Телебанк
Другой системой, выполняющей функции Интернет-банкинга, является система «ТЕЛЕБАНК» (http://www.telebank.ru), разработанная КБ «Гута-Банк». Система позволяет производить дистанционное банковское обслуживание частных лиц. Операции осуществляются круглосуточно и из любой точки мира по Интернет или по телефону. Система предоставляет различные платежные и информационные услуги.
Через «ТЕЛЕБАНК-oнлайн» можно осуществлять коммунальные платежи и оплачивать телекоммуникационные услуги включенных в данную систему операторов («БиЛайн», «Мобил ТелеКом», МСС, МТС, «МТУ-Информ», «НТВ Плюс», «Вессо-Линк», совершать операции с пластиковыми картами определенных систем (UNION CARD, Visa, Europay/MasterCard) и валютные операции (с долларами, евро, немецкими марками, фунтами стерлингов), а также переводить денежные средства по любому адресу в России и за границей. Если продавец товаров/услуг включен в систему «ТЕЛЕБАНК-онлайн», скорость прохождения платежа значительно увеличивается.
Градо
Система «Градо» (http://www.grado.ru), разработана КБ «ГрадоБанк» и предназначается для осуществления безналичных электронных расчетов. «Градо» представляет собой систему Интернет-банкинга, позволяющую участнику перечислять денежные средства со своего счета в «ГрадоБанке» на расчетный счет в любом банке России.
Клиенту системы «Градо» для совершения сделки достаточно знать банковские реквизиты Интернет-магазина, при этом подключение магазина к «Градо» не является обязательным. Участник системы может назначить код защиты осуществляемой им платежной операции, что позволяет клиенту задержать Оплату в случае, если Продавец не выполнил свои обязательства по качеству и срокам оплачиваемых услуг.
По мнению разработчиков системы, расчетный центр «Градо» Предназначен в основном для Проведения межбанковских платежей, тогда как с покупателями и магазинами должны работать банки - члены системы.
3.3.3. Критерии выбора платежной системы
В целом можно констатировать, что в нашей стране сложилась ситуация, в которой существует принципиальная возможность проведения Интернет - платежей при ведении ЭК. Для этого есть необходимые элементы - технико- технологическая и организационно-финансовая инфраструктуры. Каковы же перспективы развития электронных платежных систем в России?
Перспективы цифровых наличных, чеков, кредитных карт и электронных платежных систем в целом тесно связаны с дальнейшим развитием российского сегмента Интернет (особенно World Wide Web) и ЭК в Глобальной сети. Еще несколько лет тому назад о WWW мало кто знал, а сегодня этот сервис захватил львиную долю от всего объема передаваемой по Интернет информации и стал тем инструментом, с освоения которого начинают практическое знакомство с Интернет новые пользователи. Практически все заметные «игроки» мировой экономики обозначили свою заинтересованность в Интернет и ЭК.
Поэтому можно с уверенностью прогнозировать быстрое развитие ЭК в Интернет и на раздумье потенциальным участникам этого рынка практически не осталось времени. Стандарт SET должен занять значительный сектор мирового рынка элeктрoнных расчетов в Интернет, но в России этот стандарт, основанный на использовании кредитных систем VISA, MasterCard, American Express и некоторых других, совместно с электронным сертификатом, не сможет быстро занять значительный сектор рынка ввиду низкой распространенности в стране современных платежных средств, например, кредитных карт.
Смарт-карты (Mondex, Visa Cash) как за рубежом, так и в России должны занять определенную часть рынка, после чего их удельный вес в расчетах по Интернет может увеличиваться. В России, в отличие от остального мира смарт-карты будут конкурировать не с кредитными системами, а с системами «digital cash», такими как DigiCash. Тенденции развития рынка смарт-карт и платежей в Интернет позволяют предположить, что устройства для чтения/записи смарт-карт приблизятся по популярности к модемам и станут стандартными устройствами системных блоков пepcoнальных компьютеров. Как известно одной из самых актуальных проблем, касающихся элeктрoнных платежных систем России является их безопасность и совместимость. Поэтому этим аспектам должно уделяться особое внимание. для того чтобы понять, насколько безопасны платежи в Интернет сегодня, следует ответить на три вопроса: может ли персональная и банковская информация быть перехвачена во время транзакции? может ли персональная и банковская информация быть извлечена из соответствующих баз данных? может ли эта информация впоследствии использоваться?
Против перехвата работают мощные алгоритмы шифрования информации, основанные на таких методах криптографии как шифрование с закрытым и отрытым ключами.
