Spôsoby ochrany elektronického platobného systému digitálnych peňazí. Hlavné spôsoby ochrany elektronických peňazí? Bezpečnostné opatrenia pre elektronické platobné systémy
Elektronické platobné systémy sú jedným z najpopulárnejších typov práce s elektronickou menou. Každý rok sa rozvíjajú čoraz aktívnejšie a zaberajú pomerne veľký podiel na trhu práce s menou. Spolu s nimi sa vyvíjajú aj technológie na zaistenie ich bezpečnosti. Pretože dnes už ani jeden elektronický platobný systém nemôže existovať bez dobrých technológií a bezpečnostných systémov, ktoré zase zabezpečujú bezpečnú transakciu peňažných transakcií. Existuje množstvo samotných elektronických platobných systémov, ako aj bezpečnostných technológií. Každý z nich má iné princípy fungovania a technológie, ako aj svoje výhody a nevýhody. Okrem toho zostáva nevyriešených množstvo teoretických a praktických otázok, čo určuje relevantnosť výskumnej témy.
Každý elektronický platobný systém používa svoje vlastné metódy, šifrovacie algoritmy a protokoly prenosu údajov na vykonávanie bezpečných transakcií a prenosu údajov. Niektoré systémy používajú šifrovací algoritmus RSA a prenosový protokol HTTPs, zatiaľ čo iné používajú na prenos šifrovaných údajov algoritmus DES a protokol SSL. Myšlienkou napísania tohto článku je študovať a analyzovať množstvo populárnych platobných systémov, konkrétne bezpečnostných technológií, ktoré sa v nich používajú, a zistiť, ktorý je najpokročilejší.
Počas písania článku sa uskutočnil prieskum platobných systémov a analýza bezpečnosti existujúcich platobných systémov. Boli analyzované štyri platobné systémy (Webmoney, Yandex.Money, RauPa1 a E-Port) podľa rovnakých kritérií. Systémy boli hodnotené pomocou viacúrovňového systému, ktorý zahŕňa vnorené parametre. Samozrejme, všetky tieto kritériá sa vzťahujú na oblasť informačná bezpečnosť. Existujú dve hlavné kritériá: technická podpora pre informačnú bezpečnosť platieb a organizačná a právna podpora. Každý z týchto dvoch parametrov bol hodnotený pomocou trojbodového systému. Hodnotiaca stupnica je presne taká, keďže súčasný vývoj elektronických platobných systémov u nás je na takej úrovni, že väčšinu ich parametrov možno opísať len slovami „áno alebo nie“. Ak teda elektronický platobný systém najlepšie zodpovedá niektorému parametru, získa najvyššie skóre (3), ak vôbec nereaguje, dostane minimálne skóre (0). Ak systém nemá toto kritérium vo svojej explicitnej forme, ale ak sú s chýbajúcim kritériom spojené nejaké služby alebo schopnosti, udelíme stredné skóre - jeden alebo dva.
Pri hodnotení elektronických platobných systémov treba pamätať na to, že za rôznych podmienok nie je hodnota toho istého parametra rovnaká. Napríklad viaceré služby, ktoré výrazne zvyšujú úroveň ochrany, môže užívateľ implementovať len dobrovoľne, navyše už samotná prítomnosť týchto služieb v systéme je cenná. Ľudský faktor nebol zrušený a nikdy nebude zrušený, takže sa počíta s tým, že služba môže byť buď implementovaná alebo nerealizovaná.
Technická podpora pre bezpečnosť transakcií
Ide o prvé z kritérií – súbor parametrov, ktorý, ako už z názvu vyplýva, zabezpečuje technickú stránku ochrany informácií. Pred týmto parametrom sú zahrnuté: kryptografické metódy šifrovania, autentifikácie a prístupu pomocou špeciálneho hardvér(v najprimitívnejšom prípade - pomocou USB kľúčov).
Nie je žiadnym tajomstvom, že hlavným kritériom ochrany informácií z technického hľadiska je samozrejme šifrovanie údajov a konkrétnejšie kryptografické algoritmy, s ktorými sú implementované. Je tiež známe, že čím je kľúč dlhší, tým je ťažšie ho dešifrovať, a teda získať prístup k dôverným informáciám. Tri z testovaných systémov využívajú známy a široko uznávaný algoritmus RSA: Webmoney, Yandex.Money, PayPal. E-Port používa šifrovanie prostredníctvom protokolu SSL verzie 3.0. V skutočnosti je šifrovanie implementované pomocou kľúčov SSL, ktoré sú jedinečné, generujú sa počas relácie a nazývajú sa kľúč relácie. Dĺžka kľúča SSL v systéme E-Port sa pohybuje od 40 do 128 bitov, čo je dosť na prijateľnú úroveň bezpečnosti transakcií.
Ďalším parametrom v technickej podpore informačnej bezpečnosti transakcií je autentifikácia, t.j. súbor riešení, ktoré používateľ potrebuje na prístup k svojim vlastným osobným informáciám. Všetko je tu jednoduché. Systémy Webmoney a Yandex.Money používajú dve kritériá prístupu, zatiaľ čo PayPal a E-Port používajú iba jedno. Vo Webmoney musíte na prístup do systému a uskutočňovanie platieb zadať heslo a špeciálny kľúč. Yandex.Money funguje podobne: vyžaduje sa heslo a špeciálny program peňaženky. Vo všetkých ostatných systémoch je prístup zabezpečený heslom. V systéme E-Port však na prácu s protokolom SSL musí mať webový server potenciálneho klienta (a ktorýkoľvek iný účastník systému) špeciálny digitálny certifikát prijatý od niektorej z autorizovaných spoločností. Tento certifikát sa používa na autentifikáciu webového servera klienta. Mechanizmus zabezpečenia certifikátov používaný v E-Port je certifikovaný spoločnosťou RSA Security. Tretím a posledným kritériom v tejto štúdii je prístup do systému pomocou špeciálneho hardvéru, ako sú USB kľúče.
Metódy kryptografického šifrovania
Webmoney a Yandex.Money používajú kľúč s dĺžkou 1024 bitov (veľmi vysoký indikátor, je takmer nemožné prelomiť takýto kľúč jednoduchou metódou hrubej sily) a PayPal používa kľúč o polovicu kratší - 512 bitov. , za prvé dva systémy získame pomocou tohto kritéria maximálny bod – 3. PayPal, keďže používa kratší šifrovací kľúč, získava dva body. Zostáva len vyhodnotiť E-Port týmto parametrom. Napriek použitiu protokolu SSL a dokonca dĺžke kľúča až 128 bitov má E-Port určitú potenciálnu zraniteľnosť: mnohé staršie verzie prehliadačov podporujú šifrovanie s kľúčmi kratšej dĺžky , takže existuje možnosť hacknutia prijatých údajov; teda pre tých, ktorí používajú prehliadač ako klienta platobný systém, treba s tým pracovať Najnovšia verzia(samozrejme, nie je to vždy vhodné alebo možné). V stĺpci „šifrovanie“ však môže byť E-Port udelené skóre 1,7: systém získal toto hodnotenie vďaka použitiu progresívneho protokolu PGP na šifrovanie e-mailových správ.
Overenie
Systémy Webmoney a Yandex.Money používajú dve kritériá prístupu, zatiaľ čo PayPal a E-Port používajú iba jedno. Vo Webmoney musíte na prístup do systému a uskutočňovanie platieb zadať heslo a špeciálny kľúč. Yandex.Money funguje podobne: vyžaduje sa heslo a špeciálny program peňaženky , Vo všetkých ostatných systémoch je prístup zabezpečený heslom. V systéme E-Port sa však webový server potenciálneho klienta používa na prácu s protokolom SSL.
Podľa Webmoney a Yandex.Money tu dostávajú tri body, PayPal - 0 bodov, E-Port - jeden.
Je to tu ešte jednoduchšie ako s predchádzajúcimi parametrami. Zo všetkých systémov má takúto dodatočnú možnosť iba Webmoney PayPal, ktoré takúto možnosť neposkytujú. Ak teda vezmeme do úvahy váhový koeficient, Webmoney a PayPal dostali za tento parameter 1,5 bodu, všetky ostatné nulu.
Po vyhodnotení dvoch kritérií môžeme zhrnúť. Na základe súčtu zvažovaných parametrov sa ukázalo, že Webmoney je bezpečný. Ak totiž používateľ využíva všetky bezpečnostné služby, ktoré poskytuje, môže zostať prakticky nezraniteľný voči podvodníkom. Na druhom mieste sa umiestnil systém Yandex.Money, na treťom PayPal (tento systém je ideálny pre právnické osoby pre výraznú právnu transparentnosť platieb) a na poslednom mieste sa umiestnil systém E-Port.
Okrem toho, keď zhrnieme analýzu platobných systémov, môžeme povedať, že výber elektronického platobného systému sa nevykonáva podľa jedného bezpečnostného parametra, aj keď je jedným z najdôležitejších. Elektronické platobné systémy sa líšia aj dostupnosťou služieb, jednoduchosťou používania – existuje mnoho ďalších faktorov.
závery
Elektronické platby sú prirodzenou etapou vo vývoji telekomunikácií. Dopyt je vysoký v tých oblastiach, kde existuje plnohodnotný produkt – digitálny produkt, ktorého vlastnosti sa dobre „prekrývajú“ s vlastnosťami online platby: okamžitá platba, okamžité doručenie , jednoduchosť a bezznačnosť.
Internetový platobný systém je systém na uskutočňovanie platieb medzi finančnými, obchodnými organizáciami a používateľmi internetu v procese nákupu/predaja tovaru a služieb cez internet. Práve platobný systém vám umožňuje premeniť službu spracovania objednávok alebo elektronický obchod na plnohodnotný obchod so všetkými štandardnými atribútmi: výberom produktu alebo služby na webovej stránke predávajúceho môže kupujúci uskutočniť platbu bez toho, aby opustil obchod. počítač.
V systéme elektronického obchodu sa platby uskutočňujú za niekoľkých podmienok:
1. Zachovanie dôvernosti. Pri platbách cez internet chce kupujúci, aby jeho údaje (napríklad číslo kreditnej karty) poznali len organizácie, ktoré na to majú zákonné právo.
2. Udržiavanie integrity informácií. Informácie o nákupe nemôže nikto zmeniť.
3. Autentifikácia. Kupujúci a predávajúci si musia byť istí, že všetky strany zapojené do transakcie sú tým, za koho sa vydávajú.
4. Platobné prostriedky. Možnosť platby akýmkoľvek platobným prostriedkom, ktorý má kupujúci k dispozícii.
6. Záruky rizika predávajúceho. Pri obchodovaní na internete je predávajúci vystavený mnohým rizikám spojeným s odmietnutím produktov a nepoctivosťou kupujúceho. Veľkosť rizík musí byť dohodnutá s poskytovateľom platobného systému a ďalšími organizáciami zaradenými do obchodného reťazca prostredníctvom osobitných dohôd.
7. Minimalizácia transakčných poplatkov. Poplatky za spracovanie transakcie za objednanie a platbu za tovar sú prirodzene zahrnuté v jeho cene, takže zníženie ceny transakcie zvyšuje konkurencieschopnosť. Je dôležité si uvedomiť, že transakcia musí byť v každom prípade zaplatená, aj keď kupujúci tovar odmietne.
Všetky tieto podmienky musia byť implementované v internetovom platobnom systéme, ktorý je v podstate elektronickými verziami tradičných platobných systémov.
Všetky platobné systémy sú teda rozdelené na:
Debet (práca s elektronickými šekmi a digitálnou hotovosťou);
Kredit (práca s kreditnými kartami).
Debetné systémy
Schémy debetných platieb sú vytvorené podobne ako ich offline prototypy: šek a bežné peniaze. Schéma zahŕňa dve nezávislé strany: emitentov a používateľov. Emitentom sa rozumie subjekt, ktorý riadi platobný styk. Vydáva niektoré elektronické jednotky, ktoré predstavujú platby (napríklad peniaze na bankových účtoch). Používatelia systému vykonávajú dve hlavné funkcie. Vykonávajú a prijímajú platby na internete pomocou vydaných elektronických jednotiek.
Elektronické šeky sú obdobou bežných papierových šekov. Ide o pokyny platiteľa jeho banke, aby previedla peniaze z jeho účtu na účet príjemcu platby. Operácia sa uskutoční po predložení šeku príjemcom v banke. Sú tu dva hlavné rozdiely. Po prvé, pri vypisovaní papierového šeku platiteľ uvedie svoj skutočný podpis av online verzii - elektronický podpis. Po druhé, samotné šeky sa vydávajú elektronicky.
Platby sa uskutočňujú v niekoľkých fázach:
1. Platiteľ vystaví elektronický šek, podpíše ho elektronickým podpisom a postúpi príjemcovi. Pre väčšiu spoľahlivosť a bezpečnosť je možné číslo bežného účtu zašifrovať verejným kľúčom banky.
2. Šek sa predloží na platbu do platobného systému. Ďalej (buď tu alebo v banke obsluhujúcej príjemcu) prebehne kontrola elektronický podpis.
3. V prípade potvrdenia jeho pravosti je tovar dodaný alebo služba poskytnutá. Peniaze sa prevedú z účtu platiteľa na účet príjemcu.
Jednoduchosť platobnej schémy (obr. 43) je, žiaľ, kompenzovaná ťažkosťami pri jej implementácii v dôsledku skutočnosti, že kontrolné schémy sa ešte nerozšírili a neexistujú žiadne certifikačné centrá na implementáciu elektronického podpisu.
