วันจันทร์ที่ 19 สิงหาคม พ.ศ. 2556

จริยธรรมสำหรับผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ

จริยธรรมสำหรับวิชาชีพไอที

                    สำหรับวิชาชีพไอทียังเป็นอาชีพที่ไม่มีใบประกอบฯ ดังนั้นจรรยาบรรณที่กำหนดขึ้นอย่างหลากหลาย และกำหนดจากหน่วยงานที่เกี่ยวข้องจึงอยู่ในลักษณะเพียง ข้อแนะนำ หรือ บทบัญญัติ ที่มีการบังคับใช้ในหน่วยงานเฉพาะเท่านั้น
ประโยชน์ของการกำหนดจรรยาบรรณสำหรับหน่วยงาน

                    การกำหนดจรรยาบรรณขึ้นเป็นหลักปฏิบัติของสมาชิกในหน่วยงาน มีประโยชน์ทั้งต่อบุคคล และสังคมคือ
                    1. พัฒนาการตัดสินใจทางจริยธรรมให้มีประสิทธิภาพมากขึ้น
                    2. สนับสนุนให้เกิดมาตรฐานของการประพฤติตามจริยธรรม
                    3. เพิ่มความน่าเชื่อถือและน่านับถือจากสาธารณชน
                    4. มีการประเมินเปรียบเทียบกับมาตรฐาน

หน่วยงานที่เกี่ยวข้องกับวิชาชีพไอที

                    Association for Computing Machinery หรือ ACM คือ องค์กรที่จัดตั้งขึ้นในสหรัฐอเมริกา เพื่อ ส่งเสริมการเพิ่มพูนศักยภาพ และความเชี่ยว ชาญทางด้านไอทีของ บุคคลทั่วไป และนิสิต นักศึกษา ซึ่งเป็นองค์กรที่เปิดรับสมาชิกทั้งใน รูปแบบรายบุคคล และรูปแบบกลุ่มที่มีความสนใจเฉพาะด้าน จากแต่ละชุมชนในประเทศต่าง ๆ ทั่วโลก
                    สำหรับจรรยาบรรณที่สมาคมแห่งนี้ได้กำหนดขึ้น คือต้องการให้สมาชิกของสมาคมปฏิบัติหน้าที่ของตนตามจริยธรรมในการใช้งานคอมพิวเตอร์ รวมทั้งปกป้องสารสนเทศที่เป็นความลับ รักษาความเป็นส่วนตัวด้านสารสนเทศของผู้อื่น และเคารพทรัพย์สินทางปัญญาของผู้อื่น

ACM (Association for Computer Machinery)
                    ACM ได้กำหนดจรรยาบรรณพอสังเขปดังนี้
                    1. ช่วยเหลือมนุษย์และสังคม
                    2. หลีกเลี่ยงการทำอันตรายต่อผู้อื่น
                    3. ซื่อสัตย์และประพฤติตนให้น่าไว้วางใจ
                    4. ยุติธรรมและไม่เลือกปฏิบัติ
                    5. เคารพในสิทธิความเป็นเจ้าของรวมทั้งลิขสิทธิ์และสิทธิบัตรของผู้อื่น
                    6. ให้เครดิตแก่เจ้าของทรัพย์สินทางปัญญา
                    7. เคารพสิทธิส่วนบุคคลของผู้อื่น
                    8. รักษาความลับของข้อมูล

ประกาศมหาวิทยาลัยราชภัฏอุตรดิตถ์

                    ประกาศมหาวิทยาลัยราชภัตอุตรดิตถ์ เรื่อง ข้อกำหนดพฤติกรรมด้านคุณธรรมและจริยธรรมสำหรับนักศึกษาของมหาวิทยาลัยราชภัตอุตรดิตถ์
                    โดยกำหนดพฤติกรรมด้านคุณธรรมและจริยธรรมสำหรับนักศึกษา 8 ประการ

ประเด็นจริยธรรมสำหรับผู้ใช้ไอที

                    การละเมิดลิขสิทธิ์ซอฟแวร์ (Software Privacy)
                    การใช้งานคอมพิวเตอร์อย่างไม่เหมาะสม
                    การแบ่งปันสารสนเทศอย่างไม่เหมาะสม

สนับสนุนจริยธรรมอันดีแก่ผู้ใช้ไอที

                    องค์กรสามารถสนับสนุนให้เกิดจริยธรรมในการใช้งานคอมพิวเตอร์ในองค์กรของผู้ใช้ได้ โดย
                    1. กำหนดและจำกัดการใช้ทรัพยากรอย่างเหมาะสม
                    2. กำหนดกฏเกณฑ์การใช้ซอฟแวร์ขององค์กร
                    3. ควบคุมการเข้าถึงระบบสารสนเทศขององค์กร
                    4. ติดตั้งและบำรุงรักษา Firewall

