ACIS Article

กรณีศึกษา : โจรกรรมสุดไฮเทค แฮกเกอร์เจาะระบบฐานข้อมูลบริษัทมือถือรายใหญ่ กับ ตัวบทกฎหมาย และ บทวิเคราะห์ร่าง พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ตอนที่ 1 (New Thailand Cyber Crime Law and Thai Cyber Crime Case Study : Part I)
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

        ช่วงนี้ประเทศไทยของเรามีเหตุการณ์สำคัญๆเกี่ยวกับเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์เกิดขึ้นหลายเรื่อง มีทั้งข่าวดีและข่าวร้าย สำหรับข่าวดีก็คือ ทางสภานิติบัญญิติแห่งชาติ หรือ สนช. ได้พิจารณาการประชุมผ่านร่าง พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์แล้ว ในวันที่ 9 พฤษภาคม พ.ศ. 2550 ซึ่ง มีผลบังคับใช้ภายหลังประกาศใช้ในราชกิจจานุเบกษา ๓๐ วัน (ม.๒) แต่สำหรับข่าวร้ายก็คือ วันที่ 15 พฤษภาคม พ.ศ. 2550 ทางกองปราบได้แถลงการจับกุม นายทวีทรัพย์ หรือ ภูมิพัฒน์ หรือโอ๋ ลลิตศศิวิมล ในฐานะแฮกเกอร์เจาะระบบข้อมูลของบริษัท แอดวานซ์อินโฟร์เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส หนึ่งในบริษัทผู้ให้บริการเครือข่าย โทรศัพท์เคลื่อนที่ยักษ์ใหญ่ของประเทศไทย โดยการขโมยรหัสผ่าน แก้ไขวงเงินบัตรเติมเงิน ทำให้บริษัทเสียหายนับร้อยล้านบาท ซึ่งพบประวัติว่าเคยเจาะฐานข้อมูลของบริษัท "ทรู" มาแล้ว เช่นเดียวกัน

        สำหรับหลายคนถือเป็นข่าวดีที่จับแฮกเกอร์ได้ แต่ข่าวร้ายคือกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์นั้นยังไม่มีผลบังคับใช้ แม้ว่าจะผ่านการพิจารณาของ สนช.แล้วก็ตาม ทางตำรวจคงต้องใช้กฎหมายเก่าในการจับกุมและสั่งฟ้องแฮกเกอร์รายนี้ไปก่อน ในขณะที่เจ้าต้วยังให้การปฎิเสธทุกข้อกล่าวหา เรื่องการเจาะระบบฐานข้อมูลบริษัทใหญ่ๆนั้น ไม่ใช่เรื่องใหม่ หากแต่เป็นเรื่องที่เกิดขึ้นมาสองสามปีแล้ว ปัญหาใหญ่ในบ้านเราก็คือ ความตระหนักในเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ของผู้บริหาร ตลอดจนผู้ใช้งานคอมพิวเตอร์ตามสำนักงานและตามบ้านทั่วไป ยังอยู่ในระดับที่ต่ำมาก ทั้งนี้การโจมตีสมัยใหม่ของแฮกเกอร์นั้นหันมาโจมตีในลักษณะ "Targeted Attack" ที่มีเป้าหมายชัดเจน มุ่งประโยชน์ทางด้านการเงินเป็นหลัก ตลอดจนเป้าหมายของแฮกเกอร์ (เหยื่อ) ก็จะมุ่งไปที่ผู้ใช้คอมพิวเตอร์และผู้บริหารที่ไม่ค่อยมีความรู้ด้านความปลอดภัยข้อมูลเพียงพอ ด้วยวิธีการต่างๆ เช่น การใช้เทคนิค Social Engineering ในการหลอกล่อผู้ใช้คอมพิวเตอร์ด้วยการส่ง email แบบแปลกๆ โดยให้เป้าหมายลอง "Click" หรือ "Open" ไฟส์แนบ (attached file) ที่เป็นไฟล์โปรแกรมของแฮกเกอร์ในลักษณะของม้าโทรจัน (Trojan Horse) หรือ SpyWare การหาข้อมูล email address ของเป้าหมายในการส่งโปรแกรมมุ่งร้าย "MalWare" นั้นก็ง่ายมาก แค่เพียงเข้า Google แล้วพิมพ์ "@" ตามด้วยชื่อโดเมนเนม ก็สามารถหา email ได้โดยง่าย เช่น "@abc.com" เป็นต้น จากนั้นแฮกเกอร์ก็จะส่งโปรแกรม MalWare หลอกเข้ามาให้ผู้ใช้เปิด email ดู ซึ่งส่วนใหญ่ไฟล์แนบจะมีนามสกุลที่ไม่น่าไว้วางใจ เช่น *.EXE, *.COM,*.SCR,*.PIF,*.HTA,*.VBS หรือแม้กระทั่ง *.ZIP บางไฟล์เป็น MalWare ก็มี ดังนั้นองค์กรควรเตือนผู้ใช้งานคอมพิวเตอร์ไม่ให้หลงกลเปิดไฟส์แนบใน email ดังกล่าว

