CC BY
24
Н.Ф. Васильева,
A.С. Гткул,
B.Л. Кавура
ОРГАН1ЗАЦ1Я БЕЗПЕКИ ОНЛАЙНОВОГО ЕЛЕКТРОННОГО Б1ЗНЕСУ
На сьогоднi економiчний розвиток кра!-ни, зростання обсягу TOBapoo6iry у внутрш-шх i зовнiшнiх угодах, кшькост учасниюв eK0H0Mi4H0i' дiяльностi у кра!ш i на свiтовомy ринку, дiяльнiсть органiв державно! влади з управлшня i регулювання економiчних i фiнансових потокiв, упровадження ново! форми ведення бiзнесy, тобто онлайнового електронного бiзнесy (далi - ОЕБ), неможливi без широкого застосування шформацшно-теле-
комушкацшних технологiй (далi - 1ТТ).
З огляду на забезпечення економiчно! безпеки суб'екпв господарювання, це пород-жуе дослiдження з вирiшення проблем безпеки застосування 1ТТ (В. Воронов, Ж. Дебре, С. Злобш, С. Кавун, В. Носов, О. Манжай, Ф. Модельяш, О. Тякш, Б. Хант, У. Швартау та iншi), але ще недостатньо роз-глянуто проблеми безпеки онлайнового елек-тронного бiзнесy.
Мета статтi - визначити поняття орга-шзацл безпеки ОЕБ, завдання та стратегда (вiдповiдно до основних напрямiв захисту бiзнес-процесiв) сyб'ектiв господарювання, яю мають намiр застосування нових форм ведення бiзнесy, що буде сприяти yкрiпленню !х економiчно! безпеки.
Поняття «безпека» можна трактувати як стан, за яким вщсутня небезпека, е захист вщ не!, або як стан, за яким вщсутня можли-вiсть заподiяння збитку потребам i iнтересам суб'екта вщносин [3].
Оргатзащя безпеки - це особливим чином оргашзована дiяльнiсть, яку спрямо-вано на збереження внутршньо! стiйкостi суб'екта господарювання, його здатносп про-тистояти рyйнiвномy агресивному впливу рiзних чинникiв, а також активна протидiя iснyючим видам загроз.
Щодо до ОЕБ визначення його безпеки можна сформулювати таким чином: це стан захищеност1 ттереав суб'ект1в
господарювання 7 гх в1дносин, що зд1йснюють комерцтт операцИ' (угоди) за допомогою технолог1й ОЕБ, в1д загроз матер1альних 7 тших втрат.
Оргашзащя безпеки ОЕБ необхщна для будь-яких суб'екпв господарювання й уста-нов незалежно вщ форми власностi. Розхо-дження полягають лише в тому, як засоби i методи, у якому обсязi потрiбнi. Вiд стану оргашзацп безпеки ОЕБ значно залежить його економiчна безпека.
Оргатзащя безпеки ОЕБ - це сукуп-нiсть заходiв, спрямованих на збереження фь нансово-економiчноi безпеки суб'екта господарювання, який працюе у режимi ОЕБ.
Загрози безпеки ОЕБ можуть бути пов'язаш з дiями чинникiв, значення i вплив яких практично не завжди вiдомi. Присут-нiсть такоi невизначеносп й обмеженiсть до-ступних ресуршв i засобiв не дозволяють створити абсолютно безпечну систему. Тому при створенш системи безпеки ОЕБ необхщ-но мiнiмiзувати ступiнь ризику виникнення збитку, виходячи з особливостей загроз без-пеки i конкретних умов суб'екта господарювання, що займаеться ОЕБ.
Оргашзащю безпеки ОЕБ можна роз-глядати за такими напрямами и захисту:
техтко-технолог!чний, тобто викорис-тання технiчних та програмних засобiв, що перешкоджають завданню збиткiв суб'екту господарювання при здшсненш ним бiзнес-операцш у режимi ОЕБ;
нормативно-правовий, що забезпечуе наявнiсть вщповщних нормативно-правових елементiв: таких як патенти, авторсью права, у тому чи^ на iнтелектуальну власнiсть,
© Васильева Наталiя Федорiвна - кандидат економiчних наук; Пнкул Антонiна Степанiвна; Кавура Вжгор Леонiдович.
