بخشی از مقاله
تهدیدات امنیتی در سیستم های اطلاعاتی حسابداری رایانه ای
چکیده
تغییرات سریع در فناوری اطلاعات، گسترش همه جانبه سیستم های کاربر پسند ۲۳ و تمایل عظیم سازمانها در تهیه و اجرای سیستم ها و نرم افزارهای جدید و روز آمد، سبب شده تا رایانه ها خیلی آسان تر و وسیع تر از گذشته مورد استفاده قرار گیرند و وظایف حسابداری در مقایسه با گذشته سریع تر و با دقت بیشتری انجام شوند. از طرف دیگر، این فناوری پیشرفته، خطرات تازه و البته مهمی را در مورد نحوه تامین امنیت و اطمینان از صحت و درستی اطلاعات حاصل از سیستم های اطلاعاتی حسابداری رایانه ای ایجاد کرده است. در بیشتر موارد، فناوری نوین اطلاعات بسیار سریع تر از فناوری های کنترلی، پیشرفت کرده و توسعه می یابد. از طرفی، این پیشرفت ها به هیچ روی با پیشرفت مهارت ها و آگاهی های کارکنان همسان نیست. در این مقاله، نظری اجمالی بر تهدیدات امنیتی سیستم های اطلاعاتی حسابداری رایانه ای خواهیم داشت، طبقه بندی های گوناگون تهدیدات امنیتی بیان خواهد شد و دلایل این تخلفات به شکل مختصر و خلاصه مشخص می گردد. در پایان،رویکردها و روش های سوء استفاده امنیتی در این سیستم ها ۳۲ به همراه جزئیات، مورد بحث قرار خواهد گرفت.
نظری اجمالی بر تهدیدات امنیتی در سیستم های اطلاعاتی حسابداری رایانه ای پارکر بر طبق یک قانون قدیمی معتقد است که اگر چیزی را با یک چکش مناسب و بزرگ بکوبیم مسلما خواهد شکست. در مورد رایانه ها، برنامه های رایانه ای، کاربران و داده ها، نیازی نیست که این چکش خیلی هم بزرگ باشد چون همه این اجزا شکننده و آسیب پذیرند و خیلی زود صدمه می بینند. ( 1983 ,Parker) علاوه بر این به دلیل ظرفیت های بالای فرآیندها، تمرکز عظیم داده ها و سرعت زیاد عملیات در رایانه ها، راه های بسیاری برای صدمه زدن به سیستم رایانه ای وجود دارد. احتمال وارد شدن این صدمات به دلیل فاصله های زیاد جغرافیایی و استفاده از ظرفیت های ارتباطی داده ها که رایانه ها را در شبکه به هم متصل می کند، بیش از پیش افزایش یافته است.
دیویس معتقد است که امروزه تغییرات فناوری اطلاعات با دامنه بزرگ تری در مقایسه با گذشته صورت می گیرد و بسیاری از این تغییرات با سیستم های اطلاعاتی حسابداری سازمان ها مطابقت یافته اند. در کنار این سازگاری و تطبیق، پیشرفت های فناوری، تهدیدات امنیتی جدیدی را نیز برای س یستم های اطلاعاتی رایانه ای ایجاد
سیستمهای اطلاعاتی و فناوری
کرده است. ( 1997 ,Davis) شوایتزر اصلی ترین تهدیدات امنیتی برای اطلاعات الکترونیک را به شرح زیر عنوان می کند:
• کاهش میزان پوشیدگی اطلاعات و خطر افشای اطلاعات محرمانه
• ربودن اطلاعات
• استفاده غیر مجاز از اطلاعات و استفاده کلاهبردارانه از رایانه ها و تجهیزات
• کاهش صحت و درستی اطلاعات به علت تغییر یا دستکاری عمدی و غیر مجاز در داده ها
• کاهش خدمات رایانه ای به دلیل اعمال معاندانه عمدی و غیر مجاز ( 1987 ,Schweitzer) هوژن و سلين ( 1999 , Haugen , Selin ) نیز عادی ترین نوع تقلب های رایانه ای را در شش طبقه به شرح زیر طبقه بندی کردند:
I. تغيير داده های ورودی: تغییر داده های ورودی نیازی به داشتن مهارت های رایانه ای چندانی ندارد. فقط لازم است بداند که سیستم چگونه عمل می کند تا بتواند ردپای خود را از بین ببرد.
II. دزدیدن زمان و وقت رایانه: استفاده از رایانه برای انجام دادن کارهای غیر مجاز، مثل انجام امور شخصی و ... تقلب محسوب می شود، حتی اگر فرد آگاه نباشد که در حال انجام عملی نادرست است.
