asylu3
20-10-2002, 10:23 PM
การละเมิดกฏหมายทั่วไป
นอกเหนือจากการละเมิดกฏหมายด้วยการใช้อุปกรณ์คอมพิวเตอร์เป็นเครื่องมือในการก่อเหตุแล้ว ยังมีอีก
หลายประเด็นที่เข้าข่ายละเมิดกฏหมายด้วยเช่นเดียวกัน อย่างเช่น การละเมิดที่พบบ่อยที่สุด ได้แก่การใช้ซอฟท์แวร์เถื่อน หลายต่อหลายบริษัท ไม่ว่าจะเป็นบริษัทใหญ่หรือเล็ก ต่างก็มีสิทธิถูกจับในข้อหาใช้ซอฟท์แวร์เถื่อนกันทั้งสิ้น เพราะกฏหมายการใช้ซอฟท์แวร์เถื่อนกินความตั้งแต่การหาซอฟท์แวร์ที่ถูกก๊อปปี้อย่างผิดกฏหมายมาใช้ ไปจนถึงการก๊อปปี้ซอฟท์แวร์ไว้ใช้เองเกินจำนวนที่มีกำหนดไว้ โดยทั่วไป ผู้ใช้ได้รับอนุญาตให้ก๊อปปี้ซอฟท์แวร์ที่มีลิขสิทธิ์เอาไว้เพียง 1 ชุดสำหรับเป็นชุดสำรองเท่านั้น หากในระบบการทำงานของคุณมีการเก็บข้อมูลสำรองทั้งแบบประจำวันและแบบเก็บไว้นานๆ ใช้ที ก็เป็นไปได้ว่า คุณกำลังละเมิดกฏหมายโดยมีก๊อปปี้ของซอฟท์แวร์ลิขสิทธิ์มากกว่า 1 ก๊อปปี้ไว้ในครอบครอง เพื่อเป็นการป้องกัน คุณควรทำบัญชีรายชื่อของซอฟท์แวร์ที่บริษัทคุณมีอยู่ทั้งหมดเอาไว้ โดยเฉพาะซอฟท์แวร์ในเครื่องคอมพิวเตอร์พีซี ซึ่งคุณควรให้ความสนใจเป็นพิเศษ
การละเมิดกฏหมายเกี่ยวกับการดูแลรักษาทรัพย์สิน
การดูแลรักษาทรัพย์สินจำเป็นต้องมีการรักษาความปลอดภัยข้อมูลเข้ามาเกี่ยวข้องมากเท่าใดนั้น ขึ้นอยู่กับการตัดสินของศาลเป็นสำคัญ แต่แน่นอนว่ามีบางสิ่งบางอย่างที่ต้องทำเป็นพื้นฐานอยู่แล้ว เช่นถ้าหากว่าบริษัทไม่ได้มีการทำสิ่งต่อไปนี้กับระบบคอมพิวเตอร์ของตน ก็ถือได้ว่าบริษัทไม่มีความรับผิดชอบในการดูแลรักษาทรัพย์สิน เช่น ไม่มีการแก้ไขซอฟท์แวร์ในส่วนที่ค้นพบความบกพร่องที่เกี่ยวกับความปลอดภัยของข้อมูล, ไม่มีข้อแนะนำหรือคำเตือนเกี่ยวกับการรักษาความปลอดภัยระบบ, ไม่มีระเบียบปฏิบัติเพื่อรักษาความปลอดภัยของข้อมูล เป็นต้น
ลักษณะของกิจการของบริษัทจะเป็นตัวกำหนดว่า บริษัทของคุณควรจะมีระบบดูแลป้องกันข้อมูลของบริษัทอย่างแน่นหนาเพียงใด เพื่อให้เป็นที่พอใจแก่ผู้ถือหุ้นของบริษัท ดังนั้น บริษัทจึงควรยึดเอามาตรฐานในวงการของตนเป็นหลักในการกำหนดระบบรักษาความปลอดภัยข้อมูล