1нститут економiки промисловосп НАН Украни.
ISSN 1562-109X
лщензи, закони, положення, накази, стандарти та шше, що надае правовi гаранти безпеки ОЕБ;
оргатзацШний, тобто регламентащя ви-робничо! дiяльностi та взаемовщносин суб'ек-тiв господарювання як партнерiв при укладаннi й реалiзацп електронно! угоди, що виключае завдання збитюв.
Розглянемо органiзацiю безпеки ОЕБ за наведеними вище напрямами захисту.
Техшко-технолог^чний захист. На рисунку вщображено еволющю технологiй забезпечення безпеки при штеграцшних процесах ОЕБ. На сьогоднi е актуальними проблеми безпеки ОЕБ у зв'язку iз глобалiзацiею бiзнес-процесiв i
iнформацiйного простору. Розглянемо деякi iз цих проблем. Так, наприклад, питання захисту угод ОЕБ постае найбшьш гостро у США, де спостер^алося
найшвидше зростання числа користувачiв глобально! мережа У 2001-2003 рр. за участю ФБР було органiзовано Нацюнальний центр iз боротьби з високотехнолопчними злочинами, а незабаром - центр зi збору вiдомостей про шахрайство з використанням глобально! мережi. Ц центри регулярно проводять монiторинг глобально! мережi i видають бюлетень i звiти про види i факти шахрайства. Наприклад, за даними цих центрiв, протягом 2007 р. у США було виявлено 103959 факпв шахрайства того або шшого роду з використанням глобально! мережа Сумарш втрати вiд шахрайських угод склали 68,2 млн. дол., з медшним значенням - 219,6 дол. на одну угоду. При цьому, за даними центрiв, обсяг угод ОЕБ у США у 2007 р. досяг 98516 млн. дол., а втрати внаслщок тих або шших видiв шахрайства - 0,15% [4].
2 етап
оргашзащя шфраструктури загальнодоступних ключiв;
електронний цифровий пiдпис;
технологи единого шдтвердження автентичностi;
формування довiрчих iнфраструктур;
технологi! виявлення вторгнення i лiквiдацi! !х наслiдкiв
1 етап
служби сертифшаци технологiй забезпечення безпеки; шдтримка внутрiшнiх процедур аутентифiкацi!; внутршнш аудит систем ОЕБ; органiзацiя шифрування i управлiння ключами захисту
3 етап
послуги довiрчих стороншх органiзацiй; iнтеграцiя фiнансових систем; глобальний монiторинг безпеки
Рисунок. Еволюцгя технологий забезпечення безпеки при гнтеграцШних процесах ОЕБ
Слщ зазначити, що серед учасниюв ОЕБ угодами з найбшьшим захистом вщ зовнiшньоï загрози шахрайства володiють кредитно-фiнансовi установи, оскiльки банки обов'язково мають вiдповiдну професiйну службу безпеки й у бшьшосп випадкiв вони мають домовлешсть з iншими учасниками фшансового ринку про спiльнi активнi протидп рiзним можливим формам фiнансовоï злочинносп.
При використаннi пластикових карток як плапжного засобу до проведення операцш ОЕБ включаеться платiжна банкiвська система, яка представляе асоцiацiю фiнансово-кредитних i сервiсних органiзацiй. Крiм того, якщо внаслiдок шахрайства покупець або продавець може втратити до 100% своïх активiв, то для банку втрата в результат шахрайськоï угоди навггь дуже великоï суми означае втрату в розмiрi не бiльш 1% активiв, якi будуть компенсованi страховими виплатами. Проте, на жаль, донедавна кредитш установи не були готовi взяти на себе основну частку ризику за фшансовий супровщ угод ОЕБ.
