Zákazník si prostredníctvom servera e-shopu vyberie produkt alebo službu a odošle objednávku.

Objednávka sa zadá do databázy objednávok obchodu. Dostupnosť produktu alebo služby sa kontroluje prostredníctvom centrálnej databázy. Ak produkt nie je dostupný, zákazník je o tom informovaný. V závislosti od typu predajne môže byť požiadavka na produkt presmerovaná do iného skladu. Ak je produkt alebo služba dostupná, zákazník potvrdí platbu a objednávka sa zapíše do databázy. E-shop zašle zákazníkovi potvrdenie objednávky. Vo väčšine prípadov existuje jednotná databáza objednávok a kontroly dostupnosti tovaru. Klient zaplatí objednávku online. Tovar je doručený zákazníkovi.

Zvážte hlavné hrozby, ktoré na spoločnosť číhajú vo všetkých fázach. Nahradenie stránky webového servera elektronického obchodu. Hlavnou metódou implementácie je presmerovanie požiadaviek používateľov na iný server. Vykonáva sa nahradením položiek v tabuľkách serverov DNS alebo v tabuľkách smerovačov. Toto je obzvlášť nebezpečné, keď zákazník zadá číslo svojej kreditnej karty. Vytváranie falošných objednávok a podvody zamestnancami elektronického obchodu. Prienik do databázy a zmena postupov pri vybavovaní objednávok umožňuje nelegálnu manipuláciu s databázou. Podľa štatistík viac ako polovica všetkých počítačových incidentov súvisí s vlastných zamestnancov. Zachytávanie údajov prenášaných v systéme elektronického obchodu. Zvlášť nebezpečné je zachytenie informácií o kreditnej karte zákazníka. Prienik do internej siete spoločnosti a kompromitácia komponentov elektronického obchodu. Implementácia útokov odmietnutia služby a narušenie alebo vypnutie stránky elektronického obchodu.

V dôsledku všetkých týchto hrozieb spoločnosť stráca dôveru zákazníkov a prichádza o peniaze z nedokonalých transakcií. V niektorých prípadoch môže byť táto spoločnosť žalovaná za zverejnenie čísel kreditné karty. V prípade útokov denial-of-service, dočasných a materiálne zdroje na výmenu zariadenia. Zachytávanie dát nezávisí od použitého softvéru a hardvéru, je to spôsobené nedostatočnou bezpečnosťou verzie protokolu IP (v4). Riešením problému je použitie kryptografických nástrojov alebo prechod na šiestu verziu protokolu IP. Oba prípady majú svoje problémy. V prvom prípade musí byť používanie kryptografie licencované príslušnou agentúrou. V druhom prípade vznikajú organizačné problémy. Existuje niekoľko ďalších hrozieb. Porušenie dostupnosti uzlov elektronického obchodu a nesprávna konfigurácia softvéru a hardvéru elektronického obchodu.

2. Spôsoby ochrany.

Integrovaný systém ochrany by mal byť vybudovaný zohľadňujúci štyri úrovne každého informačného systému. Aplikačná úroveň softvér(softvér) zodpovedný za interakciu používateľa. Príklad prvkov tejto úrovne - textový editor WinWord, tabuľkový editor Excel, poštový program Outlook, prehliadač Internet Explorer.

Úroveň systému správy databáz (DBMS), ktorý je zodpovedný za uchovávanie a spracovanie údajov informačného systému. Príkladom prvkov tejto úrovne sú Oracle DBMS, MS SQL Server, Sybase a MS Access. úroveň operačný systém(OS) zodpovedný za údržbu DBMS a aplikačného softvéru. Príkladmi sú OS M S Windows NT, Sun Solaris, Novell Netware. Úroveň siete zodpovedná za interakciu uzlov informačného systému. Príkladom sú protokoly TCP/IP, IPS/SPX a SMB/NetBIOS.

Systém ochrany musí fungovať efektívne na všetkých úrovniach. V opačnom prípade bude útočník schopný zaútočiť na zdroje elektronického obchodu. Nebezpečné sú vonkajšie aj vnútorné útoky. Podľa štatistík hrozí hlavné nebezpečenstvo od interných používateľov elektronického obchodu (prevádzkovatelia systému). Na získanie neoprávneného prístupu k informáciám o objednávkach v databáze sú k dispozícii nasledujúce možnosti. Čítanie databázových záznamov z MS Query, čo umožňuje prístup k záznamom mnohých DBMS pomocou mechanizmu ODBC alebo SQL dotazov Čítanie potrebných údajov pomocou samotného DBMS (úroveň DBMS). Čítanie databázových súborov priamo na úrovni operačného systému. Posielajte pakety cez sieť s vygenerovanými požiadavkami na získanie potrebných údajov z DBMS. Alebo zachytiť tieto údaje v procese ich prenosu cez komunikačné kanály (úroveň siete).

Zvyčajne sa pozornosť sústreďuje na spodné dve vrstvy – sieťovú vrstvu a vrstvu operačného systému. Na úrovni siete sa používajú smerovače a firewally. Na úrovni OS - vstavané nástroje na riadenie prístupu. To nie je dosť. Predstavme si, že útočník získal ID používateľa a heslo používateľa databázy obchodu. Buď ich zachytil počas prenosu cez sieť, alebo ich zachytil pomocou špeciálnych programov. Firewall aj operačný systém umožňujú útočníkovi prístup ku všetkým zdrojom vďaka predloženej identite a heslu oprávneného používateľa. Toto je funkcia fungovania obrazovky a systému.

Potrebujeme nové prostriedky a mechanizmy ochrany. Nástrojom na detekciu narušenia sa v súčasnosti venuje veľká pozornosť po celom svete. Podľa prognóz slávnych spoločností predaj týchto fondov až do výšky 900 miliónov dolárov v roku 2003. Tieto nástroje fungujú rovnako efektívne vo vnútri siete aj mimo nej a chránia pred vonkajšími neoprávnenými vplyvmi.

Tieto nástroje vám umožňujú včas odhaliť a blokovať sieťové útoky typu denial-of-service zamerané na narušenie funkčnosti elektronického obchodu. Jedným z príkladov nástroja na detekciu narušenia je systém RealSecure vyvinutý spoločnosťou Internet Security Systems, Inc.

Každý softvér má určité zraniteľné miesta, ktoré vedú k implementácii útokov. Chyby v návrhu systému elektronického obchodu (napr. nedostatok ochrany), ako aj chyby pri implementácii a konfigurácii. Posledné dva typy zraniteľností sú najbežnejšie a možno ich nájsť v každej organizácii. Uveďme niekoľko príkladov. Chyba pretečenia vyrovnávacej pamäte v prehliadačoch Microsoft a Netscape, chyba implementácie démona IMAP a poštový program sendmail, používanie prázdnych hesiel a hesiel kratších ako 6 znakov, služby spustené, ale nepoužívané, ako napríklad Telnet. To všetko môže viesť k realizácii rôznych druhov útokov zameraných na porušenie dôvernosti a integrity spracúvaných údajov.

Je potrebné včas odhaliť a odstrániť zraniteľné miesta informačného systému na všetkých úrovniach. Pomôžu nástroje bezpečnostnej analýzy a bezpečnostné skenery. Tieto nástroje dokážu odhaliť a opraviť mnohé zraniteľnosti na stovkách hostiteľov, vrátane. a vzdialené na značné vzdialenosti. Internet Security Systems tiež vedie v tejto oblasti so svojou rodinou SAFEsuite. Systém obsahuje funkcie na vyhľadávanie zraniteľností, ktoré fungujú na všetkých štyroch úrovniach – Internet Scanner, System Scanner a Database Scanner. Kombinované používanie rôznych nástrojov ochrany na všetkých úrovniach vám umožní vybudovať spoľahlivý systém informačnej bezpečnosti elektronického obchodu. Takýto systém je užitočný pre používateľov aj zamestnancov spoločnosti poskytovateľa služieb.

Zníži možné škody spôsobené útokmi na komponenty a zdroje elektronického obchodu.

Odporúča sa použiť dodatočné finančné prostriedky ochranu. Takéto nástroje môžu byť voľne distribuované aj komerčné produkty. Ktorý z týchto prostriedkov je lepší, rozhodnúť sa v každom prípade vlastným spôsobom. V prípade nedostatku peňazí na nákup ochranných pomôcok si musíte dať pozor na voľné financie. Používanie takýchto nástrojov je však spojené s nekvalitnou ochranou a nedostatkom technickej podpory. Z reklamy ruské fondy, implementujúce veľké množstvo ochranných funkcií možno nazvať systémy rodiny SecretNet vyvinuté podnikom Informzaschita. Vo všeobecnosti je nemožné vyriešiť problém budovania integrovaného systému ochrany čisto technickými prostriedkami. Je potrebný komplex organizačných, legislatívnych, fyzických a technických opatrení.

Organizácie často využívajú čiastočné prístupy na riešenie bezpečnostných problémov. Tieto prístupy sú založené na ich vnímaní bezpečnostných rizík. Správcovia bezpečnosti majú tendenciu reagovať len na riziká, ktorým rozumejú. V skutočnosti môže byť takýchto rizík viac. Administrátori chápu potenciál zneužitia systémových zdrojov a externých útokov, ale často si nie sú dostatočne vedomí skutočných zraniteľností v sieťach. Neustály rozvoj informačných technológií spôsobuje množstvo nových problémov. Efektívny bezpečnostný systém vyžaduje dobre vyškolený personál na vykonávanie funkcií. Dodržiava štandardizovaný prístup k bezpečnosti, implementuje postupy a technické prostriedky ochrany a neustále monitoruje auditovacie subsystémy, ktoré poskytujú analýzu potenciálnych útokov.