การละเมิดสิทธิส่วนบุคคล
สิทธิส่วนบุคคลที่บริษัทจะต้องปกป้องไม่ให้ถูกล่วงละเมิดโดยการล้วงข้อมูลไปจากระบบคอมพิวเตอร์มีอยู่ 2 ประเด็นด้วยกัน ได้แก่ การปกปิดความลับข้อมูลของลูกค้าของบริษัท และการปกปิดความลับข้อมูลของพนักงานของบริษัท
บางครั้ง บริษัทก็จำเป็นต้องเก็บข้อมูลส่วนตัวของลูกค้าเอาไว้ เพราะต้องใช้ในการดำเนินการของบริษัท ดังตัวอย่างธุรกิจ เช่น โรงพยาบาลต้องเก็บประวัติการใช้ยาและการเข้ารับรักษาของคนไข้, สถาบันทางการเงินต้องเก็บข้อมูลทางการเงินของลูกค้า, หรือกิจการทางธุรกิจอื่นๆ ที่ในบางขั้นตอนจำเป็นต้องมีข้อมูลส่วนตัวของลูกค้ามาเป็นองค์ประกอบของการดำเนินงานทางธุรกิจ บางครั้ง ทางบริษัทต้องทำสัญญากับลูกค้าว่าจะไม่เปิดเผยข้อมูลที่เป็นความลับของลูกค้าต่อบุคคลที่สาม ทำให้บริษัทจะต้องทำทุกวิถีทางเพื่อป้องกันไม่ให้ข้อมูลความลับของลูกค้ารั่วไหลออกไปได้
ส่วนเรื่องสิทธิของพนักงานนั้น เป็นเรื่องที่ละเอียดอ่อนพอสมควร เพราะการที่คนๆ หนึ่งจะเข้ามาเป็นพนักงานของบริษัทนั้น เขาจะต้องเสียสิทธิส่วนบุคคลบางอย่างเพื่อทำให้ตัวเขามีความเหมาะสมสอดคล้องเข้ากับนโยบายและการดำเนินงานของบริษัท แต่อย่างไรก็ตาม พนักงานก็ยังคงมีสิทธิส่วนบุคคลหลงเหลืออยู่ ในการรับเข้าทำงานตั้งแต่วันแรก บริษัทกับพนักงานจึงควรมีการคุยกันเรื่องสิทธิส่วนบุคคลของพนักงานอย่างชัดแจ้ง เพื่อความเข้าใจที่ตรงกันทั้งสองฝ่าย
มีคำกล่าวว่า การป้องกันที่ดีที่สุดเป็นการรุกที่ดีที่สุด การย้ำเตือนถึงแนวทางและวิธีปฏิบัติเกี่ยวกับการรักษาความปลอดภัยของข้อมูลให้กับพนักงานในบริษัทเป็นสิ่งสำคัญที่ต้องทำอย่างสม่ำเสมอ พนักงานจะต้องรู้ว่า ข้อมูลส่วนตัวของตนประเภทใดที่ถือว่าเป็นสิทธิส่วนบุคคลที่บริษัทจะละเมิดมิได้ และข้อมูลส่วนตัวประเภทใดที่ไม่ถือว่าเป็นความลับต่อบริษัท พวกเขาควรจะได้รู้ด้วยว่า การยอมเปิดเผยความลับให้กับบริษัทนั้นจะก่อให้เกิดผลดีต่อส่วนรวมอย่างไร จุดที่สำคัญที่สุดสองจุดเกี่ยวกับสิทธิส่วนบุคคลของพนักงาน