Scribe Book 10_2 2550

พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

ก่อนปี 2550 ประเทศไทยไม่มีกฎหมายควบคุมในเรื่องของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มารองรับ
1.การพัฒนา พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ผ่านการเห็นชอบจาก สนช. เมื่อวันที่ 9 พ.ค. 2550

flickr:5493707883
flickr:5493740269

2. เจตนารมณ์ของกฎหมายเพื่อกำหนด
• ฐานความผิดและบทลงโทษ
• อำนาจหน้าที่ของพนักงานเจ้าหน้าที่
• หน้าที่ของผู้ให้บริการ
3. แนวทางในการยกร่างกฎหมาย ถ้าเทียบกับประเทศอื่นๆ ประเทศไทยก็ยังล้าหลังอยู่ในเรื่องของเทคโนโลยี
4. สภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
• ผู้กระทำความผิดอยู่ที่ไหนก็ได้ในโลก ทำให้ไม่มีข้อจำกัดของระยะทางอีกต่อไป
• ใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิด ปัจจุบันความผิดสามารถทำได้ง่ายและสามารถทำได้จากมือถือ
• ยากต่อการตรวจพบร่องรอยการกระทำผิด เช่น การเข้าไปใช้เครือข่ายสาธารณะในการกระทำผิด
• ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ เช่นกฎหมายที่เป็นความผิดของประเทศหนึ่งอาจจะไม่ใช่กฎหมายที่เป็นความผิดของอีกประเทศ
• ความเสียหายกระทบต่อคนจำนวนมากและรวดเร็ว ยิ่งปัจจุบันนี้สามารถทำได้ผ่าน social network และผู้ใช้ก็สามารถสร้างข้อมูลเองได้
• หน่วยงานผู้มีหน้าที่ ไม่อาจป้องกันได้
• ที่เกิดเหตุมีมากกว่า 2 ท้องที่ขึ้นไปเสมอ คือที่ของผู้กระทำความผิและที่ของผู้ถูกกระทำ
5.โครงสร้างของกฎหมาย มี 2 หมวดหลักๆ คือ
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งหมวดนี้มีมาตราที่สำคัญคือ มาตรา 5 – มาตรา 15
หมวด 2 พนักงานเจ้าหน้าที่ มาตรา 18-30
การกระทำความผิดซึ่งกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ

หลักๆ คือต้องการรักษาความลับ , รักษาความครบถ้วนถูกต้องแท้จริง และรักษาสภาพพร้อมใช้งาน
• Confidentiality (ความลับ)
• Integrity (ความครบถ้วน/ความถูกต้องแท้จริง)
• Availability (สภาพพร้อมใช้งาน)
ระบบคอมพิวเตอร์

ระบบคอมพิวเตอร์ หมายรวมไปถึงอุปกรณ์ทุกอย่างที่สามารถนำข้อมูลเข้า ทุกอย่างที่สามารถประมวลผล และทุกอย่างที่สามารถนำเสนอข้อมูลได้
ข้อมูลคอมพิวเตอร์ หมายรวมถึง data และ software ด้วย
ข้อมูลจราจรทางคอมพิวเตอร์ หรือที่เรียกว่า log file ซึ่งเป็นข้อมูลที่ระบุแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่และปริมาณ

flickr:5493707917

การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ

อ้างถึง : มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้น มิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ
ถ้าเปิดเครื่องทิ้งไว้แล้วให้ทุกคนมาใช้ได้ ผู้มาใช้จะไม่ผิด แต่ถ้าเจ้าของเครื่องมีมาตรการป้องกัน มีการตั้ง password ไว้และผู้ใช้พยายามที่จะ hack password ถือว่าผิด หรือในกรณีที่เจ้าของเครื่องล็อคประตูห้องไว้และผู้ใช้พังห้องเข้าไปเพื่อดูข้อมูลก็ถือว่ากระทำผิดตามมาตรานี้ โดยมาตรานี้มีโทษน้อยที่สุด จำคุกเพียง 6 เดือน
การเผยแพร่มาตรการป้องกันการเข้าถึงระบบ
อ้างถึง : มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบ ในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
ต.ย.เช่น เราไปเจอช่องโหว่ของ software หนึ่งและเรานำมาตราการนี้ไปโพสไว้บนเว็บไซด์หรือบนเว็บบอร์ดหรือนำไป retweet ก็ผิด
การเข้าถึงข้อมูลในระบบคอมพิวเตอร์โดยมิชอบ

อ้างถึง : มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง โดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตนต้องระวางโทษจำคุกไม่เกินสองปีหรือปรับไม่เกินสี่หมื่นบาทหรือทั้งจำทั้งปรับ
การกระทำความผิดตามมาตรา 7 อาจไม่ต้องทำความผิดตามมาตรา 5 เสมอไป เช่นในกรณีที่ขโมย thumb drive หรือ CD โดยที่ไม่ต้องเข้าระบบคอมพิวเตอร์ก่อน

การดักข้อมูลคอมพิวเตอร์โดยมิชอบ

อ้างถึง : มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
เป็นการใช้ software ในการดักจับข้อมูล

การแก้ไขข้อมูลคอมพิวเตอร์

อ้างถึง : มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
เรื่องหลักๆคือการแพร่ไวรัส ผู้เสียหายสามารถไปปรึกษาตำรวจได้ทันที ถ้าไวรัสไปสร้างความเสียหายทางเศรษฐกิจผลกระทบจะสูงมาก
การรบกวนระบบคอมพิวเตอร์

