บทที่ 4 การใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย

ประกอบด้วยเนื้อหา ดังนี้
1.  ภัยคุกคามจากการใช้เทคโนโลยีสารสนเทศและการป้องกัน
2.  การใช้เทคโนโลยีสารสนเทศ
จุดประสงค์ของบทเรียน
1. นักเรียนสามารถอธิบายวิธีการป้องกันข้อมูลส่วนตัวได้
2. นักเรียนสามารถวิเคราะห์ผลกระทบจากการใช้เคโนโลยีสารสนเทศได้
3.  นักเรียนสามารถอภิปรายวิธีการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยได้
4. นักเรียนสามารถนำสื่อหรือแหล่งข้อมูลไปใช้ให้ถูกต้องตามข้อตกลงการใช้งานได้

4.1 ภัยคุกคามจากการใช้เทคโนโลยีสารสนเทศและการป้องกัน
   4.1.1 วิธีการคุกคาม

      ภัยคุกคามที่มาจากมนุษย์นั้นมีหลากหลายวิธี โดยมีตั้งแต่การใช้ความรู้ขั้นสูงด้านไอที ไปจนถึงวิธีที่ไม่จำเป็นต้องใช้ความรู้และความสามารถทางเทคนิค เช่น

1)   การคุกคามโดยใช้หลักจิตวิทยา เป็นการคุกคามที่ใช้การหลอกลวงเพื่อให้ได้ข้อมูลที่ต้องการโดยไม่ต้องใช้ความชำนาญด้านไอที เช่น การใช้กลวิธีในการลอกเพื่อให้ได้รหัสผ่านหรือส่งข้อมูลที่สำคัญให้ โดยหลอกว่าจะได้รับรางวัลแต่ต้องทำตามเงื่อนไขที่กำหนด ซึ่งสิ่งที่เกิดขึ้นอาจป้องกันได้ยากเพราะเกิดจากความเชื่อใจ แต่ป้องกันได้โดยให้นักเรียนระมัดระวังในการให้ข้อมูลส่วนตัวกับบุคคลใกล้ชิดหรือบุคคลอื่น

2)  การคุกคามด้วยเนื้อหาที่ไม่เหมาะสม ข้อมูลและเนื้อหาที่มีอยู่ในแหล่งต่างๆ บนอินเทอร์เน็ตมีเป็นจำนวนมากเพราะสามารถสร้างและเผยแพร่ได้ง่าย ทำให้ข้อมูลอาจไม่ได้รับการตรวจสอบความถูกต้องและความเหมาะสม ดังนั้นข้อมูลบางส่วนอาจก่อให้เกิดปัญหากับนักเรียนได้

ตัวอย่างแหล่งข้อมูลและเนื้อหาที่ไม่เหมาะสม เช่น แหล่งข้อมูลเกี่ยวกับการใช้ความรุนแรง การพนัน สื่อลามกอนาจาร เนื้อหาหมิ่นประมาท การกระทำที่ผิดต่อกฎหมายและจริยธรรม

ข้อมูลและเนื้อหาเหล่านี้สามารถเข้าถึงได้ง่าย ดังจะเห็นได้จากการงานแอปพลิเคชันเว็บไซต์ และสื่อบางประเภท นอกจากนี้อาจมีข้อมูลที่ไม่เหมาะสมนั้นปรากฏขึ้นมาเองโดยอัตโนมัติแล้วนักเรียนเผลอคลิกเข้าไปทำให้คอมพิวเตอร์อาจติดไวรัสได้

3)  การคุกคามโดยใช้โปรแกรม เป็นการคุกคามโดยใช้โปรแกรมเป็นเครื่องมือสำหรับก่อปัญหาด้านไอที โปรแกรมดังกล่าวเรียกว่า มัลแวร์ (malicious software : malware) ซึ่งมีหลายประเภท เช่น

 
 ไวรัสคอมพิวเตอร์ (computer virus) เป็นโปรแกรมที่เขียนด้วยเจตนาร้าย อาจทำให้ผู้ใช้งานเกิดความรำคาญหรือก่อให้เกิดความเสียหายต่อข้อมูลหรือระบบ โดยไวรัสจะติดมากับไฟล์งาน และสามารถติดแพร่กระจายเมื่อมีการเปิดใช้งานไฟล์ 
 
