แนวทางการป้องกันภัยคุกคาม-โรงเรียนวัดดงโคกขาม

แนวทางการปอ้ งกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอร์ โรงเรยี นวดั ดงโคกขาม แนวทางการปอ้ งกนั ภยั คุกคาม ทางไซเบอร์ เทคโนโลยี และคอมพิวเตอร์ โรงเรยี นวดั ดงโคกขาม อาเภอบางระกา จังหวัดพษิ ณโุ ลก สานักงานเขตพืน้ ที่การศึกษาประถมศึกษาพิษณุโลก เขต 1 สานกั งานคณะกรรมการการศกึ ษาขน้ั พื้นฐาน กระทรวงศึกษาธกิ าร

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอร์ โรงเรยี นวดั ดงโคกขาม คานา ในปัจจุบันเรื่องของการรักษาความปลอดภัยของข้อมูลถือเป็นส่วนสำคัญของการนำระบบ สารสนเทศเข้ามาใช้ในองค์กร เนื่องจากระบบสารสนเทศใช้คอมพิวเตอร์เป็นหลักในการเก็บรักษาข้อมูล และใชร้ ะบบเครือข่ายเป็นกลางในการติดต่อสื่อสาร จงึ เป็นเรื่องงา่ ยต่อการคุกคามข้อมูลจากผู้ไม่ประสงค์ สำหรับภัยคุกคามต่อระบบคอมพิวเตอร์จะหมายความครอบคลุมทั้งการคุกคามทางฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูล โดยสาเหตุของภัยคุกคามอาจจะมาจากทางกายภาพ เช่น อัคคีภัยปัญหาวงจรไฟฟ้า ระบบสื่อสาร ความผิดพลาดของฮาร์ดแวร์ ความผิดพลาดของชอฟต์แวร์หรือภัยคุกคามที่เกิดจกคนหรือ ผู้ใช้ระบบ เช่น การบุกรุกจากผู้ที่ไม่ได้รับอนุญาต หรือผู้ใช้ไม่เข้าใจระบบทำให้ระบบเกิดความเสียหาย ภัยคุกตามเหล่นี้เป็นสาเหตุให้ข้อมูลในระบบเสียหาย สูญหายถูกขโมยหรือแก้ไขบิดเบือน การนำระบบ สารสนเทศเข้ามาใช้ จึงต้องเพิ่มในเรื่องของระบบการรักษาความปลอดภัยของข้อมูลควบคู่ไปด้วยอย่าง หลีกเลี่ยงไมไ่ ด้ ความร้เู ก่ยี วกับกระบวนการป้องกนั และตรวจสอบการเข้าใช้งานเทคโนโลยสี ารสนเทศโดย ไม่ได้รับอนุญาต ขั้นตอนการปอ้ งกันจะช่วยให้ ผู้ที่ใช้งานสกัดกั้นไมใ่ ห้เทคโนโลยสี ารสนเทศตา่ ง ๆ ถูกเข้า ใช้งานโดยผู้ท่ีไม่ได้รับสิทธิ์ ส่วนการตรวจสอบจะทำให้ทราบได้ว่ามีใครกำลังพยายามที่จะบุกรุก ข้ามาใน ระบบหรือไม่ กรบุกรุกสำเร็จหรือไม่ ผู้บุกรุก ทำอะไรกับระบบบ้าง รวมทั้งการป้องกันจกภัยคุกคาม (Threat) ต่าง ๆ อาชญากรรมคอมพิวเตอร์ การกระทำที่ผิดต่อกฎหมายโดยการใช้คอมพิวเตอร์ หรือ ทำลายคอมพิวเตอร์หรือระบบคอมพิวเตอร์ของผู้อื่นจึงมีความสำคัญต่อผู้ใช้งาน และผู้ดูแลระบบ คอมพิวเตอรเ์ ปน็ อย่างมาก ดังนั้นโรงเรยี นวัดดงโคกขาม จึงจัดทำแนวทางการป้องกันภัยคุกคามทางไซเบอร์ เทคโนโลยีและ คอมพิวเตอร์ขึ้น เพื่อเป็นแนวทางในรักษาความปลอดภัยของข้อมูล ระบบคอมพิวเตอร์ และระบบ เทคโนโลยีสารสนเทศของโรงเรียนต่อไป โรงเรยี นวดั ดงโคกขาม 2563

แนวทางการปอ้ งกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอร์ โรงเรยี นวดั ดงโคกขาม สารบัญ 1 3 7 19 28 25 51

แนวทางการปอ้ งกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 1 ภยั คกุ คามทางไซเบอร์ ภัยคุกคามทางไซเบอร์ถือเป็นภัยคุกคามใหญ่หลวงต่อผลประโยชน์ทางเศรษฐกิจ ตลอดจนความมั่นคง ของประเทศ การโจมตีทางไซเบอร์มีหลายรูปแบบ เช่น การเจาะระบบคอมพิวเตอร์ (hacking) การสอดแนม ข้อมูลคอมพิวเตอร์โดยสปายแวร์ การดักรับข้อมูลคอมพิวเตอร์ (sniffing) การโจมตีโดยชุดคำสั่งไม่พึงประสงค์ (Malicious Software : Malware) หรือการรมุ สอบถามขอ้ มูลจนระบบล่ม (Denial of Service Attack : DOS) การโจมตแี ต่ละครั้งลว้ นสร้างความเสยี หายอย่างมหาศาล ท้งั ตอ่ ความมนั่ คง ความปลอดภัยของระบบสารสนเทศ และเครอื ข่ายคอมพิวเตอร์ ตลอดจนระบบเศรษฐกิจและความมน่ั คงของประเทศ 1. การร่ัวไหลของขอ้ มลู ส่วนบุคคล (Data Breaches) เนื่องจากข้อมูลส่วนบุคคลถือเป็นสิ่งมีราคา เพราะสามารถนำไปขายได้ผ่านทางเว็บใต้ดิน การรั่วไหล ของข้อมูล ฯ จึงจัดวา่ เป็นภัยอันดบั ต้น ๆ ดว้ ยเหตุผลดังกล่าว เรานา่ จะเหน็ องค์กรตา่ ง ๆ เข้มงวดมากข้ึนกับการ รักษาความปลอดภยั และความเป็นส่วนตัวของข้อมูลส่วนบุคคล ประกอบกับหลายบริษทั ยักษใ์ หญห่ ลายแห่งถูก ลงดาบด้วยค่าปรับเป็นเงินจำนวนมาก จากระเบียบว่าด้วยการป้องกันความเป็นส่วนตัวของข้อมูลทั่วไปของ สหภาพยโุ รป (GDPR) นอกจากน้ี Web Application ถอื เป็นแหล่งของการรว่ั ไหลของข้อมูลที่น่าเป็นห่วง ดังน้ัน ความพยายามในการสรา้ งความปลอดภัยของWeb Application น่าจะเป็นสิ่งสำคัญอนั ดบั แรกสำหรบั ทุกองคก์ ร 2. ผูเ้ ชี่ยวชาญดา้ นความปลอดภัยไซเบอร์มไี ม่มากพอกับความต้องการตลาด(The Cybersecurity Skills Gap) เป็นเรื่องที่น่าเศร้าเมื่อภัยคุกคามทางไซเบอร์มีมากกว่าเดิมเป็นทวีคูณทุกปีจนจำนวนผู้เชี่ยวชาญด้าน ความปลอดภัยทางไซเบอร์ในปัจจุบันมีไม่พอที่จะรับมือได้ มีรายงานว่าสองในสามขององค์กรทั่วโลกประสบ ปัญหาขาดแคลนเจ้าหน้าที่รักษาความปลอดภัยด้านไอที ด้วยเหตุนี้ ตัวช่วยที่พอช่วยได้อาจใช้บริการจากผู้ ให้บริการด้านความปลอดภัยแบบประเภทบริการเช่น (DDoS as a Service , Firewall as a Service) หรือใช้ บริการรักษความปลอดภัยแบบรวมศูนย์ต่าง ๆ ก็พอจะช่วยบรรเทาปัญหาขาดแคลนบุคลากรในสายงานนี้ได้ เช่นกนั 3. ประเดน็ ดา้ นความปลอดภัยบนคลาวด์ (Cloud Security Issues) ปัจจุบันการจัดเก็บข้อมูลระดับองค์กรถูกนำไปไว้ไปบนคลาวด์มากขึ้น ภัยคุกคามก็ตามไปเช่นกัน สำหรับองค์กรจึงจำเป็นต้องป้องกันข้อมูลที่สำคัญและลงทุนในระบบการแจ้งเตือนภัยคุกคามแบบเรียลไทม์ อยา่ งทท่ี ราบกันวา่ บนคลาวด์ข้อมลู จะถูกจัดเกบ็ โดยผู้ให้บริการและผู้ใชส้ ามารถเข้าถงึ ผ่านทางอินเทอร์เน็ต ตาม สทิ ธิทไี่ ด้กำหนดไว้ ซึ่งหมายความว่าถ้ามกี ารกำหนดสทิ ธิทผี่ ิดพลาดกอ็ าจจะเกดิ ปญั หาข้อมูลรวั่ ไหลได้เชน่ กัน แฮกเกอร์มีแนวโน้มที่จะเลือกเจาะระบบคลาวด์ที่มีการตั้งค่าของระบบผิด ๆ หรือ ละเลยการตั้งค่าความ ปลอดภัยโดยการใช้ค่าแบบมาตรฐาน (ค่า default) และที่สำคัญเราควรเลือกใช้บริการ cloud โดยคำนึงถึง ปัจจัยเรื่องความปลอดภัยเป็นสำคัญ เนื่องจากมีผู้ให้บริการหลายเจ้า บางเจ้าอาจไม่ได้ทำการตั้งค่าความ ปลอดภัยทดี่ ีพอ จนส่งผลกระทบร้ายแรงตอ่ ผู้รบั บรกิ าร 4. บูรณาการการทำงานผ่านระบบอตั โนมัติ(Automation and Integration in Cybersecurity) ในสภาวะทีข่ าดแคลนบุคคลากรด้านความปลอดภัยไซเบอร์ การใช้ระบบอตั โนมตั เิ ปน็ สงิ่ ท่ีเลี่ยงไม่ได้ บคุ คลกรผู้เชยี่ วชาญด้านความปลอดภยั นักพฒั นาและวิศวกรตา่ ง ๆ สามารถทำงานไดม้ ากขึ้นโดยใช้เวลาน้อยลง กวา่ เดิม เชน่ การรวมความปลอดภัยเขา้ กับกระบวนการพัฒนาแบบ Agile เช่น CI / CD (Continuous

แนวทางการปอ้ งกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 2 Integration, Continuous Delivery) และ DevOps องค์กรสามารถจดั การความเส่ยี งไดอ้ ยา่ งมีประสทิ ธภิ าพ โดยทใ่ี ชเ้ วลาเท่าเดิม 5. ความสำคญั ของการรกั ษาความปลอดภยั ไซเบอร์จะแพรห่ ลายมากขน้ึ การฝกึ อบรมความปลอดภยั ไซเบอร์จะกลายเป็นเร่ืองทต่ี ้องทำสำหรบั พนกั งานในองค์กรทกุ คน เพราะ คนเป็นจุดเริ่มต้นของความช่องโหวห่ ลาย ๆ ดา้ น ในปี 2020 ปจั จัยในการพัฒนาซอฟตแ์ วรผ์ ่านกระบวนการ SecDevOps / DevSecOps เพอ่ื ให้ระบบปลอดภัยตง้ั แต่เริ่มตน้ การพฒั นา จนถึงเรม่ิ ใช้จริง กจ็ ะชว่ ยเพม่ิ ความ ปลอดภยั โดยรวมใหม้ ากขนึ้ อีกด้วย 6. อุปกรณ์พกพาเพมิ่ ความเสี่ยงดา้ นความปลอดภัยทางไซเบอร์ อุปกรณ์พกพายังคงเป็นความเส่ยี งด้านความปลอดภยั อปุ กรณท์ กุ ช้ินทใี่ ช้ในการเช่อื มต่อกับระบบของ องค์กร ถือเปน็ อุปกรณท์ ่ีต้องเขม้ งวดเรื่องการรักษาความปลอดภัยเป็นพเิ ศษ วิธีหน่ึงในการลดความเสยี่ ง คือ ต้องให้อปุ กรณ์นั้น ๆ เขา้ ถึงระบบผ่านขน้ั ตอนการรักษาปลอดภัยต่าง ๆ ทก่ี ำหนดเอาไว้เทา่ นน้ั ถึงแม้ผลกระทบ ทางธรุ กจิ ท่ีไดร้ ับจากจากมัลแวร์มอื ถือยังอยู่ในระดับตำ่ แตเ่ ป็นท่คี าดการณว์ ่าในปี 2020 การร่วั ไหลของข้อมลู ผา่ นการใช้งานอปุ กรณ์มือถอื จะมีเพิม่ ขน้ึ 7. การโจมตีทางไซเบอรท์ ี่ได้รับการสนบั สนุนจากรัฐบาลหรือบางประเทศ อาชญากรไซเบอร์บางกลุ่มทเี่ ช่ยี วชาญการโจมตแี บบ APT โดยไดร้ ับการสนับสนุนจากบางประเทศถือเปน็ ภัยที่ ยังมีอนั ตรายอยมู่ ากในปัจจบุ ัน แฮกเกอรร์ ะดับนส้ี ามารถโจมตี DDoS หรือขโมยข้อมูลระดับสงู ขโมยความลบั ทางการเมอื งและธุรกจิ ได้ไมย่ าก ท่ามกลางความขัดแยง้ ทางการเมือง การทหารและสงครามเศรษฐกจิ คาดได้ เลยวา่ เราจะเห็นการโจมตลี กั ษณะนเ้ี พิม่ ขึน้ การรักษาความปลอดภัยเมื่อเผชิญกับผู้โจมตีขน้ั สงู เชน่ นี้จะต้อง อาศยั องค์กรขนาดใหญ่และภาครฐั ดำเนนิ มาตรการทางความปลอดภยั ไซเบอรท์ ่ีมปี ระสทิ ธิภาพสงู ทัดเทียมกนั เพ่ือป้องกนั และอุดช่องโหว่ต่าง ๆ 8. ภัยทแี่ ฝงมาพร้อมกับอปุ กรณ์ IoT ท่ีมาพร้อมกบั เทคโนโลยีสอื่ สารไรส้ าย 5G สภาพของผู้ผลิตที่เน้นแข่งกันวางตลาดผลิตภัณฑ์ที่มีเทคโนโลยีใหม่ ๆ ประเด็นเรื่องความปลอดภัยจึง อาจถูกมองข้าม ไม่น่าแปลกใจที่การบูมของผลิตภัณฑ์ IoT (Internet of Things) มาพร้อมกับความบกพร่อง ด้านความปลอดภัยมากมาย ไม่ว่าจะเป็นการสื่อสารไร้สายที่ไม่ปลอดภัย ข้อมูลส่วนบุคคลที่ไม่เข้ารหัส การ ปรบั ปรุงเฟิร์มแวร์ที่ไม่ผา่ นการทดสอบให้รอบคอบ เว็บอนิ เทอร์เฟซที่เต็มไปดว้ ยช่องโหว่ อุปกรณ์ IoT ทีเ่ ส่ียงต่อ การถูกเจาะระบบ เช่นเราเตอร์และเซิร์ฟเวอร์ NAS ช่วยแฮกเกอร์เข้าถึงระบบการสื่อสารและข้อมูลสำคัญ ถือ เป็นจุดเริ่มต้นสำหรับใช้โจมตีแบบ DDoS ในขณะที่ผลิตภัณฑ์พวก Home Automation และอุปกรณ์ Wearables สามารถถูกใช้เพือ่ ขโมยข้อมลู สว่ นบคุ คลเพือ่ นำไปประกอบอาชญากรรมได้ 9. ดาบสองคมจากความกา้ วหน้าในดา้ นปญั ญาประดิษฐ์ (AI on both sides of the barricades) ในขณะที่เทคโนโลยี AI ถูกนำไปใช้ในผลติ ภณั ฑม์ ากขึ้นเรื่อย ๆ ในทุกอุตสาหกรรมรวมถึงความปลอดภยั ไซเบอร์ ไม่วา่ จะเป็นการใช้อัลกอริทึมการเรียนรู้ข้ันสงู สำหรบั การตรวจจับใบหนา้ เพ่ือระบุตวั ตน การประมวลผล เพื่อความเขา้ ใจในภาษามนษุ ย์ และการตรวจจับภยั คุกคาม อยา่ งไรก็ตาม AI ยงั ทำหน้าที่ในฐานะเคร่ืองมืออัน ชาญฉลาดของอาชญากรไซเบอร์เพ่ือพฒั นามลั แวรแ์ ละวธิ ีการโจมตที ่ซี ับซอ้ นมากข้ึนเช่นกัน 10. ภัยคกุ คาม Phishing ท่ียังไงก็ฆ่าไมต่ าย การโจมตีแบบ Phishing ยังคงเป็นวิธีที่ได้ผลในการขโมยข้อมูลส่วนตัว แพร่กระจายมัลแวร์ ใช้ หลอกลวงทางการเงินต่าง ๆ รวมทั้ง Cryptojacking เพื่อลักลอบนำอุปกรณ์ของเหยื่อมาช่วยขุด Cryptocurrency เช่นเดียวกับการโจมตี Ransomware ซงึ่ ยงั เป็นแหลง่ ทำเงนิ สำหรบั อาชญากรไซเบอร์

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 3 ภยั คกุ คามทางคอมพิวเตอร์ ภัยคุกคาม (Threat) หมายถึงสิ่งที่อาจก่อให้เกิดความเสียหายแก่คุณสมบัติของข้อมูลหรือสารสนเทศ ในด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน โดยอาจเกิดจากธรรมชาติหรือบุคคล อาจจะตั้งใจหรือไม่ก็ตามหาก พิจารณาตามความเสียหายที่เกิดขึ้น อาจแบ่งประเภทภัยคุกคามออกเป็น 2 ประเภทได้แก่ ภัยคุกคามทาง กายภาพ และภยั คกุ คามทางตรรกะ 1. ภัยคุกคามทางกายภาพ (Physical Threat) เป็นลักษณะภัยคุกคามที่เกิดขึ้นกับฮาร์ดแวร์ที่ใช้ใน ระบบคอมพิวเตอร์และระบบเครือข่าย เช่น ฮาร์ดดิสก์เสีย หรือทํางานผิดพลาด โดยอาจเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ ฟ้าผ่า เป็นต้น แต่ในบางครั้งอาจเกิดจากการกระทําของมนุษย์ด้วยเจตนาหรือไม่เจตนา กต็ าม 2. ภัยคกุ คามทางตรรกะ (Logical Threat) เปน็ ลกั ษณะภยั คกุ คามท่ีเกิดขนึ้ กับข้อมูลหรือ สารสนเทศ หรือการใชท้ รพั ยากรของระบบ เช่น การแอบลักลอบใช้ระบบคอมพวิ เตอรโ์ ดยไม่ได้รบั อนุญาตการขัดขวางไม่ให้ คอมพิวเตอร์ทํางานได้ตามปกติ การปรับเปลี่ยนข้อมูลหรือสารสนเทศโดยไม่ได้รับอนุญาติเป็นต้น ซึ่งส่วนใหญ่ เกดิ จากฝีมือมนษุ ย์ อาชญากรรมคอมพวิ เตอรจ์ ํานวนมากเกิดขึน้ จากฝมี ือของพนักงานหรือลกู จ้างขององค์กร เน่อื งจากเป็น การง่ายที่จะทราบถึงช่องโหว่หรือระบบการรักษาความปลอดภัย หรือแม้กระทั่งเป็นผู้มีสิทธิ์เข้าถึงข้อมูลและ สารสนเทศนั้นอยู่แล้ว ทําให้ง่ายที่จะประกอบอาชญากรรม ทั้งนี้องค์กรจึงต้องมีระบบที่รองรับการตรวจสอบวา่ ใครเปน็ ผ้เู ขา้ ไปทํารายการต่าง ๆ ในระบบ สําหรับบุคคลภายนอกองค์กร อาจเป็นการยากกว่าทีจ่ ะเข้าถึงระบบ เนื่องจากองค์กรสว่ นใหญ่จะมีการ ปอ้ งกนั ขอ้ มูลและระบบสารสนเทศของตนในระดับหนึ่งแลว้ แต่ก็ใชว่ ่าจะเปน็ ไปไม่ได้ ยงั มบี ุคคลทเ่ี รียกตนเองว่า แฮคเกอร์ (hacker) ซึ่งเป็นบุคคลที่มีความสนใจและมีความรู้ลึกซึ้งเกี่ยวกับการทํางานของระบบคอมพิวเตอร์ โดยเฉพาะระบบปฏิบัติการและซอฟต์แวร์ รวมถึงมักเป็นโปรแกรมเมอร์ที่เก่งกาจ อาศัยความรู้เหล่านี้ทําให้ ทราบถึงชอ่ งโหว่ของระบบ นาํ ไปสู่การแอบเข้าไปในระบบคอมพิวเตอรข์ องผู้อ่นื โดยไม่ได้รบั อนญุ าต และอาจเข้า ไปขโมยข้อมลู ทําลายขอ้ มูล ปรบั เปลยี่ นขอ้ มูล หรอื สรา้ งปญั หาอน่ื ๆ ให้เกดิ ขึ้นในระบบคอมพวิ เตอร์ ตวั อย่างภัยคุกคามทางตรรกะ เชน่ 2.1 ไวรัสคอมพิวเตอร์ (Computer Virus) เป็นโปรแกรมคอมพิวเตอร์ที่เขียนขึ้นโดยมี ความสามารถในการแพร่กระจายตัวเองจากไฟล์หนึง่ ไปยังไฟล์อื่น ๆ ในเครื่องคอมพิวเตอร์ ซึ่งในการกระจายไป ยงั เคร่ืองอนื่ ๆ ตอ้ งอาศัยพาหะ เชน่ เมื่อเคร่ืองคอมพิวเตอร์เคร่ืองหนึ่งตดิ ไวรัส และมกี ารนําแฟลชไดร์ฟไปเสียบ ใช้งานกับเคร่ืองดังกล่าว ไฟล์ไวรัสจะถูกสําเนา (copy) ลงในแฟลชไดร์ฟโดยผู้ใช้ไม่รู้ตัว เม่ือนําแฟลชไดร์ฟไปใช้ งานกบั เครอ่ื งอน่ื ๆ ก็จะทําให้ไวรสั แพร่กระจายไปยงั เครื่องอ่ืนต่อไป ความเสียหายของไวรัสนั้นข้ึนอยู่กับผู้เขียน โปรแกรม ซ่งึ มตี งั้ แต่แค่สร้างความรําคาญให้กบั ผ้ใู ช้ เชน่ มีเสยี งหรอื ภาพปรากฏท่ีจอภาพ ทาํ ใหเ้ ครื่องช้าลง จน ไปถงึ ทําความเสียหายใหก้ ับขอ้ มูล เชน่ ลบไฟลข์ อ้ มูลท้งั หมดท่ีมีอยู่ในฮารด์ ดิสก์

แนวทางการปอ้ งกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 4 การป้องกันไวรสั คอมพิวเตอร์สามารถทําได้โดยติดตัง้ โปรแกรมแอนตี้ไวรัส (Antivirus Program) ลงใน เครื่องคอมพิวเตอร์ ซ่ึงปกตโิ ปรแกรมจะทําการสแกนหาไวรสั ในเครือ่ งตอนติดตั้ง และมีการกําหนดเวลาให้สแกน เป็นระยะ หรอื ผใู้ ช้อาจสงั่ ให้โปรแกรมสแกนหาไวรสั ในไฟลท์ ต่ี ้องการ แต่ขณะเดยี วกนั ผใู้ ชต้ อ้ งหมน่ั อัพเดทข้อมูล ไวรัสอย่างสมํ่าเสมอ มิเช่นนนั้ โปรแกรมอาจไมร่ ู้จักไวรสั ใหม่ ๆ ซึง่ มีเพ่มิ ข้ึนทุกวัน นอกจากน้ีใหร้ ะมัดระวังในการ ใชส้ ่ือบนั ทกึ ข้อมลู ตา่ ง ๆ เช่น แฟลชไดรฟ์ ตวั อย่างโปรแกรมแอนต้ีไวรัส 2.2 หนอนคอมพิวเตอร์ (Computer Worm) หรือเรียกสั้น ๆ ว่าเวิร์ม (Worm) เป็นไวรสั คอมพิวเตอร์ที่ได้รับการพัฒนาให้สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์เครื่องอื่น ๆ ที่อยู่ในระบบ เครือขา่ ยโดยไม่ต้องอาศัยพาหะ เวิรม์ จะใช้ประโยชน์จากแอปพลิเคชันที่รบั ส่งไฟล์โดยอัตโนมัติ จึงไม่จําเป็นต้อง อาศัยผู้ใช้งานคอมพิวเตอร์ในการสั่งทํางานทําให้สามารถแพร่กระจายได้ด้วยตัวเองอย่างรวดเร็วเช่น การแชร์ ไฟล์ข้อมูลผ่านระบบเครือข่าย อาจเป็นช่องโหว่ให้เวิร์มแพร่กระจายไปยังเครื่องที่แชร์ นอกจากอาจสร้างความ เสียหายให้กับเครื่องคอมพิวเตอร์ที่ติดแล้ว ยังสร้างความเสียหายให้กับระบบเครือข่ายโดยใช้แบนด์วิดท์ (Bandwidth) จาํ นวนมากทําใหเ้ ครอื่ งคอมพวิ เตอร์อ่นื ๆ ไม่สามารถใชง้ านระบบเครอื ขา่ ยได้ สําหรับวิธีการป้องกันเวิร์มสามารถทําได้โดยตดิ ตัง้ โปรแกรมแอนตี้ไวรสั และอัพเดทข้อมูลไวรัสอยู่เสมอ ระมัดระวังในการเปิดอีเมลและไฟล์แนบที่ส่งมาจากคนที่ไม่รู้จัก คอยอัพเดทระบบปฏิบัติการ และติดตั้งไฟร์ วอลล์ (Firewall) 2.3 ม้าโทรจัน (Trojan horse) หมายถึง โปรแกรมคอมพิวเตอร์ที่ประสงค์ร้ายแต่ทําการ หลอกผ้ใู ชว้ า่ เปน็ โปรแกรมทีม่ ปี ระโยชนอ์ ื่น ๆ เพ่ือให้ผใู้ ชต้ ิดตง้ั โปรแกรมลงในเครอื่ งคอมพวิ เตอร์ ซึง่ ตวั โปรแกรม ก็อาจทํางานได้ตามท่ีผใู้ ช้ต้องการ แต่ขณะเดยี วกันกแ็ อบเกบ็ ข้อมลู หรือสร้างประตหู ลัง (Backdoor) ซึ่งเป็นช่อง โหวข่ องระบบรักษาความปลอดภัยสําหรับการโจมตีเครื่องคอมพิวเตอร์ ทําใหผ้ ไู้ ม่ประสงคด์ ีสามารถเข้าถึงเครื่อง คอมพิวเตอร์เครื่องนั้นได้ ชื่อม้าโทรจันได้มาจากเรื่องสงครามเมืองทรอย โดยโอดิสเซียสออกอุบายเพื่อบุกเข้า เมอื งทรอยท่ีมีปอ้ มปราการแข็งแรง ด้วยการให้ทหารสรา้ งมา้ ไม้ไปวางไว้หน้ากําแพงเมืองทรอย แลว้ แสรง้ ทําเป็น ล่าถอยออกไป เมื่อชาวทรอยเห็นแล้วเข้าใจว่าเป็นบรรณาการที่ทางฝ่ายกรีกสร้างขึ้นมาเพื่อบูชาเทพเจ้าและล่า ถอยไปแล้วจึงลากม้าเข้าไปไว้ในเมืองและฉลองชัยชนะ เมื่อตกดึกทหารกรีกที่ซ่อนตัวอยู่ในม้าไม้ก็ไต่ลงมาเผา

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 5 เมอื งและปล้นเมืองทรอยไดส้ าํ เร็จ วธิ กี ารป้องกันม้าโทรจนั คลา้ ยกบั การป้องกนั ไวรสั คือใหต้ ดิ ตั้งโปรแกรมแอนต้ี ไวรัสและอัพเดทข้อมูลแอนตี้ไวรัสอยู่เสมอ รวมถึงระมัดระวังในการติดตั้งโปรแกรมที่ไม่ทราบแหล่งที่มา ควรโหลดโปรแกรมโดยตรงจากแหล่งทเ่ี ชือ่ ถอื ได้เท่าน้นั 2.4 สปายแวร์ (Spyware) เป็นโปรแกรมที่ออกแบบมาเพื่อสังเกตการณ์หรือดักจับข้อมูล รวมถึงบันทึกการกระทําของผู้ใช้บนเครื่องคอมพิวเตอร์และส่งผ่านอินเทอร์เน็ตโดยที่ผู้ใช้ไม่ได้รับทราบ สปาย แวร์สามารถรวบรวมข้อมูล และสถิติการใช้งานจากผู้ใช้ได้หลายอย่าง ขึ้นอยู่กับการออกแบบโปรแกรม ซึ่งส่วน ใหญ่จะบันทึกเว็บไซต์ที่ผู้ใช้เข้าถึง และส่งไปยังบริษัทโฆษณาต่าง ๆ บางโปรแกรมอาจบันทึกว่าผู้ใช้พิมพ์ อะไรบ้าง เพือ่ พยายามค้นหารหสั ผา่ น หรอื เลขหมายบตั รเครดิต บางโปรแกรมอาจมคี วามสามารถในการควบคุม เครื่องคอมพวิ เตอรเ์ ลยทีเดียว ว ิ ธ ี ก า ร ป ้ อ ง ก ั น ส า ม า ร ถ ท ํ า ไ ด ้โ ด ยต ิ ด ตั้ ง โ ป ร แ ก รม แ อ น ต ี ้ ส ปา ย แ ว ร ์ ( Anti-spyware) เช่นWindows Defender, Ad-Aware SE, Spybot – Search & Destroy, Spyware Terminator เปน็ ต้น มีโปรแกรมประเภทหนึ่งเรียกว่า แอดแวร์ (Adware) เป็นโปรแกรมที่สามารถแสดงหรือดาวน์โหลดสื่อ โฆษณาไปยังคอมพิวเตอร์ที่ติดตั้งโปรแกรมชนิดนี้ไว้ โดยให้ใช้งานโปรแกรมประยุกต์แลกกับการโฆษณา แต่มี แอดแวรบ์ างตวั เปน็ สปายแวร์ บางคนจึงเขา้ ใจผิดวา่ แอดแวร์คือสปายแวร์ 2.5 คีย์ล็อกเกอร์ (Keylogger) คือ โปรแกรมหรืออุปกรณ์ที่ทําหน้าที่คอยจําการกดปุ่มบน คีย์บอร์ด โดยจะทําการบันทึกสิ่งที่ผู้ใช้พิมพ์ลงไปและส่งไปให้กับเจ้าของโปรแกรมหรืออุปกรณ์ ข้อมูลที่ผู้ติดตั้ง คีย์ล็อกเกอร์ต้องการ เช่น ชื่อผู้ใชแ้ ละรหัสผ่าน รหัสเข้าอีเมล วันเดือนปีเกิด หมายเลขบัตรเครดิต หรือรหัสเขา้ ระบบธรุ กรรมออนไลนต์ ่าง ๆ การติดตั้งแอนตี้ไวรัสอาจช่วยได้บางส่วน ในขณะเดียวกันควรระมัดระวังเสมอโดยเฉพาะเมื่อใช้เครื่อง คอมพิวเตอร์ที่ไม่ใช่ของตนเอง การใช้คีย์บอร์ดเสมือน (Virtual Keyboard) ซึ่งอาศัยการคลิ๊กเมาส์แทนการกด คีย์บอร์จริงสามารถป้องกนั คียล์ อ็ กเกอรไ์ ด้ 2.6 การปฏิเสธการให้บริการ (Denial of Service : DoS) เป็นชื่อการโจมตีแบบหนึ่ง โดย ระดมส่งขอ้ มูลไปยังเคร่ืองคอมพวิ เตอรเ์ ปา้ หมาย มีวัตถุประสงค์ใหเ้ คร่ืองเปา้ หมายไม่สามารถทํางานได้ตามปกติ ซึ่งหากเป็นการระดมโจมตีจากเครื่องคอมพิวเตอร์หลาย ๆ เครื่องจะเรียกว่า Distributed Denial of Service (DDoS) ซง่ึ มกั กระทําโดยส่งไวรัสหรือเวริ ม์ ไปติดเครื่องคอมพิวเตอรห์ ลาย ๆ เครื่อง เคร่อื งคอมพวิ เตอรท์ ่ีติดไวรัส แล้วจะถูกเรียกว่าซอมบี้ (Zombies) เมื่อถึงเวลาผู้โจมตีจะส่ังเครื่องคอมพิวเตอร์ที่ติดไวรัสทุกเคร่ืองให้ระดมสง่ ข้อมูลไปยังเครื่องเป้าหมาย เครื่องคอมพิวเตอร์เป้าหมายจะต้องรับภาระหนักนอกจากนี้ยังส่งผลให้มีการใช้ แบนด์วิดท์ในระบบเครือข่ายจํานวนมาก สามารถป้องกันโดยติดตั้งไฟร์วอลติดตั้งอุปกรณ์ที่มีระบบป้องกัน DDoS เช่น เราเตอรบ์ างรนุ่ 2.7 ฟิชชิ่ง (Phishing) เป็นการพยายามหลอกลวงโดยการสร้างอีเมล์หรือหน้าเว็บปลอม ขึน้ มา เพอื่ ใหผ้ ู้ใชง้ านเกิดความสับสน และทําธรุ กรรมต่าง ๆ บนเว็บไซตป์ ลอมท่ีถูกสรา้ งข้ึน โดยขอ้ มลู ต่าง ๆ ท่ี ผู้ใชง้ านได้กรอกบนหนา้ เว็บปลอมเหล่านจี้ ะถูกบันทึกไว้เพ่ือใช้ในการปลอมแปลงและเข้าถึงข้อมูลของผู้เสียหาย โดยที่ไม่ได้รับอนุญาต คําว่าฟิชชิ่งพ้องเสียงมาจากคําว่า Fishing ซึ่งแปลว่าการตกปลา หรือการใช้เหยื่อล่อให้ ผู้ใช้งานหลงกลเข้ามาติดเบ็ด มักพบเห็นในรูปแบบส่งอีเมลปลอมจากสถาบันการเงินหรือธนาคารและเว็บไซต์ เลียนแบบธนาคาร ป้องกันโดยต้องระมัดระวังในการใช้งาน หมั่นสังเกต URL หรือชื่อเว็บไซต์ที่ถูกต้องที่ตนเอง ใช้อยู่