Elektronický digitálny podpis (EDS) používa systém šifrovania verejného kľúča. Tým sa vytvorí súkromný kľúč na podpisovanie a verejný kľúč na overenie. Súkromný kľúč si ukladá používateľ a k verejnému kľúču má prístup každý. Najpohodlnejším spôsobom distribúcie verejných kľúčov je použitie certifikačných autorít. Sú tam uložené digitálne certifikáty obsahujúce verejný kľúč a informácie o vlastníkovi. Tým sa užívateľ oslobodzuje od povinnosti distribuovať svoj verejný kľúč sám. Okrem toho certifikačné autority poskytujú autentifikáciu, aby sa zabezpečilo, že nikto nemôže generovať kľúče v mene inej osoby.
Elektronické peniaze úplne simulujú skutočné peniaze. Vydávajúca organizácia - vydavateľ - zároveň vydáva ich elektronické analógy, ktoré sa v rôznych systémoch nazývajú odlišne (napríklad kupóny). Ďalej ich kupujú používatelia, ktorí nimi platia za nákupy, a potom ich predajca preplatí od vydavateľa. Pri vydaní je každá peňažná jednotka certifikovaná elektronickou pečaťou, ktorú pred splatením overí emisná štruktúra.
Jednou z vlastností fyzických peňazí je ich anonymita, to znamená, že neuvádza, kto a kedy ich použil. Niektoré systémy analogicky umožňujú kupujúcemu prijímať elektronickú hotovosť takým spôsobom, že spojenie medzi ním a peniazmi nemožno určiť. Toto sa vykonáva pomocou schémy slepého podpisu.
Je tiež potrebné poznamenať, že pri použití elektronické peniaze Nie je potrebná autentifikácia, keďže systém je založený na uvoľnení peňazí do obehu pred ich použitím.
Obrázok 44 znázorňuje platobnú schému využívajúcu elektronické peniaze.
Mechanizmus platby je nasledujúci:
1. Kupujúci si vopred vymení skutočné peniaze za elektronické peniaze. Ukladanie hotovosti u klienta je možné vykonať dvoma spôsobmi, ktoré určuje použitý systém:
Na pevnom disku počítača;
Na čipových kartách.
Rôzne systémy ponúkajú rôzne schémy výmeny. Niektorí si otvárajú špeciálne účty, na ktoré sa prevádzajú prostriedky z účtu kupujúceho výmenou za elektronické účty. Niektoré banky môžu vydávať elektronickú hotovosť samy. Zároveň sa vydáva len na žiadosť klienta, nasleduje jeho prevod do počítača alebo karty tohto klienta a výber peňažného ekvivalentu z jeho účtu. Pri implementácii slepého podpisu si kupujúci sám vytvorí elektronické účty, pošle ich do banky, kde sa po príchode skutočných peňazí na účet overia pečaťou a pošlú späť klientovi.
Spolu s pohodlím takéhoto skladovania má aj nevýhody. Poškodenie disku alebo čipovej karty má za následok nenávratnú stratu elektronických peňazí.
2. Kupujúci prevedie elektronické peniaze za nákup na server predávajúceho.
3. Peniaze sa predložia emitentovi, ktorý overí ich pravosť.
4. Ak sú elektronické účty pravé, účet predávajúceho je navýšený o sumu nákupu a tovar je odoslaný kupujúcemu alebo je poskytnutá služba.
Jedným z dôležitých rozlišovacích znakov elektronických peňazí je schopnosť uskutočňovať mikroplatby. Dôvodom je skutočnosť, že nominálna hodnota bankoviek nemusí zodpovedať skutočným minciam (napríklad 37 kopejok).
Elektronickú hotovosť môžu vydávať banky aj nebankové organizácie. Zatiaľ však nebola vyvinutá jeden systém prevod rôznych druhov elektronických peňazí. Vyplatenú elektronickú hotovosť si preto môžu vyplatiť iba samotní emitenti. Navyše, použitie takýchto peňazí z nefinančných štruktúr nie je garantované štátom. Nízke transakčné náklady však robia z elektronickej hotovosti atraktívny nástroj pre online platby.
Kreditné systémy
Internetové kreditné systémy sú analógmi konvenčných systémov, ktoré pracujú s kreditnými kartami. Rozdiel je v tom, že všetky transakcie sa uskutočňujú cez internet a v dôsledku toho sú potrebné dodatočné bezpečnostné a autentifikačné opatrenia.
Platby cez internet pomocou kreditných kariet sa týkajú:
1. Kupujúci. Klient s počítačom s webovým prehliadačom a prístupom na internet.
2. Vydávajúca banka. Bankový účet kupujúceho sa nachádza tu. Vydávajúca banka vydáva karty a je ručiteľom za finančné záväzky klienta.
3. Predajcovia. Predajcami sa rozumejú servery elektronického obchodu, kde sa vedú katalógy tovarov a služieb a prijímajú sa objednávky zákazníkov.
4. Akvizičné banky. Banky obsluhujúce predajcov. Každý predajca má jednu banku, v ktorej má vedený svoj bežný účet.
5. Internetový platobný systém. Elektronické komponenty, ktoré fungujú ako sprostredkovatelia medzi ostatnými účastníkmi.
6. Tradičný platobný systém. Súbor finančných a technologických prostriedkov na obsluhu kariet tohto typu. Medzi hlavné úlohy riešené platobným systémom patrí zabezpečenie používania kariet ako platobného prostriedku za tovar a služby, využívanie bankových služieb, vykonávanie vzájomných zápočtov a pod. Účastníkmi platobného systému sú fyzické a právnické osoby spojené používaním kreditných kariet.
7. Centrum spracovania platobného systému. Organizácia, ktorá poskytuje informácie a technologickú interakciu medzi účastníkmi tradičného platobného systému.
8. Zúčtovacia banka platobného systému. Úverová organizácia, ktorá v mene spracovateľského centra vykonáva vzájomné zúčtovanie medzi účastníkmi platobného systému.
Všeobecná platobná schéma v takomto systéme je znázornená na obrázku 45.
1. Kupujúci v elektronickom obchode vytvorí košík s tovarom a zvolí spôsob platby „kreditná karta“.
Prostredníctvom obchodu, to znamená, že parametre karty sa zadávajú priamo na webovej stránke obchodu, potom sa prenesú do internetového platobného systému (2a);
Na serveri platobného systému (2b).
Výhody druhého spôsobu sú zrejmé. V tomto prípade informácie o kartách nezostanú v obchode, a preto sa zníži riziko ich prijatia tretími stranami alebo oklamania predajcom. V oboch prípadoch pri prenose údajov o kreditnej karte stále existuje možnosť ich zachytenia útočníkmi v sieti. Aby sa tomu zabránilo, údaje sú počas prenosu šifrované.
Šifrovanie prirodzene znižuje možnosť zachytenia dát v sieti, preto je vhodné vykonávať komunikáciu medzi kupujúcim/predávajúcim, predávajúcim/internetovým platobným systémom, kupujúcim/internetovým platobným systémom pomocou bezpečných protokolov. Najbežnejšími z nich sú dnes protokol SSL (Secure Sockets Layer), ako aj štandard SET (Secure Electronic Transaction), ktorý má časom nahradiť SSL pri spracovaní transakcií súvisiacich s platbami za nákupy kreditnými kartami na internete.
3. Internetový platobný systém odošle žiadosť o autorizáciu klasickému platobnému systému.
4. Ďalší postup závisí od toho, či vydávajúca banka vedie online databázu účtov. Ak existuje databáza, spracovateľské centrum pošle vydávajúcej banke žiadosť o autorizáciu karty (pozri úvod alebo slovník) (4a) a potom (4b) dostane jej výsledok. Ak takáto databáza neexistuje, samotné spracovateľské centrum uchováva informácie o stave účtov držiteľov kariet, stoplisty a plní autorizačné požiadavky. Tieto informácie pravidelne aktualizujú vydávajúce banky.
Obchod poskytuje službu alebo zasiela tovar (8a);
Spracovateľské centrum odošle informáciu o dokončenej transakcii zúčtovacej banke (8b). Peniaze z účtu kupujúceho vo vydávajúcej banke sa prevedú prostredníctvom zúčtovacej banky na účet obchodu v prijímajúcej banke.
Na uskutočnenie takýchto platieb vo väčšine prípadov potrebujete špeciálny softvér. Môže byť dodaná kupujúcemu (nazývaná elektronická peňaženka), predávajúcemu a jeho servisnej banke.
Úvod
1. Elektronické platobné systémy a ich klasifikácia
1.1 Základné pojmy
1.2 Klasifikácia elektronických platobných systémov
1.3 Analýza hlavných elektronických platobných systémov používaných v Rusku
2. Bezpečnostné opatrenia pre elektronické platobné systémy
2.1 Hrozby spojené s používaním elektronických platobných systémov
2.2 Technológie na ochranu elektronických platobných systémov
2.3 Analýza technológií na dosiahnutie súladu základné požiadavky na elektronické platobné systémy
Záver
Bibliografia
ÚVOD
Vysoko špecializovaná téma elektronických platieb a elektronických peňazí, ktorá pred 10 rokmi málokoho zaujímala, sa v poslednom čase stáva aktuálnou nielen pre podnikateľov, ale aj pre koncových užívateľov. Pravdepodobne každý druhý človek, ktorý čo i len občas číta počítačovú alebo populárnu tlač, pozná módne slová „e-business“ a „e-commerce“. Úloha platby na diaľku (prevod peňazí na veľké vzdialenosti) sa presunula zo špeciálnej kategórie do každodennej. Množstvo informácií o tejto problematike však vôbec neprispieva k prehľadnosti v mysliach občanov. Ako z dôvodu zložitosti a koncepčnej nedostatočnosti rozvoja problematiky elektronických platieb, tak aj z dôvodu, že mnohí popularizátori často fungujú na princípe pokazeného telefónu, na každodennej úrovni je samozrejme všetko jasné každému. To je však dovtedy, kým nepríde čas na praktický rozvoj elektronických platieb. Práve tu chýba pochopenie toho, ako vhodné je v určitých prípadoch používanie elektronických platieb.
Medzitým sa úloha prijímania elektronických platieb stáva čoraz dôležitejšou pre tých, ktorí sa chystajú obchodovať cez internet, ako aj pre tých, ktorí sa chystajú cez internet nakupovať. Tento článok je určený pre oboch.
Hlavným problémom pri zvažovaní elektronických platobných systémov pre začiatočníkov je rôznorodosť ich dizajnu a princípov fungovania a skutočnosť, že napriek vonkajšej podobnosti implementácie sa v ich hĺbke môžu skrývať celkom odlišné technologické a finančné mechanizmy.
Rýchly rozvoj popularity globálneho internetu viedol k silnému impulzu pre vývoj nových prístupov a riešení v rôznych oblastiach svetovej ekonomiky. Aj také konzervatívne systémy, akými sú elektronické platobné systémy v bankách, podľahli novým trendom. To sa prejavilo vznikom a vývojom nových platobných systémov – elektronických platobných systémov cez internet, ktorých hlavnou výhodou je, že klienti môžu vykonávať platby (finančné transakcie), čím sa obíde vyčerpávajúca a niekedy aj technicky náročná fáza fyzickej prepravy platobného príkazu. do banky. O implementáciu týchto systémov majú záujem aj banky a bankové inštitúcie, ktoré môžu zvýšiť rýchlosť obsluhy zákazníkov a znížiť režijné náklady na realizáciu platieb.
Elektronické platobné systémy obiehajú informácie, vrátane dôverných informácií, ktoré si vyžadujú ochranu pred prezeraním, modifikovaním a zavádzaním nepravdivých informácií. Vývoj vhodných bezpečnostných technológií zameraných na internet je v súčasnosti veľkou výzvou. Dôvodom je architektúra, základné zdroje a technológie Internetové siete zamerané na organizáciu prístupu alebo zberu otvorené informácie. V poslednom čase sa však objavujú prístupy a riešenia, ktoré naznačujú možnosť využitia štandardných internetových technológií pri budovaní systémov na bezpečný prenos informácií cez internet.
Účelom RGR je analyzovať elektronické platobné systémy a vypracovať odporúčania na používanie každého z nich. Na základe cieľa sú formulované nasledujúce fázy vykonávania RGR:
1. Určiť hlavné úlohy elektronických platobných systémov a princípy ich fungovania, ich vlastnosti.
2. Analyzujte hlavné elektronické platobné systémy.
3. Analyzujte hrozby spojené s používaním elektronických peňazí.
4. Analyzujte bezpečnostné opatrenia pri používaní elektronických platobných systémov.
1. ELEKTRONICKÉ PLATOBNÉ SYSTÉMY A ICH KLASIFIKÁCIA
1.1 Základné pojmy
Elektronické platby. Začnime tým, že je legitímne hovoriť o vzniku elektronických platieb ako typu bezhotovostných platieb v druhej polovici 20. storočia. Inými slovami, prenos informácií o platbách prostredníctvom drôtu existuje už dlho, ale nadobudol zásadne novú kvalitu, keď sa na oboch koncoch drôtov objavili počítače. Informácie sa prenášali pomocou ďalekopisu, ďalekopisu a počítačových sietí, ktoré sa v tom čase objavili. Kvalitatívne nový skok sa prejavil v tom, že sa výrazne zvýšila rýchlosť platieb a sprístupnila sa možnosť ich automatického spracovania.
Následne vznikli aj elektronické ekvivalenty iných druhov platieb - hotovostné platby a iné platobné prostriedky (napríklad šeky).
