Zagadnienia etyczne i bezpieczeństwa w systemie informatycznym

Systemy informatyczne zapewniły dziś sukces wielu przedsiębiorstwom. Niektóre firmy, takie jak Google, Facebook, EBay itp., nie istniałyby bez technologii informatycznych. Jednak niewłaściwe wykorzystanie technologii informatycznych może powodować problemy dla organizacji i pracowników.

Przestępcy uzyskujący dostęp do informacji o karcie kredytowej mogą prowadzić do strat finansowych dla właścicieli kart lub instytucji finansowej. Korzystanie z systemów informatycznych organizacji, czyli zamieszczanie nieodpowiednich treści na Facebooku lub Twitterze przy użyciu konta firmowego, może prowadzić do procesów sądowych i utraty biznesu.

W tym samouczku omówimy wyzwania, jakie stwarzają systemy informacyjne, oraz pokażemy, co można zrobić, aby zminimalizować lub wyeliminować ryzyko.

Cyberprzestępczość

Cyberprzestępczość odnosi się do wykorzystania technologii informatycznych do popełniania przestępstw. Cyberprzestępczość może obejmować zarówno zwykłe irytowanie użytkowników komputerów, jak i ogromne straty finansowe, a nawet utratę życia ludzkiego. Rozwój smartfonów i innych urządzeń high-end Aplikacje mobilne urządzenia posiadające dostęp do Internetu również przyczyniły się do wzrostu cyberprzestępczości.

Cyberprzestępczość

Rodzaje cyberprzestępczości

Kradzież tożsamości

Kradzież tożsamości ma miejsce, gdy cyberprzestępca podszywa się pod czyjąś tożsamość, aby przeprowadzić awarię. Zazwyczaj odbywa się to poprzez dostęp do danych osobowych innej osoby. Dane wykorzystywane w takich przestępstwach obejmują numery ubezpieczenia społecznego, datę urodzenia, numery kart kredytowych i debetowych, numery paszportów itp.

Gdy cyberprzestępca zdobędzie informacje, może je wykorzystać do dokonywania zakupów online, podszywając się pod kogoś innego. Jednym ze sposobów, w jaki cyberprzestępcy uzyskują takie dane osobowe, jest phishing. Phishing polega na tworzeniu fałszywych stron internetowych, które wyglądają jak legalne witryny firmowe lub wiadomości e-mail.

Na przykład e-mail, który wydaje się pochodzić od YAHOO, może prosić użytkownika o potwierdzenie danych osobowych, w tym numerów kontaktowych i hasła e-mail. Jeśli użytkownik da się nabrać na sztuczkę i zaktualizuje dane oraz poda hasło, atakujący będzie miał dostęp do danych osobowych i adresu e-mail ofiary.

Jeśli ofiara korzysta z usług takich jak PayPal, atakujący może wykorzystać konto do dokonywania zakupów w Internecie lub przesyłania środków.

Inne techniki phishingu obejmują używanie fałszywych hotspotów Wi-Fi, które wyglądają jak legalne. Jest to powszechne w miejscach publicznych, takich jak restauracje i lotniska. Jeśli niczego niepodejrzewający użytkownik zaloguje się do sieci, cyberprzestępcy mogą próbować uzyskać dostęp do poufnych informacji, takich jak nazwy użytkowników, hasła, numery kart kredytowych itp.

Według Departamentu Sprawiedliwości USA, były pracownik departamentu stanu wykorzystał phishing e-mailowy, aby uzyskać dostęp do kont e-mail i mediów społecznościowych setek kobiet i uzyskać dostęp do ich zdjęć. Był w stanie wykorzystać zdjęcia, aby wymusić na kobietach pieniądze i groził, że upubliczni zdjęcia, jeśli nie ulegną jego żądaniom.

naruszenie praw autorskich

Piractwo to jeden z największych problemów produktów cyfrowych. Strony internetowe, takie jak Piracka Zatoka, służą do dystrybucji materiałów chronionych prawem autorskim, takich jak pliki audio, wideo, oprogramowanie itp. Naruszenie praw autorskich oznacza nieuprawnione wykorzystanie materiałów chronionych prawem autorskim.

