การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
• แฮกเกอร์ ในความหมายแบบกว้าง แฮกเกอร์คือบุคคลใดก็ตามที่พยายามเจาะเข้าไปในระบบสารสนเทศอย่างผิดกฏหมาย แบบแคบ แฮกเกอร์คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย แต่แฮกเกอร์เชื่อว่าการกระทำดังกล่าวยอมรับได้ เพราะมีวัตถุประสงค์ในการแสดงให้เจ้าของระบบสารสนเทศทราบช่องโหว่ของการรักษาความปลอดภัยของระบบสารสนเทศ โดยแฮกเกอร์พวกนี้เรียกตนเองว่า แฮกเกอร์ที่มีจรรยาบรรณ (Ethical hackers)
• แครกเกอร์ คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย โดยแครกเกอร์จะเป็นผู้ที่มีความรู้ทางคอมพิวเตอร์อย่างมากเช่นเดียวกับแฮกเกอร์ ต่างกันที่แครกเกอร์จะทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก
• ผู้ก่อให้เกิดภัยมือใหม่ เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ มือใหม่เป็นบุคคลที่อาจก่อให้เกิดภัยกับกิจการอย่างใหญ่หลวง เนื่องจากบุคคลพวกนี้มักเป็นคนที่มีอายุน้อยซึ่งมีเวลาอย่างไม่จำกัด
• ผู้สอดแนม เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
• เจ้าหน้าที่ขององค์กร เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
• ผู้ก่อการร้ายทางคอมพิวเตอร์ ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว เช่น การปล่อยข่าวเท็จ ตั้งกระทู้ต่อว่าด่าทอ
ประเภทของความเสี่ยงของระบบสารสนเทศ
Ø การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing, Web page spoofing (หลอกล่อให้เข้าไปในเว็บเพจเพื่อเอาข้อมูลส่วนตัวของเราไปใช้ในการจารกรรม), และ e-mail spoofing
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ทำให้ระบบล่ม
- การโจมตีด้วยมัลแวร์ (Malware)
· โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)
· และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
Ø การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย
Ø การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
Ø ความล้มเหลวของระบบสารสนเทศ (System failure)
- เสียง (Noise)
- แรงดันไฟฟ้าต่ำ (Undervoltages)
- แรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
Ø การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition
- ติดตั้งไฟร์วอลล์ (Firewall)
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software)
- ติดตั้ง Honeypot
Ø การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification)
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
· ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
· ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
· ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
Ø การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
Ø การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
- องค์ประกอบของการเข้ารหัส
· Plaintext
· Algorithm
· Secure key
- ประเภทของการเข้ารหัส
· การเข้ารหัสแบบสมมาตร
· การเข้ารหัสแบบไม่สมมาตร
Ø การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
Ø การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
Ø การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
Ø การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้
- บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่
- เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่
- บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่
- บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่
- นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
