ในโลกของธุรกิจ และแม้แต่การการทำงานของหน่วยงานต่างๆ อินเทอร์เน็ตได้กลายมาเป็นส่วนสำคัญ เพราะช่วยอำนวยความสะดวกในการทำงานที่ไหน เมื่อไหร่ก็ได้ ไม่จำกัดเวลาและสถานที่ บริษัทธุรกิจต่างๆ ได้เห็นความสำคัญและมีการลงทุนใช้อินเตอร์เน็ตเข้ามาช่วยในการเพิ่มความสามารถในการแข่งขันมากขึ้น เพื่อใช้เป็นสื่อกลาง เป็นช่องทางที่เข้าถึงลูกค้าได้โดยตรง วิธีการนั้นก็คือ ระบบการค้าอิเล็กทรอนิกส์หรืออีคอมเมิร์ซ(e-commerce) หรือ ระบบการซื้อขายสินค้าและบริการผ่านเครือข่ายอินเตอร์เน็ต ซึ่งทำให้เกิดการปฏิสัมพันธ์กับลูกค้าโดยตรง ไม่ต้องผ่านพ่อค้าคนกลาง เช่น การใช้อินเตอร์เน็ตในการซื้อตั๋วเครื่องบิน ตั๋วรถไฟออนไลน์ การสร้างโฮมเพจหรือเวบเพจของผู้ประกอบการธุรกิจต่างๆ เพื่อเปิดร้านค้าออนไลน์ให้ลูกค้าเข้ามาดูรายละเอียดของสินค้าและสามารถสั่งซื้อสินค้าได้โดยตรง เป็นต้น
การ ค้าอิเล็กทรอนิกส์ เริ่มครั้งแรกเมื่อปี พ.ศ.2513 โดยการใช้ระบบโอนเงินทางอิเล็กทรอนิกส์หรืออีเอฟที (EFT = Electronic Fund Transfer) ซึ่งในขณะนั้นมีเพียงบริษัทขนาดใหญ่และสถาบันการเงินเท่านั้นที่ใช้งานระบบการโอนเงินทางอิเล็กทรอนิกส์ ต่อมาอีกไม่นานก็เกิดระบบการส่งเอกสารทางอิเล็กทรอนิกส์ หรือ อีดีไอ (EDI = Electronic Data Interchange) ซึ่งสามารถช่วยขยายการส่งข้อมูลจากเดิมที่เป็นข้อมูลทางการเงินอย่างเดียว เป็นการส่งข้อมูลแบบอื่นเพิ่มขึ้น เช่น การส่งข้อมูลระหว่างสถาบันการเงินกับผู้ผลิต หรือผู้ค้าส่งกับผู้ค้าปลีก เป็นต้น
ระบบการค้าอิเล็กทรอนิกส์หรืออีคอมเมิร์ซ(e-commerce) ในด้านของธุรกิจได้ช่วยเพิ่มความสามารถในการแข่งขัน การเข้าถึงลูกค้าได้จำนวนมาก เพราะลูกค้าสามารถเข้าถึงอินเตอร์เน็ตได้ทุกหนทุกแห่ง ทำให้ผู้ประกอบการประหยัดต้นทุนและขายได้ 24 ชั่วโมง เพราะร้านค้าออนไลน์เปิดตลอด 24 ชั่วโมง ส่วนผู้บริโภคก็ใช้อินเทอร์เน็ตในการหาข้อมูลเพื่อเปรียบเทียบเรื่องราคา คุณภาพสินค้าและข้อมูลอื่นๆ เพื่อประกอบการตัดสินใจซื้อ และช่วยประหยัดเวลาในการเดินทางไปซื้อสินค้า จองตั๋ว หรือบริการอื่นๆ อีกด้วย
การประกอบธุรกิจบนอินเตอร์เน็ตถือว่าเป็นช่องทางการตลาดขนาดใหญ่ของโลกไร้พรมแดน เพราะสามารถเข้าถึงกลุ่มผู้บริโภคเป้าหมายได้โดยตรงอย่างรวดเร็ว ไร้ขีดจำกัดของเรื่องเวลาและสถานที่ พาณิชย์อิเล็กทรอนิกส์จึงเป็นอีกทางเลือกหนึ่งของการประกอบธุรกิจในปัจจุบัน และได้รับความนิยมเพิ่มขึ้นเป็นลำดับ อันเนื่องมาจากอัตราการเติบโตของการใช้อินเตอร์เน็ตและการเพิ่มขึ้นของเว็บไซต์ทางธุรกิจที่มีอย่างต่อเนื่อง ถึงกระนั้นพาณิชย์อิเล็กทรอนิกส์ก็ยังมีข้อจำกัดในด้านมาตรการการรักษาความปลอดภัยของข้อมูล การสร้างความน่าเชื่อถือแก่ลูกค้า หรือแม้แต่กฎหมายธุรกรรมอิเล็กทรอนิกส์และกฎหมายอาญาอันเนื่องมาจากอาชญากรรมพาณิชย์อิเล็กทรอนิกส์ เช่น
