حسابداریفیلم های آموزشی

تکنیک های سوء استفاده و تقلب های رایانه ای

تکنیک های سوء استفاده و تقلب های رایانه ای :  استفاده از رایانه و اینترنت مانند تیغ دو لبه ای است که اگر در اختیار دانش پژوهی قرار گیرد در راه اصلاح و سازندگی جوامع و اگر در اختیار نا اهلان باشد، در جهت تباهی جوامع انسانی به کار می رود. استفاده از رایانه در کسب و کار از زمانی متحول و فراگیر شد که دسترسی به اطلاعات با سرعت بالا و هزینه کم امکان پذیر گردید.

مقدمه

این تحول به شرکت هایی که در گذشته از رایانه تنها برای واژه پردازی و یا ذخیره اطلاعات استفاده می کردند، اجازه داد که رایانه های خود را صورت شبکه درآورند و آن شبکه را به اینترنت متصل کنند. شرایط سریع کسب و کار، سازمان ها را مجبور ساخته است که برای بقای خود در شرایط رقابتی، شبکه های خود را به روی دیگران باز کنند و تا جایی که ممکن است از راه کارهای الکترونیک برای کسب و کار استفاده کنند.

در حالی که این تحولات منافع بسیاری در گسترش تجارت، امکان کار در خارج از اداره و حمایت نیروهای  فروش در خارج از شرکت را برای بسیاری از آنان ایجاد می کند، متاسفانه خطراتی مانند ویروس های رایانه ای و خرابکاری های رایانه ای را نیز به همراه دارد.

پدیده جرایم رایانه ای مرز نمی شناسد. با افزایش گسترش و به کارگیری فناوری های جدید، پدیده جرایم مرتبط با این فناوری ها نیز با سرعت و به صورت تصاعدی افزایش می یابد.

هم اکنون مجرمان به ویژه در کشورهای پیشرفته کمتر به خودشان زحمت می دهند به بانکی، مسلحانه دستبرد بزنند و خطر دستگیری و زندانی شدن را به جان بخرند؛ آنان قادرند از خانه خود و با کمی امکانات، پول بانک ها و شرکت ها را از نقطه ای به نقطه دیگر جهان انتقال دهند و این در حالی است که سعی می کنند با اقدامات پیچیده ردپایی از خود به جای نگذارند.

این مجرمان افرادی متخصص، فنی و باهوش هستند که با رمز و رازهای تخصصی و فنی امور رایانه آشنایی دارند؛ به همین دلیل است که متولیان مقابله با این جرایم به سختی و پس از گذشت زمان نسبتا زیادی آن ها را کشف می نمایند.

مدیران، حسابداران و سرمایه گذاران، همگی از اطلاعات رایانه ای برای کنترل منابع ارزش مند استفاده می کنند. بنابراین می توان گف که اطلاعات دیجیتالی، خود سرمایه ارزش مندی است که می باید از آن ها محافظت شود. هر چه مدیران و حسابداران بیشتر راجع به تقلب ها و جرایم رایانه ای بدانند، بهتر می توانند ریسک ها و کنترل های ناقص را در سیستم هیا اطلاعاتی رایانه ای تشخیص دهند.

بنابر آنچه گفته شد و با توجه به افزایش روز افزون تقلب ها و جرایم رایانه ای ضروری است که حسابداران و مدیران که نقض کلیدی در طراحی سیستم های اطلاعاتی دارند، با ماهیت تقلب و فرآیندی که افراد برای انجام تقلب و پنهان کردن آن انجام می دهند و همچنین چگونگی جلوگیری از تقلب و جرایم رایانه ای آشنا شوند.

در این فصل مقاله به برخی از سوالاتی که معمولا در ذهن افراد نقش می بندد، پاسخ داده می شود، سوالاتی از قبیل این که تقلب چیست ؟ فرآیند شکل گیری یک تقلب چگونه است ؟ چه کسانی و چرا مرتکب تقلب می شوند ؟ متخلفین برای جلوگیری از کشف تقلب چه راه کارهایی را استفاده می کنند ؟ و در نهایت قوانین منع کننده تقلب در سطح بین المللی و در ایران به چه صورت است؟

اهمیت جرایم رایانه ای

عدم وجود آمارهای دقیق از جرایم رایانه ای از اهمیت جرایم رایانه ای و سوء استفاده از سیستم های اطلاعاتی حسابداری نمی کاهد. یک دلیل اهمیت سیستم های اطلاعاتی حسابداری برای متقلبان و مجرمان رایانه ای، نقش سیستم های اطلاعاتی حسابداری در کنترل منابع مالی است. همچنین با توجه به اهمیت این سیستم ها برای کنترل عملیات سازمان، ممکن است در معرض سوء استفاده کارمندان ناراضی قرار می گیرد.

علاوه بر این حسابداران، مسئول طراحی، انتخاب، تکمیل و کنترل فرآیند هایی هستند که سیستم های اطلاعاتی حسابداری را حفظ می کند. جرایم رایانه ای رخ داده در سیستم های اطلاعاتی حسابداری اهمیت دارند، زیرا اطلاعات حسابداری منتشر شده می تواند سرمایه گذاران، بستانکاران و تحلیل گران مالی را گمراه سازد. همچنین با توجه به اهمیت اطلاعات موجود در سیستم های اطلاعاتی حسابداری، دستیابی غیر مجاز و یا سوء استفاده از آن ها می تواند خسارات جبران ناپذیری را برای سازمان ها در بر داشته باشد.

تقلب چیست؟

آنچه مقدمتاً در بحث مربوط به تقلب و جرایم رایانه ای باید گفت، این است که ارائه یک تعریف دقیق و بدون نقص امری بسیاری دشوار است. پس از گذشت چندین سال و البته با وجود سعی و تلاش و بررسی های متعدد، هنوز پیرامون یک تعریف دقیق و جامع در مورد تقلب اتفاق نظر به وجود نیامده است. علت امر این امر را شاید بتوان ماهیت پیچیده انواع تقلب و جرایم رایانه ای و حوزه گسترده آن دانست.

اگر چه به نظر می رسد که واژه جرایم رایانه ای و سوء استفاده رایانه ای هر دو در صدد توصیف مشکل یکسانی هستند، اما بین این دو تفاوتی ظریف وجود دارد. جرایم رایانه ای شامل دستکاری رایانه ها و داده های درون آن به هر روشی می باشد تا مجرم رایانه ای، منافعی نامشروع به دست آورد. در مقابل سوء استفاده رایانه ای به معنی استفاده غیر مجاز و یا دستیابی به یک رایانه به منظور ایجاد اهداف مخالف صاحب رایانه می باشد.

بنابراین، افراد زمانی مرتکب جرم رایانه ای می شوند که منافع مالی غیر مشروعی به دست آورند، اما سوء استفاده کنندگان رایانه با انگیزه انتقام و چالش، به سازمان خسارت وارد می کنند.

با توجه به تمایزی که بین این دو کلمه وجود دارد، به نظر می رسد استفاده از واژه تقلب رایانه ای بتواند به نوعی ویژگی های هر دو واژه را پوشش دهد. به عبات دیگر هر گونه اقدام عمدی و فریب کارانه ای که توسط مدیران، کارکنان یا اشخاص ثالث برای بدست آوردن مزیتی ناروا و غیر قانونی (اعم از مالی و غیر مالی) انجام می شود را تقلب گویند.

اعمال متقلبانه شامل دروغ گفتن، کتمان حقیقت، حقه بازی و فریب کاری است و اغلب ناشی از تخطی از اعتماد و امانت داری است. در واقع تقلب یک تلاش انسانی است که فریب، شدت گرفتن آرزو، ریسک دستگیری، تخطی از اعتماد، توجیه عقلی و مواردی از این دست عامل بروز آن است. تقلب می تواند توسط می تواند توسط یک نفر در داخل سازمان یا گروه های برون سازمانی انجام شود.

به طور کلی، تقلب رایانه ای شامل موارد زیر است :

– سرقت، استفاده، دستیابی، تغییر دادن ، نسخه برداری و خراب کردن غیر مجاز نرم افزارها و یا اطلاعات. برای مثال مسئول تعمیرات و رفع خطاهای نرم افزاری مکرراً برای انجام تعمیرات به شرکت فرا خوانده می شد. پس از مدتی شرکت این موضوع را کشف کرد که این فرد با هر بار مراجعه به شرکت خرابکاری هایی را در سیستم انجام می دهد تا برای تعمیرات بعدی مجدداً به شرکت دعوت شود. او با انجام این کار میلیون ها دلار از منابع شرکت را به نوعی سرقت کرده بود.

– سرقت پول به وسیله تغییر اطلاعات و ثبت های رایانه یا سرقت زمان رایانه ها. برای مثال کارمندان انبار با ثبت تعدادی از موجودی ها به عنوان موجودی های فرسوده شده و از رده خارج شده، اقدام به سرقت و فروش این موجودی ها می نمودند.

– سرقت یا خراب کردن سخت افزار رایانه. برای مثال، چنان چه حفاظت های امنیتی به خوبی رعایت نشود، ممکن است افراد اقدام به سرقت سخت افزارهای رایانه ای نمایند.

-استفاده یا تبانی در استفاده از منابع رایانه ای برای ارتکاب خیانت. برای مثال کارمندان بخش خرید با تبانی اقدام به تهیه فاکتورهای خرید جعلی نمودند و وجوه نقد شرکت را به این طریق سرقت کردند.

– تلاش برای دستیابی غیرقانونی به اطلاعات یا دارایی های مشهود از طریق به کارگیری رایانه. نفوذ گران برای دستیابی به اطلاعات محرمانه شرکت اقدام به هک کردن سیستم های رایانه ای شرکتی می نمایند تا پس از دستیابی به اطلاعات محرمانه، آن ها را به رقبای شرکت بفروشند.

– اخاذی از طریق سیستم های رایانه ای . برای مثال کارمند یک شرکت پس از این که متوجه شد مدیر شرکت قصد اخراج وی را دارد، اقدام به سرقت تمام اطلاعات محرمانه از شرکت کرد و برای بازگرداند آن ها مبلغ قابل توجهی را طلب کرد.

در یک دسته بندی کلی، می توان تقلب های رایانه ای را به دو دسته تقسیم کرد.

دسته اول، گروهی از تقلب ها است که توسط افراد برون سازمانی صورت می گیرد، برای مثال حمله هکرها به سایت شرکت، نمونه ای از تقلب های رایانه ای برون سازمانی است. در مقابل، دسته ی دیگری از تقلب ها مستقیماٌ توسط افراد درون سازمانی صورت می گیرد.

برای مثال اختلاس مبالغ از شرکت با حساب سازی و یا تبانی کارمندان برای اختلاس از جمله موارد تقلب درون سازمانی است.

به طور کلی، تقلب های داخلی را می توان به دو دسته طبقه بندی کرد :

-سوء استفاده از دارایی ها یا اختلاس سرمایه : توسط شخص یا گروهی صورت می گیرد که هدف آن ها کسب منافع شخصی است. این کار معمولاً توسط کارمندان یک سازمان صورت می گیرد، هر چند ممکن است افراد دیگری نیز برای انجام چنین کاری با یکدیگر هم دستی نمایند. این نوع جرایم، کلاه برداری شغلی نامیده می شوند.

-گزارشگری مالی فریبکارانه : اقدامات عمدی در حذف یا انجام فعالیت هایی که منجر به ارائه نادرست صورت های مالی شده و صورت های مالی مزبور را گمراه کننده می سازد. در این نوع تقلب، مدیران ارسد سازمان عمداٌ ثبت های حسابداری را به منظور گمراه نمودهن تحلیل گران،  بستانکاران و سرمایه گذاران تحیف می کنند. به همین دلیل، صورت های مالی وضعیت مالی واقعی شرکت را نشان نمی دهد.

دلایل افزایش تقلب و  جرایم رایانه ای

دلایل زیادی برای افزایش میزان جرایم رایانه ای وجود دارد که در این جا به برخی از آن ها اشاره می کنیم :

1) یک تعریف کلی برای تقلب و جرایم رایانه ای وجود ندارد. برای مثال بسیاری از کاربرن از این موضوع اطلاع ندارند که نسخه برداری از یک نرم افزار بدون اجازه شرکت سازنده آن، یک جرم رایانه ای محسوب می شود. به طور مشابه، بسیاری از کارمندان، استفاده شخصی از منابع رایانه ای شرکت ها را جرم نمی دانند.

2) عدم کشف بسیاری از تقلب ها خود عامل افزایش تقلب ها شده است. استفاده از روش ها و شگردهای پیچیده توسط مجرمین رایانه ای باعث شده است که تنها یک درصد تقلب ها کشف شود.

3) بسیاری از تقلب های کشف شده گزارش نمی شوند، زیرا بسیاری از مدیران معتقدند که هزینه گزارشگری تقلب از هزینه خود تقلب بیشتر است. آن ها معتقدند گزارش موارد تقلب باعث از بین رفتن اعتماد مشتریان و اعتراف به وجود نقاط ضعف در سیستم های اطلاعاتی و تکرار تقلب می شود.

4) امنیت پایین و ضعیف شبکه های بسیاری از شرکت ها، خود باعث افزایش تقلب های رایانه ای شده است. بسیاری از شرکت ها، هنوز ضرورت و اهمیت برقراری یک سیستم امنیتی قوی را برای خود احساس نکرده اند.

5) بسیاری از مجرمین رایانه ای با قرار دادن تجربیات خود در اختیار سایر افراد به افزایش جرایم رایانه ای کمک می کنند. در بسیاری از سایت های رایانه ای، دستورالعمل گام به گام در مورد چگونگی ارتکاب جرایم رایانه ای وجود دارد.

