Васил левски” учебна дисциплина
Сигурност на електронните разплащания в Интернет
Изтегляне 143.5 Kb.
|
Свързани:
Distr sistema
| 8. Сигурност на електронните разплащания в Интернет
Един от основните въпроси в електронната търговия е този за сигурността на разплащанията. Трансферът на информация за кредитни карти, за пароли за достъп до банкови сметки и за дебитни карти е лесно да бъде засечен от недоброжелатели. Банките най-често изискват клиентите задължително да посетят техен офис, за да бъде активирана услугата, дори и когато са се регистрирали през интернет за нея. Комуникацията през сайтовете за интернет банкиране е организирана по специални начини, а достъпът се контролира чрез потребителско име, парола и електронен сертификат. От някои банки посочват, че при първа регистрация промяната на паролата е задължителна точно с цел защита на сигурността. Банкери препоръчват и след това периодично паролата да бъде променяна. В общите условия на банките обикновено изрично се посочва, че хората, които ползват интернет банкиране, трябва да пазят в тайна всички данни за идентификацията си в Интернет и при съмнения, че някой ги е научил, да уведомят незабавно финансовата си институция по телефона, а след това и писмено, за да блокира достъпа до услугата. Основни заплахи за сигурността на една банка, предлагаща услуги чрез Интернет, са следните: неоторизиран достъп до компютрите злонамерени програми като вируси и троянски коне – обикновено те са прикрепени към файлове, които потребителят изтегля от Интернет. отдалечено следене на дейността на организацията – електронната поща е сред най-често използваните възможности на Интернет, но тя може лесно да бъде прочетена, ако не се кодира За разлика от онлайн магазините при електронното банкиране една парола не осигурява достатъчно спокойствие нито за клиента, нито за банката. Затова сайтовете за онлайн банкиране обикновено ползват подсигурения протокол HTTPS (това е стандартния HTTP (Hyper Text Transfer Protocol) + SSL (Secure Sockets Layer)). Той криптира целия трафик – това се отнася за цялата информация, плюс паролата за достъп – правейки почти невъзможно за трети лица да се сдобият с тях. Почти, тъй като протоколът криптира само трафика. Ако клиентския компютър не е добре защитен, паролата може да бъде „подадена” на трети лица, директно както е написана. Това се осъществява чрез програми, които се наричат key loggers. Съществуват и физически устройства със същите функции, които често се използват не по предназначение. Разбира се, съществува опасността от „разбиване” (или дори отгатване) на недобре подбрани пароли, както и кражба на такива, ако са били записани някъде. За България като допълнителна сигурност се практикува използването на достъпа до онлайн услугите само чрез един фиксиран компютър, както и ТАН (транзакционен авторизационен номер). ТАН представлява еднократно използваем шест цифрен код, който се използва от потребителите за подписване на нарежданията към банката. Възможен е и варианта да поискате от банката си уведомление чрез SMS за всяка наредена през сметката ви операция, и ако тя се окаже нелегитимна, да я прекратите навреме. Има няколко основни проблема във връзка за сигурността на разплащанията. От една страна, потребителите не биха искали тяхната кредитна институция да знае за какво точно те харчат предоставените им средства. В същото време търговците искат да бъдат сигурни, че ще получат парите за сделката. Третият проблем е свързан с това, че трета недобросъвестна страна може да извършва валидни разплащания и покупки за сметка на някой потребител, но в своя полза. Друг проблем е, че потребителите искат да бъдат улеснени и да не им се налага да въвеждат непрекъснато пароли и лични данни при пазаруване от различни доставчици. Тоест основната дилема при електронните разплащания е следната: да бъде запазена анонимността на Интернет потребителите и тайната на техните интереси или да бъде дадено специфично “име” за всеки един. В България, от 2001 г., са нормативно определени средствата и начините за правно валидна електронна идентификация на юридически и физически лица пред всички и във всякакви отношения – удостоверения за универсален електронен подпис. Изборът на удостоверения за универсален електронен подпис като легално и технологично средство за идентификация на клиентите на банката и допускането за работа с електронното банкиране е оптималното решение за банките. Най-сериозен остава проблемът за сигурността при електронното банкиране и възможността за опасността от пробив в сигурността на електронните банкови операции и в тяхната защитеност от несанкционирани външни въздействия. Например през 2000 г. е оповестено съобщение за възможността от несанкциониран достъп до онлайновите сметки на банки, използващи софтуера на известната компания Fiserv AIS (Fiserv Advanced Insurance Solutions – Insurance Software & Technology). Шокът във финансовите среди е много голям, тъй като по целия свят с помощта на програмните продукти на Fiserv AIS се управляват 200 млн. онлайн банкови сметки на стойност повече от $15 млрд. Тук всъщност става дума за опасност от специфична компютърна престъпност. Освен това с помощта на електронните онлайн операции много по-лесно могат да бъдат изпрани тъй наречени „мръсни” пари, което е обусловено и от отсъствието на пряк контакт „лице в лице” между служителите на банката и клиента. Този проблем е много важен и за изучаването му от представители на 26 страни ООН създадена специална междуправителствена финансова целева група за действия против изпиране на пари FATF (Financial Action Task on Money Laundering). FATF през 1998-1999 г. в своите официални документи разисква статуса на новите електронни платежни технологични системи. На проблемите на електронното банкиране, което може потенциално да се използва за изпиране на пари, са посветени и документите от 2000 и 2001 г. Последната официална препоръка на FATF от 2003 г. е посветена не само на възможността за изпиране на пари чрез електронно банкиране, но и на опасността да се финансира тероризма с помощта на електронни средства и мрежи. Това не означава, разбира се, че традиционното банкиране е абсолютно защитено от гледна точка на сигурността и с негова помощ не могат да бъдат изпирани мръсни пари . Например ЕС издаде през 1991 г. и 2001 г. две директиви за мерките срещу изпиране на пари, (91/308/ЕЕС и 2001/97/ЕС), но в тях не се споменава за електронното банкиране. Очевидно е, че и при двата вида банкиране е необходим стриктен контрол върху финансовите транзакции, онлайн банковите операции обаче изискват много по-голямо внимание, тъй като те се осъществяват денонощно и почти мигновено. Нещо повече, дори когато има сериозни подозрения за изпиране на пари, изпълнението им много трудно може да бъде открито и спряно навреме. Част от клиентите на банките все още са резервирани по отношение на онлайн банкирането най-вече поради съображения, свързани със сигурността. Наличието на този проблем отбелязват 30% от анкетираните в проучването на eMarketer. От уеб интерфейса на системите за онлайн банкиране пък са недоволни 22%. Изтегляне 143.5 Kb. Сподели с приятели:
|