Τα συστήματα πληροφοριών έχουν κάνει πολλές επιχειρήσεις επιτυχημένες σήμερα. Ορισμένες εταιρείες όπως το Google, το Facebook, το EBay κ.λπ. δεν θα υπήρχαν χωρίς τεχνολογία πληροφοριών. Ωστόσο, η ακατάλληλη χρήση της τεχνολογίας πληροφοριών μπορεί να δημιουργήσει προβλήματα για τον οργανισμό και τους υπαλλήλους.
Οι εγκληματίες που αποκτούν πρόσβαση σε πληροφορίες πιστωτικής κάρτας μπορούν να οδηγήσουν σε οικονομική απώλεια για τους κατόχους των καρτών ή του χρηματοπιστωτικού ιδρύματος. Η χρήση συστημάτων πληροφοριών οργανισμού, δηλαδή η ανάρτηση ακατάλληλου περιεχομένου στο Facebook ή το Twitter με χρήση εταιρικού λογαριασμού, μπορεί να οδηγήσει σε αγωγές και απώλεια επιχειρήσεων.
Αυτό το σεμινάριο θα αντιμετωπίσει τέτοιες προκλήσεις που θέτουν τα συστήματα πληροφοριών και τι μπορεί να γίνει για να ελαχιστοποιήσει ή να εξαλείψει τους κινδύνους.
Σε αυτό το σεμινάριο, θα μάθετε -
- Έγκλημα στον κυβερνοχώρο
- Ασφάλεια συστημάτων πληροφοριών
- Ηθική του συστήματος πληροφοριών
- Πολιτική τεχνολογίας επικοινωνιών πληροφοριών (ΤΠΕ)
Έγκλημα στον κυβερνοχώρο
Το έγκλημα στον κυβερνοχώρο αναφέρεται στη χρήση της τεχνολογίας πληροφοριών για τη διάπραξη εγκλημάτων. Τα εγκλήματα στον κυβερνοχώρο κυμαίνονται από απλώς ενοχλητικούς χρήστες υπολογιστών έως τεράστιες οικονομικές απώλειες και ακόμη και απώλεια ανθρώπινων ζωών. Η ανάπτυξη των smartphone και άλλων φορητών συσκευών προηγμένης τεχνολογίας που έχουν πρόσβαση στο Διαδίκτυο έχουν επίσης συμβάλει στην ανάπτυξη του εγκλήματος στον κυβερνοχώρο.
Τύποι εγκλήματος στον κυβερνοχώρο
Κλοπή ταυτότητας
Η κλοπή ταυτότητας συμβαίνει όταν ένας εγκληματίας στον κυβερνοχώρο πλαστοπροσωπεί την ταυτότητα κάποιου άλλου για να ασκήσει δυσλειτουργία. Αυτό γίνεται συνήθως με την πρόσβαση σε προσωπικά στοιχεία κάποιου άλλου. Οι λεπτομέρειες που χρησιμοποιούνται σε τέτοια εγκλήματα περιλαμβάνουν αριθμούς κοινωνικής ασφάλισης, ημερομηνία γέννησης, αριθμούς πιστωτικών και χρεωστικών καρτών, αριθμούς διαβατηρίου κ.λπ.
Μόλις οι πληροφορίες αποκτήθηκαν από τον εγκληματία στον κυβερνοχώρο, μπορούν να χρησιμοποιηθούν για την πραγματοποίηση αγορών στο Διαδίκτυο, ενώ πλαστοπροσωπείται ότι είναι κάποιος άλλος. Ένας από τους τρόπους που χρησιμοποιούν οι εγκληματίες στον κυβερνοχώρο για να αποκτήσουν τέτοια προσωπικά στοιχεία είναι το ηλεκτρονικό ψάρεμα. Το ηλεκτρονικό ψάρεμα (phishing) περιλαμβάνει τη δημιουργία πλαστών ιστότοπων που μοιάζουν με νόμιμους επιχειρηματικούς ιστότοπους ή email .
Για παράδειγμα, ένα email που φαίνεται να προέρχεται από το YAHOO μπορεί να ζητήσει από τον χρήστη να επιβεβαιώσει τα προσωπικά του στοιχεία, συμπεριλαμβανομένων των αριθμών επικοινωνίας και του κωδικού πρόσβασης email. Εάν ο χρήστης πέσει για το τέχνασμα και ενημερώσει τις λεπτομέρειες και παρέχει τον κωδικό πρόσβασης, ο εισβολέας θα έχει πρόσβαση σε προσωπικά στοιχεία και το email του θύματος.
