Информационните системи направиха много бизнеси успешни днес. Някои компании като Google, Facebook, EBay и др. Не биха съществували без информационни технологии. Неправилното използване на информационните технологии обаче може да създаде проблеми за организацията и служителите.
Престъпниците, получили достъп до информация за кредитни карти, могат да доведат до финансови загуби за собствениците на картите или финансовия институт. Използването на информационни системи на организацията, т.е. публикуването на неподходящо съдържание във Facebook или Twitter с помощта на фирмен акаунт може да доведе до съдебни дела и загуба на бизнес.
Този урок ще разгледа предизвикателствата, които са поставени от информационните системи и какво може да се направи, за да се минимизират или премахнат рисковете.
В този урок ще научите -
- Кибер престъпление
- Сигурност на информационната система
- Етика на информационната система
- Политика на информационните комуникационни технологии (ИКТ)
Кибер престъпление
Киберпрестъпността се отнася до използването на информационни технологии за извършване на престъпления. Киберпрестъпленията могат да варират от просто досадни компютърни потребители до огромни финансови загуби и дори загуба на човешки живот. Растежът на смартфони и други мобилни устройства от висок клас, които имат достъп до интернет, също са допринесли за растежа на киберпрестъпността.
Видове киберпрестъпления
Кражба на самоличност
Кражбата на самоличност се случва, когато кибер-престъпник се представя за чужда самоличност, за да практикува неизправност. Това обикновено се прави чрез достъп до лични данни на някой друг. Подробностите, използвани при такива престъпления, включват номера на социално осигуряване, дата на раждане, номера на кредитни и дебитни карти, номера на паспорти и др.
След като информацията бъде получена от кибер престъпника, тя може да се използва за извършване на покупки онлайн, като същевременно се представя за някой друг. Един от начините, които киберпрестъпниците използват за получаване на такива лични данни, е фишингът. Фишингът включва създаване на фалшиви уебсайтове, които приличат на законни бизнес уебсайтове или имейли .
Например имейл, който изглежда идва от YAHOO, може да поиска от потребителя да потвърди личните му данни, включително номера за контакт и парола за имейл. Ако потребителят се подчини на трика и актуализира подробностите и предостави паролата, нападателят ще има достъп до лични данни и имейл на жертвата.
Ако жертвата използва услуги като PayPal, тогава нападателят може да използва акаунта, за да прави покупки онлайн или да прехвърля средства.
Други фишинг техники включват използването на фалшиви точки за достъп до Wi-Fi, които изглеждат като легитимни. Това е често срещано на обществени места като ресторанти и летища. Ако нищо неподозиращ потребител влезе в мрежата, тогава киберпрестъпленията могат да се опитат да получат достъп до чувствителна информация като потребителски имена, пароли, номера на кредитни карти и т.н.
Според Министерството на правосъдието на САЩ бивш служител на държавния департамент е използвал фишинг на имейли, за да получи достъп до имейли и акаунти в социалните медии на стотици жени и е имал достъп до явни снимки. Той успя да използва снимките, за да изнудва жените и се закани да ги направи публично достояние, ако не се поддадат на исканията му.
Нарушаване на авторски права
Пиратството е един от най-големите проблеми с цифровите продукти. Уеб сайтове като пиратския залив се използват за разпространение на защитени с авторски права материали като аудио, видео, софтуер и др. Нарушаването на авторски права се отнася до неразрешеното използване на защитени с авторски права материали.
Бързият достъп до интернет и намаляването на разходите за съхранение също са допринесли за нарастването на престъпленията за нарушаване на авторски права.
Щракнете върху измама
Рекламни компании като Google AdSense предлагат рекламни услуги с плащане на клик. Измама с кликване се случва, когато човек щракне върху такава връзка, без намерение да знае повече за кликването, а да спечели повече пари. Това може да се постигне и с помощта на автоматизиран софтуер, който извършва кликванията.
Предварителна такса за измама
До целевата жертва се изпраща имейл, който им обещава много пари в полза да им помогне да поискат парите си от наследство.
В такива случаи престъпникът обикновено се представя за близък роднина на много богат известен човек, който е починал. Той / тя твърди, че е наследил богатството на покойния богаташ и се нуждае от помощ, за да поиска наследството. Той / тя ще поиска финансова помощ и ще обещае да награди по-късно. Ако жертвата изпрати парите на измамника, измамникът изчезва и жертвата губи парите.
Хакване
Хакерството се използва за заобикаляне на контролите за сигурност, за да се получи неоторизиран достъп до система. След като нападателят получи достъп до системата, той може да прави каквото си поиска. Някои от често срещаните дейности, извършвани при хакване на системата, са;
- Инсталирайте програми, които позволяват на нападателите да шпионират потребителя или да контролират дистанционно тяхната система
- Deface уебсайтове
- Крадете чувствителна информация. Това може да се направи с помощта на техники като SQL Injection, експлоатация на уязвимости в софтуера на базата данни за получаване на достъп, техники за социално инженерство, които подвеждат потребителите да изпращат идентификатори и пароли и т.н.
