دانلود تحقیق امنیت و تقلب رایانه ای

مقدمه تقلب همه ابزارهایی است که شخص برای به دست آوردن منافع غیر منصفانه ای بیشتر از دیگران ، از آنها استفاده میکند.اعمال متقلبانه شامل دروغ گفتن،کتمان حقیقت،حقه بازی و فریب کاری است .و اغلب ناشی از تخطی از اعتماد و امانت داری است.

تقلب می تواند توسط یک فرد در داخل سازمان یا گروه های برون سازمانی انجام شود.کارکنان قدیمی بازنشسته و فعلی بیشتر از افراد غیر کارمند مرتکب تقلب میشوند.زیرا این کارکنان با سیستم شرکت آشنا بوده و نقاط ضعف آن را می شناسند،بهتر میتوان تقلب کرده و از کشف آن جلوگیری نموده و حتی آنرا پنهان کنند.

تقلب ما در اینجا تقلب را در چهار بخش اصلی شرح می دهیم 1-فرایند تقلب 2-دلایل وقوع تقلب 3-روشهای تقلب رایانه ای و تکنیک های مخصوص اجرای تقلب های رایانه ای 4-شیوه های پیشگیری و کشف تقلب های رایانه ای فرایند تقلب بیشتر تقلب ها شامل سه مرحله هستند: الف- سرقت اقلام ارزشمندی مانند وجوه نقد ، موجودی کالا ، ابزار آلات ، اثاثه ، تجهیزات یا اطلاعات .

بیشتر تقلب کارکنان سرقت دارایی هاست.

اغلب گزارشگری های مالی متقلبانه مربوط به بیشتر از واقع نشان دادن دارایی ها یا درآمدها است.

ب –تبدیل دارایی های مسروقه به وجه نقد.

برای مثال کالا و تجهیزات مسروقه باید فروخته شود یا به هر شکلی به وجه نقد تبدیل شود.

ج – اختفای جرم و جلوگیری از کشف آن.هنگامی که یک دارایی به سرقت می رود یا بیشتر نشان داده می شود تنها روش تراز کردن معادله اصلی حسابداری متورم کردن سایر دارایی ها یا کاهش بدهی ها و حقوق صاحبان سهام است، مگر اینکه جاعلان راهی برای تراز کردن معادله حسابداری پیدا کنند.در غیر این صورت سرقت یا دستکاری صورت های مالی می تواند کشف شود.

شیوه معمول و موثر اختفای سرقت منظور کردن اقلام مسروقه به حساب هزینه هاست.

کلاه به کلاه کردن و چک بازی و ......

نمونه ای از این نوع تقلب می باشد دلایل وقوع تقلب محققان ویژگیهای روانشناسی و جامعه شناسی سه گروه مجرمان اداری،تبهکاران و مجرمان عادی رابا هم مقایسه کردند تحقیقات در مورد تقلب نشان می دهد که سه عامل فشار ، فرصت و توجیه سازی برای انجام ارتکاب لازم است : فشار فشار ، انگیزه شخصی برای انجام یک عمل است.سه نوع انگیزه منجر به تقلب می شود 1- فشار های مالی ( فشار های زندگی ، بدهیهای سنگین شخصی،درآمد ناکافی،نرخ بالای بهره وام،مخارجسنگین بیماری ،هزینههای اعتیاد و ......) 2-فشار های کاری (حقوق پایین،نارضایتی شغلی،ترس از دست دادن شغل و طرحهای پاداش تبعیضی به کارکنان) 3-سایر فشارها (ماجراجویی،فشارهای خانوادگی،جاه طلبی و نیاز به قدرت و کنترل) فرصت فرصت ،یک موقعیت یا وضعیتی است که به یک شخص اجازه می دهد که یک تقلب و عمل خلاف قانونی انجام داده وآن را پنهان سازد.

غالبا فرصتها به دلیل فقدان یا ضعف کنترلهای داخلی بوجود می آیند.به طور مثال یک شرکت ممکن است فاقد روشهای کنترلی صحیح برای مجوزها ،خطوط قدرت و اختیار یا بررسی مستقل عملکرد باشد.به هر حال رایج ترین فرصتهای تقلب از ناتوانی شرکت در طراحی و اجرای صحیح کنترلهای داخلی خود ناشی می شود.

یکی از کنترلهایی که بسیاری از شرکتها فاقد آن هستند یا آن را به نحو صحیح اجرا نمی کنند ، بررسی سابقه کارکنان و توانایی های آنان است.

عوامل دیگری که شرایط را برای ارتکاب تقلب فراهم میکنندعبارتند از : اعتماد بیش از حد به کارکنان کلیدی،سرپرستی نامناسب کارکنان،عدم توجه به جزییات،کارکنانستادی ناکافی،فقدان آموزشهای کافی و سیاستهای مبهم و غیرشفاف شرکت.

