Защита систем электронной коммерции
В статье рассмотрена защита систем электронной коммерции, основные уязвимости, угрозы и методы защиты.
Ключевые слова
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ, КРИПТОГРАФИЯ, ЭЛЕКТРОННАЯ ТОРГОВЛЯ
Текст научной работы
Проблем и вопросов в российском секторе электронной коммерции пока что больше, чем ответов и готовых схем и решений, работающих на практике. Можно сказать, что электронная коммерция в России описывается и выявляется через свою проблематичность, тогда как на Западе, в частности в США, описание идет в контексте опыта и достижений. Система электронной торговли – это комплексная информационно-расчетная система, основанная на технологиях информационной безопасности и сертифицированных организационных, программных и технических решениях, которые обеспечивают взаимодействие участников электронных сделок на всех этапах торгово-закупочной и другой коммерческой деятельности. Электронная торговля – это торговля через сеть помощи компьютеров покупателя и продавца товара, предметом электронной торговли может быть услуга, недвижимость, банковский продукт и т. Электронная торговля создает новую форму организации торговых предприятий – виртуальные магазины – и постоянно под воздействием конкуренции предлагает новые товары и услуги для реализации в виртуальном магазине. Электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания. Кроме информационных атак и угроз, в электронной коммерции существуют еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами в экономической деятельности фирмы в целом. Поэтому для решения задачи построения комплексной системы защиты необходим целый комплекс организационных, законодательных, физических и технических мер. Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает, появляются новые неучтенные угрозы и уязвимости системы. Адаптивная безопасность сети позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Она состоит из трех основных элементов — технологии анализа защищенности, технологии обнаружения атак и технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, наращивая число проверок и исследуя все ее уровни. Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы e-Commerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных. К примеру, заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ — возможна подмена страницы Web-сервера электронного магазина. Основной способ реализации — переадресация запросов пользователя на другой сервер. Особенно опасно если клиент в режиме on-line оплачивает заказ — особую опасность представляет собой перехват информации о кредитной карте заказчика. На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри». Для каждого уровня, имеющегося у любой информационной системы, необходима своя защита. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Уровень сети – уровень, отвечающий за взаимодействие узлов информационной системы. Эти уровни важны особенно. Очень опасно если злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Необходимы средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа «отказ в обслуживании», а также атаки на операционную систему. В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС — встроенные средства разграничения доступа. Уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Система защиты должна эффективно работать на всех уровнях, иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности: эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т. и удаленных на значительные расстояния. Технологией, обеспечивающей безопасность электронной торговли, является криптография. Криптография – это наука о методах, алгоритмах, программных и аппаратных средствах преобразования информации в целях сокрытия ее содержания, предотвращения видоизменения или несанкционированного использования. Современные криптографические алгоритмы в совокупности с мощными персональными компьютерами позволяют реализовать надежные методы шифрования, аутентификации и проверки целостности информации. Шифрование или кодирование информации с целью ее защиты от несанкционированного прочтения является главной задачей криптографии. Шифрование обеспечивает конфиденциальность информации, используется в электронной коммерции для сохранения в тайне содержание передаваемого сообщения. В основе шифрования лежат два понятия: алгоритм и ключ. Криптографический алгоритм – это математическая процедура, с помощью которой открытый текст превращается в зашифрованный. Сам криптографический алгоритм не является тайным и известен всем участникам процесса, тайным является некий параметр алгоритма, называемый ключом. Проблему аутентификации позволяет решить криптография с открытым ключом – асимметричное шифрование. В этом случае используют пары ключей: открытый и личный. Открытый распространяется среди всех корреспондентов, личный известен только владельцу. Послания, зашифрованные любым из ключей, могут быть расшифрованы только другим ключом из этой же пары. В основе практически всех шифровальных систем лежат два криптографических алгоритма: DES (Data Encryption Standard), разработанный IBM еще вначале 70-х годов прошлого века, и являющийся мировым стандартом для шифрования с закрытым ключом и RSA (названный по фамилиям авторов — Rivest, Shamur, Adleman), представленный в конце 70-х, ставший стандартом для шифрования с открытом ключом, особенно популярным в банковских технологиях. Электронная цифровая подпись — набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа. Таким образом, ЭЦП является аналогом собственноручной подписи физического лица, представленным как последовательность символов, полученная в результате криптографического преобразования электронных данных с использованием закрытого ключа ЭЦП, позволяющая пользователю открытого ключа установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП. Несомненно, у электронной торговли в России есть будущее. Более того, у современного бизнеса без активного использования Интернет будущего просто нет.
