Etiska & säkerhetsfrågor i informationssystem
Informationssystem har gjort många företag framgångsrika idag. Vissa företag som Google, Facebook, EBay etc skulle inte existera utan informationsteknik. Men felaktig användning av informationsteknik kan skapa problem för organisationen och de anställda.
Brottslingar som får tillgång till kreditkortsinformation kan leda till ekonomisk förlust för ägarna av korten eller finansinstitutet. Att använda organisationens informationssystem, det vill säga att lägga upp olämpligt innehåll på Facebook eller Twitter med ett företagskonto, kan leda till stämningar och förlust av affärer.
Denna handledning tar upp sådana utmaningar som informationssystem utgör och vad som kan göras för att minimera eller eliminera riskerna.
Cyber brott
Cyberbrottslighet avser användningen av informationsteknik för att begå brott. Cyberbrott kan sträcka sig från helt enkelt irriterande datoranvändare till enorma ekonomiska förluster och till och med förlust av människoliv. Tillväxten av smartphones och andra avancerade Mobil enheter som har tillgång till internet har också bidragit till tillväxten av cyberbrottslighet.
Typer av cyberbrottslighet
Identitetsstöld
Identitetsstöld inträffar när en cyberbrottsling utger sig för att vara någon annans identitet för att utöva funktionsfel. Detta görs vanligtvis genom att få tillgång till personuppgifter om någon annan. Uppgifterna som används i sådana brott inkluderar personnummer, födelsedatum, kredit- och betalkortsnummer, passnummer, etc.
När informationen väl har inhämtats av cyberbrottslingen kan den användas för att göra köp online samtidigt som han utger sig för att vara någon annan. Ett av de sätt som cyberbrottslingar använder för att få tag på sådana personuppgifter är nätfiske. Nätfiske innebär att skapa falska webbplatser som ser ut som legitima företagswebbplatser eller e-postmeddelanden.
Till exempel kan ett e-postmeddelande som verkar komma från YAHOO be användaren att bekräfta sina personliga uppgifter inklusive kontaktnummer och e-postlösenord. Om användaren faller för tricket och uppdaterar detaljerna och tillhandahåller lösenordet kommer angriparen att få tillgång till personliga uppgifter och offrets e-post.
Om offret använder tjänster som PayPal, kan angriparen använda kontot för att göra inköp online eller överföra pengar.
Andra nätfisketekniker involverar användning av falska Wi-Fi-hotspots som ser ut som legitima. Detta är vanligt på offentliga platser som restauranger och flygplatser. Om en intet ont anande användare loggar in på nätverket kan cyberbrott försöka få tillgång till känslig information som användarnamn, lösenord, kreditkortsnummer etc.
Enligt det amerikanska justitiedepartementet använde en före detta anställd i utrikesdepartementet e-postnätfiske för att få tillgång till hundratals kvinnors e-post- och sociala mediakonton och för att komma åt explicita bilder. Han kunde använda bilderna för att utpressa kvinnorna och hotade att göra bilderna offentliga om de inte gav efter för hans krav.
upphovsrättsintrång
Piratkopiering är ett av de största problemen med digitala produkter. Webbplatser som pirate bay används för att distribuera upphovsrättsskyddat material som ljud, video, programvara etc. Upphovsrättsintrång avser otillåten användning av upphovsrättsskyddat material.
Snabb tillgång till internet och sänkta lagringskostnader har också bidragit till ökningen av brott mot upphovsrättsintrång.
Klicka på bedrägeri
Annonsföretag som Google AdSense erbjuder annonseringstjänster för betala per klick. Klickbedrägeri uppstår när en person klickar på en sådan länk utan avsikt att veta mer om klicket utan för att tjäna mer pengar. Detta kan också uppnås genom att använda automatiserad programvara som gör klicken.
Bedrägeri med förskottsavgift
Ett e-postmeddelande skickas till måloffret som lovar dem mycket pengar till förmån för att hjälpa dem att göra anspråk på sina arvspengar.
I sådana fall brukar brottslingen utge sig för att vara en nära släkting till en mycket rik känd person som dog. Han/hon säger sig ha ärvt den framlidne rike personens förmögenhet och behöver hjälp med att göra anspråk på arvet. Han/hon kommer att be om ekonomiskt stöd och lovar att belöna senare. Om offret skickar pengarna till bedragaren försvinner bedragaren och offret förlorar pengarna.
hacking
Hacking används för att kringgå säkerhetskontroller för att få obehörig åtkomst till ett system. När angriparen väl har fått tillgång till systemet kan de göra vad de vill. Några av de vanliga aktiviteterna som görs när systemet hackas är;
- Installera program som låter angriparna spionera på användaren eller fjärrstyra deras system
- Förstör webbplatser
- Stjäla känslig information. Detta kan göras med hjälp av tekniker som t.ex SQL Injektion, utnyttjande av sårbarheter i databasprogramvaran för att få åtkomst, social ingenjörsteknik som lurar användare att skicka in id och lösenord, etc.