توجیه سازی بیشتر افرادی که مرتکب تقلب میشوند یک بهانه یا یک توجیه دارند که به آنان اجازه میدهد عمل غیرقانونی خود را موجه جلوه دهند.افراد متقلب توجیه میکنند که آنان واقعا افراد نادرستی نیستند یا دلایل آنها برای ارتکاب تقلب خیلی قوی تر از درستکاری و صداقت است.شاید بیشترین توجیه این است که فرد متقلب داراییهای به سرقت رفته را به صورت وام دریافت کرده است.که بعد از رفع نیاز خود ،آن رابه شرکت بر میگرداند عده ای از افراد متقلب توجیه میکنند که آنان با تقلب خود به یک شخص واقعی آسیب نرسانده اند.بلکه آنان بر یک سیستم رایانه ای بی نام و نشان یایک شرکت بزرگ غیرشخصی تاثیر گذاشته و سیستم یا شرکت مزبور پولی را هم از دست نداده است (جبران خسارت توسط بیمه) فهرست توجیهات افراد متقلب : اگر بدانید چقدر به آن نیاز داشتم،مرا درک خواهید کرد برای یک فعالیت خیرخواهانه بود(رابین هود) هرکس دیگری جای من بود همین کار را میکرد پس من مرتکب اشتباه نشدم شرکت آن را به من قرض داد و من چیزی بیش از حق قانونی خود استفاده نکردم و ......................

تقلب هنگامی رخ می دهد که فشار ها زیاد،فرصتها فراوانو افراد قادر به توجیه عمل خود هستند.

تقلب رایانه ای هر عمل غیر قانونی که دانش فن آوری رایانه ای لازمه ارتکاب،رسیدگی و تعقیب قانونی آن باشد را تقلب رایانه ای میگویند.

تقلب رایانه ای شامل موارد زیر است: 1-سرقت،استفاده،دستیابی،تغییر دادن،نسخه برداری و خراب کردن غیر مجاز نرم افزار یا اطلاعات 2-سرقت پول به وسیله تغییر اطلاعات وثبت های رایانه ای یا سرقت زمان رایانه ها 3-سرقت یا خراب کردن سخت افزار رایانه 4-استفاده یا تبانی در استفاده از منابع رایانه ای برای ارتکاب جنایت 5-تلاش برای دستیابی غیر قانونی به اطلاعات یا دارایی های مشهود از طریق به کارگیری رایانه اشخاص متقلب با استفاده از یک رایانه بدون جا گذاشتن اثر و مدرکی قادر خواهند بود سرقت بیشتری را با کار و زمان کمتر انجام دهند.

طبقه بندی تقلب رایانه ای مطالعات مختلفی در مورد تقلب به منظور تعیین انواع دارایی های مسروقه وروشهای مورد استفاده در سرقت انجام شده است.یک روش برای طبقه بندی تقلب رایانه ای ، استفاده از مدل پردازش داده شامل ورودی،پردازشگر،دستورهای رایانه ای،ذخیره سازی داده ها و ستانده ها است.

ورودی : ساده ترین و متداولترین راه ارتکاب یک تقلب تغییر ورودی های رایانه است.این روش مهارتهای رایانه ای کمی لازم دارد.

فرد متقلب کافی است بداند سیستم چگونه کار میکند تا بتواند از خود ردی به جای نگذارد.

مثلا در تقلب موجودی کالا شخص متقلب میتواند داده و اطلاعاتی وارد سیستم کند که نشان دهد موجودی کالای مسروقه اسقاط شده است.یا در تقلب حقوق و دستمزد ،شخص متقلب می تواند با هدف افزایش حقوق خود ،با ایجاد یک کارمند جعلی یا نگه داشتن یک کارمند بازنشسته در لیست حقوق و دستمزد ،داده هایی واردسیستم کند،در این صورت شخص متقلب میتواند چکهای غیر قانونی را دریافت و به وجه نقد تبدیل کند.

پردازشگر:تقلب رایانه ای میتواند از طریق استفاده غیر مجاز از سیستم و سرقت خدمات و زمان رایانه انجام شود.

برای مثال برخی شرکتها به کارکنان خود اجازه نمیدهند که از رایانه های شرکت برای استفاده شخصی یا فعالیتهای تجاری خارج از شرکت استفاده کنند.

وقت کشی کارکنان (سرگرمی و بازیهای اینترنتی کارکنان در زمان کاری شرکت)یکی از مشکلات جدی شرکت ها است.

دستور های رایانه ای:تقلب رایانه ای میتواند با دستکاری نرم افزاری که داده های شرکت را پردازش میکند ،انجام شود.این عمل ممکن است مستلزم تغییرو اصلاح نرم افزار،ایجاد نسخه های غیرقانونی از نرم افزار و یا استفاده از نرم افزار به شیوه های غیرقانونی باشد.امروزه چنین تقلب هایی به طور مکرر انجام میشود زیرا صفحات وب متعددی با دستورهای چگونگی ایجاد ویروس و دیگر دستورهای رایانه ای مناسب تبانی و اعمال خلاف قانون وجود دارد.

اطلاعات : تقلب های رایانه ای میتواند با تغییر یا خراب کردن فایل های اطلاعاتی شرکت یا کپی برداری ،استفاده یا بررسی بدون مجوز آنها ،انجام شود.مثلا استفاده از آهن ربا برای در هم ریختن کلیه اطلاعات موجود در فایل های مغناطیسی همچنین اطلاعات شرکت میتواند به سرقت رود یا اطلاعات میتواند خراب،تغییر داده و یا مخدوش شود بخصوص اگر این اطلاعات در وب سایت شرکت نگهداری شود.

