บทที่9 จริยธรรมและความปลอดภัย

จริยธรรมและพระราชบัญญัติฯคอมพิวเตอร์

 

จริยธรรม(Ethics)ในความหมายทางคอมพิวเตอร์ หมายถึง หลักศีลธรรมจรรยาที่กำหนดขึ้น เพื่อใช้เป็นแนวทางการใช้คอมพิวเตอร์กระทำในสิ่งที่ถูกต้อง และหลีกเลี่ยงการกระทำความผิดต่อผู้อื่น  เช่น การใช้ถ้อยคำไม่สุภาพ การโฆษณาเกินจริง การกระทำที่ก่อให้เกิดความรำคาญและเดือดร้อนแก่ผู้อื่น เป็นต้น

ปัจจุบันมีการใช้พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 โดยสรุปลักษณะการกระทำความผิดและบทลงโทษ ดังนี้

1.มาตรา 1-4 กล่าวถึง ข้อกำหนดการใช้และความหมายของคำสำคัญที่เกี่ยวข้องกับพระราชบัญญัติฯคอมพิวเตอร์

2.มาตรา 5-17 อยู่ในหมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ เป็นมาตราที่เกี่ยวข้องกับบุคคลทั่วไป ซึ่งสามารถสรุปการกระทำความผิดและบทลงโทษได้ดังนี้

มาตรา 5  ห้ามไม่ให้เข้าสู่ระบบคอมพิวเตอร์ของผู้อื่นที่มีมาตรการป้องกัน หากกระทำความผิดต้องจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท

มาตรา 6 ห้ามไม่ให้นำข้อมูลของผู้อื่นไปเผยแพร่จนเกิดความเสียหาย หากกระทำความผิดต้องจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 20,000 บาท

มาตรา 7 ห้ามไม่ให้เข้าใช้ข้อมูลของผู้อื่นที่มีมาตรการป้องกัน หากกระทำความผิดต้องจำคุกไม่เกิน 2 ปี หรือปรับไม่เกิน 40,000 บาท หรือทั้งจำทั้งปรับ

มาตรา 8 ห้ามไม่ให้ดักรับข้อมูลของผู้อื่นที่อยู่ในระหว่างการส่งในระบบคอมพิวเตอร์ หรือข้อมูลนั้นไม่ได้มีไว้เพื่อประโยชน์สาธารณะหรือสำหรับบุคคลทั่วไป หารกระทำความผิดต้องจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ

มาตรา 9 ห้ามทำให้ข้อมูลผู้อื่นเสียหาย ห้ามทำลาย แก้ไข เปลี่ยนแปลง และเพิ่มเติมบางส่วนหรือทั้งหมด หากกรทำความผิดต้องจำคุกไม่เกิน 5 ปี หรือปรับไม่เกิน 100,000 บาท หรือทั้งจำทั้งปรับ

มาตรา 10 ห้ามทำให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวางหรือรบกวนจนไม่สามารถทำงานตามปกติได้ หากกระทำความผิดต้องจำคุกไม่เกิน 5 ปี หรือปรับไม่เกิน 100,000 บาท หรือทั้งจำทั้งปรับ

มาตรา 11 ห้ามส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่ผู้อื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของข้อมูล ที่เป็นหารรบกวนการใช้ระบบคอมพิวเตอร์ของผู้อื่น  หากกระทำความผิดปรับไม่เกิน 100,000 บาท

มาตรา 12 ถ้ากระทำความผิดในมาตรา 9 หรือ 10 แล้วก่อให้เกิดความเสียหายแก่ประชาชน ต้องจำคุกไม่เกิน 10 ปี แลปรับไม่เกิน 200,000 บาท แต่หากก่อให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงของประเทศความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะจะต้องจำคุกตั้งแต่ 3-15 ปี และปรับตั้งแต่ 60,000-300,000 บาท แต่หากการกระทำความผิดดังกล่าวมีผลทำให้ผู้อื่นถึงแก่ความตาย จะต้องจำคุกตั้งแต่ 10-20 ปี

มาตรา 13 ห้ามจำหน่ายหรือเผยแพร่ชุดคำสั่งเพื่อนำไปเป็นเครื่องมือในการกระทำผิดตามมาตรา 5-11 หากกระทำความต้องจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 20,000 บาท หรือทั้งจำทั้งปรับ

