E-Crime Controls-Greek Version

Ηλεκτρονικό

e-Crime & IT Governance Controls

Ηλεκτρονικό Έγκλημα και Διακυβέρνηση Πληροφορικής

John Kyriazoglou

October 2013

Ηλεκτρονικό Έγκλημα & Διακυβέρνηση Πληροφορικής

ΕΙΣΑΓΩΓΗ

«Κάθε τι που γίνεται για την ασφάλεια μας από τους ανθρώπους, ακόμη και η εξουσία και η ηγεμονία, είναι φυσικό αγαθό, αρκεί να μπορεί να βοηθήσει κάποιον να την αποκτήσει».

Επίκουρος, «Ηθική»


Εταιρική Διακυβέρνηση, Διακυβέρνηση τηςΠληροφορικής

ΔΙΟΙΚΗΤΙΚΗ

Νομική,Θεσμική,

Κανονιστική,Ρυθμιστική

ΚΡΑΤΙΚΗ/ΔΙΑΚΡΑΤΙΚΗ

ΚΟΙΝΩΝΙΚΗ

Αστυνομική, Δικαστική

ΚΑΤΑΣΤΑΛΤΙΚΗ

Οπτικές Εξέτασης του Ηλεκτρονικού Εγκλήματος

E-CRIMEΠολιτικές,Εκπαίδευση,Κοινωνική εξέλιξη,Σχήματα Εθελοντισμού


AGENDA

Ερώτημα 1: Περιβάλλον ύπαρξης & εξέλιξης του

Α:Ευρύτερο Κοινωνικό-Οικονομικό Περιβάλλον

Β: Βασικές Έννοιες, Ορισμοί & Απειλές

Ερώτημα 2: Ποια πρακτικά μέτρα παίρνονται

Γ: Πλαίσια Διακυβέρνησης

Δ: Μέτρα Προστασίας & Πρόληψης

Ε: Ηθική & Πληροφορική

Ερώτημα 3: Σκέψεις για το μέλλον

ΣΤ: ΣΥΜΠΕΡΑΣΜΑΤΑ


ΕΝΟΤΗΤΑ Α

Ευρύτερο Κοινωνικό-Οικονομικό

Περιβάλλον


ΑΓΡΟΤΙΚΗ ΟΙΚΟΝΟΜΙΑ (Πλούτος=Γη, Οργάνωση=Φεουδαρχία, Υπάλληλοι)ΒΙΟΜΗΧΑΝΙΚΗ ΟΙΚΟΝΟΜΙΑ (Πλούτος=Εργασία, Οργάνωση=Ιδιοκτησία, Υπάλληλοι)ΜΕΤΑΒΙΟΜΗΧΑΝΙΚΗ ΟΙΚΟΝΟΜΙΑ (Πλούτος=Κεφάλαιο, Οργάνωση=Ιεραρχία, Υπάλληλοι)ΝΕΑ ΟΙΚΟΝΟΜΙΑ (Κοινωνία της Γνώσης) (Πλούτος=Γνώση, Οργάνωση=Δικτύωση, Ψηφιακός Πολιτισμός, Κοινότητα Πολιτών) •ΟΙΚΟΝΟΜΙΑ ΤΗΣ ΒΙΑΣ

Εποχές ΚΟΙΝΩΝΙΚΗΣ ΕΞΕΛΙΞΗΣ


•ΥΠΗΡΕΣΙΕΣ: Οι υπηρεσίες επιρεάζουν τη ζωή όλων μας (π.χ.υγεία,παιδεία,διασκέδαση)•Μετα-Βιομηχανική /Νέα Οικονομία: •Οι υπηρεσίες είναι η εξέχουσα οικονομική δραστηριότητα.Η τεχνολογία πληροφορικής & επικοινωνιών (ICT: Information Technology & Communications),και συναφή αντικείμενα (και περιεχόμενο πολιτισμού) διευκολύνουν και ενεργοποιούν την παροχή υπηρεσιών.Τα αγαθά έχουν μικρό κύκλο ζωής•Οικονομία των Υπηρεσιών (60% του ΑΕΠ)

>>>= Οικονομία Εμπειρίας

ΜΟΝΤΕΛΟ ΥΠΗΡΕΣΙΩΝ


ΕΝΟΤΗΤΑ Β

Βασικές ΈννοιεςΟρισμοί &

Απειλές


Πολιτικές (Policies): «ΤΙ» ΠΡΕΠΕΙ ΝΑ ΓΙΝΕΙ.

