Атаки на электронную коммерцию в России выросли в 11 раз

Защита систем электронной коммерции

В статье рассмотрена защита систем электронной коммерции, основные уязвимости, угрозы и методы защиты.

Ключевые слова

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ, КРИПТОГРАФИЯ, ЭЛЕКТРОННАЯ ТОРГОВЛЯ

Текст научной работы

Проблем и вопросов в российском секторе электронной коммерции пока что больше, чем ответов и готовых схем и решений, работающих на практике. Можно сказать, что электронная коммерция в России описывается и выявляется через свою проблематичность, тогда как на Западе, в частности в США, описание идет в контексте опыта и достижений. Система электронной торговли – это комплексная информационно-расчетная система, основанная на технологиях информационной безопасности и сертифицированных организационных, программных и технических решениях, которые обеспечивают взаимодействие участников электронных сделок на всех этапах торгово-закупочной и другой коммерческой деятельности. Электронная торговля – это торговля через сеть помощи компьютеров покупателя и продавца товара, предметом электронной торговли может быть услуга, недвижимость, банковский продукт и т. Электронная торговля создает новую форму организации торговых предприятий – виртуальные магазины – и постоянно под воздействием конкуренции предлагает новые товары и услуги для реализации в виртуальном магазине. Электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания. Кроме информационных атак и угроз, в электронной коммерции существуют еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами в экономической деятельности фирмы в целом. Поэтому для решения задачи построения комплексной системы защиты необходим целый комплекс организационных, законодательных, физических и технических мер. Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает, появляются новые неучтенные угрозы и уязвимости системы. Адаптивная безопасность сети позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Она состоит из трех основных элементов — технологии анализа защищенности, технологии обнаружения атак и технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, наращивая число проверок и исследуя все ее уровни. Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы e-Commerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных. К примеру, заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ — возможна подмена страницы Web-сервера электронного магазина. Основной способ реализации — переадресация запросов пользователя на другой сервер. Особенно опасно если клиент в режиме on-line оплачивает заказ — особую опасность представляет собой перехват информации о кредитной карте заказчика. На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри». Для каждого уровня, имеющегося у любой информационной системы, необходима своя защита. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Уровень сети – уровень, отвечающий за взаимодействие узлов информационной системы. Эти уровни важны особенно. Очень опасно если злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Необходимы средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа «отказ в обслуживании», а также атаки на операционную систему. В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС — встроенные средства разграничения доступа. Уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Система защиты должна эффективно работать на всех уровнях, иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности: эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т. и удаленных на значительные расстояния. Технологией, обеспечивающей безопасность электронной торговли, является криптография. Криптография – это наука о методах, алгоритмах, программных и аппаратных средствах преобразования информации в целях сокрытия ее содержания, предотвращения видоизменения или несанкционированного использования. Современные криптографические алгоритмы в совокупности с мощными персональными компьютерами позволяют реализовать надежные методы шифрования, аутентификации и проверки целостности информации. Шифрование или кодирование информации с целью ее защиты от несанкционированного прочтения является главной задачей криптографии. Шифрование обеспечивает конфиденциальность информации, используется в электронной коммерции для сохранения в тайне содержание передаваемого сообщения. В основе шифрования лежат два понятия: алгоритм и ключ. Криптографический алгоритм – это математическая процедура, с помощью которой открытый текст превращается в зашифрованный. Сам криптографический алгоритм не является тайным и известен всем участникам процесса, тайным является некий параметр алгоритма, называемый ключом. Проблему аутентификации позволяет решить криптография с открытым ключом – асимметричное шифрование. В этом случае используют пары ключей: открытый и личный. Открытый распространяется среди всех корреспондентов, личный известен только владельцу. Послания, зашифрованные любым из ключей, могут быть расшифрованы только другим ключом из этой же пары. В основе практически всех шифровальных систем лежат два криптографических алгоритма: DES (Data Encryption Standard), разработанный IBM еще вначале 70-х годов прошлого века, и являющийся мировым стандартом для шифрования с закрытым ключом и RSA (названный по фамилиям авторов — Rivest, Shamur, Adleman), представленный в конце 70-х, ставший стандартом для шифрования с открытом ключом, особенно популярным в банковских технологиях. Электронная цифровая подпись — набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа. Таким образом, ЭЦП является аналогом собственноручной подписи физического лица, представленным как последовательность символов, полученная в результате криптографического преобразования электронных данных с использованием закрытого ключа ЭЦП, позволяющая пользователю открытого ключа установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП. Несомненно, у электронной торговли в России есть будущее. Более того, у современного бизнеса без активного использования Интернет будущего просто нет.

