Bilgi Sisteminde Etik ve Güvenlik Sorunları
Bilgi sistemleri günümüzde birçok işletmeyi başarıya ulaştırmıştır. Google, Facebook, EBay vb. gibi bazı şirketler bilgi teknolojisi olmadan var olamazlardı. Ancak bilgi teknolojisinin yanlış kullanımı kurum ve çalışanlar açısından sorunlar yaratabilmektedir.
Kredi kartı bilgilerine erişim sağlayan suçlular, kart sahiplerinin veya finans kurumunun maddi zarara uğramasına yol açabilir. Organizasyon bilgi sistemlerini kullanmak, yani bir şirket hesabını kullanarak Facebook veya Twitter'da uygunsuz içerik yayınlamak, davalara ve iş kaybına yol açabilir.
Bu eğitimde bilgi sistemlerinin ortaya çıkardığı zorluklara ve riskleri en aza indirmek veya ortadan kaldırmak için neler yapılabileceğine değinilecektir.
Siber Suç
Siber suç, suç işlemek için bilgi teknolojisinin kullanılmasını ifade eder. Siber suçlar, bilgisayar kullanıcılarını rahatsız etmekten büyük mali kayıplara ve hatta insan hayatının kaybına kadar uzanabilir. Akıllı telefonların ve diğer ileri teknoloji ürünlerin büyümesi Telefon İnternete erişimi olan cihazlar da siber suçların büyümesine katkıda bulundu.
Siber suç türleri
Kimlik Hırsızı
Kimlik hırsızlığı, bir siber suçlunun arızayı uygulamak için başka birinin kimliğini taklit etmesiyle gerçekleşir. Bu genellikle başka birinin kişisel bilgilerine erişerek yapılır. Bu tür suçlarda kullanılan bilgiler arasında sosyal güvenlik numaraları, doğum tarihi, kredi ve banka kartı numaraları, pasaport numaraları vb. bulunur.
Siber suçlu tarafından bilgi edinildikten sonra, başka biriymiş gibi davranarak çevrimiçi alışveriş yapmak için kullanılabilir. Siber suçluların bu tür kişisel bilgileri elde etmek için kullandıkları yollardan biri de kimlik avıdır. Kimlik avı, meşru işletme web siteleri veya e-postaları gibi görünen sahte web siteleri oluşturmayı içerir.
Örneğin, YAHOO'dan geliyormuş gibi görünen bir e-posta, kullanıcıdan iletişim numaraları ve e-posta parolası gibi kişisel bilgilerini doğrulamasını isteyebilir. Kullanıcı bu tuzağa düşer ve bilgileri günceller ve parolayı sağlarsa, saldırgan kurbanın kişisel bilgilerine ve e-postasına erişebilir.
Kurban PayPal gibi hizmetleri kullanıyorsa saldırgan, hesabı çevrimiçi alışveriş yapmak veya para aktarmak için kullanabilir.
Diğer kimlik avı teknikleri, yasal olanlara benzeyen sahte Wi-Fi bağlantı noktalarının kullanılmasını içerir. Bu, restoranlar ve havaalanları gibi halka açık yerlerde yaygındır. Şüphelenmeyen bir kullanıcı ağda oturum açarsa siber suçlar kullanıcı adları, şifreler, kredi kartı numaraları vb. gibi hassas bilgilere erişmeye çalışabilir.
ABD Adalet Bakanlığı'na göre, eski bir dışişleri bakanlığı çalışanı e-posta dolandırıcılığı kullanarak yüzlerce kadının e-posta ve sosyal medya hesaplarına erişti ve açık fotoğraflara erişti. Fotoğrafları kadınlardan gasp etmek için kullanabildi ve taleplerine boyun eğmezlerse fotoğrafları kamuya açık hale getirmekle tehdit etti.
Telif hakkı ihlali
Korsanlık dijital ürünlerdeki en büyük sorunlardan biridir. Pirate Bay gibi web siteleri ses, video, yazılım vb. gibi telif hakkıyla korunan materyalleri dağıtmak için kullanılır. Telif hakkı ihlali, telif hakkıyla korunan materyallerin izinsiz kullanımı anlamına gelir.
