02 725 6400
13 December, 2022 : By Admin Web3
อาชญากรรมคอมพิวเตอร์ (Computer Crime) หมายถึง การกระทำการใดๆ ก็ตามที่เกี่ยวข้องกับการใช้คอมพิวเตอร์และเทคโนโลยี เป็นเครื่องมืออันทำให้ผู้อื่นได้รับความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน สำหรับอาชญากรรมที่เกี่ยวข้องกับระบบเครือข่ายคอมพิวเตอร์ เช่น อินเทอร์เน็ต ซึ่งเรียกอาชญากรรมประเภทนี้ว่า อาชญากรรมไซเบอร์ (Cybercrime) อาชญากรที่ก่ออาชญากรรมประเภทนี้ มักถูกเรียกว่า แครกเกอร์ (Cracker) ซึ่งอาจจะมีการสับสนกับคำว่า แฮ็กเกอร์ (Hacker) ทั้งสองคำนี้มีความแตกต่างกันโดย
แฮ็กเกอร์ (Hacker) หมายถึง คนที่ใช้ทักษะด้านคอมพิวเตอร์เพื่อค้นหาช่องโหว่บนระบบคอมพิวเตอร์ เพื่อจุดประสงค์ที่ต่างกันออกไป ทำให้สามารถแบ่งแฮ็กเกอร์ได้ออกเป็น 3 กลุ่ม ได้แก่ แฮ็กเกอร์หมวกขาว (White Hat) ที่ทำการเจาะระบบเพื่อค้นหาช่องโหว่สำหรับทดสอบระบบความปลอดภัยของระบบคอมพิวเตอร์ในบริษัทต่างๆ รวมถึงซอฟต์แวร์ทั้งหลาย แล้วนำเสนอพร้อมทั้งหาทางแก้ไขเพื่อปิดช่องโหว่นั้น กลุ่มต่อมาคือ แฮ็กเกอร์หมวกดำ (Black Hat) มีการดำเนินการเหมือนกับหมวกขาวแต่มีจุดประสงค์ที่ตรงกันข้าม โดยใช้ช่องโหว่เหล่านั้นเพื่อหรือเพื่อทำการขโมยข้อมูลหรือทำลายระบบทิ้ง หรืออาจจะเพื่อหาผลประโยชน์และความสนุกส่วนตัว ซึ่งหมวกดำถือว่าเป็น อาชญากร เพราะสร้างความเสียหายให้กับระบบอย่างมหาศาล
แฮ็กเกอร์อีกพวกหนึ่งที่อยู่ระหว่างหมวกขาวและหมวกดำ เรียกว่า แฮ็กเกอร์หมวกเทา (Grey Hat) ที่ส่วนมากจะทำการเจาะระบบ เพื่อวัดระดับความสามารถของตัวแฮ็กเกอร์เอง เมื่อเจอช่องโหว่ก็จะนำมาโพสต์ลงบนโลกออนไลน์ เพื่อเตือนให้เจ้าของระบบทราบ และหาวิธีแก้ไขด้วยตัวเอง นอกจากนี้ยังมีการแบ่งอีกหลายประเภท ทั้ง หมวกเหลือง หมวกฟ้า หมวกเขียว หมวกแดง ซึ่งจะมีจุดประสงค์ที่จำเพาะเจาะจงตามแต่เอกลักษณ์ของแต่ละสีอีกด้วย
ในส่วนของแครกเกอร์ (Cracker) นั้นมีลักษณะการทำงานเหมือนกับแฮ็กเกอร์แต่จะต่างกันที่แรงจูงใจ โดยแครกเกอร์มุ่งเน้นในการเจาะระบบความปลอดภัยบนคอมพิวเตอร์และเครือข่ายต่างๆ เพื่อเข้าถึงไฟล์ข้อมูลส่วนตัวของผู้คนหรือองค์กร ทำให้เกิดความเสียหายไม่ว่าจะระดับเล็กหรือใหญ่ และไม่สนใจกฏหมายในการกระทำความผิด ตัวอย่างที่พบบ่อยได้แก่การขโมยข้อมูลบัตรเครดิต ข้อมูลส่วนบุคคล รวมไปถึงข้อมูลสำคัญที่สามารถนำไปขายบริษัทคู่แข่งเพื่อแลกเงินได้ นอกจากนี้ยังอาจทำเพื่อทำลายหรือเข้ารหัสไฟล์ที่สำคัญเพื่อใช้ในการเรียกค่าไถ่ (Ransomware) หรือล็อกระบบไม่ให้คนอื่นเข้าถึงได้ เป็นต้น ซึ่งอาจจะกล่าวได้ว่า แครกเกอร์ ก็คือ แฮกเกอร์หมวกดำ ก็ได้เหมือนกัน
