CC BY
22
А.И. Галкин
ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИЕ И ПРАВОВЫЕ ФАКТОРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
Интенсивно развивающаяся в России инфраструктура электронных финансовых трансакций, в первую очередь Интернет-банкинг, в настоящее время имеет только отдельные элементы разработанной непосредственно для него системы конкретных правовых и регламентирующих норм. Соответственно нет и действенного механизма правоохранительного и фискального контроля совершаемых операций. Такие сложные операции, как электронные платежи и расчеты, совершение и фиксация сделок и т.п., почти не попадают в сферу прямого регулирования действующим законодательством, а следовательно, и контроля, или попадают исключительно фрагментарно [1, с. 59]. Организация безопасности - традиционная проблема. Связанные с ней вопросы - одни из самых болезненных при разработке систем сервиса в режиме реального времени и принятии решения о начале коммерческой эксплуатации. Проблема безопасности часто становится доминирующей, мешая развивать Интернет-услуги.
Система безопасности электронного бизнеса Система безопасности электронного бизнеса призвана решать те же проблемы, что и системы безопасности для традиционных видов деятельности.
Если не рассматривать действия злоумышленника, приводящие к физическому уничтожению предприятия, то совокупность угроз, с которыми сталкивается система безопасности, включает:
- утечку конфиденциальной информации коммерческой, финансовой, научно-технической деятельности предприятия;
- несанкционированный доступ к системам управления предприятием и технологическими процессами;
- подделку различного рода документов;
- мошенничество при проведении торговых и финансовых операций.
На сегодняшний день все еще невозможно обеспечить абсолютно надежную и безопасную передачу через системы телекоммуникаций того огромного объема информации, который необходим многим финансовым институтам. Поскольку именно надежность и безопасность являются приоритетными для крупнейших корпоративных клиентов, то развитие Интернет-систем для частных инвесторов не вызвало негативной реакции со стороны пользователей традиционных систем. А крупные финансовые институты - банки, брокерские дома, страховые компании по-прежнему считают открытый Интернет достаточно опасным [2].
2007 № 1
Вестник Ростовского государственного экономического университета «РИНХ»
Большинство аналитиков электронной коммерции признают, что в сравнении с традиционными проводными сетями обеспечение безопасности при использовании беспроводной среды передачи данных составляет задачу повышенной сложности. Здесь на первое место выступает гарантия безопасности финансовых трансакций [3, с. 27]. Чаще всего в электронных магазинах к оплате принимаются кредитные карты, хотя это не самый безопасный способ. В связи с этим есть необходимость применения иных схем оплаты в Интернете. Решить непростую проблему обеспечения безопасности Интернет-платежа может использование электронных денег или виртуальных счетов в виртуальном банке с защищенным доступом. При этом электронные деньги представляют собой зашифрованный и защищенный электронной подписью от фальсификации носитель номинала - информационный массив. Их следует рассматривать как дополнение к реальным деньгам либо как еще один инструмент осуществления торговых операций в Интернете, дополняющий кредитные карточки [4, с. 6].
Так, одной из приоритетных задач Europay International в настоящее время является создание условий для безопасных платежей с помощью банковских карт платежной системы в глобальной сети Интернет. Для реализации этой цели Europay International приняла на вооружение стандарт Secure Electronic Transactions (SET), обеспечивающий возможность использования кредитных и дебетовых карт с магнитной полосой платежной системы для осуществления безрисковых трансакций на рынке электронной коммерции. Кроме того, Europay International объявила о выпуске ряда новых продуктов, в частности «электронного бумажника» (Element Wallet) и «удаленного бумажника» (Remote Wallet), повышающих безопасность платежей в Интернете и снижаю-
щих риски эмитентов и обслуживающих банков при обработке трансакционных данных.
В будущем ожидается, что чиповые карты будут играть основную роль в создании основы для безопасности Интернет-покупок. Новые чиповые карты будут предоставлять множество дополнительных услуг, таких, как система скидок или электронный кошелек, а также предоставлять возможности для защиты новых услуг электронной коммерции и Интернет-банкинга [5, с. 171].
