กรณีศึกษา 17

กรณีศึกษา 17 ความปลอดภัยของบัตรเครดิตบนระบบอินเทอร์เน็ต 
          การเข้ารหัสสำหรับป้องกันบัตรเครดิตบนระบบอินเทอร์เน็ตนับว่าเป็นเรื่องสำคัญมา เพราะว่าจะเป็นการสร้างความเชื่อมั่นให้แก่ผู้ที่ทำธุรกรรม (Trancaction) ต่าง ๆ ผ่านเครือข่ายได้อย่างปลอดภัยและสบายใจอย่างไรก็ตามจากการประชุมทางวิชาการด้านการรักษาความปลอดภัยบนเครือข่ายคอมพิวเตอร์ที่ Amsterdam ในช่วงต้นปี ค.ศ.2000 พบว่าได้มีขั้นตอนวิธี (Algorithm) ใหม่ทางด้านคณิตศาสตร์ที่ดีกว่าเดิม สามารถนำมาใช้เขียนเป็นโปรแกรมสำหรับการเข้าและถอดรหัสบัตรเครดิต และไปรษณีย์อิเล็กทรอนิกส์ในระดับ 155 หลัก แม้ว่าในยุโรปการเข้ารหัสจะเข้าได้ถึง 155 หลัก (RSA-155 Code) ที่เชื่อว่าปลอดภัยแล้วก็ตาม แต่ในลักษณะเช่นนี้สำหรับข้อมูลที่มีความสำคัญและเป็นส่วนตัวมาก ๆ นั้นควรต้องได้รับการเข้ารหัสและพัฒนาวิธีการเข้ารหัสให้ซับซ้อนมากยิ่งขึ้นไปอีกเรื่อย ๆ ทั้งนี้เป็นเพราะว่าวิธีการเข้ารหัสจำนวน 155 หลักดังกล่าวได้มีผู้ที่ทำการแกะรหัสได้แล้วนั่นเอง ท่านทราบหรือไม่ว่าการเข้ารหัสข้อมูลโดยทั่วไปนั้นสามารถทำได้อย่างไร มีความแยบยลเพียงใด และมีความน่าเชื่อถือได้มากน้อยแค่ไหน สิ่งเหล่านี้ล้วนเป็นส่วนสำคัญที่ต้องพิจารณาให้ละเอียด
การเข้ารหัสที่ได้รับความนิยม ได้แก่ การเข้ารหัส RSA หลักหารสำคัญที่รหัส RSA ชนิด 155 หลักใช้กันอยู่ในยุโรปก็คือ ผู้ส่งข่าวสารที่เป็นความลับไปให้ผู้รับปลายทางนั้นจะได้รับการเข้ารหัสข่าวสารก่อนส่งออกไป และใช้คีย์สาธารณะ (Public key) ลองพิจารณาข้อมูลที่เข้ารหัสไว้จำนวน 155 หลัก แบบ RSA นั้นว่ามีลักษณะอย่างไร ตัวอักษร 155 ตัวนั้นจะเป็นผลคูณที่มาจากจำนวนเฉพาะ (Prime) 2 จำนวน และทำการแปลงข้อความปกติ (Plaintext) ให้เป็นข้อความที่เข้ารหัส (Ciphertext) ต่อมาเมี่อต้องการที่ถอดรหัสข้อความดังกล่าวก็ต้องรู้ตัวประกอบที่เป็นเลขจำนวนเฉพาะ (Prime) 2 จำนวนนั้นด้วย โดยทั่วไปแล้วในการเข้ารหัสแบบ 155 หลัก เป็นที่ยอมรับและเชื่อถือกันมาเป็นเวลานานแล้วว่าปลอดภัย เนื่องจากการที่จะแยกตัวประกอบตัวเลขชุดหนึ่งซึ่งมีจำนวน 155 ตัวนั้นในทางปฏิบติถือว่าเกินขีดความสามารถของคนเรา
อย่างไรก็ตาม เมื่อ 2 ปีผ่านมาได้มีกลุ่มนักวิจัยซึ่งนำโดยศาสตราจารย์ Herman Te Ricle จากศูนย์วิจัยด้านคณิตศาสตร์และวิทยาการคอมพิวเตอร์ (Center of Mathematics and Computer Science) ในเมือง Amsterdam ประเทศเนเธอร์แลนด์ ได้ประสบความสำเร็จในการแยกตัวประกอบของเลขจำนวน 180 หลัก โดยใช้เทคนิคใหม่ทางคณิตศาสตร์ซึ่งได้ทำการจัดตัวเลขให้เป็นกลุ่มหรือเซ็ต (Set) ที่เรียกว่า กลุ่ม Cunning Ham Number ซึ่งมีข้อดี ก็คือมีความง่ายกว่าวิธีการแยกตัวประกอบตามวิธีดั้งเดิม จากหลักการนี้เองทีมงานของศูนย์วิจัยดังกล่าวได้นำไปปรับปรุงและเขียนโปรแกรมเพื่อหาเลขจำนวนเฉพาะ (Prime) ที่เป็นตัวประกอบของตัวเลขที่เราต้องการพิจารณาในขณะเดียวกันทีมผู้วิจัยก็ได้รับความร่วมมือจากบริษัทรายใหญ่ด้านซอฟต์แวร์ นั่นคือบริษัทไมโครซอฟต์ (Microsoft) นอกจากนั้นยังได้รับการสนับสนุนจากบริษัท Sun Microsystem ด้วย และได้ใช้ความพยายามในการถอดรหัสเลขจำนวนดังกล่าวอยู่เป็นเวลานานถึง 5 เดือน ด้วยการประมวลผลบนเครื่องไมโครคอมพิวเตอร์ที่ต่อคู่ขนานกันจำนวน 300 เครื่อง และนำซุปเปอร์คอมพิวเตอร์ (Supercomputer) Cray 916 จำนวน 1 เครื่อง เข้ามาช่วยคำนวณด้วยตัวอย่างของการประมวลเพื่อหาตัวประมวลเพื่อหาตัวประกอบ 2 จำนวนที่เป็นตัวเลขจำนวนเต็มจำเพาะ (Prime) ของเลข 155 หลัก เช่น
(1094173864157052742180970732204035761200373294544920599091384213147634998428893438471799725789126733249762575289978183 3797076537244027146743531593354333897) 

= (3959282974110577205419657379167590071656780803806680334193 3521790711307779) X
(0348838016845482092722036001287867920795857598929152227060 8237193062808643)
เมื่อข้อมูลที่เข้ารหัสจำนวน 155 หลักถูกแกะรหัสออกได้เช่นนี้ ผู้ใช้บัตรเครดิตสำหรับซื้อขายสินค้าผ่านระบบอินเทอร์เน็ตหรือที่เรียกว่า การค้าอิเล็กทรอนิกส์ (E-commerce) นั้นต่างพากันกังวลว่าหากมีใครสักคนที่ไม่หวังดีลักลอบเข้ามาดักดู และแอบแกะรหัสบัตรเครดิตของตนเองจะทำอย่างไร ทั้งนี้ผู้เชี่ยวชาญด้านรหัสลับกล่าวว่า รหัสลับในบัตรเครดิตนั้นจะใช้ได้ดีในช่วงประมาณ 2-3 ปี เท่านั้น ซึ่งหลักจากช่วงเวลาดังกล่าวแล้ว รหัสลับที่มีอยู่นั้นถือว่าไม่ปลอดภัยอีกต่อไป เนื่องจากบรรดากลุ่มนักก่อกวนคอมพิวเตอร์ (Hacker) จะทำการถอดรหัสได้ ท่านผู้อ่านสงสัยว่าจะมีวิธีการอื่นใดอีกหรือไม่ที่จะทำให้ข้อมูลที่ได้ส่งออกไป หรือบัตรเครดิตของเรามีความปลอดภัยมากยิ่งขึ้นกว่านี้ อย่างไรก็ดีการเข้ารหัสข้อมูลแบบ RSA จำนวน 155 หลักนั้น หากพิจารณาในระยะยาวแล้วจะพบว่าเป็นรหัสที่สั้นเกินไป และไม่เหมาะที่จะใช้สำหรับการค้าอิเล็กทรอนิกส์ (E-commerce)
สำหรับระบบการค้าอิเล็กทรอนิกส์ (E-commerce) ที่ใช้กันอยู่ในปัจจุบันจะใช้มาตรฐานการเข้ารหัสข้อมูลด้านการค้าตามแบบของสหรัฐอเมริกา โดยใช้การเข้ารหัสข้อมูลแบบ 232 หลัก และสำหรับข้อมูลด้านธุรกรรม (Transaction) ต่างๆ ที่ผ่านระบบอินเทอร์เน็ตที่ใช้ในหน่วยงานรัฐบาลและด้านการทหารนั้นจำเป็นต้องให้ความปลอดภัยในระดับที่สูงกว่าปกติ ดังนั้นการเข้ารหัสควรต้องเป็นอย่างน้อย 309 หลัก มีข้อมูลยืนยันจากศาสตราจารย์ Herman Te Ricle ซึ่งเป็นผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูล เขาได้พยายามทดลองถอดรหัสข้อมูลทั้งแบบ 232 หลัก และ 309 หลัก แต่ก็ยังไม่ประสบความสำเร็จ เขาได้สรุป การจะถอดรหัสข้อมูลชนิด 232 หลักคงต้องใช้เวลาอีกไม่น้อยกว่า 25 ปีจึงจะสำเร็จ

ปัญหาและข้ออภิปราย
1. จงอภิปรายสภาพทั่วไป ปัญหาและอุปสรร พร้อมทั้งความนิยมของการค้าอิเล็กทรอนิกส์ (E-commerce) ในประเทศไทยว่าเป็นอย่างไร
ตอบ ปัญหาและอุปสรรค คือ ต้องมีระบบรักษาความปลอดภัยที่มีประสิทธิภาพ 2.ประเทศของผู้ซื้อและผู้ขายจำเป็นต้องมีกฎหมายรองรับอย่างมีประสิทธิภาพ 3.การดำเนินการด้านภาษีต้องชัดเจน 4.ผู้ซื้อและผู้ขายจำเป็นต้องมีความรู้พื้นฐานในเทคโนโลยีอินเตอร์เน็ต
E-Commerce ในประเทศไทย คือ การดำเนินธุรกิจการค้าหรือการซื้อขายบนระบบเครือข่ายอินเตอร์เน็ต โดยผู้ซื้อ (Customer) สามารถดำเนินการ เลือกสินค้า คำนวณเงิน ตัดสินใจซื้อสินค้า โดยใช้วงเงินในบัตรเครดิต ได้โดยอัตโนมัติ ผู้ขาย (Business

2. จงนำเสนอกลยุทธ์ทางด้านการตลาดของการค้าอิเล็กทรอนิกส์ (E-commerce) โดยให้ยกตัวอย่างกรณีศึกษาสินค้าที่แตกต่างกัน 2 ชนิดที่นำมาทำการซื้อขายผ่านเว็บ (Web)
ตอบ 