Szybki dostęp do Internetu i zmniejszenie kosztów przechowywania również przyczyniły się do wzrostu liczby przestępstw naruszających prawa autorskie.

Oszustwo kliknięcia

Firmy reklamowe, takie jak Google AdSense, oferują usługi reklamowe typu pay per click. Oszustwo kliknięcia ma miejsce, gdy osoba klika taki link bez intencji dowiedzenia się więcej o kliknięciu, ale w celu zarobienia większej ilości pieniędzy. Można to również osiągnąć, korzystając z automatycznego oprogramowania, które wykonuje kliknięcia.

Oszustwo związane z zaliczką

Do ofiary wysyłany jest e-mail, w którym obiecuje się jej dużą sumę pieniędzy w zamian za pomoc w odzyskaniu części spadku.

W takich przypadkach przestępca zazwyczaj udaje bliskiego krewnego bardzo bogatej, znanej osoby, która zmarła. Twierdzi, że odziedziczył majątek zmarłej bogatej osoby i potrzebuje pomocy, aby odebrać spadek. Poprosi o pomoc finansową i obiecuje późniejszą nagrodę. Jeśli ofiara wyśle ​​pieniądze oszustowi, oszust znika, a ofiara traci pieniądze.

włamanie

Hakowanie służy do ominięcia zabezpieczeń i uzyskania nieautoryzowanego dostępu do systemu. Gdy atakujący uzyska dostęp do systemu, może zrobić, co chce. Niektóre z typowych działań wykonywanych w przypadku włamania do systemu to:

  • Zainstaluj programy umożliwiające atakującym szpiegowanie użytkownika lub zdalne kontrolowanie jego systemu
  • Zanieczyszczaj strony internetowe
  • Kradnij poufne informacje. Można to zrobić za pomocą technik takich jak SQL Wstrzykiwanie, wykorzystywanie luk w oprogramowaniu bazy danych w celu uzyskania dostępu, techniki inżynierii społecznej mające na celu nakłonienie użytkowników do podania identyfikatorów i haseł itp.

Wirus komputerowy

Wirusy to nieautoryzowane programy, które mogą denerwować użytkowników, kraść poufne dane lub być wykorzystywane do kontrolowania sprzętu kontrolowanego przez komputery.

Bezpieczeństwo systemu informatycznego

Bezpieczeństwo MIS odnosi się do środków wprowadzonych w celu ochrony zasobów systemu informatycznego przed nieautoryzowanym dostępem lub naruszeniem bezpieczeństwa. Luki w zabezpieczeniach to słabe punkty w systemie komputerowym, oprogramowaniu lub sprzęcie, które osoba atakująca może wykorzystać w celu uzyskania nieautoryzowanego dostępu lub naruszenia bezpieczeństwa systemu.

Wykorzystywanie ludzi jako elementów systemów informatycznych może odbywać się także przy wykorzystaniu technik socjotechniki. Celem inżynierii społecznej jest zdobycie zaufania użytkowników systemu.

Przyjrzyjmy się teraz niektórym zagrożeniom, przed którymi stoi system informatyczny, i temu, co można zrobić, aby wyeliminować lub zminimalizować szkody, gdyby zagrożenie się zmaterializowało.

Bezpieczeństwo systemu informacyjnego

Wirusy komputerowe – są to złośliwe programy opisane w powyższej sekcji. Zagrożenia stwarzane przez wirusy można wyeliminować lub zminimalizować ich wpływ, korzystając z oprogramowania antywirusowego i stosując się do ustalonych najlepszych praktyk bezpieczeństwa organizacji.

Nieautoryzowany dostęp – standardową konwencją jest użycie kombinacji nazwy użytkownika i hasła. Hakerzy nauczyli się, jak ominąć te kontrole, jeśli użytkownik nie przestrzega najlepszych praktyk bezpieczeństwa. Większość organizacji dodała wykorzystanie urządzeń mobilnych, takich jak telefony, aby zapewnić dodatkową warstwę bezpieczeństwa.

