กรณีศึกษาปัญหาจากเทคโนโลยีสารสนเทศธุรกิจออนไลน์
กรณีที่ 1: การเจาะเข้าระบบงาน (Hack) โดยตรงและทำความเสียหายให้กับลูกค้า
กรณีที่ 2
: การดักจับข้อมูลจากสายสัญญาณขณะที่ลูกค้ากระทำธุรกรรม โดยการทำสำเนารหัสจากอุปกรณ์ Skimmer ที่ถูกติดตั้งกับ Machine ที่ใช้ทำธุรกรรม
กรณีที่ 3 : การกระทำให้หลงเชื่อเพื่อให้ลูกค้ากระทำธุรกรรมโดยวิธี โอนเงิน หรือสั่งจ่ายผ่านบัตรเครดิต
กรณีที่ 4 : การเปิดรับและตอบกลับอีเมล์จากผู้ที่ไม่รู้จัก
อาจมีการแฝงไวรัส
กรณีที่ 5 : การดักจับข้อมูลรหัสผ่าน
แล้วนำไปใช้หรือขายต่อ
กรณีที่ 6 : การใช้บริการธนาคารออนไลน์ผ่านร้านอินเตอร์เน็ตคาเฟ่
กรณีที่ 7 : การส่งข้อมูลส่วนตัวหรือข้อมูลทางการเงินให้กับบุคคลอื่นที่ไม่รู้จัก
กรณีที่ 8 : การสั่งซื้อ
In-app purchase
เป็นการสั่งซื้อสินค้าประเภทแพ็คเกจเพิ่มเงิน ทอง เพชร หรือ Item
ต่างๆ ที่ใช้ในเกม แต่เมื่อกดสั่งซื้อชำระผ่านบัตรเครดิต
ก็มีข้อความว่าการซื้อไม่สำเร็จ กรุณาทำรายการใหม่
เมื่อกดลองใหม่ก็มีการเรียกเก็บเงินทุกครั้งที่มีการสั่งซื้อโดยที่เราไม่ได้รับสินค้านั้นๆ
กรณีที่ 9 : คดีระหว่างนายชิโมมูระ (Shimomura) และนายมิทนิค (Mitnick) เกิดขึ้นในวันคริสต์มาส ปี
ค.ศ. 1994 โดยนายชิโมมูระ นักฟิสิกส์ของศูนย์ประมวลผลซุปเปอร์คอมพิวเตอร์สมรรถนะสูง
(San Diego High Performance Supercomputer Center) ณ
เมืองซานิดเอโก (San Diego) เป็นผู้ที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัยในระบบคอมพิวเตอร์
โดยเฉพาะในเรื่องการป้องกันการเจาะเข้ามาในระบบ หลายปีต่อมาเขาได้รวบรวมข้อมูลที่เกี่ยวกับจุดอ่อนของระบบการรักษาความ
ปลอดภัยในระบบต่าง ๆไว้มากมาย รวมทั้งการพัฒนาเครื่องมือที่ใช้ป้องกันการเจาะข้อมูลด้วยในวันคริสต์มาส
ขณะที่นายชิโมมูระเล่นสกีอยู่ก็มีคนแอบเจาะเข้ามาในระบบคอมพิวเตอร์ที่บ้านของ เขาซึ่งมีระบบรักษาความปลอดภัยอย่างแน่นหนา
โดยผู้ลักลอบเข้ามาได้แอบทำสำเนา (Copy) แฟ้มข้อมูลนับสิบแฟ้ม
และมีคำด่าอย่างหยาบคายทิ้งไว้ สาเหตุที่นายชิโมมูระพบว่ามีคนเจาะข้อมูลก็เนื่องจากตัวเขาเองได้ให้เครื่อง
คอมพิวเตอร์ที่บ้านทำสำเนา (Copy) ข้อมูลสำรองโดยอัตโนมัติและนำไปไว้ที่เครื่องซุปเปอร์คอมพิวเตอร์ที่เมือง
ซานดิเอโกด้วย ต่อมานักศึกษาที่ศูนย์ดังกล่าวสังเกตเห็นว่ามีการแก้ไขเปลี่ยนแปลงระบบการ
ล็อกแฟ้มข้อมูล (Log files system) เกิดขึ้น จึงรู้ว่ามีบางสิ่งเกิดขึ้นแล้ว
นักศึกษาคนนั้นจึงรีบไปแจ้งนายชิโมมูระทันที นายชิโมมูระจึงตัดสินใจประกาศต่อสาธารณชนเพื่อเรียกร้องและขอความช่วยเหลือ
ในการจับผู้ร้ายดังกล่าว นายชิโมมูระพยายามวิเคราะห์ถึงจุดอ่อนของระบบของตน และพบว่าการเจาะข้อมูลดังกล่าวเป็นความสามารถของผู้เจาะข้อมูลที่สามารถปลอก
