ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ КОММЕРЦИИ В СЕТИ ИНТЕРНЕТ/ З.Р. Абдеева

Журнал

аспирант кафедры финансов и налогообложения экономического факультета Башкирского государственного университета (г Уфа) 
В статье рассмотрены основные проблемы безопасности рынка Интернет-платежей, существующие виды и риски мошенничества с электронными деньгами, а также определены способы решения проблемы безопасности в электронной коммерции. 
Ключевые слова: электронная коммерция, интернет-технологии, электронный бизнес. 
УДК 336.7 ББК 65.2 
Всемирная сеть Интернет охватила все отрасли деятель- развивающихся направлений важную роль играют системы ности человека. Огромными темпами развивается сектор биз- Интернет-торговли -электронная коммерция. Этот сектор бизнес-услуг, предоставляемых посредством Интернета. Среди неса связан с предоставлением услуг или продукции конечно- 
му потребителю. Основной тип данных систем — электронный магазин — автоматизированная система электронной торговли в сети Интернет. 
Системы электронной торговли представляют собой характерный пример распределенной вычислительной системы. В них несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. 
Безопасность является ключевым вопросом для внедрения электронной коммерции. Основным препятствием, возникающим на пути развития рынка Интернет-платежей, является психологический фактор, связанный с осознанием угрозы потенциального мошенничества. Люди до сих пор не рассматривают Интернет как безопасную среду, чему способствует объективная информация о степени безопасности работы в Интернете. Опросы показывают, что более всего люди боятся потенциальной угрозы получения кем-либо их персональных данных при работе через Интернет. По данным платежной системы VISA около 23% транзакций с банковскими картами так и не производятся из-за боязни клиента ввести запрашиваемую электронным магазином персональную информацию о клиенте. В результате, люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации [1]. 
На сегодняшний день наиболее интересным объектом для атаки со стороны электронных кибервзломщиков являются юридические лица. Физические лица мошенников, как правило, не интересуют, так как их остатки по счетам недостаточно велики. К тому же вероятность взлома юридических лиц повышается по причине того, что бухгалтерия в рабочие дни обязательно активна. 
Каждый месяц в правоохранительных органах фиксируются десятки подобных инцидентов. По объему нанесенного ущерба они могут быть весьма значительными — в реальной практике большинство хищений по системам дистанционного банковского обслуживания находится в районе 250 тысяч рублей, также известны случаи и с 1 миллионом долларов. 
В подавляющем большинстве случаев хищение денег организуется с несанкционированным использованием даже не извлекаемых секретных ключей при онлайновых атаках, когда USB-токен установлен в рабочем компьютере [2]. Токен, в свою очередь, представляет из себя миниатюрное устройство, снабженное клавиатурой и жидкокристаллическим индикатором. Эти устройства позволяют защитить ключ от несанкционированного доступа как на программном уровне, поскольку воспользоваться им может только человек, знающий соответствующий PIN-код, так и на физическом уровне. Даже если токен будет украден и разобран на детали злоумышленниками, получить доступ к хранящейся на нем информации невозможно [3]. 
Наибольшее число проблем возникает, если бухгалтерский компьютер не только постоянно оснащен однажды установленным USB-токеном, но и системный блок не выключается на ночь, а только переводится в «спящий» режим, оставаясь подключенным к каналу доступа в сеть Интернет. 
Первые массовые инциденты атак в режиме он-лайн на пользователей дистанционного банковского обслуживания стали проявляться с начала 2010 г. Проникающие на компьютер вирусы выделяют период перерыва в работе системы дистанционного банковского обслуживания, и после адаптации к установленному на компьютере клиентскому программному обеспечению и считывания основных параметров проведения подобных операций, начинают создавать свои платежные поручения для отправления в банк. 
Обычно это троянские вирусы с функцией удаленного доступа к консоли дистанционного банковского обслуживания. На компьютер пользователя сначала проникает загрузчик, который после «укоренения» на компьютере-жертве и детектирования компании-разработчика клиентского модуля дистанционного банковского обслуживания загружает на машину дополнения для работы именно с этой версией системы. Поскольку они не выходят в сеть Интернет, антивирусы часто их не отслеживают. 
Еще одним из способов мошенничества является перехват команд на запрос электронной цифровой подписи (ЭЦП) с USB-портов компьютера с хоста злоумышленника через 
компьютер клиента сразу до банковского сервера. Таким образом, во время сеанса работы с дистанционным банковским обслуживанием клиент фактически использует свой компьютер вместе с мошенником, который в удаленном режиме свободно работает с его системой. Соответственно, оператор бухгалтерского компьютера может не уследить за формированием иных платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих. 
Но для защиты клиентов от новых вирусных угроз банк в свою очередь, может улучшить свою систему безопасности. В его возможности входит настройка индивидуально по каждому юридическому лицу или индивидуальному частному предпринимателю пороговой суммы для платежного поручения. При превышении этой суммы к стандартной ЭЦП потребуется дополнительное подтверждение по авторизованному каналу связи с использованием ОТР-токенов, одноразовых паролей через SMS-сообщение или голосом по определенному номеру мобильного телефона, при том подобный разговор должен записываться [2]. 
Принято выделять следующие виды рисков мошенничества с электронными деньгами в сети Интернет: 
— риск дублирования технического устройства (электронного кошелька или жесткого диска компьютера); 
— риск изменения или дублирования сведений или программ; 
— риск изменения сообщений; 
— риск кражи; 
— риск отказа операций. 
Риск дублирования технического устройства представляет собой вероятность убытков в результате создания мошенником нового аппарата, который принимал бы электронные кошельки как настоящий. При этом делается копия с электронного кошелька, включая его криптографические ключи, остатки по счету и другие важные сведения. В качестве альтернативы, мошенники могут создать электронный кошелек, который функционировал бы как настоящий, но содержал бы остатки средств, созданные мошенническим путем. 
Другим риском мошенничества может быть риск изменения информации, хранимой в электронном кошельке. Если остатки денежных средств, записанные на карте, были увеличены мошенническим путем без видимых нарушений (поломок) самой карты, то держатель может выполнять операции с этой карты, которая будет торговому терминалу казаться настоящей. Кроме того, могут быть изменены внутренние функции электронного кошелька, например, процедуры отчетности, так чтобы калькулирование происходило не так как требуется. Изменение данных или функций электронного кошелька может быть осуществлено благодаря слабой безопасности операционной системы, либо путем физического воздействия непосредственно на сам чип электронного кошелька. 
Риск изменения сообщений представляет собой вероятность убытков в результате изменения данных или процессов технического устройства путем удаления, повтора или замены сообщений. Сообщения между техническими устройствами могут быть перехвачены мошенниками в момент их передачи по телекоммуникационным линиям, компьютерным сетям или при прямом контакте между техническими устройствами. 
Риск кражи проявляется в возникновении вероятности убытков в результате воровства технического устройства и незаконного использования остатков средств, записанных на нем. Данные, хранящиеся на техническом устройстве, могут быть также похищены путем незаконного копирования. Мошенник может перехватить сообщения между законным владельцем электронных денег и их эмитентом, а затем использовать перехваченные данные при совершении каких-либо операций. Такая кража будет обнаружена только после того, как эмитент получит настоящие электронные денежные знаки, которые будут иметь аналогичные характеристики с незаконными деньгами. К тому времени мошенник уже получит финансовую выгоду. 
Мошенничество может быть совершено также путем отказа от операций, сделанных при помощи электронных денег. Например, при дистанционных операциях, совершаемых при помощи телефона или компьютерных сетей, пользователь может заявить, что не разрешал проводить операцию. Это, в свою очередь, может привести к финансовым потерям торгового предприятия или эмитента электронных денег [4]. 
Меры, предпринимаемые участниками электронной коммерции для обеспечения безопасных расчетов в сети Интернет достаточно многообразны. 
Прежде всего, это обучение держателей банковских карт минимальным навыкам для обеспечения собственной безопасности: пользование только знакомыми интернет-ресурсами, изучение порядка доставки товаров и предоставления услуг, проверка использования интернет-коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации [5]. 
При достаточно обширном списке мер, предпринимаемых для обеспечения безопасных расчетов в сети Интернет, многое зависит от самого пользователя. Часто причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. Поэтому, чтобы избежать возможных проблем, владельцу учетной записи необходимо беречь данные доступа к ней. Необходимо периодически изменять пароли для доступа в систему и не использовать Интернет-банкинг на непроверенных компьютерах. 
Помимо этого, следует соблюдать осторожность при работе в Интернете. Мошенники широко используют приемы «социальной инженерии» для того, чтобы получить аутентификационные данные — логин, пароль клиентов. Наиболее старый метод — «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт [6]. 
Кроме таких простых методов защиты от мошенничества, как воспитание держателей, используются и технологические средства. 
Банки стараются использовать различные системы и механизмы, призванные как гарантировать, так и повысить безопасность использования он-лайн банкинга. Одним из таких механизмов является шифрование данных. На сегодняшний день практически всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL (Secure Socked Layer) — шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL позволяет всем участникам торговли спокойно передавать самую разную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за сколько-нибудь адекватный промежуток времени невозможно. 
Протокол SSL надежно защищает информацию, передаваемую через Интернет, но все же он не может уберечь частную информацию, хранимую на сервере продавца, — например, номера кредитных карт. Когда продавец получает данные кредитной карты вместе с заявкой на покупку, информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к частной информации и дальнейшее использование ее в мошеннических целях. 
В дополнение к использованию протокола шифрования передаваемых данных участники интернет-коммерции используют такие способы идентификации держателя карты, как проверка СVV2/СVK2-кодов (СМ2-код для карт платежной системы Visa и CVK2 — для MasterCard). 
К способам идентификации стоит добавить проверку адреса AVS (Address Verification Service). Данная процедура в большей степени характерна для североамериканского рынка электронной коммерции, но, тем не менее, с ней приходилось сталкиваться и держателям карт российских банков, пытавшимся воспользоваться картами для оплаты товаров с доставкой на территории США. 
Однако все эти меры безопасности явно недостаточны для обеспечения высокого уровня безопасности расчетов в сети Интернет. 
Доля интернет-торговли неуклонно растет из года в год, увеличиваются обороты от продажи товаров и услуг в сети, пропорционально растет и количество мошеннических операций, но мало кто хочет отказываться от получаемых выгод, поэтому всех участников процесса все больше волнует безопасность проведения платежей и расчетов [5]. 
Ещё одним из методов защиты интернет-банкинга являются одноразовые пароли, получаемые в банкомате. При такой системе защиты, кроме обычного логина и пароля, для входа 
в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка. 
С точки зрения безопасности такая система имеет преимущество — чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате. 
Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Одним из них является то, что список паролей, распечатанный в виде чека из банкомата, необходимо хранить для подтверждения будущих операций. А это значит, что при его потере появится необходимость приобретать новый. 
Также существуют одноразовые SMS-пароли — это система, при которой каждая операция, осуществляемая посредством он-лайн — банкинга, должна быть подтверждена одноразовым паролем, который пользователь получает в SMS-сообщении на мобильный телефон. При этом мобильный номер должен быть «привязан» к номеру счета. 
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании — нет необходимости в специальном оборудовании, а процедура подтверждения операции занимает всего несколько минут. Во-вторых, она позволяет обезопасить учетную запись от использования злоумышленниками — даже если мошенникам станет известен логин и пароль для входа в систему, они не получат доступ к деньгам, а пользователь узнает о попытке провести несанкционированную операцию из SMS-сообщения [6]. 
Одним из эффективных направлений защиты информации является криптография или криптографическая информация, широко применяемая в различных сферах деятельности в государственных и коммерческих структурах [7]. 
В отличие от традиционных систем шифрования, в которых один и тот же ключ используется и для шифрования, в методах несимметричного шифрования — системах с открытым ключом, предусмотрены два ключа, каждый из которых невозможно вычислить из другого. Один ключ — открытый, используется отправителем для шифрования информации, другим — закрытым, получатель расшифровывает полученный зашифрованный текст. Электронная цифровая подпись — механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Преимущество электронной цифровой подписи в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что электронная цифровая подпись также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от цифровой подписи, заразив компьютер вредоносным программным обеспечением. 
