จริยธรรมในความมั่นคงสารสนเทศ
Ethics in Information Security
*****
นิยามของจริยธรรม (Ethical Concepts)
Some consider ethics to be the organized study of how human ought to act.
บางคนพิจารณาว่าจริยธรรมเป็นการศึกษาเกี่ยวกับการที่มนุษย์ความจะทำ
Others consider ethics to be a consideration of rules we should live by.
คนอื่น ๆ พิจารณาว่าจริยธรรมเป็นการคำนึงถึงกฎที่เราควรจะอยู่กับมัน
The Ten Commandments of Computer Ethics
บัญญัติ 10 ประการเกี่ยวกับจริยธรรมคอมพิวเตอร์
Thou shalt not use a computer to harm other people.
ท่านต้องไม่ใช้ คอมพิวเตอร์ไปทำอันตรายต่อคนอื่น
Thou shalt not interfere with other people’s computer work.
ท่านต้องไม่รบกวนงานคอมพิวเตอร์ของคนอื่น
Thou shalt not snoop around in other people’s files.
ท่านต้องไม่ยุ่งเกี่ยวกับไฟล์ของคนอื่น
Thou shalt not use a computer to steal.
ท่านต้องไม่ใช้คอมพิวเตอร์เพื่อการขโมย
Thou shalt not use a computer to bear false witness.
ท่านต้องไม่ใช้คอมพิวเตอร์เป็นพยานเท็จ
Thou shalt not copy or use proprietary software for which you have not paid.
ท่านต้องไม่คัดลอก หรือใช้ซอฟต์แวร์ลิขสิทธิ์ที่ท่านไม่ได้จ่ายเงิน
Thou shalt not use other people’s computer resources without authorization or proper compensation.
ท่านต้องไม่ใช้ทรัพยากรคอมพิวเตอร์ของคนอื่นโดยไม่ได้รับอนุญาตหรือมีการชดเชยที่เหมาะสม
Thou shalt not appropriate other people’s intellectual output.
ท่านต้องไม่ละเมิดสิ่งที่เป็นสินทรัพย์ทางปัญญาของคนอื่น
Thou shalt think about the social consequences of the program you are writing or the system you are designing.
ท่านต้องคิดถึงผลตามมาทางสังคมของโปรแกรมที่ท่านกำลังเขียนหรือระบบที่ท่านกำลังออกแบบอยู่
Thou shalt always use a computer in ways that ensure consideration and respect for your fellow humans.
ท่านต้องใช้คอมพิวเตอร์ในทางที่คำนึงและเคารพเพื่อนมนุษย์เสมอ
ความแตกต่างใน สังคมเกี่ยวกับจริยธรรม
Ethics in Information Security
*****
นิยามของจริยธรรม (Ethical Concepts)
Some consider ethics to be the organized study of how human ought to act.
บางคนพิจารณาว่าจริยธรรมเป็นการศึกษาเกี่ยวกับการที่มนุษย์ความจะทำ
Others consider ethics to be a consideration of rules we should live by.
คนอื่น ๆ พิจารณาว่าจริยธรรมเป็นการคำนึงถึงกฎที่เราควรจะอยู่กับมัน
The Ten Commandments of Computer Ethics
บัญญัติ 10 ประการเกี่ยวกับจริยธรรมคอมพิวเตอร์
Thou shalt not use a computer to harm other people.
ท่านต้องไม่ใช้ คอมพิวเตอร์ไปทำอันตรายต่อคนอื่น
Thou shalt not interfere with other people’s computer work.
ท่านต้องไม่รบกวนงานคอมพิวเตอร์ของคนอื่น
Thou shalt not snoop around in other people’s files.
ท่านต้องไม่ยุ่งเกี่ยวกับไฟล์ของคนอื่น
Thou shalt not use a computer to steal.
ท่านต้องไม่ใช้คอมพิวเตอร์เพื่อการขโมย
Thou shalt not use a computer to bear false witness.
