ้าของ (Information Property)
  4. การเข้าถึงข้อมูล (Data Accessibility)
การรักษาความปลอดภัยในการใช้งานเทคโนโลยีสารสนเทศ

 

1. แนวทางป้องกันภัยจากสปายแวร์

  1.1  ไม่คลิกแบ่งลิงค์บนหน้าต่างเล็กของป๊อปอัพโฆษณา ให้รีบปิดหน้าต่างโดยคลิกที่ปุ่ม “X”
  1.2 ระมัดระวังอย่างมากในการดาวน์โหลดซอฟต์แวร์ที่จัดให้ดาวน์โหลดฟรี โดยเฉพาะเว็บไซต์ที่ไม่น่าเชื่อถือ เพราะสปายแวร์จะแฝงตัวอยู่ในโปรแกรมดาวน์โหลดมา
  1.3 ไม่ควรติดตามอีเมล์ลิงค์ที่ให้ข้อมูลว่ามีการเสนอซอฟต์แวร์ป้องกันสปายแวร์ เพราะอาจให้ผลตรงกันข้าม
2. แนวทางป้องกันภัยจากสนิฟเฟอร์
  2.1 SSL (Secure Socket Layer) ใช้ในการเข้ารหัสข้อมูลผ่านเว็บ ส่วนใหญ่จะใช้ในธุรกรรมอิเล็กทรอนิกส์
  2.2 SSH (Secure Shell) ใช้ในการเข้ารหัสเพื่อเข้าไปใช้งานบนระบบยูนิกซ์ เพื่อป้องกันการดักจับ
  2.3 VPN (Virtual Private Network) เป็นการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเตอร์เน็ต
  2.4 PGP (Pretty Good Privacy) เป็นวิธีการเข้ารหัสของอีเมล์ แต่ที่นิยมอีกวิธีหนึ่งคือ S/MIME
3. แนวทางป้องกันภัยจากฟิชชิ่ง
  3.1 หากอีเมล์ส่งมาในลักษณะของข้อมูล ควรติดต่อกับธนาคารหรือบริษัท และสอบถามด้วยตนเอง เพื่อป้องกันไม่ให้ถูกหลอกเอาข้อมูลไป
  3.2 ไม่คลิกลิงค์ที่แฝงมากับอีเมล์ไปยังเว็บไซต์ที่ไม่น่าเชื่อถือ เพราะอาจเป็นเว็บไซต์ปลอมที่มีหน้าตาคล้ายธนาคารหรือบริษัททางด้านการเงิน ให้กรอกข้อมูลส่วนตัว และข้อมูลบัตรเครดิต
4. แนวทางป้องกันภัยจากไวรัสคอมพิวเตอร์
  4.1 ติดตั้งซอฟแวร์ป้องกันไวรัสบนระบบคอมพิวเตอร์ และทำการอัพเดทฐานข้อมูลไวรัสของโปรแกรมอยู่เสมอ
  4.2 ตรวจสอบและอุดช่องโหว่ของระบบปฏิบัติการอย่างสม่ำเสมอ
  4.3 ปรับแต่งการทำงานของระบบปฏิบัติการ และซอฟต์แวร์บนระบบให้มีความปลอกภัยสูง
  4.4 ใช้ความระมัดระวังในการเปิดอีเมล์ และการเปิดไฟล์จากสื่อบันทึกข้อมูลต่างๆ
5. แนวทางการป้องกันภัยการโจมตีแบบ DoS (Denial of Service)
  5.1 ใช้กฎการฟิลเตอร์แพ็กเก็ตบนเราเตอรสำหรับกรองข้อมูล เพื่อลดผลกระทบต่อปัญหาการเกิดDoS
  5.2 ติดตั้งซอฟต์แวร์เพิ่มเติมในการแก้ไขปัญหาการโจมตีโดยใช้ TCP SYN Flooding
  5.3 ปิดบริการบนระบบที่ไม่มีการใช้งานหรือบริการที่เปิดโดยดีฟอลต์
  5.4 นำระบบการกำหนดโควตามาใช้ โดยการกำหนดโควตาเนื้อที่ดิสสำหรับผู้ใช้ระบบหรือสำหรับบริการระบบ
  5.5 สังเกตและเฝ้ามองพฤติกรรมและประสิทธิภาพการทำงานของระบบ