บัญญัติ 10 ประการในการใช้คอมพิวเตอร์

                    1. ต้องไม่ใช้คอมพิวเตอร์ทำอันตรายผู้อื่น
2. ต้องไม่แทรกแซงหรือรบกวนการทำงานของผู้อื่น
3. ต้องไม่สอดแนม หรือเปิดดูแฟ้มข้อมูลของผู้อื่น
4. ต้องไม่ใช้คอมพิวเตอร์เพื่อการโจรกรรมข้อมูลข่าวสาร
5. ต้องไม่ใช้คอมพิวเตอร์สร้างหลักฐานหรือพยานที่เป็นเท็จ
6. ต้องไม่คัดลอกซอฟแวร์ที่มีลิขสิทธิ์ โดยไม่จ่ายค่าลิขสิทธิ์
7. ต้องไม่ละเมิดการใช้ทรัพยากรคอมพิวเตอร์ของคนอื่นโดยไม่ได้รับอนุญาติ
8. ต้องไม่ละเมิดสิทธิ์ในทรัพย์สินทางปัญญาของผู้อื่นมาเป็นของตน
9. ต้องคำนึงถึงผลที่จะเกิดขึ้นกับสังคมที่เกิดจากโปรแกรมที่ท่านกำลังเขียนหรือออกแบบอยู่เสมอ
10. ต้องใช้คอมพิวเตอร์โดยเคารพต่อกฏระเบียบ กติกา และมีมารยาท

 จริยธรรมสำหรับวิชาชีพไอทีจริยธรรมสำหรับวิชาชีพไอที

กรณีศึกษา กรณีศึกษาจากองค์กรธุรกิจต่างๆ

กรณีศึกษา 16 คดีระบบความปลอดภัยระหว่างนายชิโมมูระ และนายมิทนิค ณ เมื่อ ซานดิเอโก
คดี ระหว่างนายชิโมมูระ (Shimomura) และนายมิทนิค (Mitnick) เกิดขึ้นในวันคริสต์มาส ปี ค.ศ. 1994 โดยนายชิโมมูระ นักฟิสิกส์ของศูนย์ประมวลผลซุปเปอร์คอมพิวเตอร์สมรรถนะสูง (San Diego High Performance Supercomputer Center) ณ เมืองซานิดเอโก (San Diego) เป็นผู้ที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัยในระบบคอมพิวเตอร์ โดยเฉพาะในเรื่องการป้องกันการเจาะเข้ามาในระบบ หลายปีต่อมาเขาได้รวบรวมข้อมูลที่เกี่ยวกับจุดอ่อนของระบบการรักษาความ ปลอดภัยในระบบต่าง ๆไว้มากมาย รวมทั้งการพัฒนาเครื่องมือที่ใช้ป้องกันการเจาะข้อมูลด้วยในวันคริสต์มาสขณะ ที่นายชิโมรูระเล่นสกีอยู่ก็มีคนแอบเจาะเข้ามาในระบบคอมพิวเตอร์ที่บ้านของ เขาซึ่งมีระบบรักษาความปลอดภัยอย่างแน่นหนา โดยผู้ลักลอบเข้ามาได้แอบทำสำเนา (Copy) แฟ้มข้อมูลนับสิบแฟ้ม และมีคำด่าอย่างหยาบคายทิ้งไว้ สาเหตุที่นายชิโมมูระพบว่ามีคนเจาะข้อมูลก็เนื่องจากตัวเขาเองได้ให้เครื่อง คอมพิวเตอร์ที่บ้านทำสำเนา (Copy) ข้อมูลสำรองโดยอัตโนมัติและนำไปไว้ที่เครื่องซุปเปอร์คอมพิวเตอร์ที่เมือง ซานดิเอโกด้วย ต่อมานักศึกษาที่ศูนย์ดังกล่าวสังเกตเห็นว่ามีการแก้ไขเปลี่ยนแปลงระบบการ ล็อกแฟ้มข้อมูล (Log files system) เกิดขึ้น จึงรู้ว่ามีบางสิ่งเกิดขึ้นแล้ว นักศึกษาคนนั้นจึงรีบไปแจ้งนายชิโมมูระทันที

