วันพุธที่ 1 กุมภาพันธ์ พ.ศ. 2555

การป้องกันอาชญากรรมคอมพิวเตอร์

การป้องกันอาชญากรรมคอมพิวเตอร์

การป้องกันอาชญากรรมคอมพิวเตอร์  (Preventing computer crime) จากการเรียนรู้เทคนิคการเจาะข้อมูลของนักก่อกวนคอมพิวเตอร์ (Hacker) ทั้งหลาย องค์กรต่างๆ สามารถหาวิธีที่เหมาะสมเป็นการป้องกันอาชญากรรมทางคอมพิวเตอร์ได้
1.  การว่าจ้างอย่างรอบคอบและระมัดระวัง  (Hirecarefully)  ดังที่ได้เคยกล่าวไว้แล้วว่าปัญหาอาชญากรรมคอมพิวเตอร์ส่วนใหญ่มาจากพนักงานภายในองค์กร  ดังนั้นในกระบวนการจ้างคนเข้าทำงานต้องดูคนที่ซื่อสัตย์สุจริต มีความรับผิดชอบ  เป็นการยากที่จะสรรหาคนดังกล่าว  แต่เราสามารถสอบถามดูข้อมูลอ้างอิงเก่าๆ  ของเขาได้  หรือดูนิสัยส่วนตัวว่าดื่มสุรา  สูบบุหรี่  และเล่นการพนันหรือไม่  สิ่งเหล่านี้ประกอบกันเข้าจะเป็นสิ่งบ่งชี้นิสัยของคนได้
2.  ระวังพวกที่ไม่พอใจ  (Beware  of  malcontents)  ปัญหาหลักในการป้องกันอาชญากรคอมพิวเตอร์ก็คือพนักงานในองค์กรนั้นเอง  พนักงานเหล่านั้นมีความรู้และความเชียวชาญในระบบคอมพิวเตอร์แต่ไม่พอใจการบริหารงานของผู้บังคับบัญชาเนื่องจากไม่ได้รับการเลื่อนตำแหน่งหน้าที่  บางครั้งถูกให้ออกจากงาน  และเกิดความแค้นเคือง  ทำให้มีการขโมย  การทำลาย  หรือการเปลี่ยนแปลงข้อมูลที่สำคัญภายในองค์กร
 3.  การแยกหน้าที่รับผิดชอบของพนักงาน  (Separate  employee  function)  ในกลุ่มคนที่ทำงานร่วมกันเรากำหนดและบ่งบอกว่าใครคนใดคนหนึ่งเป็นอาชญากรทางคอมพิวเตอร์นั้นคงยาก  มีวิธีการใดบ้างที่จะแก้ปัญหาถ้าหากมีคนไม่ดีซึ่งประสงค์ร้ายต่อข้อมูลขององค์กร  ได้มีหลายบริษัททีเดียวที่พยายามจัดรูปแบบการทำงานของพนักงานที่คาดว่าน่าจะล่อแหล่มต่อการก่ออาชญากรรมข้อมูล  เป็นต้นว่า  คนที่มีหน้าที่จ่ายเช็ค  (Check)  ในองค์กรก็ไม่ได้รับมอบหมายให้มีหน้าที่ปรับข้อมูลเกี่ยวกับอัตราเงินเดือน  หรือแม้แต่ในบางธนาคารก็จะกันพื้นที่จำเพาะบางส่วนในเช็คไว้ให้เป็นพื้นที่สำหรับเจ้าของเช็คได้ทำการเซ็นชื่อ
4.  การจำกัดการใช้งานในระบบ  (Restrict  system  use)  คนในองค์กรน่าที่จะมีสิทธิในการใช้ทรัพยากรข้อมูลเท่าที่เหมาะสมกับหน้าที่งานของเขาเท่านั้น  แต่ก็ยากที่จะบ่งชี้ชัดแบบนี้  องค์กรเองต้องหาขั้นตอนวิธีใหม่ในการควบคุมข้อมูลที่สำคัญขององค์การ  เราอาจจะไม่อนุญาตให้พนักงานมีการดึงหรือเรียกใช้ข้อมูลเกินลักษณะงานที่เขาควรจะเรียนรู้  โดยซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์สามารถควบคุมการใช้ข้อมูลดังกล่าวได้  ยิ่งกว่านั้นเราควรกำหนดขั้นตอนการทำงานและลักษณะการใช้งานของข้อมูลไว้ด้วย  ซึ่งต้องขึ้นอยู่กับชนิดของข้อมูล  และลักษณะเฉพาะขององค์กรนั้นๆ เองด้วย