(1)สินค้าดิจิตอล เช่น ซอฟท์แวร์ เพลง วิดีโอ หนังสือ ดิจิตอล เป็นต้น ซึ่งสามารถส่งสินค้าได้โดยผ่านอินเตอร์เนต
(2)สินค้าที่ไม่ใช่ดิจิตอล เช่น สินค้าหัตถกรรม สินค้าศิลปชีพ เสื้อผ้า เครื่องนุ่งห่ม เครื่องหนัง เครื่องประดับ เครื่องจักรอุปกรณ์ เป็นต้น ซึ่งต้องส่งสินค้าทางพัสดุภัณฑ์ ผ่านไปรษณีย์หรือบริษัทรับส่งพัสดุภัณฑ์

3. จงอภิปรายการเข้ารหัสแบบ RSA และแบบอื่น ๆที่ท่านคิดว่าน่าจะดีกว่าแบบ RSA สำหรับที่จะดูแลรักษาข้อมูลของท่าน (อาจจะค้นคว้าเพิ่มเติมจากตำราอื่น ๆ)
ตอบ การเข้ารหัสแบบกุญแจอสมมาตร (Public-key cryptography) เป็นการเข้ารหัสที่นิยมใช้กันอย่างแพร่หลายในการทำธุรกรรมอิเล็กทรอนิคส์ เช่นการยืนยันตัวตนด้วยระบบลายเซ็นอิเล็กทรอนิคส์ (Digital signature) และการค้าผ่านอินเตอร์เน็ต (e-commerce) โดยการเข้ารหัสจะต้องมี public key และ private key ซึ่งสร้างจากตัวเลขที่สุ่มขึ้นมา และนำมาผ่านขั้นตอนของ RSA

กรณีศึกษา 16

กรณีศึกษา 16 คดีระบบความปลอดภัยระหว่างนายชิโมมูระ และนายมิทนิค ณ เมื่อ ซานดิเอโก 
          คดีระหว่างนายชิโมมูระ (Shimomura) และนายมิทนิค (Mitnick) เกิดขึ้นในวันคริสต์มาส ปี ค.ศ. 1994 โดยนายชิโมมูระ นักฟิสิกส์ของศูนย์ประมวลผลซุปเปอร์คอมพิวเตอร์สมรรถนะสูง (San Diego High Performance Supercomputer Center) ณ เมืองซานิดเอโก (San Diego) เป็นผู้ที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัยในระบบคอมพิวเตอร์ โดยเฉพาะในเรื่องการป้องกันการเจาะเข้ามาในระบบ หลายปีต่อมาเขาได้รวบรวมข้อมูลที่เกี่ยวกับจุดอ่อนของระบบการรักษาความปลอดภัยในระบบต่าง ๆไว้มากมาย รวมทั้งการพัฒนาเครื่องมือที่ใช้ป้องกันการเจาะข้อมูลด้วยในวันคริสต์มาสขณะที่นายชิโมรูระเล่นสกีอยู่ก็มีคนแอบเจาะเข้ามาในระบบคอมพิวเตอร์ที่บ้านของเขาซึ่งมีระบบรักษาความปลอดภัยอย่างแน่นหนา โดยผู้ลักลอบเข้ามาได้แอบทำสำเนา (Copy) แฟ้มข้อมูลนับสิบแฟ้ม และมีคำด่าอย่างหยาบคายทิ้งไว้ สาเหตุที่นายชิโมมูระพบว่ามีคนเจาะข้อมูลก็เนื่องจากตัวเขาเองได้ให้เครื่องคอมพิวเตอร์ที่บ้านทำสำเนา (Copy) ข้อมูลสำรองโดยอัตโนมัติและนำไปไว้ที่เครื่องซุปเปอร์คอมพิวเตอร์ที่เมืองซานดิเอโกด้วย ต่อมานักศึกษาที่ศูนย์ดังกล่าวสังเกตเห็นว่ามีการแก้ไขเปลี่ยนแปลงระบบการล็อกแฟ้มข้อมูล (Log files system) เกิดขึ้น จึงรู้ว่ามีบางสิ่งเกิดขึ้นแล้ว นักศึกษาคนนั้นจึงรีบไปแจ้งนายชิโมมูระทันที
นายชิโมมูระจึงตัดสินใจประกาศต่อสาธารณชนเพื่อเรียกร้องและขอความช่วยเหลือในการจับผู้ร้ายดังกล่าว นายชิโมมูระพยายามวิเคราะห์ถึงจุดอ่อนของระบบของตน และพบว่าการเจาะข้อมูลดังกล่าวเป็นความสามารถของผู้เจาะข้อมูลที่สามารถปลอกแหล่งที่อยู่ (Source address) ของกลุ่มข้อมูล (Packet) ที่ถูกส่งไปยังระบบคอมพิวเตอร์ ซึ่งคอมพิวเตอร์บางระบบจะทำการตัดสินใจว่าจะรับคำสั่งจากระบบอื่นที่ส่งชุดคำสั่งมาหรือไม่ โดยดูจากแหล่งที่อยู่ของข้อมูล (Source address) และอาจจะเป็นที่จุดอ่อน (Vulnerability) ของระบบด้วยก็ได้ นายชิโมมูระมีระบบการรักษาความปลอดภัยอย่างดีเยี่ยม ซึ่งผู้เจาะข้อมูลเข้าไปได้พยายามทำให้กลุ่มข้อมูล (Packet) มาจาระบบที่สามารถติดต่อได้จริง
กลุ่มข้อมูล (Packet) คือกลุ่มหรือส่วนของข้อมูลที่ถูกส่งมาจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง นอกจากนั้นยังสามารถส่งจากระบบหนึ่งไปยังอีกระบบหนึ่งได้โดยเลือกเส้นทางที่ดีที่สุดบนเครือข่ายอินเทอร์เน็ตและที่อยู่ (Address) ที่แนบไปกับกลุ่มข้อมูล (Packet) ซึ่งจะทำการตรวจสอบโดยโพรโทคอล (Protocol) ที่ใช้สำหรับเครือข่ายอินเทอร์เน็ต ที่เรียกว่า อินเทอร์เน็ต โพรโทคอล [Internet Protocol (IP)] และจุดนี้เองก็เป็นจุดอ่อนของระบบที่นายชิโมมูระมีอยู่ และดูเหมือนว่าจะเป็นคำสั่งที่มาจากเครื่องคอมพิวเตอร์ที่มีขีดความสามารถอ่านไฟล์ (File) ข้อมูลของนายชิโมมูระได้ เนื่องจากคอมพิวเตอร์ไม่มีอุปกรณ์ดักรับฟังคำสั่งจากผู้เจาะข้อมูล ถูกส่งมายังระบบ ระบบจะส่งคำตอบรับไปยังระบบที่ส่งกลุ่มข้อมูลมา เพื่อยืนยันว่าได้รับกลุ่มข้อมูลแล้ว โดยวิธีนี้ทั้งสองระบบจะทำพร้อมกัน (Synchronize) การส่งผ่านข้อมูลระหว่างกันโดยใช้เลขลำดับ (Sequence number) ที่ตรงกับกลุ่มข้อมูลที่ส่งมา
นายชิโมมูระได้ตีพิมพ์ผลการวิเคราะห์อย่างละเอียด เพื่อต้องการความร่วมมือกับผู้เชี่ยวชาญต่าง ๆ ในการจับผู้กระทำผิด และในอีกหนึ่งเดือนต่อมา เหตุการณ์เช่นเดียวกันที่เกิดขึ้นกับนายชิโมมูระก็ได้เกิดขึ้นกับระบบการบริการแบบเชื่อมตรง (On-line) ที่เรียกว่า The Well ที่มีผู้นิยมใช้บริการอย่างกว้างขวางในเขตอ่าวซานฟรายซิสโก ผู้ดูแลระบบ The Well สังเกตว่ามีแฟ้มข้อมูลเข้ามาในจานเก็บข้อมูลที่ใช้สำหรับ Computer, Freedom, and Privacy (CFP) Group เหตุการณ์ดังกล่าวดูจะไม่ค่อยสมเหตุสมผลนัก เนื่องจากกลุ่ม CFP ไม่ค่อยได้ใช้งานระบบดังกล่าว ต่อมานักเขียนโปรแกรมที่ช่วยดูแลกลุ่ม CFP ผู้ซึ่งเคยอ่านเรื่องราวที่เกิดกับนายชิโมมูระสังเกตเห็นว่าแฟ้มข้อมูลที่หลั่งไหลเข้ามาเหมือนกับแฟ้มข้อมูลที่ถูกขโมยมาจากระบบคอมพิวเตอร์ของนายชิโมมูระ
เมื่อนายชิโมมูระได้รู้เบาะแสว่าผู้ที่เคยเจาะระบบคอมพิวเตอร์ของตนได้ใช้วิธีเดียวกันนี้กับระบบ The Well เช่นกัน เขาได้เขียนซอฟต์แวร์เพื่อจับตาดูการทำงานของระบบ The Well และรอว่าเมื่อไรจะมีผู้เจาะเข้ามาอีก โดยการตรวจสอบกลุ่มข้อมูล (Packet) ที่เข้ามาในระบบ The Well รวมทั้งทำการบันทึกการพิมพ์ (Keystrokes) ของผู้แอบเจาะข้อมูล การจับตาดูผู้กระทำผิดครั้งนี้อาจได้รับเบาะแสว่าบุคคลผู้นี้เป็นใคร และจะจับตัวได้อย่างไร หากผู้กระทำผิดเข้ามาเพียงชั่วครู่เดียวก็อาจไม่พบเบาะแสดังกล่าว แต่ก็มีความเชื่อว่าบุคคลที่เคยกระทำความผิดมักจะทำซ้ำเสมอ
อย่างไรก็ตาม เหตุการณ์ที่เคยเกิดขึ้นกับนายชิโมมูระ และ The Well ได้เกิดซ้ำอีกเป็นครั้งที่สาม ที่บริษัทโมโตโรล่า (Motorola) ผู้ผลิตชิปรายใหญ่อีกบริษัทหนึ่ง ซึ่งส่วนใหญ่แล้วบรำทผู้ผลิตโทรศัพท์มือถือจะเป็นเป้าหมายสำคัญของนักเจาะระบบ แต่คราวนี้ได้มีการตั้งทีมสอบสวน ซึ่งนอกจากจะใช้โปรแกรมตรวจจับของนายชิโมมูระที่เคยใช้กับระบบ The Well แล้ว ทีมงานสอบสวนยังพบสำเนาของโปรแกรมควบคุมโทรศัพท์มือถือระบบเซลลูล่าร์หรือไร้สายของโมโตโรล่าด้วย ต่อมาเหตุการณ์แบบเดียวกันนี้ได้ขยายวงกว้างออกไปเกิดกับระบบ Netcom ซึ่งเป็นบริษัทที่ให้บริการต่อเชื่อมตรง (On-line) รายใหญ่แห่งหนึ่งในสหรัฐอเมริกา ซึ่งผู้เจาะข้อมูลบังเอิญโชคดีที่สามารถทำสำเนา (Copy) ข้อมูลที่เป็นหมายเลขเครดิตการ์ดของสมาชิกจาก Netcom เกือบ 20,000 ราย และผู้ให้บริการรายอื่น ๆ ด้วย ผู้ใช้บริการระบบ Netcom ในสหรัฐอเมริกาล้วนแต่ได้รับความเดือดร้อนจากนักเจาะข้อมูลตัวฉกาจนี้ทั้งสิ้น
ในที่สุดเจ้าหน้าที่ตำรวจสากลของสหรัฐอเมริกา (F.B.I) ก็ได้ยื่นมือเข้ามาช่วยเหลือ และได้รับอำนาจให้สามารถดักฟังโทรศัพท์ที่เข้ามายังเครือข่ายระบบ Netcom ได้ แต่ในตอนแรกวิธีการนี้ไม่ค่อยจะได้ผลมากนัก เนื่องจากนักเจาะระบบได้ทำการควบคุมศูนย์สลับสวิทช์ (Switch) ไว้ เพื่อที่จะทำให้ดูเหมือนว่าตนได้รับโทรศัพท์มากจากที่อื่น ๆ ในสหรัฐอเมริกา
เมื่อนายชิโมมูระเฝ้าติดตามพฤติกรรมของนักเจาะข้อมูลคนนี้ เขาก็ยิ่งเกิดความสงสัยว่าผู้บุกรุกกำลังทิ้งร่องรอยไว้ในรูปแบบของอิเล็กทรอนิกส์ ยิ่งนานวันร่องรอยต่าง ๆ ก็ยิ่งปรากฏชัดมากขึ้นเรื่อย ๆ นายชิโมมูระเริ่มพุ่งเป้าหมายไปให้ความสนใจและสงสัยชายหนุ่มคนหนึ่งที่ชื่อว่า เคลวิน มิทนิค (Kevin Mitnick) จะเป็นผู้บุกรุก แต่ก็เป็นเพียงแค่ความสงสัยเท่านั้นยังไม่มีหลักฐานใด ๆ ทั้งสิ้นที่จะพิสูจน์ให้ทราบได้
นายมิทนิคในขณะนั้นอายุ 31 ปี กว่าครึ่งชีวิตของเขาได้ทำการเจาะข้อมูลตามที่ต่าง ๆ นับครั้งไม่ถ้วนถึงแม้ว่าเขาจะเจาะข้อมูลมาได้มากมายก็ตาม แต่เขาก็ไม่เคยนำข้อมูลไปหาประโยชน์ทางการเงินใดๆ
นายมิทนิค ทำการเจาะข้อมูลเหมือนกับคนติดยาเสพติด และเขาไม่สามารถเลิกมันได้ ยิ่งเข้าไปในระบบอินเทอร์เน็ตครั้งใดก็ยิ่งพบว่ามีจุดอ่อนให้ทอลองความสามารถในการเจาะข้อมูลของเขาเสมอ แต่ท้ายที่สุดความพยายามของทีมงานซึ่งจับตาดูนักเจาะข้อมูลเริ่มได้ข้อมูลผู้ต้องสงสัย ซึ่งเริ่มปรากฏให้เห็นชัดว่ามักมีสัญญาณเรียกจากเครื่องโมเด็มของโทรศัพท์เคลื่อนที่ แม้ว่าการเรียกเข้าดังกล่าวจะเคลื่อนที่ผ่านสวิทช์ของโทรศัพท์เคลื่อนที่ (Cellular phone switch) ที่ดูแลโดยบริษัทสปรินซ์ (Sprint) ในเมือง Raleigh มลรัฐ North Carolina การเปรียบเทียบอย่างระมัดระวังระหว่างข้อมูลที่ได้จากบริษัทสปรินซ์ (Sprint) และข้อมูลที่ได้จาก Netcom ทำให้ได้ร่องรอยของนายมิทนิค ต่อมาเจ้าหน้าที่ตำรวจใช้อุปกรณ์ตามจับแบบเซลลูล่าร์เพื่อที่จะตามนายมิทนิค ไปยังอพาร์ตเม้นที่ชื่อว่า Player Court ในที่สุด F.B.I ก็รู้แหล่งที่พักของนายมิทนิค
ในกลางดึกของวันที่ 16 กุมภาพันธ์ หลังจากที่นายชิโมมูระถูกเจาะข้อมูลเป็นครั้งแรกไม่ถึง 2 เดือน ตำรวจ F.B.I ก็ได้บุกเข้าจับตัวนายมิทนิคที่อพาร์ตเม้นท์ดังกล่าว เพื่อนำตัวมาดำเนินคดีต่อไป
จากเหตุการณ์ข้างต้นหากจะพิจารณาในกรณีของประเทศไทยจะเห็นได้ว่า อาชญากรรมทางคอมพิวเตอร์นั้นมิใช่จะเป็นมหันจภัยร้ายใหม่ที่คุกคามทั้งความมั่นคงภายในและภายนอกประเทศไทยเท่านั้น หากแต่เกิดขึ้นมานานแล้ว เพียงแต่ในยุคปัจจุบันได้มีการเปลี่ยนแปลงรูปแบบไปตามเทคโนโลยีที่เกิดขึ้นซึ่งเป็นยุคดิจิตอลและยากต่อการมองเห็นและตรวจสอบ ดังนั้นเพื่อผลประโยชน์และความมั่นคงของชาติ ภาครัฐควรต้องมีบทบาทสำคัญไม่แพ้ภาคเอกชนในการที่จะป้องกันปราบปรามอาชญากรรมดังกล่าว ซึ่งสามารถสรุปได้ดังต่อไปนี้
1. รัฐบาลไทย ควรหามาตรการเร่งด่วนเพื่อหาทางปราบปรามอาชญากรรมทางคอมพิวเตอร์อย่างเป็นระบบ เช่น มาตรการทางกฎหมาย มาตรการทางสังคม รวมทั้งการให้การศึกษากับประชาชนถึงพิษภัยและวิธีการป้องกันอาชญากรรมดังกล่าว
2. รัฐควรเร่งให้มีหน่วยงานกลางที่รับผิดชอบในการป้องกันและปราบปราม การค้นคว้าวิจัยและการรักษาความปลอดภัยบนเครือข่ายของสารสนเทศแห่งชาติ [National Information Infrastructure (NII)]
3. รัฐควรเร่งให้มีการพัฒนาและสร้างเสริมจริยธรรมในการใช้โครงสร้างพื้นฐานสารสนเทศหรือเครือข่ายคอมพิวเตอร์ โดยอาจเริ่มจากโรงเรียน ชุมชน และวงการวิชาชีพ เป็นต้น