Εάν το θύμα χρησιμοποιεί υπηρεσίες όπως το PayPal, τότε ο εισβολέας μπορεί να χρησιμοποιήσει τον λογαριασμό για να πραγματοποιήσει αγορές στο διαδίκτυο ή να μεταφέρει χρήματα.
Άλλες τεχνικές ηλεκτρονικού ψαρέματος περιλαμβάνουν τη χρήση ψεύτικων σημείων πρόσβασης Wi-Fi που μοιάζουν με νόμιμα. Αυτό είναι συνηθισμένο σε δημόσιους χώρους, όπως εστιατόρια και αεροδρόμια. Εάν ένας ανυποψίαστος χρήστης συνδεθεί στο δίκτυο, τότε τα εγκλήματα στον κυβερνοχώρο ενδέχεται να προσπαθήσουν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών κ.λπ.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, ένας πρώην υπάλληλος του υπουργείου Εξωτερικών χρησιμοποίησε ηλεκτρονικό ηλεκτρονικό "ψάρεμα" (phishing) για να αποκτήσει πρόσβαση σε λογαριασμούς email και κοινωνικών μέσων εκατοντάδων γυναικών και είχε πρόσβαση σε σαφείς φωτογραφίες. Ήταν σε θέση να χρησιμοποιήσει τις φωτογραφίες για να εκβιάσει τις γυναίκες και απείλησε να δημοσιοποιήσει τις φωτογραφίες, εάν δεν υποκύψουν στις απαιτήσεις του.
παραβίαση πνευματικών δικαιωμάτων
Η πειρατεία είναι ένα από τα μεγαλύτερα προβλήματα με τα ψηφιακά προϊόντα. Ιστότοποι όπως ο πειρατικός κόλπος χρησιμοποιούνται για τη διανομή υλικού που προστατεύεται από πνευματικά δικαιώματα, όπως ήχος, βίντεο, λογισμικό κ.λπ. Η παραβίαση πνευματικών δικαιωμάτων αναφέρεται στη μη εξουσιοδοτημένη χρήση υλικού που προστατεύεται από πνευματικά δικαιώματα.
Η γρήγορη πρόσβαση στο Διαδίκτυο και η μείωση του κόστους αποθήκευσης συνέβαλαν επίσης στην αύξηση των εγκλημάτων παραβίασης πνευματικών δικαιωμάτων.
Κάντε κλικ στην απάτη
Διαφημιστικές εταιρείες όπως το Google AdSense προσφέρουν υπηρεσίες πληρωμών ανά κλικ. Η απάτη κλικ εμφανίζεται όταν ένα άτομο κάνει κλικ σε έναν τέτοιο σύνδεσμο χωρίς πρόθεση να μάθει περισσότερα για το κλικ, αλλά να βγάλει περισσότερα χρήματα. Αυτό μπορεί επίσης να επιτευχθεί χρησιμοποιώντας αυτοματοποιημένο λογισμικό που κάνει τα κλικ.
Απάτη προκαταβολών
Ένα email αποστέλλεται στο θύμα-στόχο που τους υπόσχεται πολλά χρήματα για να τους βοηθήσει να διεκδικήσουν τα χρήματα της κληρονομιάς τους.
Σε τέτοιες περιπτώσεις, ο εγκληματίας συνήθως προσποιείται ότι είναι στενός συγγενής ενός πολύ πλούσιου γνωστού ατόμου που πέθανε. Ισχυρίζεται ότι κληρονόμησε τον πλούτο του πρώην πλουσίου και χρειάζεται βοήθεια για να διεκδικήσει την κληρονομιά. Θα ζητήσει οικονομική βοήθεια και υπόσχεται να ανταμείψει αργότερα. Εάν το θύμα στέλνει τα χρήματα στον απατεώνα, ο απατεώνας εξαφανίζεται και το θύμα χάνει τα χρήματα.