Компютърен вирус
Вирусите са неоторизирани програми, които могат да дразнят потребителите, да крадат чувствителни данни или да се използват за управление на оборудване, което се контролира от компютри.
Сигурност на информационната система
Сигурността на MIS се отнася до мерки, въведени за защита на ресурсите на информационната система от неоторизиран достъп или компрометиране. Уязвимостите в сигурността са слабости в компютърна система, софтуер или хардуер, които могат да бъдат използвани от нападателя, за да получат неоторизиран достъп или да компрометират система.
Хората като част от компонентите на информационната система също могат да бъдат експлоатирани с помощта на техники за социално инженерство. Целта на социалното инженерство е да спечели доверието на потребителите на системата.
Нека сега разгледаме някои от заплахите, пред които е изправена информационната система, и какво може да се направи, за да се елиминират или сведат до минимум щетите, ако заплахата се материализира.
Компютърни вируси - това са злонамерени програми, както е описано в горния раздел. Заплахите, породени от вируси, могат да бъдат премахнати или въздействието да бъде сведено до минимум чрез използване на антивирусен софтуер и следване на заложените най-добри практики за сигурност на организацията.
Неупълномощен достъп - стандартната конвенция е да се използва комбинация от потребителско име и парола. Хакерите са се научили как да заобикалят тези контроли, ако потребителят не спазва най-добрите практики за сигурност. Повечето организации са добавили използването на мобилни устройства като телефони, за да осигурят допълнителен слой сигурност.
Нека да вземем Gmail за пример, ако Google има подозрение за влизане в акаунт, той ще помоли човека, който предстои да влезе, да потвърди самоличността си с помощта на своите мобилни устройства с Android или да изпрати SMS с ПИН номер, който трябва да допълни потребителското име и парола.
Ако компанията няма достатъчно ресурси за внедряване на допълнителна сигурност като Google, те могат да използват други техники. Тези техники могат да включват задаване на въпроси на потребителите по време на регистрация, като например в кой град са израснали, името на първия им домашен любимец и др. Ако лицето даде точни отговори на този въпрос, достъпът се предоставя в системата.
Загуба на данни - ако центърът за данни се е запалил или е бил наводнен, хардуерът с данните може да бъде повреден и данните в него ще бъдат загубени. Като стандартна най-добра практика за сигурност повечето организации съхраняват резервни копия на данните на отдалечени места. Архивите се правят периодично и обикновено се поставят в повече от една отдалечена област.
Биометрична идентификация - това сега става много често, особено при мобилни устройства като смартфони. Телефонът може да запише отпечатъка на потребителя и да го използва за целите на удостоверяването. Това затруднява нападателите да получат неоторизиран достъп до мобилното устройство. Такава технология може също да се използва, за да попречи на неоторизирани хора да получат достъп до вашите устройства.
Етика на информационната система
Етиката се отнася до правила за добро и зло, които хората използват, за да правят избори, за да ръководят поведението си. Етиката в МИС се стреми да защитава и защитава хората и обществото, като използва информационните системи отговорно. Повечето професии обикновено са дефинирали етичен кодекс или насоки за поведение, които всички професионалисти, свързани с професията, трябва да спазват.
Накратко, етичен кодекс прави хората, действащи по свободната си воля, отговорни и отговорни за своите действия. Пример за Етичен кодекс за специалистите в МИС може да се намери на уебсайта на Британското компютърно общество (BCS).
Политика на информационните комуникационни технологии (ИКТ)
Политиката в областта на ИКТ е набор от насоки, които определят как организацията трябва да използва отговорно информационните технологии и информационните системи. Политиките в областта на ИКТ обикновено включват насоки относно;
- Покупка и използване на хардуерно оборудване и как безопасно да се разпореждате с тях
- Използване само на лицензиран софтуер и гарантиране, че целият софтуер е актуален с най-новите корекции от съображения за сигурност
- Правила за създаване на пароли (налагане на сложност), промяна на пароли и др.
- Допустимо използване на информационни технологии и информационни системи
- Обучение на всички потребители, участващи в използването на ИКТ и ИСУ
Резюме:
С голяма сила идва голямата отговорност. Информационните системи носят нови възможности и предимства за начина, по който правим бизнес, но те също така въвеждат проблеми, които могат да повлияят отрицателно на обществото (киберпрестъпността). Организацията трябва да се справи с тези проблеми и да изготви рамка (MIS сигурност, политика в областта на ИКТ и т.н.), която да ги адресира.