ความไม่ปลอดภัยของข้อมูล ขาดการตรวจสอบการใช้บัตรเครดิตบน Internet ข้อมูลบนบัตรเครดิตอาจถูกดักฟังหรืออ่าน เพื่อเอาชื่อและหมายเลขบัตรเครดิตไปใช้โดยที่เจ้าของบัตรเครดิตไม่รู้, ผู้ขายไม่มั่นใจว่าลูกค้ามีตัวตนอยู่จริง จะเป็นบุคคลเดียวกับที่แจ้งสั่งซื้อสินค้าหรือไม่ มีความสามารถในการที่จะจ่ายสินค้าและบริการหรือไม่ และไม่มั่นใจว่าการทำสัญญาซื้อขายผ่านระบบ Internet จะมีผลถูกต้องตามกฎหมายหรือไม่, ข้อมูลทางอิเล็กทรอนิกส์สามารถทำสำเนาหรือดัดแปลงหรือสร้างขึ้นใหม่ได้ง่ายกว่าเอกสารที่เป็นกระดาษ จึงต้องจัดการระบบการรักษาความปลอดภัยในการอ้างสิทธิให้ดีพอ และปัญหาที่เกิดกับงานด้านกฎหมายและลายเซ็น ประเทศไทยยังไม่มีกฎหมายเฉพาะที่จะกำกับดูแลการทำนิติกรรม การทำการซื้อขายผ่านทางการพาณิชย์อิเล็กทรอนิกส์ เป็นต้น
ระบบความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์
จากการสำรวจเกี่ยวกับพาณิชย์ อิเล็กทรอนิกส์ของสถาบันต่างๆ รวมทั้งการสำรวจโดยศูนย์พัฒนาพาณิชย์ อิเล็กทรอนิกส์ พบว่าผลที่ได้สอดคล้องกัน คือ ประเด็นสำคัญที่สุดที่เป็นอุปสรรคของการพัฒนาพาณิชย์อิเล็กทรอนิกส์ ได้แก่ ความปลอดภัยสำหรับการใช้และการทำพาณิชย์อิเล็กทรอนิกส์ เมื่อกล่าวถึงความปลอดภัยโดยทั่วไปแล้ว จะครอบคลุมถึง ความปลอดภัยทางกายภาพ (Physical Security) ได้แก่ ทรัพย์สิน หรือ อุปกรณ์ต่างๆ และ ความปลอดภัยของข้อมูล(Information Security) ซึ่งในที่นี้จะเน้นถึงความปลอดภัยของข้อมูลเป็นหลัก เนื่องจาก ข้อมูลเป็นสิ่งที่อาจจะถือได้ว่าเป็นหัวใจในการทำธุรกิจก็ว่าได้ และ ง่ายต่อการถูกคุกคาม เพราะพาณิชย์อิเล็กทรอนิกส์นั้นจะเป็นการรับ-ส่ง หรือ แลกเปลี่ยนข้อมูลกันบนเครือข่าย ข้อมูลที่กล่าวถึงจะอยู่ในทุกๆ ส่วนของธุรกรรมพาณิชย์อิเล็กทรอนิกส์ไม่ว่าจะ เป็น การค้นหาข้อมูล การโฆษณา การสั่งซื้อ การชำระเงิน และ การส่งสินค้า หรือบริการ ตัวอย่างของการคุกคามได้แก่
• การเข้าถึงระบบเครือข่ายจากผู้ที่ไม่มีสิทธิ์
• การเข้ามาทำลาย เปลี่ยนแปลง หรือ ขโมยข้อมูล
• การนำข้อมูลไปเปิดเผยแก่ผู้อื่นที่ไม่เกี่ยวข้อง
• การทำให้การทำงานของระบบหยุดชะงัก
• การปฏิเสธความรับผิดชอบในการทำธุรกรรม หรือ การอ้างว่าได้รับ หรือ ให้บริการ/ข้อมูล ของ ผู้ซื้อ หรือ ผู้ขาย