Weźmy na przykład Gmaila. Jeśli Google uzna, że ​​logowanie na konto jest podejrzane, poprosi osobę zamierzającą się zalogować o potwierdzenie tożsamości za pomocą urządzenia mobilnego z systemem Android lub wyśle ​​wiadomość SMS z numerem PIN, który powinien uzupełnić nazwę użytkownika i hasło.

Jeśli firma nie ma wystarczających zasobów, aby wdrożyć dodatkowe zabezpieczenia, takie jak Google, może skorzystać z innych technik. Techniki te mogą obejmować zadawanie użytkownikom podczas rejestracji pytań, takich jak miasto, w którym się wychowali, imię ich pierwszego zwierzaka itp. Jeśli dana osoba udzieli dokładnych odpowiedzi na te pytania, dostęp do systemu zostanie przyznany.

Utrata danych – jeśli centrum danych zapali się lub zostanie zalane, sprzęt z danymi może ulec uszkodzeniu, a znajdujące się na nim dane zostaną utracone. Zgodnie ze standardową najlepszą praktyką w zakresie bezpieczeństwa większość organizacji przechowuje kopie zapasowe danych w odległych miejscach. Kopie zapasowe są tworzone okresowo i zwykle są umieszczane w więcej niż jednym odległym obszarze.

Identyfikacja biometryczna – staje się obecnie bardzo powszechna, szczególnie w przypadku urządzeń mobilnych, takich jak smartfony. Telefon może zarejestrować odcisk palca użytkownika i wykorzystać go do celów uwierzytelnienia. Utrudnia to atakującym uzyskanie nieautoryzowanego dostępu do urządzenia mobilnego. Technologię taką można również wykorzystać do uniemożliwienia osobom nieuprawnionym dostępu do Twoich urządzeń.

System informacyjny Etyka

Etyka odnosi się do zasad rozróżniania dobra i zła, którymi ludzie się posługują przy dokonywaniu wyborów kierujących swoim zachowaniem. Etyka w MIS ma na celu ochronę i zabezpieczenie jednostek i społeczeństwa poprzez odpowiedzialne korzystanie z systemów informatycznych. Większość zawodów zazwyczaj ma zdefiniowany kodeks etyczny lub wytyczne dotyczące kodeksu postępowania, których muszą przestrzegać wszyscy specjaliści związani z danym zawodem.

Krótko mówiąc, kodeks etyczny sprawia, że ​​jednostki działające zgodnie ze swoją wolną wolą są odpowiedzialne i rozliczalne za swoje czyny. Przykład Kodeksu etyki dla specjalistów MIS można znaleźć na stronie internetowej Brytyjskiego Towarzystwa Komputerowego (BCS).

Polityka w zakresie technologii informacyjno-komunikacyjnych (ICT).

Polityka ICT to zbiór wytycznych definiujących, w jaki sposób organizacja powinna korzystać z technologii informatycznych i systemów informatycznych w sposób odpowiedzialny. Polityka ICT zazwyczaj zawiera wytyczne dotyczące;

  • Zakup i użytkowanie sprzętu komputerowego oraz sposoby jego bezpiecznej utylizacji
  • Używanie wyłącznie licencjonowanego oprogramowania i zapewnienie, że całe oprogramowanie jest aktualne i zawiera najnowsze poprawki ze względów bezpieczeństwa
  • Zasady dotyczące tworzenia haseł (egzekwowanie złożoności), zmiany haseł itp.
  • Dopuszczalne wykorzystanie technologii informatycznych i systemów informatycznych
  • Szkolenie wszystkich użytkowników zajmujących się wykorzystaniem ICT i MIS

Podsumowanie

Z dużą mocą przychodzi duża odpowiedzialność. Systemy informacyjne przynoszą nowe możliwości i korzyści w prowadzeniu działalności, ale wprowadzają również problemy, które mogą mieć negatywny wpływ na społeczeństwo (cyberprzestępczość). Organizacja musi zająć się tymi kwestiami i opracować ramy (bezpieczeństwo systemu MIS, polityka ICT itp.), które je rozwiążą.