सूचना प्रणाली में नैतिक एवं सुरक्षा संबंधी मुद्दे

द्वारा: एटलस फीनिक्स एटलस फीनिक्स
Hours Updated

सूचना प्रणाली ने आज कई व्यवसायों को सफल बनाया है। कुछ कंपनियाँ जैसे कि गूगल, फेसबुक, ईबे आदि सूचना प्रौद्योगिकी के बिना अस्तित्व में नहीं होतीं। हालाँकि, सूचना प्रौद्योगिकी का अनुचित उपयोग संगठन और कर्मचारियों के लिए समस्याएँ पैदा कर सकता है।

क्रेडिट कार्ड की जानकारी तक पहुँच प्राप्त करने वाले अपराधियों के कारण कार्ड के मालिकों या वित्तीय संस्थान को वित्तीय नुकसान हो सकता है। संगठन सूचना प्रणाली का उपयोग करना यानी कंपनी के खाते का उपयोग करके फेसबुक या ट्विटर पर अनुचित सामग्री पोस्ट करना मुकदमों और व्यवसाय के नुकसान का कारण बन सकता है।

यह ट्यूटोरियल सूचना प्रणालियों द्वारा उत्पन्न चुनौतियों पर चर्चा करेगा तथा जोखिमों को न्यूनतम करने या समाप्त करने के लिए क्या किया जा सकता है, इस पर भी चर्चा करेगा।

साइबर अपराध

साइबर अपराध का मतलब है अपराध करने के लिए सूचना प्रौद्योगिकी का इस्तेमाल करना। साइबर अपराध में कंप्यूटर उपयोगकर्ताओं को परेशान करने से लेकर भारी वित्तीय नुकसान और यहां तक ​​कि मानव जीवन की हानि तक शामिल हो सकती है। स्मार्टफोन और अन्य हाई-एंड डिवाइस का विकास मोबाइल इंटरनेट तक पहुंच रखने वाले उपकरणों ने भी साइबर अपराध के विकास में योगदान दिया है।

साइबर अपराध

साइबर अपराध के प्रकार

चोरी की पहचान

पहचान की चोरी तब होती है जब साइबर अपराधी किसी और की पहचान का इस्तेमाल करके गलत काम करता है। यह आमतौर पर किसी और की निजी जानकारी हासिल करके किया जाता है। ऐसे अपराधों में इस्तेमाल की जाने वाली जानकारी में सामाजिक सुरक्षा नंबर, जन्म तिथि, क्रेडिट और डेबिट कार्ड नंबर, पासपोर्ट नंबर आदि शामिल हैं।

एक बार जब साइबर अपराधी द्वारा जानकारी हासिल कर ली जाती है, तो इसका इस्तेमाल ऑनलाइन खरीदारी करने के लिए किया जा सकता है, जबकि वह खुद को किसी और के रूप में पेश करता है। साइबर अपराधी ऐसे व्यक्तिगत विवरण प्राप्त करने के लिए जिस तरीके का इस्तेमाल करते हैं, वह है फ़िशिंग। फ़िशिंग में ऐसी नकली वेबसाइटें बनाना शामिल है जो वैध व्यावसायिक वेबसाइट या ईमेल जैसी दिखती हैं.

उदाहरण के लिए, ऐसा ईमेल जो याहू से आता हुआ प्रतीत होता है, उपयोगकर्ता से संपर्क नंबर और ईमेल पासवर्ड सहित अपने व्यक्तिगत विवरण की पुष्टि करने के लिए कह सकता है। यदि उपयोगकर्ता झांसे में आ जाता है और विवरण अपडेट करता है और पासवर्ड प्रदान करता है, तो हमलावर को पीड़ित के व्यक्तिगत विवरण और ईमेल तक पहुंच मिल जाएगी।

यदि पीड़ित PayPal जैसी सेवाओं का उपयोग करता है, तो हमलावर खाते का उपयोग ऑनलाइन खरीदारी करने या धन हस्तांतरण करने के लिए कर सकता है।