III. سرقت نرم افزار: تخمین زده می شود که در ازای هر نسخه کپی قانونی از یک نرم افزار، بین ۱ تا ۵ مورد کپی برداری غیر قانونی از آن نرم افزار صورت می گیرد و این عمل برای صنعت نرم افزار، هزینه ای بین ۲ تا ۴ میلیارد دلار در سال خواهد داشت.
IV تغییر یا ربودن پرونده های داده ها: اطلاعات ممکن است اغلب از سوی کارکنان ناراضی برای صدمه زدن به سازمان و ایجاد آثار زیان بار تغییر یابند، حذف شوند و یا مورد دستکاری قرار گیرند. همچنین ممکن است که اطلاعات به سرقت رفته و به رقبا با سایر کسانی فروخته شوند که بتوانند از آن اطلاعات منفعت و فایده ای کسب کنند.
V. دزدی یا استفاده نادرست از خروجی رایانه: شبکه های رایانه ای در سازمانها غالبا داده های خروجی از رایانه ها را در معرض دسترسی تعداد زیادی از کاربران قرار می دهند. به عنوان نمونه، از طریق چاپگرهای مشترکی صورت می گیرد که در مکان های عمومی سازمان برای دسترسی راحت تر همه افراد قرار داده می شوند. از طرفی صفحه نمایش رایانه غالبا به سهولت از سوی دیگران قابل مشاهده است و اطلاعات فرستاده شده از طریق ایمیل های داخل شرکت، ممکن است در قسمتی از سازمان متوقف شوند. هر چقدر اطلاعات خروجی های سیستم حساس تر باشند، به همان میزان توجه و کنترل مورد نیاز برای آن اطلاعات هم افزایش می یابد.
VI. دسترسی غیرمجاز به سیستم یا شبکه: با توسعه استفاده از اینترنت و انعطاف پذیری و آسانی که سیستم های شبکه ای پیدا کرده اند، لازم است که در مورد پرونده های حساس در سیستم مراقبت، توجه خاصی به عمل آید. شبکه ها نیز به دلیل ضعف امنیتی، غالبا از سوی حكرها آسیب پذیر هستند.
دلایل
تخلفات امنیتی در سیستم های اطلاعاتی حسابداری رایانه ای
عوامل داخلی و خارجی بسیاری وجود دارد که سبب نقض امنیت سیستم می شود. بیشترین دلایل داخلی به کارکنان سازمان ارتباط پیدا می کند، یعنی کسانی که به دارایی ها و سیستم های حسابداری سازمان دسترسی دارند. مشکلات سازمانی و فنی داخلی از قبیل کنترل های ضعیف داخلی، خط مشی های ضعیف کارکنان و نبود صداقت و درستی در سطوح بالای سازمانی از عمده ترین دلایل تهدیدات امنیتی است. این موضوع می تواند شامل مواردی چون برنامه های پاداش ناکافی، قوانین انضباطی ضعیف و سهل انگارانه، گسترش خصومت و عداوت و سایر موارد تحریک آمیز دیگر نیز باشد. طبق نظر هوژن و سلین به دلایل زیادی ممکن است که کارکنان جرایم رایانه انجام دهند و اقدام به دزدی از کاری نمایند که انجام میدهند. عمومی ترین این دلایل می تواند انتقام و کینه جویی، بدهی شخصی زیاد و فشار آور و فقدان کنترل های داخلی باشد. امروزه تجارت کاری بسیار رقابتی است و کارکنان استرس و فشار زیادی را تحمل می کنند. در نتیجه ممکن است احساس کنند که بیش از توان از آنها کار خواسته می شود و کمتر از حد معمول دستمزد دریافت می کنند و مورد تقدیر و تشکر هم
واقع نمی شوند. حال اگر همزمان، با مسائل شخصی جدی و دشواری نیز دست به گریبان باشند، انگیزه آنها برای انجام تقلب خیلی بالا خواهد رفت.
اگر به این معادله، کنترل های ضعیف داخلی و فناوری در دسترس رایانه ای را اضافه کنیم، که در انجام جرم کمک کننده می باشد، آنگاه فرصت انجام تقلب جنبه واقعی و عینی پیدا خواهد کرد. ( 1999 , Haugen , Selin ) گاهی اوقات ارزیابی میزان ریسک وقوع جرایم رایانه ای در سازمان کاری دشوار است، اما سازمان ها می توانند با استقرار سیستم و اعمال کنترل داخلی مناسب شامل رویه های استخدامی خوب و برنامه های آموزشی مناسب، در مقابل وقوع جرایم رایانه ای ایستادگی کرده و میزان زیان وارده را به حداقل ممکن برسانند.
فهرست زیر که برخی از علل و دلایل تخلفات را بیان می کند بر پایه مطالعات کارشناسان بسیاری در زمینه مسایل امنیتی سیستم های اطلاعاتی الکترونیکی تهیه شده است:
لازم به ذکر است که امکان اضافه شدن موارد دیگری به این فهرست نیز وجود دارد).