Elektronické platobné systémy (EPS). Elektronickým platobným systémom nazývame akýkoľvek komplex špecifického hardvéru a softvér, ktorý umožňuje elektronické platby.
Existovať rôznymi spôsobmi a komunikačné kanály pre prístup k EPS. Dnes je najbežnejším z týchto kanálov internet. Šírenie EPS sa zvyšuje, prístup ku ktorému sa vykonáva pomocou mobilný telefón(cez SMS, WAP a iné protokoly). Iné spôsoby sú menej bežné: modem, tónový telefón, telefón cez operátora.
Elektronické peniaze. Nejasný pojem. Ak dôkladne zvážite, čo sa za tým skrýva, ľahko pochopíte, že elektronické peniaze sú nesprávny názov pre „elektronickú hotovosť“, ako aj elektronické platobné systémy ako také.
Toto nedorozumenie v terminológii je spôsobené slobodou prekladu výrazov z angličtiny. Keďže sa elektronické platby v Rusku rozvíjali oveľa pomalšie ako v Európe a Amerike, boli sme nútení používať pevne zavedené termíny. Názvy elektronickej hotovosti ako „digitálna hotovosť“ (e-cash), „digitálne peniaze“, „elektronická hotovosť“ (digitálna hotovosť)2 majú, samozrejme, právo na život.
Vo všeobecnosti pojem „elektronické peniaze“ neznamená nič konkrétne, preto sa v budúcnosti budeme snažiť vyhnúť sa ich používaniu.
Elektronická hotovosť:
Ide o technológiu, ktorá sa objavila v 90. rokoch minulého storočia, umožňujúca elektronické platby, ktoré nie sú priamo viazané na prevod peňazí z účtu na účet v banke alebo inej finančnej organizácii, teda priamo medzi osobami – konečnými účastníkmi. v platbe. Ďalšou dôležitou vlastnosťou elektronickej hotovosti je anonymita platieb, ktoré poskytuje. Autorizačné centrum, ktoré platbu certifikuje, nemá informácie o tom, kto konkrétne peniaze previedol a komu.
Elektronická hotovosť je jedným z typov elektronických platieb. Jednotka elektronickej hotovosti nie je nič iné ako finančný záväzok vystaviteľa (banky alebo inej finančnej inštitúcie), v podstate podobný bežnej zmenke. Platby pomocou elektronickej hotovosti sa objavujú tam, kde je používanie iných platobných systémov nepohodlné. Jasným príkladom je neochota kupujúceho poskytnúť informácie o svojej kreditnej karte pri platbe za tovar na internete.
Po rozhodnutí o terminológii môžeme prejsť k ďalšej fáze nášho rozhovoru - povedzme si o klasifikácii EPS. Keďže EPS sprostredkúva elektronické platby, delenie EPS je založené na rôznych typoch týchto platieb.
Okrem toho hrá v tejto veci veľmi dôležitú úlohu softvérová a/alebo hardvérová technológia, na ktorej je mechanizmus EPS založený.
1.2 Klasifikácia elektronických platobných systémov
Elektronické platobné systémy možno klasifikovať tak na základe špecifík elektronických platieb, ako aj na základe špecifickej technológie, ktorá je základom elektronického platobného systému.
Klasifikácia EPS v závislosti od typu elektronických platieb:
1. Podľa zloženia účastníkov platieb (tabuľka 1).
stôl 1
| Druh elektronických platieb | Platobné strany | Analógový v tradičnom hotovostnom zúčtovacom systéme | Príklad EPS |
| Platby medzi bankami | Finančné inštitúcie | žiadne analógy | |
| B2B platby | Právnické osoby | Bezhotovostné platby medzi organizáciami | |
| С2B platby | Koncoví spotrebitelia tovarov a služieb a právnické osoby – predajcovia | Hotovostné a bezhotovostné platby od kupujúcich predávajúcim | Kreditný pilot |
| C2C platby | Jednotlivci | Priame platby v hotovosti medzi jednotlivcami, poštové a telegrafické prevody |
Ďalej nebudeme uvažovať o tých elektronických platobných systémoch, ktoré sú určené na poskytovanie elektronických platieb typu „bank-to-bank“. Takéto systémy sú mimoriadne zložité, vo väčšej miere ovplyvňujú technologické aspekty fungovania bankového systému a s najväčšou pravdepodobnosťou nie sú zaujímavé pre široké masy našich čitateľov.
Dodatočne je potrebné poznamenať, že existuje ďalší typ platby, ktorý logicky celkom nezapadá do tabuľky 1. Podľa formálnych kritérií úplne spadá do oblasti C2B, no napriek tomu nie je možné ho poskytovať prostredníctvom rozšíreného EPS tohto typu. Mikroplatby sa vyznačujú extrémne nízkymi nákladmi (centy alebo zlomky centov) na tovar. Najcharakteristickejší zo všetkých populárne články Príkladom systému, ktorý implementuje mikroplatby, je predaj vtipov (za cent za kus). Na uskutočňovanie mikroplatieb sú vhodné systémy ako Eaccess a Phonepay.
2. Podľa typu vykonávaných operácií (tabuľka 2).
tabuľka 2
| Druh elektronických platieb | Kde sa používajú? | Príklad EPS |
| Operácie vedenia bankového účtu | Systémy „klientskej banky“ s prístupom cez modem, internet, mobilný telefón a pod. | Operácie pre správu bankového účtu Klientskeho systému |
| Operácie prevodu peňazí bez otvorenia bankového účtu | Systémy prevodu peňazí počítačové siete, podobne ako pri poštových a telegrafických prevodoch | |
| Transakcie s kartovými bankovými účtami | Debetné a kreditné plastové karty | Cyberplat (Cyberpos) |
| Transakcie s elektronickými šekmi a iné bezhotovostné platobné záväzky | Uzavreté systémy medzipodnikových platieb | Cyberplat (Cybercheck) |
| Transakcie s elektronickou (kvázi) hotovosťou | Výpočty s fyzikálnymi osoby, elektronické analógy tokenov a predplatené karty používané ako peňažné náhrady na platbu za tovar |
Treba poznamenať, že systémy typu „klient – banka“ sú známe už pomerne dlho. K svojmu bankovému účtu môžete pristupovať pomocou modemu. Za posledné desaťročie sa objavili nové príležitosti na spravovanie účtu pomocou internetu prostredníctvom používateľsky príjemného webového rozhrania. Táto služba sa volala „Internet banking“ a do platobných systémov typu „klient-banka“ nepriniesla nič zásadné nové. Okrem toho existujú aj ďalšie možnosti prístupu k bankovému účtu napríklad pomocou mobilného telefónu (WAP banking, SMS banking). V tomto ohľade sa v tomto článku nebudeme konkrétne venovať tomuto druhu EPS, len poznamenáme, že v súčasnosti v Rusku poskytuje služby internetového bankovníctva asi 100 komerčných bánk, ktoré využívajú viac ako 10 rôznych EPS.
Klasifikácia EPS v závislosti od použitej technológie:
Jednou z najdôležitejších vlastností EPS je jeho odolnosť proti vlámaniu. Toto je možno najdiskutovanejšia charakteristika takýchto systémov. Ako je zrejmé z tabuľky 3, pri riešení problému zabezpečenia systému je väčšina prístupov k budovaniu elektronického zabezpečovacieho systému založená na utajení určitej centrálnej databázy obsahujúcej kritické informácie. Niektorí z nich sa k tomu zároveň pridávajú tajná základňa Tieto dodatočné úrovne ochrany sú založené na odolnosti hardvéru.
V zásade existujú aj iné technológie, na základe ktorých sa dá EPS postaviť. Napríklad nedávno sa v médiách objavila správa o vývoji EPS na báze CDR diskov zabudovaných do plastovej karty. Avšak podobné systémy sa vo svetovej praxi veľmi nevyužívajú, a preto sa im nebudeme venovať.
Tabuľka 3
| Technológia | Na čom je založená stabilita systému? | Príklad EPS |
| Systémy s centrálnym serverom klient banky, prevod prostriedkov | Utajenie prístupových kľúčov | Telebanka (Gutabanka), "banka internetových služieb" (Avtobank) |
| Smart karty | Hardvérová odolnosť čipových kariet voči hackingu | Mondex, ACCORD |
| Magnetické karty a virtuálne kreditné karty | Pomoc, Elite |
|
| stieracie žreby | Utajenie databázy číslami a kódmi stieracích žrebov | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Súbor/peňaženka vo forme programu na počítači používateľa | Kryptografická sila protokolu výmeny informácií | |
| Platený telefonát | Utajenie centrálnej databázy pomocou PIN kódov a hardvérová stabilita inteligentnej telefónnej siete | Eaccess, Phonepay |
1.3 Analýza hlavných elektronických platobných systémov používaných v Rusku
V súčasnosti sa na ruskom internete používa pomerne veľa elektronických platobných systémov, hoci nie všetky sú široko používané. Je charakteristické, že takmer všetky západné platobné systémy používané na RuNet sú prepojené s kreditnými kartami. Niektorí z nich, napríklad PayPal, oficiálne odmietajú spolupracovať s klientmi z Ruska. V súčasnosti sú najpoužívanejšie systémy:
CyberPlat označuje systémy zmiešaného typu (z pohľadu ktorejkoľvek z vyššie uvedených klasifikácií). V skutočnosti môžeme povedať, že v rámci tohto systému sa pod jednou strechou zhromažďujú tri samostatné: klasický systém „klient-banka“, ktorý klientom umožňuje spravovať účty otvorené v bankách zapojených do systému (11 ruských bánk a 1 lotyšská) ; systém CyberCheck, ktorý vám umožňuje vykonávať bezpečné platby medzi právnickými osobami pripojenými k systému; a internetový akvizičný systém, teda spracovanie platieb prijatých z kreditných kariet - CyberPos. Spomedzi všetkých internetových akvizičných systémov dostupných na ruskom trhu zabezpečuje CyberPlat spracovanie najväčšieho počtu typov kreditných kariet, a to: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; oznámila svoje najbližšie pripojenie k systém kariet STB a karta ACCORD/Bashcard. Zamestnanci spoločnosti neoficiálne tvrdili, že skúmali možnosť prepojenia s inými ruskými kartovými systémami. Okrem uvedeného spoločnosť CyberPlat zabezpečuje spracovanie stieracích žrebov platobného systému E-port a oznámila blížiace sa uvedenie brány do prevádzky so systémom Paycash.
V súčasnosti spoločnosť pre zvýšenie úrovne ochrany pred platbami z ukradnutých kreditných kariet vyvíja špecializovanú technológiu PalPay, ktorá umožňuje predajcovi skontrolovať, či má kupujúci skutočne prístup k bankovému účtu spojenému s kreditnou kartou alebo pozná iba jeho údaje. Uvedenie tejto technológie do prevádzky zatiaľ nebolo oficiálne oznámené.
Systém CyberCheck je veľmi zaujímavý pre organizáciu práce s firemnými partnermi. Jeho hlavnou črtou (v porovnaní s prijímaním platieb kreditnými kartami) je nemožnosť následného odmietnutia platby zo strany platiteľa. Inými slovami, prijatie potvrdenia o platbe od CyberCheck je rovnako spoľahlivé ako prijatie takéhoto potvrdenia od banky, v ktorej sa nachádza účet obchodníka. Všetky tieto vlastnosti robia CyberPlat možno najpokročilejším a najzaujímavejším pre predajcov EPS na ruskom internete.
Assist systém z hľadiska spracovania platieb z kreditných kariet je v mnohých smeroch funkčným analógom CyberPlat. V Moskve jej záujmy zastupuje Alfa Bank. Celkovo je do systému pripojených 5 bánk. Internetový akvizičný subsystém umožňuje prijímať platby z kariet Visa, Mastercard/Eurocard, STB-card. Od septembra neboli platby z iných kartových systémov deklarované na serveri systému Assist v skutočnosti akceptované. Podľa neoficiálnych informácií však v blízkej budúcnosti bude možné akceptovať karty Diners Club, Cirrus Maestro a debetné karty Visa Electron. Zaujímavosťou je, že tento typ kariet zvyčajne akvizičné spoločnosti neakceptujú, no kvôli nízkej cene sú tieto karty veľmi bežné. Odmietnutie prijať debetné karty je zvyčajne motivované obavami o bezpečnosť. Snáď sa ASSISTu podarí tento problém obísť pomocou protokolu SET, ktorého podporu spoločnosť len nedávno oznámila. Na rozdiel od tradičného spôsobu platby plastovými kartami na internete, ktorý umožňuje majiteľovi karty odmietnuť platbu z nej (charge-back), protokol SET zaručuje pravosť transakcie, čím výrazne znižuje riziko pre predajcu.
Spôsob zúčtovania pomocou elektronických certifikátov zakúpených od poskytovateľa internetu, oznámený na stránke Assist, je pomerne zaujímavý, pretože otvára poskytovateľom nové možnosti podnikania, avšak podľa dostupných informácií pre právne ťažkosti donedávna nebol skutočne používa ktokoľvek. Tento stav sa však opäť podľa neoficiálnych informácií čoskoro zmení - už na jeseň 2001 sa možno dočkáme prvej praktickej implementácie tohto spôsobu výpočtu.
