จริยธรรม และกฎหมาย ดิจิทัล

กฎหมาย พระราชบัญญัติและจริยธรรมในการใช้เทคโนโลยีสารสนเทศ ความปลอดภัยของข้อมูล ระบบคอมพิวเตอร์ ตลอดจนความปลอดภัยของชีวิตและทรัพย์สินของตนเอง

1. พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประกอบด้วยมาตราต่างๆ รวมทั้งสิ้น 30 มาตรา

• 1.1 ส่วนทั่วไป บทบัญญัติในส่วนทั่วไปประกอบด้วย มาตรา 1 ชื่อกฎหมาย มาตรา 2 วันบังคับใช้กฎหมาย มาตรา 3 คำนิยาม และมาตรา 4 ผู้รักษาการ
• 1.2 หมวด 1 บทบัญญัติความผิดเกี่ยวกับคอมพิวเตอร์มีทั้งสิ้น 13 มาตรา ตั้งแต่มาตรา 5 ถึงมาตรา 17 สาระสำคัญของหมวดนี้ว่าด้วยฐานความผิด อันเป็นผลจากการกระทำที่กระทบต่อความมั่นคง ปลอดภัย ของระบบสารสนเทศโดยเป็นการกระทำความผิดที่กระทบต่อการรักษาความลับ (Confidentiality) ความครบถ้วนและความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) ของระบบคอมพิวเตอร์ ซึ่งเป็นความผิดที่ไม่สามารถยอมความได้ ยกเว้นมาตรา 16 ซึ่งเป็นความผิดเกี่ยวกับการตัดต่อหรือดัดแปลงภาพ ซึ่งยังคงกำหนดให้เป็นความผิดที่สามารถยอมความได้ เพราะความเสียหายมักเกิดขึ้นเพียงบุคคลใดบุคคลหนึ่งเท่านั้น คู่คดีสามารถหาข้อยุติและสรุปตกลงความเสียหายกันเองได้ ซึ่งต่างจากมาตราอื่นๆ ในหมวดนี้ ที่ผลของการกระทำผิดอาจไม่ใช่เพียงแค่กระทบบุคคลใดบุคคลหนึ่ง แต่อาจกระทบต่อสังคม ก่อเกิดความเสียหายทางเศรษฐกิจในวงกว้าง

2. พระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์

• 2.1 กฎหมายนี้รับรองการทำธุรกรรมด้วยเอกสารอิเล็กทรอนิกส์ทั้งหมด 2.2 ศาลจะต้องยอมรับฟังเอกสารอิเล็กทรอนิกส์ แต่ทั้งนี้มิได้หมายความว่าศาลจะต้องเชื่อว่าข้อความอิเล็กทรอนิกส์นั้นเป็นข้อความที่ถูกต้อง 2.3 ปัจจุบันธุรกิจจำเป็นต้องเก็บเอกสารทางการค้าที่เป็นกระดาษจำนวนมาก ทำให้เกิดค่าใช้จ่ายและความไม่ปลอดภัยขึ้น กฎหมายฉบับนี้เปิดทางให้ธุรกิจสามารถเก็บเอกสารเหล่านี้ในรูปไฟล์อิเล็กทรอนิกส์
• 2.4 ปกติการทำสัญญาบนเอกสารที่เป็นกระดาษจะมีการระบุวันเวลาที่ทำธุรกรรมนั้นด้วย ในกรณีธุรกรรมอิเล็กทรอนิกส์นั้นได้ให้ข้อวินิจฉัยเวลาของธุรกรรมตามมาตรา 23
• 2.5 มาตรา 25 ระบุถึงบทบาทของภาครัฐในการให้บริการประชาชนด้วยระบบอิเล็กทรอนิกส์ ให้อำนาจหน่วยงานรัฐบาลสามารถสร้างระบบรัฐบาลอิเล็กทรอนิกส์ (e-Government) ในการให้บริการประชาชนได้ โดยต้องออกประกาศ หรือกฎกระทรวงเพิ่มเติม
• 2.6 ใบรับรองอิเล็กทรอนิกส์หรือลายมือชื่อดิจิทัลของผู้ประกอบถือเป็นสิ่งสำคัญและมีค่าเทียบเท่าการลงลายมือชื่อบนเอกสารกระดาษ ดังนั้นผู้ประกอบการต้องเก็บรักษาใบรับรองอิเล็กทรอนิกส์นี้ไว้เป็นความลับ และมาตรา 27