อ้างถึง : มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
ต.ย.เช่น DOS Attack สร้าง request ไปที่ server ให้ server ทำงานไม่ได้

flickr:5494333056

สแปมเมล์

อ้างถึง : มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท
สแปมในทางกฎหมาย คือ phishing กล่าวคือ ต้องเป็นการปลอมแปลงแหล่งที่มาและเป็นการรบกวนการทำงานของระบบ

flickr:5494333150
flickr:5493740625
flickr:5493740825

การกระทำซึ่งก่อให้เกิดผลกระทบต่อความมั่นคง

อ้างถึง : มาตรา ๑๒ ถ้าการกระทำความผิดตามมาตรา ๙ หรือ มาตรา ๑๐
(๑) ก่อให้เกิดความเสียหายแก่ประชาชน ไม่ว่าความเสียหายนั้นจะเกิดขึ้นในทันทีหรือในภายหลัง และไม่ว่าจะเกิดขึ้นพร้อมกันหรือไม่ ต้องระวางโทษจำคุกไม่เกินสิบปี และปรับไม่เกินสองแสนบาท
(๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ต้องระวางโทษจำคุกตั้งแต่สามปีถึงสิบห้าปี และปรับตั้งแต่หกหมื่นบาทถึงสามแสนบาท
ถ้าการกระทำความผิดตาม (๒) เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษจำคุกตั้งแต่สิบปีถึงยี่สิบปี
ต.ย.การกระทำความผิดจนทำให้ผู้อื่นถึงแก่ความตาย เช่น ทำความเสียหายแก่ระบบการเงินการธนาคารมีผลกระทบต่อเศรษฐกิจ หรือเข้าไปรบกวนระบบการควบคุมของสายการบินอาจทำให้มีปัญหาเครื่องบินชนกัน

flickr:5494333594

การใช้อุปกรณ์/ชุดคำสั่งในทางมิชอบ

อ้างถึง : มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
ต.ย.เช่น นำเอา software เหล่านั้นมาจำหน่าย
การนำเข้า/เผยแพร่เนื้อหาอันไม่เหมาะสม

อ้างถึง : มาตรา ๑๔ ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
(๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดย ประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิด ความตื่นตระหนกแก่ประชาชน
(๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิด เกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะ อันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑)(๒) (๓) หรือ (๔)
ผู้ใช้กระทำผิดมาตรา ๑๔ นี้มากที่สุด อย่างข้อ (๑) ทำง่ายมากเช่น สร้างข้อมูลปลอมแปลงให้ผู้อื่นได้รับความเสียหายแล้วส่งข้อมูลไปสู่ระบบคอมพิวเตอร์, E-mail, social media และ web board ต่างๆ
ข้อ (๒) ต.ย.เช่นเข้าไปโพสข้อความเป็นเท็จอาจจะโพสว่าพรุ่งนี้หุ้นจะตก เป็นต้น
ข้อ (๓) รวมถึงเรื่องของสถาบัน
ข้อ (๔) ซึ่งในทางกฎหมาย สิ่งที่ลามกคือต้องเป็นสิ่งที่เห็นแล้วมีความรู้สึกทางด้านกามารมณ์ ซึ่งต้องเป็นความรู้สึกของวิญญูชน คนปกติทั่วไป รวมไปถึงเสียงอันมีลักษณะลามกด้วย
ข้อ (๕) เป็นข้อที่ผู้ใช้กระทำผิดโดยรู้เท่าไม่ถึงการณ์เสมอ ซึ่งการส่งต่อข้อความที่ผิดกฎหมายนี้ เราจะได้รับโทษเท่ากับผู้ที่นำข้อมูลเข้าสู่ระบบเลยทีเดียว เราต้องใช้ความระมัดระวังด้วย
ผู้ให้บริการ

อ้างถึง : มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา ๑๔
เหตุผล ผู้ให้บริการในที่นี้มุ่งประสงค์ถึง เจ้าของเว็บไซด์ ซึ่งมีการพิจารณาว่า ควรต้องมีหน้าที่ลบเนื้อหาอันไม่เหมาะสมด้วย
คำว่าผู้ให้บริการในการเข้าสู่อินเตอร์เน็ท จะหมายรวมไปถึงผู้ให้บริการในการเข้าถึงเครือข่าย เช่น ร้านกาแฟ โรงแรม สถาบันการศึกษาเช่นนิด้า ก็ถือเป็นผู้ให้บริการตามข้อนี้
ส่วนผู้ให้บริการเก็บรักษาข้อมูล ก็เช่นเจ้าของ web site เป็นต้น ซึ่งเจ้าของเว็บที่มี web board จะต้องสกรีนเนื้อหาให้เหมาะสม โดยเฉพาะเนื้อหาที่มีผลต่อความมั่นคง เนื้อหาที่เข้าข่ายลามก ข้อมูลที่เป็นเท็จ ซึ่งหลักๆจะไปลงโทษที่เจ้าของเว็บ ถ้าเกิดมีคนแจ้งว่ามีข้อมูลไม่เหมาะสมบนเว็บแล้วเจ้าของเว็บไม่ดำเนินการ
การเผยแพร่ซึ่งตัดต่อในลักษณะหมิ่นประมาท

