Wednesday, October 28, 2015

ว่าด้วยอาชญากรรมคอมพิวเตอร์



ว่าด้วยอาชญากรรมคอมพิวเตอร์


สถิติด้านอาชญากรรมคอมพิวเตอร์ยุคนี้ นับวันจะยิ่งทวีความรุนแรงมากขึ้น ประเทศที่มีความก้าวหน้าทางเทคโนโลยีสูง อาทิ สหรัฐอเมริกา จึงจำเป็นต้องมีการเพิ่มจำนวนเจ้าหน้าที่ในสังกัดที่เกี่ยวข้องกับการกำกับดูแลเรื่องเหล่านี้โดยตรง ในขณะที่ประเทศไทยเองก็เริ่มมีความตื่นตัวยิ่งขึ้นและเริ่มประกาศใช้กฎหมายอย่างเข้มงวดเพื่อจัดการกับอาชญากรไฮเทคเหล่านี้ ดังที่ปรากฏตามข่าวในสื่อต่างๆ อย่างต่อเนื่อง


สถานการณ์การโจมตีระบบคอมพิวเตอร์โดยแฮ็กเกอร์ (Hacker) นั้น มักจะพุ่งเป้าไปยังหน่วยงานต่างๆ โดยเฉพาะภาครัฐ ซึ่งจะสร้างผลกระทบต่อประชาชนที่เกี่ยวข้องในวงกว้าง ดังนั้น ในฐานะผู้ที่มีโอกาสได้รับผลกระทบ เราจึงควรทำความรู้จักกับกฎหมายเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ (Thailand Computer Crime Law) กันไว้สักนิด


การพิจารณาคดีอาชญากรรมทางคอมพิวเตอร์นั้น จำเป็นต้องอาศัยความรู้ด้าน Information Security และเจาะลึกลงไปในการพิสูจน์หลักฐานทางคอมพิวเตอร์ หรือ “นิติคอมพิวเตอร์” (Computer Forensics) กล่าวอีกนัยหนึ่งก็คือ การใช้กระบวนการเพื่อระบุ, บ่งชี้, เก็บรักษา และกู้คืน บรรดาข้อมูลแบบดิจิตอลที่มีความสำคัญต่อการสืบสวน


Computer Forensics คืออะไร?


Computer Forensics คือ การเก็บหลักฐาน, การค้นหา, การวิเคราะห์ และการนำเสนอหลักฐานทางดิจิตอลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ในคอมพิวเตอร์, อุปกรณ์อิเล็กทรอนิกส์, โทรศัพท์มือถือ รวมถึงหลักฐานดิจิตอลที่ถูกสร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้


ศาสตร์ด้าน Computer Forensics นั้น จัดเป็นความรู้ขั้นสูงทางด้านการรักษาความมั่นคงปลอดภัย (Information Security) การรวบรวมและเก็บพยานหลักฐาน (Evidence) ที่อยู่ในรูปของข้อมูลดิจิตอล(Digital Information) ซึ่งจำเป็นต้องกระทำโดยผู้ที่มีความเชี่ยวชาญทางด้าน Computer Forensics โดยเฉพาะ


ข้อมูลที่อยู่ในหน่วยความจำ (RAM) หรือข้อมูลในฮาร์ดดิสก์ ถึงแม้จะถูกลบหรือถูกฟอร์เม็ตไปแล้ว ก็ยังสามารถนำมาใช้พิจารณาในชั้นศาลได้




ร่างพระราชบัญญัติว่าด้วยอาชญากรรมทางคอมพิวเตอร์ แบ่งออกเป็น 3 หมวด คือ

  1. ความผิดเกี่ยวกับการรักษาความลับ ความครบถ้วน และการทำงานของข้อมูลคอมพิวเตอร์/ระบบคอมพิวเตอร์
  2. ความผิดทางคอมพิวเตอร์
  3. อำนาจหน้าที่ของเจ้าพนักงานที่ทำการสืบสวนสอบสวน

การเข้าถึงคอมพิวเตอร์โดยมิชอบ การลักลอบดักข้อมูลโดยมิชอบ เช่น การใช้วิธี Sniffing, Session Hijacking หรือ Man-In-The-Middle-Attack และการก่อกวนระบบคอมพิวเตอร์ด้วยวิธี DoS (Denial of Services) ถือเป็นความผิดที่ต้องถูกดำเนินคดีทางกฎหมาย


สำหรับความผิดที่เกี่ยวกับคอมพิวเตอร์ เช่น การใช้อุปกรณ์ในทางมิชอบ การปลอมแปลงข้อมูลคอมพิวเตอร์ การเผยแพร่สื่อลามกอนาจาร และการฉ้อโกงข้อมูลคอมพิวเตอร์