- Нормативно-правовое регулирование вопросов оценки качества предоставляемых государственных (муниципальных) услуг в РоссииКрестьянникова М.Ю.NovaInfo 60, с.235-240, 22 февраля 2017, Экономические науки,
- Крестьянникова М.Ю.
- Совершенствование формирования фонда капитального ремонта в многоквартирных домахМиронкина А.Ю.NovaInfo 60, с.230-235, 21 февраля 2017, Экономические науки,
- Миронкина А.Ю.
- Организация риск-менеджмента на предприятииПетрова А.Н.NovaInfo 60, с.197-203, 21 февраля 2017, Экономические науки,
- Петрова А.Н.
- Современный рынок Интернет-торговли (на примере сегмента автомобильных товаров)Маилян А.А.NovaInfo 48, с.182-187, 30 июня 2016, Экономические науки,
- Маилян А.А.
- Сущность электронной коммерции и особенности ее развития в РоссииБадртдинова И.И.NovaInfo 46, с.216-223, 31 мая 2016, Экономические науки,
- Бадртдинова И.И.
Список литературы
В 1982 году французская система Minitel была представлена France Télécom по всей стране и использовалась для онлайн-заказов.
В 1995 году Джефф Безос запускает Amazon. com и начинают вещание первые 24-часовые радиостанции без рекламы, Radio HK и NetRadio. В том же году программистом Пьером Омидьяром создан eBay (как AuctionWeb). Спустя 4 года в Китае была основана Alibaba Group. Business. com был продан eCompanies за 7,5 млн долларов США, который был приобретен в 1997 году за 149 тыс. долларов США. Запускается одноранговая программа для обмена файлами Napster. ATG Stores открыла продажу декоративных предметов для дома в Интернете. В декабре 2001 году Alibaba. com достигла прибыльности.
В 2003 году Amazon. com публикует первую годовую прибыль.
В 2007 году Business. com приобретен R. Donnelley за 345 миллионов долларов.
Постепенно доступ через мобильные устройства начал приобретать всё большую роль в электронной коммерции и составляет более 25 % рынка. Многие компании вложили значительные инвестиции в мобильные приложения.
Виды электронной коммерцииПравить
Некоторые ритейлеры называют свои магазины «оптовыми торговыми точками», предлагая «оптовые цены». Хотя в строгом юридическом смысле магазин, который продает основную часть своих товаров конечным потребителям, считается розничным, а не оптовым. Различные юрисдикции устанавливают параметры соотношения потребительских и коммерческих продаж, которые определяют розничный бизнес.
Схема С2С или потребитель-потребительПравить
Этот раздел имеет чрезмерный объём или содержит маловажные подробности неэнциклопедичного характера. Если вы не согласны с этим, пожалуйста, покажите в тексте существенность излагаемого материала. В противном случае раздел может быть удалён. Подробности могут быть на странице обсуждения.