อ้างถึง : มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือ ปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ ถ้าการกระทำตามวรรคหนึ่ง เป็นการนำเข้าข้อมูลคอมพิวเตอร์โดยสุจริต ผู้กระทำไม่มีความผิด ความผิดตามวรรคหนึ่งเป็นความผิดอันยอมความได้ ถ้าผู้เสียหายในความผิดตามวรรคหนึ่งตายเสียก่อนร้องทุกข์ ให้บิดา มารดา คู่สมรส หรือ บุตรของผู้เสียหายร้องทุกข์ได้ และให้ถือว่าเป็นผู้เสียหาย
สำหรับมาตรานี้ผู้ที่ต้องระวังคือ ผู้ที่ใช้ photo shop และผู้ที่ตัดต่อรูปภาพและวิดีโอ ซึ่งความผิดมาตรานี้เป็นมาตราเดียวที่ยอมความได้

flickr:5493741013

หมวดที่ ๒ พนักงานเจ้าหน้าที่
อำนาจของพนักงานเจ้าหน้าที่

อ้างถึง : มาตรา ๑๘ อำนาจทั่วไปของเจ้าหน้าที่ที่ได้รับการแต่งตั้ง แบ่งเป็น
๑.อำนาจที่ดำเนินการได้โดยไม่ต้องใช้อำนาจศาล
๒.อำนาจหน้าที่ที่ต้องขออนุญาตศาล
อ้างถึง : มาตรา ๑๙ การจำกัดการใช้อำนาจของพนักงานเจ้าหน้าที่ ซึ่งมีเงื่อนไข ซึ่งมีเงื่อนไขการใช้อำนาจทั่วไปตามมาตรา ๑๘
เมื่อผู้ใช้โดนกระทำตามมาตราต่างๆ ขั้นตอนแรกคือต้องแจ้งตำรวจ(แจ้งความ) และตำรวจก็จะแจ้งพนักงาน ICT ให้ส่งเจ้าหน้าที่มาสำรวจ
ปัจจุบันพนักงานเจ้าหน้าที่มี 2 อำนาจหน้าที่คือ อำนาจที่ใช้ได้ทันที เช่น ให้ผู้บริการส่ง log file มาให้ดู และอำนาจที่ต้องรอขออนุญาตจากศาล เช่น การทำสำเนา (copy) ข้อมูลจากระบบคอมพิวเตอร์, การถอดรหัส, อายัดระบบคอมฯ

flickr:5493741101

การ Block Website
อ้างถึง : มาตรา ๒๐ ในกรณีที่การกระทำความผิดตามพระราชบัญญัตินี้เป็นการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ ที่อาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักร ตามที่กำหนดไว้ในภาคสองลักษณะ ๑ หรือลักษณะ ๑/๑ แห่งประมวลกฎหมายอาญา หรือที่มีลักษณะขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน พนักงานเจ้าหน้าที่โดยได้รับความเห็นชอบจากรัฐมนตรีอาจยื่นคำร้อง พร้อมแสดงพยานหลักฐานต่อศาลที่มีเขตอำนาจขอให้มีคำสั่งระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นได้ ในกรณีที่ศาลมีคำสั่งให้ระงับการทำให้แพร่หลาย ซึ่งข้อมูลคอมพิวเตอร์ตามวรรคหนึ่ง ให้พนักงานเจ้าหน้าที่ทำการระงับการทำให้แพร่หลายนั้นเอง หรือสั่งให้ผู้ให้บริการระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นก็ได้
ในปัจจุบันมาตรานี้ ต้องรออำนาจศาลสั่งเท่านั้น
หน้าที่ของผู้ให้บริการ
อ้างถึง : มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวัน แต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
มาตรานี้มีโทษขั้นสูง เป็นการกำหนดให้ผู้ให้บริการทำการเก็บ log file ต้องระบุตัวผู้ใช้และการใช้งานของผู้ใช้ ต้องมีการให้ลงทะเบียนหรือใช้บัตรประชาชน ซึ่งมาตรานี้จะครอบคลุมทั้งหมดทั้ง internet café, ร้านกาแฟ, โรงแรม รวมถึงธุรกิจทั้งใหญ่และเล็กต่างๆ
log file จะเป็นเครื่องมือที่ช่วยให้หน่วยบังคับใช้กฎหมาย สามารถหาตัวผู้กระทำความผิดได้ สำหรับผู้ให้บริการที่ยังไม่มีอาจเป็นเพราะว่า มีค่าใช้จ่ายในการเก็บ log file ค่อนข้างสูง และถ้าพบผู้ให้บริการกระทำความผิดตามมาตรานี้ นอกจากจะถูกปรับ 500,000 บาทแล้ว ยังจะถูกปรับวันละ 5,000 บาท จนกว่าจะมีการเก็บ log file อีกด้วย

flickr:5493741147
flickr:5493741207

การแต่งตั้ง พนักงานเจ้าหน้าที่

อ้างถึง : มาตรา ๒๘ การแต่งตั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้และความชำนาญเกี่ยวกับระบบคอมพิวเตอร์ และมีคุณสมบัติตามที่รัฐมนตรีกำหนด
พนักงานเจ้าหน้าที่ต้องมีคุณวุฒิทางกฎหมายและทางไอที
เพิ่มเติมเรื่อง พ.ร.บ.