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 6 2.8 สแปมเมล (Spam Mail) หรือ อีเมลขยะ (Junk Mail) เป็นการส่งอีเมลไปยังผู้ใช้อีเมล จํานวนมากโดยผู้รับเหลา่ นั้นไม่ได้ต้องการ ผู้รับจะได้รับอีเมลจากบุคคลที่ไม่รู้จักหรือไม่ทราบท่ีมา ทําให้รําคาญ ใจและเสียเวลาในการลบข้อความเหล่านั้น ร้ายไปกว่านั้นคืออาจเป็นอีเมลหลอกลวงหรือมีการแนบไวรัสมา พร้อมอีเมลด้วย อีเมลขยะทําให้ประสิทธิภาพการรับส่งข้อมูลบนระบบเครือข่ายลดลง ในจํานวนอีเมลนับล้าน ฉบับที่ส่งบนเครือข่ายอินเทอรเ์ นต็ พบว่าส่วนใหญเ่ ปน็ อีเมลขยะ รายชื่อผู้รับในอีเมลขยะสว่ นใหญ่ถกู เก็บมาจาก กระทูห้ รือเว็บไซตต์ า่ ง ๆ สาํ หรบั วธิ ปี ้องกนั อีเมลขยะทาํ ได้โดยเลอื กใชบ้ ริการอเี มลจากผู้ให้บริการท่ีมีระบบป้องกันอีเมลขยะซ่ึงใน ความจริงไม่มีใครป้องกันอีเมลขยะได้ทั้งหมด แต่ก็ดีกว่าไม่ได้ป้องกันเลย และไม่ควรตอบอีเมลขยะเนื่องจากจะ ทําให้ผู้ส่งทราบว่าผู้รับมีตัวตนจริงและมั่นใจที่จะสง่ อีเมลขยะมาอีก ทางทีดีควรลบอีเมลขยะโดยไม่เปดิ อ่านเลย เพราะอีเมลบางฉบับอาจบรรจุคุกกี้ (cookies) ไว้ และส่งข้อมูลกลบั ไปยังผู้ส่ง โดยเฉพาะไฟล์ที่แนบมากับอีเมล ขยะอาจเป็นไวรสั เมือ่ เปดิ ไฟลเ์ หล่านั้นก็จะทําให้เคร่อื งของผรู้ ับตดิ ไวรสั ได้ 2.9 การสอดแนม (Snooping) หรอื สนฟิ ฟิง (Sniffing) หรอื อีฟดรอปปิง (Eavesdrooping) เป็นการดกั รับข้อมลู จากระบบเครือข่ายโดยท่ีข้อมูลนั้นไม่ไดส้ ่งมาหาตน ซึง่ โดยหลกั การของการสื่อสาร ในระบบเครือข่ายเดียวกันเมื่อมีการส่งข้อมูลระหว่างเครื่อ งคอมพิวเตอร์จะมีการกระจายหรือส่งข้อมูลไปทุก เครอื่ ง ซึง่ ปกติเครื่องคอมพิวเตอร์จะเลือกรับเฉพาะข้อมูลท่ีระบุว่าส่งมาหาตนเท่านนั้ แต่มีซอฟต์แวร์ท่ีเรียกว่าส นิฟเฟอร์ (Sniffer) ซ่ึงจะดักรับทุก ๆ ข้อมูลที่ส่งมาทําให้สามารถรู้ข้อมูลที่เครื่องอ่ืน ๆ ส่งหากันทัง้ ทีต่ นเองไม่ใช่ ผูร้ บั หลกั การป้องกนั ทําไดโ้ ดยใช้กระบวนการเขา้ รหสั จะเห็นไดว้ ่ามภี ัยคุกคามจํานวนมากและหลากหลายประเภท ซึ่งสาํ หรับโปรแกรมต่าง ๆ ทถ่ี กู สรา้ งข้นึ มา โดยมีวัตถุประสงค์ไม่ดีเรามักเรียกโปรแกรมเหล่านี้ว่า มัลแวร์ (Malware) ตัวอย่างเช่น ไวรัส เวิร์ม หรือโทรจัน ทก่ี ล่าวไว้ข้างตน้ กจ็ ดั ว่าเปน็ มัลแวร์ สาํ หรับเทคนิคการปอ้ งกันเครือ่ งคอมพิวเตอร์ ข้อมลู และสารสนเทศจากภยั คมุ คามเหลา่ น้ีมหี ลายวิธีดังที่ กล่าวมา เช่น ใช้โปรแกรมปอ้ งกันไวรัส ไฟล์วอล การเข้ารหัส เป็นต้น อย่างไรก็ตามก็ไมส่ ามารถป้องกันได้อยา่ ง สมบรู ณ์ ยงั มโี อกาสที่เคร่ืองคอมพิวเตอร์จะถูกโจมตี ดังน้ันสิ่งท่ีจะทําได้อีกอย่าง คือ การสํารองข้อมูล(Backup) ซึ่งเป็นการคัดลอกแฟ้มข้อมูลไปเก็บรักษาไว้ เพื่อหลีกเลี่ยงความเสียหายที่จะเกิดขึ้นหากข้อมูลเกิดการเสียหาย หรอื สญู หาย โดยหากข้อมลู เสียหายกส็ ามารถนําข้อมลู ท่ีสาํ รองไวม้ าใช้งานได้ทันที เชน่ เก็บไว้ในแผน่ Diskette และเก็บไว้ใน Harddisk ด้วย และแผ่น CD-RW เป็นต้น ซึ่งในปัจจุบันเมื่อมีความนิยมใช้ระบบคลาวด์ (Cloud) ก็มีความนิยมสํารองข้อมูลไว้ในระบบคลาวด์เพิ่มขึ้น เช่น การเก็บสํารองรูปถ่ายไว้ใน GooglePhoto หรือเก็บ ไฟล์ไว้ใน Google Drive หรือแมก้ ระท่งั สาํ รองขอ้ มูลโทรศัพท์ไว้ในระบบ iCloud เป็นตน้

แนวทางการปอ้ งกันภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 7 ภยั คุกคามทางเทคโนโลยีสารสนเทศ (Threats of Information technology) ภัยคกุ คามจากเทคโนโลยสี ารสนเทศ(Threats of Information technology) โลกไซเบอร์ทุกวันนี้ก้าวหน้าอย่างรวดเร็วจนแทบตามไม่ทันขณะเดียวกันบรรดา มิจฉาชีพก็ฉวยโอกาส เกาะขบวนรถไฟสายเทคโนโลยีขบวนนี้ด้วย โดยอาศัยช่องโหว่ของระบบปฏิบัติการ บวกกับความ รเู้ ทา่ ไม่ถึงการณแ์ ละการละเลยในการศึกษาข้อแนะนำต่าง ๆ ของผู้ใช้คอมพวิ เตอร์ ซึง่ เป็นเสมือนหนึ่งเปิดประตู ต้อนรับโจรไซเบอร์เข้าโดยไม่รู้ตัว และด้วยหน้าที่การงานทุกวันนี้เราต่างก็เป็นคนหนึ่งที่ได้ชื่อว่าเป็น “ผู้ใช้ คอมพิวเตอร์” ปัจจุบันเทคโนโลยีได้เป็นที่สนใจของคนทุกมุมโลกทุกสาขา เทคโนโลยีจึงเป็นที่แพร่หลายและ นำมาใช้ในการทำงานและชีวิตประจำวัน การเรียนการศึกษาในสมัยนี้จึงมีหลักสูตรที่เกี่ยวกับเทคโนโลยีเข้าไป ด้วย เทคโนโลยีที่ล้ำหน้าที่สุดที่คนทั่วโลกให้ความสำคัญคือ เพราะปัจจุบันนี้อุปกรณ์หลายชนิดก็ต้องพึ่งพา เทคโนโลยีสารสนเทศ ไม่ว่าจะเป็น คอมพิวเตอร์ โทรศพท์ มือถือ PDA GPS ดาวเทียม และไม่นานมานี้มีการ ออกพระราชบญั ญัติวา่ ด้วยการกระทำความผิดเกี่ยวกับ คอมพวิ เตอร์ เป็นการบง่ บอกว่าสังคมให้ความสำคัญแก่ คอมพิวเตอร์ จึง ได้มีการออกพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ประกาศในราช กิจจานุเบกษา เมื่อวันที่ 18 มิถุนายน 2550 และมีผลบังคับใช้ในวันท่ี 19 กรกฎาคม 2550 กฎหมายนี้เป็น กฎหมายที่กำหนดฐานความผิดและบทลงโทษสำหรับการกระทำความผิดทาง คอมพิวเตอร์ในรูปแบบใหม่ ซ่ึง กฎหมายท่ีผ่านมายงั ไมส่ ามารถรองรับหรือครอบคลุมถึง เช่น การกระทำใหร้ ะบบคอมพิวเตอร์ไมส่ ามารถทำตาม คำสง่ั ที่กำหนดไวห้ รือทำใหก้ ารทำ งานผดิ พลาดไปจากคำสั่งท่ีกำหนดไว้ หรอื ใช้วิธกี ารใดๆ เข้าลว่ งรู้ข้อมูล แก้ไข หรอื ทำลายขอ้ มูลของบุคคลอ่นื ในระบบคอมพวิ เตอร์โดยมชิ อบฯลฯ ดังนั้น “ เทคโนโลยี ” หรือ เทคนิควิทยา มีความหมายค่อนข้างกว้าง โดยทั่วไปหมายถึง การนำความรู้ ทางธรรมชาติวิทยา และต่อเนื่องมาถึง มาเป็นวิธีการปฏิบัตแิ ละประยุกต์ใช้เพื่อช่วยในการทำงานหรือแกป้ ัญหา ต่าง ๆ อนั ก่อใหเ้ กิดวสั ดุ อุปกรณ์ เครอ่ื งมอื เคร่ืองจักร แมก้ ระท่ังองค์ความรู้ เชน่ ระบบหรอื กระบวนการต่าง ๆ เพื่อให้การดำรงชีวิตของมนุษย์ง่ายและสะดวกยิ่งขึ้น เทคโนโลยีก่อเกิดผลกระทบต่อ และในพ้ืนที่ที่มีเทคโนโลยี เข้าไปเกี่ยวข้องในหลายรูปแบบ เทคโนโลยีได้ช่วยให้สังคมหลาย ๆ แห่งเกิดการพัฒนาทางเศรษฐกิจมากขึ้นซ่ึง รวมทั้งเศรษฐกิจโลกในปัจจุบัน ในหลาย ๆ ขั้นตอนของการผลิตโดยใช้เทคโนโลยีได้ก่อให้ผลผลิตที่ไม่ต้องการ หรือเรียกว่ามลภาวะ เกิดการสูญเสียทรัพยากรธรรมชาติและเป็นการทำลายสิ่งแวดล้อม เทคโนโลยีหลาย ๆ อย่างที่ถูกนำมาใช้มีผลต่อค่านิยมและวัฒนธรรมของสังคม เมื่อมีเทคโนโลยีใหม่ ๆ เกิดขึ้นก็มักจะถูกตั้งคำถาม ทางจริยธรรม นอกจากนี้ การ์ทเนอร์ (Gartner, Inc.) บริษัทวิจัยและที่ปรึกษาชั้นนำ ของโลกทางด้านเทคโนโลยีสารสนเทศ หรือ ไอที (IT) ได้ระบุถึงแนวโน้มเทรนด์ เทคโนโลยีสำคัญในปี 2020 ซึง่ จะก่อให้เกดิ ความเปลย่ี นแปลงคร้ังใหญ่ในอนาคต แม้ว่าในตอนนี้จะยังอยู่ในระยะเริ่มต้น แต่คาดการณ์ว่าจะได้รับการใช้งานอย่าง แพร่หลายและสร้างแรงกระเพื่อมในวงกว้างมากขึ้น รวมถึงมีแนวโน้มที่จะเตบิ โต อยา่ งรวดเร็วจนถงึ ระดบั สงู สดุ ในชว่ งอีก 5 ปีขา้ งหน้า

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 8 มร. เดวิด เซียร์ลีย์ รองประธานและผู้เชี่ยวชาญอาวุโสของการ์ทเนอร์ (Gartner, Inc.) กล่าวว่า “People-Centric Smart Space คือโครงสร้างที่ใช้ในการจัดการและประเมินผลกระทบหลักของเทรนด์ เทคโนโลยีที่สำคัญที่สุดที่การ์ทเนอร์ใช้ สำหรับปี 2020 การกำหนดกลยุทธ์ด้านเทคโนโลยีโดยยึดเอาผู้ใช้เป็น ศนู ย์กลางนับเปน็ หน่ึงในแง่มุมที่สำคัญท่ีสุดของเทคโนโลยี โดยพจิ ารณาถึงผลกระทบของเทคโนโลยีที่มีต่อลูกค้า พนักงาน คู่ค้า สังคม และภาคส่วนอื่น ๆ ที่เกี่ยวข้อง การดำเนินการทั้งหมดขององค์กรจะต้องคำนึงถึง ผลกระทบโดยตรงและโดยอ้อมที่จะเกิดขึ้นต่อบุคคลและกลุ่มต่าง ๆ และนี่คือแนวทางการดำเนินงานที่ให้ ความสำคญั กบั บุคคลเป็นหลัก” “สมาร์ทสเปซ (Smart spaces) สร้างขึ้นจากแนวคิดที่ให้ความสำคัญกับคน Smart spaces เป็น สภาพแวดล้อมทางกายภาพที่ผู้คนและระบบที่อาศัยเทคโนโลยีมีปฏิสัมพัน ธ์กันในระบบนิเวศน์อัจฉริยะที่เปิด กว้าง มีการเชื่อมต่อถึงกัน และมีการประสานงานร่วมกันมากขึ้น หลาย ๆ องค์ประกอบ รวมถึงบุคคล กระบวนการ บริการ และอุปกรณ์ต่าง ๆ ทำงานร่วมกันใน Smart spaces เพื่อสร้างสรรค์ประสบการณ์โต้ตอบ แบบอนิ เทอร์แอคทีฟและกลมกลืนอยา่ งอัตโนมตั ยิ ิ่งข้นึ ” 10 แนวโนม้ เทคโนโลยที ส่ี าคญั ท่สี ุดสาหรับปี 2020 มดี ังน้ี 1. Hyperautomation Hyperautomation เป็นการผสานรวมเทคโนโลยี Machine Learning (ML), ซอฟต์แวร์สำเร็จรูป และ เครื่องมือต่าง ๆ สำหรับระบบงานอัตโนมัติเข้าไว้ด้วยกันเพื่อรองรับการทำงาน ไฮเปอร์ออโตเมชั่นนอกจากจะ ครอบคลุมเครื่องมือที่หลากหลายแล้ว ยังครอบคลุมทุกขั้นตอนของระบบงานอัตโนมัติ (ค้นหา วิเคราะห์ ออกแบบ ดำเนินการโดยอัตโนมัติ ตรวจวัด กำกับดูแล และประเมินผล) การทำความเข้าใจเกี่ยวกับกลไกที่ หลากหลายของระบบอตั โนมัติ รวมถึงความเกีย่ วข้องกันของกลไกเหล่าน้ี และแนวทางการผสานรวมกลไกตา่ ง ๆ เพื่อให้ทำงานร่วมกันได้อย่างกลมกลืนถือเป็นหัวใจสำคัญของไฮเปอร์ออโตเมชั่น เทรนด์ดังกล่าวเริ่มต้นจาก กระบวนการทำงานแบบอัตโนมัติ (Robotic Process Automation - RPA) อย่างไรก็ตาม ลำพังเพียงแค่ RPA ไม่ถือว่าเป็นไฮเปอร์ออโตเมชั่น เพราะระบบไฮเปอร์ออโตเมชั่นจำเป็นต้องอาศัยการผสานรวมเครื่องมือต่าง ๆ เพื่อทำหนา้ ที่แทนมนษุ ย์

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 9 2. Multiexperience จนถึงปี 2571 ประสบการณ์การใช้งานของผู้ใชจ้ ะมีการเปล่ียนแปลงครัง้ ใหญ่ในส่วนทีเ่ กีย่ วกับวิธีทีผ่ ้ใู ช้ รับรู้และสัมผัสกับโลกดิจิทัล รวมถึงวิธีการโต้ตอบและมีปฏิสัมพันธ์กับโลกดิจิทัล แพลตฟอร์มการสนทนา (Conversational Platforms) ก่อให้เกิดการเปลี่ยนแปลงสำหรับรูปแบบการโต้ตอบระหว่างผู้ใช้กับโลกดิจิทัล ขณะที่ Virtual reality (VR), Augmented Reality (AR) และ Mixed Reality (MR) ทำให้รปู แบบการรับรู้และ สัมผัสกับโลกดิจิทัลเปลี่ยนแปลงไป การเปลี่ยนแปลงทั้งหมดนี้ทั้งในส่วนของรูปแบบการรับรู้และการมี ปฏิสัมพันธ์จะนำไปสู่ประสบการณ์แบบพหุประสาทสัมผัส (Multisensory) ในหลากหลายรูปแบบ (Multimodal) มร. ไบรอัน เบิร์ก รองประธานฝา่ ยวจิ ัยของการ์ทเนอร์ กลา่ วว่า “โมเดลดังกล่าวจะเปล่ียนแปลง จากรูปแบบของผู้ใช้ที่เรียนรู้เกี่ยวกับเทคโนโลยีไปสู่รูปแบบของเทคโนโลยีที่เรียนรู้เกี่ยวกับผู้ใช้ หน้าที่ในการ แปลความหมายจะเปล่ียนยา้ ยจากผู้ใช้ไปสู่คอมพิวเตอร์ ความสามารถในการติดต่อสื่อสารกบั ผู้ใชผ้ ่านประสาท รับรู้หลายๆ ด้านของมนุษย์จะก่อให้เกิดสภาพแวดล้อมที่มีความหลากหลายสำหรับการนำเสนอข้อมูลที่มีความ แตกต่างกนั ในระดบั ทีล่ ะเอยี ดลึกซง้ึ มากข้ึน” 3. Democratization of Expertise Democratization การเปิดโอกาสให้ผู้คนเข้าถึงความเชี่ยวชาญด้านเทคนิค (เช่น ML, การพัฒนา แอพพลิเคชั่น) หรือความเชี่ยวชาญด้านธุรกิจ (เช่น กระบวนการขาย การวิเคราะห์ทางเศรษฐศาสตร์) ผ่าน ประสบการณ์ที่เรียบง่ายกว่าเดิม และไม่จำเป็นต้องเข้ารับการฝึกอบรมที่ยาวนานและเสียค่าใช้จ่ายจำนวนมาก ตัวอย่างเช่น นักพัฒนาทั่วไปที่สามารถทำหน้าที่เป็นดาต้า ไซแอนทิส (Data Scientists) หรือผู้ติดตั้งระบบโดย ไม่ต้องมีความเชี่ยวชาญเฉพาะด้าน หรือสามารถพัฒนาโปรแกรมหรือสร้างโมเดลข้อมูลโดยไม่ต้องเขียนโค้ด จนถึงปี 2566 การ์ทเนอร์คาดว่า 4 ปัจจัยที่สำคัญที่เป็นตัวเร่งแนวโน้ม Democratization ให้เกิดขึ้น ได้แก่ Democratization ในด้านข้อมูลและการวิเคราะห์ (เครื่องมือที่ใช้สำหรับนักวิทยาศาสตร์ข้อมูลจะขยายไปสู่ ชุมชนนักพัฒนาระดับมอื อาชีพ), การพัฒนา (ใช้เครื่องมือ AI ในการพัฒนาแอพพลิเคชัน่ ), การออกแบบ (ขยาย ไปสกู่ ระบวนการที่ไม่ต้องมีการเขียนโค้ดหรือใช้โค้ดน้อยมาก โดยอาศัยฟังกช์ ่นั การพัฒนาแอพพลเิ คชน่ั เพ่ิมเติมท่ี ทำงานแบบอัตโนมัติ เพื่อเสริมศักยภาพให้แก่นักพัฒนาทั่วไป) และความรู้ (บุคลากรที่ไม่ได้อยู่ในสายงานไอที สามารถใช้เครอื่ งมือและระบบความเชี่ยวชาญเพ่ือปรบั ใชท้ ักษะเฉพาะดา้ น) 4. Human Augmentation Human Augmentation เป็นการใชเ้ ทคโนโลยเี พือ่ ปรับปรุงทางดา้ นการรบั รูแ้ ละกายภาพ โดยเป็นส่วน สำคัญของประสบการณ์ของผู้ใช้ Augmentation ในด้านกายภาพจะช่วยปรับปรุงหรือเปลี่ยนแปลงขีด ความสามารถของมนุษย์ ด้วยการปลูกถ่ายหรือติดตั้งส่วนประกอบทางด้านเทคโนโลยีไว้บนร่างกายของมนุษย์ เช่น อุปกรณ์สวมใส่ สว่ น Augmentation ในดา้ นการรับรู้จะอาศยั การเขา้ ถึงข้อมูลและการใช้แอพพลิเคชั่นบน ระบบคอมพิวเตอร์ทั่วไป รวมถึงอินเทอร์เฟซแบบ Multiexperience ในสภาพแวดล้อมของสมาร์สเปซ ในช่วง 10 ปขี า้ งหนา้ จะมกี ารยกระดบั Human Augmentation ทั้งด้านกายภาพและการรับรู้ โดยจะได้รับการใช้งาน อย่างแพร่หลายเพื่อเสริมสร้างประสบการณ์ของผู้ใช้ และจะนำไปสู่กระแส“Consumerization” รูปแบบใหม่ ซง่ึ พนักงานจะพยายามใช้เทคโนโลยีเพ่ือเสริมสร้างและขยายขีดความสามารถและประสบการณ์ของตนเอง และ ปรับปรุงสภาพแวดลอ้ มการทำงานภายในสำนักงาน

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 10 5. Transparency and Traceability ผู้บรโิ ภคมคี วามตระหนักรูเ้ พิ่มมากขึ้นวา่ ข้อมูลส่วนตวั ของตนมมี ูลค่า และดงั น้ันจึงต้องการท่ีจะควบคุม ข้อมูลดังกล่าว องค์กรต่าง ๆ รับรู้ถึงความเสี่ยงที่เพิ่มมากขึ้นของการปกป้องและจัดการข้อมูลส่วนตัว ขณะท่ี รัฐบาลเริ่มบังคับใช้กฎหมายที่เข้มงวดเพื่อให้มีการคุ้มครองและจัดการข้อมูลดังกล่าวอย่างเหมาะสม ความ โปร่งใส (Transparency) และการตรวจสอบย้อนกลับ (Traceability) ถือเป็นองค์ประกอบสำคัญที่จะช่วย สนับสนุนจริยธรรมทางดิจิทัล (Digital Ethics) และการปกป้องความเป็นส่วนตัว ความโปร่งใสและการ ตรวจสอบย้อนกลับหมายรวมถึงแนวคิด การดำเนินการ เทคโนโลยีที่รองรับ และแนวทางปฏิบัติที่ได้รับการ ออกแบบเป็นพิเศษเพื่อรองรับกฎระเบียบทีเ่ กี่ยวข้อง และสนับสนุนแนวทางท่ีถูกต้องตามหลักจรยิ ธรรมสำหรับ การใช้เทคโนโลยีปัญญาประดิษฐ์ หรือ เอไอ (Artificial Intelligence : AI) และเทคโนโลยีขั้นสูงอื่น ๆ รวมทั้ง แกไ้ ขปญั หาการขาดความนา่ เชื่อถือของบริษัทต่าง ๆ องค์กรที่พยายามจะสร้างความโปร่งใสและความนา่ เชื่อถือ จำเป็นทจ่ี ะต้องมุ่งเนน้ 3 ส่วนหลกั ๆ ได้แก่ (1) AI และ ML; (2) การเก็บรกั ษา การครอบครอง และการควบคุม ข้อมลู ส่วนตัว และ (3) การออกแบบทส่ี อดคล้องกนั ตามหลกั จรยิ ธรรม 6. การเพิม่ ขีดความสามารถให้กบั สว่ นขอบของเครือขา่ ย (Empowered Edge) เอดจ์คอมพิวติ้ง (Edge Computing) เป็นโครงสร้างเครือข่ายคอมพิวเตอร์ที่จัดวางการประมวลผล ข้อมูลและการรวบรวมและนำเสนอคอนเทนต์ไว้ใกล้กับแหล่งที่มา คลังข้อมูล และผู้ใช้ข้อมูลดังกล่าว โดย พยายามที่จะทำให้แทรฟฟิกและการประมวลผลอยู่ในเครือข่ายโลคอล เพื่อลดความหน่วง ใช้ประโยชน์จาก ทรัพยากรที่ส่วนขอบของเครือข่าย และเพิ่มอำนาจในการควบคุมและตัดสินใจให้กับระบบที่อยู่ส่วนขอบของ เครอื ขา่ ย มร. เบริ ก์ กลา่ ววา่ “ความสนใจเอดจ์คอมพวิ ต้ิงในปจั จุบนั สว่ นใหญ่มาจากความจำเป็นของระบบ IoT ที่ต้องรองรับการทำงานในลักษณะกระจัดกระจายในโลกของ IoT ที่มีอยู่ในอุปกรณ์ต่าง ๆ สำหรับอุตสาหกรรม หนึ่ง ๆ เป็นการเฉพาะ เช่น อุตสาหกรรมการผลิตหรือค้าปลีก อย่างไรก็ตาม ในอนาคต เอดจ์คอมพิวติ้งจะเปน็ ปัจจัยสำคัญต่อทุกกลุ่มอุตสาหกรรมและทุกการใชง้ าน เพราะส่วนที่อยู่รอบนอกของเครือข่ายถูกเสริมศักยภาพ ด้วยทรัพยากรประมวลผลที่ก้าวล้ำและรองรับการใช้งานเฉพาะด้านมากขึ้น รวมไปถึงอุปกรณ์จัดเก็บข้อมูลที่ มากขึ้น อุปกรณ์ลูกข่ายที่ซับซ้อน เช่น หุ่นยนต์ โดรน ยานพาหนะไร้คนขับ และระบบปฏิบัติการ จะเร่งให้เกิด การเปล่ียนแปลงรวดเรว็ ย่ิงขึ้น” 7. ระบบคลาวด์แบบกระจาย (Distributed Cloud) ระบบคลาวด์แบบกระจายหมายถึงการกระจายตวั ของบริการคลาวด์สาธารณะไปยงั สถานที่ต่าง ๆ โดย ที่ผู้ให้บริการต้นทางของคลาวด์สาธารณะมีหน้าที่ควบคุม กำกับดูแล ปรับปรุง และพัฒนาบริการดังกล่าว ซ่ึง นบั เป็นการเปลี่ยนแปลงครั้งสำคญั จากเดิมทบี่ ริการคลาวดส์ าธารณะสว่ นใหญม่ ีลักษณะรวมศนู ย์ (Centralized) และการเปลย่ี นแปลงน้จี ะนำไปสศู่ ักราชใหม่ของคลาวด์คอมพิวตง้ิ (Cloud Computing) 8. อปุ กรณ์อัตโนมัติ (Autonomous Things) อปุ กรณอ์ ตั โนมัติหมายถงึ อุปกรณ์ทางกายภาพท่ีใช้ AI เพือ่ ทำงานตา่ ง ๆ โดยอัตโนมตั ิ โดยเข้ามาแทนท่ี มนษุ ย์ อปุ กรณอ์ ัตโนมัติที่พบเหน็ ได้ทวั่ ไปก็คือ หุ่นยนต์ โดรน ยานพาหนะ/เรือไร้คนขับ และเครื่องมือต่าง ๆ ที่ ทำงานได้เอง การทำงานแบบอัตโนมัติที่ว่านี้จะครอบคลุมขอบเขตมากกว่าการทำงานอัตโนมัติตามโมเดลที่ตั้ง ค่าไว้อย่างตายตัว กล่าวคือ อุปกรณ์เหล่าน้ีจะใช้ AI เพื่อทำงานขั้นสูง และโต้ตอบกับคนหรือสิ่งรอบข้างได้อย่าง เป็นธรรมชาติมากขึน้ ขณะทค่ี วามสามารถทางเทคโนโลยีไดร้ บั การพัฒนาปรับปรุงอย่างต่อเน่ือง กฎระเบียบก็มี การเปิดกว้างและอนุญาตให้ใช้งานอุปกรณ์เหล่านี้มากขึ้น และสังคมให้การยอมรับเพิ่มมากขึ้น ซึ่งจะส่งผลให้ อุปกรณ์อัตโนมัติถูกใช้งานมากขึ้นในพื้นที่สาธารณะที่ปราศจากการควบคุม มร. เบิร์ก กล่าวต่อ ว่า “ขณะที่

