:: ผู้อำนวยการโรงเรียน ::
นายชัชชัย พุทธสุวรรณ์ ผู้อำนวยการโรงเรียนเบญจมราชรังสฤษฎิ์
Graphical counter from SEP 2550
Oh no! Where's the
JavaScript ?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please
enable JavaScript on your Web browser to properly view this Web site,
or
upgrade to a Web browser that does support JavaScript;
Firefox ,
Safari ,
Opera ,
Chrome or a version of
Internet Explorer newer then version 6.
หากจะให้บอกว่ากิจกรรมยามเช้าที่คนทำงานส่วนมากทำคืออะไร เชื่อว่าการอ่านและรับส่งจดหมายอิเล็คทรอนิกส์ (อีเมล์) จะเป็นกิจกรรมที่หลายๆ คนปฏิเสธไม่ได้ว่าอีเมล์ เข้ามามีส่วนร่วมในวิถีการทำงาน เพราะในมุมมองขององค์กร หรือบริษัทต่างๆ อีเมล์ถูกใช้เป็นเครื่องมือมาตรฐาน สำหรับติดต่อสื่อสาร แลกเปลี่ยนข้อมูลในการดำเนินธุรกิจ เนื่องจากการใช้งานที่ง่าย เพิ่มศักยภาพในการติดต่อสื่อสารได้ โดยไม่มีข้อจำกัดด้านระยะทาง ทั้งนี้ ทางไอดีซีเคยประเมินว่า ภายในปี 2549 จะมีการรับส่งอีเมล์กันถึง 35 ล้านล้านฉบับต่อวัน
แต่ขณะนี้ การใช้งานอีเมล์ในองค์กรกลับเป็นรูโหว่ที่เป็นปัญหาสำคัญ เกี่ยวกับเรื่องความปลอดภัย การรักษาความลับของบริษัท และการที่บริษัทต่างๆ ต้องปรับตัวให้เข้าตามกฎระเบียบ ข้อบังคับต่างๆ หากต้องมีการค้าขายกับบริษัทต่างชาติ การที่ระบบอีเมล์ขององค์กรถูกปล่อยปละละเลยมานาน ทำให้หลายบริษัทพบกับปัญหา อาทิ สแปมจำนวนมาก ไวรัส โทรจัน และการลักลอบใช้อีเมล์ส่งข้อมูลของบริษัทออกไปภายนอก หรือ ใช้อีเมล์องค์กรส่งภาพลามก จดหมายลูกโซ่ ที่อาจทำให้องค์กรถูกฟ้องร้องทางกฎหมาย เนื่องจากไม่สามารถควานหาผู้กระทำผิดตัวจริงได้
นายทวิพงศ์ อโนทัยสินทวี ที่ปรึกษาด้านโซลูชั่น บริษัท อีเอ็มซี อินฟอร์เมชั่น ซิสเต็มส์ (ประเทศไทย) จำกัด อธิบายว่า หากวันหนึ่งองค์กรของท่านอาจจะได้รับความเสียหาย โดยมีต้นเหตุมาจากอีเมล์ ที่ใช้กันอยู่ แล้วลองคิดดูหากถ้ามีใครสักคนในองค์กรกับบุคคลภายนอก แอบลักลอบติดต่อ หรือรับส่งข้อมูลที่เกี่ยวข้องกับผลประโยชน์ ความมั่นคง ข้อมูลภายใน หรือข้อมูลในทางลับต่างๆขององค์กร และหลังจากได้รับข้อมูล แล้วคนเหล่านั้นก็ลบจดหมายที่อาจเป็นหลักฐานสำคัญออกจากระบบ สุดท้ายเมื่อความเสียหายบังเกิดขึ้น จะไปค้นหาหลักฐานเหล่านั้นกลับมาได้อย่างไร ในเมื่อจดหมายเหล่านั้นถูกทำลายทิ้งเสียแล้ว