เทคโนโลยี จะเร็วกว่ากฎหมายตลอดเวลา พอกฎหมายออกมาเทคโนโลยีก็อาจจะเปลี่ยนแปลงไปแล้ว ในทางกฎหมายถ้าเราเสียชีวิตไป ทรัพย์สินของเราก็จะไปสู่ทายาท แต่ถ้าเป็นทางเทคโนโลยี account ข้อมูลใน e-mail, ข้อมูลใน face book ก็ยังคงเป็นคำถามอยู่ เหมือนการเล่นการพนันบน internet ก็ยังคงเป็นคำถามอยู่เช่นกัน
สำหรับเรื่องลิขสิทธิต่างๆ เช่น อย่างเราทำรายงาน you tube แล้วนำเพลงมาประกอบวิดีโอของเรา จะถือว่าผิดเรื่องลิขสิทธิหรือไม่ เรื่องนี้อาจารย์ได้เช็คแล้วว่าถ้าวิดีโอของเราเกี่ยวข้องกับการศึกษา ก็ไม่มีความผิด แต่ต้องมีการอ้างอิงแหล่งที่มาด้วย สำหรับคนที่ใช้เพื่อการค้าหรือผลกำไรเช่น ใช้ทำ e-commerce แล้วเอา logo, เพลงหรือรูปภาพ มาใช้จะถือว่ามีความผิดตามกฎหมาย
คิดว่าจะสามารถมีการบังคับใช้ พ.ร.บ. ได้จริงหรือไม่ เรื่องนี้อาจารย์ให้คำตอบว่า ทำได้ยากมากๆ เพียงแค่เรื่องการปล่อยไวรัส ตามมาตรา 9 คนที่ปล่อยต้องติดคุก 5 ปี ถ้าทำได้จริงคงมีคนติดคุกไปเป็นจำนวนมากแล้ว และอีกหนึ่ง ต.ย. คือเคส face book ของพนักงาน DHL การส่งต่อ, การ retweet, การนำภาพไปขึ้น face book นั่นก็คือการส่งต่อเผยแพร่ซึ่งก็ถือว่ากระทำผิดตาม พ.ร.บ. รวมถึงมาตราที่เป็นปัญหาอยู่ก็คือมาตรา 26 เรื่องการเก็บ log file ขององค์กร ในหลายองค์กรไม่มีความพร้อมเนื่องจากมีงบน้อยไม่มีการลงทุนในการจัดเก็บ log file ซึ่งจะต้องใช้ software ในการจัดเก็บ นี่ก็เป็นข้อจำกัดของกฎหมายในปัจจุบัน ซึ่งเชื่อว่าอีกไม่นานก็จะมีการแก้ไขเปลี่ยนแปลง
Technological Safeguard

วิธีการที่จะป้องกันภัยคุกคามที่เกิดขึ้นกับไอที แรกสุดที่องค์กรต้องทำในเรื่องของการป้องกันความเสี่ยงคือ จะต้องมีการกำหนดหรือระบุผู้ที่มีสิทธิในการเข้าถึงข้อมูล แน่นอนว่าข้อมูลในองค์กรไม่ควรจะเป็นข้อมูลที่เปิดให้ทุกคนสามารถเข้าถึงได้
กระบวนการในการพิสูจน์ตัวบุคคลในระบบไอที
Authentication เป็นกระบวนการในการพิสูจน์ตัวบุคคล เป็นการกำหนดและระบุผู้มีสิทธิเข้าถึงข้อมูล และพิสูจน์ให้ได้ว่าเป็นผู้มีสิทธินั้นจริง มีอยู่ 3 รูปแบบหลักๆ คือ
• Something you have พิสูจน์จากสิ่งที่เรามี เช่น smart card
• Something you know พิสูจน์จากสิ่งที่เรารู้ เช่น password
• Something you are พิสูจน์จากสิ่งที่เราเป็น เช่น fingerprints, retina scan
ที่เป็นที่นิยมที่สุดในการพิสูจน์ตัวเราก็คือ Something you know คือการใช้ username และ password ซึ่งปัญหาของการใช้ password ในปัจจุบันทำให้เป็นการสร้างช่องโหว่ในองค์กรได้ หลายองค์กรไม่เชื่อใน password ก็จะนำ Something you have มาใช้เช่นการใช้ smart card ร่วมกับ password ซึ่งบางองค์กรที่ต้องการความปลอดภัยสูงจะใช้ Something you are คือใช้ส่วนหนึ่งส่วนใดของร่างกาย หรือพฤติกรรมของเราในการพิสูจน์ตัวเรา สิ่งที่เห็นได้ชัดที่สุดก็คือใช้ลายนิ้วมือ และในบางธนาคารมีการสแกนม่านตาด้วย

flickr:5494373804

Biometrics

อีกชื่อหนึ่งของ Something you are คือ Biometrics

ถ้าเป็นองค์กรที่ให้ความสำคัญด้านความปลอดภัยจริงๆ จะใช้ทั้ง 3 อย่างเพื่อให้แน่ชัดว่าเราคือเรา แต่แน่นอนว่า password สามารถที่จะแชร์กันได้ และ password กับ smart card ก็สามารถที่จะถูกขโมยกันได้ และอย่างลายนิ้วมือก็ทำการปลอมได้โดยนำเอาสก๊อตเทปแปะ
Something you are ถึงจะปลอดภัยสูงแต่ก็เป็นประเด็นในการละเมิดสิทธิส่วนบุคคล อย่างเช่นการใช้ลายนิ้วมือในนิด้า อาจารย์บางท่านก็มองว่าเป็นการละเมิดสิทธิส่วนบุคคล และหลายนิ้วมือก็ไม่ใช่ระบบที่ดีเสมอไป อย่างถ้าเราไปทำอะไรให้ลายนิ้วมือเปลี่ยน เช่น การโดนมีดบาดจากการปลอกผลไม้ แต่ระบบบางอย่างก็เปลี่ยนยากเช่นในหลายๆ องค์กรมีการ check DNA แต่เทคโนโลยีที่มีความละเอียดสูง ราคาก็จะสูงตามไปด้วย
Access-Control Software

