Современные информационные технологии / 4. Информационная
безопасность
Князев А.А.
Одеська
національна академія зв’язку ім. О.С. Попова
Защита информации в мобильных
платежных системах
Появление Интернета
радикально изменило многие параметры жизни общества, привнеся серьезные
изменения и в бизнес-процессы. Внедрение Интернет-технологий в сферу бизнеса
привело к появлению электронной коммерции. Сегодня рынок электронной коммерции
в Украине развивается довольно динамично, ежегодно увеличиваясь в среднем на
25-30%. На сегодняшний день электронная коммерция охватывает около 40%
пользователей Интернета в Украине. Это означает, что практически каждый второй
активный пользователь осуществляет покупки через Интернет хотя бы раз в месяц
(в странах с развитой экономкой этот показатель достигает 80-90%) [1].
Одним из видов электронной коммерции является мобильная коммерция
(mCommerce), которая представляет собой функционирование различных коммерческих
сервисов, использующих мобильный телефон в качестве основного интерфейса
пользователя для получения и передачи информации, совершения транзакций через
общественные и частные сети. Мобильная коммерция обладает значительным
потенциалом, целым рядом дополнительных возможностей ведения бизнеса, среди
которых: повсеместный доступ, отсутствие многих ограничений, локализация
(технология Global Positioning System (GPS), позволяют получить доступ к
информации по конкретному региону), персонализация.
Существуют также некоторые ограничения: пропускная способность сетей и
самих устройств, размеры экрана,
неудобства ввода текста с телефона и пр.
Одним из решений мобильной коммерции является мобильный платеж и мобильные
платежные системы МПС. Мобильны платеж – это метод оплаты товаров и услуг с
помощью мобильного телефона. МПС можно разделить на два класса: карточные и
бескарточные. Первый способ заключается в использовании мобильного телефона
вместе с традиционной банковской дебетовой или кредитной карточкой. Такой
способ предлагает высокую степень безопасности платежей (поскольку защищен со
стороны телефона и банковской карты), однако обладает одним серьезным
недостатком - требуют наличия специального двухслотового телефона. Бескарточные
платежи более удобны, поскольку для их проведения для совершения финансовых
транзакций необходим обычный телефон, имя пользователя, пароль и специальный
единовременный платежный номер (к примеру, система «pay-by-GSM»). Однако, такие
платежи пока не дают должного уровня безопасности.
МПС
обоих классов базируются на технологияхи SMS, WAP, USSD и NFC. Мобильный доступ в Интернет может осуществляться с помощью беспроводного
модема (обычно, у PDA), встроенного WAP-браузера (телефоны, смартфоны) или
путем синхронизации устройства с другим, уже подключенным к Интернету (с
персональным компьютером, WAP-телефоном). При этом WAP состоит из набора
протоколов: WSP (протокол
обеспечения обмена данными между клиентом и сервером), WTP (протокол обеспечения проведения транзакций на основе
транспортного механизма запросов и ответов), WDP (протокол беспроводной передачи датаграмм и WTLS (протокол для обеспечения
безопасности).
При этом по мнению специалистов [2], протокол
беспроводной связи WAP имеет несколько серьезных недостатков в системе
безопасности. Так, в текущей версии WAP не хватает элементов аутентификации,
авторизации и проверки сделки, что не позволяет добиться необходимого уровня
безопасности в приложениях.
Учитывая вышеизложенное, а также постоянный рост киберпреступности, особое
внимание следует уделять именно безопасности мобильных платежей.
Проблему
защиты информации в МПС необходимо решать с двух сторон: со стороны сервера и
со стороны пользователя. Это объясняется неоднозначностью подхода
киберпреступников к хищению информации. С одной стороны, выгоднее атаковать
серверную сторону обработки платежей (банковская инфраструктура, сервера
платежных систем и т.п.), поскольку она содержит большое количество данных,
т.е. одноразово можно совершить кражу существенной массы денег или информации.
Но в данном случае возникают сложности с доступом к хорошо защищенной информации.
С другой стороны,
частные пользователи менее защищены и наиболее уязвимы, что дает
киберпреступникам широкие возможности для хищений большого количества мелких
сумм.
Исходя их
вышесказанного, предлагаются подходы к защите информации отдельно для частных
пользователей и серверов МПС. Так, для частных пользователей, которые могут
быть легко атакованы вредоносными программами, которые от лица предприятий и
организаций (банков или Интернет-провайдеров) требуют предоставить
конфиденциальную информацию или оплатить услуги, необходимо установка
специальных программ (антиспам, веб-фильтр, программы поведенческого
распознавания вредоносных кодов и т.п.).
Для защиты информации на
серверах необходима разработка системы защиты информации на всех этапах жизненного
цикла объектов МПС с применением технических средств
защиты информации (шифровальных, криптографических), средств защиты информации
от несанкционированного доступа, средств антивирусной защиты, средств
межсетевого экранирования, системы обнаружения вторжений, средств контроля
(анализа) защищенности и других решений.
Литература:
1.
Холдинг Allegro [Электронный ресурс]. – Режим доступа: http://blog.platon.ua/ru
2.
Электронная коммерция [Электронный ресурс]. – Режим доступа: http://www.e-commerce.ru/biz_tech/implementation/mcommerce/preamble.html