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 11 อุปกรณ์อัตโนมัตไิ ด้รับการใช้งานอย่างแพร่หลายมากขึ้น เราคาดว่าจะมีการเปลี่ยนแปลงจากอุปกรณ์อัจฉริยะท่ี ทำงานตามลำพังไปสู่กลุ่มอุปกรณ์อัจฉริยะหลาย ๆ เครื่องที่ทำงานร่วมกัน โดยอาจแยกเป็นอิสระจากคนหรือ อาจมกี ารป้อนคำสั่งโดยมนุษย์ ตัวอยา่ งเช่น แขนกลหลากหลายรูปแบบทท่ี ำงานอย่างสอดประสานกันในโรงงาน ประกอบชิ้นส่วน ในส่วนของธุรกิจขนส่ง โซลูชั่นที่มีประสิทธิภาพมากที่สุดก็คือการใช้อุปกรณ์อัตโนมัติเพ่ือ เคลื่อนย้ายพัสดุไปยังพื้นที่เป้าหมาย โดยหุ่นยนต์และโดรนที่เดินทางไปพร้อมกับยานพาหนะอาจจะทำหน้าที่ จัดส่งพสั ดุถึงมือผ้รู ับปลายทาง” 9. บล็อกเชนที่ใชง้ านได้ในทางปฏบิ ัติ เทคโนโลยีบล็อกเชน (Blockchain) มีศักยภาพที่จะพลิกโฉมอตุ สาหกรรมต่าง ๆ โดยจะช่วยสรา้ งความ น่าเชื่อถือ ความโปร่งใส และรองรับการแลกเปลี่ยนมูลค่าในระบบนิเวศน์ทางธุรกิจ ทั้งยังช่วยลดต้นทุนและ ค่าใช้จ่าย เพิ่มความรวดเร็วในการทำธุรกรรม และปรับปรุงกระแสเงินสด เทคโนโลยีดังกล่าวช่วยให้สามารถ ตรวจสอบแหลง่ ทม่ี าของสินทรพั ย์ จึงลดโอกาสทีจ่ ะมกี ารสลับเปลี่ยนเป็นสินคา้ ปลอม นอกจากน้ี การตรวจสอบ ติดตามสินทรัพย์ยังมีประโยชน์ในด้านอื่น ๆ เช่น การตรวจสอบสินค้าประเภทอาหารในซัพพลายเชนเพื่อระบุ แหล่งที่มาของการปนเปื้อน หรือการตรวจสอบชิ้นส่วนที่เฉพาะเจาะจงเพื่อเพิ่มความสะดวกในการเรียกคืน สินค้า การใช้งานบล็อกเชนในอีกรูปแบบหนึ่งที่มีความเป็นไปได้ก็คือ การจัดการตัวตนผู้ใช้ นอกจากนี้ยัง สามารถต้ังค่าสัญญาแบบ Smart Contract ไว้ในบลอ็ กเชน เพอ่ื ใหเ้ หตุการณ์อย่างใดอย่างหน่ึงเป็นทริกเกอร์ให้ เกิดการดำเนินการอื่นต่อไป เช่น ระบบจะปลดล็อคการชำระเงินหลังจากลูกค้าได้รับสินค้า มร. เบิร์ก กล่าว เพิ่มเติมว่า “บล็อกเชนยังขาดความพร้อมสำหรับการใช้งานในระดับองค์กร เนื่องจากยังมีปัญหาด้านเทคนิค มากมายหลายประการ เช่น ขาดเสถียรภาพ และไม่สามารถใช้งานร่วมกันได้อย่างเหมาะสม อย่างไรก็ดี ถึงแม้ จะมีปัญหาท้าทายดังกล่าว แต่เทคโนโลยีนี้มีศักยภาพที่สูงมากสำหรับการพลิกโฉมอุตสาหกรรมและการสร้าง รายได้ ดงั นนั้ องค์กรต่าง ๆ จงึ ควรเร่ิมต้นพจิ ารณาและประเมินความเป็นไปไดข้ องบล็อกเชน แต่เราคาดว่ายังคง ไม่มกี ารปรบั ใชเ้ ทคโนโลยนี ี้อย่างจริงจังและเปน็ รปู ธรรมในอนาคตอนั ใกล้” 10. ระบบรกั ษาความปลอดภัย AI ปัญญาประดิษฐ์ หรือ เอไอ (Artificial Intelligence : AI) และ ระบบการเรียนรู้ด้วยตัวเอง (Machine Learning : ML) จะยังคงถูกใช้งานเพื่อยกระดับการตัดสินใจของมนุษย์ในการใช้งานที่หลากหลาย ซึ่งจะช่วย สร้างโอกาสในการรองรับระบบไฮเปอร์ออโตเมชั่น และการใช้ประโยชน์จากอุปกรณ์อัตโนมัติเพือ่ ปรับปรุงธรุ กิจ แต่ในขณะเดียวกันก็ทำให้เกิดปัญหาท้าทายใหม่ ๆ สำหรับทีมงานฝ่ายไอทีที่ดูแลด้านความปลอดภัยและ ผู้บริหารที่ต้องจัดการดูแลความเสี่ยง เพราะจะทำให้มี ช่องทางการโจมตีเพิ่มขึ้นอย่างมากจากการใช้งาน IoT, คลาวด์คอมพิวติ้ง, ไมโครเซอร์วิส และระบบที่มีการ เชอื่ มต่อกันอย่างกวา้ งขวางใน Smart Spaces ผู้บริหาร ฝ่ายรักษาความปลอดภัยและความเสี่ยงควรจะให้ ความสำคัญกับ 3 เรื่องหลัก ๆ ได้แก่ การปกป้องระบบที่ ขับเคลื่อนด้วย AI, การใช้ AI เพื่อปรับปรุงระบบรักษา ความปลอดภัย และการคาดการณ์เกี่ยวกับการใช้งาน AI โดยคนรา้ ยทตี่ ้องการโจมตีเครือข่าย

แนวทางการป้องกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 12 ดังนั้นผู้ใช้เทคโนโลยีทั้งหลายจะต้องระวังภัยที่เกิดจากการใช้เทคโนโลยี เป็นภัยที่ต้องใช้เครื่องมือทาง สังคมในการสอดส่อง และกำกับการใช้งาน ด้วยเหตุนี้ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร จึงให้ ความสำคัญกับการจัดการเว็บไซต์ที่ไม่เหมาะสมเป็นอันดับต้น ๆ เนื่องจากเป็นภัยอันตรายต่อความคิดและ พฤติกรรมของการบรโิ ภคส่ือ ซงึ่ จะมีแนวทางร่วมกันเฝ้าระวงั ภยั ทางเทคโนโลยีอย่างไร ติดตามจากรายงาน ศูนย์ ปฏิบัติการความปลอดภัยอินเทอร์เน็ต หรือ Internet Security Operation Center เรียกสั้น ๆ ว่า ศูนย์ ISOC จัดตั้งขึ้น โดยความดูแลของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร และหน่วยงานด้านความมั่นคงของ ประเทศ ประกอบด้วย กรมยุทธการทหารบก กรมการทหารสื่อสาร ศูนย์รักษาความมั่นคงภายใน กองทัพไทย สำนักข่าวกรองแห่งชาติ สำนักงานสภาความมั่นคงแห่งชาติ กองบัญชาการสอบสวนกลาง กระทรวงการ ตา่ งประเทศ สำนักงานอยั การสูงสดุ และสำนกั งานตำรวจแหง่ ชาติ เพ่ือทำหนา้ ที่เฝา้ ระวงั และตอบโต้การกระทำ ทุกรูปแบบที่มีผลกระทบต่อความมั่นคง วัฒนธรรม ศีลธรรม การพนัน และสิ่งผิดกฎหมายผ่านทางเครือข่าย อินเทอร์เนต็ ภัยร้ายที่เกิดขน้ึ ในโลกออนไลน์ ดงั น้ี 1. ภัยจากไวรัสคอมพิวเตอร์และอีเมลล์แปม(Computer Virus and E-mail SPAM) ปัจจุบัน ไวรัสคอมพิวเตอร์นยิ มแพรผ่ ่านอุปกรณ์เชือ่ มต่อยูเอสบี(USB) เช่น แฟลชไดรฟ์ ทัมบ์ไดรฟ์ และเครื่องเล่นเอ็มพี 3 เป็นต้น ซึ่งโปรแกรมสแกนไวรัสไม่สามารถตรวจพบไวรัสได้ และเมื่อไวรัสเข้ามาอยู่ในเครือ่ ง นอกจากจะแพร่ ไวรัสในคอมพิวเตอร์แล้ว ยังเป็นการเปิดให้แฮ็กเกอร์เข้ามาทำลายข้อมูลได้อีกเช่นกัน ส่วนสแปมสามารถแพร่ ทางเครือข่ายอินเทอร์เน็ตความเร็วสูง เช่น ข้อมูลผู้ใช้บริการเครือข่ายอินเทอร์เน็ตความเร็วสูง 5 แสนราย มีผู้ ติดสแปมถึง 5 หมื่นราย ดังนั้นจึงควรติดตั้งโปรแกรมป้องกันสแปม เพื่อเป็นการช่วยคัดครองสแปม โดยสแปม เมลล์ (Spam mail) เกดิ จากผไู้ มห่ วงั ดีใช้จดหมายอิเล็คทรอนิคหรืออีเมลล์เปน็ เครื่องมือส่ง ขอ้ มูลอันตรายให้กับ ผู้ใช้งานอินเทอร์เน็ตทั้งในรูปแบบการแนบไฟล์หรือในรูป แบบของเนื้อหาล่อลวง ส่วนวิธีการป้องกัน คือ ใช้ ระบบแอนตี้สแปมและไวรัสป้องกันที่อินเทอร์เน็ตเกตเวย์ หรือใช้ซอฟต์แวร์กรองสแปมเมลล์ในจุดที่ระบบของ ผู้ใช้รับ-สง่ อีเมลลจ์ ากอิน เทอร์เน็ต นอกจากนั้น ถ้าไม่จำเป็นอย่าเผยแพร่อีเมลล์ตนเองในเว็บบอร์ดและเว็บไซต์ ของตนเอง แต่ในกรณีจำเป็นควรทำเป็นรูปภาพ หรือ ในรูปเอชทีเอ็มเอลแทน นอกจากนี้ยังมี สปายแวร์ (Spyware) ซึ่งมีสาเหตุหลักมาจากการเข้าชมเว็บไซต์ต่างๆ แบบไม่ระมัดระวังและดาวน์โหลดไฟล์ต่างๆ ที่มี สปายแวร์ติดมาด้วย ซึ่งสปายแวร์ก็คือ โปรแกรมเล็กๆที่ถูกเขียนขึ้นมาสอดส่อง (สปาย)การใช้งานเครื่อง คอมพิวเตอรข์ องเรา โดยมจี ุดประสงค์อาจจะเพื่อโฆษณาสินค้าต่างๆสปายแวร์บางตัวก็สรา้ งความรำคาญ เพราะ จะเปิดหนา้ ตา่ งโฆษณาบ่อยๆพร้อมกันหลายๆ หน้าตา่ ง แต่บางตัวอาจจะทำใหใ้ ชอ้ ินเตอรเ์ นท็ ไม่ไดเ้ ลย 2. ภัยจากการขโมยข้อมูล (Unauthorized Logical & Physical Access) ข้อมูลสำคัญทาง คอมพิวเตอร์จะอยู่ในฮาร์ดดิสก์ ซึ่งมีวิธีนำออกมา 2 แบบ คือ คนบุกเข้าไปขโมยฮาร์ดดิสก์ออกจากเครื่อง คอมพิวเตอร์ และแฮ็กเกอร์เข้าไปขโมยข้อมูลในฮาร์ดดิสก์ประเภทแรก คือ การเปลี่ยนแปลง ทำลาย ยกเลิก หรือขโมยข้อมูลทางคอมพิวเตอร์ โดยผิดกฎหมาย ส่วนใหญ่จะกระทำโดยพนักงานในองค์กรนั้นเองเพื่อต้องการ ปกปิดธุรกรรมที่ไม่ ชอบ แต่ถ้าเป็นคนนอกจะเป็นการยากมากที่จะเจาะเข้าไปในระบบได้และส่วนมากจะทำ เพื่อเปลี่ยนแปลงข้อมูลต่างๆ ส่วนอีกประเภทหนึ่งนั้นคือ ผู้ที่พยายามหาวิธีการ หรือหาช่องโหว่ของระบบ เพ่ือ แอบลักลอบเข้าสู่ระบบ เพื่อล้วงความลับ หรือแอบดูข้อมูลข่าวสาร บางครั้งมีการทำลายข้อมูลข่าวสาร หรือทำ ความเสียหายใหก้ ับองคก์ ร เช่น การลบรายชื่อลกู หนี้การค้า การลบรายชื่อผู้ใช้งานในระบบ ยิ่งในปัจจบุ นั ระบบ เครือขา่ ยเช่ือมโยงถึงกันท่วั โลก ปญั หาในเรื่องอาชญากรรมทางดา้ นเทคโนโลยี โดยเฉพาะในเรื่องแฮกเกอร์ก็มีให้

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 13 เหน็ มากขึ้น ผู้ท่ีแอบลักลอบเขา้ สรู่ ะบบจงึ มาไดจ้ ากทั่วโลก และบางครั้งก็ยากที่จะดำเนินการใดๆได้ ลักษณะของ การก่อกวนในระบบท่ีพบเห็นมีหลายรูปแบบ แต่ละรูปแบบมีวิธีการแตกตา่ งกัน เทคนิควิธีการท่ีใช้กแ็ ตกต่างกัน ออกไป 3. ภัยที่เกิดจากการใช้อินเทอร์เน็ต (Social Engineering, Identity Theft, Phishing, and Pharming Tactics, etc.) เป็นภัยที่สร้างความเสียหายแก่ทรัพย์สินมากที่สุด เช่น การส่งอีเมลล์แจ้งว่าถูก ลอตเตอรี่ ใหโ้ อนเงนิ ภาษีไปให้ก่อน หรือส่งอเี มลล์เพ่ือเขา้ สู่เว็บไซต์ธนาคารต่างๆ ทล่ี วงขึ้นมาเพ่ือให้เหยื่อกรอก รหัสสมาชกิ และรหสั ผ่าน กอ่ นนำขอ้ มูลไปทำธุรกรรมทางการเงินแทนเจ้าของเงนิ ตวั จรงิ รวมถึงการโทรศัพท์ลวง ถามขอ้ มลู บตั รเครดติ เพอ่ื นำไปทำบตั รเครดิตปลอมด้วย Internet คือสื่อประเภทหนึ่งซึ่งขึ้นอยู่กับผู้ใช้งานที่จะใช้ในทางที่ถูกหรือผิดตาม วัตถุประสงค์ แต่ใน โลกมืดของ Internet ถา้ ผู้ใชอ้ นิ เตอรเ์ นต็ ไปในทางทผี่ ิดกจ็ ะกอ่ ใหเ้ กดิ ปญั หาตามมาดังนี้ – ปัญหา : การถูกล่อลวงไปการทำมิดีมิร้ายซ่ึงเกิดจาก Social Engineering หลีกเล่ยี งการพบคนแปลก หน้าทาง Internet วัยรุ่นมักจะพูดคุยหรือหาเพื่อน มีสังคมของเขาโดยทำการพิมพ์ข้อความเสนทนาผ่านพวก Instant Messenger (IM หรือโปรแกรมสนทนา) สิ่งที่เกิดขึ้นตามมาที่เราเห็นบ่อย ๆ คือการนัดหมาย พบปะกัน เพราะฉะนั้นสิ่งที่ควรหลีกเลี่ยงคือ ไม่ควรนัดพบเจอบุคคลแปลกหน้าในที่ลับตาคน หรือนัดไปกัน 2 ต่อ 2 ถ้าจะมีการพบเจอกันจริง ๆ ควรพาเพื่อน หรือบุคคลที่สนิทไปด้วย เพื่อหลีกเลี่ยงการถูกพาไปล่อลวง ข่มขนื หรอื กระทำชำเรา – ปัญหา : การถูกแอบอ้างชื่อไปใช้ในทางที่ไม่ดี( Identity Theft ) หลีกเลี่ยงการให้ข้อมูลส่วนตวั เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์มือถือจริงบนเว็บไซต์ที่ไม่ได้มาตรฐาน (เว็บไซต์ที่ดีจะมีตัวช่วยในการปกปิด ข้อมูลเหล่านี้ได้) – เพราะว่าการที่เราเข้าไปพูดคุยกับคนแปลกหน้านั้น หรือเว็บหาเพื่อน หาคู่ทั้งหลาย ไม่ควร อย่างยงิ่ ท่เี ราจะให้ข้อมูลส่วนตัวเหล่าน้นั ไป เพราะเราเองไม่สามารถทราบได้เลยว่าเขามคี วามคิดอย่างไรกับเรา วันดคี นื ดคี ุณอาจจะได้รับโทรศัพท์ หรอื SMS ทั้งวนั โดยท่ีนอกจากคุณจะรำคาญแล้ว บางทอี าจจะมคี นโทรมาว่า กล่าวตำหนิคุณเนื่องจากพวกโรคจิตเอาเบอร์โทรศัพท์ หรือชื่อเล่นของคุณที่คุณไปโพสต์ไว้ เอาไปโพสต์ต่อไว้ใน กระทกู้ ็เป็นได้ – ปัญหา : การทำธุรกรรมทางการเงิน ( Phishing, and Pharming Tactics ) เป็นการหลอกลวงข้ัน สูงทางอินเตอร์เน็ตในรูปแบบของการปลอมแปลง อีเมล์ หรือข้อความที่สร้างขึ้นเพื่อหลอกให้เหยื่อ เปิดเผย ข้อมูลทางด้านการเงินหรือข้อมูลส่วนตัวต่าง ๆ อาทิ ข้อมูลหมายเลขบัตรเครดิต หมายเลขประจำตัวผู้ใช้ (User Name) รหสั ผ่าน (Password) หมายเลขบัตรประจำตัว โดยการสง่ อเี มล์ หรือขอ้ ความท่ีอา้ งวา่ มาจากองค์กรต่าง ๆ ทท่ี า่ นติดตอ่ ด้วย เชน่ บริษทั ใหบ้ รกิ าร Internet หรือ ธนาคาร โดยสง่ ข้อความเพื่อขอใหท้ ่าน “อัพเดท” หรือ “ยืนยัน” ข้อมูลบัญชีของท่าน หากท่านไม่ตอบกลับอีเมล์ดังกล่าว อาจก่อให้เกิดผลเสียตามมาได้ เพื่อให้อีเมล์ ปลอมที่ส่งมานั้นดสู มจรงิ ผู้ส่งอีเมล์ลวงนี้จะใส่ hyperlink ที่อีเมล์ เพื่อให้เหมือนกับ URL ขององค์กรนั้นๆ จริง ซงึ่ แทท้ ่จี รงิ แลว้ มนั คือเวบ็ ไซตป์ ลอม หรอื หนา้ ต่างท่สี ร้างขึน้ หรอื ท่เี ราเรียกวา่ “เวบ็ ไซตป์ ลอมแปลง” (Spoofed Website) เมื่อท่านเข้าสู่เว็บไซต์ปลอมเหล่านี้ ท่านอาจถูกล่อลวงให้กรอกข้อมูลส่วนตัวที่จะถูกส่งไปยังผู้ผลิต เว็บไซต์ลวง เหล่านี้ เพื่อนำข้อมูลของท่านไปใช้ประโยชน์ เช่น ซื้อสินค้า สมัครบัตรเครดิต หรือแม้แต่ทำสิ่งผิด กฎหมายอ่ืนๆ ในนามของท่าน – ปัญหา: การที่เด็กเล่นเกมส์มากจนเกินไป อย่าปล่อยให้บุตรหลานของท่านอยู่บนโลกของเกมส์ ออนไลนม์ ากจนเกินไป แท้ทจี่ ริงแล้วเกมสท์ ่ีดสี ามารถช่วยในการพัฒนาทักษะ ตรรกะ ไหวพริบ ปฏิภาณฯ แต่ส่ิง ที่แอบแฝงมากับเกมส์ออนไลน์สมัยนี้กลับกลายเป็น “ยาเสพติด” ทำนองที่ว่า ไม่ติดแต่ขาดไม่ได้ ถ้า ความสามารถของตัวละครในเกมสไ์ ม่เพิ่ม วันนีไ้ ม่นอน (เสียท้ังสขุ ภาพกายและจติ ใจ)

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 14 ▪ เกมสส์ มยั นี้มที งั้ เรือ่ งเพศทแ่ี ฝงมากับส่ือ ซึ่งโลกความจรงิ ท่คี ุณและเขาเปน็ ไมไ่ ด้ แต่โลกเสมือนจริงนัน้ ทำ ได้ ตัวตนแท้จริงของผู้เล่นเป็นเด็กผู้ชาย แต่อยากกลายเป็นผู้หญิงทำให้ความคิดของเด็กถูกสิ่งเร้าและ อยากใหเ้ กิดความ รูส้ ึกในการเบีย่ งแบนทางเพศ ▪ การซอ้ื ขายของในโลกเสมอื นจรงิ การซ้อื บัตรเติมเงนิ เพือ่ แลกของหรือ Item ในเกมสท์ มี่ าในรปู แบบของ การซื้อการ์ดตามร้านสะดวกซื้อ หรือผ่านโทรศัพท์มือถือในการเติมแต้ม ซึ่งโลกความจริงคุณกำลังเอา เงนิ ไปแลกกับรหสั 0 กับ 1 เพ่อื ใหไ้ ด้ความรู้สึกวา่ คุณแข็งแกร่งมากในเกมส์ แตค่ ุณกลับอ่อนแอมากใน โลกความจริง พ่อแม่ควรอบรมดูแลให้เด็กได้เรียนรจู้ ักโลกความจรงิ โลกเสมือนจริง ให้เขาได้เข้าใจและ แยกแยะได้ และเด็กบางคนไม่เข้าใจว่าเงินที่พ่อแม่หามาได้อย่างยากลำบากนั้นกำลังสูญไป กับความ บันเทงิ ทีจ่ บั ตอ้ งไม่ได้ ▪ เกมส์มีความทารุณโหดเหี้ยม ซึ่งไม่เหมาะสมกับเด็ก การที่เด็กไม่บรรลุนิติภาวะ หรือเกมส์บางเกมส์ไม่ เหมาะสำหรับอายุของเขา ควรแนะนำว่าอย่าปล่อยให้เขาเล่น แม้จะมีความรู้สึกว่ามันไม่เสียหาย แต่ เปน็ เพราะวา่ เกมส์ทยี่ ิงกนั มเี ลือดพุ่ง มกี ารทำรา้ ยรา่ งกายกนั สิง่ เหล่าน้เี ด็กสามารถรับ และซมึ ซับได้ง่าย อย่างมาก และส่งผลต่อความคิด การกระทำของเขาเมื่อโตเป็นผู้ใหญ่ บางทีเขาอาจจะหยิบมีดแทงใคร ซกั คนดว้ ยความแคน้ โดยทเ่ี ขาไม่รสู้ กึ ผิดก็ได้ – ปัญหา : การที่เดก็ ดสู อ่ื ลามกอานาจาร ส่งผลให้เด็กมีนสิ ัยทขี่ ัดต่อวัฒนธรรม ควรหลีกเลย่ี งการปล่อยให้ บตุ รหลานของคุณใชเ้ น็ตในท่ีลับตาคนบางครอบครัวเอา คอมพิวเตอร์ไว้ในหอ้ งนอนของลูกๆ โดยท่ไี ม่ได้สอดส่อง ดูแล จงึ มกั จะเปน็ ข่าวที่วา่ มีนัดหมายกันออกไปและกระทำผิดทางเพศกนั บางรายทีพ่ ่อแม่ซอื้ กลอ้ ง (Webcam) ให้ลูกก็มีข่าวถึงการโชว์เนื้อหนังผ่านทางกล้องและถูกบันทึกไปลงใน Internet และถูกข่มขู่กันก็มี หรือบางราย ถูกล่อลวงหายไปจากบ้านจนพ่อแม่ต้องไปแจ้งความ หรือบางรายถูกข่มขใู่ ห้ทำผดิ ทางเพศก็มี อยากจะแนะนำว่า ถา้ เปน็ ไปได้ พ่อแมค่ วรจะสอดส่องดูแล ควรตัง้ เคร่ืองคอมพวิ เตอร์ไว้ในทๆี่ ผู้ปกครองสามารถสอดส่องดูแลเขาได้ หรือควรจะตรวจเช็คประวัติการใช้งานของลูกคุณบ้าง คอยตักเตือนเขาเมื่อเข้าไปในเว็บที่ไม่เหมาะสมพ่ อแม่ จำเปน็ ต้องเรียนรู้ เรือ่ งเทคโนโลยีใหเ้ ป็นและใชเ้ วลากับเขาด้วย – ปัญหา : การที่เด็กก้าวร้าว เนื่องจาก ติด internet ทำให้ไม่สุงสิงกับครอบครัว หรืออาจเกิดจาก ผู้ปกครองไม่ควบคุมดูแลหรือดูแลไม่ทวั่ ถึงควร หลกี เลีย่ งในการโพสต์ดา่ ดว้ ยข้อความหยาบคาย เขียนข้อความท่ี ลบหลูใ่ นเรื่องของบุคคล ชาติ ศาสนา หรอื พระมหากษัตรยิ ์ หรือสง่ ต่ออีเมล์ที่มีเน้ือหาข้อความดังกล่าวข้างต้นไป ยังผู้อื่นโดยขาด สำนึก และรับผิดชอบ อย่างรูปที่ไม่เหมาะสม คลิปวีดีโอจากโทรศัพท์ การเขียนข้อความด่าทอ เพื่อความสะใจ หรือคำติฉินนนิ ทาผุ้อื่นนั้น สามารถเป็นหลกั ฐานในการดำเนินคดีได้ เพราะทุก ๆ ข้อความที่คณุ โพสต์จะมี IP Address ในการใช้งาน และสิ่งที่เป็นเรื่องไม่ดีนั้นสามารถแพร่กระจายได้อย่างรวดเร็วเหมือนกับ การ แพร่ระบาดของเชื้อโรค ซึ่งคุณอาจจะเป็นชนวนหรือตัวแปรตัวหนึ่งในการตัดสินและทำลายชีวิตคนอ่ื นให้ พังไดเ้ พียงแคค่ ล๊กิ เดยี วเทา่ น้ัน – ปัญหา : มีคนมาเผยแพร่บทความ ทำให้ง่ายต่อการหา downloadsหลีกเลี่ยงการใช้งาน ซอฟแวร์ท่ี ละเมิดลิขสิทธ์ิ หลายๆ คนอาจจะชอบใช้ซอฟแวร์ที่ผิดกฎหมาย บางคนก็ดาวโหลดเพลง หนัง ละคร โปรแกรม มาเพื่อใช้งาน แต่ถ้าทุกคนละเมิดลิขสิทธิ์หรือละเมิดทรัพย์สินทางปัญญา ทำให้เชื่อได้เลยว่าการทุ่มเทเวลาของ คนที่สร้างสรรค์ผลงานอาจจะกลายเป็นของ ราคาถูกโดยการขาดจิตสำนึกของผู้ใช้งาน อย่าสร้างค่านิยมผิดๆ ทวี่ ่า ใชข้ อง copy แล้วไมเ่ สยี หาย เพราะใคร ๆ เขาก็ใชก้ ัน – ปัญหา :โฆษณาตาม internet และเด็กเกิดความอยากรู้อยากเห็นและ เปิดตามเข้าไปดูเพื่อคายความ สงสยั หลกี เลี่ยงการเปิดเว็บไซตท์ ี่ไม่เหมาะสม เชน่ เว็บโป๊ เว็บท่ีมีภาพย่วั ยวนทางเพศ เว็บไซต์ท่ีมีการดาวโหลด ซอฟแวร์ละเมิดลิขสิทธิ์ เว็บไซต์ที่สอนการโจรกรรมข้อมูลฯ เพราะเว็บไซต์เหล่านี้ตัวคุณเอง อาจจะเป็นคนถูก

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 15 โจรกรรมข้อมูลเสียงเอง หรือได้รับสิ่งที่ไม่พึงประสงค์เข้ามาในเครื่อง อย่างเช่นไวรัส หรือหนอนคอมพิวเตอร์ (Worms) และสิง่ ทเี่ ลวร้ายกว่านั้นคือถ้าบุตรหลานของคณุ ใช้งานคอมพิวเตอร์อยู่ แล้วอย่ดู ีๆ มีหน้าต่างที่เปิดขึ้น เองอตั โนมัตเิ ป็นรูปที่ไม่พงึ ประสงค์ และพวกเขาเขา้ ไปคล๊กิ อะไรจะเกิดขน้ึ – ปัญหา : ผู้ที่เปิดให้บริการทาง website มีบริการโฆษณา และไม่ได้ตรวจใหม้ ั่นใจว่าผู้มาใช้บริการคือ ใคร ทำให้เกิดการล่อลวงขึ้นระวังอย่าหลงเชื่อคำโฆษณา หลวงลวง ต้มตุ๋น จากการซื้อขายสินค้าผ่านสื่อ Internet เนื่องจากสินค้าที่คุณซื้ออาจจะเป็นของปลอม หรือของไม่ได้คุณภาพก็ได้ อย่าคิดแต่ได้ของถูก ใช้งาน แบบวา่ ไดผ้ ลทันตาเหน็ แบบดื่มปบุ๊ กินป๊ับคุณกลายเป็นยอดมนุษย์ พวกมิจฉาชพี ส่วนใหญ่มักจะให้คุณโอนเงินไป ก่อนเสมอ และลวงให้คุณกรอกที่อยู่ ทั้ง ๆ ที่คนเลวพวกนี้ไม่มีที่อยู่จริง บ้างก็จะปิดโทรศัพท์หนีหายหลังจากที่ คุณโอนเงินเสร็จเรยี บรอ้ ยแล้วกม็ ี เรื่องของการซื้อขายของสนิ ค้าควรศึกษาใหด้ ีถงึ ตวั เว็บไซต์ท่ีทำการเปิดขาย ว่า มีคุณภาพหรือไม่ หรอื คณุ ภาพของสนิ ค้าเองก็ดี หรือเวบ็ ไซต์นน้ั ๆ มกี ารจดั ระดับความน่าเชื่อถือของผู้ขายสินค้า หรอื ไม่ มที ่ีอยตู่ ดิ ต่อทสี่ ามารถตามผ้ซู ือ้ ได้ไหม – ปัญหา : เมื่อได้รับจดหมายลูกโซ่จากเพื่อนแล้ว เกิดการกลัวเรื่องที่เขาส่งมาจึงทำให้เราส่งจดหมาย ต่อๆไป อย่าหลงเชื่อจดหมายลูกโซ่ จดหมายเวียน หรือโฆษณาชวนเชื่อ – เช่นถ้าคุณได้รับจดหมายฉบับนี้ ให้ ส่งไปหาเพ่อื นอกี 15 คนแล้วคณุ จะไดร้ บั ส่ิงนน้ั สง่ิ น้ี ตวั คุณเองจะกลายเปน็ คนปล่อยเมลข์ ยะเสยี เอง – ปัญหา : การเอาเมลล์ไปปล่อยใน website ต่างๆ เช่น การสมัครสมาชิก หรือการตอบกระทู้ต่างๆ อย่าเปิดอ่าน e-mail หรือรับ fileจากคนที่คุณไม่รู้จัก เพราะสิ่งที่ไม่พึงประสงค์อาจทำให้เครื่องของคุณไม่ สามารถใช้งานได้ก็เป็น ได้ หรือบางทีคุณอาจจะได้รับเมล์ขยะเพิ่มเป็นจำนวนมหาศาลโดยที่คุณไม่รู้ตัวเลย เพราะการที่คุณเปิดอ่านจะมีการส่งข้อมูลกลับไปยังผู้ส่ง Spam mail (เมล์ขยะ) ว่าอีเมล์ของคนที่เปิดอ่านยังมี การใช้งานอยู่ เพราะฉะนั้นคนสง่ กย็ ่ิงส่งมาเพ่ิมให้อีกฃ – ปัญหา : ความอยากรู้อยากลองของคนเราอย่าหลงเข้าไปเล่นการพนันบน Internet อาจทำให้คุณ หมดตัวจากบัตรเครดิต หมดเนื้อหมดตัวโดยไม่รู้ตัว เว็บพวกนี้มันจะลวงให้ผู้เล่นเข้าไปเล่นโดยจะบอกว่าให้ เงินทดลองเล่น เมื่อผู้เล่นติด ภายหลังคุณอาจจะเพิ่งคิดได้ว่า”โลกนี้คนเราก็แพ้เป็นเหมือนกัน และการหมดตัว เพยี งชวั่ เวลาแป๊บเดยี วมันมีจรงิ ” เรื่องบางเรอื่ งไม่ไกลเกินนวิ้ มือทคี่ ลิ๊กจริงๆ 4. ภัยจาก Web Application Hacking เป็นภัยจากแฮก็ เกอร์ทีเ่ ข้ามาเปลี่ยนหน้าเว็บไซต์ให้ไม่ สามารถใช้งานได้ อย่างกรณีทเี่ คยเกิดขึ้นกับเว็บไซต์ของกระทรวงไอซที ี ไทยโพสต์ และไอเอน็ เอ็น เป็นต้น ซึ่งใน อดีตกลุ่มแฮ็กเกอร์แค่ทำเป็นเรื่องสนุก แต่ปัจจุบันแฮ็กเกอร์ทำเพื่อต้องการเงิน และเปลี่ยนรูปแบบการแฮ็กเก อร์หน้าแรกของเว็บไซต์มาเป็นหน้าเว็บไซต์ด้านใน เพื่อฝังตัวและรอจังหวะล้วงข้อมูลความลับจากองค์กรนั้นๆ โดยเฉพาะองค์กรด้านขา่ วสารอาจถูกกล่มุ แฮ็กเกอร์เฝา้ จับตามองเปน็ พเิ ศษ 5. โปรแกรมดาวน์โหลด, การโจมตีระบบสาธารณูปโภคพื้นฐาน (Cyber Terrorist/Critical Infrastructure Attack (SCADA attack)) เกิดจากการเจาะระบบเพอ่ื โจมตีระบบสาธารณูปโภค เคยเกดิ ข้ึนแล้ว ล่าสุดเมื่อเดือนมกราคม 2551 เจ้าหน้าที่ประเทศหนึ่งจับกุมเด็กชายวัย 14 ปีฐานดัดแปลงรีโมทคอนโทรลสลับ รางรถไฟจนเกิดอบุติเหตุรถไฟชนกันและมีผูไ้ ด้ รับบาดเจ็บ ขณะที่โรงไฟฟ้านิวเคลียร์ในสหรัฐกังวลใจต่อเรื่องนี้ มาก จงึ ลองใหแ้ ฮก็ เกอร์เจาะระบบเขา้ ไปควบคุมระบบการทำงานของโรงไฟฟ้านวิ เคลียร์ ซงึ่ กท็ ำไดส้ ำเร็จภายใน ไม่กี่นาที 6. ภัยจาก Spyware, ม้าโทรจัน (Trojan Horses), Keylogger and BHO แฮ็กเกอร์จะส่งตัวไวรัส หรือสปายแวร์ เข้าไปฝังในเครื่องคอมพิวเตอร์ทางช่องโหว่ต่างๆ ของระบบปฏิบัติการ แล้วสปายแวร์จะแจ้ง กลับมาที่แฮ็กเกอร์ว่ามันกำลังเกาะอยู่ในเครื่องไหน แล้วเมื่อนั้นก็เสมือนเปิดประตูต้อนรับแฮ็กเกอร์เข้ามาใช้ เครื่องแทนคุณนั่นเอง

