Проблеми на етиката и сигурността в информационната система
Атлас Феникс
Информационните системи направиха много бизнеси успешни днес. Някои компании като Google, Facebook, EBay и др. не биха съществували без информационните технологии. Неправилното използване на информационните технологии обаче може да създаде проблеми за организацията и служителите.
Престъпниците, които получават достъп до информация за кредитни карти, могат да доведат до финансови загуби за собствениците на картите или финансовата институция. Използването на организационни информационни системи, т.е. публикуването на неподходящо съдържание във Facebook или Twitter чрез фирмен акаунт може да доведе до съдебни дела и загуба на бизнес.
Този урок ще разгледа такива предизвикателства, които са поставени от информационните системи и какво може да се направи, за да се минимизират или премахнат рисковете.
Киберпрестъпност
Киберпрестъпността се отнася до използването на информационни технологии за извършване на престъпления. Киберпрестъпленията могат да варират от просто досадни компютърни потребители до огромни финансови загуби и дори загуба на човешки живот. Ръстът на смартфоните и други от висок клас подвижен устройствата, които имат достъп до интернет, също са допринесли за растежа на киберпрестъпността.
Видове киберпрестъпления
Кражба на самоличност
Кражба на самоличност възниква, когато киберпрестъпник се представя за нечия друга самоличност, за да практикува неизправност. Това обикновено се прави чрез достъп до лични данни на някой друг. Данните, използвани при такива престъпления, включват номера на социална осигуровка, дата на раждане, номера на кредитни и дебитни карти, номера на паспорти и др.
След като информацията бъде придобита от киберпрестъпника, тя може да се използва за извършване на покупки онлайн, докато се представя за някой друг. Един от начините, които киберпрестъпниците използват, за да получат такива лични данни, е фишингът. Фишингът включва създаване на фалшиви уебсайтове, които изглеждат като законни бизнес уебсайтове или имейли.
Например имейл, който изглежда идва от YAHOO, може да поиска от потребителя да потвърди личните си данни, включително номера за връзка и парола за имейл. Ако потребителят се хване на трика и актуализира данните и предостави паролата, нападателят ще има достъп до личните данни и имейла на жертвата.
Ако жертвата използва услуги като PayPal, тогава нападателят може да използва акаунта, за да прави покупки онлайн или да прехвърля средства.
Други фишинг техники включват използването на фалшиви Wi-Fi горещи точки, които изглеждат като легитимни. Това е често срещано на обществени места като ресторанти и летища. Ако нищо неподозиращ потребител влезе в мрежата, киберпрестъпниците може да се опитат да получат достъп до чувствителна информация като потребителски имена, пароли, номера на кредитни карти и др.
Според Министерството на правосъдието на САЩ, бивш служител на Държавния департамент е използвал фишинг по имейл, за да получи достъп до имейли и акаунти в социалните медии на стотици жени и е получил достъп до нецензурни снимки. Той успя да използва снимките, за да изнудва жените и заплаши, че ще направи снимките публични, ако не се поддадат на исканията му.
Нарушение на авторските права
Пиратството е един от най-големите проблеми с цифровите продукти. Уебсайтове като pirate bay се използват за разпространение на защитени с авторски права материали като аудио, видео, софтуер и т.н. Нарушаването на авторски права се отнася до неоторизирано използване на защитени с авторски права материали.
Бързият достъп до интернет и намаляването на разходите за съхранение също допринесоха за нарастването на престъпленията за нарушаване на авторски права.
Кликнете върху измама
Рекламни компании като Google AdSense предлагат рекламни услуги с плащане на кликване. Измамите с щракване възникват, когато човек кликне върху такава връзка без намерение да научи повече за щракването, а за да направи повече пари. Това може да се постигне и чрез използване на автоматизиран софтуер, който прави кликванията.
Измами с авансови такси
Изпраща се имейл до целевата жертва, който им обещава много пари в полза на това да им помогне да поискат парите си от наследството.
В такива случаи престъпникът обикновено се представя за близък роднина на починал много богат и известен човек. Той/тя твърди, че е наследил богатството на покойния богаташ и се нуждае от помощ, за да претендира за наследството. Той/тя ще поиска финансова помощ и ще обещае да възнагради по-късно. Ако жертвата изпрати парите на измамника, измамникът изчезва и жертвата губи парите.
Сух
Хакването се използва за заобикаляне на контролите за сигурност, за да се получи неоторизиран достъп до система. След като нападателят получи достъп до системата, той може да прави каквото си иска. Някои от обичайните дейности, извършвани при хакване на системата, са;
- Инсталирайте програми, които позволяват на нападателите да шпионират потребителя или да контролират системата му дистанционно
- Дефейс уебсайтове
- Откраднете чувствителна информация. Това може да стане с помощта на техники като SQL Инжектиране, използване на уязвимости в софтуера на базата данни за получаване на достъп, техники за социално инженерство, които подмамват потребителите да подадат идентификатори и пароли и др.