ซึ่งถ้าข้อมูลเหล่านั้นเกี่ยวข้องกับข้อมูลทางการเงิน เช่น หมายเลขบัตรเครดิต ข้อมูลลับของบริษัท (Corporate Secret) หรือ ข้อมูลที่เป็นทรัพย์สินทางปัญญา (Intellectual Property) จะก่อให้เกิดความเสียหายอย่างมาก ดังนั้นมาตรฐานในการรักษาความปลอดภัยของข้อมูลจึงเป็นสิ่งจำเป็นอย่างยิ่งต่อความเชื่อมั่นในการทำธุรกรรมพาณิชย์อิเล็กทรอนิกส์ทั้งจากผู้ประกอบการและผู้บริโภค
มาตรการการรักษาความปลอดภัยของข้อมูล
ระบบรักษาความปลอดภัยของข้อมูลของพาณิชย์อิเล็กทรอนิกส์จึงต้องมีมาตรการดังต่อไปนี้
1. การระบุตัวบุคคล และ อำนาจหน้าที่ (Authentication & Authorization) คือ การระบุตัวบุคคลที่ติดต่อว่าเป็น บุคคลตามที่ได้กล่าวอ้างไว้จริง และ มี อำนาจหน้าที่ตามที่ได้กล่าวอ้างไว้จริง (เปรียบได้กับการแสดงตัวด้วยบัตรประจำตัวซึ่งมีรูปติดอยู่ด้วย หรือ การใช้ระบบล็อคซึ่งผู้ที่จะเปิดได้จะต้องมีกุญแจอยู่เท่านั้น เป็นต้น)
2. การรักษาความลับของข้อมูล (Confidentiality) คือ การรักษาความลับของข้อมูลที่เก็บไว้ หรือ ส่งผ่านทางเครือข่าย โดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้ (เปรียบเทียบได้กับ การปิดผนึกซองจดหมาย การใช้ชองจดหมายที่ทึบแสง การเขียนหมึกที่มองไม่เห็น เป็นต้น)
3. การรักษาความถูกต้องของข้อมูล (Integrity) คือ การป้องกันไม่ให้ข้อมูลถูกแก้ไข โดยตรวจสอบไม่ได้ (เปรียบเทียบได้กับ การเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบขึ้น การใช้ไฮโลแกรมกำกับบนบัตรเครดิต เป็นต้น)
4. การป้องกันการปฏิเสธ หรือ อ้างความรับผิดชอบ (Non-Repudiation) คือ การป้องกันการปฏิเสธว่าไม่ได้มีการส่ง หรือ รับข้อมูล จากฝ่ายต่างๆ ที่เกี่ยวข้อง หรือ การป้องกันการอ้างที่เป็นเท็จว่าได้รับ หรือ ส่งข้อมูล (เปรียบเทียบได้กับ การส่งจดหมายลงทะเบียน เป็นต้น)
เทคโนโลยีการรักษาความปลอดภัยของข้อมูล ได้แก่
1. การรหัส (Cryptography) การรหัส (Cryptography) คือ การทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออก ได้ ด้วยการเข้ารหัส (Encryption) ทำให้ข้อมูลนั้นเป็นความลับ ซึ่งผู้ที่มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption) นั่นคือ สามารถรักษาข้อมูลให้เป็นความลับ (Confidentiality) และ กำหนดผู้มีสิทธิ์ (Authentication & Authorization) สำหรับการเข้ารหัส และ ถอดรหัสนั้นจะอาศัยสมการทางคณิตศาสตร์ที่ซับซ้อน และ ต้องอาศัยกุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กำหนดไว้ (สำหรับตัวกุญแจนั้น จะมีความยาวเป็น บิต(bit) และ ยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมาก เนื่องจากจะต้องใช้เวลามากขึ้นในการคาดเดากุญแจของผู้คุกคาม) ในการเข้า และถอดรหัส สามารถแบ่งออกเป็น 2 ประเภท คือ การรหัสแบบกุญแจสมมาตร (Symmetric Key Cryptography หรือ Secret Key Cryptography) หมายถึง การเข้า และ ถอดรหัส โดยใช้กุญแจลับที่เหมือนกัน ดังรูปที่ 1 และ การรหัสแบบอสมมาตร (Asymmetric Key Cryptography หรือ Public Key Cryptography) หมายถึง การเข้า และ ถอดรหัส ด้วยกุญแจต่างกัน ดังรูปที่ 2