Okrem kartových systémov CyberPlat a Assist uvedených v popisoch existujú aj ďalšie, ktoré si získali určitú obľubu na trhu. Discover/NOVUS je široko distribuovaný v Severnej Amerike a môže byť zaujímavý pre tie elektronické obchody, ktoré slúžia západnému publiku. Nie sú nám známe žiadne domáce akvizičné spoločnosti, ktoré by karty tohto systému spracovávali, existuje však množstvo návrhov od sprostredkovateľov zastupujúcich záujmy západných nadobúdateľov. Z ruských kartových systémov sú po STB a Union Card na trhu najvýraznejšie Zolotaya Korona, Sbercard (Sberbank), Universal Card a ICB-card (Promstroybank), ako aj už spomínaná ACCORD karta/Bashcard. „ICB-kartu“ spracováva pár malých akvizičných spoločností, prijímanie platieb cez internet z kariet Zolotaya Korona a Sbercard vraj zabezpečujú priamo vydavatelia a/alebo spriaznené spoločnosti a v prípade Universal Card áno zdá sa, že ich nikto neposkytuje.
Paycash a Webmoney sú svojimi vývojármi umiestnené ako elektronické pokladničné systémy, ale pri bližšom preskúmaní si takýto status môže oprávnene nárokovať iba Paycash.
Vývoj Paycash iniciovala Tavrichesky Bank, no v súčasnosti sú do systému pripojené aj ďalšie banky, napríklad Guta Bank.
Z technologického hľadiska poskytuje Paycash takmer úplnú imitáciu hotovostných platieb. Z jednej elektronickej peňaženky (špecializovaný program, ktorý si klient nainštaluje na svoj počítač) je možné prevádzať peniaze do druhej, pričom je zabezpečená anonymita platby vo vzťahu k banke. Systém sa v Rusku značne rozšíril a v súčasnosti sa pokúša vstúpiť na svetový trh.
Prekážkou Paycash je postup prevodu peňazí do elektronickej peňaženky. Až do nedávnej doby jediná cesta urobiť to znamenalo ísť do pobočky banky a previesť peniaze na systémový účet. Je pravda, že existovali alternatívy - pre používateľov systému Guta Bank Telebank bolo možné prevádzať peniaze z účtu v Guta Bank bez opustenia domova, ale v niektorých prípadoch bolo zrejme jednoduchšie previesť ich priamo na účet predajcu - elektronický obchod bez použitia Paycash ako sprostredkovateľa. Peniaze bolo možné prevádzať aj cez Western Union alebo poštovým/bankovým prevodom, no atraktívnosť tejto cesty bola limitovaná vysokými poplatkami. Pre obyvateľov Petrohradu je tu veľmi exotická príležitosť – zavolať si kuriéra domov za peniaze. Úžasné, ale, bohužiaľ, nie všetci žijeme v hlavnom meste Severu.
Stále nie je možné prevádzať peniaze do Paycash z kreditných kariet. Je to spôsobené tým, že spoločnosti, ktoré podporujú prevádzku kartových systémov, poskytujú svojim klientom možnosť takzvaného „charge back“ – odmietnutia platby „spätne“. „Charge back“ je mechanizmus, ktorý chráni majiteľa kreditnej karty pred podvodníkmi, ktorí môžu použiť jej údaje. V prípade takéhoto odmietnutia nesie dôkazné bremeno predávajúceho, že tovar bol skutočne dodaný skutočnému držiteľovi karty a že by mala byť vykonaná platba. Ale v prípade Paycash je tento druh dôkazu v podstate nemožný – z celkom zrejmých dôvodov. Vyriešiť tento problém má aj spomínaná brána s CyberPlat, ktorá je vo vývoji.
Medzitým to rozbaliť úzke miesto PayCash urobil v systéme dva pomerne rozumné kroky – vydal predplatené stieracie žreby a zabezpečil akceptovanie platieb prostredníctvom prevodného systému Contact, ktorého sadzby sú výrazne nižšie ako poštové sadzby (2,2 % oproti 8 %).
Systém Webmoney je jedným z „priekopníkov“ na trhu elektronických platieb v Rusku. V súčasnosti má medzinárodný charakter. Webmoney má podľa niektorých informácií zástupcov nielen v republikách bývalého ZSSR, ale aj v zahraničí. Prevádzkovateľom systému je autonómna nezisková organizácia „Centrum VM“.
Prevádzkový režim Webmoney je veľmi podobný práci s elektronickou hotovosťou, iba starostlivá a starostlivá analýza umožňuje uistiť sa, že Webmoney v skutočnosti neposkytuje úplnú anonymitu platieb, to znamená, že nie sú skryté pred vlastníkmi systému. Prax Webmoney však ukázala, že táto vlastnosť je skôr výhodná, čo v niektorých prípadoch umožňuje bojovať proti podvodom. VM Center navyše ako samostatnú platenú službu ponúka certifikáciu právnických a fyzických osôb, čo ho prirodzene zbavuje anonymity vo vzťahu k ostatným účastníkom systému. Táto príležitosť je potrebná predovšetkým pre tých, ktorí chcú organizovať poctivý elektronický obchod a chcú presvedčiť potenciálnych kupcov o svojej spoľahlivosti. Webmoney vám umožňuje otvárať účty a prevádzať prostriedky v dvoch menách: rubľoch a dolároch.
Na prístup do systému sa používa program „elektronická peňaženka“. Ďalšími funkciami systému sú prenos krátkych správ z peňaženky do peňaženky, ako aj kreditné transakcie medzi majiteľmi peňaženiek. Na požičiavanie anonymov cez internet bez možnosti násilného vymáhania pôžičky v prípade nesplácania však bude podľa nás málokto súhlasiť.
Na rozdiel od Paycash, Webmoney spočiatku poskytoval možnosť previesť bežnú hotovosť do peňaženky a vyplatiť obsah peňaženiek bez zdĺhavého vypĺňania platobných príkazov v banke, ale z právneho hľadiska dosť zvláštnym spôsobom. . Vo všeobecnosti právna podpora Webmoney, pokiaľ ide o jej prácu s organizáciami, už dlho spôsobila veľa sťažností.
To bol dôvod, prečo si koncoví používatelia aktívne inštalovali „peňaženky“, mnohé elektronické obchody odmietli používať tento EPS. Je pravda, že v súčasnosti sa táto situácia trochu zlepšila a aktívna marketingová pozícia vlastníkov Webmoney vedie k tomu, že imidž systému sa neustále zlepšuje. Jeden z zaujímavé funkcie Táto marketingová stratégia spočívala v tom, že takmer okamžite po svojom vstupe na trh dostal každý možnosť zarobiť si na tomto systéme (niekto si možno pamätá projekt „Nails“ a jeho neskorší vývoj – visit.ru). Rovnako ako Paycash, aj Webmoney vydáva predplatené stieracie žreby určené na vkladanie peňazí do systému.
Dva systémy založené na stieracích žreboch: E-port (držiaci Avtokard) a KreditPilot (Kreditpilot.com) sú ako dvojičky. Obe predpokladajú, že kupujúci si najskôr kúpi stierací žreb s tajným kódom niekde v širokej distribučnej sieti alebo si ho objedná kuriérom domov a potom začne platiť online pomocou tohto kódu v obchodoch, ktoré prijímajú platby z týchto systémov. E-port navyše ponúka možnosť vytvorenia „virtuálnych“ stieracích žrebov prevodom peňazí na účet spoločnosti cez banku alebo cez systém „Webmoney“.
Systém Rapida, ktorý začal fungovať v septembri 2001, rovnako ako predchádzajúce dva, ponúka vloženie peňazí na účet používateľa prostredníctvom stieracích žrebov alebo platby v banke zapojenej do systému. Okrem toho je uvedená možnosť pracovať v režime „Klient-Banka“ a prevádzať peniaze na účty právnických osôb, ktoré nie sú účastníkmi systému, ako aj fyzických osôb bez otvorenia bankového účtu. Prístup do systému je zabezpečený nielen cez internet, ale aj telefonicky pomocou tónovej voľby. Vo všeobecnosti systém vyzerá technologicky vyspelý a veľmi zaujímavý, ale od jeho spustenia do prevádzky zatiaľ neuplynulo dosť času na to, aby sme mohli hovoriť o perspektívach.
EPS, ktoré umožňujú platiť rovnakým spôsobom ako za diaľkové hovory (potom na základe faktúry od telefónnej spoločnosti), sa prvýkrát objavili v Spojených štátoch a mali platiť za prístup k pornografickým zdrojom. V dôsledku systematického podvodného konania mnohých majiteľov takýchto systémov si však medzi kupujúcimi nezískali popularitu a predajcovia s nimi neboli obzvlášť spokojní, pretože tieto systémy mali tendenciu výrazne oneskorovať platby.
Dve domáce implementácie podobného konceptu – Phonepay a Eaccess – sú na samom začiatku svojej cesty. Obidva systémy predpokladajú, že na uskutočnenie platby musí klient zavolať na určité medzimestské číslo v kóde 8-809 (poskytnuté zrejme spoločnosťou MTU-inform), po ktorom sa mu zobrazia niektoré kľúčové informácie. nadiktovaný robotom. V prípade Eaccess ide o PIN kód používaný na prístup k platenému informačnému zdroju a v prípade Phonepay ide o univerzálnu „digitálnu mincu“ pozostávajúcu z 12 číslic jednej z piatich nominály napevno zakódované v systéme Pri pohľade na webové stránky systémov si možno všimnúť, že e-access sa stále postupne rozvíja, zvyšuje sa počet obchodov pripojených k systému, ale Phonepay nepripojil ani jeden obchod, ktorý nepatrí vývojárom do svojho systému.
Podľa môjho názoru majú takéto systémy v Rusku veľmi jednoznačné vyhliadky súvisiace s jednoduchým prístupom k nim koncovým používateľom, avšak rozsah ich použitia bude obmedzený na predaj informačné zdroje. Veľké oneskorenie pri prijímaní platieb (systém ich prevedie do obchodu najskôr, ako kupujúci zaplatí telefónny účet) robí z obchodovania s hmotným majetkom pomocou týchto EPS dosť nerentabilnú činnosť.
Nakoniec treba spomenúť ďalší typ elektronického prenosového systému – špecializované systémy prenosov medzi jednotlivcami, ktoré konkurujú tradičným poštovým a telegrafickým prenosom. Prvými, ktorí obsadili toto miesto, boli také zahraničné systémy ako Western Union a Money Gram. V porovnaní s klasickými prevodmi poskytujú vyššiu rýchlosť a spoľahlivosť platby. Zároveň majú množstvo významných nevýhod, z ktorých hlavnou sú vysoké náklady na ich služby, dosahujúce až 10 % z prestupovej sumy. Ďalším problémom je, že tieto systémy nemožno legálne využívať na systematické prijímanie platieb za tovar. Avšak pre tých, ktorí chcú jednoducho poslať peniaze rodine a priateľom, má zmysel upriamiť svoju pozornosť na tieto systémy, ako aj ich domáce analógy(Anelik a Kontakt). Paycash ani Webmoney im zatiaľ nedokážu konkurovať, keďže niekde v Austrálii alebo Nemecku nie je možné získať hotovosť vytiahnutím z elektronickej peňaženky. Rapida EPS túto možnosť požaduje, ale na webovej stránke zatiaľ nie sú žiadne podrobnosti a geografia kancelárií systému sa nedá porovnávať so systémami, ktoré sú už dostupné na trhu.
Majitelia elektronických obchodov by zrejme mali myslieť predovšetkým na prijímanie peňazí z kreditných kariet a elektronických pokladničných systémov - Webmoney a Paycash. Na základe súhrnu spotrebiteľských charakteristík podľa nášho názoru žiadny zo systémov dostupných na ruskom trhu na prijímanie platieb z kreditných kariet nemôže konkurovať CyberPlat. Všetky ostatné systémy podliehajú voliteľnému použitiu, najmä ak si pamätáte, že rovnaký E-port nemusí byť inštalovaný samostatne, pretože jeho karty sú obsluhované spoločnosťou CyberPlat.
2. OCHRANNÉ PROSTRIEDKY PRE ELEKTRONICKÉ PLATOBNÉ SYSTÉMY
2.1 Hrozby spojené s používaním elektronických platobných systémov
Uvažujme možné hrozby deštruktívne akcie útočníka vo vzťahu k tomuto systému. Aby sme to urobili, pozrime sa na hlavné ciele útoku útočníka. Hlavným cieľom útočníka sú finančné aktíva, respektíve ich elektronické náhrady (surogáty) – platobné príkazy obiehajúce v platobnom styku. Vo vzťahu k týmto nástrojom môže útočník sledovať nasledujúce ciele:
1. Krádež finančného majetku.
2. Zavedenie falošných finančných aktív (narušenie finančnej rovnováhy systému).
3. Porucha systému ( technické ohrozenie).
Špecifikované objekty a ciele útoku sú abstraktného charakteru a neumožňujú analýzu a vývoj potrebných opatrení na ochranu informácií, preto tabuľka 4 poskytuje špecifikáciu objektov a cieľov deštruktívnych účinkov útočníka.
Tabuľka 4 Model možných deštruktívnych akcií útočníka
| Predmet vplyvu | Účel vplyvu | Možné mechanizmy na realizáciu vplyvu. |
| HTML stránky na webovom serveri banky | Náhrada za účelom získania informácií zadaných klientom do platobného príkazu. | Útok na server a nahradenie stránok na serveri. Nahradenie stránok v návštevnosti. Útok na počítač klienta a nahradenie stránok klienta |
| Stránky s informáciami o klientovi na serveri | Získavanie informácií o platbách klienta (klientov). | Útok na server. Dopravný útok. Útok na počítač klienta. |
| Údaje platobného príkazu zadané klientom do formulára | Prijímanie informácií zadaných klientom do platobného príkazu. | Útok na počítač klienta (vírusy atď.). Útok na tieto pokyny, keď sú odosielané cez premávku. Útok na server. |
| Súkromné informácie o klientovi umiestnené v počítači klienta, ktoré nesúvisia s elektronickým platobným systémom | Získavanie dôverných informácií o klientovi. Úprava informácií o klientovi. Vypnutie klientskeho počítača. | Celý komplex známe útoky k počítaču pripojenému na internet. Ďalšie útoky, ktoré vznikajú v dôsledku používania mechanizmov platobného systému. |
| Informácie zo spracovateľského centra banky. | Sprístupnenie a úprava informácií spracovateľského centra a lokálna sieť jar. | Útok na lokálnu sieť pripojenú k internetu. |
Táto tabuľka ukazuje základné požiadavky, ktoré musí spĺňať každý elektronický platobný systém cez internet:
Po prvé, systém musí zabezpečiť ochranu údajov platobného príkazu pred neoprávnenými zmenami a úpravami.