• Нормативно-правовое регулирование вопросов оценки качества предоставляемых государственных (муниципальных) услуг в РоссииКрестьянникова М.Ю.NovaInfo 60, с.235-240, 22 февраля 2017, Экономические науки,
• Крестьянникова М.Ю.
• Совершенствование формирования фонда капитального ремонта в многоквартирных домахМиронкина А.Ю.NovaInfo 60, с.230-235, 21 февраля 2017, Экономические науки,
• Миронкина А.Ю.
• Организация риск-менеджмента на предприятииПетрова А.Н.NovaInfo 60, с.197-203, 21 февраля 2017, Экономические науки,
• Петрова А.Н.
• Современный рынок Интернет-торговли (на примере сегмента автомобильных товаров)Маилян А.А.NovaInfo 48, с.182-187, 30 июня 2016, Экономические науки,
• Маилян А.А.
• Сущность электронной коммерции и особенности ее развития в РоссииБадртдинова И.И.NovaInfo 46, с.216-223, 31 мая 2016, Экономические науки,
• Бадртдинова И.И.

Список литературы

В 1982 году французская система Minitel была представлена France Télécom по всей стране и использовалась для онлайн-заказов.

В 1995 году Джефф Безос запускает Amazon. com и начинают вещание первые 24-часовые радиостанции без рекламы, Radio HK и NetRadio. В том же году программистом Пьером Омидьяром создан eBay (как AuctionWeb). Спустя 4 года в Китае была основана Alibaba Group. Business. com был продан eCompanies за 7,5 млн долларов США, который был приобретен в 1997 году за 149 тыс. долларов США. Запускается одноранговая программа для обмена файлами Napster. ATG Stores открыла продажу декоративных предметов для дома в Интернете. В декабре 2001 году Alibaba. com достигла прибыльности.

В 2003 году Amazon. com публикует первую годовую прибыль.

В 2007 году Business. com приобретен R. Donnelley за 345 миллионов долларов.

Постепенно доступ через мобильные устройства начал приобретать всё большую роль в электронной коммерции и составляет более 25 % рынка. Многие компании вложили значительные инвестиции в мобильные приложения.

Виды электронной коммерцииПравить

Некоторые ритейлеры называют свои магазины «оптовыми торговыми точками», предлагая «оптовые цены». Хотя в строгом юридическом смысле магазин, который продает основную часть своих товаров конечным потребителям, считается розничным, а не оптовым. Различные юрисдикции устанавливают параметры соотношения потребительских и коммерческих продаж, которые определяют розничный бизнес.

Схема С2С или потребитель-потребительПравить

Этот раздел имеет чрезмерный объём или содержит маловажные подробности неэнциклопедичного характера. Если вы не согласны с этим, пожалуйста, покажите в тексте существенность излагаемого материала. В противном случае раздел может быть удалён. Подробности могут быть на странице обсуждения.

Для организацийПравить

• Глобальный масштаб
• Сокращение издержек
• Улучшение цепочек поставок
• Бизнес всегда открыт (24/7/365)
• Персонализация
• Быстрый вывод товара на рынок
• Низкая стоимость распространения цифровых продуктов

Для потребителейПравить

• Повсеместность
• Анонимность
• Большой выбор товаров и услуг
• Персонализация
• Более дешевые продукты и услуги
• Оперативная доставка
• Электронная социализация

Для обществаПравить

• Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание)
• Повышение уровня жизни
• Повышение национальной безопасности
• Уменьшение «цифрового» разрыва
• Онлайн-продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды

Недостатки электронной коммерцииПравить

• Возможные сомнения сторон по поводу принадлежности того или иного проекта к компании (негативная анонимность)
• Некоторая сложность в ведении и узаконивании деятельности предприятия в интернете

