جرایم رایانه ای و سیستمهای اطلاعاتی حسابداری

جرائم کامپیوتری چیست؟

تعریف جرائم کامپیوتری نامشخص و اغفال کننده می‎باشد، استفاده از کامپیوتر به منظور فریب دادن جهت استفاده شخصی، مشخصاً جرائم کامپیوتری گفته می‎شود. بنابراین وقتی یک رئیس پلیس مدارک رانندگی خود را از طریق شبکه کامپیوتری تغییر می‎دهد، دلیل بسیار خوبی است که آن را جرائم کامپیوتری بنامیم. هر چند بسیاری از جرائم کامپیوتری را می‎توان در دیگر انواع جرائم تقسیم بندی گردد. موارد زیر را در نظر بگیرید:

• یک برنامه نویس، برنامه پرداخت سود سهام را تغییر می‎دهد تا سود سهام هشت تن از سهامداران را کاهش دهد و چکی را در وجه شخصی غیر حقیقی به مبلغ 56000 دلار صادر می‎کند.
• یک شرکت فروشنده تجهیزات کامپیوتری، ظرفیت و حافظه سیستم های کامپیوتری فروخته شده را تغییر می‎دهد. یعنی سیستمی که فروخته می‎شود از نظر نرم افزاری و سخت افزاری با آنچه سفارش داده شده است متفاوت است.
• در موردی که خدمات تاریخ گذاری کامپیوتری مورد غفلت قرار گرفته شده بود چون رجوع به تاریخ محدود و غیرمقتضی بود. مالک جدید دایره تاریخ گذاری به عدم استفاده از کامپیوتر از آن زمان اشاره می کرد هر چند استفاده از کامپیوتر توصیه شده بود.

در مورد اول که پرداخت سود سهام می باشد، به راحتی می‎تواند اختلاس نام گیرد. کامپیوتر وسیله ای در جهت رسیدن به هدف بوده است. مورد دوم، تجهیزات رایانه‌ای به درستی عرضه نشده است.

و سرانجام در مورد آخر استفاده از رایانه برای تطابق تاریخ در هیچ جایی تعهد نشده بود. در حقیقت تلقی آن به عنوان جرم رایانه ای جای سوال دارد.

برای توصیف دقیق مواردی که جرم خاصی را شکل میدهد، باید از قانون کمک گرفت. همانطور که در نمایه 11 می بینید بسیاری از ایالتها بعضی از قوانین جرائم رایانه ای را تصویب کرده اند و بسیاری از ایالتها در قوانین خود تجدیدنظر کرده اند. توجه داشته باشید که در نمایه 11 بسیاری از این قوانین provisions (قیدهایی) دارند که عبارتند از (1) مواردی که در بسیاری از ایالتها متفاوتند. (2) اعلام بعضی از قوانین جرائم کوچک (3) اعلام بعضی از قوانین جنایتی که اصطلاحاً جرائم بزرگ می گویند، آنچه در این نمایه بدان اشاره نشده است اینست که اکثر ایالتها به یک سری آزادی هایی در امر قضایی نیاز دارند بنابراین واژگانی همچون کینه جویی، عمداً‌ و جسورانه و در امر پیگیرد، باید به آنها توجه شود. هر چند ممکن است مشکل به نظر برسد. بر طبق اطلاعات مرکز ملی جرائم رایانه (NCCD – جمع آوری کننده اطلاعات جرائم کامپیوتری) 77% از جرائم رایانه ای به دادگاه ارجاع داده می‎شود بعد از اینکه گناهکار شناخته شده است و 8% باقیمانده ناشی از مواردی است که مدعی علیه، در طی محکومیت مجرم شناخته می‎شود.

در نمایه 2-11 : فاصله بین هزینه تجهیزات رایانه ای و کنترلهای رایانه ای زیاد می‌باشد، بنابراین سواستفاده از رایانه افزایش می یابد.