Po druhé, systém by nemal zvyšovať schopnosť útočníka organizovať útoky na počítač klienta.
Po tretie, systém musí chrániť dáta umiestnené na serveri pred neoprávneným čítaním a modifikáciou.
Po štvrté, systém musí poskytovať alebo podporovať systém na ochranu lokálnej siete banky pred vplyvom globálnej siete.
Počas vývoja špecifických systémov ochrany informácií o elektronických platbách, tento model a požiadavky musia byť predmetom ďalších podrobností. Pre aktuálnu prezentáciu sa však takýto detail nevyžaduje.
2.2 Technológie na ochranu elektronických platobných systémov
Vývoj WWW istý čas brzdil fakt, že html stránky, ktoré sú základom WWW, sú statický text, t.j. s ich pomocou je ťažké zorganizovať interaktívnu výmenu informácií medzi používateľom a serverom. Vývojári navrhli mnoho spôsobov, ako rozšíriť možnosti HTML v tomto smere, z ktorých mnohé neboli nikdy široko prijaté. Jedným z najvýkonnejších riešení, ktoré predstavovalo novú etapu vo vývoji internetu, bol návrh spoločnosti Sun použiť Java applety ako interaktívne komponenty spojené s HTML stránkami.
Java applet je program, ktorý je napísaný v programovacom jazyku Java a zostavený do špeciálnych bajtkódov, čo sú kódy nejakého virtuálneho počítača – stroja Java – a líšia sa od kódov procesorov rodiny Intel. Applety sú hosťované na serveri na internete a sťahujú sa do počítača používateľa vždy, keď sa otvorí stránka HTML, ktorá obsahuje volanie tohto apletu.
Na spustenie kódu apletu štandardný prehliadač obsahuje implementáciu enginu Java, ktorý interpretuje bajtové kódy do strojových inštrukcií na procesoroch rodiny Intel (alebo inej rodine procesorov). Schopnosti obsiahnuté v technológii Java appletov vám na jednej strane umožňujú vyvíjať výkonné používateľské rozhrania, organizujú prístup k akýmkoľvek sieťovým zdrojom cez URL, jednoducho využívajú protokoly TCP/IP, FTP atď., no na druhej strane znemožňujú priamy prístup k počítačovým zdrojom. Napríklad aplety nemajú prístup k systém súborov počítač a pripojené zariadenia.
Obdobným riešením na rozšírenie možností WWW je technológia Microsoftu - Active X. Najvýznamnejším rozdielom medzi touto technológiou a Javou je, že komponenty (analógy apletov) sú programy v kóde procesor Intel a skutočnosť, že tieto komponenty majú prístup ku všetkým zdrojom počítača, ako aj rozhraniam a službám systému Windows.
Ďalším menej bežným prístupom k rozšíreniu možností WWW je zásuvný modul Netscape pre technológiu Netscape Navigator. Práve táto technológia sa javí ako najoptimálnejší základ pre budovanie informačných bezpečnostných systémov pre elektronické platby cez internet. Pre ďalšiu diskusiu sa pozrime na to, ako táto technológia rieši problém ochrany informácií webového servera.
Predpokladajme, že existuje nejaký webový server a správca tohto servera je potrebné obmedziť prístup k niektorej časti informačného poľa servera, t.j. organizovať tak, aby niektorí používatelia mali prístup k niektorým informáciám, ale iní nie.
V súčasnosti sa na vyriešenie tohto problému navrhuje množstvo prístupov, najmä mnohé OS, pod ktorým internetové servery fungujú, vyžadujú na prístup do niektorých ich oblastí heslo, t.j. vyžadujú overenie. Tento prístup má dve významné nevýhody: po prvé, údaje sú uložené na samotnom serveri v čistom texte a po druhé, údaje sa prenášajú cez sieť aj v čistom texte. Útočník má teda možnosť zorganizovať dva útoky: na samotný server (hádanie hesla, obídenie hesla atď.) a útok na prevádzku. Fakty o takýchto útokoch sú internetovej komunite všeobecne známe.
Ďalším známym prístupom k riešeniu problému informačnej bezpečnosti je prístup založený na technológii SSL (Secure Sockets Layer). Pri použití SSL je medzi klientom a serverom vytvorený bezpečný komunikačný kanál, cez ktorý sa prenášajú dáta, t.j. Problém prenosu údajov v čistom texte po sieti možno považovať za relatívne vyriešený. Hlavným problémom SSL je konštrukcia kľúčového systému a kontrola nad ním. Pokiaľ ide o problém s ukladaním údajov na server v čistom texte, zostáva nevyriešený.
Ďalšou dôležitou nevýhodou vyššie opísaných prístupov je potreba ich podpory zo strany serverového aj sieťového klientskeho softvéru, čo nie je vždy možné alebo pohodlné. Najmä v systémoch zameraných na masových a neorganizovaných klientov.
Autorom navrhovaný prístup je založený na ochrane samotných html stránok, ktoré sú hlavným nosičom informácií na internete. Podstatou ochrany je, že súbory obsahujúce HTML stránky sú uložené na serveri v zašifrovanej podobe. V tomto prípade kľúč, ktorým sú zašifrované, pozná iba ten, kto ho zašifroval (správca) a klienti (vo všeobecnosti je problém zostavenia systému kľúčov riešený rovnakým spôsobom ako v prípade transparentného súboru šifrovanie).
Klienti pristupujú k zabezpečeným informáciám pomocou zásuvného modulu Netscape pre technológiu Netscape. Tieto moduly sú presnejšie programy softvérové komponenty, ktoré sú spojené s určitými typmi súborov v štandarde MIME. MIME je medzinárodný štandard, ktorý definuje formáty súborov na internete. Existujú napríklad nasledujúce typy súborov: text/html, text/plane, image/jpg, image/bmp atď. Okrem toho norma definuje mechanizmus nastavenia vlastné typy súbory, ktoré môžu definovať a používať nezávislí vývojári.
Používajú sa teda doplnky, ktoré sú spojené s konkrétnymi typmi súborov MIME. Spojenie spočíva v tom, že keď používateľ pristupuje k súborom zodpovedajúceho typu, prehliadač spustí s ním spojený Plug-in a tento modul vykoná všetky akcie na vizualizáciu údajov súboru a spracovanie akcií používateľa s týmito súbormi.
Medzi najznámejšie zásuvné moduly patria moduly, ktoré prehrávajú videá vo formáte avi. Prezeranie týchto súborov nie je súčasťou štandardných možností prehliadačov, ale nainštalovaním príslušného Plug-inu si môžete tieto súbory jednoducho prezerať v prehliadači.
Ďalej sú všetky šifrované súbory definované ako súbory typu MIME v súlade so zavedeným medzinárodným štandardom. "aplikácia/x-shp". Potom sa pomocou technológie a protokolov Netscape vyvinie doplnok na priradenie k typu súboru. Tento modul vykonáva dve funkcie: po prvé vyžaduje heslo a ID používateľa a po druhé vykonáva prácu pri dešifrovaní a odoslaní súboru do okna prehliadača. Tento modul sa inštaluje v súlade so štandardnou objednávkou stanovenou spoločnosťou Netscape na prehliadačoch všetkých klientskych počítačov.
V tomto bode je prípravná fáza prác ukončená a systém je pripravený na prevádzku. Počas prevádzky klienti pristupujú k zašifrovaným HTML stránkam pomocou svojej štandardnej adresy (URL). Prehliadač určí typ týchto stránok a automaticky spustí modul, ktorý sme vyvinuli, pričom doň prenesie obsah zašifrovaného súboru. Modul autentifikuje klienta a po úspešnom dokončení dešifruje a zobrazí obsah stránky.
Pri vykonávaní celého tohto postupu má klient pocit „transparentného“ šifrovania stránok, keďže všetka práca vyššie popísaného systému je pred jeho očami skrytá. Zároveň sú zachované všetky štandardné funkcie obsiahnuté v html stránkach, ako je použitie obrázkov, Java appletov, CGI skriptov.
Je ľahké vidieť, že tento prístup rieši mnohé problémy informačnej bezpečnosti, pretože v otvorenej forme sa nachádza iba na počítačoch klientov, dáta sa prenášajú po sieti v zašifrovanej podobe. Útočník, ktorý sleduje cieľ získať informácie, môže vykonať útok iba na konkrétneho používateľa a žiadny systém zabezpečenia informácií servera ho nedokáže ochrániť pred týmto útokom.
V súčasnosti autor vyvinul dva systémy informačnej bezpečnosti založené na navrhovanom prístupe pre prehliadač Netscape Navigator (3.x) a Netscape Communicator 4.x. Počas predbežný test Zistilo sa, že vyvinuté systémy môžu normálne fungovať pod kontrolou MExplorer, ale nie vo všetkých prípadoch.
Je dôležité poznamenať, že tieto verzie systémov nešifrujú objekty spojené so stránkou HTML: obrázky, aplety skriptov atď.
Systém 1 ponúka ochranu (šifrovanie) skutočných html stránok ako jedného objektu. Vytvoríte stránku a potom ju zašifrujete a skopírujete na server. Pri prístupe na zašifrovanú stránku sa automaticky dešifruje a zobrazí sa v špeciálnom okne. Od serverového softvéru sa nevyžaduje podpora bezpečnostného systému. Všetky šifrovacie a dešifrovacie práce sa vykonávajú na pracovnej stanici klienta. Tento systém je univerzálny, t.j. nezávisí od štruktúry a účelu stránky.
Systém 2 ponúka iný prístup k ochrane. Tento systém zaisťuje, že sa chránené informácie zobrazia v niektorej oblasti vašej stránky. Informácie sú v zašifrovanom súbore (nie nevyhnutne vo formáte html) na serveri. Keď prejdete na svoju stránku, bezpečnostný systém automaticky pristúpi k tomuto súboru, načíta z neho údaje a zobrazí ich v určitej oblasti stránky. Tento prístup vám umožňuje dosiahnuť maximálnu efektivitu a estetickú krásu s minimálnou všestrannosťou. Tie. ukáže sa, že systém je orientovaný na konkrétny účel.
Tento prístup je možné uplatniť aj pri budovaní elektronických platobných systémov cez internet. V tomto prípade sa pri prístupe na určitú stránku Web servera spustí modul Plug-in, ktorý používateľovi zobrazí formulár platobného príkazu. Po vyplnení klientom modul zašifruje platobné údaje a odošle ich na server. Zároveň môže od užívateľa vyžadovať elektronický podpis. Okrem toho je možné čítať šifrovacie a podpisové kľúče z akéhokoľvek média: diskety, elektronické tablety, čipové karty atď.
2.3 Analýza technológií na splnenie základných požiadaviek na elektronické platobné systémy
Vyššie sme opísali tri technológie, ktoré možno použiť na budovanie platobných systémov cez internet: ide o technológiu založenú na apletoch Java, komponentoch Active-X a zásuvných moduloch. Nazvime ich technológie J, AX a P, resp.
Zvážte požiadavku, aby sa nezvyšovala schopnosť útočníka zaútočiť na počítač. Aby sme to urobili, analyzujme jeden z možných typov útokov – nahradenie príslušných modulov ochrany klienta útočníkom. V prípade technológie J sú to applety, v prípade AX ponorné komponenty, v prípade P sú to zásuvné moduly. Je zrejmé, že útočník má možnosť vymeniť ochranné moduly priamo na počítači klienta. Mechanizmy na implementáciu tohto útoku sú nad rámec tejto analýzy, je však potrebné poznamenať, že implementácia tohto útoku nezávisí od príslušnej technológie ochrany. A úroveň zabezpečenia každej technológie je rovnaká, t.j. všetky sú voči tomuto útoku rovnako nestabilné.
Najzraniteľnejším miestom v technológiách J a AX je z pohľadu substitúcie ich sťahovanie z internetu. V tomto momente môže útočník vykonať striedanie. Navyše, ak sa útočníkovi podarí nahradiť tieto moduly na serveri banky, získa prístup ku všetkým objemom informácií o platobnom systéme, ktoré kolujú na internete.
V prípade technológie P nehrozí zámena, keďže modul sa nesťahuje zo siete - je trvalo uložený na počítači klienta.
Dôsledky substitúcie sú rôzne: v prípade J-technológie môže útočník ukradnúť iba informácie zadané klientom (čo je vážna hrozba) a v prípade Active-X a Plug-in môže útočník získať akékoľvek informácie, ku ktorým má klient spustený na počítači prístup.
V súčasnosti si autor nie je vedomý konkrétnych metód implementácie útokov spoofing Java appletov. Zdá sa, že tieto útoky sa vyvíjajú slabo, pretože z toho vyplývajúce príležitosti na kradnutie informácií prakticky neexistujú. Útoky na komponenty Active-X sú však rozšírené a dobre známe.
Zoberme si požiadavku na ochranu informácií, ktoré kolujú v elektronickom platobnom styku cez internet. Je zrejmé, že v tomto prípade je technológia J nižšia ako P aj AX v jednej veľmi významnej otázke. Všetky mechanizmy informačnej bezpečnosti sú založené na šifrovaní alebo elektronickom podpise a všetky zodpovedajúce algoritmy sú založené na kryptografických transformáciách, ktoré vyžadujú zavedenie kľúčových prvkov. V súčasnosti je dĺžka kľúčových prvkov rádovo 32-128 bajtov, takže požadovať od používateľa ich zadávanie z klávesnice je takmer nemožné. Vynára sa otázka: ako ich zadať? Keďže technológie P a AX majú prístup k počítačovým zdrojom, riešenie tohto problému je zrejmé a dobre známe – kľúče sa čítajú z lokálnych súborov, diskiet, tabletov či smart kariet. Ale v prípade technológie J je takýto vstup nemožný, čo znamená, že musíte buď požadovať od klienta, aby zadal dlhú sekvenciu nezmyselných informácií, alebo znížením dĺžky kľúčových prvkov znížiť silu kryptografických transformácií, a tým znížiť spoľahlivosť bezpečnostných mechanizmov. Toto zníženie je navyše veľmi významné.
Zoberme si požiadavku, že elektronický platobný systém musí zabezpečiť ochranu údajov umiestnených na serveri pred neoprávneným čítaním a modifikáciou. Táto požiadavka vyplýva zo skutočnosti, že systém zahŕňa umiestnenie dôverných informácií určených pre používateľa na server. Napríklad zoznam zaslaných platobných príkazov s poznámkou o výsledku spracovania.
V prípade technológie P sú tieto informácie prezentované vo forme HTML stránok, ktoré sú zašifrované a umiestnené na server. Všetky akcie sa vykonávajú v súlade s algoritmom opísaným vyššie (šifrovanie stránok HTML).
V prípade technológií J a AX môžu byť tieto informácie umiestnené v nejakej štruktúrovanej forme do súboru na serveri a komponenty alebo aplety musia vykonávať operácie na čítanie a vizualizáciu údajov. To všetko vo všeobecnosti vedie k zvýšeniu celkovej veľkosti apletov a komponentov a následne k zníženiu rýchlosti načítania príslušných stránok.
Z pohľadu tejto požiadavky vyhráva technológia P vďaka väčšej vyrobiteľnosti, t.j. nižšia réžia vývoja a väčšia odolnosť voči zámene komponentov pri ich prechode cez sieť.
Pokiaľ ide o poslednú požiadavku na ochranu bankovej lokálnej siete, je splnená kompetentnou výstavbou systému firewallov (firewallov) a nezávisí od predmetných technológií.
Vyššie uvedené sa teda vykonalo predbežne komparatívna analýza technológie J, AX a P, z ktorých vyplýva, že technológia J by mala byť použitá, ak je zachovanie stupňa bezpečnosti klientskeho počítača podstatne dôležitejšie ako sila kryptografických transformácií používaných v elektronických platobných systémoch.
Technológia P sa javí ako najoptimálnejšie technologické riešenie, ktoré je základom platobných informačných bezpečnostných systémov, pretože kombinuje výkon štandardná aplikácia Win32 a ochrana pred útokmi cez internet. Praktickú a komerčnú realizáciu projektov s využitím tejto technológie realizuje napríklad spoločnosť Russian Financial Communications.
Čo sa týka technológie AX, jej využitie sa zdá byť neefektívne a nestabilné voči útokom narušiteľov.
ZÁVER
Elektronické peniaze sa čoraz zreteľnejšie začínajú stávať našou každodennou realitou, s ktorou treba minimálne počítať. Obyčajné peniaze v najbližších päťdesiatich rokoch (pravdepodobne) nikto nezruší. Neschopnosť spravovať elektronické peniaze a premeškať príležitosti, ktoré so sebou prinášajú, však znamená dobrovoľne postaviť okolo seba „železnú oponu“, ktorá sa za posledných pätnásť rokov tak ťažko posúvala. Mnoho veľkých spoločností ponúka platbu za svoje služby a tovar prostredníctvom elektronických platieb. To spotrebiteľovi ušetrí veľa času.
Bezplatný softvér na otváranie vašej elektronickej peňaženky a na všetku prácu s peniazmi je maximálne prispôsobený pre masové počítače a po troche cviku nerobí bežnému používateľovi žiadne problémy. Naša doba je dobou počítačov, internetu a elektronického obchodu. Ľudia, ktorí majú znalosti v týchto oblastiach a vhodné nástroje, dosahujú obrovský úspech. Elektronické peniaze sú peniaze, ktoré sa každým dňom rozširujú a otvárajú čoraz viac príležitostí pre človeka, ktorý má prístup na internet.
Účelom výpočtových a grafických prác bolo dokončiť a vyriešiť nasledujúce úlohy:
1. Stanovujú sa hlavné úlohy elektronických platobných systémov a princípy ich fungovania, ich vlastnosti.
2. Analyzujú sa hlavné elektronické platobné systémy.
3. Analyzujú sa hrozby spojené s používaním elektronických peňazí.
4. Analyzujú sa prostriedky ochrany pri používaní elektronických platobných systémov.
BIBLIOGRAFICKÝ ZOZNAM
1. Antonov N.G., Pessel M.A. Peňažný obeh, úvery a banky. -M.: Finstatinform, 2005, s. 179-185.
2. Portfólio banky - 3. -M.: Somintek, 2005, s. 288-328.
3. Michajlov D.M. Medzinárodné platby a záruky. M.: FBK-PRESS, 2008, s. 20-66.
4. Polyakov V.P., Moskovkina L.A. Štruktúra a funkcie centrálnych bánk. Zahraničné skúsenosti: Učebnica. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Bezpečnosť systémov elektronického bankovníctva. - M: United Europe, 2004
6. Demin V.S. a iné Automatizované bankové systémy. - M: Menatep-Inform, 2007
7. Krysin V.A. Bezpečnosť podnikania. - M: Financie a štatistika, 2006
8. Linkov I.I. a iné.Informačné divízie v obchodných štruktúrach: ako prežiť a uspieť. - M: NIT, 2008
9. Titorenko G.A. a iné.. Elektronizácia bankových činností. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Distribuované siete. - Petrohrad: Peter, 2008
12. Aglitsky I. Stav a perspektívy informačnej podpory pre ruské banky. - Bankové technológie, 2007 č.1.
Doučovanie
Potrebujete pomôcť so štúdiom témy?
Naši špecialisti vám poradia alebo poskytnú doučovacie služby na témy, ktoré vás zaujímajú.
Odošlite žiadosť s uvedením témy práve teraz, aby ste sa dozvedeli o možnosti konzultácie.
3. Ochrana elektronických platieb
Problém bankovej bezpečnosti je obzvlášť akútny, pretože bankové informácie, po prvé predstavuje skutočné peniaze a po druhé ovplyvňuje dôverné záujmy veľkého počtu klientov bánk.
Veľkosť trhu elektronického obchodu v roku 2000
| Veľkosť a vlastnosti trhu | Odhad, doláre |
| Celkové náklady na všetky nákupy produktov cez internet | 4,5-6 miliárd |
| Celková cena všetkých nákupov na priemerného kupujúceho | 600-800 |
| Priemerná cena nákupu na jednu internetovú transakciu | 25-35 |
| Plný objem transakcií nákupu cez internet | 130-200 miliónov |
| Podiel online nákupov produktov | 60-70% |
| Podiel nákupov dodaného tovaru | 30-40% |
Všeobecná schéma fungovania elektronických platobných systémov
Banka, ktorá uzatvorila zmluvu so systémom a získala príslušnú licenciu, môže vystupovať v dvoch funkciách – ako emitent platobných nástrojov tohto systému, akceptovaných na platbu všetkými ostatnými zúčastnenými bankami, a ako nadobúdajúca banka obsluhujúca podniky, ktoré prijímať na úhradu platobné prostriedky tohto systému vydané inými vydavateľmi a prijímať tieto platobné prostriedky na inkaso vo svojich pobočkách.
Postup prijatia platby je pomerne jednoduchý. V prvom rade musí pokladník podniku overiť pravosť karty pomocou vhodných charakteristík.
Pri platbe musí spoločnosť preniesť údaje z karty klienta na špeciálny šek pomocou kopírovacieho stroja - imprintera, zadať do šeku sumu, za ktorú bol nákup alebo poskytnuté služby, a získať podpis klienta.
Takto vystavený šek sa nazýva ústrižok. Pre bezpečné vykonávanie transakcií platobný systém odporúča nižšie limity súm pre rôzne regióny a typy podnikania, pre ktoré je možné vykonávať platby bez autorizácie. Pri prekročení limitu alebo pri pochybnostiach o totožnosti klienta je spoločnosť povinná vykonať autorizačný proces.
Bez toho, aby sme sa zaoberali technickými aspektmi postupu, upozorňujeme, že pri autorizácii spoločnosť vlastne získava prístup k informáciám o stave klientskeho účtu a získava tak možnosť zistiť vlastníctvo karty klientom a jeho platobnú schopnosť. vo výške transakcie. Jedna kópia potvrdenky zostáva u spoločnosti, druhá sa odovzdá klientovi, tretia sa doručí preberajúcej banke a slúži ako podklad na vrátenie sumy platby spoločnosti z účtu klienta.
V posledných rokoch sú veľmi obľúbené POS terminály, pri ktorých nie je potrebné vypĺňať bločky. Údaje o karte sa načítajú z magnetického prúžku na čítačke zabudovanej v POS termináli, z klávesnice sa zadá suma transakcie a terminál cez zabudovaný modem požiada o autorizáciu príslušný platobný systém. V tomto prípade sa využívajú technické možnosti spracovateľského centra, ktorého služby poskytuje obchodníkovi banka. V tomto prípade spoločnosť nahlási banke kópiou pokladničnej pásky so vzorom podpisu klienta a dávkovými súbormi, ktoré terminál generuje na konci prevádzkového dňa.
V posledných rokoch sa naň upozorňuje čoraz viac bankové systémy využívajúce mikroprocesorové karty.
Navonok sa tieto pamäťové médiá nelíšia od bežných kariet, s výnimkou pamäťového čipu alebo mikroprocesora prispájkovaného vo vnútri karty a plátkov kontaktov zobrazených na jej povrchu.
Zásadný rozdiel medzi týmito kartami a všetkými vyššie uvedenými je v tom, že priamo nesú informácie o stave klientskeho účtu, keďže samotné sú tranzitným účtom. Je jasné, že každé odberné miesto takýchto kariet musí byť vybavené špeciálnym POS terminálom (s čítačkou čipov).
Aby mohol klient kartu používať, musí si ju načítať zo svojho účtu na bankovom termináli. Všetky transakcie prebiehajú v režime OFF-LINE počas dialógu karta - terminál alebo klientska karta - karta obchodníka.
Takýto systém je takmer úplne bezpečný vďaka vysokému stupňu bezpečnosti čipu a úplnej schéme debetných platieb. Navyše, hoci je samotná karta podstatne drahšia ako bežná, systém počas prevádzky vychádza ešte lacnejší vďaka tomu, že režim OFF-LINE nevyužíva telekomunikačnú záťaž.
Elektronické platby pomocou plastových bankových kariet rôzne druhy predstavujú pomerne flexibilný a univerzálny mechanizmus pre zúčtovanie v reťazci „Banka 1 - Klient - Podnik - Banka 2“ a medzibankové zúčtovanie typu „Banka 1 - ... - Banka N“. Avšak práve všestrannosť týchto platobných nástrojov z nich robí obzvlášť atraktívny cieľ podvodov. Ročné náklady na straty súvisiace so zneužívaním dosahujú značnú sumu, aj keď relatívne nízke v porovnaní s celkovým obratom.
Bezpečnostný systém a jeho vývoj nemožno posudzovať izolovane od spôsobov nelegálnych transakcií plastovými kartami, ktoré možno rozdeliť na tzv. 5 hlavných druhov trestných činov.
1. Operácie s falošnými kartami.
Tento typ podvodu predstavuje najväčší podiel strát platobného styku. Pre vysokú technickú a technologickú bezpečnosť reálnych kariet sa v poslednej dobe podomácky vyrobené karty používajú len zriedka a dajú sa identifikovať pomocou jednoduchej diagnostiky.
Na falšovanie sa spravidla používajú odcudzené polotovary kariet, na ktorých sú aplikované bankové a klientske údaje. Zločinci, ktorí sú technicky vysoko vybavení, môžu dokonca písať informácie na magnetický prúžok karty alebo ich kopírovať, jedným slovom, vykonávať falšovanie na vysokej úrovni.
Páchateľmi takýchto činov sú spravidla organizované zločinecké skupiny, ktoré niekedy spolupracujú so zamestnancami emisných bánk, ktorí majú prístup k informáciám o klientskych účtoch a transakčných postupoch. Vzdávajúc hold medzinárodnej zločineckej komunite, treba poznamenať, že falošné karty sa objavili v Rusku takmer súčasne so začiatkom rozvoja tohto sektora bankového trhu.
2. Transakcie s odcudzenými/stratenými kartami.
Ukradnutou kartou je možné spôsobiť veľké škody len vtedy, ak podvodník pozná PIN kód klienta. Potom je možné vybrať veľkú sumu z účtu klienta prostredníctvom siete elektronických bankomatov skôr, než banka, ktorá vydala ukradnutú kartu, stihne zaradiť ju na elektronický stoplist (zoznam neplatných kariet).
3. Viacnásobné platby za služby a tovar pre sumy nepresahujúce „dolnú hranicu“ a nevyžadujúce autorizáciu. Na uskutočnenie platieb musí zločinec iba sfalšovať podpis klienta. S touto schémou sa však najatraktívnejší predmet zneužívania stáva nedostupným - hotovosť. Táto kategória zahŕňa trestné činy týkajúce sa odcudzenia kariet počas ich odosielania bankou, ktorá ich vydala, svojim klientom poštou.
4. Podvod s objednávkou poštou/telefonicky.
Tento druh kriminality sa objavil v súvislosti s rozvojom služby doručovania tovarov a služieb na poštovú alebo telefonickú objednávku klienta. Zločinec, ktorý pozná číslo kreditnej karty svojej obete, ho môže uviesť na objednávkovom formulári a po prijatí príkazu v mieste prechodného bydliska utiecť.
5. Viacnásobné výbery z účtu.
Tieto trestné činy zvyčajne páchajú zamestnanci právnická osoba, prijímanie platby od klienta za tovary a služby kreditnou kartou a uskutočňuje sa vystavením viacerých platobných šekov na jednu platobnú skutočnosť. Na základe predložených šekov je na účet spoločnosti pripísaných viac peňazí, ako sú náklady na predaný tovar alebo poskytnuté služby. Po dokončení niekoľkých transakcií je však zločinec nútený zavrieť alebo opustiť podnik.
Aby sa predišlo takýmto činnostiam, používateľom kariet sa odporúča, aby si pri transakciách (aj pri malých sumách) dávali väčší pozor na podpísané dokumenty.
Metódy používané bezpečnostnými oddeleniami možno rozdeliť do dvoch hlavných kategórií. Prvá a možno aj najdôležitejšia rovina súvisí s technickým zabezpečením samotnej plastovej karty. Teraz môžeme s istotou povedať, že z technologického hľadiska je karta chránená lepšie ako bankovky a vyrobiť si ju svojpomocne bez použitia sofistikovaných technológií je takmer nemožné.
Karty akéhokoľvek platobného systému spĺňajú prísne stanovené štandardy. Mapa má štandardný tvar. Identifikačné číslo banky v systéme (BIN kód) a číslo bankového účtu klienta, jeho meno a priezvisko, dátum expirácie karty sú vyrazené a umiestnené na presne určených miestach na prednej strane karty. Nechýba ani symbol platobného systému vyhotovený holografickým spôsobom. Posledné štyri číslice čísla karty sú vyrazené (reliéfne vytlačené) priamo na holografický symbol, čo znemožňuje kopírovanie hologramu alebo opätovné vytlačenie kódu bez zničenia symbolu.
Na zadnej strane karty je magnetický prúžok a plocha so vzorovým podpisom majiteľa. Podrobnosti o samotnom platobnom systéme, bezpečnostné značky, symboly, ktoré bránia kopírovaniu informácií, sú zaznamenané na magnetickom prúžku v presne definovaných pozíciách a pomocou kryptografických algoritmov a informácie vytlačené na prednej strane karty sú duplikované. Oblasť s podpisom majiteľa má špeciálny náter. Pri najmenšom pokuse o vymazanie alebo preposlanie podpisu sa povlak zničí a objaví sa podklad inej farby s bezpečnostnými symbolmi platobného systému.
Zvyšná plocha karty je plne k dispozícii vydávajúcej banke a je ľubovoľne zdobená symbolmi banky, jej reklamou a informáciami potrebnými pre klientov. Samotná karta je chránená znakmi, ktoré sú viditeľné iba pod ultrafialovým svetlom.
Medzi technické ochranné opatrenia patrí aj ochrana bankovej komunikácie, bankových sietí pred nelegálnymi prienikmi, poruchami a inými vonkajšími vplyvmi vedúcimi k úniku či dokonca zničeniu informácií. Ochrana je vykonávaná softvérom a hardvérom a je certifikovaná autorizovanými organizáciami platobného styku.
Do druhej kategórie ochranných opatrení patria opatrenia na zamedzenie úniku informácií z bankových oddelení pre prácu s plastovými kartami. Hlavnou zásadou je jasné vymedzenie služobných povinností zamestnancov a v súlade s tým obmedzenie prístupu k utajovaným skutočnostiam v rozsahu nepresahujúcom minimum potrebné na prácu.
Tieto opatrenia znižujú riziko a možnosť dohôd zločincov so zamestnancami. Pre zamestnancov sa konajú tematické semináre na zlepšenie ich zručností. Platobné systémy pravidelne distribuujú bezpečnostné bulletiny, v ktorých zverejňujú oficiálne materiály a štatistiky o trestnej činnosti týkajúcej sa kariet, hlásia známky zločincov a známky vstupu falošných kariet do nelegálneho obehu. Prostredníctvom bulletinov sa školí personál a organizujú sa preventívne a špeciálne aktivity zamerané na znižovanie kriminality.
Osobitná pozornosť sa venuje personálnemu výberu zamestnancov oddelenia. Za všetky bezpečnostné záležitosti zodpovedá špecializovaný bezpečnostný dôstojník. Spomedzi preventívnych opatrení má najvýznamnejšie miesto práca s klientmi zameraná na zvýšenie kultúrnej úrovne nakladania s „plastovými peniazmi“. Opatrné a starostlivé zaobchádzanie s kartou výrazne znižuje pravdepodobnosť, že sa stanete obeťou trestného činu.
Analýza priestupkov v elektronickom zúčtovacom a platobnom styku
Medzi odborníkmi je dobre známe, že rýchly pád Nórska v druhej svetovej vojne bol do značnej miery spôsobený tým, že kódy britského kráľovského námorníctva prelomili nemeckí kryptografi, ktorí použili presne tie isté metódy, aké použili špecialisti Kráľovského námorníctva Room 40 proti Nemecku v predchádzajúcom období. vojna.
Od druhej svetovej vojny sa nad používaním kryptografie vládou odhrnul závoj tajomstva. Nie je to prekvapujúce a nie je to spôsobené len studenou vojnou, ale aj neochotou byrokratov (v akejkoľvek organizácii) priznať svoje chyby.
Pozrime sa na niektoré spôsoby, akými boli podvody s bankomatmi skutočne spáchané. Cieľom je analyzovať nápady dizajnérov zamerané na teoretickú nezraniteľnosť ich produktu a poučiť sa z toho, čo sa stalo.
Začnime niekoľkými jednoduchými príkladmi, ktoré ukazujú niekoľko typov podvodov, ktoré možno vykonať bez veľkého technického triku, ako aj bankové postupy, ktoré ich umožňujú.
Je všeobecne známe, že magnetický prúžok na karte zákazníka musí obsahovať iba číslo jeho účtu a jeho osobné identifikačné číslo (PIN) sa získa zašifrovaním čísla účtu a získaním štyroch číslic z výsledku. Bankomat teda musí byť schopný vykonávať šifrovanie alebo inak vykonávať overenie PIN (napr. interaktívny dopyt).
Winchester Crown Court v Anglicku nedávno odsúdil dvoch zločincov, ktorí použili jednoduchú, ale účinnú schému. Stáli v radoch pri bankomatoch, prezerali si PIN kódy zákazníkov, vyberali z bankomatu odmietnuté karty a kopírovali z nich čísla účtov na prázdne karty, ktoré slúžili na vykrádanie účtov zákazníkov.
Tento trik bol použitý (a ohlásený) pred niekoľkými rokmi v banke v New Yorku. Páchateľom bol vyhodený bankomat a podarilo sa mu ukradnúť 80-tisíc dolárov skôr, ako ho pri čine prichytila banka, ktorá mala v okolí ochranku.
Tieto útoky boli úspešné, pretože banky vytlačili celé číslo účtu zákazníka na bankovú kartu a navyše na magnetickom prúžku nebola žiadna kryptografická redundancia. Mysleli by ste si, že New York Bank sa poučí, ale nie.
Ďalší typ technického útoku sa spolieha na skutočnosť, že mnohé siete bankomatov nešifrujú správy a nevykonávajú autentifikačné procedúry pri autorizácii transakcie. To znamená, že útočník môže zaznamenať odpoveď z banky do bankomatu „Autorizujem platbu“ a potom záznam prehrať, kým sa bankomat nevyprázdni. Túto techniku, známu ako „vypitvanie“, nepoužívajú iba útočníci zvonku. Je známy prípad, keď operátori bánk použili sieťové kontrolné zariadenie na „vypitvanie“ bankomatov spolu s komplicmi.
Ďalším zdrojom problémov sú testovacie transakcie
Pre jeden typ bankomatu sa na testovanie vydávania desiatich bankoviek použila štrnásťmiestna postupnosť tlačidiel. Istá banka túto sekvenciu vytlačila vo svojom manuáli na používanie vzdialených bankomatov. O tri roky neskôr zrazu začali miznúť peniaze. Pokračovali, kým všetky banky používajúce tento typ bankomatov neaktivovali softvérové záplaty, aby zabránili testovacej transakcii.
Najrýchlejšie rastúce podvody sú tie, ktoré zahŕňajú používanie falošných terminálov na zhromažďovanie zákazníckych účtov a PIN kódov. Útoky tohto druhu boli prvýkrát opísané v Spojených štátoch v roku 1988. Podvodníci postavili stroj, ktorý akceptuje akúkoľvek kartu a vydá balíček cigariet. Tento vynález bol umiestnený v obchode a PIN kódy a dáta z magnetických kariet boli prenášané cez modem. Trik sa rozšíril po celom svete.
Technici tiež kradnú peniaze od zákazníkov, pretože vedia, že ich sťažnosti budú pravdepodobne ignorované. V jednej banke v Škótsku inžinier helpdesku pripojil počítač k bankomatu a zaznamenal čísla účtov zákazníkov a kódy PIN. Potom sfalšoval karty a ukradol peniaze z účtov. Klienti sa opäť sťažovali na prázdne steny. Banka bola za túto prax verejne kritizovaná jedným z najvyšších škótskych právnych predstaviteľov.
Účelom použitia štvormiestneho PINu je, že ak niekto nájde alebo ukradne bankovú kartu inej osoby, existuje šanca 1 ku desaťtisíc náhodne uhádnuť kód. Ak sú povolené len tri pokusy o zadanie PIN, potom je pravdepodobnosť výberu peňazí z ukradnutej karty menšia ako jedna k trom tisíckam. Niektorým bankám sa však podarilo znížiť diverzitu o štyri čísla.
Niektoré banky sa neriadia vzorom získavania PIN kryptografickou konverziou čísla účtu, ale použitím náhodne vybraného PIN (alebo umožnením výberu zákazníkovi) a následnou kryptotransformáciou, aby si ho zapamätali. Okrem toho, že tento prístup umožňuje zákazníkovi vybrať si PIN, ktorý sa dá ľahko uhádnuť, prináša aj niektoré technické úskalia.
Niektoré banky uchovávajú v evidencii zašifrovanú hodnotu PIN. To znamená, že programátor môže získať zašifrovanú hodnotu svojho vlastného PIN a vyhľadať v databáze všetky ostatné účty s rovnakým PIN.
Jedna veľká britská banka dokonca napísala na magnetický prúžok karty zašifrovaný PIN kód. Zločineckej komunite trvalo pätnásť rokov, kým si uvedomila, že môže nahradiť číslo účtu na magnetickom prúžku vlastnej karty a následne ho použiť s vlastným PINom na krádež z účtu.
Z tohto dôvodu systém VISA odporúča bankám, aby pred šifrovaním spojili číslo účtu zákazníka s jeho PIN. Nie všetky banky to však robia.
Sofistikovanejšie útoky boli doteraz spojené s jednoduchou implementáciou a chybami v prevádzkových postupoch. Profesionálni výskumníci v oblasti bezpečnosti majú tendenciu považovať takéto chyby za nezaujímavé, a preto sa zamerali na útoky založené na jemnejších technických chybách. Bankovníctvo má aj množstvo bezpečnostných slabín.
Hoci high-tech útoky na bankové systémy sú zriedkavé, sú zaujímavé z pohľadu verejnosti, pretože vládne iniciatívy, ako je EU Information Security Technology Evaluation Criteria (ITSEC), majú za cieľ vyvinúť súbor produktov, ktoré sú certifikované podľa známych technických chyby. Návrhy, z ktorých vychádza tento program, sú, že implementácia a procesné postupy príslušných produktov budú v podstate bezchybné a že útok si vyžaduje technické školenie porovnateľné s výcvikom personálu vládnej bezpečnostnej agentúry. Tento prístup je zrejme vhodnejší pre vojenské systémy ako pre civilné.
Aby sme pochopili, ako sa vykonávajú sofistikovanejšie útoky, je potrebné sa na bankovú bezpečnosť pozrieť podrobnejšie.
Problémy súvisiace s bezpečnostnými modulmi
Nie všetky bezpečnostné produkty majú rovnakú kvalitu a len málo bánk má vyškolených odborníkov, ktorí dokážu rozlíšiť dobré produkty od priemerných.
V reálnej praxi sa vyskytujú určité problémy so šifrovacími produktmi, najmä so starým bezpečnostným modulom IBM 3848 alebo modulmi, ktoré sa v súčasnosti odporúčajú pre bankové organizácie.