ที่ปรึกษาฯ บ.อีเอ็มซี อธิบายต่อว่า เหตุการณ์ที่ยกตัวอย่างมาไม่ใช่เรื่องที่แต่งขึ้น แต่เป็นเรื่องที่เกิดขึ้นจริงในต่างประเทศ และอาจจะเกิดขึ้นกับองค์กรของคุณแล้วโดยที่คุณไม่รู้ตัว เหตุการณ์เหล่านี้กดดันให้องค์กรทางภาครัฐ และเอกชน โดยเฉพาะในสหรัฐอเมริกาต้องออกกฏเกณฑ์ และกฏหมายต่างๆ เพื่อควบคุมระบบอีเมล์ขององค์กรต่างๆ ภายในสหรัฐฯ รวมถึง องค์กรต่างประเทศที่ต้องทำธุรกิจกับสหรัฐฯ อาทิ
SEC 17a-4 เป็นข้อกำหนดหนึ่งของตลาดหลักทรัพย์สหรัฐฯ ที่กำหนดให้บริษัทโบรกเกอร์ต่างๆ จัดเก็บข้อมูลที่เกี่ยวข้องกับการสื่อสารทั้งภายใน และภายนอก รวมถึง ข้อมูลบนระบบอีเมล์ 3 ปี โดยข้อมูลที่เก็บไว้จะต้องอยู่บนสื่อ หรือ มีเดียที่ไม่อนุญาตให้แก้ไขเปลี่ยนแปลงใดๆ ทั้งสิ้น
NASD 3110 ของ National Association of Securities Dealers (NASD) ที่อ้างถึง SEC 17a-4 เพื่อนำมาใช้กับองค์กรที่เป็นสมาชิกของ NASD
Sarbanes-Oxley Act (SOX) กำหนดให้บริษัทมหาชนที่มีหุ้นกระจายอยู่ในตลาดหลักทรัพย์ จะต้องจัดเก็บข้อมูลที่เกี่ยวข้องกับกิจกรรมอันก่อให้เกิดรายรับ และรายจ่าย ที่จำเป็นกับการตรวจสอบ รวมถึงข้อมูลของระบบอีเมล์ไว้ไม่น้อยกว่า 7 ปี
HIPAA (Health Insurance Portability and Accountability Act of 1996) มีกฏหมายข้อหนึ่งที่เกี่ยวข้องกับการจัดเก็บอีเมล์ ที่มีข้อมูลทางการแพทย์ต่างๆเอาไว้ไม่น้อยกว่า 6 ปี ที่บังคับใช้กับองค์กรต่างๆ ที่ข้องเกี่ยวกับกิจกรรมทางการแพทย์ เช่น โรงพยาบาล คลินิก บริษัทผลิตจัดจำหน่ายยา และบริษัทประกันชีวิต เป็นต้น
Telecommunications CFR Title 47, Part 42 เป็นกฏหมายที่ครอบคลุม และใช้กับองค์กรที่ให้บริการด้านการสื่อสาร โดยให้จัดเก็บอีเมล์ที่เกี่ยวข้องกับหลักฐานค่าใช้จ่าย และ การชำระเงินของลูกค้า รวมถึง ข้อมูลการดำเนินธุรกิจ เพื่อประโยชน์ในการตรวจสอบโดยผู้ตรวจสอบ (Auditor) ในภายหลัง
นายทวิพงษ์ อธิบายเสริมว่า การที่จะให้ระบบอีเมล์ภายในองค์กร ปฏิบัติตามกฏเกณฑ์ต่างๆ ที่กล่าวมานั้น เป็นความรับผิดชอบของเจ้าหน้าที่ด้านกฏหมาย และผู้บริหารในระดับต่างๆ ต้องกำหนดนโยบายให้สอดรับกับกฏเกณฑ์ที่กล่าวมา แต่หน่วยงานที่จะทำให้ระบบตรวจสอบเหล่านี้เกิดขึ้น และนำมาปฏิบัติได้อย่างจริงจังคงหนีไม่พ้น หน่วยงาน IT (Information Technology) โดยเทคนิคที่นำมาใช้มักจะเกี่ยวข้องกับ การทำ อีเมล์ อาร์ไคฟ์วิ่ง (e-Mail Archiving) ที่จะถูกนำมาใช้ในการทำสำเนาจดหมาย ที่มีการรับส่งกันในระบบไว้อีกชุด