Neustály vývoj sieťových technológií pri absencii neustálej bezpečnostnej analýzy vedie k tomu, že časom bezpečnosť siete klesá. Objavujú sa nové nezaznamenané hrozby a zraniteľné miesta systému. Existuje koncept - adaptívna sieťová bezpečnosť. Umožňuje vám poskytovať ochranu v reálnom čase a prispôsobovať sa neustálym zmenám v informačnej infraštruktúre. Pozostáva z troch hlavných prvkov – technológie bezpečnostnej analýzy, technológie detekcie útokov, technológie riadenia rizík. Technológie bezpečnostnej analýzy sú výkonnou metódou na analýzu a implementáciu politiky zabezpečenia siete. Systémy bezpečnostnej analýzy hľadajú zraniteľné miesta, ale zvyšujú počet kontrol a skúmajú všetky jej úrovne. Detekcia útokov - posúdenie podozrivých aktivít, ktoré sa vyskytujú v firemná sieť. Detekcia útokov je implementovaná analýzou protokolov operačného systému a aplikačného softvéru a sieťovej prevádzky v reálnom čase. Komponenty detekcie narušenia umiestnené na uzloch alebo segmentoch siete vyhodnocujú rôzne akcie.

Ako konkrétny a najbežnejší prípad použitia detekčných systémov možno uviesť situáciu s nekontrolovaným používaním modemov. Systémy bezpečnostnej analýzy dokážu odhaliť takéto modemy a systémy detekcie narušenia môžu identifikovať a zabrániť neoprávneným akciám, ktoré sa cez ne vykonávajú. Podobne ako nástroje bezpečnostnej analýzy, aj nástroje na detekciu narušenia fungujú na všetkých úrovniach podnikovej siete. Ako príklad môžeme uviesť aj vývoj ISS, ako lídra v oblasti detekcie narušenia a bezpečnostnej analýzy.

3. Šifrovanie a digitálny podpis.

Vygeneruje sa tajný kľúč, ktorý sa distribuuje medzi účastníkov výmeny informácií. Niekedy sa vygeneruje zoznam jednorazových kľúčov. V tomto prípade sa pre každú reláciu prenosu informácií používa jedinečný kľúč. Zároveň na začiatku každej relácie odosielateľ oznámi príjemcovi sériové číslo kľúča, ktoré použil v tejto správe. Odosielateľ zašifruje informácie pomocou nainštalovaného softvéru, ktorý implementuje symetrický šifrovací algoritmus, zašifrované informácie sa prenesú k príjemcovi prostredníctvom komunikačných kanálov. Príjemca dešifruje informácie pomocou rovnakého kľúča ako odosielateľ. Pozrime sa na niektoré symetrické šifrovacie algoritmy.

DES (Data Encryption Standard). Vyvinutý spoločnosťou IBM a široko používaný od roku 1977. V súčasnosti je už trochu zastaraný, pretože dĺžka kľúča, ktorá sa v ňom používa, nepostačuje na zabezpečenie odolnosti voči útoku vyčerpávajúcim hľadaním všetkých možných hodnôt kľúča.

Trojitý DES. Toto je vylepšenie DES, ktoré používa algoritmus DES na šifrovanie trikrát rôznymi kľúčmi. Je oveľa odolnejší voči hackingu ako DES. Rijndael. Algoritmus bol vyvinutý v Belgicku. Pracuje so 128, 192 a 256 bitovými kľúčmi. Zapnuté tento moment odborníci na kryptografiu sa na to nesťažujú. Skipjack. Algoritmus vytvorila a používa americká Národná bezpečnostná agentúra. Dĺžka kľúča je 80 bitov. Šifrovanie a dešifrovanie informácií sa vykonáva cyklicky (32 cyklov). NÁPAD. Algoritmus je patentovaný v USA a mnohých európskych krajinách. Držiteľom patentu je Ascom-Tech. Algoritmus využíva cyklické spracovanie informácií (8 cyklov) aplikovaním množstva matematických operácií. RC4. Algoritmus je špeciálne navrhnutý pre rýchle šifrovanie veľkého množstva informácií. Používa kľúč s premenlivou dĺžkou (v závislosti od požadovaného stupňa ochrany informácií) a pracuje oveľa rýchlejšie ako iné algoritmy. RC4 patrí medzi takzvané prúdové šifry.

Elektronický digitálny podpis (EDS) je elektronický ekvivalent vlastnoručného podpisu. EDS slúži nielen na autentifikáciu odosielateľa správy, ale aj na kontrolu jej integrity. Pri používaní EDS sa na overenie odosielateľa správy používajú verejné a súkromné ​​kľúče. Postup je podobný ako pri asymetrickom šifrovaní, ale v tomto prípade sa na šifrovanie používa súkromný kľúč a na dešifrovanie verejný kľúč.

Aplikačný algoritmus EDS pozostáva z množstva operácií. Vygeneruje sa pár kľúčov – verejný a súkromný. Verejný kľúč sa prenesie na záujemcu (príjemcu dokumentov podpísaných stranou, ktorá kľúče vygenerovala). Odosielateľ správu zašifruje svojím súkromným kľúčom a odošle ju príjemcovi cez komunikačné kanály. Príjemca dešifruje správu pomocou verejného kľúča odosielateľa.

Podľa materiálov celoštátnej tlače.

Rozšírené zavedenie internetu nemohlo ovplyvniť rozvoj elektronického podnikania.

Jeden z typov e-business považovaný za elektronický obchod. V súlade s dokumentmi OSN sa podnik považuje za elektronický, ak sa aspoň dve z jeho štyroch zložiek (výroba tovaru alebo služieb, marketing, dodávka a zúčtovanie) vykonávajú prostredníctvom internetu. Preto sa v tomto výklade zvyčajne predpokladá, že nákup súvisí s elektronickým obchodom, ak sa minimálne marketing (organizácia dopytu) a zúčtovanie uskutočňuje prostredníctvom internetu. Užší výklad pojmu „elektronický obchod“ charakterizuje systémy bezhotovostných platieb na báze plastových kariet.

Kľúčovou otázkou pre implementáciu elektronického obchodu je bezpečnosť.

Vysoká miera podvodov na internete odrádza od rozvoja elektronického obchodu. Spotrebitelia, obchodníci a banky sa obávajú používať túto technológiu kvôli riziku finančnej straty. Ľudia využívajú internet hlavne ako informačný kanál na získavanie informácií, ktoré ich zaujímajú. Len niečo vyše 2 % všetkých vyhľadávaní v katalógoch a databázach na internete končí nákupom.

Tu je klasifikácia možných typov podvodov v elektronickom obchode:

• transakcie (bezhotovostné transakcie) vykonané podvodníkmi s použitím správnych údajov o karte (číslo karty, dátum vypršania platnosti atď.);
• získavanie údajov o zákazníkoch cez DB hack obchodné podniky alebo odpočúvaním správ kupujúceho obsahujúcich jeho osobné údaje;
• Motýlie obchody, ktoré sa objavujú spravidla na krátky čas, aby zmizli po prijatí finančných prostriedkov od zákazníkov za neexistujúce služby alebo tovar;
• zvýšenie ceny tovaru v porovnaní s cenou ponúkanou kupujúcemu alebo opakované odpisovanie z účtu klienta;
• obchody alebo predajcovia určené na zhromažďovanie informácií o údajoch o karte a iných osobných údajoch kupujúceho.

Protokol SSL(Secure Socket Layer) vyvinula americká spoločnosť Netscape Communications. SSL zaisťuje bezpečnosť údajov medzi protokolmi služieb (ako sú HTTP, NNTP, FTP atď.) a transportnými protokolmi (TCP/IP) pomocou najmodernejšej kryptografie v pripojeniach typu point-to-point. Predtým bolo možné prezerať dáta vymieňané medzi klientmi a servermi bez špeciálnych technických trikov. Existoval na to dokonca špeciálny výraz – „sniffer“.

Protokol SSL je určený na riešenie tradičných úloh zabezpečenia ochrany interakcie informácií:

• používateľ a server si musia byť navzájom istí, že si vymieňajú informácie nie s falošnými predplatiteľmi, ale s tými, ktorí sú potrební, neobmedzujúc sa len na ochranu heslom;
• po nadviazaní spojenia medzi serverom a klientom musí byť celý tok informácií medzi nimi chránený pred neoprávneným prístupom;
• a napokon, pri výmene informácií si strany musia byť istí, že pri ich prenose nedochádza k náhodným alebo úmyselným skresleniam.

Protokol SSL umožňuje serveru a klientovi vzájomne sa autentifikovať, dohodnúť sa na šifrovacom algoritme a vytvoriť spoločné kryptografické kľúče pred začatím interakcie s informáciami. Na tento účel protokol používa dvojkľúčové (asymetrické) kryptosystémy, najmä RSA.

Dôvernosť informácií prenášaných prostredníctvom vytvoreného zabezpečeného spojenia je zabezpečená šifrovaním dátového toku na vygenerovanom dátovom toku všeobecný kľúč pomocou symetrických kryptografických algoritmov (napríklad RC4_128, RC4_40, RC2_128, RC2_40, DES40 atď.). Integrita prenášaných dátových blokov je riadená pomocou takzvaných overovacích kódov správ (Message Autentification Code, alebo MAC), vypočítaných pomocou hashovacích funkcií (napríklad MD5).

Protokol SSL zahŕňa dve fázy interakcie medzi stranami chráneného pripojenia:

• vytvorenie relácie SSL;
• ochrana toku dát.

Vo fáze vytvárania relácie SSL sa server a (voliteľne) klient autentizujú, strany sa dohodnú na použitých kryptografických algoritmoch a vytvoria spoločné „tajomstvo“, na základe ktorého sa vytvoria spoločné kľúče relácie pre následnú ochranu pripojenia. . Tento krok sa označuje aj ako „postup podanie ruky“.

V druhej fáze (ochrana toku dát) sa informačné správy na aplikačnej úrovni rozdelia na bloky, pre každý blok sa vypočíta overovací kód správy, potom sa dáta zašifrujú a odošlú na prijímajúcu stranu. Prijímacia strana vykonáva spätné akcie: dešifrovanie, overenie autentifikačného kódu správy, zostavenie správ, prenos do aplikačnej vrstvy.

