ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
Ethics and Law in using computer & Computer Security
Ch9 Ethics and Law in using computer & Computer Security by Aj-Kulachatr Chatrakul Na Ayudhaya Marketing Department Business Administration Faculty,PYU
2
Ethics and Law in using computer
Session 1 Ethics and Law in using computer by Aj-Kulachatr Chatrakul Na Ayudhaya Marketing Department Business Administration Faculty,PYU
3
Agenda ; Session 1 Ethics and Law in using computer
1. Introduction to Ethics & Laws 2. Information System Impact 3. Computer - related Ethical Issues Session 1 4. Computer & IT Laws 5. Intellectual Property 6. guidelines for resolving ethical dilemmas
4
Introduction : Ethic & Law
ข้อควรคิดระหว่างจริยธรรมและกฎหมาย จริยธรรม (Ethics) เป็นประเด็นเกี่ยวกับการกระทำที่พึงปฏิบัติ ซึ่งอาจเป็นขนบธรรมเนียมประเพณีที่ยึดถือปฏิบัติกันในสังคมใดสังคมหนึ่ง หรือเป็นการกระทำที่รับรู้กันโดยมารยาทและการยอมรับของสังคมนั้นๆ โดยมักไม่มีเครื่องมือกำหนดความผิดและบทลงโทษอย่างเป็นลายลักษณ์อักษร กฎหมายหรือข้อบังคับ (Laws or Regulations) เป็นสิ่งที่ผู้มีอำนาจปกครองบ้านเมืองที่ได้รับการยอมรับจากผู้คนจำนวนมากบัญญัติขึ้นมาภายใต้การกลั่นกรองจากผู้แทนประชาชนอย่างเป็นลายลักษณ์อักษร เพื่อให้สังคมเป็นระเบียบ และมีกฎเกณฑ์ที่สามารถลงโทษเอาผิดแก่ผู้ละเมิดภายใต้กรอบบัญญัติของประเทศใดประเทศหนึ่งหรือภายใต้บทบัญญัติระหว่างประเทศก็ได้
5
ตัวอย่าง IT ที่ผิดจริยธรรมและละเมิดกฎหมาย
สังคมเกมส์ออนไลน์ผิดจริยธรรมทำให้พฤติกรรมเยาวชนไทยเปลี่ยนไปติดเกมส์ และเกิดการละเมิดกฎหมายลิขสิทธิ์กันอย่างมากมาย
6
Grand Theft Auto : GTA ปัญหาสังคม! เด็ก ม.6 โรงเรียนดัง เลียนแบบเกมออนไลน์ “GTA” ลวงโชเฟอร์แท็กซี่มาฆ่าชิงทรัพย์
7
เตือนภัย. แช็ตเกม"ออดิชั่น" ลวงน. ร
เตือนภัย! แช็ตเกม"ออดิชั่น" ลวงน.ร.สาว แฉเด็กหายกว่า 30 คนผู้ปกครองไม่กล้าแจ้งตร.
8
ตัวอย่างคดีที่มีการละเมิดกฎหมายและผิดจริยธรรมที่เกี่ยวกับ IT
ผู้แอบถ่ายละเมิด ผู้เผยแพร่ละเมิด ผิดกฏหมาย
9
ไม่ผิดกฎหมายแต่ ผิดจริยธรรมไทย
ตัวอย่างคดีที่มีการละเมิดกฎหมายและผิดจริยธรรมที่เกี่ยวกับ IT ไม่ผิดกฎหมายแต่ ผิดจริยธรรมไทย
10
ไม่ผิดกฎหมายแต่ ผิดจริยธรรมไทย
ตัวอย่างคดีที่มีการละเมิดกฎหมายและผิดจริยธรรมที่เกี่ยวกับ IT ไม่ผิดกฎหมายแต่ ผิดจริยธรรมไทย
11
ตัวอย่างคดีที่มีการละเมิดกฎหมายและผิดจริยธรรมที่เกี่ยวกับ IT
ผิดกฎหมายขั้นร้ายแรง
12
ตัวอย่างคดีที่มีการละเมิดกฎหมายและผิดจริยธรรมที่เกี่ยวกับ IT
ผิดทั้งกฎหมายและจริยธรรมไทย
13
กรณีที่เจ้าของบริษัทใช้กล้องในการตรวจจับหรือเฝ้าดูการทำงานของพนักงาน