เป็นการระบุสิทธิในการเข้าถึงข้อมูล จะมาพร้อมกับ OS สามารถระบุได้ว่าผู้ใช้นั้นๆ สามารถเข้าถึงข้อมูลใด เข้าถึงโฟล์เดอร์ใดได้บ้าง และไม่สามารถเข้าถึงส่วนใดบ้าง
Protecting a Wireless Network

ในเรื่องของ wireless ตรงนี้จะเป็นช่องโหว่ในเรื่องของความปลอดภัยค่อนข้างเยอะ เนื่องจากว่าข้อมูลถูกส่งผ่านทางอากาศ สามารถจะถูก interface ได้ง่ายกว่าในรูปแบบที่มีสาย ในส่วนของ wireless อย่างแรกสุด ควรจะมีการใช้ security protocol ในส่วนของ wifi ซึ่งในปัจจุบันก็ใช้มาตรฐานช่วยคือ WPA หรือ Wire protected access ตอนนี้มี version 2 แล้ว หลายคนไม่มีมาตรฐานตัวนี้ก็ทำให้คนอื่นเข้าไปใช้งานได้
อีกสิ่งหนึ่งที่สามารถจะลดความเสี่ยงในเรื่องของ wifi ได้ คือ ควรจะมีการระบุที่เครื่องคอมพิวเตอร์ที่สามารถเข้าถึง access point ได้ ที่สำคัญคือไม่ควรจะมีการ broadcast สัญญาณ wifi ถ้าในระดับบ้านอาจารย์แนะนำว่าเราควรจะเปลี่ยน password ในส่วนของ access point เวลาเราซื้อ access point มาจะมีซอง password ซึ่งเราควรต้องเปลี่ยนเพราะตอนซื้อ password จะมาพร้อมกับ manufacture หลายคนไม่เปลี่ยน password จะเป็นความเสี่ยงอย่างหนึ่ง
กระบวนการในการรักษาความลับของข้อมูล ระหว่างมีการนำส่ง ผ่านทางระบบเครือข่าย หรือระบบ internet กระบวนการนี้เราเรียก Encryption

flickr:5494373868

Encryption

Encryption มีใช้มาตั้งแต่โบราณจนถึงปัจจุบันและบนระบบ internet ด้วย เป็นกระบวนการสร้างความลับของข้อมูลในระหว่างที่มีการนำส่ง หรือจะเรียกว่าการเข้ารหัสก็ได้ ซึ่งตรงกันข้ามกับ Decryption ซึ่งในที่นี้อาจารย์ยก ต.ย. โดยการเล่าเป็นนิทานดังนี้
มีเจ้าชายกับเจ้าหญิงอยู่กันคนละเมืองและสองเมืองนี้ไม่ถูกกัน แต่ต้องการจะติดต่อสื่อสารกันและในการติดต่อสื่อสารกันนี้ก็มี messenger ที่คอยเป็นผู้ส่งสาร ประเด็นก็คือ เจ้าชายและเจ้าหญิงต้องหาวิธีที่ว่า จะทำอย่างไรที่จะสื่อสารกันได้โดยที่ messenger ไม่ทราบว่าข้อมูลในสารคืออะไร เจ้าชายและเจ้าหญิงก็ค้นพบวิธีที่เป็นที่มาที่เราใช้ Encryption กันอยู่บน internet สมมุติว่าเจ้าชายต้องการที่จะส่งข้อความไปให้เจ้าหญิงว่า I love you เจ้าชายและเจ้าหญิงก็จะทำการสร้างสิ่งที่เรียกว่า Algorithm โดยที่ใน Algorithm ก็จะมีการตกลงว่าถ้าเขียนคำว่า I ก็จะแทนด้วยเลข 2, l แทนด้วย y, o แทนด้วย e, v แทนด้วย 7, e แทนด้วย 5, y แทนด้วย b, o แทนด้วย x และ u แทนด้วย 1 เป็นต้น
คำว่า I love you เราเรียกว่าเพียร์เท็กซ์ คือกระบวนการที่ทุกคนจะสามารถอ่านออก จะสามารถรู้ได้ ด้านเจ้าชายและเจ้าหญิงก็จะมีการแชร์สิ่งที่เรียกว่า Algorithm เจ้าชายจะส่งข้อความให้เจ้าหญิงโดยวิธีการใช้ Algorithm เข้าไป encryption หลังจาก encrypt แล้ว Algorithm ก็จะกลายเป็นรหัส 2ye75bx1 เป็นต้น รหัสนี้เราเรียกว่า cipher text หลังจากที่เจ้าชายใช้ Algorithm ในการ encrypt แล้ว คำว่า I love you ก็กลายเป็น cipher text แล้ว เจ้าชายก็เอาข้อความนี้ไปให้ messenger ใส่เข้าไปในจดหมาย หาก messenger เปิดดู ก็ไม่สามารถอ่านได้ ไม่สามารถเข้าใจได้ว่ามันคืออะไร เพราะ Algorithm ถูกแชร์ระหว่างเจ้าชายและเจ้าหญิงเท่านั้น messenger ก็ได้ cipher text ไป ระหว่างทางถ้ามีการปล้นหรือฆ่าเพื่อชิงเอาจดหมายไป โจรก็ไม่สามารถอ่านออกได้เพราะไม่รู้ว่า Algorithm คืออะไร ถ้าสมมุติว่า messenger อยู่รอดและสามารถจะส่งข้อความนี้ไปให้เจ้าหญิง เมื่อเจ้าหญิงได้รับข้อความที่เป็น cipher text เจ้าหญิงก็จะนำ Algorithm ที่แชร์กับเจ้าชายไปผ่านกระบวนการที่เรียกว่า Decryption หลังจากที่ decrypt แล้ว cipher text ตัวนี้ก็กลายเป็นเพียร์เท็กซ์ ว่า I love you เหมือนเดิม เจ้าหญิงก็สามารถอ่านข้อความนี้ออก

