Питання етики та безпеки в інформаційній системі

Автор: Атлас Фенікс Атлас Фенікс
Hours оновлений

Сьогодні інформаційні системи зробили багато компаній успішними. Деякі компанії, такі як Google, Facebook, EBay тощо, не існували б без інформаційних технологій. Однак неправильне використання інформаційних технологій може створити проблеми для організації та працівників.

Злочинці, які отримують доступ до інформації про кредитні картки, можуть призвести до фінансових збитків для власників карток або фінансової установи. Використання інформаційних систем організації, тобто розміщення невідповідного вмісту на Facebook або Twitter за допомогою облікового запису компанії, може призвести до судових позовів і втрати бізнесу.

У цьому підручнику розглядатимуться виклики, пов’язані з інформаційними системами, і описано, що можна зробити, щоб мінімізувати або усунути ризики.

Кібер-злочинність

Кіберзлочинність стосується використання інформаційних технологій для вчинення злочинів. Кіберзлочини можуть варіюватися від простого дратування користувачів комп’ютерів до величезних фінансових втрат і навіть втрати людського життя. Зростання смартфонів та інших висококласних Mobile пристрої, які мають доступ до Інтернету, також сприяли зростанню кіберзлочинності.

Кіберзлочинність

Види кіберзлочинності

Крадіжки особистих даних

Крадіжка особистих даних відбувається, коли кіберзлочинець видає себе за іншу особу, щоб попрактикуватися в збоях. Зазвичай це робиться шляхом доступу до особистих даних іншої особи. Деталі, які використовуються в таких злочинах, включають номери соціального страхування, дату народження, номери кредитних і дебетових карток, номери паспортів тощо.

Після того як кіберзлочинець отримав інформацію, її можна використовувати для здійснення покупок в Інтернеті, видаючи себе за когось іншого. Одним із способів, які кіберзлочинці використовують для отримання таких особистих даних, є фішинг. Фішинг передбачає створення підроблених веб-сайтів, які виглядають як законні бізнес-сайти або електронні листи.

Наприклад, електронний лист, який начебто надійшов від YAHOO, може попросити користувача підтвердити свої особисті дані, зокрема контактні номери та пароль електронної пошти. Якщо користувач впаде на хитрість і оновить дані та надасть пароль, зловмисник матиме доступ до особистих даних та електронної пошти жертви.

Якщо жертва використовує такі сервіси, як PayPal, то зловмисник може використовувати обліковий запис для здійснення покупок в Інтернеті або переказу коштів.

Інші методи фішингу включають використання підроблених точок доступу Wi-Fi, які виглядають як законні. Це часто зустрічається в громадських місцях, таких як ресторани та аеропорти. Якщо нічого не підозрюючи користувач входить у мережу, кіберзлочинці можуть спробувати отримати доступ до конфіденційної інформації, такої як імена користувачів, паролі, номери кредитних карток тощо.

За даними Міністерства юстиції США, колишня співробітниця Держдепартаменту використовувала фішинг електронної пошти, щоб отримати доступ до електронної пошти та облікових записів у соціальних мережах сотень жінок, а також отримала доступ до відвертих фотографій. Він міг використовувати фотографії, щоб вимагати від жінок і погрожував оприлюднити фотографії, якщо вони не піддадуться його вимогам.

Порушення авторських прав

Піратство є однією з найбільших проблем цифрових продуктів. Веб-сайти, такі як pirate bay, використовуються для розповсюдження захищених авторським правом матеріалів, таких як аудіо, відео, програмне забезпечення тощо. Порушення авторських прав стосується несанкціонованого використання матеріалів, захищених авторським правом.

Швидкий доступ до Інтернету та зниження вартості зберігання також сприяли зростанню злочинів, пов’язаних із порушенням авторських прав.

Натисніть шахрайство

Рекламні компанії, такі як Google AdSense, пропонують рекламні послуги з оплатою за клік. Шахрайство з кліками відбувається, коли людина натискає таке посилання не з наміром дізнатися більше про клік, а з метою заробити більше грошей. Цього також можна досягти за допомогою автоматизованого програмного забезпечення, яке здійснює клацання.

Шахрайство з авансовою оплатою

Цільовій жертві надсилається електронний лист, у якому їй обіцяють багато грошей за допомогу у витребуванні грошей у спадщину.

У таких випадках злочинець зазвичай видає себе за близького родича померлої дуже багатої відомої людини. Він/вона стверджує, що успадкував статки покійного багатого, і потребує допомоги, щоб претендувати на спадщину. Він/вона попросить матеріальної допомоги та обіцяє винагороду пізніше. Якщо жертва надсилає гроші шахраю, шахрай зникає, а жертва втрачає гроші.