Information System Impact การพิจารณาถึงจริยธรรมของผู้ใช้คอมพิวเตอร์ (Ethical considerations) คุณธรรม-จริยธรรมในการใช้คอมพิวเตอร์หลักศีลธรรมจรรยาที่กำหนดขึ้นเพื่อใช้เป็นแนวทางปฏิบัติ หรือควบคุมการใช้ระบบคอมพิวเตอร์และสารสนเทศ" ในทางปฏิบัติแล้ว การระบุว่าการกระทำสิ่งใดผิดจริยธรรมนั้น อาจกล่าวได้ไม่ชัดเจนมากนัก ทั้งนี้ ย่อมขึ้นอยู่กับวัฒนธรรมของสังคมในแต่ละประเทศด้วย อย่างเช่น กรณีที่เจ้าของบริษัทใช้กล้องในการตรวจจับหรือเฝ้าดูการทำงานของพนักงาน การใช้คอมพิวเตอร์ทำร้ายผู้อื่นให้เกิดความเสียหายหรือก่อความรำราญ เช่น การนำภาพหรือข้อมูลส่วนตัวของบุคคลไปลงบนอินเตอร์เน็ตโดยไม่ได้รับอนุญาต การใช้คอมพิวเตอร์ในการขโมยข้อมูลการเข้าถึงข้อมูลหรือคอมพิวเตอร์ของบุคคลอื่นโดยไม่ได้รับอนุญาต การละเมิดลิขสิทธิ์
14
Information System Impact ต้นเหตุของการผิดจริยธรรมในสังคม IT
1. The Doubling of computing power ความสามารถในการประมวลผลของระบบสารสนเทศเพิ่มขึ้นเป็นสองเท่า 2. Advances in data storage ความก้าวหน้าในเทคโนโลยีการเก็บรักษาข้อมูลและราคาที่ลดลงอย่างรวดเร็ว 3. Advances in data mining technique in large database ความก้าวหน้าในเทคนิคการเจาะข้อมูลในฐานข้อมูลขนาดใหญ่ 4. Advances in networking and telecommunication ความก้าวหน้าของระบบเครือข่าย 5. Global digital superhighway การพัฒนาระบบเครือข่ายการสื่อสารที่ Hi-Speed มากขึ้น
15
หลักความสัมพันธ์ระหว่าง User Computer กับ จริยธรรม P-A-P-A
Information System Impact ; Computer-related ethical issues (ความสัมพันธ์ระหว่าง คอมพิวเตอร์และปัญหาด้านจริยธรรม) จริยธรรมเกี่ยวกับการใช้เทคโนโลยีคอมพิวเตอร์และสารสนเทศ มี 4 ประเด็น เรียกว่า “PAPA” ประกอบด้วย PAPA Accuracy Property หลักความสัมพันธ์ระหว่าง User Computer กับ จริยธรรม P-A-P-A Privacy Accessibility Text (Parker and Case. 1993:821)
16
Information System Impact ; Computer-related ethical issues (ความสัมพันธ์ระหว่าง คอมพิวเตอร์และปัญหาด้านจริยธรรม) PAPA- Privacy ความเป็นส่วนตัวของข้อมูลและสารสนเทศ โดยทั่วไปหมายถึง สิทธิที่จะอยู่ตามลำพัง และเป็นสิทธิที่เจ้าของสามารถที่จะควบคุมข้อมูลของตนเองในการเปิดเผยให้กับผู้อื่น สิทธินี้ใช้ได้ครอบคลุมทั้งปัจเจกบุคคล กลุ่มบุคคล และองค์การต่างๆ เช่น การเข้าไปดูข้อความในจดหมายอิเล็กทรอนิกส์และการบันทึกข้อมูลในเครื่องคอมพิวเตอร์ รวมทั้งการบันทึก-แลกเปลี่ยนข้อมูลที่บุคคลเข้าไปใช้บริการเว็บไซต์และกลุ่มข่าวสาร การใช้เทคโนโลยีติดตามความเคลื่อนไหวหรือพฤติกรรมของบุคคล เช่น บริษัทใช้คอมพิวเตอร์ในการตรวจจับหรือเฝ้าดูการปฏิบัติงานของพนักงาน จนสูญเสียความเป็นส่วนตัว การใช้ข้อมูลของลูกค้าจากแหล่งต่างๆ เพื่อผลประโยชน์ในการขยายตลาด การรวบรวมหมายเลขโทรศัพท์ ที่อยู่อีเมล เลขบัตรเครดิต ข้อมูลส่วนตัวแล้วนำไปขายให้กับบริษัทอื่น
17
Information System Impact ; Computer-related ethical issues (ความสัมพันธ์ระหว่าง คอมพิวเตอร์และปัญหาด้านจริยธรรม) PAPA- Accuracy ในการใช้คอมพิวเตอร์เพื่อการรวบรวม จัดเก็บ และเรียกใช้ข้อมูลนั้น คุณลักษณะที่สำคัญประการหนึ่ง คือ ความน่าเชื่อถือได้ของข้อมูล ประเด็นด้านจริยธรรมที่เกี่ยวข้องกับความถูกต้องของข้อมูล โดยทั่วไปจะพิจารณาว่าใครจะเป็นผู้รับผิดชอบต่อความถูกต้องของข้อมูลที่จัดเก็บและเผยแพร่ เช่น ในกรณีที่องค์การให้ลูกค้าลงทะเบียนด้วยตนเอง