6) وجود قوانین ضعیف و بعضاً ناقص، خود منجر به افزایش جرایم رایانه ای شده است. در شرایط نبود نظارت دقیق بر فضای اینترنتی و عدم پیگیری مناسب پرونده های جرایم رایانه ای، نمی توان انتظاری جز افزایش این جرایم داشت.

آسیب پذیری سیستم های اطلاعاتی رایانه ای

تقلب و جرایم رایانه ای رشته ای وسیع از جرایم را از سرقت فیزیکی و تخریب وسایل گرفته تا کارشکنی الکترونیکی و خرابی داده ها و اختلاس از اطلاعات و سیستم ها و تا سرقت های آشکار پول که این روزها در سطح وسیع به صورت الکترونیکی شکل می گیرد را در بر می گیرد. برخی از آسیب پذیری های اصلی در هر سیستم اطلاعاتی رایانه ای شامل سخت افزار، نرم افزار، اطلاعات و ارتباطات است که در این جا به آن ها اشاره می شود.

تخریب و سرقت سخت افزار : سخت افزارهای رایانه ای هدف جالب توجهی برای سارقین است زیرا قطعات آن را می توانند به فروش برسانند. در جامعه رایانه ای امروز، مشکلات کمی برای فروش سخت افزار از هر نوع وجود دارد.

همچنین ممکن است با سرقت سخت افزار، سارق سیستم را از کار نیاندارد و در این مدت خود از سیستم استفاده کند و اقدامات خرابکارانه ای را انجام دهد و این موضوع از زیان غیرقابل جبران سرقت اطلاعات حساس ذخیره شده در این سخت افزار ناشی شود. همچنین تخریب سخت افزارها توسط تروریست ها و یا به وسیله وجود کارمندان عصبی و یا کارمندان اخراجی باعث از دست دادن اطلاعات و نرم افزار های موجود می شود.

سرقت و خرابی نرم افزار

نرم افزار یک دارایی هوشمند است و ممکن است با توجه به نوع آن ارزش و حساسیت بیشتر و یا کمتر داشته باشد. در دنیای تجارت امروز، رسیدن به موفقیت بدون سرمایه گذاری در نرم افزارهای رایانه ای امکان پذیر نیست. انواع دیگری از سرقت نرم افزار وجود دارد که ممکن است خیلی سریع اتفاق بیافتد. کارمندانی را در نظر بگیرید که نرم افزار های مربوط به کار را برای استفاده های شخصی خود کپی می کنند.

نرم افزاری که کارمندان آن نسخه برداری کرده است، دارای حق چاپ (کپی رایت) بوده است و تنها برای استفاده در رایانه های کارفرما خریداری شده است. همچنین نرم افزارهای رایانه ای ممکن است با سهل انگاری کارمندان و یا اقدامات خرابکارنه در معرض تخریب قرار گیرد. انتشار ویروس ها و سایر اقدمات خرابکارانه سبب خرابی نرم افزارهای سازمان می شود که این موصوع هزینه های سنگینی را به سازمان ها تحمیل می کند.

داده ها و اطلاعات

همان طور که بارها اشاره شده است، داده ها و اطلاعات با ارزش ترین دارایی های شرکت ها می باشند. سخت افزار ها و نرم افزار ها قابل جایگزینی می باشند، اگر چه ممکن است هزینه آن ها گران باشد، اما جمع آوری مجدد داده ها و اطلاعات و جایگزین کردن آن ها کار ساده ای نیست و بعضاً نیز غیر ممکن می باشد.

علاوه بر این ها سرقت داده ها و اطلاعات ممکن است منجر به انتشار اطلاعات محرمانه شرکت ها و رموز تجاری آن ها شود. با توجه به اهمیت اطلاعات برای سازمان ها لازم است اقدامات امنیتی و کنترلی مؤثری برای حفاظت از این دارایی های با ارزش برقرار شود.

ارتباطات

ارتباطات در شبکه ها به وجود می آیند. گسترش روز افزون اتصال رایانه ها به شبکه ها و به ویژه اینترنت، آسیب پذیری اطلاعات ذخیره شده در آن ها را افزایش می دهد. از آن جایی که شبکه های زیادی از داخل به هم اتصال یافته اند، نفوذ کننده غیر قانونی که به داخل یک سیستم نفوذ می کند، فرصت طلایی برای سرقت سیستم های دیگر و نیز شبکه ها دارند. نفوذ کننده غیر قانونی اغلب از شبکه ای به شبکه دیگر جهش پیدا می کند و همین امر شناسایی و رد یابی آن ها را مشکل می کند.

طبقه بندی تقلب های رایانه ای

آشنایی با انواع تقلب ها و مرحله ای که این تقلب ها امکان بروز دارد، می تواند به مسئولین سازمانی در برقراری کنترل های داخلی مناسب کمک کند. یک روش برای طبقه بندی تقلب های رایانه ای، استفاده از مدل پردازش داده است. این مدل عنوان می کند که ممکن است تقلب در هریک از مراحل پردازش داده ها از ورودی، پردازش، اطلاعات، دستور های رایانه ای و ستاده ها رخ دهد در ادامه به تشریح تقلب ها در هر یک از مراحل فوق می پردازیم.

تکنیک های سوء استفاده و تقلب های رایانه ای

تقلب در داده های ورودی

ساده ترین و متداول ترین راه ارتکاب یک تقلب تحریف داده ها و یا ورود داده های غلط به رایانه است. برای انجام این نوع تقلب مهارت های رایانه ای کمی لازم است و فقط کافی است فرد متقلب بداند سیستم چگونه کار می کند تا بتواند بدون آن که از خود رد پایی به جای گذارد تقلب را انجام دهد.

توجه داشته باشید که به دلیل خودکارسازی بسیاری از فرآیندهای ورود داده ها، داده هایی که به صورت دستی وارد سیستم می شوند بیشتر در معرض آسیب پذیری و تقلب قرار دارند.

به عنوان مثال،

در تقلب دریافت های نقدی، مبلغ اختلاس با دستکاری داده های ورودی به سیستم پنهان می شود. برای مثال فرد متقلب مبالغ فروش های نقدی را به عنوان فروش نسیه در سیستم ثبت می کند و از طریق کلاه به کلاه کردن مانده حساب های دریافتنی، اختلاس خود را مخفی نگه می دارد.

در تقلب پرداخت های نقدی ، فرد با ایجاد صورت حساب های تقلبی برای کالاهای خریداری نشده، از شرکت اختلاس می کند. همچنی در تقلب موجودی کالا، فرد با معرفی موجودی کالاها به صورت اسقاط شده، آن ها را از سیستم خارج کرده و به سرقت می برد.

فرد متقلب در تقلب های حقوق و دستمرد، با ایجاد کارمندان جعلی و یا نگه داشتن نام یک کارمند بازنشسته در لیست حقوق، وجوهی را از شرکت اختلاس می کند. همانظور که ملاحظه می کنید، تمامی این تقلب ها در نبود تفکیک مؤثر وظایف شکل می گیرد.

به عنوان مثال، چنان چه در تقلب دریافت های نقدی تکنیک وظایف دریافت وجوه و ثبت در دفاتر صورت می گرفت، شاهد وقوع چنین تقلبی نبودیم و فرد دریافت کننده نمی توانست فروش های نقدی را به عنوان فروش های نسیه ثبت کند.

به طور کلی تفکیک وظایف صدور مجوز ها ، ثبت معاملات و نگه داری دارایی ها ضرورت دارد. تفکیک وظایف به خصوص در رابطه با وظایفی که به نوعی با وجوه نقد در ارتباط هستند، دارای اهمیت می باشد.

تقلب پردازش گر

تقلب رایانه ای می تواند از طریق استفاده ی غیر مجاز از سیستم، شامل سرقت زمان و خدمات رایانه ای انجام شود. منظور از سرقت زمان و خدمات رایانه ای وقت کشی کارمندان و یا استفاده های شخصی از خدماتی مانند اینترنت می باشد. وقت کسی کارمندان شامل انجام سرگرمی ها و بازی های اینترنتی در اوقات کاری شرکت است.

همان طور که ملاحظه می کنید حوزه تقلب های رایانه ای بسیار وسیع است و ممکن است حتی افراد متوجه این موضوع نباشند که کاری که آنان انجام می دهند به نوعی تقلب است. برای مثال کارمندی که اقدام به استفاده شخص از اینترنت و یا خطوی تلفن شرکت می کند، ممکن است متوجه این موضوع نباشد که عمل او به شرکت و منابع آن خسارت وارد می کند و نوعی تقلب محسوب می شود.

تقلب دستورهای رایانه

برخی از تقلب های رایانه ای با دستکاری در برنامه نرم افزار های شرکت ایجاد می شوند. این عمل ممکن است با طراحی و توسعه و برنامه نویسی یک نرم افزار جدید همراه باشد. برای مثال فرد متقلب می تواند با تغییر دادن نرخ سود تضمین شده تعریف شده برای سیستم بانکی، مبلغ سود تضمین شده را افزایش داده و ما به التفاوت ایجاد شده را برای خود بردارد.

این روش تقلب رایانه ای، مستلزم داشتن مهارت خیلی زیاد در برنامه نویسی رایانه ای است که معمولاً فراتر از توان بیشتر کاربران معمولی است.

تقلب اطلاعات

اطلاعات تنها باید برای به کارگیری در راه های مجاز، توسط اشخاص مجاز استفاده شود. بنابراین هر کاربر تنها اجازه دارد اطلاعات را در حدی که مجاز است، دریافت و برای کاربردهای خاص در اختیار گیرد.

مدیران همواره باید مطلع باشند که اطلاعات برای یک سازمان دارای اهمیتی استراتژیک می باشد و حفاظت از آن ضرورتی انکار ناپذیر است. صرف نظر از نوع تقلب، آنچه که مهم است از بین رفتن اطلاعات و خسارتی است که به سازمان وارد می آید.

ویژگی جالب تقلب اطلاعات آن است که می توان اطلاعات را نسخه برداری و سرقت کرد، بدون اینکه مالک اصلی اطلاعات آگاهی یابد.

به عبارت دیگر، مهاجم می تواند به طور غیر مجاز به اطلاعات دسترسی پیدا کند. در واقع، تقلب رایانه ای می تواند با تغییر یا خراب کردن فایل های اطلاعاتی شرکت و یا استفاده بدون مجوز از آن ها و یا کپی برداری از آن ها انجام شود. انواع مختلفی از تهدید ها متوجه اصالت و طبقه بندی اطلاعات و داده های سازمانی می باشد.

محرمانه بودن اطلاعات و دسته بندی ان ها ، آن ها را از دسترسی افراد غیر مجاز مصون می سازد. حفظ اصالت داده ها منوط به حفاظت آن ها در برابر هرگونه تغییرات  و اصلاح از سوی افراد غیر مجاز است. سرقت و یا نسخه برداری غیر مجاز  از اطلاعات محرمانه نوعی تهدید آشکار است که در این مقوله جای می گیرد. برای مثال، کارمندان ناراضی ممکن است اقدام به از بین بردن فایل های اطلاعاتی و حافظه های سخت افزاری شرکت نمایند.

تقلب ستاده

پس از انجام فرآیندهای پردازش اطلاعات این ستاده های سیستم است که به عنوان خروجی مورد توجه مدیران و سایر تصمیم گیران قرار می گیرد. حفاظت از این ستاده ها به منظور جلوگیری از انتشار غیر مجاز آن ها دارای اهمیت ویژه ای است.  تقلب رایانه ای می تواند با سرقت و یا استفاده ناصحیح از ستاده های سیستم ایجاد شود.

کارمندان باید در رابطه با استفاده صحیح از ستاده ها و محافظت از آن ها آموزش دیده باشند. چاپ غیرضروری ستاده ها و به سطل آشغال انداختن این گزارش ها خطر سوء استفاده و تقلب را ایجاد می کند.

برای مثال طراحی یک محصول جدید و یا یک خط تولید جدید به عنوان یک ستاده سیستم می باشدکه ممکن است با کپی برداری غیر مجاز توسط فرد متقلب، در اختیار رقبای شرکت قرار گیرد.

چه کسانی مرتکب جرایم رایانه ای می شوند؟

به راستی مجرمان اینترنتی چه کسانی و با چه خصوصیاتی هستند؟ آیا می توان آن ها را در شمار گروهی  با استعداد و با هوش سیاه دید یا باید آنان را در ردیف بیماران روحی و روانی قلمداد کرد؟ اکثر روان شناسان معتقدند مجرمان رایانه ای به دو دسته تقسیم می شوند .

دسته نخست از هوش بالایی برخوردار نیستند، اما با راهکار های ساده و یادگیری اصول کار با رایانه و اینترنت، یک شبه ره صد ساله را می پیمایند. دسته دوم گروهی با هوش سیاه هستند که از استعداد و توان مندی خویش در راه های نادرست استفاده می کنند.

روش های گوناگون برای دسته بندی و بررسی مجرمین رایانه ای وجود دارد. این کار با یک دسته بندی ساده تفاوت دارد، زیرا ما در بحث جرایم رایانه ای با خیل عظیمی از متخلفان رو به رو هستیم که با یک شوخی و تفریح ساده کار خود را شروع و یا یک فعالیت تروریستی بین المللی به پایان می رسانند. مجرمین رایانه ای اکثراً از طبقات روشنفکر و تحصیل کرده می باشند (برعکس سایر مجرمین).