3.มาตรา 18-30 อยู่ในหมวด 2 พนักงานเจ้าหน้าที่ เป็นมาตราที่กำหนดขึ้นเพื่อประโยชน์ในการสืบสวน และข้อกำหนดของพนักงานเจ้าหน้าที่ในการดเนินการต่อผู้กระทำความผิด
10.1 การป้องกัน (Protection)คอมพิวเตอร์มีการทำงานที่ซับซ้อนเพิ่มขึ้นทุกวัน ความน่าเชื่อถือจึงเป็นหัวข้อที่ถูกหยิบยก ขึ้นมากล่าวถึงอยู่เสมอ โดยเฉพาะระบบมัลติโปรแกรมมิ่ง (Multiprogramming) ที่มีผู้เข้าใช้ระบบจำนวนมาก จึงต้องปกป้องคอมพิวเตอร์ให้พ้นจากผู้ไม่ประสงค์ดี
กฎการป้องกันของระบบคอมพิวเตอร์คือ การสร้างกลไกที่บังคับให้ผู้ใช้ทรัพยากรปฏิบัติตามข้อกำหนด ที่ได้สร้างไว้ เพื่อการใช้ทรัพยากรเป็นไปอย่างถูกต้อง และป้องกับข้อมูลของผู้ใช้ให้มีความปลอดภัยนั่นเอง
Domain of protection คือ การนิยามความสัมพันธ์ของ object และ right ที่สัมพันธ์กัน ความสัมพันธ์ของ domain อาจยอมให้ object ถูกเรียกใช้ได้หลาย ๆ domain เช่น object เกี่ยวกับการพิมพ์ บาง domain จะมี object ในการดูแลมากมาย และมี right ที่เฉพาะเจาะจงเช่น อ่าน เขียน หรือประมวลผล
ACL (Access control list) คือ ตารางความสัมพันธ์ของ object และ domain ที่สามารถเรียกใช้แต่ละ object โดยไม่เกิดปัญหา บางระบบปฏิบัติการจะมีระบบ ACL ที่สนับสนุนระบบกลุ่มผู้ใช้(GID) และผู้ใช้(UID)
จุดประสงค์หลักของความปลอดภัยทางข้อมูล
1. การรักษาความลับ (Confidentiality) คือการรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้มีสิทธิเท่านั้นจึงจะเข้าถึงข้อมูลนั้นได้
2. การรักษาความสมบูรณ์ (Integrity) คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นโดย อุบัติเหตุหรือโดยเจตนา
3. ความพร้อมใช้ (Availability) คือการรับรองว่าข้อมูลและบริการการสื่อสารต่าง ๆ พร้อมที่จะใช้ได้ในเวลาที่ต้องการใช้งาน
4. การห้ามปฏิเสธความรับผิดชอบ (Non-Repudiation) คือวิธีการสื่อสารซึ่งผู้ส่งข้อมูลได้รับหลักฐานว่าได้มีการส่งข้อมูลแล้วและผู้รับก็ได้รับการยืนยันว่าผู้ส่งเป็นใคร ดังนั้นทั้งผู้ส่งและผู้รับจะไม่สามารถปฏิเสธได้ว่าไม่มีความเกี่ยวข้องกับข้อมูลดังกล่าวในภายหลัง
เรียบเรียงโดย : สิริพร จิตต์เจริญธรรม, เสาวภา ปานจันทร์ และ เลอศักดิ์ ลิ้มวิวัฒน์กุล
กำหนดลักษณะของการควบคุมความมั่นคงปลอดภัย (Security Controls) ได้ 5 ระดับ
1. Audit (Who done it?)
2. Integrity (Who can change it?)
3. Encryption (Who can see it?)
4. Authorization (Who can access it?)
5. Authentication (Who’s who?)
[img]http://www.thaicert.nectec.or.th/paper/authen/authentication_guide/layer.png[/img]
10.2 สภาพแวดล้อมของความปลอดภัยการรักษาความปลอดภัย คือ อ้างการป้องกันปัญหาทั้งหมด แต่การป้องกัน จะอ้างถึงกลไกเฉพาะด้านของโปรแกรมระบบที่ใช้ป้องกันข้อมูล สำหรับการรักษาความปลอดภัย (Security) มีประเด็นอยู่ 3 ด้านคือ
1. ภัยคุกคาม (Threat)
1.1 นำความลับไปเปิดเผย (Data confidentiality)
1.2 เปลี่ยนแปลงข้อมูล (Data integrity)
1.3 ทำให้หยุดบริการ (System availability)
2. ผู้ประสงค์ร้าย (Intruder)
2.1 พวกชอบสอดรู้สอดเห็น
2.2 พวกชอบทดลอง
2.3 พวกพยายามหารายได้ให้ตนเอง
2.4 พวกจารกรรมข้อมูล
3. ข้อมูลสูญหายโดยเหตุสุดวิสัย (Accidental data loss)
3.1 ปรากฎการณ์ทางธรรมชาติ
3.2 hardware หรือ software ทำงานผิดพลาด
3.3 ความผิดพลาดของมนุษย์
10.3 ภัยคุกคาม (Threats)ภัยคุกคาม หรือการสร้างความเสียหายในระบบคอมพิวเตอร์ มี 3 ประการคือ นำความลับไปเปิดเผย(Data confidentiality) เปลี่ยนแปลงข้อมูล(Data integrity) และทำให้หยุดบริการ(System availability) เปรียบเทียบเป้าหมายการป้องกัน และการสร้างความเสียหายมาเปรียบเทียบได้ดังนี้