นายชิโมมูระจึงตัดสินใจประกาศต่อสาธารณชนเพื่อเรียกร้องและขอความช่วยเหลือ ในการจับผู้ร้ายดังกล่าว นายชิโมมูระพยายามวิเคราะห์ถึงจุดอ่อนของระบบของตน และพบว่าการเจาะข้อมูลดังกล่าวเป็นความสามารถของผู้เจาะข้อมูลที่สามารถปลอก แหล่งที่อยู่ (Source address) ของกลุ่มข้อมูล (Packet) ที่ถูกส่งไปยังระบบคอมพิวเตอร์ ซึ่งคอมพิวเตอร์บางระบบจะทำการตัดสินใจว่าจะรับคำสั่งจากระบบอื่นที่ส่งชุด คำสั่งมาหรือไม่ โดยดูจากแหล่งที่อยู่ของข้อมูล (Source address) และอาจจะเป็นที่จุดอ่อน (Vulnerability) ของระบบด้วยก็ได้ นายชิโมมูระมีระบบการรักษาความปลอดภัยอย่างดีเยี่ยม ซึ่งผู้เจาะข้อมูลเข้าไปได้พยายามทำให้กลุ่มข้อมูล (Packet) มาจาระบบที่สามารถติดต่อได้จริง

กลุ่มข้อมูล (Packet) คือกลุ่มหรือส่วนของข้อมูลที่ถูกส่งมาจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีก เครื่องหนึ่ง นอกจากนั้นยังสามารถส่งจากระบบหนึ่งไปยังอีกระบบหนึ่งได้โดยเลือกเส้นทางที่ ดีที่สุดบนเครือข่ายอินเทอร์เน็ตและที่อยู่ (Address) ที่แนบไปกับกลุ่มข้อมูล (Packet) ซึ่งจะทำการตรวจสอบโดยโพรโทคอล (Protocol) ที่ใช้สำหรับเครือข่ายอินเทอร์เน็ต ที่เรียกว่า อินเทอร์เน็ต โพรโทคอล [Internet Protocol (IP)] และจุดนี้เองก็เป็นจุดอ่อนของระบบที่นายชิโมมูระมีอยู่ และดูเหมือนว่าจะเป็นคำสั่งที่มาจากเครื่องคอมพิวเตอร์ที่มีขีดความสามารถ อ่านไฟล์ (File) ข้อมูลของนายชิโมมูระได้ เนื่องจากคอมพิวเตอร์ไม่มีอุปกรณ์ดักรับฟังคำสั่งจากผู้เจาะข้อมูล ถูกส่งมายังระบบ ระบบจะส่งคำตอบรับไปยังระบบที่ส่งกลุ่มข้อมูลมา เพื่อยืนยันว่าได้รับกลุ่มข้อมูลแล้ว โดยวิธีนี้ทั้งสองระบบจะทำพร้อมกัน (Synchronize) การส่งผ่านข้อมูลระหว่างกันโดยใช้เลขลำดับ (Sequence number) ที่ตรงกับกลุ่มข้อมูลที่ส่งมา

นายชิโมมูระได้ตีพิมพ์ผลการวิเคราะห์อย่างละเอียด เพื่อต้องการความร่วมมือกับผู้เชี่ยวชาญต่าง ๆ ในการจับผู้กระทำผิด และในอีกหนึ่งเดือนต่อมา เหตุการณ์เช่นเดียวกันที่เกิดขึ้นกับนายชิโมมูระก็ได้เกิดขึ้นกับระบบการ บริการแบบเชื่อมตรง (On-line) ที่เรียกว่า The Well ที่มีผู้นิยมใช้บริการอย่างกว้างขวางในเขตอ่าวซานฟรายซิสโก ผู้ดูแลระบบ The Well สังเกตว่ามีแฟ้มข้อมูลเข้ามาในจานเก็บข้อมูลที่ใช้สำหรับ Computer, Freedom, and Privacy (CFP) Group เหตุการณ์ดังกล่าวดูจะไม่ค่อยสมเหตุสมผลนัก เนื่องจากกลุ่ม CFP ไม่ค่อยได้ใช้งานระบบดังกล่าว ต่อมานักเขียนโปรแกรมที่ช่วยดูแลกลุ่ม CFP ผู้ซึ่งเคยอ่านเรื่องราวที่เกิดกับนายชิโมมูระสังเกตเห็นว่าแฟ้มข้อมูลที่ หลั่งไหลเข้ามาเหมือนกับแฟ้มข้อมูลที่ถูกขโมยมาจากระบบคอมพิวเตอร์ของนายชิ โมมูระ