Najbežnejším softvérovým balíkom pre podporu SSL je SSLeay. Obsahuje zdrojový kód C, ktorý je možné vložiť do aplikácií, ako sú Telnet a FTP.

SSL používa kryptografiu s verejným kľúčom, tiež známu ako asymetrická kryptografia. Používa dva kľúče: jeden na šifrovanie, druhý na dešifrovanie správy. Tieto dva kľúče sú matematicky prepojené takým spôsobom, že údaje zašifrované pomocou jedného kľúča možno dešifrovať iba pomocou druhého, ktorý je spárovaný s prvým. Každý používateľ má dva kľúče – verejný a tajný (súkromný). Používateľ sprístupní verejný kľúč každému sieťovému korešpondentovi. Používateľ a každý korešpondent, ktorý má verejný kľúč, si môže byť istý, že údaje zašifrované verejným kľúčom možno dešifrovať iba pomocou súkromného kľúča.

Ak si dvaja používatelia chcú byť istí, že informácie, ktoré si vymieňajú, nedostane tretí, potom každý z nich musí odovzdať jeden komponent páru kľúčov (konkrétne verejný kľúč) druhému a uložiť druhý komponent (tajný kľúč). Správy sú šifrované pomocou verejného kľúča, dešifrované iba pomocou súkromného kľúča. Takto je možné prenášať správy cez otvorenú sieť bez strachu, že si ich bude môcť ktokoľvek prečítať.

Integrita a autentifikácia správy je zabezpečená použitím elektronického digitálneho podpisu.

Teraz je otázkou, ako distribuovať svoje verejné kľúče. Na to (nielen) bol vynájdený špeciálny formulár - certifikát. Certifikát pozostáva z nasledujúcich častí:

• meno osoby/organizácie, ktorá osvedčenie vydáva;
• predmet osvedčenia (komu bolo osvedčenie vydané);
• verejný kľúč predmetu;
• niektoré časové parametre (doba platnosti certifikátu a pod.).

Certifikát je „podpísaný“ súkromným kľúčom osoby (alebo organizácie), ktorá certifikáty vydáva. Organizácie, ktoré vykonávajú takéto operácie, sa nazývajú certifikačné autority (CA). Ak prejdete do sekcie zabezpečenia v štandardnom webovom prehliadači, ktorý podporuje SSL, môžete tam vidieť zoznam známych organizácií, ktoré „podpisujú“ certifikáty. Vytvorenie vlastnej CA je technicky jednoduché, no treba doriešiť aj právnu stránku veci, čo môže byť vážny problém.

SSL je zďaleka najbežnejším protokolom používaným pri budovaní systémov elektronického obchodu. S jeho pomocou sa vykonáva 99% všetkých transakcií. Široké používanie SSL je primárne spôsobené tým, že je neoddeliteľnou súčasťou všetkých prehliadačov a webových serverov. Ďalšou výhodou SSL je jednoduchosť protokolu a vysoká rýchlosť implementácia transakcie.

SSL má zároveň niekoľko významných nevýhod:

• kupujúci nie je overený;
• predajca je overený iba URL;
• digitálny podpis sa používa iba na autentifikáciu na začiatku vytvorenia relácie SSL. Na preukázanie transakcie v prípade konfliktných situácií je potrebné buď uchovávať celý dialóg medzi kupujúcim a predávajúcim, čo je nákladné z hľadiska pamäťových prostriedkov a v praxi sa nepoužíva, alebo uchovávať papierové kópie potvrdzujúce prevzatie tovaru. tovaru kupujúcim;
• nie je zabezpečená dôvernosť údajov o údajoch o karte pre obchodníka.

SET protokol

Ďalším protokolom pre bezpečné transakcie na internete je SET(Transakcia s bezpečnostnou elektronikou). SET je založený na použití digitálnych certifikátov X.509.

SET Secure Transaction Protocol je štandard vyvinutý spoločnosťami MasterCard a VISA s významným prispením spoločností IBM, GlobeSet a ďalších partnerov. Umožňuje nakupujúcim nakupovať tovar online pomocou najbezpečnejšieho platobného mechanizmu, ktorý je dnes k dispozícii. SET je otvorený štandardný multilaterálny protokol na uskutočňovanie bezpečných platieb pomocou plastových kariet na internete. SET zabezpečuje krížovú autentifikáciu účtu držiteľa karty, predávajúceho a banky predávajúceho pre kontrolu pripravenosti platby za tovar, neporušenosť a utajenie správy, šifrovanie cenných a citlivých údajov. Preto možno SET nazvať štandardnou technológiou alebo protokolovým systémom na vykonávanie bezpečných platieb pomocou plastových kariet cez internet.

SET umožňuje spotrebiteľom a obchodníkom autentifikovať všetkých účastníkov internetovej transakcie pomocou kryptografie, vrátane digitálnych certifikátov.

Potenciálny predaj prostredníctvom elektronického obchodu je obmedzený úrovňou informačnej bezpečnosti, ktorú požadujú kupujúci, obchodníci a finančné inštitúcie, ktoré majú obavy o bezpečnosť online platieb. Ako už bolo spomenuté, základnými cieľmi informačnej bezpečnosti je zabezpečiť ich dostupnosť, dôvernosť, integritu a právny význam. SET na rozdiel od iných protokolov umožňuje riešiť tieto problémy informačnej bezpečnosti.

V dôsledku toho, že mnohé spoločnosti vyvíjajú vlastný softvér pre elektronické obchodovanie, vzniká ďalší problém. V prípade použitia tohto softvéru musia mať všetci účastníci prevádzky rovnaké aplikácie, čo je prakticky nemožné. Preto je potrebný spôsob, ako poskytnúť mechanizmus interoperability medzi aplikáciami od rôznych vývojárov.

V dôsledku vyššie uvedených problémov VISA a MasterCard spolu s ďalšími spoločnosťami zaoberajúcimi sa technickými problémami (napríklad IBM, ktorá je kľúčovým vývojárom vo vývoji protokolu SET) definovali špecifikáciu a sadu protokolov štandardu SET. Táto otvorená špecifikácia sa rýchlo stala de facto štandardom pre elektronický obchod. V tejto špecifikácii šifrovanie informácií zabezpečuje ich dôvernosť. Digitálny podpis a certifikáty zabezpečujú identifikáciu a autentifikáciu (autentizáciu) účastníkov transakcií. Digitálny podpis sa tiež používa na zabezpečenie integrity údajov. Otvorená sada protokolov sa používa na umožnenie interoperability medzi implementáciami od rôznych dodávateľov.

SET poskytuje nasledujúce špecifické bezpečnostné požiadavky pre transakcie elektronického obchodu:

• utajenie platobných údajov a dôvernosť informácií o objednávke prenášaných spolu s platobnými údajmi;
• udržiavanie integrity platobných údajov; integrita je zabezpečená digitálnym podpisom;
• špeciálna kryptografia s verejným kľúčom na autentifikáciu;
• autentifikácia držiteľa kreditnej karty, ktorá sa poskytuje pomocou digitálneho podpisu a certifikátov držiteľa karty;
• autentifikácia obchodníka a jeho schopnosť prijímať platby plastovými kartami pomocou digitálneho podpisu a certifikátov obchodníka;
• potvrdenie, že banka predávajúceho je prevádzkovou organizáciou, ktorá môže prijímať platby plastovými kartami prostredníctvom komunikácie so systémom spracovania; toto potvrdenie je zabezpečené digitálnym podpisom a certifikátmi banky predávajúceho;
• ochota platiť za transakcie v dôsledku overenia verejného kľúča certifikátom pre všetky strany;
• bezpečnosť prenosu údajov prostredníctvom prevládajúceho používania kryptografie.

Hlavná výhoda SET oproti mnohým existujúcim podporným systémom informačná bezpečnosť je využívať digitálne certifikáty (štandard X.509, verzia 3), ktoré spájajú držiteľa karty, obchodníka a banku obchodníka s množstvom bankových inštitúcií platobných systémov VISA a MasterCard.

• otvorený, plne zdokumentovaný štandard pre finančný sektor;
• založené na medzinárodné normy platobné systémy;
• sa spolieha na technológie a právne mechanizmy existujúce vo finančnom odvetví.

Mimochodom, spoločný projekt realizovaný spoločnosťami IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard a Wal-Mart umožňuje majiteľom kariet Wal-Mart MasterCard vydaných Chase Bank nakupovať tovar na Wal-Mart Online, ktorý je jedným z najväčších uzlov elektronického obchodu v USA.

Pozrime sa podrobnejšie na proces interakcie medzi účastníkmi platobnej transakcie v súlade so špecifikáciou SET, ktorá je znázornená na obrázku z webovej stránky IBM:

Na obrázku:

• Držiteľ karty- kupujúci tvoriaci objednávku.
• Banka kupujúceho - finančnú štruktúru, ktorá kupujúcemu vydala kreditnú kartu.
• Predavač- elektronický obchod ponúkajúci tovary a služby.
• Banka predávajúceho- finančná štruktúra zaoberajúca sa obsluhou operácií predávajúceho.
• Platobná brána- systém, zvyčajne riadený bankou predávajúceho, ktorý spracováva požiadavky predávajúceho a spolupracuje s bankou kupujúceho.
• Certifikačná organizácia- štruktúra dôveryhodnosti, ktorá vydáva a overuje certifikáty.

Interakcie účastníkov operácie sú na obrázku znázornené plnými čiarami (interakcie opísané štandardom alebo protokolom SET) a bodkovanými čiarami (niektoré možné operácie).

Dynamika vzťahov a informačných tokov v súlade so špecifikáciou štandardu SET zahŕňa nasledujúce akcie:

1. Účastníci žiadajú a dostávajú certifikáty od certifikačnej organizácie.
2. Majiteľ plastovej karty sa pozerá Digitálny katalóg, vyberie tovar a odošle objednávku predávajúcemu.
3. Obchodník predloží držiteľovi karty ako dôkaz svoj certifikát.
4. Držiteľ karty predloží obchodníkovi svoj certifikát.
5. Obchodník požiada platobnú bránu o vykonanie overovacej operácie. Brána kontroluje poskytnuté informácie s údajmi banky, ktorá elektronickú kartu vydala.
6. Po overení vráti platobná brána výsledky obchodníkovi.
7. O nejaký čas neskôr obchodník požiada platobnú bránu o vykonanie jednej alebo viacerých finančných transakcií. Brána odošle požiadavku na prevod určitej sumy z banky kupujúceho do banky predávajúceho.