        นอกจากนี้แฮกเกอร์ยังชอบใช้วิธีที่เรียกว่า "Phishing" หรือ "Pharming" ในการหลอกให้ผู้ใช้คอมพิวเตอร์หรือผู้ทำธุรกรรมออนไลน์ เช่นผู้ใช้อินเทอร์เน็ตแบงค์กิ้งหลงเชื่อว่าเป็น email มาจากธนาคาร โดยหลอกให้ผู้ใช้เข้าไป "Login" ในหน้าเว็บไซต์ที่แฮกเกอร์ได้ทำหลอกขึ้นมา หลังจากผู้ใช้หลงกล แฮกเกอร์ก็จะได้ข้อมูล ชื่อผู้ใช้ และรหัสผ่านของผู้ใช้ อย่างง่ายดาย วิธีการนี้เรียกว่า "Identity Theft" หรือ การขโมยความเป็นตัวตนของเราไปใช้ในทางที่ไม่ถูกต้อง เช่นแอบดูข้อมูลส่วนตัว หรือ เข้ามาโอนเงินจากบัญชีของเราไปชำระค่าสาธารณูปโภค หรือ ใช้จ่ายในการซื้อบัตรเติมเงิน เป็นต้น ขณะนี้ธนาคารในประเทศไทยโดนโจมตีแบบนี้ไปแล้วสองแห่ง แต่ได้รับการแก้ไขแล้วครับ

        ดังนั้น เราต้องคอยหมั่นตรวจสอบ Bank Statement หรือ Credit Card Statement ของเราอยู่เสมอ และ ไม่หลงเชื่อการหลอกลวงในลักษณะนี้ง่ายๆ ดังนั้น การฝึกอบรม "Information Security Awareness Training" จึงเป็นเรื่องที่จำเป็นอย่างยิ่งยวดขององค์กร เพื่อให้ผู้ไช้คอมพิวเตอร์เกิดความตระหนักถึงภัยมืดที่กำลังเข้ามากระทบกับตนเอง ครอบครัว ตลอดจนองค์กรที่ตนทำงานอยู่ จนไปถึงผลกระทบในระดับความมั่นคงของชาติซึ่งมีความเป็นไปได้สูง หากเรายังไม่ให้ความสำคัญกับเรื่องนี้อย่างจริงจัง

        การป้องกันภัยจากอินเตอร์เน็ตทั้งภัยจากแฮกเกอร์และภัยจากไวรัสหรือ MalWare ต่างๆนั้น ในต่างประเทศ เช่น ประเทศมาเลเซีย, สิงคโปร์, ฮ่องกง, ญี่ปุ่น และเกาหลีไต้ จากการที่ผมได้มีโอกาสเข้าร่วมประชุมในฐานะสมาชิกของ (ISC)2 Asian Advisor Board (www.isc2.org) ครั้งล่าสุดที่ประเทศมาเลเซีย พบว่าทุกประเทศมีหน่วยงานที่ทำหน้าที่ด้านความปลอดภัยข้อมูลโดยตรง เช่น ในประเทศมาเลเซียมีหน่วยงาน CyberSecurity Malaysia (ชื่อเดิม NISER) ซึ่งมี MyCERT อยู่ภายใต้ CyberSecurity Malaysia อีกทีหนึ่ง เป็นหน่วยงานของรัฐบาลกลางภายใต้การควบคุมของกระทรวงวิทยาศาสตร์และเทคโนโลยีของมาเลเซีย ทำหน้าที่ในการประเมินความเสี่ยงให้หน่วยงานภาครัฐ โดยการจัดทำ Vulnerability Assessment ให้กับหน่วยงานภาครัฐโดยไม่คิดค่าใช้จ่าย ซึ่งในประเทศสิงคโปร์ก็มี SingCERT ภายใต้ IDA (Infocomm Development Authority) ซึ่งเป็นหน่วยงานของรัฐบาล ช่วยในการประเมินความเสี่ยง โดยการเจาะระบบของหน่วยงานรัฐด้วยกัน (Penetration Testing) โดยไม่มีค่าใช้จ่ายแต่อย่างใด และ หน่วยงานของรัฐทั้ง 2 ประเทศ ทั้ง SingCERT และ MyCERT นั้น ได้บริการเฉพาะภาครัฐโดยไม่มีค่าใช้จ่าย แต่ทั้งสองหน่วยงานจะไม่ให้บริการแก่บริษัทเอกชนทั่วไป เพราะไม่อยากให้เกิดปัญหา "Conflict of Interest" โดยไม่ไปเสนอราคาให้บริการดังกล่าวแข่งกับเอกชน โดยการประเมินความเสี่ยงของบริษัทเอกชนนั้นถือเป็นการให้บริการของบริษัทที่ปรึกษาเอกชนที่มีศักยภาพในการประเมินความเสี่ยงที่ได้มาตรฐาน จึงทำให้ไม่เกิดปัญหาระหว่างรัฐและเอกชน สำหรับประเทศไทยของเรานั้นมีเหตุการณ์การโจมตีระบบเกิดขึ้นหลายกรณีทั้งภาครัฐและเอกชนในช่วงสองสามปีที่ผ่านมา และมีแนวโน้มที่จะรุนแรงมากยิ่งขึ้น

