อาชญากรรมคอมพิวเตอร์

อาชญากรรมคอมพิวเตอร์ หมายถึง การกระทำผิดทางอาญาในระบบคอมพิวเตอร์ หรือการใช้คอมพิวเตอร์เพื่อกระทำผิดทางอาญา เช่น ทำลาย เปลี่ยนแปลง หรือขโมยข้อมูลต่าง ๆ เป็นต้น ระบบคอมพิวเตอร์ในที่นี้ หมายรวมถึงระบบเครือข่ายคอมพิวเตอร์และอุปกรณ์ที่เชื่อมกับระบบดังกล่าวด้วย

อาชญากรรมทางคอมพิวเตอร์ คือ

1.การกระทำการใด ๆ เกี่ยวกับการใช้คอมพิวเตอร์ อันทำให้เหยื่อได้รับความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน

2.การกระทำผิดกฎหมายใด ๆ ซึ่งใช้เทคโนโลยี คอมพิวเตอร์เป็นเครื่องมือและในการสืบสวนสอบสวนของเจ้าหน้าที่เพื่อนำผู้กระทำผิดมาดำเนินคดี ต้องใช้ความรู้ทางเทคโนโลยีเช่นเดียวกัน

การประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหาย ต่อเศรษฐกิจของประเทศจำนวนมหาศาล อาชญากรรมทางคอมพิวเตอร์ จึงจัดเป็นอาชญากรรมทางเศรษฐกิจ หรือ อาชญากรรมทางธุรกิจรูปแบบ หนึ่งที่มีความสำคัญ

ประเภทของอาชญากรรมคอมพิวเตอร์

อาชญากรคอมพิวเตอร์จะก่ออาชญากรรมหลายรูปแบบ ซึ่งปัจจุบันทั่วโลกจัดออกเป็น 9 ประเภท (ตามข้อมูลคณะอนุกรรมการเฉพาะกิจร่างกฎหมายอาชญากรรมคอมพิวเตอร์)

1.การขโมยข้อมูลทางอินเตอร์เน็ต ซึ่งรวมถึงการขโมยประโยชน์ในการลักลอบใช้บริการ
2.อาชญากรนำเอาระบบการสื่อสารมาปกปิดความผิดของตนเอง
3.การละเมิดสิทธิ์ปลอมแปรงรูปแบบ เลียนแบบระบบซอพต์แวร์โดยมิชอบ
4.ใช้คอมพิวเตอร์แพร่ภาพ เสียง ลามก อนาจาร และข้อมูลที่ไม่เหมาะสม
5.ใช้คอมพิวเตอร์ฟอกเงิน
6.อันธพาลทางคอมพิวเตอร์ที่เช้าไปก่อกวน ทำลายระบบสาราณูปโภค เช่น ระบบจ่ายน้ำ จ่ายไฟ ระบบการจราจร
7.หลอกลวงให้ร่วมค้าขายหรือลงทุนปลอม
8.แทรกแซงข้อมูลแล้วนำข้อมูลนั้นมาเป็น)ระโยชน์ต่อตนโดยมิชอบ เช่น ลักรอบค้นหารหัสบัตรเครดิตคนอื่นมาใช้ ดักข้อมูลทางการค้าเพื่อเอาผลประโยชน์นั้นเป็นของตน
9.ใช้คอมพิวเตอร์แอบโอนเงินบัญชีผู้อื่นเข้าบัญชีตัวเอง