مثلا کلیه شرکتهایی که از وب استفاده میکنند بخصوص شرکتهایی که معاملات تجاری خیلی سری یا داراییهای فن آوری اطلاعاتی ارزشمندی دارند،بهطور مداوم در معرض حمله فرار دارند.حمله کنندگان کارمندان ناراضی،جاسوسهای صنعتی،دولتهای خارجی،رخنه گران و رقبا هستند.

ستاده : تقلب های رایانه ای میتواند با سرقت یا استفاده ناصحیح از ستاده های سیستم انجام شود.ستاده های سیستم معمولا روی مانیتور نمایش داده میشوندیا روی کاغذ چاپ میشود.بدون حفاظت صحیح ،ستاده های چاپ شده یا نمایش داده شده به راحتی با چشم قابل مطالعه بوده و امکان کپی برداری غیر مجاز از آنها وجود دارد تکنیکهای سو استفاده و تقلب های رایانه ای طی سالیان متمادی ،اشخاص متقلب شیوه های زیادی را برای ارتکاب تقلب رایانه ای به کار برده اند.تعدادی از متداولترین روشها به شرح زیر توضیح داده میشوند اسب تروا : مجموعه ای از دستورهای رایانه ای غیرمجاز در یک برنامه مناسب و مجاز است.دستورهای غیر مجاز مزبور در یک زمان از قبل مشخص شده یا در شرایط لز پیش تعیین شده ای ،اعمال غیر قانونی را انجام میدهند.اسب تروا غالبا در نرم افزاری قرار داده میشود که به صورت ابزار کمکی در برنامه های نرم افزار عمومی عمل میکند.برای مثال برای هزاران مشترک مستقیم آمریکایی پیامهایی حاوی هدیه یک نرم افزار رایگان ارسال میشود .

کاربرانی که ضمایم پیام را باز میکنند ناآگاهانه اسب تروا را رها میکنند و اسب تروا به صورت مخفی و سری نام حساب و کلمه عبور مشترک را کپی کرده وآن را برای فرستنده پیام ارسال میکند نوع دیگری از اسب تروا ،نمایش شماره کارت های اعتباری هنگام فشردن کلید توسط کاربر و ارسال آن به وسیله پست الکترونیکی برای سازنده نرم افزار است.و ................

تکنیک گرد کردن به پایین : به طور مکرر توسط موسسات مالی پرداخت کننده بهره استفاده میشود.برنامه نویس،برنامه محاسبه بهره را به شکلی طراحی میکند که محاسبات بهره را تا دو رقم اعشار به پایین گرد میکند.مبالغ کمتر از یک سنت ،به دلیل گرد گردن به پایین ،از محاسبات بهره کسر و به حساب برنامه نویس یل شخصی که مسئولیت کنترل حسابها را بر عهده دارد واریز میشود.کسی متوجه این موضوع نمیشود زیرا کلیه دفاتر تراز هستند.

تکنیک سالامی : پولهای خرد و ناچیز طی یک دوره زمانی اختلاس میشود.برای مثال رییس حسابداری ناراضی یک شرکت تولیدی در حال رشد در کالیفرنیا با کمک کارمند خود از تکنیک سالامی استفاده کرد.او سیستم رایانه ای شرکت را براس دستکاری و افزایش سیستماتیک بهای تمام شده کلیه محصولات شرکت به میزانی کمتر از یک درصد ،به کار گرفت.افزایشهای مزبور به حسابیک مشتری جعلی منظور و سپس توسط حسابدار شرکت اختلاس می شد.طی چند ماه هزینه های شرکت به صورت تقلب آمیز به میزان کمتر از یک درصد افزایش پیدا کرد.به دلیل اینکه کلیه هزینه های شرکت با هم و به یک نسبت افزایش پیدا میکردند حساب یا هزینه خاصی توجه کسی را به تقلب جلب نمیکرد.

در پشتی یا دریچه پشتی : راهی برای ورود به سیستم و دور زدن کنترلهای امنیتی سیستم است.برنامهنویسان غالبا درهای پشتی را برای اصلاح برنامه ها و رفع اشکالات سیستم در حین طراحی در سیستم قرار میدهند و معمولا آنها را قبل از اجرای سیستم حذف میکنند.هرکسی این در را شناسایی کند میتواند وارد برنامه شده و مرتکب تقلب شود.همچنین برنامه نویسان میتوانند قبل از پایان کار ،درهای پشتی را در برنامه خود جاسازی کنند .

این عمل به آنها اجازه میدهد بعد از ترک شرکت به سیستم مزبور دسترسی داشته باشد سوپر زپ : استفاده غیر مجاز از برنامه های خاص سیستم برای دور زدن کنترلهای سیستم و انجام اعمال خلاف قانون است.نام این تکنیک از یک نرم افزار کمکی به نام سوپر زپ گرفته شده است .

نرم افزار مربوط برای استفاده در شرایط اضطراری مانند بازسازی دوباره یک سیستم متلاشی شده توسط شرکت آی بی ام طراحی شد تکثیر غیر مجاز نرم افزار : نسخه برداری از نرم افزار بدون اخذ مجوز از ناشر آن است.

کلاه گذاشتن اطلاعاتی : تغییر داده ها و اطلاعات قبل ، طی یا پس از ورود به سیستم اطلاعاتی است.تغییر میتواند با حذف ،دستکاری یا اضافه کردن اطلاعات کلیدی به سیستم انجام شود.

نشت اطلاعاتی : به نسخه برداری غیر قانونی از داده ها و اطلاعات یک شرکت اشاره میکند.

