Сьогодні інформаційні системи зробили багато підприємств успішними. Деякі компанії, такі як Google, Facebook, EBay тощо, не існували б без інформаційних технологій. Однак неправильне використання інформаційних технологій може створити проблеми для організації та працівників.
Зловмисники, які отримують доступ до інформації про кредитні картки, можуть призвести до фінансових втрат для власників карток або фінансового інституту. Використання інформаційних систем організації, тобто розміщення неприйнятного вмісту у Facebook або Twitter за допомогою облікового запису компанії, може призвести до судових позовів та втрати бізнесу.
Цей підручник розгляне такі проблеми, які постають перед інформаційними системами, і те, що можна зробити, щоб мінімізувати або усунути ризики.
У цьому підручнику ви дізнаєтесь -
- Кіберзлочинність
- Безпека інформаційної системи
- Інформаційна система Етика
- Політика щодо інформаційних комунікаційних технологій (ІКТ)
Кіберзлочинність
Кіберзлочинність стосується використання інформаційних технологій для вчинення злочинів. Кіберзлочини можуть варіюватися від просто надокучливих користувачів комп’ютерів до величезних фінансових втрат і навіть людських втрат. Зростання смартфонів та інших мобільних пристроїв високого класу, які мають доступ до Інтернету, також сприяло зростанню кіберзлочинності.
Види кіберзлочинів
Крадіжки особистих даних
Крадіжка особистості відбувається, коли кібер-злочинець видає себе за чужу особу, щоб практикувати несправність. Зазвичай це робиться шляхом доступу до особистих даних когось іншого. Інформація, яка використовується у таких злочинах, включає номери соціального страхування, дату народження, номери кредитних та дебетових карток, номери паспортів тощо.
Після отримання інформації кібер-злочинцем її можна використовувати для здійснення покупок в Інтернеті, видаючи себе за когось іншого. Одним із способів використання кіберзлочинців для отримання таких особистих даних є фішинг. Фішинг передбачає створення підроблених веб-сайтів, схожих на законні ділові веб-сайти чи електронні листи .
Наприклад, електронне повідомлення, яке, здається, надходить від YAHOO, може попросити користувача підтвердити свої особисті дані, включаючи контактні номери та пароль електронної пошти. Якщо користувач погодиться на підступ і оновить деталі та надасть пароль, зловмисник матиме доступ до особистих даних та електронної пошти жертви.
Якщо жертва користується такими послугами, як PayPal, то зловмисник може використовувати рахунок для здійснення покупок в Інтернеті або переказу коштів.
Інші техніки фішингу передбачають використання підроблених точок доступу Wi-Fi, які виглядають як законні. Це часто трапляється в громадських місцях, таких як ресторани та аеропорти. Якщо нічого не підозрюючий користувач входить у мережу, тоді кіберзлочини можуть спробувати отримати доступ до конфіденційної інформації, такої як імена користувачів, паролі, номери кредитних карток тощо.
За даними Міністерства юстиції США, колишній співробітник державного департаменту використовував фішинг електронної пошти, щоб отримати доступ до електронної пошти та акаунтів соцмереж сотень жінок та отримував доступ до явних фотографій. Він зміг використати фотографії, щоб вимагати жінок, і погрожував опублікувати фотографії, якщо вони не поступляться його вимогам.
Порушення авторських прав
Піратство - одна з найбільших проблем цифрових продуктів. Веб-сайти, такі як піратська бухта, використовуються для розповсюдження захищених авторським правом матеріалів, таких як аудіо, відео, програмне забезпечення тощо. Порушення авторських прав стосується несанкціонованого використання захищених авторським правом матеріалів.
Швидкий доступ до Інтернету та зменшення витрат на зберігання також сприяли зростанню злочинів, пов’язаних із порушенням авторських прав.
Клацніть на шахрайство
Такі рекламні компанії, як Google AdSense, пропонують рекламні послуги з оплатою за клік. Шахрайство з кліками відбувається, коли людина натискає таке посилання, не маючи наміру знати більше про клік, а заробляти більше грошей. Цього також можна досягти за допомогою автоматизованого програмного забезпечення, яке здійснює кліки.
Попереднє шахрайство зі збором
Цільовій жертві надсилається електронне повідомлення, яке обіцяє їм багато грошей на користь допомоги у витребуванні грошей на спадщину.
У таких випадках злочинець зазвичай видає себе за близького родича дуже багатої відомої людини, яка загинула. Він / вона стверджує, що успадкував багатство померлої багатої людини і потребує допомоги, щоб вимагати спадщини. Він / вона попросить фінансової допомоги та обіцяє винагородити пізніше. Якщо жертва надсилає гроші шахраю, шахрай зникає, а жертва втрачає гроші.