الف) طراحی سیستم به صورت ناقص به نحوی که توان فراهم ساختن کنترل های موثر را در طول چرخه عملیاتی سیستم ندارد. در سیستم های دستی، همواره وجود کنترلها امری بدیهی تلقی می شود اما سیستم های رایانه ای در فراهم ساختن کنترل ها و رویه های مناسب جایگزین ممکن است دچار نقصان شوند. در بسیاری از موارد سیستم های کاربردی بدون توجه به ملاحظات امنیتی کافی، توسعه و گسترش پیدا می کنند.
ب) اشتباهات برنامه ریزی که ممکن است منجر به ایجاد حفره های نفوذ و رخنه در طول اجرای سیستم شوند و خطاهای برنامه (عمدی یا غیر عمدی) که می تواند سبب بروز فعالیت های کنترل نشده یا نادرست شود. این نکته را همواره باید به خاطر داشت که هیچ نرم افزار بدون اشتباهی وجود ندارد.
ج) کنترل های ضعیف یا نامناسب در خصوص دسترسی منطقی به سیستم، که ممکن است منجر به نفوذ و
رخنه به سیستم شود. تا چند سال پیش از این، بیشتر ۲۴ سازندگان رایانه مسائل امنیتی سیستم را به منظور حفاظت از داده ها، به عنوان گزینه ای اضافی به خریداران پیشنهاد می کردند که باید مبلغی جدا از هزینه نرم افزار برای آن پرداخت شود. اما امروزه بیشتر سازندگان، امکانات امنیتی لازم جهت نرم افزار و سخت افزار را به عنوان پیش فرض در نظر می گیرند و آن را به عنوان جزء لازم و مکمل بسته نرم افزاری می فروشند.
د) کنترل غیر موثر مدیریت بر کارکنان، که به افراد اجازه می دهد که در خارج از رویه خاص عملیاتی سیستم، عمل کنند یا اعمالی را انجام دهند که با بهترین خواسته های شرکت فاصله داشته باشد. تخلفات کوچک می توانند خیلی سریع رشد کرده و به تقلب های بزرگ منجر شوند.
همان گونه که بیان شد تهدیدات امنیتی سیستم های اطلاعاتی رایانه ای غالبا حاصل اعمال عمدی یا غیر عمدی است و ممکن است ناشی از منابع داخلی یا خارجی سازمان باشد. دامنه این تهدیدات می تواند از موارد خیلی بزرگ و تاثیرگذار تا رویدادهای جزیی و روزانه را در برگیرد. هنگام برنامه ریزی برای امنیت سیستم های اطلاعاتی رایانه ای لازم است تعداد دفعات وقوع و مدت هر کدام از این اعمال معین شود حتی اگر رویدادهایی کوچک و جزیی باشند. لازم به ذکر است که رویدادهای بزرگ و کوچک هر دو می توانند موجب بهم ریختگی در سیستم عملیاتی شوند و عملیات موثر سازمان را تضعیف کنند. در قسمت بعد، دیدگاه های گوناگونی ارائه شده است که در خصوص طبقه بندی تهدیدات امنیتی سیستم های اطلاعاتی حسابداری رایانه ای (CAIS) وجود دارد.
طبقه بندی تهدیدات امنیتی در سیستم های اطلاعاتی حسابداری رایانه ای (CAIS)
سیستم های اطلاعاتی حسابداری رایانه ای (CAIS) ممکن است از سوی دامنه گسترده ای از تهدیدات مانند تقلبات رایانه ای، اقدامات جاسوسی، خرابکاری، دشمنی، ویروس های رایانه ای، هکرها و سایر منابع خرابکاری مورد هدف قرار بگیرند. انتظار می رود که روز به روز تهدیدات امنیتی برای اطلاعات توسعه بیشتری یافته و ماهرانه تر و پیچیده تر شوند. تهدیدات امنیتی اطلاعات را می توان به تهدیدات فعال ۲۵ و تهدیدات انفعالی ۲ طبقه بندی کرد. تهدیدات انفعالی، رخدادهای غیرقابل پیش بینی طبیعی یا فیزیکی هستند و می توانند شامل خطاهای تصادفی انسانیl انند آتش سوزی و سیل نیز باشند که کاملا به صورت تصادفی اتفاق می افتند در حالی که تهدیدات فعال، معمولا عمدی هستند و از روی عناد و دشمنی واقع می شوند. به طور بالقوه، این گروه از تهدیدات را می توان پیش بینی و از وقوع آنها جلوگیری کرد. این تهدیدات ممکن است توسط عوامل داخلی یا خارجی واقع شوند و در عین حال حاصل اعمال مستقیم یا غیر مستقیم باشند.