به علاوه آن ها قادر به انجام حتی یک جرم ساده مانند سرقت یک شکلات از مغازه نمی باشند. اما قادرند مبالغ زیادی را با استفاده از روش های رایانه ای به سرقت ببرند.  انگیزه های مهمی که مرتکبین جرایم رایانه ای را به سوی ارتکاب جرم سوق می دهد، گوناگون است. ول عمده ترین آن ها می تواند برای نشان دادن مهارت، سرگرمی و تفریح، کسب مهارت، انتقلم جویی و یا نفع مجرمانه باشد.

بر این اساس معمولاً انواع مجرمین و متخلفان رایانه ای در سه دسته کلی زیر قرار می گیرند
  •        نفوذ کننده غیرمجاز
  •        مجرمین
  •        خرابکاران

نفوذ کنندگان غیر مجاز

هر چند که مرتکبین نفوذ به رایانه می توانند در هر سه دسته قرار بگیرند، ولی این افرادی هستند که بی دلیل و از سر تفریح و کنجکاوی وارد رایانه می شوند. بسیاری از مرتکبین به این کار، افراد نوجوان هستند. این افراد بر خلاف سن کم در بسیاری از موارد در نفوذ به سیستم های بانکی و سیستم های اطلاعاتی شرکت ها موفق بوده اند. در دنیای نفوذ کنندگان غیر مجاز، سرقت از کارت های اعتباری به وسیله اینترنت، منبع درآمد مناسبی به شمار می رود.

مجرمین رایانه ای

انگیزه اصلی مجرمین رایانه ای کسب منافع مالی نامشروع است. طبقه بندی مجرمین بر دو رفتار اصلی مجرمان متمرکز می باشد : جاسوسی و کلاه برداری. جاسوسان افرادی را در بر می گیرند که اسرار مربوط به دفاع ملی کشورها، پژوهش های علمی موسسات، اطلاعات محرمانه سازمان ها و اسرار تجاری شرکت ها را به سرقت می برند.

کلاه برداری رایانه ای یک صنعت مهم و رشد یافته است. افراد و تشکل های عمل کننده در این عرصه به صورت پیچیده و فنی وارد کار می شوند. در سیستم های اطلاعاتی حسابداری، مجرمان با ترفندهایی اقدام به انتقال وجوه به حساب خود می کنند.

به عنوان مثال آن ها اطلاعات یک کارمند فرضی را که وجود خارجی ندارد را در سیستم بازنشستگی وارد نموده و حقوق سایر مزایای بازنشستگی او را دریافت می کنند.

توماس گلدن در کتاب خود مجرمین رایانه ای که با انگیزه مالی دست به این اقدام می زنند، را در سه دسته قرار می دهد.

1. مجرمین محاسبه گر

صفات عمده افراد این گروه عبارتند از : تمایل به تکرار تجاوز، هوش بالاتر نسبت به میانگین، وضعیت خوب آموزشی، ریسک پذیری و فاقد احساساتی مانند آشفتگی و احساس همدردی با دیگران.

2. مجرمین ناچار (وابسته به موقعیت)

این افزاد کاملاً معمولی اند و بدون این که قصد صدمه به دیگران را داشته باشند مرتکب چنین جرائمی می شوند. آن ها اغلب سنی بیش از 30 سال دارند. موقعیت خانوادگی نسبتاً با ثبات، تحصیلات بالاتر از میانگین (بالاتر از لیسانس)، احتمال کم داشتن سوء پیشینه، سلامت روانی مناسب، داشتن موقعیت معتبر، داشتن دانش دقیق از سیستم حسابداری و نقاط ضعف آن، داشتن تجربه کاری حسابداری و مواردی از این دست از جمله ویژگی های شخصیتی این دسته از مجرمین می باشد.

3. دلالان قدرت

زیاده خواهی خصلت اصلی این گروه است. ترکیب ویژگی های شیادانه و شرایط محیطی و موقعیتی این افراد منتهی به ارتکاب جرایم مالی می شود. د رواقع محیط اقتصادی کنونی آنان را به سمت تقلب سوق می دهد.

خرابکاران : مجرمین رایانه ای که در طبقه خرابکاران قرار می گیرند، معمولا با انگیره های متفکرانه مانند نذوذگران غیر مجاز مرتکب این جرم نمی شوند. آن ها مانند مجرمین رایانه ای نیز انگیزه های اقتصادی و سیاسی ندارند. بلکه غالبان این دسته از افراد از روی خشم و عصبانیت و با نیت تلافی دست و به این کار می زنند.

خرابکاران را می توان دو گروه زیر تقسیم بندی نمود:

– کاربران

گروهی از افراد هستند که مجوز استفاده از سیستم را دارند ولی فعالیت غیر مجاز انجام می دهند. این افراد با ضربه زدن به منافع موسسه خود را تسکین می دهند و به جای برداشتن تبر و افتادن به جان دستگاه ها ، ضربه ای سنگین تر را به سازمان وارد می سازند. آن ها فایل ها را حذف، داده ها را به ریخته و برنامه های مخرب مانند ویروس ها را به رایانه ها وارد می کنند.

– بیگانگان

کاربران غیر مجازی هستند که به سیستم دسترسی پیدا می کنند و هدف آن ها صرفا صدمه زدن به سیستم می باشد. بیگانگان با روش هایی مانند جعل هویت، کشف رمزهای ورود و یا با استفاده از سایر روش ها به سیستم دسترسی پیدا می کنند.

چرا افراد مرتکب جرایم رایانه ای می شوند؟

مطالعه ویژگی های شخصیتی و محیطی بروز تقلب می تواند در پیشگیری وقوع تقلب موثر باشد. الگوهای مختلفی برای تشریح شرایط و دلایل بروز تقلب مطرح شده است که ما در این جا به معرفی سه مورد از آن ها می پردازیم.

1- مثلث تقلب

این الگو توسط انجمن بازرسان رسمی تقلب انتشار یافته است. این مثلث شامل سه عامل فشار (انگیزه)، فرصت و توجیه سازی عقلی فرد می باشد.

فشار انگیزه شخصی برای انجام یک تقلب است. انگیزه های فراوانی برای وقوع تقلب وجود دارد. برخی از این انگیزه ها عبارتند از :

·       انگیزه های مالی :

مانند فشارهای زندگی، بدهی های سنگین شخصی، درآمد ناکافی، نرخ بالای بهره وام، زیان های مالی سنگین، سرمایه گذاری های نامناسب، مخارج سنگین بیماری، و هزینه های اعتیاد.

·       انگیزه های کاری : مانند حقوق پایین، عدم ارزیابی عملکرد یا ارزیابی عملکرد نادرست، نارضایتی شغلی، ترس از دست دادن شغل و طرح های پاداش تبعیضی به کارمندان.

·       سایر انگیزه ها :

مانند ماجراجویی، فشارهای خانوادگی و همسالان، هیجانات ناپایدار، نیاز به قدرت و کنترل، غرور زاید و یا جاه طلبی.

منظور از فرصت، وضعیت و یا موقعیتی است که به شخص اجازه انجام تقلب و پنهان کردن آن را می دهد. غالباً فرصت ها به دلیل فقدان و یا ضعف کنترل های داخلی ایجاد می شوند. در واقع اکثر فرصت های تقلب از ناتوانی شرکت در طراحی و اجرای صحیح کنترل های داخلی خود ناشی می شود. ضعف در کنترل های داخلی، فقدان رویه های مناسب برای مجوزها ، اختیارات و تفکیک وظایف خود عاملی برای بروز تقلب است.

برای مثال چنان چه کارمندی همزمان مسئولیت دو وظیفه دریافت وجوه و ثبت آن در دفاتر را داشته باشد، فرصت انجام تقلب و پنهان کردن آن را با استفاده از روش کلاه به کلاه کردن دارد. همچنین وجود سایر عواملی مانند اعتماد بیش از حد به برخی از کارمندان و دادن اختیارات بیش از حد به آن ها نیز فرصت انجام تقلب را افزایش می دهد.

توجیه سازی قلب روان شناسی متقلبین است. در واقع اکثر افرادی که مرتکب تقلب می شوند برای خود و یا دیگران یک بهانه و یا توجیه دست و پا می کنند تا کار خود را موجه جلوه دهند. این افراد عمل مجرمانه خود را بی اهمیت برای سازمان و به حق توجیه و برای آن دلیل تراشی می کنند.

تکنیک های سوء استفاده و تقلب های رایانه ای

پس از مطرح شدن نظریه مثلث تقلب، گروهی از محققان معتقد بودند که باید به مثلث عنصر چهارمی را نیز اضافه کرد. وجود این عنصر، مثلث تقلب را تبدیل به لوزی تقلب می کند. این عنصر عبارت است از، استعداد و قابلیت فردی. بنابراین لوزی تقلب همان شکل توسعه یافته مثلث تقلب است.

از نظر آنان، فرصت راه را برای تقلب باز می کند. انگیزه و توجیه شخص را به سوی آن می کشاند، منتها علاوه بر این ها، فرد باید قابلیت و استعداد شناخت را ه باز شده به عنوان یک فرصت برای برخورداری از مزایا را داشته باشد. این موضوع نیز همواره در تحقیقات مختلف مورد تایید قرار گرفته است که افرادی که مرتکب تقلب می شوند، معمولاً از استعداد ها و قابلیت های ویژه ای برخوردارند.

تکنیک های سوء استفاده و تقلب های رایانه ای

2- الگویه پیشنهادی بنیاد پیت، مارویک و میشل :

این الگو عنوان می کند که تقلب در نتیجه اثر مقابل نیرو های شخصیت فردی و محیط خارجی به وجود می آید. سه طبقه عمده متغیر های ارائه دهنده این نیرو ها عبارتند از : فشار های محلی، فرصت هیا ارتکاب تقلب و ویژگی های شخصیتی. ترکیب این سه متغیر به ارتکاب تقلب منجر می شود. در نتیجه تقلب زمانی رخ می دهد که درستکاری فرد در حد پایین و فشار ها و فرصت های انجام تقلب زیاد باشد.

 

تکنیک های سوء استفاده و تقلب های رایانه ای

3- معادله خیانت :

الگوی دیگری که شرایط بروز و ظهور تقلب را بررسی می کند، الگوی خیانت است. در معادله خیانت این موضوع مطرح می شود که تقلب در نقطه تعادلی که بین انگیزه های شخصی و میل به جبران و یا اجتناب از ضرر است، شکل می گیرد.

کسانی که این نظریه را مطرح کرده اند، معتقدند که ترس از زیان از لذت منفعت بالقوه بیشتر است و اکثر تقلب ها و خیانت هایی که صورت می گیرد در جهت جبران و یا پیشگیری از یک زیان می باشد. برای مثال افراد جهت اجتناب از پرداخت پول، بیشتر متمایلند تا در پرداخت مالیات شان تقلب کنند تا این میزان سودی را که مستحق دریافت آنند، افزایش دهند.

تکنیک های سوء استفاده و تقلب های رایانه ای

پیش گیری و کشف تقلب های رایانه ای

در بحث امنیت و کنترل سیستم های اطلاعاتی، فناوری مسئله کلیدی نیست. فناوری بستر مناسب را برای کار فراهم می کند، اما در غیاب خط مشی های مدیریت هوشمندانه، حتی بهترین فناوری ها نیز در هم شکسته خواهند شد.

امنیت رایانه ها و اطلاعات تنها با مدیریت موثر و سیاست ها امنیتی کارآمد تامین می شود. متاسفانه بسیاری از مدیران به طورکامل از خطر جرایم رایانه ای و سوء استفاده ها و کلاه برداری های رایانه ای آگاهی ندارند. حفاظت اطلاعات تنها در صورتی موثر است که مدیریت سازمان تقلب ها و جرایم رایانه ای را جدی بگیرد و سیاست های کنترلی دقیقی را به منظور پیشگیری و یا حداقل کاهش دادن خسارات این تهدیدها اجرا کند.

سازمان باید هر اقدام احتیاطی را برای حفاظت از سیستم های اطلاعاتی خود به کار ببندد. اما پیش از آن که منابعش را برای ایمن سازی به کار گیرد، باید بداند که کدام یک از دارایی ها نیاز به حفاظت دارند و هریک تا چه اندازه آسیب پذیرند. ارزیابی خطر، موثرترین مجموعه از کنترل ها را برای حفاظت از دارایی ها تعیین می کند.

ارزیابی خطر  فرایندی تکراری و پویا برای شناسایی حوادثی است که وقوع آن ها دستیابی به اهداف موسسه را تهدید می کند، و با ارزیابی خطر می توان این تهدید ها را مدیریت کرد. در واقع مدیریت اهداف مربوط به عملیات را مشخص می نماید و از طریق گزارشگری و رعایت کنترل ها، خطراتی که اهداف موسسه را تهدید می کند، شناسایی و مورد تجزیه و تحلیل قرار می دهد.

پس از ارزیابی خطر، سازمان می تواند اقدامات مشخصی را برای کاهش تقلب و ضررهای ایجاد شده از آن به کار گیرد.

این اقدامات شامل موارد زیر است :

– کاهش احتمال وقوع تقلب ؛

– افزایش دشواری و سختی ارتکاب به تقلب ؛

– بهبود شیوه های کشف و شناسایی تقلب ؛

– کاهش زیان های ناشی از تقلب.

 

شیوه ها کاهش احتمال وقوع تقلب

بزرگ ترین آسیب پذیری در هر سیستم رایانه ای و بزرگ ترین تهدید متوجه حفاظت رایانه، اشخاص هستند. براساس تحقیقات صورت گرفته، به استثناء هکرها، بیشتر سوء استفاده کنندگان و مرتکبین جرایم رایانه ای، کارمندان همان شرکتی هستند که جرم در آن ها اتفاق افتاده است.