3. กฎหมายลิขสิทธิ์ และการใช้งานโดยธรรม (Fair Use)

กฎหมายลิขสิทธิ์ภายใต้พระราชบัญญัติ พ.ศ. 2537 ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศและการใช้งานโดยธรรม (Fair Use) ก็คือมาตรา 15 ที่มีสาระสำคัญในการคุ้มครองลิขสิทธิ์ของเจ้าของลิขสิทธิ์

หมวด 1 ส่วนที่ 6 ว่าด้วยข้อยกเว้นการละเมิดลิขสิทธิ์ ให้สามารถนำข้อมูลของผู้อื่นมาใช้ได้โดยไม่ต้องขออนุญาต หรือเป็นการใช้งานโดยธรรม ต้องขึ้นอยู่กับปัจจัย 4 ประการดังนี้

1) พิจารณาว่าการกระทำดังกล่าวมีวัตถุประสงค์การใช้งานอย่างไร

2) ลักษณะของข้อมูลที่จะนำไปใช้ซึ่งข้อมูลดังกล่าวเป็น

3) จำนวนและเนื้อหาที่จะคัดลอกไปใช้เมื่อเป็นสัดส่วนกับข้อมูลที่มีลิขสิทธิ์ทั้งหมด

4) ผลกระทบของการนำข้อมูลไปใช้ที่มีต่อความเป็นไปได้ทางการตลาดหรือคุณค่าของงานที่มีลิขสิทธิ์นั้น

ในมาตรา 35 ได้บัญญัติให้การกระทำแก่โปรแกรมคอมพิวเตอร์อันมีลิขสิทธิ์ มิให้ถือว่าเป็นการละเมิดลิขสิทธิ์ หากไม่มีวัตถุประสงค์เพื่อหากำไร ในกรณีดังต่อไปนี้

1) วิจัยหรือศึกษาโปรแกรมคอมพิวเตอร์นั้น

2) ใช้เพื่อประโยชน์ของเจ้าของสำเนาโปรแกรมคอมพิวเตอร์นั้น

3) ติชม วิจารณ์ หรือแนะนำผลงานโดยมีการรับรู้ถึงความเป็นเจ้าของลิขสิทธิ์ในโปรแกรมคอมพิวเตอร์นั้น

4) เสนอรายงานข่าวทางสื่อสารมวลชนโดยมีการรับรู้ถึงความเป็นเจ้าของลิขสิทธิ์ในโปรแกรมคอมพิวเตอร์นั้น

5) ทำสำเนาโปรแกรมคอมพิวเตอร์ในจำนวนที่สมควรโดยบุคคลผู้ซึ่งได้ซื้อหรือได้รับโปรแกรมนั้นมาจากบุคคลอื่นโดยถูกต้อง เพื่อเก็บไว้ใช้ประโยชน์ในการบำรุงรักษาหรือป้องกันการสูญหาย

6) ทำซ้ำ ดัดแปลง นำออกแสดง หรือทำให้ปรากฏเพื่อประโยชน์ในการพิจารณาของศาลหรือเจ้าพนักงานซึ่งมีอำนาจตามกฎหมาย หรือในการรายงานผลการพิจารณาดังกล่าว

7) นำโปรแกรมคอมพิวเตอร์นั้นมาใช้เป็นส่วนหนึ่งในการถามและตอบในการสอบ

8) ดัดแปลงโปรแกรมคอมพิวเตอร์ในกรณีที่จำเป็นแก่การใช้

9) จัดทำสำเนาโปรแกรมคอมพิวเตอร์เพื่อเก็บรักษาไว้สำหรับการอ้างอิง หรือค้นคว้า เพื่อประโยชน์ของสาธารณชน

จริยธรรมในการใช้เทคโนโลยีสารสนเทศต้องอยู่บนพื้นฐาน 4 ประเด็นด้วยกัน ที่รู้จักกันในลักษณะตัวย่อว่า PAPA (จริยธรรมในสังคมสารสนเทศ, 2551) คือ

1. ความเป็นส่วนตัว (Information Privacy)

2. ความถูกต้องแม่นยำ (Information Accuracy)

3. ความเป็นเจ้าของ (Information Property)

4. การเข้าถึงข้อมูล (Data Accessibility) 

ปัจจุบันรูปแบบในการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้มีหลากหลายรูปแบบ โดยในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ก็ได้มีมาตราต่างๆ เพื่อรองรับต่อรูปแบบของการกระทำดังกล่าวตั้งแต่มาตรา 5 ถึง มาตรา 16 ดังมีรายละเอียดดังนี้