แหล่งที่อยู่ (Source address) ของกลุ่มข้อมูล (Packet)
ที่ถูกส่งไปยังระบบคอมพิวเตอร์ ซึ่งคอมพิวเตอร์บางระบบจะทำการตัดสินใจว่าจะรับคำสั่งจากระบบอื่นที่ส่งชุด
คำสั่งมาหรือไม่ โดยดูจากแหล่งที่อยู่ของข้อมูล (Source address) และอาจจะเป็นที่จุดอ่อน (Vulnerability) ของระบบด้วยก็ได้
นายชิโมมูระมีระบบการรักษาความปลอดภัยอย่างดีเยี่ยม ซึ่งผู้เจาะข้อมูลเข้าไปได้พยายามทำให้กลุ่มข้อมูล
(Packet) มาจากระบบที่สามารถติดต่อได้จริง
นายชิโมมูระได้ตีพิมพ์ผลการวิเคราะห์อย่างละเอียด เพื่อต้องการความร่วมมือกับผู้เชี่ยวชาญต่าง
ๆ ในการจับผู้กระทำผิด และในอีกหนึ่งเดือนต่อมา เหตุการณ์เช่นเดียวกันที่เกิดขึ้นกับนายชิโมมูระก็ได้เกิดขึ้นกับระบบการ
บริการแบบเชื่อมตรง (On-line) ที่เรียกว่า The Well ที่มีผู้นิยมใช้บริการอย่างกว้างขวางในเขตอ่าวซานฟรายซิสโก
ผู้ดูแลระบบ The Well สังเกตว่ามีแฟ้มข้อมูลเข้ามาในจานเก็บข้อมูลที่ใช้สำหรับ
Computer, Freedom, and Privacy (CFP) Group เหตุการณ์ดังกล่าวดูจะไม่ค่อยสมเหตุสมผลนัก
เนื่องจากกลุ่ม CFP ไม่ค่อยได้ใช้งานระบบดังกล่าว
ต่อมานักเขียนโปรแกรมที่ช่วยดูแลกลุ่ม CFP ผู้ซึ่งเคยอ่านเรื่องราวที่เกิดกับนายชิโมมูระสังเกตเห็นว่าแฟ้มข้อมูลที่
หลั่งไหลเข้ามาเหมือนกับแฟ้มข้อมูลที่ถูกขโมยมาจากระบบคอมพิวเตอร์ของนายชิ โมมูระ
เมื่อนายชิโมมูระได้รู้เบาะแสว่าผู้ที่เคยเจาะระบบคอมพิวเตอร์ของตนได้ใช้ วิธีเดียวกันนี้กับระบบ The Well เช่นกัน เขาได้เขียนซอฟต์แวร์เพื่อจับตาดูการทำงานของระบบ The Well และรอว่าเมื่อไรจะมีผู้เจาะเข้ามาอีก โดยการตรวจสอบกลุ่มข้อมูล (Packet) ที่เข้ามาในระบบ The Well รวมทั้งทำการบันทึกการพิมพ์ (Keystrokes) ของผู้แอบเจาะข้อมูล การจับตาดูผู้กระทำผิดครั้งนี้อาจได้รับเบาะแสว่าบุคคลผู้นี้เป็นใคร และจะจับตัวได้อย่างไร หากผู้กระทำผิดเข้ามาเพียงชั่วครู่เดียวก็อาจไม่พบเบาะแสดังกล่าว แต่ก็มีความเชื่อว่าบุคคลที่เคยกระทำความผิดมักจะทำซ้ำเสมอ
เมื่อนายชิโมมูระได้รู้เบาะแสว่าผู้ที่เคยเจาะระบบคอมพิวเตอร์ของตนได้ใช้ วิธีเดียวกันนี้กับระบบ The Well เช่นกัน เขาได้เขียนซอฟต์แวร์เพื่อจับตาดูการทำงานของระบบ The Well และรอว่าเมื่อไรจะมีผู้เจาะเข้ามาอีก โดยการตรวจสอบกลุ่มข้อมูล (Packet) ที่เข้ามาในระบบ The Well รวมทั้งทำการบันทึกการพิมพ์ (Keystrokes) ของผู้แอบเจาะข้อมูล การจับตาดูผู้กระทำผิดครั้งนี้อาจได้รับเบาะแสว่าบุคคลผู้นี้เป็นใคร และจะจับตัวได้อย่างไร หากผู้กระทำผิดเข้ามาเพียงชั่วครู่เดียวก็อาจไม่พบเบาะแสดังกล่าว แต่ก็มีความเชื่อว่าบุคคลที่เคยกระทำความผิดมักจะทำซ้ำเสมอ
