1.ท่านสามารถประยุกต์ใช้ระบบสารสนเทศในองค์กรของท่านได้อย่างไร บอกกรอบความคิด ขั้นตอน ผลกระทบให้เห็นกระบวนการคิดของท่านทั้งระบบ
ตอบ ระบบสารสนเทศ ประกอบด้วย ข้อมูลนำเข้า การประมวลผล และผลลัพธ์
กรอบความคิดในการประยุกต์ใช้ระบบสารสนเทศในองค์กร มีดังนี้
1) ระบบสารสนเทศเป็นเครื่องมือที่ช่วยอำนวยความสะดวก รวดเร็วในการบริหารและตัดสินใจ
2) ระบบสารสนเทศในช้กำหนด วิสัยทัศน์ พันธกิจ กลยุทธ์วัตถุประสงค์และเป้าหมายขององค์กร
3) ระบบสารสนเทศใช้ติดต่อสื่อสารระหว่างผู้บริหาร และบุคลากรในองค์กรรวมทั้งระหว่างองค์กรด้วย
4) ระบบสารสนเทศใช้กำหนดทิศทางในการดำเนินงานขององค์กร
5) ระบบสารสนเทศสามารถสร้างความได้เปรียบในการแข่งขัน สร้างความมั่นคง เติบโตขององค์กรได้
ขั้นตอน การนำระบบสารสนเทศมาใช้ในองค์กร
1) ต้องมีการวางแผนกลยุทธ์สารสนเทศที่ดีก่อนดำเนินการ
2) ต้องมีความสอดคล้องกับนโยบายและแผนกลยุทธ์ขององค์กร
3) ผู้บริหารต้องมีบทบาท ดังนี้
- มีเจตคติที่ดีต่อระบบสารสนเทศ
- สนับสนุนและจัดหาทรัพยากร เช่น บุคลากร สถานที่ และงบประมาณ เป็นต้น
- ให้ความร่วมมือกับทีมงานพัฒนาระบบ
- เป็นผู้นำการใช้ ICT
4) ระบบสารสนเทศ ต้องเชื่อมโยงกับแหล่งข้อมูลภายนอก
5) ต้องจัดให้มีการดำเนินการป้องกันและรักษาความปลอดภัยแก่ระบบ ICTขององค์กร
ผลกระทบ
1) ผู้ใช้มีทัศนคติที่ดีต่อระบบ ICT
2) บุคลากรในองค์กรให้การยอมรับและนำระบบไปปรับใช้ในการทำงาน
3) การสื่อสารในองค์กรเป็นไปอย่างมีประสิทธิภาพ
4) องค์กรมีความทันสมัย ทันโลก ทันเหตุการณ์
5) องค์กรมีความมั่นคงและมีการพัฒนาอย่างยั่งยืน
2. ท่านเห็นด้วยหรือไม่กับการจัดทำแผนแม่บทด้านไอซีที ( ICT ) ฉบับที่ 2 ของรัฐบาลไทย
จงสังเคราะห์ความรู้จากแผนแม่บทมาเป็นคำอรรถาธิบายให้แจ้งชัด
ตอบ เห็นด้วย กับการจัดทำแผนแม่บทด้านไอซีที ( ICT ) ฉบับที่ 2 ของรัฐบาลไทย เพราะว่า
แผนแม่บทด้านไอซีที ( ICT ) สอดคล้องกับ วิสัยทัศน์ที่ว่า “ประเทศไทยเป็นสังคมอุดมปัญญา (Smart Thailand) ด้วย ICT” ซึ่งคำว่า “สังคมอุดมปัญญา” ในที่นี้หมายถึงสังคมที่มีการพัฒนาและใช้เทคโนโลยีสารสนเทศและการสื่อสารอย่างชาญฉลาด โดยใช้แนวปฏิบัติของปรัชญาเศรษฐกิจพอเพียง ประชาชนทุกระดับมีความเฉลียวฉลาด (Smart) และรอบรู้สารสนเทศ (Information literacy) สามารถเข้าถึง และใช้สารสนเทศอย่างมีคุณธรรม จริยธรรม มีวิจารณญาณและรู้เท่าทัน ก่อให้เกิดประโยชน์แก่ตนและสังคม มีการบริหารจัดการเทคโนโลยีสารสนเทศและการสื่อสารที่มีธรรมาภิบาล (SmartGovernance) เพื่อสนับสนุนการพัฒนาสู่เศรษฐกิจและสังคมฐานความรู้และนวัตกรรมอย่างยั่งยืนและมั่นคง
อนึ่งแผนแม่บทที่กำหนดไว้นั้นนอกจากมีความสอดคล้องสัมพันธ์กับวิสัยทัศน์ที่กล่าวมาแล้วข้างต้น ยังมีความสอดคล้องกับยุทธศาสตร์การพัฒนาเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีหลักการและประเด็นสำคัญที่จะทำให้ประเทศไทยมีความเจริญก้าวหน้าทั้งในด้านเศรษฐกิจ สังคมและคุณภาพชีวิตของประชากรในประเทศ ซึ่งสามารถสรุปได้ดังนี้
1. มีเป้าหมายในเชิงการพัฒนาสู่สังคมแห่งภูมิปัญญาและการเรียนรู้ ที่สอดคล้องกับทิศทางการพัฒนาประเทศตามที่กำหนดในแผนพัฒนาเศรษฐกิจและสังคมแห่งชาติ ซึ่งถือเป็นแผนพัฒนาฯ หลักของประเทศ
2. สานความต่อเนื่องทางนโยบายจาก IT2010 และ “แผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารของประเทศไทย (ฉบับที่ 1) พ.ศ. 2545-2549” โดยยังให้ความสำคัญกับการพัฒนาและประยุกต์ใช้ ICT ในด้านการค้า (e-Commerce) และอุตสาหกรรม (e-Industry) (ในยุทธศาสตร์ที่ 5 และ 6), ด้านการศึกษาและการพัฒนาคนและสังคม (e-Education and e-Society) (ในยุทธศาสตร์ที่ 1 และ 3) และในการดำเนินงานของภาครัฐ เพื่อสนับสนุนการสร้างธรรมาภิบาลในการบริหารและการบริการ (ในยุทธศาสตร์ที่ 4) นอกจากนี้ได้ให้ความสำคัญกับการพัฒนาต่อยอดจากที่ได้ดำเนินมาแล้วในช่วงแผนฯฉบับที่ 1 แต่ยังไม่บรรลุเป้าหมาย เพื่อให้เกิดผลที่เป็นรูปธรรมโดยเร็ว