  5.6 ตรวจตราระบบการจัดทรัพยากรระบบตามกายภาพอย่างสม่ำเสมอ
  5.7 ใช้โปรแกรมทริปไวร์ (Tripwire) หรือโปรแกรมใกล้เคียงในการตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นกับไฟล์คอนฟิกหรือไฟล์สำคัญ
  5.8 ติดตั้งเครื่องเซิร์ฟเวอร์ฮ็อตสแปร์ (Hot Spares) ที่สามารถนำมาใช้แทนเครื่องเซิร์ฟเวอร์ได้ทันทีเมื่อเหตุฉุกเฉินขึ้น เพื่อลดช่วงเวลาดาวไทม์ของระบบ
  5.9 ติดตั้งระบบสำรองเครือข่าย หรือระบบห้องกันความสูญเสียการทำงานของระบบเครือข่าย
  5.10 การสำรองข้อมูลบนระบบอย่างสม่ำเสมอ โดยเฉพาะคอนฟิกที่สำคัญต่อการทำงานของระบบ
  5.11 วางแผนและปรับปรุงนโยบายการใช้งานรหัสผ่านที่เหมาะสม
6. แนวทางป้องกันแปมเมล์หรือจดหมายบุกรุก
  6.1 การป้องกันสแปมเมล์ ในการป้องกันจริงๆนั้นอาจทำไม่ได้ 100% แต่ก็สามารถลดปัญหาจากสแปมเมล์ได้ดังนี้
  6.1.1 แจ้งผู้ให้บริการอินเตอร์เน็ตบล็อคอีเมล์ที่มาจากชื่ออีเมล์หรือโดเมนนั้นๆ
  6.1.2 ตั้งค่าโปรแกรมอีเมล์ที่ใช้บริการอยู่โดยสามารถกำหนดได้ว่าให้ลบหรือย้ายอีเมล์ที่คาดว่าจะเป็นสแปมเมล์ไปไว้ในโฟลเดอร์ขยะ (Junk)
  6.1.3 ไม่สมัคร (Subscribe) จดหมายข่าว (Newsletter) เว็บไซต์ หรือโพสต์อีเมล์ในเว็บบอร์ดต่างๆ มากเกินไป
  6.2 การป้องกันอีเมลบอมบ์ ลักษณะของอีเมลบอมบ์จะเป็นการส่งอีเมล์หลายฉบับไปหาคนเพียงคนเดียวหรือไม่กี่คนเพื่อหวังผลให้ไปรบกวนระบบอีเมลให้ล่มหรือทำงานผิดปกติ ในการป้องกันอีเมลบอมบ์สามารถทำได้ดังนี้
  6.2.1 กำหนดขนาดของอีเมลบอกซ์ของแต่ละแอคเคาท์ว่าสามารถเก็บอีเมล์ได้สูงสุดเท่าใด
  6.2.2 กำหนดจำนวนอีเมล์ที่มากที่สุดที่สามารถส่งได้ในแต่ละครั้ง
  6.2.3 กำหนดขนานของอีเมล์ที่ใหญ่มี่สุดที่สามารถรับได้
  6.2.4 ไม่อนุญาตให้ส่งอีเมล์แอคเคาท์ที่ไม่มีตัวตนในระบบ
  6.2.5 ตรวจสอบว่ามีอีเมล์แอคเคาท์นี้จริงในระบบก่อนส่ง ถ้าเช็คไม่ผ่าน แสดงว่าอาจมีการปลอมชื่อมา
  6.2.6 กำหนด keyword ให้ไม่รับอีเมล์เข้ามาจาก subject ที่มีคำที่กำหนดไว้
  6.2.7 หมั่นอัพเดทรายชื่อโดเมนที่ติด black list จากการส่งอีเมล์สแปมหรืออีเมล์บอมบ์
7. การป้องกันภัยจากการเจาะระบบ
  มีแนวทางป้องกันโดยใช้ไฟร์วอลล์อาจจะอยู่ในรูปของฮาร์ดแวร์หรือซอฟแวร์ก็ได้ ตรวจค้นทุกคนที่เข้าสู่ระบบ มีการตรวจบัตรอนุญาต จดบันทึกข้อมูลการเข้าออก ติดตามพฤติกรรมการใช้งานในระบบ รวมทั้งสามารถกำหนดสิทธิ์ที่จะอนุญาตให้ใช้ระบบในระดับต่างๆ ได้
original_law1

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s