Платежные системы. Соревнование брони и снаряда
Начинаем серию статей о безопасности в платежных технологиях. Тема большая, эта статья будет первой, вводной. О безопасности мы решили поговорить с Игорем Голдовским, главным архитектором и директором департамента, человеком, знающим все о платежных системах и их защите.
Вопросы безопасности в карточных платежных технологиях играют ключевую роль. Сама по себе банковская карта — средство, обеспечивающее удаленную аутентификацию ее держателя при совершении операции безналичной покупки или получения наличных. От надежности используемых методов аутентификации держателя карты в существенной степени зависит безопасность карточных операций в целом, а, следовательно, и доверие пользователей к картам как средству платежей.
С другой стороны, платежные технологии слепо не следуют за лозунгом «Безопасности много не бывает». Технологии, обеспечивающие высокий уровень безопасности, но при этом неудобные для использования и/или требующие значительных расходов/усилий на внедрение, оказываются на практике невостребованными.
В платежных технологиях всегда ищется баланс между уровнем обеспечиваемой безопасности, удобством пользователя и стоимостью внедрения
Одним из примеров, иллюстрирующих этот тезис, является неудачная попытка внедрения протокола Secure Electronic Transaction (SET), практически безупречного с точки зрения обеспечиваемой им безопасности обработки операций электронной коммерции. Стандарт появился в 1998 г. и начал использоваться банками, но уже к 2001 г. стало понятно, что его массовое быстрое внедрение невозможно из-за высокой стоимости предлагаемых на рынке решений, а также из-за проблем на стороне держателей карт, связанных с необходимостью удаленной установки и настройки клиентского ПО на их персональных компьютерах. В результате, платежные системы постепенно отказались от использования SET и начали внедрять значительно более простой в использовании и дешевый для банков/магазинов протокол 3-D Secure.
Ранее на рынке реализовывалась модель «брони и снаряда» — в ответ на очередной снаряд, полученный от мошенников, устанавливается броня нужной для этого снаряда толщины. Но карточные платежи – коммерческий бизнес, в котором меры противодействия должны быть достаточными с точки зрения безопасности, а также максимально необременительными и удобными для банков и пользователей.
Приведу один пример такого соревнования брони и снаряда. К концу 90-х ведущие платежные системы пришли к выводу о том, несмотря на все предпринятые ими усилия, для эффективной борьбы с поддельными картами необходимо переходить на совершенно новую технологию микропроцессорных карт. Микропроцессорные карты позволили радикальным образом повысить безопасность так называемых Card Present- транзакций, в которых карта находится в точке совершения операции, за счет обеспечения 2-х факторной динамической аутентификации держателя карты ее эмитентом. С их внедрением уровень мошенничества по поддельным картам снизился практически до нуля, но начал расти уровень мошенничества для CNP (Card Not Present)-операций, то есть тех, где в точке выполнения операции карты нет. В первую очередь речь об операциях электронной коммерции, рекуррентных платежах, Card-on-File операциях и пр. В настоящее время появились технологии, позволяющие обеспечить уровень безопасности CNP-операций, соизмеримый с операциями по микропроцессорным картам. Это и новая версия протокола 3-D Secure 2. 0, и in-app платежи в телефонах, и токенизация карт, и операции удаленных платежей с использованием систем Secure Remote Commerce.
Поговорим о Secure Remote Commerce
Используемый вот уже два десятилетия платежными системами (ПС) протокол безопасной электронной коммерции 3D-Secure (v. 0 и v. 0) обеспечивает эмитенту возможность аутентификации держателя его карты в самом начале процедуры оплаты онлайновой покупки, до начала авторизации платежа эмитентом в платежной системе. Внедрение первой версии протокола позволило существенно повысить безопасность покупок в онлайновых магазинах. Новая версия протокола 3-D- Secure v. 0 расширила возможности первой версии, позволяя совершать покупки из мобильного приложения магазина на смартфоне покупателя, а также обеспечивая выполнение операции без непосредственной аутентификации клиента его банком (в т. моде frictionless mode). В последнем случае платформа 3-D Secure v. 0 производит оценку рисков для выполняемой операции и от лица эмитента принимает решение о возможности выполнить авторизацию транзакции без непосредственной аутентификации покупателя его банком. При принятии решения учитываются параметры покупки, а также информация об устройстве, с которого совершается операция, и о покупателе.
В то же время протокол 3-D Secure оставляет за скобками процедуры удобного для покупателя выбора платежного инструмента и оформления покупки, а также организации (при необходимости) процедуры аутентификации покупателя его банком. Определенные попытки заполнить пробел ранее предпринимались ведущими ПС, создавшими свои кошельки для выполнения удаленных платежей. Но сегодня уже можно признать — эти попытки оказались недостаточно удачными для того, чтобы завоевать сердца держателей карт. Протокол Secure Remote Commerce (SRC) — это новая попытка решить проблему создания удобного и безопасного для покупателя кошелька, предназначенного для удаленных платежей.
SRC представляет собой универсальный для держателей карт и торгово-сервисных предприятий (ТСП) механизм оплаты операций электронной коммерции.
Механизм оформлен в виде стандарта ассоциации EMVCo и оперативно взят на вооружение ведущими ПС. Некоторые международные платежные системы уже создали свои платформы SRC и в конце прошлого года запустили их в пилотном проекте на территории США. Механизм SRC реализуется на базе технической платформы, обеспечивающей для пользователя оформление оплаты покупки по принципу «нажатия одной кнопки» (one-click checkout). Кроме того, SRC повышает безопасность онлайновых операций за счет отсутствия необходимости ввода реквизитов карты (точнее, минимального использования этой процедуры) и токенизации инструментов оплаты.
SRC позволяет держателю карты при выполнении операции ЭК использовать на сайте ТСП «единую кнопку» для совершения платежа с помощью любого его платежного инструмента, зарегистрированного на платформе. Для этого SRC сама идентифицирует пользователя, отбирает платёжные инструменты пользователя, подходящие для оплаты покупки в данном ТСП, и дает возможность покупателю выбрать один из них. После регистрации в SRC при выполнении операции пользователю не нужно вводить информацию о себе, платежном инструменте и адресе доставки товаров. Все эти данные вводятся один раз при регистрации и потом хранятся на платформе SRC.
Ниже в очень упрощенном виде описана процедура выполнения покупки через систему SRC.
- ТСП (торговая площадка, поставщик платежного сервиса) после выбора покупателем кнопки SRC Triger отправляет в систему SRC данные о покупателе (например, биометрические данные покупателя, идентификатор мобильного приложения, из которого выполняется платеж), его устройстве (например, MAC-адрес устройства, версия ОС, идентификатор ОС и другие параметры, в общем случае до нескольких десятков характеристик) и самом ТСП (например, имя ТСП, код категории ТСП и т.п.). Следует заметить, что каждая платежная система имеет собственную систему SRC. Поэтому ТСП отправляет запросы во все системы SRC, принадлежащие ПС, карты которых принимает ТСП.
- Все SRC, получившие запрос ТСП, осуществляют распознавание (идентификацию) держателя карты и определяют его идентификатор. Если однозначную идентификацию выполнить не получается, покупателю будут заданы дополнительные вопросы для его окончательной идентификации (например, покупателя попросят ввести адрес его электронной почты)
- SRC выполняет поиск участников платформы, которые хранят сведения о всех зарегистрированных в SRC платежных инструментах (картах) идентифицированного покупателя. Такие участники SRC называются DCF (Digital Card Facilitator). В состав сведений о платежном инструменте входит информация об алиасе платежного инструмента, области его действия (в каких магазинах он может использоваться), а также инструкциях по выполнению процедуры аутентификации покупателя. Сегодня роль DCF выполняют сами платежные системы.