• Невозможность «потрогать» товар руками
• Ожидание доставки приобретенной продукции
• Возможные трудности и расходы при возврате товара
• Дополнительная стоимость за доставку товара
• Необходимость предоставления личных данных

• Привлекательная платформа для мошенничества (снижение уровня сетевой безопасности)
• Вытеснение с рынка коммерческих офлайн-предприятий

Для государстваПравить

Электронная коммерция стала неотъемлемой частью современной экономики. Все больше потребителей приобретают товары посредством сети Интернет, а коммерческие организации так или иначе используют возможности данной сети при осуществлении предпринимательской деятельности. Общий мировой объём продаж в одном только потребительском сегменте электронной коммерции превысил отметку в 1 трлн долл. ещё в 2012 г. и характеризуется устойчивым ростом.

Рынок электронной коммерции в Европе достиг 312 млрд евро в 2012 г.

Электронная коммерция в РоссииПравить

Электронная коммерция позволяет клиентам преодолевать географические барьеры и позволяет им покупать товары в любое время и в любом месте. Онлайн и традиционные рынки имеют разные стратегии ведения бизнеса. Традиционные ритейлеры предлагают меньше ассортимента товаров из-за ограниченного места на полках. Онлайн-ритейлеры зачастую не проводят инвентаризацию, а отправляют заказы клиентов непосредственно производителю.

Безопасность является основной проблемой электронной коммерции в развитых и развивающихся странах. Безопасность электронной коммерции защищает сайты и клиентов от несанкционированного доступа, использования данных. Тип угроз включает в себя: вредоносные коды, нежелательные программы (рекламное ПО, шпионские программы), фишинг, взлом и кибервандализм. Традиционные магазины также используют возможности онлайн-пространства для сохранения данных о покупателях, внедряют программы лояльности и переводят клиентов в онлайн пространство для оповещения об акциях, скидках и донесения рекламной информации с целью эффективного взаимодействия за пределами офлайн-магазина, удержания клиентов и увеличения продаж.

Влияние на рынок трудаПравить

С одной стороны, электронная коммерция помогает создавать новые рабочие места благодаря информационным службам, необходимым программным разработкам и цифровым продуктам. С другой стороны, появление онлайн магазинов также приводит к сокращению рабочих мест. Области с наибольшей прогнозируемой потерей работы — это торговые площадки, почтовые и туристические агентства.

Государственное регулирование электронной коммерцииПравить

Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Начиная с 2000-х годов киберугрозы стали актуальны для всех, начиная от крупнейших государственных информационных систем до компьютеров рядовых граждан. Киберугроза – это незаконное проникновение или угроза вредоносного проникновения в виртуальное пространство для достижения политических, социальных или иных, целей.

Кибервойны между странами

Крупнейшие киберконфликты разворачиваются между государствами, обладающими наибольшими вычислительными и интеллектуальными ресурсами для ведения кибервойн. Информация о соглашениях об электронном ненападении, а также о противоборстве в виртуальном пространстве между странами, выделена в отдельную статью:

Россия вынуждена предпринимать меры сдерживания других стран в сфере киберпространства и таким образом оказывается вовлеченной в кибервойны. Ключевым оппонентом в данной сфере традиционно выступают США:

Киберпреступность и потери организаций

Киберпреступность стала крупнейшим в мире направлением в криминальном мире. Хроника событий в статье:

Кибермошенники ежегодно наносят гигантский экономический ущерб отдельным организациям и целым странам:

Банки являются крупнейшими целями киберпреступников. Информация о потерях финансовых учреждений вынесена в отдельную статью:

Часто финансовый ущерб организациям наносят не преступники, а собственные сотрудники, которые воруют, удаляют данные или теряют носители информации за пределами контура организации:

Отраслевая специфика

Для предотвращения потерь, связанных с киберпреступностью, государства и компании закупают оборудование, ПО и услуги для защиты информации.