3. มุ่งเน้นการแก้ไขสิ่งที่เป็นจุดอ่อนที่สำคัญของการพัฒนา ICT ของประเทศไทย 2 ประการเป็นลำดับแรก ได้แก่ 1) การพัฒนาคนให้มีความเฉลียวฉลาด (Smart) และรอบรู้สารสนเทศ (Information Literacy) (ดูความหมายในส่วนถัดไป) และ 2) การบริหารจัดการ ICT ระดับชาติ ให้ยึดหลักธรรมาภิบาล นอกจากนี้ ยังให้ความสำคัญกับการเร่งพัฒนาโครงข่ายความเร็วสูงให้มีการกระจายอย่างทั่วถึงและราคาเป็นธรรมเนื่องจากเป็นโครงสร้างพื้นฐานที่สำคัญสำหรับการพัฒนาในสังคมและเศรษฐกิจฐานความรู้และนวัตกรรม ที่อาศัย ICTเป็นพลังขับเคลื่อนหลัก และเป็นสิ่งที่ประเทศไทยยังมีระดับการพัฒนาที่ด้อยกว่าหลายๆ ประเทศ
4. ให้ความสำคัญกับการพัฒนาที่มุ่งเน้นให้เกิดธรรมาภิบาล ทั้งในส่วนของการบริหารจัดการ ICTระดับชาติ ที่ต้องบริหารจัดการอย่างมีธรรมาภิบาล (ในยุทธศาสตร์ที่ 2) และการใช้ ICT ในภาครัฐ เพื่อช่วยสนับสนุนให้เกิดธรรมาภิบาลในการบริหารจัดการประเทศ (ในยุทธศาสตร์ที่ 4) ซึ่งเป็นวัตถุประสงค์ที่กำหนดไว้ในแผนพัฒนาเศรษฐกิจและสังคมแห่งชาติ ฉบับที่ 10โดยประเด็นที่กล่าวถึงในยุทธศาสตร์ที่ 2 เป็นสิ่งที่ต้องเร่งดำเนินการ เพื่อแก้ไขจุดอ่อนของการพัฒนา ICT
นอกจากเหตุผลที่ยกมากล่าวแล้วข้างต้น ยังมีข้อสนับสนุนอีกประการหนึ่งที่ข้าพเจ้าเห็นด้วยกับแผนแม่บทฯ โดยเฉพาะการกำหนดยุทธศาสตร์การพัฒนา ICT อย่างเป็นรูปธรรมภายใต้เงื่อนไขที่เป็นจุดแข็ง จุดอ่อน โอกาส และภัยคุกคามของการพัฒนา ICT ของประเทศไทย แผนแม่บทฯ ฉบับนี้ได้กำหนดยุทธศาสตร์หลักขึ้น 6 ด้าน โดยภาครัฐ เอกชน และประชาชน จะมีส่วนร่วมดำเนินภารกิจตามที่กำหนดในแผนฯเพื่อนำ ICT มาใช้ประโยชน์ในการสร้างศักยภาพในการพึ่งพาตนเอง สามารถแข่งขันในโลกสากลได้ รวมถึงการสร้างสังคมแห่งภูมิปัญญาและการเรียนรู้ อันนำไปสู่คุณภาพชีวิตที่ดีขึ้นของประชาชนไทยโดยทั่วกัน โดยยุทธศาสตร์ทั้ง 6 ด้าน ได้แก่
• ยุทธศาสตร์ที่ 1: การพัฒนากำลังคนด้าน ICT และบุคคลทั่วไปให้มีความสามารถ
ในการสร้างสรรค์ ผลิต และใช้สารสนเทศอย่างมีวิจารณญาณและรู้เท่าทัน
• ยุทธศาสตร์ที่ 2: การบริหารจัดการระบบ ICT ของประเทศอย่างมีธรรมาภิบาล
• ยุทธศาสตร์ที่ 3: การพัฒนาโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศและการสื่อสาร
• ยุทธศาสตร์ที่ 4: การใช้เทคโนโลยีสารสนเทศและการสื่อสารเพื่อสนับสนุนการสร้าง
ธรรมาภิบาลในการบริหารและการบริการของภาครัฐ
• ยุทธศาสตร์ที่ 5: การยกระดับขีดความสามารถในการแข่งขันของอุตสาหกรรม ICT
เพื่อสร้างมูลค่าทางเศรษฐกิจและรายได้เข้าประเทศ
• ยุทธศาสตร์ที่ 6: การใช้ ICT เพื่อสนับสนุนการเพิ่มขีดความสามารถในการแข่งขันอย่างยั่งยืน
3. ท่านเห็นด้วยหรือไม่กับการใช้กระบวนการทางกฎหมาย (กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2550 ) เพื่อแก้ปัญหาอาชญากรรมในสังคมจากการใช้คอมพิวเตอร์หรือเครือข่ายอินเทอร์เน็ตเป็นเครื่องมือในการกระทำความผิด จงอภิปรายถึงประเด็นที่เกี่ยวข้องให้เห็นเป็นรูปธรรม
ตอบ เห็นด้วย กับการใช้กระบวนการทางกฎหมาย (กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2550 ) เพื่อแก้ปัญหาอาชญากรรมในสังคมจากการใช้คอมพิวเตอร์หรือเครือข่ายอินเทอร์เน็ตเป็นเครื่องมือในการกระทำความผิด สืบเนื่องจากกฎหมายอาชญากรรมทางคอมพิวเตอร์ (Computer Crime Law) เป็นกฎหมายตัวหนึ่งที่มีความล่าช้ามากในบรรดากฎหมายสารสนเทศทั้ง 6 ฉบับ ความล่าช้านั้นก็มาจากหลายสาเหตุ ไม่ว่าจะเป็นเรื่องที่จะต้องดูตัวอย่างกฎหมายจากหลายๆประเทศที่บังคับใช้ไปก่อนแล้ว เพื่อจะมาปรับเข้ากับบริบทของประเทศไทย ปัญหาความล่าช้าเป็นอุปสรรคที่สำคัญอย่างหนึ่งในการพัฒนาประเทศของเรา ทั้งนี้ เกิดจากหลายสาเหตุ ไม่ว่าจะเป็นระบบงานราชการที่ยุ่งยาก ซับซ้อน ต้องผ่านหลายหน่วยงาน หลายขั้นตอน หรือแม้แต่ระบบการพิจารณาในสภา ที่มีการเปลี่ยนรัฐบาลกันบ่อยๆจึงทำให้ขาดความต่อเนื่อง และยังมีสาเหตุอื่นอีกมากที่ทำให้กฎหมายแต่ละฉบับนั้นออกมาใช้บังคับช้าทุกวันนี้คงปฏิเสธไม่ได้ว่าคอมพิวเตอร์เข้าไปมีบทบาทในชีวิตมนุษย์มากขึ้นทุกวัน โดยเฉพาะในยุคแห่งข้อมูลข่าวสารอย่างในปัจจุบันนี้ จะเห็นได้ว่ามีพัฒนาการเทคโนโลยีใหม่ๆเกิดขึ้นอย่างรวดเร็ว รวมทั้งพัฒนาการเทคโนโลยีสารสนเทศด้วย แต่ถึงแม้ว่าพัฒนาการทางเทคโนโลยีสารสนเทศนั้นจะถูกนำมาประยุกต์ใช้และก่อให้เกิดประโยชน์มากมายก็ตาม หากนำไปใช้ในทางที่ไม่ดีไม่ชอบแล้วก็อาจก่อให้เกิดความเสียหายอย่างร้ายแรงทั้งทางเศรษฐกิจและสังคมได้ ดังนั้นจึงเกิดรูปแบบใหม่ของอาชญากรรมที่เกิดจากการใช้คอมพิวเตอร์เป็นเครื่องมือในการกระทำผิดขึ้น จึงจำเป็นต้องมีการพัฒนา กฎหมายอาชญากรรมทางคอมพิวเตอร์ (Computer Crime Law) ขึ้นในบางประเทศอาจเรียกว่า กฎหมายเกี่ยวกับการใช้คอมพิวเตอร์ในทางมิชอบ (Computer Misuse Law) หรือในบางประเทศอาจต้องมีการปรับปรุงแก้ไขประมวลกฎหมายอาญาเพื่อให้รองรับกับความผิดในรูปแบบใหม่ๆได้ ด้วยการกำหนดฐานความผิดและบทลงโทษสำหรับการก่ออาชญากรรมคอมพิวเตอร์ขึ้นเพื่อให้เหมาะสมและมีประสิทธิภาพ สามารถเอาผิดกับผู้กระทำความผิดได้ในต่างประเทศนั้น มีลักษณะการบัญญัติกฎหมายอาชญากรรมทางคอมพิวเตอร์ 2 รูปแบบ คือ การบัญญัติในลักษณะแก้ไขเพิ่มเติมประมวลกฎหมายอาญา เช่น ประเทศเยอรมนี แคนาดา อิตาลี และสวิสเซอร์แลนด์ ส่วนอีกรูปแบบหนึ่งคือ การบัญญัติเป็นกฎหมายเฉพาะ เช่น ประเทศอังกฤษ สิงคโปร์ มาเลเซีย และสหรัฐอเมริกา
สำหรับประเทศไทยนั้น เลือกใช้ในแบบที่สองคือบัญญัติเป็นกฎหมายเฉพาะ โดยมีชื่อว่า พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2550 จะเห็นได้ว่าแม้รูปแบบกฎหมายของแต่ละประเทศอาจจะแตกต่างกัน แต่การกำหนดฐานความผิดที่เป็นหลักใหญ่นั้นมักจะคล้ายคลึงกัน ทั้งนี้ โดยมากแล้วต่างก็คำนึงถึงลักษณะของการใช้คอมพิวเตอร์ในการกระทำความผิดเป็นสำคัญ กฎหมายที่ออกมาจึงมีลักษณะที่ใกล้เคียงกัน ปัญหาข้อกฎหมายของอาชญากรรมคอมพิวเตอร์คือ หลักของกฎหมายอาญาที่ระบุว่า ไม่มีโทษโดยไม่มีกฎหมาย (Nulla poena sinelege) และมุ่งคุ้มครองวัตถุที่มีรูปร่างเท่านั้น แต่ในยุคไอทีนั้น ข้อมูลข่าวสารเป็นวัตถุที่ไม่มีรูปร่าง เอกสารไม่ได้อยู่ในแผ่นกระดาษอีกต่อไป ซึ่งกฎหมายที่มีอยู่ไม่อาจขยายการคุ้มครองไปถึงได้ ตัวอย่างของการก่ออาชญากรรมทางคอมพิวเตอร์ ได้แก่ การโจรกรรมเงินในบัญชีลูกค้าของธนาคาร การโจรกรรมความลับของบริษัทต่างๆที่เก็บไว้ในคอมพิวเตอร์ การปล่อยไวรัสเข้าไปในคอมพิวเตอร์ การใช้คอมพิวเตอร์ในการปลอมแปลงเอกสารต่างๆ รวมไปถึงการใช้คอมพิวเตอร์เพื่อการก่อวินาศกรรมด้วย รูปแบบการก่ออาชญากรรมทางคอมพิวเตอร์ในปัจจุบันทวีความซับซ้อนและรุนแรงมากขึ้นเรื่อยๆ ทำให้เจ้าหน้าที่ตำรวจผู้ทำหน้าที่สืบสวนทำงานได้อย่างยากลำบาก ทั้งยังต้องอ้างอิงอยู่กับกฎหมายอาญาแบบเดิมซึ่งยากที่จะเอาตัวผู้กระทำความผิดมาลงโทษ นักกฎหมายจึงต้องเปลี่ยนแนวความคิดเกี่ยวกับเรื่องนี้โดยสิ้นเชิง โดยเฉพาะในเรื่องทรัพย์ที่ไม่มีรูปร่าง ซึ่งเป็นทรัพย์สินอย่างหนึ่งตามประมวลกฎหมายแพ่งและพาณิชย์ ตัวอย่างเช่น การขโมยโดเมนเนม (Domain Name) ซึ่งไม่มีรูปร่าง ไม่สามารถจับต้องและถือเอาได้ แต่ก็ถือเป็นทรัพย์และยอมรับกันว่ามีมูลค่ามหาศาล ปัญหาอีกประการหนึ่งเกี่ยวกับกฎหมายอาชญากรรมทางคอมพิวเตอร์คือเรื่อง พยานหลักฐาน เพราะพยานหลักฐานที่เกี่ยวกับคอมพิวเตอร์นั้นสามารถเปลี่ยนแปลงได้ตลอดเวลาและกระทำได้ง่าย แต่ยากต่อการสืบหา รวมทั้งยังสูญหายได้ง่ายอีกด้วย เช่น ข้อมูลที่ถูกบันทึกอยู่ในสื่อบันทึกข้อมูลถาวรของเครื่อง (Hard Disk) นั้น หากระหว่างการเคลื่อนย้ายได้รับความกระทบกระเทือนหรือเกิดการกระแทก หรือเคลื่อนย้ายผ่านจุดที่เป็นสนามแม่เหล็ก ข้อมูลที่บันทึกใน Hard Disk ดังกล่าวก็อาจสูญหายได้ นอกจากนี้เรื่องอำนาจในการออกหมายค้นก็เป็นสิ่งที่ต้องพิจารณาเช่นกัน เพราะการค้นหาพยานหลักฐานใน Hard Disk นั้นต้องกำหนดให้ศาลมีอำนาจบังคับให้ผู้ต้องสงสัยบอกรหัสผ่านแก่เจ้าหน้าที่ที่ทำการสืบสวนเพื่อให้ทำการค้นหาหลักฐานใน Hard Disk ได้ด้วย นอกจากนั้น ปัญหาเรื่องขอบเขตพื้นที่ก็เป็นเรื่องที่มีความสำคัญ เพราะผู้กระทำความผิดอาจกระทำจากที่อื่นๆที่ไม่ใช่ประเทศไทย ซึ่งอยู่นอกเขตอำนาจของศาลไทย ดังนั้นกฎหมายควรบัญญัติให้ชัดเจนด้วยว่าศาลมีเขตอำนาจที่จะลงโทษผู้กระทำผิดได้ถึงไหนเพียงไร และถ้ากระทำความผิดในต่างประเทศจะถือเป็นความผิดในประเทศไทยด้วยหรือไม่ส่วนประเด็นที่สำคัญอีกประการหนึ่งที่ต้องพิจารณาอย่างละเอียดรอบคอบก็คือประเด็นเรื่องอายุของผู้กระทำความผิด เพราะผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ส่วนมาก โดยเฉพาะ Hacker และ Cracker นั้น มักจะเป็นเด็กและเยาวชน และอาจกระทำความผิดโดยรู้เท่าไม่ถึงการณ์หรือเพราะความคึกคะนองหรือความซุกซนก็เป็นได้
