หัวหน้า รปภ-01

โทษของการขายรหัสลับ

จะว่าไปแล้ว เพราะเหตุที่ว่าคนใช้ระบบคอมพิวเตอร์อยู่ในปัจจุบัน มีความลับมากมาย ไม่ว่าจะเป็นความลับซึ่งมีมูลค่าในทางธุรกิจ เช่น สูตรการผลิตสินค้า สิ่งประดิษฐ์ ความลับทางการค้าอย่างอื่น หรือรายชื่อลูกค้า หรือแผนกลยุทธ์ทางด้านการบริหารการตลาด เป็นต้น หรือจะเป็นความลับที่เป็นเรื่องส่วนตัว เช่น ภาพลับ วิดีโอลับ คลิปลับๆ ล่อๆ เป็นต้น เหล่านี้เจ้าของหรือผู้มีส่วนได้เสียในความลับเหล่านี้มักเก็บข้อมูลไว้ในรูปของแฟ้มเอกสาร หรือแฟ้มข้อมูลที่เป็นไฟล์งานในระบบคอมพิวเตอร์ เช่น อีเมล, เว็บไซต์, ไลน์, เฟสบุ๊ค ฯลฯ ซึ่งอาจเชื่อมต่อระบบ โดยใช้เครื่องพีซี, โน๊ตบุ๊ค, สมาร์ทโฟน, แท็บเล็ต ฯลฯ โดยมีระบบป้องกันการเข้าถึงหลายรูปแบบ โดยแบบที่เราคุ้นเคยก็ตัวอย่างว่า มี username และ password ใช้เป็นระบบป้องกันการเข้าถึง ระบบ/ข้อมูลคอมพิวเตอร์ของเรา

หากเป็นเครื่องโทรศัพท์สมาร์ทโฟน ก็ไม่เท่าไหร่ครับเพราะอยู่กับตัวเราเอง แต่ถ้าเป็นเครื่องคอมพิวเตอร์/ระบบคอมพิวเตอร์ที่เป็นของบริษัท หรือองค์กรใหญ่ๆ ที่จำเป็นต้องมอบหมายความล่วงรู้ถึง มาตรการป้องกันการเข้าถึง เช่น เจ้าหน้าที่ฝ่าย IT ของบริษัทท่าน ต้องรู้ username และ password ของพนักงานบริษัททุกคน หากวันดีคืนดีเจ้าหน้าที่ IT ของคุณเกิดเหม็นขี้หน้ากรรมการบริษัทใหญ่ขึ้นมา นำเอามาตรการ การเข้าถึงระบบนี้ไปขายให้กับบุคคลภายนอกโดยเฉพาะคู่แข่งทางการค้า คุณลองนึกดูว่าจะเกิดอะไรขึ้น ซึ่งเหตุการณ์เหล่านี้เราจะเคยเห็นในฉากหนังแอคชั่นหลายๆเรื่อง ที่มีสถานการณ์เกี่ยวกับการโจรกรรมข้อมูล/การขายความลับเกี่ยวกับมาตรการการป้องกันการเข้าถึงระบบคอมพิวเตอร์ ดังนั้น บริษัทใหญ่ๆ หลายบริษัทในแวดวงธุรกิจจึงให้ความสำคัญกับระบบป้องกันภัยนี้มากๆ ต้องมีการว่าจ้างที่ปรึกษาด้านไอทีที่มีความเชี่ยวชาญสูง เพื่อมาออกแบบระบบป้องกันภัยการถูกโจมตีด้านระบบคอมพิวเตอร์ ซึ่งก็มีหลากหลายวิธี และอาจมีมาตรการป้องกันภัยหลายชั้น เป็นต้น (ผมเคยทราบว่าเจ้าหน้าที่ไอที ระดับสูง ของบริษัทเหล่านี้ มีค่าจ้างต่อเดือนเป็น 100,000 บาท/เดือน บริษัทหนึ่งๆ ต้องจ้างไว้จำนวนหลายคน ทั้งๆ ที่ไม่ต้องเป็นพนักงานประจำ) สาเหตุที่ต้องจ้างแพงก็เพราะว่าจะหาคนที่มีความเชี่ยวชาญในระดับสูงมากๆ นั้นยากมาก จึงจำใจต้องจ้าง คนเหล่านี้ไว้เป็นเอาท์ซอร์ส ซึ่งก็เป็นความเสี่ยงของธุรกิจต่อไปอีกว่า เมื่อบุคคลเหล่านั้นล่วงรู้ความลับแล้ว จะแน่ใจได้ยังไงว่าเขาจะไม่ “ขายความลับ”