Результати дослщження дозволяють сформулювати такi основнi вимоги до оргашзацп безпеки платiжних систем, а саме забезпечення:
неможливосп списання коштiв з аккаунта платника третьою особою;
лептимного пiдтвердження платником перед третiми особами (наприклад, судом) факту здшснення платежу, його отримання одержувачем i призначення даного платежу (наприклад, отримання товару належно1' якостi);
можливостi легiтимного шдтвердження одержувачем перед третiми особами факту отримання платежу та його призначення;
лептимного шдтвердження емтентом факту проведення вшх авторизованих трансакцiй по даному аккаунту ютинним власником даного аккаунту;
запоруки, що суму, яку перемщено з аккаунта, не буде вкрадено у момент передачi i вона попаде точно i виключно за призначенням;
неможливосп пiдробки квитанцiй емiтента користувачем;
вирiшення всiх спiрних питань мiж емiтентом та користувачем виключно електронним чином за допомогою повiдомлень з електронним цифровим шдписом;
можливостi виршення спiрних питань помiж користувачем поза участю емiтента; базування електронно1' плапжно1' системи на добре перевiренiй i надшнш технологiï. Нормативно-правовий захист. Проведений аналiз можливостей ефективного функцiонування ОЕБ у контекст проблем безпеки його розвитку в Укра1'ш дозволив визначити таю основш положення з формування правового i нормативного забезпечення процешв ОЕБ.
Процес розподiлу ролей i вщповщальност при реалiзацiï рiзних бiзнес-процесiв ОЕБ мае пiдтримуватися необхiдними нормативними актами, що е запорукою безпеки його функщонування. Певна частина дiяльностi у сферi ОЕБ регулюеться використанням шформацп, яка мiститься всерединi суб'екта господарювання i мае бути визначена вщповщними рiшеннями керiвництва. Вiдзначимо, що вщсутшсть чiткого визначення прав та обов'язюв учасникiв бiзнес-процесiв часто е причиною глухих ситуацш при розслщуванш iнцидентiв, пов'язаних iз порушеннями у сферi безпеки ОЕБ.
Розвиток нормативно-правового регулювання безпеки украшського ОЕБ мае здшснюватися з урахуванням регулярно!' ощнки результативностi застосування iснуючих нормативно-правових актiв у контекстi реалiзацiï нацiональноï стратегiï та галузевих програм соцiально-економiчного розвитку, що випливають iз не^
Нормативно-правове забезпечення безпеки процесiв ОЕБ мае будуватися на принципах досяжност електронних iнформацiйних ресурсiв (далi - Е1Р) про законодавчу дiяльнiсть державних оргашв, iнтеграцiï державних iнформацiйних ресуршв, гармонiзацiï ix iз мiжнародним европейським правом.
Першочерговим завданням нормативно-правового забезпечення безпеки ОЕБ е завершення роботи над комплексом нормативних акпв, що забезпечують права громадян на Е1Р про дiяльнiсть органiв державноï влади i порядок використання iнформацiйниx технологш у взаеминах мiж державою, суспшьством i громадянами.
1ТТ змiнюють традицшний пiдxiд до регулювання вiдносин мiж захистом прав виробникiв Е1Р i захистом прав споживачiв цих ресуршв. Iнформацiйнi технолог^ дозволяють iз первинних Е1Р створити новi продукти i послуги, що використовуються багаторазово. З одного боку, новi 1ТТ дозволяють кошювати Е1Р при низьких витратах для широкого кола споживачiв, з шшого -створюеться конфлiктна ситуащя, за якою для творцiв Е1Р iснуе високий ризик утрати прибутку, який вони можуть отримати.
Для сприяння забезпеченню безпеки ОЕБ у системi захисту iнтелектуальноï власносп щодо
Е1Р та ГГТ доцiльно акцентувати увагу на двох основних аспектах:
удосконаленш процесiв запобiгання використанню iнформацiйних технологш, яю не мають лiцензiйного супроводу, для охорони авторських прав;
прикладному використанш питань захисту iнтелектуальноï власносн, що мае переважно обов'язковий i немайновий характер.
Перший аспект. Використання нелщензшних iнформацiйних технологiй знижуе яюсть обслуговування, рiвень надiйностi й безпеки шформацшних систем, зокрема безпеки ОЕБ. Запобэти цьому можуть такi заходи:
формування iмiджу достоïнства, респектабельностi придбання i використання лiцензiйних iнформацiйних технологш;
вшьне поширення серед учасникiв ОЕБ лщензованих 1ТТ, розроблених за кошти державного бюджету;
придбання переважно готового програмного забезпечення зарубiжного виробництва з вщкритим кодом;
пiдвищення якостi вiтчизняних шформацшних систем, технологш i ресуршв; створення системи швентаризацп, каталогiзацiï та маркетингового використання шформацшних технологш.