Δημιουργούν προσδοκίες και κατευθύνσεις για ενέργεια (για μετρήσεις, φυσικά φαινόμενα ή στοιχεία κινήσεων (business transactions) που ενδιαφέρουν μία επιχείρηση (ή οργανισμό)).

Διαδικασίες (Procedures):

«ΠΩΣ» πρέπει να γίνει

Παρέχουν τα μέσα και εργαλεία μέσω των οποίων εκτελούνται οι ενέργειες από την διοίκηση, προσωπικό, χρήστες και συστήματα.

Πολιτικές & Διαδικασίες


Δεδομένα (Data):

Μη επεξεργασμένα στοιχεία (raw facts), ή στοιχεία σε πρωτόγονη μορφή. Αντιπροσωπεύουν μετρήσεις, φυσικά φαινόμενα ή στοιχεία κινήσεων (business transactions) που ενδιαφέρουν κάποιον ή μία επιχείρηση (ή οργανισμό)

Μετα-Δεδομένα (Meta Data):

Στοιχεία που καθορίζουν τα δεδομένα και περιγράφουν πληροφοριακές οντότητες (information objects), δηλ. τη δομή, το περιεχόμενο και το περιβάλλον που λειτουργούν τα δεδομένα και το πληροφοριακό σύστημα

Ορισμός Δεδομένων &

Μετα-Δεδομένων


>Δεδομένα σε ένα σχετικό πλαίσιο και είναι συνήθως το αποτέλεσμα επεξεργασίας λογικών πράξεων επί των δεδομένων

>Το σύνολο των αναλυτικών στοιχείων του Οργανισμού (οικονομικά, λειτουργικά και επιχειρηματικά)

Χρησιμοποιούνται για:

την υποστήριξη της λειτουργίας του,

την πιο γρήγορη λήψη αποφάσεων, και

τη πιο ορθή, γρήγορη και αποτελεσματικότερη επίτευξη των στρατηγικών και τακτικών στόχων του

Ορισμός Πληροφοριών


Δεδομένα (Data):

011010100101010010110101001010001011>>Αυτή τη μορφή έχει και το

Ηλεκτρονικό Χρήμα, ένα βιβλίο, ακόμη και ένας πίνακας ζωγραφικής!!!!

Δυαδική Μορφή Δεδομένων


>>Έγκλημα που διαπράχθηκε με την

χρήση υπολογιστών η / και δεδομένων

που συντηρούνται σε υπολογιστές

>>Παραβίαση του Ποινικού Κώδικα με την

χρήση υπολογιστών

ΣΥΝΗΘΕΙΣ ΟΡΟΙ: Electronic crime,

e-crime, computer crime,

computer-related crime,

cyber-crime, high-tech crime

ΗΛΕΚΤΡΟΝΙΚΟ ΕΓΚΛΗΜΑ: Ορισμός


>>Πρόσβαση σε Τηλεπικοινωνιακά Δίκτυα

για χρήση Τηλεπικοινωνιακών

Υπηρεσιών, χωρίς πληρωμή τέλους

>>Μη εξουσιοδοτημένη πρόσβαση σε

δεδομένα για οικονομικό όφελος ή

άλλο αθέμιτο σκοπό

ΑΠΑΤΗ σε ηλεκτρονικές συναλλαγές και

ηλεκτρονικό εμπόριο

ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΗ ΑΠΑΤΗ (Ορισμός)


>HACKER (1984):

Έξυπνος προγραμματιστής, δημιουργικός,

επιθυμεί να κάνει την πληροφορία δημόσιο

και ελεύθερο αγαθό, κλπ.

>HACKER=CRACKER (2010):

Παράνομος εισβολέας (Digital Trespasser) που έχει ως σκοπό του την ζημιά και καταστροφή

ΔΙΑΣΗΜΟΙ HACKERS:

Bill Gates, Steven Jobs, Stephen Wozniak

Ορισμός Εισβολέα

(HACKER/CRACKER)


>>Προσωπικά Δεδομένα

>>Περιεχόμενο

>>Οικονομικό έγκλημα

>>Παράνομη πρόσβαση & δολιοφθορά

>>Πνευματική ιδιοκτησία

>>Υπηρεσίες & Προιόντα Παραγωγής

>>ΕΘΝΙΚΕΣ ΥΠΟΔΟΜΕΣ

>>Υπηρεσίες & Προιόντα Πληροφορικής

ΑΠΕΙΛΕΣ

Στατιστικά Στοιχεία ΕΓΚΛΗΜΑΤΩΝ

90% των Ηλεκτρονικών Εγκλημάτων ΔΕΝ αναφέρονται & ΔΕΝ δικάζονται !!