รูปที่ 1 ระบบการเข้า และ ถอดรหัส แบบกุญแจสมมาตร
รูปที่ 2 ระบบการเข้า และ ถอดรหัส แบบกุญแจอสมมาตรสำหรับการรหัสทั้ง 2 ประเภทนี้มีข้อดีข้อเสียแตกต่างกันดังนี้
แบบกุญแจสมมาตร
ข้อดี คือ มีความรวดเร็ว เพราะใช้การคำนวณที่น้อยกว่า และสามารถสร้างได้ง่ายโดยใช้ฮาร์ดแวร์
ข้อเสีย คือ การบริหารจัดการกุญแจทำได้ยากเพราะ กุญแจในการเข้ารหัส และ ถอดรหัส เหมือนกัน
แบบกุญแจอสมมาตร
ข้อดี คือ การบริหารจัดการกุญแจทำได้ง่ายกว่า เพราะใช้กุญแจในการเข้ารหัส และ ถอดรหัสต่างกันสามารถระบุผู้ใช้โดยการใช้ร่วมกับลายมือชื่ออิเล็กทรอนิกส์
ข้อเสีย คือ ใช้เวลาในการเข้า และ ถอดรหัสค่อนข้างนาน เพราะต้องใช้การคำนวณอย่างมาก
2. ลายมือชื่อดิจิทัล (Digital Signature)
ลายมือชื่อดิจิทัล (Digital Signature) คือ ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของผู้ส่ง ซึ่งเปรียบเสมือนเป็นลายมือชื่อของผู้ส่ง คุณสมบัติของลายมือชื่อดิจิทัล นอกจากจะสามารถ ระบุตัวบุคคล และ เป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรือ หากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได้ กระบวนการสร้างและลงลายมือชื่อดิจิทัลนั้น จะช่วยทำให้ลายมือชื่อดิจิทัลมีความแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อ ไม่เหมือนกับลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆ ไม่ขึ้นอยู่กับเอกสาร และกระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่การเข้ารหัสจะใช้กุญแจส่วนตัวของผู้ส่ง และ การถอดรหัสจะใช้กุญแจสาธารณะของผู้ส่ง ซึ่งสลับกันกับการเข้าและถอดรหัสแบบกุญแจอสมมาตร ในการรักษาข้อมูลให้เป็นความลับ
ด้วยการรหัส และ ลายมือชื่อดิจิทัล ในการทำธุรกรรม เราสามารถรักษาความลับของข้อมูล สามารถรักษาความถูกต้องของข้อมูล และสามารถระบุตัวบุคคลได้ระดับหนึ่ง เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้น ด้วย ใบรับรองดิจิทัล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่า องค์กรรับรองความถูกต้อง(Certification Authority) จะถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆ จริงตามที่ได้อ้างไว้
ประเภทของใบรับรองดิจิทัลยังแบ่งออกเป็น 3 ประเภท คือ ใบรับรองเครื่องแม่ข่าย ใบรับรองตัวบุคคล
และใบรับรองสำหรับองค์รับรองความถูกต้อง