อาชญากรคอมพิวเตอร์

อาชญากรคอมพิวเตอร์ คือ ผู้กระทำผิดกฎหมายโดยใช้เทคโนโลยีคอมพิวเตอร์เป็นส่วนสำคัญ มีการจำแนกไว้ดังนี้
  1. พวกมือใหม่ (Novices) หรือมือสมัครเล่น อยากทดลองความรู้และส่วนใหญ่จะมิใช่ผู้ ที่เป็นอาชญากรโดยนิสัย มิได้ดำรงชีพโดยการกระทำผิด อาจหมายถึงพวกที่เพิ่งได้รับความไว้วางใจให้เข้าสู่ระบบเครือข่ายคอมพิวเตอร์
  2. Darnged person คือ พวกจิตวิปริต ผิดปกติ มีลักษณะเป็นพวกชอบความรุนแรง และอันตราย มักเป็นพวกที่ชอบทำลายทุกสิ่งที่ขวางหน้าไม่ว่าจะเป็นบุคคล สิ่งของ หรือสภาพแวดล้อม
  3. Organized Crime พวกนี้เป็นกลุ่มอาชญากรที่ร่วมมือกันทำผิดในลักษณะขององค์กรใหญ่ๆ ที่มีระบบ พวกเขาจะใช้คอมพิวเตอร์ที่ต่างกัน โดยส่วนหนึ่งอาจใช้เป็นเครื่องหาข่าวสาร เหมือนองค์กรธุรกิจทั่วไป อีกส่วนหนึ่งก็จะใช้เทคโนโลยีเพื่อเป็นตัวประกอบสำคัญในการก่ออาชญากรรม หรือใช้เทคโนโลยีกลบเกลื่อนร่องร่อย ให้รอดพ้นจากเจ้าหน้าที่
  4. Career Criminal พวกอาชญากรมืออาชีพ เป็นกลุ่มอาชญากรคอมพิวเตอร์ที่มีอยู่มาก กลุ่มนี้น่าเป็นห่วงมากที่สุด เนื่องจากนับวันจะทวีจำนวนมากขึ้นเรื่อยๆ โดยจับผิดแล้วจับผิดเล่า บ่อยครั้ง
  5. Com Artist คือพวกหัวพัฒนา เป็นพวกที่ชอบความก้าวหน้าทางคอมพิวเตอร์ เพื่อให้ได้มาซึ่งผลประโยชน์ส่วนตน อาชญากรประเภทนี้จะใช้ความก้าวหน้า เกี่ยวกับระบบคอมพิวเตอร์ และความรู้ของตนเพื่อหาเงินมิชอบทางกฎหมาย
  6. Dreamer พวกบ้าลัทธิ เป็นพวกที่คอยทำผิดเนื่องจากมีความเชื่อถือสิ่งหนึ่งสิ่งใดอย่างรุ่นแรง
  7. Cracker หมายถึง ผู้ที่มีความรู้และทักษะทางคอมพิวเตอร์เป็นอย่างดี จนสามารถลักลอบเข้าสู่ระบบได้ โดยมีวัตถุประสงค์เข้าไปหาผลประโยชน์อย่างใดอย่างหนึ่ง มักเข้าไปทำลายหรือลบไฟล์ หรือทำให้คอมพิวเตอร์ใช้การไม่ได้ รวมถึงทำลายระบบปฏิบัติการ
  8. นักเจาะข้อมูล (Hacker) ผู้ที่ชอบเจาะเข้าระบบคอมพิวเตอร์ของผู้อื่น พยายามหาความท้าทายทางเทคโนโลยีเข้าไปในเครือข่ายของผู้อื่นโดยที่ตนเองไม่มีอำนาจ
  9. อาชญากรในรูปแบบเดิมที่ใช้เทคโนโลยีเป็นเครื่องมือ เช่นพวกลักเล็กขโมยน้อยที่ พยายามขโมยบัตร ATM ของผู้อื่น
  10. อาชญากรมืออาชีพ คนพวกนี้จะดำรงชีพจากการกระทำความผิด เช่นพวกที่มักจะใช้ ความรู้ทางเทคโนโลยีฉ้อโกงสถาบันการเงิน หรือการจารกรรมข้อมูลไปขาย เป็นต้น
  11. พวกหัวรุนแรงคลั่งอุดมการณ์หรือลัทธิ มักก่ออาชญากรรมทางคอมพิวเตอร์ เพื่อ อุดมการณ์ทางการเมือง เศรษฐกิจ ศาสนา หรือสิทธิมนุษย์ชน เป็นต้น

การป้องกันอาชญากรรมคอมพิวเตอร์

การป้องกันอาชญากรรมคอมพิวเตอร์ (Preventing computer crime) จากการเรียนรู้เทคนิคการเจาะข้อมูลของนักก่อกวนคอมพิวเตอร์ (Hacker) ทั้งหลาย องค์กรต่างๆ สามารถหาวิธีที่เหมาะสมเป็นการป้องกันอาชญากรรมทางคอมพิวเตอร์ได้

