Credit
คัมภีร์สยบแฮกเกอร์ #6
ความเดิมตอนที่แล้ว
http://www.pantip.com/tech/internet/...IT1065580.html

หนอนบ่อนไส้
เป็นไปได้ที่แฮคเกอร์จะรู้เรื่องราวรายละเอียดของระบบคอมพิวเตอร์มากกว่าใครๆ ทั้งหมด ไม่เว้นแม้แต่ผู้ดูแลระบบเองด้วย ยิ่งถ้าแฮคเกอร์เป็นพนักงานคนหนึ่งของบริษัทแล้ว ก็ยิ่งเข้าทางเลยทีเดียว ในขณะที่ไม่มีใครมาสังเกต เขาจะพยายามหาทางสร้างความสัมพันธ์กับผู้ที่เกี่ยวข้องกับระบบคอมพิวเตอร์ อาศัยความรอบรู้ของเขาเข้าตีสนิทกับผู้ดูแลระบบ โปรแกรมเมอร์ หรือคนอื่นๆ ที่มีสิทธิในการเข้าใช้ระบบ โดยจะคอยช่วยเหลือในเวลาที่คนเหล่านั้นมีปัญหาเกี่ยวกับระบบ ไม่นาน แฮคเกอร์ก็จะกลายเป็น "ผู้เชี่ยวชาญที่น่าเชื่อถือ" ที่ทุกคนจะหันหน้าเข้าไปปรึกษาหารือเมื่อมีปัญหาในระบบคอมพิวเตอร์เกิดขึ้น สิ่งที่ตามมาคือ เขาจะได้รับสิทธิในการเข้าใช้ระบบด้วย เพื่อความสะดวกในการแก้ปัญหา
ตามสถิติแล้ว อันตรายที่เกิดขึ้นกับระบบคอมพิวเตอร์ส่วนใหญ่เกิดขึ้นจากคนภายในหน่วยงานเอง ไม่ว่าจะเป็นอดีตพนักงานหรือพนักงานปัจจุบัน คุณจึงควรเรียนรู้อุปนิสัยของคนในบริษัทของคุณไว้ด้วย สำหรับพนักงานที่กลับกลายเป็นแฮคเกอร์นั้น โดยมากมักมีสาเหตุเริ่มต้นจากความไม่พอใจในบางสิ่งบางอย่าง แล้วจึงใช้อุปกรณ์ใกล้ตัวคือคอมพิวเตอร์ในการระบายความคับข้องใจของตน โดยที่ต้นเหตุอาจเกิดจากความกดดันในเรื่องส่วนตัวหรือในเรื่องการงานก็เป็นได้ และเมื่อใดก็ตามที่บริษัทของคุณกำลังจะเกิดการเปลี่ยนแปลงครั้งสำคัญอันมีผลทำให้เกิดการลอยแพคนงานหรือการประท้วง เมื่อนั้นคุณก็ควรจับตาดูระบบคอมพิวเตอร์ของบริษัทให้มากกว่าปกติ
คุณต้องเน้นกับผู้ใช้ระบบที่คุณดูแลอยู่เสมอในเรื่องของการห้ามใช้ชื่อและรหัสผ่านของคนอื่น ถ้าหากผู้ใช้คนใดต้องการสิทธิในการใช้ระบบเหนือกว่าปกติ คุณก็ควรสร้างชื่อและรหัสผ่านให้ใหม่ให้เขานำไปใช้เป็นการชั่วคราวแทนการหยิบยืมชื่อและรหัสผ่านของคนอื่น ระเบียบปฏิบัตินี้กำหนดขึ้นเพื่อความสะดวกในการสืบค้นผู้ใช้ระบบที่แท้จริงในภายหลัง
ผู้ใช้ระบบทุกคนต้องได้รับการบอกกล่าวถึงความสำคัญและวิธีปฏิบัติในการรักษาความปลอดภัยของระบบในส่วนของตัวเขาเอง และต้องได้รับการย้ำเตือนในเรื่องนี้อยู่เสมอ
ตื่นตัวอยู่เสมอ
การที่พนักงานรู้จักระมัดระวังถึงเรื่องความปลอดภัยของระบบอยู่ตลอดเวลา นับเป็นสิ่งดีที่มีค่ามหาศาลกับบริษัท ผู้ใช้ระบบที่ได้รับการแนะนำอย่างถูกต้องจะช่วยให้งานของผู้รักษาความปลอดภัยระบบง่ายขึ้นมาก ผู้ใช้จะไม่ทำตัวเสี่ยงต่อความปลอดภัยของระบบเลย หากพวกเขาได้รับการอบรมให้ทราบในเรื่องเกี่ยวกับการกระทำต่างๆที่เข้าข่ายของการกระทำความผิดต่อระบบคอมพิวเตอร์ นอกจากนั้น คุณควรสอนพวกเขาให้รู้ว่า การใช้ระบบคอมพิวเตอร์โดยคำนึงถึงความปลอดภัยของระบบนั้นไม่ใช่เรื่องยากแม้แต่น้อย และท้ายที่สุด คุณควรแนะนำว่า พวกเขาจะขอความช่วยเหลือจากใครได้ ในกรณีที่เกิดปัญหาเรื่องความปลอดภัยของระบบขึ้น