flickr:5494373894
flickr:5493780969

นี่ก็คือกระบวนการ Encryption และ Decryption ซึ่งเป็นกระบวนการที่ใช้มานานแล้ว สงครามโลกครั้งที่ 2 ก็ใช้กระบวนการนี้ในการติดต่อสื่อสารกันเพื่อที่จะให้อีกฝั่งไม่สามารถรู้ได้ว่าข้อมูลที่ใช้สื่อกันคืออะไร
สิ่งที่สำคัญที่สุดในกระบวนการนี้คือ Algorithm จะต้องถูกรักษาให้เป็นความลับ
ในส่วนของไอที กระบวนการ Encryption คือกระบวนการที่เข้าไปสร้างความลับให้กับข้อมูลในระหว่างที่มีการนำส่ง ผ่านกระบวนการในการใช้กุญแจ ซึ่งในกุญแจประกอบไปด้วย Algorithm
กระบวนการ Encryption มีด้วยกันทั้งหมด 2 ประเภทหลักๆ ในเรื่องของไอที เวลาเข้าไปใน browser แล้วขึ้น https เป็นกระบวนการที่จะมีการใช้ encryption แล้ว ประเภทแรกคือ
Symmetric Key Encryption หรือ Secret Key Encryption มีการใช้มานาน Encryption ประเภทนี้ ผู้ส่งและผู้รับ, ข้อความและข้อมูล จะต้องมีการแชร์กุญแจ (share key) เดียวกัน ใน key ก็จะประกอบไปด้วย Algorithm
ต.ย. คุณจินตนาและอาจารย์ ต้องการจะติดต่อสื่อสารกันโดยที่ไม่ให้คนอื่นรู้ อาจารย์กับคุณจินตนาก็จะต้องมีการ share key ด้วยกันในที่นี้ให้เป็น key สีน้ำเงิน และถ้าอาจารย์ต้องการจะส่งข้อความให้คุณจินตนา ก็ใช้ key สีน้ำเงิน ระหว่างนั้นคุณชุติรัตน์ ขโมยไประหว่างทางโดยใช้ software package sniffers คุณชุติรัตน์ก็ไม่สามารถจะอ่านข้อความนั้นได้ เพราะว่าข้อมูลนี้มันถูก encrypt มีคุณจินตนาเท่านั้นที่สามารถจะอ่านข้อมูลนี้ได้ ถ้าคุณจินตนาได้ข้อมูลนี้ไปทำการ decrypt เป็นการถอดรหัส
ถ้าอาจารย์ต้องการส่งข้อความให้คุณชุติรัตน์ จะใช้ key สีน้ำเงินเดียวกันกับที่ส่งให้คุณจินตนาไม่ได้ เพราะถ้าใช้ คุณจินตนา ขโมยไปก็สามารถอ่านข้อความนั้นได้ คือถ้าจะติดต่อกับใครทุกคู่สายจะต้องมี key อีก key คือมีกุญแจที่แตกต่างกัน
ถ้าอาจารย์จะติดต่อคุณชุติรัตน์แล้วใช้ key ดอกเดียวกับที่ติดต่อคุณจินตนา แน่นอนว่าถ้า key สีแดงข้อความนี้ไป คุณจินตนาสามารถขโมยไปแล้วถอดรหัสได้ ดังนั้นจุดสำคัญของ Encryption คือทุกคู่ที่มีการติดต่อจะต้องมี key ที่แตกต่างกัน ถ้าอาจารย์ต้องการติดต่อคุณชุติรัตน์ อาจารย์จะต้องสร้าง key ขึ้นมาอีกคู่หนึ่ง ในที่นี้อาจารย์จะสมมุติให้เป็น key สีแดง
ถ้าต้องการส่งข้อความให้คุณชุติรัตน์ก็จะใช้ key สีแดงในการencrypt ถ้าระหว่างทางคุณจินตนาขโมยไป คุณจินตนาก็ใช้ key สีน้ำเงินในการ encrypt ไม่ได้ ต้องเป็นคุณชุติรัตน์ที่มีการ share key สีแดงเท่านั้น พูดง่ายๆคือแต่ละคู่ของการสื่อสารจะต้องมี key ดอกเดียวกัน
ปัญหาอาจเกิดขึ้นถ้าเรามีการติดต่อสื่อสารกันกับคนเป็นพันๆ คนเป็นหมื่อนหรือเป็นล้านคน ก็ต้องมี key เป็นล้านคู่ ปัญหาจะเป็นเรื่องของการบริหาร key หรือ key management แต่ปัจจุบัน symmetric เลิกใช้งานไปแล้ว
ในปัจจุบันจะใช้ในรูปแบบที่เรียกว่า Public Key Encryption หรืออีกชื่อหนึ่งคือ Asymmetric Key Encryption กระบวนการนี้จะมี Key อยู่ 2 ดอก ดอกที่ 1 เราเรียก Public Key อีกดอกเราเรียก Private Key