Παραβίαση
Η εισβολή χρησιμοποιείται για παράκαμψη ελέγχων ασφαλείας για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ένα σύστημα. Μόλις ο εισβολέας αποκτήσει πρόσβαση στο σύστημα, μπορεί να κάνει ό, τι θέλει. Μερικές από τις κοινές δραστηριότητες που γίνονται όταν το σύστημα είναι hacked είναι:
- Εγκαταστήστε προγράμματα που επιτρέπουν στους εισβολείς να κατασκοπεύουν τον χρήστη ή να ελέγχουν το σύστημά τους από απόσταση
- Παραμορφώστε τους ιστότοπους
- Κλέψτε ευαίσθητες πληροφορίες. Αυτό μπορεί να γίνει χρησιμοποιώντας τεχνικές όπως SQL Injection, αξιοποίηση ευπαθειών στο λογισμικό βάσης δεδομένων για πρόσβαση, τεχνικές κοινωνικής μηχανικής που εξαπατούν τους χρήστες να υποβάλλουν ταυτότητες και κωδικούς πρόσβασης κ.λπ.
ΙΟΣ υπολογιστη
Οι ιοί είναι μη εξουσιοδοτημένα προγράμματα που μπορούν να ενοχλήσουν τους χρήστες, να κλέψουν ευαίσθητα δεδομένα ή να χρησιμοποιηθούν για τον έλεγχο εξοπλισμού που ελέγχεται από υπολογιστές.
Ασφάλεια συστημάτων πληροφοριών
Η ασφάλεια MIS αναφέρεται σε μέτρα που λαμβάνονται για την προστασία των πόρων του συστήματος πληροφοριών από μη εξουσιοδοτημένη πρόσβαση ή παραβίαση. Οι ευπάθειες ασφαλείας είναι αδυναμίες σε ένα σύστημα υπολογιστή, λογισμικό ή υλικό που μπορούν να αξιοποιηθούν από τον εισβολέα για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση ή να θέσουν σε κίνδυνο ένα σύστημα.
Οι άνθρωποι ως μέρος των στοιχείων του συστήματος πληροφοριών μπορούν επίσης να αξιοποιηθούν χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής. Ο στόχος της κοινωνικής μηχανικής είναι να κερδίσει την εμπιστοσύνη των χρηστών του συστήματος.
Ας δούμε τώρα μερικές από τις απειλές που αντιμετωπίζει το σύστημα πληροφοριών και τι μπορεί να γίνει για να εξαλειφθεί ή να ελαχιστοποιηθεί η ζημιά εάν επρόκειτο να υλοποιηθεί.
Ιοί υπολογιστών - πρόκειται για κακόβουλα προγράμματα όπως περιγράφεται στην παραπάνω ενότητα. Οι απειλές που δημιουργούνται από ιούς μπορούν να εξαλειφθούν ή να ελαχιστοποιηθεί ο αντίκτυπος χρησιμοποιώντας λογισμικό Anti-Virus και ακολουθώντας τις βέλτιστες πρακτικές ασφαλείας ενός οργανισμού.
Μη εξουσιοδοτημένη πρόσβαση - η τυπική σύμβαση είναι η χρήση ενός συνδυασμού ονόματος χρήστη και κωδικού πρόσβασης. Οι χάκερ έχουν μάθει πώς να παρακάμπτουν αυτά τα στοιχεία ελέγχου, εάν ο χρήστης δεν ακολουθεί τις βέλτιστες πρακτικές ασφαλείας. Οι περισσότεροι οργανισμοί έχουν προσθέσει τη χρήση κινητών συσκευών όπως τα τηλέφωνα για να παρέχουν ένα επιπλέον επίπεδο ασφάλειας.
Ας πάρουμε το Gmail ως παράδειγμα, εάν η Google είναι ύποπτη για τη σύνδεση σε έναν λογαριασμό, θα ζητήσει από το άτομο που πρόκειται να συνδεθεί για να επιβεβαιώσει την ταυτότητά του χρησιμοποιώντας τις κινητές συσκευές του Android ή να στείλει ένα SMS με αριθμό PIN που θα πρέπει να συμπληρώνει το όνομα χρήστη και Κωδικός πρόσβασης.
Εάν η εταιρεία δεν διαθέτει αρκετούς πόρους για να εφαρμόσει επιπλέον ασφάλεια όπως η Google, μπορεί να χρησιμοποιήσει άλλες τεχνικές. Αυτές οι τεχνικές μπορούν να περιλαμβάνουν την υποβολή ερωτήσεων στους χρήστες κατά την εγγραφή, όπως σε ποια πόλη μεγάλωσαν, το όνομα του πρώτου κατοικίδιου τους κ.λπ. Εάν το άτομο παρέχει ακριβείς απαντήσεις σε αυτές τις ερωτήσεις, παρέχεται πρόσβαση στο σύστημα.