بعضی از کارمندان مجاز ممکن است آموزش های کافی و مناسب را ندیده باشند و یا به صورت ناشناس اطلاعات مهمی را که در سیستم های رایانه ای ذخیره شده است را خراب کرده و یا حذف نمایند. کارمندان دیگر نیز ممکن است از سیستم های رایانه ای برای کارهای شخصی خود و یا تفریح استفاده کنند. برخی نیز ممکن است عمداً و یا سهواً تجهیزات رایانه ای را خراب کنند.

در حالی که تحقیقات نشان می دهد که اکثر تقلب ها توسط کارمندان سابق و فعلی صورت می گیرد، اما برخی از مشاوران حرفه ای رایانه معتقدند که مؤثرترین روش دستیابی به امنیت سیستم، اعتماد به صداقت و درستی کارمندان شرکت است. حفاظت کارمندان موضوع گسترده ای است که چیزی بیشتر از جلوگیری از جرایم رایانه ای را شامل می شود. در ادامه برخی از اقداماتی که به منظور افزایش صداقت و درستی کارمندان و کاهش احتمال تقلب آنان است در زیر معرفی می شود.

استفاده از رویه ها و مقررات مناسب برا استخدام و اخراج

یکی از مهمترین مسئولیت های یک مدیر استخدام، نگه داری و به کارگیری کارمندان با صلاحیت و درستکار است. تحقیق در مورد پیشینه کارمندان اولین خط دفاعی در برنامه حفاظت کارمندان می باشد. معمولاً سازمان ها بررسی های سطحی را در این رابطه انجام می دهند. میزان بررسی صلاحیت و درستکاری کارمندان اساساً بستگی به نوع شغل و نوع اطلاعاتی دارد که ممکن است در اختیار فرد قرار گیرد.

در واقع برای استخدام کسی که قرار است با اطلاعات حساس سر و کار داشته باشد، بررسی های بیشتر باید انجام گیرد و با دقت بیشتری باید عمل نمود. تحقیقات محلی ممکن است به ما در تعیین این که آیا کارمندان، قبل از پیوستن به سازمان مشکلاتی را داشته اند، کمک کند.

دومین خط دفاعی، کنترل رفتار کارمندان است. هرچه کارمندان به عملکرد سیستم و یا اطلاعات حساس نزدیک تر باشند، کنترل رفتار آن ها، مهم تر است. تغییر در رفتار، علامت این است که ممکن است کارمند به کمک نیاز داشته باشد، تغییر در وضعیت مالی نیز علامت دیگری است که سرپرستان باید به آن توجه داشته باشند.

گاهی اوقات مشکلات کارمند آن قدر وخیم می شود که سازمان باید گام هایی را برای حفاظت از خود انجام دهد. چنان چه تهدید اساسی بروز نماید، ممکن است سازمان اقدام به اخراج کارمند خاطی نماید. شرکت ها باید هنگام اخراج کارمندان خود خیلی مواظب باشند. ارتباط کارمندان اخراجی باید به سرعت با شغل های حساس قطع شود و به منظور پیشگیری از خرابکاری یا نسخه برداری از داده ا و اطلاعات محرمانه قبل از ترک شرکت، آن ها را از دسترسی به سیستم رایانه ای منع کرد.

آموزش و مسئولیت کارمندان

کارمندان در استفاده از سیستم و گرفتن مسئولیت، نیاز به آموزش دارند. آموزش کاربران درباره اهمیت جرایم رایانه ای و هزینه هایی که به سازمان تحمیل می شود، نقش مهمی در پیشگیری از جرایم رایانه ای دارد. ابتدا باید کارمندان را نسبت به عملکرد اصلی سیستم آموزش داد و این نکته را پذیرفت که تمامی وقایع امنیتی ناشی از کینه توزی نیست.

در برخی مواقع به دلیل آموزش نامناسب کارمند، اشتباه هایی در استفاده از سیستم صورت می گیرد. همچنین کارمندان باید بدانند که مسئول اعمال خود بوده و هرگونه استفاده از منابع رایانه ای سازمان، مسئولیت آور است. آن ها باید بدانند که نه تنها مسئول استفاده از این منابع می باشند، بلکه برای حفظ آن ها در مقابل مهاجمان نیز مسئولیت دارند.

به منظور کاهش احتمال وقوع تقلب، شرکت باید کارکنان خود را در حوزه های زیر آموزش و تعلیم دهد:
– اقدامات امنیتی :

بدون در نظر گرفتن عوامل انسانی راه حل های فنی تاثیری در مدیریت امنیت اطلاعات ندارد. کارمندان باید در زمینه اقدامات امنیتی به خوبی آموزش داده شوند. اهمیت اقدامات امنیتی را بدانند و برای اجرای جدی آن ها تشویق شوند.

– افشای تلفنی :

باید به کارمندان آموزش داده شود که نباید بدون آگاهی و اطمینان از ایمن بود خطوط تلفن اطلاعات محرمانه را از طریق تلفن ارسال کنند. کارمندان باید اهمیت امنیت خطوط را درک نمایند.

– آگاهی از تقلب :

کارمندان باید تقلب های رایج و متداول و خطرات آن ها را بشناسند. آنان باید بیاموزند چرا بعضی از افراد مرتکب تقلب می شوند و چگونه می توان از وقوع تقلب پیشگیری یا آن را کشف کرد.

– رعایت آئین رفتار حرفه ای :

شرکت باید استاندارد های آئین رفتار حرفه ای را در فعالیت ها و دستورالعمل های خود ترویج کند تا کارمندان از مشکلات ناشی از عدم رعایت آن آگاه شوند.

– مجازات رفتار های خلاف آئین رفتار حرفه ای :

کارمندان باید از عواقب رفتارهای خلاف آئین رفتار حرفه ای آگاه شوند. البته این موضوع نباید یک تهدید باشد بلکه باید به عنوان نتیجه خلاف آئین رفتار حرفه ای مطرح شود.

کنترل و ردیابی حق امتیاز استفاده از نرم افزار

مدیریت شرکت باید به منظور جلوگیری از طرح دعاوی علیه شرکت در رابطه با تکثیر غیر مجاز نرم افزارها، در چارچوب حق امتیاز نرم افزارهای خریداری شده اقدام کند. در این زمینه باید از کافی بودند امتیاز استفاده از نرم افزار با توجه به تعداد کارمندان و نیازهای آن ها و هنچنین عدم وجود کاربر مازاد اطمینان حاصل نماید. طرح چنین مباحثی باعث می شود که شرکت با توجه به نیازهایش اقدام به خرید حق امتیاز استفاده از نرم افزار کند و از انجام هزینه های اضافی در این زمینه خودداری کند.

الزامی کردن امضای قرار دادهای محرمانه

در رابطه ما محرمانه نگه داشتن اطلاعت شرکت و عدم افشای آن، باید تعهداتی از کارمندانی که به این اطلاعات دسترسی دارند گرفته شود. امضای قراردادهایی برای کارمندان تعهدتی را ایجاد میکند، می تواند روش مناسبی برای جلوگیری از شکل گیری تقلب و افشای اطلاعات محرمانه باشد.

افزایش دشواری و سختی ارتکاب تقلب

یک راه برای پیشگیری از تقلب، برقراری روش هایی است که می تواند مجرمین رایانه ای را از ارتکاب جرم باز دارد. برای این منظور، طراحی یک سیستم با کنترل های کافی، امکان تقلب را برای شخص متقلب مشکل می سازد.

بیشتر متخصصات بر این باورند که امنیت رایانه با مدیریت موثر و برقراری سیاست های امنیتی آغاز می شود. متاسفانه بسیاری از مدیران به طور کامل از خطرات جرایم رایانه ای، سوء استفاده ها و کلاه لرداری هایی که متوجه سازمان است، آگاهی ندارند. حفاظت رایانه ها تنها در صورتی موثر است که مدیریت سازمان، اهمیت جرایم رایانه ای را جدی بگیرد و یک سیاست کنترلی مناسب را برای توقف و یا حداقل کاهش جرایم رایانه ای اجرا کند.

·       چه انگیزه هایی برای نفوذ به یک هدف خاصی دارید؟

·       برای تهاجم به یک هدف خاص نیاز به چه مهارت هایی است؟

·       چه اطلاعاتی ممکن است برای شما اهمیت داشته باشد؟

·       چگونه می توان به این اطلاعات دست یافت؟

مسئولیت امنیت و کفایت یک سیستم کنترل داخلی با مدیریت ارشد سازمان است. البته مدیران معمولا این کار را به تحلیل گران، طراحان و کاربران نهایی واگذار می کنند. این موضوع نیز اهمیت دارد که اطمینان حاصل شود که کنترل های داخلی طی تعطیلات پایان سال نیز به دقت به اجرا در می آید. بر اساس تحقیقات، بخش قابل توجهی از تقلب های رایانه ای در طول تعطیلات اتفاق می افتد. در ادامه برخی دیگر روش هایی که ارتکاب تقلب را دشوار می کند، معرفی می شود.

تفکیک مناسب وظایف

با جدا کردن وظایف و فعالیت های ناسازگار می توان از بروز برخی از تقلب ها و سوء استفاده ها پیشگیری نمود. اگر وظایف با دقت و صحت جداسازی شوند، باعث می شود که یک نفر نتواند به تنهایی انجام تمام مراحل یک کار را بر عهده بگیرد. تفکیک وظایف به خصوص در رابطه با مسئولیت های صدور مجوز معاملات، ثبت معاملات و نگه داری دارایی ها اهمیت ویژه ای دارد.

اجرا برنامه کار شیفتی و چرخشی

چرخش مسئولیت ها، همانند لزومی مرخصی، به آشکار کردن تقلب ها و جرائم کمک می کند (چرخش مسئولیت یعنی جابجایی تصادفی افراد در شغل ها). برخی از طرح های تقلب مانند کلاه به کلاه کردن به زمان زیاد و کنترل مستمر به منظور جلوگیری از افشای آن نیاز دارد. چنان چه تکلیف و وظایف کارمندان را در مقاطع زمانی نامشخص به طور چرخشی تغییر داد، امکان شناسایی برخی از این تقلب ها به وجود می آید.

محدود کردن دسترسی به تجهیزات رایانه ای و فایل های اطلاعاتی

در تفویض اختیار باید دقت شود. دسترسی به رایانه ها و اطلاعات طبقه بندی شده محدود باشد. با محدود کردن دسترسی به تجهیزات رایانه ای و فایل های اطلاعاتی، می توان تقلب رایانه ای را به میزان چشمگیری کاهش داد.

کد بندی داده ها، اطلاعات و برنامه ها

یکی از شیوه های محدود نمودن دسترسی افراد به اطلاعات محرمانه، رمزنگاری یا به صورت رمز درآوردن اطلاعات می باشد. رمزنگاری داده ها و اطلاعات به ویژه در شبکه های رایانه ای و در انتقال اطلاعات ضرورت دارد. در این فرایند اطلاعات و یا محتویات یک متن ساده به اطلاعات و متون رمزی تبدیل می شود و بدون کدگشایی، داده های مزبور برای دیگران بی معنی و غیر قابل فهم است.

محافظت از کابل های شبکه و خطوط تلفن

کابل های حامل داده ها در برابر تهدیدها بسیار آسیب پذیرند. کابل ها و خطوط ارتباطی از جمله خطوط تلفن به راحتی قابل شنود هستند. با قطع سیم یک شبکه به راحتی در بخشی از آن اختلال ایجاد می شود.

همچنین نفوذ گران از طریق این خطوط ارتباطی،  اقدام به انتقال ویروس، دستیابی به سیستم، سرقت و از بین بردن داده ها و اطلاعات می کنند. بنابراین محافظت از کابل های شبکه و خطوط ارتباطی بسیار اهمیت دارد.

محافظت سیستم ها در برابر ویروس های و مزاخنت ها

اتصال به شبکه ها و مبادله اطلاعات بدون حفاظت در برابر بدافزارها و مزاحمان بسیار خطرناک است . دیوارهای آتش، سیستم های تشخیص مزاحمت و نرم افزارهای ضد ویروس، امروزه به یکی از ابزارهای حیاتی برای هر کسب و کار تبدیل شده است.

در مورد سیستم های تشخیص مزاحمت باید گفت که این سیستم ها با نصب ابزارهای نظارت تمام وقت در آسیب پذیرترین نقاط شبکه های سازمان، مزاحمان را شناسایی و طرد می کنند. این سیستم ها در صورت وجود با رویدادهای مشکوک و یا غیر عادی به کاربر هشدار می دهند.

به کارگیری نرم افزار ضدویروس برای هر رایانه باید در تمامی برنامه های تدافعی و حفاطتی شخصی و سازمانی قرار گیرد. نرم افزار ضدویروس سیستم ها و درایوهای رایانه ای را از لخاط وجود ویروس ها بررسی می کند.

این نرم افزار معمولا نواحی آلوده را از وجود هرگونه ویروس پاک سازی می کند. اماباید توجه داشت که بسیاری از این نرم افزاها تنها در برابر ویروس هایی موثر هستند که تا زمان عرضه آن ها نوشته و منتشر شده اند. به همین دلیل برای حفظ اثر بخشی نرم افزار ضدویروس، باید آن را به صورت مرتب به هنگام کرد.

استفاذه ار هریک از این سیستم ها و برنامه های اشاره شده در بالا، احتمال وقوع تقلب را کاهش داده و در واقع مانعی برای نفوذ متقلبین به سیستم می شود.

کنترل اطلاعات حساس و محرمانه

سازمان باید اطلاعات خود را از نظر اهمیت و محرمانه بودن طبقه بندی کنند و متناسب با هر طبقه محدودیت های دسترسی مناسب با آن ها را اعمال نماید. اطلاعات حساس و محرمانه باید در یک مکان قفل شده نگهداری شوند.