Однако сейчас несмотря на все преимущества карточных расчетов в сети, простая передача платежных реквизитов через открытую сеть очень скоро дискредитировала себя, поскольку стала объектом разнообразных злоупотреблений и мошенничеств, связанных с перехватом и незаконным использованием платежной информации третьими лицами - сетевыми мошенниками.
Так, на сегодняшний день в США около 1,5% платежей по пластиковым картам в сети оказываются подложными. Такая ситуация стала угрожать самому существованию электронных платежных систем. Возникла необходимость защиты платежной информации, передаваемой через открытую сеть. Изучение и разработка методов защиты информации выделились в отдельную науку - криптографию (с греч. kryptos - тайный, скрытый + grapho - пишу), которая предлагает эффективные способы, такие как обратимое преобразование информации (кодирование или шифрование), проверка подлинности источника информации (аутентификация), проверка целостности информации. Были разработаны и внедрены специальные программы защиты данных
- протоколы безопасной передачи данных в сети.
В России вопросам безопасности придается и, по-видимому, будет придаваться большее значение, чем в других странах. Примечательно, что почти все представители российских финансовых
институтов негативно относятся к идее приобретения любых средств шифрования, изготовленных на Западе: им просто не доверяют. Регулирующие органы и бизнесмены полагают, что в этих средствах шифрования могут содержаться какие-либо «потайные» ключи, позволяющие создателям расшифровать передаваемую информацию. Тем не менее степень безопасности Интернета постоянно повышается. Уже сегодня Интернет достаточно безопасен, если правильно подходить к вопросам формирования и обработки паролей, проводить исследования по вопросам безопасности. Первоочередным направлением обеспечения безопасности в сфере электронной торговли может быть укрепление мер доверия к международным электронным рынкам. Это может достигаться путем создания универсальных юридических норм и принципов участия в международных компьютерных торгах, правопреемства ответственности участников, а также ужесточения процедур допуска на торги и проверок экономической состоятельности участников; ограничения специализации рынков и достижения новых уровней предусмотрительности участников торгов.
Так, например, Мельников Ю. и Теренин А. [6] рекомендуют проводить следующие процедуры при организации работы собственного персонала:
- фиксировать в трудовых и гражданско-правовых договорах обязанности персонала по соблюдению - конфиденциальности, в том числе лиц, работающих по совместительству;
- распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца;
- обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации;
- регулярно проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты;
- иметь нормативные правовые документы по вопросам защиты информации;
- постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности;
- создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации;
- проводить служебные расследования в каждом случае нарушения политики безопасности.
Международная организация по безопасности комиссий (IOSCO)1 была учреждена в 1990г. для того, чтобы повысить уровень защищенности международных сделок, продвигать на рынках высокие технологии регулирования и обеспечить взаимную помощь участников в предотвращении злоупотреблений на международных рынках. В рамках этой организации созданы международные эталоны организации оборота «производных и ценных бумаг»2. IOSCO объединяет более ста постоянных членов, представляющих государственные учреждения стран-участниц, а также 9 ассоциированных членов (региональных организаций по защите рынка) и 57 аффилированных членов (финансовых ассоциаций и объединений электронных рынков).
В настоящее время уровень национального исследования и контроля рыночных систем с использованием электронных сделок в условиях множественной юрисдикции нуждается в развитии и поддержке. Так, Европейский
1 General Information on IOSCO. 2003 // www.iosco.org/iosco.html.
2 IOSCO Technical Committee, Principles for the Oversight of Screen-Based Trading Systems, at Documents Library. June 1990.
союз предпринял собственное директивное регулирование трансграничной электронной торговли1. Однако это регулирование имело достаточно низкий эффект. Создать в рамках ЕС резервацию для электронной торговли не получилось ввиду того, что невозможно запретить или проконтролировать обращение участников торговли к посредникам на международном электронном рынке.