ปัญหาและข้ออภิปราย
1. ในวันที่ 8 ธันวาคม ค.ศ. 1997 เวลาประมาณ 7.00 น. มีนักก่อกวนคอมพิวเตอร์ (Hacker) ได้เจาะเข้าไปในระบบรักษาความปลอดภัยของ Yahoo และแฮกเกอร์ (Hacker) ได้แจ้งว่าใครก็ตามที่เข้ามาใช้บริการของ Yahoo ในเดือนธันวาคม จะต้องติดไวรัสที่ชื่อว่า “ไวรัสระเบิดตรรก (Logic bomb/virus)” โดยมีผู้ใช้บริการของ Yahoo ประมาณ 26 ล้านคนต่อเดือน และไวรัสดังกล่าวได้รับการกำหนดให้ทำลายระบบคอมพิวเตอร์นับล้านเครื่องทั่วโลก ถามว่านักศึกษารู้จักไวรัสระเบิด (Logic bomb/virus) หรือไม่ จงอธิบายการทำงานของไวรัสดังกล่าว
ตอบ รู้จัก หรือเรียกว่า ”Time Bomb” เป็นไวรัสที่จะทำงานเมื่อถึงวันที่ที่ระบุไว้ เช่น ไวรัส Michelangelo จะทำงานในวันที่ 6 มีนาคมของทุกปี ไวรัสชนิดนี้ไม่มีการทำสำเนาตัวเองไปฝังใน file หรือหน่วยความจำที่อื่น แต่จะทำงานเมื่อถึงเวลาแล้วเท่านั้น

2. จากกรณีศึกษา นักศึกษาจะพบว่านายชิโมมูระได้พยายามรักษาความปลอดภัยของระบบคอมพิวเตอร์อย่างยอดเยี่ยม แต่ก็มีผู้ไม่ประสงค์ดีบุกรุกเข้ามาได้ ดูเหมือนว่าจะไม่มีวิธีการใดที่จะรักษาความปลอดภัยของข้อมูลในหน่วยงานให้ปลอดภัยที่สุดถึงร้อยเปอร์เซ็นต์ กำหนดให้นักศึกษาอภิปรายว่า นอกจากทุกคนภายในองค์การจะต้องช่วยกันดูแลรักษาความปลอดภัยของระบบคอมพิวเตอร์แล้ว ภาครัฐโดยเฉพาะตำรวจควรจะต้องสอดส่องดูแลข้อมูลสารสนเทศที่ไม่พึงประสงค์ หรือติดตามหาผู้ร้ายเหมือนกับตำรวจ F.B.I. ของสหรัฐอเมริกาหรือไม่ และประเทศไทยควรมีตำรวจ IT ด้วยหรือไม่ จงแสดงความคิดเห็น
ตอบ ภาครัฐและตำรวจควรจะต้องสอดส่องดูแลข้อมูลสารสนเทศที่ไม่พึงประสงค์ และติดตามหาผู้ร้ายเหมือนกับตำรวจ F.B.I. ของสหรัฐอเมริกา ประเทศไทยควรมีตำรวจ IT เพราะ ปัจุบันมีการขโมยข้อมูลหรือมีผู้ไม่ประสงค์ดีบุกรุกเข้ามานำข้อมูลไปเผยแพร่ หรืออาจเป็นข้อมูลส่วนตัว ทำให้บุคคลเกิดความเสียหายทางชื่อเสียง จึงควรที่จะมีตำรวจ IT ในประเทศไทย

3. นอกจากซอฟต์แวร์ที่ใช้ตรวจหาและฆ่าไวรัส (Virus) แล้ว ในหน่วยงานของท่านมีซอฟต์แวร์ประเภทไฟล์วอล (Fire wall) หรือกำแพงไฟสำหรับช่วยในการบริหาร การจัดการ และการดูแลระบบความปลอดภัยอย่างไรบ้าง
ตอบ 

1. เปิด services และโปรโตคอล (protocols) เฉพาะที่มีการใช้งานในเครื่องให้บริการ และอุปกรณ์เครือข่ายที่จำเป็นต้องใช้งานเท่านั้น เพื่อลดช่องทางการถูกโจมตี หรือเข้าถึงระบบโดยผู้ไม่ประสงค์ดี
2. ปรับแต่งค่าคอนฟิกูเรชัน (Configuration) ของเครื่องให้บริการให้มีความมั่นคงปลอดภัยทั้งในระดับระบบปฏิบัติการ (Operating System Level) ระดับโปรแกรมประยุกต์ (Application Level) รวมทั้งอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ เพื่อลดช่องโหว่ที่อาจใช้โจมตีระบบ โดยสามารถใช้แนวทางการปรับแต่งค่าคอนฟิกูเรชันต่าง ๆ จากแหล่งข้อมูลด้านความมั่นคงปลอดภัยสารสนเทศได้หลายแหล่ง เช่น Center for Internet Security (CIS) หรือ National Institute of Standards Technology (NIST) เป็นต้น
3. ยกเลิกฟังก์ชันของระบบปฏิบัติการ (Operating System) และโปรแกรมประยุกต์ (Application) ที่มีการติดตั้งบนเครื่องให้บริการ และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ที่ไม่มีการใช้งาน เพื่อลดเครื่องมือที่อาจถูกใช้โจมตีระบบ หรือใช้ขโมยข้อมูลภายในระบบ
4. เข้ารหัสข้อมูล และช่องทางการเชื่อมต่อสื่อสารเพื่อบริหารจัดการระบบของผู้ดูแลระบบเมื่อมีการเข้าถึงเครื่องให้บริการ หรืออุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ โดยเลือกใช้โปรโตคอลที่มีการเข้ารหัสเช่น SSH, VPN หรือ SSL เป็นต้น เพื่อป้องกันการดักจับข้อมูลระหว่างทางในการส่งคำสั่งบริหารจัดการระบบ