رایانه ها باید درهنگام عدم استفاده خاموش و قفل شوند . همچنین شرکت ها نباید همه داده ها و اطلاعات خود را در یک مکان نگهداری کنند و یا به یک کارمند ازاجاره دسترسی به همه آن ها را بدهند.

شبکه های محلی می توانند از یک سرویس دهنده اختصاصی استفاده کنند که اجازه دریافت داده ها ها و اطلاعات را می دهد  اما اجازه وارد کردن داده ها را به منظور جلوگیری از ورود ویروس ها و کرم ها به آن  نمی دهد. با اعمال این کنترل ها امکان تقلب و سوءاستفاده از این اطلاعات حساس کاهش می یابد.

نمایش اطلاعات رخنه گران

مجلات، کتاب ها و وب سایت های زیادی اطلاعاتی درباره چگونگی ورود غیر مجاز به سیستم ها آموزش می دهند. بازبینی و مشاهده این سایت ها و پیدا کردن مقاله هایی که به سیستم مورد استفاده شرکت مربوط است، از اهمیت اساسی برخوردار است زیرا موجب شناسایی روش های مورد استفاده توسط رخنه گران و به کارگیری اقدامات حفاظتی در مقابل حملات آن می شود.

کنترل رایانه های کیفی

با توجه به امکان جابه جایی رایانه های کیفی و انتقال آن ها به هر مکانی ، باید مراقبت های ویژه ای از این رایانه ها به عمل آید و برخی از این روش هیا کنترلی عبارتند از :

– آشنایی کاربران با خطرایت که متوحه رایانه های کیفی است و آگاهی آنان از اهمیت اطلاعات درون آن، خود روشی مناسب برای اعمال اقدامات کنترلی توسط کارمندان است.

– ایجاد رویه ها و مقرراتی برای کنترل رایانه های کیفی و ملزم کردن کاربران برای تهیه نسخه ای پشتیبان از داده ها و اطلاعات نیز روشی برای کنترل این رایانه می باشد.

– نام و آرم شرکت بر روی رایانه ها حک شود.

– برای محافطت از اطلاعات درون رایانه ها، راه اندازی بدون کلمه عبور غیر ممکن باشد. همچنین سیستم باید به گونه ای تنظیم شود که پس از چند بار ورود کلمه عبود اشتباه، سیستم قطع شود و دیگر پاسخ ندهد.

– داده ها و اطلاعات درون رایانه نیز با فناوری رمزنگاری، کدبندی شود.

– نصب تجهیزاتی بر روی رایانه ها که در صورت جابه جایی رایانه، آژیر بکشد.

– نصب نرم افزاری که در زمان های معین ، محل رایانه را به اطلاع صاحب خود برساند. استفاده از برچسب های RFID بر روی رایانه های کیفی می تواند در جلوگیری از خروج و سرقت رایانه ها از شرکت موثر باشد.

– ذخیره اطلاعات محرمانه در یک حافظه جانبی و نه در حافظه رایانه نیز روش مناسبی برای پیشگیری از سوء استفاده از اطلاعات درون رایانه ها است.

 

بهبود روش های کشف تقلب رایانه ای

سومین گام برای پیشگیری و کشف تقلب های رایانه ای، بازنگری و بهبود در روش های کشف تقلب است. شناسایی تقلب های رایانه ای با اتخاذ تدابیری خاص میسر می شود. برخی از این تدابیر پر هزینه و بسیار تخصصی و برخی دیگر، ساده و کم هزنیه هستند. به طور کلی این اقدامات را میتوان به دومقوله کلی اقدامات بازدارنده و اقدمات واکنشی تقسیم کرد.

 اقدامات بازدارنده

اقدامات بازدارنده به منظور شناسایی جرایم در حال وقوع و یا پیش از وقوع انجام می شوند. حفاظت فیزیکی اماکن و تجهیزات با استفاده از انواع سیستم های استاندارد اعلام خطر و دزدگیر تامین می شود.

علاوه بر آن، نرم افزارهایی وجود دارند که مشابه سیستم های اعلام خبر و دزد گیری عمل می نمایند و کاربر را پیش از هرگونه عملیات مجرمین، مطلع می سازند. در ادامه برخی از اقدامات بازدارنده در وقوع تقلب معرفی می شود.

تشکیل تیم مدیریت بحران

برخورد با جرایم رایانه ای نیاز به یک گروه و تیم متخصص دارد. سازماندهی این تیم باید پیش از وقوع جرایم صورت گیرد، زیرا پس از وقوع جرم دیگر فرصت تشکیل چنین تیم وجود ندارد، پیش از بروز هر نوع حادثه باید افراد تیم و نحوه عملرد آن ها مشخص شود.

تیم مزبور شامل افراد مستقل و کلیه بخش هایی است که در ایجاد، نگه داری و دسترس به اطلاعات نقش دارند. به طور کلی تیم مدیریت بحران از مدیر،کاربر سیستم (این شخص می تواند مدیر سیستم و یا برنامه نویس آن باشد.) و مشاور فنی تشکیل می شود.

در راس این تیم، مدیر امنیت سیستم است. مدیر امنیت سیستم باید مستقل از سیستم اطلاعاتی شرکت باشد. او بر سیستم نظارت کرده و اطلاعات مربوط به استفاده های نامناسب از سیستم و موارد استثناء را گزارش می کند. هدایت تیم مدیریت بحران و نحوه مقابله با جرایم رایانه ای با این فرد است. وی توانایی ارزیابی و محاسبه ارزش واقعی اطلاعات به مخاطره افتاده و آثار آن را در سازمان دارد.

بسیاری از شرکت ها برای آزمایش و ارزیابی روش های امنیتی و سیستم های رایانه ای خود از مشاوران فنی رایانه ای استفاده می کنند. اما برخی شرکت ها برای استفاده از این افراد تمایلی نشان نمی دهند،  زیرا نمی خواهند بپذیرند که سیستم اطلاعاتی شرکت ممکن است هر لحظه در مقابل نفوذ تجاوزگران و حملات رایانه ای شکست بخورد.

به طور کلی می توان گفت که مدیران سازمان ها باید کنترل های لازم را برای پیشگیری از جرایم رایانه ای در سازمان مستقر کنند، کاربران آن ها را اجرا و حسابرسان داخلی و مستقل کفایت و رعایت آنان را توسط کاربران بررسی نمایند. متخصصان معتقدند که آگاهی کارمندان از کنترل های رایانه ای و مشخص بودن تعقیب مجرمان، می تواند به عنوان یک عامل بازدارنده در برابر جرایم رایانه ای عمل کند.

ایجاد یک خط تلفن سری برای کشف تقلب

کارکنان ممکن است بین تعهد نسبت به شرکت و طرد شدن از طرف دوستان در شک و دودلی قرار گیرند. در واقع، آن ها از یک طرف خود را نسبت به شرکت و حفاظت از دارایی های آن مسئول می دانند و از طرف دیگر، از لو دادن دیگران ناراحت هستند و ترجیح می دهند سکوت کنند.

یک روش برای برطرف کردن این شک استفاده از کانال هایی است که افراد بتوانند مدیریت را از فعالیت های مشکوک آگاه سازند. ایجاد خطوط تلفن سری به همین منظور است تا کارکنان بتوانند به صورت ناشناس تقلب هایی را که در حال رخ دادن هستند را گزارش کنند.

البته مشکل بالقوه این خطوط این است که ممکن است کارکنان فعالیت های مربوط به تقلب را به کسانی گزارش کنند که خود در تقلب مدیریت ارشد سهیم هستند و البته این تهدید با استفاده از خطوط ایجاد شده توسط یک سازمان یا شرکت تجاری مستقل برطرف می شود. نقطه ضعف این خطوط تلفن سری این است که ممکن است تعدادی از این مکالمات ارزش پیگیری نداشته باشند، در واقع برخی از آن ها با نیت انتقام جویانه و یا سرکار گذاشتن مدیریت صورت گرفته باشد.

بازبینی فعالیت های سیستم

کلیه فعالیت های سیستم باید در دفتر یادداشت روزانه ثبت شود. این دفتر باید نشان دهد چه کسی، چه زمانی و از کدام ترمینال به چه اطلاعاتی دسترسی پیدا کرده است. این دفاتر باید به طور مداوم به نظور بازبینی فعالیت سیستم و ردیابی هر مشکلی تا منشأ آن، بررسی شوند. البته نرم افزار هایی وجود دارد که نقاط قوت و ضعف سیستم را ارزیابی و سپس گزارش های حاوی نقاط ضعف و روش های اصلاحی پیشنهادی را ارائه می کنند.

استفاده از نرم افزار کشف تقلب

اغلب افراد متقلب برای این که توجه کسی به فعالیت های آنان جلب نشود، از الگوی خاصی برای ارتکاب تقلب استفاده می کنند. این الگو در نرم افزارهای کشف تقلب طراحی شده است.

در واقع با این نرم افزارها می توان به روندهای غیرعادی در حساب ها، افزایش بیش از حد و یا کاهش یکباره آن ها، و سایر موارد مشکوک پی برد و این موارد را پیگیری کرد.

در برخی از موارد با توجه به حساسیت موضوع، از شبکه های عصبی که مانند مغز انسان رفتار می کنند، در شناسایی و کشف تقلب استفاده می کنند. این نرم افزارها بسیار دقیق هستند و توانایی پیش بینی رفتار یک مجرم را دارند. برای مثال برای پیگیری سرقت مبالغی از کارت ها یا اعتباری مختلف، می توان از این سیستم برای شناسایی کارت های اعتباری که در معرض خطر و سرقت بعدی هستند، استفاده کرد.

اقدامات واکنشی

این تدابیر به منظور شناسایی جرایم در حال وقوع و جرایمی که صورت پذیرفته اند، اتخاذ می شود. این اقدامات شامل اجرای حسابرسی مکرر و استفاده از حسابداران کارآگاه می باشد که در ادامه درباره آن ها توضیحاتی را ارائه می کنیم.

اجرای حسابرسی های مکرر

برای افزایش احتمال کشف تقلب باید از حسابرس مستقل و داخلی استفاده کرد. حسابرسان بادی به طور منظم کنترل های سیستم را آزمون کرده و به صورت ادواری به منظور پیدا کردن فعالیت های مشکوک، فایل های داده ای را بررسی کنند، اما این کار نباید باعث شود که کارکنان احساس کنند حریم خصوصی آن ها نقض می شود.

باید کارکنان را توجیه کرد که این بررسی و پاییدن تصادفی حسابرسان نه تنها به حل موضوعات محرمانه کمک کرده بلکه بازدارنگی مهمی بر روی تقلب های رایانه ای ایجاد می شود.

استفاده از حسابداران کارآگاه

حسابداران کارآگاه تخصص ویژه ای در بازرسی و حسابرسی دارند. این افراد دارای مدارج بالایی در حسابداری هستند و گواهی نامه بازرس رسمی تقلب را دارا می باشند. قطعاً استفاده از چنین افراید و با چنین تخصصی، در کشف و پیگیری یک تقلب بسیار مفید می باشد.

امروزه بیش از 15000 بازرس رسمی تقلب در جهان مشغول به کار هستند که با توجه به روند رو به رشد انواع تقلب ها و جرایم رایانه ای، تعداد این افراد متخصص نیز در حال افزایش است. با توجه به گسترش استفاده ار سیستم های اطلاعاتی رایانه ای در ایران و به تبع آن افزایش جرایم رایانه ای، استفاده از حسابداران کارآگاه نیز بیش از پیش احساس می شود.

شیوه های کاهش خسارت های تقلب شیوه رایانه ای

آخرین راه کار به منظور پیشگیری و کشف تقلب های رایانه ای، استفاده از روش هایی برای کاهش خسارات تقلب های رایانه ای است. در واقع، با وجود تمام تلاش هایی که برای پیشگیری و کاهش احتمال وقوع تقلب صورت می گیرد، همواره احتمال وقوع تقلب در یک سازمان وجود دارد. به همین منظور، باید اقداماتی برای کاهش زیان ناشی از تقلب ها صورت گیرد.

تکنیک های سوء استفاده و تقلب رایانه ای

بی شک اطلاعات، یکی از ارزش مند ترین دارایی های سازمان ها و کسب و کارهای امروز است و نگرش اصولی مدیران به این موضوع، دغدغه حفاظت از این دارایی ها را در ذهن آن ها ایجاد خواهد نمود. با گسترش استفاده از سیستم های رایانه ای و تبدیل این دارایی های ارزش مند به دارایی های نامرئی نیاز به استفاده روش های مطئمن برای حفاظت از اطلاعات بیش از پیش احساس می شود.

محققان انواع روش های حفاظت اطلاعات در سیستم های رایانه ای را به شرح زیر دسته بندی کرده اند:

·       حفاظت ارتباطات (حفاظت از نرم افزار و اطلاعات مبادله شده بین رایانه ها)

·       حفاظت فیزیکی (حفاظت از ساختمان، رایانه ها، تجهیزات، و رسانه ها مانند حافظه های سخت افزاری)

·       حفاظت افراد درون سازمانی (آموزش به کارمندان برای پیش گیری از وقوع تقلب و جلوگیری از وقوع حملات مهندسی اجتماعی)

·       حفاظت عملیات (حفاظت از شیوه های مقابله و شناسایی شکست های امنیتی و حفاظتی و توسعه روش های مقابله و شناسایی)

لایه های حفاظتی سیستم های اطلاعاتی رایانه ای

در شکل زیر می توانید که انواع لایه های حفاظتی برای مقابله با تقلب ها و جرایم رایانه ای را مشاهده کنید. در ادامه انواع تقلب هایی که با شکست هر یک از این لایه های حفاظتی امکان بروز دارند را معرفی می کنیم. توجه داشته باشید که ممکن است بین انواع این تقلب ها مرز خاص و معینی وجود نداشته باشد. به عبارت دیگر برخی تقلبات معرفی شده در هر لایه با تقلب های لایه های دیگر هم پوشانی داشته باشند و در صورت شکست سایر لایه ها نیز امکان بروز داشته باشند.

