บทที่ 8 การใช้สารสนเทศตามกฎหมายและจริยธรรม กลุ่มเรียน 1
รายวิชา การจัดการสารสนเทศยุคใหม่ในชีวิตประจำวัน รหัสวิชา 0026008
ชื่อ-สกุล นางสาวมณีนุช แก้ววรรณา รหัส 57010914025
8.จงสรุปแนวทางในการแก้ปัญหาอาชญากรรมทางคอมพิวเตอร์
ตอบ
การป้องกันอาชญากรรมคอมพิวเตอร์ (Preventing computer crime) จากการเรียนรู้เทคนิคการเจาะข้อมูลของนักก่อกวนคอมพิวเตอร์ (Hacker) ทั้งหลาย องค์กรต่างๆ
สามารถหาวิธีที่เหมาะสมเป็นการป้องกันอาชญากรรมทางคอมพิวเตอร์ได้
1. การว่าจ้างอย่างรอบคอบและระมัดระวัง (HIRECAREFULLY) ดังที่ได้เคยกล่าวไว้แล้วว่าปัญหาอาชญากรรมคอมพิวเตอร์ส่วนใหญ่มาจากพนักงานภายในองค์กร
ดังนั้นในกระบวนการจ้างคนเข้าทำงานต้องดูคนที่ซื่อสัตย์สุจริต มีความรับผิดชอบ
เป็นการยากที่จะสรรหาคนดังกล่าว แต่เราสามารถสอบถามดูข้อมูลอ้างอิงเก่าๆ ของเขาได้
หรือดูนิสัยส่วนตัวว่าดื่มสุรา สูบบุหรี่ และเล่นการพนันหรือไม่
สิ่งเหล่านี้ประกอบกันเข้าจะเป็นสิ่งบ่งชี้นิสัยของคนได้
2. ระวังพวกที่ไม่พอใจ (Beware of
malcontents) ปัญหาหลักในการป้องกันอาชญากรคอมพิวเตอร์ก็คือพนักงานในองค์กรนั้นเอง
พนักงานเหล่านั้นมีความรู้และความเชียวชาญในระบบคอมพิวเตอร์แต่ไม่พอใจการบริหารงานของผู้บังคับบัญชาเนื่องจากไม่ได้รับการเลื่อนตำแหน่งหน้าที่
บางครั้งถูกให้ออกจากงาน และเกิดความแค้นเคือง ทำให้มีการขโมย การทำลาย
หรือการเปลี่ยนแปลงข้อมูลที่สำคัญภายในองค์กร
3. การแยกหน้าที่รับผิดชอบของพนักงาน (Separate
employee function) ในกลุ่มคนที่ทำงานร่วมกันเรากำหนดและบ่งบอกว่าใครคนใดคนหนึ่งเป็นอาชญากรทางคอมพิวเตอร์นั้นคงยาก
มีวิธีการใดบ้างที่จะแก้ปัญหาถ้าหากมีคนไม่ดีซึ่งประสงค์ร้ายต่อข้อมูลขององค์กร
ได้มีหลายบริษัททีเดียวที่พยายามจัดรูปแบบการทำงานของพนักงานที่คาดว่าน่าจะล่อแหล่มต่อการก่ออาชญากรรมข้อมูล
เป็นต้นว่า คนที่มีหน้าที่จ่ายเช็ค (Check)
ในองค์กรก็ไม่ได้รับมอบหมายให้มีหน้าที่ปรับข้อมูลเกี่ยวกับอัตราเงินเดือน
หรือแม้แต่ในบางธนาคารก็จะกันพื้นที่จำเพาะบางส่วนในเช็คไว้ให้เป็นพื้นที่สำหรับเจ้าของเช็คได้ทำการเซ็นชื่อ
4. การจำกัดการใช้งานในระบบ (Restrict
system use) คนในองค์กรน่าที่จะมีสิทธิในการใช้ทรัพยากรข้อมูลเท่าที่เหมาะสมกับหน้าที่งานของเขาเท่านั้น
แต่ก็ยากที่จะบ่งชี้ชัดแบบนี้
องค์กรเองต้องหาขั้นตอนวิธีใหม่ในการควบคุมข้อมูลที่สำคัญขององค์การ
เราอาจจะไม่อนุญาตให้พนักงานมีการดึงหรือเรียกใช้ข้อมูลเกินลักษณะงานที่เขาควรจะเรียนรู้
โดยซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์สามารถควบคุมการใช้ข้อมูลดังกล่าวได้
ยิ่งกว่านั้นเราควรกำหนดขั้นตอนการทำงานและลักษณะการใช้งานของข้อมูลไว้ด้วย
ซึ่งต้องขึ้นอยู่กับชนิดของข้อมูล และลักษณะเฉพาะขององค์กรนั้นๆ เองด้วย
5. การป้องกันทรัพยากรข้อมูลด้วยรหัสผ่านหรือการตรวจสอบการมีสิทธิใช้งานของผู้ใช้
(Protect resources with passwords or other user authorization cheeks a