1. การว่าจ้างอย่างรอบคอบและระมัดระวัง (Hirecarefully) ดังที่ได้เคยกล่าวไว้แล้วว่าปัญหาอาชญากรรมคอมพิวเตอร์ส่วนใหญ่มาจากพนักงานภายในองค์กร ดังนั้นในกระบวนการจ้างคนเข้าทำงานต้องดูคนที่ซื่อสัตย์สุจริต มีความรับผิดชอบ เป็นการยากที่จะสรรหาคนดังกล่าว แต่เราสามารถสอบถามดูข้อมูลอ้างอิงเก่าๆ ของเขาได้ หรือดูนิสัยส่วนตัวว่าดื่มสุรา สูบบุหรี่ และเล่นการพนันหรือไม่ สิ่งเหล่านี้ประกอบกันเข้าจะเป็นสิ่งบ่งชี้นิสัยของคนได้

2. ระวังพวกที่ไม่พอใจ (Beware of malcontents) ปัญหาหลักในการป้องกันอาชญากรคอมพิวเตอร์ก็คือพนักงานในองค์กรนั้นเอง พนักงานเหล่านั้นมีความรู้และความเชียวชาญในระบบคอมพิวเตอร์แต่ไม่พอใจการบริหารงานของผู้บังคับบัญชาเนื่องจากไม่ได้รับการเลื่อนตำแหน่งหน้าที่ บางครั้งถูกให้ออกจากงาน และเกิดความแค้นเคือง ทำให้มีการขโมย การทำลาย หรือการเปลี่ยนแปลงข้อมูลที่สำคัญภายในองค์กร

3. การแยกหน้าที่รับผิดชอบของพนักงาน (Separate employee function) ในกลุ่มคนที่ทำงานร่วมกันเรากำหนดและบ่งบอกว่าใครคนใดคนหนึ่งเป็นอาชญากรทางคอมพิวเตอร์นั้นคงยาก มีวิธีการใดบ้างที่จะแก้ปัญหาถ้าหากมีคนไม่ดีซึ่งประสงค์ร้ายต่อข้อมูลขององค์กร ได้มีหลายบริษัททีเดียวที่พยายามจัดรูปแบบการทำงานของพนักงานที่คาดว่าน่าจะล่อแหล่มต่อการก่ออาชญากรรมข้อมูล เป็นต้นว่า คนที่มีหน้าที่จ่ายเช็ค (Check) ในองค์กรก็ไม่ได้รับมอบหมายให้มีหน้าที่ปรับข้อมูลเกี่ยวกับอัตราเงินเดือน หรือแม้แต่ในบางธนาคารก็จะกันพื้นที่จำเพาะบางส่วนในเช็คไว้ให้เป็นพื้นที่สำหรับเจ้าของเช็คได้ทำการเซ็นชื่อ

4. การจำกัดการใช้งานในระบบ (Restrict system use) คนในองค์กรน่าที่จะมีสิทธิในการใช้ทรัพยากรข้อมูลเท่าที่เหมาะสมกับหน้าที่งานของเขาเท่านั้น แต่ก็ยากที่จะบ่งชี้ชัดแบบนี้ องค์กรเองต้องหาขั้นตอนวิธีใหม่ในการควบคุมข้อมูลที่สำคัญขององค์การ เราอาจจะไม่อนุญาตให้พนักงานมีการดึงหรือเรียกใช้ข้อมูลเกินลักษณะงานที่เขาควรจะเรียนรู้ โดยซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์สามารถควบคุมการใช้ข้อมูลดังกล่าวได้ ยิ่งกว่านั้นเราควรกำหนดขั้นตอนการทำงานและลักษณะการใช้งานของข้อมูลไว้ด้วย ซึ่งต้องขึ้นอยู่กับชนิดของข้อมูล และลักษณะเฉพาะขององค์กรนั้นๆ เองด้วย

5. การป้องกันทรัพยากรข้อมูลด้วยรหัสผ่านหรือการตรวจสอบการมีสิทธิใช้งานของผู้ใช้ (Protect resources with passwords or other user authorization cheeks a password) รหัสผ่าน (Password) เป็นกลุ่มข้อมูลที่ประกอบไปด้วยตัวอักษร ตัวเลข หรือสัญลักษณ์อื่นๆ ที่ประกอบกันเข้า และใช้สำหรับป้อยเข้าในระบบคอมพิวเตอร์ เพื่อเราสามารถที่จะใช้งานซอฟต์แวร์และฮาร์ดแวร์ได้อย่างถูกต้อง และจำกัดอยู่เฉพาะกลุ่มคนที่มีรหัสผ่านเท่านั้น เช่น การใช้งานคอมพิวเตอร์ขนาดใหญ่ (Mainframe) และการใช้งานระบบเครือข่ายคอมพิวเตอร์นั้นจำเป็นต้องใช้รหัสผ่าน เพราะระบบดังกล่าวออกแบบมาสำหรับผู้ใช้หลายๆ คน และใช้ในเวลาเดียวกันได้ด้วยอย่างไรก็ตามรหัสผ่านต้องได้รับการเปลี่ยนอยู่เรื่อยๆ ในช่วงเวลากำหนด ทั้งนี้เพื่อป้องกันและลดการล่วงรู้ไปถึงผู้อื่นให้น้อยที่สุด