อาชญากรรมคอมพิวเตอร์ แบ่งเป็น 4 ลักษณะ คือ
การเจาะระบบรักษาความปลอดภัยทางด้านกายภาพ (ฮาร์ดแวร์) เช่น ตัวเก็บข้อมูล อุปกรณ์และสื่อต่างๆ
การเจาะเข้าไปในระบบสื่อสารและการรักษาความปลอดภัยของซอฟต์แวร์ต่างๆ
การเจาะเข้าสู่ระบบรักษาความปลอดภัยของระบบปฏิบัติการ (Operation System)
การเจาะผ่านระบบรักษาความปลอดภัยส่วนบุคคลโดยใช้อินเตอร์เน็ตเป็นช่องทางในการกระทำความผิด
การที่ข้อมูลจะหลุดออกไปภายนอกการควบคุมของเจ้าของข้อมูลนั้น แบ่งได้เป็น 2 รูปแบบ
เริ่มที่การรั่วไหลของข้อมูล ที่สามารถชี้ชัดได้ว่าส่วนใหญ่เกิดจากการกระทำของคนในองค์กร มีส่วนน้อยมากๆ ที่จะเป็นข้อบกพร่องทางเทคนิคของระบบ ซึ่งอาจเกิดได้จาก 4 กรณี ดังต่อไปนี้
1.ความผิดพลาดของมนุษย์
แม้จะมีระบบรักษาความปลอดภัยที่ดีอย่างไร แต่ถ้าผู้ใช้เกิดประมาทหรือรู้เท่าไม่ถึงการณ์ก็อาจจะเกิดการรั่วไหลของข้อมูลได้ ตัวอย่างเช่น ในปี 2018 เกิดการรั่วไหลของข้อมูลรูปสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ตของลูกค้าจากบริษัท True Corporation (Truemove H) ที่ถูกจัดเก็บบน Amazon Web Service S3 ซึ่งเป็น Cloud Storage ได้ถูกตั้งค่าข้อมูลทั้งหมดเป็น “สาธารณะ” ซึ่งชัดเจนว่าเป็นความผิดพลาดในการตั้งค่าการเข้าถึงข้อมูลโดยพนักงานขององค์กร
2.ถูกขโมยจากพนักงานภายใน
อาจจะฟังดูเหมือนเป็นการล้วงข้อมูล แต่ก็มีกรณีของการที่พนักงานภายในองค์กรเป็นผู้กระทำความผิด เช่นกรณีที่เกิดขึ้นกับผู้ให้บริการโทรคมนาคมอย่าง Ofcom ที่สืบรู้ภายหลังว่าพนักงานของตนทยอยเก็บข้อมูลของบริษัทเป็นเวลานานถึง 6 ปี ซึ่งเกิดจากการไว้ใจและให้สิทธ์ในการเข้าถึงข้อมูลมากเกินความจำเป็น ทำให้พนักงานผู้ไม่หวังดีสามารถเข้าถึงข้อมูลได้โดยง่าย
3.การนำไปใช้ในทางที่ผิด
อีกกรณีที่ทำให้เกิดการรั่วไหลของข้อมูล อาจเกิดจากการนำไปใช้ในทางที่ผิด ซึ่งจากรายงานของ Cisco กลับไปเมื่อปี 2014 ชี้ว่ามีถึง 1 ใน 4 ของพนักงานเก็บข้อมูลแบ่งปันข้อมูลสำคัญให้กับเพื่อนฝูง และครอบครัว หรือแม้กระทั่งคนแปลกหน้า โดยไม่ได้คำนึงถึงความปลอดภัยและผลกระทบกับบริษัท โดยอาจทำไปด้วยความรู้เท่าไม่ถึงการณ์
