به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ یک راه برای پیشگیری از تقلب، طراحی یک سیستم با کنترلهای کافی است تا امکان تقلب را برای شخص متقلب مشکل سازد. این کنترل ها به صحت، دقت و ایمنی منابع سیستمی کمک می کند.
1- مسئولیت نهایی امنیت و کفایت سیستم کنترل داخلی با مدیریت ارشد سازمان است. مدیران به نوعی طراحی سیستم کنترل داخلی قوی را به تحلیل گران ،طراحان و کاربران نهایی واگذار می کنند. مدیر امنیت اطلاعات شرکت و کارکنان عملیات سیستم نیز مسئولیت حصول اطمینان از رعایت روشهای کنترلی را بر عهده دارند.
2- باید تفکیک مناسب وظایف ناسازگار وجود داشته باشد تا از سرقت دارایی ها توسط اشخاص و از بین بردن رد پای آنها جلوگیری شود.
3- بسیاری از طرح های تقلب مانند کلاه به کلاه کردن و چک بازی مستلزم حواس جمعی و مراقبت مداوم شخص متقلب است. چنانچه مرخصی های اجباری با چرخش شغلی موقت همزمان شود، چنین طرح های تقلب مداوم به راحتی کشف خواهد شد.
4 - اگر دسترسی به تجهیزات رایانه ای و فایل های اطلاعاتی محدود شود، تقلب رایانه ای می تواند به میزان قابل ملاحظه ای کاهش یابد. دسترسی فیزیکی به تجهیزات رایانه ای باید محدود شود، وکاربران مجاز قبل از استفاده از سیستم باید شناسایی و اعتبار مجاز بودن آنها تایید شود. متاسفانه شرکت ها هنگام بازنشستگی، اخراج یا انتقال کارکنان به بخش دیگری در حذف یا تغییر کدهای شناسایی و کلمه عبور کارکنان مزبور قصور می کنند.
5 - راه دیگر محافظت از داده ها تبدیل آنها به کد های محرمانه است. این روش بدون کدگشایی، داده های مزبور را برای دیگران بی معنی و غیر قابل استفاده می کند.
6 - رخنه گران رایانه ای (این افراد هنگامی که به سیستمهای تلفنی حمله میکنند، خرابکار نامیده می شوند) از خطوط تلفن برای انتقال ویروس، دستیابی به سیستم، سرقت و از بین بردن داده ها و اطلاعات استفاده می کنند. همچنین، خرابکاران خدمات تلفنی را نیز به سرقت می برند. یک روش موثر محافظت از خطوط تلفن نصب قفل و کلید بر روی آنهاست. برخی از تجاوزگران از طریق خطوط مودم شماره گیری به سیستمها دسترسی پیدا می کنند.
7 - خوشبختانه، برنامه های بسیار سودمند محافظت در برابر ویروس در دسترس است. برنامه های محافظت در برابر ویروس به نحوی طراحی شده اند که در حافظه رایانه باقی مانده و سیستم را برای کشف ویروس جستجو کرده و در نقش فیلتر عمل می کند. مزاحمت معمولا زمانی کشف میشود که تلاش میشود به صورت غیر مجاز به برنامه ای دسترسی پیدا کرد. برنامه های کشف ویروس که به سرعت ویروس را قبل از شروع آلودگی کشف می کنند خیلی قابل اعتماد و اتکا تر از برنامه های محافظت در برابر ویروس هستند. برنامه های شناسایی ویروس، کلیه برنامه ها را به منظور شناسایی و از بین بردن همه ویروسهای شناخته شده در سیستم، پویش می کنند.
8 - یک شرکت برای محافظت از اطلاعات حساس وحیاتی خود باید همه اطلاعات خود را از نظر مهم و مجرمانه بودن طبقه بندی کند و سپس محدودیتهای دسترسی متناسب با آنها را اعمال کند. شرکت باید اسناد و مدارک کاغذی غیر قابل استفاده را به نحو مناسبی محو کند. برای پیشگیری از نسخه برداری از فایل های اطلاعاتی میتوان کنترلهای مناسبی را طراحی و اجرا کرد. کارکنان باید از عواقب استفاده از نسخه های غیر قانونی نرم افزارها آگاه بوده و شرکت باید تدابیری اتخاذ کند تا از نسخه های غیر قانونی نرم افزارها استفاده نشود.
اطلاعات حساس و محرمانه، نوارهای پشتیبان و مستند سازی سیستم نباید در روی میزها رها شوند بلکه باید در شب در یک مکان قفل شده نگهداری شود. رایانه های شخصی و سرویس دهنده ها باید در هنگام عدم استفاده خاموش و قفل شوند. شرکت ها نباید همه داده ها و اطلاعات خود را در یک مکان نگهداری کنند یا به یک کارمند اجازه دسترسی به همه آنها را بدهند.
