การป้องกันอาชญากรรมคอมพิวเตอร์
การป้องกันอาชญากรรมคอมพิวเตอร์ (Preventing computer crime) จากการเรียนรู้เทคนิคการเจาะข้อมูลของนักก่อกวนคอมพิวเตอร์ (Hacker) ทั้งหลาย องค์กรต่างๆ สามารถหาวิธีที่เหมาะสมเป็นการป้องกันอาชญากรรมทางคอมพิวเตอร์ได้
1. การว่าจ้างอย่างรอบคอบและระมัดระวัง (Hirecarefully) ดังที่ได้เคยกล่าวไว้แล้วว่าปัญหาอาชญากรรมคอมพิวเตอร์ส่วนใหญ่มาจากพนักงานภายในองค์กร ดังนั้นในกระบวนการจ้างคนเข้าทำงานต้องดูคนที่ซื่อสัตย์สุจริต มีความรับผิดชอบ เป็นการยากที่จะสรรหาคนดังกล่าว แต่เราสามารถสอบถามดูข้อมูลอ้างอิงเก่าๆ ของเขาได้ หรือดูนิสัยส่วนตัวว่าดื่มสุรา สูบบุหรี่ และเล่นการพนันหรือไม่ สิ่งเหล่านี้ประกอบกันเข้าจะเป็นสิ่งบ่งชี้นิสัยของคนได้
2. ระวังพวกที่ไม่พอใจ (Beware of malcontents) ปัญหาหลักในการป้องกันอาชญากรคอมพิวเตอร์ก็คือพนักงานในองค์กรนั้นเอง พนักงานเหล่านั้นมีความรู้และความเชียวชาญในระบบคอมพิวเตอร์แต่ไม่พอใจการบริหารงานของผู้บังคับบัญชาเนื่องจากไม่ได้รับการเลื่อนตำแหน่งหน้าที่ บางครั้งถูกให้ออกจากงาน และเกิดความแค้นเคือง ทำให้มีการขโมย การทำลาย หรือการเปลี่ยนแปลงข้อมูลที่สำคัญภายในองค์กร
3. การแยกหน้าที่รับผิดชอบของพนักงาน (Separate employee function) ในกลุ่มคนที่ทำงานร่วมกันเรากำหนดและบ่งบอกว่าใครคนใดคนหนึ่งเป็นอาชญากรทางคอมพิวเตอร์นั้นคงยาก มีวิธีการใดบ้างที่จะแก้ปัญหาถ้าหากมีคนไม่ดีซึ่งประสงค์ร้ายต่อข้อมูลขององค์กร ได้มีหลายบริษัททีเดียวที่พยายามจัดรูปแบบการทำงานของพนักงานที่คาดว่าน่าจะล่อแหล่มต่อการก่ออาชญากรรมข้อมูล เป็นต้นว่า คนที่มีหน้าที่จ่ายเช็ค (Check) ในองค์กรก็ไม่ได้รับมอบหมายให้มีหน้าที่ปรับข้อมูลเกี่ยวกับอัตราเงินเดือน หรือแม้แต่ในบางธนาคารก็จะกันพื้นที่จำเพาะบางส่วนในเช็คไว้ให้เป็นพื้นที่สำหรับเจ้าของเช็คได้ทำการเซ็นชื่อ
4. การจำกัดการใช้งานในระบบ (Restrict system use) คนในองค์กรน่าที่จะมีสิทธิในการใช้ทรัพยากรข้อมูลเท่าที่เหมาะสมกับหน้าที่งานของเขาเท่านั้น แต่ก็ยากที่จะบ่งชี้ชัดแบบนี้ องค์กรเองต้องหาขั้นตอนวิธีใหม่ในการควบคุมข้อมูลที่สำคัญขององค์การ เราอาจจะไม่อนุญาตให้พนักงานมีการดึงหรือเรียกใช้ข้อมูลเกินลักษณะงานที่เขาควรจะเรียนรู้ โดยซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์สามารถควบคุมการใช้ข้อมูลดังกล่าวได้ ยิ่งกว่านั้นเราควรกำหนดขั้นตอนการทำงานและลักษณะการใช้งานของข้อมูลไว้ด้วย ซึ่งต้องขึ้นอยู่กับชนิดของข้อมูล และลักษณะเฉพาะขององค์กรนั้นๆ เองด้วย
