ประเด็นด้านจริยธรรมและความปลอดภัยในระบบสารสนเทศ
แอตลาส ฟีนิกซ์
ระบบสารสนเทศทำให้ธุรกิจมากมายประสบความสำเร็จในปัจจุบัน บริษัทบางแห่ง เช่น Google, Facebook, EBay ฯลฯ อยู่ไม่ได้หากไม่มีเทคโนโลยีสารสนเทศ อย่างไรก็ตาม การใช้เทคโนโลยีสารสนเทศที่ไม่เหมาะสมอาจสร้างปัญหาให้กับองค์กรและพนักงานได้
อาชญากรที่เข้าถึงข้อมูลบัตรเครดิตอาจนำไปสู่การสูญเสียทางการเงินแก่เจ้าของบัตรหรือสถาบันการเงิน การใช้ระบบข้อมูลองค์กร เช่น การโพสต์เนื้อหาที่ไม่เหมาะสมบน Facebook หรือ Twitter โดยใช้บัญชีบริษัท อาจนำไปสู่การฟ้องร้องและสูญเสียธุรกิจได้
บทช่วยสอนนี้จะกล่าวถึงความท้าทายที่เกิดจากระบบสารสนเทศและสิ่งที่สามารถทำได้เพื่อลดหรือขจัดความเสี่ยง
อาชญากรรมไซเบอร์
อาชญากรรมไซเบอร์หมายถึงการใช้เทคโนโลยีสารสนเทศเพื่อก่ออาชญากรรม อาชญากรรมไซเบอร์อาจมีตั้งแต่ผู้ใช้คอมพิวเตอร์ที่น่ารำคาญ ไปจนถึงการสูญเสียทางการเงินครั้งใหญ่ หรือแม้แต่การสูญเสียชีวิตมนุษย์ การเติบโตของสมาร์ทโฟนและระดับไฮเอนด์อื่นๆ โทรศัพท์มือถือ อุปกรณ์ที่สามารถเข้าถึงอินเทอร์เน็ตได้มีส่วนทำให้อาชญากรรมไซเบอร์เพิ่มมากขึ้น
ประเภทของอาชญากรรมไซเบอร์
การขโมยข้อมูลประจำตัว
การโจรกรรมข้อมูลส่วนตัวเกิดขึ้นเมื่อผู้ก่ออาชญากรรมทางไซเบอร์ปลอมแปลงข้อมูลส่วนตัวของบุคคลอื่นเพื่อดำเนินการผิดพลาด ซึ่งโดยปกติจะทำโดยการเข้าถึงข้อมูลส่วนตัวของบุคคลอื่น รายละเอียดที่ใช้ในการก่ออาชญากรรมดังกล่าว ได้แก่ หมายเลขประกันสังคม วันเกิด หมายเลขบัตรเครดิตและบัตรเดบิต หมายเลขหนังสือเดินทาง เป็นต้น
เมื่ออาชญากรไซเบอร์ได้รับข้อมูลแล้ว ข้อมูลดังกล่าวสามารถนำไปใช้ซื้อสินค้าออนไลน์โดยแอบอ้างเป็นบุคคลอื่นได้ วิธีหนึ่งที่อาชญากรไซเบอร์ใช้เพื่อรับข้อมูลส่วนบุคคลดังกล่าวคือการฟิชชิ่ง ฟิชชิ่งเกี่ยวข้องกับการสร้างเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ธุรกิจที่ถูกกฎหมายหรืออีเมล.