อย่างไรก็ตาม เหตุการณ์ที่เคยเกิดขึ้นกับนายชิโมมูระ และ The
Well ได้เกิดซ้ำอีกเป็นครั้งที่สาม
ที่บริษัทโมโตโรล่า (Motorola) ผู้ผลิตชิปรายใหญ่อีกบริษัทหนึ่ง
ซึ่งส่วนใหญ่แล้วบริษัทผู้ผลิตโทรศัพท์มือถือจะเป็นเป้าหมายสำคัญของนักเจาะระบบ
แต่คราวนี้ได้มีการตั้งทีมสอบสวน ซึ่งนอกจากจะใช้โปรแกรมตรวจจับของนายชิโมมูระที่เคยใช้กับระบบ
The Well แล้ว ทีมงานสอบสวนยังพบสำเนาของโปรแกรมควบคุมโทรศัพท์มือถือระบบเซลลูล่าร์หรือ
ไร้สายของโมโตโรล่าด้วย ต่อมาเหตุการณ์แบบเดียวกันนี้ได้ขยายวงกว้างออกไปเกิดกับระบบ
Netcom ซึ่งเป็นบริษัทที่ให้บริการต่อเชื่อมตรง (On-line)
รายใหญ่แห่งหนึ่งในสหรัฐอเมริกา ซึ่งผู้เจาะข้อมูลบังเอิญโชคดีที่สามารถทำสำเนา
(Copy) ข้อมูลที่เป็นหมายเลขเครดิตการ์ดของสมาชิกจาก Netcom
เกือบ 20,000 ราย และผู้ให้บริการรายอื่น ๆ
ด้วย ผู้ใช้บริการระบบ Netcom ในสหรัฐอเมริกาล้วนแต่ได้รับความเดือดร้อนจากนักเจาะข้อมูลตัวฉกาจนี้ทั้งสิ้น
กรณีที่ 10 :
ความไม่ปลอดภัยของข้อมูล ขาดการตรวจสอบการใช้บัตรเครดิตบน Internet ข้อมูลบนบัตรเครดิตอาจถูกดักฟังหรืออ่าน
เพื่อเอาชื่อและหมายเลขบัตรเครดิตไปใช้โดยที่เจ้าของบัตรเครดิตไม่รู้ตัวได้
กรณีที่ 11 : ในกรณีที่ผู้ซื้อและผู้ขายอยู่คนละประเทศกันจะใช้กฎหมายของประเทศใดเป็นหลัก
หากมีการกระทำผิดกฎหมายในการการกระทำการซื้อขายลักษณะนี้
ความยากลำบากในการติดตามการซื้อขายทางInternet อาจทำให้รัฐบาลประสบปัญหาในการเรียกเก็บภาษีเงินได้และภาษีศุลกากร
กรณีที่ 12 : การทำธุรกรรมโดยที่ไม่ทราบแน่ชัดเกี่ยวกับข้อมูลของผู้ที่ติดต่อด้วย
ว่าเป็นผู้บรรลุนิติภาวะหรือไม่ วิกลจริต หรือ เป็นผู้ถูกอนุบาลหรือไม่
และการไม่ทราบแหล่งที่อยู่ที่แท้จริง
กรณีที่ 13 : การฟ้องร้องเป็นไปได้ยากลำบาก
เนื่องจากไม่มีการทำสัญญาซื้อ-ขายเป็นลายลักษณ์อักษร
กรณีที่ 14 : ในการใช้เลขบัตรประชาชนในการทำธุรกรรมซื้อขาย
ถ้ามีการเชื่อมข้อมูลต่างๆโดยยึดเลขบัตรประชาชนเป็นหลัก
อาจทำให้มีการเกิดการล่วงละเมิดข้อมูลส่วนบุคคลได้
กรณีที่ 15 : บริษัท Loxinfo ได้ทำการจัดเก็บข้อมูลบัตรเครดิต
ของลูกค้าที่เข้ามาใช้บริการ e-Commerce แล้วต่อมาได้ถูกนักเจาะระบบข้อมูลชาวอังกฤษเจาะระบบ
และนำข้อมูลดังกล่าวไปเผยแพร่บนอินเทอร์เน็ต
กรณีที่ 16 : บริษัท iPremier
อยู่ใน Seattle, Washington ก่อตั้งขึ้นเมื่อปี
1997 โดยนักศึกษา 2 คนจาก Swartmore
College เป็นบริษัท e-commerce หนึ่งในไม่กี่บริษัทที่ประสบความสำเร็จ
ธุรกิจหลักๆ คือการขายสินค้าหรูหรา หายาก
และเก่าแก่ให้กับลูกค้าชั้นสูงบนอินเตอร์เน็ต เมื่อเริ่มการก่อตั้ง