นอกจากการใช้กระบวนการทางกฎหมายแล้วการรู้จักวิธีป้องกันตนเอง และองค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต ก็เป็นสิ่งสำคัญที่ผู้มีส่วนได้เสียในการใช้คอมพิวเตอร์และอินเทอร์เน็ตควรรู้ไว้ได้แก่
1. ประเมินความเสี่ยงด้านความปลอดภัยระบบสารสนเทศ (IT Information Security Risk Assessment) อย่างสม่ำเสมอโดยปรับมุมมองในการประเมินความเสี่ยงให้ใกล้เคียงกับที่แฮกเกอร์คิด บางทีอาจต้อง "คิดนอกกรอบ" มองให้ออกว่าแฮกเกอร์จะเจาะเข้ามาในระบบเราได้อย่างไรจากทางไหนบ้าง เราจำเป็นต้องมีความรู้พื้นฐานด้าน "Vulnerability Assessment" และ "Penetration Testing" ในระดับหนึ่ง แนะนำให้จ้าง "ผู้ตรวจสอบภายนอก" หรือ "External Auditor" มาทำการตรวจสอบประเมินความเสี่ยงให้กับระบบสารสนเทศของเราอย่างน้อยปีละหนึ่งครั้ง
2. ฝึกอบรมผู้ใช้งานคอมพิวเตอร์ให้เกิดความระมัดระวังในการใช้งานระบบอินเทอร์เน็ตอย่างปลอดภัย เรามักเรียกวิธีการฝึกอบรมนี้ว่า "Information Security Awareness Training Program" ปัญหาที่เกิดขึ้น ส่วนใหญ่มาจากเทคนิคของแฮกเกอร์ที่รู้จักกันดีคือ "Social Engineering" ซึ่งเน้นไปที่วิธีการหลอกลวงให้ผู้ใช้คอมพิวเตอร์หลงกลให้ข้อมูลส่วนตัวแก่ผู้ไม่ประสงค์ดี เช่น เทคนิค "Phishing" เป็นต้น การฝึกอบรม Information Security Awareness Training ควรจัดให้มีเป็นประจำอย่างน้อยปีละสองครั้ง จะช่วยให้องค์กรมีความปลอดภัยทางคอมพิวเตอร์มากขึ้นในภาพรวม และช่วยให้ผู้ใช้คอมพิวเตอร์ปฏิบัติความนโยบายด้านการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ อย่างถูกต้องและเต็มใจด้วย
3. นำกระบวนการด้านการรักษความปลอดภัย "Security Process" เข้ามารวมกับขั้นตอนในการใช้งานระบบสารสนเทศตามปกติ "Day-to-Day IT Operation Process" เราอาจนำ "Best Practices" หรือมาตฐานต่าง ๆ มาประยุกต์ใช้ร่วมกัน เช่น ITIL, CobiT 4.0 หรือ ISO/IEC 27001 เป็นต้น
4. ศึกษาความรู้เรื่อง "Computer Forensic" และ "Internet Forensic" เพื่อเตรียมพร้อมกับกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่กำลังจะถูกบังคับใช้ในอนาคต และ เตรียมพร้อมที่จะรับ "Security Incident" ที่อาจเกิดขึ้นกับองค์กร เป้าหมายเพื่อลดผลกระทบที่เกิดขึ้นกับระบบสารสนเทศในองค์กรให้มากที่สุดเท่าที่จะทำได้
5. วิเคราะห์ และปิดช่องโหว่ "Web Server" และ ""Web Application" ขององค์กรโดยนำข้อมูลจากข้อ 1 ได้แก่ ข้อมูลรายงานผลการประเมินความเสี่ยงมาฝึกอบรมแนะนำให้ผู้พัฒนาระบบ หรือ Web Application Programmer พัฒนาโปรแกรมให้ปลอดภัย ("How to write a record code") จากเทคนิคต่าง ๆ ของแฮกเกอร์ เช่น SQL Injection หรือ Cross-Site Scripting Attack (XSS Attack) ตามมาตรฐานของ OWASP (www.owasp.org)
6. ติดตั้งระบบจัดเก็บปูมข้อมูลระบบที่ส่วนกลาง และติดตามเฝ้าระวังการโจมตีของแฮกเกอร์ในลักษณะ "Real time Monitoring" ยกตัวอย่างเช่น มีการใช้งาน IDS (Intrusion Detection System) หรือ IPS (Intrusion Prevention System) ในองค์กรเป็นต้น
7. พัฒนานโยบายด้านการรักษาความปลอดภัย (Security Policy) ให้เป็นลายลักษณ์อักษร และประกาศใช้อย่างเป็นทางการในองค์กรโดยการสนับสนุนจากผู้บริหารระดับสูงขององค์กร
8. หมั่นตรวจสอบกระแสข้อมูล (IP Traffic Monitoring) ออกจากองค์กร (Egress filtering analysis) ว่ามีข้อมูลบางอย่างที่ไม่เหมาะสมรั่วไหลออกจากองค์กหรือไม
9. หมั่นติดตามข่าวสารเรื่องการค้นพบช่องโหว่ใหม่ ๆ (New Vulnerability) และหมั่น Update Patch เพื่อปิดจุดอ่อน (Vulnerabilities) ให้กับระบบอย่างสม่ำเสมอ
10. อย่าลืม หลักการพื้นฐานที่เรียกว่า Defense-In-Depth หรือ Multi-layer Security Defense โดยมีการป้องกันระบบหลายระดับเพื่อให้แฮกเกอร์ยากต่อการโจมตีมากขี้น
หากเราสามารถปฏิบัติตามวิธีทั้ง 10 วิธี ดังกล่าว ได้อย่างถูกต้องและสม่ำเสมอ ก็จะช่วยให้เกิดความมั่นคงปลอดภัยแก่ระบบสารสนเทศขององค์กรมากขึ้น นอกเหนือจากการใช้กระบวนการทางกฎหมายลงโทษผู้กระทำความผิดตามที่ได้กล่าวมาแล้วทั้งหมดข้างต้น