- ТСП получает из системы SRC список всех доступных покупателю для оплаты в данном ТСП платежных инструментов, отображает этот список покупателю, который выбирает один из них
- ТСП отправляет в систему SRC запрос, содержащий данные платежа и выбранного покупателем платежного инструмента
- Система SRC отправляет запрос DCF, представляющему выбранный пользователем платежный инструмент
- DCF отображает пользователю цифровую карту для выбранного платежного инструмента и в соответствии с инструкциями эмитента организует аутентификацию покупателя
- DCF отвечает системе SRC сообщением с результатом аутентификации покупателя, и система готовит данные для авторизационного запроса. Эти данные могут включать динамические данные транзакции, вычисленные с использованием криптографических алгоритмов
- Система SRC сообщает ТСП данные, необходимые для формирования авторизационного запроса, и ТСП инициирует процедуру авторизацию транзакции
- После получения ТСП ответа по результату авторизации, ТСП этот результат возвращает системе SRC, и система далее использует его в процедурах управления рисками при обработке будущих операций покупателя.
Очевидны преимущества внедрения системы SRC для покупателя:
- реализуется так желаемая им модель выполнения покупки «нажатием одной кнопки» (One click purchase): покупатель идентифицируется системой SRC по своему устройству и/или платежному приложению, ему дают возможность выбора карты, не нужно вводить реквизиты платежного инструмента и адреса доставки
- некоторые транзакции выполняются без аутентификации покупателя его банком с использованием процедур управления рисками, поддерживаемыми SRC
- обеспечивается универсальный способ совершения покупки и его аутентификации (одни и те же знакомые экраны, одни и те же действия)
- широкий выбор платежных инструментов (в будущем не только карты).
Для ТСП плюс от внедрения SRC в том, что за них комплексно и универсально решаются вопросы организации безопасных безналичных платежей. От магазина требуется всего лишь интегрировать в свой софт некоторое клиентское ПО системы SRC, обеспечивающее его интеграцию с SRC. Как пример, решения проблем магазина- использование токенизированных Card-on-File платежей, предлагаемых магазину платформой SRC. Также на стороне ТСП ожидается сокращение количества отказов покупателей от онлайновых покупок (abandonment rates) из-за недоверия покупателя к предлагаемому ему способу оплаты.
Очевидны преимущества SRC и для эмитентов карт. К ним относятся повышение безопасности операций (все операции токенизированы и выполняются на уровне безопасности EMV Chip, реквизиты карты вводятся на стороне ТСП только однажды при регистрации платежного инструмента), а также снижение abandonment rates.
Одним словом, платежные системы и их участники возлагают на внедрение SRC большие надежды, справедливо предполагая, что этот новый механизм удаленных платежей окажется максимально удобным для покупателя.
Хостинг
В первую очередь необходимо выбрать надежного хостинг-провайдера. Многие ведущие игроки рынка имеют специализированные предложения для интернет-магазинов. Важно чтобы ваш хостинг-провайдер поддерживал регулярное резервное копирование; вел всесторонние журналы действий; выполнял мониторинг сетевой активности. Также одним из важных факторов является система уведомлений об аномальных действиях на аккаунте, возможном заражении сайта и т. Техническая поддержка (обычно в рамках тарифа) должна уведомить о нарушении и снабдить хотя бы минимальными инструкциями (или ссылкой на базу знаний) о методах решения возникшей проблемы и содействовать в ее решении. Оптимальным решением будет использование VPS/VDS-хостинга.
CMS
По возможности используйте безопасную e-commerce платформу. Она должна поддерживать сложную систему аутентификации (2F, OTP и т. ), возможность ограничения административной зоны и т.
Сама CMS, ее плагины, модули и т. должны быть актуальных версий. Оптимальный вариант CMS — возможность автообновления (особенно это касается критичных уязвимостей). Немаловажным фактором должно стать нативное использование WAF/детектора аномалий/блокировщика атак из коробки, либо дополнительным модулем или плагином.