หรือกรณีของข้อมูลที่เผยแพร่ผ่านทางเว็บไซต์ อีกประเด็นหนึ่ง คือ จะทราบได้อย่างไรว่าข้อผิดพลาดที่เกิดขึ้นนั้นไม่ได้เกิดจากความจงใจ และผู้ใดจะเป็นผู้รับผิดชอบหากเกิดข้อผิดพลาด ดังนั้น ในการจัดทำข้อมูลและสารสนเทศให้มีความถูกต้องและน่าเชื่อถือนั้น ข้อมูลควรได้รับการตรวจสอบความถูกต้องก่อนที่จะนำเข้าฐานข้อมูล รวมถึงการปรับปรุงข้อมูลให้มีความทันสมัยอยู่เสมอ นอกจากนี้ ควรให้สิทธิแก่บุคคลในการเข้าไปตรวจสอบความถูกต้องของข้อมูลของตนเองได้
18
Information System Impact ; Computer-related ethical issues (ความสัมพันธ์ระหว่าง คอมพิวเตอร์และปัญหาด้านจริยธรรม) PAPA- Property สิทธิความเป็นเจ้าของ หมายถึง กรรมสิทธิ์ในการถือครองทรัพย์สิน ซึ่งอาจเป็นทรัพย์สินทั่วไปที่จับต้องได้ เช่น คอมพิวเตอร์ รถยนต์ หรืออาจเป็นทรัพย์สินทางปัญญา (ความคิด) ที่จับต้องไม่ได้ เช่น บทเพลง โปรแกรมคอมพิวเตอร์ แต่สามารถถ่ายทอดและบันทึกลงในสื่อต่างๆ ได้ เช่น สิ่งพิมพ์ เทป ซีดีรอม เป็นต้น ในสังคม IT มักจะกล่าวถึงการละเมิดลิขสิทธิ์ซอฟต์แวร์ ถ้าท่านซื้อโปรแกรมที่มีลิขสิทธิ์ แสดงว่าท่านได้จ่ายค่าลิขสิทธิ์ในการใช้ซอฟต์แวร์และได้ยอมรับข้อตกลงเกี่ยวกับลิขสิทธิ์ในการใช้สินค้านั้น ซึ่งจะแตกต่างกันไปในบางโปรแกรมเช่นอนุญาตให้ติดตั้งได้เพียงครั้งเดียวหรือไม่อนุญาตให้ใช้กับคอมพิวเตอร์เครื่องอื่นๆ ในขณะที่บางบริษัทอนุญาตให้ใช้โปรแกรมนั้นได้หลายๆ เครื่อง ตราบใดที่ท่านยังเป็นบุคคลที่มีสิทธิในโปรแกรมคอมพิวเตอร์ที่ซื้อ การคัดลอกโปรแกรมคอมพิวเตอร์ให้กับเพื่อน เป็นการกระทำที่จะต้องพิจารณาให้รอบคอบก่อนว่าโปรแกรมที่จะทำการคัดลอกนั้น เป็นโปรแกรมคอมพิวเตอร์ที่ท่านมีสิทธ์ในระดับใด เช่น Copyright or License Software , Shareware or Demo or Freeware (
19
Information System Impact ; Computer-related ethical issues (ความสัมพันธ์ระหว่าง คอมพิวเตอร์และปัญหาด้านจริยธรรม) PAPA- Accessibility ปัจจุบันการเข้าใช้งานโปรแกรม หรือระบบคอมพิวเตอร์มักจะมีการกำหนดสิทธิตามระดับของผู้ใช้งาน ทั้งนี้ เพื่อเป็นการป้องกันการเข้าไปดำเนินการต่างๆ กับข้อมูลของผู้ใช้ที่ไม่มีส่วนเกี่ยวข้อง และเป็นการรักษาความลับของข้อมูล ตัวอย่างสิทธิในการใช้งานระบบ เช่น การบันทึก การแก้ไข/ปรับปรุง และการลบ เป็นต้น ดังนั้น ในการพัฒนาระบบคอมพิวเตอร์จึงได้มีการออกแบบระบบรักษาความปลอดภัยในการเข้าถึงของผู้ใช้ และการเข้าถึงข้อมูลของผู้อื่นโดยไม่ได้รับความยินยอมนั้น ก็ถือเป็นการผิดจริยธรรมเช่นเดียวกับการละเมิดข้อมูลส่วนตัว ในการใช้งานคอมพิวเตอร์และเครือข่ายร่วมกันให้เป็นระเบียบ หากผู้ใช้ร่วมใจกันปฏิบัติตามระเบียบและข้อบังคับของแต่ละหน่วยงานอย่างเคร่งครัดแล้ว การผิดจริยธรรมตามประเด็นดังที่กล่าวมาข้างต้นก็คงจะไม่เกิดขึ้น
20
กฎหมายเกี่ยวกับคอมพิวเตอร์/ เทคโนโลยีสารสนเทศและทรัพย์สินทางปัญญา
