การกำหนดนโยบายด้านความมั่นคงปลอดภัยเพื่อให้สอดรับกับ พรบ การกำหนดนโยบายด้านความมั่นคงปลอดภัยเพื่อให้สอดรับกับ พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดย บรรจง หะรังษี ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT)

บทกำหนดโทษ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2549 บทกำหนดโทษ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2549 ฐานความผิด โทษจำคุก โทษปรับ มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๑ สแปมเมล์ ไม่มี มาตรา ๑๒ การกระทำต่อความมั่นคง (๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ (๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต ไม่เกิน ๑๐ ปี ๓ ปี ถึง ๑๕ ปี ๑๐ ปี ถึง ๒๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท มาตรา ๑๓ การจำหน่าย/เผยแพร่ชุดคำสั่ง มาตรา ๑๔ การเผยแพร่เนื้อหาอันไม่เหมาะสม มาตรา ๑๕ ความรับผิดของ ISP มาตรา ๑๖ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ห้ามพนักงานเข้าถึงระบบคอมพิวเตอร์ขององค์กรหรือของผู้อื่นที่ตนไม่ได้รับอนุญาตการใช้งาน

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ห้ามพนักงานเปิดเผยข้อมูลที่เกี่ยวข้องกับมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ขององค์กรให้แก่บุคคลภายนอก เช่น รหัสผ่าน

การเผยแพร่มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สำหรับตน ห้ามพนักงานเข้าถึงข้อมูลคอมพิวเตอร์ที่ตนไม่ได้รับอนุญาตการใช้งาน

7

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ ห้ามพนักงานใช้ทรัพยากรคอมพิวเตอร์ขององค์กรเพื่อดักรับข้อมูลคอมพิวเตอร์ขององค์กรหรือของผู้อื่นที่อยู่ระหว่างการส่งและตนไม่ได้รับสิทธิการเข้าถึง เช่น โปรแกรมดักแอบดูข้อมูลบนเครือข่าย Network sniffer

การดักดูข้อมูลคอมพิวเตอร์ การลักลอบดักข้อมูลคอมพิวเตอร์ โดยข้อมูลนั้นผู้ส่งประสงค์ จะส่งข้อมูลให้แก่บุคคลหนึ่งบุคคลใดโดยเฉพาะเจาะจงเท่านั้น โดย อาจทำได้โดยการ ติดตั้งซอฟต์แวร์เฉพาะหรือไวรัสคอมพิวเตอร์บางประเภท เพื่อให้ทำหน้าที่ในการดักข้อมูลที่อยู่ในระหว่างการติดต่อสื่อสาร หรือการส่งผ่านข้อมูลจากบุคคลหนึ่งไปยังระบบคอมพิวเตอร์อีก ระบบหนึ่ง เช่น การใช้สนิฟเฟอร์ (sniffer) แอบดักข้อมูลที่ส่งผ่านระหว่างเครือข่าย ทำให้ทราบรหัสผ่านของบุคคลซึ่งส่งหรือโอนข้อมูลผ่านระบบเครือข่าย หรือแอบดัก packet ซึ่งเป็นชุดของข้อมูลที่เล็กที่สุดที่อยู่ระหว่าง การส่งไปให้ผู้รับ data/coding ก้อนข้อมูล

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ห้ามพนักงานทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วนของข้อมูลคอมพิวเตอร์ที่ตนไม่ได้รับสิทธิในการเข้าถึง

แอบเจาะระบบแก้ไขวงเงินการใช้โทรศัพท์

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ ห้ามพนักงานทำให้ระบบคอมพิวเตอร์ขององค์กร หรือของผู้อื่น ถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้

การโจมตี (Cyber Attack) Agents Client coordinates attack Victim bandwidth is quickly eliminated Victim Network Agents Handler ISP Client Attack Goal: Saturate the bandwidth of an internet connection. Step-by-step Attack: Attacker instructs handlers to attack a particular IP address. Handlers instruct Agents to launch the actual attack. Attack Results: Victim network is saturated with spurious data preventing legitimate transactions from occurring. Agent (25) Internet Distribution Network A Handler Distribution Network B Agent (25) ISP Handler

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิด หรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ห้ามพนักงานส่งจดหมายอิเล็กทรอนิกส์ที่มีลักษณะเป็นจดหมายขยะอันไม่พึงประสงค์ต่อผู้รับ ห้ามพนักงานส่งจดหมายอิเล็กทรอนิกส์ที่มีลักษณะเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่น ห้ามพนักงานปลอมหรือปกปิดชื่อที่อยู่จดหมายอิเล็กทรอนิกส์ของตน เมื่อทำการส่งจดหมายไปยังผู้รับหนึ่ง

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๒ (๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ห้ามพนักงานก่อให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ เจตนาเพื่อให้คลอบคลุมถึงการกระทำที่ทำให้ส่งผลกระทบในวงกว้าง เช่นเจาะระบบการประปา การไฟฟ้า ทำให้ใช้สาธารณูปโภคไม่ได้ เป็นต้น การดูหมิ่นชาติ กษัตริย์ ศาสนา