Hızlı internet erişimi ve depolama maliyetlerinin azalması da telif hakkı ihlali suçlarının artmasına katkıda bulundu.
Tıklama dolandırıcılığı
Google AdSense gibi reklam şirketleri tıklama başına ödeme reklam hizmetleri sunar. Tıklama dolandırıcılığı, bir kişinin tıklama hakkında daha fazla bilgi edinme niyeti olmadan, sadece daha fazla para kazanmak için böyle bir bağlantıya tıklaması durumunda gerçekleşir. Bu, tıklamaları yapan otomatik yazılım kullanılarak da gerçekleştirilebilir.
Peşin Ücret Dolandırıcılığı
Hedef mağdura, miras parasını talep etmesine yardımcı olmak karşılığında çok miktarda para vaat eden bir e-posta gönderilir.
Bu gibi durumlarda, suçlu genellikle ölen çok zengin ve tanınmış bir kişinin yakın akrabasıymış gibi davranır. Ölen zengin kişinin servetini miras aldığını ve mirası talep etmek için yardıma ihtiyacı olduğunu iddia eder. Finansal yardım ister ve daha sonra ödüllendireceğine söz verir. Eğer kurban parayı dolandırıcıya gönderirse, dolandırıcı ortadan kaybolur ve kurban parayı kaybeder.
hack
Bilgisayar korsanlığı, bir sisteme yetkisiz erişim sağlamak amacıyla güvenlik kontrollerini atlamak için kullanılır. Saldırgan sisteme erişim sağladıktan sonra istediğini yapabilir. Sistem hacklendiğinde yapılan yaygın faaliyetlerden bazıları şunlardır;
- Saldırganların kullanıcıyı gözetlemesine veya sistemlerini uzaktan kontrol etmesine olanak tanıyan programlar yükleyin
- Web sitelerini tahrif etmek
- Hassas bilgileri çalın. Bu, aşağıdaki gibi teknikler kullanılarak yapılabilir: SQL Enjeksiyon, erişim kazanmak için veritabanı yazılımındaki güvenlik açıklarından yararlanma, kullanıcıları kimlik ve şifre göndermeleri için kandıran sosyal mühendislik teknikleri vb.
Bilgisayar virüsü
Virüsler, kullanıcıları rahatsız edebilen, hassas verileri çalabilen veya bilgisayarlar tarafından kontrol edilen ekipmanı kontrol etmek için kullanılabilen yetkisiz programlardır.
Bilgi sistemi güvenliği
MIS güvenliği, bilgi sistemi kaynaklarını yetkisiz erişime veya tehlikeye atılmaya karşı korumak için uygulanan önlemleri ifade eder. Güvenlik açıkları, bir bilgisayar sistemindeki, yazılımındaki veya donanımındaki, saldırganın yetkisiz erişim elde etmek veya sistemi tehlikeye atmak için kullanabileceği zayıflıklardır.
Bilgi sistemi bileşenlerinin bir parçası olan insanlardan sosyal mühendislik teknikleri kullanılarak da yararlanılabilir. Sosyal mühendisliğin amacı sistem kullanıcılarının güvenini kazanmaktır.
Şimdi bilgi sistemlerinin karşılaştığı bazı tehditlere ve tehdidin gerçekleşmesi durumunda hasarı ortadan kaldırmak veya en aza indirmek için neler yapılabileceğine bakalım.
Bilgisayar virüsleri – bunlar yukarıdaki bölümde açıklandığı gibi kötü amaçlı programlardır. Virüslerin oluşturduğu tehditler, Anti-Virüs yazılımı kullanılarak ve bir kuruluşun belirlediği güvenlik en iyi uygulamaları izlenerek ortadan kaldırılabilir veya etkisi en aza indirilebilir.