Следовательно, потребность в создании универсальной международной организации в этой области остается по-прежнему высокой. Необходимы новые многосторонние соглашения в области международной электронной торговли. Возможно, их создание может быть предпринято в рамках Всемирной торговой организации . Именно здесь сейчас возможна плодотворная работа над выработкой универсальных правил международной электронной торговли, начиная от принципов разграничения юрисдикции - до дизайна и других правил торгов3. Назревшими инициативами для обеспечения безопасности международной электронной торговли с использованием глобальных возможностей представляются договоренности государств по внедрению двух основных систем торговли - это «Swap Clear»
- программа Лондонского клуба по контролю за чистотой сделок и «Broker Tec» - глобальная программа контроля за доходами и расходами участников
4
международных электронных сделок .
Европейским институтом стандартизации в области телекоммуникаций (ETSI) разработан проект «Мобильная подпись» (две спецификации),
1 Investment Services Directive. Article 15, 1998, note 36-39.
2 General Agreement on Trade in Services, Annex on Financial Services, Apr. 15, 1994.
3 Electronic Commerce and the role of the WTO. -Geneva: World Trade Organization, Special study №2, 1998.
4 WTO Commerce on Trade and Development. -Doc.WT/COMTD/18, 23 March 1999.
в котором определены процедуры взаимодействия между элементами сети, протоколы взаимодействия между источником подписи и провайдером услуги при электронной цифровой подписи [7, с. 14]. Это может существенно облегчить процесс развития мобильной коммерции, системы удаленного банковского обслуживания, электронных платежных инструментов, технологий мобильных платежей и банкинга, финансового самообслуживания и других финансовых услуг для банков и финансовых компаний.
Так, одним из последних решений в области расчетов в сети Интернет стало использование мобильных технологий, сотовых сетей не только в качестве средства коммуникации, в котором они уже были освоены мобильным банкингом, но и в качестве средства идентификации плательщика. Дело в том, что мобильные сети являются частными, закрытыми сетями, а потому обладают повышенной безопасностью. Сам же сотовый телефон является персональным интеллектуальным коммуникационным устройством, которое представляет из себя гибрид телефона и компьютера. Таким образом, включение в цепочку безналичных расчетов оператора сотовой сети позволяет осуществить точную идентификацию сетевого покупателя.
Оптовые платежные системы как способ дистанционной работы с банковским счетом развивали системы банк-клиент, которая также основана на передаче электронных образов платежных документов по телефонным сетям. В качестве дополнительных мер безопасности используются уникальные форматы документов, модемы и системы электронной подписи. В обеспечении защиты электронной цифровой подписи используются системы с открытым ключом или асимметричные криптосистемы. Криптосистема состоит из закрытой (далее - секретный ключ) и публичной (далее - открытый ключ) частей, предназна-
ченных для формирования и проверки ЭЦП. Секретный ключ предназначен для подписания электронного документа и надежно хранится у его владельца. Открытый ключ предназначен для проверки правильности ЭЦП и свободно передается банку-корреспонденту. Асимметричные криптосистемы используются в большинстве открытых систем. Всемирный опыт их использования, их распространенность однозначно свидетельствуют об их надежности и простоте применения.
Таким образом, развитие международной электронной торговли доказывает необходимость самого деятельного участия организационно-экономической и правовой системы России и других государств в создании новых инструментов защиты интересов личности, общества и государства в сфере международной электронной торговли. Будущее процветание рынка возможно при условии, что электронная коммерция будет регулироваться в глобальном масштабе на основе взаимоприемлемых, защищенных и развивающихся юридических технологий, норм и принципов равноправного сопряжения юрисдикций государств с учетом императивных соображений безопасности. На сегодняшний день законодательная база для введения электронных денег практически отсутствует, особенно в отношении международных операций с электронными деньгами. Наиболее развита законодательная база в США, где существует детальный Федеральный акт «Об электронных денежных переводах», однако специфику, связанную с использованием именно электронных денег, еще только предполагается учесть в будущих изменениях и дополнениях к этому документу [4, с. 17].