กรณีศึกษา 15

กรณีศึกษา 15 การแอบเจาะระบบคอมพิวเตอร์จนเกือบจะทำให้เกิดสงครามนิวเคลียร์
          ใน ค.ศ. 1983 ที่ประเทศสหรัฐอเมริกา มีภาพยนตร์ 2 เรื่อง ซึ่งเป็นที่นิยมแพร่หลายไปทั่วโลก เป็นภาพยนตร์ที่จำลองเหตุการณ์ที่เกิดขึ้นจริง เรื่องแรกคือ “141 Hackers” เป็นเรื่องราวของเด็กหนุ่มที่ถูกจับเมื่อปี ค.ศ. 1983 ฐานลักลอบใช้เครื่องคอมพิวเตอร์ และโมเด็ม (Modem) โดยโทรศัพท์เจาะเข้าไปในระบบคอมพิวเตอร์ของหน่วยงานต่าง ๆ ประมาณ 80 กว่าแห่งในสหรัฐอเมริกา รวมทั้งสถาบันโรคมะเร็งที่ชื่อว่า Sloan ketering Memorail Cander Institute ธนาคารชื่อ Security Pacific National Bank และสถาบันวิจัยแห่งชาติ (National Laboratory) ที่ลอส อลาโมส์ (Los Alamos) ในจำนวนนี้มีแฟ้มข้อมูลขององค์การรวมอยู่ด้วยโดยข้อมูลของสถาบันมะเร็งถูกทำลายบางส่วน การกระทำดังกล่าวถูกตัดสินว่าเป็นความผิดฐานใช้โทรศัพท์รบกวนผู้อื่น 
เรื่องที่สองคือ “เกมสงคราม (War Game)” สร้างขึ้นในปีเดียวกันคือ ปี ค.ศ.1983 เป็นเรื่องของเด็กหนุ่มที่มีความอัจฉริยะทางคอมพิวเตอร์ สามารถเจาะเข้าไปในระบบคอมพิวเตอร์ของกองกำลังป้องกันภัยทางอากาศในพื้นที่ภาคเหนือของสหรัฐอเมริกา (North Air Defense (NORAD)) เป็นศูนย์บัญชาการที่ตั้งอยู่ในมลรัฐไวโอมิง (Wyoming) และเกือบทำให้เกิดสงครามนิวเคลียร์โดยอุบัติเหตุกับประเทศโซเวียตในขณะนั้น
ผลกระทบของภาพยนตร์ที่สร้างจากเรื่องจริงทั้งสองเรื่องนี้ ได้ถูกนำเข้าสู่ที่ประชุมสภา Congress ของสหรัฐอเมริกาหลายครั้ง และในเดือนกันยายน ปี ค.ศ.1983 ได้มีการนำตัวนายนีล แพทริค (Neal Patrick) ซึ่งเป็นหนึ่งในผู้กระทำความผิดในขบวนการ 141 Hacker มาให้ปากคำในเรื่องการลักลอบใช้คอมพิวเตอร์โดยปราศจากการได้รับอนุญาต และก่อนให้ปากคำได้มีการนำภาพยนตร์เรื่อง “เกมสงคราม (War Game)” มาฉายให้กรรมการผู้ไต่สวนชมเพื่อเป็นหลักฐานแสดงให้เห็นว่าผู้ต้องหากระทำผิดจริงอย่างไร
บรรยากาศของความรู้สึกดังกล่าว ทำให้ภาครัฐและเอกชนต่างทราบดีว่าอาชญากรรมทางคอมพิวเตอร์เป็นปัญหาสำคัญที่จะต้องแก้ไขกฎหมายโดยเร่งด่วน รัฐต่าง ๆ ของสหรัฐอเมริกาจึงได้ออกกฎหมายอาชญากรรมทางคอมพิวเตอร์ขึ้นเพื่อป้องกันความเสียหายดังกล่าว

ปัญหาและข้ออภิปราย
1. จากกรณีตัวอย่างที่นักศึกษาอ่านมาจะพบว่าภาพยนตร์ทั้ง 2 เรื่องนั้น สามารถเป็นสื่อนำในการปฏิบัติการเชิงบุกรุกบนเครือข่ายคอมพิวเตอร์ได้หรือไม่ อย่างไร
ตอบ ได้ เพราะภาพยนต์ทั้ง2เรื่องสร้างขึ้นจากเรื่องจริงและเกิดผลกระทบขึ้นจริง อาจทำให้ผู้ที่ดูภาพยนต์เกิดความคิดที่จะทำตามอย่างด้วยความสนุกหรืออาจมีจุดปร ะสงค์ร้ายแอบแผงที่จะเข้าไปเจาะข้อมูลในระบบคอมพิวเตอร์ของผู้อื่นก็เป็นได้

2. กฎหมายคุ้มครองผู้บริโภคที่ใช้ประโยชน์จากระบบอินเตอร์เน็ต เช่น กฎหมายอาชญากรรมทางคอมพิวเตอร์มีอยู่ในประเทศไทยหรือไม่ จงอภิปราย
ตอบ มี สำหรับในประเทศไทย กำลังอยู่ระหว่างการพัฒนาร่างกฎหมายขึ้นเพื่อใช้บังคับ โดยสืบเนื่องจากเมื่อวันที่ 28กุมภาพันธ์ 2539 คณะรัฐมนตรีได้มีมติเห็นชอบต่อนโยบายเทคโนโลยีสารสนเทศแห่งชาติ (ไอที 2000) เพื่อพัฒนาสังคมและเสริมสร้างความแข็งแกร่งทางด้านธุรกิจอุตสาหกรรม และการค้าระหว่างประเทศ ในการก้าวเข้าสู่ยุคเศรษฐกิจใหม่ แห่งศตวรรษที่ 21 โดยหนึ่งในมาตรการสำคัญของนโยบายดังกล่าว คือ การปฏิรูปกฎหมายเทคโนโลยีสารสนเทศ ต่อมาเมื่อวันที่15 ธันวาคม 2541 คณะรัฐมนตรีได้มีมติเห็นชอบให้คณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ ดำเนินโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ที่เสนอโดยกระทรวงวิทยาศาสตร์ เทคโนโลยีและสิ่งแวดล้อม และให้คณะกรรม-การฯ เป็นศูนย์กลางดำเนินการและประสานงานระหว่างหน่วยงานต่างๆ ที่กำลังดำเนินการจัดทำกฎหมายเทคโนโลยีสารสนเทศ และกฎหมายอื่นๆ ที่เกี่ยวข้องโดยมีศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และ เทคโนโลยีแห่งชาติ ทำหน้าที่เป็น เลขานุการคณะกรรมการฯ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ โดยศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (เนคเทค) ในฐานะสำนักงานเลขานุการคณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติได้ดำเนินโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ซึ่งประกอบด้วยกฎหมาย 6 ฉบับ ได้แก่ กฎหมายเกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกส์ (เดิมเรียกว่า “กฎหมายแลกเปลี่ยน ข้อมูลทางอิเล็กทรอนิกส์”) กฎหมายเกี่ยวกับลายมือชื่ออิเล็กทรอนิกส์ (ต่อมาได้มีการรวมหลักการเข้ากับกฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ และรวมเรียกชื่อเดียวว่า“กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์”) กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึงและ เท่าเทียมกัน (เดิมเรียกว่า “กฎหมายลำดับรองของรัฐธรรมนูญ มาตรา 78”) กฎหมายเกี่ยวกับการ คุ้มครองข้อมูลส่วนบุคคล กฎหมายเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ และกฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ อนึ่ง เพื่อให้บรรลุวัตถุประสงค์หลักในการดำเนินงานของโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ในการยกร่าง กฎหมาย เทคโนโลยีสารสนเทศทั้ง 6 ฉบับข้างต้น คณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ จึงได้แต่งตั้งคณะอนุกรรมการ เฉพาะกิจขึ้นมา 6 ชุด ประกอบด้วยผู้แทนจากหน่วยงานต่างๆ ที่ เกี่ยวข้องทั้งภาครัฐและภาคเอกชน และผู้ทรงคุณวุฒิทั้งจาก สาขานิติศาสตร์ รัฐศาสตร์ วิศวกรรมศาสตร์ วิทยาการคอมพิวเตอร์ การเงินการธนาคาร และอื่นๆ ที่เกี่ยวข้อง เพื่อทำหน้าที่ใน การพิจารณายกร่างกฎหมายโดยมี ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติเป็นเลขานุการในการยกร่างกฎหมาย

สามารถดูรายละเอียดเพิ่มเติมของกฎหมายเทคโนโลยีในประเทศไทยได้ที่ http://www.ictlaw.thaigov.net/


3. ให้นักศึกษาพิจารณาใน 2 ประเด็นหลักดังนี้
3.1 เป็นไปได้หรือไม่ว่าภัยคุกคามที่น่ากลัวในอนาคตของระบบเครือข่ายคอมพิวเตอร์ก็คือ ไวรัส (Virus) ที่สามารถทำให้เครือข่ายอินเทอร์เน็ตล้มเหลวหมดทั้งโลก เพราะเหตุใด
ตอบ เป็นไปได้ เพราะไวรัสคอมพิวเตอร์ (Computer Virus) บางครั้งเราเรียกสั้นๆ ว่า ไวรัส เป็นชื่อเรียกโปรแกรมชนิดหนึ่ง ที่มีพฤติกรรมละม้ายคล้ายคลึงกับไวรัสที่เป็นเชื้อโรคจริงๆ ซึ่งมีความสามารถในการสำเนาตัวเอง เพื่อเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้ ทั้งยังสามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่น ๆ โดยที่เจ้าของไม่ยินยอมได้อีกด้วย การแพร่ระบาดของไวรัสคอมพิวเตอร์ อาจเกิดจากการนำเอาแผ่นดิสก์หรือแฮนดี้ไดรฟ์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูลไวรัสก็อาจแพร่ระบาดได้เช่นกัน
ขณะที่ไวรัสคอมพิวเตอร์โดยทั่วไปนั้นสร้างความเสียหาย เช่น ทำลายข้อมูล แต่ก็ยังมีไวรัสคอมพิวเตอร์อีกหลายชนิดที่ไม่ก่อให้เกิดความเสียหายใดๆ เพียงแต่ก่อให้เกิดความรำคาญแก่ผู้ใช้งานเท่านั้น ไวรัสคอมพิวเตอร์บางชนิดนั้นจะมีการตั้งเวลาให้ทำงานเฉพาะตามเงื่อนไข เช่น เมื่อถึงวันเวลาที่กำหนดไว้ หรือเมื่อทำการขยายตัวได้ถึงระดับหนึ่งซึ่งไวรัสเหล่านี้จะเรียกว่า บอมบ์ (bomb) หรือระเบิด ระเบิดเวลาจะทำงาน ส่วนระเบิดเงื่อนไขนั้นจะทำงานเมื่อผู้ใช้คอมพิวเตอร์มีการกระทำเฉพาะซึ่ง เป็นตัวจุดชนวน ไม่ว่าจะเป็นไวรัสชนิดที่ก่อให้เกิดความเสียหายหรือไม่ก็ตาม ก็จะมีผลเสียที่เกิดจากการแพร่ขยายตัวของไวรัสอย่างไร้การควบคุม ซึ่งจะเป็นการบริโภคทรัพยากรคอมพิวเตอร์อย่างไร้ประโยชน์ หรืออาจจะบริโภคไปเป็นจำนวนมาก