9 - باید مراقبت های ویژه ای از رایانه های کیفی به عمل آید. زیرا ورود غیر مجاز به اتومبیل ها و هتل ها و سرقت رایانه های کیفی حاوی اطلاعات محرمانه به طور چشمگیری افزایش یافته است.
مديران برای حفاظت و کنترل رایانه های کیفی شرکت ها باید اقدامات زیر را انجام دهند.
- کارکنان را از خطرات و تهدیدهایی که متوجه رایانه های کیفی است، آگاه سازند.
- مقررات و رویه های ایمنی رایانه های کیفی را تدوین نمایند و کارکنان را ملزم کنند که نسخه های پشتیبان از داده ها و اطلاعات رایانه های کیفی تهیه کنند. هیچگاه رایانه های کیفی را بدون قفل کردن و مراقبت رها نسازند.
- نام یا آرم و شماره تلفن شرکت بر روی رایانه حک شود.
- نرم افزاری بر روی رایانه نصب شود که راه اندازی بدون کلمه عبور غیر ممکن شود.
- از کلمه عبور محافظت کرده و داده و اطلاعات ذخیره شده در رایانه به نحوی کد بندی شود که اگر رایانه به سرقت رفت، اطلاعات و داده های مزبور قابل استفاده نباشد.
- نرم افزاری بر روی رایانه نصب شود که هنگام جابه جایی رایانه آژیر بکشد.
- نرم افزاری بر روی رایانه نصب شود که به صورت ادواری صدای رایانه را قطع و با شماره گیری یک شماره تلفن، آن را کنترل کند. رایانه هایی که سرقت را گزارش می دهند به نحوی طراحی شده اند که هر 5 دقیقه گزارش میدهند به طوری که پلیس میتواند محل رایانهرا کشف کند.
- داده ها و اطلاعات محرمانه را به جای ذخیره در حافظه رایانه، در روی یک دیسک ذخیره کرده و همیشه نزد خود نگه دارند و یا در یک جای امن نگهداری کنند.
10 - مجلات و کتاب ها و سایت های مختلف، اطلاعات زیادی درباره چگونگی ورود غیر مجاز به سیستم ها ارائه می کنند. جزییات چگونگی بهره مندی از جدیدترین رخنه های امنیتی کشف شده تقریبا به صورت روزانه منتشر می شود. بازبینی و مشاهده این سایت ها و پیدا کردن مقاله هایی که به سیستم مورد استفاده شما مربوط است، از اهمیت اساسی برخوردار استزیرا موجب حفاظت سیستم در مقابل حملات رخنه گران می شود.
بسیاری از شرکت ها به طور مداوم درگیر تقلب هستند ولی از آنها اطلاع ندارند. اجرای مراحل زیر می تواند تقلب را در زودترین زمان ممکن کشف کند.
1 - یک راه افزایش احتمال کشف تقلب و سو استفاده رایانه ای، علاوه بر حسابرسی های مخصوص امنیت شبکه، انجام حسابرسی مستقل و حسابرسی داخلی است.
حسابرسان باید به طور منظم کنترلهای سیستم را آزمون کرده و به صورت ادواری به منظور پیداکردن فعالیتهای مشکوک، فایل های داده ای را بررسی کنند. اما باید مراقبت های ویژه ای انجام شود تا کارکنان باور کنند که حریم خصوصی آنها نقض نمی شود. باید کارکنان را توجیه کرد که بررسی و پاییدن تصادفی حسابرسان نه تنها به حل موضوعات محرمانه کمک می کند بلکه تاثیر بازدارندگی مهمی بر روی تقلب های رایانه ای دارد.
2 - اغلب تقلب های رایانه ای توسط حسابرسان داخلی و مستقل کشف نمی شود. بنابراین واگذاری مسئولیت جلوگیری و بازدارندگی از تقلب های رایانه ای به مدیر امنیت رایانه، اثر بازدارندگی بیشتری دارد. مدیر امنیت رایانه باید مستقل از سیستم اطلاعاتی شرکت باشد، او میتواند بر سیستم نظارت کرده و اطلاعات مربوط به استفاده های نامناسب از سیستم و نتایج آن را گزارش کند. مدیر امنیت رایانه باید به منظور جلوگیری از جاسوسی اقتصادی، کمیته امنیت اطلاعات را تشکیل دهد. کمیته مزبور شامل کلیه بخش هایی است که در ایجاد، نگهداری، دسترسی و استفاده از اطلاعات محرمانه نقش دارند. کمیته امنیت اطلاعات باید رویه ها و مقررات شناسایی، ذخیره، اداره کردن، انتقال و مرتب سازی اطلاعات محرمانه را تدوین کند. همچنین این کمیته باید یک برنامه امنیت اطلاعاتی جامع شامل موارد غیر قابل افشا توسط کارکنان، پیمانکاران، فروشندگان و بازدیدکنندگان طراحی کند. این نکته بسیار مهم است که مدیر امنیت اطلاعات در زمان نشت اطلاعاتی شرکت با بخش حفاظت ساختمان ها همکاری نزدیکی داشته باشد.