แนวทางการป้องกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 16 บทิ เฟนเดอร์ ประเทศไทย หรือ Bitdefender (Thailand) ธุรกิจซอฟแวร์ปอ้ งกันไวรสั ทม่ี ปี ระสิทธิภาพ จากประเทศโรมาเนียเปิดเผยภัยร้าย รายเดือนที่กำลังคุกคามเครื่องคอมพิเตอร์ผ่านทางอินเตอร์เน็ต โดยงานน้ี บิทเฟนเดอร์ แล็ป ได้ทำการสรุป 5 อันดับเจ้าตัวร้าย ที่การแพร่กระจายมาจากโปรแกรมดาวโหลด (Torrent ) ที่เรียกกันว่า “Warez” และโปรแกรมการสื่อสารแบบเครื่องต่อเครื่อง หรือที่เรียกกันว่า “ peer-to- peerplatform” ผ่านทางเว็บฟรดี าวนโ์ หลดต่างๆ เรม่ิ กันท่ี ▪ อันดับที่ 1 Trojan.Clicker.CM ม้าโทรจนั สายพันธุ์นี้พบมากในเว็บไซตท์ ี่มีการแชร์ไฟลก์ ัน เช่นเว็บทอร์ แรนด์ต่าง ๆ ซึ่งเราเรียกว่า “Warez” และพบมากในเว็บที่มีการโพสต์พวกโฆษณาและสือ่ ล่อลวงต่างๆ เช่น ลิงคเ์ ว็บโป๊, ฟรเี กมสอ์ อนไลนเ์ ป็นตน้ ▪ อนั ดับท่ี 2 Trojan.AutorunInf.Gen เจา้ มา้ โทรจันสายพันธ์ุนจ้ี ะติดมากับ อปุ กรณ์ Removable ต่างๆ เช่น FashDrive, Memory Card,External Harddrive เป็นต้น โดยเจ้าโทรจันตัวนี้จะเข้าไปฝังตัวใน Win32.Worm.Downadup and Worm.Zimuse เพื่อเจาะเข้าระบบคอมพิวเตอร์ ซึ่งผู้ใช้ต้องพึง ระมัดระวังเป็นอย่างมาก โดยเฉพาะการนำอุปกรณ์เหล่านี้ไปโอนถ่ายข้อมูลกับบุคคลอื่น เพราะมี เปอรเ์ ซน็ เสย่ี งสงู มาก ▪ อันดับที่ 3 Win32.Worm.Downadup.Gen โดยเจ้าตัวร้ายตัวนี้ จะเข้ามาทาง Microsoft Windows Server Service RPC ผ่านทางรีโมทโค้ตมันจะจู่โจมเข้ามาในระบบเครือข่ายภายในองค์กร ซึ่งจะทำให้ ผู้ใช้ไม่สามารถอัพเดท Windowsและ ระบบ Securityได้ นอกจากนี้เจ้าวายร้ายยังปลอมตัวเป็น โปรแกรมแอนตี้ไวรัสเพื่อตบตาไม่ให้ผู้ ใช้ทำการลบมันทิ้ง ดังนั้นวิธีการป้องกันเจ้าวายร้ายตัวนี้ คือ การม้นั อพั เดทระบบและซอฟแวรป์ อ้ งกนั ไวรัสบ่อยๆ ก็จะสามารถช่วยได้เลยทเี ดียว ▪ อนั ดบั ที่ 4 Exploit.PDF-JS.Gen ไวรสั สายพันธุ์น้ีจะมาใน รปู แบบของไฟล์PDF โดยจะเขา้ ไปในช่องโหว่ ของโปรแกรม AdobePDF Reader เมื่อไฟล์ PDF ถูกเปิด Javascriptcode จะสั่งดาวโหลดอัตโนมัติ และเมอ่ื นน้ั เจ้าไวรสั สายพนั ธน์ุ ้ีก็จะเข้าไปจโู่ จม ทำลายหรอื ขโมยข้อมลู สำคัญจากเคร่ืองคอมพิวเตอร์ใน เครือขา่ ยทัง้ หมด ดังนน้ั เมอ่ื ตอ้ งการดาวนโ์ หลด ไฟล์ PDF ขอใหผ้ ู้ใชไ้ ดท้ ำการสแกนไฟลก์ ่อนทำการเปิด ใช้งานจะเป็นการชว่ ยปอ้ งกนั ได้ใน อกี สเตปหนง่ึ ▪ อันดับที่ 5 Trojan.Wimad.Gen.1 พบมากบนเว็บที่ให้บริการดาวน์โหลดซอฟแวร์(Torrent)หรือไฟล์ วีดีโอ, ไฟล์หนังต่าง ๆ(เว็บบิททอเร็นนั่นเอง)มันสามารถแฝงตัวและเชื่อมต่อกับ URL และดาวโหลด ไวรสั แถมมาใหค้ ุณตามCodec ของไฟลว์ ีดโี อนนั้ ๆ 7. ภัยจาก Network infrastructure overloading กำลังเป็นภัยคุกคามรูปแบบใหม่ เกิดจากการ ดาวนโ์ หลดไฟล์คลปิ ไฟลภ์ าพยนตร์ จนทำให้อนิ เทอรเ์ น็ตชา้ และระบบอาจล่มในท่สี ดุ 8. ภัยจาก Rush in Development for E-Business/M-Business เป็นระบบการใช้บริการที่เน้น ความรวดเร็ว อย่าง ระบบ อี-แบงคกิ้ง อาจเป็นช่องว่างให้แฮ็กเกอร์เจาะระบบเข้ามาขโมยข้อมูลรหัสลับที่ส่งมา จาก ระบบบรกิ ารท่ีเน้นความรวดเรว็ ทนั ใจมาใช้แทนคณุ ▪ การขโมยหมายเลขบัตรเครดิต เมื่อจะซื้อสินค้าและชำระ เงินด้วยบัตรเครดิตผ่านทางอินเทอร์เน็ต จะต้องแน่ใจว่า ระบบมีการรักษาความปลอดภัย ซึ่งสังเกตง่าย ๆ จากมุม ขวาล่างของเว็บไซต์จะมีรูปกุญแจล็อกอยู่ หรือที่อยู่ เว็บไซต์หรือ URL จะระบุ https://

แนวทางการปอ้ งกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 17 ▪ การแอบอ้างตัว เปน็ การแอบอา้ งตัวของผู้กระทำต่อบุคคลท่ีสามว่าตนเปน็ อีกคนหน่ึง เช่นนำ หมายเลข บัตรประชาชน หมายเลขบัตรเครดิต หนังสือเดินทาง และข้อมูลส่วนบุคคลอื่น ๆ ของผู้ถูกกระทำไปใช้ แอบอ้างเพื่อหาผลประโยชน์ ▪ การสแกมทางคอมพิวเตอร์ เป็นการกระทำโดยใช้คอมพิวเตอร์เป็นเครื่องมือในการหลอกลวงผู้อื่น ปจั จุบันมรี ปู แบบท่แี ตกตา่ งกนั มากมาย 9. ภัยจาก Script Kiddies inside Organization เป็นการนำเครื่องมือของระบบการรักษาความ ปลอดภัย และเครื่องมือระบบการแฮ็กกิ้งไปใช้ในทางที่ผิด รวมถึงการใช้อุปกรณ์เสริมอื่น ๆ ที่ช่วยให้มิจฉาชีพ ทำงานได้งา่ ยขึน้ ทุกวนั เพราะช่องทางการบุกรุกสามารถมาได้ จากทุกทท่ี ุกเวลา 10. ภัยจากการละเลยคำเตือนของระบบการระวังภัย (Information Security) ขาดการวางแผน และการจัดระบบความปลอดภัยในคอมพิวเตอร์ดังนี้ การรักษาความปลอดภัยในคอมพิวเตอร์ส่วนบุคคล, การ รักษาความปลอดภยั ในระบบฐานข้อมูล, การรกั ษาความปลอดภัยในเครือข่ายการสื่อสารขอ้ มูล, การป้องกันทาง กายภาพ,การวิเคราะห์ความเสี่ยง, ประเด็นในแง่กฎหมาย, จรรยาบรรณในเรื่องความปลอดภัยในระบบ คอมพิวเตอร์ ตวั อย่างเช่นหากมีการสรา้ งการล็อกอินลวงระบบจะมีการแจง้ เตือน นอกจากภัยเหล่านี้แล้วการใช้เทคโนโลยียังนำโรคภัยอันมากมายตามมา การใช้เทคโนโลยีผ่าน คอมพิวเตอร์จะไม่เป็นอันตรายหากว่าคุณไม่ใช้มันจนติด เป็นนิสัย ซึ่งหมายความว่า นั่งจมจ่อมอยู่หน้าเครื่อง คอมพิวเตอร์เกือบจะตลอดวันและทุกวัน คนที่ใช้คอมพิวเตอร์บ้างเป็นบางครั้งคราวย่อมไม่ได้เจ็บป่วยเพราะ คอมพิวเตอร์ แต่ทั้งนี้ทั้งนั้น แต่ละคนก็จะได้รับผลกระทบจากเครื่องใช้ไฮเทคนี้มาก น้อย ช้า เร็วไม่เหมือนกัน หลายๆ อาการเจ็บปว่ ยจากคอมพิวเตอรน์ ั้น อาจจะเปน็ สง่ิ ทีเ่ รารู้กันดี แตบ่ างคร้ังกห็ ลงลืม โรคต่าง ๆ ท่เี กิดจากการใชเ้ ทคโนโลยผี ่านคอมพิวเตอร์มดี ังนี้ 1. โรคท้องร่วงเพราะคีย์บอร์ด โรคที่ตั้งชื่อตามตัวอักษรชุด แรกบนแป้นคีย์บอร์ดว่า Qwerty Tummy อาจระบาดในที่ทำงานได้ หากว่าแป้นคีย์บอร์ดมีแบคทีเรีย ซึ่งเป็นต้นเหตุของโรคอาหารเป็นพิษ และผู้ใช้รับประทานอาหารไปพร้อมกับใช้งานคีย์บอร์ดเครื่อง คอมพิวเตอร์ด้วย การศึกษาครั้งนี้ แสดงว่าคีย์บอร์ดเป็นแหล่งเพาะ แบคทีเรียที่น่ากลัวด้วยคนทำงาน 1 ใน 10 ไม่เคยทำความสะอาด คีย์บอร์ด และ 20% ไม่เคยทำความสะอาดเมาส์ ขณะที่ 50% ไม่เคย ทำความสะอาดคยี บ์ อรด์ ภายในเวลาหนึ่งเดอื น นอกจากน้ี ดว้ ยรปู แบบการทำงานสมัยใหม่ ทีพ่ นกั งานตอ้ งย้ายโต๊ะทำงานไปเร่ือย ๆ ทำใหพ้ วกเขาไม่มี ทางรู้ว่า ใครใช้คีย์บอร์ดที่กำลังใช้อยู่และใช้งานอย่างไรบ้าง ทางแก้ไขคือ ผู้ใช้เครือ่ งคอมพิวเตอร์จึงควรทำท้งั ท่ี บา้ นและท่ีทำงานควรทำความสะอาด คียบ์ อร์ดเป็นประจำไม่ให้เป็นแหล่งสะสมของเช้ือแบคทีเรีย วธิ ีการคือ ทำ ความสะอาดดว้ ยผ้าเนอื้ นมุ่ ชบุ นำ้ หมาดๆ ทีส่ ำคัญคอื อย่าลืมถอดปล๊กั คอมพวิ เตอรก์ ่อน 2. โรคปวดตา เพราะการใช้คอมพิวเตอร์ทำใหต้ าต้องจ้องจอ สวา่ งๆ จึงเปน็ สาเหตใุ ห้เกิดปัญหาเร่ือง สุขภาพสายตา จึงควรระวังแสงที่จะส่องตรงมา โดยเฉพาะแสงจากด้านหลังของจอคอมพิวเตอร์ ควรให้แสงเข้า มาด้านข้าง (ด้านขวาก็จะดี) ถ้าเป็นไปได้ให้ติดแผ่นป้องกันรังสี รวมทั้งปรับความสว่างของจอให้เหมาะสมกับ ดวงตา การอยู่หน้าจอคอมพิวเตอร์เป็นเวลานาน ไม่เพียงทำให้เกิดอาการปวดตาเท่านั้น แต่อาจเป็นสาเหตุของ โรคตอ้ หนิ ในอนาคตดว้ ยโดยเฉพาะในหมผู่ ู้ทสี่ ายตาส้ัน นอกจากน้ี จอคอมพิวเตอรท์ ่สี น่ั ไหว หรอื เปน็ คล่ืนนนั้ ควร

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 18 จะยกไปซ่อม ควรละสายตาจากจอบ้างเป็นครั้งเป็นคราว กระพริบตาเป็นระยะ เพราะดวงตาของคุณต้องการ ความชมุ่ ชืน้ 3. โรคเส้นประสาทบริเวณข้อมือถูกกดทับ ปรับระดับ ความสูง ของเก้าอี้หรือโต๊ะที่วางคอมพิวเตอร์ เพื่อให้ข้อศอกอยู่ใน มุม 90-100 องศา วางคีย์บอร์ดให้เหมาะ เวลาใช้คีย์บอร์ดจะได้ไม่ ต้องงอมือให้อยู่ในท่าที่ไม่สะดวกสบาย ควรวางข้อมือบนโต๊ะหน้า คีย์บอร์ดถ้าหากจำเป็น ควรพิมพ์คีย์บอร์ดและใช้เมาส์อยา่ งเบามอื ถา้ มเี วลาก็ออกกำลังกายข้อมือและนว้ิ บา้ ง หากสามารถทำงานด้วย วธิ ีการอน่ื โดยไมใ่ ชค้ อมพวิ เตอรก์ ็ลกุ ขึน้ จากโตะ๊ และลงมือทำ 4. ปวดคอและหลัง สำรวจท่านั่งเวลาทำงานของตัวเอง ควรนั่งตัวตรง ห่างจากจอคอมพิวเตอร์ประมาณ 18-24 นิ้ว เก้าอี้ที่ดี ควรจะมลี อ้ สามารถปรับพนักพงิ ได้ และต้องมที ่วี างแขน โต๊ะควรจะมี พื้นที่ว่างสำหรับวางเครื่องมืออื่น ๆ ในการทำงานและสุดท้ายที่อยาก ตระหนักกันให้มากคือ อันตรายคลื่นลูกใหม่ที่มาจากคล่ืน แมเ่ หลก็ ไฟฟา้ และหลอดภาพของจอคอมพิวเตอร์ เมือ่ เราเปิดเครื่องใช้ ก็จะมีรังสีแผ่ออกมา จึงไม่ควรนั่งใกล้จอเกินไป โดยเฉพาะเวลาใช้ แล็ปท็อปซึ่งทำให้เราต้องนั่งใกล้เครื่องมากกว่าพีซี ถ้าเป็นไปได้ให้ใช้ แผ่นป้องกันรังสี หรือเลือกใช้จอคอมพิวเตอร์ที่ไม่แผ่พลังรังสีไฟฟ้า ออกมา แมร้ าคาจะแพงกว่า แต่ปลอดภยั กว่า หากไมใ่ ชเ้ ครือ่ งกค็ วรปิด โดยเฉพาะคอมพิวเตอร์ทีต่ ั้งอยู่ในห้องนอน

แนวทางการป้องกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 19 การใชเ้ ทคโนโลยีสารสนเทศ อย่างปลอดภัย เทคโนโลยสี ารสนเทศ คอื อะไร เทคโนโลยีสารสนเทศ (Information Technology: IT) หรือเทคโนโลยีสารสนเทศและการสื่อสาร (Information and Communication Technologies: ICTs) คือ เทคโนโลยีสองด้านหลักๆ ประกอบด้วย เทคโนโลยีระบบคอมพิวเตอร์ และ เทคโนโลยีสื่อสารโทรคมนาคมที่ผนวกเข้าด้วยกัน เพื่อใช้ในกระบวนการ จัดหา จัดเก็บ สร้าง และเผยแพร่สารสนเทศในรูปต่าง ๆ ไม่ว่าจะเป็นเสียง ภาพ ภาพเคล่ือนไหว ข้อความหรือ ตัวอักษร และตัวเลข เพื่อเพิ่มประสิทธิภาพ ความถูกต้อง ความแม่นยำ และความรวดเร็วให้ทันต่อการนำไปใช้ ประโยชน์ ความสาคญั ของเทคโนโลยสี ารสนเทศและการส่อื สาร ▪ การสื่อสารมีส่วนในการพัฒนากิจกรรมต่าง ๆ ของมนุษย์ประกอบด้วย Communications media การสอื่ สารโทรคมนาคม (Telecoms) และเทคโนโลยสี ารสนเทศ (IT) ▪ เทคโนโลยีสารสนเทศและการสื่อสารประกอบด้วยผลิตภัณฑ์หลักที่มากไปกว่า โทรศัพท์และ คอมพิวเตอร์ เชน่ แฟกซ์ อินเทอร์เนต็ อีเมล์ ทำให้สารสนเทศเผยแพรห่ รือกระจายออกไปในท่ีต่าง ๆ ได้ สะดวก ▪ เทคโนโลยีสารสนเทศและการส่อื สารมผี ลใหก้ ารใชง้ านดา้ นตา่ ง ๆ มรี าคาถูกลง ▪ เครือข่ายสื่อสาร (Communication networks) ได้รับประโยชน์จากเครือข่ายภายนอกเนื่องจาก จำนวนการใช้เครือข่าย จำนวนผู้เชื่อมต่อ และจำนวนผู้ที่มีศักยภาพในการเข้าเชื่อมต่อกับเครือข่าย นับวันจะเพ่ิมสงู ขึ้น ▪ เทคโนโลยีสารสนเทศและการสือ่ สารทำใหฮ้ ารด์ แวรค์ อมพวิ เตอร์ และตน้ ทุนการใช้ IT มรี าคาถกู ลงมาก ภัยแฝงออนไลน์ ▪ สารสนเทศมากมายมหาศาล ทั้งดีและไม่ดี สง่ ตรงถึงหอ้ งนอน ▪ คนแปลกหน้า/ผู้ไม่ประสงค์ดี ใช้ไอทีเป็นช่องทางหาเหยื่อ เราอาจตกเป็นผู้ถูกกระทำหรือเป็นผู้กระทำ เสียเอง ▪ สงั คมออนไลน์ การรวมกล่มุ ค่านยิ ม แฟชน่ั ทำใหเ้ ดก็ และเยาวชนคลอ้ ยตาม ตกเป็นทาสของเทคโนโลยี ความฟงุ้ เฟ้อ ความเชอ่ื ผดิ ๆ ▪ การที่ใช้งานง่าย แพร่หลาย ราคาถูก ทำให้เสี่ยงต่อการกระทำผิดกฎหมาย/ผิดศีลธรรม ทั้งท่ี รู้เท่าไม่ถึงการณห์ รือโดยเจตนาก็ตาม ▪ การใช้เวลากับของเลน่ ไอที/โลกออนไลน์มากจนเกินไป ส่งผลในด้านลบ อาจทำใหเ้ สยี โอกาสการเรียนรู้ ในดา้ นอ่ืนๆ

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 20 เทคโนโลยดี ้านความมนั่ คงปลอดภัย ดงั น้ี 1. เทคโนโลยี Two-Factor Authentication ปัจจุบันการระบุตัวตนในโลกอินเตอร์เน็ต ส่วนใหญ่ใช้ เพียง username และ password ซ่ึงเป็นจุดอ่อนทม่ี ิจฉาชีพอาจขโมยข้อมลู และปลอมตัวเพ่ือแสวงประโยชน์ได้ (Identity Threat) เทคโนโลยีนี้จึงมีแนวโน้มเข้ามาอุดช่องโหว่ ด้วยการใช้ Token หรือ Smart card ID เข้ามา เสริมเพ่ือเพิ่มปัจจัยในการพิสูจน์ตัวตน ซึ่งมีความจำเป็นโดยเฉพาะกับการทำธรุ กรรมทางการเงินออนไลน์ และ ธุรกจิ E-Commerce 2. เทคโนโลยี Single Sign On (SSO) เข้าระบบต่างๆ ด้วยรายชื่อเดียว โดยเชื่อมทุกแอปพลิเคช่ันเข้า ด้วยกัน ซึ่งมีความจำเป็นมากในยคุ Social Networking ช่วยให้เราไมต่ ้องจำ username / password จำนวน มาก สำหรับอีเมล์, chat, web page รวมไปถึงการใช้บริการ Wi-Fi / Bluetooth / WIMAX / 3G / 802.15.4 สำหรับผใู้ ห้บรกิ าร เปน็ ต้น 3. เทคโนโลยี Cloud Computing เมื่อมีการเก็บข้อมูลและใช้งานแอปพลิเคชันต่างๆ มากขึ้นตามการ ขยายตัวของระบบงานไอที ส่งผลให้เครื่องแม่ข่ายต้องประมวลผลการทำงานขนาดใหญ่ ให้ตอบสนองความ ต้องการของผู้ใช้ในเวลาอันรวดเร็ว จึงมีแนวคิดเทคโนโลยี Clustering เพื่อแชร์ทรัพยากรการประมวลผลที่ ทำงานพร้อมกันหลายเครื่องได้ เมื่อนำแอปพลิเคชันมาใช้ร่วมกับเทคนิคนี้ รวมเรียกว่า Cloud Computing ทำ ให้ผู้ใช้สามารถใช้งานแอปพลิเคชันได้รวดเร็วยิ่งข้ึน ปราศจากข้อจำกัดทางกายภาพ เข้าสู่ยุคโลกเสมือนจริงทาง คอมพิวเตอร์ (visualization) ทั้งยังช่วยลดทรัพยากรของเครื่องคอมพิวเตอร์ ถือเป็นไอทีที่เป็นมิตรกับ สง่ิ แวดลอ้ ม (Green IT) อกี ด้วย 4. เทคโนโลยี Information Security Compliance Law โลกไอทีเจริญเติบโตไม่หยุดนิ่ง ด้วย มาตรฐานที่หลากหลาย โดยเฉพาะในด้านระบบความปลอดภัยข้อมูลสารสนเทศ จึงมีแนวโน้มจัดมาตรฐานเป็น หมวดหมใู่ หส้ อดคลอ้ งกบั ความปลอดภยั ขอ้ มลู ใน องค์กร โดยนำ Log ทีเ่ กดิ ขึน้ จากการใช้งานมาจดั เปรียบเทียบ ตามมาตรฐานตา่ งๆ เช่น ISO27001 สำหรบั ความปลอดภยั ในองค์กร, PCI / DSS สำหรบั การทำธุรกรรมการเงิน , HIPAA สำหรบั ธุรกจิ โรงพยาบาล หรอื พรบ.ว่าด้วยการกระทำความผิดเก่ียวกบั คอมพวิ เตอร์ ที่มีเป้าหมายเพ่ือ สบื หาผู้กระทำความผิดดา้ นอาชญากรรมคอมพิวเตอร์ เปน็ ต้น 5. เทคโนโลยี Wi-Fi Mesh Connection การใช้งานระบบอินเตอรเ์ น็ตไร้สายที่แพรห่ ลายในปจั จบุ ัน ซึง่ ต้องเช่ือมโยงผา่ น Access Point น้ัน สามารถเชอ่ื มตอ่ แบบ Mesh (ตาขา่ ย) เพ่อื เข้าถงึ โลกออนไลนไ์ ด้สะดวกข้ึน ผู้ให้บริการ Wi-Fi จึงมีแนวโน้มใช้แอปพลิเคชันในการเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำ ระบบ NIDS (Network Intrusion Detection System) มาใช้ เพื่อเฝ้าระวังการบุกรุกหลากรูปแบบ เช่น การ ดกั ข้อมูล, การ crack คา่ wireless เพ่อื เขา้ ถึงระบบ หรือปลอมตวั เป็นบคุ คลอน่ื โดยมชิ อบ เปน็ ต้น 6. เทคโนโลยีป้องกันทางเกตเวยแ์ บบรวมศูนย์ (Unified Threat Management) ถงึ แม้เทคโนโลยีนี้ จะใช้กันอย่างแพร่หลายในปัจจุบัน แต่ก็ยังต้องกล่าวถึงเนื่องจากธุรกิจในอนาคตมีแนวโน้มเป็น SME มากข้ึน และเทคโนโลยีนี้ถือได้ว่ามีประโยชน์กับธุรกิจขนาดเล็ก เพราะผนวกการป้องกันในรูปแบบ Firewall / Gateway, เทคโนโลยีป้องกันข้อมูลขยะ (Spam) การโจมตีของ Malware/virus/worm รวมถึงการใช้งาน เวบ็ ไซต์ท่ไี มเ่ หมาะสม (Content filtering) รวมอยใู่ นอปุ กรณ์เดยี ว 7. เทคโนโลยีเฝา้ ระวังเชิงลึก (Network Forensics) การกลายพนั ธ์ุของ Virus/worm computer ทำ ให้ยากแก่การตรวจจับด้วยเทคนิคเดิม รวมถึงพนักงานในองค์กรมีทักษะการใช้คอมพิวเตอร์สูงขึ้น ซึ่งอาจจะใช้ ทักษะไปในทางที่ไม่เหมาะสม หรือเรียกได้ว่าเป็น “Insider hacker” การมีเทคโนโลยีเฝ้าระวังเชิงลึกจึงจำเปน็ อย่างยิ่งในการตรวจจับสิ่งผิดปกติ ที่อาจเกิดขึ้นผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลั กฐานทาง อิเล็กทรอนกิ ส์ประกอบการดำเนินคดี

แนวทางการปอ้ งกันภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 21 8. เทคโนโลยี Load Balancing Switch สำหรับ Core Network เพื่อใช้ในการป้องกันการสูญหาย ของขอ้ มูล (Data loss) โดยเฉพาะในอนาคตท่ีความเรว็ ในการรบั ส่งข้อมูลบนระบบเครือข่ายจะสูงขึ้น เทคโนโลยี นี้จะช่วยกระจายโหลดไปยังอุปกรณ์ป้องกันภัยอื่นๆ ได้ เช่น Network Firewall หรือ Network Security Monitoring และอื่นๆ โดยไม่ทำใหข้ ้อมลู สูญหาย การเรยี นรวู้ ิธีให้เทา่ ทันและไม่ตกเปน็ เหยื่อภยั คุกคามสมัยใหม่ ดงั น้ี 1. หมั่นดูแลเครื่องคอมพิวเตอร์ เครื่องบรรจุข้อมูล (Thumb Drive) และแผ่นบันทึกข้อมูล อย่าง สม่ำเสมอ ให้ปลอดจากไวรัสหรือมัลแวร์ต่างๆ, กำหนดรหัสผ่านเข้าใช้งาน PC และ Thumb Drive และล็อค หน้าจอทุกครง้ั เมอ่ื เลกิ ใช้งาน 2. ตั้งรหัสผ่านที่ยากแก่การคาดเดา อย่างน้อย 8 ตัวอักษร และมีอักขระพิเศษ คำที่ใช้เป็น password ไมค่ วรตรงกับพจนานกุ รม เพอ่ื เลีย่ งภยั คกุ คามทเ่ี รยี กวา่ Brute force password จากผู้ไมป่ ระสงคด์ ี 3. อย่าไว้วางใจเมื่อเห็นสัญญาณอินเตอร์เน็ตที่ให้บริการฟรี ไม่ว่าจะเป็นระบบไร้สาย หรือมีสาย ตลอดจนโปรแกรมต่างๆ ที่ให้ดาวน์โหลดฟรี เพราะมิจฉาชีพอาจให้โดยตั้งใจใช้ดักข้อมูลส่วนตัวของเรา เช่น username/password หรือข้อมูลบตั รเครดิต และนำข้อมลู ไปใช้สร้างความเสยี หายได้ 4. อย่าไว้วางใจโปรแกรมประเภทที่มีชื่อดึงดูดใจให้ดาวน์โหลดฟรี เช่น คลิปฉาว, โปรแกรม Crack Serial Number, โปรแกรมเรง่ ความเรว็ เปน็ ต้น เพราะบ่อยคร้งั ทม่ี ีของแถม เชน่ Malware พ่วงมาด้วยเสมอ ซง่ึ อาจทำใหเ้ ราตกเปน็ เหย่อื ของมจิ ฉาชพี โดยไมร่ ู้ตัว 5. ในแง่บุคคล ควรหมั่นเก็บสำรองข้อมูลใน Storage ส่วนตัว อย่าให้สูญหาย กรณีเกิดเหตุฉุกเฉินข้ึน สามารถหยิบมาใช้ได้ทันท่วงที ส่วนในมุมขององค์กรควรให้ความสำคัญกับการทำแผนสำรองข้อมูลฉุกเฉิน ท้ัง การทำ Business Continuity Plan (BCP) และ Disaster Recovery Plan (DRP) 6. ดำเนินชีวิตโดยไม่ยึดติดกับส่ืออิเล็กทรอนกิ ส์ ที่เข้าครอบงำชวี ิตคนยุคใหมม่ ากข้ึน โดยการไมถ่ ลำลึก บนโลกเสมือน สังคมเสมือน ซึ่งเป็นหลุมพรางที่สร้างขึ้นเอง จึงต้องป้องกันโดยการยับยั้งชั่งใจ และสร้างสมดุล ให้กับชีวิต 7. ใช้วิจารณญาณไตร่ตรองข้อมูลทางอินเตอร์เน็ต โดยตั้งสติและมองเหตุผลให้รอบด้าน เพื่อป้องกัน ตวั เองจากภยั คกุ คามที่มาในรปู แบบการล่อลวงผ่านทางอเี มล์ / เวบ็ ไซต์ 8. มีจริยธรรมในการใช้สื่ออินเตอร์เน็ต เอาใจเขามาใส่ใจเราทุกครั้ง โดยเฉพาะการสื่อสารกันในยุค เทคโนโลยีไร้พรมแดนเช่นนี้ ซึ่งไม่เพียงเป็นผลดีในระยะยาว แต่ยังโอบอุ้มสังคมให้สงบสุข และนำไปสู่ความ ปลอดภยั ในการใช้สื่ออนิ เตอรเ์ นต็ ต่อไป การเสริมสรา้ งความปลอดภัยในการใช้อนิ เทอร์เน็ตสาหรับเดก็ กฎสาหรับการใช้อีเมล์ ▪ ไมใ่ หท้ ีอ่ ยูอ่ เี มลแ์ กค่ นทเ่ี ราไมร่ ้จู ัก ▪ ไม่เปดิ อีเมลจ์ ากคนหรือองค์กร/ธุรกจิ ทเ่ี ราไม่ร้จู ัก ▪ อเี มลอ์ าจจะมสี ่ิงที่ไม่ดมี ากมาย เช่น เร่อื งราวท่ีไมเ่ ปน็ จริง การติฉนิ นนิ ทา และจดหมายลูกโซ่ท่ีพยายาม จะเอาเงนิ จากกระเปา๋ เรา ▪ ไวรัส อาจผา่ นมากับขอ้ มูลอเี มล์ เข้ามาส่คู อมพิวเตอร์ของเรา ▪ ภาพที่ไม่เหมาะสม ผดิ กฎหมาย ภาพยนตร์ อาจถกู สง่ มาพรอ้ มกบั ข้อมลู อเี มล์