Дополнительным плюсом будет использование в CMS разного рода механизмов проверки и санитайзинга данных, фреймворков или библиотек типа HTML Purifier.
SSL/TLS
Используйте защищенное соединение — шифруйте канал связи между сайтом и браузером клиента для передачи информации. В наше время актуальным является использование TLS (Transport Layer Security — безопасность транспортного уровня), который по привычке многие до сих пор называют SSL (Secure Sockets Layer — уровень защищённых сокетов).
Важно использовать последние (актуальные) версии криптографических протоколов для надлежащей защиты данных.
Данные
Не храните критичные данные. Никаких CVV кодов, сейчас не начало нулевых. Более того, стандарт PCI DSS это прямо запрещает: такие элементы как CVV2 (Card Verification Value 2 — код проверки подлинности карты платёжной системы Visa) и CVC2 (аналогичный код платежной системы MasterCard) относятся к критичным аутентификационным данным, а значит не подлежат хранению.
Если что-то приходится хранить — минимизируйте объем хранимых данных и по возможности применяйте шифрование. Это касается, в основном, обработки ПДн общей категории — ФИО, адрес, заказ и т.
Парольная политика
Требуйте использование надежных паролей — цифро-буквенные комбинации различного регистра, использование спецсимволов, ограничение минимальной длины пароля. Таким образом и клиент будет более надежно защищен от действий злоумышленников. Зачастую вопрос юзабилити (конверсии, отказов) ставится во главу угла и позволяет пользователям использовать любые пароли — это является плохой практикой, необходимо использовать сложные комбинации для защиты пользовательских данных.
Парольная политика технического персонала (администраторы сайта) должна быть еще строже — помимо более суровых требований к генерации пароля необходимо проводить регламентные процедуры по смене паролей, например, раз в месяц.
После проведения подрядных работ необходимо удалять неиспользуемые учетные записи. Также необходимо менять пароли после увольнения ключевых сотрудников.
Антифрод
Использование системы предупреждений и оповещений о подозрительной активности — множество операций с одного IP, смена реквизитов доставки и множество других факторов, обычно узкоспециализированных в той или иной сфере онлайн торговли. Здесь же может применяться холд/проверка чистоты сделки и прочее.
Хорошей практикой будет использование 3-D Secure, MasterCard SecureCode, J/Secure и SafeKey. За рубежом зачастую иcпользуется система AVS (Address Verification System).
Защитные механизмы
Хорошим решением будет превентивное использование AntiDDoS, IDS, IPS и WAF механизмов для защиты от использования уязвимостей сетевой архитектуры, сервисов и приложений.
Эти системы способны выявить и предотвратить большинство детектируемых (сигнатурных) атак, но панацеей не являются. Необходим комплекс мер и аналитическая работа по анализу аномалий/детекту вредоносной активности.
Немаловажным фактом является грамотная и кастомизированная настройка этих систем.
PCI DSS
Следование требованиям стандарта PCI DSS и регламентные проверки.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS
Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.
Аудит безопасности
Интернет-магазин, как основной инструмент торговли, должен стабильно и бесперебойно работать. Обеспечить данные условия возможно только уделяя надлежащее внимание безопасности ресурса, а именно такой процедуре, как аудит безопасности сайта.
Регламентная процедура (например, раз в квартал) проведения аудита безопасности информационной системы позволяет оценить зрелость системы управления ИБ и выявить уязвимости для их оперативного устранения. Один из основных этапов — проведение внешнего Blackbox тестирования на проникновение.
Комплексный аудит безопасности сайта необходим для выполнения требований 6. 3, 6. 5, 6. 6, 11. 2 стандарта PCI DSS.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ) и требования к проведению аудита не такие жесткие, как в стандарте PCI DSS, но и в этом случае необходимо проводить работы по выявлению возможных уязвимостей e-commerce сайта.