องค์กรรับรองความถูกต้อง (Certification Authority หรือ CA) บทบาทหน้าที่หลักขององค์กรรับรองความถูกต้อง ได้แก่ การให้บริการเทคโนโลยีการรหัส ได้แก่ การสร้างกุญแจสาธารณะ และ กุญแจลับสำหรับผู้จดทะเบียน การส่งมอบกุญแจลับ การสร้าง และการรับรองลายมือชื่อดิจิทัล เป็นต้น การให้บริการเกี่ยวกับการออกใบรับรอง ได้แก่ การออก การเก็บรักษา การยกเลิก การตีพิมพ์เผยแพร่ ใบรับรองดิจิทัล รวมทั้งการกำหนดนโยบายการออกและอนุมัติใบรับรอง เป็นต้น บริการเสริมอื่นๆ ได้แก่ การตรวจสอบสัญญาต่างๆ การทำทะเบียน การกู้กุญแจ เป็นต้น
สำหรับในประเทศไทยนั้นยังไม่มีองค์กรรับรองความถูกต้อง แต่เริ่มมีการเคลื่อนไหวที่เกี่ยวเนื่องบ้างแล้ว ทั้งในภาครัฐ และ เอกชน เช่น NECTEC (www.nectec.or.th), Thai Digital ID (www.thaidigitalid.com), และ ACERTS (www.acerts.com)เทคโนโลยีการรักษาความปลอดภัยของข้อมูลในการทำธุรกรรม อิเล็กทรอนิกส์นั้น ในปัจจุบันนี้โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure) เป็นที่ยอมรับอย่างกว้างขวางซึ่งสามารถตอบสนองมาตรการพื้นฐานของการรักษา ความปลอดภัยของ
4. ซอฟต์แวร์ป้องกันไวรัส (Anti-Virus Software)
ซอฟต์แวร์ป้องกันไวรัสเป็นสิ่งที่จะ ขาดไม่ได้เลยสำหรับระบบป้องกันเว็บไซต์และคอมพิวเตอร์ทุกระบบ หน้าที่ของซอฟต์แวร์ประเภทนี้คือการทำลายไวรัส ซึ่งทำได้เฉพาะไวรัสที่ตรวจพบในเครื่องคอมพิวเตอร์เท่านั้น อีกนัยหนึ่งก็คือซอฟต์แวร์ประเภทนี้ไม่สามารถป้องกันไวรัสไม่ให้เข้าสู่ เครื่องคอมพิวเตอร์ได้ ดังนั้นไม่ว่าจะซื้อซอฟต์แวร์ป้องกันไวรัสจากบริษัทใดก็ตาม ประสิทธิภาพสูงสุดจะมีอยู่เพียงชั่วระยะเวลาหนึ่งเท่านั้น เมื่อมีไวรัสตัวใหม่เกิดขึ้น ซอฟต์แวร์เดิมที่มีอยู่ก็ไม่สามารถตรวจพบและทำลายได้ ดังนั้นการปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอจึงเป็นสิ่งสำคัญที่สุด ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียงและเป็นที่นิยมในอันดับต้นๆ ของโลก ได้แก่ Norton Antivirus ของ Symantec (http://www.symantec.com) และ McAfee ของ Network Associates, Inc. (http://www.macafee.com)
5. Firewall
Firewall เปนคอมโพเน็นตหรือกลุ่มของคอมโพเน็นตที่ทําหนาที่ในการควบคุมการเขาถึงระหว่างเน็ตเวิรกภายนอกหรือเน็ตเวิรกที่เราคิดวาไมปลอดภัย กับเน็ตเวิรกภายในหรือเน็ตเวิรกที่เราตองการจะปองกัน โดยองคประกอบของเทคโนโลยีที่ใชนั้นอาจจะเปน เราเตอร คอมพิวเตอร หรือเน็ตเวิรก ประกอบกันก็ได ขึ้นอยูกับวิธีการหรือโครงสราง Firewall Architecture ที่เราตองการใช
ดังนั้น Firewall ก็คือ ฮาร์ดแวร์และซอฟต์แวร์ที่องค์กรต่างๆ มีไว้เพื่อป้องกันเครือข่ายคอมพิวเตอร์ภายในองค์กรจากอันตรายที่มาจากเครือข่ายคอมพิวเตอร์ภายนอก เช่น ผู้บุกรุก หรือ Hacker