1. การเข้าถึงระบบและข้อมูลคอมพิวเตอร์

1.1 สปายแวร์

1.2 สนิฟเฟอร์ คือโปรแกรมที่คอยดักฟังการสนทนาบนเครือข่าย

1.3 ฟิชชิ่ง

2. การรบกวนระบบและข้อมูลคอมพิวเตอร์

ผู้กระทำผิดกระทำการเรียกว่า มะลิซเชิส โค้ด (Malicious Code) ซึ่งจะอยู่ในรูปแบบต่างๆ เช่น ไวรัส เวิร์ม หรือหนอนอินเทอร์เน็ต และโทรจัน

โจมตีอีกรูปแบบหนึ่งคือ ดิไนออล อ๊อฟ เซอร์วิส (Denial of Service

2.1 ไวรัส

• หนอนอินเทอร์เน็ต (Internet Worm)
• โทรจัน (Trojan)
• โค้ด (Exploit)
• ข่าวไวรัสหลอกลวง (Hoax)

2.2 ดิไนออล อ๊อฟ เซอร์วิส (Denial of Service: DoS) หรือ ดิสตริบิวต์ ดิไนออล อ๊อฟ เซอร์วิส (Distributed Denial of Service: DDoS)

• การแพร่กระจายของไวรัสปริมาณมากในเครือข่าย
• การส่งแพ็กเก็ตจำนวนมากเข้าไปในเครือข่ายหรือ ฟลัดดิ้ง (flooding)
• การโจมตีข้อบกพร่องของซอฟต์แวร์
• การขัดขวางการเชื่อมต่อใดๆ ในเครือข่ายทำให้คอมพิวเตอร์หรืออุปกรณ์เครือข่ายไม่สามารถสื่อสารกันได้
• การโจมตีที่ทำให้ซอฟต์แวร์ในระบบปิดตัวเองลงโดยอัตโนมัติ หรือไม่สามารถทำงานต่อได้จนไม่สามารถให้บริการใดๆ ได้อีก
• การกระทำใดๆ ก็ตามเพื่อขัดขวางผู้ใช้ระบบในการเข้าใช้บริการในระบบได้ เช่น การปิดบริการเว็บเซิร์ฟเวอร์ลง

• การทำลายระบบข้อมูล หรือบริการในระบบ เช่น การลบชื่อ และข้อมูลผู้ใช้ออกจากระบบ ทำให้ไม่สามารถเข้าสู่ระบบได้

3. การสแปมเมล (จดหมายบุกรุก)

4. การใช้โปรแกรมเจาะระบบ (Hacking Tool)

5. การโพสต์ข้อมูลเท็จ

6. การตัดต่อภาพ

การใช้ ICT อย่างไรให้ปลอดภัย

แนวทางป้องกันเพื่อการใช้งานระบบคอมพิวเตอร์ได้อย่างปลอดภัย ดังมีรายละเอียดดังนี้

1. แนวทางป้องกันภัยจากสปายแวร์

1.1 ไม่คลิกลิงก์บนหน้าต่างเล็กของป๊อบอัพโฆษณา

1.2 ระมัดระวังอย่างมากในการดาวน์โหลดซอฟต์แวร์ที่จัดให้ดาวน์โหลดฟรี โดยเฉพาะเว็บไซต์ที่ไม่น่าเชื่อถือ

1.3 ไม่ควรติดตามอีเมลลิงก์ที่ให้ข้อมูลว่ามีการเสนอซอฟต์แวร์ป้องกันสปายแวร์ เพราะอาจให้ผลตรงกันข้าม

2. แนวทางป้องกันภัยจากสนิฟเฟอร์

2.1 SSL (Secure Socket Layer) ใช้ในการเข้ารหัสข้อมูลผ่านเว็บ ส่วนใหญ่จะใช้ในธุรกรรมอิเล็กทรอนิกส์

2.2 SSH (Secure Shell) ใช้ในการเข้ารหัสเพื่อเข้าไปใช้งานบนระบบยูนิกซ์ เพื่อป้องกันการดักจับ

2.3 VPN (Virtual Private Network) เป็นการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเทอร์เน็ต

2.4 PGP (Pretty Good Privacy) เป็นวิธีการเข้ารหัสของอีเมล แต่ที่นิยมอีกวิธีหนึ่งคือ S/MIME

3. แนวทางป้องกันภัยจากฟิชชิ่ง

3.1 หากอีเมลส่งมาในลักษณะของข้อมูล อาทิ จากธนาคาร บริษัทประกันชีวิต ฯลฯ ควรติดต่อกับธนาคารหรือบริษัท และสอบถามด้วยตนเอง เพื่อป้องกันไม่ให้ถูกหลอกเอาข้อมูลไป

