Θέματα Ηθικής & Ασφάλειας Πληροφοριακών Συστημάτων

Με: Atlas Phoenix Atlas Phoenix
Hours Ενημερώθηκε

Τα πληροφοριακά συστήματα έχουν κάνει πολλές επιχειρήσεις επιτυχημένες σήμερα. Ορισμένες εταιρείες όπως η Google, το Facebook, το EBay κ.λπ. δεν θα υπήρχαν χωρίς την τεχνολογία της πληροφορίας. Ωστόσο, η ακατάλληλη χρήση της τεχνολογίας των πληροφοριών μπορεί να δημιουργήσει προβλήματα στον οργανισμό και στους εργαζόμενους.

Οι εγκληματίες που αποκτούν πρόσβαση σε πληροφορίες πιστωτικών καρτών μπορεί να οδηγήσουν σε οικονομική ζημία στους κατόχους των καρτών ή του χρηματοπιστωτικού ιδρύματος. Η χρήση συστημάτων πληροφοριών οργανισμού, π.χ. η δημοσίευση ακατάλληλου περιεχομένου στο Facebook ή το Twitter με χρήση εταιρικού λογαριασμού μπορεί να οδηγήσει σε αγωγές και απώλεια επιχειρηματικής δραστηριότητας.

Αυτό το σεμινάριο θα αντιμετωπίσει τέτοιες προκλήσεις που τίθενται από τα πληροφοριακά συστήματα και τι μπορεί να γίνει για να ελαχιστοποιηθούν ή να εξαλειφθούν οι κίνδυνοι.

Το έγκλημα στον κυβερνοχώρο

Το έγκλημα στον κυβερνοχώρο αναφέρεται στη χρήση της τεχνολογίας των πληροφοριών για τη διάπραξη εγκλημάτων. Τα εγκλήματα στον κυβερνοχώρο μπορεί να κυμαίνονται από απλά ενοχλητικούς χρήστες υπολογιστών έως τεράστιες οικονομικές απώλειες και ακόμη και απώλεια ανθρώπινων ζωών. Η ανάπτυξη των smartphones και άλλων high-end Κινητό συσκευές που έχουν πρόσβαση στο Διαδίκτυο έχουν επίσης συμβάλει στην ανάπτυξη του εγκλήματος στον κυβερνοχώρο.

Ηλεκτρονικό Έγκλημα

Τύποι εγκλήματος στον κυβερνοχώρο

Κλοπή ταυτότητας

Η κλοπή ταυτότητας συμβαίνει όταν ένας εγκληματίας στον κυβερνοχώρο υποδύεται την ταυτότητα κάποιου άλλου για να ασκήσει δυσλειτουργία. Αυτό γίνεται συνήθως με την πρόσβαση στα προσωπικά στοιχεία κάποιου άλλου. Τα στοιχεία που χρησιμοποιούνται σε τέτοια εγκλήματα περιλαμβάνουν αριθμούς κοινωνικής ασφάλισης, ημερομηνία γέννησης, αριθμούς πιστωτικών και χρεωστικών καρτών, αριθμούς διαβατηρίου κ.λπ.

Μόλις οι πληροφορίες αποκτηθούν από τον κυβερνο-εγκληματία, μπορούν να χρησιμοποιηθούν για να πραγματοποιήσουν αγορές στο διαδίκτυο, ενώ υποδύονται τον εαυτό τους ως κάποιον άλλο. Ένας από τους τρόπους που χρησιμοποιούν οι κυβερνοεγκληματίες για να αποκτήσουν τέτοια προσωπικά στοιχεία είναι το phishing. Το ηλεκτρονικό ψάρεμα περιλαμβάνει τη δημιουργία ψεύτικων ιστότοπων που μοιάζουν με νόμιμους επιχειρηματικούς ιστότοπους ή μηνύματα ηλεκτρονικού ταχυδρομείου.

Για παράδειγμα, ένα email που φαίνεται να προέρχεται από το YAHOO μπορεί να ζητήσει από τον χρήστη να επιβεβαιώσει τα προσωπικά του στοιχεία, συμπεριλαμβανομένων των αριθμών επικοινωνίας και του κωδικού πρόσβασης email. Εάν ο χρήστης πέσει στο κόλπο και ενημερώσει τις λεπτομέρειες και δώσει τον κωδικό πρόσβασης, ο εισβολέας θα έχει πρόσβαση στα προσωπικά στοιχεία και στο email του θύματος.