“สำหรับการเก็บ Archive ควรจะเป็นแบบเรียลไทม์ เพื่อมั่นใจว่า “จดหมายทุกฉบับที่รับส่งมีการทำสำเนาไว้ และจะต้องไม่อนุญาตให้มีการแก้ไขจดหมายที่ Archive ไว้ เพื่อประโยชน์ในการตรวจสอบภายหลัง เพื่อก้าวสู่การเป็นองค์กรที่มีธรรมาภิบาล (Good Governance) โปร่งใส ตรวจสอบได้กับทั้งคู่ค้า ลูกค้า และสังคม” ที่ปรึกษาฯ บ.อีเอ็มซี กล่าว
การเก็บข้อมูลการใช้อีเมล์ และ Archive ของอีเมล์เป็นเพียงแค่การปฏิบัติทางหนึ่งเท่านั้น แต่ปัญหาเรื่องความปลอดภัย และการโจมตีองค์กรจากมัลแวร์ อาทิ ไวรัส โทรจัน และ สปายแวร์ ยังมีความเสี่ยงอยู่ ดังนั้น จึงเป็นเรื่องที่ผู้บริหารระดับสูงในองค์กร และแผนกไอทีจำเป็นต้องหาทางป้องกัน และแก้ไขเมื่อมีปัญหาเกิดขึ้น แล้วคำถามที่ว่า "ทำไมผู้บริหารจึงควรใส่ใจ และ ดูแลการใช้อีเมล์ของพนักงาน" จึงมีความน่าสนใจ และควรนำมาคิดไตร่ตรองหาคำตอบ
นายปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลบนคอมพิวเตอร์และเครือข่าย แสดงความเห็นว่า เรื่องการใช้อีเมล์ที่ถูกต้องในองค์กรนั้น มีความเข้าใจผิดกันมาก เนื่องจากอีเมล์เป็นสื่ออิเล็กโทรนิคส์แบบไม่เป็นทางการ จึงคิดกันว่าไม่จำเป็นต้องให้ความสำคัญกับการควบคุม ทั้งที่ในทางปฏิบัติไม่ใช่ เพราะ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 นั้นระบุว่า อีเมล์ และระบบ Digital Signature ถือเป็นเอกสารที่ใช้อ้างอิงตามกฎหมายได้ ไม่แตกต่างจากเอกสารประเภทอื่นๆ ดังนั้น องค์กร ทุกองค์กรจึงควรใส่ใจควบคุมการใช้อีเมล์ ไม่น้อยไปกว่าการใช้สื่อธุรกิจประเภทอื่นๆ
“อีเมล์ แอดเดรส ของพนักงานนั้น ไม่ใช่แค่การแสดงตัวตนของพนักงานเท่านั้น แต่ยังแสดงถึงภาพลักษณ์องค์กร หากพนักงานใช้อีเมล์ของบริษัทในการส่งข้อความ หรือ เอกสารที่ไม่เหมาะสมออกสู่สาธารณะ ภาพลักษณ์ด้านลบจะไม่เพียงเกิดขึ้นกับพนักงานผู้นั้น หากแต่จะมีผลกับทบอย่างรุนแรงต่อองค์กรที่ทำงานอยู่อีกด้วย ธุรกิจต่างๆ จึงมักจะเข้มงวดต่อการส่งจดหมายที่มีการพิมพ์ซอง หรือหัวกระดาษของบริษัท ไม่ให้ส่งในเรื่องส่วนตัว แล้วทำไมถึงได้ปล่อยให้พนักงานส่งอีเมล์ออกมา ทั้งที่ไม่มีการควบคุมที่ดีพอ” ผู้เชี่ยวชาญด้านความปลอดภัย กล่าว