Злом

Хакерство використовується для обходу заходів безпеки та отримання несанкціонованого доступу до системи. Після того, як зловмисник отримав доступ до системи, він може робити все, що забажає. Деякі з типових дій, які виконуються під час злому системи:

  • Встановлюйте програми, які дозволяють зловмисникам стежити за користувачем або дистанційно контролювати його систему
  • Дефейс веб-сайтів
  • Викрасти конфіденційну інформацію. Це можна зробити за допомогою таких прийомів, як SQL Ін’єкції, використання вразливостей у програмному забезпеченні бази даних для отримання доступу, методи соціальної інженерії, які обманом змушують користувачів надати ідентифікатори та паролі тощо.

Комп'ютерний вірус

Віруси — це неавторизовані програми, які можуть дратувати користувачів, викрадати конфіденційні дані або використовуватися для керування обладнанням, яким керують комп’ютери.

Безпека інформаційної системи

Безпека MIS відноситься до заходів, вжитих для захисту ресурсів інформаційної системи від несанкціонованого доступу або компрометації. Вразливі місця безпеки — це слабкі місця в комп’ютерній системі, програмному чи апаратному забезпеченні, якими може скористатися зловмисник, щоб отримати неавторизований доступ або зламати систему.

Людей як частину компонентів інформаційної системи також можна експлуатувати за допомогою методів соціальної інженерії. Мета соціальної інженерії - завоювати довіру користувачів системи.

Давайте тепер розглянемо деякі загрози, з якими стикається інформаційна система, і що можна зробити, щоб усунути або мінімізувати шкоду, якщо загроза матеріалізується.

Безпека інформаційної системи

Комп'ютерні віруси – це шкідливі програми, описані в розділі вище. Загрози, створені вірусами, можна усунути або мінімізувати вплив за допомогою антивірусного програмного забезпечення та дотримання найкращих практик безпеки організації.

Несанкціонований доступ – стандартна угода передбачає використання комбінації імені користувача та пароля. Хакери навчилися обходити ці елементи керування, якщо користувач не дотримується найкращих практик безпеки. Більшість організацій додали використання мобільних пристроїв, таких як телефони, щоб забезпечити додатковий рівень безпеки.

Візьмемо для прикладу Gmail: якщо Google підозрює вхід в обліковий запис, вони попросять особу, яка збирається ввійти, підтвердити свою особу за допомогою мобільного пристрою Android або надіслати SMS із PIN-кодом, який має доповнювати ім’я користувача та пароль.

Якщо компанія не має достатньо ресурсів для впровадження додаткової безпеки, як у Google, вона може використовувати інші методи. Ці методи можуть включати запитання користувачам під час реєстрації, наприклад, у якому місті вони виросли, ім’я їхньої першої тварини тощо. Якщо особа дає точні відповіді на ці запитання, доступ до системи надається.

втрата даних – якщо дата-центр загорівся або був затоплений, обладнання з даними може бути пошкоджено, і дані на ньому будуть втрачені. За стандартною практикою безпеки більшість організацій зберігають резервні копії даних у віддалених місцях. Резервне копіювання створюється періодично і зазвичай розміщується в кількох віддалених областях.

Біометрична ідентифікація – це зараз стає дуже поширеним, особливо для мобільних пристроїв, таких як смартфони. Телефон може записувати відбиток пальця користувача та використовувати його для автентифікації. Це ускладнює зловмисникам отримати несанкціонований доступ до мобільного пристрою. Цю технологію також можна використовувати, щоб не дозволити стороннім особам отримати доступ до ваших пристроїв.

СТАТТІ ПО ТЕМІ

Інформаційна система Етика

Етика відноситься до правил правильного і неправильного, які люди використовують, щоб зробити вибір, керуючи своєю поведінкою. Етика в MIS спрямована на захист і захист окремих осіб і суспільства шляхом відповідального використання інформаційних систем. У більшості професій зазвичай є етичний кодекс або правила поведінки, яких повинні дотримуватися всі професіонали, пов’язані з професією.

У двох словах, кодекс етики робить людей, які діють за власним бажанням, відповідальними за свої дії. Приклад кодексу етики для спеціалістів з інформаційних технологій можна знайти на веб-сайті Британського комп’ютерного товариства (BCS).

Політика щодо інформаційно-комунікаційних технологій (ІКТ).

Політика ІКТ – це набір вказівок, які визначають, як організація має відповідально використовувати інформаційні технології та інформаційні системи. Політика ІКТ зазвичай включає вказівки щодо;

  • Придбання та використання апаратного обладнання та способи його безпечної утилізації
  • Використання лише ліцензійного програмного забезпечення та забезпечення того, щоб все програмне забезпечення було оновлено з останніми виправленнями з міркувань безпеки
  • Правила створення паролів (забезпечення складності), зміни паролів тощо.
  • Прийнятне використання інформаційних технологій та інформаційних систем
  • Навчання всіх користувачів, залучених до використання ІКТ та ІСУ

Підсумки

З великою силою приходить велика відповідальність. Інформаційні системи надають нові можливості та переваги тому, як ми ведемо бізнес, але вони також створюють проблеми, які можуть негативно вплинути на суспільство (кіберзлочинність). Організація повинна вирішити ці проблеми та розробити структуру (безпека MIS, політика ІКТ тощо), яка їх вирішує.