Для организацийПравить
- Глобальный масштаб
- Сокращение издержек
- Улучшение цепочек поставок
- Бизнес всегда открыт (24/7/365)
- Персонализация
- Быстрый вывод товара на рынок
- Низкая стоимость распространения цифровых продуктов
Для потребителейПравить
- Повсеместность
- Анонимность
- Большой выбор товаров и услуг
- Персонализация
- Более дешевые продукты и услуги
- Оперативная доставка
- Электронная социализация
Для обществаПравить
- Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание)
- Повышение уровня жизни
- Повышение национальной безопасности
- Уменьшение «цифрового» разрыва
- Онлайн-продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды
Недостатки электронной коммерцииПравить
- Возможные сомнения сторон по поводу принадлежности того или иного проекта к компании (негативная анонимность)
- Некоторая сложность в ведении и узаконивании деятельности предприятия в интернете
- Невозможность «потрогать» товар руками
- Ожидание доставки приобретенной продукции
- Возможные трудности и расходы при возврате товара
- Дополнительная стоимость за доставку товара
- Необходимость предоставления личных данных
- Привлекательная платформа для мошенничества (снижение уровня сетевой безопасности)
- Вытеснение с рынка коммерческих офлайн-предприятий
Для государстваПравить
Электронная коммерция стала неотъемлемой частью современной экономики. Все больше потребителей приобретают товары посредством сети Интернет, а коммерческие организации так или иначе используют возможности данной сети при осуществлении предпринимательской деятельности. Общий мировой объём продаж в одном только потребительском сегменте электронной коммерции превысил отметку в 1 трлн долл. ещё в 2012 г. и характеризуется устойчивым ростом.
Рынок электронной коммерции в Европе достиг 312 млрд евро в 2012 г.
Электронная коммерция в РоссииПравить
Электронная коммерция позволяет клиентам преодолевать географические барьеры и позволяет им покупать товары в любое время и в любом месте. Онлайн и традиционные рынки имеют разные стратегии ведения бизнеса. Традиционные ритейлеры предлагают меньше ассортимента товаров из-за ограниченного места на полках. Онлайн-ритейлеры зачастую не проводят инвентаризацию, а отправляют заказы клиентов непосредственно производителю.
Безопасность является основной проблемой электронной коммерции в развитых и развивающихся странах. Безопасность электронной коммерции защищает сайты и клиентов от несанкционированного доступа, использования данных. Тип угроз включает в себя: вредоносные коды, нежелательные программы (рекламное ПО, шпионские программы), фишинг, взлом и кибервандализм. Традиционные магазины также используют возможности онлайн-пространства для сохранения данных о покупателях, внедряют программы лояльности и переводят клиентов в онлайн пространство для оповещения об акциях, скидках и донесения рекламной информации с целью эффективного взаимодействия за пределами офлайн-магазина, удержания клиентов и увеличения продаж.
Влияние на рынок трудаПравить
С одной стороны, электронная коммерция помогает создавать новые рабочие места благодаря информационным службам, необходимым программным разработкам и цифровым продуктам. С другой стороны, появление онлайн магазинов также приводит к сокращению рабочих мест. Области с наибольшей прогнозируемой потерей работы — это торговые площадки, почтовые и туристические агентства.
Государственное регулирование электронной коммерцииПравить
Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Начиная с 2000-х годов киберугрозы стали актуальны для всех, начиная от крупнейших государственных информационных систем до компьютеров рядовых граждан. Киберугроза – это незаконное проникновение или угроза вредоносного проникновения в виртуальное пространство для достижения политических, социальных или иных, целей.
Кибервойны между странами
Крупнейшие киберконфликты разворачиваются между государствами, обладающими наибольшими вычислительными и интеллектуальными ресурсами для ведения кибервойн. Информация о соглашениях об электронном ненападении, а также о противоборстве в виртуальном пространстве между странами, выделена в отдельную статью:
Россия вынуждена предпринимать меры сдерживания других стран в сфере киберпространства и таким образом оказывается вовлеченной в кибервойны. Ключевым оппонентом в данной сфере традиционно выступают США:
Киберпреступность и потери организаций
Киберпреступность стала крупнейшим в мире направлением в криминальном мире. Хроника событий в статье:
Кибермошенники ежегодно наносят гигантский экономический ущерб отдельным организациям и целым странам:
Банки являются крупнейшими целями киберпреступников. Информация о потерях финансовых учреждений вынесена в отдельную статью:
Часто финансовый ущерб организациям наносят не преступники, а собственные сотрудники, которые воруют, удаляют данные или теряют носители информации за пределами контура организации:
Отраслевая специфика
Для предотвращения потерь, связанных с киберпреступностью, государства и компании закупают оборудование, ПО и услуги для защиты информации.