        ดังนั้นการจัดตั้งหน่วยงานของรัฐด้านความปลอดภัยกับข้อมูลโดยตรงในประเทศไทย เพื่อให้บริการแก่ภาครัฐด้านการประเมินความเสี่ยงในเบื้องต้นเป็นเรื่องสำคัญอย่างยิ่ง ในประเทศของเราซึ่งในขณะนี้ยังไม่มีหน่วยงานดังกล่าว ในส่วนของภาคเอกชน บริษัทเอกชนควรที่จะพัฒนาศักยภาพในการให้บริการด้านการประเมินความเสี่ยงระบบสารสนเทศ และ ด้านการตรวจสอบระบบสารสนเทศในมุมมองของ External Auditor ซึ่งมีความจำเป็นตัองพัฒนาคุณภาพในการบริการให้ใกล้เคียงกับบริษัทข้ามชาติ ขณะที่ราคาควรต่ำกว่า เพราะงบประมาณด้านความปลอดภัยกับขัอมูลขององค์กรในประเทศไทยนั้นถือว่าต่ำมาก เมื่อเทียบกับประเทศอื่นๆ ตลอดจน การให้ความสำคัญกับองค์ประกอบทั้ง 3 องค์ประกอบที่สำคัญคือ People, Process และ Technology หรือ PPT Concept ปัญหาใหญ่ในบ้านเราก็คือ การให้ความสำคัญกับ T หรือ Technology ในการจัดซื้อจัดสร้างอุปกรณ์ฮาร์ดแวร์และซอฟแวร์ต่างๆมากเกินไป โดยลืมนึกถึง 2 P ที่เหลือ โดย P แรกก็คือ People หรือบุคลากร ซึ่งเป็นส่วนประกอบที่สำคัญที่สุด บุคลากรหรือพนักงานที่ใช้คอมพิวเตอร์ทุกคนควรมีความเข้าใจพื้นฐานด้านความปลอดภัยข้อมูลในระดับหนึ่ง โดยผ่านการอบรม Information Security Awareness Training Course ในทุกๆปี โดยการอบรมไม่จำเป็นจะต้องอบรมเฉพาะพนักงานใหม่เท่านั้น แต่ควรอบรมให้ความรู้แก่ทุกคนที่มีคอมพิวเตอร์ใช้ เพื่อจะได้ไม่ตกเป็นเหยื่อภัยดังกล่าว สำหรับอีก P ที่สำคัญก็คือ "Process" หรือ "Policy" กล่าวคือกระบวนการปฎิบัติ และนโยบายที่ดี (Policy and Procedure) ก็มีส่วนสำคัญในการรักษาความปลอดภัยข้อมูลเช่นกัน โดยองค์กรอาจนำ "Best Practices" มาประยุกต์ใช้ เช่น มาตรฐาน CobiT 4.1, ISO/IEC 27001 และ มาตรฐาน ISO/ IEC 20000 (มาจากมาตรฐาน ITIL) มาประยุกต์ใช้ในองค์กร เพื่อให้ได้ตามมาตรฐานสากล ตลอดในการคำนึงถึงเรื่องของการปฎิบัติตามกฏข้อบังคับและกฏหมายต่างๆที่เราเรียกว่า "Regulatory Compliance"

        ในกรณีของประเทศไทย เราควรศึกษา พ.ร.บ. ธุรกรรมอิเลคโทรนิคส์ และพ.ร.บ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่กำลังจะประกาศใช้ในเร็ววันนี้ เพื่อเตรียมคนและองค์กรให้พร้อมรับกับข้อกำหนดกฏหมาย เช่น ในมาตรา 26 กล่าวว่า "ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า เก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่ง ให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้" องค์กรจึงควรเตรียมการให้พร้อม เช่น การจัดเตรียม Centralized Log Server ไว้เก็บข้อมูลจราจร เป็นต้น

สำหรับ พ.ร.บ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ล่าสุดที่ได้รับการพิจารณาผ่านจากทาง สนช. นั้นมีประเด็นสำคัญที่ต้องวิเคราะห์และทำความเข้าใจในหลายประเด็น เริ่มจากตัวบทกฎหมายซึ่งมีรายละเอียดดังนี้