Εάν το θύμα χρησιμοποιεί υπηρεσίες όπως το PayPal, τότε ο εισβολέας μπορεί να χρησιμοποιήσει τον λογαριασμό για να πραγματοποιήσει αγορές στο διαδίκτυο ή να μεταφέρει χρήματα.

Άλλες τεχνικές phishing περιλαμβάνουν τη χρήση ψεύτικων σημείων πρόσβασης Wi-Fi που μοιάζουν με νόμιμα. Αυτό είναι σύνηθες σε δημόσιους χώρους όπως εστιατόρια και αεροδρόμια. Εάν ένας ανυποψίαστος χρήστης συνδεθεί στο δίκτυο, τότε τα εγκλήματα στον κυβερνοχώρο μπορεί να προσπαθήσουν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών κ.λπ.

Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, ένας πρώην υπάλληλος του Υπουργείου Εξωτερικών χρησιμοποίησε ηλεκτρονικό ψάρεμα για να αποκτήσει πρόσβαση σε λογαριασμούς email και στα μέσα κοινωνικής δικτύωσης εκατοντάδων γυναικών και είχε πρόσβαση σε ακατάλληλες φωτογραφίες. Μπόρεσε να χρησιμοποιήσει τις φωτογραφίες για να εκβιάσει τις γυναίκες και απείλησε να δημοσιοποιήσει τις φωτογραφίες αν δεν ενδίδουν στις απαιτήσεις του.

παραβίαση πνευματικών δικαιωμάτων

Η πειρατεία είναι ένα από τα μεγαλύτερα προβλήματα με τα ψηφιακά προϊόντα. Ιστότοποι όπως το Pirate bay χρησιμοποιούνται για τη διανομή υλικού που προστατεύεται από πνευματικά δικαιώματα, όπως ήχου, βίντεο, λογισμικό κ.λπ. Η παραβίαση πνευματικών δικαιωμάτων αναφέρεται στη μη εξουσιοδοτημένη χρήση υλικού που προστατεύεται από πνευματικά δικαιώματα.

Η γρήγορη πρόσβαση στο Διαδίκτυο και η μείωση του κόστους αποθήκευσης συνέβαλαν επίσης στην αύξηση των εγκλημάτων παραβίασης πνευματικών δικαιωμάτων.

Κάντε κλικ στην απάτη

Διαφημιστικές εταιρείες όπως το Google AdSense προσφέρουν υπηρεσίες διαφήμισης πληρωμής ανά κλικ. Η απάτη κλικ συμβαίνει όταν ένα άτομο κάνει κλικ σε έναν τέτοιο σύνδεσμο χωρίς την πρόθεση να μάθει περισσότερα για το κλικ, αλλά να κερδίσει περισσότερα χρήματα. Αυτό μπορεί επίσης να επιτευχθεί χρησιμοποιώντας αυτοματοποιημένο λογισμικό που κάνει τα κλικ.

Προκαταβολή αμοιβής

Ένα email αποστέλλεται στο θύμα-στόχο που του υπόσχεται πολλά χρήματα για να τον βοηθήσει να διεκδικήσει τα χρήματα της κληρονομιάς του.

Σε τέτοιες περιπτώσεις, ο εγκληματίας συνήθως προσποιείται ότι είναι στενός συγγενής ενός πολύ πλούσιου γνωστού προσώπου που πέθανε. Ισχυρίζεται ότι έχει κληρονομήσει τον πλούτο του αείμνηστου πλούσιου και χρειάζεται βοήθεια για να διεκδικήσει την κληρονομιά. Θα ζητήσει οικονομική βοήθεια και θα υποσχεθεί ότι θα ανταμείψει αργότερα. Εάν το θύμα στείλει τα χρήματα στον απατεώνα, ο απατεώνας εξαφανίζεται και το θύμα χάνει τα χρήματα.

hacking

Το hacking χρησιμοποιείται για να παρακάμψει τους ελέγχους ασφαλείας για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα. Μόλις ο εισβολέας αποκτήσει πρόσβαση στο σύστημα, μπορεί να κάνει ό,τι θέλει. Μερικές από τις κοινές δραστηριότητες που γίνονται όταν το σύστημα παραβιάζεται είναι:

  • Εγκαταστήστε προγράμματα που επιτρέπουν στους εισβολείς να κατασκοπεύουν τον χρήστη ή να ελέγχουν το σύστημά του εξ αποστάσεως
  • Παραβίαση ιστοσελίδων
  • Κλέψτε ευαίσθητες πληροφορίες. Αυτό μπορεί να γίνει χρησιμοποιώντας τεχνικές όπως SQL Έγχυση, εκμετάλλευση τρωτών σημείων στο λογισμικό της βάσης δεδομένων για την απόκτηση πρόσβασης, τεχνικές κοινωνικής μηχανικής που εξαπατούν τους χρήστες να υποβάλουν αναγνωριστικά και κωδικούς πρόσβασης κ.λπ.