ได้แก่ สิทธิในการปกปิดข้อมูลในไฟล์ข้อมูลส่วนตัวและในอีเมลล์ และสิทธิในการถูกบันทึกร่องรอยการทำงานทางอิเลคทรอนิค ระดับความมากน้อยของการอ้างสิทธิของพนักงานควรขึ้นอยู่กับอายุงานของพนักงานแต่ละคน กล่าวคือ พนักงานใหม่จะต้องถูกเฝ้าดูข้อมูลส่วนตัวอย่างใกล้ชิดมากกว่าพนักงานที่ทำงานมานาน ประเด็นเกี่ยวกับสิทธิส่วนบุคคลของพนักงานนี้ จะต้องยึดเอาตามแนวทางและวิธีปฏิบัติที่ได้วางเอาไว้อย่างเหนียวแน่น
ในการวางนโยบายให้พนักงานปฏิบัติ ควรคำนึงถึงการปฏิบัติต่อพนักงานอย่างเหมาะสม, หลักคุณธรรม และสิทธิส่วนบุคคลของพนักงาน การมีคอมพิวเตอร์เข้ามาเกี่ยวข้องในการทำงานของพนักงานไม่ได้หมายความว่าสิทธิและความรับผิดชอบของพนักงานจะต้องแตกต่างไปจากเดิม ถ้าหากการที่บริษัทไปเปิดจดหมายที่เป็นกระดาษของพนักงานออกอ่านเป็นการไม่สมควร หลักการเดียวกันนี้ก็ควรจะใช้ได้กับอีเมลล์ของพนักงานด้วย
ส่งท้าย
ในสถานการณ์ที่คุณต้องต่อสู้กับแฮคเกอร์โดยมีระบบคอมพิวเตอร์ที่คุณดูแลเป็นเดิมพันนั้น ยิ่งคุณหยั่งรู้ตัวตนและความคิดของแฮคเกอร์ได้มากเท่าใด โอกาสชนะของคุณก็ยิ่งมีมากขึ้นเท่านั้น และการเตรียมพร้อมก็เป็นสิ่งสำคัญด้วย คุณควรวิเคราะห์ถึงจุดแข็งและจุดอ่อนของระบบคอมพิวเตอร์ของคุณเป็นประจำ อย่างเช่น
- ลักษณะกิจการของบริษัทหรือระบบคอมพิวเตอร์ของคุณมีส่วนที่เป็นที่น่าสนใจของแฮคเกอร์หรือเปล่า ?
- มีความเป็นไปได้แค่ไหน ที่บริษัทคุณจะถูกคู่แข่งโจรกรรมข้อมูล ?
- มีความขุ่นเคืองบริษัทเก็บซ่อนอยู่ในจิตใจพนักงานคนใดหรือกลุ่มใดหรือไม่ ?
การมองระบบคอมพิวเตอร์ของคุณด้วยมุมมองของแฮคเกอร์ก็มีส่วนช่วยได้ไม่น้อย เพราะมันจะทำให้คุณเข้าใจแฮคเกอร์ที่จะมารุกรานระบบของคุณได้อย่างลึกซึ้งเลยทีเดียว นอกจากนี้ คุณควรหาคำตอบให้กับคำถามที่เกี่ยวกับแฮคเกอร์ดังต่อไปนี้ เพื่อคุณจะได้รู้จักฝ่ายตรงข้ามของคุณได้ดียิ่งขึ้น
- แฮคเกอร์ที่คุณต้องเผชิญ อาจเป็นคนในบริษัทเอง หรือเป็นผู้บุกรุกจากภายนอก ?
- เขามีทักษะความสามารถขนาดไหน ?
- จุดประสงค์ของเขาคืออะไร ?