Другий аспект. Доцшьно використовувати державне сприяння оргашзацп науково-практичних дослiджень загальнозначущих форм i процешв рацiонального мислення i способiв фiксацiï Е1Р. У рамках цих робiт можуть бути поставлеш питання створення умов i розробки регламенпв для включення програмного забезпечення до складу матерiальних активiв, прискорення стратегiчноï iдентифiкацiï людини, колективу, шдприемства, органiзацiï та галузi в цшому в контекстi використання iнформацiйних технологш i виршення питань шформацшно-телекомушкацшно1' безпеки, у тому числi й ОЕБ [1, 5].
Обов'язковi стандарти i вимоги в сферi захисту Е1Р мають вводитися тiльки для державних органiв i бюджетних оргашзацш. В iнших випадках питання сертифшацп з метою захисту Е1Р мають виршуватися за розсудом користувачiв цих засобiв, що самостiйно несуть ризик iз використання. У контекстi виршення питань нацiональноï безпеки доцiльно створити шформацшно-аналггичний центр стандартизацiï, пiдпорядкований органам державно].' влади, рiшення якого будуть обов'язковi для виконання.
Прихильнiсть до мiжнародних стандартiв - найбiльш важливий елемент розвитку суб'екпв господарювання. Вш е найважливiшим критерiем оцiнки ix дiяльностi в мiжнародному ОЕБ, забезпеченнi безпеки ОЕБ. Розвиток украïнського ОЕБ буде все бшьшою мiрою залежати вщ застосування стандартiв, особливо ïx домiнування в сферi надання Е1Р. Тому е доцiльним створення i введення нацюнального стандарту у сферi ОЕБ на базi мiжнародниx стандарпв.
Задля полiпшення безпеки спiльного використання шформацшних технологш ушма учасниками ОЕБ у рамках мiжнародниx систем стандартизацп мають бути сформульованi нацiональнi стандарти: метаописання шформацшних технологш, шформацшно-технолопчних стандарпв, стандартiв де-факто i де-юре, надання ушверсальних державних шформацшно-телекомунiкацiйниx послуг, регламенпв, надання шформацшно-телекомушкацшних послуг (сервюв) та iнформацiйно-телекомунiкацiйного забезпечення мережноï взаемодн [2].
ОргашзацШний захист. Для завоювання довiри до ефективностi використання ОЕБ усе бшьшого значення набувае виршення проблем органiзацiï безпеки його функцюнування. Це означае в першу чергу наведення порядку в управлiннi суб'ектами господарювання, оргашзащями, банками. Зараз сотш украïнськиx суб'ектiв господарювання виходять на свгговий ринок, що потребуе якосн планування виробництва, застосування ефективних технологш для прийняття управлiнськиx рiшень як по вертикал^ так i по горизонтал^ правильноï органiзацiï роботи з Е1Р, участi в ОЕБ та оргашзацп системи його безпеки.
Процес оргашзацп безпеки систем ОЕБ в Украш розвиваеться вкрай нерiвномiрно. Позитивш змiни проходять дуже в'яло. Водночас при правильнш органiзацiï справи стан, пов'язаний iз безпекою ОЕБ, можна
кардинально змшити. Для цього необхщна не тiльки державна програма з шформатизаци, яка вже iснуе, але i вщповщне фiнансування перебiгу шформатизацшних робiт, у тому числi i з питань безпеки ОЕБ.
Таким чином, можна окреслити таю основш завдання, що стоять перед суб'ектом господарювання, який виходить на рiвень ОЕБ, що потребуе оргашзацп його безпеки: шдвищення ефективносн оргашзацшно].' структури;
пiдтримка впровадження iнформацiйниx теxнологiй у всi сфери бiзнес-дiяльностi; удосконалення теxнологiй управлiння, яю базуються на електронному документообiгу.
Будь-який суб'ект господарювання може домогтися успixiв у сучасному економiчному середовищi тшьки в тому випадку, якщо його система управлшня вiдповiдае певним вимогам, найбшьш важливими з яких е таю:
прозорктъ б1знесу i його «аналтичтстъ», що дозволяють не тшьки володгги Е1Р про поточну ситуащю, але й аналiзувати можливi причини - слiдчi зв'язки, робити висновки i приймати на ïx основi економiчно обrрунтованi управлiнськi рiшення;
кероватстъ i ефективний розподш повноваженъ i вiдповiдалъностi всередиш суб'екта господарювання, що забезпечуе ефективне використання переваг централiзацiï одних управлшських функцш i децентралiзацiï iншиx;
забезпечення «ттервенцп» ШформацШно-телекомуткацШних технологт у ддачу систему управлiння, що шдсилюе прозорiсть бiзнесу, сприяе розвитку так званого третього сектору економши, виникненню нових форм ведення бiзнесу, принциповiй змiнi органiзацiï працi на користь децентралiзацiï управлiння, тимчасового наймання працiвникiв i створення вiртуальниx робочих мiсць, тобто появi ОЕБ, що поеднуе рiзноманiтнi можливостi взаемодп постачальниюв i споживачiв. Крiм того, вш робить ïx незалежними, не прив'язаними до стацюнарних пристро1в, надаючи можливють здiйснити покупку, здiйснити платежi, взяти участь в аукцюш при наявност всього лише мобiльного телефону або кишенькового комп'ютера. Послугами ОЕБ можна скористатися завжди, незалежно вiд часу або мюця перебування. Стратегiя оргашзацп безпеки ОЕБ повинна мютити таю дп: потрiбно встановити правила оргашзацп безпеки;
необхщно вирiшити, що i вщ чого захищатимемо, i обов'язково визначитися з розумним сшввщношенням ризику i витрат;
дотримуватися балансу мiж процедурними i теxнiчними засобами контролю безпеки; визначитися з реалiзацiею установлених правил, тобто з тим, яю i кому надавати права доступу, до яких ресуршв, що робити в нештатнш ситуацп i тлн.;
розробити план освiтнix заxодiв, щоб роб^ники розумiли, наскiльки ризиковано працювати не вщдаючи собi звiту у сво1х
дiяx (це може бути вщвщування якихось сумнiвниx вузлiв в 1нтернет, натискання кнопки "завантажити", не розумдачи, якi ризики з цим пов'язаш);
проект iнформатизацiï суб'екта господарювання або окремих бiзнес-процесiв мае мютити систему захисту як один iз його компонентв;
визначитися iз продуктами, яю застосовуються для безпеки ОЕБ вщповщно до розробленого проекту шформатизацп. Вони повиннi створювати деяку складну арxiтектуру i комплекс, якi б забезпечили виконання бiзнес-процесiв i водночас реалiзацiю зведених правил полiтики безпеки таким чином, щоб люди утримувалися вщ необмiркованиx дiй.
Оцiнку ефективност системи безпеки ОЕБ, на наш погляд, доцшьно здiйснювати за допомогою узагальненого вiрогiдного показника, який вщображае стан заxищеностi, характеризуе ступiнь ризику одержання суб'ектом господарювання матерiального або шшого збитку у грошовому вимiрюваннi не вище заданого рiвня при здшсненш комерцiйноï операц^.
Таким чином, проблеми органiзацiï ефективноï системи безпеки ОЕБ, що виникають як зi складност й рiзновиду сучасних 1ТТ, зокрема електронних платiжниx систем, так i з комплексного шдходу до безпеки iз залученням законодавчих, адмшютративних, програмно-теxнiчниx заxодiв, потребують необxiдностi подальшого дослiдження. Вiд своечасного ïx виршення залежить економiчна безпека суб'екта господарювання.
Л^ература
1. Злобiн С.В. Теоретичш засади органiзацiï електронноï комерц^ / С.В. Злобш // Науково-техшчна iнформацiя. - 2007. - № 4. - С. 16-22.
2. Иванов П. Электронные проекции бизнес-процессов / П. Иванов // Сети. - 2002. - № 3. -С. 122.
3. Кавун С.В. 1нформацшна безпека / С.В. Кавун. - Харюв: Вид. ХНЕУ, 2009. - 368 с.
4. US Census Bureau QUARTERLY RETAN.F.-COMMERCE SALES 4RD QUARTER 2004 [Электронный ресурс]. - Режим доступа: http://www.census.gov/mrts/www/data/html/0404 html.