تعریف جرائم رایانه مهم می‎باشد زیرا این تعریف در محاسبه آمار چنان جرایمی موثر می‎باشد. به عنوان مثال بزرگترین جرم رایانه ای در مورد ثبت وجوه حاصل از سرمایه- شامل 200 میلیون دلار زیان مستقیم بر شرکت و 2 میلیون زیان غیرمستقیم بر دیگر شرکتها و سرمایه گذاران در سهام عادی و اوراق قرضه بود. این زیانهای بزرگ در صورتی که به عنوان جرائم رایانه ای شناخته شوند تاثیری جدی بر آمار چنین فعالیتهایی (جرائم رایانه ای) دارند. سوال اینجاست که آیا ما باید مورد وجوه سرمایه را به عنوان سوء استفاده از رایانه تلقی کنیم. ما در این فصل نگاه دقیق تری به این مورد خواهیم داشت.

در بررسی روشها و شیوه جرائم رایانه ای ما بسیاری از فریبکاریهای معمول را یافتیم که در گذشته به دفعات تکرار شده است. در مواردی که توسط برنت (Brent) مورد بررسی قرار گرفته است به عنوان مثال، نیمی از آنها شامل انتقال وجوه از مجموعه ای از حسابها بوده است. و دلارها نهایتاً‌در یک کش و قوص به دست مجرمین می رسیده است. در دیدگاه روش شناسی، یک متخصص رایانه جرائم رایانه ای را چنین تعریف می‎کند: «شراب کهنه در بطری نو.»

یکی از انواع محدود فعالیتهایی که ممکن است به عنوان جرائم رایانه ای طبقه بندی شود سرقت برنامه های رایانه ای است. تمام تجهیزات و وسایل رایانه ای نیاز به دانش کامل و همچنین روش شناسی محاسباتی دارند. موارد زیر ممکن است در طبقه زیر قرار گیرد.

• رسانه های خبری اروپایی گفتند یک بچه مدرسه ای 15 ساله، به سیستم زمانی تجاری از طریق نفوذ در برنامه سیستم عملیاتی دست پیدا کرد این سیستم عملیاتی توسط استفاده کنندگان ممتاز و از طریق کد قابل دستیابی بود.
• مالک یک شرکت نرم افزار اقساطی (leosing) برنامه نویسان را متقاعد کرد که یک کپی از برنامه هایی که به شرکت های فروش اقساطی فروخته شده است به او بدهند.
• یک برنامه نویس در یک دوره کوتاه 56 دفعه در تلاشهای گمراه کننده رایانه ها را خاموش کرد. بعد از مدتی برنامه نویس به دام افتاد و شرکت نیم میلیون دلار هزینه کرد تا سخت افزار مشکل دار را پیدا کند.
• یک فرد ناشناس با درخواست از نگهبان که در را برای وی باز کند به اتاق پایانه ای رایانه دسترسی پیدا کرد و قفل تلفن ها و پایانه ها را باز کرد تا بتواند به خدمات سهمیه بندی زمانی دسترسی پیدا کند.
• دو سازنده رایانه ای و تجهیزات جنبی در یک رقابت غیرمنصفانه و جاسوسی صنعتی، از طریق نوارهای جاسوسی به تخریب محصولات و تسهیلات یکدیگر پرداختند.

اگرچه این موارد موادی است که به عنوان جرائم رایانه ای طبقه بندی می‎شود هنوز مبناهایی وجود دارد که در این گونه طبقه بندی تردید کرد. در مواردی بعضی از جرائم از روی تفریح و شوخی انجام می‎شود بنابراین به مبارزه طلبیدن و رقابت بیش از «استفاده شخصی» به عنوان عامل تحریک کننده شناخته می‎شود.

در موارد مشابه مورد 3، مشکلات شخصیتی بجای سرقت برای استفاده شخصی رخ می نماید. نتیجه آنکه متأسفانه یک تعریف روشن از جرائم رایانه ای در دست نیست.