Prezentovaná schéma interakcie je z hľadiska informačnej bezpečnosti podporená špecifikáciou Chip Electronic Commerce, vytvorenou pre používanie čipových kariet štandardu EMV na internete (www.emvco.com). Bol vyvinutý spoločnosťami Europay, MasterCard a VISA. Kombinácia mikroprocesorového štandardu EMV a protokolu SET poskytuje bezprecedentnú úroveň bezpečnosti vo všetkých fázach transakcie.

20. júna 2000 RosBusinessConsulting zverejnil na svojej webovej stránke oznámenie, že VISA, jeden z najväčších platobných systémov na svete, 19. júna 2000 oznámila svoje bezpečnostné iniciatívy v oblasti elektronického obchodu. Podľa zástupcov systému sú tieto kroky navrhnuté tak, aby online nakupovanie bolo pre kupujúcich a predávajúcich bezpečnejšie. VISA verí, že zavedenie nových iniciatív zníži počet sporov o transakcie na internete o 50 %. Iniciatíva má dve hlavné časti. Prvou časťou je Program overovania platieb, ktorý je navrhnutý tak, aby znížil riziko neoprávneného použitia účtu držiteľa karty a zlepšil zážitok pre kupujúcich a obchodníkov na internete. Druhým je program Global Data Security Program, ktorého cieľom je vytvoriť bezpečnostné štandardy pre spoločnosti elektronického obchodu na ochranu údajov o kartách a držiteľoch kariet.

Porovnávacie charakteristiky protokolov SSL a SET

Platobné systémy sú najdôležitejšou súčasťou elektronického obchodu a budúcnosť ich prítomnosti na webe závisí vo veľkej miere od schopností informačnej bezpečnosti a ďalších funkcií služieb na internete. SSL a SET sú dva známe protokoly prenosu dát, pričom oba sa používajú v internetových platobných systémoch. Pokúsime sa porovnať SSL a SET a zhodnotiť niektoré z ich najdôležitejších charakteristík.

Pozrime sa teda na najdôležitejšiu funkciu autentizácie (autentifikácia) vo virtuálnom svete, kde neexistujú žiadne známe fyzické kontakty. SSL poskytuje iba komunikáciu point-to-point. Pamätáme si, že do transakcie kreditnou kartou sú zapojené najmenej štyri strany: spotrebiteľ, obchodník, vydávajúca banka a prijímajúca banka. SET vyžaduje overenie od všetkých strán zapojených do transakcie.

SET bráni obchodníkovi v prístupe k informáciám o plastovej karte a vydávajúcej banke v prístupe k súkromným informáciám zákazníka o jeho objednávkach. SSL umožňuje kontrolovaný prístup k serverom, adresárom, súborom a ďalším informáciám. Oba protokoly využívajú modernú kryptografiu a systémy digitálnych certifikátov, ktoré osvedčujú digitálne podpisy interagujúcich strán. SSL je určený predovšetkým na zabezpečenie komunikácie na internete. SET poskytuje ochranu pre transakcie elektronického obchodu vo všeobecnosti, čo zabezpečuje právny význam chránených cenných informácií. Transakcia cez SET je zároveň pomalšia ako pri SSL a jej cena je oveľa vyššia. Posledná uvedená charakteristika je veľmi dôležitá pre dnešný ruský trh, kde sa ešte neberú do úvahy riziká a prevádzkové náklady.

Treba dodať, že používaním SSL spotrebitelia riskujú, že prezradia obchodníkovi údaje o svojej plastovej karte.

Implementácia a prevádzka SET sa už dlhé roky realizuje v niekoľkých desiatkach projektov po celom svete. Napríklad prvá transakcia SET sa uskutočnila 30. decembra 1996 v PBS (dánska banka) v rámci spoločného projektu medzi IBM a MasterCard. Podobná práca bola vykonaná v roku 1997 v najväčšej japonskej banke Fuji Bank, kde sa protokol musel prispôsobiť špecifickej japonskej legislatíve. Takéto implementačné projekty v minulosti umožnili vypracovať funkcie protokolu a príslušnej dokumentácie.

Mimochodom, IBM má kompletnú sadu produktov, ktorá pokrýva všetky kľúčové aspekty komplexného používania SET vo všeobecnosti a poskytuje rozvinutú infraštruktúru:

• IBM Net.commerce Suite pre online obchodníkov;
• IBM Consumer Wallet pre držiteľov kariet;
• IBM Payment Gateway - platobná brána pre banky;
• IBM Net. Register platieb je produkt na overovanie a certifikáciu.

SET beží na rôznych výpočtových platformách od spoločností ako IBM, Hewlett Packard, Sun Microsystems a Microsoft.

SSL sa zasa používa predovšetkým vo webových aplikáciách a na zabezpečenie komunikácie na internete. Existuje aj bezplatná verzia SSL s názvom SSLeay. Obsahuje zdrojový kód C, ktorý je možné vložiť do aplikácií, ako sú Telnet a FTP. Vďaka týmto vlastnostiam sa SSL rozšírilo v podnikových intranetoch a v systémoch s malým počtom používateľov.

Napriek technologickej dokonalosti protokolu SET je jeho použitie vo svete veľmi obmedzené. Existuje na to veľa dôvodov, z ktorých rozhodujúci sú vysoké náklady na implementáciu systému elektronického obchodu založeného na protokole SET (cena riešenia SET sa pohybuje od 600 000 do 1 500 000 USD).

Protokol SSL poskytuje iba dôvernosť transakčných údajov pri ich prenose cez verejnú sieť, no zároveň je jeho implementácia výrazne lacnejšia. Výsledkom je, že drvivá väčšina moderných systémov elektronického obchodu používa protokol SSL.

Odborníci a vývojári protokolu SET sa mýlili, keď predpovedali rýchle a široké prijatie tohto štandardu. Navyše sa neustále hovorí o tom, že protokol SET je už včera a jeho šance na prežitie sú mizivé.

Takéto rozhovory sa začali v lete 2000, keď VISA International urobila vyhlásenie, podľa ktorého sa protokol 3D SET (variant SET) stáva štandardom pre krajiny EÚ, Latinskú Ameriku a niektoré ďalšie európske krajiny vrátane Ruska. Zároveň bol protokol 3D SSL (iný názov pre protokol je 3D Payer) vyhlásený za štandard na najväčšom americkom trhu.

Vedúci ruského zastúpenia Visa Int. Lou Naumovsky súhlasí, že SET nenašiel dopyt:

"Toto je veľmi dobrá technológia. Ale súdiac podľa reakcie bánk, nielen ruských, ale aj zahraničných, je to trochu drahé. Vydávajúca banka, ktorá používa protokol SET na sledovanie transakcií kartou, musí udržiavať databázu prijímajúcich bánk a predajných miest. Snažili sme sa nájsť lacnejšiu alternatívu k tomuto protokolu.“

V máji 2001 boli zverejnené špecifikácie štandardu 3D Secure, ktorý tvrdil, že je globálnym štandardom pre autentifikáciu v platobnom systéme Visa. Rozhodnutím Európskej únie z júla 2002 dostali všetky internetové obchody identifikáciu na úrovni tohto protokolu. Preberajúca banka takýchto internetových obchodov by im preto mala byť schopná poskytnúť tento protokol. Pri absencii 3D Secure nesie všetku zodpovednosť za sporné transakcie on sám. Ak používa 3D Secure, ale vydávajúca banka nie, zodpovednosť preberá tá.

Princíp fungovania 3D Secure spočíva v tom, že existujú tri rôzne domény – vydavateľská banka, internetový obchod a Visa, cez doménu ktorých prechádza správa medzi kupujúcim, predávajúcim a bankami. Je veľmi dôležité, aby všetky správy išli cez internet. Spoločnosť Visa zároveň zabezpečuje dôvernosť informácií. Potom, čo kupujúci klikne na internetovú stránku na slogan Verified by Visa a zadá svoje heslo, táto informácia prejde do vydávajúcej banky a prebehne identifikácia. Vydávajúca banka odošle do internetového obchodu požiadavku prostredníctvom domény Visa, po ktorej je tento obchod identifikovaný jej nadobúdajúcou bankou. Údaje o držiteľovi karty sú teda známe iba banke, ktorá ich vydala. Držiteľ karty má zároveň istotu, že tento obchod má Verified by Visa, to znamená, že je certifikovaný spoločnosťou Visa prostredníctvom nadobúdajúcej banky. V prípade, že vydávajúca banka nedostane potvrdenie z domény Visa, že obchod má Verified by Visa, transakcia sa neuskutoční.

Držiteľ karty môže samozrejme nakupovať aj v iných internetových obchodoch, ktoré nemajú status Verified by Visa. Potom je za sporné transakcie zodpovedná vydávajúca banka a bude na to musieť svojich zákazníkov upozorniť.

Bezpečnosť každého systému elektronického obchodu ako celku spočíva v ochrane pred rôznymi druhmi zásahov do jeho údajov. Všetky tieto zásahy možno rozdeliť do niekoľkých kategórií:

Krádež údajov (napríklad krádež čísel kreditných kariet z databázy);

rušenie (napríklad dátové preťaženie stránky, ktorá nie je určená pre také veľké množstvo informácií);

Poškodenie údajov (napríklad zmena súm v súboroch platieb a faktúr alebo vytváranie neexistujúcich certifikátov alebo stránok na čerpanie informácií smerujúcich na konkrétnu stránku);

zničenie údajov (napríklad pri prenose zo stránky alebo na stránku od používateľa);

Odmietnutie vykonať akcie (napríklad zo skutočnosti zadania objednávky alebo prijatia tovaru);

Neúmyselné zneužitie zariadení stránky bona fide užívateľom;

neoprávnený prístup k informáciám:

neoprávnené kopírovanie, aktualizácia alebo iné použitie údajov;

Neautorizované transakcie

· neoprávnené prezeranie alebo prenos údajov (napríklad zobrazovanie skutočných mien návštevníkov namiesto pseudonymov na chate alebo fóre).