Yetkisiz Erişim – standart kural, kullanıcı adı ve şifre kombinasyonunun kullanılmasıdır. Bilgisayar korsanları, kullanıcının en iyi güvenlik uygulamalarını takip etmemesi durumunda bu kontrolleri nasıl atlatacağını öğrendi. Çoğu kuruluş, ekstra bir güvenlik katmanı sağlamak için telefon gibi mobil cihazların kullanımını eklemiştir.
Örneğin Gmail'i ele alalım; Google bir hesaba girişten şüphelenirse, giriş yapmak isteyen kişiden kimliğini android işletim sistemli mobil cihazlarından doğrulamasını ister veya kullanıcı adı ve şifreye ek olarak bir PIN numarası içeren bir SMS gönderir.
Şirketin Google gibi ekstra güvenlik uygulayacak yeterli kaynağı yoksa diğer teknikleri kullanabilir. Bu teknikler, kayıt sırasında kullanıcılara hangi şehirde büyüdükleri, ilk evcil hayvanlarının adı gibi sorular sormayı içerebilir. Kişi bu sorulara doğru yanıt verirse sisteme erişim sağlanır.
Veri kaybı – Veri merkezinin yangın alması veya su basması durumunda, verilerin bulunduğu donanım zarar görebilir ve içindeki veriler kaybolabilir. Standart bir güvenlik en iyi uygulaması olarak çoğu kuruluş, verilerin yedeklerini uzak yerlerde tutar. Yedeklemeler periyodik olarak yapılır ve genellikle birden fazla uzak alana konur.
Biyometrik Tanımlama – bu artık özellikle akıllı telefonlar gibi mobil cihazlarda çok yaygın hale geliyor. Telefon, kullanıcının parmak izini kaydedebilir ve bunu kimlik doğrulama amacıyla kullanabilir. Bu, saldırganların mobil cihaza yetkisiz erişim sağlamasını zorlaştırır. Bu teknoloji aynı zamanda yetkisiz kişilerin cihazlarınıza erişmesini engellemek için de kullanılabilir.
Bilgi sistemi etiği
Etik, insanların davranışlarını yönlendirmek için seçimler yaparken kullandıkları doğru ve yanlış kurallarını ifade eder. MIS'te etik, bilgi sistemlerini sorumlu bir şekilde kullanarak bireyleri ve toplumu korumayı ve korumayı amaçlar. Çoğu meslek genellikle, mesleğe bağlı tüm profesyonellerin uyması gereken bir etik kuralları veya davranış kuralları kuralları tanımlamıştır.
Özetle etik kuralları, özgür iradesiyle hareket eden bireyleri eylemlerinden sorumlu ve hesap verebilir kılar. MIS profesyonelleri için Etik Kurallarının bir örneğini British Computer Society (BCS) web sitesinde bulabilirsiniz.
Bilgi İletişim Teknolojisi (BİT) politikası
BİT politikası, bir kuruluşun bilgi teknolojisini ve bilgi sistemlerini sorumlu bir şekilde nasıl kullanması gerektiğini tanımlayan bir dizi kılavuzdur. BİT politikaları genellikle aşağıdaki konularda yönergeler içerir;
- Donanım ekipmanının satın alınması, kullanılması ve bunların güvenli bir şekilde nasıl imha edileceği
- Yalnızca lisanslı yazılımın kullanılması ve güvenlik nedeniyle tüm yazılımların en son yamalarla güncel olmasının sağlanması
- Şifrelerin nasıl oluşturulacağına (karmaşıklık zorunluluğu), şifrelerin nasıl değiştirileceğine vb. ilişkin kurallar.
- Bilgi teknolojisi ve bilgi sistemlerinin kabul edilebilir kullanımı
- BİT ve MIS kullanımına katılan tüm kullanıcıların eğitimi
ÖZET
Büyük güç büyük sorumluluk getirir. Bilgi sistemleri, iş yapma şeklimize yeni fırsatlar ve avantajlar getiriyor, ancak aynı zamanda toplumu olumsuz etkileyebilecek sorunları da (siber suçlar) ortaya çıkarıyor. Bir kuruluşun bu sorunları ele alması ve bunları ele alan bir çerçeve (MIS güvenliği, ICT politikası vb.) bulması gerekir.