แนวทางการป้องกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 22 วิธีการจัดการกับเน้อื หาทีไ่ ม่เหมาะสมที่ปรากฎบนจอคอมพวิ เตอร์ ▪ ปดิ หนา้ เวบ็ ▪ ไมไ่ ดผ้ ล ปิดเบราเซอร์ browser ▪ ถ้ายงั ไมไ่ ด้ผล ปดิ คอมพิวเตอร์พร้อมกับแจง้ ผู้ปกครองหรอื ครู ▪ จำไวว้ า่ เราสามารถหลีกเล่ียงปัญหาโดยการบอกใหค้ นอื่นทราบหากเราพบอะไรผดิ พลาด กฎของการแชท ▪ ไมส่ ามารถเชือ่ ไดว้ า่ บุคคลเหล่าน้ันเปน็ คนอยา่ งที่เคา้ พดู ▪ อยา่ ให้ชอ่ื จรงิ ควรใช้ช่ือสมมตุ ิ ▪ อย่าใหข้ อ้ มูลวา่ คณุ อยทู่ ีไหน หมายเลขโทรศัพท์ (โทรศพั ทม์ ือถอื ) เรียนอยทู่ ไ่ี หน พ่อแมเ่ ป็นใคร ▪ ทำความเข้าใจให้ชัดเจนถงึ กฎของแตล่ ะห้องแชท ท่ีจะเข้าไปเล่น ▪ ใหจ้ ำไว้วา่ คณุ อาจเปน็ บุคคลนิรนามในอนิ เทอรเ์ น็ต แตบ่ อ่ ยคร้งั ที่คนอนื่ สามารถสืบเสาะได้ว่าใครเป็นคน ใส่ขอ้ มลู ในอินเทอรเ์ นต็ ดังนนั้ ต้องมีความสภุ าพกับผ้อู นื่ เสมอ กฎของการแชท การสอ่ื สารทางออนไลน์ ▪ ไม่ออกไปพบกับบุคคลท่ีพบ รจู้ กั สื่อสารผ่านทางออนไลน์ ▪ ถ้ารูส้ ึกถูกกดดัน จากการสอ่ื สารออนไลน์กับใคร ใหป้ รกึ ษากบั ผู้ใหญ่ทีร่ บั ผิดชอบ ▪ ใหช้ อื่ อีเมลกับเพื่อนท่ีร้จู ักดี ไมค่ วรให้กับคนแปลกหนา้ ▪ ปรึกษา หารือกับผู้ใหญ่ที่รับผิดชอบเสมอ อย่าให้ถูกหลอกล่อ หรือถูกกดดันเพื่อไปพบเจอกับคนที่รู้จัก ออนไลน์ ▪ หากถกู ใครหรือส่งิ ใดรบกวนในห้องแชท ให้รบี ออกจากการสนทนา และอย่าติดตอ่ สนทนาอีก กฎ – การป้องกนั ไวรัส และขอ้ มูลขยะ ▪ หากขอ้ มูลบางอันรู้สึกดีเกนิ ทจ่ี ะเช่อื ได้ สรุปไดเ้ ลยวา่ ไมจ่ รงิ ▪ ให้ระวงั อเี มลท์ บ่ี อกวา่ โปรดส่งต่อให้ทุก ๆ คน เพราะอาจจะมีแต่เร่ืองหลอกลวงไรส้ าระ หรือมีไวรัสท่ีไม่ ควรส่งต่อ ▪ อยา่ เขา้ ไปในเว็บไซดข์ องธนาคารใด ๆ ท่ีอ้างบอกใหค้ ุณแจ้งรหัสผ่าน ▪ เก็บรหัสผ่านเป็นความลับเสมอ ▪ ให้ระมัดระวัง เว็บไซด์ที่ให้ดาวน์โหลดฟรี หรือมีเกมให้เล่นฟรี เพราะอาจเต็มไปด้วยไวรัส หรือจะมี ขอ้ มูลทไี่ มเ่ หมาะสมสง่ มาใหค้ ณุ ▪ บางครง้ั บางคนอาจจะใช้ เล่ห์ ลวงให้คณุ เชอื่ มต่อไปยังเว็บไซด์ทีไ่ มเ่ หมาะสม

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 23 กฎการเผยแพรเ่ ร่อื งราวในเว็บบล็อก ▪ ตรวจสอบให้ม่ันใจวา่ ใสเ่ ฉพาะข้อมลู ทีป่ ลอดดภยั ▪ ใหม้ รี หสั ส่วนตวั เพ่ือปกป้องรูปภาพของคุณ ▪ ต้องได้รับการอนญุ าตจากพ่อแม่ ผู้ปกครอง ครู ในการสรา้ งเว็บไซด์ของคุณเอง และให้ท่านเหลา่ น้ันชว่ ย ตรวจสอบ ทบทวนสม่ำเสมอ ▪ อย่าใสเ่ ร่ืองราวสว่ นตวั เข้าไปในเวบ็ บลอ็ ก หรอื ในการสนทนากลุม่ ▪ จำเป็นตอ้ งมีความระมดั ระวงั มาก ๆ ในการใสอ่ ะไรลงไปในอนิ เทอรเ์ นต็ เพราะทันทที ม่ี ีการเผยแพร่คน จากท่วั โลกสามารถเหน็ ได้ และอาจมกี ารนำข้อมูลไปใช้ในทางผิด ๆ ขอ้ แนะนาการใชอ้ ินเตอรเ์ น็ต ▪ เรียนร้เู กยี่ วกับมารยาททัว่ ไปในการใชอ้ ินเทอรเ์ นต็ netiquette ▪ ทำตามหลักพน้ื ฐานความปลอดภัย และเรียนรวู้ ิธกี าร แนวปฏบิ ัติเมื่อต้องเผชญิ กบั สถานการณ์เสี่ยง ออนไลน์ มารยาททวั่ ไปในการใช้อนิ เตอร์เนต็ ▪ ไม่ใชอ้ ินเตอร์เน็ตเพื่อล่วงละเมิดหรือรบกวน ผูอ้ นื่ ▪ ไม่ใช้ระบบเครือข่ายคอมพวิ เตอรเ์ พ่ือการใด ๆ ทีข่ ัดตอ่ กฎหมายหรอื ศลี ธรรม ▪ ไม่นำข้อมูลของผู้อน่ื มาใช้ในทางท่ีผิด หรือเปล่ยี นแปลงขอ้ มูลนน้ั ๆ ▪ ไมบ่ อกรหัสกับผู้อน่ื แม้แต่เพื่อนสนิท ▪ ไมใ่ ช้บัญชชี อื่ ผ้ใู ช้ของผูอ้ ืน่ หรือใช้เครือข่ายโดยไมไ่ ด้รับอนุญาต ▪ ไมย่ มื หรือใช้โปรแกรม รปู ภาพ หรือข้อมูลของผู้อื่นบนอนิ เตอรเ์ นต็ โดยไม่ไดร้ ับอนุญาตจากเจา้ ของ ▪ ไมฝ่ า่ ฝนื ข้อหา้ มของผ้ใู ห้บริการอินเตอรเ์ นต็ ▪ ไมเ่ จาะเขา้ ระบบของผู้อน่ื หรอื ท้าลองให้ผ้อู ื่นเจาะระบบของตัวเอง ▪ หากพบมกี ารรวั่ ไหลในระบบ หรือบคุ คลน่าสงสัยให้รีบแจ้งผ้ใู หบ้ รกิ ารในทนั ที ▪ หากต้องยกเลิกการใช้อนิ เตอรเ์ นต็ ให้ลบข้อมูลทั้งหมดและแจง้ ผ้ดู ูแลเว็บไซต์ ▪ การท้ิงบญั ชชี ่ือผูใ้ ช้งานไว้บนอนิ เตอร์เน็ตอาจทำให้มีผู้ไม่หวังดีเจาะเขา้ มาในระบบได้ กฎความปลอดภยั ▪ ไม่เปดิ เผยข้อมูลส่วนตัวเชน่ เบอร์โทรศัพท์ ชอ่ื โรงเรียน ชอื่ เพ่ือนหรือผูป้ กครอง ▪ ไมน่ ดั แนะเพือ่ พบปะกบั บุคคลที่รจู้ ักทางอินเตอรเ์ น็ตโดยไมบ่ อกผปู้ กครอง ▪ ไม่สง่ รูปหรือขอ้ มลู ส่วนตัวใหก้ บั คนท่รี ู้จกั ทางอนิ เตอร์เนต็ ▪ ไม่ใหค้ วามสนใจหรือตอบโต้กับคนที่ถ้อยคำหยาบคาย ▪ ไมโ่ หลดส่งิ ท่ีไม่คนุ้ เคยหรือเปิดเอกสารจากอเี มลข์ องคนที่เราไมร่ ้จู กั ▪ หากพบข้อความหรือรูปภาพรุนแรง ใหร้ ีบแจง้ ผูป้ กครองหรือคุณครู ▪ เคารพในกฎระเบยี บ นโยบาย หรอื ข้อตกลงท่ีให้ไวก้ ับผปู้ กครองและคณุ ครูในการใชอ้ นิ เตอร์เน็ต

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 24 การปอ้ งกนั ภัยคกุ คามทาง E-mail Email มีอีเมลหลอกลวง (Phishing email) หลายฉบับถูกส่งเข้ามายังอีเมลขององค์กร ทั้งนี้ศูนย์ ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือ ThaiCERT ได้ให้ 10 คำแนะนำ ป้องกนั ภยั คกุ คามทาง Email เอาไว้ ไดแ้ ก่ ▪ ตง้ั รหัสผ่าน (Password) ท่ีคาดเดาได้ยาก และหมน่ั เปล่ยี นบ่อย ๆ ▪ ดแู ลชอ่ งทางทใี่ ชใ้ นการเปลี่ยน (Reset) รหสั ผา่ นใหม้ คี วามม่ันคง ปลอดภยั เชน่ อเี มลสำรองสำหรบั กคู้ ืนบัญชี ▪ หมัน่ ตรวจสอบประวตั กิ ารใช้งานที่นา่ สงสัย รวมถงึ ชอ่ งทางในการ ยืนยนั ตัวตนอยา่ งสม่ำเสมอ ▪ ติดตั้งโปรแกรม AntiVirus อัปเดตระบบปฏิบัติการ และ Web Browser รวมถงึ ตวั ซอฟตแ์ วร์ให้เป็นเวอรช์ ั่นล่าสุดทันสมัยอยูเ่ สมอ ▪ หลกี เลยี่ งการใชเ้ ว็บเมลผา่ นทางเครือ่ งคอมพวิ เตอรส์ าธารณะ และไม่ควรตง้ั ค่าให้ Web Browser จำ รหสั ผ่าน ▪ ระวังในการเปดิ ไฟล์แนบ หรือคลิกลงิ ก์ท่ีพาไปเว็บไซต์อืน่ ▪ แม้อีเมลจากคนรู้จัก ก็อาจเป็นคนร้ายปลอมตวั มาก็ได้ ถา้ ไมแ่ นใ่ จ ควรยนื ยันช่องทางอื่นทีไ่ มใ่ ช่อเี มล เช่น แจง้ ยนื ยันเปลย่ี นเลขที่บัญชโี อนเงินทางโทรศัพท์ ▪ ควรเปิดการใช้งานยนื ยันตัวตนแบบ 2 Factor Authentication โดยใช้ เบอร์โทรศพั ท์ อีเมลสำรอง หรือแอป เช่น Google Authenticator ▪ ตรวจสอบรายช่ือผู้รับอีเมลก่อนกดปุม่ Reply หรือ Reply All ทุกครง้ั เพราะผรู้ า้ ยมักใช้เทคนคิ ต้ังชอื่ อเี มลท่ใี กลเ้ คยี งกบั คนทเี่ รารจู้ ัก เชน่ [email protected] กบั [email protected] (เลข 0 แทนตวั อักษร o) ▪ อย่าหลงเชอื่ อเี มลที่หลอกใหเ้ ปลยี่ นรหัสผ่านหรือให้อปั เดตขอ้ มูลสว่ นตัวหากไม่แนใ่ จควรสอบถามผทู้ ่สี ่ง ขอ้ มลู มาในทางช่องทางอ่ืน ๆ อีกคร้งั การดแู ลบุตรหลานทใ่ี ชง้ านอนิ เทอร์เนต็ ของผปู้ กครอง ▪ พ่อแม่ควรเรยี นร้เู รอ่ื งอินเทอร์เน็ต ▪ ใชเ้ วลาท่องอนิ เทอร์เน็ตกับลูกใหม้ ากที่สุด หรืออยา่ งน้อยต้องพูดคุยกัน ▪ ติดต้งั เคร่ืองคอมพิวเตอร์ไว้ในหอ้ งรวมของครอบครัว ▪ ทา่ นต้องเป็นตัวอยา่ งที่ดีในการใชง้ านอนิ เทอร์เน็ตก่อนท่ีจะสอนลูก ▪ สอนลกู ให้เข้าใจถงึ วตั ถุประสงคข์ องการใชง้ านแต่ละอย่าง เชน่ อีเมล์ แชท กลมุ่ ข่าว เว็บ การสำเนา ข้อมูล รวมถงึ กฎกติกามารยาทออนไลน์ ▪ ส่งเสรมิ ให้ลกู ใชง้ านอินเทอร์เน็ตอยา่ งสนุก ปลอดภยั และไดป้ ระโยชน์ ▪ หมนั่ สังเกตพฤติกรรมของลูก ดูว่าเขาทำตวั แปลกไปกว่าที่เคยหรือไม่ ▪ พดู คยุ กับลกู ให้เข้าใจแต่แรก ถึงขอบเขตการใช้งานอินเทอร์เน็ต ▪ ผู้ปกครองอาจติดตัง้ โปรแกรมบลอ็ กเว็บไซต์ได้ ▪ หากท่านพบอะไรทเี่ หลอื บา่ กวา่ แรง อย่ารรี อทจ่ี ะขอความช่วยเหลอื

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 25 จรยิ ธรรมในการใชค้ อมพิวเตอร์ และเทคโนโลยีสารสนเทศ จรยิ ธรรมในการใช้เทคโนโลยีสารสนเทศ คือ หลกั ศลี ธรรมจรรยาที่กำหนดข้นึ เพื่อใชเ้ ป็นแนวทางปฏิบัติ หรือควบคุมการใช้ระบบคอมพิวเตอร์และสารสนเทศ เมื่อพิจารณาถึงจริยธรรมเกี่ยวกับการใช้เทคโนโลยี สารสนเทศจะแบง่ ออกเป็น 4 ประเดน็ ดังน้ี ▪ ความเป็นส่วนตัว ความเป็นส่วนตัวของข้อมูลและสารสนเทศ โดยทั่วไปจะหมายถึง สิทธิที่จะอยู่ตาม ลำพังและเป็นสิทธิที่จ้าของสามารถที่จะควบคุมข้อมูลของตนเองในการเปิดเผยให้กับผู้อื่น สิทธินี้ใช้ได้ ครอบคลมุ ทั้งสาระสำคญั สว่ นบคุ คล กลุ่มบุคคล องค์กร และหนว่ ยงานต่าง ๆ ▪ ความถูกต้อง ข้อมูลควรได้รับการตรวจสอบความถูกต้องก่อนที่จะบันทึกข้อมูลเก็บไว้รวมถึงการ ปรับปรุงข้อมูลให้มีความทันสมัยอยู่เสมอ นอกจากนี้ควรให้สิทธิแก่บุคคลในการเข้าไปตรวจสอบความ ถกู ต้องของข้อมูลของตนเองได้ ▪ ความเป็นเจ้าของ เป็นกรรมสิทธิ์ในการถือครองทรัพย์สิน ซึ่งอาจเป็นทรัพย์สินทั่วไปที่จับต้องได้ เช่น คอมพิวเตอร์ รถยนต์ หรืออาจเป็นทรัพย์สินทางปัญญาที่จับต้องไม่ได้ เช่น บทเพลงโปรแกรม คอมพิวเตอร์ แตส่ ามารถถา่ ยทอดและบันกลงในส่ือได้ เชน่ สง่ิ พิมพ์ ซดี ีรอม เป็นต้น ▪ การเขา้ ถึงข้อมูล การเข้าใชง้ านโปรแกรมหรอื ระบบคอมพิวเตอร์ มักจะมกี ารกำหนดสิทธิตามระดับของ ผ้ใู ชง้ าน ท้งั นี้เพ่อื เปน็ การป้องกนั การเข้าไปดำเนินการต่าง ๆ กับข้อมูลของผใู้ ช้ทไ่ี มม่ สี ว่ นเกย่ี วข้อง และ เปน็ การรกั ษาความลบั ของขอ้ มูล

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 26 จรรยาบรรณในการใชง้ านเทคโนโลยสี ารสนเทศ จรรยาบรรณ คอื ประมวลความประพฤติทผี่ ู้ประกอบอาชพี การงานกำหนดขึน้ จรรยาบรรณ ในการใชง้ านเทคโนโลยสี ารสนเทศ มดี งั น้ี 1. ไมใ่ ช้คอมพิวเตอรเ์ พื่อกอ่ อาชญากรรมหรือละเมิดสทิ ธิของผูอ้ ื่น 2. ไม่ใชค้ อมพิวเตอรร์ บกวนผอู้ ่ืน 3. ไมท่ ำการสอดแนม แก้ไข หรอื เปิดดไู ฟลเ์ อกสารของผู้อนื่ ก่อนได้รับอนญุ าต 4. ไมใ่ ช้คอมพิวเตอรใ์ นการโจรกรรมข้อมลู ขา่ วสาร 5. ไมใ่ ชค้ อมพวิ เตอรส์ ร้างหลักฐานเท็จ 6. ไม่ใช้คอมพวิ เตอร์ในการคัดลอกโปรแกรมทม่ี ลี ิขสิทธ์ิ 7. ไมใ่ ช้คอมพิวเตอรใ์ นการละเมิดการใชท้ รพั ยากรคอมพวิ เตอรโ์ ดยตนเองไม่มีสทิ ธ์ิ 8. ไมใ่ ชค้ อมพิวเตอร์เพอื่ นำเอาผลงานของผู้อื่นมาเปน็ ของตนเอง 9. คำนึงถงึ ผลของการกระทำทจ่ี ะเกิดขน้ึ ต่อสงั คม 10.ใช้คอมพวิ เตอร์โดยเคารพกฎระเบียบ กติกา และมารยาท ขอ้ กาหนด ข้อตกลงในการใช้แหล่งขอ้ มลู สารสนเทศถูกสร้างสรรค์ขึ้นมากมายในปัจจุบัน การเข้าถึงสารสนเทศทำได้ง่ายและสะดวกจึงมี การคัดลอกหรือนำสารสนเทศที่ไม่ใช่ลิขสิทธิ์ของตนไปใช้งานโดยไม่ได้รับอนุญาต การจัดทำสัญญาอนุญาต (Creative Commons : CC) ขึ้น เพื่อให้เจ้าของสารสนเหตไดม้ อบสิทธิไนการทำซ้ำเผยแพร่ จัดแสดง ตัดแปลง สารสนเทศของตนใหแ้ กบ่ ุคคลอื่นนำไปใช้ได้ จะมกี ารกำหนดสญั ญา อนญุ าตคิ รเี อทฟี คอมมอนส์หรอื เง่อื นไข ดงั น้ี

แนวทางการปอ้ งกันภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 27 มารยาทของผ้ใู ช้ส่อื หรอื แหล่งข้อมูลตา่ ง ๆ บนอเิ ทอรเ์ น็ต ในฐานะทเ่ี ราเปน็ บุคคลท่ีใชส้ ื่อหรือแหลง่ ข้อมูลต่าง ๆ บนอินเทอรเ์ นต็ ดงั น้นั เราควรมีมารยาท ในการใช้ส่ือหรือแหลง่ ข้อมูลดังนี้ 1. ตรวจสอบความถกู ตอ้ งของข้อมลู และขา่ วสารต่าง ๆ ก่อนนำไปเผยแพรบ่ นเครอื ข่าย 2. ใชภ้ าษาที่สภุ าพและเป็นทางการในการเผยแพร่ขอ้ มูลบนอนิ เทอร์เนต็ 3. เผแพร่ข้อมูลและข่าวสารที่เป็นประโยชน์ในทางสร้างสรรค์ ไม่ควรนำเสนอข้อมูลข่าวสารที่ขัดต่อ ศลี ธรรมและจริยธรรมอันดี รวมท้งั ข้อมลู ทก่ี ่อให้เกิดความเสียหายตอ่ ผูอ้ ื่น 4. ควรระบุแหล่งที่มา วันเดือนปีที่ทำการเผยแพร่ข้อมูล รวมทั้งควรมีคำแนะนำ และคำอธิบายการใช้ ขอ้ มูลท่ีชัดเจน 5. ควรระบุข้อมูลข่าวสารทเ่ี ผยแพรใหช้ ดั เจนว่าเป็นโฆษณา ความคิดเหน็ หรอื ความจรงิ 6. ไม่ควรเผยแพร่ข้อมูล ข่าวสาร หรือโปรแกรมของผู้อื่นก่อนได้รับอนุญาต และไม่ควรแก้ไข เปลย่ี นแปลงขอ้ มลู ของผอู้ ่นื ทเี่ ผยแพรบ่ นเครือข่าย 7. ไม่ควรเผยแพร่โปรแกรมที่นำความเสียหาย เช่น ไวรัสคอมพิวเตอร์เข้าสู่ระบบเครือข่าย และควร ตรวจสอบแฟ้มข้อมลู ข่าวสาร หรอื โปรแกรมวา่ ปลอดไวรสั ก่อนเผยแพร่เข้าสู่ระบบอนิ เทอร์เน็ต

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 28 แนวทางป้องกนั ภัยคุกคาม ทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอร์ ของโรงเรยี นวดั ดงโคกขาม การควบคุมการเขา้ ออกหอ้ งควบคุมระบบคอมพิวเตอร์ (Computing System Control Room Policy) 1. วัตถุประสงค์ เพื่อกำหนดมาตรการควบคุมและป้องกัน การรักษาความมั่นคงปลอดภัยที่เกี่ยวของกับการเข้าใช้งาน หรอื การเข้าถึงห้องควบคุมระบบคอมพวิ เตอร์ อุปกรณ์ระบบเครือข่ายและเทคโนโลยีสารสนเทศ มิให้บุคคลที่ไม่ มอี ำนาจหน้าทเ่ี ก่ียวข้องในการปฏิบตั ิหน้าท่ีเขา้ ถึง ล่วงรู้ แก้ไข เปลีย่ นแปลงระบบเทคโนโลยสี ารสนเทศท่สี ำคญั ซงึ่ กอ่ ใหเ้ กดิ ความเสียหายตอ่ ขอ้ มูลและระบบข้อมลู ของโรงเรยี น โดยกำหนดกระบวนการควบคุมการเข้าออก ท่แี ตกตา่ งกนั ของกลุ่มบคุ คลต่าง ๆ ทม่ี คี วามจำเปน็ ตอ้ งเขา้ ออกห้องควบคมุ ระบบคอมพิวเตอร์และเครือขา่ ย 2. ผู้รบั ผิดชอบ 2.1 ศนู ยค์ อมพิวเตอร์ 3. กระบวนการควบคมุ การเข้าออกห้องควบคุมระบบคอมพิวเตอรแ์ ละเครอื ขา่ ย ผดู้ ูแลหอ้ งควบคุม ระบบคอมพวิ เตอรแ์ ละเครือขา่ ยมแี นวทางปฏิบตั ิดงั นี้ 3.1 ต้องตรวจสอบดูแลบุคคลทข่ี ออนญุ าตเข้ามาภายในห้องควบคมุ ระบบคอมพวิ เตอรแ์ ละเครือขา่ ยให้ ปฏิบตั ติ ามระเบียบและกฎเกณฑข์ องหอ้ งควบคุมระบบคอมพิวเตอร์และเครือขา่ ยอยา่ งเคร่งครดั 3.2 ตอ้ งขออนญุ าตผูบ้ ริหารสูงสุดกำหนดสทิ ธกิ ารเขา้ ถึงห้องควบคมุ ระบบคอมพิวเตอร์และเครอื ข่าย ใหแ้ กบ่ ุคคลทป่ี ฏบิ ัตหิ นา้ ทท่ี ่เี ก่ียวข้องภายในโดยจัดทำเปน็ ลายลักษณ์อักษร 3.3 ตอ้ งจดั ทำระบบเก็บบนั ทึกการเขา้ ออกห้องควบคุมระบบคอมพิวเตอร์ 3.4 กรณบี คุ คลท่ีไมม่ หี นา้ ทเี่ กีย่ วข้องประจำมีความจำเปน็ ต้องเข้าออกหอ้ งควบคมุ ระบบคอมพวิ เตอร์ และเครอื ข่าย ตอ้ งมีการควบคมุ อย่างเคร่งครัด โดยเจา้ หน้าทศี่ ูนยค์ อมพวิ เตอร์ 3.5 จัดให้มีเจา้ หน้าที่ทำหน้าทตี่ รวจสอบประวตั กิ ารเขา้ ออกพน้ื ทห่ี ้องควบคุมระบบคอมพวิ เตอร์และ เครือข่ายเป็นประจำ และปรบั ปรุงสทิ ธิการเข้าออกหอ้ งควบคมุ ระบบคอมพวิ เตอร์และเครือข่าย อย่างน้อยปีละคร้ัง การควบคมุ การเข้าถงึ ระบบเทคโนโลยีสารสนเทศ(Access Control Policy) 1. วตั ถุประสงค์ เพือ่ กำหนดมาตรการควบคุมบุคคลทไี่ ม่ได้รับอนุญาตเขา้ ถึงระบบเทคโนโลยีสารสนเทศของโรงเรยี นและ ปอ้ งกันการบุกรกุ ผา่ นระบบเครือขา่ ยจากผบู้ ุกรกุ และโปรแกรมชดุ คำสง่ั ไม่พงึ ประสงค์ทจี่ ะสร้างความเสยี หาย แก่ข้อมูลหรือการทำงานของระบบเทคโนโลยสี ารสนเทศให้หยุดชะงักและทำให้สามารถตรวจสอบ ตดิ ตาม พสิ ูจนต์ ัวบุคคลที่เข้าใชง้ านระบบเทคโนโลยสี ารสนเทศของโรงเรยี นได้อย่างถูกต้อง 2. ผรู้ บั ผิดชอบ 2.1 ศูนยค์ อมพวิ เตอร์ 2.2 ผดู้ แู ลระบบ 2.3 เจา้ ของข้อมลู

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 29 3. การควบคมุ การเข้าถึงข้อมลู และอปุ กรณ์ในการประมวลผลข้อมูลสารสนเทศ 3.1 สถานท่ีตง้ั ของระบบเทคโนโลยีสารสนเทศทีส่ ำคัญต้องมีการควบคุมการเขา้ ออกท่ีรัดกุมและ อนญุ าตให้เฉพาะบคุ คลท่ีไดร้ บั สิทธแิ ละมีความจำเป็นผา่ นเข้าใช้งานไดเ้ ท่าน้นั 3.2 ผดู้ ูแลระบบตอ้ งกำหนดสทิ ธิการเข้าถึงข้อมลู และระบบข้อมูลให้เหมาะสมกบั การเข้าใชง้ านของ ผู้ใช้ระบบและหน้าที่ความรับผิดชอบของเจ้าหน้าที่ในการปฏิบัติงานก่อนเข้าใช้ระบบเทคโนโลยีสารสนเทศ รวมท้งั มกี ารทบทวนสิทธิการเข้าถึงอย่างสม่ำเสมอท้ังนีผ้ ู้ใช้ระบบจะต้องได้รับอนุญาตจากผู้ดูแลระบบตามความ จำเป็นในการใช้งาน 3.3 ผู้ดูแลระบบหรือผ้ทู ไี่ ด้รับมอบหมายเทา่ นนั้ ท่ีสามารถแกไ้ ขเปลีย่ นแปลงสิทธกิ ารเขา้ ถึงขอ้ มูลและ ระบบขอ้ มูลได้ 3.4 ผู้ดแู ลระบบตอ้ งจดั ให้มรี ะบบบันทึกและตดิ ตามการใชง้ านระบบเทคโนโลยีสารสนเทศของ โรงเรียนและตรวจตราการละเมดิ ความปลอดภยั ที่มีตอ่ ระบบข้อมลู สำคญั ดงั น้ี 3.4.1 จัดทำบัญชีสินทรพั ยร์ ะบบเทคโนโลยีสารสนเทศ เพื่อจำแนกกลุม่ ของของระบบหรือการ ทำงาน เพื่อกำหนดกลมุ่ ผู้ใชง้ านและสทิ ธขิ องกลมุ่ ผู้ใช้งาน 3.4.2 จดั ทำบัญชกี ารใชง้ านระบบเทคโนโลยสี ารสนเทศ 3.4.3 ตรวจสอบการใช้งานระบบเทคโนโลยีสารสนเทศ 3.4.4 ระงบั การเข้าใชง้ านระบบเทคโนโลยสี ารสนเทศ เมอ่ื ตรวจพบการละเมิดความปลอดภยั 3.5 ผ้ดู แู ลระบบตอ้ งควบคมุ ให้มีการบันทึกรายละเอยี ดการเขา้ ถงึ ระบบการแก้ไขเปลย่ี นแปลงสิทธิ ต่าง ๆ และการผา่ นเข้าออกสถานที่ต้ังของระบบของทั้งผ้ทู ่ีไดร้ ับอนญุ าตและไมไ่ ด้รับอนุญาตเพื่อเป็นหลกั ฐานใน การตรวจสอบหากมปี ัญหาเกิดขน้ึ 4. ข้อกำหนดเกย่ี วกับการกำหนดสทิ ธิการเข้าถึงระบบเทคโนโลยีสารสนเทศ 4.1 ผดู้ แู ลระบบตอ้ งกำหนดให้ผูใ้ ชง้ าน สามารถเขา้ ถงึ ระบบสารสนเทศได้แต่เพยี งบรกิ ารที่ไดร้ ับ อนญุ าตใหเ้ ข้าถงึ เทา่ น้ัน และการตรวจสอบการอนมุ ัติและกำหนดสิทธใิ นการผ่านเขา้ ส่รู ะบบให้แก่ผ้ใู ชท้ ี่ได้รับ อนญุ าต 4.2 เจา้ ของข้อมลู และเจา้ ของระบบงานจะอนุญาตให้ผ้ใู ชง้ านเข้าสรู่ ะบบเฉพาะในส่วนทจี่ ำเป็นต้องรู้ ตามหนา้ ท่งี านเทา่ นัน้ เนอื่ งจากการให้สิทธเิ กินความจำเป็นในการใช้งานจะนำไปสู่ความเส่ยี งในการใชง้ านเกนิ อำนาจหน้าที่ดังนน้ั การกำหนดสทิ ธใิ นการเขา้ ถงึ ระบบงานต้องกำหนดตามความจำเป็นขั้นตำ่ เท่านัน้ 4.3 ผู้ใชง้ านจะต้องไดร้ ับอนุญาตจากเจ้าหนา้ ท่ีทรี่ ับผิดชอบขอ้ มลู และระบบงานตามความจำเป็นตอ่ การใช้งานระบบเทคโนโลยสี ารสนเทศ 4.4 การขอสิทธใิ นการเขา้ สู่ระบบจะต้องมกี ารทำเป็นเอกสารและมีการลงนามอนมุ ตั ิ เอกสารดังกล่าว และต้องมีการจดั เก็บไว้เป็นหลกั ฐานด้วย 5. ข้อกำหนดเกยี่ วกับประเภทขอ้ มลู ลำดบั ชั้นความลับของข้อมูล 5.1 ประเภทข้อมลู 5.1.1 ข้อมลู ท่วั ไปและข่าวสารของโรงเรียน เปน็ ข้อมูลทว่ั ไป บุคคลทัว่ ไปสามารถเข้าถงึ ได้ โดย ผ่านเวบ็ ไซตข์ องโรงเรยี น 5.1.2 ข้อมลู ระบบงานบคุ ลากร เปน็ ข้อมลู สว่ นบุคคล ไมเ่ ปิดเผยใหบ้ คุ คลภายนอกทราบ สามารถเข้าถึงได้ โดยผ่านระบบงานบรหิ ารงานบุคคล มกี ารกำหนดสิทธกิ ารเข้าถงึ ขอ้ มูล 5.1.3 ข้อมูลระบบงานวิชาการ เปน็ ขอ้ มูลภายใน ใช้สือ่ สารภายในระหว่างบุคลากรท่ีได้รับสทิ ธิ เท่านน้ั สามารถเขา้ ถงึ ได้ โดยผา่ นระบบงานวชิ าการ มีการกำหนดสทิ ธิการเขา้ ถงึ ขอ้ มูล