4.ความผิดพลาดของระบบ
เป็นการรั่วไหลของข้อมูลที่ส่วนใหญ่เกิดขึ้นจากข้อผิดพลาด หรือ “บัค” ของระบบ ส่วนมากจะพบเห็นได้จาก แพล็ตฟอร์มโซเชียลมีเดีย เช่น Facebook ที่มีกรณีของการรั่วไหลของข้อมูลผู้ใช้อยู่บ่อยครั้งมาจากบัคของระบบที่ทำให้สามารถทำในสิ่งที่ ปกติแล้วไม่สามารถทำได้
ในส่วนของการล้วงข้อมูล หรือ เรียกอีกอย่างว่า การโจรกรรมข้อมูล (Data breach) เป็นวิธีที่อาชญากรจำเป็นต้องหาทางเข้าถึงฐานข้อมูลขององค์กร เพื่อทำการนำข้อมูลออกมา โดยวิธีการโจมตีในรูปแบบใดรูปแบบหนึ่ง ซึ่งทำให้ผู้ที่ถูกล้วงข้อมูลเกิดสูญเสียอย่างมหาศาลทั้งในด้านของชื่อเสียงและเงินทอง วิธีการที่อาชญากร (Attacker) ใช้นั้นมีหลากหลายมาก ซึ่งมีวิธีการที่เป็นที่นิยมในการล้วงข้อมูล ดังนี้
การใช้ฟิชชิ่งในการล้วงข้อมูล (Phishing) - ส่วนมากการฟิชชิ่งจะมาในรูปแบบของลิงค์ที่ออกแบบมาให้คล้ายกับเว็บไซต์จริง เพื่อให้เป้าหมายหลงเชื่อและใส่ข้อมูลสำคัญลงไป
การปฏิเสธการให้บริการ (Denial of Service) - เป็นวิธีการโจมตีทำให้เครือข่าย หรือระบบของเป้าหมายที่มีข้อมูลส่วนเกินจนล้นเครือข่ายและระบบหยุดทำงาน
การใช้เทคนิคคนกลาง (Man in the middle) - วิธีนี้ Cracker จะเข้ามาแทรกอยู่ระหว่างการเชื่อมต่อของผู้ใช้กับระบบเครือข่าย เช่น เว็บไซต์หรือเครือข่าย Wi-Fi สาธารณะที่ไม่ปลอดภัย และทำการดักข้อมูลที่ถูกส่งไปมาระหว่างเครือข่าย
การโจมตีเป้าหมายด้วยมัลแวร์ (Malware) - มัลแวร์ เป็นคำเรียกรวมๆ ถึงสิ่งที่ Cracker ใช้ในการโจมตีเป้าหมาย เช่น ไวรัสคอมพิวเตอร์ (viruses) สปายแวร์ (spyware) ไวรัสเรียกค่าไถ่ (ransomware) ที่ถูกแนบไปในไฟล์เพื่อให้เป้าหมายดาวน์โหลด ซึ่งจะแฝงมัลแวร์เข้ามาด้วยเพื่อแฝงตัวเข้าไปล้วงข้อมูลในคอมพิวเตอร์หรืออุปกรณ์ของเป้าหมาย
การใช้ประโยชน์จากช่องโหว่ของระบบ/ซอฟต์แวร์ - ช่องโหว่เป็นสิ่งที่อยู่คู่กับระบบคอมพิวเตอร์เสมอมา เหล่า Cracker จะพยายามมองหาช่องโหว่เหล่านี้เพื่อโจมตีเป้าหมาย ซึ่งการอัพเดทระบบหรือซอฟต์แวร์ที่สม่ำเสมอก็สามารถป้องกันการโจมตีได้ในระดับหนึ่ง (อย่างน้อยก็ป้องกันการโจมตีจากช่องโหว่ที่เคยถูกใช้ได้)