Datorvirus
Virus är otillåtna program som kan irritera användare, stjäla känslig data eller användas för att kontrollera utrustning som styrs av datorer.
Informationssystem Säkerhet
MIS-säkerhet hänvisar till åtgärder som vidtagits för att skydda informationssystemresurser från obehörig åtkomst eller att äventyras. Säkerhetssårbarheter är svagheter i ett datorsystem, mjukvara eller hårdvara som kan utnyttjas av angriparen för att få obehörig åtkomst eller äventyra ett system.
Människor som en del av informationssystemkomponenterna kan också utnyttjas med hjälp av social ingenjörsteknik. Målet med social ingenjörskonst är att vinna förtroende hos användarna av systemet.
Låt oss nu titta på några av de hot som informationssystem står inför och vad som kan göras för att eliminera eller minimera skadan om hotet skulle realiseras.
Datorvirus – dessa är skadliga program som beskrivs i avsnittet ovan. Hoten från virus kan elimineras eller påverkan minimeras genom att använda Anti-Virus-programvara och följa en organisations fastställda säkerhetspraxis.
Obehörig åtkomst – Standardkonventionen är att använda en kombination av ett användarnamn och ett lösenord. Hackare har lärt sig hur man kringgår dessa kontroller om användaren inte följer säkerhetspraxis. De flesta organisationer har lagt till användningen av mobila enheter som telefoner för att ge ett extra lager av säkerhet.
Låt oss ta Gmail som ett exempel, om Google är misstänksam mot inloggningen på ett konto kommer de att be personen som ska logga in för att bekräfta sin identitet med sina Android-drivna mobila enheter eller skicka ett SMS med en PIN-kod som ska komplettera användarnamnet och lösenord.
Om företaget inte har tillräckligt med resurser för att implementera extra säkerhet som Google kan de använda andra tekniker. Dessa tekniker kan inkludera att ställa frågor till användare under registreringen, såsom vilken stad de växte upp i, namnet på deras första husdjur, etc. Om personen ger korrekta svar på dessa frågor, beviljas åtkomst till systemet.
data~~POS=TRUNC förlust~~POS=HEADCOMP – om datacentret fattade eld eller översvämmades kan hårdvaran med data skadas och data på den kommer att gå förlorad. Som en standardiserad säkerhetspraxis håller de flesta organisationer säkerhetskopior av data på avlägsna platser. Säkerhetskopiorna görs med jämna mellanrum och placeras vanligtvis i mer än ett avlägset område.
Biometrisk identifiering – detta blir nu mycket vanligt, särskilt med mobila enheter som smartphones. Telefonen kan spela in användarens fingeravtryck och använda det för autentiseringsändamål. Detta gör det svårare för angripare att få obehörig åtkomst till den mobila enheten. Sådan teknik kan också användas för att hindra obehöriga från att få tillgång till dina enheter.
Informationssystem Etik
Etik hänvisar till regler för rätt och fel som människor använder för att göra val för att styra sina beteenden. Etik i MIS strävar efter att skydda och skydda individer och samhälle genom att använda informationssystem på ett ansvarsfullt sätt. De flesta yrken har vanligtvis definierat en etisk kod eller riktlinjer för uppförandekod som alla yrkesverksamma som är knutna till yrket måste följa.
I ett nötskal gör en etisk kod individer som agerar utifrån sin fria vilja ansvariga och ansvariga för sina handlingar. Ett exempel på en etisk kod för MIS-proffs finns på British Computer Society (BCS) webbplats.
Policy för informationskommunikationsteknik (IKT).
En IKT-policy är en uppsättning riktlinjer som definierar hur en organisation ska använda informationsteknologi och informationssystem på ett ansvarsfullt sätt. IKT-policyer innehåller vanligtvis riktlinjer om;
- Inköp och användning av hårdvaruutrustning och hur man säkert gör sig av med den
- Användning av endast licensierad programvara och se till att all programvara är uppdaterad med de senaste korrigeringarna av säkerhetsskäl
- Regler om hur man skapar lösenord (komplexitetsupprätthållande), ändrar lösenord osv.
- Acceptabel användning av informationsteknik och informationssystem
- Utbildning av alla användare som är involverade i att använda ICT och MIS
Sammanfattning
Med stor makt kommer stort ansvar. Informationssystem ger nya möjligheter och fördelar för hur vi gör affärer men de introducerar också frågor som kan påverka samhället negativt (cyberbrottslighet). En organisation behöver ta itu med dessa frågor och komma med ett ramverk (MIS-säkerhet, IKT-policy, etc.) som tar itu med dem.