Патч менеджмент
Необходимо поддерживать актуальность используемых компонентов информационной системы — как версии CMS и ее составляющих, так и всего остального — версии серверной ОС и модулей и т.
Важность обновлений и их своевременной установки очевидна для поддержания надлежащего уровня информационной безопасности.
Хорошей практикой будет тестирование обновлений в dev-среде, перед обновлением продакшена, некоторые обновления могут содержать или вносить ошибки, в том числе содержащие критичные уязвимости.
Резервное копирование
Важными параметрами являются схема резервного копирования и планирование. Необходимо проводить регулярное резервное копирование, как инкрементного, так и дифференциального типа. Периодически проверять актуальность и работоспособность текущих резервных копий, обеспечивать их надежное и безопасное хранение, вне контура резервируемого объекта.
Задачи ИБ в e-commerce
• Обеспечить финансовую стабильность
• Обеспечение безопасности корпоративных ресурсов (информационная инфраструктура, веб-ресурсы);
• Защита конечных устройств;
• Защита чувствительной информации и персональных данных;
• Соответствие требованиям регуляторов;
• Предотвращение утечек информации;
• Выявление внутренних злоупотреблений и нелояльных сотрудников.
Решения кибербезопасности для электронной коммерции
• Регулярные ИБ тренинги — для повышения осведомленности персонала в вопроссах информационной безопасности;
• Аудит информационной безопасности и инструменты сканирования сети для обнаружения и предотвращения эксплуатации уязвимостей, своевременного патчинга;
• Анализ безопасности кода
— для поиска потенциальных уязвимостей, ошибок и угроз безопасности приложений;
• Корректная сегментация сети — для лучшего контроля сетевого трафика и повышения эффективности систем кибербезопасности;
• Системы защиты от DDoS-атак — идентификации и фильтрации «плохого» трафик до того, как он достигнет вашего ресурса. Позволяют следить за поведением посетителей и блокировать нелегитимную активность. Использование защиты от DDoS-атак позволяет сократить время простоя ресурсов и минимизировать бизнес-риски;
• NTA (Network Traffic Analysis) — для обнаружение аномалий в трафике и выявление кибератак на ранних этапах;
• Межсетевые экраны и системы обнаружения и предотвращения вторжений (IDS/IPS) — для защита периметра сети, блокировка несанкционированного доступа и обнаружения потенциально вредоносного трафика;
• WAF (Web Application Firewall) — для защиты веб-ресурсов с помощью межсетевых экранов приложений от таких атак, как межсайтовая подделка запроса (CSRF), межсайтовый скриптинг (XSS), SQL-инъекция и других угроз;
• Защита конечных точек для снижения риска заражения программами и вирусами, шифрования информации, соблюдения соответствия политикам и регламентам ИБ;
• VPN
— для организацию безопасного удаленного доступа к сети и создания зашифрованного канала связи с помощью;
• DLP системы — для предотвращения утечки конфиденциальных материалов, а именно анализа и блокировки данных, передаваемых с помощью электронной почты, мессенджеров, интернет-ресурсов и других источников;
•
Системы управления доступом (IDM, PIM)
— для контроля жизненного цикла учетных записей и разграничения прав доступа к сегментам сети;
• Решения для управления сетевым доступом (NAC) — для инвентаризации устройств, обеспечения видимости и контроля подключений к корпоративной сети;
• Системы классификации данных — для повышения безопасности конфиденциальной информации путем классификации, определения пользователей, взаимодействовавших с документами, упрощения доступа, поиска и отслеживания данных, а также устранения дублирований;
• SIEM системы — для централизованного мониторинга информационной безопасности, сбора и анализа данных от инструментов кибербезопасности.