3.2 โรคของคนที่กลัวคอมพิวเตอร์เป็นชีวิตจิตใจหรือที่เรียกว่า “โรคกลัวคอมพิวเตอร์ (Computer Phobia)” นั้น มีความเป็นไปได้มากน้อยแค่ไหน ถ้าเป็นไปได้นักศึกษาที่เรียนวิชา MIS มาแล้วจะสามารถจะแนะนำผู้ที่กลัวคอมพิวเตอร์ทั้งหลายนั้นได้อย่างไรบ้าง
ตอบ แนะนำได้ว่า ต้องมีสมาธิในการใช้งานคอมพิวเตอร์ อย่าคิดไปเองว่าหากทำอะไรผิดพลาดจะทำให้คอมพิวเตอร์ทำงานผิดพลาด ค้างหรือแฮงค์ ซึ่งในความเป็นจริงแล้ว โอกาสที่เมื่อเรากดแป้นคีย์บอร์ดผิดแล้วจะทำให้คอมพิวเตอร์พังหรือแฮ้งค์นั้น มีน้อยมาก หรือเมื่อคอมพิวเตอร์ทำงานผิดเพี้ยนไปจริงๆ ให้เราคิดเสมอว่าเรายังมี 3 ปุ่มมหัศจรรย์อยู่ นั่นคือ Ctrl + Alt + Del (สำหรับผู้ที่ใช้ Windows) ซึ่งสามารถทำให้คอมพิวเตอร์กลับมาเป็นปกติได้ หรือหากแก้ไขไม่ได้แล้วจริงๆ เรายังมีไม้ตายสุดท้ายอยู่ นั่นคือการรีสตาร์ทเครื่อง ซึ่งก็สามารถทำให้คอมพิวเตอร์กลับมาทำงานได้ปกติเหมือนเดิม ฉะนั้นอย่ากลัวคอมพิวเตอร์ โปรดฟังอีกครั้งหนึ่ง จงอยู่ในความสงบ อย่ากลัวคอมพิวเตอร์ 

4. เกมสงคราม (War Game) และสงครามข้อมูลสารสนเทศ (Information Warfare) เป็นอย่างไร จงอภิปราย
ตอบ “เกมสงคราม (War Game)” สร้างขึ้นในปีเดียวกันคือ ปี ค.ศ.1983 เป็นเรื่องของเด็กหนุ่มที่มีความอัจฉริยะทางคอมพิวเตอร์ สามารถเจาะเข้าไปในระบบคอมพิวเตอร์ของกองกำลังป้องกันภัยทางอากาศในพื้นที่ภาคเหนือของสหรัฐอเมริกา(North Air Defense (NORAD)) เป็นศูนย์บัญชาการที่ตั้งอยู่ในมลรัฐไวโอมิง (Wyoming) และเกือบทำให้เกิดสงครามนิวเคลียร์โดยอุบัติเหตุกับประเทศโซเวียตในขณะนั้น ส่วน สงครามข้อมูลสารสนเทศ (Information Warfare) คือ การบริหารจัดการใช้ข้อมูลข่าวสารที่จะเอาชนะศัตรู โดยเฉพาะอย่างยิ่งการบิดเบือนข้อมูล การทำให้ข้อมูลไม่สมบูรณ์ การโฆษณาชวนเชื่อ การอ้างข้อมูลเท็จ การทำลายชื่อเสียงของศัตรู หรือการใช้ข้อมูลทำลายขวัญมวลชน เช่น การปล่อยข่าวหุ้น ธนาคารหมดเงิน เป็นต้น และการสงครามทุกกรณีต้องใช้เงิน โดยธรรมชาติแล้วสงครามสารสนเทศจะมีความสัมพันธ์เกี่ยวข้องกับสงครามจิตวิทยา ดังนั้น การสร้างข้อมูลเท็จ การสร้างเรื่องไร้สาระที่เอื้อประโยชน์แก่ฝ่ายตนและทำลายฝ่ายศัตรู ในทางทหารแล้วสงครามสารสนเทศ จะเกี่ยวข้องการทำลาย การแพร่กระจายข้อมูลข่าวสารผ่านระบบสื่อผสม ที่ปัจจุบันอาศัยเทคโนโลยีสารสนเทศ ที่เรียกว่า ไซเบอร์สเปซหรือการครอบครองอาณาจักรกระแสคลื่นแม่เหล็กไฟฟ้าทั้งมวลด้วยเทคโนโลยีคอมพิวเตอร์ ระบบส่งคลื่นแม่เหล็กไฟฟ้า และการใช้พลังงานคลื่นแม่เหล็กไฟฟ้า และการควบคุมธรรมชาติของพลังงานคลื่นแม่เหล็กไฟฟ้า ทำให้กลยุทธ์ไซเบอร์สเปซ จะมีขอบเขตในการควบคุมระบบสัญญาณที่ไวต่อคลื่นไฟฟ้า แสง และอุณหภูมิ อุปกรณ์การเชื่อมสัญญาณคลื่น การส่งสัญญาณ ขบวนการส่งสัญญาณ และการควบคุมคลื่นแม่เหล็กไฟฟ้า

กรณีศึกษา 14

กรณีศึกษา 14 กรณีศึกษาของบริษัทผลิตเครื่องคอมพิวเตอร์ดิจิตอล อิควิปเม้นต์
          เมื่อ 15 ปีก่อน มีเหตุการณ์หนึ่งเกิดขึ้นในประเทศสหรัฐอเมริกา โดยเกิดขึ้นกับเครือข่ายคอมพิวเตอร์ของบริษัทดิจิตอล อิควิปเม้นต์ (Digital Equipment Corporation (DEC)) ในเอือนธันวาคม ค.ศ.1980 เมื่อเครื่องคอมพิวเตอร์ของบริษัท U.S. Leasing ซึ่งเป็นบริษัทผู้ใช้เครื่องคอมพิวเตอร์ของบริษัท DEC มีอาการผิดปกติ คือ ทำงานช้าลง
ในช่วงบ่ายของวันเดียวกันได้มีคนโทรทัศนาแอบอ้างว่าเป็นผู้ดูแลระบบซอฟต์แวร์ของบริษัท DEC โดยกล่าวว่าปัญหาที่ระบบทำงานช้าลงนั้นเกิดขึ้นกับเครือข่ายคอมพิวเตอร์ทั้งหมดของบริษัท สถานการณ์กำลังลุกลามออกไปผู้ใช้ไม่สามารถแก้ไขได้ด้วยตัวเอง เขาจะต้องเข้ามาในระบบ (Access) โดยเขาได้ขอหมายเลขบัญชีผู้ใช้ (Account Number) และรหัสผ่าน (Password) ของพนักงานผู้รับผิดชอบดูแลระบบของบริษัท U.S. Leasing ชายผู้นี้บอกว่าจะใช้คอมพิวเตอร์เชื่อมต่อเข้ามาทำการแก้ไขปัญหาให้ และรับประกันว่าทุกอย่างจะคืนสู่สภาพปกติก่อนเช้าของวันรุ่งขึ้น ซึ่งเป็นวิธีเดียวกันกับที่บริษัท DEC เคยปฏิบัติมาก่อน
ผลปรากฏว่าเครื่องคอมพิวเตอร์ของบริษัท U.S. Leasing ยังคงทำงานช้าเหมือนเดิม และดูเหมือนว่าอาการจะยิ่งหนักขึ้นกว่าเดิมเรื่อย ๆ ผู้อำนวยการฝ่ายระบบของบริษัท DEC ถามหาช่างคนที่โทรศัพท์เข้ามาเมื่อวันก่อน ซึ่งเมื่อตรวจรายชื่อช่างปรากฏว่าไม่มีชื่อของช่างเทคนิคผู้นั้น จึงทราบทันทีว่ามีคนร้ายเจาะเข้ามาในระบบ (Hacker) จึงได้ค้นหาและทำลายทะเบียนของผู้บุกรุกดังกล่าวด้วยการเปลี่ยนชื่อบัญชีผู้ใช้และรหัสผ่านใหม่
ในวันต่อมาผู้ดูแลระบบได้รับโทรศัพท์จากคนร้ายคนเดิม ซึ่งพยายามทำตัวเป็นกันเองเหมือนคนไม่มีอะไรเกิดขึ้น และอธิบายว่าปัญหายังไม่ได้รับการแก้ไข และเขาไม่สามารถเข้ามาในระบบคอมพิวเตอร์ใด ผู้ดูแลระบบจึงขอเบอร์โทรศัพท์ที่จะติดต่อกลับ แต่คนร้ายบ่ายเบี่ยง ต่อมาในเช้าวันรุ่งขึ้น เมื่อผู้ดูแลระบบกลับเข้ามาทำงาน พบว่าเครื่องพิมพ์ (Printer) ที่เชื่อมต่อกับเครื่องคอมพิวเตอร์กำลังพิมพ์กระดาษออกมาเต็มห้อง ซึ่งในกระดาษนั้นมีข้อความเหยียดหยามและหยาบคายต่าง ๆ นานา
ความเสียหายที่ได้รับไม่เพียงการสั่งให้คอมพิวเตอร์พิมพ์ข้อความทั้งวันทั้งคืนเท่านั้น คนร้ายยังเข้าไปในไฟล์ (File) ข้อมูลและลบข้อมูลทิ้งจนหมด ไม่ว่าจะเป็นไฟล์ข้อมูลเกี่ยวกับลูกค้า สินค้าคงเหลือ ใบเรียกเก็บเงิน นั่นหมายความว่า คนร้ายได้ทำลายฐานข้อมูลในคอมพิวเตอร์ของบริษัท U.S. Leasing จนหมดสิ้น
จากเหตุการณ์ดังกล่าวข้างต้นนั้นเป็นตัวอย่างของการก่อวินาศกรรมทางคอมพิวเตอร์ (Computer sabotage) และยังมีวิธีกระทำความผิดทั้งในเรื่องของการเจาะเข้าไปในระบบคอมพิวเตอร์ (Hack) หาวิธีโจมตี (Attack) ทั้งแบบคนร้ายปลอมตัวเป็นพนักงานผู้มีอำนาจเพื่อที่จะหลอกให้เหยื่อบอกหมายเลขบัญชีผู้ใช้ (Account number) รหัสผ่าน (Password) รวมทั้งการใช้ระเบิดตรรก (Logic bomb) สั่งให้เครื่องพิมพ์ข้อความทั้งวันทั้งคืน และสุดท้ายคือการปล่อยไวรัสเข้าไปทำลายหรือใช้คำสั่ง Reformat ข้อมูลในระบบฐานข้อมูลทั้งหมด