अन्य फ़िशिंग तकनीकों में नकली वाई-फ़ाई हॉटस्पॉट का उपयोग शामिल है जो वैध की तरह दिखते हैं। यह सार्वजनिक स्थानों जैसे कि रेस्तरां और हवाई अड्डों पर आम है। यदि कोई अनजान उपयोगकर्ता नेटवर्क में लॉगऑन करता है, तो साइबर-अपराध उपयोगकर्ता नाम, पासवर्ड, क्रेडिट कार्ड नंबर आदि जैसी संवेदनशील जानकारी तक पहुँच प्राप्त करने का प्रयास कर सकते हैं।

अमेरिकी न्याय विभाग के अनुसार, एक पूर्व राज्य विभाग के कर्मचारी ने सैकड़ों महिलाओं के ईमेल और सोशल मीडिया खातों तक पहुँच प्राप्त करने के लिए ईमेल फ़िशिंग का इस्तेमाल किया और उनकी अश्लील तस्वीरें प्राप्त कीं। वह महिलाओं से जबरन वसूली करने के लिए तस्वीरों का इस्तेमाल करने में सक्षम था और धमकी देता था कि अगर वे उसकी माँगें पूरी नहीं करतीं तो वह तस्वीरें सार्वजनिक कर देगा।

सत्त्वाधिकार उल्लंघन

डिजिटल उत्पादों के साथ सबसे बड़ी समस्याओं में से एक पायरेसी है। पायरेट बे जैसी वेबसाइट का उपयोग कॉपीराइट सामग्री जैसे ऑडियो, वीडियो, सॉफ़्टवेयर इत्यादि वितरित करने के लिए किया जाता है। कॉपीराइट उल्लंघन कॉपीराइट सामग्री के अनधिकृत उपयोग को संदर्भित करता है।

तेज़ इंटरनेट पहुंच और भंडारण की घटती लागत ने भी कॉपीराइट उल्लंघन अपराधों की वृद्धि में योगदान दिया है।

धोखाधड़ी पर क्लिक करें

गूगल ऐडसेंस जैसी विज्ञापन कंपनियाँ प्रति क्लिक भुगतान वाली विज्ञापन सेवाएँ प्रदान करती हैं। क्लिक धोखाधड़ी तब होती है जब कोई व्यक्ति ऐसे लिंक पर क्लिक करता है जिसका उद्देश्य क्लिक के बारे में अधिक जानना नहीं होता बल्कि अधिक पैसे कमाना होता है। यह स्वचालित सॉफ़्टवेयर का उपयोग करके भी किया जा सकता है जो क्लिक करता है।

अग्रिम शुल्क धोखाधड़ी

लक्षित पीड़ित को एक ईमेल भेजा जाता है जिसमें उन्हें उनकी विरासत की धनराशि पर दावा करने में मदद करने के बदले में बहुत सारा धन देने का वादा किया जाता है।

ऐसे मामलों में, अपराधी आमतौर पर किसी बहुत अमीर प्रसिद्ध व्यक्ति का करीबी रिश्तेदार होने का दिखावा करता है, जिसकी मृत्यु हो चुकी है। वह दावा करता है कि उसे दिवंगत अमीर व्यक्ति की संपत्ति विरासत में मिली है और उसे विरासत का दावा करने के लिए मदद की ज़रूरत है। वह वित्तीय सहायता मांगेगा और बाद में इनाम देने का वादा करेगा। अगर पीड़ित घोटालेबाज को पैसे भेजता है, तो घोटालेबाज गायब हो जाता है और पीड़ित पैसे खो देता है।

हैकिंग

हैकिंग का उपयोग सिस्टम में अनधिकृत पहुँच प्राप्त करने के लिए सुरक्षा नियंत्रणों को बायपास करने के लिए किया जाता है। एक बार हमलावर को सिस्टम तक पहुँच मिल जाने के बाद, वे जो चाहें कर सकते हैं। सिस्टम हैक होने पर की जाने वाली कुछ सामान्य गतिविधियाँ हैं;