Требования регуляторов для предприятий электронной коммерции
• 152-ФЗ: «О защите персональных данных»,
• GDPR (персональные данные). • PCI DSS. Законы требуют от компаний принятия на себя обязательств по обеспечению безопасности данных клиентов. Любая компания, управляющая транзакциями по кредитным картам, должна соответствовать требованиям PCI-DSS, касающимся защиты данных о держателях карт
Защищенные протоколы обмена Данными
в Интернет
В отличие от локальных
сетей, сеть Интернет является так называемой
«открытой» системой. Основана на открытых
стандартах, и фирмы используют ее для
продвижения продукции на мировой рынок. Под открытыми системами понимают совокупность
всевозможного вычислительного и телекоммуникационного
оборудования разного производства, совместное
функционирование которого обеспечивается
соответствием требованиям стандартов,
прежде всего международных. Термин «открытые»
подразумевает также, что если вычислительная
система соответствует стандартам, то
она будет открыта для взаимосвязи с любой
другой системой, соответствующей тем
же стандартам. Это, в частности, относится
и к криптографической защите информации
или к защите от несанкционированного
доступа к информации.
Протокол SSL
Протокол SSL предназначен для
решения традиционных задач обеспечения
защиты информационного взаимодействия,
которые в среде «клиент-сервер»
интерпретируются следующим образом:
• при подключении пользователь
и сервер должны быть взаимно уверены,
что они обмениваются информацией не с
подставными абонентами, не ограничиваясь
паролевой защитой;
• после установления соединения
между сервером и клиентом весь информационный
поток должен быть защищен от несанкционированного
доступа;
Шифрование и электронно-цифровая подпись.
При помощи процедуры шифрования отправитель сообщения преобразует его из простого
сообщения в набор символов, не поддающийся прочтению без применения специального
ключа, известного получателю. Получатель сообщения, используя ключ, преобразует
переданный ему набор символов обратно в текст. Обычно алгоритмы шифрования
известны и не являются секретом. Конфиденциальность передачи и хранения зашифрованной
информации обеспечивается за счет конфиденциальности ключа. Степень защищенности
зависит от алгоритма шифрования и от длины ключа, измеряемой в битах. Чем длиннее
ключ, тем лучше защита, но тем больше вычислений надо провести для шифрования
и дешифрования данных. Основные виды алгоритмов шифрования – симметричные и
асимметричные. Симметричные методы шифрования удобны тем, что для обеспечения
высокого уровня безопасности передачи данных не требуется создания ключей большой
длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же
ключом, что делает невозможным аутентификацию отправителя. Кроме того, для
начала работы с применением симметричного алгоритма сторонам необходимо безопасно
обменяться секретным ключом, что легко сделать при личной встрече, но весьма
затруднительно при необходимости передать ключ через какие-либо средства связи. Схема работы с применением симметричного алгоритма шифрования состоит из следующих
этапов. Стороны устанавливают на своих компьютерах программное обеспечение,
обеспечивающее шифрование и расшифровку данных и первичную генерацию секретных
ключей.
Генерируется секретный ключ и распространяется между участниками информационного
обмена. Иногда генерируется список одноразовых ключей. В этом случае для каждого
сеанса передачи информации используется уникальный ключ. При этом в начале
каждого сеанса отправитель извещает получателя о порядковом номере ключа, который
он применил в данном сообщении. Отправитель шифрует информацию при помощи установленного
программного обеспечения, реализующего симметричный алгоритм шифрования, зашифрованная
информация передается получателю по каналам связи. Получатель дешифрует информацию,
используя тот же ключ, что и отправитель. Приведем обзор некоторых алгоритмов
симметричного шифрования.
DES (Data Encryption Standard). Разработан фирмой IBM и широко используется
с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем
длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного
перебора всех возможных значений ключа.
Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования
алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому,
чем DES. Rijndael. Алгоритм разработан в Бельгии. Работает с ключами
длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов
по криптографии. Skipjack. Алгоритм создан и используется Агентством национальной
безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации
производится циклически (32 цикла). IDEA. Алгоритм запатентован в США
и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует
циклическую обработку информации (8 циклов) путем применения к ней ряда математических
операций. RC4. Алгоритм специально разработан для быстрого шифрования больших
объемов информации. Он использует ключ переменной длины (в зависимости от необходимой
степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.
Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной
подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но
и для проверки его целостности. При использовании ЭЦП для аутентификации отправителя
сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую
в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования,
а открытый — для дешифрования.
Алгоритм применения ЭЦП состоит из ряда операций. Генерируется пара ключей
— открытый и закрытый. Открытый ключ передается заинтересованной стороне (получателю
документов, подписанных стороной, сгенерировавшей ключи). Отправитель сообщения
шифрует его своим закрытым ключом и передает получателю по каналам связи. Получатель
дешифрует сообщение открытым ключом отправителя.
По материалам отечественной прессы.
Рассмотрим некоторые
термины и определения.
Понятие «безопасность»
в русском языке трактуется как состояние,
при котором отсутствует опасность, есть
защита от нее.
В этом смысле оно
характеризует определенное состояние
какой-либо системы (социальной, технической
или любой другой), процесса или явления.
Таким образом
«безопасность»
— это состояние, при котором отсутствует
возможность причинения ущерба потребностям
и интересам субъектов отношений.
«Угроза»
согласно толковому словарю русского
языка определяется как непосредственная
опасность. Опасность носит общий,
потенциальный характер, но так как
противоречия между субъектами отношений
возникают постоянно, то и опасность
интересам может существовать постоянно.
Одним из принятых
определений является следующее:
Угроза безопасности
– это совокупность условий и факторов,
создающих опасность жизненно важным
интересам, то есть угроза представляется
некой совокупностью обстоятельств
(условий) и причин (факторов). С юридической
точки зрения, понятие «угроза»
определяется как намерение нанести зло
(ущерб).
Таким образом,
угрозу безопасности можно обозначить
как «деятельность, которая рассматривается
в качестве враждебной по отношению к
интересам».
При всем многообразии
видов угроз все они взаимосвязаны и
воздействуют на интересы, как правило,
комплексно. Поэтому для их ослабления,
нейтрализации и парирования создается
система обеспечения безопасности.
Обеспечение
безопасности
– это особым образом организованная
деятельность, направленная на сохранение
внутренней устойчивости объекта, его
способности
противостоять разрушительному,
агрессивному воздействию различных
факторов, а также на активное противодействие
существующим видам угроз.
Система безопасности
предназначена для выявления угроз
интересам, поддержания в готовности
сил и средств обеспечения безопасности,
и управления ими, организации нормального
функционирования объектов безопасности.
Применительно к
электронной коммерции определение
безопасности можно сформулировать так.
Безопасность
электронной коммерции
– это состояние защищенности интересов
субъектов отношений, совершающих
коммерческие операции (сделки) с помощью
технологий электронной коммерции, от
угроз материальных и иных потерь.
Обеспечение
безопасности независимо от форм
собственности необходимо для любых
предприятий и учреждений, начиная от
государственных организаций и заканчивая
маленькой палаткой, занимающейся
розничной торговлей.
Различия будут
состоять лишь в том, какие средства и
методы и в каком объеме требуются для
обеспечения их безопасности.
Рыночные отношения
с их неотъемлемой частью – конкуренцией
основаны на принципе «выживания» и
поэтому обязательно требуют обеспечения
защиты от угроз.
По сложившейся
международной практике безопасности
объектами защиты с учетом их приоритетов
являются:
— материальные
ценности.
Опираясь на понятие
безопасности и перечисленные выше
объекты защиты, можно сказать, что
понятие «безопасность» любого предприятия
или организации включает в себя следующие
составляющие:
— Физическую
безопасность,
под которой понимается обеспечение
защиты от посягательств на жизнь и
личные интересы сотрудников.
— Экономическую
безопасность,
под которой понимается защита экономических
интересов субъектов отношений. В рамках
экономической безопасности также
рассматриваются вопросы обеспечения
защиты материальных ценностей от пожара,
стихийных бедствий, краж и других
посягательств.