ตอบ ระบบสารสนเทศ ประกอบด้วย ข้อมูลนำเข้า การประมวลผล และผลลัพธ์
กรอบความคิดในการประยุกต์ใช้ระบบสารสนเทศในองค์กร มีดังนี้
1) ระบบสารสนเทศเป็นเครื่องมือที่ช่วยอำนวยความสะดวก รวดเร็วในการบริหารและตัดสินใจ
2) ระบบสารสนเทศในช้กำหนด วิสัยทัศน์ พันธกิจ กลยุทธ์วัตถุประสงค์และเป้าหมายขององค์กร
3) ระบบสารสนเทศใช้ติดต่อสื่อสารระหว่างผู้บริหาร และบุคลากรในองค์กรรวมทั้งระหว่างองค์กรด้วย
4) ระบบสารสนเทศใช้กำหนดทิศทางในการดำเนินงานขององค์กร
5) ระบบสารสนเทศสามารถสร้างความได้เปรียบในการแข่งขัน สร้างความมั่นคง เติบโตขององค์กรได้
ขั้นตอน การนำระบบสารสนเทศมาใช้ในองค์กร
1) ต้องมีการวางแผนกลยุทธ์สารสนเทศที่ดีก่อนดำเนินการ
2) ต้องมีความสอดคล้องกับนโยบายและแผนกลยุทธ์ขององค์กร
3) ผู้บริหารต้องมีบทบาท ดังนี้
- มีเจตคติที่ดีต่อระบบสารสนเทศ
- สนับสนุนและจัดหาทรัพยากร เช่น บุคลากร สถานที่ และงบประมาณ เป็นต้น
- ให้ความร่วมมือกับทีมงานพัฒนาระบบ
- เป็นผู้นำการใช้ ICT
4) ระบบสารสนเทศ ต้องเชื่อมโยงกับแหล่งข้อมูลภายนอก
5) ต้องจัดให้มีการดำเนินการป้องกันและรักษาความปลอดภัยแก่ระบบ ICTขององค์กร
ผลกระทบ
1) ผู้ใช้มีทัศนคติที่ดีต่อระบบ ICT
2) บุคลากรในองค์กรให้การยอมรับและนำระบบไปปรับใช้ในการทำงาน
3) การสื่อสารในองค์กรเป็นไปอย่างมีประสิทธิภาพ
4) องค์กรมีความทันสมัย ทันโลก ทันเหตุการณ์
5) องค์กรมีความมั่นคงและมีการพัฒนาอย่างยั่งยืน
2. ท่านเห็นด้วยหรือไม่กับการจัดทำแผนแม่บทด้านไอซีที ( ICT ) ฉบับที่ 2 ของรัฐบาลไทย
จงสังเคราะห์ความรู้จากแผนแม่บทมาเป็นคำอรรถาธิบายให้แจ้งชัด
ตอบ เห็นด้วย กับการจัดทำแผนแม่บทด้านไอซีที ( ICT ) ฉบับที่ 2 ของรัฐบาลไทย เพราะว่า
แผนแม่บทด้านไอซีที ( ICT ) สอดคล้องกับ วิสัยทัศน์ที่ว่า “ประเทศไทยเป็นสังคมอุดมปัญญา (Smart Thailand) ด้วย ICT” ซึ่งคำว่า “สังคมอุดมปัญญา” ในที่นี้หมายถึงสังคมที่มีการพัฒนาและใช้เทคโนโลยีสารสนเทศและการสื่อสารอย่างชาญฉลาด โดยใช้แนวปฏิบัติของปรัชญาเศรษฐกิจพอเพียง ประชาชนทุกระดับมีความเฉลียวฉลาด (Smart) และรอบรู้สารสนเทศ (Information literacy) สามารถเข้าถึง และใช้สารสนเทศอย่างมีคุณธรรม จริยธรรม มีวิจารณญาณและรู้เท่าทัน ก่อให้เกิดประโยชน์แก่ตนและสังคม มีการบริหารจัดการเทคโนโลยีสารสนเทศและการสื่อสารที่มีธรรมาภิบาล (SmartGovernance) เพื่อสนับสนุนการพัฒนาสู่เศรษฐกิจและสังคมฐานความรู้และนวัตกรรมอย่างยั่งยืนและมั่นคง
อนึ่งแผนแม่บทที่กำหนดไว้นั้นนอกจากมีความสอดคล้องสัมพันธ์กับวิสัยทัศน์ที่กล่าวมาแล้วข้างต้น ยังมีความสอดคล้องกับยุทธศาสตร์การพัฒนาเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีหลักการและประเด็นสำคัญที่จะทำให้ประเทศไทยมีความเจริญก้าวหน้าทั้งในด้านเศรษฐกิจ สังคมและคุณภาพชีวิตของประชากรในประเทศ ซึ่งสามารถสรุปได้ดังนี้
1. มีเป้าหมายในเชิงการพัฒนาสู่สังคมแห่งภูมิปัญญาและการเรียนรู้ ที่สอดคล้องกับทิศทางการพัฒนาประเทศตามที่กำหนดในแผนพัฒนาเศรษฐกิจและสังคมแห่งชาติ ซึ่งถือเป็นแผนพัฒนาฯ หลักของประเทศ
2. สานความต่อเนื่องทางนโยบายจาก IT2010 และ “แผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารของประเทศไทย (ฉบับที่ 1) พ.ศ. 2545-2549” โดยยังให้ความสำคัญกับการพัฒนาและประยุกต์ใช้ ICT ในด้านการค้า (e-Commerce) และอุตสาหกรรม (e-Industry) (ในยุทธศาสตร์ที่ 5 และ 6), ด้านการศึกษาและการพัฒนาคนและสังคม (e-Education and e-Society) (ในยุทธศาสตร์ที่ 1 และ 3) และในการดำเนินงานของภาครัฐ เพื่อสนับสนุนการสร้างธรรมาภิบาลในการบริหารและการบริการ (ในยุทธศาสตร์ที่ 4) นอกจากนี้ได้ให้ความสำคัญกับการพัฒนาต่อยอดจากที่ได้ดำเนินมาแล้วในช่วงแผนฯฉบับที่ 1 แต่ยังไม่บรรลุเป้าหมาย เพื่อให้เกิดผลที่เป็นรูปธรรมโดยเร็ว