• Информационная безопасность (мировой рынок)
• Информационная безопасность (рынок России)

• Оборудование для защиты информации (мировой рынок)
• Оборудование для защиты информации (рынок России)

• ПО для защиты информации (мировой рынок)
• ПО для защиты информации (рынок России)
• ПО для защиты информации (рынок Японии)

• DLP-решения (мировой рынок)
• DLP-решения (рынок России)

• Средства защиты информации от несанкционированного доступа (СЗИ от НСД)
• Системы идентификации и управления доступом к информационным ресурсам предприятия — IDM (мировой рынок)

Угрозы информационной безопасности

Анализ потенциальных киберугроз для организации является услугой, которую можно купить на рынке:

Действия, несущие угрозу для информационных систем, можно разделить на две основные категории: внутренние (умышленные и неумышленные действия сотрудников) и внешние (сетевые кибератаки, кража носителей информации).

Внутренние угрозы

Внутренние угрозы связаны прежде всего с утечками данных:

Чаще всего к утечкам приводят следующие действия, осуществляемые авторизованными пользователями (сотрудниками, инсайдерами):

• целенаправленная кража, замена на заведомо ложные или уничтожение данных на рабочей станции или сервере;
• повреждение данных пользователем, вызванное неосторожными или халатными действиями;
• утеря носителей информации за периметром организации.

Внешние угрозы

Электронные методы воздействия, осуществляемые хакерами:

• несанкционированное проникновение в компьютерные сети;
• DoS- и DDoS-атаки;

Естественные угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные и другие обстоятельства.

Физические способы обеспечения информационной безопасности

Физические меры защиты — это разного рода механические, электро- и электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы и охраняемой информации. В перечень физических способов защиты информации входят:

• организация пропускного режима;
• организация учёта, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
• распределение реквизитов разграничения доступа;
• организация скрытого контроля за деятельностью пользователей и обслуживающего персонала информационной системы;
• мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях аппаратного и программного обеспечения.

Когда физические и технические способы недоступны, применяются административные меры обеспечния информационной безопасности. Опыт функционирования организаций со сложной организацией информационной системы показал, что наилучшие результаты в достижении информационной безопасности достигаются при использовании системного подхода.

Правила безопасности

Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо (2014 г.

Заслон от вирусов и спама

Заслон для вирусов и спама. Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. На август 2014 года ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в 2013 году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.

Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус, регулярно обновлять его.

Компьютер для ДБО использовать только для ДБО

Компьютер, на котором установлено ДБО, необходимо отключить от локальных сетей. Выходить в интернет с него, кроме как для связи с банком, нельзя.

Не пользоваться соцсетями и открытым Wi-Fi с рабочих компьютеров

Часто руководители СМБ сами дают карты в руки мошенникам, держа ключи от ДБО и электронной подписи в доступном месте.

«Более того, некоторые нерадивые сотрудники компании вообще не вынимают usb-флэшку с ключом от ДБО из компьютера. В случае, если хакер получит контроль над компьютером, это приведет к краже всех секретных ключей и использованию системы ДБО мошенником от имени организации», – предупреждает Олег Илюхин, директор департамента информационных технологий «СДМ-Банка».

Эти сведения необходимо хранить в сейфе или другом надежном месте, доступ посторонних к ним должен быть запрещен.

Корпоративные данные должны храниться на удаленном сервере

Коммерческие и персональные данные лучше всего доверить облачным сервисам. Это безопаснее, чем в папке на столе или компьютере, на флешке или съемном диске. Данные в дата-центрах хранятся в зашифрованном виде, и добраться до них можно только с помощью электронных ключей и цифровой подписи.

Разграничить доступ к данным между сотрудниками

Важно также предупредить и внутренние угрозы – умышленные или случайные нарушения политики информационной безопасности сотрудниками компании. Эти риски можно минимизировать, установив доступ к корпоративной информации в зависимости от уровня полномочий сотрудников. Например, менеджер по продажам располагает сведениями только о своих клиентах, а полная база и вся история продаж будет доступна только начальнику отдела продаж. Главный бухгалтер должен иметь доступ только к бухгалтерской отчетности, а управленческая отчетность будет доступна только гендиректору. Конечно, в маленькой компании добиться полного обособления функций сложно, но попытаться разграничить потоки информации между сотрудниками все-таки необходимо. Все это также снизит вероятность утечки данных.