ร่าง
พระราชบัญญัติ
ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
พ.ศ. …

มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกัน การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกิน สี่หมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ

มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ

มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่น โดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท

มาตรา ๑๒ ถ้าการกระทำความผิดตามมาตรา ๙ หรือมาตรา ๑๐

        (๑) ก่อให้เกิดความเสียหายแก่ประชาชน ไม่ว่าความเสียหายนั้นจะเกิดขึ้นในทันทีหรือในภายหลังและไม่ว่าจะเกิดขึ้นพร้อมกันหรือไม่ ต้องระวางโทษจำคุกไม่เกินสิบปี และปรับไม่เกินสองแสนบาท
        (๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ต้องระวางโทษจำคุกตั้งแต่สามปีถึงสิบห้าปี และปรับตั้งแต่หกหมื่นบาทถึงสามแสนบาท
        ถ้าการกระทำความผิดตาม (๒) เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษจำคุกตั้งแต่สิบปีถึงยี่สิบปี

มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๑๔ ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ

        (๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
        (๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
        (๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
        (๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามก และข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
        (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑) (๒) (๓) หรือ (๔)

มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา ๑๔

มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
        ถ้าการกระทำตามวรรคหนึ่ง เป็นการนำเข้าข้อมูลคอมพิวเตอร์โดยสุจริต ผู้กระทำไม่มีความผิด
        ความผิดตามวรรคหนึ่งเป็นความผิดอันยอมความได้
        ถ้าผู้เสียหายในความผิดตามวรรคหนึ่งตายเสียก่อนร้องทุกข์ ให้บิดา มารดา คู่สมรส หรือบุตรของผู้เสียหายร้องทุกข์ได้ และให้ถือว่าเป็นผู้เสียหาย

มาตรา ๑๗ ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ
        (๑) ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ
        (๒) ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษ จะต้องรับโทษภายในราชอาณาจักร

จากการวิเคราะห์พบว่า

มาตรา 5 ถึง มาตรา 10 เป็นการนำหลักการ CIA (Confidentially, Integrity และ Availability) มาประยุกต์ใช้กับการโจมตีของผู้ไม่หวังดีในแบบต่างๆ เช่น การเจาะระบบเข้าไปแอบขโมยสำเนาข้อมูล, การแอบดูชื่อและรหัสผ่านโดยใช้โปรแกรมประเภท Sniffer หรือการโจมตีเปลี่ยนหน้าเว็บไซต์ (Web Defacement, see www.zone-h.org ) ตลอดจนการโจมตีให้เว็บไซต์ล่ม (Denial of Services) ล้วนแต่เข้าข้อกฏหมายในมาตรา 5 ถึง มาตรา 10 ทั้งสิ้น ซึ่งมีโทษทั้งจำทั้งปรับ

มาตรา 11 นั้น เกี่ยวข้องโดยตรงกับผู้ที่ชอบส่ง "SPAM Mail" ซึ่งมีโทษปรับไม่เกินหนึ่งแสนบาท

มาตรา 12 เป็นการกระทำผิดที่มีโทษในกรณีที่มีผลกระทบต่อความมั่นคงทางเศรฐกิจของประเทศหรือบริการสาธารณะ โทษสูงสุดถึงจำคุก 15 ปี และปรับถึง 3 แสนบาท แต่ถ้าหากทำให้ผู้อื่นถึงแก่ความตาย โทษจะสูงสุดถึงจำคุก 20 ปีเลยทีเดียว

มาตรา 14 ถึง 16 นั้น ผู้ใช้คอมพิวเตอร์ ตลอดจนผู้ให้บริการตามข้อกำหนดของกฏหมาย ต้องระมัดระวังไม่ให้ข้อมูลอัน "ไม่เหมาะสม" ปรากฎอยู่บนอินเทอร์เน็ตในลักษณะการปรากฎของตัวข้อมูลเอง เช่น รูปภาพ หรือ ข้อความ ที่ถูก Upload ขึ้นไป รวมถึง Link ที่พาไปยังข้อมูลดังกล่าวด้วย เพราะฉะนั้นท่านที่ชอบ Forward Mail โดยไม่ระวังอาจเข้าข้อกฏหมายในมาตราที่ 14 ข้อ 5 ซึ่งมีโทษจำคุกไม่เกิน 5 ปี หรือ ปรับไม่เกิน 1 แสนบาท หรือ ทั้งจำทั้งปรับ

สำหรับ ตัวบทกฎหมาย และ บทวิเคราะห์ในมาตรา 18 ถึง มาตรา 30 ไว้ว่ากันต่อในตอนหน้านะครับ

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนพฤษภาคม 2550
Update Information : 11 มิถุนายน 2550