Злом
Злом використовується для обходу засобів контролю безпеки для отримання несанкціонованого доступу до системи. Як тільки зловмисник отримає доступ до системи, він може робити все, що забажає. Деякі загальні заходи, які проводяться під час злому системи, - це;
- Встановіть програми, які дозволяють зловмисникам підглядати за користувачем або віддалено керувати їх системою
- Зневажте веб-сайти
- Викрасти конфіденційну інформацію. Це можна зробити за допомогою таких методів, як SQL Injection, використання вразливостей програмного забезпечення для баз даних для отримання доступу, методів соціальної інженерії, які обманюють користувачів надсилати ідентифікатори та паролі тощо
Комп’ютерний вірус
Віруси - це несанкціоновані програми, які можуть дратувати користувачів, викрадати конфіденційні дані або використовуватися для управління обладнанням, яке контролюється комп’ютерами.
Безпека інформаційної системи
Безпека MIS стосується заходів, вжитих для захисту ресурсів інформаційної системи від несанкціонованого доступу або компрометації. Вразливі місця безпеки - це слабкі місця в комп'ютерній системі, програмному забезпеченні чи апаратному забезпеченні, які зловмисник може використати для отримання несанкціонованого доступу чи компрометації системи.
Людей як частину компонентів інформаційної системи можна також експлуатувати за допомогою методів соціальної інженерії. Метою соціальної інженерії є завоювання довіри користувачів системи.
Давайте тепер розглянемо деякі загрози, з якими стикається інформаційна система, і те, що можна зробити, щоб усунути або мінімізувати шкоду, якщо загроза має бути реалізована.
Комп’ютерні віруси - це шкідливі програми, як описано у вищенаведеному розділі. Загрози, які представляють віруси, можна усунути або мінімізувати вплив за допомогою антивірусного програмного забезпечення та слідуючи викладеним найкращим практикам безпеки організації.
Несанкціонований доступ - стандартна умова полягає у використанні комбінації імені користувача та пароля. Хакери дізналися, як обійти цей контроль, якщо користувач не дотримується найкращих практик безпеки. Більшість організацій додали використання мобільних пристроїв, таких як телефони, для забезпечення додаткового рівня безпеки.
Візьмемо для прикладу Gmail, якщо Google підозрює до входу в обліковий запис, він попросить людину, яка збирається ввійти, підтвердити свою особу за допомогою своїх мобільних пристроїв, що працюють на Android, або надішліть SMS із PIN-кодом, який повинен доповнити ім’я користувача та пароль.
Якщо компанія не має достатньо ресурсів для впровадження додаткових засобів безпеки, таких як Google, вони можуть використовувати інші методи. Ці методи можуть включати задавання запитань користувачам під час реєстрації, таких як місто, в якому вони виросли, ім’я їх першого вихованця тощо. Якщо особа надає точні відповіді на це питання, доступ надається в систему.
Втрата даних - якщо центр обробки даних загорівся або був затоплений, апаратне забезпечення з даними може бути пошкоджено, і дані в ньому будуть втрачені. Як стандартна найкраща практика безпеки більшість організацій зберігають резервні копії даних у віддалених місцях. Резервні копії робляться періодично і зазвичай розміщуються в більш ніж одній віддаленій області.
Біометрична ідентифікація - це зараз стає дуже поширеним явищем, особливо серед мобільних пристроїв, таких як смартфони. Телефон може записати відбиток пальця користувача та використовувати його для цілей автентифікації. Це зловмисникам ускладнює отримання несанкціонованого доступу до мобільного пристрою. Така технологія також може бути використана, щоб не дозволити стороннім людям отримати доступ до ваших пристроїв.
Інформаційна система Етика
Етика відноситься до правил доброго і неправильного, які люди використовують для вибору, щоб керувати своєю поведінкою. Етика в ІСУ спрямована на захист та захист людей та суспільства, відповідально використовуючи інформаційні системи. У більшості професій, як правило, визначено етичний кодекс чи правила поведінки, яких повинні дотримуватися всі професіонали, пов’язані з цією професією.
У двох словах, етичний кодекс робить людей, що діють за власним бажанням, відповідальними та відповідальними за свої дії. Приклад етичного кодексу для фахівців з ІСУ можна знайти на веб-сайті Британського комп'ютерного товариства (БКС).
Політика щодо інформаційних комунікаційних технологій (ІКТ)
Політика в галузі ІКТ - це набір керівних принципів, який визначає, як організації слід відповідально використовувати інформаційні технології та інформаційні системи. Політика ІКТ зазвичай включає вказівки щодо;
- Придбання та використання апаратного обладнання та способи безпечного розпорядження ним
- Використання лише ліцензійного програмного забезпечення та гарантування того, що все програмне забезпечення оновлюється з найновішими виправленнями з міркувань безпеки
- Правила створення паролів (накладення складності), зміна паролів тощо.
- Допустиме використання інформаційних технологій та інформаційних систем
- Навчання всіх користувачів, залучених до використання ІКТ та ІСУ
Короткий зміст:
З великою силою приходить велика відповідальність. Інформаційні системи приносять нові можливості та переваги тому, як ми ведемо бізнес, але вони також представляють проблеми, які можуть негативно вплинути на суспільство (кіберзлочинність). Організація повинна вирішити ці проблеми і розробити структуру (безпека ІСУ, політика ІКТ тощо), яка їх вирішує.