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Оборудование для защиты информации (мировой рынок)
- Оборудование для защиты информации (рынок России)
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- ПО для защиты информации (рынок Японии)
- DLP-решения (мировой рынок)
- DLP-решения (рынок России)
- Средства защиты информации от несанкционированного доступа (СЗИ от НСД)
- Системы идентификации и управления доступом к информационным ресурсам предприятия — IDM (мировой рынок)
Угрозы информационной безопасности
Анализ потенциальных киберугроз для организации является услугой, которую можно купить на рынке:
Действия, несущие угрозу для информационных систем, можно разделить на две основные категории: внутренние (умышленные и неумышленные действия сотрудников) и внешние (сетевые кибератаки, кража носителей информации).
Внутренние угрозы
Внутренние угрозы связаны прежде всего с утечками данных:
Чаще всего к утечкам приводят следующие действия, осуществляемые авторизованными пользователями (сотрудниками, инсайдерами):
- целенаправленная кража, замена на заведомо ложные или уничтожение данных на рабочей станции или сервере;
- повреждение данных пользователем, вызванное неосторожными или халатными действиями;
- утеря носителей информации за периметром организации.
Внешние угрозы
Электронные методы воздействия, осуществляемые хакерами:
- несанкционированное проникновение в компьютерные сети;
- DoS- и DDoS-атаки;
Естественные угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные и другие обстоятельства.
Физические способы обеспечения информационной безопасности
Физические меры защиты — это разного рода механические, электро- и электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы и охраняемой информации. В перечень физических способов защиты информации входят:
- организация пропускного режима;
- организация учёта, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
- распределение реквизитов разграничения доступа;
- организация скрытого контроля за деятельностью пользователей и обслуживающего персонала информационной системы;
- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях аппаратного и программного обеспечения.
Когда физические и технические способы недоступны, применяются административные меры обеспечния информационной безопасности. Опыт функционирования организаций со сложной организацией информационной системы показал, что наилучшие результаты в достижении информационной безопасности достигаются при использовании системного подхода.
Правила безопасности
Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо (2014 г.
Заслон от вирусов и спама
Заслон для вирусов и спама. Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. На август 2014 года ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в 2013 году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.
Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус, регулярно обновлять его.
Компьютер для ДБО использовать только для ДБО
Компьютер, на котором установлено ДБО, необходимо отключить от локальных сетей. Выходить в интернет с него, кроме как для связи с банком, нельзя.
Не пользоваться соцсетями и открытым Wi-Fi с рабочих компьютеров
Часто руководители СМБ сами дают карты в руки мошенникам, держа ключи от ДБО и электронной подписи в доступном месте.
«Более того, некоторые нерадивые сотрудники компании вообще не вынимают usb-флэшку с ключом от ДБО из компьютера. В случае, если хакер получит контроль над компьютером, это приведет к краже всех секретных ключей и использованию системы ДБО мошенником от имени организации», – предупреждает Олег Илюхин, директор департамента информационных технологий «СДМ-Банка».
Эти сведения необходимо хранить в сейфе или другом надежном месте, доступ посторонних к ним должен быть запрещен.
Корпоративные данные должны храниться на удаленном сервере
Коммерческие и персональные данные лучше всего доверить облачным сервисам. Это безопаснее, чем в папке на столе или компьютере, на флешке или съемном диске. Данные в дата-центрах хранятся в зашифрованном виде, и добраться до них можно только с помощью электронных ключей и цифровой подписи.
Разграничить доступ к данным между сотрудниками
Важно также предупредить и внутренние угрозы – умышленные или случайные нарушения политики информационной безопасности сотрудниками компании. Эти риски можно минимизировать, установив доступ к корпоративной информации в зависимости от уровня полномочий сотрудников. Например, менеджер по продажам располагает сведениями только о своих клиентах, а полная база и вся история продаж будет доступна только начальнику отдела продаж. Главный бухгалтер должен иметь доступ только к бухгалтерской отчетности, а управленческая отчетность будет доступна только гендиректору. Конечно, в маленькой компании добиться полного обособления функций сложно, но попытаться разграничить потоки информации между сотрудниками все-таки необходимо. Все это также снизит вероятность утечки данных.