เป้าหมายของการป้องกัน เป้าหมายการคุกคาม หรือสร้างความเสียหาย
รักษาความลับ นำความลับไปเปิดเผย(Data confidentiality)
รักษาความสมบูรณ์ เปลี่ยนแปลงข้อมูล(Data integrity)
พร้อมใช้ตลอดเวลา ทำให้หยุดบริการ(System availability)

แอดแวร์ (Adware)
โปรแกรมสนับสนุนโฆษณา (Advertising Supported Software) เกิดจากบริษัทต่าง ๆ จะพยายามโฆษณาสินค้าของตน จึงแอบติดตั้งโปรแกรมในเครื่องของผู้ใช้ให้แสดงป้ายโฆษณา เพื่อชวนผู้ใช้ไปซื้อสินค้าเหล่านั้น
สปายแวร์ (Sypware)
เป็นซอฟต์แวร์ที่เขียนมาเพื่อส่งข้อมูลส่วนบุคคลของคุณไปยังคน หรือสิ่งที่ได้กำหนดไว้ ลักษณะจะคล้ายกับ Cookies แต่ว่า spyware นี้จะเป็น third-party cookies ปกติแล้ว Cookies นั้นจะเป็นเครื่องมือที่อำนวยความสะดวกให้กับผู้ใช้งานอินเทอร์เน็ตหรือโปรแกรมบางอย่าง เช่นเมื่อใช้อินเทอร์เน็ต และเข้าเว็บที่คุณได้ติดตั้ง Cookies ไว้จะแสดงผลได้อย่างรวดเร็ว หรือจะช่วยจำค่าที่คุณได้ปรับแต่งโปรแกรมเอาไว้ และ ในบาง Cookies จะส่งผลการใช้งานโปรแกรมกลับไปยังผู้พัฒนาเพื่อดูผลการใช้งานจะได้นำมาปรับปรุงต่อไป แต่ว่า spyware จะเป็น Cookies ที่แอบแฝงเข้ามา โดยที่คุณไม่รู้ตัวเพื่อวัตถุประสงค์เพื่อการโฆษณาหรือแอบนำข้อมูลส่วนตัวของคุณส่งออกไป ผู้ผลิตส่วนใหญ่จะแจ้งเรื่องการส่งการ รายงานผลกลับในระหว่างการลงโปรแกรมอยู่แล้ว ผู้ใช้งานควรอ่านเงื่อนไขให้ดีก่อนตอบตกลง
10.4 การรับรองผู้ใช้ (User authentication)การรักษาความปลอดภัยให้กับระบบที่สำคัญมาก คือการพิสูจน์ว่าผู้ใช้ที่กำลังใช้งานอยู่คือใคร มีสิทธิ์เข้าใช้ระบบเพียงใด โดยผ่านการ login เข้าสู่ระบบ ซึ่งคอมพิวเตอร์ในยุคแรก ๆ ไม่ระบบนี้ สำหรับการรับรองสิทธิ์นั้นมี 4 วิธีในการรับรองสิทธิ์ คือ
1. รหัสผ่าน (ความจำ ให้แทนกันได้)
2. ตอบคำถามให้ถูกต้อง (ความจำ ให้แทนกันได้)
3. กุญแจ หรือบัตรผ่าน (วัตถุ ให้แทนกันได้)
4. ลายนิ้วมือ ม่านตา หรือลายเซ็นต์ (ลักษณะเฉพาะ ให้แทนกันไม่ได้)
การพิสูจน์ตัวตน คือขั้นตอนการยืนยันความถูกต้องของหลักฐาน (Identity) ที่แสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ในทางปฏิบัติจะแบ่งออกเป็น 2 ขั้นตอน คือ
การระบุตัวตน (Identification) คือขั้นตอนที่ผู้ใช้แสดงหลักฐานว่าตนเองคือใครเช่น ชื่อผู้ใช้ (username)
การพิสูจน์ตัวตน (Authentication) คือขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง
[img]http://www.thaicert.nectec.or.th/paper/authen/authentication_guide/authentication.png[/img]
10.5 การเข้ารหัส (Encryption)ปัจจุบันระบบเครือข่ายเชื่อมต่อกันไปทั่วโลก ข้อมูลที่อยู่ในคอมพิวเตอร์มีความสำคัญที่จะต้องปกป้อง จึงมีเทคนิคการเข้ารหัสข้อมูล เพื่อป้องกันการอ่านข้อมูล สำหรับกลไกพื้นฐานในการเข้ารหัสข้อมูลคือ