3. มุ่งเน้นการแก้ไขสิ่งที่เป็นจุดอ่อนที่สำคัญของการพัฒนา ICT ของประเทศไทย 2 ประการเป็นลำดับแรก ได้แก่ 1) การพัฒนาคนให้มีความเฉลียวฉลาด (Smart) และรอบรู้สารสนเทศ (Information Literacy) (ดูความหมายในส่วนถัดไป) และ 2) การบริหารจัดการ ICT ระดับชาติ ให้ยึดหลักธรรมาภิบาล นอกจากนี้ ยังให้ความสำคัญกับการเร่งพัฒนาโครงข่ายความเร็วสูงให้มีการกระจายอย่างทั่วถึงและราคาเป็นธรรมเนื่องจากเป็นโครงสร้างพื้นฐานที่สำคัญสำหรับการพัฒนาในสังคมและเศรษฐกิจฐานความรู้และนวัตกรรม ที่อาศัย ICTเป็นพลังขับเคลื่อนหลัก และเป็นสิ่งที่ประเทศไทยยังมีระดับการพัฒนาที่ด้อยกว่าหลายๆ ประเทศ
4. ให้ความสำคัญกับการพัฒนาที่มุ่งเน้นให้เกิดธรรมาภิบาล ทั้งในส่วนของการบริหารจัดการ ICTระดับชาติ ที่ต้องบริหารจัดการอย่างมีธรรมาภิบาล (ในยุทธศาสตร์ที่ 2) และการใช้ ICT ในภาครัฐ เพื่อช่วยสนับสนุนให้เกิดธรรมาภิบาลในการบริหารจัดการประเทศ (ในยุทธศาสตร์ที่ 4) ซึ่งเป็นวัตถุประสงค์ที่กำหนดไว้ในแผนพัฒนาเศรษฐกิจและสังคมแห่งชาติ ฉบับที่ 10โดยประเด็นที่กล่าวถึงในยุทธศาสตร์ที่ 2 เป็นสิ่งที่ต้องเร่งดำเนินการ เพื่อแก้ไขจุดอ่อนของการพัฒนา ICT
นอกจากเหตุผลที่ยกมากล่าวแล้วข้างต้น ยังมีข้อสนับสนุนอีกประการหนึ่งที่ข้าพเจ้าเห็นด้วยกับแผนแม่บทฯ โดยเฉพาะการกำหนดยุทธศาสตร์การพัฒนา ICT อย่างเป็นรูปธรรมภายใต้เงื่อนไขที่เป็นจุดแข็ง จุดอ่อน โอกาส และภัยคุกคามของการพัฒนา ICT ของประเทศไทย แผนแม่บทฯ ฉบับนี้ได้กำหนดยุทธศาสตร์หลักขึ้น 6 ด้าน โดยภาครัฐ เอกชน และประชาชน จะมีส่วนร่วมดำเนินภารกิจตามที่กำหนดในแผนฯเพื่อนำ ICT มาใช้ประโยชน์ในการสร้างศักยภาพในการพึ่งพาตนเอง สามารถแข่งขันในโลกสากลได้ รวมถึงการสร้างสังคมแห่งภูมิปัญญาและการเรียนรู้ อันนำไปสู่คุณภาพชีวิตที่ดีขึ้นของประชาชนไทยโดยทั่วกัน โดยยุทธศาสตร์ทั้ง 6 ด้าน ได้แก่
• ยุทธศาสตร์ที่ 1: การพัฒนากำลังคนด้าน ICT และบุคคลทั่วไปให้มีความสามารถ
ในการสร้างสรรค์ ผลิต และใช้สารสนเทศอย่างมีวิจารณญาณและรู้เท่าทัน
• ยุทธศาสตร์ที่ 2: การบริหารจัดการระบบ ICT ของประเทศอย่างมีธรรมาภิบาล
• ยุทธศาสตร์ที่ 3: การพัฒนาโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศและการสื่อสาร
• ยุทธศาสตร์ที่ 4: การใช้เทคโนโลยีสารสนเทศและการสื่อสารเพื่อสนับสนุนการสร้าง
ธรรมาภิบาลในการบริหารและการบริการของภาครัฐ
• ยุทธศาสตร์ที่ 5: การยกระดับขีดความสามารถในการแข่งขันของอุตสาหกรรม ICT
เพื่อสร้างมูลค่าทางเศรษฐกิจและรายได้เข้าประเทศ
• ยุทธศาสตร์ที่ 6: การใช้ ICT เพื่อสนับสนุนการเพิ่มขีดความสามารถในการแข่งขันอย่างยั่งยืน
3. ท่านเห็นด้วยหรือไม่กับการใช้กระบวนการทางกฎหมาย (กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2550 ) เพื่อแก้ปัญหาอาชญากรรมในสังคมจากการใช้คอมพิวเตอร์หรือเครือข่ายอินเทอร์เน็ตเป็นเครื่องมือในการกระทำความผิด จงอภิปรายถึงประเด็นที่เกี่ยวข้องให้เห็นเป็นรูปธรรม
ตอบ เห็นด้วย กับการใช้กระบวนการทางกฎหมาย (กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2550 ) เพื่อแก้ปัญหาอาชญากรรมในสังคมจากการใช้คอมพิวเตอร์หรือเครือข่ายอินเทอร์เน็ตเป็นเครื่องมือในการกระทำความผิด สืบเนื่องจากกฎหมายอาชญากรรมทางคอมพิวเตอร์ (Computer Crime Law) เป็นกฎหมายตัวหนึ่งที่มีความล่าช้ามากในบรรดากฎหมายสารสนเทศทั้ง 6 ฉบับ ความล่าช้านั้นก็มาจากหลายสาเหตุ ไม่ว่าจะเป็นเรื่องที่จะต้องดูตัวอย่างกฎหมายจากหลายๆประเทศที่บังคับใช้ไปก่อนแล้ว เพื่อจะมาปรับเข้ากับบริบทของประเทศไทย ปัญหาความล่าช้าเป็นอุปสรรคที่สำคัญอย่างหนึ่งในการพัฒนาประเทศของเรา ทั้งนี้ เกิดจากหลายสาเหตุ ไม่ว่าจะเป็นระบบงานราชการที่ยุ่งยาก ซับซ้อน ต้องผ่านหลายหน่วยงาน หลายขั้นตอน หรือแม้แต่ระบบการพิจารณาในสภา ที่มีการเปลี่ยนรัฐบาลกันบ่อยๆจึงทำให้ขาดความต่อเนื่อง และยังมีสาเหตุอื่นอีกมากที่ทำให้กฎหมายแต่ละฉบับนั้นออกมาใช้บังคับช้าทุกวันนี้คงปฏิเสธไม่ได้ว่าคอมพิวเตอร์เข้าไปมีบทบาทในชีวิตมนุษย์มากขึ้นทุกวัน โดยเฉพาะในยุคแห่งข้อมูลข่าวสารอย่างในปัจจุบันนี้ จะเห็นได้ว่ามีพัฒนาการเทคโนโลยีใหม่ๆเกิดขึ้นอย่างรวดเร็ว รวมทั้งพัฒนาการเทคโนโลยีสารสนเทศด้วย แต่ถึงแม้ว่าพัฒนาการทางเทคโนโลยีสารสนเทศนั้นจะถูกนำมาประยุกต์ใช้และก่อให้เกิดประโยชน์มากมายก็ตาม หากนำไปใช้ในทางที่ไม่ดีไม่ชอบแล้วก็อาจก่อให้เกิดความเสียหายอย่างร้ายแรงทั้งทางเศรษฐกิจและสังคมได้ ดังนั้นจึงเกิดรูปแบบใหม่ของอาชญากรรมที่เกิดจากการใช้คอมพิวเตอร์เป็นเครื่องมือในการกระทำผิดขึ้น จึงจำเป็นต้องมีการพัฒนา กฎหมายอาชญากรรมทางคอมพิวเตอร์ (Computer Crime Law) ขึ้นในบางประเทศอาจเรียกว่า กฎหมายเกี่ยวกับการใช้คอมพิวเตอร์ในทางมิชอบ (Computer Misuse Law) หรือในบางประเทศอาจต้องมีการปรับปรุงแก้ไขประมวลกฎหมายอาญาเพื่อให้รองรับกับความผิดในรูปแบบใหม่ๆได้ ด้วยการกำหนดฐานความผิดและบทลงโทษสำหรับการก่ออาชญากรรมคอมพิวเตอร์ขึ้นเพื่อให้เหมาะสมและมีประสิทธิภาพ สามารถเอาผิดกับผู้กระทำความผิดได้ในต่างประเทศนั้น มีลักษณะการบัญญัติกฎหมายอาชญากรรมทางคอมพิวเตอร์ 2 รูปแบบ คือ การบัญญัติในลักษณะแก้ไขเพิ่มเติมประมวลกฎหมายอาญา เช่น ประเทศเยอรมนี แคนาดา อิตาลี และสวิสเซอร์แลนด์ ส่วนอีกรูปแบบหนึ่งคือ การบัญญัติเป็นกฎหมายเฉพาะ เช่น ประเทศอังกฤษ สิงคโปร์ มาเลเซีย และสหรัฐอเมริกา
สำหรับประเทศไทยนั้น เลือกใช้ในแบบที่สองคือบัญญัติเป็นกฎหมายเฉพาะ โดยมีชื่อว่า พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พศ.2550 จะเห็นได้ว่าแม้รูปแบบกฎหมายของแต่ละประเทศอาจจะแตกต่างกัน แต่การกำหนดฐานความผิดที่เป็นหลักใหญ่นั้นมักจะคล้ายคลึงกัน ทั้งนี้ โดยมากแล้วต่างก็คำนึงถึงลักษณะของการใช้คอมพิวเตอร์ในการกระทำความผิดเป็นสำคัญ กฎหมายที่ออกมาจึงมีลักษณะที่ใกล้เคียงกัน ปัญหาข้อกฎหมายของอาชญากรรมคอมพิวเตอร์คือ หลักของกฎหมายอาญาที่ระบุว่า ไม่มีโทษโดยไม่มีกฎหมาย (Nulla poena sinelege) และมุ่งคุ้มครองวัตถุที่มีรูปร่างเท่านั้น แต่ในยุคไอทีนั้น ข้อมูลข่าวสารเป็นวัตถุที่ไม่มีรูปร่าง เอกสารไม่ได้อยู่ในแผ่นกระดาษอีกต่อไป ซึ่งกฎหมายที่มีอยู่ไม่อาจขยายการคุ้มครองไปถึงได้ ตัวอย่างของการก่ออาชญากรรมทางคอมพิวเตอร์ ได้แก่ การโจรกรรมเงินในบัญชีลูกค้าของธนาคาร การโจรกรรมความลับของบริษัทต่างๆที่เก็บไว้ในคอมพิวเตอร์ การปล่อยไวรัสเข้าไปในคอมพิวเตอร์ การใช้คอมพิวเตอร์ในการปลอมแปลงเอกสารต่างๆ รวมไปถึงการใช้คอมพิวเตอร์เพื่อการก่อวินาศกรรมด้วย รูปแบบการก่ออาชญากรรมทางคอมพิวเตอร์ในปัจจุบันทวีความซับซ้อนและรุนแรงมากขึ้นเรื่อยๆ ทำให้เจ้าหน้าที่ตำรวจผู้ทำหน้าที่สืบสวนทำงานได้อย่างยากลำบาก ทั้งยังต้องอ้างอิงอยู่กับกฎหมายอาญาแบบเดิมซึ่งยากที่จะเอาตัวผู้กระทำความผิดมาลงโทษ นักกฎหมายจึงต้องเปลี่ยนแนวความคิดเกี่ยวกับเรื่องนี้โดยสิ้นเชิง โดยเฉพาะในเรื่องทรัพย์ที่ไม่มีรูปร่าง ซึ่งเป็นทรัพย์สินอย่างหนึ่งตามประมวลกฎหมายแพ่งและพาณิชย์ ตัวอย่างเช่น การขโมยโดเมนเนม (Domain Name) ซึ่งไม่มีรูปร่าง ไม่สามารถจับต้องและถือเอาได้ แต่ก็ถือเป็นทรัพย์และยอมรับกันว่ามีมูลค่ามหาศาล ปัญหาอีกประการหนึ่งเกี่ยวกับกฎหมายอาชญากรรมทางคอมพิวเตอร์คือเรื่อง พยานหลักฐาน เพราะพยานหลักฐานที่เกี่ยวกับคอมพิวเตอร์นั้นสามารถเปลี่ยนแปลงได้ตลอดเวลาและกระทำได้ง่าย แต่ยากต่อการสืบหา รวมทั้งยังสูญหายได้ง่ายอีกด้วย เช่น ข้อมูลที่ถูกบันทึกอยู่ในสื่อบันทึกข้อมูลถาวรของเครื่อง (Hard Disk) นั้น หากระหว่างการเคลื่อนย้ายได้รับความกระทบกระเทือนหรือเกิดการกระแทก หรือเคลื่อนย้ายผ่านจุดที่เป็นสนามแม่เหล็ก ข้อมูลที่บันทึกใน Hard Disk ดังกล่าวก็อาจสูญหายได้ นอกจากนี้เรื่องอำนาจในการออกหมายค้นก็เป็นสิ่งที่ต้องพิจารณาเช่นกัน เพราะการค้นหาพยานหลักฐานใน Hard Disk นั้นต้องกำหนดให้ศาลมีอำนาจบังคับให้ผู้ต้องสงสัยบอกรหัสผ่านแก่เจ้าหน้าที่ที่ทำการสืบสวนเพื่อให้ทำการค้นหาหลักฐานใน Hard Disk ได้ด้วย นอกจากนั้น ปัญหาเรื่องขอบเขตพื้นที่ก็เป็นเรื่องที่มีความสำคัญ เพราะผู้กระทำความผิดอาจกระทำจากที่อื่นๆที่ไม่ใช่ประเทศไทย ซึ่งอยู่นอกเขตอำนาจของศาลไทย ดังนั้นกฎหมายควรบัญญัติให้ชัดเจนด้วยว่าศาลมีเขตอำนาจที่จะลงโทษผู้กระทำผิดได้ถึงไหนเพียงไร และถ้ากระทำความผิดในต่างประเทศจะถือเป็นความผิดในประเทศไทยด้วยหรือไม่ส่วนประเด็นที่สำคัญอีกประการหนึ่งที่ต้องพิจารณาอย่างละเอียดรอบคอบก็คือประเด็นเรื่องอายุของผู้กระทำความผิด เพราะผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ส่วนมาก โดยเฉพาะ Hacker และ Cracker นั้น มักจะเป็นเด็กและเยาวชน และอาจกระทำความผิดโดยรู้เท่าไม่ถึงการณ์หรือเพราะความคึกคะนองหรือความซุกซนก็เป็นได้