ตัวอย่างเช่น อีเมลที่ดูเหมือนว่ามาจาก YAHOO อาจขอให้ผู้ใช้ยืนยันข้อมูลส่วนตัวของตน รวมถึงหมายเลขติดต่อและรหัสผ่านอีเมล หากผู้ใช้หลงกลและอัปเดตรายละเอียดและแจ้งรหัสผ่าน ผู้โจมตีจะสามารถเข้าถึงข้อมูลส่วนตัวและอีเมลของเหยื่อได้
หากเหยื่อใช้บริการต่างๆ เช่น PayPal ผู้โจมตีจะสามารถใช้บัญชีนั้นเพื่อซื้อสินค้าออนไลน์หรือโอนเงินได้
เทคนิคการฟิชชิ่งอื่นๆ เกี่ยวข้องกับการใช้จุดเชื่อมต่อ Wi-Fi ปลอมที่ดูเหมือนของจริง ซึ่งมักพบเห็นได้ทั่วไปในสถานที่สาธารณะ เช่น ร้านอาหารและสนามบิน หากผู้ใช้ที่ไม่สงสัยเข้าสู่ระบบเครือข่าย อาชญากรทางไซเบอร์อาจพยายามเข้าถึงข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน หมายเลขบัตรเครดิต เป็นต้น
ตามรายงานของกระทรวงยุติธรรมสหรัฐฯ อดีตพนักงานกระทรวงการต่างประเทศใช้อีเมลฟิชชิ่งเพื่อเข้าถึงบัญชีอีเมลและโซเชียลมีเดียของผู้หญิงหลายร้อยคน รวมถึงเข้าถึงรูปภาพที่ไม่เหมาะสม เขาสามารถใช้รูปภาพเหล่านี้เพื่อขู่กรรโชกผู้หญิงเหล่านี้และขู่ว่าจะเปิดเผยรูปภาพเหล่านี้ต่อสาธารณะหากผู้หญิงเหล่านั้นไม่ทำตามคำเรียกร้องของเขา
การละเมิดลิขสิทธิ์
การละเมิดลิขสิทธิ์เป็นหนึ่งในปัญหาที่ใหญ่ที่สุดเกี่ยวกับผลิตภัณฑ์ดิจิทัล เว็บไซต์ เช่น อ่าวโจรสลัด ใช้เพื่อเผยแพร่สื่อที่มีลิขสิทธิ์ เช่น เสียง วิดีโอ ซอฟต์แวร์ ฯลฯ การละเมิดลิขสิทธิ์หมายถึงการใช้สื่อที่มีลิขสิทธิ์โดยไม่ได้รับอนุญาต
การเข้าถึงอินเทอร์เน็ตที่รวดเร็วและการลดต้นทุนการจัดเก็บข้อมูลยังส่งผลให้อาชญากรรมการละเมิดลิขสิทธิ์เพิ่มมากขึ้นอีกด้วย
คลิกหลอกลวง
บริษัทโฆษณา เช่น Google AdSense นำเสนอบริการโฆษณาแบบจ่ายต่อคลิก การฉ้อโกงการคลิกเกิดขึ้นเมื่อบุคคลคลิกลิงก์ดังกล่าวโดยไม่มีเจตนาที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการคลิกนั้น แต่ต้องการสร้างรายได้เพิ่ม ซึ่งสามารถทำได้โดยใช้ซอฟต์แวร์อัตโนมัติที่ทำการคลิก
การฉ้อโกงค่าธรรมเนียมล่วงหน้า
อีเมลจะถูกส่งไปยังเหยื่อเป้าหมาย โดยสัญญาว่าจะให้เงินจำนวนมากแก่เหยื่อเพื่อให้พวกเขาสามารถรับเงินมรดกได้
ในกรณีเช่นนี้ ผู้กระทำความผิดมักจะแอบอ้างเป็นญาติสนิทของบุคคลที่มีชื่อเสียงที่เสียชีวิตไปแล้ว โดยอ้างว่าตนได้รับมรดกจากบุคคลที่มีชื่อเสียงที่เสียชีวิตไปแล้ว และต้องการความช่วยเหลือเพื่อเรียกร้องมรดกนั้น โดยจะขอความช่วยเหลือทางการเงินและสัญญาว่าจะให้รางวัลในภายหลัง หากเหยื่อส่งเงินให้กับผู้หลอกลวง ผู้หลอกลวงจะหายตัวไปและเหยื่อจะสูญเสียเงินไป
แฮ็ค
การแฮ็กใช้เพื่อเลี่ยงผ่านการควบคุมความปลอดภัยเพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต เมื่อผู้โจมตีสามารถเข้าถึงระบบได้แล้ว พวกเขาสามารถทำทุกอย่างที่ต้องการได้ กิจกรรมทั่วไปบางอย่างที่เกิดขึ้นเมื่อระบบถูกแฮ็ก ได้แก่