เมื่อคุณได้รู้จักศัตรูของคุณดีพอสมควรแล้ว คุณก็จะตัดสินใจได้ว่า ควรจะวางแนวป้องกันระบบไว้ที่ไหนดี และจะป้องกันด้วยวิธีใดได้บ้าง การเตรียมตัวป้องกันไว้เป็นอย่างดีเท่ากับมีชัยไปกว่าครึ่ง การป้องกันระบบคอมพิวเตอร์ให้ปลอดจากแฮคเกอร์โดยการสร้างแนวป้องกันและวางระบบเตือนภัย ย่อมดีกว่าการปล่อยให้แฮคเกอร์หลุดรอดเข้ามาและต้องต่อสู้กันไปอย่างยืดเยื้อแน่นอน
นอกเหนือจากการละเมิดกฏหมายด้วยการใช้อุปกรณ์คอมพิวเตอร์เป็นเครื่องมือในการก่อเหตุแล้ว ยังมีอีก
หลายประเด็นที่เข้าข่ายละเมิดกฏหมายด้วยเช่นเดียวกัน อย่างเช่น การละเมิดที่พบบ่อยที่สุด ได้แก่การใช้ซอฟท์แวร์เถื่อน หลายต่อหลายบริษัท ไม่ว่าจะเป็นบริษัทใหญ่หรือเล็ก ต่างก็มีสิทธิถูกจับในข้อหาใช้ซอฟท์แวร์เถื่อนกันทั้งสิ้น เพราะกฏหมายการใช้ซอฟท์แวร์เถื่อนกินความตั้งแต่การหาซอฟท์แวร์ที่ถูกก๊อปปี้อย่างผิดกฏหมายมาใช้ ไปจนถึงการก๊อปปี้ซอฟท์แวร์ไว้ใช้เองเกินจำนวนที่มีกำหนดไว้ โดยทั่วไป ผู้ใช้ได้รับอนุญาตให้ก๊อปปี้ซอฟท์แวร์ที่มีลิขสิทธิ์เอาไว้เพียง 1 ชุดสำหรับเป็นชุดสำรองเท่านั้น หากในระบบการทำงานของคุณมีการเก็บข้อมูลสำรองทั้งแบบประจำวันและแบบเก็บไว้นานๆ ใช้ที ก็เป็นไปได้ว่า คุณกำลังละเมิดกฏหมายโดยมีก๊อปปี้ของซอฟท์แวร์ลิขสิทธิ์มากกว่า 1 ก๊อปปี้ไว้ในครอบครอง เพื่อเป็นการป้องกัน คุณควรทำบัญชีรายชื่อของซอฟท์แวร์ที่บริษัทคุณมีอยู่ทั้งหมดเอาไว้ โดยเฉพาะซอฟท์แวร์ในเครื่องคอมพิวเตอร์พีซี ซึ่งคุณควรให้ความสนใจเป็นพิเศษ
การละเมิดกฏหมายเกี่ยวกับการดูแลรักษาทรัพย์สิน
การดูแลรักษาทรัพย์สินจำเป็นต้องมีการรักษาความปลอดภัยข้อมูลเข้ามาเกี่ยวข้องมากเท่าใดนั้น ขึ้นอยู่กับการตัดสินของศาลเป็นสำคัญ แต่แน่นอนว่ามีบางสิ่งบางอย่างที่ต้องทำเป็นพื้นฐานอยู่แล้ว เช่นถ้าหากว่าบริษัทไม่ได้มีการทำสิ่งต่อไปนี้กับระบบคอมพิวเตอร์ของตน ก็ถือได้ว่าบริษัทไม่มีความรับผิดชอบในการดูแลรักษาทรัพย์สิน เช่น ไม่มีการแก้ไขซอฟท์แวร์ในส่วนที่ค้นพบความบกพร่องที่เกี่ยวกับความปลอดภัยของข้อมูล, ไม่มีข้อแนะนำหรือคำเตือนเกี่ยวกับการรักษาความปลอดภัยระบบ, ไม่มีระเบียบปฏิบัติเพื่อรักษาความปลอดภัยของข้อมูล เป็นต้น