3 - اشخاصی که شاهد ارتکاب اعمال متقلبانه هستند، اغلب بین دو رفتار متضاد قرار می گیرند. از یک طرف نسبت به محافظت از دارایی های شرکت و معرفی و تحویل اشخاص متقلب احساس مسئولیت می کنند واز سوی دیگر از لو دادن دیگران نیز ناراحت هستند و ترجیح می دهند سکوت کنند.
یک روش موثر برای حل این تضاد، فراهم کردن خطوط تلفن سری برای کارکنان اهست به طوری که آنان بتوانند به صورت ناشناس تقلب را گزارش کنند. جنبه منفی خط تلفن سری این است که تعدادی از مکالمات ارزش پیگیری ندارند، برخی نیز جنبه انتقام جویی دارند، برخی دیگر مبهم هستند و سایر مکالمات کمکی به کشف تقلب نمی کنند.
مشکل بالقوه خط تلفن سری این است که کسانی که از خط تلفن سری استفاده می کنند، ممکن است به کسانی گزارش دهند که خود در تقلب مدیریت ارشد سهیم هستند. این تهدید می تواند با استفاده از یک خط تلفن سری کشف تقلب ایجاد شده توسط یک سازمان تجاری یا شرکت تجاری مستقل برطرف شود.
4 - بسیاری از شرکت ها از مشاوران رایانه ای خارج از شرکت یا تیم های تخصی درون شرکت برای آزمایش و ارزیابی روشهای امنیتی و سیستمهای رایانه ای خود استفاده می کنند. هرگونه نقطه ضعف امنیتی یا شیوه ورود غیرمجاز به سیستم که کشف می شود باید دقیقا ارزیابی و روشهای پیشگیری مناسب نیز برای آن طراحی شود. بسیاری از شرکتها علاقه ای به این روش ندارند، زیرا نمی خواهند نقاط ضعف سیستم آشکار شود. همچنین نمیخواهند کارکنان شرکت بدانند که سیستم اطلاعاتی شرکت هر لحظه ممکن است شکسته شود.
5 - کلیه رویدادها و فعالیتهای سیستم باید در دفتر یادداشت روزانه ثبت شوند. دفتر مزبور باید نشان دهد چه کسی، در چه زمانی واز کدام بخش به چه اطلاعاتی دسترسی پیدا کرده است. این دفاتر باید به طور مداوم به منظور بازبینی فعالیت سیستم و ردّیابی هر مشکلی تا منشاء آن، بررسی شوند. تعدادی نرم افزار مدیریت و تحلیل ریسک وجود دارد که می توانند شبکه ها و سیستمهای رایانه ای را بررسی کنند. این نرم افزار ها روش های امنیتی فعلی را به منظور شناسایی نقاط ضعف و آسیب پذیری آنها ارزیابی و آزمایش می کنند سپس، گزارش های حاوی نقاط ضعف وقوت مشاهده شده و روشهای اصلاحی پیشنهاد می شود.
6 - حسابداران کارآگاه، در بازرسی و حسابرسی تخصص ویژه ای دارند. حسابرسی پلیسی در چند سال گذشته رشد شریعی داشته است. بسیاری از حسابداران کارآگاه مدارج بالایی در حسابداری اخذ کرده و تحت سرپرستی سازمانهایی نظیر اف بی ای، اداره مالیاتبر درآمد و دیگر سازمانهای قانونی، آموزشهای تخصصی ویژه ای دیده اند.
7 - افرادی که مرتکب تقلب می شوند تمایل دارند از الگوی خاصی پیروی کرده تا توجه کسی را به خود جلب نکنند. شرکتها غالبا از شبکه های عصبی (برنامه هایی که از سیستم مغز انسان تقلید کرده وقادر به یادگیری چیزهای جدیدی هستند) استفاده می کنند که در شناسایی و کشف تقلب کاملا دقیق هستند.
اگر چه شرکتها تلاشهای بسیار زیادی برای پیشگیری از وقوع تقلب انجام می دهند ولی همواره احتمال رخ دادن آن وجود دارد. بنابراین باید استراتژی مهمی برای حداقل کردن خسارتهای بالقوه تقلب به کار گرفته شود. برخی از روشهای مورد نظر عبارتند از:
- داشتن پوشش بیمه ای کافی
- نگهداری نسخه های پشتیبان از کلیه فایلهای برنامه ها و داده ها در یک مکان امن خارج از سایت رایانه ها
- طراحی یک طرح اقتضایی برای حوادث تقلبی و دیگر خرابیهایی که امکان تحقق آنها وجود دارد.
- استفاده از نرم افزار مخصوص نظارت و نمایش فعالیتهای سیستم و کمک به کشف و بازیابی اقدامات تقلبی و جعلی