1) กฎหมาย คอมพิวเตอร์/เทคโนโลยีสารสนเทศ มี 6 ฉบับ 1.1) กฏหมายเกี่ยวกับธุรกรรมอิเล็กทรอนิกส์ 1.2) กฏหมายลายมือชื่ออิเล็กทรอนิกส์ 1.3) กฏหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์ 1.4) กฏหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ 1.5) กฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 1.6) กฏหมายลำดับรอง รัฐธรรมนูญ มาตรา 78 หรือกฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศ ( ) 2) พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 3) กฎหมายเกี่ยวกับทรัพย์สินทางปัญญา ที่มา : กรมทรัพย์สินทางปัญญา (
21
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550
Click ที่นี่ เพื่อLoad พรบ
22
Information System : Intellectual Property
กฎหมายเกี่ยวกับทรัพย์สินทางปัญญา ในระบบสารสนเทศได้ท้าทายกฎหมายให้คุ้มครอง เพราะเนื่องจากมีการลักลอบขโมยและลอกเลียนแบบซอฟท์แวร์กันมากมาย สิทธิทางปัญญาเหล่านี้ได้แก่ ความลับทางการค้า (Trade Secret) ข้อมูลการค้าซึ่งยังไม่รู้จักกันโดยทั่วไปและมีประโยชน์ในเชิงพาณิชย์ ได้แก่ สูตร เครื่องมือทางธุรกิจ แผนธุรกิจ Innovation ความคิดในการสร้างสินค้า กลยุทธ์ธุรกิจ รายนามลูกค้า ราคาสินค้า เป็นต้น ลิขสิทธิ์ (Copyright) สิทธิแต่เพียงผู้เดียวที่จะกระทำการใดๆ เกี่ยวกับงานที่ผู้สร้างสรรค์ได้ทำขึ้น โดยการแสดงออกตามประเภทงานลิขสิทธิ์ต่างๆ สามารถซื้อ ขาย โอนสิทธิกันได้ทั้งทางมรดก หรือโดยวิธีอื่นๆ ได้แก่ งานวรรณกรรม นาฏกรรม ศิลปกรรม ดนตรีกรรม โสตทัศนวัสดุ ภาพยนตร์ เทป CD ภาพ เสียง เป็นต้น
23
Information System : Intellectual Property
3. สิทธิบัตร (Patent) หมายถึง หนังสือสำคัญที่รัฐออกให้เพื่อคุ้มครองการประดิษฐ์หรือการออกแบบผลิตภัณฑ์ การประดิษฐ์ (Invention) การประดิษฐ์ผลิตภัณฑ์ กรรมวิธีผลิต การออกแบบผลิตภัณฑ์ (Product Design) ผลงานสร้างสรรค์ลักษณะภายนอกผลิตภัณฑ์ ผลิตภัณฑ์อรรถประโยชน์ (Utility Model) Petty Patent อนุสิทธิบัตร คุ้มครองป้องกันการลอกเลียนแบบได้ สิทธินี้จำหน่ายจ่ายโอนได้ แต่การจดสิทธิบัตรต้องอยู่บนพื้นฐานความแปลกใหม่และเป็นประโยชน์ต่อสังคมเท่านั้น 10 ปี
24
Information System : Intellectual Property
4 . เครื่องหมายการค้า (Trade Mark) เครื่องหมายที่ใช้หรือจะใช้เป็นเครื่องหมายเกี่ยวข้องกับสินค้าเพื่อแสดงว่าสินค้าที่ใช้เครื่องหมายของเจ้าของเครื่องหมายการค้านั้นแตกต่างกับสินค้าที่ใช้เครื่องหมายการค้าของบุคคลอื่น จะได้รับการคุ้มครองก็ต่อเมื่อมีการนำเครื่องหมายการค้าไปจดทะเบียน 5. สิ่งบ่งชี้ทางภูมิศาสตร์ (Geographical Indication) หมายถึง ชื่อ สัญลักษณ์ หรือสิ่งอื่นใดที่ใช้เรียก หรือ ใช้ แทนแหล่งภูมิศาสตร์ และสามารถบ่งบอกว่าสินค้าที่เกิดจากแหล่งภูมิศาสตร์นั้นเป็นสินค้าที่มีคุณภาพ ชื่อเสียงหรือคุณลักษณะเฉพาะแหล่งภูมิศาสตร์นั้น เช่น มีดอรัญญิก ส้มบางมด ร่มบ่อสร้าง อ่าวมาหยา เป็นต้น
25
Information System : Intellectual Property