ปัญหาและข้ออภิปราย
1. ให้ท่านร่วมกันอภิปรายถึงกลโกงของผู้บุกรุกเข้ามาในเครือข่ายคอมพิวเตอร์ของบริษัทตามประสบการณ์ที่พบมา พร้อมทั้งเสนอแนะแนวทางการแก้ไขด้วย
ตอบ จากเหตุการณ์ดังกล่าวข้างต้นนั้นเป็นตัวอย่างของการก่อวินาศกรรมทางคอมพิวเตอร์ (Computer sabotage) และยังมีวิธีกระทำความผิดทั้งในเรื่องของการเจาะเข้าไปในระบบคอมพิวเตอร์ (Hack) หาวิธีโจมตี (Attack) ทั้งแบบคนร้ายปลอมตัวเป็นพนักงานผู้มีอำนาจเพื่อที่จะหลอกให้เหยื่อบอกหมายเลขบัญชีผู้ใช้ (Account number) รหัสผ่าน (Password) รวมทั้งการใช้ระเบิดตรรก (Logic bomb) สั่งให้เครื่องพิมพ์ข้อความทั้งวันทั้งคืน และสุดท้ายคือการปล่อยไวรัสเข้าไปทำลายหรือใช้คำสั่ง Reformat ข้อมูลในระบบฐานข้อมูลทั้งหมด

2. บริษัท DEC ที่ขายเครื่องคอมพิวเตอร์จำนวนมากให้กับบริษัท U.S. Leasing นั้น เมื่อผู้ไม่ประสงค์ดีทำการบุกรุกพร้อมกับทำความเสียหายให้กับบริษัท U.S. Leasing เป็นอย่างมาก โดยเฉพาะฐานข้อมูลซึ่งถือว่าเป็นทรัพย์สินของบริษัท ได้ถูกทำลายไปจนหมดสิ้น ให้ท่านอภิปรายว่าบริษัท DEC ควรจะรับผิดชอบเครือข่าย หรือช่วยเหลือบริษัท U.S. Leasing หรือไม่อย่างไร เนื่องจากฮาร์ดแวร์ทั้งหมดเป็นของบริษัท DEC นอกจากนั้นให้พิจารณาถึงการทำงานของบุคลากรที่อนุญาตให้คนร้ายเข้ามาโดยไม่ตรวจสอบให้แน่ชัดก่อนว่าผู้ชายผู้นั้นแท้จริงแล้วเป็นใคร
ตอบ บริษัท DEC เป็นผู้ที่ขายเครื่องคอมพิวเตอร์ให้เท่านั้น ส่วนตัวเครื่อข่ายนั้นไม่ได้รับผิดชอบดังนั้นไม่น่าจะมีส่วนที่จะช่วยเหลืออะไร ส่วนการทำงานของผู้ดูแลระบบนั้น ควรจะตรวจสอบให้ดีถึงผู้เข้าใช้ ควรมีความระมัดระวัง และรอบคอบกว่านี้

3. ให้นักศึกษาเสนอแนะวิธีตามจับผู้ร้ายคอมพิวเตอร์คนนี้ว่าสามารถทำได้อย่างไร และจะแนะนำต่อสาธารณชนเกี่ยวกับการป้องกันแฮกเกอร์ (Hacker) อย่างไร จงอภิปราย
ตอบ การหาคนร้าย แจ้งความและต้องหาวิธีติดต่อกับคนร้ายอีกครั้ง และปล่อยเป็นหน้าที่ของตำรวจ
ส่วนการป้องกันแฮกเกอร์ ก็ควร ระมัดระวังเรื่องข้อมูล รหัส ต่างๆ ให้มากขึ้น

กรณีศึกษา 13

กรณีศึกษา 13 อาชญากรคอมพิวเตอร์ที่สร้างความหายนะให้เครือข่ายคอมพิวเตอร์ ณ สถาบันเทคโนโลยีแห่งแมซซาชูเซด 
          ในปี ค.ศ. 1988 นายโรเบิร์ด ที มอริส ได้เข้าศึกษาในสาขาวิชาวิทยาการคอมพิวเตอร์ ณ มหาวิทยาลัยคอร์แนลซึ่งหลาย ๆ คนยอมรับว่าเขาเป็นนักเขียนโปรแกรมคอมพิวเตอร์ที่เก่งมากคนหนึ่ง นายมอริส ได้เขียนโปรแกรมไวรัศคอมพิวเตอร์ที่เป็นที่รู้จักกันดีในนาม “หนอนคอมพิวเตอร์ (Worm)” หรือบางทีเรียกว่า “หนอนอินเทอร์เน็ต (Worm internet)” โปรแกรมดังกล่าวยากต่อการตรวจพบหรือลบทิ้งโดยนักเขียนโปรแกรมคนอื่น ๆ
          วอร์ม (Worm) ถือว่าเป็นโปรแกรมคอมพิวเตอร์ชนิดหนึ่งที่สามารถกระจายจากเครื่องคอมพิวเตอร์หนึ่งสู่อีกเครื่องหนึ่ง โดยผู้ใช้เป็นผู้นำพา แต่ไม่ทำให้ระบบการดำเนินงาน (Operating system) ของคอมพิวเตอร์เสียหายซึ่งต่างจากไวรัส (Virus) ที่เป็นโปรแกรมที่กระจายและฝังตัวบนระบบการดำเนินงานของคอมพิวเตอร์ที่รับไวรัสนั้นเข้าไป และจะกระจายไปยังเครื่องอื่นๆ ที่ใช้ไฟล์ (File) ข้อมูลของเครื่องที่ติดเชื้ออยู่แล้ว
          นายมอริส ต้องการให้เกิดความเชื่อมั่นว่า วอร์ม (Worm) ตัวนี้จะไม่ทำอะไรที่ซ้ำตัวของมันเองบนเครื่องคอมพิวเตอร์ที่มันฝังตัวเข้าไป การทำซ้ำของวอร์ม (Repeat worm) หลายๆ ครั้งจะส่งผลให้เครื่องคอมพิวเตอร์ติดขัดหรืออาจทำให้เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้ แต่ง่ายต่อการตรวจจับ ดังนั้นนายมอริส จึงได้ออกแบบวอร์ม (Worm) ใหม่โดยสามารถถามเครื่องคอมพิวเตอร์ที่มันฝังตัวอยู่ว่ามีสำเนาของวอร์ม (Worm) หรือไม่ หากพบว่า “ไม่มี” มันก็จะทำสำเนาบนเครื่องคอมพิวเตอร์นั้น หากตอบว่า “มี” มันก็จะไม่ทำสำเนา (Copy) ลงไปอย่างไรก็ดี นายมอริสก็กลัวว่าวอร์ม (Worm) ที่ตนได้พัฒนาขึ้นจะถูกทำลายโดยนักเขียนโปรแกรมคนอื่น ๆ ได้ ถ้าหากเจ้าของแกล้งให้เครื่องสั่งว่า “มี” ดังนั้นนายมอริสจึงเขียนโปรแกรมให้วอร์ม (Worm) สามารถทำซ้ำได้เพียง 7 ครั้งเท่านั้น หากได้รับคำตอบว่า “มี” อยู่ภายในเครื่องแล้ว อย่างไรก็ตามนายมอริสอาจลืมคิดไปว่าเครื่องคอมพิวเตอร์อาจถูกถามคำถามเดียวกันหลายๆ ครั้งได้ ซึ่งเขาคิดว่าวอร์ม (Worm) จะถูกทำลาย แต่เขาก็คิดว่าคงไม่มีผลเสียหายมากนัก
นายมอริส ได้ใส่วอร์ม (Worm) นี้เข้าไปในระบบปฏิบัติการยูนิกส์ (Unix) ที่สถาบันเทคโนโลยีแมซซาชูเซต [Massachusetts Institute of Technology (MIT)] เมื่อวันที่ 2 พฤศจิการยน ค.ศ. 1988 เนื่องจากต้องการอำพรางตัวเอง เพราะเขาอยู่ที่มหาวิทยาลัยคอร์แนล (Cornell) อย่างไรก็ดีเรื่องนายมอริสไม่คาดคิดไว้ก็ได้เกิดขึ้น เมื่อวอร์ม (Worm) ได้แพร่ระบาดรวดเร็วเกินคาด และเมื่อนายมอริสพยายามจะร่วมมือกับเพื่อนของเขาที่มหาวิทยาลัยฮาร์วาร์ด โดยส่งจดหมายไปบนเครือข่ายถึงวิธีการกำจัดวอร์ม (Worm) นั่นเอง จดหมายข่าวดังกล่าวจึงไม่สามารถส่งไปได้ เหตุการณ์ที่เกิดขึ้นจึงสายเกินกว่าที่จะแก้ไขได้
เครือข่ายคอมพิวเตอร์ที่เชื่อมโยงสถาบันการศึกษาในสหรัฐอเมริกา หน่วยงานทหาร ศูนย์วิจัยในสหรัฐอเมริกาล้วนแต่ได้รับผลร้ายจากการระบาดของวอร์ม (Worm) ตัวนี้ทั้งสิ้น ในที่สุดนายมอริสก็ถูกจับได้ และถูกตัดสินจำคุกเป็นเวลา 3 ปี แต่ศาลได้รอลงอาญาไว้ นอกจากนั้นยังได้ถูกส่งตัวไปให้บริการสังคมเป็นเวลา 400 ชั่วโมง หรือประมาณ 50 วันทำการ และถูกปรับเป็นจำนวนเงิน 10,050 ดอลลาร์สหรัฐ หรือประมาณ 350,000 บาท

ปัญหาและข้ออภิปราย
1. ความคึกคะนองและอยากลองวิชาของนักศึกษา โดยเฉพาะการเขียนโปรแกรมคอมพิวเตอร์เพื่อไปสร้างความเสียหายให้แก่หน่วยงานอื่นนั้น นับว่ามีผลเสียหายอย่างมากต่อทรัพย์สินและความรู้สึกของผู้ใช้คอมพิวเตอร์เครือข่าย หากท่านเป็นผู้ที่อยู่ในสถาบันการศึกษา ท่านจะมีมาตรการป้องกันและปราบปรามผู้ไม่ประสงค์ดีที่บ่อนทำลายระบบเครือข่ายคอมพิวเตอร์ในหน่วยงานของท่านอย่างไร
ตอบ คอมพิวเตอร์เสียหายซึ่งต่างจากไวรัส (Virus) ที่เป็นโปรแกรมที่กระจายและฝังตัวบนระบบการดำเนินงานของคอมพิวเตอร์ที่รับ ไวรัสนั้นเข้าไป และจะกระจายไปยังเครื่องอื่นๆ ที่ใช้ไฟล์ (File) ข้อมูลของเครื่องที่ติดเชื้ออยู่แล้ว