Серьезность этих методов такова, что в например, они приравнены к вооружению. Расшифровать послание в принципе возможно, но для этого понадобятся затраты в объеме до нескольких миллионов долларов. Стоят ли эти затраты тех сумм, которыми клиенты оперируют при приобретении товаров и услуг посредством Интернет в настоящее время?
Большинство рассматриваемых электронных платежных систем используют такие схемы, что банковская и персональная информация не доводится до продавца. В некоторых системах эта информация в принципе не попадает в Интернет, а передается однократно факсом, по телефону или с помощью обычной почты. К тому же, большинство плaтeжных систем используют в своих схемах технологию электронной цифровой подписи, основанную на шифровании с отрытым ключом и которую также маловероятно фальсифицировать, как и расшифровать само послание. Кроме того, для подтверждения оплаты применяются всевозможные идентификаторы пользователя и пароли.
Поэтому ответ на поставленные выше вопросы может быть сформулирован следующим образом: теоретически возможно, но практически маловероятно и фактически невозможно. Таким образом, возможность расшифровки транзакций, выполненных в Интернет с применением соответствующих алгоритмов криптографии, мала. Особые меры безопасности принимаются ко всем процедурам, которые связаны с передачей информации о деньгах и, в особенности, с передачей самих денег (цифровых наличных). Большинство Криптографических алгоритмов построено на операциях с большими простыми числами и их произведениями и пока не найдено алгоритмов факторизации (разложения этих чисел на их простые делители), реальной опасности с точки зрения математики не существует.
Более того, вряд ли такие алгоритмы вообще будут найдены, и потенциальная угроза безопасности цифровых платежных систем может исходить скорее от «человеческого фактора». Поэтому компьютерные центры, занимающиеся ключевыми операциями, эмиссией цифровых наличных, учетом и взаиморасчетами между участниками расчетов должны очень надежно охраняться. В принципе нельзя исключить подкуп и шантаж персонала, в результате которого преступники могут завладеть ключами, паролями, цифровыми подписями и получить контроль над компьютерами. Но в системах с надежным уровнем безопасности наиболее важная информация распределена среди большого количества сотрудников и компьютеров, так что нужна кооперация значительной части персонала для получения контроля над платежной системой. Эго, естественно, резко снижает риск и в целом не является проблемой самих информационных технологий и Интернет, так как сами процессы передачи информации и денег на сегодня достаточно надежно защищены.
Исходя из изложенного материала, можно предложить систему критериев, по которым целесообразно оценивать электронные платежные системы в целях их дальнейшего использования при ведении ЭК.
О своей открытости, то есть, в частности, о возможности присоединения сторонних банковских и финансовых организаций заявляют многие электронные платежные системы и это, безусловно, правильный подход, так как банки- операторы существующих систем пока не могут похвастаться разветвленной сетью филиалов. Исключение в этом плане составляют лишь несколько систем (работающих с кредитными картами), в которых пользователь не обязательно должен являться клиентом конкретного банка, чем, видимо, и обусловлена довольно высокая динамика развития рассмотренной нами ранее электронной платежной системы Assist.
Но, с другой стороны, сотрудникам предприятия ведущего ЭК надо помнить, что у такого подхода есть и явный минус — использование общедоступных систем расчетов в Интернет влечет за собой возникновение новых проблем информационной безопасности ее участников и, соответственно, довольно высокий риск мошенничества. По некоторым данным, до 20% попыток авторизации в таких системах инициируется с использованием поддельных или просроченных реквизитов кредитных карт.
На этом мы заканчиваем первую, вводную часть книги и переходим ко второй, в которой рассмотрим практические вопросы использования систем ЭК.
Модели защиты информации в электронной коммерции.