เมื่อนายชิโมมูระได้รู้เบาะแสว่าผู้ที่เคยเจาะระบบคอมพิวเตอร์ของตนได้ใช้ วิธีเดียวกันนี้กับระบบ The Well เช่นกัน เขาได้เขียนซอฟต์แวร์เพื่อจับตาดูการทำงานของระบบ The Well และรอว่าเมื่อไรจะมีผู้เจาะเข้ามาอีก โดยการตรวจสอบกลุ่มข้อมูล (Packet) ที่เข้ามาในระบบ The Well รวมทั้งทำการบันทึกการพิมพ์ (Keystrokes) ของผู้แอบเจาะข้อมูล การจับตาดูผู้กระทำผิดครั้งนี้อาจได้รับเบาะแสว่าบุคคลผู้นี้เป็นใคร และจะจับตัวได้อย่างไร หากผู้กระทำผิดเข้ามาเพียงชั่วครู่เดียวก็อาจไม่พบเบาะแสดังกล่าว แต่ก็มีความเชื่อว่าบุคคลที่เคยกระทำความผิดมักจะทำซ้ำเสมอ

อย่างไรก็ตาม เหตุการณ์ที่เคยเกิดขึ้นกับนายชิโมมูระ และ The Well ได้เกิดซ้ำอีกเป็นครั้งที่สาม ที่บริษัทโมโตโรล่า (Motorola) ผู้ผลิตชิปรายใหญ่อีกบริษัทหนึ่ง ซึ่งส่วนใหญ่แล้วบรำทผู้ผลิตโทรศัพท์มือถือจะเป็นเป้าหมายสำคัญของนักเจาะ ระบบ แต่คราวนี้ได้มีการตั้งทีมสอบสวน ซึ่งนอกจากจะใช้โปรแกรมตรวจจับของนายชิโมมูระที่เคยใช้กับระบบ The Well แล้ว ทีมงานสอบสวนยังพบสำเนาของโปรแกรมควบคุมโทรศัพท์มือถือระบบเซลลูล่าร์หรือ ไร้สายของโมโตโรล่าด้วย ต่อมาเหตุการณ์แบบเดียวกันนี้ได้ขยายวงกว้างออกไปเกิดกับระบบ Netcom ซึ่งเป็นบริษัทที่ให้บริการต่อเชื่อมตรง (On-line) รายใหญ่แห่งหนึ่งในสหรัฐอเมริกา ซึ่งผู้เจาะข้อมูลบังเอิญโชคดีที่สามารถทำสำเนา (Copy) ข้อมูลที่เป็นหมายเลขเครดิตการ์ดของสมาชิกจาก Netcom เกือบ 20,000 ราย และผู้ให้บริการรายอื่น ๆ ด้วย ผู้ใช้บริการระบบ Netcom ในสหรัฐอเมริกาล้วนแต่ได้รับความเดือดร้อนจากนักเจาะข้อมูลตัวฉกาจนี้ทั้ง สิ้น

ในที่สุดเจ้าหน้าที่ตำรวจสากลของสหรัฐอเมริกา (F.B.I) ก็ได้ยื่นมือเข้ามาช่วยเหลือ และได้รับอำนาจให้สามารถดักฟังโทรศัพท์ที่เข้ามายังเครือข่ายระบบ Netcom ได้ แต่ในตอนแรกวิธีการนี้ไม่ค่อยจะได้ผลมากนัก เนื่องจากนักเจาะระบบได้ทำการควบคุมศูนย์สลับสวิทช์ (Switch) ไว้ เพื่อที่จะทำให้ดูเหมือนว่าตนได้รับโทรศัพท์มากจากที่อื่น ๆ ในสหรัฐอเมริกา

เมื่อนายชิโมมูระเฝ้าติดตามพฤติกรรมของนักเจาะข้อมูลคนนี้ เขาก็ยิ่งเกิดความสงสัยว่าผู้บุกรุกกำลังทิ้งร่องรอยไว้ในรูปแบบของ อิเล็กทรอนิกส์ ยิ่งนานวันร่องรอยต่าง ๆ ก็ยิ่งปรากฏชัดมากขึ้นเรื่อย ๆ นายชิโมมูระเริ่มพุ่งเป้าหมายไปให้ความสนใจและสงสัยชายหนุ่มคนหนึ่งที่ชื่อ ว่า เคลวิน มิทนิค (Kevin Mitnick) จะเป็นผู้บุกรุก แต่ก็เป็นเพียงแค่ความสงสัยเท่านั้นยังไม่มีหลักฐานใด ๆ ทั้งสิ้นที่จะพิสูจน์ให้ทราบได้