2. จากงานวิจัยเรื่องการรักษาความปลอดภัยระบบคอมพิวเตอร์ กรณีศึกษา ณ สหรัฐอเมริกา พบว่า 2 ใน
ของผู้บุกรุกที่ไม่ประสงค์ดี และแอบขโมยข้อมูลภายในหน่วยงานและองค์กรต่าง ๆ นั้นมาจากคนภายในองค์กรเองท่านจะมีแนวทางในการรักษาความปลอดภัยของข้อมูลภายในองค์กรอย่างไร ตอบ 

1.ตั้งรหัสผ่านข้อมูลที่สำคัญอย่างแน่หนา
2. ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้
3.เกราะป้องกันความถูกต้องครบถ้วนสมบูมีรณ์ของข้อมูล
4.การติดตั้งระบบ Firewall บริษัทฯ ได้ติดตั้ง Firewall ซึ่งเป็นเทคโนโลยีที่ทำการป้องกันผู้บุกรุกเข้า-ออกระบบ และกำหนดโซนการให้บริการ การเข้าถึงข้อมูล ที่เหมาะสม
- กำหนดขอบเขต และโซนการทำงานที่เหมาะสม- กำหนดบริการ และการเข้าถึงระบบสำหรับผู้ที่ได้รับอนุญาตเท่านั้น
5.การติดตั้งระบบ Anti-Virus เพื่อทำการป้องกัน และกำจัดไวรัสที่มีการอัพเดตข้อมูลอย่างสม่ำเสมอ

3. จงอธิบายชนิดและชื่อของไวรัสคอมพิวเตอร์ (Virus computer) ที่ท่านรู้จัก พร้อมทั้งอำนาจการทำลายของซอฟต์แวร์ไวรัสดังกล่าวเหล่านั้นว่ามีความรุนแรงมากน้อยเพียงใด และจงเสนอแนะวิธีการทำลายไวรัสดังกล่าว
ตอบ “หนอนคอมพิวเตอร์ (Worm)” กระจายและฝังตัวบนระบบการดำเนินงานของคอมพิวเตอร์ที่รับ ไวรัสนั้นเข้าไป และจะกระจายไปยังเครื่องอื่นๆ ที่ใช้ไฟล์จะส่งผลให้เครื่องคอมพิวเตอร์ติดขัดหรืออาจทำให้เครื่องคอมพิวเตอร์ไม่ สามารถทำงานได้

กรณีศึกษา 12

กรณีศึกษา 12 ยุคแห่งการแข่งขันการเขียนโปรแกรมคอมพิวเตอร์ที่ปราศจากข้อผิดพลาด (Bug-free)
          ปัจจุบันนี้ได้มีความยุ่งยากและซับซ้อนด้านผู้ใช้งานคอมพิวเตอร์มากขึ้นเป็นลำดับ พร้อมกับความต้องการที่จะใช้โปรแกรมประยุกต์สำหรับงานที่เหลือค้างได้เพิ่มมากขึ้นด้วย และเป็นการเพิ่มความกดดันให้แผนกจัดการระบบสารสนเทศ (MIS) และนักพัฒนาโปรแกรมให้เร่งพัฒนาระบบใหม่ ๆ ไปสู่มือของผู้ใช้งานให้เร็วที่สุดเท่าที่จะเป็นไปได้นักพัฒนาโปรแกรมเคยตอบสนองความต้องการเช่นนั้นด้วยการตั้งคำถามว่า “คุณต้องการโปรแกรมคอมพิวเตอร์ที่ทำงานเร็ว ๆ หรือคุณต้องการโปรแกรมดี ๆ” ในปัจจุบันผู้ใช้งานและผู้เขียนโปรแกรมที่มีคุณสมบัติที่ดีและเร็วควบคู่กัน กล่าวคือ เขาต้องการโปรแกรมที่ไม่มีปัญหาปราศจากข้อผิดพลาดหรือข้อบกพร่องนั่นเอง
          ดังที่กล่าวไว้ในหนังสือเล่มนี้ว่า หลายบริษัทกำลังหันมาใช้เครื่องมือช่วย คือ ภาษารุ่นที่ 4 (4GL) และวิศวกรรมซอฟต์แวร์ที่ใช้เครื่องมือคอมพิวเตอร์เข้าช่วย (CASE) และโปรแกรมเชิงวัตถุ (OOP) เพื่อลดเวลาการพัฒนาโปรแกรมสำหรับการใช้งานในด้านต่าง ๆ ทำให้ผู้พัฒนาโปรแกรมมองเห็นผลกำไรที่รวดเร็ว คุ้มค่าและน่าสนใจมากขึ้น
          อย่างไรก็ตามโปรแกรมที่พัฒนาตามแนวทางของโปรแกรมเชิงวัตถุ (OOP) นั้น ดูเหมือนจะเป็นฐานให้เกิดปัญหาใหม่ ๆ ทางด้านการพัฒนาซอฟต์แวร์อีกด้วย ปัญหาโปรแกรมที่เกิดจากการพัฒนาโปรแกรมเชิงวัตถุ (OOP) ถือกันว่ามีเปอร์เซ็นต์ที่สูงมาก กล่าวคือ เฉพาะปัญหาที่เกิดจากนักพัฒนาโปรแกรมชาวอเมริกันปี ค.ศ.1990 ปีเดียวมีถึง 150 ล้านปัญหาด้วยกัน และมักจะพบบ่อย ๆ ว่าปัญหาที่เกิดขึ้นนั้นได้ซ่อนอยู่ในโปรแกรมใช้งานที่มีความสำคัญอย่างยิ่ง
สิ่งที่น่ากลัวที่สุดก็คือ ปัญหาความบกพร่องของคอมพิวเตอร์นั้นสามารถก่อให้เกิดอันตรายแก่ผู้ใช้ได้ หลายปีที่ผ่านมานี้มีผู้เคราะห์ร้าย 3 คนที่ได้รับบาดเจ็บอย่างถาวรและอีกคนหนึ่งเสียชีวิต เนื่องจากการได้รับรังสีเอ็กซเรย์ (X-ray) นานเกินไป ดังนั้นจึงสามารถกล่าวได้ว่า พวกเขาได้รับผลกระทบจากปัญหาด้านซอฟต์แวร์ในเครื่องมือการแพทย์ที่ใช้สำหรับการวินิจโรคนั่นเอง ถึงแม้ว่าปัญหาดังกล่าวจะไม่ส่งผลกระทบโดยตรงต่อบุคลากรในบริษัทแต่ปัญหานั้นก็สามารถทำให้ภาพพจน์ของบริษัทต่อสาธารณชนเสียหายอย่างต่อเนื่องได้ เช่น บริษัท Ashton-tate ไม่สามารถสร้างภาพพจน์ให้ดีได้เหมือนเดิม จากการจำหน่ายสินค้าโปรแกรมฐานข้อมูลชื่อดีเบสรุ่น 4 ซึ่งมีปัญหาอย่างมาก และในที่สุดบริษัท Borland International ก็เข้ายึดครองบริษัท Ashton-tate
แม้ว่าผู้ใช้อาจจะไม่ได้รับความเสียหายจากปัญหาดังกล่าว แต่ตามทัศนะของนายเกรกอรี่ ไปป ผู้อำนวยการฝ่ายกฎหมายด้านเทคโนโลยีของบริษัท ติบูรินซิสเต็มซ์ กล่าวว่า “ปัญหาบางอย่างอาจจะใช้เวลาครึ่งวันสำหรับการแก้ไขในขั้นตอนการผลิต และอาจจะต้องใช้เวลาหนึ่งอาทิตย์หรือมากกว่านั้นในการแก้ไขเมื่อโปรแกรมนั้นสำเร็จออกไปสู่ตลาดแล้ว”
เพื่อเป็นการช่วยเหลือผู้ขายและองค์การค้าซอฟต์แวร์ให้สามารถพัฒนาโปรแกรมที่ปราศจากข้อผิดพลาดในเบื้องต้น จึงได้มีการพัฒนาชุดเครื่องมือที่ใช้ทดสอบซอฟต์แวร์อย่างอัตโนมัติ (Automatic software) ซึ่งเป้ฯเครื่องมือที่ใช้เทคโนโลยีชั้นสูงเพื่อกำจัดความผิดพลาดด้วย Source code ดังกล่าว อย่างไรก็ตามการตอบสนองของตลาดต่อเครื่องมือทดสอบซอฟต์แวร์นี้ได้ผลเป็นที่น่าพอใจ
บริษัทต่างๆ ได้ค้นพบกรรมวิธีอื่น ๆ อีกมากที่จะพัฒนาซอฟต์แวร์เพื่อไม่ให้เกิดปัญหาต่อผู้ใช้ ซึ่งในการใช้งานนั้นจะเกี่ยวข้องกับโปรแกรมที่สามารถใช้งานร่วมกันได้หลาย ๆ คน แท้จริงแล้วเครื่องตรวจสอบปัญหาที่ดีที่สุดก็คือ ผู้ใช้ปลายทาง และประสบการณ์การใช้งานนั่นเอง ไม่ได้หมายถึงเฉพาะนักพัฒนาโปรแกรมเท่านั้นที่มุ่งพัฒนาโปรแกรมและคิดว่าโปรแกรมจะมีความสามารถในการทำอะไรได้บ้างหรือข้อผิดพลาดควรจะเกิดจากอะไร ทั้งนี้สามัญสำนึกและประสบการณ์ของนักเขียนโปรแกรมเองอาจทำให้มองข้ามบางสิ่งบางอย่างไปได้
องค์กรบางแห่งได้พัฒนา “ห้องปฏิบัติการใช้” เพื่อทำการทดสอบตัวโปรแกรม โดยจะทำการพัฒนาโปรแกรมในห้องนี้ก่อนนำออกสู่ตลาด ห้องปฏิบัติการเหล่านี้จะบันทึกภาพถ่ายผู้ใช้ปลายทางในขณะที่ใช้งานซอฟต์แวร์ใหม่ ๆ เพื่อช่วยให้ผู้พัฒนาโปรแกรมค้นพบปัญหา และยังสามารถช่วยให้ตัดสินใจได้ว่าผู้ใช้ปลายทางจะสามารถใช้โปรแกรมใหม่เหล่านั้นในการทำงานได้อย่างแท้จริงหรือไม่
ผู้ค้าในเชิงพาณิชย์ส่วนใหญ่มักจะนำผู้ใช้ปลายทางเข้ามามีส่วนเกี่ยวข้องในการค้นหาปัญหาของผลิตภัณฑ์ซอฟต์แวร์ด้วย โดยเฉพาะช่วยในการทดสอบขั้นแรก (อัลฟา) และขั้นถัดมา (เบต้า) อย่างไรก็ตามผู้จัดการทั่วไป และผู้จัดการด้านระบบสารสนเทศเพื่อการจัดการ (MIS) มีความเห็นสอดคล้องกันว่า วิธีที่เปิดโอกาสให้ผู้ใช้เข้ามาร่วมทดสอบโปรแกรมนี้ไม่สามารถเป็นไปได้ทุกกรณี เพราะว่าการประสานงานกับผู้ใช้และผู้พัฒนาโปรแกรมนั้นเป็นไปได้ค่อนข้างลำบาก
Clem Hergenhan ประธานบริษัท CSF ซึ่งเป็นบริษัทที่ปรึกษาทางด้านโทรคมนาคม ที่ซัมเมอร์วิล รัฐนิวยอร์ก กล่าวว่า “ถ้าท่านปล่อยให้ส่วนประกอบของซอฟต์แวร์ที่มีปัญหาออกสู่ตลาดแล้ว จะเป็นโอกาสที่จะสร้างความเสียหายมากกว่า และจะย้อนกลับมาหาท่านเสมือนการสะท้อนสิ่งที่ไม่ดีใส่หน้าท่านนั่นเอง”