โดยสรุปคือ “การอบรมความรู้ขั้นสูงทางด้าน Information Security” เป็นเรื่องจำเป็นสำหรับพนักงานสอบสวน ตลอดจนผู้ที่เกี่ยวข้องในกระบวนการยุติธรรมจนถึงชั้นศาล หน่วยงานภาครัฐต้องให้ความสำคัญในเรื่องการฝึกอบรมบุคลากรดังกล่าวในเรื่อง Computer Forensics และ Investigations โดยเฉพาะ เพื่อป้องกันและปราบปรามเหล่าอาชญากรทางคอมพิวเตอร์ที่นับวันจะเพิ่มมากขึ้น ด้วยวิธีหรือเทคนิคใหม่ๆ ที่ซับซ้อนมากขึ้น





Content Cr: DestinationOne Counselor
Photo Cr: White-collar Crime


Posted by at No comments:
Labels: , , , , , , ,

Wednesday, October 21, 2015

7 ข้อ ต้องตรวจสอบเจ้าหน้าที่รักษาความปลอดภัย



7 ข้อ ต้องตรวจสอบเจ้าหน้าที่รักษาความปลอดภัย

สำหรับบริษัทต่างๆ แล้ว ตำแหน่งหน้าที่หนึ่งที่อาจจะไม่เกี่ยวข้องกับกระบวนการทางธุรกิจโดยตรงแต่ก็มีความจำเป็นอย่างยิ่ง ก็คือ “เจ้าหน้าที่รักษาความปลอดภัย” หรือที่เรามักจะเรียกกันย่อๆ ว่า รปภ. ทั้งที่เป็นการจัดจ้างตรงโดยบริษัทเอง หรือเป็นการใช้บริการ Outsource ผู้เชี่ยวชาญเฉพาะด้าน เพื่อมาดูแลความมั่นคงปลอดภัย และตรวจตราความผิดปกติต่างๆ
อย่างไรก็ตาม บริษัทส่วนใหญ่มักหลงลืมที่จะตรวจสวบการปฏิบัติงานของเจ้าหน้าที่รักษาความปลอดภัยเหล่านี้ ว่ามีประสิทธิภาพตรงตามข้อกำหนดและความต้องการของบริษัทหรือไม่ หรืออาจจะไม่มั่นใจว่าต้องประเมินในหัวข้อใดบ้าง จึงจะเพียงพอและเหมาะสม ดังนั้น ในบทความครั้งนี้ ทีมงาน Destination One จึงขอนำเสนอ 7 หัวข้อที่ควรพิจารณาตรวจสอบ ดังต่อไปนี้


  1. สัญญาว่าจ้างและข้อตกลงในการให้บริการ จะต้องมีความครอบคลุม เนื้อหาระบุชัดเจนเป็นลายลักษณ์อักษรซึ่งมีผลตามกฎหมาย รวมถึงจะต้องกำหนด “หน้าที่ความรับผิดชอบ” และ “บทลงโทษ” อย่างละเอียดอีกด้วย
  2. วิธีการคัดเลือกและคุณสมบัติพนักงาน วิธีการคัดเลือกนั้นจะต้องรอบคอบและมีความมั่นคงปลอดภัย คุณสมบัติของผู้ถูกคัดเลือกจะต้องตรงตามความต้องการและสามารถตรวจสอบได้ โดยเฉพาะเกี่ยวกับประวัติอาชญากรรม
  3. ระดับของการให้บริการ จะต้องมีการกำหนดดัชนีระดับการให้บริการที่ชัดเจน จับต้องได้ และสามารถวัดผลได้จริง
  4. กระบวนการทำงาน ต้องมีการจัดทำคู่มือเพื่ออธิบายกระบวนการ วิธีการ และขั้นตอนการปฏิบัติงาน สอดคล้องตามความต้องการขององค์กร รวมถึงจะต้องมี “กระบวนการบริหารจัดการความเปลี่ยนแปลง”, “กระบวนการบริหารจัดการเหตุฉุกเฉิน” และ “การปฏิบัติงานตามกฎระเบียนและกฎหมาย
  5. การวัดประสิทธิภาพ ต้องมีการกำหนดตัวชี้วัดที่ชัดเจน ครอบคลุมและตรงตามความต้องการของผู้ที่มีส่วนเกี่ยวข้องทุกฝ่าย
  6. ความต่อเนื่องในการให้บริการ ตรวจสอบว่าการปฏิบัติงานรักษาความมั่นคงปลอดภัยมีความต่อเนื่องตลอดเวลา ตรงตามข้อตกลงที่ได้ระบุไว้
  7. ความมั่นคงปลอดภัย เจ้าหน้าที่รักษาความปลอดภัยจะต้องไม่เปิดเผยข้อมูลและรักษาความลับอย่างเคร่งครัด และจะต้องได้รับการควบคุมการเข้าถึงให้เป็นไปตามตำแหน่งหน้าที่ความรับผิดชอบเท่านั้น