การทำงานของ Firewall จะอนุญาตให้เฉพาะข้อมูลที่มีคุณลักษณะตรงกับเงื่อนไขที่กำหนดไว้ผ่านเข้าออกระบบเครือข่ายภายในเท่านั้น อย่างไรก็ดี Firewall นั้นไม่สามารถป้องกันอันตรายที่มาจากอินเทอร์เน็ตได้ทุกรูปแบบ ไวรัสก็เป็นหนึ่งในนั้น ดังนั้นจึงไม่สามารถรับรองได้ว่าความปลอดภัยหรือความลับของข้อมูลจะมีอยู่ ร้อยเปอร์เซ็นต์ถึงแม้ว่าจะมีการใช้ Firewall แล้วก็ตาม
เศรษฐกิจยุคปัจจุบัน พาณิชย์อิเล็กทรอนิกส์หรืออีคอมเมิร์ซ(e-commerce) ได้สร้างตลาดและการค้าใหม่ ช่วยทำให้เกิดการปฏิสัมพันธ์กับลูกค้าโดยตรง ไม่ต้องผ่านพ่อค้าคนกลาง และช่วยเพิ่มความสามารถในการแข่งขัน การเข้าถึงลูกค้าได้จำนวนมาก ลดข้อจำกัดในเรื่องของสถานที่และเวลา ลูกค้าสามารถเข้าถึงอินเตอร์เน็ตได้ทุกหนทุกแห่ง ทำให้ผู้ประกอบการประหยัดต้นทุนและขายได้ 24 ชั่วโมง ส่วนผู้บริโภคก็ใช้อินเทอร์เน็ตในการหาข้อมูลเพื่อเปรียบเทียบเรื่องราคา คุณภาพสินค้าและข้อมูลอื่นๆ เพื่อประกอบการตัดสินใจซื้อ และช่วยประหยัดเวลาในการเดินทางไปซื้อสินค้า จองตั๋ว หรือบริการอื่นๆ อีกด้วย
แต่พาณิชย์อิเล็กทรอนิกส์ ยังมีข้อจำกัดในเรื่องความปลอดภัยของข้อมูล ไม่ว่าข้อมูลที่ถูกเก็บไว้ หรือ ที่ถูกส่งผ่านทางเครือข่าย ล้วนแต่เป็นข้อมูลอิเล็กทรอนิกส์ทั้งสิ้น ซึ่งธรรมชาติของข้อมูลอิเล็กทรอนิกส์นั้นง่ายต่อการเปลี่ยนแปลง หรือ ทำลายโดยไร้ร่องรอย และง่ายต่อการโอนย้ายจากที่หนึ่งไปยังอีกที่หนึ่งอย่างรวดเร็ว
และยังมีภัยคุกคามทางอินเทอร์เน็ตที่สามารถเกิดขึ้นได้ตลอดเวลาหากผู้ใช้ไม่รู้จักระมัดระวังและรู้เท่าไม่ถึงการณ์ ไม่ว่าจะเป็นการหลอกลวง การลักลอบเข้าระบบคอมพิวเตอร์ของบรรดา Hacker กับ Cracke และ ไวรัสชนิดต่างๆ ที่แฝงมากับการส่งอีเมล์โดยแนบเอกสารหรือไปที่มีไวรัสติดมาด้วย การทำสำเนาไฟล์ที่ติดไวรัสและการแลกเปลี่ยนไฟล์โดยใช้แผ่นดิสก์เก็ต ซีดี หรือทรัมไดร์ เป็นต้น
ดังนั้น จึงจำเป็นที่จะต้องอาศัยเทคโนโลยีต่างๆ เพื่อรักษาความปลอดภัยในการประกอบธุรกรรมพาณิชย์อิเล็กทรอนิกส์ ให้ได้ตามมาตรการ 4 ประการได้แก่ การระบุตัวบุคคลและอำนาจหน้าที่(Authentication & Authorization), การรักษาความลับของข้อมูล(Confidentiality), การรักษาความถูกต้องของข้อมูล (Integrity), การป้องกันการปฏิเสธ หรือ อ้างความรับผิดชอบ (Non-Repudiation) และ เนื่องจากระบบพาณิชย์อิเล็กทรอนิกส์นั้นข้อมูลอิเล็กทรอนิกส์จะถูกเก็บ และ ส่งผ่านในระบบเครือข่าย ประเภทของการรักษาความปลอดภัยของข้อมูลจึงแบ่งออกเป็น 2 ประเภทใหญ่ คือ การรักษาความปลอดภัยของการทำธุรกรรม (Transaction Security) และ การรักษาความปลอดภัยของเครือข่าย (Network Security)