مثلا یکی از کارمندان شرکت یک نسخه از فهرست مشتریانش را به دست آورده و به دیگر شرکتها قروخته است.

کولی گرفتن : وصل شدن به یک خط ارتباط از راه دور و جفت شدن با یک کاربر مجاز و قانونی قبل از ورود کاربر مزبور به سیستم است.کاربر مجاز و قانونی ناآگاهانه یک متقلب را با خود وارد سیستم میکند.

تظاهر یا نقش بازی کردن : فرد متقلب با بازی کردن نقش یک کاربر مجاز،امکان دسترسی به سیستم را به دست می آوردو این روش مستلزم این است که متقلب شماره شناسایی و کلمه عبور کاربر مجاز را بداند .فرد متقلب زمانی که وارد سیستم میشود از تمام مزایای یک کاربر مجاز برخوردار میشود.

مهندسی اجتماعی : فرد متقلب یک کارمند را برای دریافت اطلاعات مورد نیاز برای ورود به سیستم فریب میدهد.افراد متقلب ممکن است عنوان کنند که مسئولیت انجام یک تحقیق امنیتی را بر عهده دارند و کارمندان را وادار می کنند تا اطلاعات محرمانه را در اختیار آنها قرار بدهند.آنها ممکن است به اپراتور تلفن زده و ادعا کنند کارمند شرکت هستند و کلمه عبور خود را فراموش کرده اند.

بمب ساعتی سیستمی : برنامه ای است که تحت شرایط خاص عمل میکند یا یک زمان خاصی موجب کشیدن ماشه آن میشود و عمل میکند.

هنگامی که ماشه بمب کشیده شد ، انفجار بمب موجب خرابی سیستم،آسیب دیدگی برنامه ها،داده ها و اطلاعات میشود.

نفوذ کردن یا تجاوز کردن:دسترسی غیر مجاز و استفاده از سیستم رایانه ای به وسیله رایانه های شخصی و شبکه ارتباط از راه دور است.رخنه گران قصد آسیب رساندن به به سیستم را ندارند .آنها بیشتر به قصد مطرح شدن و کنجکاوی وارد سیستمها میشوند و سیستمها را به منظور پیدا کردن برنامه هایی برای نسخه برداری و نگهداری مورد بررسی قرار میدهند.

رفتگری یا جستجوی زباله دان:دستیابی به اطلاعات محرمانه از طریق جستجو در ثبتها،اسناد و مدارک شرکت است.دامنه شیوه رفتگری از جستجوی ظروف زباله شرکت برای به دست آوردن گزارشهای ستاده یا نسخه های کپی شده از اطلاعات محرمانه تا پوشش حافظه رایانه است.

استراق سمع :افراد متقلب را قادر میسازد تا به روابط خصوصی یا معاملات و رویدادهای دیگران پی ببرند.یک راه برای پی بردن به ماهیت سیگنالهای ارسالی استراق سمع تلفنی است.تجهیزات مورد نیاز برای این کار یک خط ارتباطی بدون حفاظ است.که در تمام فروشگاه های الکترونیکی محلی موجود است.

تهدید های پست الکترونیکی: ارسال یک پیام تهدید آمیز برای به ستوه درآوردن دریافت کننده پیام و وادار کردن او به انجام اقداماتی که بعدا وسیله ای برای کلاه برداری خواهد شد.

حمله سرکاری:زمانی رخ میدهد که حمله کننده بمب های پست الکترونیکی ارسال میکند.بدین طریق تعداد زیادی پیام (صدها پیام در یک ثانیه)با آدرسهای جعلی ارسال میشود به طوری که ظرفیت سرویس دهنده خدمات پست الکترونیکی اینترنتی تکمیل شده و سیستم خاموش میشود.حمله سرکاری دیگر ،ارسال حجم زیادی داده و اطلاعات به شبکه یا سرویس دهنده وب است به طوری که شبکه یا وب مزبور منفجر میشود.این حملات با نامهای ساختگی از قبیل "بونک،بوینک،سین فلود و .....انجام میشود.

تروریسم اینترنتی:تجاوز گرانی هستند که از اینترنت برای قطع تجارت الکترونیکی و آسیب رساندن به ارتباطات اشخاص و شرکت ها استفاده میکنند.

شایعه سازی اینترنتی:استفاده از اینترنت برای انتشار اطلاعات غلط یا گمراه کننده درباره شرکت هاست.این کار را میتوان به چند روش انجام داد.پیامهای تحریک آمیز در گفتگوی همزمان بر روی اینترنت،ایجاد سایتهای وب و پخش شایعات مختلف از این دسته هستند.

شماره گیری جنگی:تجاوزگران با برنامه نویسی رایانه ای خود برای شماره گیری هزاران خط تلفن به دنبال پیدا کردن مودم های بیکار میگردند.تجاوز گران وارد مودم های بیکار شده ورایانه شخص متصل به این مدل را تسخیر کرده و سپس امکان دسترسی به شبکه ای که این رایانه به آن متصل است را به دست می آورند.

شکستن کلمه عبور:هنگامی رخ میدهد که یک مزاحم به پدافند و سیستم دفاعی نفوذ کرده و فایلهای حاوی کلمه های عبور معتبر را به سرقت می برد،آنها را کد گشایی کرده و برای دسترسی به منابع سیستمی از قبیل فایلها،برنامه ها و اطلاعات از آنها استفاده میکند.

