ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ
КОММЕРЦИИ В СЕТИ ИНТЕРНЕТ
Ф.М.Алимова (ТУИТ, ассистент кафедры «Информационные технологии»)
Системы электронной торговли представляют собой характерный пример
распределенной вычислительной системы. В них несколько клиентов работают с одним
сервером, реже с несколькими серверами. Таким образом, электронному магазину
угрожают все внутренние и удаленные атаки, присущие любой распределенной
компьютерной системе, взаимодействующей посредством передачи данных по открытым
сетям. Безопасность является ключевым вопросом для внедрения электронной коммерции.
Основным препятствием, возникающим на пути развития рынка Интернет-платежей,
является психологический фактор, связанный с осознанием угрозы потенциального
мошенничества. Люди до сих пор не рассматривают Интернет как безопасную среду, чему
способствует объективная информация о степени безопасности работы в Интернете.
Опросы показывают, что более всего люди боятся потенциальной угрозы получения кем-
либо их персональных данных при работе через Интернет. По данным платежной системы
VI SA около 23% транзакций с банковскими картами так и не производятся из-за боязни
клиента ввести запрашиваемую электронным магазином персональную информацию о
клиенте. В результате, люди главным образом используют Интернет в качестве
информационного канала для получения интересующей их информации.
91
На сегодняшний день наиболее интересным объектом для атаки со стороны
электронных кибервзломщиков являются юридические лица. Физические лица
мошенников, как правило, не интересуют, так как их остатки по счетам недостаточно
велики. К тому же вероятность взлома юридических лиц повышается по причине того, что
бухгалтерия в рабочие дни обязательно активна. Каждый месяц в правоохранительных
органах фиксируются десятки подобных инцидентов. В подавляющем большинстве
случаев хищение денег организуется с несанкционированным использованием даже не
извлекаемых секретных ключей при онлайновых атаках, когда USB-токен установлен в
рабочем компьютере. Токен, в своюочередь, представляет из себя миниатюрное
устройство, снабженное клавиатурой и жидкокристаллическим индикатором. Эти
устройства позволяют защитить ключ от несанкционированного доступа как на
программном уровне, поскольку воспользоваться им может только человек, знающий
соответствующий PIN -код, так и на физическом уровне. Даже если токен будет украден и
разобран на детали злоумышленниками, получить доступ к хранящейся на нем
информации невозможно.
Наибольшее число проблем возникает, если бухгалтерский компьютер не только
постоянно оснащен однажды установленным USB-токеном, но и системный блок не
выключается на ночь,а только переводится в «спящий» режим, оставаясь подключенным к
каналу доступа в сеть Интернет.
Первые массовые инциденты атак в режиме он-лайн на пользователей
дистанционного банковского обслуживания стали проявляться с начала 2010г.
Проникающие на компьютер вирусы выделяют период перерыва в работе системы
дистанционного банковского обслуживания, и после адаптации к установленному на
компьютере клиентскому программному обеспечению и считывания основных
параметров проведения подобных операций, начинают создавать свои платежные
поручения для отправления в банк.
Обычно это троянские вирусы с функцией удаленного доступа к консоли
дистанционного банковского обслуживания. На компьютер пользователя сначала
проникает загрузчик, который после «укоренения» на компьютере-жертве и
детектирования компании-разработчика клиентского модуля дистанционного банковского
обслуживания загружает на машину дополнения для работы именно с этой версией
системы. Поскольку они не выходят в сеть Интернет, антивирусы часто их не
отслеживают.
Еще одним из способов мошенничества является перехват команд на запрос
электронной цифровой подписи (ЭЦП) с USB-портов компьютера с хоста
злоумышленника через компьютер клиента сразу до банковского сервера.
Таким образом, во время сеанса работы с дистанционным банковским
обслуживанием клиент фактически использует свой компьютер вместе с мошенником,
который в удаленном режиме свободно работает с его системой. Соответственно,
оператор бухгалтерского компьютера может не уследить за формированиеминых
платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих.
Но для защиты клиентов от новых вирусных угроз банк в свою очередь, может
улучшить свою систему безопасности. В его возможности входит настройка
индивидуально по каждому юридическому лицу или индивидуальному частному
предпринимателю пороговой суммы для платежного поручения.
Необходимо помнить, что проблемы безопасности онлайновых услуг связаны
также и с отсутствием нормативно-правовой базы: закона об электронно-цифровой
подписи, комплекта нормативных актов прямо регулирующих права и обязанности
участников оборота онлайновых финансовых услуг, гарантий по выполнению
распоряжений отданных в электронной форме, толкования подобных операций
соответствующими контролирующими и надзорными ведомствами,
все эти
обстоятельства тормозят развитие электронных банковских услуг. Кроме того, отсутствие
92
стандартизированных шифровальных протоколов для передачи информации через
Интернет не прибавляет активности потенциальным банковским клиентам.
Сегодня вопросы обеспечения безопасности онлайновых банковских операций
каждый банк решает в отдельности пут¸м использования профессиональных средств
защиты.
Do'stlaringiz bilan baham: |