Απώλεια δεδομένων - εάν το κέντρο δεδομένων πυρπολήθηκε ή πλημμύρισε, το υλικό με τα δεδομένα μπορεί να καταστραφεί και τα δεδομένα σε αυτό θα χαθούν. Ως τυπική βέλτιστη πρακτική ασφάλειας, οι περισσότεροι οργανισμοί διατηρούν αντίγραφα ασφαλείας των δεδομένων σε απομακρυσμένα μέρη. Τα αντίγραφα ασφαλείας γίνονται περιοδικά και συνήθως τοποθετούνται σε περισσότερες από μία απομακρυσμένες περιοχές.
Βιομετρική ταυτοποίηση - αυτό γίνεται πλέον πολύ συνηθισμένο ειδικά με κινητές συσκευές, όπως smartphone. Το τηλέφωνο μπορεί να εγγράψει το δακτυλικό αποτύπωμα του χρήστη και να το χρησιμοποιήσει για σκοπούς ελέγχου ταυτότητας. Αυτό καθιστά δυσκολότερο για τους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στην κινητή συσκευή. Τέτοια τεχνολογία μπορεί επίσης να χρησιμοποιηθεί για να εμποδίσει την πρόσβαση μη εξουσιοδοτημένων ατόμων στις συσκευές σας.
Ηθική του συστήματος πληροφοριών
Η ηθική αναφέρεται σε κανόνες σωστού και λάθους που χρησιμοποιούν οι άνθρωποι για να κάνουν επιλογές για να καθοδηγήσουν τις συμπεριφορές τους. Η ηθική στο MIS επιδιώκει να προστατεύει και να προστατεύει τα άτομα και την κοινωνία χρησιμοποιώντας υπεύθυνα συστήματα πληροφοριών. Τα περισσότερα επαγγέλματα έχουν συνήθως ορίσει έναν κώδικα δεοντολογίας ή έναν κώδικα δεοντολογίας που πρέπει να τηρούν όλοι οι επαγγελματίες που σχετίζονται με το επάγγελμα.
Με λίγα λόγια, ένας κώδικας δεοντολογίας καθιστά τα άτομα που ενεργούν με την ελεύθερη βούλησή τους υπεύθυνα και υπόλογα για τις πράξεις τους. Ένα παράδειγμα κώδικα δεοντολογίας για επαγγελματίες του MIS βρίσκεται στον ιστότοπο της Βρετανικής Εταιρείας Υπολογιστών (BCS).
Πολιτική τεχνολογίας επικοινωνιών πληροφοριών (ΤΠΕ)
Μια πολιτική ΤΠΕ είναι ένα σύνολο κατευθυντήριων γραμμών που καθορίζει τον τρόπο με τον οποίο ένας οργανισμός πρέπει να χρησιμοποιεί υπεύθυνα την τεχνολογία πληροφοριών και τα συστήματα πληροφοριών. Οι πολιτικές ΤΠΕ περιλαμβάνουν συνήθως οδηγίες για:
- Αγορά και χρήση εξοπλισμού υλικού και πώς να τα απορρίψετε με ασφάλεια
- Χρήση μόνο λογισμικού με άδεια χρήσης και διασφάλιση ότι όλο το λογισμικό είναι ενημερωμένο με τις πιο πρόσφατες ενημερώσεις κώδικα για λόγους ασφαλείας
- Κανόνες για τη δημιουργία κωδικών πρόσβασης (επιβολή πολυπλοκότητας), την αλλαγή κωδικών πρόσβασης κ.λπ.
- Αποδεκτή χρήση της τεχνολογίας πληροφοριών και των συστημάτων πληροφοριών
- Εκπαίδευση όλων των χρηστών που εμπλέκονται στη χρήση ΤΠΕ και MIS
Περίληψη:
Με μεγάλη δύναμη έρχεται μεγάλη ευθύνη. Τα πληροφοριακά συστήματα προσφέρουν νέες ευκαιρίες και πλεονεκτήματα στον τρόπο με τον οποίο δραστηριοποιούμαστε, αλλά εισάγουν επίσης ζητήματα που μπορούν να επηρεάσουν αρνητικά την κοινωνία (έγκλημα στον κυβερνοχώρο). Ένας οργανισμός πρέπει να αντιμετωπίσει αυτά τα ζητήματα και να βρει ένα πλαίσιο (ασφάλεια MIS, πολιτική ΤΠΕ κ.λπ.) που τα αντιμετωπίζει.