iPremier สามารถขึ้นเป็นหนึ่งในสองอันดับต้นๆ ของบริษัทที่ทำธุรกิจเดียวกัน
ยอดขายและกำไรเพิ่มขึ้นอย่างรวดเร็ว เช่นเดียวกับราคาหุ้นของบริษัท ทันทีที่บริษัทจดทะเบียนในตลาดหลักทรัพย์เมื่อปลายปี
1998 ราคาหุ้นพุ่งขึ้นเป็น 3 เท่า
เมื่อพิจารณาแล้วดูเหมือนว่า iPremier เป็นบริษัทที่มีการทำงานโดยการพัฒนารูปแบบทางธุรกิจ
และกลยุทธ์เป็นอย่างดี แต่อย่างไรก็ตาม
จุดอ่อนจากการที่บริษัทจัดตั้งโครงสร้างพื้นฐาน และการดำเนินการทางด้านระบบสารสนเทศที่ไม่ดี
ทำให้เกิดช่องโหว่ อีกทั้งไม่ได้ตระหนักถึงจนกระทั่งเกิดปัญหาขึ้น
หลังก่อตั้งบริษัทมาเกือบ 9 ปี วันที่ 12 มกราคม 2009 iPremier ได้เผชิญปัญหาหลักที่ใหญ่
และท้าทาย Website ของ iPremier ไม่สามารถเข้าได้
และมีความเป็นไปได้ที่จะถูกโจมตีจากการถูกเจาะเข้าสู่ระบบ เป็นเวลาประมาณ 1
ชั่วโมงครึ่ง จากข้อมูลในกรณีศึกษานี้ไม่สามารถบอกได้ว่าการโจมตีเกิดขึ้นจากการสุ่มหรือ
ตั้งใจเฉพาะเจาะจง ทั้งนี้ลูกค้าของ iPremier ไม่สามารถเข้าถึง
website ได้ และมีความเป็นไปได้มากที่จะเกิดช่องโหว่ทางด้านความปลอดภัย
สิ่งเหล่านี้อาจทำลายภาพพจน์ ชื่อเสียง และความน่าเชื่อถือของบริษัท อีกหนึ่งปัญหาหลักจากกรณีศึกษาคือ
iPremier มีการจ้างบริการการดำเนินงาน และระบบสารสนเทศอย่างเต็มรูปแบบจากภายนอกชื่อ
Qdata ซึ่งดูเหมือนว่า มาตรฐานและคุณภาพการบริการอยู่ในเกณฑ์ที่ต่ำ
เมื่อเทียบกับระดับของคุณภาพและบริการที่ลูกค้า iPremier สมควรได้รับ
กรณีที่ 17 : การซื้อ-ขายสินค้ากัน
แต่สินค้าที่ได้รับไม่ตรงตามข้อตกลง ตามที่สั่งไว้
กรณีที่ 18 : การตัดเงินผ่านบัตรเครดิต/เดบิตซ้ำซ้อน
หรือตัดเกินยอดที่เป็นจริง
กรณีที่ 19 : การเขียนแสดงข้อความอันเป็นเท็จเพื่อขายสินค้าหรือ
บริการ และเมื่อมีคนเข้าไปทำธุรกรรมและซื้อสินค้าเหล่านั้น แต่ไม่ได้รับสินค้า
กรณีดังกล่าว จึงเกิดปัญหา และสร้างความเสียหายให้แก่ผู้ซื้อสินค้าเป็นจำนวนมาก
และความเสียหายดังกล่าวอาจเป็นเงินจำนวนสูง ถ้าสินค้านั้นเป็นที่นิยม เช่น ตุ๊กตาที่สั่งจากต่างประเทศ(เฟอร์บี้,บลายธ์)
หรือสินค้าพรีออร์เดอร์นำเข้าจากต่างประเทศต่างๆ เป็นต้น
บรรณานุกรม
http://webcache.googleusercontent.com/search?q=cache:pDi5xQYkVS8J:www.coj.go.th/iad/userfiles/file/E-Payment.doc+&cd=6&hl=th&ct=clnk&gl=th
http://elib.coj.go.th/Article/d47_2_2.pdf
http://jamlong-patthong.blogspot.com/2013/05/9-17.html
web.yru.ac.th/~pimonpun/4123506/.../Data%20Protection%20Law.doc
http://knowledge.vayoclub.com/?p=791
http://www.siamrath.co.th/web/?q=ปัญหาการฉ้อโกงทาง-online
ไม่มีความคิดเห็น:
แสดงความคิดเห็น