تکنیک های سوء استفاده و تقلب های رایانه ای
شکست های لایه حفاظتی داده ها و ارتباطات

واژه امنیت ارتباطات و داده ها حجم وسیعی از فعالیت های یک سازمان را تحت پوسس قرار می دهد. امنیت ارتباطات به معنای واقعی یعنی با استفاده از یک سری فرآیند ها از دسترسی غیر مجاز به داده ها و یا نرم افزارها و اعمال تغییرات و یا حذف کردن آن ها جلوگیری نماییم. این عمل را می توان به نحوی حفاظت از منابع موجود، در موقعیت های مختلف توسط افرادی که مسئولیتی در رابطه با محافظت از داده و نرم افزارها دارند، در نظر گرفت.

هدف از برقراری این لایه حفاظتی حصول اطمینان از کارکرد صحیح و امن پردازش داده ها و امنیت در ارتباطات با اشخاص ثالث و هنچنین به حداقل رساندن مخاطرات ناشی از مشکلات ایجاد شده در نرم افزارها می باشد.

با شکست لایه حفاظت ارتباطات شاهد حمله به داده ها و اطلاعات در زمان مبادله بین رایانه ها و یا حملاتی که کارکرد نرم افزارها را تحت تآثیر قرار می دهد، خواهیم بود بنابراین در این قسمت به تهدیدهایی که متوجه داده ها و نرم افزارها می باشد، پرداخته می شود.

تهدیدهای داده ها

انواع مختلفی از تهدیدها متوجه اصالت و طبقه بندی اطلاعات و داده های سازمان می باشد. محرمانه بودن اطلاعات، آن ها را از دسترسی افراد غیرمجاز مصون می دارد. حفظ اصالت داده ها منوط به حفاظت آن ها در برابر هرگونه تغییرات و اصلاح از سوی افراد غیرمجاز است. دسترسی نیز به مفهوم نگه داری و ایجاد شرایط دستیابی افراد مجاز به استفاده از داده ها است.

برخی از تهدیدهایی که اصالت داده ها را به خطر می اندازد، به شرح زیر است :
·       نشت اطلاعاتی

نشت اطلاعاتی به نسخه برداری غیر قانونی از داده ها و اطلاعات یک شرکت اشاره دارد. در واقع دستیابی غیر مجاز به داده های سری در حال انتقال و یا ذخیره شده در سیستم های رایانه ای را نشت اطلاعاتی می نامند.

نشت اطلاعاتی در سایه فقدان و یا شکست لایه حفاظت از ارتباطات و داده ها به وجود می آید. چنان چه شرکت تدابیر امنیتی لازم را به منظور نگه داری داده ها و یا ارسال آن ها در نظر نگرفته باشد، شاهد نشت اطلاعاتی و افشای اطلاعات محرمانه خواهیم بود.

افشای اطلاعات محرمانه شرکت برای افراد غیر مجاز تهدیدی است که تداوم فعالیت شرکت را به خطر می اندازد. رمزگذاری اطلاعات محرمانه یکی از راه هایی است که می تواند جلوی نشت اطلاعاتی را بگیرد. پیشگیری و شناسایی این نوع تهدیدها به اتخاذ تدابیر و سیاست های هماهنگ تمامی مقولات حفاظت رایانه نیازمند است.

·       تحلیل پیام های مبادله شده

تهدیدهایی که متوجه داده ها می باشند همواره آشکار نیست. داده هایی که بسیار معمولی و فاقد طبقه بندی امنیتی به نظر می رسند، ممکن است از نظر جاسوسان بیگانه یا رقبای تجاری، ارزشمند باشند. برخی از جاسوسان محتوای داده ها و پیام های در حال انتقال در سیستم های رایانه ای، مخابرایت یا امواج الکترومغناطیسی را شنود می کنند و به تحلیل پیام های مبادله شده اقدام می کنند.

برای مثال چنان چه نفوذگران پست الکترونیکی مدیران شرکتی را که به منظور مبادله اطلاعات درباره تولید محصول جدید از این شیوه پیام رسانی استفاده می کنند، را هک کنند، می توانند به اطلاعات محرمانه ای که از طریق این پیام ها مبادله شده است دسترسی پیدا کنند.

تهدید های نرم افزاری

آنچه تاکنون در رابطه با شکست های ارتباطات و داده ها عنوان شد، راجع به تهدید های داده ها بود. تهدیدهای معرفی شده در زیر متوجه نرم افزار ها و کارکرد آن ها می باشد.

·       مسیرهای میان بر

مسیر های میان بر، یکی از رایج ترین تهدیدهای نرم افزاری است. این شیوه امکان دسترسی سریع به برنامه یا نرم افزار و خطازایی را فراهم می سازد. در واقع راهی برای ورود به سیستم و دور زدن کنترل های امنیتی سیستم است.

برنامه نویسان غالبا جهت دستیابی سریع به برنامه و عبور از فیلترهای دسترسی این تمهیدات را در برنامه ها اعمال می کنند. چنان چه در آینده نیازی به تغییر در برنامه به وجود آید، برنامه نویسان از این مسیرها برای دسترسی سریع به برنامه ها (بدون نیاز به عبور از پروتکل ها و مسیرهای عادی) و ایجاد تغییرات و اصلاحات استفاده می کنند.

غالبا این مسیرهای میان بر باید بعد از انجام آخرین ویرایش ها و قبل از اجرای سیستم حذف شوند. اما ممکن است برخی از آن ها در برنامه باقی بمانند و افراد غیر مجاز از این مسیرها جهت ورود به سیستم و برای دسترسی به فایل ها و برنامه ها استفاده کنند.

·       راهزنی نوبت کاربر

این نوع تهدید زمانی رخ می دهد که برای مثال کاربر مجاز، دستگاه رایانه خود را برای مدتی ترک می کند و فردی که در همان اطراف است و مجوز استفاده از سیستم را ندارد، به طور غیر مجاز وارد سیستم شده و شروع به خواندن اطلاعات، کپی آن ها و یا به اعمال تغییرات در آن ها می پردازد.

·       تهدیدهای ناشی از زمان بندی

این نوع تهدید، از روش های پیچیده در دسترسی غیر مجاز به نرم افزار و یا اطلاعات محسوب می شود. سیستم های رایانه ای غالبا به طور همزمان اعمال متفاوت و گسترده ای را انجام می دهند. به عنوان مثال ممکن است چند کاربر به طور همزمان به یک سیستم فرمان پردازش اطلاعات را بدهند و یا درخواست چاپ اطلاعات را داشته باشند.

در این موارد رایانه فرمان های کاربران را در نوبت قرار می دهد و براساس یک الگوی از قبل طراحی شده به اجرای این فرامین می پردازد. در این بین ممکن است یک برنامه نویس ماهر با آگاهی از الگوی عملیاتی این فرآیند، کاری انجام دهد که فرمان او پیش از سایر فرامین اجرا شود و یا نام کاربری که در اولین نوبت پردازش قرار دارد با نام خود تعویض و با نام آن فرد اقدام به تخریب اطلاعات کند.

·       اسب تراوا

اسب تراوا یا تراجان همانند آن داستان قدیمی که اسمش از آن گرفته شده است سرشار از نیرنگ و حیله است. اسب تراوا در نگاه اول یک نرم افزار مفید به نظر می آید، اما یکباره اقدام به تخریب داده و اطلاعات و نرم افزار ها می کند. در واقع اسب تراوا مجموعه ای از دستورهای غیر مجاز رایانه ای در یک برنامه مجاز می باشد.

این دستوران به هنگام اجرا باعث انجام عملیات مخربی در رایانه می شود. اسب تروا سیوه ای معمول در ارتکاب جرایم رایانهای است و شناسایی آن به سختی صورت می گیرد. برای مثال ممکن است فرمانی در برنامه رایانه ای قرار داده شده باشد که با سومین بار اجرای برنامه، سیستم دچار اختلال و اطلاعات ثبت شده حذف شود.

·       ویروس های رایانه ای

ویروس یک نرم افزار کوچک بوده و بر دوش یک برنامه حقیقی حمل می گردد. مثلا یک ویروس می تواند خود را به برنامه ای نظیر واژه پرداز متصل نماید و هر مرتبه که برنامه اجرا می گردد، ویروس نیز اجرا و این فرصت را پیدا خواهد کرد که نسخه ای از خود را مجددا تولید کند.

ویروس ها می توانند موجب تخریب یا تغییر برنامه ها، داده ها و اطلاعات شوند؛ کنترل رایانه را به دست گرفته، حافظه اصلی رایانه را اشغال و فایل ها و اطلاعات را از بین ببرند.

ویروس رایانه ای با اعمال تغییرات در برنامه ها تکثیر می شود و به دیگر سیستم ها و یا فایل ها سرایت می کند. چنان چه از برنامه نویسی نسخه تهیه شود و بر روی رایانه دیگر اجرا شود، باعث انتقال ویروس خواهد شد. گسترش ویروس ساده و قابل پیش بینی است و به راحتی قابل پیشگیری

می باشد. رایانه ها از دو طریق به ویروس آلوده می شوند :

1) از طریق راه اندازی یا شروع با استفاده از حافظه های سخت افزاری آلوده شده (مانند سی دی ها و فلش مموری ها) که در این زمینه باید استفاده از این حافظه های سخت افزاری ناشناس و جدید توسط کاربران محدود و قبل از استفاده ویروس یابی شوند.

2) اجرای برنامه آلوده به ویروس نیز باعث آلوده شدن سیستم می شود. در این زمینه نیز باید اجرای برنامه های جدید با نظارت صورت گیرد.

·       کرم رایانه ای

یک کرم شبیه یک ویروس است با این تفاوت که کرم ها برخلاف ویروس ها، برنامه های متکی به خود هستند و بدون نیاز به فعالیت سایر برنامه ها کارخود را انجام می دهند. کرم ها به راحتی تکثیر یافته و رایانه های متصل به شبکه را آلوده می کنند. کرم ها معمولا عمر زیادی ندارند ولی در مدتی که فعال هستند، بسیار مخرب هستند. کرم های رایانه ای، داده ها  را از بین نمی برند، اما به صورت مکرر خود را تکثیر می کنند و این کار را تا زمانی انجام می دهد که حافظه داخلی و فضای حافظه های جانبی به صورت کامل پر شود.

متاسفانه اینترنت، انتقال ویروس ها و کرم ها را از یک سیستم به سیستم دیگر تسهیل کرده است و آن ها را تبدیل به یکی از رایج ترین جرایم و سوء استفاده های رایانه ای کرده است.

بهترین شیوه های پیشگیری از نفوذ ویروس ها و کرم ها عبارتند از :

1. دقت و حساسیت در استفاده از نرم افزارهای جدید و نامطمئن؛

2. استفاده از نرم افزارهای ویروس یاب جهت جستجو و از بین بردن ویروس ها؛

3. تهیه فایل های پشتیبان؛

4. عدم دریافت موارد مشکوک از اینترنت؛

5. حذف پیام های الکترونیکی افرادد ناشناس قبل از باز کردن آن ها؛

6. اجتناب از نسخه برداری غیر قانونی از نرم افزارها.

 

·       تهدید سالامی

در این شیوه به طور متوالی مقادیر ناچیزی از سرمایه یا دارایی افراد کم می شود. غالبا مبالغ اختلاس شده در این روش آن قدر ناچیز به نظر می رسد، که کاربران به وجود آن پی نخواهند برد. به عنوان مثال، فرض کنید بانک جهت انجام عملیات بانکی از هر مشتری 50 ریال بیشتر کارمزد دریافت کند، ممکن است مشتریان از کم شده این مبلغ ناچیز از حسابشان مطلع نشوند. اما برای بانکی که روزانه ده میلیون مشتری برای انجام عملیات بانکی به این بانک مراجعه می کنند مبلغ اختلاس روزانه به پانصد میلیون ریال می رسد و در پایان ماه مبلغی حدود 15 میلیارد ریال اختلاس شده است. در مثالی دیگر شرکت ها یکه خدمات عمومی (مانند شرکت آب، برق، گاز و مخابرات) ارائه می دهند را تصور کنید، چنانچه این شرکت ها صورتحساب مشتریان خود را تنها 1000 ریال بیشتر از واقع نشان دهند در هر دوره چه مبلغ قابل توجهی خواهد شد.

·       بمب سیستمی

بمب سیستمی برنامه هایی هستند که به رایانه فرمان می دهند که در زمان، تاریخ و شرایط معین فرامینی را اجرا نماید. این برنامه ها فایل های دیگر را آلوده نکرده و خود را گسترش نمی دهند. اجرای این فرمان و به عبارتی منفجر شدن بمب، سبب حذف اطلاعات ذخیره شده، خرابی سیستم، آسیب دیدگی برنامه ها، داده ها و اطلاعات می شود.

بمب های سیستمی تنها با عامل زمان فعال نمی شوند، برخی از آن ها با اجرای دفعات معینی از یک برنامه به سیستم صدمه می زنند. برخی دیگر خلاقیت بیشتری دارند. برای مثال فرد متقلب بمب را به گونه ای طراحی می کند که اگر فرد از کار اخراج شد، بمب منفجر شده و تمامی اطلاعات و فایل ها از بین برود.