 เวิร์ม (worm) เป็นโปรแกรมอันตรายที่สามารถแพร่กระจายไปสู่เครื่องคอมพิวเตอร์เครื่องอื่นในเครือข่ายได้ด้วยตัวเอง โดยใช้วิธีหาจุดอ่อนของระบบรักษาความปลอดภัย แล้วแพร่กระจายไปบนเครือข่ายได้อย่างรวดเร็วและก่อให้เกิดความเสียหายที่รุนแรง เช่น โค้ดเรด (Code Red
 
 ประตูกล (backdoor/trapdoor) เป็นโปรแกรมที่มีการเปิดช่องโหว่ไว้เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าไปคุกคามระบบสารสนเทศหรือเครื่องคอมพิวเตอร์ผ่านระบบเครือข่ายโดยที่ไม่มีใครรับรู้
 
 ม้าโทรจัน (Trojan horse virus) เป็นโปรแกรมที่มีลักษณะคล้ายโปรแกรมทั่วไปเพื่อหลอกลวงผู้ใช้ให้ติดตั้งและเรียกใช้งาน แต่เมื่อเรียกใช้งานแล้วก็จะเริ่มทำงานเพื่อสร้างปัญหาต่างๆ เช่น ทำลายข้อมูล หรือล้วงข้อมูลที่เป็นความลับ 
 
 ระเบิดเวลา (logic bomb) เป็นโปรแกรมอันตรายที่จะเริ่มทำงานโดยมีตัวกระตุ้นบางอย่างหรือกำหนดเงื่อนไขการทำงานบางอย่างขึ้น เช่น แอบส่งข้อมูลออกไปยังเครื่องอื่น หรือลบไฟล์ข้อมูลทิ้ง
 
 โปรแกรมดักจับข้อมูล หรือสปายแวร์ (spyware) เป็นโปรแกรมที่แอบขโมยข้อมูลของผู้ใช้งานคอมพิวเตอร์ เพื่อนำไปใช้แสวงหาประโยชน์ต่างๆ เช่น เก็บข้อมูลพฤติกรรมการใช้งานอินเทอร์เน็ตเพื่อนำไปใช้ในการโฆษณา เก็บข้อมูลรหัสผ่านเพื่อนำไปใช้ในการโอนเงินออกจากบัญชีผู้ใช้
 
 โปรแกรมโฆษณา หรือแอดแวร์ (advertising supported software :adware) เป็นโปรแกรมที่แสดงโฆษณาอัตโนมัติหลังจากที่เครื่องคอมพิวเตอร์นั้นติดตั้งโปรแกรมที่มีแอดแวร์แฝงอยู่ นอกจากนี้แอดแวร์บางตัวอาจจะมีสปายแวร์ที่คอยดักจับข้อมูลผู้ใช้งานเอาไว้เพื่อส่งโฆษณาที่ตรงพฤติกรรมการใช้งาน 
 
 โปรแกรมเรียกค่าไถ่(ransomware) เป็นโปรแกรมขัดขวางการเข้าถึงไฟล์ข้อมูลในเครื่องคอมพิวเตอร์หรือโทรศัพท์มือถือด้วยการเข้ารหัส จนกว่าผู้ใช้จะจ่ายเงินให้ผู้เรียกค่าไถ่ จึงจะได้รับรหัสผ่านเพื่อที่จะสามารถใช้งานไฟล์นั้นได้ 

4.1.2 รูปแบบการป้องกันภัยคุกคาม

    แนวคิดหนึ่งที่ใช้สำหรับการป้องกันภัยคุกคามด้านไอที คือ การตรวจสอบยืนยันตัวตนของผู้ใช้งานก่อนการเริ่มต้นใช้งาน การตรวจสอบเพื่อยืนยันตัวตนของผู้ใช้งานสามารถดำเนินการได้ 3 รูปแบบ ดังนี้
    1.ตรวจสอบจากสิ่งที่ผู้ใช้รู้ เป็นกาตรวจสอบตัวตนจากสิ่งที่ผู้ใช้งานรู้แต่เพียงผู้เดียว เช่น บัญชีรายชื่อผู้ใช้กับรหัสผ่าน การตรวจสอบวิธีนี้เป็นวิธีที่ได้รับความนิยมสูงสุด เนื่องจากเป็นวิธีที่ง่าย และระดับความปลอดภัยเป็นที่ยอมรับได้ หากนักเรียนลืมรหัสผ่าน สามารถติดต่อผู้ดูแลเพื่อขอรหัสผ่านใหม่