แนวทางการปอ้ งกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 30 5.1.4 ข้อมูลระบบงานกิจการนักเรียน เป็นขอ้ มูลภายใน ใช้ส่อื สารภายในระหว่างบุคลากรท่ี ได้รบั สิทธเิ ท่านั้น สามารถเขา้ ถึงได้ โดยผา่ นระบบงานกิจการนักเรียน มกี ารกำหนดสิทธิการเข้าถึงขอ้ มูล 5.1.5 ข้อมูลระบบงานอาคารสถานทีแ่ ละยานพาหนะ เปน็ ข้อมลู ภายใน ใชส้ ื่อสารภายใน ระหว่างบุคลากรที่ได้รับสิทธิเท่านั้น สามารถเข้าถึงได้ โดยผ่านระบบงานอาคารสถานที่และยานพาหนะ มีการ กำหนดสทิ ธกิ ารเขา้ ถึงขอ้ มลู 5.2 การลำดับความสำคญั หรือลำดบั ชัน้ ความลบั ของขอ้ มลู ใชแ้ นวทางตามระเบียบวา่ ดว้ ยการรกั ษา ความลับของทางราชการ พ.ศ. 2544 ซึ่งระเบียบดังกล่าวเป็นมาตรการที่ละเอียดรอบคอบถือว่าเป็นแนวทางที่ เหมาะสมทใ่ี นการจัดการเอกสารอิเล็กทรอนกิ ส์และในการรักษาความปลอดภยั ของเอกสารอเิ ล็กทรอนิกส์โดยได้ กำหนดกระบวนการและกรรมวธิ ตี อ่ เอกสารทส่ี ำคญั ไว้ดงั นี้ 5.2.1 การกำหนดชนั้ ความลบั ตามความสำคญั ของข้อมูลในเอกสารกำหนดไว้ 3 ระดับ ได้แก่ ลับ ลบั มาก ลบั ทสี่ ดุ และมกี ารกำหนดความรับผิดชอบใหแ้ กผ่ ู้มีอำนาจกำหนดชัน้ ความลบั เป็นผู้พิจารณากำหนด ระดบั ชนั้ ความลับของเอกสารและการยกเลิกหรือปรบั ระดับช้นั ความลับของเอกสารตามความจำเป็น 5.2.2 การควบคมุ เอกสารโดยกำหนดใหม้ มี าตรการควบคมุ ต่าง ๆ คอื การจัดทำทะเบียนการ ตรวจสอบการจดั ทำเอกสารการสำเนาและการแปลการโอนการรบั การสง่ การเก็บรกั ษาการยืม การทำลาย การ ปฏบิ ตั ิในเวลาฉกุ เฉินเวลาสญู หายรวมถึงการเปิดเผยข้อมูลในเอกสาร 5.3 กำหนดระดบั ชั้นการเข้าถึงระบบเทคโนโลยสี ารสนเทศ ดังนี้ 5.3.1 ผูบ้ รหิ าร เขา้ ถงึ ไดต้ ามอำนาจหนา้ ท่ีและลำดบั ชน้ั การบังคับบญั ชาในหนว่ ยงานนั้น 5.3.2 ผดู้ แู ลระบบ มีสทิ ธิในการบรหิ ารจดั การระบบและเข้าถึงข้อมลู ตามทไ่ี ดร้ ับมอบหมาย ตามอำนาจหน้าที่ 5.3.3 บคุ ลากรของโรงเรยี น เข้าถึงไดเ้ ฉพาะข้อมลู สว่ นบุคคลของตนเองและข้อมูลที่ไดร้ ับ อนญุ าตใหเ้ ขา้ ถงึ ได้ 5.3.4 ผู้ใชง้ านท่วั ไป เข้าถึงได้เฉพาะข้อมลู ทั่วไปและขา่ วสารของโรงเรยี น ผ่านเว็บไซต์ของ โรงเรียน เทา่ น้นั ไมส่ ามารถเขียน แกไ้ ข และลบข้อมูลได้ 5.4 ระยะเวลาการเขา้ ใช้งาน สามารถเขา้ ถงึ ได้ 24 ชว่ั โมง ทกุ วัน 5.5 ชอ่ งทางการเขา้ ถึง 5.5.1 ผ่านระบบเครอื ข่ายของโรงเรียน 5.5.2 ผ่านระบบเครือขา่ ยของผใู้ ห้บริการอนิ เตอรเ์ นต็ 5.5.3 ผ่านระบบตรวจสอบสิทธิการเขา้ ใช้งานระบบเทคโนโลยสี ารสนเทศของโรงเรียน 6. การบริหารจัดการการเขา้ ถึงของผ้ใู ช้ 6.1 การลงทะเบยี นเจ้าหน้าที่ใหมข่ องโรงเรียนเพ่ือให้มีสิทธิต่าง ๆ ในการใชง้ านตามความจำเปน็ และ ตอ้ งกำหนดให้มียกเลกิ สิทธกิ ารใช้งานเมอ่ื ลาออกไปต้องทำภายใน 7 วันหรอื เม่อื เปล่ยี นตำแหน่งงานภายในต้อง ทำภายใน 7 วนั 6.2 กำหนดสิทธิการใชร้ ะบบเทคโนโลยสี ารสนเทศท่ีสำคัญ ได้แก่ ระบบคอมพวิ เตอรโ์ ปรแกรมประยกุ ต์ จดหมายอเิ ล็กทรอนิกส์ ระบบเครอื ข่ายไร้สาย ระบบอินเตอร์เน็ต เป็นตน้ โดยตอ้ งให้สทิ ธเิ ฉพาะการปฏิบตั งิ าน ในหนา้ ทแี่ ละต้องได้รับความเหน็ ชอบจากผู้ดแู ลระบบเป็นลายลกั ษณ์อกั ษรรวมท้ังต้องทบทวนสทิ ธิดงั กลา่ วอย่าง สมำ่ เสมอ

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 31 6.3 การบรหิ ารจดั การบญั ชรี ายช่ือผู้ใชง้ านและรหัสผา่ น 6.3.1 ผู้ดแู ลระบบทรี่ ับผิดชอบระบบงานน้ัน ๆ ต้องกำหนดสทิ ธิของเจ้าหน้าท่ีในการเขา้ ถึง ระบบเทคโนโลยีสารสนเทศแต่ละระบบรวมทั้งกำหนดสิทธิแยกตามหน้าที่ที่รับผดิ ชอบซึง่ มแี นวทางปฏบิ ัตติ ามท่ี กำหนดไว้ในส่วนท่ี 3“การบริหารจดั การการเขา้ ถึงของผ้ใู ชง้ าน” 6.3.2 การกำหนดการเปลีย่ นแปลงและการยกเลกิ รหสั ผา่ นต้องปฏบิ ตั ิตามที่กำหนดไว้ 6.3.3 กรณีมีความจำเป็นตอ้ งใหส้ ทิ ธพิ เิ ศษกับผใู้ ชห้ มายถงึ ผู้ใชท้ ี่มสี ิทธสิ ูงสุดตอ้ งมีการพิจารณา การควบคุมผ้ใู ช้ท่ีมสี ิทธพิ ิเศษนัน้ อย่างรดั กุมเพียงพอโดยใช้ปัจจยั ต่อไปนี้ประกอบการพจิ ารณา 6.3.3.1 ได้รับความเห็นชอบจากผู้ดแู ลระบบงานนั้น ๆ โดยนำเสนอผู้บงั คบั บัญชา อนมุ ัติ 6.3.3.2 ควบคุมการใช้งานอย่างเขม้ งวด โดยกำหนดให้ใช้งานเฉพาะกรณีท่ีจำเปน็ เท่านน้ั 6.3.3.3 กำหนดระยะเวลาการใช้งานและระงับการใช้งานทันทีเมอื่ พน้ ระยะเวลา ดงั กล่าว 6.4 การบรหิ ารจัดการการเข้าถึงข้อมูลตามระดบั ชัน้ ความลับ 6.4.1 ผู้ดแู ลระบบต้องกำหนดชั้นความลับใหก้ ับข้อมลู วธิ ีปฏิบตั ิในการจัดเกบ็ ข้อมลู และวธิ ี ปฏิบตั ใิ นการควบคุมการเขา้ ถึงขอ้ มลู แต่ละประเภทชัน้ ความลับท้ังการเขา้ ถึงโดยตรงและการเขา้ ถงึ ผ่าน ระบบงานรวมถึงวิธีการทำลายข้อมูลแตล่ ะประเภทชั้นความลบั 6.4.2 เจา้ ของข้อมูลจะต้องมีการสอบทานความเหมาะสมของสทิ ธใิ นการเข้าถงึ ข้อมลู ของ ผใู้ ช้งานเหล่านอ้ี ย่างน้อยปีละ 1 ครงั้ เพ่ือใหม้ ั่นใจได้ว่าสทิ ธิตา่ ง ๆ ทีใ่ หไ้ วย้ งั คงมีความเหมาะสม 6.4.3 วิธปี ฏิบตั ใิ นการควบคุมการเขา้ ถึงข้อมลู แต่ละประเภทช้ันความลบั ทง้ั การเข้าถึงโดยตรง และการเข้าถงึ ผ่านระบบงานผู้ดแู ลระบบต้องกำหนดรายชื่อผู้ใช้งานและรหัสผา่ นเพอื่ ใช้ในการตรวจสอบตวั ตน จริงของผู้ใชข้ ้อมูลในแตล่ ะชน้ั ความลบั ของข้อมูล 6.4.4 การรับสง่ ข้อมูลสำคัญผ่านเครือขา่ ยสาธารณะต้องทำการเขา้ รหสั ท่ีเป็นมาตรฐานสากล 7. กำหนดใหม้ ีหนว่ ยงานหลักหรือหน่วยงานเจ้าภาพในการอนุญาตการเข้าถงึ ขอ้ มูลและสารสนเทศของ โรงเรียนในแต่ละประเภทดังนี้ 7.1 ข้อมูลนักเรียน หน่วยงานหลกั คอื ฝา่ ยวิชาการ 7.2 ขอ้ มูลบุคลากร หนว่ ยงานหลกั คือ ฝา่ ยอำนวยการ 7.3 ข้อมลู การเงนิ และบญั ชี หนว่ ยงานหลักคือ ฝา่ ยคลงั และพสั ดุ 7.4 ขอ้ มลู ทางการศกึ ษา ขน้ ึ อยู่กับสาขาวิชาท่ีโรงเรยี นอบหมายเปน็ หน่วยงานหลกั 7.5 ข้อมลู ทางการบรหิ าร ขนึ้ อยกู่ ับฝ่ายทโี่ รงเรียนนมอบหมายเปน็ หนว่ ยงานหลัก 7.6 ขอ้ มูลการจราจรทางคอมพวิ เตอร์ ศนู ย์คอมพวิ เตอร์ 7.7 การกำหนดกฎเกณฑเ์ กี่ยวกับการอนุญาตใหเ้ ขา้ ถึง ต้องกำหนดตามนโยบายที่เกย่ี วข้องกับการ อนญุ าต การกำหนดสิทธิ หรือการมอบอำนาจของโรงเรียน

แนวทางการป้องกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 32 8. การควบคมุ การปรับปรุงเปลีย่ นแปลง 8.1 การปรบั ปรงุ เปลีย่ นแปลงใด ๆ ที่อาจส่งผลกระทบต่อข้อมูลและสารสนเทศท่ีใชง้ านอยูใ่ ห้ ดำเนินการดงั นี้ 8.1.1 พิจารณาวางแผนดำเนินการปรบั ปรงุ เปล่ยี นแปลง รวมทงั้ วางแผนด้านงบประมาณที่ จำเป็นต้องใชใ้ นการปรบั ปรุงเปลีย่ นแปลง 8.1.2 แจง้ ใหผ้ ้ทู ่เี กีย่ วข้องได้รับทราบเก่ียวกับการปรับปรุงเปลยี่ นแปลงนนั้ ๆ เพ่ือให้บุคคล เหลา่ น้นั มเี วลาเพียงพอในการเตรยี มความพร้อมก่อนท่ีจะดำเนินการเปล่ยี นแปลง 8.1.3 ต้องตรวจสอบความสมบรู ณข์ องข้อมลู และสารสนเทศภายหลังจากที่มีการปรบั ปรุง เปลย่ี นแปลง 8.2 ต้องจัดเก็บซอรส์ โคด้ และไลบราร่ขี องระบบสารสนเทศท้งั เวอรช์ ่นั ปัจจุบันและเวอรช์ ่ันเกา่ ไว้ใน สถานท่ที มี่ ีความมัน่ คงปลอดภยั เพ่อื ใหส้ ามารถนำกลับมาใช้ได้เมื่อจำเป็น 9 การกำหนดการใชง้ านตามภารกิจ 9.1 การควบคมุ การเข้าถึงระบบสารสนเทศ 9.1.1 นักเรยี น จะใหส้ ิทธทิ นั ทที ี่มีสภาพเป็นนักเรียนและหมดสิทธิเม่ือพ้นสภาพนักเรยี นไปแลว้ 90 วนั 9.1.2 บุคลากร จะใหส้ ิทธิเข้าถงึ ตามภาระหนา้ ท่ที ี่ได้รับมอบหมายและหมดสิทธเ์ิ ม่ือพ้นสภาพ การเปน็ บคุ ลากร 9.1.3 ผ้บู ริหาร จะใหส้ ทิ ธเิ ข้าถงึ ตามภาระหน้าทท่ี ่ีได้รับมอบหมายและหมดสิทธเิ มอ่ื พน้ สภาพ การเป็นผบู้ รหิ าร 9.1.4 บุคคลภายนอก ไดร้ บั อนญุ าตเฉพาะระบบและชว่ งเวลาทก่ี ำหนด 9.2 ขอ้ จำกัดในการเข้าถึง 9.2.1 นักเรียน เข้าถงึ ไดเ้ ฉพาะระบบที่ได้รบั อนญุ าต 9.2.2 บุคลากร เข้าถึงไดต้ ามสิทธิเบ้อื งตน้ และภารกิจท่ีไดร้ ับมอบหมาย 9.2.3 ผู้บริหาร เข้าถึงตามสิทธิและภารกิจทไ่ี ด้รับมอบหมาย 9.2.4 บุคคลภายนอก เขา้ ถงึ ได้ตามท่ีไดร้ บั อนุญาต การกาหนดหนา้ ทค่ี วามรับผิดชอบของผู้ใชง้ าน (User Responsibilities Policy) 1. วตั ถุประสงค์ เพื่อควบคมุ และกำหนดมาตรการการปฏิบตั ิงานของผใู้ ช้งานใหเ้ ปน็ ไปตามหน้าที่ที่ได้รบั มอบหมายท่ี เกีย่ วขอ้ งกบั ข้อมลู สารสนเทศ และบงั คบั ใช้กับผทู้ ่ีใช้งานระบบเทคโนโลยีสารสนเทศของโรงเรียนมหิดลวิทยา นุสรณ์ เพ่อื ป้องกันการเขา้ ถึงขอ้ มูลโดยบุคคลอื่นและเปิดเผยขอ้ มลู สารสนเทศโดยไม่ได้รับอนญุ าต 2. ผรู้ ับผดิ ชอบ 2.1 ผใู้ ช้งาน 3. การใช้งานรหัสผา่ น (password use) ผใู้ ชง้ านระบบเทคโนโลยสี ารสนเทศต้องปฏบิ ตั ติ ามข้อกำหนดการใชง้ านรหัสผ่านดังนี้ 3.1 ต้งั รหสั ผ่านท่ียากต่อการคาดเดาโดยผ้อู ่นื 3.2 ไมเ่ ปิดเผยรหสั ผา่ นของตนเอง 3.3 จัดเก็บรหัสผ่านไว้ในสถานท่ีท่มี คี วามปลอดภัย

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 33 3.4 เปลี่ยนรหสั ผา่ นโดยทนั ทีเม่อื ทราบว่ารหสั ผา่ นของตนอาจถูกเปิดเผยหรือล่วงรโู้ ดยผอู้ ่นื 3.5 ต้องต้งั รหัสผ่านท่ีมีความยาวอยา่ งนอ้ ย 8 ตัวอักษร หรือเกนิ กวา่ ข้ันต่ำกำหนดไว้ 3.6 ตั้งรหัสผ่านทม่ี ีเทคนิคทง่ี ่ายตอ่ การจดจำ 3.7 ไมต่ ้งั รหัสผา่ นจากคำท่ปี รากฏในพจนานุกรม 3.8 หลกี เลีย่ งการตง้ั รหสั ผ่านท่ปี ระกอบด้วยอกั ขระท่เี รียงกนั ได้แก่ 123, abcd หรือกลมุ่ ของตัว อกั ขระที่เหมือนกัน ได้แก่ 111, aaa 3.9 ไมก่ ำหนดรหัสผา่ นท่ีมสี ่วนหนงึ่ มาจากสิง่ ท่ีส่ือถึงตวั ผใู้ ชง้ าน ได้แก่ ชื่อ นามสกลุ ช่ือเลน่ 3.10 เปลย่ี นรหัสผ่านตามรอบระยะเวลาทโ่ี รงเรียนกำหนด 3.11 เปลยี่ นรหัสผ่านโดยไมใ่ ชร้ หัสผ่านเดิมทีเ่ คยต้ังมาแล้ว 3.12 เปลยี่ นรหัสผา่ นชั่วคราวทีไ่ ด้รบั โดยทันทีครัง้ แรกท่ีทำการลงบันทึกเข้าสู่ระบบงาน 3.13 ไม่บันทึกรหสั ผา่ นหรอื จดจำรหสั ผ่านของตนเองไว้เพ่ือความสะดวกของตนเองเมื่อทำการลงบันทึก เขา้ ในภายหลัง 3.14 ไม่ใช้รหัสผ่านของตนร่วมกับผ้อู ื่น 3.15 หลกี เลย่ี งการใชร้ หัสผ่านเดียวกนั สำหรบั ระบบงานต่าง ๆ ทใ่ี ชง้ าน 4. การปอ้ งกันอปุ กรณใ์ นขณะทไ่ี ม่มีผูใ้ ชง้ าน 4.1 ผ้ใู ช้งานตอ้ งออกจากระบบเทคโนโลยสี ารสนเทศโดยทนั ทเี ม่ือเสร็จส้นิ งาน 4.2 ผใู้ ชง้ านตอ้ งลอ็ คอุปกรณ์ทสี่ ำคัญ เม่ือไม่ได้ใช้งานหรือปลอ่ ยทงิ้ ไวโ้ ดยไมไ่ ดใ้ ช้งานชั่วคราว 4.3 ผ้ดู แู ลระบบต้องสรา้ งความตระหนกั เพ่ือให้ผใู้ ชง้ านเข้าใจมาตรการป้องกนั ท่กี ำหนดไว้ 4.4 ผู้ดูแลระบบต้องกำหนดให้อปุ กรณ์คอมพิวเตอรท์ ุกเครื่อง ตอ้ งตงั้ เวลาพักหนา้ จอ (screen saver) โดยตั้งเวลาอยา่ งน้อย 15 นาที และมีการใชร้ หัสผา่ นในการเขา้ ถงึ ใหม่อีกครั้ง 5. การจัดวางและการป้องกันอุปกรณ์ 5.1 จดั วางอุปกรณ์ในพื้นท่หี รือบรเิ วณท่เี หมาะสม เพอื่ หลีกเล่ยี งการสูญหายหรอื ใช้งานโดยไม่ได้รบั อนญุ าต 5.2 อุปกรณ์ทีม่ ีความสำคัญให้แยกเก็บไว้ในพื้นท่ที ี่มีความมัน่ คงปลอดภยั 5.3 ดำเนินการตรวจสอบ สอดสอ่ ง และดูแลสภาพแวดล้อมภายในบริเวณท่มี รี ะบบสารสนเทศอยู่ ภายในเพ่ือป้องกันความเสยี หายตอ่ อุปกรณ์ท่ีอยู่ในบรเิ วณดังกล่าว ไดแ้ ก่ การตรวจสอบระดบั อุณหภมู ิ ความชนื้ วา่ อยใู่ นระดบั ปกติหรือไม่ 6. การควบคมุ สนิ ทรัพย์สารสนเทศและการใช้งานระบบคอมพิวเตอร์ (clear desk and clear screen policy) ตอ้ งควบคมุ ไม่ใหส้ นิ ทรพั ยส์ ารสนเทศ ไดแ้ ก่ เอกสาร สื่อบนั ทกึ ขอ้ มลู คอมพวิ เตอรห์ รอื สารสนเทศอยใู่ น ภาวะเสีย่ งตอ่ การเข้าถงึ โดยผ้ซู ึ่งไม่มีสิทธิ และตอ้ งกำหนดให้ผูใ้ ช้งานออกจากระบบสารสนเทศเม่ือวา่ งเว้นจาก การใชง้ านดงั นี้ 6.1 ผใู้ ช้งานตอ้ งจดั เก็บเอกสาร ขอ้ มลู สือ่ บนั ทึกขอ้ มลู คอมพวิ เตอร์ หรือสารสนเทศไว้ในสถานที่ มน่ั คงปลอดภัย 6.2 เครอ่ื งคอมพวิ เตอรต์ ้องมีกลไกการพิสจู นต์ วั ตนท่เี หมาะสมก่อนเขา้ ใช้งาน 6.3 ต้องป้องกันการใช้งานและควบคมุ ทรัพย์สิน ดงั น้ี 6.3.1 ทกุ คนต้องตระหนกั และปฏบิ ตั ิการใด ๆ เพ่ือปอ้ งกนั ทรพั ย์สินของโรงเรียน 6.3.2 ลงชอื่ ออกจากระบบทนั ทเี มอ่ื จำเปน็ ต้องปล่อยทิ้งโดยไม่มผี ูด้ ูแล

แนวทางการป้องกนั ภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 34 6.3.3 จัดเกบ็ ข้อมูลสำคัญในสถานที่ที่มคี วามปลอดภัย 6.3.4 ล็อคเครื่องคอมพิวเตอร์เมอ่ื ไมไ่ ดใ้ ช้งาน 6.4 สำรองและลบข้อมูลทเี่ ก็บอยูใ่ นส่ือบนั ทึกกอ่ นสง่ เครอื่ งคอมพวิ เตอร์ไปตรวจซ่อม เพือ่ ป้องกันการ สญู หายหรอื การเขา้ ถึงขอ้ มลู โดยไม่ไดร้ ับอนญุ าต 6.5 โปรแกรมต่าง ๆ ทต่ี ิดตงั้ บนเครอื่ งคอมพวิ เตอร์ของโรงเรียน เปน็ โปรแกรมท่โี รงเรยี นได้ซ้อื ลิขสิทธิ์ มาอย่างถูกต้องตามกฎหมาย ดงั นนั้ ห้ามผใู้ ช้งานคดั ลอกโปรแกรมและนำไปติดตงั้ บนคอมพวิ เตอร์ส่วนตัว หรือ แกไ้ ข หรอื นำไปใหผ้ ูอ้ ื่นใช้งาน เพราะเปน็ การกระทำท่ผี ิดกฎหมาย 6.6 ตอ้ งลบข้อมูลทีบ่ ันทึกอยูใ่ นอปุ กรณ์ท่ใี ชใ้ นการบนั ทกึ ข้อมูล กอ่ นทำลายหรือเปล่ียนทดแทนหรอื จำหน่ายอปุ กรณ์ 7. การป้องกันโปรแกรมประสงค์รา้ ย (malware) 7.1 ผใู้ ชง้ านต้องติดต้ังและใชง้ านโปรแกรมคอมพิวเตอรส์ ำหรับปอ้ งกันและกำจดั โปรแกรมไม่ประสงค์ ดี รวมทงั้ ทำการปรับปรุงให้ทันสมยั อย่เู สมอ 7.2 ต้องทำการปรับปรุงระบบปฏิบัตกิ าร เว็บบราวเซอร์ และโปรแกรมต่าง ๆ อย่างสม่ำเสมอเพื่อปิด ชอ่ งโหว่ เปน็ การป้องกนั การโจมตจี ากภัยคุกคามตา่ ง ๆ 7.3 ผู้ใชง้ านตอ้ งทำการตรวจสอบ เพ่ือป้องกนั และกำจดั โปรแกรมไม่ประสงคด์ ี ในการรบั ส่ง ข้อมลู คอมพวิ เตอรห์ รอื สารสนเทศ ผ่านระบบเครอื ขา่ ย หรือ ส่ือบันทึกข้อมูลทุกคร้ัง 8. การเขา้ รหสั ข้อมูลที่เป็นความลับ ผู้ใช้งานอาจนำการเขา้ รหัสมาใช้กับข้อมูลท่เี ป็นความลบั โดยใหป้ ฏบิ ตั ิตามระเบียบว่าดว้ ยการรกั ษา ความลับทางราชการ พ.ศ. 2544 9. มาตรการทำลายสื่อบนั ทึกขอ้ มูลทเ่ี ปน็ ความลบั ส่ือบนั ทึกขอ้ มลู ท่ใี ชใ้ นการจัดเก็บข้อมลู หรอื สำรองข้อมลู ที่มคี วามสำคัญขององค์กรทเี่ ปน็ ความลับต้อง ทำลายขอ้ มลู เพ่ือป้องกนั ไม่ให้มีการเขา้ ถงึ ข้อมลู สำคัญ การควบคมุ การเขา้ ถึงและใช้บรกิ ารระบบเครือข่าย (Network Access Control Policy) 1. วัตถุประสงค์ เพอ่ื กำหนดมาตรการควบคุมป้องกันมใิ หบ้ ุคคลท่ีไม่มีอำนาจหนา้ ท่ีเกย่ี วข้องในการปฏิบตั หิ นา้ ทเี่ ข้าถงึ ล่วงรูแ้ ก้ไขเปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศที่สำคัญ ซึง่ จะทำให้เกิดความเสยี หายต่อข้อมลู และระบบ เทคโนโลยีสารสนเทศของโรงเรียน โดยมกี ารกำหนดกระบวนการควบคมุ การเข้าใช้งานเครอื ข่ายที่แตกต่างกนั 2. ผู้รับผิดชอบ 2.1 ศนู ย์คอมพวิ เตอร์ 2.2 ผดู้ แู ลระบบ 2.3 ผู้ใชง้ าน 3. การควบคมุ การเขา้ ถงึ และใช้บรกิ ารระบบเครอื ขา่ ย 3.1 ขอ้ ปฏิบัติสำหรบั ผ้ใู ช้งาน 3.1.1 ห้ามผู้ใช้งานกระทำการใด ๆ เกยี่ วกบั ข้อมลู ท่ีเป็นการขดั ต่อกฎหมายหรอื ศีลธรรม หา้ มมิ ใหก้ ระทำการใด ๆ อันสง่ ผลกระทบต่อการทำงานของผู้อนื่ โดยผู้ใชง้ านรับรองวา่ หากมีการกระทำการใด ๆ ดงั กล่าวย่อมถือว่าอยนู่ อกเหนอื ความรบั ผิดชอบของโรงเรียน

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 35 3.1.2 โรงเรียนไมอ่ นุญาตใหผ้ ้ใู ชง้ านกระทำการใด ๆ ทีเ่ ข้าข่ายลกั ษณะเพ่อื การคา้ หรือการ แสวงหาผลกำไรผ่านเครื่องคอมพิวเตอร์และเครือข่าย เช่น การประกาศแจ้งความต้องการซื้อหรือการจำหน่าย สินค้า การนำข้อมูลไปซื้อขาย การให้บริการโฆษณาสินค้าหรือการเปิดบริการอินเทอร์เน็ตแก่บุคคลทั่วไปเพื่อ แสวงหากำไร 3.1.3 ผใู้ ช้งานต้องไม่ละเมิดต่อผ้อู ่นื ผ้ใู ชง้ านตอ้ งไมอ่ ่าน เขียน ลบ เปลี่ยนแปลงหรือแก้ไขใด ๆ ในส่วนที่มิใช่ของตนโดยไม่ได้รับอนุญาต การบุกรุกเข้าสู่บัญชีผู้อื่น การเผยแพร่ข้อความใด ๆ ที่ก่อให้เกิดความ เสียหายแกผ่ ้อู ่นื การใช้ภาษาไม่สุภาพหรือการเขยี นข้อความที่ทำใหผ้ ู้อ่ืนเสียหายถือเป็นการละเมิดสิทธ์ิของผู้อื่น ทัง้ สิน้ ผูใ้ ชง้ านจะต้องรบั ผิดชอบแต่เพียงฝา่ ยเดียว โรงเรียนไม่มีสว่ นรว่ มรบั ผดิ ชอบความเสียหายดังกล่าว 3.1.4 หา้ มไม่ให้ผ้ใู ดเขา้ ใช้งานโดยไมไ่ ดร้ ับอนญุ าต การบกุ รุกหรอื พยายามบุกรกุ เขา้ สรู่ ะบบถือ ว่าเปน็ การพยายามรกุ ล้ำเขตหวงห้ามของโรงเรียน 3.1.5 โรงเรยี นให้บญั ชผี ้ใู ชง้ านเป็นการเฉพาะบุคคลเท่านน้ั ผู้ใชง้ านจะโอนหรอื แจกสทิ ธน์ิ ี้ ใหก้ บั ผู้อ่ืนไม่ได้ และหา้ มมใิ หบ้ ุคคลใดใช้บัญชีผู้ใช้งานของบุคคลอืน่ แมว้ ่าจะไดร้ ับอนุญาตจากเจ้าของบัญชีแล้วก็ ตาม 3.1.6 บัญชผี ใู้ ช้งานท่ีโรงเรียนใหก้ ับผใู้ ช้งานนั้น ผู้ใชง้ านต้องเป็นผ้รู ับผดิ ชอบผลตา่ ง ๆ อันอาจ เกดิ มีขึน้ รวมถงึ ผลเสียหายตา่ ง ๆ ที่เกดิ จากบญั ชีผู้ใชง้ านน้ัน ๆ เวน้ แต่จะพิสจู น์ได้ว่าผลเสียหายนั้นเกิดจากการ กระทำของผอู้ น่ื 3.1.7 บัญชีผู้ใช้งานและแฟ้มทง้ั หมดท่ีอยบู่ นอุปกรณ์คอมพิวเตอรแ์ ละระบบเครือข่าย ถอื เปน็ สินทรพั ยข์ องโรงเรียน โรงเรียนอนญุ าตให้ใช้งานเพื่อประโยชนท์ างวชิ าการและการสนับสนนุ ทางวิชาการเท่าน้นั 3.2 ข้อปฏบิ ตั ิสำหรับผดู้ ูแลระบบ 3.2.1 ผู้ดแู ลระบบตอ้ งกำหนดให้ผ้ใู ช้งานสามารถเข้าถงึ ไดเ้ พียงบรกิ ารท่ไี ดร้ ับอนุญาตเท่าน้นั 3.2.2 ผดู้ แู ลระบบต้องกำหนดระบบเทคโนโลยสี ารสนเทศท่ตี อ้ งควบคุมการเขา้ ถงึ โดยระบุ เครือข่ายหรอื บริการที่อนุญาตใหม้ ีการใชง้ านได้ 3.2.3 การยนื ยันตัวบคุ คลสำ หรับผูใ้ ช้งานท่ีอยู่ภายนอกหน่วยงานต้องมีข้อปฏบิ ตั ิหรือ กระบวนการใหม้ กี ารยืนยนั ตัวบคุ คลก่อนท่ีจะอนุญาตใหผ้ ใู้ ช้งานทอ่ี ยภู่ ายนอกหนว่ ยงานเข้าใชง้ านระบบ เทคโนโลยีสารสนเทศของหน่วยงานได้ ดังน้ี 3.2.3.1 การเข้าสรู่ ะบบจากภายนอกหนว่ ยงาน ผูด้ แู ลระบบตอ้ งกำหนดให้ผ้ใู ช้งานทจี่ ะ เข้ามาใชง้ านระบบเทคโนโลยีสารสนเทศของหนว่ ยงาน ทำการพิสจู นย์ นื ยันตัวตน ด้วยชือ่ ผใู้ ช้งานและรหสั ผ่าน ทกุ ครง้ั ผา่ นระบบเครือขา่ ยเสมอื น SSLVPN (Secure Sockets Layer virtual private network) 4. การระบอุ ุปกรณ์บนเครือข่าย (equipment identification in networks) ผู้ดแู ลระบบต้องมีวิธีการหรือกระบวนการทส่ี ามารถระบุอุปกรณ์บนเครือขา่ ยได้ โดยสามารถใชก้ ารระบุ อุปกรณบ์ นเครอื ขา่ ยเป็นการยนื ยนั 4.1 ผดู้ ูแลระบบต้องจัดทำแผนผงั ระบบเครือขา่ ยและใชห้ มายเลขไอพีแอดเดรสในการระบุอุปกรณ์บน ระบบเครือขา่ ย 4.2 ผดู้ แู ลระบบต้องควบคุมการใช้งานอย่างเหมาะสมและจำกัดผ้ใู ช้งานทส่ี ามารถเขา้ ใช้อปุ กรณไ์ ด้ โดยผู้ท่ไี ด้รับอนญุ าตใหเ้ ขา้ ใช้งานจะต้องพสิ จู น์ยนื ยนั ตัวตนด้วยช่อื ผูใ้ ช้งานและรหสั ผ่านทุกคร้ังผา่ นทางหมายเลข ไอพีแอดเดรสท่อี นุญาต ซ่งึ จะตอ้ งไดม้ าจากเครื่องบรกิ ารกำหนดค่าหมายเลขไอพแี อดเดรส (DHCP Server) 4.3 เครอื่ งคอมพวิ เตอร์แม่ข่ายทกุ เครอื่ งในโรงเรยี นจะต้องลงทะเบยี นกบั ศนู ยค์ อมพิวเตอร์