Μέσο ΚΟΣΤΟΣ Ζημιάς ανά συμβάν από εξωτερικό Hacker=$57,000.-

Μέσο ΚΟΣΤΟΣ Ζημιάς ανά συμβάν από εσωτερικό Hacker=$2,100,000.-!!!!!

15%-30% επιθέσεις από εξωτερικούς 70%-85% επιθέσεις από εσωτερικούς



Πλαίσια

Διακυβέρνησης

ΕΝΟΤΗΤΑ Γ


ΚΑΝΟΝΙΣΤΙΚΟ / ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ

ΟΟΣΑ/ΗΝ. ΕΘΝΗ/ΔΙΕΘΝΗΣ ΤΡΑΠΕΖΑ/ΝΑΤΟ

ΕΛΒΕΤΙΑ (Επιτροπή της Βασιλείας, BIS)

ΕΛΛΑΔΑ (Τράπεζα Ελλάδας, Επιτροπή Κεφαλαιαγοράς)

Εταιρική Διακυβέρνηση (Corporate Governance)Διακυβέρνηση της Πληροφορικής (IT Governance)Οδηγίες της Ε.Ε./Ελληνικό Νομικό ΠλαίσιοΔΙΕΘΝΗΣ/Ελληνική Αστυνομία/Αρχές


ΕΛΛΗΝΙΚΟΙ ΟΡΓΑΝΙΣΜΟΙ Αντιμετώπησης / Διερεύνησης Ηλεκτρονικού Εγκλήματος

ΕΛΑΣ (Ελληνική Αστυνομία) ΕΦΤΑ:Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης ΕΘΝΙΚΗ Υπηρεσία Πληροφοριών ΑΡΧΗ Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ΠΣΕΑ:Διεύθυνση Πολιτικής Σχεδίασης Εκτάκτων Αναγκών Υπουργείο Εθνικής Άμυνας: Σχολή Εθνικής Άμυνας ΕΙΔΙΚΗ Επιτροπή Προστασίας του Απορρήτου των Επικοινωνιών


Εταιρική Διακυβέρνηση

(Corporate Governance)

Πλαίσιο λειτουργίας μέσω του οποίου:

– Διέπεται η διαχείριση οικονομικών θεμάτων, πόρων και προστασίας της περιουσίας της

Εταιρείας/Οργανισμού

– Θεσπίζεται η διαφάνεια, πληροφόρηση (τακτικός & έκτακτος έλεγχος), υπευθυνότητες του Δ.Σ. και διασφαλίζονται τα ενδιαφέροντα &

συμφέροντα όλων των stakeholders


Διακυβέρνηση της Πληροφορικής (IT Governance)

Πλαίσιο λειτουργίας μέσω του οποίου παρέχονται πολιτικές, μηχανισμοί επιτροπών και συμβουλίων για έργα πληροφορικής με στόχο τη:

– Συσχέτιση της πληροφορικής με τα επιχειρηματικά σχέδια της ΕΤΑΙΡΕΙΑ

– Παρακολούθηση της εφαρμογής συστημάτων πληροφορικής

– Βέλτιστη λειτουργία της ΕΤΑΙΡΕΙΑΣ μέσω συστημάτων & υποδομών πληροφορικής


Θέματα της Διακυβέρνησης της Πληροφορικής

Στρατηγικός Σχεδιασμός &

Οργάνωση

Προμήθεια & Υλοποίηση

Συστημάτων

Διαχείριση Κινδύνων

Διοίκηση Υλοποίησης

Έργων

Συντήρηση/ Επικαιροποίη

ση Συστημάτων

& Διαδικασιών

Υποστήριξη Χρηστών,

Συστημάτων & Υποδομών

Ασφάλεια Συστημάτων/ Πληροφοριών/ Υποδομών

Παρακολούθηση &

Μέτρηση Απόδοσης

Σχεδιασμός Επίλυσης Έκτακτων Αναγκών

IT GOVERN ANCE

Διαχείριση Πληροφοριακ

ής Περιουσίας


Γιατί Χρειάζεται η Διακυβέρνηση της Πληροφορικής

Η πληροφορική έχει γίνει το στρατηγικό εργαλείο της ΕΤΑΙΡΕΙΑΣ

Οι πληροφορίες είναι άμεσα κρίσιμες για την ύπαρξη και ανάπτυξη της ΕΤΑΙΡΕΙΑΣ

Οι επενδύσεις για την πληροφορική είναι τεράστιες, η πολυπλοκότητα αυξάνεται και οι