1 и 2-й уровни (нижние) – уровень операционной системы и уровень сети. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS. Эти уровни важны особенно. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Это очень опасно, нужны такие средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа "отказ в обслуживании", а также атаки на операционную систему. В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС - встроенные средства разграничения доступа. Одним из примеров средств обнаружения атак является система RealSecure, разработанная компанией Internet Security Systems, Inc. Следующий уровень – третий уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer. Четвертый уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Примером элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access. Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности. Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т.ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях - Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности eCommerce. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг. Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина. Из истории создания SAFEsuite… Разработанный одним из экспертов по компьютерным системам защиты Кристофером Клаусом, этот пакет должен выявлять "дыры" в системах безопасности Web-серверов, брандмауэров, серверов и рабочих станций на базе ОС Unix, Windows 95 и NT и сообщать о них пользователю. Эти "дыры" SAFEsuite обнаруживает путем имитации всех известных способов, используемых "взломщиками" для проникновения в сеть. Отличительной особенностью пакета SAFEsuite, состоящего из программ Intranet Scanner, Firewall Scanner, Web Security Scanner и System Security Scanner, является его ориентация исключительно на оценку состояния компьютерных систем защиты. В отличие от известных программ, например SATAN, которая тестирует сеть только "снаружи", или COBS, проверяющей сеть только "внутри", пакет SAFEsuite призван объединить все функции этих программ в единое целое. Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства SecretNet, разработанные предприятием "Информзащита". Нельзя забывать также и о шифровании и ЭЦП (электронной цифровой подписи). Степень защищенности напрямую зависит от алгоритма шифрования и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислений надо провести для шифрования и дешифрования данных. Основные виды алгоритмов шифрования – симметричные и асимметричные. Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи. Приведу обзор некоторых алгоритмов симметричного шифрования. 1) DES (Data Encryption Standard). Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа. 2) Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES. Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии. Skipjack. Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла). IDEA. Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций. RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам. Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности. При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый — для дешифрования. Алгоритм применения ЭЦП состоит из ряда операций: 1) Генерируется пара ключей - открытый и закрытый. 2) Открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи). 3) Отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи. 4) Получатель дешифрует сообщение открытым ключом отправителя. 3. Современные подходы применения мер информационной безопасности в сфере электронной коммерции. Принципиально новый подход к осуществлению электронных платежей сегодня заключается в немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием протоколов SSL (Seсure Sockets Layer) и SET (Secure Electronic Transaction). Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, MasterCard и др., - шифрование исключительно финансовой информации. Поскольку сеть Интернет рассчитана на одновременную работу миллионов пользователей, то в коммерческих приложениях "в чистом виде" невозможно использовать ни традиционные системы, основанные исключительно на "закрытых ключах" (DES, ГОСТ 28147-89 и др.), ни методы шифрования только на "открытых ключах", в том числе и российский стандарт электронной подписи. Применение одних закрытых ключей невозможно в связи с тем, что раскрытие (перехват) даже одного ключа сразу же приведет к "взлому" всей системы защиты. Поэтому при реализации электронной коммерции в Интернет вместе с системами шифрования с помощью закрытых ключей используются системы шифрования с помощью открытых ключей. Это связано с тем, что шифрование только открытыми ключами требует больших затрат вычислительных ресурсов. Поэтому лучше всего шифровать информацию, передаваемую по сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным с помощью открытого ключа. Такая система шифрования будет работать и быстрее, и надежнее. В приложениях, основанных на использовании алгоритма SET, покупатель, не расшифровывая платежных реквизитов продавца, расшифровывает все данные заказа, а банк, не имея данных о структуре заказа, имеет доступ к платежным реквизитам и продавца и покупателя. Это достигается благодаря использованию двойной (слепой) электронной подписи, и в данной ситуации банку посылается одна часть сообщения, а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками. При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель обладают общим ключом, который они используют для шифрования/дешифрования информации. В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель имеют по два ключа: один - "открытый", который может быть известен любой третьей стороне, а другой - "частный", всегда известный только одной стороне - его владельцу. При этом по одному ключу невозможно восстановить другой. Каков вывод на сегодня? Как защитить сделку от несанкционированного доступа? Для защиты сделок в Интернет в настоящее время организованы специальные центры сертификации. Они следят за тем, чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время. Чтобы его получить, в центр сертификации необходимо предоставить документ, удостоверяющий личность участников сделки (для юридических лиц таким документом является свидетельство о регистрации). Каждый участник, имея "на руках" открытый ключ центра сертификации, может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки. С самого начала внедрения электронной коммерции было очевидно, что методы идентификации владельца карты, применяемых в обычных транзакциях, являются неудовлетворительными для транзакций электронной коммерции. Действительно, при совершении операции покупки в физическом магазине продавец имеет право рассмотреть предъявляемую для расчета пластиковую карту на предмет ее соответствия требованиям платежным системам (в частности проверить наличие голограммы, специальных секретных символов, сверить подписи на панели и торговом чеке и т. п.). Кроме того, продавец может потребовать от покупателя документ, удостоверяющий его личность. Все это делает мошенничество по поддельной карте достаточно дорогим предприятием. В случае транзакции в электронной коммерции все, что требуется от мошенника - знание реквизитов карты. Затраты, связанные с изготовлением поддельной физической карты, в этом случае не требуется. В мире пластиковых карт с магнитной полосой самым надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. PIN-код применяется всегда при проведении транзакции повышенного риска, например при выдаче владельцу карты наличных в банкоматах. Выдача наличных в банкоматах происходит без присутствия представителя обслуживающего банка (ситуация похожа на транзакцию электронной коммерции). Поэтому обычных реквизитов карты для защиты операции "снятия наличных в банкомате" недостаточно и используется секретная дополнительная информация - PIN-код. Владельцы карт, эмитенты которых держат свою базу данных карточек на хосте STB CARD, могут получить дополнительный PIN-код, называемый PIN2. Этот код представляет собой последовательность из 16 шестнадцатеричных цифр, которая распечатывается в PIN-конверте, передаваемом владельцу карты, и вычисляется эмитентом с помощью симметричного алгоритма шифрования, примененного к номеру карты и использующего секретный ключ, известный только эмитенту карты. Возвращаясь к схеме STB CARD, отметим, что, конечно же, в заполненной клиентом форме PIN2 не содержится, а в действительности все выглядит следующим образом: торговая точка (точнее, сервер Assist), определив, что имеет дело с картой банка STB CARD, передает владельцу карты форму, содержащую подписанный javа-апплет, реализующий некоторый симметричный алгоритм шифрования. При этом PIN2 играет роль секретного ключа этого алгоритма шифрования, а шифруемые данные получаются в результате применения хэш-функции к номеру карты, сумме и дате транзакции, а также случайному числу Nn генерируемому торговой точкой. Таким образом, в заполненной владельцем карты форме присутствует только результат шифрования перечисленных выше данных о транзакции на ключе PIN2. Таким образом, технология проверки PIN-кода, принятая в системе STB CARD, в действительности обеспечивает не только динамическую аутентификацию клиента, но еще и гарантирует "сквозную" целостность некоторых данных о транзакции (сумма транзакции, номер карты). Под "сквозной" целостностью здесь понимается защита от модификации данных на всем протяжении от их передачи от клиента до банка-эмитента. А как же другие карты? В других системах нет пока такой высокой степени защиты. Придется держателям других карт держать в строжайшей тайне свой PIN-код и стараться не терять карту. До тех пор, пока их система не будет должным способом защищена от мошенничества. Из всего вышесказанного видно, что работа по проведению защитных мероприятий ведется, но сложности еще остаются. Эта деятельность предполагает создание большого числа все более сложных алгоритмов шифрования, специальных программ для перехвата и нейтрализации атак. Специалисты в этой области, как в нашей стране, так и за рубежом много полезного уже осуществили в сфере разработок новых программных средств для «отслеживания» и «улавливания» атак, чего нельзя не заметить. Однако у систем электронной коммерции всё еще остаются много неустраненных уязвимостей. Поэтому их необходимо тщательно изучать и стараться быстрее устранять. От этого зависит как-никак объем продаж, а значит, и доходность данного сектора коммерции.
Влияние электронной коммерции на традиционные формы розничной торговли
Электронная торговля (от англ. electronic commerce; сокр.: e-commerce) — динамично развивающаяся отрасль во всем мире. Следует отметить, что своим рождением первые системы и методы электронной коммерции обязаны появлению технологий автоматизации продаж и внедрению автоматизированных систем управления корпоративными ресурсами. В 1960 американские компании American Airlines и IBM приступают к созданию системы автоматизации процедуры резервирования мест на авиарейсы. Таким образом, система SABRE (Semi-Automatic Business Research Environment) делает воздушные перелёты более доступными для рядовых пассажиров, помогая им ориентироваться в тарифах и рейсах, число которых постоянно растет. За счёт автоматизации процесса расчёта тарифов при резервировании мест снижается стоимость услуг. Это являет собой самый первый опыт создания системы электронной коммерции.
Наиболее динамично рынок электронной торговли развивается в течение последних 20 лет, что обусловлено стремительным ростом количества интернет-пользователей, увеличением влияния социальных сетей и других интерактивных онлайн платформ, динамичным развитием систем электронных платежей, и переходом ведущих веб-сервисов от технологической платформы Web 1.0 к Web 2.0.
Благодаря активному росту количества интернет-пользователей на быстроразвивающихся рынках, перед компаниями, работающими в секторе розничной торговли, открываются совершенно новые возможности. Интернет также предоставляет все больше возможностей и покупателям — вместе с новыми онлайн магазинами появляются веб-сервисы, отслеживающие цены на один и тот же товар и стоимость его доставки. Причем эту информацию можно получить, просто просканировав штрих-код с помощью мобильного телефона. Также активно развиваются ресурсы, которые дают возможность покупателям в режиме онлайн выставлять товарам рейтинги, добавлять товар в свой список пожеланий (от англ. wish list), обсуждать товары на форумах или сообществах в социальных сетях.