ความปลอดภัยในการท าธุรกรรมดิจิทัล เรื่องที่ 2
2.1 ภัยคุกคามความมั่นคงในการท าธุรกิจดิจิทัล ภัยคุกคาม หมายถึง ชุดของเหตุการณ์ที่เกิดขึ้นแล้วจะส่งผลต่อความมั่นคง ปลอดภัยของทรัพยากร สารสนเทศ ชุดของเหตุการณ์เหล่านั้นมีวัตถุประสงค์หลัก เพื่อการสร้าง การสกัดกั้น การขัดจังหวะ การตัดแปลงแก้ไข และการปลอมแปลง เพื่อท าลายความลับ ความครบถ้วน สมบูรณ์ และความพร้อมใช้ทรัพยากร สารสนเทศที่เป็นเป้าหมาย การประยุกต์ใช้งานเทคโนโลยีร่วมกับการบริหารจัดการ ความมั่นคง ปลอดภัยอย่างเหมาะสม โดยเฉพาะอย่างยิ่งการก าหนดนโยบาย การ ประยุกต์ใช้งานเทคโนโลยีที่เกี่ยวข้องและควบคุมการปฏิบัติให้เป็นไปตามที่ก าหนด ในนโยบายจะสร้างความมั่นใจได้ว่าการผลิต ประมวลผลจัดเก็บ และแสดงผล ทรัพยากรสารสนเทศนั้น ๆ มีความมั่นคงปลอดภัย
2.1.3 ภัยคุกคามที่เกิดขึ้นจากการเข้าถึงทรัพยากร โดยไม่มีสิทธิ ภัยคุกคามที่เกิดจาการที่ผู้ไม่ได้รับอนุญาตสามารถเข้าถึง ข้อมูล ส าคัญ (Unauthorized Access) หรือเปลี่ยนแปลงแก้ไข ข้อมูล (Unauthorized Modification) ได้ บริษัทต้องมี กระบวนการในการรักษาความปลอดภัยของข้อมูลที่เพียงพอแก่ การป้องกันไม่ให้บุคคลที่ไม่มีอ านาจเกี่ยวข้องเข้าถึง หรือสามารถ เปลี่ยนแปลงแก้ไขข้อมูล หรือน าข้อมูลไปใช้ประโยชน์ในทางที่ ผิดกฎหมาย โดยเฉพาะอย่างยิ่งข้อมูลของผู้เอาประกันภัย โดย แนวทางการรักษาความปลอดภัยข้อมูลอย่างน้อยต้องครอบคลุม ในเรื่องดังต่อไปนี้ 1. ข้อมูลอะไรบ้างที่เป็นข้อมูลที่ส าคัญหรือเป็นข้อมูลความลับของบริษัท และท า การจัดประเภทข้อมูลตามระดับชั้นความลับและความส าคัญ 2. ก าหนดสิทธิ์ในการเข้าถึงข้อมูลที่ส าคัญหรือข้อมูลความลับ เพื่อป้องการเข้าถึง และแก้ไข เปลี่ยนแปลงข้อมูลโดยผู้ไม่มีสิทธิ์หรือไม่ได้รับอนุญาต 3. การรับส่งข้อมูลส าคัญผ่านเครือข่ายสาธารณะ บริษัทต้องท าการเข้ารหัส ข้อมูล (Cryptographic Control) 4. การจัดเก็บข้อมูลส าคัญหรือข้อมูลที่มีชั้นความลับ
2.1.4 ภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ ประสงค์ร้าย (Malicious Code) โปรแกรมอันตรายที่มุ่งประสงค์ร้ายต่อระบบคอมพิวเตอร์ในรูปแบบใด รูป แบบหนึ่ง ในบางค รั้งอาจจะ เรียกอีกชื่อหนึ่งว่า มัล แว ร์ ซึ่งประกอบด้วยภัยคุกคามหลากหลายด้วยกัน ได้แก่ ไวรัส (Virus) ติดต่อจากไฟล์หนึ่งไปสู่อีกไฟล์หนึ่งได้ มิจฉาชีพสามารถ ฝังไวรัสเข้ามาในไฟล์ ๆ หนึ่ง แล้วเมื่อไฟล์ที่มีไวรัสถูก เอาไปลงที่เครื่อง มันก็จะไปท าลายซอฟท์แวร์ตัวอื่น ๆ ที่อยู่ในเครื่อง หนอนคอมพิวเตอร์ (Computer Worm) มีลักษณะคล้ายไวรัส และท าหน้าที่แทรกซึมผ่านช่องโหว่ใน ระบบปฏิบัติการเพื่อขโมยข้อมูลและลบไฟล์ส าคัญออกไป หนอน คอมพิวเตอร์ต่างจากไวรัสตรงที่ไวรัสจะแพร่กระจายผ่านจากการที่ มีคนเปิดไฟล์นั้น ๆ แต่หนอนคอมพิวเตอร์สามารถแพร่กระจาย ได้ด้วยตัวเอง
