Электронная коммерция

Оценивание  информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

2. Защита информации

Согласно  исследованию Forrester Research, озаглавленному "Экономика защиты", большая  часть затрат на защиту сети связана  с шифрованием данных и укреплением  брандмауэров. Однако такие приобретения, как инструментарий для ускоренного  шифрования, обслуживания цифровых сертификатов и управления правилами защиты, окупаются обычно за весьма короткий срок, в особенности, если учесть потенциальный финансовый урон в результате взлома защиты коммерческого сервера Web. В исследовании также отмечается, что 40% всех обращений в службу поддержки связаны с просьбой восстановления пароля забывчивыми пользователями. Значительно сократить траты по этой статье расходов службы поддержки можно с помощью смарт-карт.

Наконец, в  исследовании Forrester утверждается, что  компании из числа Fortune 1000 тратят менее 1 млн. долларов в год на защиту сети. Эта сумма может показаться не такой уж и маленькой, но она - ничто  по сравнению с потенциальным уроном от взлома защиты.

Затраты заказчиков на цифровые сертификаты колеблются от 400-1000 долларов за сертификат на один сервер Web до 200000-1000000 долларов за полный спектр услуг.

Помимо этих затрат, необходимо учесть стоимость таких неотъемлемых компонентов системы защиты, как брандмауэры.

Одним из важнейших  вопросов в области защиты является вопрос стандартов. Стандарт на электронные  защищенные транзакции (Secure Electronic Transaction, SET) пользуется поддержкой таких компаний, как CyberCash, Netscape Communications и RSA Data Security (предлагающей комплект разработчика SET). Но есть и другие стандарты, например Secure/MIME и United Nations/Electronic Data Interchange for Administration, Commerce, and Transport (UN/EDIFACT). Пока не будет единообразия, решения в отношении выбора продуктов и методов защиты принимать будет непросто.

7. Пластиковые карточки.

Пластиковая карточка представляет собой пластину стандартных размеров (85.6 мм 53.9 мм 0.76 мм), изготовленную из специальной, устойчивой к механическим и термическим воздействиям пластмассы. Из проведенного в предыдущих разделах рассмотрения следует, что одна из основных функций пластиковой карточки - обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карточку наносятся логотипы банка-эмитента и платежной системы, обслуживающей карточку, имя держателя карточки, номер его счета, срок действия карточки и пр. Кроме этого, на карточке может присутствовать фотография держателя и его подпись.

Алфавитно-цифровые данные - имя, номер счета и др. - могут быть эмбоссированы, т.е. нанесены рельефным шрифтом. Это дает возможность  при ручной обработке принимаемых  к оплате карточек быстро перенести  данные на чек с помощью специального устройства, импринтера, осуществляющего "прокатывание" карточки (в точности так же, как получается второй экземпляр  при использовании копировальной бумаги).

Графические данные обеспечивают возможность визуальной идентификации карточки. Карточки, обслуживание которых основано на таком  принципе, могут с успехом использоваться в малых локальных системах - клубные, магазинные карточки и т.п. Однако для использования в банковской платежной системе визуальной "обработки" оказывается явно недостаточно. Представляется целесообразным хранить данные на карточке в виде, обеспечивающем проведение процедуры автоматической авторизации. Эта задача может быть решена с использованием механизмов.

В карточках  со штрих-кодом в качестве идентифицирующего  элемента используется штриховой код, аналогичный коду, применяемому для  маркировки товаров. Обычно кодовая  полоска покрыта непрозрачным составом и считывание кода происходит в инфракрасных лучах.

Карточки  со штрих-кодом весьма дешевы и, по сравнению  с другими типами карт, относительно просты в изготовлении. Последняя  особенность обуславливает их слабую защищенность от подделки и делает поэтому малопригодными для использования в платежных системах.

Карточки  с магнитной полосой являются на сегодняшний день наиболее распространенными - в обращении находится свыше  двух миллиардов карт подобного типа. Магнитная полоса располагается  на обратной стороне карты и, согласно стандарту ISO 7811, состоит из трех дорожек. Из них первые две предназначены  для хранения идентификационных  данных, а на третью можно записывать информацию (например, текущее значение лимита дебетовой карточки). Однако из-за невысокой надежности многократно  повторяемого процесса записи/считывания, запись на магнитную полосу, как  правило, не практикуется, и такие  карты используются только в режиме считывания информации.