  • ऐसे प्रोग्राम इंस्टॉल करें जो हमलावरों को उपयोगकर्ता पर जासूसी करने या उनके सिस्टम को दूर से नियंत्रित करने की अनुमति दें
  • वेबसाइटों को ख़राब करना
  • संवेदनशील जानकारी चुराना। यह निम्नलिखित तकनीकों का उपयोग करके किया जा सकता है: एसक्यूएल इंजेक्शन, डेटाबेस सॉफ्टवेयर में कमजोरियों का फायदा उठाकर पहुंच प्राप्त करना, सोशल इंजीनियरिंग तकनीकें जो उपयोगकर्ताओं को आईडी और पासवर्ड सबमिट करने के लिए प्रेरित करती हैं, आदि।

कंप्यूटर वायरस

वायरस अनधिकृत प्रोग्राम होते हैं जो उपयोगकर्ताओं को परेशान कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं या कंप्यूटर द्वारा नियंत्रित उपकरणों को नियंत्रित करने के लिए उपयोग किए जा सकते हैं।

सूचना प्रणाली सुरक्षा

एमआईएस सुरक्षा से तात्पर्य सूचना प्रणाली संसाधनों को अनधिकृत पहुँच या समझौता होने से बचाने के लिए किए गए उपायों से है। सुरक्षा भेद्यताएँ कंप्यूटर सिस्टम, सॉफ़्टवेयर या हार्डवेयर में कमज़ोरियाँ हैं जिनका उपयोग हमलावर द्वारा अनधिकृत पहुँच प्राप्त करने या सिस्टम से समझौता करने के लिए किया जा सकता है।

सूचना प्रणाली के घटकों के रूप में लोगों का भी सामाजिक इंजीनियरिंग तकनीकों का उपयोग करके शोषण किया जा सकता है। सोशल इंजीनियरिंग का लक्ष्य सिस्टम के उपयोगकर्ताओं का विश्वास हासिल करना है।

आइए अब सूचना प्रणाली के समक्ष आने वाले कुछ खतरों पर नजर डालें और देखें कि यदि खतरा वास्तविक हो जाए तो उसे समाप्त करने या नुकसान को न्यूनतम करने के लिए क्या किया जा सकता है।

सूचना प्रणाली सुरक्षा

कम्प्यूटर वायरस - ये दुर्भावनापूर्ण प्रोग्राम हैं जैसा कि ऊपर दिए गए अनुभाग में वर्णित है। वायरस द्वारा उत्पन्न खतरों को एंटी-वायरस सॉफ़्टवेयर का उपयोग करके और किसी संगठन की निर्धारित सुरक्षा सर्वोत्तम प्रथाओं का पालन करके समाप्त किया जा सकता है या प्रभाव को कम किया जा सकता है।

अनाधिकृत उपयोग - मानक परंपरा उपयोगकर्ता नाम और पासवर्ड के संयोजन का उपयोग करना है। हैकर्स ने सीख लिया है कि अगर उपयोगकर्ता सुरक्षा के सर्वोत्तम तरीकों का पालन नहीं करता है तो इन नियंत्रणों को कैसे दरकिनार किया जाए। अधिकांश संगठनों ने सुरक्षा की एक अतिरिक्त परत प्रदान करने के लिए फ़ोन जैसे मोबाइल उपकरणों का उपयोग जोड़ा है।

उदाहरण के लिए जीमेल को लें, यदि गूगल को किसी खाते के लॉगइन पर संदेह है, तो वे लॉगइन करने वाले व्यक्ति से उसकी एंड्रॉयड संचालित मोबाइल डिवाइस का उपयोग करके उसकी पहचान की पुष्टि करने के लिए कहेंगे या पिन नंबर के साथ एक एसएमएस भेजेंगे, जो उपयोगकर्ता नाम और पासवर्ड के साथ होना चाहिए।

अगर कंपनी के पास Google की तरह अतिरिक्त सुरक्षा लागू करने के लिए पर्याप्त संसाधन नहीं हैं, तो वे अन्य तकनीकों का उपयोग कर सकते हैं। इन तकनीकों में साइनअप के दौरान उपयोगकर्ताओं से सवाल पूछना शामिल हो सकता है जैसे कि वे किस शहर में पले-बढ़े हैं, उनके पहले पालतू जानवर का नाम क्या था, आदि। अगर व्यक्ति इन सवालों के सटीक जवाब देता है, तो सिस्टम में प्रवेश दिया जाता है।