ม้าโทรจัน (Trojan) ไม่ได้ท าลายซอฟท์แวร์ในเครื่องโดยตรง แต่จะดักจับ ข้อมูล และเปิดช่องโหว่ด้านความปลอดภัยในระบบของ ผู้ใช้ มิจฉาชีพสามารถล่วงรู้ข้อมูลส่วนตัว หรือควบคุม เครื่องคอมพิวเตอร์ของผู้ใช้ได้จากระยะไกล มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นมัลแวร์ที่เอาไปปิดกั้นการเข้าถึงไฟล์ต่าง ๆ ใน เครื่องของผู้ใช้ เพื่อบีบให้ผู้ใช้ต้องโอนเงินไปให้กับ มิจฉาชีพ เมื่อแลกกับการเข้าถึงไฟล์นั้นอีกครั้ง มีไว้สอดส่องพฤติกรรมการใช้งานของผู้ใช้โดยที่ไม่ให้ เจ้าตัวรู้เพื่อเข้าไปแอบดูข้อมูลส าคัญ เช่น พาสเวิร์ด เลขบัตรเครดิต และข้อมูลทางการเงินได้ สปายแวร์ (Spyware)
2.1.5 ภัยคุกคามที่เกิดจากภัยธรรมชาติ ภัยธรรมชาติเป็นภัยคุกคามที่อันตรายมาก เพราะเป็นสิ่งที่เกินกว่ามนุษย์จะ ควบคุมได้เป็นภัยที่รวมเหตุการณ์ เช่น ไฟไหม้ น้ าท่วม แผ่นดินไหว และ ฟ้าผ่า รวมถึงภูเขาไฟระเบิด ทั้งหมดนี้ไม่เพียงแต่สร้างความยุ่งยากต่อการ ใช้ชีวิตของแต่ละคนเท่านั้น แต่ยังสร้างปัญหา ความเสียหายให้กับระบบ คอมพิวเตอร์ทั้งหน่วยเก็บข้อมูล สัญญาณการสื่อสารต่าง ๆ
2.2 ความมั่นคงปลอดภัยทางเทคโนโลยีดิจิทัล ระบบความปลอดภัยทางไซเบอร์ (Cyber Security) ถูกน ามาใช้อย่างมากในหน่วยงาน อุตสาหกรรมการเงินและการธนาคาร เนื่องจากปัจจุบันในหลายประเทศมีการเปิดเสรีทางการเงินการธนาคาร เพื่อดึงดูดนักลงทุนต่างชาติให้เข้ามาลงทุนในอุตสาหกรรมการเงิน รวมถึง การซื้อขายแลกเปลี่ยนและการท าธุรกรรมทางการเงิน สามารถท าได้ผ่าน ระบบอินเทอร์เน็ตที่ใช้งานบนสมาร์ตโฟน สถาบันการเงินจึงเห็นความ จ าเป็นในการพัฒนาระบบการซื้อขาย (Transaction) ควบคู่ไปกับระบบ รักษาความมั่นคงปลอดภัย เพื่อให้ผู้ใช้งานเกิดความมั่นใจ ส่งผลให้การท า ธุรกิจดิจิทัลเติบโตในภาพรวม
2.3 การท าธุรกรรมดิจิทัลอย่างปลอดภัย ความปลอดภัยในโลกดิจิตอล คือ การปกป้องความเป็น ส่วนตัวบนโลกออนไลน์ให้พ้นจากการถูกมิจฉาชีพขโมยข้อมูลส่วนตัว ไปใช้ประโยชน์ หรือท าให้เกิดความเสียหายแก่เจ้าของข้อมูล และยัง หมายความรวมไปถึง การใช้เครื่องมือทางเทคโนโลยีเพื่อรักษาความ ปลอดภัยนี้ด้วย เช่น โปรแกรมก าจัดไวรัส การใช้ข้อมูลทาง เอกลักษณ์บุคคลเพื่อระบุตัวตน เช่น ลายนิ้วมือ เค้าโครงหน้า เป็นต้น
การเกิดรอยเท้าดิจิทัลกับข้อมูลบุคคล การท ากิจกรรมใด ๆ ในรูปแบบดิจิทัล เช่น การส่งอีเมล การส่งภาพขึ้น โซเซียลมีเดีย การใช้โทรศัพท์มือถือ ตลอดจนการแสดงความคิดเห็นต่าง ๆ บนเว็บไซต์ จะมีร่องรอยข้อมูลและถูกจัดเก็บไว้ให้เหลือเป็นร่องรอยอยู่บน อินเทอร์เน็ต ซึ่งเรียกว่า "รอยเท้าดิจิทัล" หรือ Digital Footprint ดังนั้น การท ากิจกรรม หรือ ธุรกรรมต่าง ๆ ในแบบดิจิทัลพึงต้องท าด้วยความ ระมัดระวัง และเหมาะสม เพราะข้อมูลต่าง ๆ เหล่านั้นอาจจะกลับมามีผล กับตัวเองในภายหลังได้ เช่น ประวัติการท างานบกพร่อง หรือท าให้เสีย ชื่อเสียงได้