·       حمله سرکاری

حمله سرکاری هنگامی رخ می دهد که حمله کننده تعداد زیادی پیام را برای آدرس های جعلی ارسال می کند. تعداد پیام های ارسال شده آن  چنان زیاد است که سرویس دهنده و رایانه قادر به کنترل و پردازش آن ها نمی باشد و به این ترتیب سیستم دچار اختلال شده و در نهایت خاموش می شود.

·       هک کردن

هک کردن، عبارت است از دسترسی غیر مجاز، ایجاد تغییر، یا استفاده از یک دستگاه الکترونیکی یا دیگر تجهیزات سامانه رایانه ای. هکرها از طریق شناسایی نقاط آسیب پذیر سامانه عملیاتی یا برنامه های رایانه ای و ضعف کنترل های داخلی برای نفوذ به سیستم ها استفاده می کنند. شاید بتوان گفت در حال حاضر این نوع ازحملات رایانه ای، عمومیت بیشتری دارد. برای مثال هکرها به منظور دستیابی به اطلاعات محرمانه شرکت، سایت شرکت را هک کرده و تا مدتی که مسئولین شرکت متوجه این موضوع شوند، اقدام به سرقت اطلاعات شرکت می کنند.

·       هجونامه (اسپم)

اسپم عبارت از اعلام پیام جعلی است، که از طریق ایمیل یا متن به طور همزمان و اغلب به قصد فروش کالا، به آدرس تعداد زیادی کاربر فرستاده می شود. در روشی دیگر اسپم کننده اقدام به اسکن روی خط آدرس های ارسالی در اینترنت می کند. سپس از طریق هک کردن پایگاه داده شرکت طرف قرار کاربر، فهرست پست های الکترونیک را به سرقت می برد. حملات اسپمینگ، ضربه سختی به سامانه پست الکترونیک شرکت ها و تآمین کنندگان خدمات اینترنتی وارد می کند.

به طوری که در برخی شرکت ها دریافت پیام های جعلی از طریق این حمله به مراتب بیشتر از تعداد پیام های معتبر آن هاست.

·       اسپوفینگ

اسپوفینگ، عبارت است از برقراری یک ارتباط الکترونیکی به ظاهر آشنا به قصد جلب اعتماد گیرنده. این روش به شیوه گوناگونی، از جمله موارد زیر صورت می گیرد :

– اسپوفینگ ایمیل، عبارت است از ایجاد و ارسال یک ایمیل ساختگی از سوی یک منبع صوری، در واقع در این روش افراد پیامی را دریافت می کنند که به ظاهر از طرف یکی از دوستان و یا آشنایانشان است. در حالی که هکر توانسته نام این فرد را به جای نام خود در پیام نشان دهد.

– اسپوفینگ کالر آی دی، در این روش شماره تلفن گیرنده تماس بر روی صفحه نمایش دریافت کننده به صورت نادرست نمایش داده می شود. این نوع از حملات به قصد پنهان نگه داشتن هویت واقعی گیرنده تماس انجام می شود. در برخی از موارد سارقین برای جلوگیری ازعدم رد یابی خود از طریق تلفن، از این روش استفاده می کنند.

– اسپوفینگ آدرس آی پی، عبارت از ایجاد بسته هیا پروتکل اینترنتی جعلی توام با منبع ساختگیر آی پی به منظور پنهان نگه داشتن یا تغییر هویت فرستنده در سیستم های رایانه ای گیرنده.

– اسپوفینگ پیام کوتاه عبارت از استفاده از خدمات پیام کوتاه برای تغییر نام یا شماره ارسال کننده بر روی متن پیام است.

شکست های لایه حفاظتی فیزیکی

هر قدر هم که به امنیت رایانه خود اهمیت بدهید و نرم افزار های امنیتی مثل انتی ویروس، دیوار آتش و غیره را خریداری و نصب کرده باشید، باز هم اطلاعات شما آسیب پذیر و در معرض خطر هستند. نرم افزار های امنیتی، شما را در برابر «خطرات دیجیتالی» محافظت می کنند، اما این کافی نیست.

گروه دیگر از مشکلات که اطلاعات را تهدید می کنند. «خطرات فیزیکی» نامیده می شوند. مانند آسیب دیدن، منقود شدن یا دزده شدن و سایلی که اطلاعات را در آن ها نگه داری می کنیم. علاوه بر این، عواملی مانند، افزایش یا کاهش در ولتاژ برق و یا اتفاقات ساده ای مثل ریختن چای روی وسایل دیجیتالی، نیز در همین گروه طبقه بندی می شوند.

حفاظت فیزیکی به معنای حفظ رایانه، تجهیزات، رسانه های رایانه و تمامی سیستم ها، در مقابل سوانح طبیعی، انواع مختلف حوادث و حملات عمدی است.

برخی از شکست های آشکار حفاظت فیزیکی عبارتند از :

بمب گذاری تروریستی در محل نگه داری تجهیزات رایانه ای، آتش سوزی عمدی، سرقت و تخریب تجهیزات رایانه. با استفاده از برخی کنترل های فیزیکی و به کارگیری برخی از دستگاه ها و تجهیزات فیزیکی می توان جلوی بروز بسیاری از تهدیدات و تقلب های معرفی شده در زیر را گرفت.

برای مثال کنترل زباله ها به منظور بررسی عدم وجود اطلاعات محرمانه در آن ها می تواند جلوی افشای اطلاعات محرمانه و سوء استفاده از آن ها را بگیرد. تقلب های معرفی شده در زیر در صورت شکست حفاظت های فیزیکی امکان بروز دارند. توجه داشته باشید که برخی از تهدیدات و تقلب های معرفی شده در این بخش را می توان در صورت شکست لایه های حفاظتی دیگر نیز مشاهده کرد.

·       دور ریختن زباله

رفتگری یا جستجوی زباله دان، دستیابی به اطلاعات محرمانه از طریق جستجوی در مدارک دور ریخته شده می باشد. رفتگری نوع بسیار ساده ای از سوء استفاده ها و حملات امنیتی محسوب می شود. واضح است که این نوع حمله به هیچ وجه غیر قانونی به حساب نمی آید. غالبا کارمندان بی دقت، کاغذها و نامه های اداری خود را در سطل های زباله می ریزند.

این تهدید متوجه تجهیزات رایانه ای نیز هست. به این صورت که افراد متقلب با جستجوی رایانه ها و محیط اطراف آن ها به دنبال کشف اطلاعات مورد نیاز جهت ورود به سیستم می باشند.

تهدید دیگری که توجه زیادی به آن نیم شود، فایل هایی هستند که به ظاهر از حافظه رایانه حذف شده اند، اما در واقع در سیستم وجود دارد و با استفاده از نرم افزار های رایج موجود در بازار، می توان آن ها را بازیابی کرد. کاربران باید این موضوع را بدانند که اطلاعات به ظاهر حذف شده، هنوز در رایانه وجود دارند.

·       استراق سمع تلفنی

به طور معمول خطوط ارتباطی شبکه و تلفن به خوبی حفاظت نمی شوند و افراد فرصت طلب، خساراتی را به این خطوط وارد می کنند. برخی مواقع مجرمین از شیوه استراق سمع تلفنی، جهت شنود خطوط ارتباطی بهره می گیرند. متاسفانه شنود کابل های ارتباطی بسیاری از شبکه ها به راحتی امکان پذیر است.

·       استراق سمع به شیوه دریافت امواج

یکی از تهدید هایی که اطلاعات را به مخاطره می اندازد، نشت الکترونیکی رایانه ها است. رایانه نظیر تمام دستگاه های الکترونیکی مانند تلویزیون، امواج الکترومغناطیس ساطع می کند. به محض فشردن هر یک از کلیدهای صفحه کلید، امواج الکترومغناطیسی در محیط اطراف ساطع می شود. سرویس های اطلاعاتی جاسوسان، رقبای تجاری و افرادی که به دنبال کسب اطلاعات هستند، این امواج الکترومغناطیس را کنترل، دریافت و آشکار می کنند.

برای جلوگیری از این تهدید، رایانه ها باید به تجهیزاتی فیزیکی مجهز شوند که مانع از این نشت الکترونیکی اطلاعات شوند.

·       توقف یا تاخیر در سرویس دهی

برخی از افراد، ممکن است با انجام اقداماتی رایانه ها را خاموش کنند و یا سرعت عملیات آن را کاهش دهند و باعث توقف یا کند شدن سرویس دهی سیستم شوند. شیوه های متعددی جهت ایجاد اختلال در سرویس دهی وجود دارد. برخی از آن ها نظیر ایجاد حریق، انفجار و قطع برق می باشد. در این مقوله دو دسته از تهدید ها وجود دارند. در دسته ای از این تهدیدها، کارشکنی الکترونیکی است که منجر به تخریب واقعی یا ناتوانی سیستم و تجهیزات رایانه ای در ارائه سرویس می شود.

قطع منبع تغذیه از این دسته تهدیدها می باشد. استفاده از سیستم حفاظت در مقابل قطع جریان برق، سیستم تشخیص، اعلام و اطفا حریق، سیستم دوربین مدار بسته و نظارت تصویری، سیستم هشدار دهنده و ضد سرقت و سیستم شناسایی و تشخیص هویت می تواند جلوی بروز چنین حملاتی را بگیرد.

شکست های لایه حفاظتی افراد درون سازمانی

مهمترین مولفه هر برنامه امنیتی موثر، افرادی هستند که آن را اجرا و مدیریت می کنند. نقائص امنیتی بیش از آن که ناشی از سیستم باشند، به وسیله کاربران سیستم و افرادی که مدیریت سیستم را بر عهده دارند، رخ می دهند.

بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستم های اطلاعاتی اغلب بسیار مهم تر از تهدید های خارج بوده اند. در بسیاری از موارد مجرمانی که در نفوذ به سیستم موفق بوده اند، یا دانش قبلی از سیستم داشته و یا دارای شریک جرمی در داخل شرکت بوده اند.

مهم ترین ابزاری که مدیریت برای کاهش تهدیدات داخلی در اختیار دارد آموزش کاربران داخلی سیستم و هشدار دادن به آنان درباره عواقب سهل انگاری در اجرای اقدامات امنیتی است. در واقع، بسیاری از کاربران از این واقعیت که نفوذ به سیستم های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار می گیرند، اطلاع ندارند.

بنابراین با به کارگیری سیاست های حفاظتی در حوزه کارمندان می توان از وقوع بسیاری از تقلب ها و سوء استفاده ها پیشگیری نمود. در ادامه، برخی از تقلب هایی که در سایه شکست لایه حفاظتی افراد درون سازمانی امکان وقوع دارند، مورد بحث قرار می گیرد.

·       جعل هویت

جعل هویت هنگامی رخ می دهد که فردی جهت دستیابی به رایانه شخص دیگر، هنویت او را جعل کند. اتخاذ شیوه های حفاظت عملیات سیستم در پیشگیری و شناسایی این تهدید بسیار اهمیت دارد. جعل هویت به دو روش فیزیکی و الکترونیکی صورت می گیرد. در روش فیزیکی فرد با استفاده از کارت دسترسی و یا تقلید صدای کاربر مجاز، وارد اتاق رایانه ها شده و به اطلاعات دسترسی پیدا می کند.

در شیوه الکترونیکی جعل هویت، فرد غیر مجاز با استفاده از رمز عبور کاربر مجاز، شماره شناسایی فرد و کد دسترسی تلفنی جهت دسترسی به رایانه یا گروهی از فایل های اطلاعاتی مورد نیاز محرمانه، استفاده می کند. معمولی ترین شیوه جعل هویت الکترونیکی، استفاده غیر مجاز از رمز عبور جهت ورود به سیستم است.

این موضوع به دلیل این است که کاربران در انتخاب رمز عبور، دقت کافی ندارند. کشف رمز عبور رایانه توسط افراد فرصت طلب به سادگی صورت می گیرد. معمولا رمز های عبور به قدری ساده انتخاب می شوند که توسط افراد غیر مجاز و یا با استفاده از نرم افزارهای دسترسی غیر قانونی به رمز، کشف می شوند.

·       کولی گرفتن

کولی گرفتن، عبارت از اتصال به یک خط ارتباط از راه دور و جفت شدن با یک کاربر مجاز. با این کار کاربر مجاز به صورت ناآگاهانه ک متقلب را با خود وارد سیستم کرده است. کولی گرفتن از راه های زیر محقق می شود :

– استفاده غیر مجاز از اتصالات اینترنت و شبکه بی سیم همسایه. برای جلوگیری از این کار نصب ابزارهای امنیتی برای جلوگیری از ورود افراد غیر مجاز ضروری است.

– نفوذ به خطوط مخابراتی. در این حالت کاربر بدون آن که متوجه باشد، فرد غیر مجازی را با خود به درون خطوط آورده است و این فرد غیرمجاز قادر به استراق سمع است.

– ورود غیر مجاز به دنبال یک کاربر مجاز برای عبور از درب امنتیتی. در این حالت فرد غیر مجاز بلافاصله پس از ورود فرد مجاز، از دستگاه های شناسایی عبور می کند و وارد سازمان  می شود.

·       مهندسی اجتماعی

در مهندسی اجتماعی، افراد فرصت طلب اطلاعات مورد نیاز جهت نفوذ در سیستم و سرقت یا تخریب اطلاعات را با ترغیب برخی کاربران مجاز و یا فریب آن ها به دست می آورند. در واقع د راین روش به منظور تدارک یا برنامه ریزی یک تهاجم از نوع حملات مهندسی اجتماعی ، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارت اجتماعی خاص (روابط عمومی مناسب، ظاهری آراسته و غیره) سعی می نماید به اطلاعات حساس یک سازمان دسترسی و به آن ها آسیب رساند. این نوع تهدیدها گاهی بسیار ساده و گاهی بسیار پیچیده اند.