Защищенность  карт с магнитной полосой существенно  выше, чем у карт со штрих-кодом. Однако и такой тип карт относительно уязвим для мошенничества. Так, в  США в 1992 г. общий ущерб от махинаций  с кредитными картами с магнитной  полосой (без учета потерь с банкоматами) превысил один миллиард долларов. Тем  не менее, развитая инфраструктура существующих платежных систем и, в первую очередь, мировых лидеров "карточного" бизнеса - компаний MasterCard/Europay является причиной интенсивного использования  карточек с магнитной полосой  и сегодня. Отметим, что для повышения  защищенности карточек системы VISA и MasterCard/Europay используются дополнительные графические  средства защиты: голограммы и нестандартные шрифты для эмбоссирования.

На лицевой  стороне карточки с магнитной  полосой обычно указывается: логотип  банка-эмитента, логотип платежной  системы, номер карточки (первые 6 цифр - код банка, следующие 9 - банковский номер карточки, последняя цифра - контрольная, последние четыре цифры  нанесены на голограмму), срок действия карточки, имя держателя карточки; на оборотной стороне - магнитная полоса, место для подписи.

В смарт-картах носителем информации является уже  микросхема. У простейших из существующих смарт-карт - карт памяти - объем памяти может иметь величину от 32 байт до 16 килобайт. Эта память может быть реализована или в виде ППЗУ (ЕРRОМ), которое допускает однократную  запись и многократное считывание, или в виде ЭСППЗУ (EEPROM), допускающее  и многократное считывание, и многократную запись. Карты памяти подразделяются на два типа: с незащищенной (полнодоступной) и защищенной памятью. В картах первого  типа нет никаких ограничений  на чтение и запись данных. Доступность  всей памяти делает их удобными для  моделирования произвольных структур данных, что представляется важным в некоторых приложениях. Карты  с защищенной памятью имеют область  идентификационных данных и одну или несколько прикладных областей. Идентификационная область карт допускает лишь однократную запись при персонализации, и в дальнейшем доступна только на считывание. Доступ к прикладным областям регламентируется и осуществляется по предъявлению соответствующего ключа. Уровень защиты карт памяти выше, чем у магнитных карт, и они  могут быть использованы в прикладных системах, в которых финансовые риски, связанные с мошенничеством, относительно невелики. Что же касается стоимости  карт памяти, то они дороже магнитных. Однако в последнее время цены на них значительно снизились в связи с усовершенствованием технологии и ростом объемов производства. Стоимость карты памяти непосредственно зависит от стоимости микросхемы, определяемой, в свою очередь, емкостью памяти.

Частным случаем  карт памяти являются карты-счетчики, в которых значение, хранимое в  памяти, может изменяться лишь на фиксированную  величину. Подобные карты используются в специализированных приложениях  с предоплатой (плата за использование  телефона-автомата, оплата автостоянки и т.д.)

Карты с микропроцессором представляют собой по сути микрокомпьютеры  и содержат все соответствующие  основные аппаратные компоненты: центральный  процессор, ОЗУ, ПЗУ, ППЗУ, ЭСППЗУ. Параметры  наиболее мощных современных микропроцессорных  карт сопоставимы с характеристиками персональных компьютеров начала восьмидесятых. Операционная система, хранящаяся в  ПЗУ микропроцессорной карты, принципиально  ничем не отличается от операционной системы ПК и предоставляет большой  набор сервисных операций и средств  безопасности. Операционная система  поддерживает файловую систему, базирующуюся в ЭСППЗУ (емкость которого обычно находится в диапазоне 1…8 Кбайта, но может достигать и 64 Кбайт) и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карточки, что вместе со встроенными криптографическими средствами делает микропроцессорную карту высокозащищенным инструментом, который может быть использован в финансовых приложениях, предъявляющих повышенные требования к защите информации. Именно поэтому микропроцессорные карты (и смарт-карты вообще) рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт. Кроме того, смарт-карты являются наиболее перспективным типом пластиковых карт также и с точки зрения функциональных возможностей. Вычислительные возможности смарт-карт позволяют использовать, например, одну и ту же карту и в операциях с on-line авторизацией и как многовалютный электронный кошелек. Их широкое использование в системах VISA и Europay/MasterCard начнется уже в ближайшие год-два, а в течение десятилетия смарт-карты должны полностью вытеснить карты с магнитной полосой (по крайней мере, таковы планы).

Кроме описанных  выше типов пластиковых карточек, используемых в финансовых приложениях, существует еще ряд карточек, основанных на иных механизмах хранения данных. Такие  карточки (оптические, индукционные и  пр.) используются в медицинских  системах, системах безопасности и  др.