 5.  การป้องกันทรัพยากรข้อมูลด้วยรหัสผ่านหรือการตรวจสอบการมีสิทธิใช้งานของผู้ใช้  (Protect  resources  with  passwords  or  other  user  authorization  cheeks  a  password)   รหัสผ่าน  (Password)  เป็นกลุ่มข้อมูลที่ประกอบไปด้วยตัวอักษร  ตัวเลข  หรือสัญลักษณ์อื่นๆ  ที่ประกอบกันเข้า  และใช้สำหรับป้อยเข้าในระบบคอมพิวเตอร์  เพื่อเราสามารถที่จะใช้งานซอฟต์แวร์และฮาร์ดแวร์ได้อย่างถูกต้อง  และจำกัดอยู่เฉพาะกลุ่มคนที่มีรหัสผ่านเท่านั้น  เช่น  การใช้งานคอมพิวเตอร์ขนาดใหญ่  (Mainframe)  และการใช้งานระบบเครือข่ายคอมพิวเตอร์นั้นจำเป็นต้องใช้รหัสผ่าน  เพราะระบบดังกล่าวออกแบบมาสำหรับผู้ใช้หลายๆ คน  และใช้ในเวลาเดียวกันได้ด้วยอย่างไรก็ตามรหัสผ่านต้องได้รับการเปลี่ยนอยู่เรื่อยๆ  ในช่วงเวลากำหนด  ทั้งนี้เพื่อป้องกันและลดการล่วงรู้ไปถึงผู้อื่นให้น้อยที่สุด
 6.  การเข้ารหัสข้อมูลโปรแกรม  (Encrypt  data  and  programs)  การเข้ารหัสข้อมูลเป้นกระบวนในการซ้อนหรือเปลี่ยนรูปข้อมูลและโปรแกรมให้อยู่ในรูปของรหัสชนิดใดชนิดหนึ่ง  เพื่อไม่ให้คนอื่นทราบว่าข้อมูลจริงคืออะไร  ข้อมูลข่าวสารที่สำคัญขององค์กรจำเป็นต้องเข้ารหัสก่อนการส่งไปยังผู้รับซึ่งอาจจะจัดหาโปรแกรมการเข้ารหัสที่มีอยู่ในปัจจุบันหรือจะพัฒนาขึ้นมาใหม่เองก็ได้  ในปี  .  1988  วิธีการเข้ารหัสข้อมูลได้รับการพัฒนาขึ้นจากสำนักกำหนดมาตรฐานในสหรัฐอเมริกา  และธนาคารก็ได้ใช้ในการทำธุรกิจของตนเอง  และการติดต่อกับกรมธนารักษ์ด้วย
 7.  การเฝ้าดูการเคลื่อนไหวของระบบข้อมูล  (Monitor  system  transactions)  ในการเฝ้าดูการเคลื่อนไหวของระบบข้อมูลเคลื่อนไหว  หรือระบบจัดทำรายการต่างๆ  นั้นจะมีโปรแกรมช่วยงานด้านนี้โดยเฉพาะโดยโปรแกรมจะคอยบันทึกว่ามีใครเข้ามาใช้ระบบบ้าง  เวลาเท่าใด    ที่แห่งใดของข้อมูล  และวกลับออกไปเวลาใดแฟ้มข้อมูลใดที่ดึงไปใช้ปรับปรุงข้อมูล  เป็นต้นว่า  ลบ  เพิ่ม  เปลี่ยนแปลงอื่นๆ  นั้นทำที่ข้อมูลชุดใด
 8.  การตรวจสอบระบบอย่างสม่ำเสมอ  (Conduct  frequent  audit)  อาชญากรคอมพิวเตอร์ส่วนใหญ่จะถูกเปิดเผยและถูกจับได้โดยความบังเอิญ  บางครั้งก็ใช้เวลานานทีเดียวกว่าจะจับได้  ในกรณีตัวอย่างของนาย  M. Buss  และ  Lynn  salerno ได้ใช้คอมพิวเตอร์ส่วนบุคคลในการลักลอบดึงข้อมูลหมายเลขบัตรเครดิตจากสำนักงานเครดิตและใช้บัตรดังกล่าวซื้อสินค้าคิดเป็นค่าใช้จ่ายจำนวน  50,000 เหรียญสหรัฐฯ และในที่สุดถูกจับได้เมื่อบุรุษไปรษณีย์ เกิดความสงสัยว่าทำไมถึงมีจดหมายและพัสดุต่างๆ
          9.  การให้ความรู้ผู้ร่วมงานในเรื่องระบบความปลอดภัยของข้อมูล  (Educate  people  in  security  measures)  พนักงานทุกคนควรต้องรู้ระบบความปลอดภัยของข้อมูลในองค์กรเป็นอย่างดี  ในกรณีตัวอย่างของพนักงานไม่พอใจผู้บริหารอาจเนื่องมาจากการที่ไม่ได้รับเลื่อนตำแหน่งหน้าที่  หรือเรื่องอื่นๆ  พนักงานในลักษณะนี้มีแนวโน้มที่จะคุกคามระบบความปลอดภัยข้อมูลขององค์กร  โดยพยายามที่เข้าไปดูข้อมูลที่สำคัญขององค์กร  และสอบถามข้อมูลที่สำคัญที่เกี่ยวข้องกับระบบความปลอดภัยซึ่งไม่ใช่ภารกิจหรือหน้าที่ของพนักงานคนดังกล่าวที่จะต้องทำเช่นนั้น
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)