password) รหัสผ่าน (Password) เป็นกลุ่มข้อมูลที่ประกอบไปด้วยตัวอักษร ตัวเลข หรือสัญลักษณ์อื่นๆ
ที่ประกอบกันเข้า และใช้สำหรับป้อยเข้าในระบบคอมพิวเตอร์
เพื่อเราสามารถที่จะใช้งานซอฟต์แวร์และฮาร์ดแวร์ได้อย่างถูกต้อง
และจำกัดอยู่เฉพาะกลุ่มคนที่มีรหัสผ่านเท่านั้น เช่น การใช้งานคอมพิวเตอร์ขนาดใหญ่
(Mainframe)
และการใช้งานระบบเครือข่ายคอมพิวเตอร์นั้นจำเป็นต้องใช้รหัสผ่าน
เพราะระบบดังกล่าวออกแบบมาสำหรับผู้ใช้หลายๆ คน
และใช้ในเวลาเดียวกันได้ด้วยอย่างไรก็ตามรหัสผ่านต้องได้รับการเปลี่ยนอยู่เรื่อยๆ
ในช่วงเวลากำหนด ทั้งนี้เพื่อป้องกันและลดการล่วงรู้ไปถึงผู้อื่นให้น้อยที่สุด
6. การเข้ารหัสข้อมูลโปรแกรม (Encrypt data
and programs) การเข้ารหัสข้อมูลเป้นกระบวนในการซ้อนหรือเปลี่ยนรูปข้อมูลและโปรแกรมให้อยู่ในรูปของรหัสชนิดใดชนิดหนึ่ง
เพื่อไม่ให้คนอื่นทราบว่าข้อมูลจริงคืออะไร
ข้อมูลข่าวสารที่สำคัญขององค์กรจำเป็นต้องเข้ารหัสก่อนการส่งไปยังผู้รับซึ่งอาจจะจัดหาโปรแกรมการเข้ารหัสที่มีอยู่ในปัจจุบันหรือจะพัฒนาขึ้นมาใหม่เองก็ได้
ในปี ค.ศ 1988 วิธีการเข้ารหัสข้อมูลได้รับการพัฒนาขึ้นจากสำนักกำหนดมาตรฐานในสหรัฐอเมริกา
และธนาคารก็ได้ใช้ในการทำธุรกิจของตนเอง และการติดต่อกับกรมธนารักษ์ด้วย
7. การเฝ้าดูการเคลื่อนไหวของระบบข้อมูล (Monitor
system transactions) ในการเฝ้าดูการเคลื่อนไหวของระบบข้อมูลเคลื่อนไหว
หรือระบบจัดทำรายการต่างๆ
นั้นจะมีโปรแกรมช่วยงานด้านนี้โดยเฉพาะโดยโปรแกรมจะคอยบันทึกว่ามีใครเข้ามาใช้ระบบบ้าง
เวลาเท่าใด ณ ที่แห่งใดของข้อมูล
และวกลับออกไปเวลาใดแฟ้มข้อมูลใดที่ดึงไปใช้ปรับปรุงข้อมูล เป็นต้นว่า ลบ เพิ่ม
เปลี่ยนแปลงอื่นๆ นั้นทำที่ข้อมูลชุดใด
8. การตรวจสอบระบบอย่างสม่ำเสมอ (Conduct
frequent audit) อาชญากรคอมพิวเตอร์ส่วนใหญ่จะถูกเปิดเผยและถูกจับได้โดยความบังเอิญ
บางครั้งก็ใช้เวลานานทีเดียวกว่าจะจับได้ ในกรณีตัวอย่างของนาย M.
Buss และ Lynn salerno ได้ใช้คอมพิวเตอร์ส่วนบุคคลในการลักลอบดึงข้อมูลหมายเลขบัตรเครดิตจากสำนักงานเครดิตและใช้บัตรดังกล่าวซื้อสินค้าคิดเป็นค่าใช้จ่ายจำนวน 50,000 เหรียญสหรัฐฯ และในที่สุดถูกจับได้เมื่อบุรุษไปรษณีย์
เกิดความสงสัยว่าทำไมถึงมีจดหมายและพัสดุต่างๆ
9. การให้ความรู้ผู้ร่วมงานในเรื่องระบบความปลอดภัยของข้อมูล
(Educate people in security measures) พนักงานทุกคนควรต้องรู้ระบบความปลอดภัยของข้อมูลในองค์กรเป็นอย่างดี
ในกรณีตัวอย่างของพนักงานไม่พอใจผู้บริหารอาจเนื่องมาจากการที่ไม่ได้รับเลื่อนตำแหน่งหน้าที่
หรือเรื่องอื่นๆ พนักงานในลักษณะนี้มีแนวโน้มที่จะคุกคามระบบความปลอดภัยข้อมูลขององค์กร
โดยพยายามที่เข้าไปดูข้อมูลที่สำคัญขององค์กร
และสอบถามข้อมูลที่สำคัญที่เกี่ยวข้องกับระบบความปลอดภัยซึ่งไม่ใช่ภารกิจหรือหน้าที่ของพนักงานคนดังกล่าวที่จะต้องทำเช่นนั้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น