หัวหน้า รปภ-01

แฮกเกอร์

ใครชอบดูหนังแอคชั่น แนวสืบสวนสอบสวน มักจะพบตัวละครที่มีความสามารถหลากหลาย หนึ่งในความสามารถที่ทำให้เราได้ลุ้นกันตัวโก่งนั่น ก็คือ ความสามารถในการเจาะเข้าถึงระบบคอมพิวเตอร์,ข้อมูลคอมพิวเตอร์ หรือที่เราเรียกคนเหล่านี้ว่า “แฮกเกอร์” นั่นเอง หลายคนคลั่งไคล้จนถึงขนาดเข้าอบรม วิธีการที่จะเป็นแฮกเกอร์กันเลย ผมเชื่อว่าบรรดาคนที่ชื่นชอบนักจารกรรมทางคอมพิวเตอร์นี้ส่วนใหญ่ไม่รู้เลยว่าสิ่งที่ตัวละครแสดงบทบาทในหนังนั้น ความจริงแล้วมันเป็นการทำผิดกฎหมายอย่างหนึ่ง หรือเรียกว่าเป็นอาชญากรทางคอมพิวเตอร์ เรามาดูกันว่าคนเหล่านั้นเขาต้องรับผิดยังไงถ้าถูกจับได้

ตาม พรบ.ว่าด้วยการกรทำความผิดเกี่ยวกับคอมพิวเตอร์ได้กำหนดให้ความรับผิดเกี่ยวกับการ”แฮกเกอร์” นี้ไว้ในมาตรา 5 และมาตรา 7 ขอคัดมาให้อ่านกันลองดูดังนี้ครับ

“มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้น มิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปีหรือปรับไม่เกินสี่หมื่นบาทหรือทั้งจำทั้งปรับ”

ผมเห็นว่าความรับผิดทั้งสองมาตรานี้มันมีองค์ประกอบเหมือนกัน คงแตกต่างกันเพียงเฉพาะวัตถุประสงค์ของการเข้าถึงแตกต่างกัน โดย มาตรา 5 นั้นเป็นการเข้าถึงระบบคอมพิวเตอร์ ส่วนเนื้อหามาตรา 7 นั้น เป็นการเข้าถึงข้อมูลในคอมพิวเตอร์ อธิบายให้ฟังได้ดังนี้ครับ

องค์ประกอบความผิด

1.1) ผู้ใด

อันนี้ก็หมายความถึงบุคคลตามกฎหมายนะครับ

1.2) เข้าถึงซึ่งระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์

–  คำว่า “เข้าถึง (ACCESS)” นี้ หมายถึงการเข้าถึงระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ ไม่ว่าด้วยวิธีการใดๆ จะโดยทางกายภาพ เช่น ระบบคอมพิวเตอร์มีระบบป้องกันการเข้าถึงโดยมีรหัสผ่าน แต่แล้วแฮกเกอร์ของเราได้รหัสผ่านมาด้วยวิธีการใดๆ แล้วเข้าไปนั่งอยู่หน้าคอมพิวเตอร์สัมผัสแป้นพิมพ์นั่นเองเพื่อเข้าถึงโดยใช้รหัสที่ได้มานั่นก็ดี http://www.manager.co.th/Crime/ViewNews.aspx?NewsID=9560000139045

 

–   หรือวิธีอื่นๆ ซึ่งเป็นวิธีที่ผู้บุกรุกนี้เข้าสู่ระบบคอมพิวเตอร์ด้วยวิธีการอยู่ห่างโดยระยะทางกับตัวคอมพิวเตอร์นั้นๆ เช่น การเข้าถึงโดยเครือข่ายอินเตอร์เน็ตสาธารณะหลายๆ เครือข่ายเชื่อมโยงกัน หรือ เข้าถึงโดยผ่านระบบเครือข่ายเดียวกันเช่น ระบบ LAN, หรือการติดต่อสื่อสารผ่านระบบการสื่อสารไร้สาย ( Wireless communication ) , หรือการติดต่อสื่อสารในระบบโทรคมนาคมระยะไกล (Remote Access), การเข้าถึงโดยใช้ระบบอินเตอร์เน็ตผ่านดาวเทียม เป็นต้น

– ตัวอย่างการเข้าถึงระบบคอมพิวเตอร์โดยไม่ชอบ

1.3) โดยมิชอบ

หมายความถึงการเข้าถึง ระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ โดยไม่ชอบด้วยกฎหมาย ( Without legal right) ไม่ว่ากรณีใดกรณีหนึ่งดังต่อไปนี้ก็ถือว่าไม่ชอบด้วยกฎหมายเช่นเดียวกัน

 

ก.  เข้าถึงโดยปราศจากความยินยอม

–  หมายความว่าเป็นการที่คนที่เป็นแฮกเกอร์นี้เข้าสู่ระบบคอมพิวเตอร์ของผู้อื่นไม่ว่าจะโดยวิธีใดโดยไม่ได้รับความยินยอมไม่ว่าจะโดยชัดแจ้งหรือปริยาย ตัวอย่างว่า นาย ก. (แฮกเกอร์) ทำการเจาะเข้าระบบคอมพิวเตอร์ของบริษัท ข. ซึ่งมีระบบไฟว์วอลล์ (Firewall) ป้องกันความปลอดภัยไม่ให้บุคคลภายนอกเข้าสู่ระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ ของบริษัท ข. โดยที่ไม่ได้รับอนุญาตได้ แต่ นาย ก. ได้ใช้วิธีการเข้าถึงระบบคอมพิวเตอร์โดยการเข้าถึงผ่านระบบการติดต่อสื่อสารไร้สาย ( Wireless communication ) ของบริษัท ข. เอง อย่างนี้ถือว่าเป็นการเข้าถึงระบบคอมพิวเตอร์โดยไม่ชอบแล้วครับ