มีกรณีตัวอย่างของการรั่วไหลของข้อมูลเกิดขึ้นมากมาย ทั้งบริษัทในประเทศไทยและต่างประเทศ ไม่ว่าจะบริษัทเล็กหรือใหญ่ ล้วนประสบกับปัญหานี้ด้วยกันทั้งนั้น จากทั้งความผิดพลาดภายในที่ทำให้เกิดการรั่วไหลของข้อมูล หรือการถูก Cracker ล้วงข้อมูลออกไป ความเสียหายที่เกิดขึ้นอาจแบ่งได้เป็น 4 ประเภท
1. ความสูญเสียทางด้านการเงิน
เป็นความสูญเสียที่มาจากการถูกฟ้องร้องและเสียค่าปรับเพื่อชดใช้ค่าเสียหายที่เกิดจากการรั่วไหลของข้อมูล เช่น กรณีของการรั่วไหลของข้อมูลทางการแพทย์ของ St. Joseph Health System ที่เกิดจาก “การตั้งค่าผิด” ทำให้ข้อมูลทางการแพทย์ของคนไข้กว่า 31,000 คนกระจัดกระจายอยู่บนโลกออนไลน์ จนเกิดการฟ้องร้อง และสรุปค่าความเสียหายเป็นเงินกว่า 28 ล้านเหรียญสหรัฐฯ
ประกอบกับกฏหมาย PDPA (ในประเทศไทย)ถูกบังคับใช้เป็นที่เรียบร้อยแล้ว ซึ่งถูกกำหนดไว้อย่างชัดเจนในเรื่องของโทษที่แบ่งเป็น 3 ลักษณะดังนี้
โทษทางแพ่ง
เมื่อเกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียหายจริงที่เกิดขึ้น
โทษทางอาญา
หากทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ และถ้าทำเพื่อการแสวงหาประโยชน์ จะมีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง
เมื่อเกิดการละเมิดกฏหมาย PDPA ขึ้น สำหรับผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล จะต้องโทษปรับสูงสุดไม่เกิน 5,000,000 บาท
อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของความเสียหายต่อเจ้าของข้อมูล ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย ซึ่งขึ้นอยู่กับดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ และหากมีความร้ายแรงจริงๆ ก็มีโอกาสที่จะได้รับโทษทั้ง 3 ทางเลยอีกด้วย
อีกกรณี คือการถูกเรียกค่าไถ่ เมื่อบริษัทนั้นถูกโจมตีด้วย Ransomware ซึ่งค่าไถ่ก็จะแตกต่างกันไปตามแต่ข้อเรียกร้องของ Cracker และก็ไม่มีข้อรับประกันว่าหากจ่ายเงินแล้วจะได้ข้อมูลคืนหรือไม่ ทั้งนี้ในประเทศไทยก็มีเหยื่อจากการถูกโจมตี ทั้งภาคเอกชนและรัฐบาลเกิดขึ้นเป็นจำนวนมาก
2. ความสูญเสียทางด้านความเชื่อมั่น
แน่นอนว่าเมื่อเกิดการรั่วไหลของข้อมูลเกิดขึ้น หากเป็นข้อมูลที่เกี่ยวข้องกับบุคคลที่สาม เช่น ผู้ใช้งาน ข้อมูลการซื้อขายกับคู่ค้า ฯลฯ ย่อมต้องส่งผลกระทบต่อความเชื่อมั่นของบริษัทนั้นอย่างเลี่ยงไม่ได้ และใช้เวลานานกว่าจะฟื้นฟูให้กลับคืนมาได้
3. ความเสียหายต่อธุรกิจในภาพรวม