ΙΟΣ υπολογιστη

Οι ιοί είναι μη εξουσιοδοτημένα προγράμματα που μπορούν να ενοχλήσουν τους χρήστες, να κλέψουν ευαίσθητα δεδομένα ή να χρησιμοποιηθούν για τον έλεγχο εξοπλισμού που ελέγχεται από υπολογιστές.

Ασφάλεια Πληροφοριακών Συστημάτων

Η ασφάλεια MIS αναφέρεται σε μέτρα που εφαρμόζονται για την προστασία των πόρων του συστήματος πληροφοριών από μη εξουσιοδοτημένη πρόσβαση ή παραβίαση. Τα τρωτά σημεία ασφαλείας είναι αδυναμίες σε ένα σύστημα υπολογιστή, λογισμικό ή υλικό που μπορεί να εκμεταλλευτεί ο εισβολέας για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση ή να θέσει σε κίνδυνο ένα σύστημα.

Οι άνθρωποι ως μέρος των στοιχείων του πληροφοριακού συστήματος μπορούν επίσης να αξιοποιηθούν χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής. Στόχος της κοινωνικής μηχανικής είναι να κερδίσει την εμπιστοσύνη των χρηστών του συστήματος.

Ας δούμε τώρα μερικές από τις απειλές που αντιμετωπίζει το σύστημα πληροφοριών και τι μπορεί να γίνει για να εξαλειφθεί ή να ελαχιστοποιηθεί η ζημιά εάν η απειλή επρόκειτο να υλοποιηθεί.

Ασφάλεια Πληροφοριακών Συστημάτων

Ιοί υπολογιστών – πρόκειται για κακόβουλα προγράμματα όπως περιγράφεται στην παραπάνω ενότητα. Οι απειλές που δημιουργούνται από τους ιούς μπορούν να εξαλειφθούν ή να ελαχιστοποιηθούν οι επιπτώσεις χρησιμοποιώντας λογισμικό προστασίας από ιούς και ακολουθώντας τις καθορισμένες βέλτιστες πρακτικές ασφάλειας ενός οργανισμού.

Μη εξουσιοδοτημένη πρόσβαση – η τυπική σύμβαση είναι η χρήση ενός συνδυασμού ονόματος χρήστη και κωδικού πρόσβασης. Οι χάκερ έχουν μάθει πώς να παρακάμπτουν αυτούς τους ελέγχους εάν ο χρήστης δεν ακολουθεί τις βέλτιστες πρακτικές ασφαλείας. Οι περισσότεροι οργανισμοί έχουν προσθέσει τη χρήση κινητών συσκευών, όπως τα τηλέφωνα, για να παρέχουν ένα επιπλέον επίπεδο ασφάλειας.

Ας πάρουμε το Gmail ως παράδειγμα, εάν η Google είναι ύποπτη για τη σύνδεση σε έναν λογαριασμό, θα ζητήσει από το άτομο που πρόκειται να συνδεθεί να επιβεβαιώσει την ταυτότητά του χρησιμοποιώντας τις κινητές συσκευές του που υποστηρίζονται από Android ή θα στείλει ένα SMS με έναν αριθμό PIN που θα πρέπει να συμπληρώνει το όνομα χρήστη και σύνθημα.

Εάν η εταιρεία δεν έχει αρκετούς πόρους για να εφαρμόσει επιπλέον ασφάλεια όπως η Google, μπορεί να χρησιμοποιήσει άλλες τεχνικές. Αυτές οι τεχνικές μπορούν να περιλαμβάνουν ερωτήσεις στους χρήστες κατά την εγγραφή τους, όπως σε ποια πόλη μεγάλωσαν, το όνομα του πρώτου τους κατοικίδιου κ.λπ. Εάν το άτομο δώσει ακριβείς απαντήσεις σε αυτές τις ερωτήσεις, παρέχεται πρόσβαση στο σύστημα.