نامه پراکنی:ازسال نامه های پست الکترونیکی با پیامهای مشابه برای کلیه کاربران یا مدیران تجاری است.ارسال کنندهنامه ممکن است این کار را برای سرگرمی وشوخی و یا به عنوان یک روش قانونی و درست انجام دهد.

ویروسهای رایانه ای:بخشی از یک کد قابل اجراست که خود را به نرم افزار متصل میکند.بیشتر ویروسها دارای دوفاز هستند.در فاز اول ،ویروس خودرا تکثیر کرده و در سایر سیستمها یافایل ها بخش میکند.فاز تکثیر معمولا با رویدادهای از قبل تعریف شده ای مانند روشنکردن رایانه،استفاده یا خروج از نرم افزار،ایجاد کردن باز کردن یا بستن یک سند،فرا رسیدن یک تاریخ معین یا تعداد دفعات معین استفاده از یک نرمافزار رخ میدهد.در فاز حمله،ویروس توسط حوادث و رویداد های از قبل تعریف شده ای فعال میشود و ماموریت خود را انجام میدهد.

ویروسها میتوانند موجب تخریب یا تغییر برنامه ها ،داده ها واطلاعات شوند،کنترل رایانه را به دست بگیرند،حافظه اصلی رایانه را از بین برده،فایلها و فهرست های راهنما را حذف یا تغییر نام دهند،دیسک سخت رایانه را دوبتره فرمت دهند،یا مانع راه اندازی سیستم توسط کاربران یا مانع دسترسی آنان به داده های روی دیسک سخت گردند و ............

کرم:شبیه یک ویروس است با این تفاوت که بخشی از یک کد پنهان شده در یک برنامه فعال نیست بلکه خود یک برنامه است.همچنین یک کرم ، تکثیر میشود و به صورت فعال در دیگرسیستمها حرکت میکند.غالبا زیاد عمر نمیکند ولی تازمانی که فعال است بسیار مخرب است.

پیشگیری و کشف تقلب رایانه ای:به دلیل جدی بودن موضوع تقلب رایانه ای،سازمانها باید برای محافظت از سیستمهای اطلاعاتی خود هرگونه مراقبت و احتیاط لازم را بکار ببرند.روشهایی وجود دارد که میتواند به طور جدی پتانسیل تقلب و زیان های مربوط را کاهش دهد.که شامل روشهای زیر میباشد: 1-شیوه های کاهش احتمال وقوع تقلب برخی از مشاوران حرفه ای رایانه معتقدند که موثرترین روش دستیابی به امنیت سیستم،اعتماد به صداقت و درستی کارکنان شرکت است.در حالی که تحقیقات نشان میدهد اکثر تقلب ها توسط کارکنان سابق و فعلی صورت میگیرد.

بنا براین کارکنان قویترین و ضعیف ترین ابزار کنترلی هستند.شرکتها میتوانند اقداماتی را به منظور افزایش صداقت و درستی کارکنان و کاهش احتمال ارتکاب آنان به تقلب انجام دهند استفاده از رویه ها و مقررات مناسب برای استخدام و اخراج:یکی از مهمترین مسئولیت های یک مدیراستخدام، نگهداری و به کارگیری کارکنان با صلاحیت و درستکار است.به طور مشابه شرکتها باید هنگام اخراج کارکنان خود خیلی مواظب باشند.ارتباط کارمندان اخراجی باید به سرعت با شغل های حساس قطع شودو به منظور پیشگیری از خرابکاری یا نسخه برداری از داده ها و اطلاعات محرمانه قبل از ترک شرکت،آنها را از دسترسی به سیستم رایانه ای منع کرد.

آموزش روشهای ایمنی سیستم و روشهای پیشگیری از تقلب به کارکنان بسیاری از مدیران ارشد اجرایی معتقدند که آموزش و سطح علمی کارکنان مهمترین عنصر در هر برنامه امنیتی است.تقلب در محیطی که کارکنان آن اعتقاد دارند امنیت برای همه است،کمتر اتفاق می افتد.هنگامی که کارکنان ازشرکت راضی بوده و به وجود شرکت خود افتخار میکنند،محافظ دارایی های شرکت هستند.چنین فرهنگ مطلوب و ایده آل سازمانی عامل پیشگیری از وقوع تقلب است.آنان باور دارند که در قبال گزارش تقلب ،مسئولیت دارند زیرا، صدمهبه شرکت صدمه به خود آنان است.برای ایجاد و توسعه چنین فرهنگی،شرکت باید کارکنان خود را در حوزه های زیر آموزش و تعلیم دهد.

اقدامات امنیتی:کارکنان باید در زمینه اقدامات امنیتی به به خوبی آموزش داده شوند،اهمیت اقدامات امنیتی را بدانند و برای اجرای جدی آنها تشویق شوند.امنیت باید با تعلیم،تربیت و پیگیری در میان کارکنان نهادینه شود.

افشای تلفنی:باید به کارکنان آموزش داده شود و بدانند که نباید بدون آگاهی و اطمینان از ایمن بودن خطوط تلفن، اطلاعاتمحرمانه را از طریق تلفن ارسال کنند.کارکنان باید یاد بگیرند که به امنیت خطوط اطمینان پیدا منند.