การตรวจสอบการปฏิบัติงานนั้น ไม่ใช่การจับผิดเจ้าหน้าที่แต่อย่างใด แต่เป็นการตรวจสอบเพื่อรักษาระดับประสิทธิภาพให้สูงกว่าหรืออยู่ในระดับยอมรับได้ และกระตุ้นการตื่นรู้อยู่เสมอ เพื่อให้เกิดประโยชน์สูงสุดต่อองค์กรนั่นเอง




Content Cr: DestinationOne Counselor
Photo Cr: Securityguardpedia.com

Posted by at No comments:
Labels: , , , , , ,

Wednesday, October 14, 2015

Internet of Things ทำอย่างไรให้มั่นคงปลอดภัย



Internet of Things ทำอย่างไร?? ให้มั่นคงปลอดภัย

ชีวิตทันสมัยทำให้ทุกสิ่งอย่างรอบตัวต้องเชื่อมต่อกับอินเตอร์เน็ทอยู่ตลอดเวลา ไม่ว่าจะเพื่ออำนวยความสะดวกในชีวิตประจำวัน สนับสนุนการทำงาน หรือเพิ่มโอกาสทางธุรกิจ โดยเทรนด์ที่กำลังมาแรงนี้ถูกเรียกว่า Internet of Things” (IoT) ซึ่งในอนาคตต่อจากนี้อีกไม่ไกล คาดการณ์ว่าอุปกรณ์ทุกชนิด แม้แต่เครื่องใช้ในบ้าน ก็จะถูกอัพเกรดควบคุมด้วยระบบอัจฉริยะ อาทิ รถยนต์ ระบบปรับอากาศ ระบบไฟฟ้า ตู้เย็น อุปกรณ์ครัว เป็นต้น
อย่างไรก็ตาม การที่ Internet of Things จำเป็นต้องเชื่อมต่อกับเครือข่ายอยู่ตลอดเวลานั้นเปรียบเสมือนการเปิดโอกาสให้ความเสี่ยงเข้าโจมตีได้ง่ายขึ้น ดังนั้น คุณจึงจำเป็นต้องมีการติดตั้งและจัดการอุปกรณ์ รวมถึงระบบต่างๆ อย่างมั่นคงปลอดภัยและเหมาะสม


9 สิ่งควรทำเพื่อความมั่นคงปลอดภัยของ Internet of Things

  1. เลือกใช้งานเท่าที่จำเป็น ไม่ควรจัดซื้ออุปกรณ์ตามกระแส แต่ควรประเมินว่าจำเป็นต้องใช้อุปกรณ์สิ่งนั้นจริงๆ หรือไม่
  2. คำนึงถึงความมั่นคงปลอดภัยตั้งแต่ต้น ในการเลือกซื้อหรือจัดหาระบบและปอุปกรณ์จะต้องคิดถึงความมั่นคงปลอดภัยเสมอ รวมถึงวางแผนวิธีการใช้งานอย่างเหมาะสมอีกด้วย
  3. ไม่ควรบันทึกข้อมูลส่วนตัว ข้อมูลส่วนตัวและข้อมูลที่สำคัญต่างๆ ไม่จำเป็นต้องบันทึกลงในอุปกรณ์โดยไม่จำเป็น
  4. เข้าถึงเท่าที่จำเป็น กำหนดตัวตนผู้ใช้งานที่สามารถเข้าถึงระบบ หรือตั้งค่าอุปกรณ์ได้
  5. ต้องมีการแบ่งแยกเครือข่าย ต้องแยกเครือข่ายที่ใช้งานข้อมูลสำคัญ และใช้งานทั่วไปออกจากกัน
  6. หมั่นประเมินความเสี่ยงอยู่เสมอ ทุกสิ่งมีความเปลี่ยนแปลงอยู่ตลอดเวลา จึงจำเป็นต้องมีการประเมินความเสี่ยงอย่างสม่ำเสมอ
  7. เข้าใจจุดอ่อน อุปกรณ์และระบบทุกชนิดล้วนแต่มีจุดอ่อน อาจจะมากบ้างน้อยบ้างต่างกันไป แต่เราต้องเข้าใจถึงจุดอ่อนของสิ่งที่เราเลือกใช้และดำเนินการหามาตรการปกป้องอย่างเหมาะสม
  8. ปรับปรุงตลอดเวลา หมั่นตรวจสอบและปรับปรุงอุปกรณ์และระบบให้มีความพร้อมใช้งานอยู่เสมอ โดยปฏิบัติตามคำแนะนำของผู้ผลิต ผู้ให้บริการ หรือผู้เชี่ยวชาญอย่างเคร่งครัด
  9. จัดหาทางเลือก ในระหว่างเหตุฉุกเฉิน อาจจะจำเป็นต้องมีการใช้งานอุปกรณ์หรือระบบสำรอง จึงควรมีการจัดหาเตรียมไว้ล่วงหน้า





Content Cr: DestinationOne Counselor
Photo Cr: www.engineering.com
Posted by at No comments:
Labels: , , , , , ,
Subscribe to: Posts (Atom)