ปัญหาและข้ออภิปราย
1. ซอฟต์แวร์ (Software) ที่ปราศจากข้อผิดพลาด (Bug-free) จะช่วยประหยัดเงินให้องค์การในระยะยาวได้อย่างไร
ตอบ ได้ เพราะไม่ทำหั้ยองกรณ์เกิดความเสียหาย ลูกค้าพึงพอใจในสินค้า เกิดผลกำไรในระยะยาว

2. ท่านคิดว่า การที่ให้ผู้ใช้ปลายทางได้เข้ามามีส่วนเกี่ยวข้องโดยตรงในการทดสอบโปรแกรมใหม่ ๆ เป็นความคิดที่ดีหรือไม่ อย่างไร จงอธิบาย
ตอบ ดี เพราะจะได้ค้นพบปัญหาและยังสามารถช่วยตัดสินใจว่าผู้ไช้ปลายทางสามารถไช้โปรแกรมเหล่านั้นได้อย่างแท้จริงหรือไม่

3. ท่านคิดว่าอะไรดีกว่ากัน ระหว่างการส่งเสริมนักพัฒนาโปรแกรมให้ลดการทดสอบโปรแกรมลง รวมทั้งลดการแก้ไขโปรแกรมโดยเฉพาะจุดบกพร่องของโปรแกรม (Bug) เพื่อให้สามารถจัดส่งโปรแกรมไปให้ลูกค้าใช้งานได้โดยเร็ว กับการยอมรับให้มีโปรแกรมใช้งานตกค้างเหลืออยู่เป็นเวลานาน เพื่อทำการแก้ไขพัฒนาโปรแกรมให้สมบูรณ์เสียก่อนที่จะส่งไปให้ลูกค้าใช้งาน จงอธิบายพร้อมให้เหตุผลประกอบ ตอบ การยอมรับให้มีโปรแกรมใช้งานตกค้างเหลืออยู่เป็นเวลานาน เพื่อทำการแก้ไขพัฒนาโปรแกรมให้สมบูรณ์เสียก่อนที่จะส่งไปให้ลูกค้าใช้งานเป็นสิ่งที่ดีกว่า เพราะถ้าท่านปล่อยให้ส่วนประกอบของซอฟต์แวร์ที่มีปัญหาออกสู่ตลาดแล้ว จะเป็นโอกาสที่จะสร้างความเสียหายมากกว่า และจะย้อนกลับมาหาท่านเสมือนการสะท้อนสิ่งที่ไม่ดีใส่หน้าท่านนั่นเอง”

กรณีศึกษา 11

กรณีศึกษา 11 การเพิ่มความนิยมในการเช่าซื้อซอฟต์แวร์ 
          การตัดสินใจที่จะพัฒนาซอฟต์แวร์หรือซื้อซอฟต์แวร์ เป็นประเด็นที่ผู้จัดการและเจ้าหน้าที่แผนกสารสนเทศเพื่อการจัดการ (MIS) จะต้องพิจารณาในระหว่างการจัดหาระบบใหม่ แต่ขณะนี้อาจมีอีกทางเลือกหนึ่งสำหรับการจัดหาซอฟต์แวร์ คือ การตัดสินใจว่าองค์กรควรจะทำเองหรือซื้อหรือเช่าซื้อ
แนวคิดในการเช่าซื้อซอฟต์แวร์มีมาตั้งแต่ทศวรรษที่ 1980 โดยการอนุญาตให้ลูกค้าเช่าซื้อซอฟต์แวร์ที่มีราคาแพงได้โดยการยืมเงินจากบุคคลที่สาม ซึ่งได้รับความนิยมมากเนื่องจากเป็นอีกทางเลือกหนึ่งในการจัดการเงินสำหรับการเช่าซื้อซอฟต์แวร์
ธุรกิจให้เช่าซื้อซอฟต์แวร์ (Software leasing) ที่มีขนาดใหญ่อยู่ที่ Beverly Hills, แคลิฟอร์เนีย โดยมีลูกค้ามากกว่า 100 บริษัท รวมทั้งบริษัทที่มีชื่อเสียง เช่น Well Fargo, The New York Times และ Citibank, NA ก็เป็นลูกค้าของบริษัท Beverly Hills ด้วยเช่นกัน
บริษัท LaMode Inc. ซึ่งเป็นบริษัทผลิตเสื้อผ้าเครื่องแต่งกายรายหนึ่งในลอสแองเจลลิสได้เช่าซื้อซอฟต์แวร์ผ่านบริษัทให้เช่าซื้อซอฟต์แวร์ (Software leasing) มาเป็นเวลานานกว่า 5 ปีแล้ว Shewood Sterting รองประธานของบริษัท LaMode กล่าวว่า “ในอดีตบริษัทของเรามีขนาดเล็กกว่านี้มากเมื่อเราเริ่มต้นเช่าซื้อซอฟต์แวร์ วิธีการนี้ได้ช่วยให้เราได้ใช้เงินในทางอื่นนอกเหนือจากทุนดำเนินการภายใน” ลูกค้าอีกราย ได้กล่าวว่า “การเช่าซื้อช่วยให้สามารถดำเนินการได้รวดเร็วขึ้น เพราะไม่ต้องรอการอนุมัติซึ่งอาจใช้เวลานานถึง 3 เดือน วิธีการดังกล่าวทำให้สามารถใช้จ่ายเงินภายในงบประมาณที่จำกัดได้พร้อมทั้งได้ซอฟต์แวร์ที่ต้องการอย่างรวดเร็วและช่วยให้การดำเนินงานโดยรวมเร็วขึ้น”
HoWard Smith ซึ่งเป็นประธานและ CEO ของบริษัทให้เช่าซอฟต์แวร์ (Software leasing) ที่ Beverly Hill ยืนยันว่าตลอดช่วง 2-3 ปีที่ผ่านมา รายได้ของบริษัทเติบโตขึ้นอย่างน้อย 300% ต่อปี นอกจากจะมีจำนวนลูกค้าที่เพิ่มขึ้นแล้ว บริษัทยังเป็นตัวแทนของบริษัทซอฟต์แวร์ที่เพิ่มขึ้นด้วย ในช่วงแรกบริษัทได้ร่วมงานกับบริษัทซอฟต์แวร์เพียงแห่งเดียวคือ Management Science America Corp ที่เมืองแอตแลนต้า ขณะนี้บริษัท Beverly Hills เป็นตัวแทนของบริษัทซอฟต์แวร์มากกว่า 30 บริษัท ได้มีผู้ถาม Smith ว่าเขาทำให้บริษัทซอฟต์แวร์เป็นที่น่าสนใจได้อย่างไร เขากล่าวว่า “ผมเพียงแต่ไปที่บริษัทซอฟต์แวร์และได้แสดงให้ฝ่ายขายของบริษัทซอฟต์แวร์นั้นมองเห็นว่าเขาจะใช้สิ่งนี้เป็นเครื่องมือในการสรุปการขายได้อย่างไร”
ขณะที่ผลกระทบที่แท้จริงของการเช่าซื้อซอฟต์แวร์จะยังเห็นไม่ชัดเจนจนกระทั่งกลางทศวรรษที่ 1990 โดยที่ให้ผู้เชี่ยวชายทางอุตสาหกรรมส่วนใหญ่เห็นพ้องต้องกันว่าธุรกิจเช่าซื้อซอฟต์แวร์จะเป็นตลาดที่มีอัตราการเติบโตสูงมากจำนวนของบริษัทที่ให้เช่าซอฟต์แวร์คาดว่าจะเพิ่มมากขึ้นและบริษัทซอฟต์แวร์อาจเพิ่มจำนวนขึ้นด้วยเช่นกัน

ปัญหาและข้ออภิปราย
1. การเช่าซอฟต์แวร์มีข้อได้เปรียบเหนือกว่าการซื้อและการพัฒนาซอฟต์แวร์ขึ้นเองอย่างไร
ตอบ ผู้เชี่ยวชายทางอุตสาหกรรมส่วนใหญ่เห็นพ้องต้องกันว่าธุรกิจเช่าซื้อ ซอฟต์แวร์จะเป็นตลาดที่มีอัตราการเติบโตสูงมากจำนวนของบริษัทที่ให้เช่า ซอฟต์แวร์คาดว่าจะเพิ่มมากขึ้นและบริษัทซอฟต์แวร์อาจเพิ่มจำนวนขึ้นด้วยเช่น กัน

2. เหตุใดบางบริษัทจึงนิยมซื้อหรือพัฒนาซอฟต์แวร์เองมากกว่าการเช่าซื้อ
ตอบ การเช่าซื้อช่วยให้สามารถดำเนินการได้รวดเร็วขึ้น เพราะไม่ต้องรอการอนุมัติซึ่งอาจใช้เวลานานถึง 3 เดือน วิธีการดังกล่าวทำให้สามารถใช้จ่ายเงินภายในงบประมาณที่จำกัดได้พร้อมทั้ง ได้ซอฟต์แวร์ที่ต้องการอย่างรวดเร็วและช่วยให้การดำเนินงานโดยรวมเร็วขึ้น

3.มีปัญหาอะไรที่อาจเกิดขึ้นบ้างสำหรับบริษัทที่เช่าซอฟต์แวร์ทำงานไม่ได้ตามที่คาดไว้องค์กรที่เกี่ยวข้องกับการทำสัญญาเช่าควรเตรียมการและทำอย่างไรเพื่อหลีกเลี่ยงปัญหาอันอาจจะเกิดขึ้น
ตอบ ควรที่จะทำสัญญาเช่าด้วยระบบคอมพิวเตอร์ซอฟต์แวร์สำเร็จรูปสำหรับธุรกิจหลักดังกล่าว เป็นสัญญาให้ใช้โปรแกรมระบบคอมพิวเตอร์ พร้อมทั้งดำเนินการปรับปรุงสถานที่และติดตั้งระบบ วิเคราะห์และออกแบบกระบวนการปฏิบัติงาน วางแผนและจัดเตรียมการนำข้อมูลเข้าระบบ พัฒนาและทดสอบระบบ ฝึกอบรมผู้ใช้งาน นำระบบไปปฏิบัติงาน และสนับสนุนภายหลังการนำระบบไปปฏิบัติงาน เช่น บำรุงรักษาอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ตลอดอายุของสัญญา