ลักษณะของกิจการของบริษัทจะเป็นตัวกำหนดว่า บริษัทของคุณควรจะมีระบบดูแลป้องกันข้อมูลของบริษัทอย่างแน่นหนาเพียงใด เพื่อให้เป็นที่พอใจแก่ผู้ถือหุ้นของบริษัท ดังนั้น บริษัทจึงควรยึดเอามาตรฐานในวงการของตนเป็นหลักในการกำหนดระบบรักษาความปลอดภัยข้อมูล
การละเมิดสิทธิส่วนบุคคล
สิทธิส่วนบุคคลที่บริษัทจะต้องปกป้องไม่ให้ถูกล่วงละเมิดโดยการล้วงข้อมูลไปจากระบบคอมพิวเตอร์มีอยู่ 2 ประเด็นด้วยกัน ได้แก่ การปกปิดความลับข้อมูลของลูกค้าของบริษัท และการปกปิดความลับข้อมูลของพนักงานของบริษัท
บางครั้ง บริษัทก็จำเป็นต้องเก็บข้อมูลส่วนตัวของลูกค้าเอาไว้ เพราะต้องใช้ในการดำเนินการของบริษัท ดังตัวอย่างธุรกิจ เช่น โรงพยาบาลต้องเก็บประวัติการใช้ยาและการเข้ารับรักษาของคนไข้, สถาบันทางการเงินต้องเก็บข้อมูลทางการเงินของลูกค้า, หรือกิจการทางธุรกิจอื่นๆ ที่ในบางขั้นตอนจำเป็นต้องมีข้อมูลส่วนตัวของลูกค้ามาเป็นองค์ประกอบของการดำเนินงานทางธุรกิจ บางครั้ง ทางบริษัทต้องทำสัญญากับลูกค้าว่าจะไม่เปิดเผยข้อมูลที่เป็นความลับของลูกค้าต่อบุคคลที่สาม ทำให้บริษัทจะต้องทำทุกวิถีทางเพื่อป้องกันไม่ให้ข้อมูลความลับของลูกค้ารั่วไหลออกไปได้
ส่วนเรื่องสิทธิของพนักงานนั้น เป็นเรื่องที่ละเอียดอ่อนพอสมควร เพราะการที่คนๆ หนึ่งจะเข้ามาเป็นพนักงานของบริษัทนั้น เขาจะต้องเสียสิทธิส่วนบุคคลบางอย่างเพื่อทำให้ตัวเขามีความเหมาะสมสอดคล้องเข้ากับนโยบายและการดำเนินงานของบริษัท แต่อย่างไรก็ตาม พนักงานก็ยังคงมีสิทธิส่วนบุคคลหลงเหลืออยู่ ในการรับเข้าทำงานตั้งแต่วันแรก บริษัทกับพนักงานจึงควรมีการคุยกันเรื่องสิทธิส่วนบุคคลของพนักงานอย่างชัดแจ้ง เพื่อความเข้าใจที่ตรงกันทั้งสองฝ่าย
มีคำกล่าวว่า การป้องกันที่ดีที่สุดเป็นการรุกที่ดีที่สุด การย้ำเตือนถึงแนวทางและวิธีปฏิบัติเกี่ยวกับการรักษาความปลอดภัยของข้อมูลให้กับพนักงานในบริษัทเป็นสิ่งสำคัญที่ต้องทำอย่างสม่ำเสมอ พนักงานจะต้องรู้ว่า ข้อมูลส่วนตัวของตนประเภทใดที่ถือว่าเป็นสิทธิส่วนบุคคลที่บริษัทจะละเมิดมิได้ และข้อมูลส่วนตัวประเภทใดที่ไม่ถือว่าเป็นความลับต่อบริษัท พวกเขาควรจะได้รู้ด้วยว่า การยอมเปิดเผยความลับให้กับบริษัทนั้นจะก่อให้เกิดผลดีต่อส่วนรวมอย่างไร จุดที่สำคัญที่สุดสองจุดเกี่ยวกับสิทธิส่วนบุคคลของพนักงาน ได้แก่ สิทธิในการปกปิดข้อมูลในไฟล์ข้อมูลส่วนตัวและในอีเมลล์ และสิทธิในการถูกบันทึกร่องรอยการทำงานทางอิเลคทรอนิค ระดับความมากน้อยของการอ้างสิทธิของพนักงานควรขึ้นอยู่กับอายุงานของพนักงานแต่ละคน กล่าวคือ พนักงานใหม่จะต้องถูกเฝ้าดูข้อมูลส่วนตัวอย่างใกล้ชิดมากกว่าพนักงานที่ทำงานมานาน ประเด็นเกี่ยวกับสิทธิส่วนบุคคลของพนักงานนี้ จะต้องยึดเอาตามแนวทางและวิธีปฏิบัติที่ได้วางเอาไว้อย่างเหนียวแน่น