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 36 4.4 อปุ กรณ์ใด ๆ ที่นำมาเชอ่ื มตอ่ กบั เครือข่าย ต้องไดร้ บั การอนมุ ัติจากผู้บรหิ ารสงู สดุ และผ่านทาง ผู้บริหารด้านเทคโนโลยีสารสนเทศ 5. การปอ้ งกันพอร์ตที่ใช้สำหรบั ตรวจสอบและปรบั แต่งระบบ (remote diagnostic and configuration port protection) ต้องควบคุมการเข้าถึงพอรต์ ท่ีใช้สำหรับตรวจสอบและปรบั แตง่ ระบบทง้ั การเข้าถึงทางกายภาพและทาง เครอื ข่าย 5.1 ผดู้ แู ลระบบตอ้ งกำหนดการเปดิ ปิด พอรต์ -อปุ กรณเ์ ครือขา่ ยตามความจำเป็นและจำกัดการเขา้ ถงึ เครือข่ายทใ่ี ช้ร่วมกนั 5.2 ผ้ใู ช้งานทีต่ อ้ งการเปดิ พอรต์ ต้องทำบันทกึ ขออนมุ ัตจิ ากผบู้ ริหารด้านเทคโนโลยสี ารสนเทศ พร้อม แนบโครงการและระบุเหตผุ ลความจำเป็น 5.3 ผู้ดแู ลระบบดำเนินการบำรุงรักษา บริหารจดั การพอร์ตของอปุ กรณ์เครือขา่ ยหรือบรหิ ารจัดการ ผา่ นระบบเครือข่าย 5.4 ใชง้ านได้อย่างจำกัดระยะเวลาเท่าที่จำเป็นโดยต้องไดร้ ับการอนญุ าตจากผูร้ บั ผิดชอบเป็นลาย ลักษณ์อักษร 6. การแบง่ แยกเครอื ขา่ ย (segregation in networks) ผู้ดแู ลระบบตอ้ งทำการแบ่งแยกเครือขา่ ยตามกลมุ่ ของบรกิ ารสารสนเทศดงั น้ี 6.1 จดั ทำแผนผังระบบเครือข่าย ซึง่ มีรายละเอียดเก่ียวกับขอบเขตของระบบเครือขา่ ยภายในและ เครือข่ายภายนอก และอุปกรณต์ ่างๆ พร้อมทง้ั ปรับปรุงใหเ้ ป็นปจั จุบันอยเู่ สมอ 6.2 แบง่ แยกเครอื ข่ายตามกลุ่มของบรกิ าร กลุ่มผใู้ ช้งาน และระบบงานต่าง ๆ ของโรงเรียน 6.3 มีไฟรว์ อลล์ควบคมุ การเข้าถงึ เครือข่ายท้ังจากภายในและภายนอกหน่วยงาน ซึ่งสอดคลอ้ งกบั นโยบายควบคุมการเขา้ ถึงและนโยบายการใช้งานบริการเครือข่ายของหนว่ ยงาน 7. การควบคุมการเช่ือมต่อทางเครือข่าย (network connection control) ผู้ดแู ลระบบตอ้ งควบคุมการเข้าถงึ หรือใช้งานเครือขา่ ยท่ีมีการใชร้ ่วมกันหรือเช่ือมต่อระหว่างกนั ให้ สอดคล้องกับแนวปฏบิ ัติการควบคมุ การเข้าถงึ ดังนี้ 7.1 ตรวจสอบการเชือ่ มต่อเครอื ขา่ ย 7.2 จำกัดสิทธคิ วามสามารถของผู้ใช้ในการเช่ือมต่อเขา้ สู่เครอื ข่าย อนุญาตใหเ้ ชื่อมต่อเฉพาะหมายเลข ไอพแี อดเดรสท่กี ำหนดให้เท่านั้น 7.3 ระบุอุปกรณเ์ ครื่องมอื ท่ีใชค้ วบคมุ การเช่อื มต่อเครือขา่ ย 7.4 มีระบบการตรวจจับผู้บุกรกุ ทง้ั ในระดบั เครือข่ายและระดับเคร่ืองคอมพวิ เตอร์แมข่ ่าย 7.5 ควบคุมไม่ให้มีการเปดิ ให้บริการบนเครือข่ายโดยไม่ไดร้ ับอนุญาต 8. การควบคมุ การจดั เส้นทางบนเครอื ขา่ ย (network routing control) ผ้ดู ูแลระบบตอ้ งควบคุมการจัดเสน้ ทางบนเครือขา่ ยเพื่อให้การเช่อื มต่อของคอมพวิ เตอร์และการส่งผ่าน หรือไหลเวียนของข้อมูลหรือสารสนเทศสอดคล้องกบั แนวปฏบิ ตั กิ ารควบคมุ การเขา้ ถงึ หรือการประยุกต์ใช้งาน ตามภารกิจดังนี้ 8.1 ควบคุมไม่ให้มีการเปดิ เผยแผนการใชห้ มายเลขไอพี 8.2 กำหนดให้มีการแปลงหมายเลขเครอื ข่ายเพ่อื แยกเครือขา่ ยยอ่ ย 8.3 กำหนดเส้นทางการใชง้ านเครือข่ายระหวา่ งคอมพวิ เตอร์และเครือขา่ ยปลายทาง 8.4 อนุญาตเส้นทางเครือข่ายเฉพาะกลุ่มหมายเลขไอพีแอดเดรสท่กี ำหนด

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 37 8.5 มเี กตเวยเ์ พื่อกรองขอ้ มลู ท่ีไหลเวยี นในเครือขา่ ย 8.6 ต้องตรวจสอบหมายเลขไอพแี อดเดรสของตน้ ทางและปลายทาง 8.7 ต้องควบคุมการไหลของข้อมลู ผา่ นเครือขา่ ย 8.8 ต้องกำหนดเส้นทางการไหลของข้อมูลบนเครือข่ายทส่ี อดคล้องกบั การควบคุมการเข้าถึงและการ ใชง้ านบรกิ ารเครือขา่ ย 8.9 ต้องจำกัดการใชเ้ ส้นทางบนเครือข่ายจากเครื่องคอมพิวเตอรไ์ ปยังเครอ่ื งคอมพิวเตอร์แม่ขา่ ย เพอื่ ระงับการใชจ้ ากเสน้ ทางอน่ื การควบคมุ การเข้าถงึ ระบบปฏิบัติการ(Operating System Access Control Policy) 1. วัตถปุ ระสงค์ เพอื่ ใหผ้ ู้ใชง้ านไดร้ ับทราบถึงหน้าท่ีและความรับผดิ ชอบในการใชร้ ะบบปฏิบตั ิการ รวมทั้งทำความเขา้ ใจ ตลอดจนปฏบิ ตั ติ ามอย่างเคร่งครัด อันจะเปน็ การป้องกนั ทรพั ยากรและข้อมูลของหนว่ ยงานให้เป็นความลบั มคี วามถูกตอ้ งและพร้อมใชง้ านอยู่เสมอ 2. ผ้รู บั ผดิ ชอบ 2.1 ศูนย์คอมพิวเตอร์ 2.2 ผดู้ ูแลระบบ 2.3 ผใู้ ชง้ าน 3. การกำหนดข้ันตอนการปฏิบัตเิ พ่อื การเขา้ ใช้งานท่ีมน่ั คงปลอดภัย 3.1 ผใู้ ช้งานต้องกำหนดช่ือผู้ใช้และรหัสผ่านในการเข้าใช้งานเคร่อื งคอมพิวเตอรท์ ี่รบั ผิดชอบ 3.2 ก่อนเข้าใชร้ ะบบปฏิบัติการ ผใู้ ช้งานต้องใสช่ ือ่ ผใู้ ช้และรหัสผา่ นทุกคร้ัง 3.3 ผ้ใู ชง้ านต้องต้ังคา่ การล็อคหน้าจออัตโนมตั เิ พอื่ ทำการล็อคหน้าจอทกุ ครง้ั ที่ไมม่ ีการใชง้ าน และตอ้ ง กำหนดรหัสผา่ นเพ่ือเข้าใช้งาน 3.4 ผู้ใช้งานต้องไม่อนุญาตให้ผู้อน่ื ใช้ช่อื ผใู้ ช้และรหัสผา่ นของตนเองในการเข้าใช้งานเคร่ือง คอมพิวเตอร์ของหน่วยงานร่วมกัน 3.5 ผู้ใชง้ านตอ้ งลงบนั ทึกออกทนั ทีเม่ือเลิกใชง้ านหรอื ไม่อยู่ที่หนา้ จอเป็นเวลานาน 3.6 ระบบตอ้ งไม่แสดงรายละเอยี ดสำคัญหรือความผดิ พลาดตา่ ง ๆ ของระบบก่อนการเข้าสู่ระบบจะ เสร็จสมบรู ณ์ 3.7 ระบบสามารถยุตกิ ารเช่อื มตอ่ จากเครื่องปลายทางได้ เม่อื พบว่ามีการพยายามคาดเดารหัสผ่าน จากเครื่องปลายทาง 3.8 จำกดั การเช่ือมต่อโดยตรงสรู่ ะบบปฏิบตั ิการผา่ นทาง command line 4. การระบุและยืนยันตัวตนของผู้ใชง้ าน (user identification and authentication) 4.1 ผดู้ ูแลระบบต้องกำหนดใหผ้ ใู้ ชง้ านมขี อ้ มลู เฉพาะเจาะจงซ่งึ สามารถระบตุ ัวตนของผู้ใชง้ าน 4.2 ผดู้ แู ลระบบตอ้ งกำหนดให้ผู้ใชง้ านแสดงตัวตนด้วยช่อื ผู้ใช้และต้องมีการพิสูจนย์ นื ยันตัวตนดว้ ย การใชร้ หัสผ่านเพื่อตรวจสอบความถูกตอ้ งของผู้ใช้งานก่อนทกุ คร้ังการยืนยนั ว่าเป็นผูใ้ ชง้ านที่ระบถุ ึง 4.3 ผใู้ ชง้ านต้องทำการพิสูจน์ตวั ตนทุกคร้งั ก่อนใช้ระบบเทคโนโลยสี ารสนเทศเพื่อป้องกันผไู้ มม่ ีสทิ ธิ เข้าใชง้ านระบบเทคโนโลยสี ารสนเทศ หากการระบแุ ละยืนยันตัวตนของผใู้ ชง้ านมีปญั หาหรือเกดิ ความผิดพลาดผใู้ ช้งานต้องแจ้งใหผ้ ู้ดูแลระบบทำการแก้ไข 4.4 ผู้ใชง้ านท่เี ป็นเจา้ ของบัญชีผู้ใชต้ อ้ งเปน็ ผูร้ ับผดิ ชอบในผลตา่ ง ๆ อันจะเกิดขึน้ จากการใช้บญั ชผี ู้ใช้

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยแี ละคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 38 ของเครื่องคอมพวิ เตอรแ์ ละระบบเครือข่ายเว้นแตจ่ ะพิสูจนไ์ ด้วา่ ผลเสยี หายน้นั เกดิ จากการกระทำ ของผู้อน่ื 4.5 ผู้ใช้งานจะต้องเก็บรักษาบัญชผี ้ใู ชไ้ ว้เปน็ ความลบั และห้ามเปดิ เผยตอ่ บุคคลอื่น หา้ มโอนจำหน่าย หรือจ่ายแจกให้ผู้อืน่ 4.6 ผใู้ ชง้ านจะต้องลงบนั ทกึ เข้าโดยใช้บญั ชีผูใ้ ช้ของตนเอง 5. การบริหารจัดการรหัสผา่ น (password management system) ระบบบรหิ ารจัดการรหัสผ่านต้องสามารถทำงานเชิงโตต้ อบ (interactive) หรอื มกี ารทำงานในลกั ษณะ อตั โนมัติซงึ่ เอ้อื ตอ่ การกำหนดรหัสผ่านที่มีคุณภาพ ดังน้ี 5.1 ผูใ้ ช้งานสามารถเปลี่ยนรหสั ผา่ นได้ด้วยตนเองที่เว็บเมลของโรงเรยี น 5.2 ผใู้ ชง้ านตอ้ งต้งั รหัสผา่ นตามข้อกำหนดการใชง้ านรหสั ผ่านของโรงเรยี น 5.3 ระบบบรหิ ารจดั การรหสั ผา่ นตอ้ งสามารถตรวจสอบความถูกต้องของรหัสผ่านตามข้อกำหนดการ ใช้งานรหัสผ่านของโรงเรียน 5.4 ระบบบริหารจดั การรหสั ผา่ นตอ้ งให้ผ้ใู ชง้ านยืนยนั รหัสผา่ นเพอื่ ตรวจสอบความถูกต้อง 6. การใชง้ านโปรแกรมอรรถประโยชน์ (use of system utilities) การใช้งานโปรแกรมอรรถประโยชน์ต้องจำกัดและควบคมุ การใชง้ านสำหรบั โปรแกรมคอมพิวเตอร์ท่ี สำคัญเนื่องจากการใช้งานโปรแกรมอรรถประโยชน์บางชนิดสามารถทำให้ผใู้ ชห้ ลีกเลยี่ งมาตรการป้องกัน ทางดา้ นความม่ันคงปลอดภยั ของระบบได้ เพ่ือปอ้ งกันการละเมดิ หรือหลีกเลี่ยงมาตรการความมั่นคงปลอดภัยท่ี ไดก้ ำหนดไวห้ รอื ท่ีมอี ยู่แล้วใหด้ ำเนนิ การ ดงั น้ี 6.1 จำกัดสทิ ธิการเข้าถงึ การใช้โปรแกรมอรรถประโยชน์ 6.2 กำหนดใหม้ ีการถอดถอนโปรแกรมอรรถประโยชน์ที่ไม่จำเปน็ ออกจากระบบ 6.3 หา้ มผใู้ ช้งานติดต้งั โปรแกรมอรรถประโยชน์โดยไมไ่ ดร้ ับอนญุ าตหรือละเมิดลขิ สทิ ธิ์ 7. การยุติการใชง้ านระบบเทคโนโลยสี ารสนเทศเมอ่ื มกี ารวา่ งเว้นจากการใชง้ านในระยะเวลาหน่ึง (session time-out) กำหนดให้มีการยตุ กิ ารใชง้ านระบบเทคโนโลยสี ารสนเทศเมื่อวา่ งเวน้ จากการใชง้ านเป็นเวลา 30 นาที หากเปน็ ระบบท่ีมคี วามเสี่ยงหรือความสำคัญสงู ให้กำหนดระยะเวลายุติการใชง้ านระบบเมอ่ื วา่ งเว้นจากการใช้ งานให้สัน้ ขน้ึ 8. การจำกดั ระยะเวลาการเช่ือมต่อระบบเทคโนโลยีสารสนเทศ (limitation of connection time) ตอ้ งจำกัดระยะเวลาในการเช่ือมต่อเพื่อใหม้ ีความมนั่ คงปลอดภัยมากยิ่งขึน้ สำหรับระบบเทคโนโลยี สารสนเทศหรือโปรแกรมท่มี ีความเสย่ี งหรือมีความสำคัญสูง 8.1 การเชื่อมต่อระบบเทคโนโลยสี ารสนเทศสำหรบั ระบบเทคโนโลยสี ารสนเทศหรอื แอพพลิเคชน่ั ทมี่ ี ความเส่ียงหรือมีความสำคัญสงู กำหนดใหใ้ ช้งานได้ 3 ชว่ั โมงต่อการเช่ือมต่อหน่งึ ครั้ง 8.2 กำหนดใหร้ ะบบสารเทคโนโลยีสนเทศทม่ี คี วามสำคญั สูงและระบบเทคโนโลยสี ารสนเทศทมี่ ีการใช้ งานในสถานที่ท่มี คี วามเสี่ยง มีการจำกัดช่วงระยะเวลาการเชื่อมตอ่

แนวทางการปอ้ งกันภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 39 การควบคุมการเข้าถึงโปรแกรมประยกุ ตแ์ ละสารสนเทศ (Application and Information Access Control Policy) 1. วตั ถปุ ระสงค์ เพอ่ื กำหนดมาตรการควบคุมบุคคลท่ีไม่ได้อนุญาตเขา้ ถงึ ระบบเทคโนโลยสี ารสนเทศของโรงเรียนและ ป้องกันการบกุ รุกผา่ นระบบเครอื ขา่ ยจากผูบ้ ุกรุกและโปรแกรมชดุ คำสั่งไม่พึงประสงค์ทจี่ ะสรา้ งความเสียหาย แก่ข้อมูลหรอื การทำงานของระบบเทคโนโลยีสารสนเทศใหห้ ยุดชะงกั และทำใหส้ ามารถตรวจสอบ ตดิ ตาม พสิ จู นต์ ัวบุคคลทเี่ ขา้ ใช้งานระบบเทคโนโลยีสารสนเทศของโรงเรียนไดอ้ ย่างถูกต้อง 2. ผ้รู ับผิดชอบ 2.1 ศนู ยค์ อมพวิ เตอร์ 2.2 ผู้ดูแลระบบ 3. การจำกดั การเขา้ ถึงสารสนเทศ (information access control) 3.1 ผดู้ ูแลระบบตอ้ งกำหนดใหม้ ขี ั้นตอนปฏบิ ตั ิในการลงทะเบียนบคุ ลากรใหม่ของโรงเรยี นเพอื่ ใหม้ ี สิทธติ า่ ง ๆ ในการใช้งานตามความจำเป็น รวมทงั้ ขนั้ ตอนปฏิบัติสำหรบั การยกเลิกสทิ ธิการใช้งาน 3.2 ผู้ดูแลระบบต้องกำหนดสิทธิการใชง้ านระบบเทคโนโลยีสารสนเทศทีส่ ำคัญ โดยต้องให้สิทธิเฉพาะ การปฏบิ ัติงานในหนา้ ทแ่ี ละต้องได้รบั ความเหน็ ชอบจากผู้บังคับบญั ชาเปน็ ลายลกั ษณ์อกั ษร รวมท้งั ต้องทบทวนสิทธดิ งั กล่าวอยเู่ สมอ 3.3 ผู้ดแู ลระบบตอ้ งบริหารจัดการการเขา้ ถึงขอ้ มูลตามประเภทช้นั ความลบั ในการควบคุมการเขา้ ถึง ข้อมูลแตล่ ะประเภทชน้ั ความลับ ทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน รวมถงึ วธิ กี าร ทำงานข้อมลู แตล่ ะประเภทชั้นความลบั ดงั ต่อไปนี้ 3.3.1 ตอ้ งกำหนดบญั ชีผู้ใชเ้ พื่อใช้ในการตรวจสอบตวั ตนของผใู้ ชข้ ้อมลู ในแต่ละชน้ั ความลับ ของข้อมูล 3.3.2 ตอ้ งกำหนดระยะเวลาการใชง้ านและระงับการใชง้ านทนั ทีเมื่อพ้นระยะเวลาดังกล่าว 3.3.3 ต้องกำหนดการเปลี่ยนรหสั ผา่ นตามระยะเวลาที่กำหนดของระดบั ความสำคัญของข้อมูล 4. การจัดการกบั ระบบที่ไวต่อการรบกวน 4.1 ข้อปฏิบัตสิ ำหรับระบบซงึ่ ไวตอ่ การรบกวน 4.1.1 ระบบซ่งึ ไวต่อการรบกวน มผี ลกระทบและมีความสำคญั สงู ตอ่ โรงเรียน ไดแ้ ก่ 4.1.1.1 ระบบบริหารจัดการงานบคุ คล ซง่ึ ดแู ลรบั ผดิ ชอบโดยฝ่ายอำนวยการ 4.1.1.2 ระบบบริหารจดั การงานวิชาการ ซ่งึ ดูแลรบั ผดิ ชอบโดยฝา่ ยวิชาการ 4.1.1.3 ระบบการเงนิ ซึง่ ดูแลรับผิดชอบโดยฝา่ ยคลังและพัสดุ ซงึ่ จะได้รับการแยกออกจากระบบงานอื่น ๆ ของโรงเรียน 4.1.2 ควบคมุ สภาพแวดล้อมของระบบ โดยมีห้องควบคมุ แยกเป็นสดั ส่วน 4.1.3 ตอ้ งกำหนดสิทธิให้เฉพาะผู้ทม่ี สี ิทธใิ ช้ระบบเทา่ น้ัน 4.2 ต้องควบคุมการเข้าถึงผา่ นอุปกรณส์ ่ือสารเคลื่อนทแี่ ละการปฏบิ ัตงิ านจากภายนอกดังนี้ 4.2.1 ตอ้ งกำหนดสิทธิและขอบเขตการทำงาน ชนิดของงาน และระบบงาน 4.2.2 ต้องกำหนดระยะเวลาการเขา้ ถงึ และจดั ให้มีการควบคุมการปฏิบตั งิ านและปรบั ปรุงสิทธิ หลงั จากการปฏิบตั ิงาน

แนวทางการปอ้ งกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 40 5. ขอ้ ปฏิบัติในการควบคุมอุปกรณค์ อมพิวเตอรแ์ ละส่ือสารเคลอ่ื นท่ี เพอื่ ป้องกันสารสนเทศจากความเส่ียงจากการใช้อุปกรณ์คอมพวิ เตอรแ์ ละส่ือสารเคลื่อนที่ 5.1 ตรวจสอบความพรอ้ มของอปุ กรณค์ อมพวิ เตอรแ์ ละสอื่ สารเคลื่อนทท่ี ีจ่ ะนำไปใชง้ านวา่ อยู่ในสภาพ พร้อมใช้งานหรือไม่ และตรวจสอบโปรแกรมมาตรฐานวา่ ถูกตอ้ งตามลิขสิทธิ์ 5.2 เมอ่ื หมดความจำเปน็ ตอ้ งใชอ้ ุปกรณค์ อมพวิ เตอร์และสื่อสารเคลอ่ื นที่แลว้ ให้รีบนำสง่ คนื เจ้าหน้าที่ ทรี่ บั ผดิ ชอบทันที 5.3 เจา้ หนา้ ท่ีผรู้ ับผิดชอบในการรบั คนื ตอ้ งตรวจสอบสภาพความพร้อมใช้งานของอปุ กรณ์ คอมพวิ เตอร์และสอื่ สารเคล่ือนทที่ ่ีรบั คนื 5.4 หากปรากฎวา่ ความเสยี หายท่เี กดิ ขึ้นนนั้ เกดิ จากความประมาทอย่างร้ายแรงของผนู้ ำไปใช้ ผ้นู ำไปใชต้ อ้ งรบั ผิดชอบตอ่ ความเสยี หายทีเ่ กดิ ขน้ึ 5.5 ต้องจดั ให้มกี ารสร้างความตระหนกั เพอื่ ระมดั ระวังและป้องกนั การใชง้ านอุปกรณค์ อมพวิ เตอรแ์ ละ สอื่ สารเคลือ่ นที่ 5.6 ผ้ดู ูแลระบบต้องกำหนดให้มีการปอ้ งกันข้อมูลที่สำรองไวใ้ นอุปกรณ์จากการถูกขโมย สญู หาย หรือ เขา้ ถงึ โดยไมไ่ ดร้ บั อนุญาต 6. ข้อปฏิบตั สิ ำหรับการปฏบิ ัติงานจากภายนอกหนว่ ยงาน (teleworking) 6.1 ผใู้ ช้งานท่ปี ฏิบัตงิ านจากภายนอกหนว่ ยงานต้องผ่านระบบการพสิ ูจนย์ ืนยนั ตัวตน ด้วยชื่อผู้ใช้งาน และรหัสผ่านทกุ คร้งั ผ่านระบบเครือข่ายเสมือน SSL VPN (Secure Sockets Layer virtual private network) 6.2 ผู้ดูแลระบบตอ้ งจดั เตรยี มอุปกรณ์สำหรับการปฏบิ ัติงานจากระยะไกล การจัดเก็บข้อมูลและ อปุ กรณส์ ื่อสารไวส้ ำหรับผ้ปู ฏบิ ตั ิงานจากระยะไกล ยกเว้นอุปกรณ์ทโ่ี รงเรียนอนุญาตให้ใช้งานได้ 6.3 ผดู้ ูแลระบบตอ้ งกำหนดชนิดของงานท่ีอนญุ าตและไมอ่ นญุ าตใหป้ ฏบิ ตั งิ านจากระยะไกล ชว่ั โมง การทำงานในสถานท่ีดังกลา่ ว ชนั้ ความลบั ของข้อมูลทอ่ี นญุ าตใหใ้ ชง้ านได้ ระบบงานและบริการ ตา่ ง ๆ ของโรงเรียนที่อนญุ าตใหเ้ ข้าถงึ ได้จากระยะไกล 6.4 ผดู้ แู ลระบบตอ้ งยกเลิกการปฏบิ ัตงิ านจากระยะไกล การกำหนดหรือปรบั ปรงุ สิทธิการเขา้ ถงึ ระบบงาน และการคนื อปุ กรณท์ ีใ่ ช้งานเมื่อมีการยกเลิกการปฏบิ ตั งิ าน 7. ข้อปฏิบตั กิ ารควบคุมการใช้บรกิ ารงานเทคโนโลยีสารสนเทศจากผูใ้ ห้บรกิ ารรายอื่น (IT outsourcing) 7.1 การคัดเลอื กผู้ให้บรกิ าร 7.1.1 มีการกำหนดเกณฑใ์ นการคัดเลอื กผู้ให้บริการ และคัดเลือกผู้ให้บริการที่มีขั้นตอนการ ปฏบิ ตั ิงานทร่ี อบคอบ รดั กุม และเป็นทนี่ ่าเช่ือถือ 7.1.2 มีสัญญาทร่ี ะบุเกี่ยวกับการรักษาความลับของขอ้ มลู (data confidentiality) และ ขอบเขตงานและเงื่อนไขในการใหบ้ ริการ (service level agreement) อย่างชัดเจน 7.2 การควบคุมผ้ใู ห้บริการ 7.2.1 ในกรณที ี่ใชบ้ ริการดา้ นการพัฒนาระบบงาน ต้องกำหนดให้ผใู้ หบ้ ริการเข้าถงึ เฉพาะส่วน ทีม่ ีไวส้ ำหรบั การพฒั นาระบบงาน (develop environment) เท่านัน้ แต่หากมีความจำเป็นต้องเข้าถงึ สว่ นทีใ่ ช้ งานจรงิ (production environment) กต็ อ้ งมกี ารควบคุมหรือตรวจสอบการให้บริการของผู้ให้บริการอย่าง เขม้ งวด เพ่ือใหม้ ่ันใจว่าเป็นไปตามขอบเขตที่ได้กำหนดไว้

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 41 7.2.2 กำหนดให้ผู้ใหบ้ ริการจัดทำคู่มือการปฏบิ ตั งิ านและเอกสารทีเ่ กย่ี วขอ้ ง รวมท้ังมีการ ปรบั ปรงุ ใหท้ นั สมัยอยู่เสมอ 7.2.3 กำหนดให้ผใู้ ห้บริการรายงานการปฏิบัตงิ าน ปญั หาตา่ ง ๆ และแนวทางแก้ไข กำหนดให้ มขี น้ั ตอนในการตรวจรบั งานของผู้ให้บรกิ ารอยา่ งชดั เจน การควบคุมการเข้าถึงระบบเครอื ขา่ ยไร้สาย (Wireless LAN Access Control Policy) 1. วตั ถุประสงค์ เพอื่ กำหนดมาตรฐานการควบคมุ การเข้าถงึ ระบบเครอื ขา่ ยไรส้ ายของโรงเรยี น โดยการกำหนดสทิ ธิของ ผ้ใู ชง้ านในการเข้าถึงระบบให้เหมาะสมตามหน้าท่ีความรบั ผดิ ชอบในการปฏิบตั ิงานรวมทัง้ มกี ารทบทวนสทิ ธิ การเข้าถึงอย่างสม่ำเสมอ ทงั้ นี้ผใู้ ช้งานระบบต้องผ่านการพิสูจน์ตวั ตนจรงิ จากระบบว่าได้รบั อนญุ าตจากผ้ดู ูแล ระบบ เพื่อสร้างความม่นั คงปลอดภยั ของการใช้งานระบบเครือขา่ ยไร้สาย 2. ผ้รู ับผิดชอบ 2.1 ศูนยค์ อมพิวเตอร์ 2.2 ผ้ดู ูแลระบบ 3. ขอ้ ปฏิบตั สิ ำหรับผ้ดู ูแลระบบ 3.1 ผดู้ ูแลระบบตอ้ งตรวจสอบความมนั่ คงปลอดภยั ของระบบเครือข่ายไรส้ ายอย่างสม่ำเสมอ เพ่ือคอย ตรวจสอบและบันทึกเหตกุ ารณ์ทีน่ ่าเกิดขน้ึ ในระบบเครือข่ายไรส้ าย 3.2 ผู้ดูแลระบบตอ้ งกำหนดสิทธิผใู้ ช้งานในการเข้าถึงระบบเครอื ข่ายไร้สายใหเ้ หมาะสมกับหน้าที่ความ รบั ผดิ ชอบในการปฏบิ ตั งิ านก่อนเขา้ ใช้ระบบเครือข่ายไรส้ าย รวมทง้ั มกี ารทบทวนสิทธกิ ารเขา้ ถึงอยา่ งสม่ำเสมอ ทัง้ น้ี ตอ้ งไดร้ บั อนญุ าตจากผ้บู รหิ ารสงู สุดตามความจำเป็นในการใช้งาน 3.3 ผดู้ ูแลระบบตอ้ งกำหนดตำแหน่งการวางอปุ กรณ์กระจายสัญญาณเครือข่ายไรส้ ายให้เหมาะสม เปน็ การควบคุมไม่ให้สญั ญาณของอปุ กรณ์ร่วั ไหลออกไปนอกบรเิ วณท่ใี ช้งาน 3.4 ผู้ดแู ลระบบตอ้ งเลอื กใชก้ ำลงั สง่ ใหเ้ หมาะสมกับพื้นที่ใช้งาน 3.5 ผดู้ แู ลระบบตอ้ งเปลี่ยนค่าปรยิ าย SSID ทีถ่ กู กำหนดมาจากผผู้ ลิตทนั ทที นี่ ำอุปกรณ์กระจาย สญั ญาณไร้สายมาใช้งาน 3.6 ผดู้ แู ลระบบต้องแยก SSID ของผู้ใชง้ านทเี่ ป็นบุคลากรของโรงเรยี น และผู้ใชง้ านตามโครงการทาง วิชาการต่าง ๆ ท่โี รงเรียนดำเนินการจัดขึน้ โดยควบคมุ สิทธแิ ละระยะเวลาในการเข้าถึงระบบ เครือข่ายไร้สาย 3.7 ผดู้ แู ลระบบต้องเปลยี่ นค่าช่อื ผู้ใชง้ านและรหัสผา่ นสำหรับการต้ังคา่ การทำงานของอุปกรณไ์ ร้สาย และผู้ดูแลระบบต้องเลือกใช้ชือ่ ผ้ใู ช้งานและรหสั ผ่านท่ีคาดเดาได้ยากเพื่อปอ้ งกันผโู้ จมตีไม่ให้สามารถเดาหรือ เจาะรหสั ได้โดยง่าย 3.8 ผู้ดแู ลระบบต้องใช้ระบบพสิ ูจนต์ วั ตนและการเขา้ รหสั ข้อมูลระหวา่ งอปุ กรณป์ ลายทางและอปุ กรณ์ กระจายสัญญาณไร้สาย 3.9 ผูด้ แู ลระบบตอ้ งควบคุมดูแลไม่ใหบ้ ุคคลหรอื หน่วยงานภายนอกที่ไม่ได้รับอนุญาตใช้งานระบบ เครอื ข่ายไรส้ ายในการเข้าส่รู ะบบอินทราเน็ตและฐานข้อมูลภายในต่าง ๆ ของโรงเรียน