آگاهی از تقلب:کارکنان باید از تقلب آگاه شوند،تقلب های رایج و متداول و خطرات آنها را بشناسند.کارکنان باید بیاموزند چرا بعضی از افرادمرتکب تقلب میشوند و چگونه میتوان از وقوع تقلب پیشگیری و یا آن را کشف کرد.

رعایت آیین رفتار حرفه ای:شرکت باید استانداردهای آیین رفتار حرفه ای را در فعالیت ها ودستور العملهای شرکت از قبیل اطلاعیه های پرسنلی مطرح و ترویج کند.رفتارهای قابل پذیرش و رفتارهای غیر قابل پذیرش باید تعریف شود به نحوی که کارکنان از آیین رفتار حرفه ای و مشکلات ناشی از عدم رعایت آن آگاه شوند.

مجازات رفتارهای خلاف آیین رفتار حرفه ای:کارکنان باید از نتایج و عواقب(توبیخ،پیگرد قانونی،اخراج و ....) رفتارهای خلاف آیین رفتار حرفه ای آگاه شوند.این موضوع نباید به عنوان یک تهدید بلکه باید به عنوان نتیجه عمل خلاف آیین رفتار حرفه ای مطرح شود.

کنترل و ردیابی حق امتیاز استفاده از نرم افزار:مدیریت حق امتیاز استفاده از نرم افزار ،حوزه ای در حال گسترش از مدیریت فن آوری اطلاعات،به شرکتها کمک میکند تا اطمینان یابند که در چارچوب حق امتیاز نرم افزار های خود عمل کنند.نکته مهم َ، حصول اطمینان از کافی بودن امتیاز استفاده از نرم افزار برای تامین نیازهای کاربران و همچنین عدم وجود کاربر مازاد بر حق امتیاز استفاده از نرم افزار است.این روش مانع از طرح دعاوی تکثیر غیر مجاز نرمافزار علیه شرکت ها میشود.علاوه بر این روش مزبور باعث میشود که شرکتها به اندازه نیاز واقعی خودامتیاز استفاده از نرم افزار خریداری کنند و از انجام هزینه های اضافی در این زمینه خودداری نمایند.

الزامی کردن امضای قراردادهای محرمانه:کلیه کارکنان،فروشندگان و پیمانکاران باید قرارداد محرمانه نگه داشتن اطلاعات شرکت را امضا کرده و به این قرارداد متعهد باقی بمانند.

2- افزایش دادن مشکلات ارتکاب تقلب رایانه ای:یک راه برای پیشگیری از تقلب ،طراحی یک سیستمبا کنترلهای کافی است تاامکان تقلب را برای شخص متقلب مشکل سازد.این کنترل ها به صحت،دقت و ایمنی منابع سیستمی کمک میکند.

2-1 طراحی و اسقرارسیستم کنترل داخلی قوی:مسئولیت نهایی امنیت و کفایت سیستم کنترل داخلی با مدیریت ارشد سازمان است.مدیران به نوعی طراحی سیستم کنترل داخلی قوی را به تحلیل گران ،طراحان و کاربران نهایی واگذار میکنند.مدیر امنیت اطلاعات شرکت و کارکنان عملیات سیستم نیز مسئولیت حصول اطمینان از رعایت روشهای کنترلی را بر عهده دارند.

2-2 تفکیک مناسب وظایف:باید تفکیک مناسب وظایف ناسازگار وجود داشته باشد تا از سرقت داراییها توسط اشخاص و از بین بردن رد پای آنها جلوگیری شود.

2-3 الزامی کردن مرخصی ها و چرخش شغلی:بسیاری از طرح های تقلب مانند کلاه به کلاه کردن و چک بازی مستلزم حواس جمعی و مراقبت مداوم شخص متقلب است.چنانچه مرخصی های اجباری با چرخش شغلی موقت همزمان شود،چنین طرح های تقلب مداوم به راحتی کشف خواهد شد.

2-4 محدود کردن دسترسی به تجهیزات رایانه ای و فایلهای اطلاعاتی:اگر دسترسی به تجهیزات رایانه ای و فایل های اطلاعاتی محدود شود،تقلب رایانه ای میتواند به میزان قابل ملاحظه ای کاهش یابد.دسترسی فیزیکی به تجهیزات رایانه ای باید محدود شود،وکاربران مجاز قبل از استفاده از سیستم باید شناسایی و اعتبار مجاز بودن آنها تایید شود.متاسفانه شرکت ها هنگام بازنشستگی،اخراج یا انتقال کارکنان به بخش دیگری در حذف یا تغییر کدهای شناسایی و کلمه عبور کارکنان مزبور قصور میکنند.

2-5 کد بندی داده ها ، اطلاعات و برنامه ها:راه دیگر محافظت از داده ها تبدیل آنها به کد های محرمانه است.این روش بدون کدگشایی ،داده های مزبور را برای دیگران بی معنی و غیر قابل استفاده میکند.

2-6 محافظت از خطوط تلفن:رخنه گران رایانه ای (این افراد هنگامی که به سیستمهای تلفنی حمله میکنند،خرابکار نامیده میشوند) از خطوط تلفن برای انتقال ویروس ،دستیابی به سیستم ،سرقت و از بین بردن داده ها و اطلاعات استفاده می کنند.همچنین،خرابکاران خدمات تلفنی را نیز به سرقت می برند.یک روش موثر محافظت از خطوط تلفن نصب قفل و کلید بر روی آنهاست.برخی از تجاوزگران از طریق خطوط مودم شماره گیری به سیستمها دسترسی پیدا میکنند.