جرائم رایانه ای- ما آمار دقیقی از آن نداریم

یک آمار دقیق از جرائم رایانه ای موجود نیست.

عدم وجود اطلاعات دقیق از جرائم رایانه ای زمانی که ما می خواهیم میانگین زمانها را محاسبه کنیم، بیشتر جلب توجه می‎کند. حتی اگر موارد وجوه سرمایه را مستثنی کنیم، میانگین زیانهای ناشی از جرائم رایانه ای کشف شده 650000 دلار می‎باشد که در مقایسه با دیگر جرایم که زیان ناشی از آنها به طور کلی 19000 دلار می‎باشد مبلغ زیادی می‎باشد. بنابراین اگر مجرم به دام نیفتد، زیانهای ناشی از این جرائم بیشتر و بیشتر می‎شود.

توضیح در مورد عدم وجود اطلاعات دقیق در مورد جرائم رایانه ای از چندین عامل سرچشمه می‎گیرد. یکی از علل (عوامل) احتمالی اینست که بخش بزرگی از جرائم رایانه ای در شرکتهای خصوصی روی می‎دهد و این جرائم به عنوان موضوعات داخلی (internal matter) تلقی می‎شود و هرگز گزارش نمی‎شود. دومین عامل اینست که توصیف جرائم رایانه ای به اندازه ای گمراه کننده می‎باشد که آنها را نمی توان در یک لیست جامع جمع آوری کرد. به عنوان مثال، وقتی یک نمایندگی دولت فدرال از کارمندان خویش درخواست کرد که جرائم رایانه ای که در سال گذشته رخ داده است را معین کنند به این درخواست تنها یک پاسخ مثبت داده شد. هرچند وقتی به این کارکنان توضیحات کافی در مورد این جرائم و همچنین فرایند رایانه ای داده شد، هزاران پاسخ به این درخواست داده شد.

حالت اطلاعات اعتباری شرکت TRW

در این نوع از جرم رایانه‌ای، مجرم تمایل دارد که از سیستم های رایانه ای به منظور استفاده از دارایی های فیزیکی شرکت استفاده کند. به ویژه وجوه نقد شرکت در حساب بانکی یا سرمایه گذاری های شرکت که در انبار می باشد. بخش عمده ای از جرایم رایانه ای از طریق دسترسی غیرقانونی به اطلاعات با ارزش سیستمهای رایانه ای صورت می پذیرد.

جرم کامپیوتری از طریق اطلاعات با ارزش شناخته شده است. در بعضی موارد این اطلاعات شامل برنامه های رایانه ای شرکت همچون نرم افزارها می باشد زیرا این نرم افزارها (1) مختص شرکت می باشد.

( مانند نرم افزارهایی که در مالکیت یک شرکت مستقل می باشد یا به استفاده کننده اجاره داده می شود (2)‌ممکن است باعث شود شرکت توانایی رقابت در صنعت را داشته باشد (3) در اغلب موارد با ارزش تر از سخت افزارهای شرکت در مواقع توسعه و هزینه های جایگزینی می باشند

بنابراین موارد بسیاری از جرم های (جاسوسی) رایانه ای شامل دزدی ، یا تلاش برای دزدی کلید برنامه هایی است که در کتابها معرفی شده اند. به دلیل مشکلات جمع آوری مدارک در زمینه چنین دزدی ( جاسوسی) ، بسیاری از این جرم ها گزارش نمی شوند. در دیگر موقعیت ها، اطلاعات با ارزش در جرائم رایانه ای، در پوشه  های رایانه ای قرار داشته اند، اطلاعاتی که کمی برای افراد خارج از شرکت با ارزش می باشد اما برای عملیات های شرکت حیاتی می باشد در این پوشه ها قرار می گیرند.