แนวทางการป้องกันเรื่องการละเมิดทรัพย์สินทางปัญญา การตรากฎหมายที่เข้มแข็งจะไม่เกิดผลถ้าการนำไปใช้อ่อนแอ สร้างกระแสจิตสำนึกให้เห็นถึงการเอารัดเอาเปรียบกันทาง สังคมสารสนเทศในการละเมิดทรัพย์สินทางปัญญา เช่น การ รณรงค์ต่างๆ การดำเนินการ ลงโทษผู้กระทำผิดด้วยบทลงโทษที่รุนแรง การรวมตัวกันของผู้ผลิตซอฟท์แวร์ เพื่อสร้างจุดยืน และ อิทธิพล ให้กฎหมายถูกบังคับใช้อย่างจริงจัง การคิดค้นระบบป้องกันการคัดลอกในซอฟท์แวร์ รณรงค์ส่งเสริมปลูกฝังจริยธรรมเรื่องนี้แก่เยาวชน การเปิดโอกาสให้ผู้อื่นได้คัดลอกเพื่อการพัฒนา (Open Source) (เป็นการหลีกเลี่ยงปัญหาการปกปิดซ่อนเร้นอย่างถาวร)
26
Guidelines for resolving ethical dilemmas
แนวทางทั่วไปสำหรับการเผชิญกับการแก้ปัญหาทางด้านจริยธรรมข้อมูล ในเรื่องของจริยธรรมของผู้ใช้งานในระบบคอมพิวเตอร์นั้นยังไม่ได้มีการกำหนดไว้ หากแต่ผู้ใช้และนักวิชาชีพคอมพิวเตอร์ต้องตระหนักและมีจิตสำนึก ตลอดจนรู้ถึงความรับผิดชอบต่อการใช้ข้อมูลอย่างเหมาะสม พอจะมีแนวทางทั่วไปด้านจริยธรรมเมื่อเผชิญกับปัญหาในด้านการใช้ข้อมูลสารสนเทศได้ดังนี้ ช่วยกันดูแลเว็บไซต์ต่างๆ เมื่อพบเจอให้ช่วยกันแจ้งกระทรวง ICT เช่น หมิ่นพระบรมเดชานุภาพ การหมิ่นประมาท ลามก อนาจาร อบายมุขต่างๆ การพนันและเกมส์ที่รุนแรง ไม่สนับสนุนหรือส่งเสริมกิจกรรมที่เกี่ยวกับการให้ร้ายผู้อื่นหรือทำให้ผู้อื่นเสียหายในทุกรูปแบบ ช่วยกันต่อต้านและแสดงความเมตตา กรุณา สงสารผู้ที่เสียหายจากการถูกเผยแพร่เรื่องราวที่เสียหายทั้งที่ตั้งใจและไม่ตั้งใจ และให้ความรู้เยาวชนเกี่ยวกับเรื่องจริยธรรมและกฎหมายเพิ่มขึ้น
27
ช่องทางในการแจ้งเว็บไซต์ไม่เหมาะสมของ ICT
28
เมตตา กรุณา สงสาร ให้อภัยและไม่ซ้ำเติม คือ “เสน่ห์ของคนไทย”
เมตตา กรุณา สงสาร ให้อภัยและไม่ซ้ำเติม คือ “เสน่ห์ของคนไทย” ที่สำคัญที่สุด “อย่าทำเพราะความรู้เท่าไม่ถึงการณ์” ควรรักชีวิตและความเป็นไทย
29
Information & Computer Security
Session 2 Information & Computer Security by Aj-Kulachatr Chatrakul Na Ayudhaya Marketing Department Business Administration Faculty,PYU
30
Agenda ; Session 2 Information & Computer Security
1. Information System Security 2. Major Types of IT Security Problem 3. Computer Crime Session 2 4. Virus / Worm and Anti-Virus 5. Thieves of Service and Hacker 6. Computer Crime Protections
31
Information System Security
“The protection of information and the systems and hardware that use ,store ,and transit that information. But to protect the information and its related systems from danger, such tools as policy, awareness ,training and education, and technology are necessary.” “การป้องกันระบบสารสนเทศและฮาร์ดแวร์ที่ใช้เก็บหรือโอนย้ายข้อมูล โดยการป้องกันสารสนเทศและระบบที่เกี่ยวข้องจากอันตรายต่างๆ ด้วยนโยบาย การเตือน การอบรม การให้การศึกษาและใช้เทคโนโลยีที่จำเป็น” (Whitman , Mattord , 2003 , p. 9-10)
32
สาเหตุที่ต้องมีการรักษาความปลอดภัย คอมพิวเตอร์และระบบสารสนเทศ
Centralization of Information (ระบบสารสนเทศมีการรวมศูนย์มากขึ้น) Increase of networks (From many Server to many Clients) (มีการขยายตัวของเครือข่ายในปัจจุบันมากขึ้น) Related benefit from many of threat (มีผลประโยชน์เกิดขึ้นมากมายจากการคุกคามระบบ) (Whitman , Mattord , 2003.)