2-7 محافظت سیستم در برابر ویروسها:خوشبختانه،برنامه های بسیار سودمند محافظت در برابر ویروس در دسترس است.برنامه های محافظت در برابر ویروس به نحوی طراحی شدهاند که در حافظه رایانه باقی مانده و سیستم را برای کشف ویروس جستجو کرده و در نقش فیلتر عمل میکند.مزاحمت معمولا زمانی کشف میشود که تلاش میشود به صورت غیر مجاز به برنامه ای دسترسی پیدا کرد.برنامه های کشف ویروس که به سرعت ویروس را قبل از شروع آلودگی کشف میکنند خیلی قابل اعتماد و اتکا تر از برنامه های محافظت در برابر ویروس هستند.برنامه های شناسایی ویروس ، کلیه برنامه ها را به منظور شناسایی و از بین بردن همه ویروسهای شناخته شده در سیستم،پویش میکنند.

2-8 کنترل اطلاعات حساس:یک شرکت برای محافظت از اطلاعات حساس وحیاتی خود باید همه اطلاعات خود را از نظر مهم و مجرمانه بودن طبقه بندی کند و سپس محدودیتهای دسترسی متناسب با آنها را اعمال کند.شرکت باید اسناد و مدارک کاغذی غیر قابل استفاده را به نحو مناسبی محو کند.برای پیشگیری از نسخه برداری از فایل های اطلاعاتی میتوان کنترلهای مناسبی را طراحی و اجرا کرد.کارکنان باید از عواقب استفاده از نسخه های غیر قانونی نرم افزارها آگاه بوده و شرکت باید تدابیری اتخاذ کند تا از نسخه های غیر قانونی نرم افزارها استفاده نشود.

اطلاعات حساس و محرمانه ،نوارهای پشتیبان و مستند سازی سیستم نباید در روی میزها رها شوند بلکه باید در شب در یک مکان قفل شده نگهداری شود.رایانه های شخصی و سرویس دهنده ها باید در هنگام عدم استفاده خاموش و قفل شوند.شرکت ها نباید همه داده ها و اطلاعات خود را در یک مکان نگهداری کنند یا به یک کارمند اجازه دسترسی به همه آنها را بدهند.

2-9 کنترل رایانه های کیفی:باید مراقبت های ویژه ای از رایانه های کیفی به عمل آید.زیرا ورود غیر مجاز به اتومبیل ها و هتلها و سرقت رایانه های کیفی حاوی اطلاعات محرمانه به طور چشمگیری افزایش یافته است.

برای حفاظت و کنترل رایانه های کیفی ، شرکت ها باید اقدامات زیر را انجام دهند: کارکنان را از خطرات و تهدیدهایی که متوجه رایانه های کیفی است،آگاه سازند مقررات و رویه های ایمنی رایانه های کیفی را تدوین نمایند و کارکنان را ملزم کنند که نسخه های پشتیبان از داده ها و اطلاعات رایانه های کیفی تهیه کنند.هیچگاه رایانه های کیفی را بدون قفل کردن و مراقبت رها نسازند نام یا آرم و شماره تلفن شرکت بر روی رایانه حک شود نرم افزاری بر روی رایانه نصب شود که راه اندازی بدون کلمه عبور غیر ممکن شود از کلمه عبور محافظت کرده و داده و اطلاعات ذخیره شده در رایانه به نحوی کد بندی شود که اگر رایانه به سرقت رفت،اطلاعات و داده های مزبور قابل استفاده نباشد.

نرم افزاری بر روی رایانه نصب شود که هنگام جابه جایی رایانه آژیر بکشد نرم افزاری بر روی رایانه نصب شود که به صورت ادواری صدای رایانه را قطع و با شماره گیری یک شماره تلفن،آن را کنترل کند.رایانه هایی که سرقت را گزارش می دهند به نحوی طراحی شده اند که هر 5 دقیقه گزارش میدهند به طوری که پلیس میتواند محل رایانهرا کشف کند داده ها و اطلاعات محرمانه را به جای ذخیره در حافظه رایانه ،در روی یک دیسک ذخیره کرده و همیشه نزد خود نگه دارند و یا در یک جای امن نگهداری کنند.

2-10 بازبینی اطلاعات رخنه گر:مجلات و کتاب ها و سایت های مختلف ،اطلاعات زیادی درباره چگونگی ورود غیر مجاز به سیستم ها ارائه میکنند.جزییات چگونگی بهره مندی از جدیدترین رخنه های امنیتی کشف شده تقریبا به صورت روزانه منتشر میشود.بازبینی و مشاهده این سایت ها و پیدا کردن مقاله هایی که به سیستم مورد استفاده شما مربوط است ،از اهمیت اساسی برخوردار استزیرا موجب حفاظت سیستم در مقابل حملات رخنه گران میشود 3– بهبود روشهای کشف تقلب رایانه ای: بسیاری از شرکت ها به طور مداوم درگیر تقلب هستند ولی از آنها اطلاع ندارند.اجرای مراحل زیر میتواند تقلب را در زودترین زمان ممکن کشف کند 3-1 اجرای حسابرسی های مکرر:یک راه افزایش احتمال کشف تقلب و سو استفاده رایانه ای،علاوه بر حسابرسی های مخصوص امنیت شبکه،انجام حسابرسی مستقل و حسابرسی داخلی است.