در یکی از این موارد که بسیار ساده است، فردی با معرفی خود به عنوان مسئول انجام تحقیقات امنیتی کارمندان را وادار می کنند تا اطلاعات محرمانه را در اختیار او قرار دهند.

·       سرقت هویت (فیشینگ)

این نوع حمله شکل خاصی از حملات مهندس اجتماعی بوده که با هدف کلاه برداری و شیادی سازمان دهی می شود. فیشینگ راهی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور شماره 16 رقمی عابر بانک، رمز دوم و cvv2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می برند.

کلاه برداری فیشینگ از طریق پیام های الکترونیکی صورت می پذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایت های جعلی که در ظاهر کاملاشبیه وب سایت های سالم و قانونی می باشد وارد می نمایند. تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند.

این نوع حملات شامل پیام هایی هم می شوند. که ادعا می کنند از طرف بانک هستند و از مشتری ها (استفاده کنندگان خدمات بانکی) می خواهند با توجه به مشکلی که برای حساب های آن ها به وجود آمده است، با یک شماره تلفن تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی اس) تماس بگیرد، دستوراتی به مشتری داده می شود تا شماره حساب و رمز خود را وارد کند. به منظور جلوگیری از حقه های فیشینگ باید به نکات زیر توجه نمود :

– در مورد پیام های ناخواسته ای که اطلاعات شخصی را درخواست می کنند، باید محتاط بود.

– فرم هایی را که از طریق پیام ها ارسال می شود را تکمیل ننمود.

– همواره لینکی را که در پیام الکترونیکی قید شده است را با لینکی که واقعا به آن ارجاع داده می شود، مقایسه نمود.

– به جای آن که روی لینک موجود در پیام ناخواسته کلیک کرد، بهتر است مستقیما به وب سایت رسمی مراجعه نمود.

– به منظور بررسی اعتبار و صحت پیام دریافتی بهتر است با شرکتی که گمان می شود که پیام را ارسال کرده است، تما س گرفت.

·       فارمینگ

امروزه، کاربران با اشکال موذیانه تری از حملات مواجه می شوند که کشف و مقابله علیه آن ها بسیار مشکل تر است. گونه جدید تقلب ها و جرایم رایانه ای به عنوان فارمینگ شناخته می شود. در این گونه جدید از تقلب های رایانه ای به جای این که کاربر را گول بزنند تا به یک پیام الکترونیکی تقلبی پاسخ دهد یا او را به یک وب سایت جعلی هدایت کنند، برای فریب دادن کاربر برای تسلیم هویت و افشای اطلاعات حساسش، از روش های زیرکانه تری استفاده می کند.

این حملات از اسب های تروا (تروجان) برای نصب برنامه های کلید خوان و برنامه های هدایت کننده استفاده می کنند تا به نفوذ گر اجازه دهند کلمات عبور و شماره کارت های اعتباری را بدست آورد، بدون این که کاربر مجبور به انجام کار غیر عادی باشد.

برای مثال کاربر یک پیام الکترونیکی ظاهرا صحیح را باز می کند که او را تشویق می کند تا فایل الحاقی به آن را باز کند این فایل الحاقی به صورت مخفیانه یک «کلید خوان» (برنامه ای شات که کلیدهایی را که توسط کاربر زده می شود، ثبت می کند) نصب می کند. هنگامی که کاربر به بانک آنلاین خود سر می زند، کلید خوان این را تشخیص می دهد و ورودی های صفحه کلید کاربر را هنگاهی که وی اسم و کلمه معبور را تایپ می کند، ثبت می کند.

سپس این اطلاعات برای نفودگر ارسال می شود تا برای دسترسی به حساب کاربر استفاده شود.

·       مزاحمت

مزاحمت، یکی دیگر از انواع معضلاتی است که د رشبکه اینترنت وجود دارد. اشخاص متقلب در این روش با استفاده از تهدیدهای پست الکترونیکی اقدام به فریب و کلاه برداری از کاربران می کنند. ارسال پیام های تهدید آمیز از طریق پست الکترونیک و رسوا نمودن افراد در سیستم های تابلو های اعلانات و گروه های خبری، بسیار معمول است. در این شیوه با تهدید افراد به افشای اطلاعات محرمانه، خواستار وجه نقد می شوند.

·       نسخه برداری غیر مجاز از نرم افزار

تکثیر غیر مجاز نرم افزار، نسخه برداری از نرم افزار بدون اخذ مجوز از ناشر آن است. تکثیر غیر مجاز نرم افزار ها سود مناسبی دارد و نسخه برداری و فروش آن (برخلاف قانون کپی رایت) میلیون ها دلار سود را متوجه عاملین آن می کند. این موضوع که در برخی از کشورها به صورت شایع در آمده است، یک مشکل بین المللی است.

شکست های لایه حفاظت از عملیات

در اولین لایه مدل حفاظتی سیستم های اطلاعاتی، سیاست ها و رویه های حفاظتی تعریف و تمامی کاربران صرف نظر از موقعیت شغلی خود باید با آن ها آشنا شوند. با توجه به جایگاه برجسته این لایه و تاثیر آن بر روی عملکرد سایر لایه ها، باید با حوصله و دقت بیشتری اقدامات حفاظتی مناسب را برای این لایه تعریف کرد. با توجه به گستردگی دامنه این لایه باید تمامی تدابیر امنیتی لازم را به منظور مقابله با تهدیدها و تقلب هایی که به نوعی سیستم و اطلاعات آن را به مخاطره می اندازد، اتخاذ کرد.

در واقع حفاظت عملیات به معنای وضع تدابیری جهت پیشگیری و شناسایی تهدیدهایی است که کارمندان و سیستم ها را به مخاطره می اندازد. همان طور هم که در شکل مشاهده کردید، این لایه ها با یکدیگر هم پوشانی دارند به همین دلیل بسیاری از تهدیداتی که در قسمت های قبل معرفی کردیم را می توان به نوعی شکست حفاظت عملیات نیز دانست. در ادامه برخی دیگر از تهدیدهایی که در صورت  شکست حفاظت عملیات امکان وقوع را دارند معرفی می کنیم .

·       شکستن کلمه عبور

این تهدید هنگامی رخ می دهد که فرد متقلب به سیستم نفوذ کرده و فایل های حاوی کلمات عبور را به سرقت می برد. آن ها را کدگشایی و از اطلاعات و برنامه های آن استفاده می کند. انتخاب رمز عبور متنوع و محرمانه، شیوه مناسبی جهت حفاظت سیستم در قبال این گونه تهدیدها است.

توجه داشته باشید که کلمات عبور مکانیزم های غیر قابل اشتباهی نیستند زیرا رایانه ها نمی توانند بین کاربران مجاز  و کاربران غیر مجاز وارد کننده رمز تمایز قابل شوند. بنابراین چنان چه رمز در اختیار افراد غیر مجاز قرار بگیرد، به راحتی لایه های حفاظتی سازمان در هم شکسته می شود و فرد غیر مجاز می تواند به اطلاعات دسترسی پیدا کند. در زیر می توانید اطلاعاتی را در رابطه با حفاظت کلمات عبور مطالعه کنید.

·       کراس سایت اسکریپتینگ

در این حمله، مهاجم با عبور از ساز و کار امنیتی، به مرورگر کاربر دستور اجرای کدهای مورد نظر حمله کننده را می دهد، کاربر نیز با تصور این که دستورات صادره از سوی وب سایت حقیقی صادر گردیده ناخواسته آن ها را اجرا می کند. بنابراین چنانچه لایه های امنیتی مناسبی در سازمان وجود نداشته باشد، هکرها میتوانند با شکست این لایه ها، به راحتی کنترل سیستم ها را بر عهده گیرند و این در حالی است که کاربران نیز از مورد حمله قرار گرفتن خود بی خبر هستند.

·       جست و جوی تلفنی

یکی از شیوه هایی که غالبا توسط نفوذگران غیر مجاز مبتدی جهت نفوذ به سیستم ها صورت می گیرد، جست و جوی تلفنی و یا به عبارتی شماره گیری جنگی است. در این روش تجاوز گر، رایانه را جهت شماره گیری اتوماتیک هزاران خط تلفن برنامه ریزی می کند تا در نهایت خطوط تلفنی که به مودم های بیکار متصل هستند را شناسایی کند.

با استفاده از این مودم های بیکار، فرد متجاوز وارد سیستم هیا رایانه ای شده و سپس امکان دسترسی به شبکه ای که این رایانه ها به آن متصل هستند را به دست می آورد؛ و در این شبکه ها به دنبال کشف اطلاعات محرمانه می گردد.

·       اختیارات نامحدود

یک کاربر معمولی نباید قادر به اعمال تغییرات در تمام فایل های یک سیستم باشد. با این وجود بسیار از سیستم ها محدودیتی در دسترسی کاربران ایجاد نمی کنند. نکته قابل توجه  این است که ممکن است کاربر تمایلی به تغییر سایر فایل ها نداشته باشند و یا حتی اصلا از این قابلیت مطلع نباشند.

اما به هر حال سیستم این قابلیت را ایجاد کرده است و ممکن است فرد غیر مجازی از این موضوع مطلع و از این نقطه ضعف استفاده کند.

حفاظت از گذرواژه ؛ نکاتی برای تقویت خط مقدم امنیت فناوری اطلاعات

وقتی موضوع امنیت در میان است راحت می توان به دیگران گفت که چه کار کنند ؛ در واقع، آن چه دشوار است وا داشتن افراد به اجزای توصیه ها است. در این متن مجموعه ای از نکات برای سازمان ها و کارکنانشان ارائه شده است تا مدیریت گذروازه ها و قدرتمندتر کردن آن ها و در عین حال سهولت به خاطر سپردنشان میسر شود.

1.    بازی های ذهنی

به خاطر سپردن گذرواژه برای همه مشکل است. بر اساس نتایج سنجشی که شرکت لیبرمن سافت ور (Liberman Software) در اکتبر 2011 بر روی 300 متخصص فناوری اطلاعات انجام داد، 51 درصد از پاسخگویان حداقل 10 گذرواژه داشتند که باید برای کاربرد در محیط کار به یاد می سپردند و 42 درصد گفتند که در سازمان کارکنان بخش فناوری اطلاعات از گذرواژه های مشترک برای دسترسی به سیستم ها و نرم افزارهای کاربردی استفاده می کنند.

بنابراین استفاده از جملات خنده دار و یا جملاتی که به راحتی به خاطر سپرده می شوند، برای استفاده به عنوان گذرواژه ها  مناسب است.

2.    اندازه گذرواژه مهم است

گذرواژه هر چه طولانی تر باشد، بهتر است. هشت کاراکتر همیشه کارآمد نیست. در واقع، توصیه می کنند که در صورت امکان از گذرواژه هایی با 12 تا 14 کاراکتر استفاده شود. به گفته پیر لوییجی استلا، مدیر بخش فناوری نت ورک باکس (Network Box) نکته اصی که باید در هنگام تصمیم گیری درباره گذرواژه به خاطر سپرد، این است که با انسان ها سرو کار داریم. او توصیه می کند که جمله ای معنی دار برای خود بسازید و با حذف فاصله یا قراردادن کاکتری مابین کلمات، گذر واژه خود را شکل بدهید.

بنا بر اعلام شرکت امنیت است از 440 هزار گذرواژه، متداول ترین گذرواژه ها به ترتیب عبارت بودند از «1234»، «passw0rd»، «welcome»، «ninja» و «abc123». فصل مشترک تمام هک ها استفاده از گنجینه گذرواژه هاست که این تأکیدی است بر اهمیت مدیریت گذرواژه ها برای افراد و شرکت ها.

3.    مشکل کاربرد گذرواژمه های تکراری

بررسی گذرواژه های لو رفته نشان می دهد که مردم برای سایت های و خدمات متفاوت از گذرواژه های واحد استفاده می کنند. شاید این کار بعضی وقت ها خیلی مهم نباشد. اگر هکری گذرواژه پست الکترونیکی کسی را بفهمد و این گذرواژه همانی باشد که آن فرد بریا سایت تجارت الکترونیک نیز از آن استفاده می کند، مشکل بروز خواهد کرد. به همین دلیل از کاربرد گذرواژه های تکراری باید اجتناب کرد.

4.    ترکیب حروف گذرواژه

در گذرواژه ها باید از انواع کارکتر ها استفاده کرد، مثلا اعداد یا علایم مختلف سجاوندی.

5.    چرخه عمر گذرواژه

در حالی که بعضی سازمان ها کاربران را به تغییر گذرواژه ها در دوره های چندماهه وادار می سازند، این سیاست اگر منجر به تغییر بیش از حد گذرواژه ها شود می تواند به متیجه عکس بیانجامد. نتیجه این وضعیت منجر به کاربرد گذرواژه ها ی صعیف تر می شود که به یاد سپردنشان راحت تر است.

6.    استفاده از گذرواژه های غیر قابل حدس

اکثر افراد از رمز های عبوری استفاده می کنند که مبتنی بر اطلاعات شخصی آن هاست، چراکه به خاطر سپرده این گذرواژمه ساده تر است. به همان نسبت ، مهاجمان نیز به سادگی این رمز ها را می توانند حدس بزنند. استفاده از گذرواژه هایی مانند نام خود و یا بستکان، شماره های تلفن، شماره های شناسایی و شماره دانشجویی مناسب نمی باشند.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا