Módszerek a digitális pénz elektronikus fizetési rendszerének védelmére. Melyek az elektronikus pénz védelmének fő módjai? Az elektronikus fizetési rendszerek védelmének eszközei
Az elektronikus fizetési rendszerek az elektronikus pénznemekkel végzett munka egyik legnépszerűbb típusa. Évről évre egyre aktívabban fejlődnek, és meglehetősen nagy részesedést foglalnak el a valutával való munkavégzés piacán. Velük együtt fejlődnek a biztonságukat biztosító technológiák is. Ma már egyetlen elektronikus fizetési rendszer sem létezhet jó technológiák és biztonsági rendszerek nélkül, amelyek viszont biztosítják a pénzforgalom biztonságos lebonyolítását. Valójában sok elektronikus fizetési rendszer létezik, valamint biztonsági technológia. Mindegyiknek más elvei és munkatechnológiái vannak, valamint megvannak a maga előnyei és hátrányai. Emellett számos elméleti és gyakorlati kérdés is megoldatlan maradt, ami meghatározza a kutatási téma relevanciáját.
Minden elektronikus fizetési rendszer saját módszereit, titkosítási algoritmusait, adatátviteli protokolljait használja a biztonságos tranzakciók és adatátvitel érdekében. Egyes rendszerek az RSA titkosítási algoritmust és a HTTPs átviteli protokollt használják, mások a DES algoritmust és az SSL protokollt használják a titkosított adatok átvitelére. A cikk megírásának ötlete számos népszerű fizetési rendszer tanulmányozásán és elemzésén alapul, nevezetesen a bennük használt biztonsági technológiákon, és annak megállapításán, hogy melyik a legfejlettebb.
A cikk megírása során fizetési rendszerek tanulmányozására, a meglévő fizetési rendszerek biztonságának elemzésére került sor. Négy fizetési rendszert (Webmoney, Yandex.Money, PauPa1 és E-Port) elemeztünk azonos szempontok szerint. A rendszereket egy többszintű rendszerrel értékelték, amely beágyazott paramétereket tartalmaz. Természetesen ezek a kritériumok a szférára vonatkoznak információ biztonság. Két fő kritérium létezik: a fizetések információbiztonságának technikai támogatása, valamint a szervezeti és jogi támogatás. E két paraméter mindegyikét hárompontos rendszerben értékelték. A minősítési skála pontosan ez, hiszen az elektronikus fizetési rendszerek jelenlegi fejlettsége hazánkban olyan szinten áll, hogy a legtöbb paraméterük csak „igen vagy nem” szavakkal írható le. Ennek megfelelően, ha az elektronikus fizetési rendszer bármely paraméternek maximálisan megfelel, akkor a legmagasabb pontszámot (3), ha egyáltalán nem válaszol, akkor a minimális pontszámot (0) kapja. Ha a rendszer nem tartalmazza ezt a kritériumot kifejezett formában, de ha a hiányzóhoz valamilyen szolgáltatás vagy képesség kapcsolódik, akkor köztes pontszámot adunk - egy vagy kettő.
Az elektronikus fizetési rendszerek értékelésekor emlékezni kell arra, hogy különböző feltételek mellett ugyanazon paraméter értéke nem azonos. Például több, a védelmi szintet jelentősen növelő szolgáltatást a felhasználó csak önként tud megvalósítani, ráadásul ezeknek a szolgáltatásoknak a rendszerben való jelenléte is értékes. Az emberi tényezőt senki nem törölte és nem is fogja megszüntetni, ezért figyelembe veszik, hogy a szolgáltatás megvalósítható és meg nem valósítható is.
A tranzakciók technikai biztonsága
Ez az első kritérium - olyan paraméterkészlet, amely – ahogy a neve is sugallja – biztosítja az információvédelem technikai oldalát. Eddig a beállításig engedélyezve: titkosítási, hitelesítési és hozzáférési kriptográfiai módszerek speciális használatával hardver(a legprimitívebb esetben - USB-kulcsok használatával).
Nem titok, hogy az információ védelmének fő kritériuma technikai értelemben természetesen az adatok titkosítása, pontosabban a kriptográfiai algoritmusok, amelyekkel ezeket megvalósítják. Az is ismert, hogy minél hosszabb a kulcs, annál nehezebb visszafejteni, és ennek megfelelően hozzáférni a bizalmas információkhoz. A tesztelt rendszerek közül három a jól ismert és széles körben elismert RSA algoritmust használja: Webmoney, Yandex.Money, PayPal. Az E-Port 3.0-ás verziójú SSL titkosítást használ, valójában SSL-kulcsok segítségével valósítják meg, amelyek egyediek, a munkamenet során generálódnak, és ezeket session kulcsnak nevezik. Az SSL kulcs hossza az E-Port rendszerben 40 és 128 bit között változik, ami teljesen elegendő a tranzakciós biztonság elfogadható szintjéhez.
A tranzakciók információbiztonságának technikai támogatásában a következő paraméter a hitelesítés, azaz a hitelesítés. megoldások összessége, amelyekre a felhasználónak szüksége van a saját személyes adataihoz való hozzáféréshez. Itt minden egyszerű. A Webmoney és a Yandex.Money rendszerek két hozzáférési kritériumot használnak, míg a PayPal és az E-Port csak egyet. A Webmoney-ben a rendszer eléréséhez és a fizetéshez meg kell adnia egy jelszót és egy speciális kulcsot. A Yandex.Money hasonló módon működik: jelszó és speciális pénztárca program szükséges. Minden más rendszerben a hozzáférés jelszóval történik. Az E-Port rendszerben azonban az SSL protokoll használatával történő működéshez a potenciális kliens (és a rendszer bármely más tagjának) webszerverének rendelkeznie kell egy speciális digitális tanúsítvánnyal, amelyet valamelyik felhatalmazott cégtől kapott. Ez a tanúsítvány az ügyfél webszerverének hitelesítésére szolgál. Az E-Port által használt tanúsítványvédelmi mechanizmust az RSA Security tanúsítja. A harmadik és egyben utolsó paraméter ebben a vizsgálati kritériumban a rendszerhez való hozzáférés speciális hardverrel, például USB-kulcsokkal.
Kriptográfiai titkosítási módszerek
A Webmoney és a Yandex.Money 1024 bites kulcsot használ (nagyon magas szám, egyszerű felsorolással szinte lehetetlen feltörni egy ilyen kulcsot), a PayPal pedig kétszer rövidebb - 512 bites - kulcsot. Ennek megfelelően az első két rendszer, e kritérium szerint a maximális pontot kapjuk - 3. A PayPal, mivel kisebb titkosítási kulcsot használ, két pontot kap. Már csak az E-Portot kell értékelni ezzel a paraméterrel. Az SSL protokoll használata és a 128 bitig terjedő kulcshossz ellenére az E-Port potenciális sérülékenysége rejtőzik: sok régebbi böngészőprogram támogatja a kulcsos titkosítást kisebb hosszúságú, ezért lehetőség van a fogadott adatok feltörésére; ennek megfelelően azok számára, akik a böngészőt kliensként használják fizetési rendszer, dolgozni kell vele legújabb verzió(persze ez nem mindig kényelmes és lehetséges). A "titkosítás" rovatban viszont 1,7 pontot lehet beállítani az E-Portra: a rendszer a progresszív PGP protokoll használata miatt érdemelte ki ezt a minősítést az e-mail üzenetek titkosítására.
Hitelesítés
A Webmoney és a Yandex.Money rendszerek két hozzáférési kritériumot használnak, míg a PayPal és az E-Port csak egyet. A Webmoney-ben a rendszer eléréséhez és a fizetéshez meg kell adnia egy jelszót és egy speciális kulcsot. A Yandex.Money hasonló módon működik: jelszó és speciális pénztárca program szükséges, minden más rendszerben a hozzáférés jelszóval történik. Az E-Port rendszerben azonban az SSL protokollon, a potenciális ügyfél webszerverén keresztül kell dolgozni.
A Webmoney és a Yandex.Money szerint három-három pontot kapnak, a PayPal - 0, az E-Port - egy.
Ez még egyszerűbb, mint az előző opciók esetében. Az összes rendszer közül egyedül a Webmoney PayPal rendelkezik ilyen kiegészítő lehetőséggel, utóbbiak nem adnak ilyen lehetőséget. Így a súlyozási tényezőt figyelembe véve a Webmoney és a PayPal 1,5 pontot kapott ezért a paraméterért, a többi nulla.
A két kritérium értékelése után az eredmények összegezhetők. A figyelembe vett paraméterek összege szerint a Webmoney biztonságosnak bizonyult. Valójában, ha a felhasználó igénybe veszi az általa nyújtott összes biztonsági szolgáltatást, gyakorlatilag sebezhetetlen maradhat a csalók számára. A második helyen a Yandex.Money rendszer, a harmadik helyen a PayPal végzett (ez a rendszer ideális jogi személyek számára a fizetések jelentős jogi átláthatósága érdekében), az utolsó helyet pedig az E-Port rendszer szerezte meg.
Ezen túlmenően a fizetési rendszerek elemzését összegezve elmondható, hogy az elektronikus fizetési rendszer kiválasztása nem egy biztonsági paraméter szerint történik, még akkor sem, ha az az egyik legfontosabb. Az elektronikus fizetési rendszerek a szolgáltatások elérhetőségében, a könnyű kezelhetőségben is különböznek – sok más tényező is van.
következtetéseket
Az elektronikus fizetés a telekommunikáció fejlődésének természetes állomása, nagy a kereslet azokban a résekben, ahol van egy teljes értékű termék - digitális termék, amelynek tulajdonságai jól „ráülnek” az online fizetés tulajdonságaira: azonnali fizetés, azonnali szállítás , egyszerűség és biztonság.
Internetes fizetési rendszer egy olyan rendszer, amely pénzügyi, üzleti szervezetek és Internet-felhasználók közötti elszámolásokat bonyolít le áruk és szolgáltatások internetes vásárlása/eladása során. Ez a fizetési rendszer, amely lehetővé teszi, hogy egy rendelésfeldolgozási szolgáltatást vagy egy elektronikus kirakatot teljes értékű üzletté alakítson, amely rendelkezik az összes szabványos attribútummal: az eladó webhelyén egy terméket vagy szolgáltatást kiválasztva a vevő anélkül tud fizetni, hogy elhagyná a számítógép.
Az e-kereskedelmi rendszerben a kifizetések számos feltételhez kötöttek:
1. A titoktartás tiszteletben tartása. Az interneten keresztül történő fizetéskor a vásárló azt szeretné, ha adatait (például hitelkártyaszámát) csak olyan szervezetek ismernék meg, amelyek erre törvényileg jogosultak.
2. Az információk integritásának megőrzése. A vásárlási adatokat senki nem módosíthatja.
3. Hitelesítés. A vevőknek és az eladóknak meg kell bizonyosodniuk arról, hogy a tranzakcióban részt vevő összes fél az, akinek mondják magukat.
4. Fizetési eszközök. Fizetési lehetőség a vevő rendelkezésére álló bármely fizetési móddal.
6. Az eladó kockázati garanciái. Az internetes kereskedés során az eladó számos kockázatnak van kitéve az áruk visszautasításával és a vevő rosszhiszeműségével kapcsolatban. A kockázatok nagyságrendjét külön megállapodások útján kell egyeztetni a fizetési rendszer szolgáltatójával és a kereskedelmi láncokba tartozó egyéb szervezetekkel.
7. Minimalizálja a tranzakciós díjakat. Az áruk megrendelésének és fizetésének tranzakció-feldolgozási díja természetesen benne van az árban, így a tranzakciós ár csökkentése növeli a versenyképességet. Fontos megjegyezni, hogy a tranzakciót minden esetben ki kell fizetni, még akkor is, ha a vevő visszautasítja az árut.
Mindezeket a feltételeket meg kell valósítani az internetes fizetési rendszerben, amely lényegében a hagyományos fizetési rendszerek elektronikus változata.
Így az összes fizetési rendszer a következőkre oszlik:
Terhelés (elektronikus csekkel és digitális készpénzzel dolgozva);
Hitel (hitelkártyákkal dolgozva).
Betéti rendszerek
A betéti fizetési sémák az offline prototípusokhoz hasonlóan épülnek fel: csekk és normál készpénz. A rendszerben két független fél vesz részt: a kibocsátók és a felhasználók. A kibocsátó a fizetési rendszert kezelő jogalany. Kiad néhány elektronikus egységet, amely fizetéseket reprezentál (például bankszámlákon lévő pénzt). A rendszerhasználók két fő funkciót látnak el. Fizetést teljesítenek és fogadnak el az interneten kiadott elektronikus eszközökkel.
Az elektronikus csekk a szokásos papíralapú csekkekhez hasonló. Ezek a fizető utasításai bankjának, hogy utaljanak át pénzt számlájáról a kedvezményezett számlájára. A művelet akkor történik meg, amikor a címzett csekket mutat be a bankban. Itt két fő különbség van. Először is, amikor papíralapú csekket ír, a fizető valódi aláírást helyez el, az online változatban pedig egy elektronikus aláírást. Másodszor, magukat a csekkeket elektronikusan állítják ki.
A fizetés több szakaszban történik:
1. A kifizető elektronikus csekket állít ki, azt elektronikus aláírással aláírja és megküldi a címzettnek. A nagyobb megbízhatóság és biztonság érdekében a folyószámlaszám kódolható a bank nyilvános kulcsával.
2. A csekket bemutatják a fizetési rendszernek történő kifizetés céljából. Továbbá (akár itt, akár a címzettet kiszolgáló bankban) ellenőrzésre kerül sor Elektronikus aláírás.
3. Eredetiségének igazolása esetén termék leszállításra vagy szolgáltatásra kerül sor. A pénz átutalása a fizető számlájáról a címzett számlájára történik.
A fizetési séma egyszerűségét (43. ábra) sajnos ellensúlyozza a megvalósítás nehézségei, amelyek abból adódnak, hogy a csekkrendszerek még nem terjedtek el, és nincsenek hitelesítő központok az elektronikus aláírás megvalósítására.
Az elektronikus digitális aláírás (EDS) nyilvános kulcsú titkosítási rendszert használ. Ez létrehoz egy privát kulcsot az aláíráshoz és egy nyilvános kulcsot az ellenőrzéshez. A privát kulcsot a felhasználó tartja meg, míg a nyilvános kulcshoz mindenki hozzáférhet. A nyilvános kulcsok terjesztésének legkényelmesebb módja a hitelesítési központok használata. A nyilvános kulcsot és a tulajdonosra vonatkozó információkat tartalmazó digitális tanúsítványokat tárolja. Ez mentesíti a felhasználót azon kötelezettség alól, hogy saját nyilvános kulcsát terjessze. Ezenkívül a hitelesítésszolgáltatók hitelesítést biztosítanak annak biztosítására, hogy senki ne generálhasson kulcsokat egy másik személy nevében.
Az elektronikus pénz teljes mértékben a valódi pénzt szimulálja. Ugyanakkor a kibocsátó szervezet – a kibocsátó – kibocsátja a különböző rendszerekben eltérően nevezett elektronikus megfelelőit (például kuponokat). Továbbá olyan felhasználók vásárolják meg őket, akik vásárlások fizetésére használják őket, majd az eladó beváltja a kibocsátótól. Kibocsátáskor minden pénzegységet elektronikus bélyegzővel igazolnak, amelyet a kibocsátó szervezet a visszaváltás előtt ellenőriz.
A fizikai pénz egyik jellemzője az anonimitása, vagyis nem jelzi, hogy ki és mikor használta fel. Egyes rendszerek analógia útján lehetővé teszik az ügyfél számára, hogy elektronikus készpénzt kapjon úgy, hogy a közte és a pénz közötti kapcsolat nem állapítható meg. Ez vak aláírási séma használatával történik.
Azt is meg kell jegyezni, hogy a használat során elektronikus pénz nincs szükség hitelesítésre, mivel a rendszer alapja a pénz forgalomba hozatala a felhasználás előtt.
A 44. ábra az elektronikus pénzt használó fizetési konstrukciót mutatja be.
A fizetési mechanizmus a következő:
1. A vevő előzetesen valódi pénzt vált elektronikus pénzre. Az ügyfélnél történő készpénztartás kétféleképpen történhet, amit az alkalmazott rendszer határoz meg:
A számítógép merevlemezén;
intelligens kártyákon.
A különböző rendszerek különböző cseresémákat kínálnak. Néhányan speciális számlákat nyitnak, amelyekre a vevő számlájáról pénzt utalnak át elektronikus bankjegyekért cserébe. Egyes bankok maguk bocsátanak ki elektronikus készpénzt. Ugyanakkor csak az ügyfél kérésére adják ki, az ügyfél számítógépére vagy kártyájára történő utólagos átutalással és a készpénz-egyenértéknek a számlájáról történő kivonásával. A vak aláírás alkalmazásakor a vevő maga készít elektronikus bankjegyeket, elküldi azokat a banknak, ahol a számlára való valódi pénz beérkezését követően pecséttel igazolják, és visszaküldik az ügyfélnek.
Az ilyen tárolás kényelme mellett hátrányai is vannak. A lemez vagy az intelligens kártya sérülése az elektronikus pénz helyrehozhatatlan elvesztését eredményezi.
2. A vevő elektronikus pénzt utal át a vásárláshoz az eladó szerverére.
3. A pénzt bemutatják a kibocsátónak, aki ellenőrzi azok valódiságát.
4. Ha az elektronikus bankjegyek hitelesek, az eladó számláját a vásárlás összegével megnövelik, és az árut a vevőnek szállítják vagy a szolgáltatást biztosítják.
Az elektronikus pénz egyik fontos megkülönböztető jellemzője a mikrofizetések képessége. Ez annak a ténynek köszönhető, hogy a bankjegyek címlete nem feltétlenül felel meg a valódi érméknek (például 37 kopecks).
Mind a bankok, mind a nem banki szervezetek bocsáthatnak ki elektronikus készpénzt. Ezt azonban még nem fejlesztették ki egy rendszer különböző típusú elektronikus pénzek konvertálása. Ezért az általuk kibocsátott elektronikus készpénzt csak maguk a kibocsátók válthatják be. Ráadásul az ilyen, nem pénzügyi struktúrákból származó pénzek felhasználását az állam nem garantálja. A tranzakció alacsony költsége azonban vonzó eszközzé teszi az e-készpénzt az internetes fizetésekhez.
Hitelrendszerek
Az internetes hitelrendszerek a hagyományos hitelkártyákkal működő rendszerek analógjai. A különbség az interneten keresztül történő összes tranzakció lebonyolításában rejlik, és ennek eredményeként a további biztonság és hitelesítés szükségessége.
A hitelkártyákkal történő internetes fizetések során a következők vesznek részt:
1. Vevő. Olyan kliens, amely webböngészővel és internet-hozzáféréssel rendelkező számítógéppel rendelkezik.
2. Kibocsátó bank. Itt van a vevő fiókja. A kibocsátó bank kártyákat bocsát ki, és kezes az ügyfél pénzügyi kötelezettségeinek teljesítésére.
3. Eladók. Az eladók olyan e-kereskedelmi szerverek, amelyek árukat és szolgáltatásokat katalógusokat vezetnek, és fogadják az ügyfelek vásárlási rendeléseit.
4. Elfogadó bankok. Kereskedőket kiszolgáló bankok. Minden eladónak egyetlen bankja van, ahol a folyószámláját vezeti.
5. Internetes fizetési rendszer. Elektronikus alkatrészek, amelyek közvetítők a többi résztvevő között.
6. Hagyományos fizetési rendszer. Pénzügyi és technológiai eszközök készlete az ilyen típusú kártyák kiszolgálásához. A fizetési rendszer által megoldott főbb feladatok között szerepel a kártyahasználat biztosítása áruk és szolgáltatások fizetőeszközeként, banki szolgáltatások igénybevétele, kölcsönös elszámolások stb. A fizetési rendszer résztvevői magánszemélyek és jogi személyek, akiket hitelkártya-használati kapcsolat köt össze.
7. A fizetési rendszer feldolgozási központja. Olyan szervezet, amely információs és technológiai interakciót biztosít a résztvevők között egy hagyományos fizetési rendszerben.
8. A fizetési rendszer elszámoló bankja. Olyan hitelintézet, amely a feldolgozási központ nevében kölcsönös elszámolásokat végez a fizetési rendszer résztvevői között.
A fizetések általános sémáját egy ilyen rendszerben a 45. ábra mutatja.
1. A vásárló az elektronikus áruházban árukosarat képez, és kiválasztja a „hitelkártya” fizetési módot.
Az üzleten keresztül, vagyis a kártya paraméterei közvetlenül az üzlet weboldalán kerülnek bevitelre, majd átkerülnek az internetes fizetési rendszerbe (2a);
A fizetési rendszer szerverén (2b).
A második módszer előnyei nyilvánvalóak. Ebben az esetben a kártyákkal kapcsolatos információk nem maradnak az üzletben, és ennek megfelelően csökken a harmadik fél általi kézhezvétel vagy az eladó általi csalás kockázata. A hitelkártyaadatok átvitelekor mindkét esetben fennáll annak a lehetősége, hogy a hálózaton támadók elkapják azokat. Ennek elkerülése érdekében az adatok titkosításra kerülnek az átvitel során.
A titkosítás természetesen csökkenti a hálózaton lévő adatok elfogásának lehetőségét, ezért a vevő/eladó, eladó/internetes fizetési rendszer, vevő/internetes fizetési rendszer kommunikációját lehetőleg biztonságos protokollok segítségével bonyolítjuk le. Ezek közül manapság a legelterjedtebb az SSL (Secure Sockets Layer) protokoll, valamint a SET (Secure Electronic Transaction) biztonságos elektronikus tranzakciós szabvány, amely az SSL-t idővel felváltja az internetes bankkártyás vásárlásokhoz kapcsolódó tranzakciók feldolgozása során.
3. Az internetes fizetési rendszer elküldi az engedélyezési kérelmet a hagyományos fizetési rendszernek.
4. A következő lépés attól függ, hogy a kibocsátó bank vezet-e online számlák adatbázisát (DB). Ha az adatbázis rendelkezésre áll, a feldolgozó központ kártyaengedélyezési kérelmet küld a kibocsátó banknak (lásd a bevezetőt vagy a szótárat) (4a), majd a (4b) megkapja annak eredményét. Ha nincs ilyen bázis, akkor a feldolgozó központ maga tárol információkat a kártyabirtokosok számláinak állapotáról, stoplistákról és teljesíti az engedélyezési kérelmeket. Ezt az információt a kibocsátó bankok rendszeresen frissítik.
Az üzlet szolgáltatást nyújt vagy terméket szállít (8a);
A feldolgozó központ információt küld a teljesített tranzakcióról a kiegyenlítő banknak (8b). A vevőnek a kibocsátó bankban vezetett számlájáról a pénz az elszámoló bankon keresztül az üzlet elfogadó bankban lévő számlájára kerül átutalásra.
Az ilyen kifizetések teljesítése érdekében a legtöbb esetben egy speciális szoftver. A vevőnek (úgynevezett elektronikus pénztárcának), az eladónak és szolgáltató bankjának szállítható.
Bevezetés
1. Elektronikus fizetési rendszerek és osztályozásuk
1.1 Alapfogalmak
1.2 Az elektronikus fizetési rendszerek osztályozása
1.3 Az Oroszországban használt főbb elektronikus fizetési rendszerek elemzése
2. Az elektronikus fizetési rendszerek védelmének eszközei
2.1 Az elektronikus fizetési rendszerek használatával kapcsolatos veszélyek
2.2 Biztonsági technológiák elektronikus fizetési rendszerek számára
2.3 A megfelelőségi technológiák elemzése alapkövetelmények elektronikus fizetési rendszerekre
Következtetés
Bibliográfiai lista
BEVEZETÉS
Az elektronikus fizetés és az elektronikus pénz egy, 10 éve még kevéssé érdekes témaköre az utóbbi időben nemcsak az üzletemberek, hanem a végfelhasználók számára is aktuálissá vált. A divatos "e-business", "e-commerce" szavakat valószínűleg minden második ember ismeri, aki legalább alkalmanként olvas számítógépes vagy népszerű sajtót. A távoli fizetés (nagy távolságra történő pénzátutalás) feladata a speciálisak kategóriájából átkerült a hétköznapokba. Az e kérdéssel kapcsolatos információk bősége azonban egyáltalán nem járul hozzá a polgárok tudatának tisztázásához. Mind az elektronikus fizetés problémájának összetettsége és fogalmi fejletlensége miatt, mind pedig azért, mert sok népszerűsítő sokszor a sérült telefon elvén dolgozik, háztartási szinten persze mindenki számára világos minden. De ez addig van, amíg el nem jön az elektronikus fizetés gyakorlati fejlődésének fordulata. Itt derül ki az a félreértés, hogy bizonyos esetekben mennyire helyénvaló az elektronikus fizetés alkalmazása.
Mindeközben egyre fontosabbá válik az elektronikus fizetések elfogadásának feladata az interneten keresztül üzletelni szándékozók, illetve a weben keresztül vásárolni szándékozók számára. Ez a cikk mindkettőhöz szól.
A kezdőknek szánt elektronikus fizetési rendszerek mérlegelésekor a fő probléma felépítésük és működési elveik sokszínűsége, valamint az, hogy a megvalósítás külső hasonlósága ellenére egészen eltérő technológiai és pénzügyi mechanizmusok rejtőzhetnek mélységükben.
A globális internet népszerűségének gyors fejlődése erőteljes lendületet adott az új megközelítések és megoldások kidolgozásához a világgazdaság különböző területein. Még az olyan konzervatív rendszerek is, mint a banki elektronikus fizetési rendszerek, behódoltak az új trendeknek. Ez megnyilvánult az új fizetési rendszerek - az interneten keresztüli elektronikus fizetési rendszerek - megjelenésében és fejlődésében, amelyek fő előnye, hogy az ügyfelek a fizetési megbízás fizikai szállításának fárasztó és esetenként technikailag nehéz szakaszát megkerülve fizetéseket (pénzügyi tranzakciókat) hajthatnak végre. a bankba. A bankok és bankintézetek is érdekeltek ezeknek a rendszereknek a bevezetésében, mivel lehetővé teszik az ügyfélkiszolgálás sebességének növelését és a fizetések rezsiköltségének csökkentését.
Az elektronikus fizetési rendszerek olyan információkat terjesztenek, beleértve a bizalmas információkat is, amelyek védelmet igényelnek a megtekintéssel, módosítással és hamis információk előírásával szemben. A megfelelő internet-orientált biztonsági technológiák fejlesztése jelenleg komoly kihívást jelent. Ennek oka az architektúra, az alapvető erőforrások és a technológiák Internetes hálózatok a hozzáférés vagy a gyűjtés megszervezésére összpontosított nyílt információ. Azonban a közelmúltban megjelentek olyan megközelítések és megoldások, amelyek jelzik a szabványos internetes technológiák alkalmazásának lehetőségét az interneten keresztüli biztonságos információtovábbításhoz szükséges rendszerekben.
Az RGR célja az elektronikus fizetési rendszerek elemzése és ezek használatára vonatkozó ajánlások kidolgozása. A cél alapján az RGR megvalósításának következő szakaszai fogalmazódnak meg:
1. Határozza meg az elektronikus fizetési rendszerek fő feladatait és működési elveit, jellemzőit!
2. Elemezze az elektronikus fizetés főbb rendszereit.
3. Elemezze az elektronikus pénz használatához kapcsolódó fenyegetéseket.
4. Elemezze a védelmi eszközöket elektronikus fizetési rendszerek használatakor.
1. ELEKTRONIKUS FIZETÉSI RENDSZEREK ÉS OSZTÁLYOZÁSUK
1.1 Alapfogalmak
Elektronikus fizetések. Kezdjük azzal, hogy a huszadik század második felében jogos beszélni az elektronikus fizetésről, mint a készpénz nélküli fizetés egyik fajtájáról. Vagyis az elektronikus fizetéssel kapcsolatos információk továbbítása régóta létezik, de alapvetően új minőséget kapott, amikor a vezetékek mindkét végén megjelentek a számítógépek. Az információ továbbítása telex, teletype, számítógépes hálózatok segítségével történt, amelyek akkoriban megjelentek. Minőségileg új ugrás jelent meg abban, hogy jelentősen megnőtt a fizetések gyorsasága, és lehetővé vált azok automatikus feldolgozása.
Később megjelentek más típusú fizetések elektronikus megfelelői is - készpénzes fizetések és egyéb fizetési módok (például csekk).
Elektronikus fizetési rendszerek (EPS). Elektronikus fizetési rendszernek nevezünk minden meghatározott hardver és szoftver eszközök lehetővé teszi az elektronikus fizetést.
Létezik különböző módokonés kommunikációs csatornák az EPS-hez való hozzáféréshez. Ma ezek közül a csatornák közül a legelterjedtebb az internet. Egyre növekszik az EPS terjedése, melyhez való hozzáférés a segítségével valósul meg mobiltelefon(SMS-en, WAP-on és egyéb protokollokon keresztül). Más módszerek kevésbé elterjedtek: modemmel, telefonon tone tárcsázással, telefonon egy operátoron keresztül.
Elektronikus pénz. Homályos kifejezés. Ha alaposan átgondolja, mi rejlik mögötte, könnyen megértheti, hogy az elektronikus pénz az „elektronikus készpénz”, valamint az elektronikus fizetési rendszerek helytelen elnevezése.
Ez a terminológiai félreértés a kifejezések angolból történő fordításának szabadságából adódik. Mivel Oroszországban az elektronikus fizetések sokkal lassabban fejlődtek, mint Európában és Amerikában, kénytelenek voltunk szilárdan gyökerező kifejezéseket használni. Természetesen az elektronikus készpénz olyan elnevezései, mint „digitális készpénz” (e-készpénz), „digitális pénz” (digitális pénz), „elektronikus készpénz” (digitális készpénz)2, élethez való joggal rendelkeznek.
Általánosságban elmondható, hogy az "elektronikus pénz" kifejezés nem jelent semmi konkrétat, ezért a jövőben igyekszünk kerülni a használatát.
Elektronikus készpénz:
Ez egy olyan technológia, amely a múlt század 90-es éveiben jelent meg, és lehetővé teszi olyan elektronikus fizetések lebonyolítását, amelyek nem kapcsolódnak közvetlenül a pénz átutalásához egy számláról egy banknál vagy más pénzügyi szervezetnél vezetett számlára, azaz közvetlenül személyek között. - a fizetés végső résztvevői. Az elektronikus készpénz másik fontos tulajdonsága a fizetések anonimitása, amelyet biztosít. A fizetést igazoló engedélyezési központnak nincs információja arról, hogy pontosan ki és kinek utalta át a pénzt.
Az elektronikus készpénz az elektronikus fizetések egyik fajtája. Az elektronikus készpénz egysége nem más, mint a kibocsátó (bank vagy más pénzintézet) pénzügyi kötelezettsége, lényegében hasonló a szokásos váltóhoz. Az elektronikus készpénzes fizetések ott jelennek meg, ahol kényelmetlenné válik más fizetési rendszerek használata. Jó példa erre, hogy a vevő nem hajlandó információt megadni a hitelkártyájáról, amikor az árukért az interneten fizet.
Miután eldöntöttük a terminológiát, továbbléphetünk beszélgetésünk következő szakaszára - beszéljünk az EPS osztályozásáról. Mivel az EPS elektronikus számításokat közvetít, az EPS felosztása ezeknek a számításoknak a különböző típusaira épül.
Ezen túlmenően az EPS mechanizmus alapjául szolgáló szoftver és/vagy hardver technológia nagyon fontos szerepet játszik ebben a kérdésben.
1.2 Az elektronikus fizetési rendszerek osztályozása
Az elektronikus fizetési rendszerek mind az elektronikus fizetés sajátosságai, mind az EPS mögött meghúzódó technológia alapján osztályozhatók.
EPS besorolás az elektronikus fizetés típusától függően:
1. A kifizetésben résztvevők összetétele szerint (1. táblázat).
Asztal 1
| Elektronikus fizetés típusa | Fizetési felek | Analóg a monetáris elszámolások hagyományos rendszerében | EPS példa |
| Bankok közötti fizetések | Pénzintézetek | nincsenek analógok | |
| B2B fizetések | Jogalanyok | Készpénz nélküli fizetés szervezetek között | |
| С2B fizetések | Az áruk és szolgáltatások végfelhasználói és jogi személyek – eladók | Készpénzes és nem készpénzes fizetések a vevőktől az eladók felé | Kölcsönpilóta |
| C2C fizetések | Magánszemélyek | Közvetlen készpénzes elszámolás magánszemélyek között, postai, távirati átutalás |
A jövőben nem vesszük figyelembe azokat az EPS-eket, amelyek a „bank-bank” típusú elektronikus elszámolások kiszolgálására szolgálnak. Az ilyen rendszerek rendkívül összetettek, nagyobb mértékben befolyásolják a bankrendszer működésének technológiai vonatkozásait, és nagy valószínűséggel olvasóink széles tömegeit nem érdeklik.
Ezen túlmenően meg kell jegyezni, hogy van egy másik fizetési típus is, amely logikailag nem igazán fér bele az 1. táblázatba. Formai jellemzői szerint teljes mértékben a C2B területre esik, de ennek ellenére nem biztosítható az ilyen típusú elterjedt EPS-ek segítségével. . A mikrofizetéseket az áruk rendkívül kicsi (centek vagy egy cent töredékei) értéke jellemzi. A legjellemzőbb mind közül népszerű cikkek a mikrofizetést megvalósító rendszerre példa a viccek árusítása (egy centért). Az olyan rendszerek, mint az Eaccess és a Phonepay alkalmasak mikrofizetésre.
2. Az elvégzett műveletek típusa szerint (2. táblázat).
2. táblázat
| Elektronikus fizetés típusa | Hol használják | EPS példa |
| Bankszámlavezetési műveletek | "Client bank" rendszerek modemen, interneten, mobiltelefonon stb. | A Rendszer ügyfél bankszámlavezetési műveletei |
| Pénzátutalási műveletek bankszámlanyitás nélkül | pénzátutalási rendszerek számítógépes hálózatok hasonló a postai és távirati átutalásokhoz | |
| Műveletek kártyás bankszámlákkal | Betéti és hitel plasztikkártyák | Cyberplat (Cyberpos) |
| Műveletek elektronikus csekkel és egyéb nem pénzbeli fizetési kötelezettségekkel | Vállalatközi kifizetések zárt rendszerei | Cyberplat (Cybercheck) |
| Tranzakciók elektronikus (kvázi) készpénzzel | Fizikai számítások magánszemélyek, tokenek elektronikus analógjai és prepaid kártyák, amelyeket pénzhelyettesítőként használnak az áruk fizetéséhez |
Megjegyzendő, hogy az „ügyfél-bank” rendszerek már régóta ismertek. Bankszámlájához modemmel tud hozzáférni. Az elmúlt évtizedben új lehetőségek jelentek meg fiókjának interneten keresztüli kezelésére, egy felhasználóbarát webes felületen keresztül. Ez a szolgáltatás az „Internet banking” nevet kapta, és semmi alapvetően újat nem vezetett be az „ügyfél-bank” típusú fizetési rendszerekbe. Ezen kívül más lehetőségek is vannak a bankszámla elérésére, például mobiltelefon használatával (WAP-banking, SMS-banking). E tekintetben ebben a cikkben nem foglalkozunk kifejezetten az ilyen típusú EPS-ekkel, csak megjegyezzük, hogy jelenleg Oroszországban körülbelül 100 kereskedelmi bank nyújt internetes banki szolgáltatásokat több mint 10 különböző EPS használatával.
EPS besorolás az alkalmazott technológiától függően:
Az EPS egyik legfontosabb tulajdonsága a betörésállóság. Talán ez a legtöbbet vitatott jellemzője az ilyen rendszereknek. Amint a 3. táblázatból látható, a rendszerbiztonsági probléma megoldása során az EPS felépítésének legtöbb megközelítése egy bizonyos központi adatbázis titkosításán alapul, amely kritikus információkat tartalmaz. Ugyanakkor néhányan hozzátesznek ehhez titkos bázis a hardver tartósságán alapuló további védelmi szintek.
Elvileg vannak más technológiák is, amelyek alapján EPS-t lehet építeni. Nem is olyan régen például a médiában volt egy üzenet a plasztikkártyába ágyazott CDR lemezekre épülő EPS fejlesztéséről. azonban hasonló rendszerek nem használják széles körben a világgyakorlatban, ezért nem fogunk rájuk összpontosítani.
3. táblázat
| Technológia | Mire épül a rendszer stabilitása? | EPS példa |
| Központi szerver kliens bankkal rendelkező rendszerek, pénzátutalással | A hozzáférési kulcsok biztonsága | Telebank (Guta-bank), "Internet Service Bank" (Autobank) |
| Intelligens kártyák | Az intelligens kártya hardveres ellenállása a hackeléssel szemben | Mondex, ACCORD |
| Mágneskártyák és virtuális hitelkártyák | Segíts, Elit |
|
| kaparós sorsjegy | Adatbázistitok kaparós sorsjegyek számokkal és kódokkal | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Fájl/pénztárca, mint program a felhasználó számítógépén | Az információcsere protokoll kriptográfiai erőssége | |
| Fizetett telefonhívás | A központi adatbázis titkossága pin kódokkal és az intelligens telefonhálózat hardveres stabilitása | Hozzáférés, Phonepay |
1.3 Az Oroszországban használt főbb elektronikus fizetési rendszerek elemzése
Jelenleg meglehetősen sok elektronikus fizetési rendszert használnak az orosz interneten, bár nem mindegyiket használják széles körben. Jellemző, hogy a Runetben használt szinte minden nyugati fizetési rendszer hitelkártyákhoz van kötve. Néhányan közülük, például a PayPal, hivatalosan megtagadják az oroszországi ügyfelekkel való együttműködést. Manapság a következő rendszereket használják a legszélesebb körben:
A CyberPlat vegyes típusú rendszerekre utal (a fenti besorolások bármelyike szempontjából). Valójában elmondhatjuk, hogy ezen a rendszeren belül három különálló gyűjtik egy fedél alá: a klasszikus "kliens-bank" rendszer, amely lehetővé teszi az ügyfelek számára, hogy a rendszerben részt vevő bankokban (11 orosz és 1 lett) nyitott számlákat kezeljenek. ); a CyberCheck rendszer, amely biztonságos fizetést tesz lehetővé a rendszerhez csatlakozó jogi személyek között; valamint az internetes elfogadó rendszer, azaz a hitelkártyáról elfogadott fizetések feldolgozása - CyberPos. Az orosz piacon elérhető összes internetes elfogadó rendszer közül a CyberPlat a legtöbb típusú hitelkártya feldolgozását biztosítja, nevezetesen: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, közvetlen csatlakozás az STB-hez. kártyarendszer került bejelentésre és ACCORD-card/Bashkard. A cég alkalmazottai nem hivatalosan azt állították, hogy más orosz kártyarendszerekkel való dokkolás lehetőségén dolgoznak. A fentieken túlmenően a CyberPlat biztosítja az E-port fizetési rendszer kaparós sorsjegyeinek feldolgozását, és bejelentette a Paycash rendszerrel működő átjáró közelgő üzembe helyezését.
Jelenleg az ellopott hitelkártyás fizetések elleni védelem növelése érdekében a cég egy speciális PalPay technológiát fejleszt ki, amely abból áll, hogy az eladónak lehetősége nyílik ellenőrizni, hogy a vevő valóban hozzáfér-e a bankszámlához. a hitelkártya, vagy csak az adatait ismeri. Hivatalosan még nem jelentették be ennek a technológiának az üzembe helyezését.
A CyberCheck rendszer nagy érdeklődésre tart számot a vállalati partnerekkel való munka megszervezésében. Legfőbb jellemzője (a hitelkártyás fizetés elfogadásához képest) az, hogy a fizető fél nem tud utólag megtagadni a fizetést. Más szóval, a fizetésről szóló visszaigazolást a CyberChecktől kapni ugyanolyan megbízható, mint attól a banktól, ahol az eladó számlája található. Mindezek a funkciók a CyberPlatot talán a legfejlettebb és legérdekesebb EPS-eladókká teszik az orosz interneten.
Az Assist rendszer a hitelkártyás fizetések feldolgozását illetően sok tekintetben a CyberPlat funkcionális analógja. Moszkvában az ő érdekeit az Alfa-Bank képviseli. Összesen 5 bank csatlakozik a rendszerhez. Az internetes elfogadó alrendszer lehetővé teszi Visa, Mastercard/Eurocard, STB-kártya fizetések elfogadását. Szeptembertől nem igazán biztosított az Assist rendszer szerverén bejelentett egyéb kártyarendszerekből történő fizetések fogadása. Nem hivatalos információk szerint azonban a közeljövőben lehetőség lesz Diners Club kártyák, Cirrus Maestro és Visa Electron betéti kártyák elfogadására. Érdekes módon ezt a típusú kártyát általában nem fogadják el az elfogadó cégek, azonban olcsóságuk miatt ezek a kártyák igen elterjedtek. A betéti kártyák elfogadásának megtagadását általában biztonsági megfontolások motiválják. Talán az ASSIST képes lesz megkerülni ezt a problémát a SET protokoll használatával, amelynek támogatását a napokban jelentette be a cég. Ellentétben a hagyományos internetes plasztikkártyás fizetési móddal, amely lehetővé teszi a kártyabirtokos számára a fizetés visszautasítását (charge-back), a SET protokoll garantálja a tranzakció hitelességét, jelentősen csökkentve ezzel a kereskedő kockázatát.
Az Assist honlapján meghirdetett, internetszolgáltatótól vásárolt elektronikus tanúsítványokkal meghirdetett fizetési mód meglehetősen érdekes, mivel új üzletágakat nyit meg a szolgáltatók előtt, azonban a rendelkezésre álló információk szerint jogi nehézségek miatt a közelmúltig senki sem használta. . Ennek ellenére, nem hivatalos információk szerint, ez az állapot hamarosan megváltozik - 2001 őszén láthatjuk ennek a számítási módszernek az első gyakorlati megvalósítását.
A leírásokban említett CyberPlat és Assist kártyarendszereken kívül vannak olyanok is, amelyek valamilyen forgalmazásban részesültek a piacon. A Discover/NOVUS széles körben elterjedt Észak-Amerikában, és érdekes lehet azoknak az elektronikus boltoknak, amelyek a nyugati közönség számára dolgoznak. Nem tudunk olyan hazai akvizíciós társaságokról, amelyek feldolgoznák ennek a rendszernek a kártyáit, ugyanakkor számos ajánlat érkezik a nyugati akvizíciós vevők érdekeit képviselő közvetítőktől. Az orosz kártyarendszerek közül az STB és az Union Card után a piacon a legszembetűnőbb a Zolotaya Korona, a Sbercard (Sberbank), az Universal Card és az ICB-kártya (Promstroybank), valamint a fentebb már említett ACCORD kártya / Bashcard. Az "ICB-kártyát" néhány kisebb elfogadó cég kezeli, az "Aranykorona" és a "Sbercard" kártyákról az interneten keresztül történő fizetések elfogadását állítólag közvetlenül a kibocsátók és/vagy a hozzájuk kapcsolódó cégek látják el, ill. az Univerzális Kártya esetében úgy tűnik, hogy nem biztosítja senki.
A Paycash-t és a Webmoney-t fejlesztőik elektronikus készpénz-rendszerként pozícionálják, de közelebbről megvizsgálva csak a Paycash tarthat jogosan ilyen státuszt.
A Paycash fejlesztését a Tauride Bank kezdeményezte, de jelenleg más bankok is csatlakoznak a rendszerhez, például a Guta-Bank.
Technológiai szempontból a Paycash a készpénzes fizetés szinte teljes utánzatát biztosítja. Az egyik elektronikus pénztárcából (az ügyfél által a számítógépére telepített speciális program) pénzt lehet átutalni egy másikba, miközben biztosítják a fizetés anonimitását a bankkal szemben. A rendszer meglehetősen elterjedt Oroszországban, és jelenleg kísérleteket tesz a világpiacra való belépésre.
A Paycash szűk keresztmetszete a pénz elektronikus pénztárcába történő átutalásának eljárása. Egészen a közelmúltig az egyetlen módja Ehhez el kellett menni egy bankfiókba, és át kell utalni a pénzt a rendszer számlájára. Igaz, voltak alternatívák - a Guta-bank Telebank rendszer felhasználói számára lehetőség volt pénzt utalni a Guta-bank számlájáról otthonról való távozás nélkül, de bizonyos esetekben úgy tűnik, egyszerűbb közvetlenül a számlára utalni. az eladótól - elektronikus áruház a Paycash közvetítőként történő használata nélkül. Western Unionon vagy postai/távirati átutalással is lehetett pénzt utalni, de ennek az útvonalnak a vonzerejét korlátozta a magas jutalék. Szentpétervár lakosai számára nagyon egzotikus lehetőség kínálkozik - futárt hívni pénzért otthon. Remek, de sajnos nem mindannyian élünk az északi fővárosban.
Még mindig hiányzik a lehetőség, hogy hitelkártyáról pénzt utaljanak át a Paycash-re. Ennek az az oka, hogy a kártyarendszerek munkáját támogató cégek ügyfeleik számára biztosítják az úgynevezett „visszaterhelés” – a fizetés megtagadása „visszadátumozás” – lehetőségét. A „visszaterhelés” egy olyan mechanizmus, amely megvédi a hitelkártya tulajdonosát a csalóktól, akik felhasználhatják annak adatait. Ilyen visszautasítás esetén a kereskedőt terheli annak bizonyítása, hogy az árut valóban a valódi kártyabirtokoshoz szállították ki, és a fizetést meg kell tenni. De a Paycash esetében ez a fajta bizonyítás alapvetően lehetetlen – nyilvánvaló okokból. A fent említett, fejlesztés alatt álló, CyberPlattal ellátott átjáró szintén ezt a problémát hivatott megoldani.
Egyelőre hímezni palacknyak a rendszerben a PayCash két meglehetősen ésszerű lépést tett: előre fizetett kaparós sorsjegyeket bocsátott ki, és gondoskodott a fizetések elfogadásáról a Contact átutalási rendszeren keresztül, amelynek díjai lényegesen alacsonyabbak, mint a postai díjak (2,2% vs. 8%).
A Webmoney rendszer az egyik "úttörő" az oroszországi elektronikus fizetési piacon. Jelenleg nemzetközi. Egyes jelentések szerint a Webmoney-nek nemcsak a volt Szovjetunió országaiban - köztársaságaiban - vannak képviselői, hanem külföldi országokban is. A rendszer üzemeltetője az autonóm nem kereskedelmi szervezet "VM-center".
A Webmoney működési módja nagyon hasonlít az elektronikus készpénzzel való munkához, csak egy gondos és körültekintő elemzés lehetővé teszi számunkra, hogy megbizonyosodjunk arról, hogy a Webmoney valójában nem biztosítja a fizetések teljes anonimitását, vagyis nem zárják el maguktól a rendszertulajdonosoktól . A Webmoney gyakorlata azonban azt mutatta, hogy ez a tulajdonság meglehetősen előnyös, és bizonyos esetekben lehetővé teszi a csalások kezelését. Ezenkívül külön fizetős szolgáltatásként a "VM-Center" jogi személy és magánszemély tanúsítását kínálja, természetesen megfosztva őt a rendszer többi résztvevőjével szembeni anonimitástól. Erre a lehetőségre elsősorban azoknak van szükségük, akik becsületes elektronikus boltot szeretnének szervezni, és a potenciális vásárlókat meg akarják győzni megbízhatóságukról. A Webmoney lehetővé teszi számlák megnyitását és pénzátutalásokat két pénznemben: rubelben és dollárban.
A rendszer eléréséhez az "elektronikus pénztárca" programot kell használni. A rendszer további funkciói a rövid üzenetek pénztárcából pénztárcába átvitele, valamint a pénztárcatulajdonosok közötti hiteltranzakciók. Véleményünk szerint azonban kevesen vállalják, hogy az interneten keresztül hitelezzenek névtelen személyeknek, akik nem törlesztés esetén nem tudnak erőszakkal hitelt behajtani.
A Paycash-től eltérően a Webmoney kezdetben lehetővé tette a közönséges készpénz átutalását a pénztárcába és a pénztárcák tartalmának kiváltását a fizetési megbízások banki kitöltésével kapcsolatos unalmas eljárások nélkül, de jogi szempontból meglehetősen furcsa módon. Általánosságban elmondható, hogy a Webmoney jogi támogatása a szervezetekkel folytatott munkája tekintetében hosszú ideig sok kritikát váltott ki.
Ez volt az oka annak, hogy miközben a végfelhasználók aktívan "pénztárcát" telepítettek maguknak, sok e-shop megtagadta ennek az EPS-nek a használatát. Igaz, jelenleg ez a helyzet valamelyest javult, és a Webmoney tulajdonosok aktív marketing pozíciója oda vezet, hogy a rendszer imázsa folyamatosan javul. Az egyik érdekes tulajdonságok Ez a marketingstratégia az volt, hogy szinte azonnal a piacra lépés után mindenki lehetőséget kapott arra, hogy pénzt keressen ebben a rendszerben (egyesek emlékezhetnek a Nails projektre és annak későbbi fejlesztésére - visiting.ru). Akárcsak a Paycash, a Webmoney is előre fizetett kaparós sorsjegyeket bocsát ki, amelyek célja a pénz befizetése a rendszerbe.
Két kaparós sorsjegyen alapuló rendszer: az E-port (Autocard-holding) és a CreditPilot (Creditpilot.com) olyan, mint az ikertestvérek. Mindketten azt feltételezik, hogy a vevő először egy titkos kóddal ellátott kaparós sorsjegyet vásárol valahol egy széles terjesztési hálózaton, vagy futárt rendel otthonába, majd ezt követően kezd el az interneten fizetni ezzel a kóddal a fizetést elfogadó üzletekben. ezeknek a rendszereknek. Az E-port emellett lehetőséget kínál "virtuális" kaparós sorsjegyek létrehozására oly módon, hogy bankon vagy a "Webmoney" rendszeren keresztül utalnak pénzt a cég számlájára.
A 2001 szeptemberében működésbe lépő Rapida rendszer az előző két rendszerhez hasonlóan lehetőséget nyújt a felhasználó számlájára kaparós sorsjegyekkel vagy a rendszer tagbankjában történő fizetéssel. Ezenkívül bejelentették az „Ügyfél-Bank” módban történő munkavégzés lehetőségét, valamint a rendszerben részt nem vevő jogi személyek, valamint bankszámlanyitás nélküli magánszemélyek számláira történő pénzátutalást. A rendszerhez való hozzáférés nem csak az interneten, hanem telefonon is elérhető, érintéses tárcsázás segítségével. Általában véve a rendszer technológiailag fejlettnek és nagyon érdekesnek tűnik, de egyelőre nem telt el annyi idő az üzembe helyezés óta, hogy beszélni lehessen a kilátásokról.
Az EPS-ek, amelyek ugyanúgy fizetést tesznek lehetővé, mint a távolsági hívásokért (utóbb a telefontársaságtól kapott számla alapján), először az Egyesült Államokban jelentek meg, és a pornóforrásokhoz való hozzáférést hivatott fizetni. . Az ilyen rendszerek sok tulajdonosának szisztematikus csaló tevékenysége miatt azonban nem nyertek népszerűséget a vásárlók körében, és az eladók sem voltak velük különösebben elégedettek, mivel ezek a rendszerek a fizetések jelentős késleltetésére törekedtek.
Ennek a koncepciónak két hazai megvalósítása – a Phonepay és az Eaccess – útjuk legelején jár. Mindkét rendszer feltételezi, hogy a fizetéshez az ügyfélnek fel kell hívnia egy bizonyos távolsági számot a 8-809-es kódban (amelyet nyilvánvalóan az MTU-inform cég biztosított), majd néhány kulcsfontosságú információ megjelenik. az Eaccess esetében ez egy fizetős információforrás eléréséhez használt pin kód, a Phonepay esetében pedig egy univerzális „digitális érme”, amely az egyik 12 számjegyből áll. öt címlet kódolva van a rendszerben.-Access még fokozatosan fejlődik, növekszik a rendszerhez csatlakozó üzletek száma, és a Phonepay egyetlen olyan üzletet sem kapcsolt be a rendszerébe, amelyik nem fejlesztőkhöz tartozik.
Véleményem szerint Oroszországban az ilyen rendszereknek meglehetősen határozott kilátásai vannak a végfelhasználó általi könnyű hozzáférést illetően, azonban hatókörük az értékesítésre korlátozódik. információs források. A fizetések beérkezésének hosszú késése (a rendszer legkorábban az üzletbe utalja azokat, amikor a vevő kifizeti a telefonszámlát) meglehetősen veszteségessé teszi a tárgyi eszközökkel való kereskedést ezekkel az EPS-ekkel.
Végül meg kell említeni az EPS egy másik típusát is: az egyének közötti speciális átutalási rendszereket, amelyek versenyeznek a hagyományos postai és távirati átutalásokkal. Ezt a rést először olyan külföldi rendszerek foglalták el, mint a Western Union és a Money Gram. A hagyományos átutalásokhoz képest gyorsabb és biztonságosabb fizetést tesznek lehetővé. Ugyanakkor számos jelentős hátrányuk van, amelyek közül a fő szolgáltatásaik magas költsége, amely eléri az átutalás összegének 10% -át. Egy másik bosszúság az, hogy ezeket a rendszereket legálisan nem lehet szisztematikusan felhasználni az árukért történő fizetések elfogadására. Aki azonban csak rokonoknak, barátoknak szeretne pénzt küldeni, annak érdemes odafigyelni ezekre a rendszerekre, illetve hazai társaikra (Anelik és Contact). Egyelőre sem a Paycash, sem a Webmoney nem tudja felvenni a versenyt velük, hiszen valahol Ausztráliában vagy Németországban nem lehet készpénzhez jutni elektronikus pénztárcából. Az EPS Rapida deklarál ilyen lehetőséget, de egyelőre nincsenek részletek az oldalon, és a rendszer irodáinak földrajzi elhelyezkedése sem hasonlítható össze a már piacon lévő rendszerekkel.
Az elektronikus üzletek tulajdonosainak láthatóan mindenekelőtt a hitelkártyákról és az elektronikus készpénzes rendszerekről - Webmoney és Paycash - történő pénz elfogadásán kell gondolkodniuk. A fogyasztói jellemzők kombinációját tekintve véleményünk szerint az orosz piacon a hitelkártyás fizetések elfogadására szolgáló rendszerek egyike sem versenyezhet a CyberPlattal. Minden más rendszer opcionálisan használható, különösen, ha eszébe jut, hogy ugyanazt az E-portot nem kell külön telepíteni, mivel a kártyáit a CyberPlat szervizeli.
2. AZ ELEKTRONIKUS FIZETÉSI RENDSZEREK VÉDELME ESZKÖZEI
2.1 Az elektronikus fizetési rendszerek használatával kapcsolatos veszélyek
Fontolgat lehetséges fenyegetéseket a támadó pusztító tevékenysége ezzel a rendszerrel kapcsolatban. Ehhez vegye figyelembe a támadó támadásainak fő tárgyait. A támadó támadásának fő tárgya a pénzügyi források, vagy inkább azok elektronikus helyettesítői (helyettesítői) - a fizetési rendszerben keringő fizetési megbízások. Ezekkel az eszközökkel kapcsolatban a támadó a következő célokat követheti:
1. Pénzeszközök ellopása.
2. Hamis pénzeszközök bevezetése (a rendszer pénzügyi egyensúlyának megsértése).
3. A rendszer teljesítményének megsértése ( technikai fenyegetés).
A támadás meghatározott objektumai és céljai absztrakt jellegűek, és nem teszik lehetővé az információ védelméhez szükséges intézkedések elemzését és kidolgozását, ezért a 4. táblázat a támadó pusztító hatásainak tárgyait és céljait tartalmazza.
4. táblázat A támadó lehetséges pusztító akcióinak modellje
| Befolyás tárgya | A hatás célja | A hatás megvalósításának lehetséges mechanizmusai. |
| HTML oldalak a bank webszerverén | Helyettesítés az ügyfél által a fizetési megbízásba bevitt információk megszerzése céljából. | A szerver elleni támadás és az oldalak helyettesítése a szerveren. Oldalak helyettesítése a forgalomban. Támadás az ügyfél számítógépe ellen és oldalak cseréje az ügyfélen |
| Ügyfélinformációs oldalak a szerveren | Információ beszerzése az ügyfél(ek) fizetéséről | Támadás a szerveren. Forgalom elleni támadás. Támadás az ügyfél számítógépe ellen. |
| Az ügyfél által az űrlapon megadott fizetési megbízás adatai | Az ügyfél által a fizetési megbízásba bevitt információk megszerzése. | Támadás az ügyfél számítógépe ellen (vírusok stb.). Támadja meg ezeket az utasításokat, ha azokat a forgalomban küldik. Támadás a szerveren. |
| Az ügyfél számítógépén található, az elektronikus fizetési rendszerhez nem kapcsolódó privát ügyféladatok | Az ügyfelek bizalmas információinak megszerzése. Ügyféladatok módosítása. Az ügyfél számítógépének letiltása. | Az egész komplexum ismert támadások az internethez csatlakoztatott számítógéphez. További támadások, amelyek a fizetési rendszer mechanizmusainak használatából erednek. |
| Banki feldolgozóközpont információi. | A feldolgozó központ információinak nyilvánosságra hozatala és módosítása ill helyi hálózat befőttes üveg. | Támadás az internethez csatlakozó helyi hálózaton. |
Ebből a táblázatból kövesse azokat az alapvető követelményeket, amelyeknek minden internetes elektronikus fizetési rendszernek meg kell felelnie:
Először is, a rendszernek biztosítania kell a fizetési megbízás adatainak védelmét a jogosulatlan változtatásokkal és módosításokkal szemben.
Másodszor, a rendszer nem növelheti a támadó azon képességét, hogy támadásokat szervezzen az ügyfél számítógépe ellen.
Harmadszor, a rendszernek biztosítania kell a szerveren található adatok védelmét az illetéktelen beolvasástól és módosítástól.
Negyedszer, a rendszernek biztosítania kell vagy támogatnia kell egy olyan rendszert, amely megvédi a bank helyi hálózatát a globális hálózat kitettségétől.
Az elektronikus fizetési információk védelmét szolgáló speciális rendszerek fejlesztése során ezt a modelltés a követelményeket további részletezésnek kell alávetni. A jelenlegi bemutatóhoz azonban nincs szükség ilyen részletezésre.
2.2 Biztonsági technológiák elektronikus fizetési rendszerek számára
A WWW fejlődését egy ideig hátráltatta, hogy a WWW alapját képező html oldalak statikus szövegek, pl. segítségükkel nehéz interaktív információcserét szervezni a felhasználó és a szerver között. A fejlesztők számos módot javasoltak a HTML képességeinek ebbe az irányba való kiterjesztésére, amelyek közül sokat nem alkalmaztak széles körben. Az egyik legerősebb megoldás, amely új állomást jelentett az internet fejlődésében, a Sun javaslata volt a Java kisalkalmazások HTML oldalakhoz kapcsolódó interaktív komponensként való használatára.
A Java kisalkalmazás olyan program, amely a Java programozási nyelven íródott, és speciális bájtkódokba van összeállítva, amelyek valamilyen virtuális számítógép - egy Java gép - kódjai, és eltérnek az Intel processzorok kódjaitól. A kisalkalmazásokat egy webkiszolgáló tárolja, és minden alkalommal letöltődik a felhasználó számítógépére, amikor olyan HTML-oldalt ér el, amely az adott kisalkalmazás hívását tartalmazza.
A kisalkalmazáskódok végrehajtásához a szabványos böngésző tartalmaz egy Java gépi implementációt, amely a bájtkódokat az Intel (vagy más) processzorcsalád gépi utasításaiba értelmezi. A Java kisalkalmazások technológiájában rejlő képességek egyrészt lehetővé teszik az erőteljes fejlesztést felhasználói felületek, URL-en keresztül megszervezi a hozzáférést bármely hálózati erőforráshoz, egyszerű a TCP / IP, FTP stb. protokollok használata, másrészt lehetetlenné teszi a számítógépes erőforrások közvetlen elérését. Például a kisalkalmazások nem férnek hozzá fájlrendszer számítógép és a csatlakoztatott eszközök.
Hasonló megoldás a WWW képességek bővítésére a Microsoft Active X technológiája, a leglényegesebb különbség e technológia és a Java között, hogy a komponensek (kisalkalmazások analógjai) kódokban lévő programok. Intel processzorés hogy ezek az összetevők hozzáférjenek az összes számítógépes erőforráshoz, valamint a Windows interfészekhez és szolgáltatásokhoz.
Egy másik kevésbé elterjedt megközelítés a WWW bővítésére a Netscape Plug-in for Netscape Navigator technológiája. Ez a technológia tűnik a legoptimálisabb alapnak az internetes elektronikus fizetések információbiztonsági rendszereinek kiépítéséhez. További bemutatás céljából nézzük meg, hogyan oldja meg ez a technológia a webszerver-információk védelmének problémáját.
Tegyük fel, hogy van valamilyen webszerver és a rendszergazda ezt a szervert korlátozni kell a hozzáférést a szerver információs tömb valamely részéhez, pl. úgy kell megszervezni, hogy egyes felhasználók hozzáférjenek bizonyos információkhoz, míg mások nem.
Jelenleg számos megközelítést javasolnak e probléma megoldására, különösen sok OS, melynek irányítása alatt működnek az internetes szerverek, jelszót kérnek egyes területeik eléréséhez, pl. hitelesítést igényelnek. Ennek a megközelítésnek két jelentős hátránya van: egyrészt magán a szerveren tárolódnak az adatok nyílt formában, másrészt az adatok a hálózaton keresztül is nyílt formában kerülnek továbbításra. Így egy támadónak lehetősége van két támadást szervezni: magát a szervert (jelszó kitalálása, jelszó megkerülése stb.) és támadó forgalmat. Az ilyen támadások végrehajtásának tényei széles körben ismertek az internetes közösség számára.
Az információbiztonság problémájának másik jól ismert megoldása az SSL (Secure Sockets Layer) technológián alapuló megközelítés. Az SSL használatakor a kliens és a szerver között egy biztonságos kommunikációs csatorna jön létre, amelyen keresztül adatátvitel történik, pl. viszonylag megoldottnak tekinthető az adatok hálózaton keresztüli tiszta szöveges továbbításának problémája. Az SSL-lel kapcsolatos fő probléma a kulcsrendszer felépítésében és a feletti irányításban rejlik. Ami az adatok nyílt formában történő tárolásának problémáját illeti, az továbbra is megoldatlan.
A fent leírt megközelítések másik fontos hátránya, hogy mind a szerver, mind a hálózati kliens szoftveroldaláról támogatást igényelnek, ami nem mindig lehetséges és kényelmes. Különösen a tömeges és szervezetlen kliensre koncentráló rendszerekben.
A szerző által javasolt megközelítés a html oldalak közvetlen védelmén alapul, amelyek az internet fő információhordozói. A védelem lényege abban rejlik, hogy a HTML oldalakat tartalmazó fájlok titkosított formában kerülnek tárolásra a szerveren. Ugyanakkor azt a kulcsot, amelyen titkosítják, csak a titkosító személy (az adminisztrátor) és az ügyfelek ismerik (általában a kulcsrendszer felépítésének problémája ugyanúgy megoldódik, mint a transzparens esetén fájl titkosítás).
Az ügyfelek biztonságos információkhoz férhetnek hozzá a Netscape Plug-in for Netscape technológiáján keresztül. Ezek a modulok pontosabban programok szoftver komponensek, amelyek a MIME szabványban bizonyos fájltípusokhoz vannak társítva. A MIME egy nemzetközi szabvány, amely meghatározza a fájlformátumokat az interneten. Például a következő fájltípusok léteznek: text/html, text/plane, image/jpg, image/bmp, stb. Ezenkívül a szabvány meghatározza a beállítási mechanizmust egyedi típusok fájlok, amelyeket független fejlesztők határozhatnak meg és használhatnak.
Tehát olyan beépülő modulokat használnak, amelyek bizonyos MIME-fájltípusokhoz vannak társítva. A kapcsolat abban rejlik, hogy amikor a felhasználó hozzáfér a megfelelő típusú fájlokhoz, a böngésző elindítja a hozzá tartozó Plug-int, és ez a modul elvégzi az összes műveletet a fájl adatainak megjelenítésére és a felhasználó műveleteinek ezekkel a fájlokkal való feldolgozására.
A leghíresebb beépülő modulok olyan modulok, amelyek avi formátumú videoklipeket játszanak le. Ezen fájlok megtekintése nem tartozik a böngészők szokásos lehetőségei közé, de a megfelelő Plug-in telepítésével könnyedén megtekintheti ezeket a fájlokat a böngészőben.
Ezen túlmenően, minden titkosított fájl a megállapított nemzetközi szabványrend szerint MIME típusú fájlként van meghatározva. "alkalmazás/x-shp". Ezután a Netscape technológiájának és protokolljainak megfelelően kifejlesztenek egy beépülő modult, amely ehhez a fájltípushoz kapcsolódik. Ez a modul két dolgot csinál: először jelszót és felhasználói azonosítót kér, másodszor pedig a fájl visszafejtését és a böngészőablakban való megjelenítését végzi. Ez a modul a Netscape által meghatározott rendes rendnek megfelelően minden kliens számítógép böngészőjére telepítve van.
A munka ezen előkészítő szakaszában a rendszer üzemkész. Működés közben a kliensek szabványos címükön (URL) érik el a titkosított html oldalakat. A böngésző meghatározza ezen oldalak típusát, és automatikusan elindítja az általunk fejlesztett modult, átadva neki a titkosított fájl tartalmát. A modul hitelesíti a klienst, és sikeres befejezés esetén dekódolja és megjeleníti az oldal tartalmát.
A teljes eljárás végrehajtása során az ügyfél az „átlátszó” oldaltitkosítás érzését kapja, mivel a fent leírt rendszerműveletek rejtve vannak a szeme elől. Ugyanakkor a html oldalakba beágyazott összes szabványos szolgáltatás megmarad, mint például a képek, Java kisalkalmazások, CGI szkriptek használata.
Könnyen belátható, hogy ez a megközelítés számos információbiztonsági problémát megold, hiszen nyílt formában csak a kliensek számítógépein van, az adatok továbbítása a hálózaton keresztül titkosított formában történik. Az információszerzés célját követõ támadó csak egy adott felhasználó ellen tud támadást végrehajtani, ez ellen egyetlen szerver információvédelmi rendszer sem tud védekezni.
Jelenleg a szerző két információbiztonsági rendszert fejlesztett ki a javasolt megközelítés alapján a Netscape Navigator (3.x) és a Netscape Communicator 4.x böngészőkhöz. Alatt előtesztelés megállapították, hogy a kifejlesztett rendszerek a MExplorer irányítása alatt normálisan működhetnek, de nem minden esetben.
Fontos megjegyezni, hogy a rendszerek ezen verziói nem titkosítják a HTML oldalhoz társított objektumokat: képeket, script kisalkalmazásokat stb.
Az 1. rendszer egyetlen entitásként kínálja a tényleges html-oldalak védelmét (titkosítását). Létrehozol egy oldalt, majd titkosítod és átmásolod a szerverre. Egy titkosított oldal elérésekor az automatikusan visszafejtésre kerül, és egy speciális ablakban jelenik meg. A biztonsági rendszer szerverszoftver általi támogatása nem szükséges. A titkosítással és visszafejtéssel kapcsolatos minden munka az ügyfél munkaállomásán történik. Ez a rendszer univerzális, i.e. nem függ az oldal szerkezetétől és céljától.
A 2. rendszer más megközelítést kínál a védelemhez. Ez a rendszer védett információk megjelenítését biztosítja az oldal bizonyos területein. Az információ titkosított fájlban (nem feltétlenül html formátumban) található a szerveren. Amikor felkeresi az oldalt, a védelmi rendszer automatikusan hozzáfér ehhez a fájlhoz, kiolvassa belőle az adatokat, és megjeleníti azokat az oldal egy bizonyos területén. Ez a megközelítés lehetővé teszi a maximális hatékonyság és esztétikai szépség elérését minimális sokoldalúsággal. Azok. a rendszerről kiderül, hogy egy meghatározott célra összpontosít.
Ez a megközelítés az internetes elektronikus fizetési rendszerek kiépítésében is alkalmazható. Ebben az esetben a webszerver egy bizonyos oldalának elérésekor elindul a Plug-in modul, amely megjeleníti a fizetési megbízási űrlapot a felhasználó számára. A kliens kitöltése után a modul titkosítja a fizetési adatokat és elküldi a szervernek. Egyúttal elektronikus aláírást is kérhet a felhasználótól. Ezenkívül a titkosítási kulcsok és aláírások bármilyen adathordozóról olvashatók: hajlékonylemezről, elektronikus táblagépről, intelligens kártyáról stb.
2.3 Az elektronikus fizetési rendszerek alapkövetelményeinek való megfelelést szolgáló technológiák elemzése
Fentebb három technológiát ismertettünk, amelyek használhatók az interneten keresztüli fizetési rendszerek felépítésére: ez egy Java kisalkalmazásokon, Active-X komponenseken és beépülő modulokon alapuló technológia. Nevezzük őket J, AX és P technológiáknak.
Fontolja meg azt a követelményt, hogy a támadó képessége egy számítógép megtámadására ne növekedjen. Ehhez elemezzük a támadások egyik lehetséges típusát - a megfelelő ügyfélvédelmi modulok támadó általi helyettesítését. J technológia esetén ezek kisalkalmazások, AX esetében merülő komponensek, P esetén beépülő modulok. Nyilvánvaló, hogy a támadó közvetlenül az ügyfél számítógépén cserélheti ki a védelmi modulokat. A támadás végrehajtásának mechanizmusai túlmutatnak ezen elemzés keretein, azonban meg kell jegyezni, hogy a támadás végrehajtása nem függ a vizsgált védelmi technológiától. Az egyes technológiák biztonsági szintje pedig azonos, pl. mindannyian egyformán kiszolgáltatottak ennek a támadásnak.
A J és AX technológiák legsérülékenyebb pontja a helyettesítés szempontjából az internetről való letöltésük. Ezen a ponton a támadó cserélhet. Sőt, ha egy támadónak sikerül kicserélnie ezeket a modulokat a bank szerverén, akkor hozzájut az interneten keringő fizetési rendszer összes információjához.
A P technológia esetén nem áll fenn a helyettesítés veszélye, mivel a modul nem töltődik be a hálózatról - tartósan a kliens számítógépén tárolódik.
A hamisítás következményei eltérőek: J-technológia esetén a támadó csak a kliens által bevitt információkat lophatja el (ami komoly veszélyt jelent), Active-X és Plug-in esetén pedig a támadó minden olyan információt megkap, amelyhez a számítógépen futó kliens hozzáfér.
Jelenleg a szerző nem ismeri a Java kisalkalmazások hamisítási támadásainak megvalósításának konkrét módjait. Úgy tűnik, ezek a támadások rosszul fejlődnek, mivel gyakorlatilag hiányoznak az információlopási lehetőségek. De az Active-X összetevők elleni támadások széles körben elterjedtek és jól ismertek.
Fontolja meg az elektronikus fizetési rendszerben az interneten keresztül keringő információk védelmének követelményét. Nyilvánvaló, hogy ebben az esetben a J technológia egy nagyon fontos kérdésben alulmúlja a P-t és az AX-et is. Minden információvédelmi mechanizmus titkosításon vagy elektronikus aláíráson alapul, és minden releváns algoritmus olyan kriptográfiai átalakításokon alapul, amelyek kulcselemek bevezetését igénylik. Jelenleg a kulcselemek hossza körülbelül 32-128 bájt, így szinte lehetetlen megkövetelni a felhasználótól, hogy azokat a billentyűzetről írja be. Felmerül a kérdés, hogyan lehet bejutni hozzájuk? Mivel a P és AX technológiák hozzáférnek a számítógépes erőforrásokhoz, a probléma megoldása kézenfekvő és jól ismert – a kulcsok olvasása helyi fájlokról, hajlékonylemezekről, táblagépekről vagy intelligens kártyákról történik. A J technológia esetében azonban egy ilyen bevitel lehetetlen, ami azt jelenti, hogy vagy meg kell követelnie a klienstől értelmetlen információk hosszú sorozatának megadását, vagy a kulcselemek hosszának csökkentésével csökkenteni kell a kriptográfiai transzformációk erősségét és következésképpen csökkenti a védelmi mechanizmusok megbízhatóságát. Ráadásul ez a csökkenés igen jelentős.
Vegye figyelembe azt a követelményt, hogy az elektronikus fizetési rendszernek meg kell szerveznie a szerveren található adatok védelmét az illetéktelen beolvasástól és módosítástól. Ez a követelmény abból következik, hogy a rendszer magában foglalja a felhasználónak szánt bizalmas információk elhelyezését a szerveren. Például az általa küldött fizetési megbízások listája a feldolgozás eredményéről szóló megjegyzéssel.
A P technológia esetében az adatok html oldalak formájában jelennek meg, melyek titkosítva kerülnek a szerverre. Minden művelet a fent leírt algoritmus szerint történik (html oldalak titkosítása).
A J és AX technológiák esetében ezek az információk valamilyen strukturált formában elhelyezhetők egy fájlban a szerveren, és az összetevőknek vagy kisalkalmazásoknak adatolvasási és megjelenítési műveleteket kell végrehajtaniuk. Mindez általában a kisalkalmazások és összetevők teljes méretének növekedéséhez, következésképpen a megfelelő oldalak letöltési sebességének csökkenéséhez vezet.
E követelmény szempontjából a P technológia nyer a nagyobb gyárthatósága miatt, i.e. kevesebb fejlesztési költség, és nagyobb ellenállás a hálózaton áthaladó alkatrészek helyettesítésével szemben.
Ami a banki helyi hálózat védelmére vonatkozó utolsó követelményt illeti, az egy tűzfalrendszer (tűzfalak) megfelelő felépítésével teljesül, és nem függ a vizsgált technológiáktól.
A fenti tehát előzetes volt összehasonlító elemzés J, AX és P technológiákat, amiből az következik, hogy a J technológiát akkor kell alkalmazni, ha az ügyfél számítógépe biztonsági fokának fenntartása sokkal fontosabb, mint az elektronikus fizetési rendszerekben alkalmazott kriptográfiai transzformációk erőssége.
A P technológia tűnik a legoptimálisabb technológiai megoldásnak a fizetési információs biztonsági rendszerek mögött, mivel egyesíti a teljesítményt szabványos alkalmazás Win32 és védelem az interneten keresztüli támadások ellen. Az ezt a technológiát használó projektek gyakorlati és kereskedelmi megvalósítását például az orosz pénzügyi kommunikációs cég végzi.
Ami az AX technológiát illeti, úgy tűnik, hogy használata nem hatékony és instabil a rosszindulatú támadásokkal szemben.
KÖVETKEZTETÉS
Az elektronikus pénz egyre inkább mindennapi valóságunkká válik, amivel legalább számolni kell. Természetesen a következő ötven évben (valószínűleg) senki sem törli a hétköznapi pénzt. Az elektronikus pénzzel nem tud gazdálkodni, és elszalasztani a magukkal járó lehetőségeket, azt jelenti, hogy önként „vasfüggönyt” kell felhúzni maga köré, amelyet az elmúlt tizenöt év során oly nehezen húztak szét. Sok nagy cég kínál szolgáltatásaiért és áruiért elektronikus fizetési fizetést. A fogyasztó számára ez sok időt takarít meg.
Az ingyenes szoftver az elektronikus pénztárca kinyitásához és minden pénzes munkához maximálisan a tömegszámítógépekhez igazodik, és egy kis gyakorlás után nem okoz gondot az átlagfelhasználónak. A mi korunk a számítógépek, az internet és az e-kereskedelem ideje. Azok az emberek, akik ismerik ezeket a területeket és rendelkeznek a megfelelő eszközökkel, óriási sikereket érnek el. Az elektronikus pénz napról napra egyre szélesebb körben elterjedt pénz, amely egyre több lehetőséget nyit meg a Hálózathoz hozzáféréssel rendelkező személy számára.
A számítási és grafikai munka célja teljesült és az alábbi feladatokat oldotta meg:
1. Meghatározza az elektronikus fizetési rendszerek fő feladatait és működési elveit, jellemzőit.
2. Az elektronikus fizetés főbb rendszereinek elemzése.
3. Elemezte az elektronikus pénz használatához kapcsolódó veszélyeket.
4. Elemezte a védelmi eszközöket elektronikus fizetési rendszerek használatakor.
IRODALOM
1. Antonov N.G., Pessel M.A. Pénzforgalom, hitel és bankok. -M.: Finstatinform, 2005, 179-185.
2. Bankállomány - 3. - M .: Somintek, 2005, 288-328.
3. Mihajlov D.M. Nemzetközi fizetések és garanciák. Moszkva: FBK-PRESS, 2008, 20-66.
4. Polyakov V.P., Moskovkina L.A. A jegybankok felépítése és funkciói. Külföldi tapasztalat: Tankönyv. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Elektronikus banki rendszerek biztonsága. - M: Egyesült Európa, 2004
6. Demin V.S. stb. Automatizált banki rendszerek. - M: Menatep-Inform, 2007
7. Krysin V.A. Üzleti biztonság. - M: Pénzügy és statisztika, 2006
8. Linkov I.I. et al. Információs felosztások a kereskedelmi struktúrákban: hogyan lehet túlélni és sikeres lenni. - M: NIT, 2008
9. Titorenko G.A. és egyéb banki számítógépesítés. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Elosztott hálózatok. - Szentpétervár: Péter, 2008
12. Aglitsky I. Az orosz bankok információs támogatásának helyzete és kilátásai. - Banki technológiák, 2007 1. sz.
Korrepetálás
Segítségre van szüksége egy téma tanulásához?
Szakértőink tanácsot adnak vagy oktatói szolgáltatásokat nyújtanak az Önt érdeklő témákban.
Jelentkezés benyújtása a téma megjelölésével, hogy tájékozódjon a konzultáció lehetőségéről.
3. Elektronikus fizetések védelme
A bankbiztonság kérdése különösen akut, mint a banki információk, egyrészt valódi pénzt képvisel, másrészt pedig nagyszámú banki ügyfél bizalmas érdekeit érinti.
Az e-kereskedelmi piac mérete 2000-ben
| Piac volumene és jellemzői | Becslés, USD |
| Az összes internetes termékvásárlás teljes költsége | 4,5-6 milliárd |
| Az összes vásárlás összértéke átlagos vásárlónként | 600-800 |
| Átlagos beszerzési költség internetes tranzakciónként | 25-35 |
| Az interneten keresztül lebonyolított tranzakciók-beszerzések teljes mennyisége | 130-200 millió |
| Az on-line termékvásárlások aránya | 60-70% |
| A leszállított áruk vásárlásainak aránya | 30-40% |
Az elektronikus fizetési rendszerek működésének általános sémája
A rendszerrel szerződést kötött és megfelelő engedélyt szerzett bank két minőségben járhat el - e rendszer minden más résztvevő bank által fizetésre elfogadott fizetési eszközének kibocsátójaként, illetve fizetést elfogadó szolgáltató vállalkozások elfogadóként. más kibocsátók által kibocsátott e rendszer fizetési eszközeit, és elfogadják ezeket a fizetési módokat fiókjaikban történő készpénzfelvételre.
A fizetési folyamat meglehetősen egyszerű. Mindenekelőtt a vállalkozás pénztárosának kell ellenőriznie a kártya valódiságát a megfelelő jelek szerint.
Fizetéskor a cégnek át kell adnia az ügyfélkártya adatait egy speciális csekkbe fénymásoló - imprinter segítségével, a csekkbe be kell írnia a vásárlás vagy szolgáltatásnyújtás összegét, és át kell vennie az ügyfél aláírását.
Az így elkészített csekket cédulának nevezzük. A fizetési rendszer a tranzakciók biztonságos lebonyolítása érdekében a jogosulatlanul elszámolható összegekre alacsonyabb limiteket javasol a különböző régiók és vállalkozástípusok számára. A limit túllépése vagy az ügyfél személyazonosságának kétsége esetén a cég köteles engedélyezési eljárást lefolytatni.
Anélkül, hogy kitérnénk az eljárás technikai vonatkozásaira, felhívjuk a figyelmet arra, hogy az engedélyezés során a vállalkozás ténylegesen hozzájut az ügyfél számlájának állapotára vonatkozó információkhoz, és így lehetőséget kap a kártya ügyfél tulajdonjogának és fizetési képességének megállapítására. a tranzakciós összeg összegében. A bizonylat egy példánya a cégben marad, a második az ügyfélhez kerül, a harmadik pedig az elfogadó bankhoz kerül, és ez az ügyfél számlájáról a társaság részére történő kifizetési összeg visszafizetésének alapjául szolgál.
Az elmúlt években nagy népszerűségre tettek szert a POS-terminálok, amelyek használatakor nem kell cédulákat kitölteni. A kártyaadatok a POS-terminálba épített olvasó mágnescsíkjáról olvashatók le, a tranzakció összege a billentyűzetről kerül bevitelre, és a terminál a beépített modemen keresztül jogosultságot kér a megfelelő fizetési rendszertől. Ebben az esetben a feldolgozó központ műszaki kapacitásait veszik igénybe, amelyek szolgáltatásait a bank biztosítja a kereskedőnek. Ebben az esetben a cég az ügyfél aláírási mintájával és kötegelt fájlokkal ellátott készpénzszalag másolatával jelenti a banknak, amelyet a terminál a munkanap végén generál.
Az utóbbi években egyre több figyelem irányult rá mikroprocesszoros kártyákat használó banki rendszerek.
Külsőleg ezek az információhordozók nem különböznek a hagyományos kártyáktól, kivéve a kártya belsejébe forrasztott memóriachipet vagy mikroprocesszort és a felületére helyezett érintkezőlemezeket.
Az alapvető különbség ezen kártyák és a fentiek között az, hogy közvetlenül tartalmaznak információkat az ügyfél számlájának állapotáról, mivel maguk is tranzitszámlák. Nyilvánvaló, hogy az ilyen kártyák minden elfogadási pontját fel kell szerelni egy speciális POS-terminállal (chip olvasóval).
A kártya használatához az ügyfélnek le kell töltenie azt a banki terminálon lévő számlájáról. Minden tranzakció OFF-LINE módban történik a párbeszédkártya - terminál vagy ügyfélkártya - kereskedőkártya alatt.
Egy ilyen rendszer a magas fokú chipbiztonságnak és a teljes beszedési elszámolási konstrukciónak köszönhetően szinte teljesen biztonságos. Ezen túlmenően, bár maga a kártya lényegesen drágább, mint a szokásos, a működés közbeni rendszer még olcsóbbnak bizonyul, mivel a távközlési terhelést nem használják OFF-LINE módban.
Elektronikus fizetés műanyag bankkártyával különféle fajták kellően rugalmas és univerzális elszámolási mechanizmust képviselnek a „Bank 1 – Ügyfél – Vállalkozás – Bank 2” láncban és a „Bank 1 – ... - Bank N” típusú bankközi elszámolásokban. Azonban ezeknek a fizetési eszközöknek a sokoldalúsága az, ami különösen vonzó célponttá teszi őket a csalás számára. A visszaélések miatti éves veszteségtétel lenyűgöző összeg, bár a teljes forgalomhoz képest viszonylag csekély.
A biztonsági rendszer és annak fejlesztése nem tekinthető elszigetelten a plasztikkártyákkal végzett illegális műveletek módszereitől, amelyek a következőkre oszthatók: A bűncselekmények 5 fő típusa.
1. Műveletek hamisított kártyákkal.
Ez a fajta csalás teszi ki a fizetési rendszer veszteségeinek legnagyobb részét. A valódi kártyák magas műszaki és technológiai biztonsága miatt a saját készítésű kártyákat a közelmúltban ritkán használják, és a legegyszerűbb diagnosztikával azonosíthatók.
A hamisításhoz általában ellopott kártyalapokat használnak fel, amelyeken a bank és az ügyfél adatai szerepelnek. Technikailag magas felszereltségnek köszönhetően a bűnözők akár információkat is elhelyezhetnek a kártya mágnescsíkján, vagy lemásolhatják, egyszóval magas színvonalon hamisíthatnak.
Az ilyen cselekmények elkövetői rendszerint szervezett bűnözői csoportok, amelyek esetenként a kibocsátó bankok alkalmazottaival szövetkeznek, akik hozzáférnek az ügyfélszámlákra és a tranzakciók lebonyolítására vonatkozó információkhoz. A nemzetközi bűnözői közösség előtt tisztelegve meg kell jegyezni, hogy a hamis kártyák Oroszországban szinte egyidejűleg jelentek meg a bankpiac ezen szektorának fejlődésének kezdetével.
2. Műveletek ellopott/elveszett kártyákkal.
Az ellopott kártyán csak akkor lehet nagyobb kárt okozni, ha a csaló ismeri az ügyfél PIN kódját. Ezután lehetővé válik az ügyfél számlájáról nagy összeg felvétele az elektronikus pénztárosok - ATM-ek hálózatán keresztül, mielőtt az ellopott kártyát kibocsátó banknak ideje lenne feltenni az elektronikus stoplistára (az érvénytelen kártyák listája).
3. Többszörös fizetés szolgáltatásokért és árukért a "küszöbértéket" meg nem haladó és engedélyt nem igénylő összegekre. A fizetéshez a bűnözőnek csak az ügyfél aláírását kell hamisítania. Ezzel a sémával azonban a visszaélés legvonzóbb tárgya elérhetetlenné válik - készpénz. Ebbe a kategóriába tartoznak azok a bűncselekmények, amelyeket a kibocsátó bank által ügyfeleinek postai úton történő átutalás során ellopott kártyákkal követtek el.
4. Csalás postai/telefonos megrendelésekkel.
Ez a fajta bűncselekmény az ügyfél postai vagy telefonos megrendelés útján történő áruk és szolgáltatások kézbesítésére irányuló szolgáltatás kidolgozása kapcsán jelent meg. Az áldozat hitelkártyaszámának ismeretében a bűnöző feltüntetheti azt a megrendelőlapon, és miután megkapta az ideiglenes lakcímre vonatkozó utasítást, eltűnhet.
5. Többszörös kifizetés a számláról.
Ezeket a bűncselekményeket általában munkavállalók követik el jogalany, amely az ügyféltől az árukért és szolgáltatásokért hitelkártyás fizetést fogad el, és egy fizetési tényről több fizetési bizonylat kiállításával történik. A bemutatott csekkek alapján több pénz kerül jóváírásra a cég számláján, mint amennyi az eladott áruk vagy a nyújtott szolgáltatások költsége. Számos tranzakció után azonban a bűnöző kénytelen bezárni vagy elhagyni a vállalkozást.
Az ilyen akciók elkerülése érdekében a kártyahasználóknak azt tanácsoljuk, hogy ügyelésekor (akár kis összegű) ügyeljenek jobban az aláírt dokumentumokra.
A biztonsági osztályok által alkalmazott módszerek két fő kategóriába sorolhatók. Az első és talán a legfontosabb szint magának a plasztikkártya technikai biztonságához kapcsolódik. Most már bátran kijelenthetjük, hogy technológiai szempontból a kártya jobban védett, mint a bankjegy, és szinte lehetetlen saját kezűleg elkészíteni kifinomult technológiák alkalmazása nélkül.
Bármely fizetési rendszer kártyái megfelelnek a szigorúan meghatározott szabványoknak. A kártyának szabványos formája van. A kártya előlapján dombornyomással és szigorúan meghatározott helyeken elhelyezve a rendszerben szereplő bank azonosító száma (BIN kód) és az ügyfél bankban vezetett számlaszáma, vezeték- és vezetékneve, a kártya érvényességi ideje. A fizetési rendszer szimbóluma is holografikusan készült. A kártyaszám utolsó négy számjegye közvetlenül a holografikus szimbólumon van domborítva (dombornyomva), ami lehetetlenné teszi a hologram másolását vagy a kód újradomborítását a szimbólum megsemmisítése nélkül.
A kártya hátoldalán egy mágnescsík és egy terület található a tulajdonos aláírásának mintájával. A mágnescsíkon szigorúan meghatározott helyeken és kriptográfiai algoritmusok segítségével rögzítésre kerülnek a fizetési rendszer adatai, biztonsági jelzések, információmásolást megakadályozó szimbólumok, valamint a kártya előlapjára nyomtatott információk sokszorosítása. A tulajdonos aláírási mintaterülete speciális bevonattal van ellátva. A legkisebb törlési vagy aláírás-továbbítási kísérletre a bevonat megsemmisül, és egy eltérő színű hordozó jelenik meg a fizetési rendszer biztonsági szimbólumaival.
A kártya fennmaradó felülete teljes egészében a kibocsátó bank rendelkezésére áll, és önkényesen van megrajzolva a bank szimbólumaival, hirdetéseivel és az ügyfelek számára szükséges információkkal. Magát a kártyát olyan jelek védik, amelyek csak ultraibolya fényben láthatók.
A technikai védelmi intézkedések közé tartozik még a banki kommunikáció, a banki hálózatok védelme az illegális behatolásokkal, üzemzavarokkal és egyéb olyan külső hatásokkal szemben, amelyek információ kiszivárgásához vagy akár megsemmisüléséhez vezetnek. A védelmet szoftver és hardver végzi, és a fizetési rendszer felhatalmazott szervezetei tanúsítják.
A védelmi intézkedések második kategóriájába olyan intézkedések tartoznak, amelyek megakadályozzák, hogy a plasztikkártyákkal foglalkozó banki részlegek információszivárogjanak. A fő elv a munkavállalók feladatainak világos körülhatárolása, és ennek megfelelően a minősített adatokhoz való hozzáférés korlátozása a munkához szükséges minimumot meg nem haladó mértékben.
Ezek az intézkedések csökkentik a bűnözők és az alkalmazottak közötti összejátszás kockázatát és lehetőségét. A továbbképzésekhez tematikus szemináriumokat tartanak az alkalmazottakkal. A fizetési rendszerek rendszeresen terjesztenek biztonsági közleményeket, amelyekben hivatalos anyagokat, statisztikákat tesznek közzé a kártyás bûncselekményekrõl, jelentenek bûnözõkre utaló jeleket és illegális forgalomba kerülõ hamis kártyákra utaló jeleket. A közlemények révén a személyzet képzésben részesül, valamint megelőző és különleges eseményeket szerveznek a bűnözés visszaszorítása érdekében.
Különös figyelmet fordítanak az osztály dolgozóinak személyi kiválasztására. Minden biztonsági ügy egy kijelölt biztonsági tiszt feladata. A prevenciós intézkedések között a legfontosabb helyet az ügyfelekkel végzett munka foglalja el, amelyek célja a „műanyagpénzek” kezelésének kulturális színvonalának emelése. A kártya körültekintő és körültekintő kezelése jelentősen csökkenti annak valószínűségét, hogy bűncselekmény áldozatává váljon.
Az elektronikus elszámolások és fizetési rendszer szabálysértéseinek elemzése
Szakértői körökben köztudott, hogy Norvégia gyors bukása a második világháborúban nagyrészt annak tudható be, hogy a brit Királyi Haditengerészet rejtjeleit német kriptográfusok törték fel, akik pontosan ugyanazokat a módszereket alkalmazták, mint a Királyi Haditengerészet 40-es szobája. Németország ellen az előző háborúban.
A második világháború óta a titok fátyla leereszkedett a titkosírás kormányzati használatára. Ez nem meglepő, és nem csak a hidegháború miatt, hanem azért is, mert a bürokraták (bármely szervezetben) vonakodtak beismerni hibáikat.
Vessünk egy pillantást az ATM-csalások tényleges elkövetésének módjára. A cél a tervezők termékük elméleti sérthetetlenségét célzó elképzeléseinek elemzése és a történtek tanulságai levonása.
Kezdjük néhány egyszerű példával, amelyek bemutatják a nagy technikai trükkök nélkül végrehajtható átverések többféle típusát, valamint azokat a banki eljárásokat, amelyek lehetővé tették ezeket.
Köztudott, hogy az ügyfél kártyáján lévő mágnescsíknak csak a számlaszámát kell tartalmaznia, a személyi azonosító számát (PIN) pedig a számlaszám titkosításával és az eredményből négy számjegyből történő kivonással kapjuk meg. Így az ATM-nek képesnek kell lennie a titkosítási eljárás végrehajtására vagy más módon PIN-ellenőrzés végrehajtására (pl. interaktív lekérdezéssel).
Nemrég az angliai winchesteri koronabíróság elítélt két bűnözőt, akik egyszerű, de hatékony sémát alkalmaztak. Sorban álltak az ATM-eknél, lesték az ügyfelek PIN-kódjait, felvették az ATM által elutasított kártyákat, és azokról a számlaszámokat üres kártyákra másolták, amelyekkel az ügyfelek számláit kirabolták.
Ezt a trükköt használták (és jelentették) néhány évvel ezelőtt egy New York-i banknál. A tettes egy elbocsátott ATM technikus volt, akinek sikerült 80 ezer dollárt ellopnia, mire a bank, miután biztonsági személyzettel megtömte a területet, tetten érte.
Ezek a támadások azért sikerültek, mert a bankok az ügyfél számlaszámát teljes egészében rányomták a bankkártyára, ráadásul a mágnescsíkon nem volt kriptográfiai redundancia. Azt hinné az ember, hogy a New York Bank leckét levonják, de nem.
A technikai támadások másik típusa azon alapul, hogy sok ATM-hálózatban az üzenetek nincsenek titkosítva, és nem hajtanak végre hitelesítési eljárásokat, amikor egy tranzakciót engedélyeznek. Ez azt jelenti, hogy a támadó rögzítheti a bank válaszát az ATM-nek „Megengedem a fizetést”, majd újra görgetheti a rekordot, amíg az ATM ki nem ürül. Ezt a zsigerelésként ismert technikát nem csak külső támadók alkalmazzák. Ismeretes olyan eset, amikor a banki üzemeltetők hálózatvezérlő eszközzel „belezték ki” az ATM-eket a tettestársakkal együtt.
A teszttranzakciók egy másik problémaforrás
Az egyik ATM-típusnál egy tizennégy számjegyből álló billentyűsorozatot használtak tíz bankjegy kiadásának tesztelésére. Egy bank kinyomtatta ezt a sorrendet a távoli ATM-ek használati útmutatójában. Három évvel később hirtelen elkezdődött a pénz eltűnése. Addig folytatták, amíg az ilyen típusú ATM-eket használó bankok nem tartalmaztak szoftverjavításokat, amelyek tiltották a teszttranzakciót.
A leggyorsabb növekedést azok a csalások mutatják, amelyek hamis terminálokat használnak ügyfélszámlák és PIN-kódok begyűjtésére. Ilyen típusú támadásokat először az Egyesült Államokban írtak le 1988-ban. A csalók olyan gépet építettek, amely bármilyen kártyát elfogad, és egy doboz cigarettát is kiad. Ezt a találmányt egy üzletben helyezték el, és a PIN kódokat és a mágneskártyák adatait modemen keresztül továbbították. A trükk az egész világon elterjedt.
A technikusok pénzt is lopnak az ügyfelektől, tudván, hogy panaszaikat valószínűleg figyelmen kívül hagyják. Egy skóciai bankban a help desk mérnöke egy számítógépet csatlakoztatott egy ATM-hez, és rögzítette az ügyfélszámlaszámokat és a PIN-kódokat. Aztán hamisította a kártyákat, és pénzt lopott a számlákról. És ismét az ügyfelek panaszkodtak az üres falakra. Emiatt a gyakorlat miatt a bankot nyilvánosan bírálta Skócia egyik legmagasabb jogi tisztviselője.
A négyjegyű PIN-kód használatának az a célja, hogy ha valaki megtalálja vagy ellopja egy másik személy bankkártyáját, akkor egy a tízezerhez az esélye, hogy véletlenül kitalálja a kódot. Ha csak három PIN-kísérlet engedélyezett, akkor az ellopott kártyáról kevesebb, mint egy a háromezerhez. Néhány banknak azonban sikerült csökkentenie a négy számjegyű változatosságot.
Egyes bankok nem azt a sémát követik, hogy a PIN-kódot a számlaszám kriptográfiai átalakításával kapják meg, hanem egy véletlenszerűen kiválasztott PIN-kódot használnak (vagy hagynak választani az ügyfeleknek), majd kriptográfiailag átalakítják, hogy megjegyezzék. Amellett, hogy lehetővé teszi az ügyfél számára, hogy könnyen kitalálható PIN-kódot válasszon, ez a megközelítés néhány technikai buktatóhoz is vezet.
Egyes bankok titkosított PIN-kódot tartanak nyilván. Ez azt jelenti, hogy a programozó megkaphatja saját PIN kódjának titkosított értékét, és megkeresheti az adatbázisban az összes többi fiókot ugyanazzal a PIN-kóddal.
Egy nagy brit bank még a PIN kód titkosított értékét is feljegyezte a kártya mágnescsíkjára. Tizenöt évnek kellett eltelnie ahhoz, hogy a bűnözői közösség rádöbbenjen arra, hogy a saját kártya mágnescsíkján lévő számlaszámot ki lehet cserélni, majd saját PIN-kóddal el lehet lopni valamilyen fiókot.
Emiatt a VISA rendszerben javasolt, hogy a bankok a titkosítás előtt az ügyfél számlaszámát a PIN-kóddal kombinálják. Ezt azonban nem minden bank teszi meg.
Az eddig kifinomultabb támadások egyszerű megvalósítási és működési eljárási hibák miatt következtek be. A professzionális biztonsági kutatók általában érdektelennek tartották az ilyen baklövést, ezért a finomabb technikai hibákon alapuló támadásokra összpontosítottak. A banki szolgáltatások is számos biztonsági rést rejtenek magukban.
Bár a csúcstechnológián alapuló bankrendszerek elleni támadások ritkák, a nyilvánosság szempontjából mégis érdekesek, mivel a kormányzati kezdeményezések, mint például az EU Information Security Technology Assessment Criteria (ITSEC) célja olyan termékek kifejlesztése, amelyek tanúsítvánnyal rendelkeznek ismert műszaki hibáktól mentes legyen. A program alapjául szolgáló javaslatok az, hogy az egyes termékek megvalósítása és technológiai eljárásai lényegében hibamentesek legyenek, és a támadáshoz a kormánybiztonsági szervekéhez hasonló technikai felkészültség szükséges. Úgy tűnik, ez a megközelítés alkalmasabb katonai rendszerekre, mint polgári rendszerekre.
Ahhoz, hogy megértsük, hogyan hajtanak végre kifinomultabb támadásokat, részletesebben meg kell vizsgálni a banki biztonsági rendszert.
Biztonsági modulokkal kapcsolatos problémák
Nem minden biztonsági termék ugyanolyan jó minőségű, és kevés bank rendelkezik képzett szakértőkkel, akik megkülönböztetik a jó termékeket a közepesektől.
A gyakorlatban a titkosítási termékekkel, különösen a régi IBM 3848 biztonsági modullal vagy modulokkal, amelyek jelenleg banki szervezetek számára ajánlottak, vannak problémák.
Amennyiben a bank nem rendelkezik hardver alapú biztonsági modulokkal, a PIN kód titkosítási funkció szoftverben valósul meg, ennek megfelelő nemkívánatos következményekkel. A biztonsági modul szoftverei töréspontokkal rendelkezhetnek a szoftvertermékek hibakereséséhez a gyártó mérnökei által. Erre akkor hívták fel a figyelmet, amikor az egyik bankban döntés született a hálózatba vételről, és a gyártó rendszermérnöke nem tudta biztosítani a szükséges átjáró működését. A munka elvégzéséhez az egyik ilyen trükköt alkalmazta a PIN-kódok kivonására a rendszerből. Az ilyen töréspontok megléte lehetetlenné teszi megbízható eljárások létrehozását a biztonsági modulok kezelésére.
A biztonsági modulok egyes gyártói maguk is elősegítik az ilyen támadásokat. Például a munkakulcsok napszakon alapuló előállítási módszerét alkalmazzák, és ennek eredményeként a várt 56 helyett csak 20 kulcsbitet használnak. Így a valószínűségszámítás szerint minden 1000 generált kulcsra kettő egyezik.
Ez lehetővé teszi bizonyos finom visszaéléseket, amelyek során a támadó úgy manipulálja a bank kommunikációját, hogy az egyik terminál tranzakcióit egy másik terminál tranzakcióival helyettesítsék.
Az egyik bank programozói nem is foglalkoztak az ügyfélkulcsok titkosító programokba való bevezetésével járó gondokkal. Egyszerűen mutatót állítanak be a kulcsértékekre egy olyan memóriaterületen, amely a rendszer indításakor mindig nullára van állítva. eredmény ezt a döntést az volt, hogy a valódi és a tesztrendszer ugyanazokat a kulcstároló területeket használta. A bank technikusai kitalálták, hogy a vizsgálóberendezéseken ügyfél-PIN-kódokat kaphatnak. Közülük többen helyi bűnözőket kerestek fel, hogy PIN kódokat válasszanak ki az ellopott bankkártyákhoz. Amikor a bank biztonsági vezetője felfedte, mi történik, autóbalesetben meghalt (és a helyi rendőrség "elveszített" minden lényeges anyagot). A bank nem foglalkozott azzal, hogy új kártyákat küldjön ki ügyfeleinek.
A biztonsági modulok egyik fő célja annak megakadályozása, hogy a programozók és a számítógépekhez hozzáférő személyzet kulcsfontosságú banki információkhoz jussanak. A biztonsági modulok elektronikus alkatrészei által biztosított titkosság azonban gyakran nem bírja a kriptográfiai behatolási kísérleteket.
A biztonsági moduloknak saját főkulcsuk van belső használatra, és ezeket a kulcsokat egy adott helyen kell karbantartani. A kulcs biztonsági másolatát gyakran könnyen olvasható formában tárolják, például PROM memóriában, és a kulcs időről időre kiolvasható, például amikor egy biztonsági modulból átadják a zóna- és terminálkulcsok készletének vezérlését. másikba. Ilyen esetekben a bank teljes mértékben ki van szolgáltatva a szakértőknek a művelet végrehajtása során.
A tervezési technológiákkal kapcsolatos problémák
Röviden tárgyaljuk az ATM-ek tervezésének technológiáját. A régebbi modellekben a titkosító programok kódja rossz helyre került - a vezérlőeszközbe, és nem magában a modulban. A vezérlőkészüléket a modul közvetlen közelében, egy meghatározott területen kellett volna elhelyezni. A bankautomaták nagy része azonban jelenleg nem a bank épületének közvetlen közelében található. Az Egyesült Királyság egyik egyetemén egy ATM-et helyeztek el az egyetemen, és titkosítatlan számlaszámokat és PIN-kódokat küldtek a Telefon vonal a kirendeltség vezérlőegységébe, amely több mérföldre volt a várostól. Aki nem volt lusta telefonlehallgató készüléket használni, az ezerrel hamisíthatta a kártyákat.
Még azokban az esetekben is, amikor az egyik legjobb terméket vásárolják meg, nagy számban fordulnak elő olyan esetek, amikor a hibás megvalósítás vagy a rosszul átgondolt technológiai eljárások gondot okoznak a banknak. A legtöbb biztonsági modul egy sor visszatérési kódot ad vissza minden tranzakcióhoz. Némelyikük, mint például a "kulcsparitási hiba", figyelmeztetést ad, hogy a programozó a ténylegesen használt modullal kísérletezik. Azonban kevés bank foglalkozott azzal, hogy megírja a figyelmeztetések észleléséhez szükséges eszközillesztőt, és ennek megfelelően cselekedjen.
Köztudott, hogy a bankok az ATM-ellátó rendszer egészét vagy egy részét alvállalkozásba adják „kapcsolódó szolgáltatásokat nyújtó” cégeknek, és átadják a PIN-kódokat ezeknek a cégeknek.
Voltak olyan precedensek is, amikor a PIN-kódokat két vagy több bank megosztotta. Még ha a banki személyzet minden tagja megbízhatónak minősül is, előfordulhat, hogy a külső cégek nem tartják be a bankokra jellemző biztonsági politikákat. Ezeknek a cégeknek a személyzete nincs mindig megfelelően átvizsgálva, valószínűleg alulfizetettek, kíváncsiak és meggondolatlanok, ami csalás megtervezéséhez és végrehajtásához vezethet.
Sok leírt vezetési hiba középpontjában a projekt pszichológiai részének fejlesztésének hiánya áll. A bankfiókoknak és számítástechnikai központoknak a napi munkájuk elvégzése során szokásos eljárásokat kell követniük, de valószínűleg csak azokat az ellenőrzési eljárásokat kell szigorúan betartani, amelyek célja nyilvánvaló. Például jól érthető, ha megosztják a fióki széf kulcsait egy vezető és egy könyvelő között: mindkettőjüket megvédi attól, hogy családja túszul ejtse őket. A kriptográfiai kulcsokat gyakran nem csomagolják felhasználóbarát formában, ezért nem valószínű, hogy megfelelően használják őket. Részleges választ jelenthetnek az olyan eszközök, amelyek valójában kulcsokra hasonlítanak (az atomfegyver-biztosítékok kriptográfiai kulcsainak képén).
Sokat lehetne írni a működési eljárások javításáról, de ha az a cél, hogy ne kerüljön kriptográfiai kulcs valakinek a kezébe, aki technikailag képes visszaélni vele, akkor a kézikönyvekben és a képzésekben pontos célt kell kitűzni. A „biztonság a homályon keresztül” elve gyakran többet árt, mint használ.
Kulcselosztás
A kulcsok szétosztása különös problémát jelent a bankfiókok számára. Mint tudják, az elmélet megköveteli, hogy mind a két bankár más-más kulcskomponenst adjon meg, így ezek kombinációja adja a terminál mesterkulcsát. A terminál főkulcsán titkosított PIN kód a karbantartást követő első tranzakció során kerül elküldésre az ATM-nek.
Ha az ATM-technikus megkapja a kulcs mindkét összetevőjét, visszafejtheti a PIN kódot, és hamisíthatja a kártyákat. Gyakorlatilag a kulcsokat tároló fiókvezetők szinte örömmel adják át a mérnöknek, ugyanis nem akarnak az ATM mellett állni, amíg azt szervizelték. Sőt, a terminál kulcsának megadása a billentyűzet használatát jelenti, amit az idősebb vezetők méltóságukon alulinak tartanak.
Általános gyakorlat a kulcsok helytelen kezelése. Ismert olyan eset, amikor mindkét mesterkulcsos mikroáramkört a szervizszemélyzet mérnöknek adták át. Bár elméletben kettős ellenőrzési eljárás létezett, a biztonsági személyzet átadta a chipeket, mivel az utolsó kulcsokat használták, és senki sem tudta, mit tegyen. Egy mérnök nem csak kártyákat tudott hamisítani. Elmehetett volna a kulcsokkal, és leállíthatott volna minden banki ATM-műveletet.
Nem érdektelen az a tény, hogy a kulcsokat gyakrabban tárolják nyitott fájlokban, mint védettekben. Ez nemcsak az ATM-kulcsokra vonatkozik, hanem a bankközi elszámolási rendszerek kulcsaira is, például a SWIFT-re, amelyekben milliárdos tranzakciókat bonyolítanak le. Célszerű lenne az inicializálási kulcsokat, például a terminálkulcsokat és a zónakulcsokat csak egyszer használni, majd megsemmisíteni őket.
Kriptoanalitikus fenyegetések
Valószínűleg a kriptanalitikusok jelentik a legkevésbé fenyegetést a bankrendszerekre, de nem lehet őket teljesen figyelmen kívül hagyni. Egyes bankok (beleértve a nagy és híres bankokat is) még mindig a DES előtti évek saját fejlesztésű kriptográfiai algoritmusait használják. Az egyik adathálózatban az adatblokkokat egyszerűen „kódolt” konstans hozzáadásával. Ezt a módszert öt évig nem kritizálták, annak ellenére, hogy a hálózatot több mint 40 bank használta. Sőt, ezeknek a bankoknak a biztosítási, könyvvizsgálati és biztonsági szakértői láthatóan elolvassák a rendszer specifikációit.
Még ha „tiszteletre méltó” algoritmust használunk is, előfordulhat, hogy nem megfelelő paraméterekkel valósítható meg. Egyes bankok például 100-400 bites kulcshosszal implementálták az RSA algoritmust, annak ellenére, hogy a kulcsnak legalább 500 bitesnek kell lennie a szükséges biztonsági szint biztosítása érdekében.
A kulcsot nyers erővel is megtalálhatja, minden lehetséges titkosítási kulcsot kipróbálva, amíg meg nem talál egy kulcsot, amely egy adott bankot használ.
A nemzetközi hálózatokban a működési kulcsok zónakulcsokkal történő titkosítására használt protokollok megkönnyítik a zónakulcs ilyen módon történő megtámadását. A zónakulcs egyszeri megnyitása esetén a bank által a hálózaton keresztül küldött vagy fogadott összes PlN kód visszafejthető. A Canadian Bank legújabb tanulmánya kimutatta, hogy a DES elleni ilyen jellegű támadás zónakulcsonként körülbelül 30 000 fontba kerülne. Következésképpen egy ilyen bûnözéshez a szervezett bûnözés forrásai teljesen elegendõek, és egy ilyen bûncselekményt egy kellõen gazdag egyén is elkövethet.
Valószínűleg egyes országok speciális szolgálatainál hozták létre a kulcsok megtalálásához szükséges speciális számítógépeket, köztük a jelenleg káoszban lévő országokban is. Emiatt fennáll annak a veszélye, hogy a berendezés tulajdonosai személyes haszonszerzésre használhatják azt.
Minden rendszer, legyen az kicsi és nagy, hibákat tartalmaz, és hajlamos a kezelői hibákra. A bankrendszerek sem kivételek, és ezzel mindenki tisztában van, aki az ipari termelésben dolgozott. A fióktelepi elszámolási rendszerek általában nagyobbak és összetettebbekké válnak, és sok, egymásra épülő modullal évtizedek alatt fejlődnek. Egyes tranzakciók elkerülhetetlenül hibásan hajtódnak végre: előfordulhat, hogy a terhelés megkettőződik, vagy a számla hibásan módosul.
Ez a helyzet nem újdonság a nagyvállalatok pénzügyi ellenőrei számára, amelyek speciális személyzetet tartanak fenn a bankszámlák egyeztetésére. Hibás terhelés esetén ezek a tisztviselők elemzésre kérik a vonatkozó dokumentumokat, és ha hiányoznak a dokumentumok, visszakapják a hibás befizetést a banktól.
Az ATM-ügyfelek azonban nem rendelkeznek ezzel a lehetőséggel a vitatott fizetések beváltására. Az USA-n kívüli bankárok többsége egyszerűen azt mondja, hogy nincs hiba a rendszerében.
Az ilyen politika bizonyos jogi és adminisztratív kockázatokat rejt magában. Először is megteremti a visszaélés lehetőségét, mivel a csalás összeesküvés. Másodszor, túl bonyolult bizonyítékokhoz vezet az ügyfél számára, ami az amerikai bíróságok eljárásának egyszerűsítésének oka volt. Harmadszor, a banki alkalmazottak lopásra való közvetett bátorításával összefüggő erkölcsi kár, azon a tudaton alapulva, hogy nem valószínű, hogy elkapják őket. Negyedszer, ez egy ideológiai hiba, mivel az ügyféligények központosított nyilvántartásának hiánya miatt nincs lehetőség a csalási ügyek megfelelően szervezett ellenőrzésére.
Az ATM-eknél bekövetkezett veszteségek üzleti tevékenységre gyakorolt hatását meglehetősen nehéz pontosan megbecsülni. Az Egyesült Királyságban a Pénzügyminisztérium gazdasági minisztere (a banki szabályozásért felelős miniszter) 1992 júniusában kijelentette, hogy az ilyen hibák a napi hárommillió tranzakcióból legalább kettőt érintenek. A közelmúltbeli peres eljárások nyomására azonban ezt a számot először 1 hibás tranzakcióra módosították 250 000-ből, majd 1-re 100 000-ből, végül 1-re 34 000-ből.
Mivel a panaszt benyújtó ügyfeleket általában visszautasítják a banki alkalmazottak, és a legtöbben egyszerűen nem veszik észre az egyszeri számlakivonást, a legreálisabb feltételezés az, hogy 10 000-ből körülbelül 1 rossz tranzakció fordul elő. 50 éven keresztül hetente egyszer egy ATM-et, várhatóan minden negyedik ügyfélnek problémája lesz az ATM használatával élete során.
A kriptográfiai rendszerek tervezői hátrányos helyzetben vannak, mivel nincs információjuk arról, hogyan fordulnak elő rendszerhibák a gyakorlatban, nem pedig elméletileg. Ez a hátrány Visszacsatolás rossz fenyegetési modell használatához vezet. A tervezők arra összpontosítanak, hogy a rendszerben mi vezethet töréshez, ahelyett, hogy arra összpontosítanának, ami általában hibákhoz vezetne. Sok termék annyira összetett és bonyolult, hogy ritkán használják őket megfelelően. Ennek az a következménye, hogy a legtöbb hiba a rendszer bevezetésével és karbantartásával kapcsolatos. A konkrét eredmény az ATM-csalások tömege volt, amely nemcsak pénzügyi veszteségekhez, hanem igazságszolgáltatási tévedésekhez és a bankrendszerbe vetett bizalom csökkenéséhez is vezetett.
A kriptográfiai módszerek megvalósításának egyik példája az EXCELLENCE digitális aláírást használó kriptográfiai információvédelmi rendszer.
Az EXCELLENCE szoftveres kriptográfiai rendszer célja, hogy megvédje az IBM-kompatibilis személyi számítógépek között feldolgozott, tárolt és továbbított információkat kriptográfiai titkosítás, digitális aláírás és hitelesítési funkciók segítségével.
A rendszer olyan kriptográfiai algoritmusokat valósít meg, amelyek megfelelnek az állami szabványoknak: titkosítás - GOST 28147-89. A digitális aláírás az RSA algoritmuson alapul.
Az erős hitelesítéssel és kulcstanúsítással rendelkező kulcsrendszer a nemzetközi gyakorlatban széles körben használt X.509 protokollon és az RSA kulcsok nyilvános elosztásán alapul.
A rendszer titkosítási funkciókat tartalmaz az információk fájlszintű feldolgozásához:
és kriptográfiai funkciók a kulcsokkal való munkához:
A hálózat minden előfizetőjének saját titkos és nyilvános kulcsa van. Minden egyes felhasználó titkos kulcsa a saját kulcsfontosságú hajlékonylemezén vagy egyedi elektronikus kártyáján van rögzítve. Az előfizető kulcsának titkossága biztosítja a számára titkosított információk védelmét és a digitális aláírása meghamisításának lehetetlenségét.
A rendszer kétféle kulcshordozót támogat:
A hálózat minden előfizetőjének fájlkatalógusa van a rendszer összes előfizetőjének nyilvános kulcsairól, amely védett a jogosulatlan változtatásoktól, a nevükkel együtt. Minden előfizető köteles titkos kulcsát titokban tartani.
Funkcionálisan az EXCELLENCE rendszer excell_s.exe programmodulként van megvalósítva, és az MS DOS 3.30 és újabb verziói alatt működik. A függvények végrehajtásához szükséges paraméterek az űrlapon kerülnek átadásra parancs sor DOS. Ezenkívül egy interfész grafikus héjat is mellékelünk. A program automatikusan felismeri és támogatja az Intel386/486/Pentium processzor 32 bites műveleteit.
Másokba való beágyazáshoz szoftverrendszerek az EXCELLENCE rendszer egy változata valósult meg, amely tartalmazza a fő kriptográfiai funkciókat a RAM-ban lévő adatokkal való munkavégzéshez a következő módokban: memória - memória; memória - fájl; a fájl memória.
Előrejelzés a XXI. század elejére
Az információbiztonság problémájának megoldására hatékony intézkedéseket hozó banki menedzsment részarányát 40-80%-ra kell növelni. A fő probléma a karbantartó (beleértve a korábbi) személyzetet (az esetek 40%-ról 95%-ára) jelenti majd, a fenyegetések fő típusai pedig a jogosulatlan hozzáférés (UAS) és a vírusok (a bankok akár 100%-a lesz kitéve vírustámadásoknak). ).
Az információbiztonság biztosításának legfontosabb intézkedése az információbiztonsági szolgáltatások legmagasabb szintű professzionalizmusa lesz. Ezért a bankoknak nyereségük akár 30%-át is információbiztonságra kell fordítaniuk.
A fent felsorolt intézkedések ellenére az információbiztonság problémájának abszolút megoldása lehetetlen. A bank információbiztonsági rendszerének hatékonyságát ugyanakkor teljes mértékben meghatározza a befektetett források nagysága és az információbiztonsági szolgálat szakszerűsége, a bank információbiztonsági rendszerének megsértésének lehetőségét pedig teljes mértékben a banki információbiztonsági rendszer költsége határozza meg. a védelmi rendszer és a csalók minősítésének leküzdése. (A külföldi gyakorlatban úgy tartják, hogy akkor van értelme a védelmi rendszer „feltörésének”, ha a leküzdésének költsége nem haladja meg a védett információ költségének 25%-át).
A 4. fejezet az elektronikus banki rendszerek védelmére vonatkozó megközelítés sajátosságait vizsgálta. E rendszerek sajátossága az elektronikus adatcsere speciális formája - az elektronikus fizetés, amely nélkül egyetlen modern bank sem létezhet.
Az Electronic Data Interchange (EDI) üzleti, kereskedelmi, pénzügyi elektronikus dokumentumok számítógépek közötti cseréje. Például megrendelések, fizetési utasítások, szerződéses ajánlatok, számlák, nyugták stb.
Az OED biztosítja a kereskedelmi partnerek (vevők, beszállítók, viszonteladók stb.) operatív interakcióját a kereskedelmi tranzakció előkészítésének, a szerződéskötésnek és a szállítás végrehajtásának minden szakaszában. A szerződés kifizetésének és a pénzeszközök átutalásának szakaszában az EOS a pénzügyi dokumentumok elektronikus cseréjéhez vezethet. Ez hatékony környezetet teremt a kereskedelmi és fizetési tranzakciókhoz:
* Lehetőség van a kereskedelmi partnerek megismertetésére az áruk és szolgáltatások ajánlataival, a szükséges termék / szolgáltatás kiválasztásával, a kereskedelmi feltételek (költség és szállítási idő, kereskedelmi engedmények, garancia és szolgáltatási kötelezettségek) tisztázása valós időben;
* Áruk/szolgáltatások rendelése vagy szerződéses ajánlat kérése valós időben;
* Áruszállítás operatív ellenőrzése, kísérő dokumentumok e-mailben történő átvétele (számlák, számlák, alkatrész kivonatok stb.);
* A termékértékesítés/szolgáltatás teljesítésének megerősítése, a számlák kiállítása és kifizetése;
* Banki hitel- és fizetési műveletek végrehajtása. Az OED előnyei a következők:
* A tranzakciók költségeinek csökkentése a papírmentes technológiára való átállás miatt. A szakértők a papíralapú nyilvántartások feldolgozásának és karbantartásának költségét a kereskedelmi műveletek és az áruszállítás összköltségének 3-8%-ára becsülik. Az EOS használatából származó hasznot például az amerikai autóiparban több mint 200 dollárra becsülik gyártott autónként;
* A számítás és a pénzforgalom sebességének növelése;
* A számítások kényelmének javítása.
Az EGT fejlesztésének két kulcsfontosságú stratégiája van:
1. Az OED-t versenyelőnyként használják, amely lehetővé teszi a partnerekkel való szorosabb együttműködést. Ezt a stratégiát nagy szervezetekben alkalmazzák, és kiterjesztett vállalati megközelítésnek nevezik.
2. Az OED-t bizonyos speciális ipari projektekben vagy kereskedelmi és egyéb szervezetek szövetségeinek kezdeményezéseiben használják, hogy növeljék interakciójuk hatékonyságát.
Az egyesült államokbeli és nyugat-európai bankok már felismerték kulcsszerepüket az EIA elterjedésében, és felismerték az üzleti és személyes partnerekkel való szorosabb együttműködésből adódó jelentős előnyöket. Az OED segíti a bankokat abban, hogy szolgáltatást nyújtsanak azoknak az ügyfeleknek, különösen a kis ügyfeleknek, akik korábban nem engedhették meg maguknak, hogy igénybe vegyék a magas költségek miatt.
Az EOS széles körű elterjedésének fő akadálya a dokumentumok sokféle ábrázolása a kommunikációs csatornákon keresztül történő csere során. Ennek az akadálynak a leküzdésére különböző szervezetek szabványokat dolgoztak ki a dokumentumok EOS rendszerekben történő megjelenítésére különböző iparágak számára:
QDTI - General Trade Interchange (Európa, nemzetközi kereskedelem);
MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);
TDCC – Közlekedési Adatok Koordinációs Bizottsága;
VICS – Voluntary Interindustry Communication Standard (USA, Voluntary Interindustry Communication Standard);
WINS – Raktárinformációs hálózati szabványok információs hálózat raktárak).
1993 októberében a nemzetközi ENSZ-EGB csoport közzétette az EDIFACT szabvány első változatát. A kidolgozott szintaktikai szabályokat és kereskedelmi adatelemeket két ISO szabvány formájában formalizálták:
ISO 7372 – Kereskedelmi adatelemek jegyzéke (kereskedelmi adatelemek jegyzéke);
ISO 9735 – EDIFACT – Alkalmazásszintű szintaktikai szabályok.
Az EOD speciális esete az elektronikus fizetés – a pénzügyi dokumentumok cseréje ügyfelek és bankok között, bankok és más pénzügyi és kereskedelmi szervezetek között.
Az elektronikus fizetés fogalmának lényege abban rejlik, hogy a kommunikációs vonalakon küldött, szabályszerűen teljesített és továbbított üzenetek egy vagy több banki művelet elvégzésének alapját képezik. E műveletek elvégzéséhez elvileg nincs szükség papíralapú dokumentumokra (bár ki lehet állítani). Más szóval, a kommunikációs vonalakon küldött üzenet olyan információt tartalmaz, hogy a küldő végrehajtott bizonyos műveleteket a számláján, különösen a fogadó bank levelező számláján (amely lehet az elszámolóközpont), és hogy a címzettnek el kell végeznie a az üzenetben megadott műveleteket. Egy ilyen üzenet alapján pénzt küldhet vagy fogadhat, kölcsönt nyithat, vásárlást vagy szolgáltatást fizethet, és bármilyen más műveletet végezhet. banki művelet. Az ilyen üzeneteket elektronikus pénznek, az ilyen üzenetek küldése vagy fogadása alapján történő banki műveletek végrehajtását pedig elektronikus fizetésnek nevezzük. Természetesen szükség van az elektronikus fizetés teljes folyamatára megbízható védelem. Ellenkező esetben a bank és ügyfelei komoly gondokkal néznek szembe.
Az elektronikus fizetést bankközi, kereskedelmi és személyes elszámolásokhoz használják.
A bankközi és kereskedelmi elszámolások szervezetek (jogi személyek) között jönnek létre, ezért ezeket néha társasági néven is nevezik. Az egyéni ügyfeleket érintő elszámolásokat személyesnek nevezzük.
A legtöbb banki rendszerben elkövetett lopás közvetlenül vagy közvetve az elektronikus fizetési rendszerekhez kapcsolódik.
Az elektronikus fizetési rendszerek – különösen a globálisak – létrehozása felé vezető úton, amely számos pénzügyi intézményt és ügyfelet lefed különböző országokban, számos akadályba ütközik. A főbbek a következők:
1. Az egységes működési és szolgáltatási szabványok hiánya, ami jelentősen megnehezíti az egységes bankrendszerek létrehozását. Minden nagyobb bank igyekszik saját ETO-hálózatot létrehozni, ami növeli működési és karbantartási költségeit. A duplikált rendszerek megnehezítik használatukat, kölcsönös interferenciát okozva és korlátozzák az ügyfelek lehetőségeit.
2. A pénztömeg növekvő mobilitása, amely a pénzügyi spekuláció lehetőségének növekedéséhez vezet, kiterjeszti a "vándortőke" áramlását. Ez a pénz rövid időn belül képes megváltoztatni a piaci helyzetet, destabilizálni azt.
3. A pénzügyi elszámolások lebonyolításának hardveres és szoftveres hibái, meghibásodásai, amelyek a további elszámolások komoly bonyodalmait, az ügyfelek részéről a bank iránti bizalomvesztést okozhatják, különösen a banki kapcsolatok szoros összefonódása miatt (a egyfajta "hiba terjedése"). Ezzel párhuzamosan jelentősen megnő az információfeldolgozást közvetlenül irányító rendszer üzemeltetőinek és adminisztrációjának szerepe és felelőssége.
Minden szervezetnek, amely bármely elektronikus fizetési rendszer ügyfele akar lenni, vagy saját rendszert szeretne létrehozni, tisztában kell lennie ezzel.
A megbízható működéshez az elektronikus fizetési rendszert jól védeni kell.
A kereskedelmi elszámolások különböző kereskedelmi szervezetek között jönnek létre. A bankok közvetítőként vesznek részt ezekben a számításokban, amikor pénzt utalnak át a fizető szervezet számlájáról a fogadó szervezet számlájára.
A kereskedelmi elszámolás kritikus fontosságú az elektronikus fizetési programok általános sikeréhez. A különböző cégek pénzügyi tranzakcióinak volumene általában a banki műveletek összvolumenének jelentős részét teszi ki.
A kereskedelmi elszámolások típusai nagyon eltérőek a különböző szervezeteknél, de végrehajtásuk során mindig kétféle információ kerül feldolgozásra: fizetési üzenetek és segédinformációk (statisztika, összesítés, értesítés). A pénzintézetek számára természetesen a fizetési üzenetek információi érdekelnek leginkább - számlaszámok, összegek, egyenleg stb. A szakmai szervezetek számára mindkét információtípus egyformán fontos - az első a pénzügyi helyzetre ad támpontot, a második a döntéshozatalban és a politika kialakításában segít.
A leggyakrabban használt kereskedelmi elszámolások a következő két típusúak:
* Közvetlen befizetés.
Ennek a fizetési módnak az a jelentése, hogy a szervezet arra utasítja a bankot, hogy előre elkészített mágneses adathordozókkal vagy speciális üzenetekkel bizonyos típusú fizetéseket automatikusan teljesítsen alkalmazottai vagy ügyfelei számára. Az ilyen számítások végrehajtásának feltételeiről előzetesen megállapodnak (finanszírozási forrás, összeg stb.). Főleg rendszeres fizetésekre (különféle biztosítások kifizetésére, kölcsönök visszafizetésére, fizetésekre stb.) használják. Szervezeti szempontból a közvetlen befizetés kényelmesebb, mint például a csekkel történő fizetés.
1989 óta a közvetlen betétet igénybe vevő alkalmazottak száma megduplázódott, és elérte a 25%-ot. Ma több mint 7 millió amerikai kap fizetést közvetlen betét formájában. A bankok számára a közvetlen befizetés a következő előnyöket kínálja:
A papíralapú dokumentumok feldolgozásával járó feladatok mennyiségének csökkentése és ennek eredményeként jelentős összegek megtakarítása;
A befizetések számának növekedése, mivel a befizetések mennyiségének 100%-át betétre kell teljesíteni.
A bankok mellett a tulajdonosok és az alkalmazottak is profitálnak; a kényelem növelése és a költségek csökkentése.
* Számítások EOS használatával.
Az itt szereplő adatok számlák, számlák, komponens kimutatások stb.
Az EGT megvalósításához az alábbi alapszolgáltatások megvalósítása szükséges:
X.400 e-mail;
Fájl átvitel;
Pont-pont kommunikáció;
Hozzáférés az adatbázisokhoz on-line módban;
Postafiók;
Információprezentációs szabványok átalakítása.
Példák a jelenleg létező EOS-t használó kereskedelmi elszámolási rendszerekre:
A National Bank és a Royal Bank (Kanada) az IBM információs hálózatán keresztül lép kapcsolatba ügyfeleikkel és partnereivel;
Az 1986-ban alapított Bank of Scotland Transcontinental Automated Payment Service (TAPS) a Bank of Scotlandot 15 országban köti össze ügyfeleivel és partnereivel levelező bankokon és automatizált elszámolóházakon keresztül.
Az elektronikus bankközi elszámolások alapvetően két típusból állnak:
* Elszámolások elszámolása egy közvetítő bank (elszámoló bank) hatékony számítógépes rendszerével és az ezzel a bankkal való elszámolásban részt vevő bankok levelező számláival. A rendszer alapja a jogi személyek kölcsönös pénzbeli követeléseinek és kötelezettségeinek beszámítása az egyenleg utólagos átutalásával. Az elszámolást széles körben alkalmazzák a tőzsdéken és az árutőzsdéken is, ahol a tranzakciókban résztvevők kölcsönös követeléseinek beszámítása elszámolóházon vagy speciális elektronikus elszámolási rendszeren keresztül történik.
A bankközi elszámolási elszámolások speciális elszámolóházakon, kereskedelmi bankokon keresztül, egy bank fiókjai és fiókjai között - a központi irodán keresztül - történnek. Az elszámolóházak funkcióit számos országban a központi bankok látják el. Az automatizált elszámolóházak (ACP) szolgáltatásokat nyújtanak a pénzintézetek közötti pénzeszközök cseréjéhez. A fizetési tranzakciók alapvetően terhelések vagy jóváírások. Az AKCS-rendszer tagjai olyan pénzügyi intézmények, amelyek az AKCS-szövetség tagjai. Az Egyesület egy földrajzi régión belüli elektronikus fizetések lebonyolítására vonatkozó szabályok, eljárások és szabványok kialakítására jön létre. Meg kell jegyezni, hogy az AKP nem más, mint a pénzeszközök mozgásának és a kísérő információknak a mechanizmusa. Önmagukban nem végeznek fizetési szolgáltatásokat. Az AKCS-ket a papíralapú pénzügyi dokumentumok feldolgozására szolgáló rendszerek kiegészítésére hozták létre. Az első ACP 1972-ben jelent meg Kaliforniában, jelenleg 48 AKCS van az USA-ban. 1978-ban megalakult a National Automated Clearing House Association (NACHA), amely szövetkezeti alapon egyesíti mind a 48 AKCS-hálózatot.
A műveletek volumene és jellege folyamatosan bővül. Az AKCS-k megkezdik az üzleti elszámolásokat és az elektronikus adatcsere műveleteket. Különböző bankok és cégek három évnyi erőfeszítése után létrejött a CTP (Corporate Trade Payment) rendszer, amelyet a jóváírások és terhelések automatikus feldolgozására terveztek. Szakértők szerint a közeljövőben tovább folytatódik az AKP funkcióinak bővítésének tendenciája.
* Közvetlen elszámolások, amelyek során két bank közvetlenül kommunikál egymással loro nostro számlákon keresztül, esetleg harmadik fél részvételével szervezeti vagy támogató szerepkörben. Természetesen a kölcsönös tranzakciók volumenének elég nagynak kell lennie ahhoz, hogy indokolja egy ilyen elszámolási rendszer megszervezésének költségeit. Általában egy ilyen rendszer több bankot egyesít, miközben mindegyik pár közvetlenül kommunikálhat egymással, megkerülve a közvetítőket. Ebben az esetben azonban szükség van egy irányító központra, amely az interakcióban lévő bankok védelmével foglalkozik (kulcsosztás, kezelés, működés ellenőrzése és események regisztrálása).
Elég sok ilyen rendszer létezik a világon - a kicsiktől, amelyek több bankot vagy fiókot kötnek össze, az óriási nemzetköziekig, amelyek több ezer résztvevőt kötnek össze. Az osztály legismertebb rendszere a SWIFT.
A közelmúltban megjelent egy harmadik típusú elektronikus fizetés - az elektronikus csekkek feldolgozása (elektronikus csekkcsonkítás), amelynek lényege, hogy megállítsák a papír csekk küldésének útját annak a pénzintézetnek, amelyben bemutatták. Szükség esetén elektronikus megfelelője külön üzenet formájában „utazik” tovább. Az elektronikus csekk továbbítása és beváltása az ACP segítségével történik.
1990-ben a NACHA bejelentette az "Electronic Check Truncation" nevű nemzeti kísérleti program tesztelésének első fázisát. Célja, hogy csökkentse a rengeteg papíralapú csekk feldolgozási költségeit.
Az elektronikus fizetési rendszer használatával történő pénzküldés a következő lépéseket tartalmazza (a konkrét feltételektől és magától a rendszertől függően az eljárás eltérő lehet):
1. Egy bizonyos számla az első bank rendszerében csökken a szükséges összeggel.
2. A második bank levelező számlája az elsőben ugyanennyivel megemelkedik.
3. Az első bankból üzenetet küld a másodiknak, amely információkat tartalmaz az elvégzett műveletekről (számlaazonosítók, összeg, dátum, feltételek stb.); ugyanakkor a továbbított üzenetet megfelelően védeni kell a hamisítás ellen: titkosítva, digitálisan aláírva és vezérlőmezőkkel stb.
4. A szükséges összeg az első bank levelező számlájáról a másodikban kerül terhelésre.
5. Egy bizonyos számla a második bankban megemelkedik a szükséges összeggel.
6. A második bank értesítést küld az első banknak az elvégzett számlamódosításokról; ezt az üzenetet is védeni kell a hamisítástól a fizetési üzenethez hasonló módon.
7. A csereprotokoll mind az előfizetők, mind pedig adott esetben egy harmadik fél számára (a hálózati vezérlőközpontban) rögzítve van a konfliktusok elkerülése érdekében.
Lehetnek közvetítők az üzenetek továbbításában - elszámolóközpontok, közvetítő bankok az információátadásban stb. Az ilyen számítások fő nehézsége a partnerbe vetett bizalom, vagyis minden előfizetőnek biztosnak kell lennie abban, hogy levelezője elvégzi az összes szükséges műveletet.
Az elektronikus fizetés használatának bővítése érdekében a pénzügyi bizonylatok elektronikus bemutatásának szabványosítása zajlik. A 70-es években indult két szervezet részeként:
1) Az ANSI (Amerikai Nemzeti Szabványügyi Intézet) közzétette az ANSI X9.2-1080-at (Interchange Message Specification for Debit and Credit Card Message Exchange among Financial Institute). 1988-ban az ISO hasonló szabványt fogadott el, és az ISO 8583 nevet kapta (Bank Card Originated Messages Interchange Message Specifications – Content for Financial Transactions);
2) A SWIFT (Society for Worldwide Interbank Financial Telecommunications) egy sor szabványt dolgozott ki a bankközi üzenetekre.
Az ISO 8583 szabványnak megfelelően egy pénzügyi bizonylat számos adatelemet (rekvizit) tartalmaz, amelyek egy üzenet vagy egy elektronikus dokumentum (elektronikus hitelkártya, X.400 üzenet vagy EDIFACT szintaxisú dokumentum) bizonyos mezőiben találhatók. . Minden adatelemhez (ED) saját egyedi szám tartozik. Az adatelem lehet kötelező (vagyis minden ilyen típusú üzenetben szerepel) vagy opcionális (egyes üzenetekben hiányozhat).
A bitskála határozza meg az üzenet összetételét (a benne lévő ED-ket). Ha a bitskála valamely számjegye 1-re van állítva, ez azt jelenti, hogy a megfelelő ED jelen van az üzenetben. Ennek az üzenetkódolási módszernek köszönhetően csökken az üzenet teljes hossza, rugalmasság érhető el az üzenetek sok ED-vel történő megjelenítésében, és lehetőség nyílik új ED-ek és üzenettípusok szabványos szerkezetű elektronikus dokumentumba történő beépítésére.
Az elektronikus bankközi fizetésnek többféle módja van. Tekintsünk kettőt ezek közül: csekken történő fizetés (fizetés a szolgáltatás után) és akkreditív fizetés (az elvárt szolgáltatás kifizetése). Más módszerek, mint például fizetési megbízással vagy fizetési megbízással történő fizetés, hasonló szervezettel rendelkeznek.
A csekken történő fizetés a fizető személyazonosságát tartalmazó papír vagy egyéb dokumentum alapján történik. Ez a bizonylat az alapja a csekken meghatározott összegnek a tulajdonos számlájáról a benyújtó számlájára történő átutalásának. A csekken történő fizetés a következő lépéseket tartalmazza:
csekk átvétele;
Csekk bemutatása a banknak;
A csekkbirtokos számlájáról a kibocsátó számlájára történő átutalási kérelem;
Pénz átutalás;
Fizetési értesítés.
Az ilyen fizetések fő hátrányai a könnyen hamisítható kiegészítő okmány (csekk) szükségessége, valamint a fizetésre fordított jelentős idő (akár több nap).
Ezért az utóbbi években elterjedt az olyan fizetési mód, mint az akkreditív fizetés. Ez a következő lépéseket tartalmazza:
A bank értesítése az ügyfél részéről a hitelnyújtásról;
A kedvezményezett bankjának értesítése kölcsön nyújtásáról és pénzátutalásról;
A címzett értesítése a kölcsön átvételéről.
Ez a rendszer lehetővé teszi, hogy nagyon rövid időn belül kifizetéseket hajtson végre. Kölcsönértesítés küldhető (e-mailben), hajlékonylemezen, mágnesszalagon.
A fenti fizetési módok mindegyikének megvannak a maga előnyei és hátrányai. A csekk a legkényelmesebb kis összegek, valamint alkalmi fizetések esetén. Ezekben az esetekben a fizetési késedelem nem túl jelentős, a hitel felhasználása pedig nem megfelelő. Az akkreditív elszámolások rendszerint rendszeres és jelentős összegek fizetésére szolgálnak. Ezekben az esetekben az elszámolási késedelem hiánya sok időt és pénzt takarít meg azáltal, hogy csökkenti az átfutási időt. E két módszer közös hátránya a megbízható elektronikus fizetési rendszer megszervezésének költsége.