แนวทางการปอ้ งกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวัดดงโคกขาม 42 การควบคุมหนว่ ยงานภายนอกเข้าถึงระบบเทคโนโลยสี ารสนเทศ (Third Party Access Control Policy) 1. วตั ถปุ ระสงค์ เพ่อื ป้องกนั ความเสยี่ งจากหน่วยงานภายนอกต่อการเข้าถึงขอ้ มลู การแก้ไขข้อมลู อยา่ งไมถ่ ูกต้อง และ การประมวลผลของระบบงานโดยไมไ่ ดร้ ับอนญุ าต และเพื่อใหก้ ารควบคมุ หน่วยงานภายนอกท่ีมีการเข้าใช้งาน ระบบเทคโนโลยสี ารสนเทศของโรงเรียนเปน็ ไปอย่างมัน่ คงปลอดภยั 2. ผรู้ บั ผดิ ชอบ 2.1 ศนู ย์คอมพิวเตอร์ 2.2 ผูด้ ูแลระบบ 2.3 เจ้าของโครงการ 3. ข้อปฏิบัติ 3.1 กำหนดใหม้ ีการประเมนิ ความเสย่ี งจากการเข้าถึงระบบเทคโนโลยีสารสนเทศหรอื อุปกรณท์ ่ีใช้ใน การประมวลผลโดยหนว่ ยงานภายนอก และกำหนดมาตรการทเ่ี หมาะสมก่อนทจ่ี ะอนญุ าตให้เข้าถึงระบบ เทคโนโลยีสารสนเทศได้ 3.2 การควบคมุ การเข้าใชง้ านระบบเทคโนโลยสี ารสนเทศของหน่วยงานภายนอก 3.2.1 หนว่ ยงานภายนอกทต่ี ้องการสทิ ธเิ ขา้ ใช้งานระบบเทคโนโลยีสารสนเทศของโรงเรียนต้อง ทำเรอ่ื งขออนญุ าตเปน็ ลายลกั ษณ์อักษรเพอ่ื ขออนญุ าตจากผู้บริหารสูงสุด 3.2.2 จัดทำแบบฟอร์มสำหรับให้หนว่ ยงานภายนอกระบุเหตผุ ลความจำเป็นที่ต้องเข้าใชง้ าน ระบบเทคโนโลยีสารสนเทศ มีรายละเอยี ดอย่างน้อยดงั น้ี (1) เหตผุ ลในการขอใช้ (2) ระยะเวลาในการใช้ (3) การตรวจสอบความปลอดภยั ของอุปกรณ์ทีเ่ ช่ือมตอ่ เครือขา่ ย (4) การตรวจสอบ MAC address ของเคร่อื งคอมพิวเตอร์ทเ่ี ช่อื มต่อ (5) การกำหนดการปอ้ งกนั ในเรือ่ งการเปิดเผยข้อมลู 3.2.3 หน่วยงานภายนอกท่ีทำงานให้กบั โรงเรยี นต้องลงนามในสัญญาการไมเ่ ปิดเผยข้อมูลของ โรงเรยี น โดยสัญญาตอ้ งจดั ทำใหเ้ สรจ็ กอ่ นให้สิทธิเขา้ ส่รู ะบบเทคโนโลยีสารสนเทศ 3.2.4 โรงเรียนต้องพิจารณาการประเมนิ ความเสยี่ งหรือจดั ทำการควบคมุ ภายในของหน่วยงาน ภายนอก ทง้ั น้ีขนึ้ อยู่กับความสำคัญของระบบเทคโนโลยีสารสนเทศทเ่ี ข้าไปปฏิบัติงาน 3.2.5 ผ้ดู แู ลระบบตอ้ งกำหนดการเข้าถงึ ข้อมูลโดยหนว่ ยงานภายนอกเฉพาะบคุ คลทจี่ ำเปน็ เท่านน้ั 3.2.6 ผ้ดู ูแลระบบต้องควบคุมการปฏบิ ัตงิ านของหนว่ ยงานภายนอกท่สี ามารถเข้าถงึ ข้อมูลทมี่ ี ความสำคญั ของโรงเรียนให้มีความม่ันคงปลอดภัยทง้ั ด้านการรกั ษาความลบั การรกั ษา ความถกู ต้องของข้อมูล และการรกั ษาความพร้อมท่ีจะให้บริการ 3.2.7 โรงเรียนมสี ิทธติ รวจสอบตามสญั ญาการใช้งานระบบเทคโนโลยสี ารสนเทศเพื่อใหม้ ่ันใจ ได้วา่ โรงเรียนสามารถควบคมุ การใช้งานได้อย่างทวั่ ถึงตามสญั ญานน้ั 3.2.8 หน่วยงานภายนอกที่ทำงานใหก้ บั โรงเรียนต้องจัดทำแผนการดำเนินงาน คู่มอื การ ปฏิบัติงาน และเอกสารที่เก่ยี วข้อง 3.2.9 หลงั สง่ มอบโครงการจากหนว่ ยงานภายนอก ผูด้ ูแลระบบต้องดำเนนิ การเปลย่ี นรหสั ผา่ น ทันที

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 43 ความมั่นคงปลอดภัยของการใช้งานอินเตอรเ์ นต็ (Internet Security Policy) 1. วัตถุประสงค์ เพ่ือให้ผใู้ ชร้ บั ทราบกฎเกณฑ์แนวทางปฏิบัตใิ นการใชง้ านอินเตอร์เน็ตอยา่ งปลอดภัยและเปน็ การ ป้องกันไม่ใหล้ ะเมดิ พระราชบญั ญัตวิ ่าด้วยการกระทำผดิ เก่ียวกบั คอมพวิ เตอร์ พ.ศ. 2550 เชน่ การสง่ ข้อมูล ข้อความ คำส่ัง ชดุ คำสัง่ หรือสิง่ อ่ืนใดที่อยูใ่ นระบบคอมพวิ เตอร์แก่บุคคลอ่ืนอนั เป็นการรบกวนการใช้ระบบ คอมพิวเตอร์ของบคุ คลอนื่ โดยปกตสิ ุข ทำให้ระบบคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขามถกู ระงบั ชะลอ ขัดขวาง หรอื ถกู รบกวนจนไม่สามารถทำงานตามปกตไิ ด้ 2. ผรู้ ับผดิ ชอบ 2.1 ผู้ใช้งาน 2.2 ผดู้ ูแลระบบท่ีไดร้ ับมอบหมาย 3. ข้อปฏบิ ัตสิ ำหรบั ผใู้ ชง้ าน 3.1 เครอื่ งคอมพวิ เตอรส์ ว่ นบุคคลและเคร่ืองคอมพวิ เตอรแ์ บบพกพา ก่อนทำการเชือ่ มต่ออนิ เตอรเ์ น็ต ผา่ นเวบ็ เบราวเ์ ซอร์ (web browser) ต้องมีการตดิ ต้ังโปรแกรมป้องกนั ไวรสั และทำการแกป้ ญั หาชอ่ งโหวช่ อง ระบบปฏบิ ตั กิ ารและเวบ็ เบราเซอร์ 3.2 ผู้ใช้ต้องทำการ update patch และ hot fix อย่างสม่ำเสมอโดยสามารถ download patch และ hot fix ตา่ ง ๆ จากเจ้าของผลติ ภัณฑ์เพ่อื แก้ปญั หาช่องโหว่ 3.3 ในการรบั ส่งข้อมูลคอมพิวเตอร์ผ่านทางอนิ เตอรเ์ น็ตจะตอ้ งมีการตรวจสอบไวรัส (virus scanning) โดยโปรแกรมปอ้ งกนั ไวรสั ก่อนการรบั สง่ ข้อมูลทุกคร้ัง 3.4 ผใู้ ชต้ ้องไม่ใชเ้ ครอื ข่ายอนิ เตอรเ์ น็ตของโรงเรยี นเพอื่ หาประโยชนใ์ นเชงิ ธุรกจิ สว่ นตวั และทำการเข้า สเู่ ว็บไซตท์ ่ไี ม่เหมาะสม เช่น เวบ็ ไซตท์ ขี่ ดั ต่อศลี ธรรม เว็บไซต์ทีม่ เี น้ือหาท่ีขัดต่อชาติ ศาสนา พระมหากษัตริย์ หรอื เว็บไซต์ท่ีเป็นภัยตอ่ สงั คม เปน็ ตน้ 3.5 ผู้ใช้จะถูกกำหนดสทิ ธิใ์ นการเขา้ ถงึ แหลง่ ข้อมลู ตามหน้าทคี่ วามรบั ผิดชอบเพื่อประสิทธิภาพของ เครอื ข่ายและความปลอดภัยทางข้อมูลของโรงเรยี น 3.6 ผ้ใู ช้ต้องไม่เผยแพร่ขอ้ มลู ท่ีเปน็ การหาประโยชนส์ ่วนตวั หรอื ข้อมูลทไี่ ม่เหมาะสมทางศีลธรรมหรอื ขอ้ มลู ทีล่ ะเมิดสิทธิ์ของผู้อืน่ หรอื ข้อมูลที่อาจก่อความเสยี หายใหก้ ับโรงเรยี น 3.7 ห้ามผใู้ ช้เปิดเผยข้อมลู สำคญั ทีเ่ ปน็ ความลบั เกี่ยวกับงานของโรงเรยี นทยี่ ังไม่ไดป้ ระกาศอยา่ งเป็น ทางการผ่านอินเตอรเ์ น็ต 3.8 ผใู้ ช้ตอ้ งไม่นำเข้าข้อมลู คอมพิวเตอร์ที่เปน็ ภาพของผู้อ่ืนและภาพน้นั เปน็ ภาพท่เี กิดจากการสรา้ งข้นึ ตดั ต่อ หรอื ดัดแปลงด้วยวธิ ีการทางอิเล็กทรอนิกสห์ รอื วิธกี ารอื่นใดทีจ่ ะทำใหผ้ ูอ้ นื่ นนั้ เสยี ช่อื เสยี งถูกดหู ม่ินถูก เกลียดชงั หรือไดร้ บั ความอับอาย 3.9 หลังจากใชง้ านอินเตอร์เน็ตเสรจ็ แล้ว ให้ทำการปิดเว็บเบราวเ์ ซอร์เพ่ือป้องกันการเข้าใชง้ านโดย บุคคลอ่ืน 4. ข้อปฏิบัตสิ ำหรบั ผดู้ แู ลระบบ 4.1 ผู้ดแู ลระบบตอ้ งกำหนดเส้นทางการเช่อื มตอ่ ระบบคอมพิวเตอรเ์ พ่ือการเข้าใช้งานอินเตอรเ์ นต็ ท่ี ต้องเชือ่ มตอ่ ผา่ นระบบรกั ษาความปลอดภยั ทีโ่ รงเรยี นจดั สรรไวเ้ ท่านั้น

แนวทางการป้องกันภยั คุกคามทางไซเบอร์ เทคโนโลยแี ละคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 44 การสารองและกคู้ นื ขอ้ มลู (Backup and Recovery Policy) 1. วัตถุประสงค์ เพือ่ กำหนดข้อปฏบิ ัตสิ ำหรับการสำรองข้อมูลและการกคู้ ืนระบบ โดยผู้ดแู ลระบบสามารถดำเนินการ สำรองข้อมลู ได้อย่างถูกต้องและสามารถก้คู นื ระบบได้ในกรณที จี่ ำเปน็ 2. ผู้รบั ผิดชอบ 2.1 ศนู ย์คอมพิวเตอร์ 2.2 ผู้ดูแลระบบ 3. ข้อปฏบิ ัติ 3.1 ต้องพิจารณาคัดเลือกและจดั ทำระบบสำรองท่ีเหมาะสมให้อยใู่ นสภาพพร้อมใชง้ านสำรองข้อมูล และจัดทำระบบสารสนเทศสำรอง 3.2 ผ้ดู แู ลระบบมอบหมายหนา้ ทีก่ ารสำรองข้อมลู แกเ่ จ้าหนา้ ทคี่ นอนื่ ไวใ้ นกรณที ี่ไม่สามารถปฏิบัตงิ าน ได้ 3.3 ผูด้ แู ลระบบกำหนดชนิดและช่วงเวลาการสำรองข้อมูลตามความเหมาะสมพร้อมท้ังกำหนดสอ่ื ทใ่ี ช้ เกบ็ ข้อมูลสถานทีจ่ ัดเก็บ โดยรปู แบบการสำรองข้อมลู อาจแบง่ ไดเ้ ปน็ การสำรองข้อมูลแบบเต็ม และการสำรองข้อมูลแบบส่วนตา่ ง 3.4 ผู้ดแู ลระบบตอ้ งทำบนั ทึก รายละเอียดการสำรองข้อมลู ไดแ้ ก่ เวลาเรม่ิ ต้นและสิน้ สุด ชอื่ ผสู้ ำรอง ชนดิ ของข้อมูลทบี่ นั ทึก เป็นต้น 3.5 ผู้ดแู ลระบบต้องจดั ให้มีการเขา้ รหัสข้อมูลสำรองที่สำคัญ โดยการใชเ้ ทคโนโลยีการเข้ารหัสที่ เหมาะสมเพ่ือป้องกันมิให้ขอ้ มูลสำรองเหล่านั้นถกู เปิดเผย 3.6 ในกรณที ่ีพบปญั หาในการสำรองข้อมูลจนเป็นเหตใุ ห้ไม่สามารถดำเนนิ การอย่างสมบูรณไ์ ด้ ให้ ดำเนนิ การแกไ้ ขปัญหาและสรุปผลการแก้ไขปัญหา รายงานต่อหวั หน้าสาขาวิชาวิทยาการ คอมพิวเตอร์ 3.7 ผู้ดแู ลระบบตอ้ งทำรายงานขอ้ ผดิ พลาดจากการสำรองข้อมลู ทเี่ กิดขึน้ รวมทั้งวิธกี ารทีใ่ ช้แก้ไขด้วย 3.8 ผู้ดแู ลระบบต้องปฏิบัติตามขนั้ ตอนของการสำรองข้อมูลโดยเคร่งครดั 3.9 ผู้ดแู ลระบบตอ้ งทำการทดสอบสภาพพร้อมใชง้ านของระบบสารสนเทศ ระบบสำรองและแผน เตรยี มความพรอ้ ม กรณฉี ุกเฉินอย่างน้อยปลี ะ 1 คร้ัง 4. การปฏิบัติเก่ยี วกบั การสำรองข้อมลู 4.1 ผดู้ แู ลระบบตอ้ งทำการสำรองข้อมูลแตล่ ะรายการตามความถ่ีอย่างน้อยดงั น้ี ท่ี รายการ ข้อมลู ที่ต้องสำรอง ความถ่ีในการสำรองข้อมูล รายการ ขอ้ มูลทีต่ ้องสำรอง ความถ่ีในการสำรองข้อมูล ระบบ E-MIS ระบบงานการเงนิ และพัสดุ ข้อมลู นักเรยี น, ขอ้ มูลการศึกษา เดือนละครง้ั ระบบ Schoolmis ระบบ M-obec ข้อมูลการเงินและพสั ดุ เดือนละครั้ง ระบบ B-obec ข้อมลู ผลการเรียน ภาคเรยี นละครัง้ ขอ้ มลู ครุภณั ฑ์ ภาคเรยี นละครงั้ จัดเกบ็ ข้อมลู อาคารท่ีดนิ และ ส้ินปงี บประมาณ ส่ิงกอ่ สร้าง

แนวทางการปอ้ งกันภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวดั ดงโคกขาม 45 4.2 ผ้ดู ูแลระบบต้องทำการเก็บรกั ษาข้อมูลท่ีสำรองอยา่ งน้อย 1 ชดุ แยกสถานท่ีกนั เพื่อความมนั่ คง ปลอดภัย และใชง้ านได้อย่างต่อเน่ือง 4.3 ผดู้ แู ลระบบตอ้ งตรวจสอบผลการสำรองข้อมูลดว้ ยตนเองวา่ การสำรองข้อมูลตามรายละเอียด ในตารางข้างตน้ นน้ั ถูกตอ้ งสมบรู ณ์หรอื ไม่ 5. การกคู้ ืนระบบ (data recovery) 5.1 ผูด้ ูแลระบบหรือผูท้ ่ีได้รับมอบหมายจะต้องทำการทดสอบการกคู้ นื ข้อมูลเป็นระยะ เพอื่ ให้แนใ่ จได้ วา่ การสำรองข้อมูลนั้นทำได้อยา่ งครบถ้วนสมบูรณ์แล้ว 5.2 ในกรณที ี่พบปญั หาท่อี าจสร้างความเสียหายต่อระบบคอมพิวเตอรห์ รือระบบเครอื ข่ายจนเป็นเหตุ ทำใหต้ ้องดำเนนิ การกคู้ นื ระบบ ให้ผูด้ แู ลระบบคอมพวิ เตอร์หรอื ผู้ดแู ลระบบเครือขา่ ยดำเนินการแก้ไข แลว้ รายงานสรุปผลการปฏบิ ัติงานต่อหัวหน้าสาขาวิชาวทิ ยาการคอมพิวเตอร์หรือผูท้ ี่ไดร้ ับมอบหมายจากหวั หนา้ สาขาวชิ าวิทยาการคอมพวิ เตอร์ทราบ 5.3 ใหใ้ ช้ข้อมลู ทันสมยั ทส่ี ุด (latest update) ที่ได้สำรองไว้หรอื ตามความเหมาะสมเพื่อกูค้ ืนระบบ 5.4 หากความเสียหายทีเ่ กดิ ข้ึนกบั ระบบคอมพวิ เตอรห์ รือระบบเครือข่ายกระทบต่อการใหบ้ ริการหรอื การใชง้ านของผู้ใช้ระบบ ให้แจ้งผใู้ ชง้ านทราบทันทีพร้อมท้ังรายงานความคืบหน้าการก้คู ืนระบบเปน็ ระยะ จนกว่าจะดำเนินการเสร็จสิ้นอย่างสมบรู ณ์ 6. การจดั ทำแผนการแกไ้ ขปัญหาจากสถานการณค์ วามไมแ่ น่นอนและภยั พิบตั ิท่ีอาจเกดิ ขน้ึ กับระบบ ฐานขอ้ มูลและระบบเทคโนโลยีสารสนเทศ (IT contingency plan) แผนแก้ไขปญั หาจากสถานการณ์ความไมแ่ นน่ อนและภัยพิบตั ิทีอ่ าจเกดิ ขึน้ กับระบบฐานข้อมลู และ ระบบเทคโนโลยีสารสนเทศ ต้องกำหนดบคุ ลากรทเี่ ก่ียวข้องและดำเนนิ การดงั ต่อไปนี้ 6.1 กำหนดแผนเตรยี มความพร้อม และกระบวนการในการวางแผนรบั มอื กับเหตภุ ัยพบิ ัติ 6.2 กำหนดชนดิ ของภัยพิบัติทม่ี ผี ลต่อระบบทีม่ ีความสำคัญสงู และจำเป็นต้องวางแผนรับมอื 6.3 ทำการประเมินความเสีย่ งท่ีมผี ลทำใหร้ ะบบตดิ ขัดหรอื ไมส่ ามารถใช้งานไดอ้ ันเปน็ ผลจากภยั พิบตั ิท่ี กำหนดไว้ 6.4 จดั ทำแผนรบั มือกับเหตุภัยพบิ ตั เิ พื่อใหส้ ามารถกคู้ ืนระบบเทคโนโลยีสารสนเทศ ท่ีเสียหายให้ สามารถใชง้ านไดโ้ ดยเรว็ 6.5 ทดสอบการปฏิบัติตามแผนอย่างนอ้ ยปลี ะ 1 ครั้งโดยการจำลองสถานการณ์ 6.6 ประเมินและปรบั ปรุงแผนรบั มือกบั เหตภุ ยั พบิ ตั สิ ำหรับระบบทม่ี ีความสำคัญสงู อยา่ งน้อย ปลี ะ 1 ครงั้ การใชง้ านจดหมายอิเลก็ ทรอนิกส์ (Use of Electronic Mail Policy) 1. วัตถปุ ระสงค์ 1.1 เพือ่ ให้การรับส่งข้อมูลข่าวสารดว้ ยจดหมายอิเล็กทรอนิกส์ของโรงเรียนสามารถสนับสนนุ การ ปฏิบตั งิ านและการบริหารงานของโรงเรยี นเป็นไปอย่างถูกต้อง สะดวก รวดเร็ว ทนั สถานการณ์ มีประสทิ ธภิ าพ และประสิทธิผล 1.2 เพือ่ ให้การติดต่อส่อื สารโดยการรบั ส่งข้อมูลขา่ วสารด้วยจดหมายอเิ ล็กทรอนิกส์สำหรับบคุ ลากร ของโรงเรียนตามมาตรฐานอยู่ในกรอบ คำสง่ั ขอ้ บังคบั ของโรงเรียน

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพวิ เตอรข์ องโรงเรยี นวัดดงโคกขาม 46 2. ผรู้ ับผดิ ชอบ 2.1 ผใู้ ชง้ าน 2.2 ผ้ดู แู ลระบบ 3. ขอ้ ปฏิบัติสำหรับผู้ใชง้ าน 3.1 ผู้ใช้งานต้องไม่ตั้งค่าการใช้โปรแกรมช่วยจำรหัสผ่านส่วนบุคคลอัตโนมัติ (save password) ของระบบจดหมายอเิ ลก็ ทรอนิกส์ 3.2 ผูใ้ ช้งานตอ้ งระมดั ระวังในการใชจ้ ดหมายอเิ ลก็ ทรอนิกสเ์ พื่อไม่ใหเ้ กิดความเสียหายต่อโรงเรยี นหรอื ละเมิดสิทธิ สร้างความรำคาญต่อผู้อื่น หรือผิดกฎหมาย หรือละเมิดศีลธรรม และไม่แสวงหาประโยชน์หรือ อนญุ าตใหผ้ อู้ ่นื แสวงหาประโยชนใ์ นเชิงธรุ กจิ จากการใชจ้ ดหมายอเิ ล็กทรอนกิ ส์ผา่ นระบบเครือข่ายของโรงเรียน 3.3 ไมใ่ ช้ทีอ่ ยูจ่ ดหมายอิเล็กทรอนิกส์ของผู้อ่ืนเพอื่ อา่ นหรอื รับสง่ ข้อความ ยกเวน้ แต่จะไดร้ บั การยินยอม จากเจ้าของผ้ใู ชง้ าน และให้ถอื ว่าเจา้ ของจดหมายอเิ ล็กทรอนิกส์เป็นผรู้ ับผดิ ชอบต่อการใช้งานต่าง ๆ ในจดหมาย อเิ ลก็ ทรอนกิ สข์ องตนเอง 3.4 ผูใ้ ช้งานตอ้ งใชท้ ่ีอย่จู ดหมายอิเลก็ ทรอนกิ สข์ องโรงเรยี นเพ่อื การทำงานในภารกิจของโรงเรยี น เท่านน้ั 3.5 ลงบนั ทึกออกจากระบบจดหมายอิเลก็ ทรอนกิ สท์ ุกคร้งั เมื่อเสรจ็ สิ้นการใช้งาน 3.6 ผ้ใู ช้งานตอ้ งตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสก์ อ่ นเปดิ ทุกคร้ังเพือ่ ตรวจสอบไวรัส คอมพวิ เตอร์ 3.7 ไม่เปดิ หรอื ส่งต่อจดหมายอเิ ลก็ ทรอนกิ สห์ รอื ขอ้ ความที่ไดร้ บั จากผูส้ ่งท่ีไมร่ ู้จัก 3.8 ไมใ่ ชข้ ้อความทีไ่ ม่สุภาพหรอื รบั ส่งจดหมายอเิ ล็กทรอนิกสท์ ีไ่ มเ่ หมาะสมอนั อาจทำใหเ้ สียชอื่ เสียง ของโรงเรยี นหรือข้อมูลทท่ี ำให้เกิดความแตกแยกในหน่วยงาน 3.9 ในกรณีทตี่ อ้ งการส่งข้อมูลท่เี ป็นความลับ ตอ้ งไม่ระบุความสำคัญของข้อมลู ลงในหวั ขอ้ จดหมาย อเิ ลก็ ทรอนกิ ส์ 3.10 ผู้ใชง้ านต้องตรวจสอบตเู้ กบ็ จดหมายอิเลก็ ทรอนกิ สข์ องตนเองทุกวัน และลบจดหมาย อิเล็กทรอนิกสท์ ่ไี มต่ อ้ งการออกจากระบบ 4. ขอ้ ปฏิบตั สิ ำหรบั ผู้ดูแลระบบ 4.1 ผู้ดแู ลระบบตอ้ งกำหนดสิทธิการเข้าถงึ ระบบจดหมายอิเล็กทรอนกิ ส์ของโรงเรยี นให้เหมาะสมกบั การเขา้ ใชบ้ รกิ ารและหน้าทีค่ วามรบั ผิดชอบของผู้ใชง้ าน และทบทวนสิทธกิ ารเข้าใช้งานอย่างนอ้ ย ปลี ะ 1 ครั้ง 4.2 ผดู้ ูแลระบบตอ้ งกำหนดให้ระบบจดหมายอเิ ล็กทรอนิกส์ต้องทำการบนั ทกึ ออกจากหนา้ จอเพอื่ ตดั การใชง้ านจากผใู้ ช้งานเมอื่ ผใู้ ชง้ านไมไ่ ดใ้ ช้งานระบบเปน็ ระยะเวลาตามทกี่ ำหนดไว้

แนวทางการป้องกนั ภยั คกุ คามทางไซเบอร์ เทคโนโลยีและคอมพิวเตอรข์ องโรงเรยี นวดั ดงโคกขาม 47 ข้อตกลงการใชบ้ รกิ ารจดหมายอิเลก็ ทรอนกิ ส์ (Terms of Use and Disclaimer) 1. วัตถปุ ระสงค์ 1.1 เพือ่ ให้การรับสง่ ข้อมลู ขา่ วสารด้วยจดหมายอิเล็กทรอนิกส์ของโรงเรียนสามารถสนบั สนุนการ ปฏิบตั งิ านของโรงเรยี นให้เปน็ ไปอยา่ งถูกตอ้ ง สะดวกรวดเร็ว ทันสถานการณ์ และมปี ระสทิ ธิภาพ 1.2 เพอ่ื ให้การติดต่อสือ่ สารโดยการรบั สง่ ข้อมูลขา่ วสารด้วยจดหมายอิเลก็ ทรอนิกส์สำหรบั บุคลากร ของโรงเรยี นเป็นมาตรฐานอยู่ในกรอบของกฎหมาย ระเบียบ คำสงั่ ขอ้ บังคับ คำแนะนำและ มาตรการรกั ษาความปลอดภัยข้อมูลขา่ วสารของโรงเรียน 2. ผ้รู บั ผดิ ชอบ 2.1 ผู้ใชง้ าน 3. ข้อตกลงการใชบ้ ริการ 3.1 ผใู้ ชง้ านระบบจดหมายอเิ ลก็ ทรอนิกสข์ องโรงเรยี นจะต้องไม่กระทำการอันละเมดิ ต่อกฎหมาย ระเบียบ คำส่ัง ข้อบังคบั และคำแนะนำ อยา่ งน้อยดังต่อไปนี้ 3.1.1 พระราชบญั ญตั ิกระทำความผิดเกีย่ วกบั คอมพิวเตอร์ พ.ศ.2560 3.1.2 พระราชบัญญตั ิว่าดว้ ยธุรกรรมทางอิเลก็ ทรอนกิ ส์ พ.ศ.2544 3.1.3 พระราชบญั ญัติข้อมลู ข่าวสารของทางราชการ พ.ศ.2540 3.1.4 ระเบยี บว่าดว้ ยการรกั ษาความลบั ของทางราชการ พ.ศ.2544 3.1.5 ระเบยี บวา่ ดว้ ยการรกั ษาความปลอดภยั แห่งชาติ พ.ศ.2517 3.1.6 ขอ้ ตกลงเงอ่ื นไขการใช้บริการทโ่ี รงเรียนกำหนด 3.2 ผู้ใชง้ านจดหมายอเิ ลก็ ทรอนกิ สข์ องโรงเรียนจะตอ้ งใชจ้ ดหมายอิเล็กทรอนิกส์นี้เพ่ือผลประโยชน์ ของโรงเรยี น 3.3 ห้ามใชร้ ะบบจดหมายอเิ ล็กทรอนิกสข์ องโรงเรยี นเพ่ือการประกอบธรุ กิจหรอื แสวงหาผลประโยชน์ ส่วนตน 3.4 หา้ มใชร้ ะบบจดหมายอิเล็กทรอนิกส์ของโรงเรียนเพื่อการเผยแพร่ อา้ งอิง พาดพงิ ดูหม่นิ หรอื กระทำการใด ๆ ที่ก่อให้เกิดความเสียหายตอ่ สถาบนั ชาติ ศาสนา และพระมหากษัตริย์ 3.5 หา้ มใชร้ ะบบจดหมายอเิ ล็กทรอนิกสข์ องโรงเรยี นในการประกอบอาชญากรรมทางคอมพวิ เตอร์ หรอื การกระทำใด ๆ ซึ่งผิดกฎหมาย คำสัง่ ระเบยี บ ข้อบงั คับ และมาตรการรักษาความปลอดภยั ขอ้ มลู ข่าวสาร ลบั ของทางราชการ 3.6 หา้ มใช้ระบบจดหมายอเิ ล็กทรอนิกส์ของโรงเรียนเพ่ือการเผยแพร่ข้อมลู ข่าวสาร หรือภาพ เสียง ข้อความทีไ่ มเ่ หมาะสม หรือสรา้ งความเสือ่ มเสียให้กบั ผู้อื่น 3.7 หา้ มใช้ที่อยูจ่ ดหมายอเิ ล็กทรอนิกสข์ องโรงเรียนเพ่ือแสดงขอ้ คดิ เหน็ ส่วนตวั ทีส่ ง่ ผลกระทบในทาง ลบหรือสร้างความเสอ่ื มเสียหรือเสียหายต่อผู้อืน่ หรอื โรงเรยี น 3.8 ห้ามกระทำการปลอมแปลงท่ีอยู่เปน็ บุคคลอื่น (impersonation) 3.9 หา้ มกระทำการท่สี รา้ งปัญหาการใชท้ รัพยากรของระบบ เช่น (1) การสร้างจดหมายลูกโซ่ (chain mail) (2) การส่งจดหมายจำนวนมาก (spam mail) (3) การส่งจดหมายต่อเนือ่ ง (letter bomb) (4) การส่งจดหมายเพื่อการแพร่กระจายไวรสั คอมพิวเตอร์ 3.10 ห้ามผใู้ ชง้ านกระทำ การใด ๆ ทีอ่ าจสรา้ งความเสียหายแก่ระบบเครื่องแม่ขา่ ยจดหมาย