Вопросы безопасности использования телекоммуникационных карт
Телекоммуникационная карта является одновременно и финансовым документом, и информационным средством доступа к системе предоставления
услуг, поэтому вопросы безопасности должны рассматриваться в обоих аспектах. При использовании любого инструмента оплаты, который является эквивалентом денег, вопросы защиты эмитента и владельца от несанкционированного использования этого инструмента является одной из важнейших задач. Однако при реализации системы защиты необходимо соизмерять потери эмитента и владельца от несанкционированного использования этого инструмента со стоимостью этой системы. Кроме того, при построении системы защиты необходимо учитывать стоимость ее взлома по сравнению с выгодой, которую получает злоумышленник. В этом контексте необходимо отметить, что изготовление и распространение фальшивых телекоммуникационных карт с повторением всех элементов ее защиты, но с заведомо ложными паролями доступа являются малоэффективным, хотя и возможным, методом. Изготовление фальшивых карт с малым тиражом невыгодно, поскольку при распространении карт большого тиража время их распространения значительно превышает время обнаружения первой фальшивой карты, так как первый же абонент, получивший отказ в авторизации фальшивой карты, обратится к продавцу или оператору с претензией.
Если присмотреться к примерам системы защиты банковских пластиковых карт, в частности, кредитных, то выгода от их несанкционированного использования покрывает довольно значительные затраты. Затраты на взлом банковских дебетовых карт не всегда могут быть оправданы в связи с их часто значительным, но ограниченным номиналом. Телекоммуникационные скретч-карты в большинстве случаев низкономинальные, поэтому затраты на их защиту должны быть такие, чтобы стоимость взлома превышала выгоду от их несанкционированного использования.
На сегодняшний день карточное мошенничество стало хорошо организо-
ванным бизнесом, размер которого ежегодно оценивается в 4-6 млрд. долларов. За последние 10 лет уровень мошенничества в карточном бизнесе, измеряемый долей размера мошенничества от всего оборота по карточкам, колеблется в диапазоне 0,07-0,11%. Это вынуждает банки искать радикально новые способы повышения безопасности операций по их карточкам [8, с. 30]. При защите карты как электронного документа используются известные средства защиты компьютерных систем. Это, с одной стороны, организационные мероприятия, такие, как ограниченный доступ сотрудников в помещения, в которых расположено компьютерное оборудование, электронные ключи доступа к оборудованию, а с другой стороны, это многоуровневая аутентификация прав доступа пользователей к операционной системе и базам данных.
Однако все приведенные выше меры защиты могут оказаться недостаточными по отношению к недобросовестным сотрудникам, допущенным к информации по пин-коду карт. Наиболее эффективной мерой безопасности является шифрование пин-кода, в частности, на основе асимметричного криптографического алгоритма [9, с. 165].
Финансовые операции с мобильного телефона
В случае осуществления финансовых операций с мобильного телефона безопасность существенно выше, чем при использовании обычной банковской карты с магнитной полосой. В магазинах зачастую не требуют от покупателей ввода пин-кода, а подделать саму карточку можно довольно легко. Современные технологии строятся на базе использования микропроцессорных модулей идентификации клиента (Subscriber Identification Module) или сокращенно SIM-карт. В результате деньги клиента оказываются гораздо более защищенными. Для каждого пользователя генерируются идентификационный номер и набор ключей, которые записы-
ваются на Б1М-карту мобильного телефона. Кроме того, клиент получает в запечатанном конверте персональный пин-код, сформированный специальным устройством. Его необходимо будет вводить для подтверждения любой операции с банковским счетом. Этот пин-код хранится в зашифрованном виде на той же Б1М-карте и никогда не передается при отправке сообщения в банк, поэтому его нельзя «подслушать» или считать с Б1М-карты. Подобрать его тоже не удастся, поскольку после нескольких неудачных попыток телефон блокируется и разблокировать его можно только в банковском сервисном центре.
Если злоумышленник завладеет мобильным телефоном, ему нужно будет сначала пройти процедуру обычной GSM-идентификации, то есть ввести пин-код при включении телефона, а затем при обращении к банку ввести второй пин-код для подтверждения операций по управлению счетом. Возможность перехвата сообщения практически исключена, так как они подписываются электронной подписью и шифруются, причем криптографические ключи постоянно изменяются [10, с. 72].