На сегодняшний день также распространенны внешние электронные устройства. Некоторые банки предлагают пользователям он-лайн банкинга приобрести или взять в аренду специальное устройство — генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения. 
Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе. Такие системы являются упрощенной версией электронной цифровой подписи. 
Помимо перечисленных мер, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом: 
— ограничение использования личного сертификата — система некоторых банков позволяет использовать электронный ключ или электронный сертификат только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг можно только со своего личного компьютера, при том, что просматривать выписки по счету можно и на других устройствах; 
— виртуальная клавиатура — предназначена для того, чтобы мошенники не могли считывать регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов; 
— ограничение длительности сессии — в случае неактив-ности пользователя, сессия в системе Интернет-банкинга через 
определенное время будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию; 
— история подключений — с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также может отследить все несанкционированные операции [6]. 
Но все же решить проблему обеспечения надежности информационной безопасности исключительно с помощью технических средств и программного обеспечения невозможно. По мнению специалистов, защита корпоративных информационных систем зависит от ряда факторов: на 30% — от применяемых технических решений; на 40% — от проводимых в учреждении организационных мероприятий и на 30% — от морально-нравственного состояния общества и общекультурного уровня пользователя. 
Более половины кредитных организаций не имеют специалистов по информационной безопасности. Некоторые банки администрируют задачи филиалов с удаленных и головных офисов. Но эти мероприятия носят фрагментарный характер, поэтому задачи по обеспечению безопасности практически не решаются. Особенно не защищены филиалы, где системы часто не настроены, внутренние сети, как правило, соединены с 
внешними, неправильно эксплуатируются межсетевые экраны и средства АРМ-клиента Банка России. На откуп специалистам 1Т функции безопасности передают 42% банковских подразделений. Но для них это направление работы является непрофильным, носит второстепенный и фрагментарный характер [8]. 
Необходимо помнить, что проблемы безопасности онлайновых услуг связаны также и с отсутствием нормативно-правовой базы: закона об электронно-цифровой подписи, комплекта нормативных актов прямо регулирующих права и обязанности участников оборота онлайновых финансовых услуг, гарантий по выполнению распоряжений отданных в электронной форме, толкования подобных операций соответствующими контролирующими и надзорными ведомствами, все эти обстоятельства тормозят развитие электронных банковских услуг. Кроме того, отсутствие стандартизированных шифровальных протоколов для передачи информации через Интернет не прибавляет активности потенциальным банковским клиентам. Сегодня вопросы обеспечения безопасности онлайновых банковских операций каждый банк решает в отдельности путём использования профессиональных средств защиты. Однако банкам потребуется немало времени и усилий, прежде чем они смогут заручиться доверием таких средств защиты у значительной массы клиентов. 
Литература 
1. Голдовский И. Безопасность платежей в Интернете — СПб: Питер, 2001. — 240 с. 
2. Букин М. Активная безопасность ДБО // Банковские технологии. — 2010 — №10. 
3. Калемберг Д. Токен является ключевым элементом информационной безопасности в новых условиях // Банковские технологии. — 2010 — №1. 
4. Горюков Е.В., Котина О.В. Электронные деньги: развитие, направления использования в современной банковской практике (окончание) bankir.ru/tehnologii/s/elektronnie-dengi-razvitie-napravleniya-ispolzovaniya-v-sovremennoi-bankovskoi-praktike-okonchanie-1373402/ 
5. Гончаров В.В. Безопасность и защита интернет-платежей // Расчеты и операционная работа в коммерческом банке. — 2010. — № 4. 
6. Резниченко Е. Безопасность Интернет-банкинга: практические аспекты prostobank.ua/internet_banking/stati/ 
7. ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма 
8. Тимошкин А.В. Эволюция финансового контроля теневой экономики. Защита информации и технологий — условие стабильности банковской системы // Банковское дело. — 2009 — № 6. 
9. Кочергин Д. А. Развитие онлайновых банковских услуг в экономически развитых странах и России — Известия Санкт-Петербургского государственного университета экономики и финансов. — СПб.: Изд-во СПбГУЭиФ, 2001. — № 2. — С. 69-81.