    2.ตรวจสอบจากสิ่งที่ผู้ใช้มี เป็นกาตรวจสอบตัวตนจากอุปกรณ์ที่ผู้ใช้งานต้องมี เช่น บัตรสมาร์ตการ์ด โทเก้น อย่างไรก็ตามการตรวจสอบวิธีนี้มีค่าใช้จ่ายในส่วนของอุปกรณ์เพิ่มเติม และมักมีปัญหา คือ ผู้ใช้งานมักลืมหรือทำอุปกรณ์ที่ใช้ตรวจสอบหาย

    3.ตรวจสอบจากสิ่งที่เป็นส่วนหนึ่งของผู้ใช้ เป็นกาตรวจสอบข้อมูลชีวมาตร (biometrics) เช่น ลายนิ้วมือ ม่านตา ใบหน้า เสียง การตรวจสอบนี้ที่มีประสิทธิภาพสูงสุด แต่มีค่าใช้จ่ายที่สูงเมื่อเปรียบเทียบกับวิธีอื่น และต้องมีการจัดเก็บลักษณะเฉพาะของบุคคล ซึ่งผู้ใช้บางส่วนอาจจะเห็นว่าเป็นการละเมิดสิทธิ์ความเป็นส่วนตัว


4.1.3 ข้อแนะนำในการตั้งและใช้งานรหัสผ่าน 

1. สิ่งที่ต้องคำนึงถึงในการกำหนดรหัสผ่านให้มีความปลอดภัย มีดังนี้รหัสผ่านควรตั้งให้เป็นไปตามเงื่อนไขของระบบที่ใช้งาน รหัสผ่านที่ดีควรประกอบด้วยอักษรตัวใหญ่ ตัวเล็ก ตัวเลข และสัญลักษณ์ เช่น Y1nG@#!z หรือ @uG25sx*

        2. หลีกเลี่ยงการตั้งรหัสผ่านโดยใช้วัน เดือน ปีเกิด ชื่อผู้ใช้ ชื่อจังหวัด ชื่อตัวละคร ชื่อสิ่งของต่างๆ ที่เกี่ยวข้องหรือคำที่มีอยู่ในพจนานุกรม

        3. ตั้งให้จดจำได้กล่าว แต่ยากต่อการคาดเดาด้วยบุคคลหรือโปรแกรม เช่น ความสัมพันธ์ของรหัสผ่านกับข้อความหรือข้อมูลส่วนตัวที่คุ้นเคย เช่น ตั้งชื่อสุนัขตัวแรก แต่เขียนตัวอักษรจากหลังมาหน้า

        4. บัญชีรายชื่อผู้ใช้งานแต่ละระบบ ควรใช้รหัสผ่านที่แตกต่างกัน โดยเฉพาะบัญชีที่ใช้เข้าถึงข้อมูลที่มีความสำคัญ เช่น รหัสผ่านของบัตรเอทีเอ็มหลายใบให้ใช้รหัสผ่านต่างกัน

        5. ไม่บันทึกรหัสผ่านแบบอัตโนมัติบนโปรแกรมเบราเซอร์ โดยเฉพาะอย่างยิ่งหากใช้เครื่องคอมพิวเตอร์ร่วมกับผู้อื่น หรือเครื่องสาธารณะ

        6. หลีกเลี่ยงการบันทึกรหัสผ่านลงในกระดาษสมุดโน้ต รวมทั้งอุปกรณ์อิเล็กทรอนิกส์ด้วย หากจำเป็นต้องบันทึกก็ควรจัดเก็บไว้ในที่ปลอดภัย

         7. ไม่บอกรหัสผ่านของตนเองให้กับผู้อื่น ไม่ว่ากรณีใดๆ

        8. หมั่นเปลี่ยนรหัสผ่านเป็นประจำ อาจกระทำทุก 3 เดือน

        9. ออกจากระบบทุกครั้งเมื่อเลิกใช้บริการต่างๆ บนอินเทอร์เน็ต

 

 

 

 

 

 

 

     

 

 

 

 

 

 

 

 

     

 

 


 

 

 

 

 

 

     

 

 

Comments