ท่านต้องไม่ใช้คอมพิวเตอร์เป็นพยานเท็จ
Thou shalt not copy or use proprietary software for which you have not paid.
ท่านต้องไม่คัดลอก หรือใช้ซอฟต์แวร์ลิขสิทธิ์ที่ท่านไม่ได้จ่ายเงิน
Thou shalt not use other people’s computer resources without authorization or proper compensation.
ท่านต้องไม่ใช้ทรัพยากรคอมพิวเตอร์ของคนอื่นโดยไม่ได้รับอนุญาตหรือมีการชดเชยที่เหมาะสม
Thou shalt not appropriate other people’s intellectual output.
ท่านต้องไม่ละเมิดสิ่งที่เป็นสินทรัพย์ทางปัญญาของคนอื่น
Thou shalt think about the social consequences of the program you are writing or the system you are designing.
ท่านต้องคิดถึงผลตามมาทางสังคมของโปรแกรมที่ท่านกำลังเขียนหรือระบบที่ท่านกำลังออกแบบอยู่
Thou shalt always use a computer in ways that ensure consideration and respect for your fellow humans.
ท่านต้องใช้คอมพิวเตอร์ในทางที่คำนึงและเคารพเพื่อนมนุษย์เสมอ
ความแตกต่างใน สังคมเกี่ยวกับจริยธรรม
จากการศึกษาพบว่าคนที่มีสัญชาติต่างกันมีแนวคิดเกี่ยวกับจริยธรรมทางคอมพิวเตอร์แตกต่างกัน ความยุ่งยากเกิดจาการที่พฤติกรรมจริยธรรมไม่เหมือนกับคนในชาติอื่น ตัวอย่างเช่น ชาวตะวันตกเห็นว่าวิธีการบางอย่างของการใช้ซอฟต์แวร์คอมพิวเตอร์ชาวตะวันออกว่าเป็นการละเมิดลิขสิทธิ์ ข้อขัดแย้งนี้เกิดจากการที่วัฒนธรรมของชาวเอเชียถือว่ามีการเป็นเจ้าของแบบเป็นกลุ่ม ซึ่งแตกต่างจากแนวคิดทรัพย์สินทางปัญญาของชาวตะวันตก
ในการศึกษาเกี่ยวกับจริยธรรมในการใช้คอมพิวเตอร์ ในประเทศต่าง ๆ เช่น สิงคโปร์ ฮ่องกง สหรัฐอเมริกา อังกฤษ ออสเตรเลีย สวีเดน เวลส์ และ เนเธอร์แลนด์ การศึกษาครั้งนี้ไม่ได้แบ่งผลการตอบออกเป็นว่าถูกต้องหรือไม่ถูกต้องตามจริยธรรม แต่แสดงเป็นระดับความไวต่อจริยธรรม ผลการศึกษาจะจัดจริยธรรมในการใช้คอมพิวเตอร์เป็น 3 กลุ่ม ดังนี้
ลิขสิทธิ์ของซอฟต์แวร์
โดยรวมแล้ว ประเทศส่วนมากที่ได้ศึกษามีแนวคิดต่อการละเมิดลิขสิทธิ์ทำนองเดียวกัน พูดตามสถิติ จะมีสหรัฐอเมริกา และเนเธอร์แลนด์เท่านั้นที่มีเจตคติแตกต่างอย่างมากจากประเทศอื่น ๆ ที่ได้ศึกษา ประเทศสหรัฐอเมริกามีความอดทนต่อการละเมิดลิขสิทธิ์น้อยที่สุด ในขณะที่เนเธอร์แลนด์มีความอดทนมากกว่า อย่างไรก็ตามมีรายงานการศึกษาหลายครั้งที่พบว่าประเทศในเขตปาซิฟิกรอบ ๆ สิงคโปร์และฮ่องกงจะเป็นแหล่งของการละเมิดลิขสิทธิ์ การศึกษาพบว่าประเทศทั้งสองนี้มีความอดทนต่อการละเมิดลิขสิทธิ์ปานกลาง ทำนองเดียวกับเจตคติของประเทศอังกฤษ ออสเตรเลีย และสวีเดน ซึ่งหมายความว่าคนที่ถูกศึกษาทราบเกี่ยวกับลิขสิทธิ์ แต่รู้สึกว่าการใช้ของเขาไม่เป็นการละเมิด หรือ สังคมของเขาอนุญาตให้ใช้ได้ อิทธิพลของกลุ่มเพื่อน การขากการควบคุมทางกฎหมาย มีการลงโทษน้อย หรือเหตุผลอื่น ๆ ก็สามารถอธิบายได้ว่าทำไมจึงมีรายงานจากศูนย์กลางการละเมิดลิขสิทธิ์ จึงไม่ปฏิบัติตามกฎหมายลิขสิทธิ์
อย่างไรก็ตามประเทศเนเธอร์แลนด์มีเจตคติต่อการละเมิดลิขสิทธิ์มากกว่า ซึ่งสะท้อนถึงวัฒนธรรมโดยทั่วไป และมีอัตราการละเมิดลิขสิทธิ์เป็นอันดับ 3 ของประเทศที่อยู่ในการศึกษานี้
การใช้เพื่อการคุกคาม
คนที่ถูกศึกษาทุกคนประณามไวรัส การ Hack และการคุกคามต่อระบบในรูปแบบอื่น ๆ ว่าเป็นพฤติกรรมที่ยอมรับไม่ได้ แต่ก็มีระดับความอดทนแตกต่างกันในระหว่างกลุ่มที่ต่างกัน
1) สิงคโปร์ และฮ่องกงมีความอดทนมากกว่าสหรัฐอเมริกา เวลส์ อังกฤษ และออสเตรเลียอย่างมีนัยสำคัญ 2) สวีเดนและเนเธอร์แลนด์มีความอดทนมากกว่าเวลส์และออสเตรเลีย แต่มีความอดทนน้อยกว่าฮ่องกง
การใช้ทรัพยากรขององค์กรในทางที่ผิด
การศึกษาความอดทนต่อการใช้ทรัพยากรขององค์กรในทางที่ผิด ใช้การใช้สินทรัพย์ขององค์กรในทางส่วนตัวแบบต่าง ๆ โดยไม่มีนโยบายเกี่ยวกับการใช้ทรัพยากรของบริษัทเป็นการส่วนตัว โดยทั่วไปบุคคลมีความเห็นว่าสามารถใช้เครื่องมือขององค์กรเป็นการส่วนตัวได้ มีเพียงสิงคโปร์และฮ่องกงเท่านั้นที่เห็นว่าการใช้เครื่องมือของบริษัทเป็นการผิดจริยธรรม และมีความแตกต่างในประเทศต่าง ๆ หลายประการ โดยเนเธอร์แลนด์มีแนวคิดว่าควรจะใช้ได้อยู่ในระดับสูงที่สุด โดยปราศจากภูมิหลังทางวัฒนธรรม หลายคนรู้สึกว่าถ้าองค์กรไม่ได้ห้ามการใช้ทรัพยากร คอมพิวเตอร์เป็นการส่วนตัวแล้ว การใช้ดังกล่าวก็ถือว่ายอมรับได้ ความจริงมีเพียงสองประเทศในเอเชีย คือ สิงคโปร์และฮ่องกงเท่านั้นที่รายงานว่ามีเจตคติที่ไม่อดทนต่อการใช้ทรัพยากรคอมพิวเตอร์ เป็นการส่วนตัว โดยไม่ทราบเหตุผลเบื้องหลังของกรณีนี้
จริยธรรมกับการศึกษา