1. ข้อมูลถูกเข้ารหัส (encode) จากข้อมูลธรรมดา (Plain text) ให้อยู่ในรูปที่อ่านไม่ออก(Cipher text)
2. ข้อมูลที่ถูกเข้ารหัสแล้ว (Cipher text) ถูกส่งไปในอินเทอร์เน็ต
3. ผู้รับข้อมูลทำการถอดรหัส (Decode) ให้กลับมาเป็นข้อมูลธรรมดา (Plain text)
สำหรับการเข้ารหัสที่นิยมกันมี 2 วิธีคือการใช้ Secret-key encryption เป็นการเข้ารหัสที่รู้กันระหว่าคอมพิวเตอร์ 2 เครื่อง หรือผู้ใช้ 2 คน ส่วน Public-key encryption เป็นการเข้ารหัสที่มี key 2 ส่วนคือ public key และ private key เช่นระบบ SSL ที่นิยมใช้กันในปัจจุบัน
Secure Sockets Layer (SSL) คืออะไร
Secure Sockets Layer (SSL) คือ โปรโตคอลความปลอดภัย ที่ถูกใช้เป็นมาตรฐาน ในการเพิ่มความปลอดภัย ในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ในปัจจุบันเทคโนโลยี SSL ได้ถูกทำการติดตั้งลงบนบราวเซอร์ อาทิ IE, Netscape และอื่นๆมากมายอยู่เรียบร้อยแล้ว
โปรโตคอล SSL จะใช้ Digital Certificate ในการสร้างท่อสื่อสาร ที่มีความปลอดภัยสูง สำหรับตรวจสอบ และเข้ารหัสลับการติดต่อสื่อสารระหว่าง client และ server หน้าที่ของ SSL จะแบ่งออกเป็น 3 ส่วนใหญ่ๆคือ
1. การตรวจสอบ server ว่าเป็นตัวจริง ตัวโปรแกรม client ที่มีขีดความสามารถในการสื่อสารแบบ SSL จะสามารถตรวจสอบเครื่อง server ที่ตนกำลังจะไปเชื่อมต่อได้ว่า server นั้นเป็น server ตัวจริงหรือไม่ หน้าที่นี้ของ SSL เป็นหน้าที่ที่สำคัญ โดยเฉพาะอย่างยิ่งในกรณีที่ client ต้องการที่จะส่งข้อมูลที่เป็นความลับ (เช่น หมายเลข credit card) ให้กับ server ซึ่ง client จะต้องตรวจสอบก่อนว่า server เป็นตัวจริงหรือไม่
2. การตรวจสอบว่า client เป็นตัวจริง server ที่มีขีดความสามารถในการสื่อสารแบบ SSL จะตรวจสอบ client หรือผู้ใช้ว่าเป็นตัวจริงหรือไม่ หน้าที่นี้ของ SSL จะมีประโยชน์ในกรณีเช่น ธนาคารต้องการที่จะส่งข้อมูลลับทางการเงินให้แก่ลูกค้าของตนผ่านทางเครือข่าย Internet (server ก็จะต้องตรวจสอบ client ก่อนว่าเป็น client นั้นจริง)
3. การเข้ารหัสลับการเชื่อมต่อ ในกรณีนี้ ข้อมูลทั้งหมดที่ถูกส่งระหว่าง client และ server จะถูกเข้ารหัสลับ โดยโปรแกรมที่ส่งข้อมูลเป็นผู้เข้ารหัสและโปรแกรมที่รับข้อมูลเป็นผู้ถอดรหัส (โดยใช้วิธี public key) นอกจากการเข้ารหัสลับในลักษณะนี้แล้ว SSL ยังสามารถปกป้องความถูกต้องสมบูรณ์ของข้อมูลได้อีกด้วย กล่าวคือ ตัวโปรแกรมรับข้อมูลจะทราบได้หากข้อมูลถูกเปลี่ยนแปลงไปในขณะกำลังเดินทางจากผู้ส่งไปยังผู้รับ
10.6 ปฏิบัติการฝึกป้องกัน และรักษา– ฝึกส่งข้อมูลระหว่างคอมพิวเตอร์ เช่น email หรือ telnet หรือ secure sheel
– ฝึกตรวจสอบบริการของ server เช่น scan port, nmap เป็นต้น
– ฝึกลับลอบข้อมูลที่ไม่มีการเข้ารหัส และหาทางป้องกัน เช่น sniffer และตรวจสอบ log file
– ฝึกฆ่าไวรัส และ spyware
บัญญัติ 10 ประการ สำหรับผู้ใช้อินเทอร์เน็ต