33
ปัญหาสำคัญในการรักษาความปลอดภัยคอมพิวเตอร์และระบบสารสนเทศ
External Environment ; Natural Disaster , Fraud , Theft or Robbery Internal Environment ; Hardware failure (ล้มเหลวในการดูแลเครื่องหรือระบบไฟฟ้าเสีย) Software failure (ข้อมูลรั่ว โปรแกรมไม่ทำงาน) Penetration of database (การถูกเจาะระบบ) Terminal sites or clients (ไม่ใช้ Password หรือถูกขโมยรหัสปลายทาง) Personal (เจ้าหน้าที่ที่เกี่ยวข้อง)
34
External Environment Natural Disaster Terrorist and war Fraud Hacker
Crime ,Theft or Robbery
35
Internal Environment ;Personal
Computer user or Administration team Database Manager Operator System Administrator System Programmer Application Programmer
36
รูปแบบของปัญหาที่เกิดขึ้นกับ คอมพิวเตอร์และระบบสารสนเทศ
เกิดจากความตั้งใจของบุคคล การประสงค์ร้ายเพื่อขโมยความลับจากระบบ (Theft) จ้องทำลายล้าง (Sabotage) เกิดจากความไม่ตั้งใจของบุคคล Accident เช่น น้ำหกใส่ ไฟฟ้าลัดวงจร ไฟไหม้ Natural Disaster ภัยพิบัติทางธรรมชาติ Terrorist or War เกิดสงครามหรือการก่อการร้าย Human Error การเผอเรอ หลงลืม ลบข้อมูลโดยไม่ตั้งใจ เก็บข้อมูลไว้ในที่ไม่สมควร ลืมเข้ารหัสลับ
37
Major types of IS Security problem
Human Carelessness ป้อนข้อมูลผิดพลาด ทำงานผิดพลาด จัดเก็บแฟ้มข้อมูลไม่ดี ทำลายข้อมูลโดยไม่ตั้งใจ Computer Crime ถูกวินาศกรรม ถูกจารกรรม (ขโมย) ถูกแก้ไขข้อมูล ถูกสำเนาข้อมูล ถูกปล่อยไวรัส Natural Disaster or Accidental and Political Effect สงครามและการจลาจล แผ่นดินไหว น้ำท่วม พายุ ไฟไหม้ ตึกถล่ม Hardware/Software Failures อุปกรณ์ทำงานผิดปกติ ข้อมูลถูกทำลายเพราะโปรแกรม ไฟฟ้ากำลังตก ไร้ระบบป้องกันไวรัส
38
Computer Crime อาชญากรรมคอมพิวเตอร์ หมายถึง การใช้คอมพิวเตอร์หรือ IT โดยไม่ได้รับอนุญาตหรือนำไปใช้เพื่อการกระทำที่ผิดกฎหมาย อาชญากรรมคอมพิวเตอร์ มี 4 ประเภท ได้แก่ การบ่อนทำลายหรือก่อวินาศกรรม (Sabotage) การขโมยบริการ (Theft of Services) การขโมยทรัพย์สิน (Property Crime) การทุจริตเกี่ยวกับเงิน (Financial Crime)
39
Sabotage ใช้กำลังทำลายทางกายภาพ (Physical Destroying)
ใช้เทคนิคการบ่อนทำลาย เช่น การปล่อยไวรัส (Virus) เข้าระบบ หรือสร้างโปรแกรมเพื่อการทำลาย เช่น “หนอนอินเตอร์เนต” (Worm) Trojan horse Technique Logic Bomb Trapdoors Routines Hacking Computer Virus/Worm
40
Worm หนอนอินเตอร์เนต เป็นไวรัสชนิดหนึ่ง ที่เรียกว่าหนอนเพราะคุณสมบัติของมันสามารถเข้าสู่ระบบคอมพิวเตอร์ในเครือข่ายที่มันแพร่กระจายไปได้ทันทีโดยไม่ต้องรอการ Execute File เช่นการเปิดเว็บไซต์บางชนิดที่มีโปรแกรมของหนอนอินเตอร์เนตฝังอยู่ จะเข้าสู่ระบบทันที จึงเป็นไวรัสชนิดที่อันตรายมากๆ Worm ที่คุ้นเคยกันดีได้แก่ W32.Sasser.worm W32.Spybot.worm W32.Blaster.worm หรือ WORM_MSBLATER.A, W32/Lovsan.worm W32.Conficker.C หรือ W32.Downandup.C worm ที่พบล่าสุดเดือน เม.ย. 52
41
Teenager arrested in 'Blaster' Internet attack
An 18-year-old high school student suspected of creating a version of the virulent "Blaster" Internet attack was described by a neighbor Friday as "a computer genius," but not a criminal.