นายปริญญา แสดงความเห็นว่า การจำกัดการใช้อีเมล์ในเรื่องส่วนตัวนั้น เปรียบเสมือนการแก้ปัญหาที่เห็นเพียงยอดภูเขาน้ำแข็งเท่านั้น เพราะหากไม่ดูแลการใช้อีเมล์ในองค์กรดีๆ ก็อาจเป็นช่องทางให้ข้อมูลที่เป็นความลับขององค์กรถูกเปิดเผย พนักงานส่วนมากเมื่อได้รับอีเมล์ก็มักจะเปิดอ่าน และโหลดไฟล์แนบแบบไม่สนใจว่าใครส่งมา ทั้งที่อีเมล์เหล่านี้เป็นที่มาของ สปายแวร์ ไวรัส และ โทรจัน ที่ก่อให้เกิดปัญหาระบบเครือข่ายล่ม จนถึงการถูกขโมยข้อมูลผ่านทางโปรแกรมโทรจัน ที่ไม่สามารถตรวจจับได้โดยโปรแกรมกำจัดไวรัส ต้องใช้โปรแกรมกำจัด สปายแวร์โดยเฉพาะ
ผู้เชี่ยวชาญด้านความปลอดภัย อธิบายอีกว่า แฮกเกอร์ และ นักเขียนโปรแกรมไวรัส ก็แสนจะสรรหากลโกง เทคนิคหลอกล่อที่แนบเนียนทุกวัน และ มีการออกแบบข้อความในจดหมายที่น่าสนใจ โดยใช้วิธีปลอมที่อยู่ผู้ส่งให้เป็นคนที่เหยื่อรู้จัก การรับส่งอีเมล์ที่เกี่ยวข้องกับงานจากพีซีส่วนตัว ที่ไม่ได้ติดตั้งโปรแกรมกำจัดไวรัสอย่างถูกต้องนั้น จะทำให้เกิดปัญหาการใช้งาน โดยไม่ผ่านกระบวนการด้านความปลอดภัยข้อมูลขององค์กรแบบไม่ตั้งใจ จึงไม่ต้องสงสัยเลยว่า ตัวพนักงานก็คือ ช่องโหว่ด้านความปลอดภัยข้อมูลที่ร้ายแรงที่สุดในองค์กร
นายปริญญา อธิบายเพิ่มเติมว่า วิธีเดียวที่องค์กรจะป้องกันภัยต่างๆ ที่วิ่งผ่านทางระบบดิจิตอลได้ คือ การอ้างสิทธิเป็นผู้ดูแลขอเปิดอ่านอีเมล์ที่น่าสงสัย โดยการบังคับใช้ นโยบายอีเมล์ขององค์กรอย่างจริงจัง และชัดเจน และ เปิดให้พนักงานทุกคนเข้าถึงได้นั้น และมีการลงนามทำสัญญาแบบจริงจังด้วย เพื่อทำให้พนักงานทุกคนปฏิบัติตามนโยบายที่กำหนดไว้แบบเคร่งครัด รวมทั้งต้องปรับปรุงระบบที่ต่อเนื่อง เพราะ การทำฟิชชิ่ง หรือ ฟาร์มมิ่ง (Phishing /Pharming) และนักเขียนโปรแกรมไวรัสเอง ก็พัฒนาวิธีการโจมตี หรือ ล่อลวงอยู่สม่ำเสมอเช่นกัน
ทั้งหมดนี้ เป็นเรื่องใกล้ตัวที่ผู้ใช้คอมพิวเตอร์ทุกคนต้องเจออยู่ทุกวัน เป็นเรื่องบนปลายจมูกที่องค์กรไม่เหลียวแล โดยเฉพาะองค์กรขนาดกลางและเล็ก หรือ เอสเอ็มอีของไทย ที่ยังไม่มีการนำมาตรฐานต่างๆ เข้ามาใช้ เนื่องจากมองว่ายังไม่มีการทำธุรกิจร่วมกับต่างชาติ ทั้งที่จริงแล้วต่างชาติมองว่าองค์กรเหล่านี้ ไม่มีความน่าเชื่อถือ จึงไม่อยากทำธุรกิจร่วมกัน
ดังนั้น เพื่อให้การทำธุรกิจราบรื่น ปลอดภัย ชัดเจน และโปรงใสต่อการตรวจสอบอีเมล์ขององค์กร จึงถึงเวลาที่ต้องหันมาเหลียวแลสักที ก่อนจะเกิดปัญหาที่สายเกินแก้ และยากที่จะเยียวยา...
บทความโดย จุลดิส รัตนคำแปง
บทความจาก : www.thairath.co.th
วันที่ : 3 กุมภาพันธ์ 2549
<< October 2025 >>
Mo
Tu
We
Th
Fr
Sa
Su
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
No events.
แบบวัดการรับรู้ของผู้มีส่วนได้ส่วนเสียภายนอก(EIT2)