- ติดตั้งโปรแกรมที่อนุญาตให้ผู้โจมตีสอดแนมผู้ใช้หรือควบคุมระบบจากระยะไกล
- ทำลายเว็บไซต์
- ขโมยข้อมูลที่ละเอียดอ่อน ซึ่งสามารถทำได้โดยใช้เทคนิคเช่น SQL การแทรก การใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ฐานข้อมูลเพื่อเข้าถึง เทคนิควิศวกรรมสังคมที่หลอกผู้ใช้ให้ส่งรหัสและรหัสผ่าน ฯลฯ
ไวรัสคอมพิวเตอร์
ไวรัสเป็นโปรแกรมที่ไม่ได้รับอนุญาตซึ่งสามารถรบกวนผู้ใช้ ขโมยข้อมูลที่ละเอียดอ่อน หรือใช้เพื่อควบคุมอุปกรณ์ที่ควบคุมโดยคอมพิวเตอร์
ความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยของ MIS หมายถึงมาตรการที่ใช้เพื่อปกป้องทรัพยากรระบบข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือถูกบุกรุก ช่องโหว่ด้านความปลอดภัยเป็นจุดอ่อนในระบบคอมพิวเตอร์ ซอฟต์แวร์ หรือฮาร์ดแวร์ที่ผู้โจมตีสามารถนำไปใช้ประโยชน์เพื่อเข้าถึงโดยไม่ได้รับอนุญาตหรือทำให้ระบบเสียหายได้
ผู้คนซึ่งเป็นส่วนหนึ่งขององค์ประกอบระบบสารสนเทศสามารถถูกนำไปใช้ประโยชน์ได้โดยใช้เทคนิควิศวกรรมสังคม เป้าหมายของวิศวกรรมสังคมคือการได้รับความไว้วางใจจากผู้ใช้ระบบ
ตอนนี้เรามาดูภัยคุกคามที่ระบบสารสนเทศต้องเผชิญ และสิ่งที่สามารถทำได้เพื่อกำจัดหรือลดความเสียหายหากภัยคุกคามเกิดขึ้นจริง
ไวรัสคอมพิวเตอร์ – โปรแกรมเหล่านี้เป็นโปรแกรมที่เป็นอันตรายตามที่อธิบายไว้ในหัวข้อข้างต้น ภัยคุกคามจากไวรัสสามารถกำจัดหรือลดผลกระทบให้เหลือน้อยที่สุดได้ด้วยการใช้ซอฟต์แวร์ป้องกันไวรัสและปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดขององค์กร
การเข้าถึงโดยไม่ได้รับอนุญาต – แบบแผนมาตรฐานคือการใช้ชื่อผู้ใช้และรหัสผ่านร่วมกัน แฮกเกอร์ได้เรียนรู้วิธีหลีกเลี่ยงการควบคุมเหล่านี้หากผู้ใช้ไม่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย องค์กรส่วนใหญ่ได้เพิ่มการใช้อุปกรณ์เคลื่อนที่ เช่น โทรศัพท์ เพื่อเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติม
ลองยกตัวอย่าง Gmail หาก Google สงสัยเกี่ยวกับการเข้าสู่ระบบบัญชีใดบัญชีหนึ่ง Google จะขอให้บุคคลที่กำลังจะเข้าสู่ระบบยืนยันตัวตนโดยใช้โทรศัพท์มือถือที่ใช้ระบบปฏิบัติการ Android หรือส่ง SMS พร้อมหมายเลข PIN ที่ควรเป็นส่วนเสริมของชื่อผู้ใช้และรหัสผ่าน
หากบริษัทไม่มีทรัพยากรเพียงพอที่จะปรับใช้การรักษาความปลอดภัยเพิ่มเติมเช่น Google พวกเขาสามารถใช้เทคนิคอื่นได้ เทคนิคเหล่านี้อาจรวมถึงการถามคำถามกับผู้ใช้ในระหว่างการสมัคร เช่น เมืองที่พวกเขาเติบโต ชื่อของสัตว์เลี้ยงตัวแรกของพวกเขา เป็นต้น หากบุคคลนั้นให้คำตอบที่ถูกต้องสำหรับคำถามเหล่านี้ จะมีการอนุญาตให้เข้าถึงระบบได้