42
Sven Jaschan ; Load of the Worm
“Lord of the worm” นักเรียนเยอรมันวัย 18 ปี ที่ถูกกล่าวหาว่าเป็นผู้เขียน Netsky และ Sasser อันโด่งดัง
43
Worm - MSN W32.IRCBot.AJY หรือ W32.CeeInject
เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger และ Windows Live Messenger ด้วยการส่งลิงค์ให้ดาวน์โหลดโดยลักษณะลิงค์เป็นดังนี้ (3 Dec 51)
44
เทคนิคในการต่อสู้กับ Virus / Worm
การกำจัดโดยใช้โปรแกรมพิเศษที่ทำขึ้นสำหรับปราบไวรัสโดยตรงสามารถ Download ได้ที่ , การป้องกันไม่ให้ไวรัสหรือเวิร์มเข้าเครื่องคอมพิวเตอร์ หรือ การปกป้องข้อมูล การติดตั้ง Firewall การติดตั้งโปรแกรมสแกนไวรัส (Virus Scan)หรือ Anti-virus อย่าเปิดโปรแกรมหรือ ที่เราไม่คุ้นเคย อย่าเข้าเว็บที่มีความเสี่ยง (หนอนอินเตอร์เข้าเครื่องได้ทันทีเมื่อเปิดเว็บ) ควรสำเนาข้อมูลสำคัญไว้นอก Hard Disc ด้วย
46
Virus Scan and Anti-virus software
47
Virus-Alert by Norton anti-virus
File ที่ Infected
48
Virus Scan by Norton anti-virus
W32.Spybot.Worm
49
System Warning : NOD32 anti-virus
50
การใช้งาน Anti – Virus ให้มีประสิทธิภาพ
Daily Update ผู้ใช้ต้อง update ข้อมูลไวรัสตัวใหม่ๆ ให้โปรแกรมอย่างสม่ำเสมอวิธีที่ดีกว่า คือ เปิดระบบให้โปรแกรม Automatic update เมื่อเวลาเครื่อง Boot เสร็จ ถ้าระบบออนไลน์อยู่ โปรแกรมจะ update ตัวเองอัตโนมัติ Check Expiry date โปรแกรมส่วนใหญ่ที่ได้มานั้นจะเป็น Beta ให้ทดลองใช้ อาจได้มาฟรีหรือเป็นCopy License ต้องตรวจสอบว่าหมดอายุหรือไม่ ถ้าหมดอายุ มักจะ update ไม่ได้ โปรแกรมอาจไม่ป้องกันไวรัสให้ แต่ถ้าเป็นโปรแกรมที่มี license ถูกต้อง เมื่อจ่ายเงินแล้วได้ Password มาใหม่ก็สามารถใช้งานได้เลย
51
Last update Expiry Date
52
What is Firewall Firewall
ไฟร์วอลล์ เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือ Firewall Architecture ที่ใช้
53
ไฟร์วอลล์ช่วยเพิ่มความปลอดภัยให้กับระบบได้โดย
บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ ไฟร์วอลล์บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP อะไรที่ไฟร์วอลล์ช่วยไม่ได้ อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์ อันตรายจากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มันปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ
54
Configuration of Firewall
Virus เข้ามาทางภายในองค์กร ผ่าน Client หรือ Work Station เช่น Disc , Handy Drive , CD
55
Configuration ; Star
56
Configuration ; Wireless
57
Thief of Services การเข้าไปลักลอบใช้ระบบสารสนเทศโดยไม่ได้รับอนุญาต
การเข้าไปใช้เครื่องคอมพิวเตอร์โดยตรง (ผิดกฎหมาย) การลักลอบใช้งานผ่านเครือข่ายอินเตอร์เนต (Hacking) เพื่อการขโมยข้อมูล เพื่อการสำเนาข้อมูล (Copying) ลักดูทางจอภาพ (Shoulder surfing or Window) ลักลอบคัดลอกข้อมูลทางเครือข่าย การดักฟังทางสาย (Wiring Trapping) การขโมยเวลาปฏิบัติงานไปใช้ทำงานส่วนตัว แม้ว่าจะไม่มีกฎหมายใดบัญญัติไว้ แต่ก็ถือเป็นความผิดทางวินัยต่อองค์กร หรือเป็นเรื่องทางจริยธรรมของผู้ปฏิบัติงาน (ผิดวินัย ผิดจริยธรรม)
58
Hacker ; Behavior Hacker ผู้บุกรุกระบบสารสนเทศ เข้าระบบโดยไม่ได้รับอนุญาตสามารถเจาะระบบผ่าน Password โดยไม่มีสิทธิอันชอบธรรม ผิดกฎหมายละเมิด พฤติกรรมและผลประโยชน์ของ Hacker เข้ามาเพราะความคะนอง อยากลองภูมิ อวดอุตริ เข้ามาเพื่อก่ออาชญากรรม ลักขโมย สำเนา จ้องทำลาย เข้ามาเพื่อก่อกวนระบบ (Denied of Service) ให้ล้มเหลว เข้ามาเพื่อจ้องทำลาย เช่น ปล่อยไวรัส หรือเปิดช่องโหว่ (Trojan)
