Безопасность в сфере электронной коммерции

Введение

Появление и развитие сети Интернет, совершенствование информационных технологий, систем, и стандартов их взаимодействия привели к созданию нового направления современного бизнеса - электронному бизнесу, как особой формы бизнеса, реализующейся в значительной степени посредством внедрения информационных технологий в процессы производства, продажи и распределения товаров и услуг.

Электронный бизнес выступает как результат новых, качественных изменений, связанных с внедрением информационных и коммуникационных технологий в традиционно существующий бизнес. По своей сути идея электронного бизнеса является логичным развитием идеи автоматизации и компьютеризации.

Электронная коммерция создает два эффекта на уровне предприятия: существенно реорганизует путь продукции от производства до конечного потребителя и изменяет всю рыночную структуру. Также позволяет малым предприятиям конкурировать с крупными и средними организациями без больших затрат.

Развитие информационных и коммуникационных технологий привело к развитию бизнеса в интернете, тем самым зародив новое направление — виртуальную или сетевую экономику, а электронная коммерция стала одним из способов осуществления электронного бизнеса в части интернет-коммуникаций.

Однако системы электронной коммерции в большей степени подвержены рискам безопасности, чем традиционные бизнес-системы, что делает крайне важным обеспечение соответствующей защиты.

Причины высоких рисков безопасности

Системы электронной торговли представляют собой характерный пример распределенной вычислительной системы. В них несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям.

Технология функционирования типового предприятия в сфере электронной коммерции, работающей на базе интернет-магазина, включает следующие этапы:

1.       Выбор продукта на электронной витрине с каталогом товаров и цен (сайт). Покупатель вводит свои персональные данные в соответствующую форму.

2.       Передача оформленного товара в торговую систему интернет-магазина, где происходит комплектация заказа.

3.       Доставка и оплата товара. Доставка товара покупателю осуществляется одним из возможных способов:

–          курьером магазина в пределах города и окрестностей;

–          специализированной курьерской службой ( в том числе из-за границы);

–          почтой;

–          самовывозом;

–          по телекоммуникационным сетям доставляется такой специфический товар как информация.

4.       Оплата товара может осуществляться следующими способами:

–          предварительной или в момент получения товара;

–          наличными курьеру или при визите в реальный магазин;

–          почтовым переводом;

–          банковским переводом;

–          наложенным платежом;

–          при помощи кредитных карт (VISA, MASTER CARD и др);

–          посредством электронных платежных систем через отдельные коммерческие банки (ТЕЛЕБАНК, ASSIST и др.).

В течение данных этапов возникают следующие возможные варианты мошенничества:

–          получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные;

–          магазины-бабочки, возникающие, как правило, на непродолжительное время, для того, чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;

–          увеличение стоимости товара по отношению к предлагавшейся покупателю цене или повтор списаний со счета клиента;

–          магазины или торговые агенты, предназначенные для сбора информации о реквизитах карт и других персональных данных покупателя.

–          подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты.

–          создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных

–          перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика.

–          проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина.

–          реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции.

Методы защиты

Меры, предпринимаемые участниками электронной коммерции для обеспечения безопасных расчетов в сети Интернет достаточно многообразны. Далее будут рассмотрены основные методы:

1.       Обучение держателей банковских карт минимальным навыкам для обеспечения собственной безопасности. Метод включает следующие рекомендации: использование только доверенных ресурсов доступа к интернету, изучение порядка доставки товаров и предоставления услуг, проверка использования коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации.

2.       Шифрование данных. На сегодняшний день практически всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL (Secure Socked Layer) — шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL позволяет всем участникам торговли спокойно передавать самую разную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за сколько-нибудь адекватный промежуток времени невозможно.
Протокол SSL надежно защищает информацию, передаваемую через Интернет, но все же он не может уберечь частную информацию, хранимую на сервере продавца, — например, номера кредитных карт. Когда продавец получает данные кредитной карты вместе с заявкой на покупку, информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к частной информации и дальнейшее использование ее в мошеннических целях.

3.       Одноразовые пароли, получаемые в банкомате. При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка. С точки зрения безопасности такая система имеет преимущество — чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.

4.       Одноразовые SMS-пароли — это система, при которой каждая операция, осуществляемая посредством онлайн — банкинга, должна быть подтверждена одноразовым паролем, который пользователь получает в SMS-сообщении на мобильный телефон. При этом мобильный номер должен быть «привязан» к номеру счета.
Данная система обладает следующими преимуществами:

–          простота использования — нет необходимости в специальном оборудовании, а процедура подтверждения операции занимает всего несколько минут.

–          защита учетной записи  — даже если мошенникам станет известен логин и пароль для входа в систему, они не получат доступ к деньгам, а пользователь узнает о попытке провести несанкционированную операцию из SMS-сообщения.

Заключение

Решить проблему обеспечения надежности информационной безопасности исключительно с помощью технических средств и программного обеспечения невозможно. По мнению специалистов, защита корпоративных информационных систем зависит от ряда факторов: на 30% — от применяемых технических решений; на 40% — от проводимых в учреждении организационных мероприятий и на 30% — от морально-нравственного состояния общества и общекультурного уровня пользователя.
На данный момент вопросы обеспечения безопасности онлайновых коммерческих операций каждая организация решает в отдельности путём использования профессиональных средств защиты. Однако, в силу отсутствия соответствующих нормативных документов в сфере электронной коммерции, потребуется немало времени и усилий, прежде чем они смогут заручиться доверием у значительной массы клиентов.