ข. เข้าถึงโดยเกินกว่าขอบอำนาจที่ได้รับ

–   กรณีนี้หมายความว่า ผู้ที่ทำการแฮกเกอร์นี้ มีขอบเขตของการอนุญาตให้เข้าถึงข้อมูล/ระบบคอมพิวเตอร์ระดับหนึ่ง แต่ได้อาศัยโอกาสที่ตัวเองมีอำนาจนี้ เข้าถึงข้อมูล หรือระบบคอมพิวเตอร์ มากกว่าที่ตนเองได้รับอนุญาต ตัวอย่างเช่น นาย ดำ ได้รับการว่าจ้างจาก หน่วยงานกรมสรรพากร เพื่อให้เข้าไปซ่อมแซม/ปรับปรุงระบบป้องกันภัยจากการถูกโจมตีระบบคอมพิวเตอร์ของ กรมสรรพากร แต่ด้วยเหตุที่นาย ดำ ได้รับรหัส เพื่อการเข้าสู่ระบบคอมพิวเตอร์ โดยสามารถแก้ไขปรับปรุงระบบได้นี้ ทำการตรวจค้นข้อมูลว่า ตนเองมีภาระหนี้ต่อสรรพากรหรือไม่แล้วพบว่ามีหนี้ค่าภาษีอากรค้างชำระจำนวนหนึ่ง จึงทำการลบข้อมูลดังกล่าวออกจากระบบคอมพิวเตอร์ของสรรพากร อย่างนี้ถือว่า นาย ดำ ได้ทำการเข้าถึงระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ เกินกว่าขอบอำนาจที่ตัวเองได้รับ

 

ค. เข้าถึงโดยที่ไม่มีกฎหมายให้อำนาจไว้

–   ในกรณีนี้หมายความว่าเป็นการดำเนินการโดยไม่ได้รับความยินยอมและไม่มีกฎหมายรองรับให้มีอำนาจดำเนินการได้ เช่น หน่วยงานราชการ ก. มีคำสั่งให้ นาย ข. เข้าสู่ระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ ของ บริษัท ค. โดยมีวัตถุประสงค์เพื่อหาข้อมูลและดำเนินงานตามวัตถุประสงค์ของงานราชการ แต่ บังเอิญว่า ไม่มีกฎหมายให้อำนาจหน่วยงานราชการนั้นที่จะเข้าสู่ระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ ของบริษัท ค. ได้โดยไม่ได้รับความยินยอม ดังนี้ ถือว่าการที่ นาย ข. เข้าสู่ระบบคอมพิวเตอร์ของบริษัท ค. ไม่ว่าโดยวิธีใดๆ ก็ตาม เป็นความผิดตามมาตรานี้ ที่ หน่วยงานราชการ ก. + นาย ข. เป็นตัวการร่วมกันกระทำความผิดตามมาตรานี้แล้วครับ

 

1.4)  ซึ่งคอมพิวเตอร์นั้นมีระบบมาตรการป้องกันการเข้าถึงโดยเฉพาะ และเพื่อตนเอง

–   สำหรับข้อนี้เป็นองค์ประกอบความผิดข้อสุดท้าย ที่เจ้าของระบบคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ ควรจะทราบว่า หากคุณไม่มีระบบป้องกันการเข้าถึง เช่น การมีรหัสเข้าระบบ,การมีโปรแกรมป้องกันไฟล์วอลล์ ฯลฯ นี้ แล้วมีเหตุการณ์ว่ามีแฮกเกอร์ เข้าสู่ระบบคอมพิวเตอร์ของคุณเพื่อวัตถุประสงค์ขัดขวางการใช้คอมพิวเตอร์ของคุณ หรือเพื่อประโยชน์อื่นในทางทุจริต คุณจะไม่สามารถนำกฎหมายความผิดเกี่ยวกับคอมพิวเตอร์นี้ดำเนินคดีกับแฮกเกอร์เหล่านั้นได้

–   ดังนั้น บรรดาเจ้าของธุรกิจ กิจการ ที่ต้องใช้ต้องมีระบบคอมพิวเตอร์ ควรให้ความสำคัญในการจัดให้มีระบบป้องกันการเข้าถึงระบบคอมพิวเตอร์/เข้าถึงข้อมูลคอมพิวเตอร์ ของกิจการตัวเองไว้อย่างเหมาะสมด้วย เพราะไม่อย่างนั้น คุณอาจได้รับความเสียหายจากบรรดาแฮกเกอร์เหล่านี้โดยประเมินค่าไม่ได้ ซึ่งแฮกเกอร์ที่ว่านี้อาจเป็นพนักงานของคุณเองก็ได้ ….ใครจะรู้..

ตัวอย่างการแฮกหน่วยงานของรัฐ http://www.dailynews.co.th/Content/Article/129521/จับแฮกเกอร์ต้องฉับไว

ตัวอย่างการทำผิดต่อหน่วยงานเอกชนและการลงโทษ http://www.prachatai.com/journal/2012/05/40663