Транзакции  по кредитным картам достигают сейчас 90% от общего объема транзакций, совершаемых  в Internet во всем мире. Использование кредитных карт для совершения сделок через Internet облегчается тем обстоятельством, что держатели карт уже привыкли к "безкарточным" транзакциям по телефону или по почте.

Безусловно, электронная коммерция потенциально содержит лазейки для краж и злоупотреблений, как, впрочем, и другие, более традиционные виды торговли. Следует, однако, отметить, что использование кредитных  карт в киберпространстве является со многих точек зрения гораздо более  безопасным, чем в обыденном мире. Например, копирки от слипов могут  быть легко похищены из мусорного  ящика в ресторане или магазине. В любом случае данные о номерах  кредитных карточек сделавших приобретения покупателей какое-то время находятся  в магазине, что дает беспринципным  сотрудникам возможность воспользоваться  ими в мошеннических целях. Прослушивание  телефонной линии для получения  номеров кредитных карточек с  технической точки зрения также  представляется гораздо более легкой задачей, чем перехват и декодировка транзакции в Internet.

Но покупатели хотят большей безопасности. Поставщикам необходимо убедиться в платежеспособности заказчика, прежде чем осуществлять отгрузку товара по заявке. Поэтому автоматизация расчетов по пластиковым картам через Internet на основе единых стандартов для продавцов, банков и процессинговых компаний является единственным способом для продвижения в жизнь электронной коммерции. И введение подобных стандартов уже не за горами.

8. Стандарты электронных расчетов

• Стандарт SET

Аббревиатура  SET расшифровывается как Secure Electronic Transactions - безопасные (или защищенные) электронные транзакции. Стандарт SET, совместно разработанный компаниями Visa и MasterCard, обещает увеличить объем продаж по кредитным карточкам через Internet. Совокупное количество потенциальных покупателей - держателей карточек Visa и MasterCard по всему миру - превышает 700 миллионов человек. Обеспечение безопасности электронных транзакций для такого пула покупателей могло бы привести к заметным изменениям, выражающимся в уменьшении себестоимости транзакции для банков и процессинговых компаний. К этому следует добавить, что и American Express объявила о намерении приступить к внедрению стандарта SET.

Чтобы совершить транзакцию в соответствии со стандартом SET, обе участвующие в сделке стороны - покупатель и торгующая организация (поставщик) - должны иметь счета в банке (или другой финансовой организации), использующем стандарт SET, а также располагать совместимым с SET программным обеспечением. В таком качестве могут, например, выступать Web-браузер для покупателя и Web-сервер для продавца - оба, очевидно, с поддержкой SET.

• CyberCash

Компания  CyberCash, расположенная в г. Рестон (штат Вирджиния, США) была пионером в разработке многих концепций, использованных в стандарте SET, и приняла на себя обязательство одной из первых внедрить SET. Множество покупателей и торговых организаций по всему миру используют систему SIPS (simple Internet payment system) производства CyberCash. Есть стимул для использования программного обеспечения CyberCash: в дополнение к повышенной безопасности программное обеспечение поставляется свободно (т.е. бесплатно) как покупателям, так и продавцам. Плата за использование системы CyberCash включается в оплату за обслуживание кредитных карточек.

Торговым  организациям необходимо лишь иметь  счет в банке-участнике и поместить  кнопку PAY на свою Web страницу на соответствующем шаге процедуры оформления заказа. Когда покупатель нажимает на эту кнопку, он инициирует процесс выполнения расчетов по покупке в системе.

• Платежи без кодирования: система First Virtual.

Учитывая  проблемы, возникающие в связи  с необходимостью пересылки номеров  кредитных карточек через Internet: необходимость кодирования и обеспечения гарантий от расшифровки третьими лицами, можно сформулировать альтернативный подход. Он состоит в полном отказе от пересылки информации, относящейся к кредитным карточкам, через Internet. Компания First Virtual (США) разработала систему, используя которую, покупатель никогда не вводит номер своей кредитной карточки. В дополнение к платежной системе First Virtual поддерживает собственную систему электронной почты, называемой InfoHaus. Это связано с тем, что основными видами товаров в First Virtual являются программное обеспечение и информация, на поддержку которых и ориентирована система электронной почты.

• Digital Cash

Digital Cash, использующая цифровые или электронные наличные (деньги) - наиболее радикальная форма электронной коммерции. Видимо, поэтому ее распространение осуществляется достаточно медленно. Рассмотренные выше системы традиционны в принципиальном плане - обычные денежные транзакции реализованы в них в электронном Internet-варианте. В то же время электронные наличные - новый тип денег. Они потенциально могут привести к радикальным изменениям в денежном обращении и его регулировании.