απώλεια δεδομένων – εάν το κέντρο δεδομένων έπιασε φωτιά ή πλημμύρισε, το υλικό με τα δεδομένα μπορεί να καταστραφεί και τα δεδομένα σε αυτό θα χαθούν. Ως τυπική βέλτιστη πρακτική ασφάλειας, οι περισσότεροι οργανισμοί διατηρούν αντίγραφα ασφαλείας των δεδομένων σε απομακρυσμένα μέρη. Τα αντίγραφα ασφαλείας δημιουργούνται περιοδικά και συνήθως τοποθετούνται σε περισσότερες από μία απομακρυσμένες περιοχές.

Βιομετρική Ταυτοποίηση – αυτό γίνεται πλέον πολύ κοινό, ειδικά με κινητές συσκευές όπως τα smartphone. Το τηλέφωνο μπορεί να καταγράψει το δακτυλικό αποτύπωμα χρήστη και να το χρησιμοποιήσει για σκοπούς ελέγχου ταυτότητας. Αυτό καθιστά πιο δύσκολο για τους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στην κινητή συσκευή. Αυτή η τεχνολογία μπορεί επίσης να χρησιμοποιηθεί για να εμποδίσει μη εξουσιοδοτημένα άτομα να έχουν πρόσβαση στις συσκευές σας.

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Ηθική πληροφοριακών συστημάτων

Η ηθική αναφέρεται σε κανόνες του σωστού και του λάθους που χρησιμοποιούν οι άνθρωποι για να κάνουν επιλογές για να καθοδηγήσουν τη συμπεριφορά τους. Η ηθική στο MIS επιδιώκει να προστατεύσει και να προστατεύσει τα άτομα και την κοινωνία χρησιμοποιώντας υπεύθυνα συστήματα πληροφοριών. Τα περισσότερα επαγγέλματα συνήθως έχουν ορίσει έναν κώδικα δεοντολογίας ή έναν κώδικα δεοντολογίας οδηγίες που πρέπει να τηρούν όλοι οι επαγγελματίες που συνδέονται με το επάγγελμα.

Με λίγα λόγια, ένας κώδικας δεοντολογίας καθιστά τα άτομα που ενεργούν με την ελεύθερη βούλησή τους υπεύθυνα και υπόλογα για τις πράξεις τους. Ένα παράδειγμα Κώδικα Δεοντολογίας για επαγγελματίες MIS μπορείτε να βρείτε στον ιστότοπο της British Computer Society (BCS).

Πολιτική για τις Τεχνολογίες Πληροφοριακών Επικοινωνιών (ΤΠΕ).

Μια πολιτική ΤΠΕ είναι ένα σύνολο κατευθυντήριων γραμμών που καθορίζουν τον τρόπο με τον οποίο ένας οργανισμός πρέπει να χρησιμοποιεί την τεχνολογία των πληροφοριών και τα συστήματα πληροφοριών με υπευθυνότητα. Οι πολιτικές ΤΠΕ συνήθως περιλαμβάνουν κατευθυντήριες γραμμές σχετικά με:

  • Αγορά και χρήση εξοπλισμού υλικού και τρόπος ασφαλούς απόρριψής τους
  • Χρήση μόνο λογισμικού με άδεια χρήσης και διασφάλιση ότι όλο το λογισμικό είναι ενημερωμένο με τις πιο πρόσφατες ενημερώσεις κώδικα για λόγους ασφαλείας
  • Κανόνες για τη δημιουργία κωδικών πρόσβασης (επιβολή πολυπλοκότητας), την αλλαγή κωδικών πρόσβασης κ.λπ.
  • Αποδεκτή χρήση πληροφορικής και πληροφοριακών συστημάτων
  • Εκπαίδευση όλων των χρηστών που εμπλέκονται στη χρήση ΤΠΕ και MIS

Σύνοψη

Με τη μεγάλη δύναμη έρχεται μεγάλη ευθύνη. Τα πληροφοριακά συστήματα προσφέρουν νέες ευκαιρίες και πλεονεκτήματα στον τρόπο με τον οποίο δραστηριοποιούμαστε, αλλά εισάγουν επίσης ζητήματα που μπορούν να επηρεάσουν αρνητικά την κοινωνία (έγκλημα στον κυβερνοχώρο). Ένας οργανισμός πρέπει να αντιμετωπίσει αυτά τα ζητήματα και να καταλήξει σε ένα πλαίσιο (ασφάλεια MIS, πολιτική ΤΠΕ κ.λπ.) που να τα αντιμετωπίζει.

Μπορεί να σας αρέσει: