Электронная коммерция

       Клиенты все чаще предпочитают управлять своими банковскими продуктами, приобретенными ранее в офисе, через дистанционные каналы. В результате многие российские интернет-банки в последнее время существенно расширили диапазон предоставляемых услуг.

     Интернет-банки и в дальнейшем будут обрастать все новыми функциями — помимо обычных переводов и выписок по счетам во многих системах можно открыть депозит, оформить или подключить различные дополнительные услуги. Интернет-банкинг кроме выполнения сервисной функции все активнее занимается продажами услуг.

       Вывод максимально возможного  количества банковских операций  в Интернет с целью минимизации  количества обращений клиентов  в точки обслуживания — такова  сейчас основная тенденция на рынке. Отмечается и активное сотрудничество банков с популярными системами электронных денег («Яндекс.Деньги», Web Money и др.).

       Еще один тренд — вторжение  интернет-банкинга в мобильную сферу. Для кредитных учреждений становится обычным делом предоставлять клиентам банковские услуги посредством мобильного телефона. Некоторые банки запускают приложения для современных мобильных платформ, другие адаптируют интерфейс интернет-банка к мобильным браузерам, но тренд совершенно очевиден.

       Итак, для банков все более  актуальным становится перевод  операций в более эффективные  каналы дистанционного обслуживания.

     На  долю «Альфа-Клика» (интернет-банк Альфа-банка) приходится около 75% переводов. При  этом к нему подключены свыше 1,3 млн  клиентов, а ежемесячный объем  платежей составляет более $0,5 млрд.

       Через дистанционные каналы «Уралсиба»  прошло около 52% всех платежей, принятых в банке на начало 2011 года. Количество подключенных  пользователей в начале февраля  приблизилось к 700 тыс.

       На конец прошлого года в  системе «Телебанк» («ВТБ 24») обслуживались  более 970 тыс. клиентов. На этот  интернет-банк приходится порядка  12% всей нагрузки банка по платежам  и переводам. 

       Число пользователей системы  Raiffeisen CONNECT превышает 450 тыс. человек.  Рост клиентской базы Райффайзенбанка  с октября 2008 года по ноябрь 2010 года составил 78%.

       В Московском кредитном банке  интернет-клиентов насчитывается  около 100 тыс. За прошлый год  объем платежей в системе «МКБ  Онлайн» увеличился в 3 раза, за  год оборот составил более  2 млрд рублей.

     Не  реже, чем раз в месяц, интернет-банком «Авангарда» пользуются почти 100 тыс. клиентов. Это примерно треть от тех, кто периодически пользуется картами клиентов. К этой группе банкир относит тех, кто пользуется картой не реже, чем раз в квартал, а это примерно 60—70% от общего объема клиентской базы банка. Типовые платежи через интернет-банк (мобильная связь, ЖКУ и т. п.) — это порядка 1% от всех оплаченных картами товаров и услуг.

       Система дистанционного банковского  обслуживания «АК БАРС Online» насчитывает  сейчас более 15 тыс. клиентов. Объем операций в 2010 году составил  более 1,5 млрд рублей.

       К системе интернет-банкинга Связь-Банка  подключены десятки тысяч клиентов, 70% которых являются активными  пользователями предоставляемой услуги. Но можно сказать, что это только начало, так как запуск полноценного интернет-банкинга в Связь-Банке состоялся в четвертом квартале 2010 года.

       Безусловным лидером на российском  рынке интернет-банкинга по понятным  причинам является Сбербанк. Как  рассказали «Профилю» в пресс-службе  банка, даже несмотря на то, что услуга «Сбербанк Онлайн»  достаточно новая по сравнению  с интернет-сервисами других банков, тем не менее ею уже пользуются  более 2 млн клиентов.

       Доля платежей посредством дистанционных каналов обслуживания будет и дальше увеличиваться по мере развития технологий и роста доверия клиентов к подобным сервисам.

       Это также приведет к значительному  сокращению количества операций  с наличными денежными средствами. В отличие от платежных терминалов и пластиковых карт, интернет-банк позволяет оплачивать любые счета в России и за рубежом в разной валюте. Кроме того, уровень безопасности проведения платежей через интернет-банк по некоторым аспектам превосходит уровень безопасности использования карт.

3. Безопасность  электронной коммерции

     Интерес к электронной коммерции растет и продолжает расти. Российские компании стремятся догнать по объемам  продаж зарубежных коллег. По электронной  коммерции проводят семинары и конференции, пишут статьи и обзоры. Особое внимание уделяют безопасности и защите электронных  транзакций. Для компаний важно доверие  пользователя к электронным сделкам. Кратко рассмотрим этапы приобретения продуктов и услуг через Internet.

     Заказчик  выбирает продукт или услугу через  сервер электронного магазина и оформляет  заказ.

     Заказ заносится в базу данных заказов  магазина. Проверяется доступность  продукта или услуги через центральную  базу данных. Если продукт не доступен, то заказчик получает об этом уведомление. В зависимости от типа магазина, запрос на продукт может быть перенаправлен  на другой склад. В случае наличия  продукта или услуги заказчик подтверждает оплату и заказ помещается в базу данных. Электронный магазин посылает заказчику подтверждение заказа. В большинстве случаев существует единая база данных для заказов и  проверки наличия товаров. Клиент в  режиме online оплачивает заказ. Товар  доставляется заказчику.

     Рассмотрим  основные угрозы, которые подстерегают компанию на всех этапах. Подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация  запросов пользователя на другой сервер. Проводится путем замены записей  в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей  кредитной карты. Создание ложных заказов  и мошенничество со стороны сотрудников  электронного магазина. Проникновение  в базу данных и изменение процедур обработки заказов позволяет  незаконно манипулировать с базой  данных. По статистике больше половины всех компьютерных инцидентов связано  с собственными сотрудниками. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции.

     В результате всех этих угроз компания теряет доверие клиентов и теряет деньги от несовершенных сделок. В  некоторых случаях этой компании можно предъявить иск за раскрытие  номеров кредитных карт. В случае реализации атак типа "отказ в  обслуживании" на восстановление работоспособности  тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого  программного и аппаратного обеспечения.. Это связано с незащищенностью  версии протокола IP (v4). Решение проблемы - использование криптографических  средств или переход на шестую версию протокола IP. В обоих случаях  существуют свои проблемы. В первом случае применение криптографии должно быть лицензировано в соответствующем  ведомстве. Во втором случае возникают  организационные проблемы. Еще возможны несколько угроз. Нарушение доступности  узлов электронной коммерции  и неправильная настройка программного и аппаратного обеспечения электронного магазина.

     Все это говорит о необходимости  комплексной защиты. Реально защита часто ограничивается использованием криптографии (40-битной версии протокола SSL) для защиты информации между броузером  клиента и сервером электронного магазина и фильтром на маршрутизаторе.

     Комплексная система защиты должна строиться  с учетом четырех уровней любой  информационной системы. Уровень прикладного  программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, браузер Internet Explorer.

     Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку  данных информационной системы. Примером элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.

     Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник  сможет реализовать атаку на ресурсы  электронного магазина. Опасны и внешние  и внутренние атаки. По статистике основная опасность исходит от внутренних пользователей электронного магазина (операторов системы). Для получения  несанкционированного доступа к  информации о заказах в базе данных есть следующие возможности:

     -прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов.

     -прочитать нужные данные средствами самой СУБД (уровень СУБД).

     -прочитать файлы базы данных непосредственно на уровне операционной системы.

     -отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД. Или перехватить эти данные в процессе их передаче по каналам связи (уровень сети).

     Обычно  основное внимание уделяется нижним двум уровням - уровню сети и операционной системы. На уровне сети применяются  маршрутизаторы и межсетевые экраны. На уровне ОС - встроенные средства разграничения  доступа. Этого недостаточно. Представим, что злоумышленник получил идентификатор  и пароль пользователя базы данных магазина. Или перехватил их в процессе передачи по сети или подобрал при  помощи специальных программ. И межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам из-за предъявленных идентификатора и пароля авторизованного пользователя. Это особенность функционирования экрана и системы.

     Нужны новые средства и механизмы защиты. Средствам обнаружения атак в  настоящий момент уделяется много  внимания во всем мире. По прогнозам  известных компаний объемы продаж этих средств до 900 миллионов долларов в 2011 году. Эти средства с одинаковой эффективностью функционируют внутри сети и снаружи, защищая от внешних несанкционированных воздействий.

     Эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки  типа "отказ в обслуживании", направленные на нарушение работоспособности  электронного магазина. Одним из примеров средств обнаружения атак - система RealSecure, разработанная компанией Internet Security Systems, Inc.

     Любому  программному обеспечению присущи  определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы eCommerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние  два типа уязвимостей самые распространенные и встречаются в любой организации. Перечислим несколько примеров. Ошибка переполнения буфера в броузерах Microsoft и Netscape, ошибка реализации демона IMAP и  почтовой программы sendmail, использование  пустых паролей и паролей менее 6 символов, запущенные, но не используемые сервисы, например, Telnet. Все это может  привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных.

     Рекомендуется использовать дополнительные средства защиты. Такие средства могут быть как свободно распространяемыми, так  и коммерческими продуктами. Какие  из этих средств лучше, решать в каждом конкретном случае по-своему. В случае нехватки денег на приобретение средств  защиты о приходится обращать внимание на бесплатные средства. Однако использование таких средств связано с некачественной защитой и отсутствием технической поддержки. Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства SecretNet, разработанные предприятием "Информзащита". Вообще, чисто техническими средствами решить задачу построения комплексной системы защиты нельзя. Необходим комплекс организационных, законодательных, физических и технических мер.

     Часто организации используют частичные  подходы для решения проблем  с защитой. Эти подходы основаны на их восприятии рисков безопасности. Администраторы безопасности имеют  тенденцию реагировать только на те риски, которые им понятны. На самом  деле таких рисков может быть больше. Администраторы понимают возможное  неправильное использование ресурсов системы и внешних атаки, но зачастую плохо знают об истинных уязвимостях  в сетях. Постоянное развитие информационных технологий вызывает целый ряд новых  проблем. Эффективная система обеспечения  безопасности предполагает наличие  хорошо тренированного персонала, который выполняет функции. Придерживается стандартизованного подхода к обеспечению безопасности, внедряет процедуры и технические средства защиты, проводит постоянный контроль подсистем аудита, обеспечивающих анализ потенциальных атак.