κίνδυνοι πρέπει να διαχειρίζονται


Κρίσιμες ΕΝΟΤΗΤΕΣ Διακυβέρνησης για το ΗΛΕΚΤΡΟΝΙΚΟ ΕΓΚΛΗΜΑ

–Στρατηγικός Σχεδιασμός –Οργάνωση/ΠΟΡΟΙ–Πρότυπα/Πολιτικές/Διαδικασίες–ΔΙΟΙΚΗΣΗ Πληροφοριακής ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ

–Σύστημα Ελέγχου

–Στρατηγικός Σχεδιασμός –Οργάνωση/ΠΟΡΟΙ–Πρότυπα/Πολιτικές/Διαδικασίες–ΔΙΟΙΚΗΣΗ Πληροφοριακής ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ

–Σύστημα Ελέγχου

ΣΤΡΑΤΗΓΙΚΗ ΠΛΗΡΟΦΟΡΙΚΗΣ

ΣΤΡΑΤΗΓΙΚΗ ΠΛΗΡΟΦΟΡΙΚΗΣ

ΑσφάλειαΑσφάλειαΕπιχειρηματική Συνέχεια

Επιχειρηματική Συνέχεια



–Ανάλυση Κινδύνων–Στρατηγική/Πόροι/Οργάνωση–Πρότυπα/Πολιτικές/

Διαδικασίες –Διερεύνηση&Αντιμετώπιση

Ηλεκτρονικού Εγκλήματος

–Ανάλυση Κινδύνων–Στρατηγική/Πόροι/Οργάνωση–Πρότυπα/Πολιτικές/

Διαδικασίες –Διερεύνηση&Αντιμετώπιση

Ηλεκτρονικού Εγκλήματος

Στρατηγική Πληροφορικής


ΑΣΦΑΛΕΙΑΑΣΦΑΛΕΙΑΕπιχειρηματική Συνέχεια

Επιχειρηματική Συνέχεια



–Στρατηγική–Προκαταρκτικός Σχεδιασμός–Οργάνωση/Πόροι/Εργαλεία–ΔΟΚΙΜΕΣ

–Στρατηγική–Προκαταρκτικός Σχεδιασμός–Οργάνωση/Πόροι/Εργαλεία–ΔΟΚΙΜΕΣ



ΑσφάλειαΑσφάλεια

ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ ΣΥΝΕΧΕΙΑ

ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ ΣΥΝΕΧΕΙΑ

ΕΝΟΤΗΤΑ Δ

• Μέτρα

• Προστασίας

• &

• Πρόληψης


ΚΙΝΗΤΡΑ ΔΙΑΠΡΑΞΗΣ ΕΓΚΛΗΜΑΤΩΝ

• Εξαπάτηση Εταιρειών/Οργανισμών

• Απόκρυψη Εγκλήματος

• Καταστροφή Αρχείων, Λογιστικών Βιβλίων

• Προώθηση Οικονομικών Συμφερόντων

• ΕΚΔΙΚΗΣΗ

• Εθισμός Διάπραξης Εγκλημάτων

• Παιχνίδι


Τι «αισθάνεται» ο Hacker: ΔΥΝΑΜΗ

• 1. Λειτουργεί αποτελεσματικά

• 2. ΕΞΟΥΣΙΑ & Επιρροή (κρατικού φορέα)

• 3. ΕΝΕΡΓΕΙΑ

• 4.ΕΞΟΥΣΙΑΖΕΙ συναισθήματα & αντιλήψεις άλλων (σχεδόν ανωτάτου οντότητας)


ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ

• ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ ΔΙΑΚΥΒΕΡΝΗΣΗΣ

• ΠΟΛΙΤΙΚΕΣ/ΔΙΑΔΙΚΑΣΙΕΣ

• ΓΕΝΙΚΟΙ ΕΛΕΓΧΟΙ ΠΛΗΡΟΦΟΡΙΚΗΣ (IT General Controls)

• ΕΛΕΓΧΟΙ ΕΦΑΡΜΟΓΩΝ (IT Application Controls)


Εταιρικές Πολιτικές &Διαδικασίες

Έγκριση Κινήσεων Διαφύλαξη Περιουσίας Επισκόπηση & Συμφωνία Λαθών των Κινήσεων Συντήρηση Αρχείων Περιορισμοί Φυσικής Προστασίας Διαχείριση Προσωπικού Διαχείριση Κινδύνων Διαχείριση Απόδοσης (Performance Management)


ΓΕΝΙΚΟΙ ΕΛΕΓΧΟΙ ΠΛΗΡΟΦΟΡΙΚΗΣ (IT General Controls)

Διοικητικά Θέματα Πληροφορικής Ανάπτυξη & Συντήρηση Συστημάτων Νομικά Θέματα Πρότυπα Πληροφορικής Εξοπλισμός Πληροφορικής Λειτουργία Κέντρου Πληροφορικής Ασφάλεια Συστημάτων Σχεδίαση Επιχειρηματικής Συνέχειας


ΕΛΕΓΧΟΙ ΕΦΑΡΜΟΓΩΝ (IT Application Controls)

Έλεγχοι Εισαγωγής Δεδομένων Έλεγχοι Επεξεργασίας Δεδομένων Έλεγχοι Εξόδου Συστήματος Έλεγχοι Δικτύου Δεδομένων Μηχανογραφικές Διαδικασίες Έλεγχοι Σχεδιασμού Οθονών Έλεγχοι Προγραμμάτων


ΕΝΟΤΗΤΑ Ε

•

• ΗΘΙΚΗ

• &

• ΠΛΗΡΟΦΟΡΙΚΗ


ΗΘΙΚΗ&ΠΛΗΡΟΦΟΡΙΚΗ

• Οι άνθρωποι , οι οργανισμοί και οι διαδικασίες δεν λειτουργούν όπως πρέπει ή και όπως έχουν σχεδιασθεί. ΔΕΝ ΕΙΝΑΙ ΛΟΓΙΚΟΙ.

• Έχουν το δικό τους όραμα, την δική τους αποστολή, τους δικούς τους στόχους, και τα δικά τους συναισθήματα

• ΟΙ ΠΡΟΣΩΠΙΚΕΣ ΓΝΩΜΕΣ, ΑΞΙΕΣ και ΚΟΣΜΟΘΕΩΡΙΕΣ επηρεάζουν με πολλούς τρόπους την συμπεριφορά τους


ΘΕΣΠΙΣΗ ΚΑΝΟΝΩΝ & ΝΟΜΩΝ

• Θεσπίζονται κανόνες, αξίες και νόμοι οι οποίοι απαγορεύουν και τιμωρούν την παραβίαση των ηθικών κανόνων και αρχών

• Οι άνθρωποι θα συμπεριφερθούν με ηθικό τρόπο λόγω του σεβασμού για αυτούς τους νόμους και κανόνες και του φόβου της τιμωρίας

• Οι άνθρωποι θα συμπεριφερθούν με ηθικό τρόπο λόγω της γνώσης που επιφέρει η εκπαίδευση και η ειδική επιμόρφωση


ΣΥΜΠΕΡΑΣΜΑΤΑ

• 1. Τα στελέχη, ελεγκτές, επαγγελματίες πληροφορικής, κλπ., να έχουν τα σωστά προσόντα, εκπαίδευση, κατάρτιση και ενημέρωση

• 2. Τα στελέχη πληροφορικής και χρηστών να ακολουθούν και να ευθυγραμμίζονται με τους επαγγελματικούς κώδικες δεοντολογίας

• 3.Τα εταιρικά συστήματα οργάνωσης και της πληροφορικής να αναπτύσσονται και να λειτουργούν με βάση Συστήματος & Διαδικασιών Ελέγχου (πολιτικές, διαδικασίες, control points, διόρθωση λαθών, δυνατότητα διόρθωσης ανακριβών στοιχείων από τους ενδιαφερόμενους, διερεύνηση περιστατικών και εγκλημάτων, κλπ,)

• 4. Το περιεχόμενο των βάσεων δεδομένων να επιθεωρούνται και τα λάθη να διορθώνονται σε τακτά χρονικά διαστήματα.

• 5. Να αξιοποιείται Σύστημα Μέτρησης Απόδοσης και Συμμόρφωσης το οποίο να συνδέεται με το Εταιρικό Σύστημα Αμοιβών και Παροχών.


Κevin Mitnick

‘The methods that will most effectively minimize the ability of intruders to compromise information security are comprehensive user training and

education. Enacting policies and procedures simply won't suffice. Even with oversight the policies and

procedures may not be effective: my access to Motorola, Nokia, ATT, Sun depended upon the willingness of people to bypass policies and

procedures that were in place for years before I compromised them successfully.'


ΚΥΡΙΑ ΒΙΒΛΙΟΓΡΑΦΙΑ

• Βιβλίο:John Kyriazoglou ’IT STRATEGIC & OPERATIONAL CONTROLS’ (www.itgovernance.co.uk)

• Βιβλίο:John Kyriazoglou, Dr. F.Nasuti & Dr.C.J.Kyriazoglou ’CORPORATE CONTROLS’ (υπό έκδοση)


http://www.itgovernance.co.uk/

Ι. Κυριαζόγλου

[email protected]


E-Crime Controls-Greek Version

Documents

Transcript of E-Crime Controls-Greek Version