ในการวางนโยบายให้พนักงานปฏิบัติ ควรคำนึงถึงการปฏิบัติต่อพนักงานอย่างเหมาะสม, หลักคุณธรรม และสิทธิส่วนบุคคลของพนักงาน การมีคอมพิวเตอร์เข้ามาเกี่ยวข้องในการทำงานของพนักงานไม่ได้หมายความว่าสิทธิและความรับผิดชอบของพนักงานจะต้องแตกต่างไปจากเดิม ถ้าหากการที่บริษัทไปเปิดจดหมายที่เป็นกระดาษของพนักงานออกอ่านเป็นการไม่สมควร หลักการเดียวกันนี้ก็ควรจะใช้ได้กับอีเมลล์ของพนักงานด้วย
ส่งท้าย
ในสถานการณ์ที่คุณต้องต่อสู้กับแฮคเกอร์โดยมีระบบคอมพิวเตอร์ที่คุณดูแลเป็นเดิมพันนั้น ยิ่งคุณหยั่งรู้ตัวตนและความคิดของแฮคเกอร์ได้มากเท่าใด โอกาสชนะของคุณก็ยิ่งมีมากขึ้นเท่านั้น และการเตรียมพร้อมก็เป็นสิ่งสำคัญด้วย คุณควรวิเคราะห์ถึงจุดแข็งและจุดอ่อนของระบบคอมพิวเตอร์ของคุณเป็นประจำ อย่างเช่น
- ลักษณะกิจการของบริษัทหรือระบบคอมพิวเตอร์ของคุณมีส่วนที่เป็นที่น่าสนใจของแฮคเกอร์หรือเปล่า ?
- มีความเป็นไปได้แค่ไหน ที่บริษัทคุณจะถูกคู่แข่งโจรกรรมข้อมูล ?
- มีความขุ่นเคืองบริษัทเก็บซ่อนอยู่ในจิตใจพนักงานคนใดหรือกลุ่มใดหรือไม่ ?
การมองระบบคอมพิวเตอร์ของคุณด้วยมุมมองของแฮคเกอร์ก็มีส่วนช่วยได้ไม่น้อย เพราะมันจะทำให้คุณเข้าใจแฮคเกอร์ที่จะมารุกรานระบบของคุณได้อย่างลึกซึ้งเลยทีเดียว นอกจากนี้ คุณควรหาคำตอบให้กับคำถามที่เกี่ยวกับแฮคเกอร์ดังต่อไปนี้ เพื่อคุณจะได้รู้จักฝ่ายตรงข้ามของคุณได้ดียิ่งขึ้น
- แฮคเกอร์ที่คุณต้องเผชิญ อาจเป็นคนในบริษัทเอง หรือเป็นผู้บุกรุกจากภายนอก ?
- เขามีทักษะความสามารถขนาดไหน ?
- จุดประสงค์ของเขาคืออะไร ?
เมื่อคุณได้รู้จักศัตรูของคุณดีพอสมควรแล้ว คุณก็จะตัดสินใจได้ว่า ควรจะวางแนวป้องกันระบบไว้ที่ไหนดี และจะป้องกันด้วยวิธีใดได้บ้าง การเตรียมตัวป้องกันไว้เป็นอย่างดีเท่ากับมีชัยไปกว่าครึ่ง การป้องกันระบบคอมพิวเตอร์ให้ปลอดจากแฮคเกอร์โดยการสร้างแนวป้องกันและวางระบบเตือนภัย ย่อมดีกว่าการปล่อยให้แฮคเกอร์หลุดรอดเข้ามาและต้องต่อสู้กันไปอย่างยืดเยื้อแน่นอน