डेटा हानि - अगर डेटा सेंटर में आग लग गई या पानी भर गया, तो डेटा वाला हार्डवेयर क्षतिग्रस्त हो सकता है, और उस पर मौजूद डेटा खो जाएगा। मानक सुरक्षा सर्वोत्तम अभ्यास के रूप में, अधिकांश संगठन दूरस्थ स्थानों पर डेटा का बैकअप रखते हैं। बैकअप समय-समय पर बनाए जाते हैं और आमतौर पर एक से अधिक दूरस्थ क्षेत्रों में रखे जाते हैं।

बायोमेट्रिक पहचान - यह अब बहुत आम होता जा रहा है, खासकर स्मार्टफोन जैसे मोबाइल डिवाइस के साथ। फोन उपयोगकर्ता के फिंगरप्रिंट को रिकॉर्ड कर सकता है और इसे प्रमाणीकरण उद्देश्यों के लिए उपयोग कर सकता है। इससे हमलावरों के लिए मोबाइल डिवाइस तक अनधिकृत पहुँच प्राप्त करना कठिन हो जाता है। ऐसी तकनीक का उपयोग अनधिकृत लोगों को आपके डिवाइस तक पहुँचने से रोकने के लिए भी किया जा सकता है।

संबंधित आलेख

सूचना प्रणाली नैतिकता

नैतिकता का तात्पर्य सही और गलत के नियमों से है जिसका उपयोग लोग अपने व्यवहार को निर्देशित करने के लिए चुनाव करने के लिए करते हैं। MIS में नैतिकता सूचना प्रणालियों का जिम्मेदारी से उपयोग करके व्यक्तियों और समाज की रक्षा और सुरक्षा करना चाहती है। अधिकांश व्यवसायों ने आमतौर पर आचार संहिता या आचार संहिता के दिशा-निर्देश परिभाषित किए हैं जिनका पालन पेशे से जुड़े सभी पेशेवरों को करना चाहिए।

संक्षेप में कहें तो आचार संहिता, अपनी स्वतंत्र इच्छा से काम करने वाले व्यक्तियों को उनके कार्यों के लिए जिम्मेदार और जवाबदेह बनाती है। एमआईएस पेशेवरों के लिए आचार संहिता का एक उदाहरण ब्रिटिश कंप्यूटर सोसाइटी (बीसीएस) की वेबसाइट पर पाया जा सकता है।

सूचना संचार प्रौद्योगिकी (आईसीटी) नीति

आईसीटी नीति दिशा-निर्देशों का एक सेट है जो परिभाषित करता है कि किसी संगठन को सूचना प्रौद्योगिकी और सूचना प्रणालियों का जिम्मेदारी से उपयोग कैसे करना चाहिए। आईसीटी नीतियों में आमतौर पर निम्नलिखित दिशा-निर्देश शामिल होते हैं;

  • हार्डवेयर उपकरणों की खरीद और उपयोग तथा उनका सुरक्षित तरीके से निपटान कैसे करें
  • केवल लाइसेंस प्राप्त सॉफ्टवेयर का उपयोग करें और सुरक्षा कारणों से यह सुनिश्चित करें कि सभी सॉफ्टवेयर नवीनतम पैच के साथ अद्यतित हैं
  • पासवर्ड बनाने के नियम (जटिलता लागू करना), पासवर्ड बदलना आदि।
  • सूचना प्रौद्योगिकी और सूचना प्रणालियों का स्वीकार्य उपयोग
  • आईसीटी और एमआईएस के उपयोग में शामिल सभी उपयोगकर्ताओं का प्रशिक्षण

सारांश

बड़ी शक्ति के साथ बड़ी जिम्मेदारी भी आती है। सूचना प्रणालियाँ हमारे व्यवसाय करने के तरीके में नए अवसर और लाभ लाती हैं, लेकिन वे ऐसे मुद्दे भी पेश करती हैं जो समाज को नकारात्मक रूप से प्रभावित कर सकते हैं (साइबर अपराध)। एक संगठन को इन मुद्दों को संबोधित करने और एक रूपरेखा (एमआईएस सुरक्षा, आईसीटी नीति, आदि) के साथ आने की आवश्यकता है जो उन्हें संबोधित करती है।