Public Key เราส่งสู่สาธารณะแต่ Private Key จะมีคนเดียวในโลกที่มี ถ้าข้อมูลถูก encrypt ด้วย Public Key มันจะต้องถูกถอดรหัสได้ด้วย Private Key เท่านั้น เช่นเดียวกันถ้าข้อมูลนั้นถูก encrypt ด้วย Private Key มันจะสามารถถูกถอดรหัสได้โดย Public Key เท่านั้น
ต.ย.สมมุติว่า key สีแดง คือ Private Key ของคุณชุติรัตน์แล้วคุณชุติรัตน์ส่ง Public Key สีดำ ไปให้ทุกคน แล้วอาจารย์ต้องการส่ง e-mail ไปให้คุณชุติรัตน์ โดยใช้ Public Key ของคุณชุติรัตน์ในการ encrypt ถ้าระหว่างทางคุณจินตนาขโมยข้อมูลนี้ไป ถามว่าคุณจินตนาจะใช้ Public Key สีดำ ในการ encrypt ได้หรือไม่ คำตอบคือไม่ได้ มีเพียง Private Key ดอกเดียวเท่านั้นที่ใช้ถอดรหัสได้และนั่นก็หมายความว่า คุณชุติรัตน์เป็นคนเดียวเท่านั้นที่จะใช้ถอดรหัสข้อมูลได้ ถ้าข้อความนั้นๆมันถูก encrypt ด้วย Public Key ดอกเดียวที่จะถอดรหัสได้คือ Private Key ซึ่ง Public Key จะถอดรหัส Public Key ไม่ได้
กระบวนการนี้จะเข้าไปแก้ปัญหาของ Key Management ในเรื่องของ encryption เพราะว่าเราสามารถจะสร้าง key ตัวเดียวคือ Private Key เราไม่ต้องสร้าง key มาเป็นคู่ทุกคู่
เราส่ง Public Key ไปให้ทุกคนในโลกนี้ ถ้าเกิดใครต้องการส่งข้อความมาหาเราที่เป็นข้อความที่เป็นความลับและต้องการให้เราเป็นเพียงคนเดียวในโลกที่สามารถเปิดได้ก็คือใช้ Public Key ของเราในการ encryption มีเพียงเราคนเดียวในโลกที่มี Private Key อันนี้จะเป็น concept ของ secure sockets layer (SSL) ใน SSL ที่เราเห็นใน browser ที่ขึ้นต้นด้วย https นี้ ข้อมูลทุกอย่างที่เราใส่เข้าไปไม่ว่าจะเป็น credit card หรือข้อมูลส่วนตัว มันถูก encrypt ด้วย web server public key หลังจากนั้นพอส่งไป คนอื่นถึงจะมี web server public key ก็ไม่สามารถที่จะ decrypt ได้ มีเพียง web server เท่านั้นที่สามารถจะถอดรหัส decrypt ข้อมูลนั้นได้
นี่คือกระบวนการในการรักษาความลับของข้อมูลบน internet วิธีการที่เราส่ง Public Key ในปัจจุบันก็คือการส่งผ่านทางที่เราเรียกว่า Certificate Authority วิธีการมีอยู่ว่า Certificate Authority เป็น Third party เป็นลักษณะบริษัทอย่าง verifies (ปัจจุบันกรมพัฒนาธุรกิจการค้าก็มีให้บริการ Certificate Authority ด้วย) เริ่มจาก web server ทำการส่งข้อมูลของตัวเอง ในข้อมูลนั้นก็จะมี Public Key ของตัวเองไปเก็บที่ Certificate Authority สมมุติว่าถ้าเราต้องการทำธุรกรรมกับ server นั้นๆ เราก็ต้องทำการ request ไปที่ Certificate Authority ว่าเราต้องการทำธุรกรรมกับ server นั้นๆ server นั้นก็จะทำการ certificate มาที่ browser เรา หลังจากนั้นใน certificate ของ web server ก็จะประกอบไปด้วยรายละเอียดไม่ว่าจะเป็นในเรื่องว่าใครเป็นคนออก certificate ให้, ชื่อและ วันหมดอายุ ที่สำคัญที่สุดจะต้องมี Public Key ของ server นั้นๆอยู่
วิธีการคือเวลาที่เราต้องทำธุรกรรมหรือว่าต้องการที่จะสร้างความลับของข็อมูลระหว่างที่มีการนำส่ง เราก็นำเอา Public Key ที่อยู่ใน certificate เข้ามา encrypt ข้อมูลนั้น ถ้ามีคนขโมยข้อมูลนั้นไปก็ไม่สามารถจะอ่านออกได้ เนื่องจากว่ามันถูก encrypt ด้วย Public Key ของ server นั้นๆ มีเพียงแค่ Private Key ของ server นั้น ที่สามารถจะถอดรหัสข้อมูลนั้นได้

flickr:5494373974
flickr:5493781099

นี่ก็คือกระบวนการรักษาความลับของข้อมูลระหว่างที่มีการนำส่งข้อมูลบน internet ที่เราใช้กันอยู่ในปัจจุบัน ต.ย.ของ certificate หลักๆก็จะมีการบอกว่า issue โดยใคร, valid ตั้งแต่เมื่อไหร่ วันหมดอายุตั้งแต่เมื่อไหร่ และที่สำคัญก็ต้องมีตัว Public Key ซึ่ง Public Key ตัวนี้จะเป็นตัวที่ใช้เข้ารหัสข้อมูลที่เราใส่เข้าไปเวลาที่เรามีการติดต่อสื่อสารกับ server นั้นๆ ซึ่งนี่ก็คือ concept ของ secure sockets layer และ concept ของ Public Key Encryption ที่ใช้กันอยู่ในปัจจุบันในการรักษาความลับของข้อมูลที่ต้องมีการนำส่งบน internet แปลความง่ายๆคือ คนที่ขโมยไประหว่างทางแม้ว่าขโมย package ได้ แต่ก็ไม่สามารถจะรู้ได้ว่าข้อมูลในนั้นคืออะไร
กระบวนการ Encryption และ Decryption แม้ว่าจะเข้าไปรักษาความลับของข้อมูลก็ตามแต่มันก็ทำให้การส่งข้อมูลช้าลง ถึงเป็นสาเหตุที่ว่าทำไม voice OIP ถึงไม่สามารถทำ encrypt ได้ อีกหนึ่งเรื่องก็คือว่า ความปลอดภัยของทั้งระบบมันขึ้นอยู่กับความยาวของ key หรือความซับซ้อนของ key ในปัจจุบัน 2,048 bid ก็ถือว่ามากที่สุดและค่อนข้างปลอดภัย สาเหตุคือ ถ้ามากกว่านี้ก็ยิ่งทำให้กระบวนการในการ encrypt ช้าลง
ในข้อสอบจะไม่ถามกระบวนการทั้งหมด แต่ควรจะเข้าใจ concept ของ Encryption และ Decryption
Public Key Encryption ก็มีการนำมาใช้ในระบบ intranet และextranet ผ่านทาง Virtual Private Network ก็คือ ในการติดต่อสื่อสารในองค์กรและนอกองค์กร กระบวนการในการรักษาความลับก็จะนำเอา concept public key ของ encryption มาใช้

Firewall

Firewall เป็น hardware หรือ software ก็ได้ โดยส่วนใหญ่จะเป็น software หลักๆ ของ firewall ก็คือการทำ filter package ที่มีการนำเข้าและออก ระหว่างระบบเครือข่าย เช่น สามารถที่จะทำการ block application, block package ได้ เช่น ยก ต.ย. ที่ทำงานบางคนสามารถใช้ MSN ได้ บางคนสามารถเข้าเว็บไซด์นั้นได้ แต่บางคนเข้าไม่ได้ เป็นต้น เพราะมันมีการตั้งค่า setting ไว้ใน firewall
Firewall เองก็มีหลายระดับ ขึ้นอยู่กับการให้ความสำคัญกับความปลอดภัยของแต่ละข้อมูลองค์กรถ้าเป็น firewall ใน intranet จะค่อนข้างมีกฎเกณฑ์ที่เข้มงวดหน่อยมากกว่าในส่วนของ web server

Audit Control Software

Audit Control Software จะเกี่ยวข้องกับ มาตรา 26 เป็น softwareที่นำมาใช้ในการเก็บ log file ซึ่ง software นี้จะทำการ record activity ทั้งหลายที่เกิดขึ้นในระบบเครือข่าย
หลายๆ องค์กร มีการเก็บสำรองข้อมูลที่เรียกว่าการทำ Back up ซึ่งเป็นการลดความเสี่ยง
Risk assessment

ระดับความเสี่ยงจะรุนแรงขึ้นหากกิจกรรมหรือกระบวนการนั้นๆไม่สามารถจะถูกควบคุมได้อย่างถูกต้อง

Safeguarding Information Systems Resources
การบริหารความเสี่ยงจะมีขั้นตอนดังนี้
ขั้นที่ 1 ระบุความเสี่ยง ว่าในองค์กรจะมีความเสี่ยงในเรื่องใดบ้าง เช่น อาจจะเป็น ไวรัส หรือ ไฟฟ้าดับ
ขั้นที่ 2 ประเมินโอกาสเกิด ว่ามีโอกาสจะเกิดความเสี่ยงนั้นๆกี่เปอร์เซ็นต์
ขั้นที่ 3 อะไรคือความเสียหายขั้นต่ำสุดและสูงสุด
เมื่อพบความเสี่ยง เรามี 3 ทางเลือกหลักๆ คือ
1. ลดความเสี่ยง
2. ยอมรับความเสี่ยง ถ้าเครื่องมือหรือ software ป้องกันความเสี่ยงมีมูลค่าสูงกว่าความเสียหายที่ประเมินได้
3. ส่งต่อความเสี่ยงให้คนอื่น ให้องค์กรอื่นมารับความเสี่ยง เช่นการทำประกันภัย
ซึ่งในแต่ละองค์กรควรมีนโยบายในการรักษาความปลอดภัยขององค์กรและระบุว่าพฤติกรรมใดพนักงานควรทำหรือไม่ควรทำ ซึ่งในการรักษาความปลอดภัยของข้อมูลต่างๆ ก็ควรจะมีการเก็บรักษาเป็นอย่างดี เนื่องจากข้อมูลใน internet และข้อมูลใน e-mail ต่างๆ สามารถใช้เป็นพยานทางกฎหมายได้
ถ้าดูจากกราฟด้านล่างแล้ว แสดงให้เห็นว่ายิ่งความง่ายต่อการใช้งานในระบบรักษาความปลอดภัยน้อยลงหรือเรียกว่าใช้งานยาก ความปลอดภัยก็จะยิ่งสูงขึ้น และยิ่งถ้าเป็นระบบที่ให้ความปลอดภัยสูงนั้น ราคาก็จะสูงตามไปด้วย

flickr:5494374178
flickr:5494374236

page revision: 3, last edited: 03 Mar 2011 13:08
EditTags History Files Print Site tools+ Options