นายมิทนิคในขณะนั้นอายุ 31 ปี กว่าครึ่งชีวิตของเขาได้ทำการเจาะข้อมูลตามที่ต่าง ๆ นับครั้งไม่ถ้วนถึงแม้ว่าเขาจะเจาะข้อมูลมาได้มากมายก็ตาม แต่เขาก็ไม่เคยนำข้อมูลไปหาประโยชน์ทางการเงินใดๆ
นายมิทนิค ทำการเจาะข้อมูลเหมือนกับคนติดยาเสพติด และเขาไม่สามารถเลิกมันได้ ยิ่งเข้าไปในระบบอินเทอร์เน็ตครั้งใดก็ยิ่งพบว่ามีจุดอ่อนให้ทอลองความ สามารถในการเจาะข้อมูลของเขาเสมอ แต่ท้ายที่สุดความพยายามของทีมงานซึ่งจับตาดูนักเจาะข้อมูลเริ่มได้ข้อมูล ผู้ต้องสงสัย ซึ่งเริ่มปรากฏให้เห็นชัดว่ามักมีสัญญาณเรียกจากเครื่องโมเด็มของโทรศัพท์ เคลื่อนที่ แม้ว่าการเรียกเข้าดังกล่าวจะเคลื่อนที่ผ่านสวิทช์ของโทรศัพท์เคลื่อนที่ (Cellular phone switch) ที่ดูแลโดยบริษัทสปรินซ์ (Sprint) ในเมือง Raleigh มลรัฐ North Carolina การเปรียบเทียบอย่างระมัดระวังระหว่างข้อมูลที่ได้จากบริษัทสปรินซ์ (Sprint) และข้อมูลที่ได้จาก Netcom ทำให้ได้ร่องรอยของนายมิทนิค ต่อมาเจ้าหน้าที่ตำรวจใช้อุปกรณ์ตามจับแบบเซลลูล่าร์เพื่อที่จะตามนายมิทนิค ไปยังอพาร์ตเม้นที่ชื่อว่า Player Court ในที่สุด F.B.I ก็รู้แหล่งที่พักของนายมิทนิค
ในกลางดึกของวันที่ 16 กุมภาพันธ์ หลังจากที่นายชิโมมูระถูกเจาะข้อมูลเป็นครั้งแรกไม่ถึง 2 เดือน ตำรวจ F.B.I ก็ได้บุกเข้าจับตัวนายมิทนิคที่อพาร์ตเม้นท์ดังกล่าว เพื่อนำตัวมาดำเนินคดีต่อไป
จากเหตุการณ์ข้างต้นหากจะพิจารณาในกรณีของประเทศไทยจะเห็นได้ว่า อาชญากรรมทางคอมพิวเตอร์นั้นมิใช่จะเป็นมหันจภัยร้ายใหม่ที่คุกคามทั้งความ มั่นคงภายในและภายนอกประเทศไทยเท่านั้น หากแต่เกิดขึ้นมานานแล้ว เพียงแต่ในยุคปัจจุบันได้มีการเปลี่ยนแปลงรูปแบบไปตามเทคโนโลยีที่เกิดขึ้น ซึ่งเป็นยุคดิจิตอลและยากต่อการมองเห็นและตรวจสอบ ดังนั้นเพื่อผลประโยชน์และความมั่นคงของชาติ ภาครัฐควรต้องมีบทบาทสำคัญไม่แพ้ภาคเอกชนในการที่จะป้องกันปราบปราม อาชญากรรมดังกล่าว ซึ่งสามารถสรุปได้ดังต่อไปนี้
1. รัฐบาลไทย ควรหามาตรการเร่งด่วนเพื่อหาทางปราบปรามอาชญากรรมทางคอมพิวเตอร์อย่างเป็น ระบบ เช่น มาตรการทางกฎหมาย มาตรการทางสังคม รวมทั้งการให้การศึกษากับประชาชนถึงพิษภัยและวิธีการป้องกันอาชญากรรมดัง กล่าว
2. รัฐควรเร่งให้มีหน่วยงานกลางที่รับผิดชอบในการป้องกันและปราบปราม การค้นคว้าวิจัยและการรักษาความปลอดภัยบนเครือข่ายของสารสนเทศแห่งชาติ [National Information Infrastructure (NII)]
3. รัฐควรเร่งให้มีการพัฒนาและสร้างเสริมจริยธรรมในการใช้โครงสร้างพื้นฐาน สารสนเทศหรือเครือข่ายคอมพิวเตอร์ โดยอาจเริ่มจากโรงเรียน ชุมชน และวงการวิชาชีพ เป็นต้น
 ที่มา http://elearning.northcm.ac.th/mis/content.asp?ContentID=99&LessonID=15

ไม่มีความคิดเห็น:

แสดงความคิดเห็น