เทคโนโลยีที่ใช้รักษาความปลอดภัยในการทำธุรกรรมได้แก่ การเข้ารหัส ซึ่งมีทั้งแบบสมมาตรและอสมมาตร, ลายมือชื่อดิจิดอล, ใบรับรองดิจิดอล, โปรแกรมป้องกันไวรัสต่างๆ และไฟร์วอลล์ เป็นต้น เทคโนโลยีรักษาความปลอดภัยของข้อมูลได้ช่วยลดการถูกแทรกแซงจากบุคคลภายนอก และช่วยสร้างความเชื่อมั่นเรื่องการรักษาความลับและการรั่วไหลของข้อมูลแก่ผู้ประกอบการและผู้บริโภค
เนื่องจากพาณิชย์อิเล็กทรอนิกส์เป็นรูปแบบการดำเนินธุรกิจแบบใหม่ ปัญหาจึงไม่ได้มีเพียงแค่เรื่องการรักษาความปลอดภัยของข้อมูล แต่ยังมีปัญหาอื่นๆ อีก ได้แก่ ปัญหาการคุ้มครองทรัพย์สินทางปัญญา (Intellectual Property) ที่จะทำอย่างไรจึงจะป้องกันการละเมิดสิทธิในทรัพย์สินทางปัญญาได้อย่างมีประสิทธิภาพ, ปัญหาทางด้านโครงสร้างพื้นฐานทางกฎหมาย ซึ่งในปัจจุบันประเทศไทยยังไม่มีกฎหมายที่เอื้ออำนวยต่อการประกอบพาณิชย์อิเล็กทรอนิกส์อย่างชัดเจน
ดังนั้นการสร้างความเชื่อมั่นในระบบธุรกิจพาณิชย์อิเล็กทรอนิกส์จึงเป็นสิ่งจำเป็นที่ขาดไม่ได้ หน่วยงานของรัฐบาลที่เกี่ยวข้องกับนโยบายและมาตรการรักษาความปลอดภัยต่างๆ จึงเป็นส่วนสำคัญที่ช่วยส่งเสริมธุรกิจการค้าและพาณิชย์อิเล็กทรอนิกส์ในประเทศไทยให้ขยายตัวและพัฒนาต่อไปในอนาคต ได้แก่
1.สำนักงานตำรวจแห่งชาติ จัดเตรียมบุคลากรที่สามารถจับผู้กระทำความผิด ตรวจตราดูแลความสงบสุขในการใช้เทคโนโลยีสารสนเทศ
2.NECTEC จัดตั้ง Computer Emergency Response Team (CERT) เพื่อเป็นหน่วยงานที่คอยประสานงานในเรื่องการละเมิดความปลอดภัยบนเครือข่าย
เอกสารอ้างอิง
[1] E-commerce คืออะไร? ; www.pawoot.com
[2] พาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce) ; 202.28.94.55/web/322161/2551/001/g18/E.../E-commerce.doc
[3] พาณิชย์อิเล็กทรอนิกส์คืออะไร ; http://www.Ecommerce.or.th
[4] E-Commerce คืออะไร ; www2.jr.ac.th/puibuble/power/IS308Ecommerce.doc
[5]ระบบความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์ ; http://www.ecommerce.or.th/faqs/faq3-1.html#1
[6] เอกสารประกอบการเรียนการสอนทางอินเทอร์เน็ต วิชา ITM 633 ; พ.อ.รศ.ดร. เศรษฐพงค มะลิสุวรรณ
[7] มาตรฐานด้านการรักษาความปลอดภัยระบบสารสนเทศ ; http://www.acc.msu.ac.th/wb/viewtopic.php? 16&sid=289f15084b8010ed1164261b864f658f
http://www.etcommission.go.th/security_sec.php
http://www.thaiadmin.org/board/index.php?action=dlattach;topic=53885.0;attach=32552
http://www.g-able.com/portal/page/portal/g-able/thai/it_talks/ITIL
ไม่มีความคิดเห็น:
แสดงความคิดเห็น