Zároveň nemožno ignorovať skutočnosť, že v bezpečnostných otázkach v tejto oblasti existuje množstvo objektívnych problémov právneho charakteru - technológie sa vyvíjajú oveľa rýchlejšie legislatívneho rámca, útočníka je ťažké chytiť na mieste činu a dôkazy a stopy zločinov možno ľahko zničiť bez stopy. To všetko si vyžaduje, aby spoločnosti starostlivo vypracovali politiky na ochranu svojho elektronického podnikania. Úplnú a absolútnu bezpečnosť nie je možné dosiahnuť, pretože systémy elektronického podnikania sú postavené na základe mnohých hotových a na mieru vyrobených softvérové ​​aplikácie rôznych predajcov a značný počet externých služieb poskytovaných príslušnými poskytovateľmi služieb alebo obchodnými partnermi. Značná časť týchto komponentov a služieb býva pre IT špecialistov zákazníckej spoločnosti nepriehľadná, navyše mnohé z nich ich tvorcovia často upravujú a vylepšujú. Toto všetko nie je možné dôkladne skontrolovať na prípadné bezpečnostné chyby a o to ťažšie je všetky tieto nedostatky odstrániť. A aj keby to bolo možné, nemožno vylúčiť ani takzvaný ľudský faktor, keďže všetky systémy vytvárajú, upravujú a riadia ľudia a podľa výskumu Inštitútu počítačovej bezpečnosti 81 % opýtaných poznamenalo, že ide o interný hrozba, ktorá firmám spôsobuje najväčšie obavy – úmyselné alebo neúmyselné konanie vlastných zamestnancov.

Problém ochrany pred vnútornými hrozbami má dva aspekty: technický a organizačný. Technický aspekt spočíva v snahe eliminovať akúkoľvek možnosť neoprávneného prístupu k informáciám. Na tento účel existujú také známe prostriedky ako:

podpora hesiel a ich pravidelná zmena; udelenie minima práv potrebných na správu systému;

dostupnosť štandardných postupov na včasnú zmenu prístupovej skupiny v prípade personálnych zmien alebo okamžitého zničenia prístupu pri prepustení zamestnanca.

Organizačným aspektom je vypracovať racionálnu politiku vnútornej ochrany, ktorá premieňa na rutinné operácie také metódy ochrany a predchádzania hackerským útokom, ktoré spoločnosti využívajú len zriedka, ako napr.

zavedenie spoločnej kultúry bezpečnosti v spoločnosti;

Testovanie softvéru na hackovanie;

Sledovanie každého pokusu o hackovanie (bez ohľadu na to, aký bol úspešný) a jeho dôkladné preskúmanie;

· každoročné školenia zamestnancov v oblasti bezpečnosti a počítačovej kriminality vrátane informácií o konkrétnych príznakoch hackerských útokov s cieľom maximalizovať okruh zamestnancov, ktorí majú možnosť takéto akcie odhaliť;

· zavedenie jasných postupov na riešenie prípadov neúmyselnej zmeny alebo zničenia informácií.

Na ochranu pred vonkajším prienikom dnes existuje veľa systémov, ktoré sú v podstate rôznymi druhmi filtrov, ktoré pomáhajú identifikovať pokusy o hackovanie v počiatočnom štádiu a ak je to možné, zabraňujú útočníkovi vstúpiť do systému cez externé siete.

smerovače - zariadenia na riadenie sieťovej prevádzky umiestnené medzi sieťami druhého rádu a spravujúce prichádzajúcu a odchádzajúcu prevádzku sieťových segmentov, ktoré sú k nej pripojené;

firewally - prostriedky na izoláciu súkromných sietí od verejných sietí pomocou softvéru, ktorý monitoruje a zastavuje vonkajšie útoky na stránku pomocou určitého typu kontroly požiadaviek;

aplikačné brány - prostriedky, ktorými správca siete implementuje bezpečnostnú politiku, ktorá riadi smerovače implementujúce filtrovanie paketov;

Intrusion Detection Systems (IDS) – systémy, ktoré detegujú úmyselné útoky a neúmyselné zneužitie systémových prostriedkov používateľmi;

· nástroje na hodnotenie bezpečnosti (špeciálne skenery a pod.) - programy, ktoré pravidelne skenujú sieť na problémy a testujú účinnosť implementovanej bezpečnostnej politiky.

Vo všeobecnosti platí, že prvá vec, ktorú by mala spoločnosť urobiť, je zistiť, čo je potrebné chrániť a pred kým. Hlavnými hráčmi v tejto oblasti sú akcionári spoločnosti, spotrebitelia, zamestnanci a obchodní partneri, pričom pre každého z nich je potrebné vypracovať vlastnú schému ochrany. Všetky bezpečnostné požiadavky by mali byť zdokumentované, aby slúžili ako návod pre všetky implementácie e-commerce aplikácií a ich ochranu v rôznych oblastiach spoločnosti. Okrem toho vám to umožní vytvoriť samostatný rozpočet na obsluhu bezpečnostných problémov v rámci spoločnosti a optimalizovať náklady na tieto potreby, čím sa eliminuje duplicita akýchkoľvek bezpečnostných problémov pri vývoji každého jednotlivého obchodného projektu.

Žiaľ, dnes je prax taká, že politiku ochrany dávajú lídri na milosť a nemilosť IT oddeleniu, ktorého zamestnanci sa domnievajú, že technologických problémov dôležitejšie ako nejaké „papierové“ predpisy a okrem toho nie sú špecialistami na určité oblasti podnikania, ktoré si tiež vyžadujú jasné ochranné postupy v rámci spoločnosti.

Okrem toho, pri prepojení rôznych softvérov sa môžu vyskytnúť špecifické problémy, ktoré nie sú známe výrobcom každého z integrovaných produktov. Štúdium takýchto interakcií by malo predchádzať akýmkoľvek technologickým a rozpočtovým rozhodnutiam. A tomu sa doteraz venovalo príliš málo pozornosti.

Počet používateľov internetu dosiahol niekoľko stoviek miliónov a objavila sa nová kvalita v podobe „virtuálnej ekonomiky“. V nej sa nakupuje cez nákupné stránky, využívajú nové obchodné modely, vlastnú marketingovú stratégiu atď.

Elektronický obchod (EC) je obchodná činnosť predaja tovaru cez internet. Spravidla sa rozlišujú dve formy ES:

obchod medzi podnikmi (business to business, B2B);

obchod medzi podnikmi a jednotlivcami, t.j. spotrebiteľov (business to Consumer, B2C).

ES viedlo k vzniku takých nových konceptov, ako sú:

E-shop - výkladná skriňa a obchodné systémy, ktoré využívajú výrobcovia alebo predajcovia pri dopyte po tovare.

Elektronický katalóg - s veľkým sortimentom produktov od rôznych výrobcov.

Elektronická aukcia je obdobou klasickej aukcie s využitím internetových technológií s charakteristickou väzbou na multimediálne rozhranie, internetový prístupový kanál a zobrazenie vlastností produktu.

Elektronický obchodný dom je obdobou klasického obchodného domu, kde vystavujú svoj tovar bežné firmy s efektívnou produktovou značkou (Gostiny Dvor, GUM atď.).

Virtuálne komunity (komunity), v ktorých sú kupujúci organizovaní záujmovými skupinami (fankluby, združenia a pod.).

Internet v oblasti CI prináša významné výhody:

úspory veľkých súkromných spoločností z presunu nákupov surovín a komponentov na internetové burzy dosahujú 25 - 30 %;

účasť na aukcii konkurenčných dodávateľov z celého sveta v reálnom čase vedie k zníženiu cien nimi naprogramovaných za dodávku tovaru alebo služieb;

zvýšenie cien tovarov alebo služieb v dôsledku konkurencie medzi kupujúcimi z celého sveta;

úspory znížením počtu potrebných zamestnancov a množstva papierovačiek.

Dominantným postavením v EK v západných krajinách sa stal B2B sektor, ktorý do roku 2007 podľa rôznych odhadov dosiahne od 3 do 6 biliónov. dolárov.

Spoločnosti predávajúce hardvér a softvér a poskytujúce počítačové a telekomunikačné služby boli prvé, ktoré profitovali z presunu svojho podnikania na internet.

Každý internetový obchod obsahuje dva hlavné komponenty: elektronický obchod a obchodný systém.

Elektronický obchod obsahuje informácie o tovare predávanom na webovej stránke, poskytuje prístup do databázy obchodu, eviduje zákazníkov, pracuje s elektronickým „košíkom zákazníka“, zadáva objednávky, zbiera marketingové informácie a prenáša informácie do obchodného systému.

Obchodný systém dodá tovar a spracuje zaň platbu. Obchodný systém je súbor obchodov vlastnených rôznymi firmami, ktoré si prenajímajú priestor na webovom serveri, ktorý vlastní jedna spoločnosť.

Technológia internetového obchodu je nasledovná:

Kupujúci si v elektronickom obchode s katalógom tovaru a cien (webová stránka) vyberá požadovanú položku a vyplní formulár s osobnými údajmi (meno, poštová a emailová adresa, preferovaný spôsob doručenia a platby). Ak sa platba uskutočňuje cez internet, osobitná pozornosť sa venuje informačnej bezpečnosti.

Prevod vydaného tovaru do obchodného systému internetového obchodu, kde je objednávka dokončená. Obchodný systém funguje manuálne alebo automatizovane. Manuálny systém funguje na princípe poštového obchodu, kedy nie je možné zakúpiť a zriadiť automatizovaný systém spravidla pri malom množstve tovaru.