به عنوان مثال در سال 1977 یک کارمند ناراضی EDP که برای یک شرکت هلندی کار می کرد تصمیم گرفت که اطلاعات ورشکستگی شرکتش را خارج کند تا از این طریق پیشرفت کند، درژانویه همان سال راونی ککوس (Rodney Cox) نوارهای مالی و پوشه‌های دیسکتی مالی شرکت را دزدیده و کپی‌های آنها در مجموع 594 نوار و48 دیسکت- 000/500 دلار پول برای آنها به ارمغان آورد ( هر چند زمانی که همدست او برای گرفتن پول رفته بود توسط بازرسان اسکاتلند دستگیر شد)

در مورد اطلاعات اعتباری TRW، اطلاعات اعتباری با ارزش وارد رایانه می شد. TRW بزرگترین شرکت درجه بندی اعتباری در ایالات متحده آمریکا می باشد. درسال 1976، زمانی که تقلب کشف شد، شرکت اطلاعات اعتباری تقریباً 50 میلیون نفر ( حقیقی و حقوقی) را جمع آوری و منتشر می کرد. برای اداره چنین حجم وسیع ، شرکت از کامپیوترهای 158/370 IBM استفاده می کرد. یک رایانه IBM155/370 ، دارای 380 پایانه اطلاعاتی و 000/2 پرینتر از راه دور و 100 پایانه CRT می‌باشد. مشتریان شرکت شامل بانکها، مغازه های خرده فروشی، قطارهای تندرو آمریکا، کارت های اعتباری (Mastercard)، اقامت (Visa) و چندین موسسه استیجاری بود TRW به مشتریان خود ریسک های اعتباری را گوش زد می کند هر چند اطلاعات این فایل میتواند تغییر کند. فریبکاری زمانی آغاز شد که شش نفر از کارمندان شرکت که یکی از آنها مسئول رمز قسمت ارتباطات با مشتری بود، تصمیم گرفتند که به افرادی که اعتبار خوبی ندارند، درجه بندی اعتباری خوب را بفروشند، آن‌ها به این افراد ( افراد با اعتبار بد) روشهایی را نشان می دادند که مدارکشان را تغییر دهند. افراد با درجه اعتباری بد به این کارمندان TRW در دنبال اعتبار خوب، حق الزحمه ای می‌دادند.

این افراد که تصمیم می گرفتند درجه بندی اعتباری خوب را بخرند به کارکنان TRW رشوه ( زیرمیزی) می دادند و سپس منشی که در واحد روابط عمومی با مشتریان بوده در مورد اطلاعات این افراد تجدید نظر می کرد و اطلاعات غیرواقعی را در اختیار مشتریان قرار می داد، در بعضی موارد، لازمه این امر پاک کردن اطلاعات ناخوشایندی که در سیستم ذخیره شده اند و جایگزینی اطلاعات مطلوب به جای آن بود. حق الزحمه ای که برای آن دریافت می‌شد از چند صد دلار تا 1500 دلار برای هر فرد قابل تغییر بود. منشی TRW که در نهایت این اطلاعات (اطلاعات نادرست) را وارد سیستم می کرد فقط 50 دلار برای هر تغییر اطلاعات دریافت می کرد. هر چند زیان ناشی از چنین کارهایی چندان غیرمنطقی نیز نبود. و چنین زیانی نزدیک به یک میلیون دلار می‌رسید.

قربانی اصلی چنین فریبکاری مسلماً مشتریان TRW بودند که براساس اطلاعات اعتباری دریافتی از TRW تجارت می کردند. در مورد اینکه چه تعداد پوشه اطلاعاتی تغییر داده شده است به درستی نمی توان اظهار نظر کرد. موکلین جهت پیگردی 16 مورد شناخته شده را مستند سازی کردند. ولی دلایل مبنی بر تجاوز این تعداد از مرز 100 عدد وجود داشت، پیگردی در زمینه پیدا کردن شواهد مشکل بود زیرا خرید همانند فروشنده (TRW) به دلیل دستکاری اطلاعات اعتباری در مظان اتهام بود.