3.2 ไม่คลิกลิงก์ที่แฝงมากับอีเมลไปยังเว็บไซต์ที่ไม่น่าเชื่อถือ

4. แนวทางป้องกันภัยจากไวรัสคอมพิวเตอร์

4.1 ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนระบบคอมพิวเตอร์ และทำการอัพเดทฐานข้อมูลไวรัสของโปรแกรมอยู่เสมอ

4.2 ตรวจสอบและอุดช่องโหว่ของระบบปฏิบัติการอย่างสม่ำเสมอ

4.3 ปรับแต่งการทำงานของระบบปฏิบัติการ และซอฟต์แวร์บนระบบให้มีความปลอดภัยสูง

4.4 ใช้ความระมัดระวังในการเปิดอ่านอีเมล และการเปิดไฟล์จากสื่อบันทึกข้อมูลต่างๆ

5. แนวทางป้องกันภัยการโจมตีแบบ DoS (Denial of Service)

5.1 ใช้กฎการฟิลเตอร์แพ็กเก็ตบนเราเตอร์สำหรับกรองข้อมูล

5.2 ติดตั้งซอฟต์แวร์เพิ่มเติมในการแก้ไขปัญหาของการโจมตีโดยใช้ TCP SYN Flooding

5.3 ปิดบริการบนระบบที่ไม่มีการใช้งานหรือบริการที่เปิดโดยดีฟอลต์

5.4 นำระบบการกำหนดโควตามาใช้

5.5 สังเกตและเฝ้ามองพฤติกรรมและประสิทธิภาพการทำงานของระบบ นำตัวเลขตามปกติของระบบมากำหนดเป็นบรรทัดฐานในการเฝ้าระวังในครั้งถัดไป

5.6 ตรวจตราระบบการจัดการทรัพยากรระบบตามกายภาพอย่างสม่ำเสมอ

5.7 ใช้โปรแกรมทริปไวร์ (Tripwire)

5.8 ติดตั้งเครื่องเซิร์ฟเวอร์ฮ็อตสแปร์ (hot spares)

5.9 ติดตั้งระบบสำรองเครือข่าย

5.10 การสำรองข้อมูลบนระบบอย่างสมำเสมอ

5.11 วางแผนและปรับปรุงนโยบายการใช้งานรหัสผ่านที่เหมาะสม

6. แนวทางป้องกันสแปมเมลหรือจดหมายบุกรุก

6.1 การป้องกันอีเมลสแปม

6.2 การป้องกันอีเมลบอมบ์

7. การป้องกันภัยจากการเจาะระบบ

1. เกิดข้อบังคับในหลายหน่วยงานในการเข้ารหัสเครื่องคอมพิวเตอร์แลปท็อปคอมพิวเตอร์แลปท็อปเป็นเครื่องคอมพิวเตอร์ขนาดเล็กที่สามารถพกพาได้สะดวก ผู้ใช้สามารถเปลี่ยนสถานที่ทำงานได้โดยง่าย จึงเป็นที่นิยมของหน่วยงานหรือองค์กรต่างๆ ที่หันมาใช้เครื่องคอมพิวเตอร์แลปท็อปแทนเครื่อง

คอมพิวเตอร์แบบตั้งโต๊ะ แต่การสูญเสียข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์แลปท็อปก็มีความเสี่ยงสูงเช่นกัน

2. ปัญหาความปลอดภัยของข้อมูลใน PDA สมารทโฟน และ iPhone ต้องมีการเข้ารหัสข้อมูลที่อยู่ใน PDA สมารทโฟน และ iPhoneเช่นเดียวกับแลปท็อป

3. การออกกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล ประเทศไทยได้ออกกฎหมายที่เกี่ยวข้องกับการกระทำผิดหรือการก่ออาชญากรรมทางคอมพิวเตอร์และทางด้านเทคโนโลยี

4. หน่วยงานภาครัฐที่สำคัญเป็นเป้าหมายการโจมตีของแฮกเกอร์ สำหรับแนวโน้มการโจมตีของแฮกเกอร์ในอนาคตคือหน่วยงานรัฐต่างๆ