Dodanie a platba tovaru. Dodanie tovaru kupujúcemu je realizované jedným z možných spôsobov:

kuriér obchodu v rámci mesta a jeho okolia;

špecializovaný kuriérskou službou(aj zo zahraničia);

• zdvihnúť;

  telekomunikačné siete dodávajú taký špecifický produkt, akým sú informácie.

Platbu za tovar je možné uskutočniť nasledujúcimi spôsobmi:

pred alebo v čase prevzatia tovaru;

v hotovosti kuriérovi alebo pri návšteve skutočnej predajne;

poštový prevod;

Banková transakcia;

platba na dobierku;

používanie kreditných kariet (VISA, MASTER CARD atď.);

prostredníctvom elektronických platobných systémov prostredníctvom jednotlivých komerčných bánk (TELEBANK, ASSIST a pod.).

V poslednom období sa vo svete pomerne rýchlo rozvíja elektronický obchod alebo obchod cez internet. Tento proces sa samozrejme uskutočňuje za priamej účasti finančných inštitúcií. A tento spôsob obchodovania je čoraz populárnejší, aspoň tam, kde je nový elektronický trh môže byť prínosom pre veľkú časť podnikov a obyvateľstva.

Obchodná činnosť v elektronické siete odstraňuje niektoré fyzické obmedzenia. Spoločnosti pripojením svojich počítačových systémov na internet dokážu zákazníkom poskytnúť podporu 24 hodín denne, bez sviatkov a víkendov. Objednávky produktov je možné prijímať kedykoľvek a odkiaľkoľvek.

Táto „medaila“ má však aj svoju odvrátenú stránku. V zahraničí, kde je elektronický obchod najviac rozvinutý, sú transakcie alebo náklady na tovar často obmedzené na 300 – 400 USD. Je to spôsobené nedostatočným riešením problémov informačnej bezpečnosti v počítačových sieťach. Počítačová kriminalita sa podľa Výboru OSN pre prevenciu a kontrolu kriminality dostala na úroveň jedného z medzinárodných problémov. V Spojených štátoch je tento druh trestnej činnosti z hľadiska ziskovosti na treťom mieste po obchode so zbraňami a drogami.

Objem svetového obratu elektronického obchodu cez internet v roku 2006 môže byť podľa prognóz spoločnosti Forrester Tech. od 1,8 do 2 biliónov. dolárov Takýto široký rozsah predpovedí je determinovaný problémom zabezpečenia ekonomickej bezpečnosti elektronického obchodu. Ak úroveň bezpečnosti zostane na dnešnej úrovni, potom môže byť globálny obrat elektronického obchodu ešte menší. Z toho vyplýva, že práve nízka bezpečnosť systému elektronického obchodu je odstrašujúcim faktorom rozvoja elektronického obchodu.

Riešenie problematiky zabezpečenia ekonomickej bezpečnosti elektronického obchodu je primárne spojené s riešením otázok ochrany informačných technológií v ňom používaných, teda so zaistením informačnej bezpečnosti.

Integrácia podnikových procesov do prostredia internetu vedie k zásadnej zmene situácie s bezpečnosťou. Generovanie práv a povinností na základe elektronického dokumentu si vyžaduje komplexnú ochranu proti súhrnu hrozieb, a to ako odosielateľa dokumentu, tak aj jeho príjemcu.

Žiaľ, lídri e-commerce podnikov si plne uvedomujú závažnosť informačných hrozieb a dôležitosť organizácie ochrany svojich zdrojov až po tom, čo boli vystavení informačným útokom. Ako vidíte, všetky tieto prekážky sa týkajú oblasti informačnej bezpečnosti.

Medzi hlavné požiadavky na vykonávanie obchodných transakcií patrí dôvernosť, integrita, autentifikácia, autorizácia, záruky a utajenie.

Keď sa dosiahne bezpečnosť informácií, je potrebné zabezpečiť ich dostupnosť, dôvernosť, integritu a právny význam základné úlohy . Každá hrozba sa musí posudzovať z hľadiska toho, ako môže ovplyvniť tieto štyri vlastnosti alebo kvality bezpečných informácií. Dôvernosť znamená, že informácie s obmedzeným prístupom by mali byť dostupné len osobe, ktorej sú určené. Pod bezúhonnosť informácia sa chápe ako jej vlastnosť existencie v neskreslenej podobe. Dostupnosť informácie sú určené schopnosťou systému poskytnúť včasný neobmedzený prístup k informáciám subjektom, ktoré na to majú príslušné oprávnenie. Právny význam informácie v poslednom období naberajú na dôležitosti spolu s vytváraním regulačného rámca informačnej bezpečnosti v našej krajine.

Kým prvé štyri požiadavky je možné splniť technickými prostriedkami, splnenie posledných dvoch závisí jednak od technických prostriedkov a jednak od zodpovednosti jednotlivcov a organizácií, ako aj od dodržiavania zákonov, ktoré chránia spotrebiteľa pred možným podvodom predajcu.

V rámci zabezpečenia komplexnej informačnej bezpečnosti je v prvom rade potrebné vyzdvihnúť kľúč otázky bezpečnosti elektronického podnikania ktoré zahŕňajú: ochranu informácií počas ich prenosu komunikačnými kanálmi; ochrana počítačových systémov, databáz a správy elektronických dokumentov; zabezpečenie dlhodobého uchovávania informácií v v elektronickom formáte; zaistenie bezpečnosti transakcií, utajenia obchodných informácií, autentifikácie, ochrany duševného vlastníctva a pod.

Existuje niekoľko typov hrozieb elektronického obchodu:

Prienik do systému zvonku.

Neoprávnený prístup v rámci spoločnosti.

Zámerné zachytávanie a čítanie informácií.

Úmyselné narušenie dát alebo sietí.

Nesprávna (na podvodné účely) identifikácia používateľa.

Ochrana pred hackovaním softvéru a hardvéru.

Neoprávnený prístup používateľa z jednej siete do druhej.

Vírusové útoky.

Odmietnutie služby.

Finančné podvody.

Na boj proti týmto hrozbám sa používa množstvo metód založených na rôznych technológiách, a to: šifrovanie - kódovanie údajov, ktoré zabraňuje ich prečítaniu alebo skresleniu; digitálne podpisy, ktoré overujú totožnosť odosielateľa a príjemcu; stealth technológie využívajúce elektronické kľúče; brány firewall; virtuálne a privátne siete.

Žiadna z metód ochrany nie je univerzálna, napríklad firewally nekontrolujú vírusy a nie sú schopné zabezpečiť integritu dát. Proti narušeniu automatickej ochrany neexistuje absolútne spoľahlivý spôsob a je len otázkou času, kedy dôjde k jej narušeniu. Ale čas potrebný na prelomenie takejto ochrany zase závisí od jej kvality. Musím povedať, že softvér a hardvér na ochranu pripojení a aplikácií na internete sa vyvíjal dlho, aj keď nové technológie sa zavádzajú trochu nerovnomerne.

Ktoré vyhrážky číha na spoločnosť zaoberajúcu sa elektronickým obchodom v každom štádiu :

nahradenie webovej stránky servera elektronického obchodu (presmerovanie požiadaviek na iný server), sprístupnenie informácií o klientovi, najmä o jeho kreditných kartách, tretím stranám;

vytváranie falošných objednávok a rôznych foriem podvodov zo strany zamestnancov elektronického obchodu, napríklad manipulácia s databázami (štatistiky ukazujú, že viac ako polovica počítačových incidentov súvisí s činnosťou ich vlastných zamestnancov);

zachytávanie údajov prenášaných prostredníctvom sietí elektronického obchodu;

prienik škodcov do internej siete spoločnosti a kompromitácia komponentov elektronického obchodu;

implementácia útokov odmietnutia služby a narušenie alebo narušenie stránky elektronického obchodu.

V dôsledku implementácie takýchto hrozieb spoločnosť stráca dôveru zákazníkov, stráca peniaze z potenciálnych a / alebo nedokončených transakcií, narúša činnosť elektronického obchodu, míňa čas, peniaze a ľudské zdroje na obnovenie fungovania.

Hrozby spojené so zachytením informácií prenášaných cez internet samozrejme nie sú jedinečné v oblasti elektronického obchodu. V súvislosti s posledným uvedeným je obzvlášť dôležitá skutočnosť, že v jej systémoch kolujú informácie veľkého ekonomického významu: čísla kreditných kariet, čísla účtov, obsah zmlúv atď.

Na prvý pohľad sa môže zdať, že každý takýto incident nie je ničím iným ako internou záležitosťou konkrétneho subjektu elektronického podnikania. Zoberme si však rok 2000, ktorý bol poznačený hromadnými zlyhaniami popredných e-business serverov, ktoré sú skutočne celoštátne: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek a E*Trade. Vyšetrovanie FBI zistilo, že tieto servery vypadli z dôvodu niekoľkonásobného nárastu počtu žiadostí o službu, ktoré im boli odoslané v dôsledku implementovaných útokov DoS. Napríklad toky požiadaviek na server Buy prekročili priemer 24-krát a limit 8-krát. Podľa rôznych odhadov sa ekonomické škody, ktoré týmto krokom utrpelo americké hospodárstvo, pohybujú okolo jeden a pol miliardy.

Zabezpečenie bezpečnosti nie je len predpokladom úspešného elektronického podnikania, ale aj základom dôveryhodného vzťahu medzi protistranami. Podstatou e-businessu je aktívna výmena informácií, transakcie cez nezabezpečenú verejnú sieť, ktoré sú jednoducho nemožné bez dôverného vzťahu medzi podnikateľskými subjektmi. Bezpečnosť je preto komplexná a zahŕňa také úlohy, ako je prístup k webovým serverom a webovým aplikáciám, autentifikácia a autorizácia používateľov, zabezpečenie integrity a dôvernosti údajov, implementácia elektronického digitálneho podpisu atď.