กฎหมายว่าด้วยความผิดเกี่ยวกับคอมพิวเตอร์ในบ้านเรา ก็มีพูดถึงเรื่อง “ขายรหัสลับ” นี้ไว้ในมาตรา 6 ความดังนี้ครับ

“มาตรา 6 ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการ        ดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหาย                                                                     แก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ”

องค์ประกอบความผิดคือ

1) ผู้ใด

อันนี้ก็คือคนทั่วๆไป ซึ่งได้ล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ซึ่งจะรู้โดยเป็นเรื่องที่ตัวเองต้องดูตามหน้าที่ / เป็นเรื่องของการรู้โดยไม่ชอบด้วยกฎหมายก็ตาม เช่น รู้เพราะว่าเป็นเจ้าหน้าที่ IT ของบริษัท, รู้เพราะตัวเองแฮกเข้าไปในระบบคอมพิวเตอร์จึงได้ล่วงรู้ข้อมูลเหล่านี้ด้วยอย่างนี้เป็นต้น

2) เปิดเผย

หมายความว่าทำ หรืองดเว้นการกระทำใดๆ เพื่อให้ผู้อื่นล่วงรู้มาตรการป้องกันการเข้าถึงนี้ โดยอาจจะ พูด บอกเล่า อธิบาย หรือดำเนินการใดๆ ที่สามารถสื่อสารโดยเปิดเผย

3) เปิดเผยโดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ตัวอย่างเช่น

นายดำ เป็นพนักงาน บริษัท คลินิกเด้งและกระชับ จำกัด โดยหน้าที่จึงล่วงรู้ username และ password ของอีเมลบริษัท เพื่อใช้ในการปฏิบัติหน้าที่ ต่อมาจึงได้ขาย username และ password ให้แก่ ขาว ซึ่งเป็นคนภายนอกและเป็นคู่แข่งบริษัทเพื่อเข้าไปตรวจสอบข้อมูลในอีเมลบริษัท โดย ขาว จะนำข้อมูลทั้งหมดที่ได้ในอีเมลไปใช้ประโยชน์เพื่อการเตรียมแผนการตลาดของตัวเองในปีหน้าล่วงหน้า ก่อนบริษัท คลินิกเด้งและกระชับ จำกัด ดังนี้ ถือว่า     ดำ+ขาว ได้ร่วมกันทำความผิดตามมาตรา 6 นี้สำเร็จแล้ว ทั้งนี้ไม่ว่าขาวจะได้นำข้อมูลนั้น username และ password ไปใช้เข้าอีเมลของบริษัทหรือไม่ก็ตาม ดำ+ขาว ต้องรับโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือโทษปรับอีกไม่เกิน 20,000 บาท หรือทั้งจำทั้งปรับ

4) โดยมิชอบ หมายความว่า

4.1)   ไม่ได้รับความยินยอมให้เปิดเผยแต่ไปเปิดเผย

4.2)   มีอำนาจเปิดเผยบางส่วนแต่ไปเปิดเผยเกินกว่าอำนาจของตัวเอง

4.3)   ไม่มีกฎหมายให้อำนาจให้เปิดเผย แต่ดันทะลึ่งไปเปิดเผย

(คำว่า “โดยมิชอบ” มีความหมายเหมือนกันกับที่ได้อธิบายไว้ในตอน “แฮกเกอร์” ขอให้เปิดอ่านย้อนหลังดู จึงขออนุญาตไม่ลงลึกนะครับ)

ความผิดตามมาตรา 6 นี้ คุณอาจจะคิดว่ามันไกลตัว แต่ความจริงแล้วไม่ใช่เลยครับ มันเป็นเรื่องใกล้ตัวมากๆ อย่างว่า

1)  บริษัทหนึ่งๆ มักจะมี เครื่องมือสื่อสารที่เกี่ยวกับระบบคอมพิวเตอร์นี้ ดังนี้ อีเมล, เฟสบุ๊ค, เว็บไซต์, ไลน์ ฯลฯ เป็นต้น ซึ่งในการทำงานแต่ละวันจะต้องเข้าสู่ระบบคอมพิวเตอร์นี้ ผ่านเครื่องพีซี, โทรศัพท์สมาร์ทโฟน, แท็บเล็ต, ฯลฯ โดยใช้ username และ password ทุกๆ วัน ซึ่งข้อมูลที่ติดต่อกันผ่านระบบที่เรียกว่า อีเมล, เว็บไซต์, ไลน์ นี้ ส่วนใหญ่แล้วเป็นความลับขององค์กรธุรกิจทั้งนั้น และการที่บริษัทกำหนดให้มี username และ password นี้ก็เพื่อเป็นมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์นั่นเอง (บางระบบอาจใช้มาตรการป้องกันการเข้าถึงอย่างอื่นก็ได้ครับ)