Компютърни вируси
Вирусите са неупълномощени програми, които могат да дразнят потребителите, да крадат чувствителни данни или да се използват за контрол на оборудване, което се управлява от компютри.
Сигурност на информационната система
Сигурността на MIS се отнася до мерки, въведени за защита на ресурсите на информационната система от неоторизиран достъп или компрометиране. Уязвимостите в сигурността са слабости в компютърна система, софтуер или хардуер, които могат да бъдат използвани от нападателя за получаване на неоторизиран достъп или компрометиране на система.
Хората като част от компонентите на информационната система също могат да бъдат експлоатирани с помощта на техники за социално инженерство. Целта на социалното инженерство е да спечели доверието на потребителите на системата.
Нека сега да разгледаме някои от заплахите, пред които е изправена информационната система и какво може да се направи, за да се премахнат или минимизират щетите, ако заплахата се материализира.
Компютърни вируси – това са злонамерени програми, както е описано в горния раздел. Заплахите, породени от вируси, могат да бъдат елиминирани или въздействието да бъде сведено до минимум чрез използване на антивирусен софтуер и следване на установените най-добри практики за сигурност на дадена организация.
Неоторизиран достъп – стандартната конвенция е да се използва комбинация от потребителско име и парола. Хакерите са се научили как да заобикалят тези контроли, ако потребителят не следва най-добрите практики за сигурност. Повечето организации са добавили използването на мобилни устройства като телефони, за да осигурят допълнителен слой сигурност.
Да вземем Gmail като пример, ако Google се усъмни в влизането в акаунт, те ще помолят лицето, което ще влезе, да потвърди самоличността си с помощта на мобилните си устройства с Android или да изпрати SMS с ПИН номер, който трябва да допълва потребителското име и парола.
Ако компанията няма достатъчно ресурси за прилагане на допълнителна сигурност като Google, те могат да използват други техники. Тези техники могат да включват задаване на въпроси на потребителите по време на регистрация, като например в кой град са израснали, името на първия им домашен любимец и т.н. Ако лицето даде точни отговори на тези въпроси, се предоставя достъп до системата.
загуба на данни – ако центърът за данни се запали или бъде наводнен, хардуерът с данните може да се повреди и данните в него да бъдат загубени. Като стандартна най-добра практика за сигурност повечето организации съхраняват резервни копия на данните на отдалечени места. Архивирането се прави периодично и обикновено се поставя в повече от една отдалечена зона.
Биометрична идентификация – това вече става много разпространено, особено при мобилни устройства като смартфони. Телефонът може да записва потребителския пръстов отпечатък и да го използва за целите на удостоверяване. Това прави по-трудно за нападателите да получат неоторизиран достъп до мобилното устройство. Такава технология може да се използва и за спиране на неоторизирани хора от получаване на достъп до вашите устройства.
Информационна система Етика
Етиката се отнася до правила за правилно и грешно, които хората използват, за да направят избор, за да ръководят поведението си. Етиката в MIS се стреми да защитава и предпазва хората и обществото чрез отговорно използване на информационните системи. Повечето професии обикновено имат дефиниран етичен кодекс или насоки за кодекс на поведение, към които трябва да се придържат всички професионалисти, свързани с професията.
Накратко, етичният кодекс прави хората, действащи по свободна воля, отговорни и отговорни за своите действия. Пример за етичен кодекс за специалисти по MIS може да бъде намерен на уебсайта на Британското компютърно общество (BCS).
Политика за информационните комуникационни технологии (ИКТ).
ИКТ политиката е набор от насоки, които определят как една организация трябва да използва информационните технологии и информационните системи отговорно. ИКТ политиките обикновено включват насоки относно;
- Закупуване и използване на хардуерно оборудване и как да ги изхвърлите безопасно
- Използване само на лицензиран софтуер и гарантиране, че целият софтуер е актуален с най-новите корекции от съображения за сигурност
- Правила за създаване на пароли (прилагане на сложност), промяна на пароли и др.
- Приемливо използване на информационни технологии и информационни системи
- Обучение на всички потребители, участващи в използването на ИКТ и MIS
Oбобщение
С голямата сила идва и голямата отговорност. Информационните системи носят нови възможности и предимства за начина, по който правим бизнес, но също така въвеждат проблеми, които могат да повлияят отрицателно на обществото (киберпрестъпност). Организацията трябва да се заеме с тези проблеми и да създаде рамка (сигурност на MIS, политика за ИКТ и т.н.), която да ги адресира.