5. การป้องกันทรัพยากรข้อมูลด้วยรหัสผ่านหรือการตรวจสอบการมีสิทธิใช้งานของผู้ใช้ (Protect resources with passwords or other user authorization cheeks a password) รหัสผ่าน (Password) เป็นกลุ่มข้อมูลที่ประกอบไปด้วยตัวอักษร ตัวเลข หรือสัญลักษณ์อื่นๆ ที่ประกอบกันเข้า และใช้สำหรับป้อยเข้าในระบบคอมพิวเตอร์ เพื่อเราสามารถที่จะใช้งานซอฟต์แวร์และฮาร์ดแวร์ได้อย่างถูกต้อง และจำกัดอยู่เฉพาะกลุ่มคนที่มีรหัสผ่านเท่านั้น เช่น การใช้งานคอมพิวเตอร์ขนาดใหญ่ (Mainframe) และการใช้งานระบบเครือข่ายคอมพิวเตอร์นั้นจำเป็นต้องใช้รหัสผ่าน เพราะระบบดังกล่าวออกแบบมาสำหรับผู้ใช้หลายๆ คน และใช้ในเวลาเดียวกันได้ด้วยอย่างไรก็ตามรหัสผ่านต้องได้รับการเปลี่ยนอยู่เรื่อยๆ ในช่วงเวลากำหนด ทั้งนี้เพื่อป้องกันและลดการล่วงรู้ไปถึงผู้อื่นให้น้อยที่สุด
6. การเข้ารหัสข้อมูลโปรแกรม (Encrypt data and programs) การเข้ารหัสข้อมูลเป้นกระบวนในการซ้อนหรือเปลี่ยนรูปข้อมูลและโปรแกรมให้อยู่ในรูปของรหัสชนิดใดชนิดหนึ่ง เพื่อไม่ให้คนอื่นทราบว่าข้อมูลจริงคืออะไร ข้อมูลข่าวสารที่สำคัญขององค์กรจำเป็นต้องเข้ารหัสก่อนการส่งไปยังผู้รับซึ่งอาจจะจัดหาโปรแกรมการเข้ารหัสที่มีอยู่ในปัจจุบันหรือจะพัฒนาขึ้นมาใหม่เองก็ได้ ในปี ค.ศ 1988 วิธีการเข้ารหัสข้อมูลได้รับการพัฒนาขึ้นจากสำนักกำหนดมาตรฐานในสหรัฐอเมริกา และธนาคารก็ได้ใช้ในการทำธุรกิจของตนเอง และการติดต่อกับกรมธนารักษ์ด้วย
7. การเฝ้าดูการเคลื่อนไหวของระบบข้อมูล (Monitor system transactions) ในการเฝ้าดูการเคลื่อนไหวของระบบข้อมูลเคลื่อนไหว หรือระบบจัดทำรายการต่างๆ นั้นจะมีโปรแกรมช่วยงานด้านนี้โดยเฉพาะโดยโปรแกรมจะคอยบันทึกว่ามีใครเข้ามาใช้ระบบบ้าง เวลาเท่าใด ณ ที่แห่งใดของข้อมูล และวกลับออกไปเวลาใดแฟ้มข้อมูลใดที่ดึงไปใช้ปรับปรุงข้อมูล เป็นต้นว่า ลบ เพิ่ม เปลี่ยนแปลงอื่นๆ นั้นทำที่ข้อมูลชุดใด
8. การตรวจสอบระบบอย่างสม่ำเสมอ (Conduct frequent audit) อาชญากรคอมพิวเตอร์ส่วนใหญ่จะถูกเปิดเผยและถูกจับได้โดยความบังเอิญ บางครั้งก็ใช้เวลานานทีเดียวกว่าจะจับได้ ในกรณีตัวอย่างของนาย M. Buss และ Lynn salerno ได้ใช้คอมพิวเตอร์ส่วนบุคคลในการลักลอบดึงข้อมูลหมายเลขบัตรเครดิตจากสำนักงานเครดิตและใช้บัตรดังกล่าวซื้อสินค้าคิดเป็นค่าใช้จ่ายจำนวน 50,000 เหรียญสหรัฐฯ และในที่สุดถูกจับได้เมื่อบุรุษไปรษณีย์ เกิดความสงสัยว่าทำไมถึงมีจดหมายและพัสดุต่างๆ
9. การให้ความรู้ผู้ร่วมงานในเรื่องระบบความปลอดภัยของข้อมูล (Educate people in security measures) พนักงานทุกคนควรต้องรู้ระบบความปลอดภัยของข้อมูลในองค์กรเป็นอย่างดี ในกรณีตัวอย่างของพนักงานไม่พอใจผู้บริหารอาจเนื่องมาจากการที่ไม่ได้รับเลื่อนตำแหน่งหน้าที่ หรือเรื่องอื่นๆ พนักงานในลักษณะนี้มีแนวโน้มที่จะคุกคามระบบความปลอดภัยข้อมูลขององค์กร โดยพยายามที่เข้าไปดูข้อมูลที่สำคัญขององค์กร และสอบถามข้อมูลที่สำคัญที่เกี่ยวข้องกับระบบความปลอดภัยซึ่งไม่ใช่ภารกิจหรือหน้าที่ของพนักงานคนดังกล่าวที่จะต้องทำเช่นนั้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น