حسابرسان باید به طور منظم کنترلهای سیستم را آزمون کرده و به صورت ادواری به منظور پیداکردن فعالیتهای مشکوک ،فایل های داده ای را بررسی کنند.اما باید مراقبت های ویژه ای انجام شود تا کارکنان باور کنند که حریم خصوصی آنها نقض نمیشود.باید کارکنان را توجیه کرد که بررسی و پاییدن تصادفی حسابرسان نه تنها به حل موضوعات محرمانه کمک میکند بلکه تاثیر بازدارندگی مهمی بر روی تقلب های رایانه ای دارد.

3-2 تعیین مدیر امنیت رایانه:اغلب تقلب های رایانه ای توسط حسابرسان داخلی و مستقل کشف نمیشود.بنابراین واگذاری مسئولیت جلوگیری و بازدارندگی از تقلب های رایانه ای به مدیر امنیت رایانه،اثر بازدارندگی بیشتری دارد.مدیر امنیت رایانه باید مستقل از سیستم اطلاعاتی شرکت باشد،او میتواند بر سیستم نظارت کرده و اطلاعات مربوط به استفاده های نامناسب از سیستم و نتایج آن را گزارش کند.مدیر امنیت رایانه باید به منظور جلوگیری از جاسوسی اقتصادی،کمیته امنیت اطلاعات را تشکیل دهد.کمیته مزبور شامل کلیه بخش هایی است که در ایجاد،نگهداری،دسترسی و استفاده از اطلاعات محرمانه نقش دارند.کمیته امنیت اطلاعات باید رویه ها و مقررات شناسایی،،ذخیره،اداره کردن،انتقال و مرتب سازی اطلاعات محرمانه را تدوین کند.همچنین این کمیته باید یک برنامه امنیت اطلاعاتی جامع شامل موارد غیر قابل افشا توسط کارکنان،پیمانکاران،فروشندگان و بازدیدکنندگان طراحی کند.این نکته بسیار مهم است که مدیر امنیت اطلاعات در زمان نشت اطلاعاتی شرکت با بخش حفاظت ساختمان ها همکاری نزدیکی داشته باشد.

3-3 ایجاد خط تلفن سری برای کشف تقلب:اشخاصی که شاهد ارتکاب اعمال متقلبانه هستند،اغلب بین دو رفتار متضاد قرار میگیرند.از یک طرف نسبت به محافظت از دارایی های شرکت و معرفی و تحویل اشخاص متقلب احساس مسئولیت می کنند واز سوی دیگر از لو دادن دیگران نیز ناراحت هستند و ترجیح می دهند سکوت کنند.

یک روش موثر برای حل این تضاد ، فراهم کردن خطوط تلفن سری برای کارکنان اهست به طوری که آنان بتوانند به صورت ناشناس تقلب را گزارش کنند.جنبه منفی خط تلفن سری این است که تعدادی از مکالمات ارزش پیگیری ندارند،برخی نیز جنبه انتقام جویی دارند،برخی دیگر مبهم هستند و سایر مکالمات کمکی به کشف تقلب نمیکنند.

مشکل بالقوه خط تلفن سری این است که کسانی که از خط تلفن سری استفاده میکنند،ممکن است به کسانی گزارش دهند که خود در تقلب مدیریت ارشد سهیم هستند.این تهدید میتواند با استفاده از یک خط تلفن سری کشف تقلب ایجاد شده توسط یک سازمان تجاری یا شرکت تجاری مستقل برطرف شود.

3-4 استفاده از مشاوران رایانه ای:بسیاری از شرکت ها از مشاوران رایانه ای خارج از شرکت یا تیم های تخصی درون شرکت برای آزمایش و ارزیابی روشهای امنیتی و سیستمهای رایانه ای خود استفاده میکنند.هرگونه نقطه ضعف امنیتی یا شیوه ورود غیرمجاز به سیستم که کشف میشود باید دقیقا ارزیابی و روشهای پیشگیری مناسب نیز برای آن طراحی شود.بسیاری از شرکتها علاقه ای به این روش ندارند ،زیرا نمیخواهند نقاط ضعف سیستم آشکار شود.همچنین نمیخواهند کارکنان شرکت بدانند که سیستم اطلاعاتی شرکت هر لحظه ممکن است شکسته شود.

3-5 بازبینی فعالیت های سیستم:کلیه رویدادها و فعالیتهای سیستم باید در دفتر یادداشت روزانه ثبت شوند.دفتر مزبور باید نشان دهد چه کسی،در چه زمانی واز کدام بخش به چه اطلاعاتی دسترسی پیدا کرده است.این دفاتر باید به طور مداوم به منظور بازبینی فعالیت سیستم و ردّیابی هر مشکلی تا منشاء آن ،بررسی شوند.تعدادی نرم افزار مدیریت و تحلیل ریسک وجود دارد که میتوانند شبکه ها و سیستمهای رایانه ای را بررسی کنند.این نرم افزار ها روش های امنیتی فعلی را به منظور شناسایی نقاط ضعف و آسیب پذیری آنها ارزیابی و آزمایش میکنند سپس،گزارش های حاوی نقاط ضعف وقوت مشاهده شده و روشهای اصلاحی پیشنهاد میشود.