6. การเข้ารหัสข้อมูลโปรแกรม (Encrypt data and programs) การเข้ารหัสข้อมูลเป้นกระบวนในการซ้อนหรือเปลี่ยนรูปข้อมูลและโปรแกรมให้อยู่ในรูปของรหัสชนิดใดชนิดหนึ่ง เพื่อไม่ให้คนอื่นทราบว่าข้อมูลจริงคืออะไร ข้อมูลข่าวสารที่สำคัญขององค์กรจำเป็นต้องเข้ารหัสก่อนการส่งไปยังผู้รับซึ่งอาจจะจัดหาโปรแกรมการเข้ารหัสที่มีอยู่ในปัจจุบันหรือจะพัฒนาขึ้นมาใหม่เองก็ได้ ในปี ค.ศ 1988 วิธีการเข้ารหัสข้อมูลได้รับการพัฒนาขึ้นจากสำนักกำหนดมาตรฐานในสหรัฐอเมริกา และธนาคารก็ได้ใช้ในการทำธุรกิจของตนเอง และการติดต่อกับกรมธนารักษ์ด้วย

7. การเฝ้าดูการเคลื่อนไหวของระบบข้อมูล (Monitor system transactions) ในการเฝ้าดูการเคลื่อนไหวของระบบข้อมูลเคลื่อนไหว หรือระบบจัดทำรายการต่างๆ นั้นจะมีโปรแกรมช่วยงานด้านนี้โดยเฉพาะโดยโปรแกรมจะคอยบันทึกว่ามีใครเข้ามาใช้ระบบบ้าง เวลาเท่าใด ณ ที่แห่งใดของข้อมูล และวกลับออกไปเวลาใดแฟ้มข้อมูลใดที่ดึงไปใช้ปรับปรุงข้อมูล เป็นต้นว่า ลบ เพิ่ม เปลี่ยนแปลงอื่นๆ นั้นทำที่ข้อมูลชุดใด

8. การตรวจสอบระบบอย่างสม่ำเสมอ (Conduct frequent audit) อาชญากรคอมพิวเตอร์ส่วนใหญ่จะถูกเปิดเผยและถูกจับได้โดยความบังเอิญ บางครั้งก็ใช้เวลานานทีเดียวกว่าจะจับได้ ในกรณีตัวอย่างของนาย M. Buss และ Lynn salerno ได้ใช้คอมพิวเตอร์ส่วนบุคคลในการลักลอบดึงข้อมูลหมายเลขบัตรเครดิตจากสำนักงานเครดิตและใช้บัตรดังกล่าวซื้อสินค้าคิดเป็นค่าใช้จ่ายจำนวน 50,000 เหรียญสหรัฐฯ และในที่สุดถูกจับได้เมื่อบุรุษไปรษณีย์ เกิดความสงสัยว่าทำไมถึงมีจดหมายและพัสดุต่างๆ

9. การให้ความรู้ผู้ร่วมงานในเรื่องระบบความปลอดภัยของข้อมูล (Educate people in security measures) พนักงานทุกคนควรต้องรู้ระบบความปลอดภัยของข้อมูลในองค์กรเป็นอย่างดี ในกรณีตัวอย่างของพนักงานไม่พอใจผู้บริหารอาจเนื่องมาจากการที่ไม่ได้รับเลื่อนตำแหน่งหน้าที่ หรือเรื่องอื่นๆ พนักงานในลักษณะนี้มีแนวโน้มที่จะคุกคามระบบความปลอดภัยข้อมูลขององค์กร โดยพยายามที่เข้าไปดูข้อมูลที่สำคัญขององค์กร และสอบถามข้อมูลที่สำคัญที่เกี่ยวข้องกับระบบความปลอดภัยซึ่งไม่ใช่ภารกิจหรือหน้าที่ของพนักงานคนดังกล่าวที่จะต้องทำเช่นนั้น