การที่จะให้พนักงานตื่นตัวกับความปลอดภัยของระบบอยู่ตลอดเวลานั้น ต้องอาศัยการให้ความรู้ที่ต่อเนื่องและการเน้นย้ำอยู่เป็นระยะๆ โดยการสร้างการตระหนักถึงความสำคัญของความปลอดภัยระบบ ชี้ให้เห็นว่าถ้าพวกเขาไม่รอบคอบ ผลร้ายที่เกิดขึ้นจะตกอยู่กับตัวเขาเอง ข้อมูลของพวกเขา และตำแหน่งในการงานของพวกเขา เมื่อผู้ใช้ได้ตระหนักถึงความสำคัญแล้ว ขั้นต่อไป คุณก็สอนพวกเขาให้รู้จักใช้เครื่องไม้เครื่องมือที่เกี่ยวข้องกับความปลอดภัยระบบ รวมถึงข้อปฏิบัติต่างๆ ซึ่งเหมาะสมกับระดับขั้นการทำงานของพวกเขา ยกตัวอย่างเช่น วิธีการเปลี่ยนรหัสผ่านของตัวเอง, การเปลี่ยนสิทธิในการใช้ไฟล์ และอื่นๆ อีกมากมาย
ผู้ใช้ระบบจะช่วยคุณได้มากที่สุดในด้านของการรายงานความผิดปกติของระบบคอมพิวเตอร์ เพราะผู้ใช้จะเป็นคนแรกที่สังเกตเห็นการทำงานที่ผิดปกติของระบบ หรือเห็นไฟล์ที่แต่เดิมไม่เคยมีมาก่อน หรือเห็นสัญญาณอื่นๆ ที่บ่งบอกว่ามีผู้บุกรุกเข้ามาในระบบแล้ว ดังนั้น รายงานจากผู้ใช้ควรได้รับการตรวจสอบอย่างละเอียดถี่ถ้วนที่สุด ข้อควรระวังคือ อย่าทอดทิ้งผู้ใช้ระบบของคุณจนกระทั่งห่างเหินถึงขนาดที่ว่า เมื่อเกิดเรื่องไม่ชอบมาพากลในระบบแล้ว ผู้ใช้กลับไม่รู้ว่าจะหันหน้าไปปรึกษาใครดี
นอกจากนั้น ยังมีเรื่องของการรักษาความปลอดภัยบางประเด็นที่ดูเหมือนจะไม่เกี่ยวกับการใช้คอมพิวเตอร์ แต่ก็มีความสำคัญและอาจส่งผลกระทบถึงระบบคอมพิวเตอร์ได้ คำเตือนต่อไปนี้ฟังดูเหมาะจะนำไปสอนเด็ก 5 ขวบมากกว่า แต่จริงๆ แล้ว มันเป็นหลักพื้นฐานที่จะละเลยเสียมิได้ ได้แก่ อย่าพูดกับคนแปลกหน้า อย่าเปิดเผยความลับ อย่าเปิดประตูให้กับคนที่ไม่รู้จัก ไม่ว่าเขาจะอ้างอย่างไรก็ตาม ข้อควรระวังเหล่านี้ควรมีอยู่ในการอบรมเรื่องความปลอดภัยระบบคอมพิวเตอร์ของคุณด้วย
เมื่อมีคนมาขอดูข้อมูลที่ไม่พึงเปิดเผย คุณควรตรวจสอบตัวผู้ขอดูข้อมูลให้แน่ใจเสียก่อน นี่เป็นหลักการพื้นฐานข้อหนึ่งของการรักษาความปลอดภัยข้อมูล ส่วนวิธีการตรวจสอบบุคคลนั้นก็มีอยู่หลายวิธี อาทิเช่น การขอเบอร์โทรศัพท์เพื่อโทรกลับ หรือการให้บุคคลที่สามเป็นผู้ช่วยยืนยันความถูกต้องของผู้นั้น เป็นต้น
พนักงานทุกคนในบริษัท ไม่ว่าจะเป็นคนที่ทำงานเกี่ยวข้องกับระบบคอมพิวเตอร์หรือไม่ก็ตาม ควรได้รับการอบรมอย่างต่อเนื่อง ให้รู้ว่าข้อมูลชนิดใดบ้าง ทั้งข้อมูลส่วนตัวและข้อมูลของบริษัท ทั้งที่สมควรและไม่สมควรเปิดเผย อีกทั้งยังควรมีการอบรมให้รู้ถึงวิธีการรับมือกับคนที่พยายามขอข้อมูลที่สำคัญ ในระบบการทำงานควรมีคนอยู่เพียงกลุ่มเดียวเท่านั้นที่ได้รับอนุญาตให้เป็นผู้เปิดเผยข้อมูลสำคัญต่างๆ และคนกลุ่มนี้ควรได้รับการอบรมถึงการตรวจสอบความถูกต้องของบุคคลที่พยายามจะขอดูข้อมูลด้วย