 تجزیه و تحلیل

در اینجا دو موضوع کلیدی وجود دارد (1) درستی اطلاعات ورودی که در به روز کردن سیستم اطلاعاتی حسابداری مورد استفاده قرار می گیرد (2) حفاظتی که دو گروه مشتریان (مصرف کنندگان) و استفاده کنندگان در صحت و استفاده از اطلاعات اعتباری بکار می برند که توسط یک شرکت خصوصی جمع آوری شده است. در مورد اول ، مشخص است که تقلب و فریبکاری به این دلیل انجام می شود که مجرمین قادرند اطلاعات اشتباه را وارد سیستم رایانه ای کند. چنین دیدگاهی بار دیگر به لزوم واهمیت کنترل ها اذعان دارد. به عنوان مثال، وجود یک کپی سخت افزاری معتبر می توانست به صحت، حفاظت و کامل بودن پوشه اطلاعاتی کمک کند.

سخنگوی RTW در اظهاراتش در مورد بازرسی FTC چنین عنوان کرده است:

ما معتقد نیستیم که بازرسی به نتایج مهمی منتهی شود. همانطور که ما بدان توجه داشته‌ایم. ما به طور کامل قوانین را رعایت کرده‌ایم استانداردها ورعایت‌های ما در صفت در سطح بالایی قرار دارد… ما همیشه بیش از آنچه قانون خواسته است مالیاتهای عملیاتی و رویه‌ها را رعایت کرده‌ایم.

اظهارات وکیل این پرونده به شدت در تقابل با این اظهارات می‌باشد. او چنین عنوان داشته است که تمام اعمال خلافی که انجام شده است از روی زیرکی نبوده است و فقط از ضعف سیستم ناشی می‌شود. بنابراین به لزوم بالابردن استاندارها صنعت پی می‌بریم هوش و زیرکی‌ تنها باعث نمی‌شود فریبکاری صورت گیرد و چیزی که مبرهن است اینست که وقتی یک تقلب و فریبکاری صورت می‌گیرد،‌ معیارهای حفاظتی شرکت کافی نبوده است وکنترلها یا وجود نداشته و یا به خوبی اجرا نشده است وهمین باعث به وجود آمدن جرم می‌شود.

مورد دوم شامل حفاظت از مشتریان و استفاده کنندگان اطلاعات اعتباری می‌باشد که شامل موضوعات زیادی است. در سال 1970 کنگره قانون گزارش اطلاعات اعتباری منصفانه را از تصویب گذارند و به افراد این حق را می‌داد که اطلاعات اعتباری خود را پنهان کنند. و به مشتریان این حق داده شد که نسبت به اطلاعات اعتباری شرکتها تردید کنند، هر چند که بین حق پنهان کردن و حق تغییر اطلاعات اعتباری فاصله زیادی است TRW گزارش داد از زمانی که قانون گزارش منصفانه اطلاعات اعتباری به مرحله اجرا درآمده است،‌ تحقیق‌های مشتریان به صد مورد افزایش یافته است در حالی که در زمانی کشف فریبکاری تقریبا 000/200 مشتری به صورت سالیانه از اطلاعات اعتباری‌شان شکایت می‌کردند. از این تحقیق‌ها و بازرسی منجر به تغییر یا به روز شدن اطلاعات می‌شدند.

• جرائم کامپیوتری چیست؟
• رشد جرائم رایانه ای
• شش نمونه از جرائم رایانه ای:
• کلاه برداری (حقه) از طریق گرد کردن اعداد
  • تجزیه و تحلیل
• حالت وجوه سرمایه
  • تجزیه و تحلیل
• حالت اطلاعات اعتباری شرکت TRW
  • تجزیه و تحلیل
• ROSWELL Stephens and the union dime soving Bank case
• دسترسی غیر قانونی ناحیه میل و اوکی 414(Milwauekee 414s)
• ویروس (کرم) پاکستانی
• ساختار شکل بندی جرائم رایانه‌ای
• پس زمینه دقیق