59
Hacker Attacking (แฮกเกอร์เจาะระบบอย่างไร)
Shoulder Surfing User Un-logout Trojan Horse Technique Brute Force Technique (Guess password) Dictionary Attack Mail Bombing Social Engineer Timing Attack (Create malicious from cookies) Cryptographic technique การระวังป้องกัน Hacker ติดตั้งระบบ Firewall ตั้งรหัสผ่านที่มีความยากในการเดา เข้มงวดในการใช้และรักษาความลับรหัสผ่าน อุดช่องโหว่ (Port) ต่างๆ ที่ไม่ใช้ (ส่วน Internet port 80 ควรดักด้วย firewall)
60
Protect from Hacker
61
Property Crime การขโมยอุปกรณ์คอมพิวเตอร์ Hardware และ accessories ต่างๆ ในระบบสารสนเทศขององค์กร วิธีการป้องกัน Physical Security ย้อนกลับไปดูพื้นฐานการรักษาความปลอดภัยขององค์กร ตั้งแต่ระบบยามรักษาความปลอดภัย ระบบการเข้าใช้ห้องปฏิบัติการคอมพิวเตอร์ ระบบล็อคกุญแจเครื่องคอมพิวเตอร์ การใส่อุปกรณ์ป้องกันการขโมย Security Policy การมอบอำนาจการดูแล การปฏิบัติตามกฎระเบียบข้อบังคับองค์กร ตลอดจนบทลงโทษและการเอาจริงเอาจัง ใส่ใจเรื่องความปลอดภัยขององค์กร
62
Financial Crime ความผิดเกี่ยวกับเงินเพราะการนำเข้าข้อมูลผิดพลาด
ความผิดเกี่ยวกับเงินเพราะการปลอมแปลงแก้ไขแฟ้มข้อมูลหลัก การแก้ไขเลขที่ บ/ช ธนาคาร การแก้ไขวงเงินเบิกเกินบัญชี การใช้อุปกรณ์คอมพิวเตอร์ก่ออาชญากรรมเกี่ยวกับเงิน การดักฟังเลขที่บัญชีทางสายโทรศัพท์ การสั่งเครื่องพิมพ์ให้พิมพ์เช็คเองอัตโนมัติ การคัดลอกข้อมูลบนแถบแม่เหล็กบัตรเครดิตหรือ บัตร ATM การขโมยข้อมูลในระบบไร้สาย
63
การป้องกันอาชญากรรมคอมพิวเตอร์
พิจารณาการรับบุคลากรเข้าทำงาน ระมัดระวังความไม่พอใจของพนักงาน IT และ/หรือพนักงานอื่นๆ แบ่งแยกหน้าที่ความรับผิดชอบของ IT กับแผนกอื่นอย่างชัดเจน จัดสรรสิทธิการเข้าใช้ระบบของแต่ละบุคคลในองค์กรชัดเจน เข้มงวดและเอาจริงเอาจังกับนโยบายการรักษาความปลอดภัยระบบ ควบคุมการเข้าออกของบุคลากรอย่างรัดกุมที่สุด กำหนด Password และถือเป็นระเบียบปฏิบัติ ที่ใครละเมิดจะมีบทลงโทษรุนแรง จัดทำข้อมูลสำรองเป็นระยะๆ และให้เป็นวิถีปฏิบัติของแผนก ควบคุมระบบการรับส่งข้อมูลในเครือข่ายอย่างดี โดยติดตั้งระบบกำแพงไฟ
64
การป้องกันอาชญากรรมคอมพิวเตอร์
จัดให้มีการตรวจสอบระบบคอมพิวเตอร์อย่างมีมาตรการและละเอียดถี่ถ้วนที่สุด ประชาสัมพันธ์ให้ผู้บริหารและพนักงานทุกระดับทั่วไปทราบ เกี่ยวกับการตรวจสอบข้อมูลที่ได้รับไปด้วยวิจารณญาณก่อนตัดสินใจ จัดการอบรมและให้รับทราบถึงมาตรการในการรักษาความปลอดภัยในระบบสารสนเทศทั่งทั้งองค์กรและให้ยึดถือเป็นระเบียบปฏิบัติอย่างเข้มงวด และชี้ให้เห็นถึงอันตรายอันเกิดจากการถูกคุกคาม มีบทลงโทษที่รุนแรงและเด็ดขาดต่อการเพิกเฉย ละเลยปฏิบัติหน้าที่ในการดูแลรักษาความปลอดภัยในระบบสารสนเทศต่อทุกคน
65
Reference and Guide Book
End of Chapter Reference and Guide Book นิตยา เจรียงประเสริฐ. ระบบสารสนเทศสำหรับธุรกิจ. มหาวิทยาลัยเชียงใหม่ Whitman , Mattord. Principle of Information Security . Boston :Thomson , 2003 - - - (ISBN : ) เลาดอน,เคนเนท ; เลาดอน,จีนส์. ระบบสารสนเทศเพื่อการจัดการ . กรุงเทพ - - - : เพียร์สัน เอ็ดดูเคชั่น อินโดไชน่า , (ISBN )
66
End of Term Good luck to You!!!
งานนำเสนอที่คล้ายกัน