— Информационную
безопасность,
под которой понимается защита информации
от модификации (искажения, уничтожения)
и несанкционированного использования.
Повседневная
практика показывает, что к основным
угрозам
физической безопасности
относят:
— психологический
террор, запугивание, вымогательство,
шантаж;
— грабеж с целью
завладения материальными ценностями
или документами;
— похищение
сотрудников фирмы или членов их семей;
— убийство сотрудника
фирмы.
В настоящее время
ни один человек не может чувствовать
себя в безопасности. Не затрагивая
специфических вопросов обеспечения
физической безопасности, можно сказать,
что для совершения преступления
преступники предварительно собирают
информацию о жертве, изучают ее «слабые
места». Без необходимой информации об
объекте нападения степень риска для
преступников значительно увеличивается. Поэтому одним из главных принципов
обеспечения физической безопасности
является сокрытие любой информации о
сотрудниках фирмы, которой преступники
могут воспользоваться для подготовки
преступления.
В общем случае
можно сформулировать следующие виды
угроз
экономической безопасности:
— утрата средств
по операциям с фальшивыми документами;
— подрыв доверия
к фирме.
Практика показывает,
что наличие этих угроз обусловлено в
первую очередь следующими основными
причинами:
— утечкой, уничтожением
или модификацией (например, искажением)
коммерческой информации;
— отсутствием
полной и объективной информации о
сотрудниках, партнерах и клиентах фирмы;
— распространением
конкурентами необъективной, компрометирующей
фирму информацией.
Обеспечение
информационной
безопасности
является одним из ключевых моментов
обеспечения безопасности фирмы. Как
считают западные специалисты, утечка
20% коммерческой информации в 60-ти случаях
из ста приводит к банкротству фирмы.
Поэтому физическая,
экономическая и информационная
безопасности очень тесно взаимосвязаны.
Основной объект
информационной безопасности –
коммерческая
информация
– имеет разные формы представления,
может быть:
— информацией,
переданной устно;
— документированной
информацией, зафиксированной на различных
носителях (бумаге, дискете и т
— информацией,
передаваемой по различным линиям связи
или компьютерным сетям.
Злоумышленниками
в информационной сфере используются
различные методы добывания информации. Сюда входят:
— классические
методы шпионажа (шантаж, подкуп и т
— методы промышленного
шпионажа;
— несанкционированное
использование средств вычислительной
техники;
— аналитические
методы.
Поэтому спектр
угроз информационной безопасности
чрезвычайно широк.
Новую область для
промышленного шпионажа и различных
других правонарушений открывает широкое
использование средств вычислительной
техники и технологий электронной
коммерции.
С помощью технических
средств промышленного шпионажа не
только различными
способами подслушивают и подсматривают
за действиями конкурентов, но и получают
информацию, непосредственно обрабатываемую
в средствах вычислительной техники. Это породило новый вид преступлений —
компьютерные преступления, то есть
несанкционированный доступ к информации,
обрабатываемой в ЭВМ, в том числе и с
помощью технологий электронной коммерции.
Противостоять
компьютерной преступности сложно, что
главным образом объясняется:
— новизной и
сложностью проблемы;
— сложностью
своевременного выявления компьютерного
преступления и идентификации
злоумышленника;
— возможностью
выполнения преступления с использованием
средств удаленного доступа, то есть
злоумышленника может вообще не быть на
месте преступления;
— трудностями сбора
и юридического оформления доказательств
компьютерного преступления.
Обобщая вышеприведенные
виды угроз безопасности можно выделить
три составляющие проблемы обеспечения
безопасности:
1) правовая защита;
3) инженерно-техническая
защита.
Смысл правового
обеспечения защиты
вытекает из самого названия.
Организационная
защита
включает в себя организацию охраны и
режима работы объекта.
Под инженерно-технической
защитой
понимается совокупность инженерных,
программных и других средств, направленных
на исключение угроз безопасности.