อาจารย์ ยืน ภู่วรวรรณ ได้กล่าวถึงบัญญัติ 10 ประการ ซึ่งเป็นจรรยาบรรณที่ผู้ใช้อินเทอร์เน็ตยึดถือไว้เสมือนเป็นแม่บทของการปฏิบัติ ผู้ใช้พึงระลึกและเตือนความจำเสมอ มีดังนี้

  1. ต้องไม่ใช้คอมพิวเตอร์ทำร้าย หรือละเมิดผู้อื่น
    2. ต้องไม่รบกวนการทำงานของผู้อื่น
    3. ต้องไม่สอดแนม แก้ไข หรือเปิดดูแฟ้มข้อมูลของผู้อื่น
    4. ต้องไม่ใช้คอมพิวเตอร์เพื่อการโจรกรรมข้อมูลข่าวสาร
    5. ต้องไม่ใช้คอมพิวเตอร์สร้างหลักฐานที่เป็นเท็จ
    6. ต้องไม่คัดลอกโปรแกรมของผู้อื่นที่มีลิขสิทธิ์
    7. ต้องไม่ละเมิดการใช้ทรัพยากรคอมพิวเตอร์โดยที่ตนเองไม่มีสิทธิ์
    8. ต้องไม่นำเอาผลงานของผู้อื่นมาเป็นของตน
    9. ต้องคำนึงถึงสิ่งที่จะเกิดขึ้นกับสังคมอันติดตามมาจากการกระทำของท่าน
    10. ต้องใช้คอมพิวเตอร์โดยเคารพกฎระเบียบ กติกา และมีมารยาท

จรรยาบรรณเป็นสิ่งที่ทำให้สังคมอินเทอร์เน็ตเป็นระเบียบ ความรับผิดชอบต่อสังคมเป็นเรื่องที่จะต้องปลูกฝังกฎเกณฑ์ ของแต่ละ เครือข่าย จะต้องมีการวางระเบียบ เพื่อให้การดำเนินงานเป็นไปอย่างมีระบบ และเอื้อประโยชน์ซึ่งกันและกัน บางเครือข่ายมีบทลงโทษที่ชัดเจน เช่น การปฏิบัติผิดกฎเกณฑ์ของเครือข่าย จะต้องตัดสิทธิ์การเป็นผู้ใช้ของเครือข่าย
ในอนาคตจะมีการใช้เครือข่ายคอมพิวเตอร์เป็นจำนวนมาก จรรยาบรรณจึงเป็นสิ่งที่ช่วยให้สังคมอินเทอร์เน็ต สงบสุข หากมีการละเมิดอย่างรุนแรง กฎหมายจะเข้ามามีบทบาทต่อไป (โครงการเครือข่ายคอมพิวเตอร์เพื่อโรงเรียนไทย :