นอกจากการใช้กระบวนการทางกฎหมายแล้วการรู้จักวิธีป้องกันตนเอง และองค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต ก็เป็นสิ่งสำคัญที่ผู้มีส่วนได้เสียในการใช้คอมพิวเตอร์และอินเทอร์เน็ตควรรู้ไว้ได้แก่
1. ประเมินความเสี่ยงด้านความปลอดภัยระบบสารสนเทศ (IT Information Security Risk Assessment) อย่างสม่ำเสมอโดยปรับมุมมองในการประเมินความเสี่ยงให้ใกล้เคียงกับที่แฮกเกอร์คิด บางทีอาจต้อง "คิดนอกกรอบ" มองให้ออกว่าแฮกเกอร์จะเจาะเข้ามาในระบบเราได้อย่างไรจากทางไหนบ้าง เราจำเป็นต้องมีความรู้พื้นฐานด้าน "Vulnerability Assessment" และ "Penetration Testing" ในระดับหนึ่ง แนะนำให้จ้าง "ผู้ตรวจสอบภายนอก" หรือ "External Auditor" มาทำการตรวจสอบประเมินความเสี่ยงให้กับระบบสารสนเทศของเราอย่างน้อยปีละหนึ่งครั้ง
2. ฝึกอบรมผู้ใช้งานคอมพิวเตอร์ให้เกิดความระมัดระวังในการใช้งานระบบอินเทอร์เน็ตอย่างปลอดภัย เรามักเรียกวิธีการฝึกอบรมนี้ว่า "Information Security Awareness Training Program" ปัญหาที่เกิดขึ้น ส่วนใหญ่มาจากเทคนิคของแฮกเกอร์ที่รู้จักกันดีคือ "Social Engineering" ซึ่งเน้นไปที่วิธีการหลอกลวงให้ผู้ใช้คอมพิวเตอร์หลงกลให้ข้อมูลส่วนตัวแก่ผู้ไม่ประสงค์ดี เช่น เทคนิค "Phishing" เป็นต้น การฝึกอบรม Information Security Awareness Training ควรจัดให้มีเป็นประจำอย่างน้อยปีละสองครั้ง จะช่วยให้องค์กรมีความปลอดภัยทางคอมพิวเตอร์มากขึ้นในภาพรวม และช่วยให้ผู้ใช้คอมพิวเตอร์ปฏิบัติความนโยบายด้านการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ อย่างถูกต้องและเต็มใจด้วย
3. นำกระบวนการด้านการรักษความปลอดภัย "Security Process" เข้ามารวมกับขั้นตอนในการใช้งานระบบสารสนเทศตามปกติ "Day-to-Day IT Operation Process" เราอาจนำ "Best Practices" หรือมาตฐานต่าง ๆ มาประยุกต์ใช้ร่วมกัน เช่น ITIL, CobiT 4.0 หรือ ISO/IEC 27001 เป็นต้น
4. ศึกษาความรู้เรื่อง "Computer Forensic" และ "Internet Forensic" เพื่อเตรียมพร้อมกับกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่กำลังจะถูกบังคับใช้ในอนาคต และ เตรียมพร้อมที่จะรับ "Security Incident" ที่อาจเกิดขึ้นกับองค์กร เป้าหมายเพื่อลดผลกระทบที่เกิดขึ้นกับระบบสารสนเทศในองค์กรให้มากที่สุดเท่าที่จะทำได้
5. วิเคราะห์ และปิดช่องโหว่ "Web Server" และ ""Web Application" ขององค์กรโดยนำข้อมูลจากข้อ 1 ได้แก่ ข้อมูลรายงานผลการประเมินความเสี่ยงมาฝึกอบรมแนะนำให้ผู้พัฒนาระบบ หรือ Web Application Programmer พัฒนาโปรแกรมให้ปลอดภัย ("How to write a record code") จากเทคนิคต่าง ๆ ของแฮกเกอร์ เช่น SQL Injection หรือ Cross-Site Scripting Attack (XSS Attack) ตามมาตรฐานของ OWASP (www.owasp.org)
6. ติดตั้งระบบจัดเก็บปูมข้อมูลระบบที่ส่วนกลาง และติดตามเฝ้าระวังการโจมตีของแฮกเกอร์ในลักษณะ "Real time Monitoring" ยกตัวอย่างเช่น มีการใช้งาน IDS (Intrusion Detection System) หรือ IPS (Intrusion Prevention System) ในองค์กรเป็นต้น
7. พัฒนานโยบายด้านการรักษาความปลอดภัย (Security Policy) ให้เป็นลายลักษณ์อักษร และประกาศใช้อย่างเป็นทางการในองค์กรโดยการสนับสนุนจากผู้บริหารระดับสูงขององค์กร
8. หมั่นตรวจสอบกระแสข้อมูล (IP Traffic Monitoring) ออกจากองค์กร (Egress filtering analysis) ว่ามีข้อมูลบางอย่างที่ไม่เหมาะสมรั่วไหลออกจากองค์กหรือไม
9. หมั่นติดตามข่าวสารเรื่องการค้นพบช่องโหว่ใหม่ ๆ (New Vulnerability) และหมั่น Update Patch เพื่อปิดจุดอ่อน (Vulnerabilities) ให้กับระบบอย่างสม่ำเสมอ
10. อย่าลืม หลักการพื้นฐานที่เรียกว่า Defense-In-Depth หรือ Multi-layer Security Defense โดยมีการป้องกันระบบหลายระดับเพื่อให้แฮกเกอร์ยากต่อการโจมตีมากขี้น
หากเราสามารถปฏิบัติตามวิธีทั้ง 10 วิธี ดังกล่าว ได้อย่างถูกต้องและสม่ำเสมอ ก็จะช่วยให้เกิดความมั่นคงปลอดภัยแก่ระบบสารสนเทศขององค์กรมากขึ้น นอกเหนือจากการใช้กระบวนการทางกฎหมายลงโทษผู้กระทำความผิดตามที่ได้กล่าวมาแล้วทั้งหมดข้างต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น