Затраты на информационную безопасность
Как правило, затраты на информационную безопасность подразделяются на следующие категории: затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты); затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия, на предупредительные мероприятия; внутренние и внешние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) -обычно это затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут, а также компенсация потерь в случаях, связанных с утечкой информации, поте-
реи имиджа компании, утратой доверия партнеров и потребителей и т.п.
При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты. Сумма всех затрат на повышение уровня защищенности предприятия от угроз информационной безопасности составляет общие затраты на безопасность. Взаимосвязь между всеми затратами на безопасность, общими затратами на безопасность и уровнем защищенности информационной среды предприятия обычно имеет вид функции (см. рис. 1).
Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины общих затрат и соответственно их сумма - общие затраты на безопасность. Мы не включаем в данном случае единовременные затраты на формирование политики инфор-
мационной безопасности предприятия, так как предполагаем, что такая политика уже выработана.
В примере (рис. 1) показано, что достигаемый уровень защищенности измеряется в категориях «большой риск» и «риск отсутствует» («совершенная защита»). Рассматривая левую сторону графика («большой риск»), мы видим, что общие затраты на безопасность высоки в основном потому, что высоки потери на компенсацию при нарушениях политики безопасности. Затраты на обслуживание системы безопасности очень малы.
Если мы будем двигаться вправо по графику, то достигаемый уровень защищенности будет увеличиваться (снижение информационного риска). Это происходит за счет увеличения объема предупредительных мероприятий, связанных с обслуживанием системы защиты.
Затраты на компенсацию НПБ уменьшаются в результате предупредительных действий. Как показано на графике, на этой стадии затраты на потери падают быстрее, нежели возрастают затраты на предупредительные мероприятия.
Рис. 1. Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности
Как результат - общие затраты на безопасность уменьшаются. Изменения объема затрат на контроль незначительны.
Если двигаться по графику вправо за точку экономического равновесия, то есть достигаемый уровень защищенности увеличивается, ситуация начинает меняться. Добиваясь устойчивого снижения затрат на компенсацию нарушений политики безопасности, затраты на предупредительные мероприятия возрастают все быстрее и быстрее [11]. Получается, что значительное количество средств должно быть затрачено на достижение достаточно малого снижения уровня риска.
Таким образом, нами выявлены основные факторы обеспечения безопасности электронных платежей. Можно сделать обоснованный вывод, что безналичные платежи являются по-прежнему небезопасными. Однако так как в настоящее время финансовыми институтами и телекоммуникационными компаниями в основном делается упор на развитие микроплатежей, риск мошенничества остается минимальным, поскольку организация и проведение незаконной операции злоумышленником чаще всего обходятся дороже вырученных средств.
Библиографический список
1. Логинов Е.Л., Чикова О.Г. Электронные финансовые операции в Интернете: проблемы развития в условиях глобализации // Финансы и кредит. -
2004. - №23 (161).
2. Бородина С.В., Головин С.Н. Безопасность и право в международной электронной торговле // Безопасность бизнеса. - 2004. - №4.
3. Букин М.И. Мобильный банк // Мир карточек. - 2002. - №10.
4. Муравьева А.В. Банковские инновации: факторный и структурный
анализ информационных технологий // Банковские услуги. - 2004. - №9.
5. Пластиковые карты. 4-е издание, переработанное и дополненное - М.: Издательская группа «БДЦ-пресс», 2002. - 576 с.
6. Мельников Ю., Теренин А. Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак // Банковские технологии. - 2003. - №1.
7. Состояние и перспективы развития технологии IMT-MC-450 в России и мире // Мобильные системы. Спецвыпуск. - 2004.
8. Голдовский И. К обороне готов. О реальной безопасности операций с микропроцессорными карточками // Мир карточек. - 2005. - №9.
9. Муссель К.М. Предоставление и биллинг услуг связи. Системная интеграция. - М.: Эко-Трендз, 2003. - 320 с.
10. Кузнецов А., Воронцов А. Платежи по сотовому? Ждать осталось недолго // Connect. - 2004. - №2.
11. Методика оценки совокупной стоимости владения для подсистемы ИБ // Jet info online. - 2003. - №10 (125).