นอกจากเงินทองและความเชื่อมั่นแล้ว บริษัทอาจจะขาดสภาพคล่องในการดำเนินงาน จากการที่ต้องดำเนินการด้านคดี และปรับปรุงโครงสร้างองค์กร รวมถึงการวางระบบรักษาความปลอดภัยของข้อมูล มีรายงานว่าบริษัทจำนวนมาก ถึงขั้น “ล้มละลาย” หลังจากการถูกล้วงข้อมูลออกไป
การประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหายต่อเศรษฐกิจของประเทศเป็นจำนวนมหาศาล จึงไม่ใช่เรื่องเล็กๆ ที่ควรจะมองข้ามเลย และไม่ว่าจะบริษัทเล็กหรือใหญ่ ก็สามารถตกเป็นเป้าหมายของเหล่าอาชญากรไซเบอร์ได้ทั้งนั้น การเตรียมพร้อมในเรื่องของการวางระบบ Cyber Security เพื่อความปลอดภัยของข้อมูลจึงเป็นสิ่งที่ควรให้ความสำคัญเป็นอันดับแรก ซึ่งจะมีการป้องกันทั้งระบบ Network Security, Application Security, Data Security, Cloud Security รวมถึง Solutionและ Service เพื่อความสะดวกสบายและการป้องกันผู้ใช้อีกมากมาย
และอย่าลืมการป้องกันเชิงรับ ที่ต่อให้มีระบบที่ดีมากเพียงใดก็ไม่อาจช่วยได้หากผู้ใช้ขาดความรู้ความเข้าใจในระบบ Security ขององค์กร ซึ่งอาจทำได้โดยการจัดอบรมให้กับพนักงาน ยิ่งปัจจุบันมีเทรน เทรน BYOD หรือ Bring Your Own Device ทำให้พนักงานมีการใช้คอมพิวเตอร์ส่วนตัวในการทำงานมากขึ้นก็เป็นอีกช่องทางที่อาจจะถูกโจมตีได้
ในระดับของบุคคลก็มีสิทธ์ที่จะถูกล้วงข้อมูลได้เช่นกัน จึงควรให้ความสำคัญกับการป้องกันข้อมูลด้วย เช่น ตั้งรหัสผ่านที่ซับซ้อนและไม่ซ้ำกันในแต่ละบัญชี ซึ่งสามารถใช้ระบบจัดการ Password ในการช่วยจำรหัสผ่านก็ได้ หมั่นตรวจสอบบัญชีธนาคารและบัญชีทางการเงินอื่น ๆ เป็นประจำ เพื่อหาการใช้จ่ายเงินที่ไม่คุ้นเคย และสร้างนิสัยเข้าเฉพาะเว็บไซต์ที่มี URL ที่ปลอดภัย เช่น เว็บไซต์ที่เริ่มต้นด้วย “HTTPS://” เพราะเป็นเว็บที่มีการป้องกันการเข้าถึงข้อมูลป้องกันเหล่า Cracker ในการดักมองเห็นกิจกรรมใดๆ ที่ทำบนเว็บไซต์นั้น สุดท้ายติดตั้งซอฟต์แวร์ที่ถูกลิขสิทธิ์ เพราะจะได้รับการอัพเดตและป้องกันช่องโหว่ต่างๆ อยู่ตลอดเวลานั่นเอง
สอบถามรายละเอียดเพิ่มเติมได้ที่ช่องทางนี้ โทร.02-725-6400 , 084-424-2428 / อีเมล sales@itsolution.co.th หรือ websupport1@itsolution.co.th
Tags : การรั่วไหลของข้อมูล, บัค, อาชญากรรมทางคอมพิวเตอร์, Cyber Crime, แครกเกอร์ (Cracker), Computer Crime, การโจรกรรมข้อมูล (Data breach), ความปลอดภัยทางไซเบอร์, ITSC, ITSolution
Thai