การเผยแพร่ข้อมูลคอมพิวเตอร์ที่กระทบต่อความมั่นคง

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือ ในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือ มาตรา ๑๑ ห้ามพนักงานเผยแพร่ จำหน่าย แจกจ่ายเครื่องมือหรือชุดคำสั่งคอมพิวเตอร์เพื่อใช้ในการเจาะระบบ (Hack tools) รหัสผ่านคอมพิวเตอร์ หรือรหัสในการเข้าถึง เพื่อช่วยให้สามารถเข้าถึงระบบหรือข้อมูลคอมพิวเตอร์โดยมิชอบ

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๔ (๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ปลอม ห้ามพนักงานปลอมแปลงข้อมูลคอมพิวเตอร์อันจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชน ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ปลอมอันจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชนเข้าสู่ระบบคอมพิวเตอร์ ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ปลอมนั้นไปยังผู้อื่น

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๔ (๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์เท็จ ห้ามพนักงานสร้างข้อมูลคอมพิวเตอร์เท็จอันจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน ห้ามพนักงานนำข้อมูลคอมพิวเตอร์เท็จดังกล่าวเข้าสู่ระบบคอมพิวเตอร์ ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์เท็จนั้นไปยังผู้อื่น

ปรับเวลาเร็วขึ้น 30 นาที Forward mail 11 สิงหาคม 2550 21

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๔ (๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ที่ถือเป็นความผิดดังกล่าว ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบคอมพิวเตอร์ โดยข้อมูลนั้นถือเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่ถือเป็นความผิดดังกล่าวนั้นไปยังผู้อื่น

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๔ (๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้ (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ที่มีลักษณะอันลามก ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบคอมพิวเตอร์ ที่มีลักษณะเป็นการลามกและข้อมูลคอมพิวเตอร์นั้นพนักงานอื่นหรือประชาชนทั่วไปอาจเข้าถึงได้ ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่มีลักษณะเป็นการลามกไปยังผู้อื่น

24

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ห้ามพนักงานสนับสนุนหรือยินยอมการนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบคอมพิวเตอร์ขององค์กรโดย ข้อมูลนั้นจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชน ข้อมูลนั้นจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน ข้อมูลนั้นถือเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา หรือ ข้อมูลนั้นเป็นข้อมูลลามกซึ่งพนักงานอื่นหรือประชาชนทั่วไปอาจเข้าถึงได้

นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์ มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ห้ามพนักงานสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงข้อมูลคอมพิวเตอร์ภาพของผู้อื่นด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ที่จะทำให้ผู้อื่นนั้นเกิดความเสียหายได้ ห้ามพนักงานจัดเก็บข้อมูลคอมพิวเตอร์ภาพของผู้อื่นดังกล่าว

นโยบายการจัดเก็บข้อมูลจราจรคอมพิวเตอร์

ตัวอย่างนโยบายการจัดเก็บข้อมูลล็อก จัดทำบัญชีรายชื่อระบบงานที่ต้องมีการจัดเก็บและสำรองข้อมูลล็อก เช่น เครื่องเซิร์ฟเวอร์ FTP (FTP.log), Mail (SMTP.log), Firewall/Proxy/Gateway (เช่น FW.log), Web (Access.log), RADIUS (RADIUS.log) หรือ TACACS+ (TACACS.log) หรือ อย่างน้อยเป็นระยะเวลา 90 วัน จัดหาเซิร์ฟเวอร์กลางและสื่อบันทึกข้อมูลที่มีเสถียรภาพสูง เพื่อใช้ในการจัดเก็บข้อมูลล็อกตามบัญชีรายชื่อดังกล่าว จัดให้มีการเก็บข้อมูลล็อกตามบัญชีรายชื่อดังกล่าวไว้ในเซิร์ฟเวอร์กลางที่องค์กรได้จัดเตรียมไว้ จำกัดการเข้าถึงข้อมูลล็อกดังกล่าวในเซิร์ฟเวอร์กลางโดยกำหนดให้เฉพาะผู้ประสานงานที่องค์กรแต่งตั้งขึ้นมา ผู้ตรวจสอบสารสนเทศ หรือผู้ที่ได้รับมอบหมายเท่านั้นที่สามารถเข้าถึงเข้าถึงได้

ตัวอย่างนโยบายการจัดเก็บข้อมูลล็อก จัดให้มีการเก็บและสำรองข้อมูลล็อกตามบัญชีรายชื่อดังกล่าวอย่างน้อยเป็นระยะเวลา 180 วัน จัดทำแผนการสำรองข้อมูลล็อกสำหรับระบบงานตามบัญชีรายชื่อดังกล่าวโดยจะต้องระบุชื่อข้อมูลที่จะทำการสำรอง ความถี่ในการสำรอง และผู้รับผิดชอบในการสำรอง ใช้สื่อบันทึกข้อมูลสำหรับการสำรองข้อมูลล็อกที่มีความเชื่อถือได้สูง ตรวจสอบผลการสำรองข้อมูลล็อกตามกำหนดการการสำรองเพื่อดูว่าข้อมูลได้รับการสำรองอย่างครบถ้วนหรือไม่ ทดสอบการเข้าถึงข้อมูลที่ได้สำรองเก็บไว้อย่างสม่ำเสมอเพื่อตรวจสอบว่าข้อมูลยังคงเข้าถึงได้ตามปกติ