ความแตกต่างของจริยธรรมในการใช้คอมพิวเตอร์ไม่ได้ ไม่ได้มาจากความแตกต่างทางวัฒนธรรมอย่างเดียว เนื่องจากได้พบความแตกต่างของคนในประเทศเดียวกัน ในชั้นสังคมเดียวกัน และในบริษัทเดียวกัน จากการศึกษาหลัก ๆ พบว่าองค์ประกอบที่ทำให้เกิดความแตกต่างนี้ก็คือ การศึกษา พนักงานจะต้องได้รับการฝึกอบรมและมีความทันสมัยในเรื่องความมั่นคงสารสนเทศ การฝึกอบรมในเรื่องเกี่ยวกับจริยธรรมและกฎหมายนับว่าเป็นสิ่งสำคัญที่จะทำให้ได้บุคลากรที่ได้รับข่าวสาร มีการเตรียมตัวที่ดี และเป็นผู้ใช้ระบบที่มีความเสี่ยงต่ำ
พฤติกรรมที่ผิดจริยธรรม และผิดกฎหมาย
เป็นความรับผิดชอบของบุคลากรความมั่นคงสารสนเทศที่จะต้องทราบความแตกต่างของการกระทำที่ผิดจริยธรรมและผิดกฎหมาย โดยการใช้นโยบาย การศึกษาและการฝึกอบรม และเทคโนโลยีเป็นตัวควบคุม หรือตัวป้องกันสารสนเทศและระบบ วิชาชีพความมั่นคงหลายอย่างเข้าใจเครื่องมือทางเทคโนโลยีของการป้องกัน แต่หลายคนก็เห็นคุณค่าของนโยบายน้อยเกินไป
มีประเภทของพฤติกรรมผิดจริยธรรม ที่องค์กรและสังคมควรจะกำจัด 3 ประการ
1. ความไม่รู้ (Ignorance) การไม่รู้กฎหมายเป็นสิ่งที่ไม่มีข้อแก้ตัว แต่ความไม่รู้นโยบายและกระบวนการเป็นสิ่งที่พอแก้ตัวได้ การกำจัดความไม่สนใจนี้สามารถใช้การศึกษา องค์กรต้องออกแบบ และใช้นโยบายขององค์กรและกฎหมายที่เกี่ยวข้อง โดยพนักงานต้องเห็นด้วยที่จะปฏิบัติตาม
2. อุบัติเหตุ (Accident) บุคลากรที่ได้รับอนุญาตและมีสิทธิ์ในการจัดการสารสนเทศในองค์กรมีโอกาสสูงสุดในการก่อให้เกิดอันตราย หรือความเสียหายโดยอุบัติเหตุ การควบคุมที่ระมัดระวังสามารถช่วยป้องกันการแก้ไขข้อมูลและระบบโดยบังเอิญได้
3. ความตั้งใจ (Intend) ความตั้งใจในอาชญากรรม หรือผิดจริยธรรมหมายถึงระดับของจิตใจของบุคคลที่จะก่อเหตุที่ไม่ดี การป้องกันทางกฎหมายสามารถป้องกันการกระทำที่ทำโดยความไม่รู้ โดยอุบัติเหตุ หรือด้วยความตั้งใจ จะทำได้ดีที่สุดโดยใช้กฎหมายในการดำเนินคดี ประกอบกับการควบคุมทางเทคนิค
เครื่องมือป้องกัน
การป้องกัน เป็นวิธีที่ดีที่สุดที่จะป้องกันกิจกรรมที่ผิดจริยธรรม หรือผิดกฎหมาย กฎหมาย นโยบาย และการควบคุมทางเทคนิค เป็นตัวอย่างของเครื่องมือป้องกัน อย่างไรก็ตามกฎหมาย นโยบาย และการลงโทษที่เกี่ยวข้องจะป้องกันได้ ถ้ามีเงื่อนไข 3 ประการดังต่อไปนี้
1. ความกลัวการลงโทษ
2. โอกาสที่จะถูกจับ
3. โอกาสที่จะถูกลงโทษ
-----------------------
ไม่มีความคิดเห็น:
แสดงความคิดเห็น