การสูญเสียข้อมูล – หากศูนย์ข้อมูลถูกไฟไหม้หรือน้ำท่วม ฮาร์ดแวร์ที่มีข้อมูลอาจได้รับความเสียหาย และข้อมูลในนั้นจะสูญหาย ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยมาตรฐาน องค์กรส่วนใหญ่จะสำรองข้อมูลไว้ในสถานที่ห่างไกล การสำรองข้อมูลจะดำเนินการเป็นระยะและโดยปกติจะวางไว้ในพื้นที่ห่างไกลมากกว่าหนึ่งแห่ง
การระบุตัวตนด้วยไบโอเมตริกซ์ – ขณะนี้กำลังกลายเป็นเรื่องปกติโดยเฉพาะกับอุปกรณ์เคลื่อนที่ เช่น สมาร์ทโฟน โทรศัพท์สามารถบันทึกลายนิ้วมือของผู้ใช้และใช้เพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์ สิ่งนี้ทำให้ผู้โจมตีเข้าถึงอุปกรณ์มือถือโดยไม่ได้รับอนุญาตได้ยากขึ้น เทคโนโลยีดังกล่าวยังสามารถใช้เพื่อหยุดบุคคลที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงอุปกรณ์ของคุณได้
จริยธรรมระบบสารสนเทศ
จริยธรรมหมายถึงกฎแห่งความถูกและผิดที่ผู้คนใช้ในการตัดสินใจเลือกแนวทางพฤติกรรมของตน จริยธรรมใน MIS พยายามที่จะปกป้องและปกป้องบุคคลและสังคมโดยใช้ระบบข้อมูลอย่างมีความรับผิดชอบ วิชาชีพส่วนใหญ่มักจะกำหนดหลักจรรยาบรรณหรือแนวปฏิบัติด้านจรรยาบรรณที่ผู้เชี่ยวชาญทุกคนที่เกี่ยวข้องกับวิชาชีพนั้นต้องปฏิบัติตาม
โดยสรุป จรรยาบรรณทำให้บุคคลที่ปฏิบัติตามเจตจำนงเสรีของตนต้องรับผิดชอบและรับผิดชอบต่อการกระทำของตน คุณสามารถดูตัวอย่างหลักจรรยาบรรณสำหรับผู้ประกอบวิชาชีพ MIS ได้ที่เว็บไซต์ British Computer Society (BCS)
นโยบายเทคโนโลยีการสื่อสารสารสนเทศ (ICT)
นโยบาย ICT คือชุดแนวทางที่กำหนดวิธีที่องค์กรควรใช้เทคโนโลยีสารสนเทศและระบบสารสนเทศอย่างมีความรับผิดชอบ นโยบายด้านไอซีทีมักจะรวมแนวปฏิบัติเกี่ยวกับ;
- การซื้อและการใช้อุปกรณ์ฮาร์ดแวร์และวิธีการกำจัดทิ้งอย่างปลอดภัย
- การใช้ซอฟต์แวร์ลิขสิทธิ์เท่านั้นและรับรองว่าซอฟต์แวร์ทั้งหมดทันสมัยด้วยแพตช์ล่าสุดด้วยเหตุผลด้านความปลอดภัย
- กฎเกณฑ์เกี่ยวกับการสร้างรหัสผ่าน (การบังคับใช้ความซับซ้อน), การเปลี่ยนรหัสผ่าน ฯลฯ
- การใช้เทคโนโลยีสารสนเทศและระบบสารสนเทศที่เป็นที่ยอมรับ
- การฝึกอบรมผู้ใช้ทุกคนที่เกี่ยวข้องกับการใช้ ICT และ MIS
สรุป
พลังที่ยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ยิ่งใหญ่ ระบบสารสนเทศนำโอกาสและข้อได้เปรียบใหม่ๆ มาสู่การดำเนินธุรกิจของเรา แต่ยังนำเสนอประเด็นที่อาจส่งผลเสียต่อสังคม (อาชญากรรมทางไซเบอร์) องค์กรจำเป็นต้องแก้ไขปัญหาเหล่านี้และจัดทำกรอบการทำงาน (การรักษาความปลอดภัย MIS นโยบาย ICT ฯลฯ) ที่จะจัดการกับปัญหาเหล่านั้น