รอยเท้าดิจิทัล มี 2 ประเภท คือ เป็นข้อมูลบุคคล ตนเองเป็นผู้กระท า แต่มีหน่วยงาน/บริษัทอื่น เป็นผู้จัดเก็บข้อมูลเบื้องหลังโดยที่บุคคลนั้นไม่รู้ตัว เช่น ข้อมูลการ ท่องเว็บหมายเลขไอพีที่ใช้งาน พฤติกรรมการซื้อของออนไลน์ เป็นต้น ข้อมูลที่ถูกจัดเก็บนี้ มักจะน าไปใช้ประโยชน์เพื่อการ โฆษณาสินค้า จัดท าข้อมูลลูกค้า เป็นต้น การป้องกันข้อมูลบุคคล ไ ม่ใ ห้ เ กิ ด ร อ ย เ ท้า ดิจิ ทั ล ลั กษณะนี้ ท าไ ด้ โ ด ยใ ช้พ ร็ อ ก ซี่ (Proxies)และการส่งข้อมูลที่เป็นเครือข่ายส่วนตัว (VPN) อย่างไร ก็ตามรอยเท้าดิจิทัลประเภทนี้ไม่น่าเป็นห่วงมากนัก เพราะมักจะไม่ ส่งผลโดยตรง นอกจากจะมีโฆษณาสินค้าประเภทเดียวหรือ ใกล้เคียงกับที่เคยค้นหามาปรากฎให้เห็น 1. รอยเท้าดิจิทัลที่จัดเก็บโดยผู้อื่น (Passive Digital Footprint)
2. รอยเท้าดิจิทัลมีชีวิต (Active Digital Footprint) เป็นข้อมูลบุคคลที่สามารถสืบหาร่องรอยได้เป็นข้อมูลที่แชร์อยู่บนเว็บ หรือโซเชียลมีเดียต่าง ๆ ทั้งที่ตนเองท าขึ้นหรือ เป็นการแสดงความ คิดเห็นของบุคคลอื่นที่มีต่อบุคคลนั้น ๆ รอยเท้าดิจิทัลประเภทนี้มักจะมี ผลโดยตรงกับบุคคลนั้น ๆ เพราะผู้ที่ต้องการทราบข้อมูลเกี่ยวกับ บุคคลนั้น ๆ สามารถสืบคันได้ไม่ยากนัก จึงเป็นรอยเท้าดิจิทัลที่มี ความส าคัญต่อบุคคลเนื่องจากสามารถส่งผลกระทบต่อชีวิต หน้าที่การ งานของบุคคลนั้น ๆ ได้
2.4 แนวคิดเกี่ยวกับความมั่นคงปลอดภัยส าหรับธุรกิจดิจิทัล 2.4.1 ความก้าวหน้าของเทคโนโลยีสารสนเทศและการสื่อสาร เป็นตัวขับเคลื่อนให้องค์กรทางธุรกิจประยุกต์ใช้โครงสร้าง พื้นฐานเทคโนโลยีสารสนเทศ 1. ประยุกใช้เทคโนโลยีสารสนเทศ (IT) ในการพัฒนา แบบจ าลองทางธุรกิจ (Business model) เป็นแบบจ าลอง ธุรกิจว่า ธุรกิจจะให้บริการหรือขายอะไร ขายให้ใคร ขายอย่างไร ขายที่ไหน ผลิตด้วยอะไร ใครมาช่วยผลิต และ มีรายได้และค่าใช้จ่ายอย่างไร แบบจ าลองทางธุรกิจ
2. ประยุกต์ใช้เทคโนโลยีสารสนเทศ (IT) ในกระบวนการทาง ธุรกิจ (Business Process) คือก าหนดขั้นตอนในการ ประกอบธุรกิจ โดยเริ่มตั้งแต่การน าเงินมาลงทุนในกิจการเพื่อใช้ จ่ายเป็นค่าเครื่องจักร วัตถุดิบ ค่าแรง ตลอดจนค่าใช้จ่ายในการ บริหารงานด้านต่าง ๆ แล้วท าการจ าหน่ายสินค้าหรือบริการ ออกไปเพื่อให้ได้รายรับแก่ธุรกิจ แล้วน าไปหักค่าใช้จ่ายเพื่อ ดูผลได้สุทธิว่าก าไรหรือขาดทุน กระบวนการทางธุรกิจ
7.4.1 ความมั่นคงปลอดภัยของธุรกิจดิจิทัล ความมั่นคงปลอดภัยของธุรกิจดิจิทัลมีความหมายครอบคลุมประเด็นที่เกี่ยวข้อง กับโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศที่ใช้ด าเนินธุรกิจ ผู้บริหารต้อง ค านึงถึงความสอดคล้องระหว่างการด าเนินธุรกิจ เทคโนโลยี ผู้บริหารต้อง สามารถจัดการกับเทคโนโลยีอย่างมีประสิทธิภาพ ซึ่งสามารถแบ่งเป็นขั้นตอน ดังต่อไปนี้ 1 2 3 4