Digitālās naudas elektronisko maksājumu sistēmas aizsardzības metodes. Galvenie veidi, kā aizsargāt elektronisko naudu? Drošības pasākumi elektronisko maksājumu sistēmām
Elektroniskās norēķinu sistēmas ir viens no populārākajiem darba veidiem ar elektronisko valūtu. Katru gadu tie attīstās arvien aktīvāk, aizņemot diezgan lielu tirgus daļu darbam ar valūtu. Kopā ar viņiem attīstās arī tehnoloģijas viņu drošības nodrošināšanai. Jo šodien neviena elektronisko norēķinu sistēma nevar pastāvēt bez labām tehnoloģijām un drošības sistēmām, kas savukārt nodrošina naudas darījumu drošu veikšanu. Ir ļoti daudz pašu elektronisko norēķinu sistēmu, kā arī drošības tehnoloģiju. Katram no tiem ir atšķirīgi darbības principi un tehnoloģijas, kā arī savas priekšrocības un trūkumi. Turklāt neatrisināti paliek vairāki teorētiski un praktiski jautājumi, kas nosaka pētījuma tēmas aktualitāti.
Katra elektronisko maksājumu sistēma izmanto savas metodes, šifrēšanas algoritmus, datu pārsūtīšanas protokolus, lai veiktu drošus darījumus un datu pārsūtīšanu. Dažas sistēmas izmanto RSA šifrēšanas algoritmu un HTTPs pārsūtīšanas protokolu, savukārt citas izmanto DES algoritmu un SSL protokolu, lai pārsūtītu šifrētus datus. Šī raksta rakstīšanas ideja ir izpētīt un analizēt vairākas populāras maksājumu sistēmas, proti, tajās izmantotās drošības tehnoloģijas, un noskaidrot, kura ir vismodernākā.
Raksta tapšanas laikā tika veikts maksājumu sistēmu pētījums un esošo maksājumu sistēmu drošības analīze. Pēc vieniem un tiem pašiem kritērijiem tika analizētas četras maksājumu sistēmas (Webmoney, Yandex.Money, RauPa1 un E-Port). Sistēmas tika novērtētas, izmantojot daudzlīmeņu sistēmu, kas ietver ligzdotus parametrus. Protams, visi šie kritēriji attiecas uz apgabalu informācijas drošība. Ir divi galvenie kritēriji: tehniskais atbalsts maksājumu informācijas drošībai un organizatoriskais un juridiskais atbalsts. Katrs no šiem diviem parametriem tika novērtēts, izmantojot trīs punktu sistēmu. Vērtēšanas skala ir tieši tāda, jo pašreizējā elektronisko maksājumu sistēmu attīstība mūsu valstī ir tādā līmenī, ka lielāko daļu to parametru var raksturot tikai ar vārdiem “jā vai nē”. Attiecīgi, ja elektroniskā norēķinu sistēma vislabāk atbilst kādam parametram, tā saņem augstāko punktu skaitu (3), bet, ja tā nereaģē vispār, tā saņem minimālo punktu skaitu (0). Ja sistēmai šī kritērija nav skaidrā veidā, bet ja ar trūkstošo ir saistīti pakalpojumi vai iespējas, mēs piešķiram starpvērtējumu - viens vai divi.
Izvērtējot elektronisko norēķinu sistēmas, jāatceras, ka dažādos apstākļos viena un tā paša parametra vērtība nav vienāda. Piemēram, vairākus pakalpojumus, kas būtiski paaugstina aizsardzības līmeni, lietotājs var ieviest tikai brīvprātīgi, turklāt vērtīga ir pati šo pakalpojumu klātbūtne sistēmā. Cilvēciskais faktors nav atcelts un nekad netiks atcelts, tāpēc tiek ņemts vērā, ka pakalpojums var būt vai nu ieviests, vai nerealizēts.
Tehniskais atbalsts darījumu drošībai
Šis ir pirmais no kritērijiem – parametru kopums, kas, kā noprotams no nosaukuma, nodrošina informācijas aizsardzības tehnisko pusi. Pirms šī parametra ir iekļautas: šifrēšanas kriptogrāfiskās metodes, autentifikācija un piekļuve, izmantojot īpašu aparatūra(primitīvākajā gadījumā - izmantojot USB atslēgas).
Nav noslēpums, ka galvenais informācijas aizsardzības kritērijs tehniskā ziņā, protams, ir datu šifrēšana un konkrētāk – kriptogrāfijas algoritmi, ar kuriem tie tiek realizēti. Ir arī zināms, ka, jo garāka atslēga, jo grūtāk to atšifrēt un attiecīgi piekļūt konfidenciālai informācijai. Trīs no pārbaudītajām sistēmām izmanto labi zināmo un plaši cienīto RSA algoritmu: Webmoney, Yandex.Money, PayPal. E-Port izmanto šifrēšanu, izmantojot SSL protokola versiju 3.0. Faktiski šifrēšana tiek realizēta, izmantojot SSL atslēgas, kas ir unikālas, tās tiek ģenerētas sesijas laikā un tiek sauktas par sesijas atslēgu. SSL atslēgas garums E-Port sistēmā svārstās no 40 līdz 128 bitiem, kas ir pilnīgi pietiekami pieņemamam darījumu drošības līmenim.
Nākamais parametrs darījumu informācijas drošības tehniskajā nodrošinājumā ir autentifikācija, t.i. risinājumu kopums, kas lietotājam nepieciešams, lai piekļūtu savai personiskajai informācijai. Šeit viss ir vienkārši. Webmoney un Yandex.Money sistēmas izmanto divus piekļuves kritērijus, savukārt PayPal un E-Port izmanto tikai vienu. Webmoney, lai piekļūtu sistēmai un veiktu maksājumus, jāievada parole un īpaša atslēga.Yandex.Money darbojas līdzīgi: ir nepieciešama parole un īpaša maka programma. Visās pārējās sistēmās piekļuve tiek nodrošināta ar paroli. Taču E-Port sistēmā, lai strādātu, izmantojot SSL protokolu, potenciālā klienta (un jebkura cita sistēmas dalībnieka) tīmekļa serverim ir jābūt speciālam ciparsertifikātam, kas saņemts no kāda no autorizētiem uzņēmumiem. Šis sertifikāts tiek izmantots, lai autentificētu klienta tīmekļa serveri. E-Port izmantotais sertifikātu drošības mehānisms ir RSA Security sertificēts. Trešais un pēdējais kritērijs šajā pētījumā ir piekļuve sistēmai, izmantojot īpašu aparatūru, piemēram, USB atslēgas.
Kriptogrāfiskās šifrēšanas metodes
Webmoney un Yandex.Money izmanto atslēgu ar 1024 bitu garumu (ļoti augsts rādītājs, šādu atslēgu gandrīz neiespējami uzlauzt, izmantojot vienkāršu brutālā spēka metodi), un PayPal izmanto uz pusi garāku atslēgu - 512 biti. , pirmajām divām sistēmām, izmantojot šo kritēriju, iegūstam maksimālo punktu – 3. PayPal, jo izmanto īsāku šifrēšanas atslēgu, iegūst divus punktus. Atliek tikai novērtēt E-Port pēc šī parametra.Neraugoties uz SSL protokola izmantošanu un pat atslēgas garumu līdz 128 bitiem, E-Port ir iespējama ievainojamība: daudzas vecākas pārlūkprogrammu versijas atbalsta šifrēšanu ar īsāka garuma atslēgām. , tāpēc pastāv iespēja uzlauzt saņemtos datus; attiecīgi tiem, kas pārlūku izmanto kā klientu maksājumu sistēma, jums ar to jāstrādā jaunākā versija(protams, tas ne vienmēr ir ērti vai iespējams). Tomēr kolonnā “šifrēšana” E-Port var novērtēt ar 1,7: sistēma ieguva šo vērtējumu, pateicoties progresīvā PGP protokola izmantošanai e-pasta ziņojumu šifrēšanai.
Autentifikācija
Webmoney un Yandex.Money sistēmas izmanto divus piekļuves kritērijus, savukārt PayPal un E-Port izmanto tikai vienu. Webmoney, lai piekļūtu sistēmai un veiktu maksājumus, jums jāievada parole un īpaša atslēga. Yandex.Money darbojas līdzīgi: ir nepieciešama parole un īpaša maka programma.Visās pārējās sistēmās piekļuve tiek nodrošināta ar paroli. Tomēr E-Port sistēmā potenciālā klienta tīmekļa serveris tiek izmantots darbam, izmantojot SSL protokolu.
Saskaņā ar Webmoney un Yandex.Money, viņi šeit saņem trīs punktus, PayPal - 0 punktus, E-Port - vienu.
Šeit tas ir pat vienkāršāk nekā ar iepriekšējiem parametriem. No visām sistēmām šāda papildu iespēja ir tikai Webmoney PayPal, pēdējās šādu iespēju nenodrošina. Tādējādi, ņemot vērā svēruma koeficientu, Webmoney un PayPal par šo parametru saņēma 1,5 punktus, visi pārējie saņēma nulli.
Pēc abu kritēriju izvērtēšanas varam apkopot. Pamatojoties uz aplūkoto parametru summu, Webmoney izrādījās drošs. Patiešām, ja lietotājs izmanto visus tā sniegtos drošības pakalpojumus, viņš var palikt praktiski neievainojams pret krāpniekiem. Otro vietu ieņēma Yandex.Money sistēma, trešo PayPal (šī sistēma ir ideāli piemērota juridiskām personām tās ievērojamās maksājumu juridiskās caurskatāmības dēļ), bet pēdējā vieta tika piešķirta E-Port sistēmai.
Turklāt, apkopojot maksājumu sistēmu analīzi, var teikt, ka elektroniskās norēķinu sistēmas izvēle netiek veikta pēc viena drošības parametra, pat ja tas ir viens no svarīgākajiem. Elektronisko norēķinu sistēmas atšķiras arī ar pakalpojumu pieejamību, lietošanas ērtumu – ir vēl daudzi citi faktori.
secinājumus
Elektroniskie norēķini ir dabisks posms telekomunikāciju attīstībā.Pieprasījums ir liels tajās nišās, kur ir pilnvērtīgs produkts - digitāls produkts, kura īpašības labi “pārklājas” ar tiešsaistes maksājumu īpašībām: tūlītējais maksājums, tūlītēja piegāde. , vienkāršība un bez zīmola.
Interneta norēķinu sistēma ir sistēma maksājumu veikšanai starp finanšu, biznesa organizācijām un interneta lietotājiem preču un pakalpojumu pirkšanas/pārdošanas procesā, izmantojot internetu. Tieši norēķinu sistēma ļauj pasūtījumu apstrādes pakalpojumu vai elektronisko veikalu pārvērst par pilnvērtīgu veikalu ar visiem standarta atribūtiem: izvēloties preci vai pakalpojumu pārdevēja mājaslapā, pircējs var veikt maksājumu, neizejot no dators.
E-komercijas sistēmā maksājumi tiek veikti, ievērojot vairākus nosacījumus:
1. Konfidencialitātes saglabāšana. Veicot maksājumus internetā, pircējs vēlas, lai viņa dati (piemēram, kredītkartes numurs) būtu zināmi tikai tām organizācijām, kurām ir likumīgas tiesības to darīt.
2. Informācijas integritātes saglabāšana. Pirkuma informāciju neviens nevar mainīt.
3. Autentifikācija. Pircējiem un pārdevējiem ir jābūt pārliecinātiem, ka visas darījumā iesaistītās puses ir tādas, par kurām viņi saka.
4. Maksāšanas līdzekļi. Iespēja norēķināties, izmantojot jebkuru pircēja rīcībā esošo maksāšanas līdzekli.
6. Pārdevēja riska garantijas. Tirgojoties internetā, pārdevējs ir pakļauts daudziem riskiem, kas saistīti ar preču atteikumiem un pircēja negodīgumu. Par risku lielumu ir jāvienojas ar maksājumu sistēmas nodrošinātāju un citām tirdzniecības ķēdē iekļautajām organizācijām, slēdzot īpašus līgumus.
7. Darījumu maksas samazināšana. Darījumu apstrādes maksa par preču pasūtīšanu un apmaksu dabiski tiek iekļauta to cenā, tāpēc darījuma cenas pazemināšana palielina konkurētspēju. Svarīgi atzīmēt, ka darījums ir jāapmaksā jebkurā gadījumā, pat ja pircējs atsakās no preces.
Visi šie nosacījumi ir jāievieš interneta maksājumu sistēmā, kas pēc būtības ir tradicionālo maksājumu sistēmu elektroniskās versijas.
Tādējādi visas maksājumu sistēmas ir sadalītas:
Debets (darbs ar elektroniskajiem čekiem un digitālo skaidru naudu);
Kredīts (darbs ar kredītkartēm).
Debeta sistēmas
Debeta maksājumu shēmas ir veidotas līdzīgi to bezsaistes prototipiem: čeks un parastā nauda. Shēmā ir iesaistītas divas neatkarīgas puses: emitenti un lietotāji. Ar emitentu saprot vienību, kas pārvalda maksājumu sistēmu. Tas izdod dažas elektroniskās vienības, kas atspoguļo maksājumus (piemēram, naudu bankas kontos). Sistēmas lietotāji veic divas galvenās funkcijas. Viņi veic un pieņem maksājumus internetā, izmantojot izsniegtas elektroniskās vienības.
Elektroniskie čeki ir līdzīgi parastajiem papīra čekiem. Šie ir maksātāja norādījumi savai bankai pārskaitīt naudu no sava konta uz saņēmēja kontu. Operācija notiek pēc čeka saņēmēja uzrādīšanas bankā. Šeit ir divas galvenās atšķirības. Pirmkārt, rakstot papīra čeku, maksātājs liek savu īsto parakstu, bet tiešsaistes versijā - elektronisko parakstu. Otrkārt, paši čeki tiek izsniegti elektroniski.
Maksājumi tiek veikti vairākos posmos:
1. Maksātājs izsniedz elektronisko čeku, paraksta to ar elektronisko parakstu un pārsūta saņēmējam. Lai nodrošinātu lielāku uzticamību un drošību, norēķinu konta numuru var šifrēt ar bankas publisko atslēgu.
2. Čeks tiek uzrādīts apmaksai maksājumu sistēmā. Tālāk (šeit vai bankā, kas apkalpo saņēmēju) notiek pārbaude Elektroniskais paraksts.
3. Ja tās autentiskums tiek apstiprināts, prece tiek piegādāta vai pakalpojums tiek sniegts. Nauda tiek pārskaitīta no maksātāja konta uz saņēmēja kontu.
Maksājumu shēmas vienkāršību (43. att.), diemžēl, kompensē tās ieviešanas grūtības, kas saistītas ar to, ka čeku shēmas vēl nav kļuvušas plaši izplatītas un nav sertifikācijas centru elektroniskā paraksta ieviešanai.
Elektroniskais ciparparaksts (EDS) izmanto publiskās atslēgas šifrēšanas sistēmu. Tādējādi tiek izveidota privātā atslēga parakstīšanai un publiskā atslēga verifikācijai. Privāto atslēgu glabā lietotājs, un publiskajai atslēgai var piekļūt ikviens. Ērtākais veids, kā izplatīt publiskās atslēgas, ir izmantot sertifikācijas iestādes. Tur tiek glabāti digitālie sertifikāti, kas satur publisko atslēgu un informāciju par īpašnieku. Tas atbrīvo lietotāju no pienākuma pašam izplatīt savu publisko atslēgu. Turklāt sertifikātu iestādes nodrošina autentifikāciju, lai nodrošinātu, ka neviens nevar ģenerēt atslēgas citas personas vārdā.
Elektroniskā nauda pilnībā simulē reālu naudu. Tajā pašā laikā izdevēja organizācija - emitents - izsniedz savus elektroniskos analogus, kas dažādās sistēmās tiek saukti atšķirīgi (piemēram, kuponi). Pēc tam tos iegādājas lietotāji, kuri tos izmanto, lai samaksātu par pirkumiem, un pēc tam pārdevējs tos izpērk no izdevēja. Izsniedzot, katra naudas vienība ir apliecināta ar elektronisko zīmogu, ko pirms dzēšanas pārbauda emitenta struktūra.
Viena no fiziskās naudas iezīmēm ir tās anonimitāte, proti, tajā nav norādīts, kas un kad to izmantojis. Dažas sistēmas pēc analoģijas ļauj pircējam saņemt elektronisko skaidru naudu tādā veidā, ka nav iespējams noteikt saistību starp viņu un naudu. Tas tiek darīts, izmantojot aklo parakstu shēmu.
Ir arī vērts atzīmēt, ka, lietojot elektroniskā nauda Autentifikācija nav nepieciešama, jo sistēmas pamatā ir naudas laišana apgrozībā pirms tās izmantošanas.
44. attēlā parādīta maksājumu shēma, izmantojot elektronisko naudu.
Maksājuma mehānisms ir šāds:
1. Pircējs iepriekš apmaina reālu naudu pret elektronisko naudu. Skaidras naudas glabāšanu pie klienta var veikt divos veidos, ko nosaka izmantotā sistēma:
Jūsu datora cietajā diskā;
Uz viedkartēm.
Dažādas sistēmas piedāvā dažādas apmaiņas shēmas. Daži atver īpašus kontus, uz kuriem tiek pārskaitīti līdzekļi no pircēja konta apmaiņā pret elektroniskajiem rēķiniem. Dažas bankas pašas var izsniegt elektronisko skaidru naudu. Tajā pašā laikā to izsniedz tikai pēc klienta pieprasījuma, kam seko tā pārskaitīšana uz šī klienta datoru vai karti un skaidras naudas ekvivalenta izņemšana no viņa konta. Ieviešot aklo parakstu, pircējs pats izveido elektroniskos rēķinus, nosūta tos uz banku, kur, reālai naudai ienākot kontā, tos apliecina ar zīmogu un nosūta atpakaļ klientam.
Līdzās šādas uzglabāšanas ērtībai tai ir arī trūkumi. Diska vai viedkartes bojājumu rezultātā tiek neatgriezeniski zaudēta elektroniskā nauda.
2. Pircējs pārskaita elektronisko naudu par pirkumu uz pārdevēja serveri.
3. Nauda tiek uzrādīta emitentam, kurš pārbauda tās autentiskumu.
4. Ja elektroniskie rēķini ir īsti, pārdevēja konts tiek palielināts par pirkuma summu, un preces tiek nosūtītas pircējam vai tiek sniegts pakalpojums.
Viena no svarīgām elektroniskās naudas atšķirīgām iezīmēm ir iespēja veikt mikromaksājumus. Tas saistīts ar to, ka banknošu nominālvērtība var neatbilst īstām monētām (piemēram, 37 kapeikas).
Elektronisko skaidru naudu var izsniegt gan bankas, gan nebanku organizācijas. Tomēr tas vēl nav izstrādāts viena sistēma dažādu veidu elektroniskās naudas konvertēšana. Tāpēc tikai paši emitenti var izpirkt savu emitēto elektronisko naudu. Turklāt šādas nefinanšu struktūru naudas izlietojumu valsts negarantē. Tomēr zemās darījumu izmaksas padara elektronisko skaidru naudu par pievilcīgu tiešsaistes maksājumu rīku.
Kredītsistēmas
Interneta kredītu sistēmas ir analogas tradicionālajām sistēmām, kas darbojas ar kredītkartēm. Atšķirība ir tāda, ka visi darījumi tiek veikti, izmantojot internetu, un rezultātā ir nepieciešami papildu drošības un autentifikācijas pasākumi.
Maksājumos internetā, izmantojot kredītkartes, ir iesaistīti:
1. Pircējs. Klients ar datoru ar tīmekļa pārlūkprogrammu un piekļuvi internetam.
2. Izdevējbanka. Pircēja bankas konts atrodas šeit. Izdevējbanka izsniedz kartes un ir klienta finansiālo saistību garants.
3. Pārdevēji. Pārdevēji tiek saprasti kā e-komercijas serveri, kur tiek uzturēti preču un pakalpojumu katalogi un pieņemti klientu pirkuma pasūtījumi.
4. Pieņēmējbankas. Bankas, kas apkalpo pārdevējus. Katram pārdevējam ir viena banka, kurā viņš glabā savu norēķinu kontu.
5. Interneta norēķinu sistēma. Elektroniskie komponenti, kas darbojas kā starpnieki starp citiem dalībniekiem.
6. Tradicionālā norēķinu sistēma. Finanšu un tehnoloģisko līdzekļu komplekts šāda veida karšu apkalpošanai. Viens no galvenajiem maksājumu sistēmas risināmajiem uzdevumiem ir karšu kā preču un pakalpojumu maksāšanas līdzekļa izmantošanas nodrošināšana, bankas pakalpojumu izmantošana, savstarpējo ieskaitu veikšana u.c. Maksājumu sistēmas dalībnieki ir fiziskas un juridiskas personas, kuras vieno kredītkaršu izmantošana.
7. Maksājumu sistēmu apstrādes centrs. Organizācija, kas nodrošina informāciju un tehnoloģisko mijiedarbību starp tradicionālās maksājumu sistēmas dalībniekiem.
8. Maksājumu sistēmas norēķinu banka. Kredītu organizācija, kas apstrādes centra vārdā veic savstarpējos norēķinus starp maksājumu sistēmas dalībniekiem.
Vispārējā maksājumu shēma šādā sistēmā ir parādīta 45. attēlā.
1. Pircējs elektroniskajā veikalā izveido preču grozu un izvēlas apmaksas veidu “kredītkarte”.
Ar veikala starpniecību, tas ir, kartes parametri tiek ievadīti tieši veikala vietnē, pēc tam tie tiek pārsūtīti uz interneta norēķinu sistēmu (2a);
Maksājumu sistēmas serverī (2b).
Otrā veida priekšrocības ir acīmredzamas. Tādā gadījumā informācija par kartēm veikalā nepaliek, un attiecīgi samazinās risks tās saņemt trešajām personām vai tikt maldinātam no pārdevēja puses. Abos gadījumos, pārsūtot kredītkartes datus, joprojām pastāv iespēja, ka tīklā tos pārtvers uzbrucēji. Lai to novērstu, pārsūtīšanas laikā dati tiek šifrēti.
Šifrēšana, protams, samazina datu pārtveršanas iespēju tīklā, tāpēc komunikācijas starp pircēju/pārdevēju, pārdevēju/interneta maksājumu sistēmu, pircēju/interneta maksājumu sistēmu ieteicams veikt, izmantojot drošus protokolus. Mūsdienās visizplatītākie ir SSL (Secure Sockets Layer) protokols, kā arī SET (Secure Electronic Transaction) standarts, kas paredzēts, lai ar laiku aizstātu SSL, apstrādājot darījumus, kas saistīti ar maksājumiem par kredītkaršu pirkumiem internetā.
3. Interneta maksājumu sistēma nosūta autorizācijas pieprasījumu uz tradicionālo maksājumu sistēmu.
4. Nākamā darbība ir atkarīga no tā, vai izdevējbanka uztur tiešsaistes kontu datubāzi. Ja ir datu bāze, apstrādes centrs nosūta izdevējbankai pieprasījumu par kartes autorizāciju (skatīt ievadu vai vārdnīcu) (4a) un pēc tam (4b) saņem tā rezultātu. Ja šādas datu bāzes nav, tad apstrādes centrs pats uzglabā informāciju par karšu īpašnieku kontu stāvokli, stopsarakstus un izpilda autorizācijas pieprasījumus. Šo informāciju regulāri atjaunina izdevējbankas.
Veikals sniedz pakalpojumu vai piegādā preces (8a);
Apstrādes centrs nosūta informāciju par pabeigto darījumu norēķinu bankai (8b). Nauda no pircēja konta izdevējbankā tiek pārskaitīta caur norēķinu banku uz veikala kontu pieņēmējbankā.
Lai veiktu šādus maksājumus, vairumā gadījumu jums ir nepieciešams īpašs programmatūra. To var piegādāt pircējam (saukts par elektronisko maku), pārdevējam un viņa apkalpojošajai bankai.
Ievads
1. Elektroniskās norēķinu sistēmas un to klasifikācija
1.1. Pamatjēdzieni
1.2. Elektronisko maksājumu sistēmu klasifikācija
1.3. Galveno Krievijā izmantoto elektronisko maksājumu sistēmu analīze
2. Elektronisko norēķinu sistēmu drošības pasākumi
2.1. Draudi, kas saistīti ar elektronisko maksājumu sistēmu izmantošanu
2.2. Tehnoloģijas elektronisko maksājumu sistēmu aizsardzībai
2.3. Atbilstības tehnoloģiju analīze pamatprasības elektronisko maksājumu sistēmām
Secinājums
Bibliogrāfija
IEVADS
Augsti specializēta elektronisko maksājumu un elektroniskās naudas tēma, kas pirms 10 gadiem maz interesēja cilvēkus, pēdējā laikā ir kļuvusi aktuāla ne tikai uzņēmējiem, bet arī gala lietotājiem. Droši vien katrs otrais, kurš kaut reizēm lasa datoru vai populāro presi, zina modīgos vārdus “e-bizness” un “e-komercija”. Attālinātās norēķināšanās uzdevums (naudas pārskaitīšana lielos attālumos) no īpašās kategorijas ir pārcēlies uz ikdienu. Tomēr informācijas pārpilnība par šo jautājumu nemaz neveicina skaidrību pilsoņu prātos. Gan elektronisko maksājumu problēmas sarežģītības un konceptuālas attīstības trūkuma dēļ, gan tāpēc, ka daudzi popularizētāji nereti strādā pēc saplīsuša telefona principa, ikdienas līmenī viss, protams, ir skaidrs visiem. Bet tas ir līdz brīdim, kad pienāks laiks elektronisko maksājumu praktiskai attīstībai. Šeit trūkst izpratnes par to, cik lietderīga ir elektronisko maksājumu izmantošana atsevišķos gadījumos.
Tikmēr elektronisko maksājumu pieņemšanas uzdevums kļūst arvien aktuālāks tiem, kuri gatavojas nodarboties ar tirdzniecību, izmantojot internetu, kā arī tiem, kuri gatavojas veikt pirkumus ar interneta starpniecību. Šis raksts ir paredzēts abiem.
Galvenā problēma, apsverot elektroniskās norēķinu sistēmas iesācējam, ir to dizaina un darbības principu daudzveidība un tas, ka, neskatoties uz realizācijas ārējo līdzību, to dzīlēs var slēpties visai atšķirīgi tehnoloģiskie un finanšu mehānismi.
Straujā globālā interneta popularitātes attīstība ir devusi spēcīgu impulsu jaunu pieeju un risinājumu attīstībai dažādās pasaules ekonomikas jomās. Pat tādas konservatīvas sistēmas kā elektronisko norēķinu sistēmas bankās ir pakļāvušās jaunām tendencēm. Tas atspoguļojās jaunu maksājumu sistēmu - elektronisko norēķinu sistēmu ar interneta starpniecību rašanās un attīstība, kuru galvenā priekšrocība ir tā, ka klienti var veikt maksājumus (finanšu darījumus), apejot nogurdinošo un dažkārt tehniski sarežģīto maksājuma uzdevuma fiziskas transportēšanas posmu. uz banku. Arī bankas un banku iestādes ir ieinteresētas šo sistēmu ieviešanā, jo tās var palielināt klientu apkalpošanas ātrumu un samazināt maksājumu veikšanas pieskaitāmās izmaksas.
Elektronisko maksājumu sistēmās tiek izplatīta informācija, tostarp konfidenciāla informācija, kurai nepieciešama aizsardzība pret nepatiesas informācijas skatīšanu, pārveidošanu un uzspiešanu. Atbilstošu uz internetu orientētu drošības tehnoloģiju izstrāde pašlaik ir liels izaicinājums. Iemesls tam ir arhitektūra, galvenie resursi un tehnoloģijas Interneta tīkli koncentrējas uz piekļuves vai savākšanas organizēšanu atvērta informācija. Tomēr pēdējā laikā ir parādījušās pieejas un risinājumi, kas norāda uz iespēju izmantot standarta interneta tehnoloģijas ēku sistēmās drošai informācijas pārraidei caur internetu.
RGR mērķis ir analizēt elektronisko norēķinu sistēmas un izstrādāt ieteikumus katras no tām lietošanai. Pamatojoties uz mērķi, tiek formulēti šādi RGR izpildes posmi:
1. Noteikt elektronisko norēķinu sistēmu galvenos uzdevumus un to darbības principus, īpašības.
2. Analizēt galvenās elektronisko norēķinu sistēmas.
3. Analizēt ar elektroniskās naudas lietošanu saistītos draudus.
4. Analizēt drošības pasākumus, izmantojot elektroniskās norēķinu sistēmas.
1. ELEKTRONISKĀS MAKSĀJUMU SISTĒMAS UN TO KLASIFIKĀCIJA
1.1. Pamatjēdzieni
Elektroniskie maksājumi. Sāksim ar to, ka ir leģitīmi runāt par elektronisko maksājumu kā bezskaidras naudas norēķinu veida rašanos divdesmitā gadsimta otrajā pusē. Citiem vārdiem sakot, informācijas pārsūtīšana par maksājumiem ar vadu pastāv jau ilgu laiku, bet ieguva principiāli jaunu kvalitāti, kad abos vadu galos parādījās datori. Informācija tika pārraidīta, izmantojot teleksu, teletaipu un datortīklus, kas parādījās tajā laikā. Kvalitatīvi jauns lēciens izpaudās faktā, ka ir būtiski pieaudzis maksājumu ātrums un kļuvusi pieejama to automātiskās apstrādes iespēja.
Pēc tam parādījās arī citu maksājumu veidu elektroniskie ekvivalenti - skaidras naudas maksājumi un citi maksāšanas līdzekļi (piemēram, čeki).
Elektroniskās maksājumu sistēmas (EPS). Par elektronisko norēķinu sistēmu mēs saucam jebkuru konkrētas aparatūras kompleksu un programmatūra, kas ļauj veikt elektroniskus maksājumus.
Pastāv dažādi veidi un saziņas kanāli piekļuvei EPS. Mūsdienās visizplatītākais no šiem kanāliem ir internets. Palielinās EPS izplatība, kurai pieeja tiek veikta, izmantojot Mobilais telefons(izmantojot SMS, WAP un citus protokolus). Citas metodes ir mazāk izplatītas: ar modemu, ar skārienjutīgu tālruni, pa tālruni caur operatoru.
Elektroniskā nauda. Neskaidrs termins. Rūpīgi apsverot, kas aiz tā slēpjas, ir viegli saprast, ka elektroniskā nauda ir nepareizs nosaukums “elektroniskajai naudai”, kā arī elektronisko maksājumu sistēmām kā tādām.
Šis terminoloģijas pārpratums ir saistīts ar terminu tulkošanas brīvību no angļu valodas. Tā kā elektroniskie maksājumi Krievijā attīstījās daudz lēnāk nekā Eiropā un Amerikā, mēs bijām spiesti izmantot stingri noteiktus noteikumus. Protams, tādiem elektroniskās skaidras naudas nosaukumiem kā “digitālā nauda” (e-skaidra nauda), “digitālā nauda”, “elektroniskā nauda” (digitālā nauda)2 ir tiesības uz dzīvību.
Kopumā jēdziens “elektroniskā nauda” nenozīmē neko konkrētu, tāpēc turpmāk centīsimies izvairīties no tās lietošanas.
Elektroniskā nauda:
Šī ir tehnoloģija, kas parādījās pagājušā gadsimta 90. gados, kas ļauj veikt elektroniskus maksājumus, kas nav tieši saistīti ar naudas pārskaitījumu no konta uz kontu bankā vai citā finanšu organizācijā, tas ir, tieši starp personām - gala dalībniekiem. maksājumā. Vēl viena svarīga elektroniskās skaidras naudas īpašība ir tās nodrošināto maksājumu anonimitāte. Autorizācijas centram, kas apliecina maksājumu, nav informācijas par to, kurš un kam konkrēti pārskaitījis naudu.
Elektroniskā skaidrā nauda ir viens no elektronisko maksājumu veidiem. Elektroniskās skaidras naudas vienība ir nekas cits kā emitenta (bankas vai citas finanšu iestādes) finansiālas saistības, kas pēc būtības ir līdzīgas parastajam vekselim. Maksājumi, izmantojot elektronisko skaidru naudu, parādās tur, kur kļūst neērti izmantot citas maksājumu sistēmas. Spilgts piemērs ir pircēja nevēlēšanās sniegt informāciju par savu kredītkarti, norēķinoties par precēm internetā.
Pieņemot lēmumu par terminoloģiju, mēs varam pāriet uz nākamo mūsu sarunas posmu - parunāsim par EPS klasifikāciju. Tā kā EPS ir starpnieks elektroniskajos maksājumos, tad EPS sadalījums ir balstīts uz dažādiem šo maksājumu veidiem.
Turklāt šajā jautājumā ļoti liela nozīme ir programmatūrai un/vai aparatūras tehnoloģijai, uz kuras balstās EPS mehānisms.
1.2. Elektronisko maksājumu sistēmu klasifikācija
Elektronisko maksājumu sistēmas var klasificēt gan pēc elektronisko maksājumu specifikas, gan pēc elektronisko maksājumu sistēmas pamatā esošās specifiskās tehnoloģijas.
EPS klasifikācija atkarībā no elektronisko maksājumu veida:
1. Pēc maksājumu dalībnieku sastāva (1. tabula).
1. tabula
| Elektronisko maksājumu veids | Maksājuma puses | Analogs tradicionālajā skaidras naudas norēķinu sistēmā | EPS piemērs |
| Maksājumi no bankas uz banku | Finanšu institūcijas | nav analogu | |
| B2B maksājumi | Juridiskas personas | Bezskaidras naudas maksājumi starp organizācijām | |
| С2B maksājumi | Preču un pakalpojumu gala patērētāji un juridiskās personas - pārdevēji | Skaidras un bezskaidras naudas maksājumi no pircējiem pārdevējiem | Kredīta pilots |
| C2C maksājumi | Privātpersonas | Tiešie skaidras naudas maksājumi starp privātpersonām, pasta un telegrāfa pārskaitījumi |
Mēs turpmāk neaplūkosim tās elektronisko maksājumu sistēmas, kas paredzētas “banka-banka” tipa elektronisko maksājumu apkalpošanai. Šādas sistēmas ir ārkārtīgi sarežģītas, tās lielākā mērā ietekmē banku sistēmas funkcionēšanas tehnoloģiskos aspektus un, visticamāk, neinteresē plašas mūsu lasītāju masas.
Papildus jāatzīmē, ka ir vēl viens maksājuma veids, kas loģiski ne visai iekļaujas 1. tabulā. Pēc formāliem kritērijiem tas pilnībā ietilpst C2B zonā, bet tomēr nevar tikt nodrošināts ar plaši izplatīto šāda veida EPS. Mikromaksājumus raksturo ārkārtīgi mazas (centi vai centa daļas) preču izmaksas. Raksturīgākais no visiem populāri raksti Piemērs sistēmai, kas ievieš mikromaksājumus, ir joku pārdošana (par centu gabalā). Tādas sistēmas kā Eaccess un Phonepay ir piemērotas mikromaksājumu veikšanai.
2. Pēc veikto operāciju veida (2. tabula).
2. tabula
| Elektronisko maksājumu veids | Kur tās izmanto? | EPS piemērs |
| Bankas konta pārvaldīšanas operācijas | "Klientu bankas" sistēmas ar pieeju caur modemu, internetu, mobilo telefonu u.c. | Operācijas Klientu sistēmas bankas konta pārvaldīšanai |
| Naudas pārskaitījuma operācijas, neatverot bankas kontu | Naudas pārskaitījumu sistēmas datortīkli, līdzīgi pasta un telegrāfa pārvedumiem | |
| Darījumi ar karšu bankas kontiem | Debetkartes un kredītkartes | Cyberplat (Cyberpos) |
| Darījumi ar elektroniskajiem čekiem un citas bezskaidras naudas maksājumu saistības | Slēgtas korporatīvo maksājumu sistēmas | Cyberplat (Cybercheck) |
| Darījumi ar elektronisko (kvazi) skaidru naudu | Aprēķini ar fizisko personas, žetonu elektroniskie analogi un priekšapmaksas kartes, ko izmanto kā naudas surogātus preču apmaksai |
Jāpiebilst, ka “klients – banka” tipa sistēmas ir zināmas jau diezgan sen. Jūs varat piekļūt savam bankas kontam, izmantojot modemu. Pēdējo desmit gadu laikā ir parādījušās jaunas iespējas pārvaldīt savu kontu, izmantojot internetu, izmantojot lietotājam draudzīgu tīmekļa saskarni. Šis pakalpojums saucās “Internetbanka” un neko principiāli jaunu “klients-bankas” maksājumu sistēmās neieviesa. Turklāt ir arī citas iespējas piekļūt bankas kontam, piemēram, izmantojot mobilo tālruni (WAP banka, SMS banka). Šajā rakstā mēs īpaši nepiekavēsimies pie šāda veida EPS, tikai atzīmēsim, ka šobrīd Krievijā aptuveni 100 komercbankas sniedz internetbankas pakalpojumus, izmantojot vairāk nekā 10 dažādus EPS.
EPS klasifikācija atkarībā no izmantotās tehnoloģijas:
Viena no svarīgākajām EPS īpašībām ir tā izturība pret ielaušanos. Tas, iespējams, ir visvairāk apspriestais šādu sistēmu raksturlielums. Kā redzams no 3. tabulas, risinot sistēmas drošības problēmu, lielākā daļa pieeju elektroniskās drošības sistēmas izveidei balstās uz noteiktas centrālās datu bāzes, kurā ir kritiska informācija, slepenību. Tajā pašā laikā daži no tiem to papildina slepenā bāzeŠie papildu aizsardzības līmeņi ir balstīti uz aparatūras izturību.
Principā ir arī citas tehnoloģijas, uz kuru pamata var būvēt EPS. Piemēram, pirms neilga laika medijos izskanēja ziņa par EPS izstrādi, kuras pamatā ir plastikāta kartē iebūvēti CDR diski. Tomēr līdzīgas sistēmas netiek plaši izmantoti pasaules praksē, un tāpēc mēs uz tiem nekoncentrēsimies.
3. tabula
| Tehnoloģija | Uz ko balstās sistēmas stabilitāte? | EPS piemērs |
| Sistēmas ar centrālo serveru klientu banku, līdzekļu pārskaitījumu | Piekļuves atslēgu noslēpums | Telebanka (Gūtas banka), "Interneta pakalpojumu banka" (Avtobank) |
| Viedkartes | Viedkaršu aparatūras izturība pret uzlaušanu | Mondex, ACCORD |
| Magnētiskās kartes un virtuālās kredītkartes | Palīdziet, Elite |
|
| Momentloterijas | Datu bāzes slepenība ar momentloterijas kartīšu numuriem un kodiem | E-ports, Creditpilot, Webmoney, Paycash, Rapira |
| Fails/maciņš programmas veidā lietotāja datorā | Informācijas apmaiņas protokola kriptogrāfiskais stiprums | |
| Apmaksāts telefona zvans | Centrālās datu bāzes slepenība ar PIN kodiem un viedtālruņu tīkla aparatūras stabilitāte | Piekļuve, Phonepay |
1.3. Galveno Krievijā izmantoto elektronisko maksājumu sistēmu analīze
Pašlaik Krievijas internetā tiek izmantots diezgan daudz elektronisko norēķinu sistēmu, lai gan ne visas tiek plaši izmantotas. Raksturīgi, ka gandrīz visas RuNet izmantotās Rietumu maksājumu sistēmas ir saistītas ar kredītkartēm. Daži no tiem, piemēram, PayPal, oficiāli atsakās strādāt ar klientiem no Krievijas. Mūsdienās visplašāk izmantotās sistēmas ir:
CyberPlat attiecas uz jaukta tipa sistēmām (no jebkuras iepriekšminētās klasifikācijas viedokļa). Faktiski var teikt, ka šīs sistēmas ietvaros zem viena jumta ir apkopoti trīs atsevišķi: klasiskā sistēma “klients-banka”, kas ļauj klientiem pārvaldīt kontus, kas atvērti sistēmā iesaistītajās bankās (11 Krievijas un 1 Latvijas bankas) ; CyberCheck sistēma, kas ļauj veikt drošus maksājumus starp sistēmai pieslēgtām juridiskām personām; un interneta iegūšanas sistēma, tas ir, no kredītkartēm pieņemto maksājumu apstrāde - CyberPos. No visām Krievijas tirgū pieejamajām interneta pieņemšanas sistēmām CyberPlat nodrošina lielāko kredītkaršu veidu apstrādi, proti: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; tā ir paziņojusi par nenovēršamu pievienošanos STB karšu sistēma un ACCORD karte/Bashcard. Neoficiāli uzņēmuma darbinieki apgalvoja, ka pēta iespēju saskarties ar citām Krievijas karšu sistēmām. Papildus iepriekšminētajam uzņēmums CyberPlat nodrošina E-port maksājumu sistēmas momentloterijas karšu apstrādi un paziņoja par gaidāmo vārtejas ar Paycash sistēmu nodošanu ekspluatācijā.
Šobrīd, lai paaugstinātu aizsardzības līmeni pret maksājumiem no zagtām kredītkartēm, uzņēmums izstrādā specializētu PalPay tehnoloģiju, kas ļauj pārdevējam pārbaudīt, vai pircējam tiešām ir pieejams ar kredītkarti saistītais bankas konts vai arī zina tikai tā rekvizītus. Par šīs tehnoloģijas ieviešanu ekspluatācijā vēl nav oficiāli paziņots.
CyberCheck sistēma ir ļoti interesanta darba organizēšanai ar korporatīvajiem partneriem. Tā galvenā iezīme (salīdzinājumā ar maksājumu pieņemšanu ar kredītkartēm) ir neiespējamība maksātājam pēc tam atteikties veikt maksājumu. Citiem vārdiem sakot, maksājuma apstiprinājuma saņemšana no CyberCheck ir tikpat uzticama kā šāda apstiprinājuma saņemšana no bankas, kurā atrodas tirgotāja konts. Visas šīs īpašības padara CyberPlat par vismodernāko un interesantāko EPS pārdevējiem Krievijas internetā.
Sistēma Assist attiecībā uz maksājumu apstrādi no kredītkartēm daudzējādā ziņā ir funkcionāls CyberPlat analogs. Maskavā tās intereses pārstāv Alfa Bank. Pavisam sistēmai ir pieslēgtas 5 bankas. Interneta pieņemšanas apakšsistēma ļauj pieņemt maksājumus no Visa, Mastercard/Eurocard, STB-kartēm. No septembra Assist sistēmas serverī deklarētie maksājumi no citām karšu sistēmām faktiski netika pieņemti. Taču, pēc neoficiālas informācijas, tuvākajā laikā būs iespējams pieņemt Diners Club kartes, Cirrus Maestro un Visa Electron debetkartes. Interesanti, ka šādu karšu veidu pieņemšanas uzņēmumi parasti nepieņem, taču zemo izmaksu dēļ šīs kartes ir ļoti izplatītas. Parasti atteikšanos pieņemt debetkartes motivē drošības apsvērumi. Iespējams, ASSIST varēs apiet šo problēmu, izmantojot SET protokolu, par kura atbalstu uzņēmums paziņoja tikai otro dienu. Atšķirībā no tradicionālās norēķināšanās metodes ar plastikāta kartēm internetā, kas ļauj kartes īpašniekam atteikties no no tās veiktā maksājuma (charge-back), SET protokols garantē darījuma autentiskumu, būtiski samazinot risku pārdevējam.
Assist mājaslapā izziņotā norēķinu metode, izmantojot elektroniskos sertifikātus, kas iegādāti no interneta pakalpojumu sniedzēja, ir diezgan interesanta, jo paver pakalpojumu sniedzējiem jaunus darbības virzienus, taču, pēc pieejamās informācijas, juridisku grūtību dēļ vēl nesen tā nebija. faktiski izmanto ikviens. Taču atkal pēc neoficiālas informācijas, šis stāvoklis drīzumā mainīsies - jau 2001.gada rudenī mēs varētu piedzīvot pirmo šīs aprēķina metodes praktisko ieviešanu.
Papildus aprakstos minētajām CyberPlat un Assist karšu sistēmām ir arī citas, kas guvušas zināmu popularitāti tirgū. Discover/NOVUS ir plaši izplatīts Ziemeļamerikā un var interesēt tos elektroniskos veikalus, kas apkalpo Rietumu auditoriju. Mums nav zināmi iekšzemes pieņēmēji, kas veiktu šīs sistēmas karšu apstrādi, taču ir vairāki priekšlikumi no starpniekiem, kas pārstāv Rietumu pieņēmēju intereses. No Krievijas karšu sistēmām pēc STB un Union Card tirgū pamanāmākās ir Zolotaya Korona, Sbercard (Sberbank), Universal Card un ICB-card (Promstroybank), kā arī jau pieminētā ACCORD karte/Bashcard . "ICB-karti" apstrādā pāris mazas pieņēmējsabiedrības, maksājumu pieņemšanu internetā no Zolotaya Korona un Sbercard kartēm it kā nodrošina tieši izsniedzēji un/vai saistītie uzņēmumi, un Universālās kartes gadījumā to dara. šķiet, ka neviens to nenodrošina.
Paycash un Webmoney to izstrādātāji pozicionē kā elektroniskās kases sistēmas, taču, rūpīgāk pārbaudot, tikai Paycash var likumīgi pieprasīt šādu statusu.
Paycash izstrādi aizsāka banka Tavrichesky, bet šobrīd sistēmai ir pieslēgtas citas bankas, piemēram, Guta Bank.
No tehnoloģiskā viedokļa Paycash nodrošina gandrīz pilnīgu skaidras naudas maksājumu imitāciju. No viena elektroniskā maka (specializēta programma, ko klients uzstādījis savā datorā) naudu var pārskaitīt uz citu, vienlaikus nodrošinot maksājuma anonimitāti attiecībā pret banku. Sistēma ir kļuvusi diezgan plaši izplatīta Krievijā un šobrīd veic mēģinājumus iekļūt pasaules tirgū.
Paycash vājā vieta ir procedūra naudas pārskaitīšanai uz elektronisko maku. Vēl nesen vienīgais ceļš lai to izdarītu, bija jāiet uz bankas filiāli un jāpārskaita nauda sistēmas kontā. Tiesa, bija arī alternatīvas - Guta Bank Telebank sistēmas lietotājiem bija iespēja pārskaitīt naudu no konta Gūtā bankā, neizejot no mājām, taču atsevišķos gadījumos, acīmredzot, bija vieglāk tos pārskaitīt tieši uz pārdevēja kontu - elektroniskais veikals, neizmantojot Paycash kā starpnieku. Bija iespējams arī pārskaitīt naudu ar Western Union vai pasta/pārskaitījumu, taču šī maršruta pievilcību ierobežoja augstās maksas. Sanktpēterburgas iedzīvotājiem ir ļoti eksotiska iespēja - izsaukt kurjeru uz mājām par naudu. Brīnišķīgi, bet diemžēl ne visi dzīvojam Ziemeļu galvaspilsētā.
Joprojām nav iespējams pārskaitīt naudu uz Paycash no kredītkartēm. Tas ir saistīts ar to, ka uzņēmumi, kas atbalsta karšu sistēmu darbību, saviem klientiem nodrošina tā saukto “charge back” – atteikšanos veikt maksājumu “retrospektīvi” – iespēju. "Charge back" ir mehānisms, kas aizsargā kredītkartes īpašnieku no krāpniekiem, kuri var izmantot tās datus. Šāda atteikuma gadījumā pierādīšanas pienākums gulstas uz pārdevēju, ka preces patiešām ir piegādātas patiesajam kartes īpašniekam un ka maksājums ir jāveic. Bet Paycash gadījumā šāds pierādījums būtībā nav iespējams - diezgan acīmredzamu iemeslu dēļ. Šīs problēmas risināšanai paredzēts arī iepriekš minētais vārtejas ar CyberPlat, kas ir izstrādes stadijā.
Pa to laiku, lai to izsaiņotu sašaurinājums sistēmā PayCash veica divas diezgan saprātīgas kustības - izsniedza priekšapmaksas momentloterijas un nodrošināja maksājumu pieņemšanu, izmantojot Contact transfer sistēmu, kuras tarifi ir ievērojami zemāki nekā pasta tarifi (2,2% pret 8%).
Webmoney sistēma ir viena no "pionierēm" elektronisko maksājumu tirgū Krievijā. Pašlaik tai ir starptautisks raksturs. Saskaņā ar atsevišķu informāciju Webmoney ir pārstāvji ne tikai bijušās PSRS republikās, bet arī ārvalstīs. Sistēmas operators ir autonomā bezpeļņas organizācija "VM centrs".
Webmoney darbības režīms ir ļoti līdzīgs darbam ar elektronisko skaidru naudu, tikai rūpīga un rūpīga analīze ļauj pārliecināties, ka patiesībā Webmoney nenodrošina pilnīgu maksājumu anonimitāti, tas ir, tie nav slēpti no naudas īpašniekiem. sistēma paši. Tomēr Webmoney prakse ir parādījusi, ka šis īpašums ir diezgan izdevīgs, atsevišķos gadījumos ļaujot apkarot krāpšanu. Turklāt kā atsevišķu maksas pakalpojumu VM centrs piedāvā juridisko un fizisko personu sertifikāciju, kas viņam dabiski atņem anonimitāti attiecībā pret citiem sistēmas dalībniekiem. Šī iespēja galvenokārt ir nepieciešama tiem, kas vēlas organizēt godīgu elektronisko veikalu un vēlas pārliecināt potenciālos pircējus par savu uzticamību. Webmoney ļauj atvērt kontus un pārskaitīt līdzekļus divās valūtās: rubļos un dolāros.
Lai piekļūtu sistēmai, tiek izmantota programma “elektroniskais maciņš”. Sistēmas papildu iespējas ir īsziņu pārsūtīšana no maka uz maku, kā arī kredīta darījumi starp maka īpašniekiem. Taču, mūsuprāt, reti kurš piekritīs kreditēt anonīmus cilvēkus ar interneta starpniecību bez iespējas piespiedu kārtā piedzīt kredītu neatmaksāšanas gadījumā.
Atšķirībā no Paycash, Webmoney sākotnēji nodrošināja iespēju gan pārskaitīt parasto skaidru naudu makā, gan izņemt maciņu saturu bez nogurdinošām maksājuma uzdevumu aizpildīšanas procedūrām bankā, taču no juridiskā viedokļa diezgan dīvainā veidā. . Kopumā Webmoney juridiskais atbalsts darbā ar organizācijām jau sen ir izraisījis daudzas sūdzības.
Tas bija iemesls, ka, kamēr galalietotāji aktīvi uzstādīja sev “makus”, daudzi elektroniskie veikali atteicās izmantot šo EPS. Tiesa, šobrīd šī situācija ir nedaudz uzlabojusies, un Webmoney īpašnieku aktīvā mārketinga pozīcija noved pie tā, ka sistēmas tēls nepārtraukti uzlabojas. Viens no interesantas funkcijasŠī mārketinga stratēģija bija tāda, ka gandrīz uzreiz pēc ienākšanas tirgū ikvienam tika dota iespēja pelnīt naudu šajā sistēmā (daži varbūt atceras projektu “Nails” un tā vēlāko attīstību - visiting.ru). Tāpat kā Paycash, Webmoney izdod priekšapmaksas momentloterijas kartes, kas paredzētas naudas iemaksai sistēmā.
Divas sistēmas, kuru pamatā ir momentloterijas: E-port (Avtokard-holding) un KreditPilot (Kreditpilot.com), ir kā dvīņu brāļi. Abi pieņem, ka pircējs vispirms nopirks momentloterijas kartīti ar slepeno kodu kaut kur plašā izplatīšanas tīklā vai pasūtot ar kurjeru uz mājām, un pēc tam sāks norēķināties tiešsaistē, izmantojot šo kodu, veikalos, kas pieņem maksājumus no šīm sistēmām. E-port papildus piedāvā iespēju izveidot “virtuālās” momentloterijas, pārskaitot naudu uz uzņēmuma kontu caur banku vai caur “Webmoney” sistēmu.
Rapida sistēma, kas sāka darboties 2001. gada septembrī, tāpat kā iepriekšējās divas, piedāvā iemaksāt naudu lietotāja kontā, izmantojot momentloterijas kartītes vai maksājumu sistēmā iesaistītajā bankā. Papildus ir norādīta iespēja strādāt režīmā “Klients-Banka” un pārskaitīt naudu uz juridisko personu kontiem, kas nav sistēmas dalībnieki, kā arī fiziskām personām, neatverot bankas kontu. Piekļuve sistēmai tiek nodrošināta ne tikai caur internetu, bet arī telefoniski, izmantojot tonālo zvanu. Kopumā sistēma izskatās tehnoloģiski attīstīta un ļoti interesanta, taču līdz šim nav pagājis pietiekami daudz laika kopš tās palaišanas ekspluatācijā, lai varētu runāt par perspektīvām.
EPS, kas ļauj veikt maksājumu tāpat kā par tālsarunu (pēc fakta, pamatojoties uz telefona kompānijas rēķinu), pirmo reizi parādījās Amerikas Savienotajās Valstīs un bija paredzētas, lai samaksātu par piekļuvi pornogrāfiskiem resursiem. Tomēr daudzu šādu sistēmu īpašnieku sistemātiskās krāpnieciskās darbības dēļ tās neieguva popularitāti pircēju vidū, un pārdevēji ar tām nebija īpaši apmierināti, jo šīm sistēmām bija tendence ievērojami aizkavēt maksājumus.
Divas līdzīgas koncepcijas iekšzemes ieviešanas — Phonepay un Eaccess — ir sava ceļojuma pašā sākumā. Abās sistēmās tiek pieņemts, ka, lai veiktu maksājumu, klientam ir jāveic zvans uz noteiktu tālsatiksmes numuru ar kodu 8-809 (kuru acīmredzot nodrošina uzņēmums MTU-inform), pēc kura tiks sniegta galvenā informācija. Eaccess gadījumā tas ir PIN kods, ko izmanto, lai piekļūtu maksas informācijas resursam, savukārt Phonepay gadījumā tā ir universāla “digitālā monēta”, kas sastāv no 12 cipariem no viena no pieciem sistēmā iekodēti nomināli.Aplūkojot sistēmu mājaslapas, var atzīmēt, ka e-piekļuve vēl pamazām attīstās, palielinot sistēmai pieslēgto veikalu skaitu, bet Phonepay nav pieslēdzis nevienu veikalu, kas nepieder izstrādātājiem tās sistēmai.
Manuprāt, šādām sistēmām Krievijā ir ļoti noteiktas izredzes, kas saistītas ar gala lietotāja vieglu piekļuvi tām, tomēr to pielietojuma joma aprobežosies ar pārdošanu. informācijas resursi. Ilgā maksājumu saņemšanas kavēšanās (sistēma tos pārskaitīs uz veikalu ne ātrāk, kamēr pircējs apmaksā telefona rēķinu) padara materiālo vērtību tirdzniecību, izmantojot šos EPS, par diezgan nerentablu darbību.
Visbeidzot, jāmin vēl viens elektronisko pārsūtīšanas sistēmu veids - specializētas pārskaitījumu sistēmas starp privātpersonām, kas konkurē ar tradicionālajiem pasta un telegrāfa pārvedumiem. Pirmās, kas ieņēma šo nišu, bija tādas ārvalstu sistēmas kā Western Union un Money Gram. Salīdzinot ar tradicionālajiem pārskaitījumiem, tie nodrošina lielāku maksājumu ātrumu un uzticamību. Tajā pašā laikā tiem ir vairāki būtiski trūkumi, no kuriem galvenais ir viņu pakalpojumu augstās izmaksas, kas sasniedz pat 10% no pārskaitījuma summas. Vēl viena problēma ir tā, ka šīs sistēmas nevar legāli izmantot, lai sistemātiski pieņemtu maksājumus par precēm. Tomēr tiem, kas vienkārši vēlas nosūtīt naudu ģimenei un draugiem, ir lietderīgi pievērst uzmanību šīm sistēmām, kā arī viņu vietējie analogi(Aneliks un Kontakts). Pagaidām ne Paycash, ne Webmoney ar tiem nespēj konkurēt, jo nav iespējams saņemt skaidru naudu, izvelkot to no elektroniskā maka kaut kur Austrālijā vai Vācijā. Rapida EPS apgalvo, ka šāda iespēja ir, taču pagaidām mājaslapā nav informācijas, un sistēmas biroju ģeogrāfiju nevar salīdzināt ar tirgū jau pieejamām sistēmām.
Acīmredzot elektronisko veikalu īpašniekiem vispirms būtu jādomā par naudas pieņemšanu no kredītkartēm un elektroniskajām kases sistēmām - Webmoney un Paycash. Pamatojoties uz patērētāju īpašību kopumu, mūsuprāt, neviena no Krievijas tirgū pieejamajām sistēmām maksājumu pieņemšanai no kredītkartēm nevar konkurēt ar CyberPlat. Visas pārējās sistēmas tiek izmantotas pēc izvēles, it īpaši, ja atceraties, ka tas pats E-ports nav jāinstalē atsevišķi, jo tā kartes apkalpo CyberPlat.
2. ELEKTRONISKO MAKSĀJUMU SISTĒMU AIZSARDZĪBAS LĪDZEKĻI
2.1. Draudi, kas saistīti ar elektronisko maksājumu sistēmu izmantošanu
Apsvērsim iespējamie draudi uzbrucēja destruktīvas darbības saistībā ar šo sistēmu. Lai to izdarītu, apskatīsim galvenos uzbrucēja uzbrukuma mērķus. Galvenais uzbrucēja mērķis ir finanšu aktīvi, pareizāk sakot, to elektroniskie aizstājēji (surogāti) – maksājumu sistēmā cirkulējošie maksājuma uzdevumi. Saistībā ar šiem rīkiem uzbrucējs var sasniegt šādus mērķus:
1. Finanšu aktīvu zādzība.
2. Viltotu finanšu aktīvu ieviešana (sistēmas finansiālā līdzsvara pārkāpšana).
3. Sistēmas darbības traucējumi ( tehnisks apdraudējums).
Norādītie uzbrukuma objekti un mērķi pēc būtības ir abstrakti un neļauj analizēt un izstrādāt nepieciešamos pasākumus informācijas aizsardzībai, tāpēc 4.tabulā ir sniegta uzbrucēja postošās iedarbības objektu un mērķu specifikācija.
4. tabula Uzbrucēja iespējamo destruktīvo darbību modelis
| Ietekmes objekts | Ietekmes mērķis | Iespējamie ietekmes īstenošanas mehānismi. |
| HTML lapas bankas tīmekļa serverī | Aizstāšana, lai iegūtu informāciju, ko klients ir ievadījis maksājuma uzdevumā. | Uzbrukums serverim un lapu aizstāšana serverī. Lapu aizstāšana trafikā. Uzbrukums klienta datoram un klienta lapu aizstāšana |
| Klientu informācijas lapas serverī | Informācijas iegūšana par klienta(-u) maksājumiem | Uzbrukums serverim. Satiksmes uzbrukums. Uzbrukums klienta datoram. |
| Maksājuma uzdevuma dati, kurus klients ievadījis veidlapā | Klienta maksājuma uzdevumā ievadītās informācijas saņemšana. | Uzbrukums klienta datoram (vīrusi utt.). Uzbrukums šīm instrukcijām, kad tās tiek nosūtītas caur satiksmi. Uzbrukums serverim. |
| Privāta klienta informācija, kas atrodas klienta datorā un nav saistīta ar elektronisko norēķinu sistēmu | Konfidenciālas klienta informācijas iegūšana. Klienta informācijas modificēšana. Klienta datora atspējošana. | Viss komplekss zināmi uzbrukumi uz datoru, kas savienots ar internetu. Papildu uzbrukumi, kas rodas maksājumu sistēmu mehānismu izmantošanas rezultātā. |
| Informācija no bankas apstrādes centra. | Apstrādes centra informācijas izpaušana un modificēšana un lokālais tīkls burka. | Uzbrukums vietējam tīklam, kas savienots ar internetu. |
Šajā tabulā parādītas pamatprasības, kurām jāatbilst jebkurai elektronisko maksājumu sistēmai, izmantojot internetu:
Pirmkārt, sistēmai jānodrošina maksājuma uzdevuma datu aizsardzība pret neatļautām izmaiņām un modifikācijām.
Otrkārt, sistēmai nevajadzētu palielināt uzbrucēja spēju organizēt uzbrukumus klienta datoram.
Treškārt, sistēmai ir jāaizsargā dati, kas atrodas serverī, no nesankcionētas lasīšanas un modifikācijas.
Ceturtkārt, sistēmai ir jānodrošina vai jāatbalsta sistēma bankas lokālā tīkla aizsardzībai no globālā tīkla ietekmes.
Izstrādājot specifiskas elektronisko maksājumu informācijas aizsardzības sistēmas, šis modelis un prasības ir jāprecizē. Tomēr pašreizējā prezentācijā šāda informācija nav nepieciešama.
2.2. Tehnoloģijas elektronisko maksājumu sistēmu aizsardzībai
Kādu laiku WWW attīstību apgrūtināja tas, ka html lapas, kas ir WWW pamatā, ir statisks teksts, t.i. ar to palīdzību ir grūti organizēt interaktīvu informācijas apmaiņu starp lietotāju un serveri. Izstrādātāji ierosināja daudzus veidus, kā paplašināt HTML iespējas šajā virzienā, un daudzi no tiem nekad netika plaši izmantoti. Viens no jaudīgākajiem risinājumiem, kas pārstāvēja jaunu posmu interneta attīstībā, bija Sun priekšlikums izmantot Java sīklietotnes kā interaktīvus komponentus, kas savienoti ar HTML lapām.
Java sīklietotne ir programma, kas ir rakstīta Java programmēšanas valodā un ir apkopota īpašos baitu kodos, kas ir kāda virtuāla datora - Java mašīnas - kodi un atšķiras no Intel saimes procesoru kodiem. Sīklietotnes tiek mitinātas serverī internetā un tiek lejupielādētas lietotāja datorā ikreiz, kad tiek atvērta HTML lapa, kurā ir izsaukums uz šo sīklietotni.
Lai izpildītu sīklietotnes kodu, standarta pārlūkprogramma ietver Java dzinēja ieviešanu, kas interpretē baitu kodus mašīnas instrukcijās Intel procesoru saimē (vai citā procesoru saimē). Java sīklietotņu tehnoloģijai raksturīgās iespējas, no vienas puses, ļauj attīstīt jaudīgu lietotāja saskarnes, organizē piekļuvi jebkuriem tīkla resursiem, izmantojot URL, ērti izmanto TCP/IP, FTP utt. protokolus, bet, no otras puses, tie padara neiespējamu tiešu piekļuvi datora resursiem. Piemēram, sīklietotnēm nav piekļuves failu sistēma dators un pievienotās ierīces.
Līdzīgs risinājums WWW iespēju paplašināšanai ir Microsoft tehnoloģija - Active X. Būtiskākā atšķirība starp šo tehnoloģiju un Java ir tā, ka komponenti (apletu analogi) ir programmas kodā. Intel procesors un to, ka šiem komponentiem ir pieejami visi datora resursi, kā arī Windows saskarnes un pakalpojumi.
Vēl viena mazāk izplatīta pieeja WWW iespēju paplašināšanai ir Netscape spraudnis Netscape Navigator tehnoloģijai. Tieši šī tehnoloģija šķiet optimālākais pamats informācijas drošības sistēmu veidošanai elektroniskiem maksājumiem internetā. Tālākai diskusijai apskatīsim, kā šī tehnoloģija atrisina tīmekļa servera informācijas aizsardzības problēmu.
Pieņemsim, ka ir kāds Web serveris un administrators no šī servera ir nepieciešams ierobežot piekļuvi kādai servera informācijas masīva daļai, t.i. organizēt tā, lai daži lietotāji varētu piekļūt kādai informācijai, bet citi to nedara.
Pašlaik šīs problēmas risināšanai tiek piedāvātas vairākas pieejas, jo īpaši daudzas OS, saskaņā ar kuru darbojas interneta serveri, ir nepieciešama parole, lai piekļūtu dažām to zonām, t.i. pieprasīt autentifikāciju. Šai pieejai ir divi būtiski trūkumi: pirmkārt, dati tiek glabāti pašā serverī skaidrā tekstā, otrkārt, dati tīklā tiek pārraidīti arī skaidrā tekstā. Tādējādi uzbrucējam ir iespēja organizēt divus uzbrukumus: pašam serverim (paroles uzminēšana, paroles apiešana utt.) un uzbrukumu satiksmei. Fakti par šādiem uzbrukumiem ir plaši zināmi interneta sabiedrībai.
Vēl viena plaši pazīstama pieeja informācijas drošības problēmas risināšanai ir pieeja, kuras pamatā ir SSL (Secure Sockets Layer) tehnoloģija. Lietojot SSL, starp klientu un serveri tiek izveidots drošs saziņas kanāls, caur kuru tiek pārsūtīti dati, t.i. Problēmu par datu pārsūtīšanu skaidrā tekstā tīklā var uzskatīt par nosacīti atrisinātu. Galvenā SSL problēma ir atslēgas sistēmas uzbūve un kontrole pār to. Kas attiecas uz datu saglabāšanas problēmu serverī skaidrā formā, tā paliek neatrisināta.
Vēl viens būtisks iepriekš aprakstīto pieeju trūkums ir to atbalsta nepieciešamība gan no servera, gan tīkla klienta programmatūras, kas ne vienmēr ir iespējams vai ērti. Īpaši sistēmās, kas paredzētas masveida un neorganizētiem klientiem.
Autora piedāvātā pieeja ir balstīta uz pašu html lapu aizsardzību, kas ir galvenais informācijas nesējs internetā. Aizsardzības būtība ir tāda, ka faili, kas satur HTML lapas, tiek glabāti serverī šifrētā veidā. Šajā gadījumā atslēgu, ar kuru tie tiek šifrēti, zina tikai persona, kas to šifrējusi (administrators) un klienti (kopumā atslēgas sistēmas izveides problēma tiek atrisināta tāpat kā caurspīdīga faila gadījumā šifrēšana).
Klienti piekļūst drošai informācijai, izmantojot Netscape spraudni Netscape tehnoloģijai. Šie moduļi ir programmas, precīzāk programmatūras komponenti, kas ir saistīti ar noteiktiem failu tipiem MIME standartā. MIME ir starptautisks standarts, kas nosaka failu formātus internetā. Piemēram, pastāv šādi failu tipi: text/html, text/plane, image/jpg, image/bmp utt. Turklāt standartā ir noteikts iestatīšanas mehānisms pielāgoti veidi faili, kurus var definēt un izmantot neatkarīgi izstrādātāji.
Tātad tiek izmantoti spraudņi, kas ir saistīti ar konkrētiem MIME failu tipiem. Savienojums ir tāds, ka, lietotājam piekļūstot atbilstošā tipa failiem, pārlūkprogramma palaiž ar to saistīto spraudni un šis modulis veic visas darbības, lai vizualizētu faila datus un apstrādātu lietotāja darbības ar šiem failiem.
Vispazīstamākie spraudņu moduļi ietver moduļus, kas atskaņo video avi formātā. Šo failu skatīšana nav iekļauta pārlūkprogrammu standarta iespējās, taču, instalējot atbilstošo Plug-in, jūs varat ērti apskatīt šos failus pārlūkprogrammā.
Turklāt visi šifrētie faili tiek definēti kā MIME tipa faili saskaņā ar noteikto starptautisko standartu. "lietojumprogramma/x-shp". Pēc tam, izmantojot Netscape tehnoloģiju un protokolus, tiek izstrādāts spraudnis, lai to saistītu ar faila tipu. Šis modulis veic divas funkcijas: pirmkārt, tas pieprasa paroli un lietotāja ID, un, otrkārt, tas veic failu atšifrēšanu un izvadīšanu pārlūkprogrammas logā. Šis modulis tiek instalēts saskaņā ar Netscape noteikto standarta kārtību visu klientu datoru pārlūkprogrammās.
Šajā brīdī ir pabeigts sagatavošanās posms un sistēma ir gatava darbam. Darbības laikā klienti piekļūst šifrētām HTML lapām, izmantojot savu standarta adresi (URL). Pārlūkprogramma nosaka šo lapu veidu un automātiski palaiž mūsu izstrādāto moduli, pārsūtot uz to šifrētā faila saturu. Modulis autentificē klientu un pēc veiksmīgas pabeigšanas atšifrē un parāda lapas saturu.
Veicot visu šo procedūru, klientam rodas “caurspīdīgas” lapu šifrēšanas sajūta, jo viss iepriekš aprakstītais sistēmas darbs ir paslēpts no viņa acīm. Tajā pašā laikā tiek saglabātas visas standarta funkcijas, kas raksturīgas html lapām, piemēram, attēlu izmantošana, Java sīklietotnes, CGI skripti.
Ir viegli saprast, ka šī pieeja atrisina daudzas informācijas drošības problēmas, jo atvērtā veidā tas atrodas tikai klientu datoros, dati tiek pārraidīti tīklā šifrētā veidā. Uzbrucējs, tiecoties iegūt informāciju, var veikt uzbrukumu tikai konkrētam lietotājam, un neviena servera informācijas drošības sistēma nevar aizsargāt pret šo uzbrukumu.
Šobrīd autors ir izstrādājis divas informācijas drošības sistēmas, kuru pamatā ir piedāvātā pieeja Netscape Navigator (3.x) pārlūkprogrammai un Netscape Communicator 4.x. Laikā iepriekšēja pārbaude Tika konstatēts, ka izstrādātās sistēmas var normāli funkcionēt MExplorer kontrolē, taču ne visos gadījumos.
Ir svarīgi atzīmēt, ka šajās sistēmu versijās netiek šifrēti objekti, kas saistīti ar HTML lapu: attēli, skriptu sīklietotnes utt.
Sistēma 1 piedāvā faktisko html lapu aizsardzību (šifrēšanu) kā vienu objektu. Jūs izveidojat lapu un pēc tam to šifrējat un kopējat uz serveri. Piekļūstot šifrētai lapai, tā tiek automātiski atšifrēta un parādīta īpašā logā. No servera programmatūras drošības sistēmas atbalsts nav nepieciešams. Visi šifrēšanas un atšifrēšanas darbi tiek veikti klienta darbstacijā. Šī sistēma ir universāls, t.i. nav atkarīgs no lapas struktūras un mērķa.
2. sistēma piedāvā atšķirīgu pieeju aizsardzībai. Šī sistēma nodrošina, ka aizsargāta informācija tiek parādīta kādā jūsu lapas apgabalā. Informācija serverī atrodas šifrētā failā (ne vienmēr html formātā). Kad dodaties uz savu lapu, drošības sistēma automātiski piekļūst šim failam, nolasa datus no tā un parāda to noteiktā lapas apgabalā. Šī pieeja ļauj sasniegt maksimālu efektivitāti un estētisku skaistumu ar minimālu daudzpusību. Tie. sistēma izrādās orientēta uz konkrētu mērķi.
Šo pieeju var pielietot arī veidojot elektroniskās maksājumu sistēmas, izmantojot internetu. Šajā gadījumā, piekļūstot noteiktai Web servera lapai, tiek palaists modulis Plug-in, kas lietotājam parāda maksājuma uzdevuma veidlapu. Pēc tam, kad klients to aizpilda, modulis šifrē maksājuma datus un nosūta tos uz serveri. Tajā pašā laikā viņš var pieprasīt no lietotāja elektronisko parakstu. Turklāt šifrēšanas un paraksta atslēgas var nolasīt no jebkura datu nesēja: disketēm, elektroniskām planšetdatoriem, viedkartēm utt.
2.3. Elektronisko maksājumu sistēmu pamatprasību atbilstības tehnoloģiju analīze
Iepriekš mēs aprakstījām trīs tehnoloģijas, kuras var izmantot, lai izveidotu maksājumu sistēmas internetā: šī ir tehnoloģija, kuras pamatā ir Java sīklietotnes, Active-X komponenti un spraudņu moduļi. Sauksim tās attiecīgi par tehnoloģijām J, AX un P.
Apsveriet prasību, ka nedrīkst palielināt uzbrucēja spēju uzbrukt datoram. Lai to izdarītu, analizēsim vienu no iespējamiem uzbrukumu veidiem - atbilstošo klienta aizsardzības moduļu aizstāšanu ar uzbrucēju. Tehnoloģijas J gadījumā tās ir sīklietotnes, AX gadījumā iegremdējamās sastāvdaļas, P gadījumā tie ir plug-in moduļi. Ir skaidrs, ka uzbrucējam ir iespēja nomainīt aizsardzības moduļus tieši klienta datorā. Šī uzbrukuma īstenošanas mehānismi neietilpst šīs analīzes ietvaros, tomēr jāņem vērā, ka šī uzbrukuma īstenošana nav atkarīga no attiecīgās aizsardzības tehnoloģijas. Un katras tehnoloģijas drošības līmenis ir vienāds, t.i. viņi visi ir vienlīdz nestabili pret šo uzbrukumu.
Visneaizsargātākais punkts J un AX tehnoloģijās no aizstāšanas viedokļa ir to lejupielāde no interneta. Tieši šajā brīdī uzbrucējs var veikt nomaiņu. Turklāt, ja uzbrucējam izdodas nomainīt šos moduļus bankas serverī, viņš iegūst piekļuvi visiem maksājumu sistēmas informācijas apjomiem, kas cirkulē internetā.
Tehnoloģijas P gadījumā aizstāšanas draudi nepastāv, jo modulis netiek lejupielādēts no tīkla - tas tiek pastāvīgi saglabāts klienta datorā.
Aizstāšanas sekas ir dažādas: J-tehnoloģijas gadījumā uzbrucējs var nozagt tikai klienta ievadīto informāciju (kas ir nopietns drauds), savukārt Active-X un Plug-in gadījumā uzbrucējs var. iegūt jebkādu informāciju, kurai ir piekļuve klientam, kas darbojas datorā.
Šobrīd autoram nav zināmas konkrētas metodes Java sīklietotņu viltošanas uzbrukumu ieviešanai. Acīmredzot šie uzbrukumi attīstās slikti, jo praktiski nav informācijas nozagšanas iespēju. Taču uzbrukumi Active-X komponentiem ir plaši izplatīti un labi zināmi.
Apskatīsim prasību aizsargāt informāciju, kas cirkulē elektronisko norēķinu sistēmā, izmantojot internetu. Ir acīmredzams, ka šajā gadījumā tehnoloģija J ir zemāka gan par P, gan AX vienā ļoti nozīmīgā jautājumā. Visi informācijas drošības mehānismi ir balstīti uz šifrēšanu vai elektronisko parakstu, un visi atbilstošie algoritmi ir balstīti uz kriptogrāfiskām transformācijām, kas prasa galveno elementu ieviešanu. Pašlaik galveno elementu garums ir 32-128 baiti, tāpēc pieprasīt lietotājam tos ievadīt no tastatūras ir gandrīz neiespējami. Rodas jautājums: kā tajos ievadīt? Tā kā P un AX tehnoloģijām ir pieejami datoru resursi, šīs problēmas risinājums ir acīmredzams un labi zināms – atslēgas tiek nolasītas no lokālajiem failiem, disketēm, planšetdatoriem vai viedkartēm. Bet tehnoloģijas J gadījumā šāda ievade nav iespējama, kas nozīmē, ka jums ir vai nu jāpieprasa klientam ievadīt garu bezjēdzīgas informācijas secību, vai, samazinot galveno elementu garumu, jāsamazina kriptogrāfisko pārveidojumu stiprums un tādējādi jāsamazina drošības mehānismu uzticamība. Turklāt šis samazinājums ir ļoti būtisks.
Padomāsim par prasību, ka elektronisko norēķinu sistēmai ir jāorganizē serverī esošo datu aizsardzība no nesankcionētas nolasīšanas un pārveidošanas. Šī prasība izriet no fakta, ka sistēma ietver lietotājam paredzētas konfidenciālas informācijas ievietošanu serverī. Piemēram, viņam nosūtīto maksājuma uzdevumu sarakstu ar piezīmi par apstrādes rezultātiem.
Tehnoloģijas P gadījumā šī informācija tiek parādīta HTML lapu veidā, kuras tiek šifrētas un ievietotas serverī. Visas darbības tiek veiktas saskaņā ar iepriekš aprakstīto algoritmu (HTML lapu šifrēšana).
J un AX tehnoloģiju gadījumā šo informāciju var ievietot kādā strukturētā formā failā serverī, un komponentiem vai sīklietotnēm ir jāveic datu nolasīšanas un vizualizēšanas darbības. Tas viss kopumā noved pie sīklietotņu un komponentu kopējā izmēra palielināšanās un līdz ar to arī attiecīgo lapu ielādes ātruma samazināšanās.
No šīs prasības viedokļa uzvar tehnoloģija P, pateicoties tās lielākai izgatavojamībai, t.i. zemākas izstrādes izmaksas un lielāka pretestība komponentu aizstāšanai, kad tie iet caur tīklu.
Kas attiecas uz pēdējo prasību aizsargāt banku lokālo tīklu, tā tiek izpildīta, kompetenti izveidojot ugunsmūru sistēmu (ugunsmūrus), un tā nav atkarīga no attiecīgajām tehnoloģijām.
Tādējādi iepriekš minētais tika veikts provizoriski salīdzinošā analīze tehnoloģijas J, AX un P, no kā izriet, ka tehnoloģija J jāizmanto, ja klienta datora drošības pakāpes saglabāšana ir ievērojami svarīgāka par elektronisko maksājumu sistēmās izmantoto kriptogrāfisko transformāciju stiprumu.
Tehnoloģija P šķiet optimālākais tehnoloģiskais risinājums maksājumu informācijas drošības sistēmu pamatā, jo apvieno jaudu standarta pielietojums Win32 un aizsardzība pret uzbrukumiem, izmantojot internetu. Projektu praktisko un komerciālo īstenošanu, izmantojot šo tehnoloģiju, veic, piemēram, Krievijas finanšu komunikāciju uzņēmums.
Kas attiecas uz AX tehnoloģiju, šķiet, ka tās izmantošana ir neefektīva un nestabila pret iebrucēju uzbrukumiem.
SECINĀJUMS
Elektroniskā nauda arvien skaidrāk sāk kļūt par mūsu ikdienas realitāti, kas vismaz ir jāņem vērā. Protams, parasto naudu tuvāko piecdesmit gadu laikā neviens neatcels (visticamāk). Taču nespēja pārvaldīt elektronisko naudu un palaist garām iespējas, ko tās sniedz sev līdzi, nozīmē brīvprātīgi uzcelt sev apkārt “dzelzs priekškaru”, kas pēdējos piecpadsmit gados ir tik grūti kustināts. Daudzi lielie uzņēmumi piedāvā apmaksu par saviem pakalpojumiem un precēm, izmantojot elektroniskos maksājumus. Tas ietaupa patērētāja laiku.
Bezmaksas programmatūra elektroniskā maka atvēršanai un visam darbam ar naudu ir maksimāli pielāgota masu datoriem un pēc nelielas prakses parastam lietotājam nesagādā nekādas problēmas. Mūsu laiks ir datoru, interneta un e-komercijas laiks. Cilvēki, kuriem ir zināšanas šajās jomās un atbilstoši instrumenti, gūst milzīgus panākumus. Elektroniskā nauda ir nauda, kas ar katru dienu kļūst arvien plašāka, paverot arvien lielākas iespējas cilvēkam, kuram ir pieejams internets.
Aprēķinu un grafiskā darba mērķis bija izpildīt un atrisināt šādus uzdevumus:
1. Noteikti elektronisko norēķinu sistēmu galvenie uzdevumi un darbības principi, to īpatnības.
2. Izanalizētas galvenās elektronisko norēķinu sistēmas.
3. Izanalizēti ar elektroniskās naudas lietošanu saistītie draudi.
4. Izanalizēti aizsardzības līdzekļi, izmantojot elektroniskās norēķinu sistēmas.
BIBLIOGRĀFISKAIS SARAKSTS
1. Antonovs N.G., Pesels M.A. Naudas aprite, kredīts un bankas. -M.: Finstatinform, 2005, 179.-185.lpp.
2. Bankas portfelis - 3. -M.: Somintek, 2005, 288.-328.lpp.
3. Mihailovs D.M. Starptautiskie maksājumi un garantijas. M.: FBK-PRESS, 2008, 20.-66.lpp.
4. Poļakovs V.P., Moskovkina L.A. Centrālo banku struktūra un funkcijas. Ārzemju pieredze: Mācību grāmata. - M.: INFRA-M, 2006.
5. Gaikovičs Ju.V., Peršins A.S. Elektronisko banku sistēmu drošība. - M: Vienotā Eiropa, 2004
6. Demins V.S. un citi.Automatizētas banku sistēmas. - M: Menatep-Inform, 2007
7. Krisins V.A. Biznesa drošība. - M: Finanses un statistika, 2006
8. Linkovs I.I. un citi.Informācijas dalījums komercstruktūrās: kā izdzīvot un gūt panākumus. - M: NIT, 2008
9. Titorenko G.A. un citi Banku darbības datorizācija. - M: Finstatinform, 2007
10. Tušnolobovs I.B., Urusovs D.P., Jarcevs V.I. Sadalītie tīkli. - Sanktpēterburga: Pēteris, 2008
12. Aglitskis I. Informācijas atbalsta stāvoklis un perspektīvas Krievijas bankām. - Banku tehnoloģijas, 2007 Nr.1.
Apmācība
Nepieciešama palīdzība tēmas izpētē?
Mūsu speciālisti konsultēs vai sniegs apmācību pakalpojumus par jums interesējošām tēmām.
Iesniedziet savu pieteikumu norādot tēmu tieši tagad, lai uzzinātu par iespēju saņemt konsultāciju.
3. Elektronisko maksājumu aizsardzība
Banku drošības problēma ir īpaši aktuāla, jo banku informācija, pirmkārt, tā pārstāv reālu naudu, un, otrkārt, tā ietekmē liela skaita banku klientu konfidenciālās intereses.
E-komercijas tirgus apjoms 2000. gadā
| Tirgus lielums un īpašības | Tāme, dolāri |
| Visu interneta produktu pirkumu kopējās izmaksas | 4,5-6 miljardi |
| Visu pirkumu kopējās izmaksas uz vienu vidējo pircēju | 600-800 |
| Vidējās pirkuma izmaksas par vienu interneta darījumu | 25-35 |
| Pilns interneta pirkumu darījumu apjoms | 130-200 miljoni |
| Tiešsaistes produktu pirkumu daļa | 60-70% |
| Piegādāto preču pirkumu daļa | 30-40% |
Elektronisko maksājumu sistēmu darbības vispārīgā shēma
Banka, kas noslēgusi līgumu ar sistēmu un saņēmusi atbilstošu licenci, var darboties divējādi - kā šīs sistēmas maksāšanas līdzekļu izsniedzēja, ko maksāšanai pieņem visas pārējās iesaistītās bankas, un kā pieņēmēja banka, apkalpojot uzņēmumus, kas pieņemt apmaksai šīs sistēmas citu emitentu izsniegtus maksāšanas līdzekļus un pieņemt šos maksāšanas līdzekļus skaidrā naudā savās filiālēs.
Maksājumu pieņemšanas procedūra ir diezgan vienkārša. Pirmkārt, uzņēmuma kasierim ir jāpārbauda kartes autentiskums, izmantojot atbilstošās īpašības.
Maksājot, uzņēmumam, izmantojot kopētāju - imprinteri, klienta kartes dati jāpārskaita uz speciālu čeku, čekā jāievada summa, par kādu veikts pirkums vai sniegti pakalpojumi, un jāsaņem klienta paraksts.
Šādā veidā izsniegtu čeku sauc par čeku. Lai droši veiktu darījumus, maksājumu sistēma dažādiem reģioniem un uzņēmējdarbības veidiem iesaka zemākus limitus summām, par kurām var veikt maksājumus bez autorizācijas. Ja limits tiek pārsniegts vai rodas šaubas par klienta identitāti, uzņēmumam ir pienākums veikt autorizācijas procesu.
Nepievēršoties procedūras tehniskajiem aspektiem, norādām, ka autorizācijas laikā uzņēmums faktiski iegūst piekļuvi informācijai par klienta konta stāvokli un tādējādi iegūst iespēju noskaidrot klienta kartes īpašumtiesības un viņa maksātspēju. darījuma apmērā. Viens čeka eksemplārs paliek uzņēmumā, otrs tiek nodots klientam, trešais tiek piegādāts pieņēmējai bankai un kalpo par pamatu maksājuma summas atmaksai uzņēmumam no klienta konta.
Pēdējos gados plašu popularitāti kļuvuši POS termināļi, kurus izmantojot nav nepieciešams aizpildīt lapiņas. Kartes dati tiek nolasīti no POS terminālī iebūvētā lasītāja magnētiskās joslas, no tastatūras tiek ievadīta darījuma summa, un terminālis caur iebūvēto modemu piesakās autorizācijai attiecīgajā maksājumu sistēmā. Šajā gadījumā tiek izmantotas apstrādes centra tehniskās iespējas, kuras pakalpojumus komersantam sniedz banka. Šajā gadījumā uzņēmums ziņo bankai ar kases lentes kopiju ar klienta paraksta paraugu un pakešu failiem, ko terminālis ģenerē darba dienas beigās.
Pēdējos gados arvien lielāka uzmanība tiek pievērsta banku sistēmas, izmantojot mikroprocesoru kartes.
Ārēji šie datu nesēji neatšķiras no parastajām kartēm, izņemot kartes iekšpusē pielodēto atmiņas mikroshēmu vai mikroprocesoru un uz tās virsmas attēlotās kontaktplāksnes ziedlapiņas.
Būtiskā atšķirība starp šīm kartēm un visu iepriekš minēto ir tā, ka tās tieši satur informāciju par klienta konta statusu, jo tās pašas ir tranzīta konts. Skaidrs, ka katram šādu karšu savākšanas punktam jābūt aprīkotam ar speciālu POS termināli (ar čipu lasītāju).
Lai karti varētu lietot, klientam tā ir jāielādē no sava konta bankas terminālī. Visi darījumi tiek veikti OFF-LINE režīmā dialoga kartes - termināļa vai klienta kartes - tirgotāja karte laikā.
Šāda sistēma ir gandrīz pilnīgi droša, pateicoties mikroshēmas augstajai drošības pakāpei un pilnai debeta maksājumu shēmai. Turklāt, lai gan pati karte ir ievērojami dārgāka par parasto, sistēma darbības laikā izrādās vēl lētāka, jo OFF-LINE režīms neizmanto telekomunikāciju slodzi.
Elektroniskie maksājumi, izmantojot plastikāta bankas kartes dažādi veidi ir diezgan elastīgs un universāls mehānisms norēķiniem ķēdē “Banka 1 – Klients – Uzņēmums – Banka 2” un “Banka 1 – ... – Banka N” tipa starpbanku norēķiniem. Taču tieši šo maksāšanas līdzekļu daudzpusība padara tos par īpaši pievilcīgu krāpšanas mērķi. Ar ļaunprātīgu izmantošanu saistīto zaudējumu gada izmaksas ir ievērojamas, lai gan salīdzinoši nelielas salīdzinājumā ar kopējo apgrozījumu.
Drošības sistēmu un tās attīstību nevar aplūkot atrauti no nelegālo darījumu metodēm ar plastikāta kartēm, kuras var iedalīt 5 galvenie noziegumu veidi.
1. Darbības ar viltotām kartēm.
Šāda veida krāpšana veido lielāko daļu maksājumu sistēmu zaudējumu. Reālu karšu augstās tehniskās un tehnoloģiskās drošības dēļ paštaisītas kartes pēdējā laikā tiek izmantotas reti, un tās var identificēt, izmantojot vienkāršu diagnostiku.
Parasti viltošanai tiek izmantotas zagtas karšu sagataves, uz kurām tiek norādīti bankas un klienta rekvizīti. Būdami tehniski augsti aprīkoti, noziedznieki var pat ierakstīt informāciju uz kartes magnētiskās joslas vai kopēt, vārdu sakot, veikt viltošanu augstā līmenī.
Šādas darbības veicēji parasti ir organizētas noziedzīgas grupas, kas dažkārt sadarbojas ar emitentu banku darbiniekiem, kuriem ir pieejama informācija par klientu kontiem un darījumu procedūrām. Izsakot cieņu starptautiskajai noziedzīgajai sabiedrībai, jāatzīmē, ka viltotas kartes Krievijā parādījās gandrīz vienlaikus ar šīs banku tirgus nozares attīstības sākumu.
2. Darījumi ar nozagtām/pazaudētām kartēm.
Lielus bojājumus, izmantojot nozagtu karti, iespējams nodarīt tikai tad, ja krāpnieks zina klienta PIN kodu. Tad kļūst iespējams izņemt lielu summu no klienta konta, izmantojot elektronisko kases tīklu - bankomātus, pirms nozagtās kartes izdevējbanka paspēj to ievietot elektroniskajā apstāšanās sarakstā (nederīgo karšu sarakstā).
3. Vairāki maksājumi par pakalpojumiem un precēm par summām, kas nepārsniedz “minimālo limitu” un kurām nav nepieciešama atļauja. Lai veiktu maksājumus, noziedzniekam atliek tikai viltot klienta parakstu. Tomēr, izmantojot šo shēmu, vispievilcīgākais vardarbības objekts kļūst nepieejams - skaidrā naudā. Šajā kategorijā ietilpst noziegumi, kas saistīti ar karšu nozagšanu, kad izdevējbanka tās klientiem nosūtīja pa pastu.
4. Krāpšana ar pasta/telefona pasūtījumiem.
Šāda veida noziegumi parādījās saistībā ar pakalpojuma attīstību preču un pakalpojumu piegādei pa pastu vai klienta pasūtījumu pa tālruni. Zinot sava upura kredītkartes numuru, noziedznieks var to norādīt pasūtījuma veidlapā un, saņēmis rīkojumu pagaidu dzīvesvietā, aizbēgt.
5. Vairākas izņemšanas no konta.
Šos noziegumus parasti izdara darbinieki juridiska persona, pieņemot maksājumu no klienta par precēm un pakalpojumiem ar kredītkarti, un tiek veikta, izsniedzot vairākus maksājuma čekus par vienu maksājuma faktu. Pamatojoties uz iesniegtajiem čekiem, uzņēmuma kontā tiek ieskaitīts vairāk naudas nekā pārdoto preču vai sniegto pakalpojumu izmaksas. Tomēr pēc vairāku darījumu pabeigšanas noziedznieks ir spiests slēgt vai pamest uzņēmumu.
Lai izvairītos no šādām darbībām, karšu lietotājiem, veicot darījumus (arī par nelielām summām), ieteicams būt uzmanīgākiem pret parakstītajiem dokumentiem.
Drošības nodaļu izmantotās metodes var iedalīt divās galvenajās kategorijās. Pirmais un, iespējams, vissvarīgākais līmenis ir saistīts ar pašas plastikāta kartes tehnisko drošību. Tagad ar pārliecību varam teikt, ka no tehnoloģiskā viedokļa karte ir labāk aizsargāta nekā banknotes, un to ir gandrīz neiespējami izgatavot pašam, neizmantojot sarežģītas tehnoloģijas.
Jebkuras maksājumu sistēmas kartes atbilst stingri noteiktajiem standartiem. Kartei ir standarta forma. Bankas identifikācijas numurs sistēmā (BIN kods) un klienta bankas konta numurs, viņa vārds un uzvārds, kartes derīguma termiņš ir iespiests un novietots stingri noteiktās vietās kartes priekšpusē. Ir arī hologrāfiskā veidā izgatavots maksājumu sistēmas simbols. Kartes numura pēdējie četri cipari ir iespiesti (nospiesti reljefā) tieši uz hologrāfiskā simbola, tādējādi nav iespējams kopēt hologrammu vai atkārtoti iespiest kodu, neiznīcinot simbolu.
Kartes aizmugurē ir magnētiskā josla un laukums ar īpašnieka paraksta paraugu. Uz magnētiskās joslas stingri noteiktās pozīcijās un izmantojot kriptogrāfiskus algoritmus tiek ierakstītas pašas maksājumu sistēmas detaļas, drošības zīmes, simboli, kas novērš informācijas kopēšanu, un tiek dublēta kartes priekšpusē uzdrukātā informācija. Īpašnieka paraksta parauga laukumam ir īpašs pārklājums. Pie mazākā mēģinājuma dzēst vai pārsūtīt parakstu, pārklājums tiek iznīcināts un parādās citas krāsas substrāts ar maksājumu sistēmas drošības simboliem.
Atlikušais kartes virsmas laukums pilnībā ir izdevējbankas rīcībā un ir patvaļīgi dekorēts ar bankas simboliku, tās reklāmu un klientiem nepieciešamo informāciju. Pati karte ir aizsargāta ar rakstzīmēm, kas ir redzamas tikai ultravioletajā gaismā.
Tehniskie aizsardzības pasākumi ietver arī banku sakaru, banku tīklu aizsardzību no nelikumīgas ielaušanās, avārijām un citām ārējām ietekmēm, kas izraisa informācijas noplūdi vai pat iznīcināšanu. Aizsardzību veic programmatūra un aparatūra, un to sertificē pilnvarotas maksājumu sistēmu organizācijas.
Otrā aizsardzības pasākumu kategorija ietver pasākumus, lai novērstu informācijas noplūdi no banku nodaļām darbam ar plastikāta kartēm. Galvenais princips ir skaidra darbinieku oficiālo pienākumu nodalīšana un saskaņā ar to piekļuves klasificētai informācijai ierobežošana tādā apjomā, kas nepārsniedz darbam nepieciešamo minimumu.
Šie pasākumi samazina risku un iespēju noziedzniekiem sadarboties ar darbiniekiem. Darbiniekiem tiek rīkoti tematiskie semināri viņu prasmju pilnveidošanai. Maksājumu sistēmas regulāri izplata drošības biļetenus, kuros publicē oficiālus materiālus un statistiku par noziegumiem ar kartēm, ziņo par noziedznieku pazīmēm un viltotu karšu pazīmēm, kas nonāk nelegālā apritē. Izmantojot biļetenus, tiek apmācīti darbinieki un tiek organizētas preventīvas un īpašas aktivitātes, kuru mērķis ir samazināt noziedzību.
Īpaša uzmanība tiek pievērsta nodaļas darbinieku personāla atlasei. Par visiem drošības jautājumiem atbild īpašs drošības darbinieks. Preventīvo pasākumu vidū nozīmīgāko vietu ieņem darbs ar klientiem, kas vērsts uz “plastmasas naudas” apstrādes kultūras līmeņa paaugstināšanu. Uzmanīga un rūpīga rīcība ar karti ievērojami samazina iespēju kļūt par nozieguma upuri.
Pārkāpumu analīze elektroniskajā norēķinu un maksājumu sistēmā
Speciālistu vidū ir labi zināms, ka Norvēģijas straujais kritums Otrajā pasaules karā lielā mērā bija saistīts ar to, ka Lielbritānijas Karaliskās flotes kodus uzlauza vācu kriptogrāfi, kuri izmantoja tieši tās pašas metodes, ko Karaliskās flotes telpas 40 speciālisti pret Vāciju izmantoja iepriekšējā. karš.
Kopš Otrā pasaules kara slepenības plīvurs ir pacelts pār valdības kriptogrāfijas izmantošanu. Tas nav pārsteidzoši, un tas ir ne tikai aukstā kara dēļ, bet arī birokrātu (jebkurā organizācijā) nevēlēšanās atzīt savas kļūdas.
Apskatīsim dažus no bankomāta krāpšanas veidiem. Mērķis ir analizēt dizaineru idejas, kas vērstas uz viņu produkta teorētisko neievainojamību, un mācīties no notikušā.
Sāksim ar dažiem vienkāršiem piemēriem, kas parāda vairākus krāpniecības veidus, kurus var veikt bez īpašas tehniskās viltības, kā arī banku procedūras, kas ļauj tām notikt.
Labi zināms, ka magnētiskajā joslā uz klienta kartes jābūt tikai viņa konta numuram, un viņa personas identifikācijas numurs (PIN) tiek iegūts, šifrējot konta numuru un no rezultāta paņemot četrus ciparus. Tādējādi bankomātam ir jāspēj veikt šifrēšanu vai kā citādi veikt PIN verifikāciju (piem., interaktīvu vaicājumu).
Vinčesteras kroņa tiesa Anglijā nesen notiesāja divus noziedzniekus, kuri izmantoja vienkāršu, bet efektīvu shēmu. Viņi stāvēja rindās pie bankomātiem, skatījās klientu PIN kodus, paņēma bankomāta noraidītās kartes un kopēja no tām kontu numurus uz tukšām kartēm, ar kurām tika aplaupīti klientu konti.
Šis triks tika izmantots (un par to tika ziņots) pirms vairākiem gadiem Ņujorkas bankā. Vainīgais bija atlaists bankomāta tehniķis, un viņam izdevās nozagt 80 000 USD, pirms banka, kuras apsardze bija apsardze, pieķēra viņu darbībā.
Šie uzbrukumi bija veiksmīgi, jo bankas uz bankas kartes uzdrukāja visu klienta konta numuru un turklāt uz magnētiskās joslas nebija kriptogrāfiskas dublēšanas. Varētu domāt, ka New York Bank mācība tiks gūta, bet nē.
Cita veida tehniskie uzbrukumi ir saistīti ar faktu, ka daudzi bankomātu tīkli nešifrē ziņojumus un neveic autentifikācijas procedūras, autorizējot darījumu. Tas nozīmē, ka uzbrucējs var ierakstīt atbildi no bankas uz bankomātu “Es pilnvaroju maksājumu” un pēc tam atkārtoti atskaņot ierakstu, līdz bankomāts ir tukšs. Šo paņēmienu, kas pazīstams kā “evisceration”, izmanto ne tikai ārējie uzbrucēji. Ir zināms gadījums, kad banku operatori izmantoja tīkla vadības ierīci, lai kopā ar līdzdalībniekiem “izķidātu” bankomātus.
Testa darījumi ir vēl viens problēmu avots
Viena veida bankomātiem tika izmantota četrpadsmit ciparu taustiņu secība, lai pārbaudītu desmit banknošu izsniegšanu. Noteikta banka savā attālo bankomātu lietošanas rokasgrāmatā nodrukāja šo secību. Trīs gadus vēlāk nauda pēkšņi sāka pazust. Tie turpinājās, līdz visas bankas, kas izmantoja šāda veida bankomātus, iespējoja programmatūras ielāpus, lai novērstu testa darījumu.
Visstraujāk augošās krāpniecības ir saistītas ar viltotu termināļu izmantošanu klientu kontu un PIN kodu vākšanai. Šīs sugas uzbrukumi pirmo reizi tika aprakstīti ASV 1988. gadā. Krāpnieki uzbūvējuši iekārtu, kas pieņem jebkuru karti un izsniedz cigarešu paciņu. Šis izgudrojums tika ievietots veikalā, un PIN kodi un dati no magnētiskajām kartēm tika pārsūtīti, izmantojot modemu. Triks izplatījās visā pasaulē.
Tehniķi arī zog naudu no klientiem, zinot, ka viņu sūdzības, visticamāk, tiks ignorētas. Vienā bankā Skotijā palīdzības dienesta inženieris bankomātam pievienoja datoru un ierakstīja klientu kontu numurus un PIN. Pēc tam viņš viltoja kartes un no kontiem nozaga naudu. Atkal klienti sūdzējās par tukšām sienām. Par šo praksi banku publiski kritizēja viena no Skotijas augstākajām juridiskajām amatpersonām.
Četrciparu PIN koda izmantošanas mērķis ir, lai gadījumā, ja kāds atrod vai nozog citas personas bankas karti, iespēja nejauši uzminēt kodu ir viena no desmit tūkstošiem. Ja ir atļauti tikai trīs PIN ievadīšanas mēģinājumi, tad iespēja izņemt naudu no nozagtas kartes ir mazāka par vienu no trim tūkstošiem. Tomēr dažām bankām ir izdevies samazināt četrciparu sniegto dažādību.
Dažas bankas neievēro PIN koda iegūšanas shēmu, kriptogrāfiski konvertējot konta numuru, bet gan izmantojot nejauši izvēlētu PIN (vai ļaujot klientiem izvēlēties) un pēc tam to kriptotransformējot, lai to atcerētos. Papildus tam, ka šī pieeja ļauj klientam izvēlēties viegli uzminējamu PIN, tā rada dažas tehniskas nepilnības.
Dažas bankas glabā šifrētu PIN vērtību. Tas nozīmē, ka programmētājs var iegūt sava PIN šifrēto vērtību un meklēt datu bāzē visus pārējos kontus ar to pašu PIN.
Viena liela Lielbritānijas banka pat ierakstīja šifrētu PIN kodu uz kartes magnētiskās joslas. Noziedzīgajai sabiedrībai bija nepieciešami piecpadsmit gadi, lai saprastu, ka viņi var aizstāt konta numuru uz savas kartes magnētiskās joslas un pēc tam izmantot to ar savu PIN, lai nozagtu kontu.
Šī iemesla dēļ VISA sistēma iesaka bankām pirms šifrēšanas apvienot klienta konta numuru ar PIN kodu. Tomēr ne visas bankas to dara.
Sarežģītāki uzbrukumi līdz šim ir bijuši saistīti ar vienkāršām ieviešanas un darbības procedūru kļūdām. Profesionāli drošības pētnieki mēdz uzskatīt šādas kļūdas par neinteresantām, un tāpēc ir koncentrējušies uz uzbrukumiem, kuros tiek izmantotas smalkākas tehniskas nepilnības. Banku darbībai ir arī vairākas drošības nepilnības.
Lai gan augsto tehnoloģiju uzbrukumi banku sistēmām ir reti, tie rada interesi no sabiedrības viedokļa, jo valdības iniciatīvu, piemēram, ES informācijas drošības tehnoloģiju novērtēšanas kritēriju (ITSEC) mērķis ir izstrādāt produktu kopumu, kas ir sertificēti atbilstoši zināmiem tehniskajiem standartiem. kļūdas. Šīs programmas pamatā ir priekšlikumi, ka attiecīgo produktu ieviešanas un apstrādes procedūras būtībā būs bez kļūdām un ka uzbrukumam ir nepieciešama tehniskā apmācība, kas ir salīdzināma ar valdības drošības aģentūru personāla apmācību. Acīmredzot šī pieeja ir piemērotāka militārajām sistēmām, nevis civilajām sistēmām.
Lai saprastu, kā tiek veikti sarežģītāki uzbrukumi, ir nepieciešams sīkāk aplūkot banku drošību.
Ar drošības moduļiem saistītas problēmas
Ne visi drošības produkti ir vienlīdz kvalitatīvi, un dažās bankās ir apmācīti eksperti, lai atšķirtu labus produktus no viduvējiem.
Reālajā praksē ir dažas problēmas ar šifrēšanas produktiem, jo īpaši ar veco IBM 3848 drošības moduli vai moduļiem, kas pašlaik tiek ieteikti banku organizācijām.
Ja bankai nav aparatūras ieviestu drošības moduļu, PIN koda šifrēšanas funkcija tiks ieviesta programmatūrā ar atbilstošām nevēlamām sekām. Drošības moduļa programmatūrai var būt pārtraukuma punkti programmatūras produktu atkļūdošanai, ko veic ražotāja inženieri. Uz šo faktu tika pievērsta uzmanība, kad viena no bankām nolēma to iekļaut tīklā un ražotāja sistēmas inženieris nespēja nodrošināt vajadzīgās vārtejas darbību. Lai paveiktu darbu, viņš izmantoja vienu no šiem trikiem, lai no sistēmas izņemtu PIN. Šādu pārtraukuma punktu esamība neļauj izveidot uzticamas procedūras drošības moduļu pārvaldībai.
Daži drošības moduļu ražotāji paši veicina šādus uzbrukumus. Piemēram, tiek izmantota metode, lai ģenerētu darba atslēgas, pamatojoties uz diennakts laiku, un rezultātā faktiski tiek izmantoti tikai 20 atslēgas biti paredzēto 56 vietā. Tādējādi saskaņā ar varbūtības teoriju uz katrām 1000 ģenerētajām atslēgām divi sakritīs.
Tas padara iespējamus dažus smalkus pārkāpumus, kuros uzbrucējs manipulē ar bankas sakariem, lai transakcijas no viena termināļa tiktu aizstātas ar darījumiem no cita termināļa.
Vienas bankas programmētāji pat neuztraucās ar nepatikšanām, kas saistītas ar klienta atslēgu ievadīšanu šifrēšanas programmās. Viņi vienkārši instalēja norādes uz galvenajām vērtībām atmiņas apgabalā, kas vienmēr tiek atiestatīts uz nulli, kad sistēma tiek startēta. Rezultāts šo lēmumu izrādījās, ka īstā un pārbaudes sistēmas izmantoja tās pašas atslēgu uzglabāšanas vietas. Bankas tehniķi saprata, ka var iegūt klientu PIN kodus uz testēšanas iekārtām. Vairāki no viņiem sazinājās ar vietējiem noziedzniekiem, lai izvēlētos PIN kodus zagtām bankas kartēm. Kad bankas drošības menedžeris atklāja notiekošo, viņš gāja bojā autoavārijā (un vietējā policija "pazaudēja" visus attiecīgos materiālus). Banka nepūlējās saviem klientiem izsūtīt jaunas kartes.
Viens no galvenajiem drošības moduļu mērķiem ir neļaut programmētājiem un personālam, kas piekļūst datoriem, iegūt galveno bankas informāciju. Tomēr slepenība, ko nodrošina drošības moduļu elektroniskie komponenti, bieži vien neiztur kriptogrāfijas iespiešanās mēģinājumus.
Drošības moduļiem ir savas galvenās atslēgas iekšējai lietošanai, un šīs atslēgas ir jāuztur noteiktā vietā. Atslēgas rezerves kopija bieži tiek uzturēta viegli lasāmā formā, piemēram, PROM, un atslēgu var nolasīt laiku pa laikam, piemēram, kad zonas un termināļa atslēgu kopas kontrole tiek nodota no viena drošības moduļa uz cits. Šādos gadījumos banka šīs operācijas veikšanas procesā ir pilnībā pakļauta ekspertu žēlastībai.
Problēmas, kas saistītas ar projektēšanas tehnoloģijām
Īsi apspriedīsim bankomātu projektēšanas tehnoloģiju. Vecākos modeļos šifrēšanas programmas kods atradās nepareizā vietā - vadības ierīcē, nevis pašā modulī. Vadības ierīce bija jānovieto moduļa tiešā tuvumā noteiktā vietā. Taču liela daļa bankomātu šobrīd neatrodas bankas ēkas tiešā tuvumā. Vienā Apvienotās Karalistes universitātē bankomāts atradās universitātes pilsētiņā un nosūtīja nešifrētus kontu numurus un PIN kodus. telefona līnija uz filiāles vadības bloku, kas atradās vairākas jūdzes no pilsētas. Ikviens, kurš pacentās izmantot tālruņa līnijas noklausīšanās ierīci, varēja viltot kartes tūkstošiem.
Pat gadījumos, kad tiek iegādāts viens no labākajiem produktiem, ir ļoti daudz iespēju, kurās nepareiza ieviešana vai nepārdomātas tehnoloģiskās procedūras rada nepatikšanas bankai. Lielākā daļa drošības moduļu atgriež atgriešanas kodu diapazonu katram darījumam. Daži no tiem, piemēram, “atslēgas paritātes kļūda”, brīdina, ka programmētājs eksperimentē ar moduli, kas faktiski tiek izmantots. Tomēr dažas bankas ir pacentušās uzrakstīt ierīces draiveri, kas nepieciešams, lai pārtvertu šos brīdinājumus un attiecīgi rīkoties.
Ir gadījumi, kad bankas ir noslēgušas apakšlīgumus par visu bankomātu sistēmu vai tās daļu ar firmām, kas “sniedz saistītos pakalpojumus”, un nodod šīm firmām PIN kodus.
Ir bijuši arī gadījumi, kad PIN kodi tika dalīti starp divām vai vairākām bankām. Pat ja visi bankas darbinieki tiek uzskatīti par uzticamiem, ārējie uzņēmumi var neievērot bankai specifiskas drošības politikas. Šo firmu darbinieki ne vienmēr tiek pienācīgi pārbaudīti, visticamāk, viņiem ir nepietiekami atalgoti, aizdomīgi un neapdomīgi, kas var novest pie krāpšanas ieceres un izpildes.
Daudzas no aprakstītajām vadības kļūdām ir balstītas uz projekta psiholoģiskās daļas attīstības trūkumu. Banku filiālēm un datoru centriem, veicot ikdienas darbu, jāievēro standarta procedūras, taču, iespējams, stingri jāievēro tikai tās kontroles procedūras, kuru mērķis ir skaidrs. Piemēram, filiāles seifa atslēgu koplietošana starp vadītāju un grāmatvedi ir labi saprotama: tā pasargā viņus abus no ģimenes sagrābšanas par ķīlniekiem. Kriptogrāfiskās atslēgas bieži netiek iepakotas lietotājam draudzīgā formā, un tāpēc tās, visticamāk, netiks izmantotas pareizi. Daļēja atbilde varētu būt ierīces, kas patiesībā atgādina atslēgas (kas veidotas pēc kodolieroču drošinātāju kriptogrāfiskajām atslēgām).
Varētu daudz rakstīt par darbības procedūru uzlabošanu, taču, ja mērķis ir nepieļaut kriptogrāfijas atslēgas nonākšanu tāda cilvēka rokās, kuram ir tehniskas iespējas to ļaunprātīgi izmantot, tad rokasgrāmatās un apmācību kursos ir jābūt skaidram mērķim. Princips “drošība ar neskaidrību” bieži nodara vairāk ļauna nekā laba.
Atslēgu izplatīšana
Īpašas problēmas banku filiālēm rada atslēgu izplatīšana. Kā zināms, teorija paredz, ka katram no diviem baņķieriem jāievada savs atslēgas komponents, lai to kombinācija iegūtu termināļa galveno atslēgu. PIN kods, kas šifrēts uz termināļa galvenās atslēgas, tiek nosūtīts uz bankomātu pirmās transakcijas laikā pēc apkopes.
Ja bankomāta tehniķis saņem abas galvenās sastāvdaļas, viņš var atšifrēt PIN un viltotās kartes. Praksē filiāļu vadītāji, kuriem ir atslēgas, gandrīz labprāt tās nodod inženierim, jo nevēlas stāvēt blakus bankomātam, kamēr tas tiek apkalpots. Turklāt termināļa atslēgas ievadīšana nozīmē tastatūras izmantošanu, ko vecāki vadītāji uzskata par zemu cieņu.
Tā ir ierasta prakse nepareizi pārvaldīt atslēgas. Ir zināms gadījums, kad inženierim no apkopes personāla tika piešķirtas abas mikroshēmas ar galvenajām atslēgām. Lai gan teorētiski pastāvēja dubultās kontroles procedūras, drošības darbinieki nodeva čipus, jo tika izmantotas pēdējās atslēgas un neviens nezināja, ko darīt. Inženieris varētu darīt vairāk, nekā tikai viltot kartes. Viņš būtu varējis aiziet ar atslēgām un pārtraukt visas bankas bankomāta darbības.
Nav neinteresanti, ka atslēgas biežāk tiek glabātas atvērtos failos, nevis aizsargātos. Tas attiecas ne tikai uz bankomātu atslēgām, bet arī uz banku savstarpējo norēķinu sistēmu, piemēram, SWIFT, atslēgām, kas apstrādā darījumus miljardu vērtībā. Būtu prātīgi izmantot inicializācijas atslēgas, piemēram, termināļa atslēgas un zonas atslēgas, tikai vienu reizi un pēc tam tās iznīcināt.
Kriptanalītiskie draudi
Kriptanalītiķi, iespējams, rada vismazākos draudus banku sistēmām, taču tos nevar pilnībā izslēgt. Dažas bankas (tostarp lielas un plaši pazīstamas) joprojām izmanto pašmāju kriptogrāfijas algoritmus, kas izveidoti gados pirms DES. Vienā datu tīklā datu bloki tika vienkārši “šifrēti”, pievienojot konstanti. Šī metode netika kritizēta piecus gadus, neskatoties uz to, ka tīklu izmantoja vairāk nekā 40 bankas. Turklāt visi šo banku apdrošināšanas, audita un drošības eksperti acīmredzot lasa sistēmas specifikācijas.
Pat ja tiek izmantots “cienījams” algoritms, tas var tikt realizēts ar neatbilstošiem parametriem. Piemēram, dažas bankas ir ieviesušas RSA algoritmu ar atslēgu garumiem no 100 līdz 400 bitiem, lai gan atslēgas garumam jābūt vismaz 500 bitiem, lai nodrošinātu nepieciešamo drošības līmeni.
Varat arī atrast atslēgu, izmantojot brutālu spēku, izmēģinot visas iespējamās šifrēšanas atslēgas, līdz atrodat atslēgu, ko izmanto konkrēta banka.
Protokoli, ko izmanto starptautiskajos tīklos, lai šifrētu darba atslēgas, izmantojot zonas atslēgas, ļauj viegli uzbrukt zonas atslēgai šādā veidā. Ja zonas atslēga ir atvērta vienu reizi, var atšifrēt visus PlN kodus, ko banka nosūta vai saņem tīklā. Nesenā Kanādas bankas ekspertu pētījumā konstatēts, ka šāda veida uzbrukums DES maksās aptuveni 30 000 £ par zonas atslēgu. Līdz ar to organizētās noziedzības resursi šādam noziegumam ir pilnīgi pietiekami, un šādu noziegumu varētu veikt pietiekami turīgs indivīds.
Iespējams, specializētie datori, kas nepieciešami atslēgu atrašanai, radīti dažu valstu izlūkdienestos, tostarp valstīs, kurās šobrīd valda haoss. Līdz ar to pastāv zināms risks, ka šīs iekārtas glabātāji varētu to izmantot personīga labuma gūšanai.
Visās sistēmās, mazās un lielās, ir programmatūras kļūdas un tās ir pakļautas cilvēka kļūdām. Banku sistēmas nav izņēmums, un ikviens, kas ir strādājis rūpnieciskajā ražošanā, to saprot. Filiāļu norēķinu sistēmas mēdz kļūt lielākas un sarežģītākas, un tajās ir daudzi savstarpēji mijiedarbīgi moduļi, kas ir attīstījušies gadu desmitu laikā. Daži darījumi neizbēgami tiks izpildīti nepareizi: debeti var tikt dublēti vai konts var tikt nepareizi mainīts.
Šī situācija nav sveša lielo uzņēmumu finanšu kontrolieriem, kuri uztur īpašus darbiniekus banku kontu saskaņošanai. Kad parādās kļūdains debets, šie darbinieki pieprasa attiecīgo dokumentāciju izskatīšanai un, ja dokumentācijas trūkst, saņem no bankas nepareizā maksājuma atmaksu.
Taču bankomātu klientiem šādas iespējas atmaksāt strīdīgos maksājumus nav. Lielākā daļa baņķieru ārpus ASV vienkārši saka, ka viņu sistēmās nav kļūdu.
Šāda politika rada zināmus juridiskus un administratīvus riskus. Pirmkārt, tas rada ļaunprātīgas izmantošanas iespēju, jo krāpšana ir slēpta. Otrkārt, tas noved pie pierādījumiem, kas klientam ir pārāk sarežģīti, un tāpēc ASV tiesās tika vienkāršota procedūra. Treškārt, pastāv morālais risks, kas saistīts ar bankas darbinieku netiešu mudināšanu zagt, pamatojoties uz apziņu, ka viņi, visticamāk, netiks pieķerti. Ceturtkārt, tas ir ideoloģisks trūkums, jo centralizētas klientu pretenziju uzskaites trūkuma dēļ nav iespējams pareizi organizēt krāpšanas gadījumu kontroli.
Ir grūti precīzi novērtēt ietekmi uz uzņēmējdarbību, kas saistīta ar bankomātu zaudējumiem. Apvienotajā Karalistē Valsts kases ekonomikas sekretārs (ministrs, kas atbild par banku darbības regulēšanu) 1992. gada jūnijā paziņoja, ka šādas kļūdas ietekmē vismaz divus darījumus no trīs miljoniem katru dienu. Tomēr nesenā tiesvedības spiediena rezultātā šis skaitlis vispirms tika pārskatīts uz 1 no 250 000 kļūdainiem darījumiem, pēc tam — 1 no 100 000 un visbeidzot 1 no 34 000.
Tā kā klientus, kuri iesniedz sūdzības, bankas darbinieki parasti noraida un vairums cilvēku vienkārši nevar pamanīt vienreizēju naudas izņemšanu no sava konta, vislabākais minējums ir tāds, ka notiek aptuveni 1 no 10 000 nepareizu darījumu. Tādējādi, ja vidusmēra klients izmanto Bankomāts reizi nedēļā 50 gadus, mēs varam sagaidīt, ka katrs ceturtais klients savā dzīves laikā saskarsies ar problēmām, izmantojot bankomātus.
Kriptogrāfisko sistēmu izstrādātāji atrodas neizdevīgā situācijā, jo trūkst informācijas par to, kā sistēmas kļūmes rodas praksē, nevis par to, kā tās varētu rasties teorētiski. Šis trūkums atsauksmes noved pie nepareiza draudu modeļa izmantošanas. Dizaineri koncentrējas uz to, kas sistēmā var izraisīt neveiksmi, nevis koncentrējas uz to, kas parasti izraisa kļūdas. Daudzi produkti ir tik sarežģīti un viltīgi, ka tos reti izmanto pareizi. Sekas ir fakts, ka lielākā daļa kļūdu ir saistītas ar sistēmas ieviešanu un uzturēšanu. Konkrēts rezultāts ir bijis bankomātu krāpšanās, kas radījis ne tikai finansiālus zaudējumus, bet arī tiesvedības kļūdas un mazinājusies uzticība banku sistēmai.
Viens no kriptogrāfijas metožu ieviešanas piemēriem ir kriptogrāfiskās informācijas aizsardzības sistēma, izmantojot digitālo parakstu EXCELLENCE.
Programmatūras kriptogrāfijas sistēma EXCELLENCE ir izstrādāta, lai aizsargātu apstrādāto, uzglabāto un pārsūtīto informāciju starp ar IBM saderīgiem personālajiem datoriem, izmantojot kriptogrāfiskās šifrēšanas, digitālā paraksta un autentifikācijas funkcijas.
Sistēma ievieš kriptogrāfijas algoritmus, kas atbilst valsts standartiem: šifrēšana - GOST 28147-89. Ciparparaksts ir balstīts uz RSA algoritmu.
Atslēgu sistēma ar stingru autentifikāciju un atslēgu sertifikāciju ir veidota uz X.509 protokola un atvērtās RSA atslēgu izplatīšanas principa, kas tiek plaši izmantots starptautiskajā praksē.
Sistēma satur kriptogrāfijas funkcijas informācijas apstrādei faila līmenī:
un kriptogrāfijas funkcijas darbam ar atslēgām:
Katram tīkla abonentam ir sava privātā un publiskā atslēga. Katra lietotāja slepenā atslēga tiek ierakstīta viņa individuālās atslēgas disketē vai individuālajā elektroniskajā kartē. Abonenta atslēgas noslēpums nodrošina viņam šifrētās informācijas aizsardzību un neiespējamību viltot viņa ciparparakstu.
Sistēma atbalsta divu veidu galvenos informācijas nesējus:
Katram tīkla abonentam ir visu sistēmas abonentu publisko atslēgu failu direktorijs, kas ir aizsargāts no nesankcionētas modifikācijas, kā arī viņu vārdi. Katram abonentam ir pienākums glabāt savu privāto atslēgu noslēpumā.
Funkcionāli sistēma EXCELLENCE ir ieviesta programmatūras moduļa excell_s.exe veidā un darbojas ar MS DOS 3.30 un jaunāku operētājsistēmu. Funkciju izpildes parametri tiek nodoti formā komandrinda DOS. Turklāt tiek nodrošināts grafiskais interfeiss. Programma automātiski atpazīst un atbalsta 32 bitu operācijas Intel386/486/Pentium procesorā.
Iegulšanai citos programmatūras sistēmas ieviests EXCELLENCE sistēmas variants, kas satur kriptogrāfijas pamatfunkcijas darbam ar datiem operatīvajā atmiņā šādos režīmos: atmiņa - atmiņa; atmiņa - fails; fails - atmiņa.
Prognoze 21. gadsimta sākumam
Banku vadības daļai, kas veiks efektīvus pasākumus informācijas drošības problēmas risināšanai, vajadzētu palielināties līdz 40-80%. Galvenā problēma būs apkalpojošais (arī bijušais) personāls (no 40% līdz 95% gadījumu), un galvenie draudu veidi būs nesankcionēta piekļuve (UNA) un vīrusi (līdz 100% banku tiks pakļauti vīrusu uzbrukumiem ).
Svarīgākie pasākumi informācijas drošības nodrošināšanai būs informācijas drošības dienestu augstākā profesionalitāte. Priekš šī bankām informācijas drošībai būs jātērē līdz 30% peļņas.
Neskatoties uz visiem iepriekš uzskaitītajiem pasākumiem, absolūts informācijas drošības problēmas risinājums nav iespējams. Tajā pašā laikā bankas informācijas drošības sistēmas efektivitāti pilnībā nosaka tajā ieguldīto līdzekļu apjoms un informācijas drošības dienesta profesionalitāte, un iespēju pārkāpt bankas informācijas drošības sistēmu pilnībā nosaka bankas informācijas drošības sistēmas izmaksas. drošības sistēmas pārvarēšana un krāpnieku kvalifikācija. (Ārvalstu praksē pastāv uzskats, ka drošības sistēmu ir jēga “uzlauzt”, ja tās pārvarēšanas izmaksas nepārsniedz 25% no aizsargājamās informācijas vērtības).
4. nodaļā tika apskatītas pieejas iezīmes elektronisko banku sistēmu aizsardzībai. Šo sistēmu īpatnība ir īpaša elektroniskās datu apmaiņas forma - elektroniskie maksājumi, bez kuriem nevar pastāvēt neviena mūsdienu banka.
Elektroniskā datu apmaiņa (EDE) ir biznesa, komerciālo un finanšu elektronisko dokumentu apmaiņa starp datoriem. Piemēram, pasūtījumi, maksājuma norādījumi, līguma priekšlikumi, rēķini, kvītis utt.
EOD nodrošina operatīvu mijiedarbību starp tirdzniecības partneriem (klientiem, piegādātājiem, tālākpārdevējiem u.c.) visos tirdzniecības darījuma sagatavošanas, līguma noslēgšanas un piegādes īstenošanas posmos. Līguma apmaksas un līdzekļu pārskaitījuma stadijā EDI var novest pie finanšu dokumentu elektroniskas apmaiņas. Tas rada efektīvu vidi tirdzniecības un maksājumu darījumiem:
* Ir iespēja reāllaikā iepazīstināt tirdzniecības partnerus ar preču un pakalpojumu piedāvājumiem, izvēlēties vajadzīgo preci/pakalpojumu, precizēt komercnosacījumus (izmaksas un piegādes laiks, tirdzniecības atlaides, garantijas un apkalpošanas saistības);
* Preču/pakalpojumu pasūtīšana vai līguma priekšlikuma pieprasīšana reāllaikā;
* Preču piegādes operatīvā kontrole, pavaddokumentu (rēķinu, pavadzīmju, komponenšu sarakstu u.c.) saņemšana pa e-pastu;
* Preču/pakalpojumu piegādes pabeigšanas apstiprinājums, rēķinu izrakstīšana un apmaksa;
* Bankas kredīta un maksājumu darījumu noformēšana. OED priekšrocības ietver:
* Operāciju izmaksu samazināšana, pārejot uz bezpapīra tehnoloģiju. Papīra dokumentācijas apstrādes un uzturēšanas izmaksas speciālisti lēš 3-8% apmērā no kopējām komercdarījumu un preču piegādes izmaksām. Ieguvums no EED izmantošanas tiek lēsts, piemēram, ASV automobiļu rūpniecībā vairāk nekā 200 USD apmērā par vienu saražoto automašīnu;
* Norēķinu un naudas apgrozījuma ātruma palielināšana;
* Aprēķinu ērtību paaugstināšana.
Ir divas galvenās EED izstrādes stratēģijas:
1. EOD tiek izmantota kā konkurences priekšrocība, kas ļauj ciešāk mijiedarboties ar partneriem. Šo stratēģiju ir pieņēmušas lielas organizācijas, un to sauc par paplašināto uzņēmuma pieeju.
2. EDI izmanto atsevišķos specifiskos industriālajos projektos vai komerciālo un citu organizāciju asociāciju iniciatīvās, lai palielinātu to mijiedarbības efektivitāti.
Amerikas Savienoto Valstu un Rietumeiropas bankas jau ir atzinušas savu galveno lomu EDI izplatībā un būtiskos ieguvumus, ko sniedz ciešāka mijiedarbība ar biznesa un personīgajiem partneriem. OED palīdz bankām sniegt pakalpojumus klientiem, īpaši maziem, kuri iepriekš nevarēja atļauties tos izmantot to augsto izmaksu dēļ.
Galvenais šķērslis plašai EDI izplatīšanai ir dokumentu noformēšanas dažādība, apmainoties ar tiem pa sakaru kanāliem. Lai pārvarētu šo šķērsli, dažādas organizācijas ir izstrādājušas standartus dokumentu iesniegšanai EED sistēmās dažādām nozarēm:
QDTI - General Trade Interchange (Eiropa, starptautiskā tirdzniecība);
MDSND - Nacionālā automatizēto klīringa namu asociācija (ASV, Nacionālā automatizēto klīringa namu asociācija);
TDCC - Transporta datu koordinācijas komiteja;
VICS - brīvprātīgais starpnozaru komunikācijas standarts (ASV, Voluntary Interindustry Communication Standard);
WINS — noliktavas informācijas tīkla standarti informācijas tīkls preču noliktavas).
1993. gada oktobrī starptautiskā grupa ANO/EEK publicēja EDIFACT standarta pirmo versiju. Izstrādātais sintakses noteikumu un komerciālo datu elementu kopums tika formalizēts divu ISO standartu veidā:
ISO 7372 — Tirdzniecības datu elementu direktorijs;
ISO 9735 — EDIFACT — lietojumprogrammas līmeņa sintakses noteikumi.
Īpašs EOD gadījums ir elektroniskie maksājumi - finanšu dokumentu apmaiņa starp klientiem un bankām, starp bankām un citām finanšu un komerciālajām organizācijām.
Elektronisko maksājumu jēdziena būtība ir tāda, ka pa sakaru līnijām nosūtītie ziņojumi, pareizi izpildīti un pārsūtīti, ir pamats vienas vai vairāku bankas operāciju veikšanai. Principā šo darbību veikšanai nav nepieciešami nekādi papīra dokumenti (lai gan tie var tikt izsniegti). Citiem vārdiem sakot, ziņojums, kas nosūtīts pa sakaru līnijām, satur informāciju, ka sūtītājs ir veicis dažas darbības savā kontā, jo īpaši saņēmējbankas korespondentkontā (kas var būt klīringa centrs), un ka saņēmējam ir jāveic ziņojumā norādītās darbības. Pamatojoties uz šādu ziņojumu, jūs varat nosūtīt vai saņemt naudu, atvērt aizdevumu, samaksāt par pirkumu vai pakalpojumu un veikt jebkuru citu bankas darījums. Šādus ziņojumus sauc par elektronisko naudu, bet bankas operāciju veikšanu, pamatojoties uz šādu ziņojumu nosūtīšanu vai saņemšanu, sauc par elektroniskajiem maksājumiem. Protams, viss elektronisko maksājumu veikšanas process prasa uzticama aizsardzība. Pretējā gadījumā banka un tās klienti saskarsies ar nopietnām problēmām.
Elektroniskie maksājumi tiek izmantoti starpbanku, tirdzniecības un personīgajiem maksājumiem.
Starpbanku un tirdzniecības norēķini tiek veikti starp organizācijām (juridiskām personām), tāpēc tos dažreiz sauc par korporatīvajiem. Norēķinus, kuros iesaistīti atsevišķi klienti, sauc par personiskiem.
Lielākā daļa lielāko zādzību banku sistēmās ir tieši vai netieši saistītas ar elektronisko maksājumu sistēmām.
Elektronisko maksājumu sistēmu izveidei ir daudz šķēršļu, īpaši globālu, kas aptver lielu skaitu finanšu iestāžu un to klientu dažādās valstīs. Galvenās no tām ir:
1. Vienotu standartu trūkums operācijām un pakalpojumiem, kas būtiski apgrūtina vienotu banku sistēmu izveidi. Katra lielā banka cenšas izveidot savu EOD tīklu, kas palielina tās darbības un uzturēšanas izmaksas. Dublētas sistēmas apgrūtina to lietošanu, radot savstarpējus traucējumus un ierobežojot klientu iespējas.
2. Palielināta naudas piedāvājuma mobilitāte, kas izraisa finanšu spekulāciju iespējamības palielināšanos, paplašina “klejojošā kapitāla” plūsmas. Šī nauda var mainīt situāciju tirgū un īsā laikā to destabilizēt.
3. Tehnisko rīku atteices un kļūmes un programmatūras kļūdas, veicot finanšu norēķinus, kas var radīt nopietnus sarežģījumus turpmākiem norēķiniem un uzticības zaudēšanu bankai no klientu puses, it īpaši banku saišu ciešās savijas dēļ (sava veida “kļūdu izplatīšanās”). Tajā pašā laikā būtiski palielinās sistēmas operatoru un administrācijas loma un atbildība, kas tieši pārvalda informācijas apstrādi.
Ikvienai organizācijai, kas vēlas kļūt par jebkuras elektronisko norēķinu sistēmas klientu vai organizēt savu sistēmu, tas ir jāapzinās.
Lai elektroniskā norēķinu sistēma darbotos droši, tai jābūt labi aizsargātai.
Tirdzniecības norēķini tiek veikti starp dažādām tirdzniecības organizācijām. Bankas piedalās šajos norēķinos kā starpnieki, pārskaitot naudu no maksātājas organizācijas konta uz saņēmējas organizācijas kontu.
Tirgotāja norēķini ir ārkārtīgi svarīgi elektronisko maksājumu programmas vispārējiem panākumiem. Dažādu uzņēmumu finanšu darījumu apjoms parasti veido būtisku daļu no kopējā banku darījumu apjoma.
Tirdzniecības norēķinu veidi dažādām organizācijām ir ļoti atšķirīgi, taču, tos veicot, vienmēr tiek apstrādāta divu veidu informācija: maksājumu ziņojumi un palīginformācija (statistika, atskaites, paziņojumi). Finanšu organizācijām vislielākā interese, protams, ir informācija no maksājumu ziņojumiem - kontu numuri, summas, atlikums utt. Tirdzniecības organizācijām abu veidu informācija ir vienlīdz svarīga – pirmā sniedz nojausmu par finansiālo stāvokli, otrā palīdz lēmumu pieņemšanā un politikas veidošanā.
Visizplatītākie tirdzniecības norēķinu veidi ir:
* Tiešais depozīts.
Šāda veida norēķinu nozīme ir tāda, ka organizācija uzdod bankai veikt noteikta veida maksājumus saviem darbiniekiem vai klientiem automātiski, izmantojot iepriekš sagatavotus magnētiskos nesējus vai īpašus ziņojumus. Šādu maksājumu veikšanas nosacījumi tiek saskaņoti iepriekš (finansējuma avots, apjoms utt.). Tos galvenokārt izmanto regulāriem maksājumiem (dažādu apdrošināšanas veidu maksājumi, kredītu atmaksa, algas u.c.). Institucionāli tiešais depozīts ir ērtāks nekā, piemēram, maksājumi, izmantojot čekus.
Kopš 1989. gada darbinieku skaits, kuri izmanto tiešo depozītu, ir dubultojies līdz 25% no kopējā. Vairāk nekā 7 miljoni amerikāņu šodien saņem algas, izmantojot tiešo depozītu. Bankām tiešais depozīts piedāvā šādas priekšrocības:
Samazināt ar papīra dokumentu apstrādi saistīto uzdevumu apjomu un līdz ar to ietaupot ievērojamas summas;
Noguldījumu skaita pieaugums, jo jānogulda 100% no maksājumu apjoma.
Papildus bankām ieguvēji ir gan īpašnieki, gan darbinieki; tiek palielinātas ērtības un samazinātas izmaksas.
* Aprēķini, izmantojot OED.
Dati šeit ir rēķini, rēķini, komponentu lapas utt.
Lai ieviestu EDI, ir nepieciešams šāds pamatpakalpojumu komplekts:
E-pasts atbilstoši X.400 standartam;
Failu pārsūtīšana;
Tieša komunikācija;
Tiešsaistes piekļuve datu bāzēm;
Pastkaste;
Informācijas pasniegšanas standartu transformācija.
Piemēri pašlaik esošajām tirdzniecības norēķinu sistēmām, kurās izmanto EDI, ir:
National Bank un Royal Bank (Kanāda) ir savienotas ar saviem klientiem un partneriem, izmantojot IBM informācijas tīklu;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), kas dibināta 1986. gadā, savieno Bank of Scotland ar klientiem un partneriem 15 valstīs, izmantojot korespondentbankas un automatizētas klīringa iestādes.
Elektroniskie starpbanku norēķini galvenokārt ir divu veidu:
* Norēķinu klīringa, izmantojot starpniekbankas (klīringa bankas) jaudīgo datorsistēmu un banku korespondentkontus, kas piedalās norēķinos šajā bankā. Sistēma ir balstīta uz juridisko personu savstarpējo naudas prasību un saistību ieskaitu ar sekojošu atlikuma pārskaitījumu. Klīrings tiek plaši izmantots arī akciju un preču biržās, kur darījuma dalībnieku savstarpējo prasījumu nokārtošana tiek veikta ar klīringa nama vai speciālas elektroniskās klīringa sistēmas starpniecību.
Starpbanku klīringa norēķini tiek veikti, izmantojot īpašas klīringa iestādes, komercbankas, starp filiālēm un vienas bankas filiālēm - caur galveno biroju. Vairākās valstīs klīringa centru funkcijas veic centrālās bankas. Automatizētās klīringa iestādes (ACH) sniedz pakalpojumus līdzekļu apmaiņai starp finanšu iestādēm. Maksājumu darījumi galvenokārt ir ierobežoti ar debetiem vai kredītiem. AKP sistēmas dalībnieki ir finanšu institūcijas, kas ir AKP asociācijas biedri. Biedrība tiek veidota, lai izstrādātu noteikumus, procedūras un standartus elektronisko maksājumu ieviešanai ģeogrāfiskā reģionā. Jāpiebilst, ka ĀKK nav nekas cits kā līdzekļu un pavadošās informācijas pārvietošanas mehānisms. Viņi paši neveic maksājumu pakalpojumus. ĀKK tika izveidotas, lai papildinātu papīra finanšu dokumentu apstrādes sistēmas. Pirmā automātiskā pārnesumkārba parādījās Kalifornijā 1972. gadā; šobrīd ASV darbojas 48 automātiskās pārnesumkārbas. 1978. gadā tika izveidota Nacionālā automatizēto klīringa namu asociācija (NACHA), kas uz sadarbības pamata apvienoja visus 48 ACH tīklus.
Darbību apjoms un raksturs nepārtraukti paplašinās. ĀKK valstis sāk veikt darījumu norēķinus un elektroniskās datu apmaiņas darījumus. Pēc dažādu banku un uzņēmumu trīs gadu pūliņiem tika izveidota CTP (Corporate Trade Payment) sistēma, lai automātiski apstrādātu kredītus un debetus. Pēc ekspertu domām, automātiskās pārnesumkārbas funkciju paplašināšanas tendence turpināsies arī tuvākajā nākotnē.
* Tiešie norēķini, kuros divas bankas tieši sazinās viena ar otru, izmantojot loro nostro kontus, iespējams, piedaloties trešajai pusei, kas veic organizatorisku vai atbalsta lomu. Likumsakarīgi, ka savstarpējo darījumu apjomam jābūt pietiekami lielam, lai attaisnotu šādas norēķinu sistēmas organizēšanas izmaksas. Parasti šāda sistēma apvieno vairākas bankas, un katrs pāris var tieši sazināties savā starpā, apejot starpniekus. Taču šajā gadījumā ir nepieciešams vadības centrs, kas nodarbojas ar mijiedarbojošo banku aizsardzību (atslēgu sadale, vadība, darbības kontrole un notikumu reģistrācija).
Pasaulē ir diezgan daudz šādu sistēmu - no mazām, kas savieno vairākas bankas vai filiāles, līdz milzu starptautiskām, kas savieno tūkstošiem dalībnieku. Slavenākā šīs klases sistēma ir SWIFT.
Pēdējā laikā ir parādījies trešais elektronisko maksājumu veids - elektroniskā čeka apcirpšana, kuras būtība ir apturēt papīra čeka nosūtīšanas ceļu uz finanšu iestādi, kurā tas tika uzrādīts. Ja nepieciešams, tā elektroniskais analogs īpaša ziņojuma veidā “ceļo” tālāk. Elektroniskā čeka pārsūtīšana un atmaksa tiek veikta, izmantojot ACH.
1990. gadā NACHA paziņoja par nacionālās pilotprogrammas "Elektroniskās pārbaudes saīsināšana" pirmo testēšanas posmu. Tās mērķis ir samazināt liela apjoma papīra čeku apstrādes izmaksas.
Naudas nosūtīšana, izmantojot elektronisko norēķinu sistēmu, ietver šādas darbības (atkarībā no konkrētajiem nosacījumiem un pašas sistēmas pasūtījums var atšķirties):
1. Noteikts konts pirmās bankas sistēmā tiek samazināts par nepieciešamo summu.
2. Par tādu pašu summu palielinās otrās bankas korespondentkonts pirmajā.
3. No pirmās bankas uz otro banku tiek nosūtīts ziņojums, kurā ir informācija par veicamajām darbībām (konta identifikatori, summa, datums, nosacījumi utt.); šajā gadījumā nosūtītajam ziņojumam jābūt atbilstoši aizsargātam pret viltošanu: šifrētam, nodrošinātam ar ciparparakstu un kontroles laukiem utt.
4. Nepieciešamā summa tiek norakstīta no pirmās bankas korespondentkonta otrajā.
5. Noteikts konts otrajā bankā tiek palielināts par nepieciešamo summu.
6. Otrā banka pirmajai nosūta paziņojumu par veiktajām konta korekcijām; arī šim ziņojumam jābūt aizsargātam pret iejaukšanos līdzīgi kā maksājuma ziņojuma aizsardzībai.
7. Apmaiņas protokols tiek ierakstīts gan abonentiem, gan, iespējams, trešajai personai (tīkla vadības centrā), lai novērstu konfliktus.
Ziņojumu pārraides ceļā var būt starpnieki - klīringa centri, starpniekbankas informācijas pārsūtīšanā utt. Šādu aprēķinu galvenās grūtības ir pārliecība par savu partneri, tas ir, katram abonentam jābūt pārliecinātam, ka viņa korespondents veiks visas nepieciešamās darbības.
Lai paplašinātu elektronisko maksājumu izmantošanu, tiek veikta finanšu dokumentu elektroniskās noformēšanas standartizācija. Tas tika uzsākts 70. gados divās organizācijās:
1) ANSI (Amerikas Nacionālais standartu institūts) publicēja ANSI X9.2-1080 (Interchange Message Specification for Debet and Credit Card Message Exchange among Financial Institute). 1988. gadā līdzīgu standartu pieņēma ISO un nosauca par ISO 8583 (bankas karšu oriģinālo ziņojumu apmaiņas ziņojumu specifikācijas — finanšu darījumu saturs);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) ir izstrādājusi virkni standartu starpbanku ziņojumiem.
Saskaņā ar ISO 8583 standartu finanšu dokumentā ir vairāki datu elementi (detaļas), kas atrodas atsevišķos ziņojuma vai elektroniskā dokumenta laukos (elektroniskā kredītkarte, ziņojums X.400 formātā vai dokuments EDIFACT sintaksē). Katram datu elementam (ED) tiek piešķirts savs unikāls numurs. Datu elements var būt obligāts (tas ir, iekļauts katrā šāda veida ziņojumā) vai neobligāts (dažos ziņojumos tā var nebūt).
Bitu skala nosaka ziņojuma sastāvu (tos, kas tajā atrodas). Ja noteikts bitu skalas cipars ir iestatīts uz vienu, tas nozīmē, ka ziņojumā ir atbilstošais ED. Pateicoties šai ziņojumu kodēšanas metodei, tiek samazināts kopējais ziņojuma garums, tiek panākta elastība ziņojumu prezentācijā ar daudziem ED, un tiek nodrošināta iespēja iekļaut jaunus ED un ziņojumu veidus standarta struktūras elektroniskā dokumentā.
Ir vairākas metodes elektroniskajiem starpbanku maksājumiem. Apskatīsim divus no tiem: maksājums ar čeku (maksājums pēc pakalpojuma) un maksājums ar akreditīvu (samaksa par paredzamo pakalpojumu). Citām metodēm, piemēram, maksājumiem, izmantojot maksājuma pieprasījumus vai maksājuma uzdevumus, ir līdzīga organizācija.
Maksājums ar čeku tiek veikts, pamatojoties uz papīra vai citu dokumentu, kas satur maksātāja identifikāciju. Šis dokuments ir pamats čekā norādītās summas pārskaitīšanai no īpašnieka konta uz uzrādītāja kontu. Maksājums ar čeku ietver šādas darbības:
Čeka saņemšana;
Čeka iesniegšana bankā;
Pieprasīt pārskaitījumu no čeka īpašnieka konta uz sūtītāja kontu;
Naudas pārvedums;
Paziņojums par maksājumu.
Galvenie šādu maksājumu trūkumi ir nepieciešamība pēc palīgdokumenta (čeka), ko var viegli viltot, kā arī ievērojamais laiks, kas nepieciešams maksājuma veikšanai (līdz pat vairākām dienām).
Tāpēc pēdējā laikā šis maksāšanas veids kā maksājums ar akreditīvu ir kļuvis izplatītāks. Tas ietver šādas darbības:
Klienta paziņojums bankai par aizdevuma izsniegšanu;
Paziņojums saņēmēja bankai par aizdevuma izsniegšanu un naudas pārskaitījumu;
Paziņojums saņēmējam par aizdevuma saņemšanu.
Šī sistēma ļauj veikt maksājumus ļoti īsā laikā. Paziņojumu par aizdevumu var nosūtīt pa (elektronisko) pastu, disketēm, magnētiskajām lentēm.
Katram no iepriekš apskatītajiem maksājumu veidiem ir savas priekšrocības un trūkumi. Čeki ir ērtākie nelielu summu apmaksai, kā arī neregulāriem maksājumiem. Šādos gadījumos maksājuma kavējums nav īpaši būtisks, un kredīta izmantošana ir neatbilstoša. Maksājumi, izmantojot akreditīvu, parasti tiek izmantoti regulāriem maksājumiem un ievērojamām summām. Šajos gadījumos klīringa kavējuma neesamība ļauj ietaupīt daudz laika un naudas, samazinot naudas apgrozījuma periodu. Šo divu metožu kopējais trūkums ir nepieciešamība tērēt naudu uzticamas elektronisko maksājumu sistēmas organizēšanai.