2)  คราวนี้การที่คุณรู้ถึง username และ password เพื่อจะสามารถเข้าถึงระบบ อีเมล, เว็บไซต์ เหล่านี้แล้วคุณเปิดเผย username และ password แก่บุคคลใดๆ โดยวิธีการใดๆ ก็ตามแต่ ในลักษณะที่น่าจะเกิดความเสียหายแก่บริษัท เช่น เปิดเผยแก่คู่แข่งทาง  การค้า หรือเปิดเผยแก่บุคคลผู้ซึ่งอาจใช้ username และ password เข้าสู่ระบบคอมพิวเตอร์ของบริษัท ก่อความเสียหายแก่บริษัทได้ เป็นต้น ถือว่าคุณได้ทำผิดตามมาตรา 6 นี้แล้ว

3)  เพราะฉะนั้นคุณต้องให้ความสำคัญในการเก็บข้อมูลเกี่ยวกับ username และ password (หรือมาตรการการใดๆ เพื่อการเข้าถึงระบบคอมพิวเตอร์ อันได้แก่ อีเมล, ไลน์, เว็บไซต์, เฟสบุ๊ค,โปรแกรมที่ออกแบบมาเพื่อใช้ในบริษัทใดบริษัทหนึ่งโดยเฉพาะเป็นต้น) อย่างดี และหากคุณต้องเปิดเผยข้อมูลนี้หรือมาตรการนี้คุณต้องคิดดีๆ ก่อนจะเปิดเผยว่ามันเป็นการเปิดเผยในลักษณะอาจทำให้บริษัทเสียหายมั้ย! ถ้าคำตอบออกมาว่า อาจจะ… อย่างนี้แสดงว่าผิดชัวร์ คุณควรจะต้องหลีกเลี่ยง เป็นดีที่สุดครับ

บรรดาความผิดที่เกิดขึ้นส่วนใหญ่เกิดจาก พนักงาน คือ พนักงานภายในองค์กร หรือเป็นบุคคลภายในระบบที่สามารถเข้าถึงและโจมตีระบบได้ง่าย เพราะอยู่ภายในระบบ ส่วนแรงจูงใจ อาจมีแรงจูงใจจาก

1)  แสดงให้เห็นว่าองค์กรมีจุดอ่อน

2)  แสดงความสามารถของตัวเองเนื่องจากถูกประเมินค่าต่ำเกินไป หรืออาจเกิดความไม่พอใจในการพิจารณาผลงาน (ต้องการโชว์พาว!)

3)  ผลประโยชน์ส่วนตัว เช่น ถูกจ้างจากคู่แข่ง

ดังนั้น เจ้าของธุรกิจทั้งหลาย หรือผู้บริหารควรให้ความสำคัญในเรื่องนี้มากๆ และมองหาแนวทางหรือวิธีป้องกันอย่างไร ให้เหมาะสม เพื่อไม่เปิดช่องให้เกิดโอกาสในการทำผิดอย่างนี้ได้ เพราะหากเกิดขึ้นความเสียหายอาจมากเกินกว่าที่คุณจะยอมรับได้ ตัวอย่างเช่น มีใครซักคนในบริษัทเปิดเผย username และ   password ในการเข้าสู่เว็บไชต์ ของคุณแล้วนำข้อความที่เป็นความผิดเกี่ยวกับพระมหากษัตริย์ (ป.อาญา มาตรา 112) ไปโพสต์ เข้าระบบเว็ปไซต์ โดยใช้ username และ password ที่ได้รับไป โดยคุณไม่สามารถจับมือใครดมได้ รับรองว่าคุณจะได้เข้าไปนั่ง        อ้าปากค้างในคุกหลายสิบปี …เหอๆๆ…

ด้วยความปรารถนาดีอยากให้ทุกท่านใช้คอมพิวเตอร์มีประสิทธิภาพแก่การงานของตัวเอง มีความปลอดภัย และช่วยกันเป็นพลเมืองดี สอดส่องช่วยกันดูแลไม่ให้คนไม่ดีก่อเหตุโดยใช้เครื่องมือสื่อสารที่เราเรียกว่า”ระบบคอมพิวเตอร์” นี้เป็นเครื่องมือก่ออาชญากรรม

หากทำได้จริงๆ อย่างนี้ซิถึงจะเรียกว่า “นักเลงคอมพิวเตอร์” ตัวจริง ไม่ใช่ “นักเลงหัวไม้”