S rastúcou komercializáciou internetu sa čoraz viac pozornosti venuje ochrane informácií prenášaných cez sieť. Špecializované protokoly určené na organizáciu bezpečnej interakcie cez internet (napríklad SET, SOCKS5, SSL, SHTTP atď.) sú široko uznávané po celom svete a úspešne ich používajú zahraniční vývojári na vytváranie bankovníctva a obchodovania. elektronické systémy založené na internete.

V zahraničí je nezávislé konzorcium – Internet Security Task Force (ISTF) – verejná organizácia pozostávajúca zo zástupcov a expertov spoločností dodávajúcich nástroje informačnej bezpečnosti, elektronického obchodu a poskytovateľov internetových služieb.

Zdôrazňuje konzorcium ISTF dvanástich oblastí informačnej bezpečnosti , ktorý by mal upriamiť pozornosť predovšetkým organizátorov elektronického podnikania:

mechanizmus na objektívne potvrdenie identifikačných informácií;

právo na osobné, súkromné ​​informácie;

definovanie bezpečnostných udalostí;

podniková ochrana perimetra;

definícia útokov;

kontrola potenciálne nebezpečného obsahu;

Riadenie prístupu;

administratíva;

reakcia na udalosti.

Je známe, že používanie algoritmov elektronického digitálneho podpisu (EDS) umožňuje spoľahlivú ochranu pred mnohými hrozbami, ale to platí len vtedy, ak sú tieto algoritmy votkané do primeraných interakčných protokolov, právne správneho budovania vzťahov a logicky uzavretého systému. dôvery.

Základom ochrany informácií je jednoduchá logika procesov výpočtu digitálneho podpisu a jeho overenia pomocou dvojice zodpovedajúcich kľúčov, avšak logika vychádzajúca zo základného matematického výskumu. Digitálny podpis môže vypočítať iba vlastník súkromného kľúča a každý, kto má verejný kľúč zodpovedajúci súkromnému kľúču, ho môže overiť.

Samozrejme, špecialisti v tejto oblasti by sa mali podieľať na zabezpečovaní informačnej bezpečnosti, ale šéfovia štátnych orgánov, podnikov a inštitúcií bez ohľadu na vlastníctvo, ktorí sú zodpovední za ekonomické zabezpečenie určitých ekonomických subjektov, musia túto problematiku neustále udržiavať vo svojom odbore. vízie. Pre nich sú uvedené nižšie hlavné funkčné zložky organizácie integrovaný systém informačná bezpečnosť:

komunikačné protokoly;

kryptografické prostriedky;

prostriedky kontroly prístupu na pracoviská z verejných sietí;

antivírusové komplexy;

programy detekcie a auditu narušenia;

nástroje na centralizovanú správu riadenia prístupu používateľov, ako aj zabezpečenú výmenu dátových paketov a správ ľubovoľných aplikácií cez otvorené siete.

Internet už dlho má množstvo výborov, väčšinou dobrovoľníckych organizácií, ktoré starostlivo vedú navrhované technológie cez proces štandardizácie. Tieto výbory, ktoré tvoria väčšinu Internet Engineering Task Force (IETF), štandardizovali niekoľko dôležitých protokolov, čím urýchlili ich prijatie na internete. Protokoly, ako je rodina TCP/IP pre prenos dát, SMTP (Simple Mail Transport Protocol) a POP (Post Office Protocol) pre e-maily a SNMP (Simple Network Management Protocol) pre správu siete, sú priamymi výsledkami úsilia IETF. Typ použitého ochranného prípravku závisí od potrieb spoločnosti.

Na internete sú populárne protokoly bezpečného prenosu dát, konkrétne SSL, SET, IP v.6. Uvedené protokoly sa na internete objavili pomerne nedávno, ako potreba ochrany cenných informácií, a okamžite sa stali de facto štandardmi. Pripomeňme, že internet bol vytvorený pred niekoľkými desaťročiami na vedeckú výmenu informácií malej hodnoty.

Bohužiaľ, Rusko je stále veľmi opatrné, pokiaľ ide o možnosť zavedenia internetu do tých oblastí činnosti, ktoré sú spojené s prenosom, spracovaním a uchovávaním dôverných informácií. Takáto opatrnosť sa vysvetľuje nielen konzervativizmom domácich finančných štruktúr, ktoré sa obávajú otvorenosti a dostupnosti internetu, ale čiastočne aj skutočnosťou, že väčšina softvéru pre bezpečnosť informácií západných výrobcov vstupuje na náš trh s vývoznými obmedzeniami týkajúcimi sa kryptografických algoritmy v nich implementované. Napríklad exportné verzie WWW serverov a softvéru prehliadačov od výrobcov ako Microsoft a Netscape Communications majú obmedzenia dĺžky kľúča pre jednokľúčové a dvojkľúčové šifrovacie algoritmy používané protokolom SSL, ktorý neposkytuje úplnú ochranu pri prehliadaní internetu.

Aplikácie elektronického obchodu sú však okrem interných hrozieb vystavené aj vonkajším hrozbám z internetu. A keďže nie je praktické prideľovať každému anonymnému návštevníkovi samostatné prihlasovacie ID (keďže aplikácia nerastie), spoločnosti musia používať iný druh autentifikácie. Okrem toho je potrebné pripraviť servery na odrazenie útokov. Nakoniec je potrebné venovať mimoriadnu pozornosť kritickým údajom, ako sú čísla kreditných kariet.

Šifrovanie údajov

Obchodná stránka spracováva citlivé informácie (ako sú čísla spotrebiteľských kreditných kariet). Prenos takýchto informácií cez internet bez akejkoľvek ochrany môže viesť k nenapraviteľným následkom. Ktokoľvek môže prenos odpočúvať a získať tak prístup k dôverným informáciám. Preto musia byť údaje šifrované a prenášané cez zabezpečený kanál. Na implementáciu bezpečného prenosu dát sa používa protokol Secure Sockets Layer (SSL).

Ak chcete implementovať túto funkciu, musíte si zakúpiť digitálny certifikát a nainštalovať ho na svoje servery. Pre digitálny certifikát sa môžete obrátiť na niektorý z certifikačných orgánov. Medzi známe komerčné certifikačné organizácie patria: VerySign, CyberTrust, GTE.

SSL je schéma pre protokoly ako HTTP (nazývaný HTTPS, keď je bezpečný), FTP a NNTP. Pri použití SSL na prenos dát:

údaje sú šifrované;

medzi zdrojovým serverom a cieľovým serverom bolo vytvorené zabezpečené spojenie;

je povolená autentifikácia servera.

Keď používateľ odošle číslo kreditnej karty pomocou protokolu SSL, údaje sa okamžite zašifrujú, aby ich obsah nevidel hacker. SSL je nezávislé od sieťového protokolu.

Serverový softvér Netscape tiež poskytuje autentifikáciu – certifikáty a digitálne podpisy – poskytuje identitu používateľa a integritu správy a zabezpečuje, že správa nezmenila svoju cestu.

Autentifikácia zahŕňa potvrdenie totožnosti používateľa a digitálny podpis na overenie pravosti dokumentov zapojených do výmeny informácií a finančných transakcií. Digitálny podpis sú údaje, ktoré možno pripojiť k dokumentu, aby sa zabránilo falšovaniu.

Detekcia narušenia

Intrusion Detection Systems (IDS) dokáže identifikovať vzory alebo stopy útokov, generovať alarmy na varovanie operátorov a vyzvať smerovače, aby prerušili spojenia so zdrojmi nelegálneho vniknutia. Tieto systémy môžu tiež zabrániť pokusom spôsobiť odmietnutie služby.

Ochrana údajov na stránke

Ak chcete chrániť údaje lokality, musíte analyzovať údaje používané webom a definovať bezpečnostnú politiku. Týmito údajmi môžu byť HTML kód, podrobnosti o zákazníkovi a produkte uložené v databáze, adresáre, heslá a ďalšie overovacie informácie. Tu je niekoľko základných princípov, ktoré možno použiť pri definovaní politiky zabezpečenia údajov:

Citlivé údaje musíte uchovávať za interným firewallom, v zabezpečenej internej sieti. Pre citlivé údaje by sa mal poskytnúť minimálny počet prístupových bodov. Zároveň je potrebné pripomenúť, že pridávanie bezpečnostných vrstiev a skomplikovanie prístupu do systému ovplyvňuje fungovanie systému ako celku.

Databázy, ktoré uchovávajú málo citlivé údaje, môžu byť umiestnené na serveroch DMZ.

Heslá môžu byť uložené po konverzii pomocou jednosmerných algoritmov. To však znemožňuje implementovať všeobecne akceptovanú (a populárnu) možnosť spracovania správ typu „Zabudol som heslo, pošlite mi ho cez e-mail“, hoci si môžete vytvoriť nové heslo a poslať ho ako alternatívu.

Citlivé informácie, ako sú čísla kreditných kariet, môžu byť uložené v databázach aj po zašifrovaní. Iba oprávnení používatelia a aplikácie ho môžu dešifrovať vždy, keď to bude potrebné. To však ovplyvňuje aj rýchlosť systému ako celku.

Údaje lokality môžete chrániť aj pomocou komponentov strednej vrstvy. Tieto komponenty môžu byť naprogramované tak, aby overovali používateľov, čo umožňuje prístup k databáze a jej komponentom iba oprávneným používateľom a chráni ich pred vonkajšími hrozbami.

Môžete implementovať dodatočné bezpečnostné funkcie serverovej strany systému. Môžete napríklad použiť vlastné bezpečnostné funkcie SQL Servera, aby ste zabránili neoprávnenému internému prístupu k databáze.

Upozorňujeme, že rovnako dôležité je chrániť zálohy, ktoré obsahujú informácie pre spotrebiteľov.

Situáciu zhoršuje skutočnosť, že každý týždeň sa objavujú nové a nové spôsoby infiltrácie alebo poškodzovania údajov, ktoré sú schopné monitorovať len profesionálne organizácie špecializujúce sa na informačnú bezpečnosť.

Integrácia obchodu do internetu sľubuje zásadnú zmenu bezpečnostnej situácie. S rastúcou komercializáciou internetu sa čoraz viac pozornosti venuje ochrane informácií prenášaných cez sieť. Pokrok v oblasti informačnej bezpečnosti preto do značnej miery určuje vývoj procesu elektronického obchodu.

V Rusku je rozvoj elektronického obchodu obmedzený:

Absencia alebo slabý rozvoj infraštruktúry ES, najmä spoľahlivá a všadeprítomná infraštruktúra na doručovanie tovaru kupujúcemu (kuriérske služby a pod.), najmä prostredníctvom „elektronického obchodu“ umiestneného v inom meste.

Nevybavená prax štátnej presadzovania práva a v dôsledku toho chýbajúce alebo slabé záruky na vykonávanie transakcií uzavretých v elektronickej forme.

Prítomnosť objektívnych a subjektívnych predpokladov pre rozvoj podvodov spojených s využívaním internetu na obchodovanie.

Slabá marketingová štúdia projektov EK.

Ťažkosti so splácaním tovaru, najmä nedostatok dôvery verejnosti v komerčné banky.

Nízka úroveň príjmov väčšiny ruskej populácie robí peniaze cennejším bohatstvom ako čas, takže mnohí Rusi nesúhlasia s tým, aby zaplatili náklady na doručenie spolu s nákladmi na tovar, a radšej nakupujú v konvenčné obchody. Preto sa ES môže v Rusku rozšíriť až po výraznom zlepšení ekonomickej situácie v krajine.

Bezpečnosť v oblasti e-commerce

Úvod

Vznik a rozvoj internetu, zdokonaľovanie informačných technológií, systémov a štandardov pre ich interakciu viedli k vytvoreniu nového smeru moderného podnikania – elektronického podnikania, ako špeciálnej formy podnikania, realizovanej vo veľkej miere prostredníctvom tzv. zavádzanie informačných technológií do výroby, predaja a distribúcie tovarov a služieb .

E-business je výsledkom nových, kvalitatívnych zmien spojených so zavádzaním informačných a komunikačných technológií do tradične existujúceho podnikania. Myšlienka elektronického podnikania je vo svojej podstate logickým vývojom myšlienky automatizácie a informatizácie.

Elektronický obchod vytvára dva efekty na úrovni podniku: zásadne reorganizuje cestu produktov od výroby k koncový užívateľ a mení celú štruktúru trhu. Umožňuje tiež malým podnikom konkurovať veľkým a stredným organizáciám bez vysokých nákladov.

Rozvoj informačných a komunikačných technológií viedol k rozvoju podnikania na internete, čím vznikol nový smer – virtuálna alebo sieťová ekonomika a elektronický obchod sa stal jedným zo spôsobov elektronického podnikania z hľadiska Internetová komunikácia.

Systémy elektronického obchodu sú však náchylnejšie na bezpečnostné riziká ako tradičné obchodné systémy, a preto je nevyhnutné zabezpečiť ich náležitú ochranu.

Dôvody vysokých bezpečnostných rizík

Systémy elektronického obchodu sú typickým príkladom distribuovaného výpočtového systému. V nich pracuje niekoľko klientov s jedným serverom, menej často s viacerými servermi. Elektronický obchod je teda ohrozený všetkými vnútornými a vzdialenými útokmi, ktoré sú vlastné každému distribuovanému počítačovému systému, ktorý interaguje prostredníctvom prenosu údajov cez otvorené siete.

Fungujúca technológia typický podnik v oblasti elektronického obchodu fungujúceho na báze internetového obchodu zahŕňa tieto kroky:

1. Výber produktu na elektronickom obchode s katalógom tovaru a cenami (webová stránka). Kupujúci zadá svoje osobné údaje do príslušného formulára.

2. Prevod vydaného tovaru do obchodného systému internetového obchodu, kde je objednávka dokončená.

3. Dodanie a platba za tovar. Dodanie tovaru kupujúcemu je realizované jedným z možných spôsobov:

– kuriér predajne v rámci mesta a jeho okolia;

– špecializovaná kuriérska služba (aj zo zahraničia);

- poštou;

- vlastné doručenie;

- taký špecifický produkt, akým sú informácie, sa dodáva prostredníctvom telekomunikačných sietí.

4. Platbu za tovar je možné uskutočniť nasledujúcimi spôsobmi:

- pred alebo v čase prevzatia tovaru;

- v hotovosti kuriérovi alebo pri návšteve skutočnej predajne;

- poštovým prevodom;

- Banková transakcia;

- platba na dobierku;

- používanie kreditných kariet (VISA, MASTER CARD atď.);

– prostredníctvom elektronických platobných systémov prostredníctvom jednotlivých komerčných bánk (TELEBANK, ASSIST a pod.).

Počas týchto fáz sa môžu vyskytnúť nasledujúce možnosti podvodu:

- získavanie údajov o klientovi prostredníctvom hacknutia databázy obchodných spoločností alebo zachytením správ od kupujúceho obsahujúcich jeho osobné údaje;

- Motýlie obchody, ktoré sa objavujú spravidla na krátky čas, aby zmizli po prijatí finančných prostriedkov od zákazníkov za neexistujúce služby alebo tovar;

- zvýšenie hodnoty tovaru v porovnaní s cenou ponúkanou kupujúcemu alebo opakovanie inkasa z účtu klienta;

- obchody alebo obchodní zástupcovia určené na zhromažďovanie informácií o údajoch o karte a iných osobných údajoch kupujúceho.

– výmena web-server stránky elektronického obchodu. Hlavnou metódou implementácie je presmerovanie požiadaviek používateľov na iný server. Vykonáva sa nahradením položiek v tabuľkách serverov DNS alebo v tabuľkách smerovačov. Toto je obzvlášť nebezpečné, keď zákazník zadá číslo svojej kreditnej karty.

– vytváranie falošných objednávok a podvody zamestnancami elektronického obchodu. Prienik do databázy a zmena postupov pri vybavovaní objednávok umožňuje nelegálnu manipuláciu s databázou

– zachytávanie údajov prenášaných v systéme elektronického obchodu. Zvlášť nebezpečné je zachytenie informácií o kreditnej karte zákazníka.

– Prienik do internej siete spoločnosti a kompromitácia komponentov elektronického obchodu.

– implementácia útokov odmietnutia služby a narušenie alebo deaktivácia stránky elektronického obchodu.

Metódy ochrany

Opatrenia prijaté účastníkmi elektronického obchodu na zabezpečenie bezpečných platieb na internete sú veľmi rôznorodé. Nasledujú hlavné metódy:

1. Držitelia školenia bankové karty minimálne zručnosti na zaistenie vlastnej bezpečnosti. Metóda zahŕňa nasledujúce odporúčania: používajte iba dôveryhodné zdroje prístupu na internet, preštudujte si postup pri doručovaní tovaru a poskytovaní služieb, overte si, či obchodník používa certifikované protokoly, ktoré zaručujú bezpečnosť prenášaných informácií.

2. Šifrovanie údajov. Takmer všetky banky poskytujúce služby Internet bankingu dnes využívajú SSL (Secure Socked Layer) – šifrovanie dát prenášaných z počítača používateľa do systému banky a naopak. Protokol SSL, ktorý je široko používaný a stal sa takmer povinným v internetovom obchode, umožňuje všetkým účastníkom obchodu jednoducho prenášať širokú škálu informácií. Ak sa pokúsite zachytiť dáta, budú uzavreté šifrou, ktorú nie je možné prelomiť v primeranom čase.
Protokol SSL bezpečne chráni informácie prenášané cez internet, no napriek tomu nedokáže ochrániť súkromné ​​informácie uložené na serveri predajcu, ako sú čísla kreditných kariet. Keď obchodník dostane informácie o kreditnej karte spolu s požiadavkou na nákup, informácie sa dešifrujú a uložia sa na server, kým sa žiadosť nedokončí. Ak server nie je zabezpečený a údaje nie sú šifrované, je možný neoprávnený prístup k súkromným informáciám a ich ďalšie použitie na podvodné účely.

3. Jednorazové heslá získané z bankomatu. Pri takomto bezpečnostnom systéme musí používateľ okrem bežného prihlasovacieho mena a hesla na vstup do systému a potvrdenie operácií zadať jednorazové heslo, ktorého zoznam dostane v bankomate svojej banky. Z bezpečnostného hľadiska má takýto systém výhodu - na uskutočnenie transakcií na kartovom účte cez Internet banking musí mať človek k dispozícii aspoň samotnú kartu a poznať aj PIN kód, aby mohol získať zoznam. hesiel v bankomate.

4. Jednorazové SMS heslá je systém, v ktorom musí byť každá transakcia realizovaná prostredníctvom online bankingu potvrdená jednorazovým heslom, ktoré používateľ dostane v SMS správe na mobilný telefón. V tomto prípade musí byť mobilné číslo „zviazané“ s číslom účtu.
Tento systém má nasledujúce výhody:

– jednoduché použitie – nie je potrebné špeciálne vybavenie a postup na potvrdenie operácie trvá len niekoľko minút.

– ochrana účtu – aj keď sa podvodníci dozvedia prihlasovacie meno a heslo na prihlásenie do systému, k peniazom sa nedostanú a používateľ sa o pokuse o vykonanie neoprávnenej operácie dozvie z SMS správy.

Záver

Problém zabezpečenia spoľahlivosti informačnej bezpečnosti nie je možné vyriešiť iba pomocou technických prostriedkov a softvéru. Podľa odborníkov závisí ochrana podnikových informačných systémov od viacerých faktorov: 30 % - od použitých technických riešení; o 40 % - z organizačných opatrení vykonávaných v inštitúcii a o 30 % - od mravného stavu spoločnosti a celkovej kultúrnej úrovne užívateľa.
V súčasnosti každá organizácia rieši otázky zaistenia bezpečnosti online obchodných transakcií individuálne s využitím nástrojov profesionálnej ochrany. Pre nedostatok relevantných predpisov v oblasti elektronického obchodu však bude trvať veľa času a úsilia, kým si získajú dôveru významnej masy zákazníkov.