Ak banka nemá hardvérovo implementované bezpečnostné moduly, funkcia šifrovania PIN kódu bude softvérovo implementovaná s príslušnými nežiaducimi následkami. Softvér bezpečnostného modulu môže obsahovať body prerušenia na ladenie softvérových produktov inžiniermi výrobcu. Na túto skutočnosť sa upozornilo, keď sa ho jedna z bánk rozhodla zaradiť do siete a systémový inžinier výrobcu nedokázal zabezpečiť chod požadovanej brány. Aby svoju prácu dokončil, použil jeden z týchto trikov na extrahovanie PINov zo systému. Existencia takýchto bodov prerušenia znemožňuje vytvorenie spoľahlivých postupov na správu bezpečnostných modulov.
Niektorí výrobcovia bezpečnostných modulov takéto útoky napomáhajú. Napríklad sa používa metóda na generovanie pracovných kľúčov na základe času dňa a výsledkom je, že sa v skutočnosti použije iba 20 kľúčových bitov namiesto očakávaných 56. Podľa teórie pravdepodobnosti teda na každých 1 000 vygenerovaných kľúčov dvaja sa zhodujú.
To umožňuje jemné zneužitie, pri ktorom útočník manipuluje s bankovou komunikáciou tak, že transakcie z jedného terminálu sú nahradené transakciami z iného.
Programátori jednej banky si nelámali hlavu ani s problémami spojenými so zadávaním klientskych kľúčov do šifrovacích programov. Jednoducho nainštalovali ukazovatele na kľúčové hodnoty do oblasti pamäte, ktorá sa pri spustení systému vždy vynuluje. Výsledok toto rozhodnutie ukázalo sa, že skutočný a testovacích systémov používali rovnaké úložné priestory na kľúče. Technici banky si uvedomili, že môžu získať zákaznícke PIN kódy na testovacom zariadení. Viacerí z nich kontaktovali miestnych kriminálnikov, aby vybrali PIN kódy pre ukradnuté bankové karty. Keď bezpečnostný manažér banky prezradil, čo sa deje, zahynul pri autonehode (a miestna polícia „stratila“ všetok relevantný materiál). Banka sa neobťažovala posielať svojim zákazníkom nové karty.
Jedným z hlavných účelov bezpečnostných modulov je zabrániť programátorom a zamestnancom pristupujúcim k počítačom získať kľúčové bankové informácie. Utajenie, ktoré poskytujú elektronické komponenty bezpečnostných modulov, však často neodolá pokusom o kryptografický prienik.
Bezpečnostné moduly majú svoje vlastné hlavné kľúče na interné použitie a tieto kľúče sa musia uchovávať na špecifickom mieste. Záložná kópia kľúča sa často uchováva v ľahko čitateľnej forme, ako je PROM, a kľúč je možné z času na čas prečítať, napríklad keď sa kontrola nad súborom kľúčov zóny a terminálu prenáša z jedného bezpečnostného modulu na ďalší. V takýchto prípadoch je banka v procese vykonávania tejto operácie úplne vydaná na milosť a nemilosť odborníkom.
Problémy spojené s dizajnovými technológiami
Poďme stručne diskutovať o technológii návrhu ATM. V starších modeloch bol kód šifrovacieho programu umiestnený na nesprávnom mieste - v ovládacom zariadení a nie v samotnom module. Riadiace zariadenie malo byť umiestnené v tesnej blízkosti modulu v určitej oblasti. No veľké množstvo bankomatov sa v súčasnosti nenachádza v tesnej blízkosti budovy banky. Na jednej univerzite v Spojenom kráľovstve bol bankomat umiestnený na akademickej pôde a posielal naň nešifrované čísla účtov a PIN kódy telefónna linka do riadiacej jednotky pobočky, ktorá sa nachádzala niekoľko kilometrov od mesta. Každý, kto sa obťažoval používať zariadenie na odpočúvanie telefónnej linky, mohol falšovať karty po tisícoch.
Aj v prípadoch, keď je zakúpený jeden z najlepších produktov, existuje veľké množstvo možností, pri ktorých nesprávna implementácia alebo nedomyslené technologické postupy vedú banke k problémom. Väčšina bezpečnostných modulov vracia rozsah návratových kódov pre každú transakciu. Niektoré z nich, ako napríklad „chyba parity kľúča“, upozorňujú, že programátor experimentuje s modulom, ktorý sa práve používa. Len málo bánk sa však obťažovalo napísať ovládač zariadenia potrebný na zachytenie týchto upozornení a podľa toho konať.
Existujú prípady, keď banky uzatvorili subdodávky na celý systém bankomatov alebo jeho časť s firmami, ktoré „poskytujú súvisiace služby“ a týmto firmám preniesli PIN kódy.
Vyskytli sa aj prípady, keď si PIN kódy zdieľali dve alebo viaceré banky. Aj keď sa všetci zamestnanci banky považujú za dôveryhodných, externé firmy nemusia dodržiavať bezpečnostné politiky špecifické pre banky. Zamestnanci v týchto firmách nie sú vždy riadne preverení, sú pravdepodobne nedostatočne platení, zvedaví a bezohľadní, čo môže viesť k vymysleniu a vykonaniu podvodu.
Mnohé z popísaných manažérskych chýb sú založené na nedostatočnom rozvoji psychologickej časti projektu. Pobočky bánk a výpočtové strediská by sa mali pri vykonávaní svojej každodennej práce riadiť štandardnými postupmi, ale prísne sa budú pravdepodobne dodržiavať len tie kontrolné postupy, ktorých účel je jasný. Napríklad zdieľanie kľúčov od pobočkového trezoru medzi manažérom a účtovníkom je dobre pochopiteľné: chráni ich to oboch pred zajatím ich rodín ako rukojemníkov. Kryptografické kľúče nie sú často zabalené v užívateľsky príjemnej forme, a preto je nepravdepodobné, že by sa správne používali. Čiastočnou odpoveďou by mohli byť zariadenia, ktoré skutočne pripomínajú kľúče (po vzore kryptografických kľúčov rozbušiek jadrových zbraní).
O zlepšovaní operačných postupov by sa dalo písať veľa, ale ak je cieľom zabrániť tomu, aby sa akýkoľvek kryptografický kľúč dostal do rúk niekoho, kto má technické schopnosti ho zneužiť, potom musí byť v manuáloch a školiacich kurzoch explicitný cieľ. Princíp „bezpečnosti nejasnosťou“ často spôsobí viac škody ako osohu.
Rozdelenie kľúčov
Distribúcia kľúčov predstavuje osobitný problém pre pobočky bánk. Ako viete, teória vyžaduje, aby každý z dvoch bankárov zadal svoj vlastný kľúčový komponent, takže ich kombináciou získate hlavný kľúč terminálu. PIN kód zašifrovaný na hlavnom kľúči terminálu sa odošle do bankomatu počas prvej transakcie po údržbe.
Ak technik bankomatu dostane oba kľúčové komponenty, môže dešifrovať PIN a falošné karty. V praxi manažéri pobočiek, ktorí držia kľúče, ich takmer radi odovzdajú technikovi, pretože nechcú stáť vedľa bankomatu, kým sa obsluhuje. Navyše zadanie klávesu terminálu znamená používanie klávesnice, čo starší manažéri považujú za pod svoju dôstojnosť.
Zle spravovať kľúče je bežnou praxou. Je známy prípad, keď inžinier z personálu údržby dostal oba mikroobvody s hlavnými kľúčmi. Hoci teoreticky existovali postupy dvojitej kontroly, bezpečnostní úradníci čipy odovzdali, pretože boli použité posledné kľúče a nikto nevedel, čo má robiť. Inžinier mohol urobiť viac ako len falšovať karty. Mohol odísť s kľúčmi a zastaviť všetky operácie bankových bankomatov.
Nie je nezaujímavé, že kľúče sú častejšie uložené v otvorených súboroch ako v chránených. Týka sa to nielen kľúčov od bankomatov, ale aj kľúčov pre medzibankové zúčtovacie systémy ako SWIFT, ktoré spracovávajú transakcie v hodnote miliárd. Bolo by rozumné použiť inicializačné kľúče, ako sú terminálové kľúče a kľúče zóny, iba raz a potom ich zničiť.
Kryptanalytické hrozby
Kryptanalytici pravdepodobne predstavujú najmenšiu hrozbu pre bankové systémy, ale nemožno ich úplne vylúčiť. Niektoré banky (vrátane veľkých a známych) stále používajú domáce kryptografické algoritmy vytvorené v rokoch pred DES. V jednej dátovej sieti boli bloky údajov jednoducho „premiešané“ pridaním konštanty. Tento spôsob nebol päť rokov kritizovaný, napriek tomu, že sieť využívalo viac ako 40 bánk. Okrem toho všetci odborníci na poistenie, audit a bezpečnosť týchto bánk zjavne čítali systémové špecifikácie.
Aj keď sa použije „slušný“ algoritmus, môže byť implementovaný s nevhodnými parametrami. Niektoré banky napríklad implementovali algoritmus RSA s dĺžkami kľúčov od 100 do 400 bitov, aj keď dĺžka kľúča musí byť aspoň 500 bitov, aby sa zabezpečila požadovaná úroveň bezpečnosti.
Kľúč môžete nájsť aj pomocou hrubej sily, pričom vyskúšate všetky možné šifrovacie kľúče, kým nenájdete kľúč, ktorý používa konkrétna banka.
Protokoly používané v medzinárodných sieťach na šifrovanie pracovných kľúčov pomocou zónových kľúčov uľahčujú napadnutie zónového kľúča týmto spôsobom. Ak bol kľúč zóny otvorený raz, všetky kódy PlN odoslané alebo prijaté bankou cez sieť môžu byť dešifrované. Nedávna štúdia odborníkov z kanadskej banky zistila, že útok tohto druhu na DES by stál približne 30 000 libier za kľúč zóny. Z toho vyplýva, že zdroje organizovaného zločinu sú na takýto zločin úplne postačujúce a takýto zločin by mohol spáchať dostatočne bohatý jednotlivec.
Špecializované počítače potrebné na nájdenie kľúčov boli pravdepodobne vytvorené v spravodajských službách niektorých krajín vrátane krajín, ktoré sú teraz v stave chaosu. V dôsledku toho existuje určité riziko, že správcovia tohto zariadenia by ho mohli použiť na osobný zisk.
Všetky systémy, malé aj veľké, obsahujú softvérové chyby a podliehajú ľudskej chybe. Výnimkou nie sú ani bankové systémy a uvedomuje si to každý, kto pracoval v priemyselnej výrobe. Pobočkové zúčtovacie systémy majú tendenciu byť väčšie a zložitejšie, s mnohými vzájomne pôsobiacimi modulmi, ktoré sa vyvíjali desaťročia. Niektoré transakcie budú nevyhnutne vykonané nesprávne: debety môžu byť duplicitné alebo môže byť nesprávne zmenený účet.
Táto situácia nie je novinkou pre finančných kontrolórov veľkých spoločností, ktorí majú špeciálny personál na zosúlaďovanie bankových účtov. Keď sa objaví chybný debet, títo zamestnanci si vyžiadajú príslušnú dokumentáciu na kontrolu a ak dokumentácia chýba, dostanú od banky vrátenie nesprávnej platby.
Zákazníci bankomatov však túto možnosť preplatenia sporných platieb nemajú. Väčšina bankárov mimo USA jednoducho tvrdí, že v ich systémoch nie sú žiadne chyby.
Takáto politika vedie k určitým právnym a administratívnym rizikám. Po prvé, vytvára možnosť zneužitia, pretože podvod je skrytý. Po druhé, vedie to k dôkazom, ktoré sú pre klienta príliš zložité, čo bolo dôvodom na zjednodušenie konania na amerických súdoch. Po tretie, existuje morálny hazard spojený s nepriamym nabádaním zamestnancov banky ku krádeži na základe vedomia, že je nepravdepodobné, že ich chytia. Po štvrté, ide o ideologický nedostatok, pretože v dôsledku chýbajúcej centralizovanej evidencie žiadostí zákazníkov neexistuje možnosť riadne organizovanej kontroly nad prípadmi podvodu.
Dopad na obchodnú činnosť spojenú so stratami z bankomatov je ťažké presne odhadnúť. V Spojenom kráľovstve ekonomický tajomník ministerstva financií (minister zodpovedný za reguláciu bankovníctva) v júni 1992 uviedol, že takéto chyby ovplyvňujú najmenej dve transakcie z troch miliónov uskutočnených každý deň. Pod tlakom nedávnych súdnych sporov sa však toto číslo upravilo najskôr na 1 z 250 000 chybných transakcií, potom na 1 zo 100 000 a nakoniec na 1 z 34 000.
Keďže zákazníkov, ktorí podajú sťažnosť, zamestnanci banky zvyčajne odmietajú a väčšina ľudí si jednoducho nedokáže všimnúť jednorazový výber zo svojho účtu, najlepší odhad je, že dôjde k približne 1 z 10 000 nesprávnych transakcií. Ak teda priemerný zákazník používa Bankomat raz týždenne počas 50 rokov môžeme očakávať, že každý štvrtý zákazník bude mať počas života problémy s používaním bankomatov.
Dizajnéri kryptografických systémov sú v nevýhode kvôli nedostatku informácií o tom, ako k zlyhaniam systému dochádza v praxi, a nie ako by k nim mohlo dôjsť teoreticky. Táto nevýhoda spätná väzba vedie k použitiu nesprávneho modelu hrozby. Dizajnéri zameriavajú svoje úsilie na to, čo v systéme môže viesť k zlyhaniu, a nie na to, čo zvyčajne spôsobuje chyby. Mnohé produkty sú také zložité a zložité, že sa zriedka používajú správne. Dôsledkom je skutočnosť, že väčšina chýb je spojená s implementáciou a údržbou systému. Konkrétnym výsledkom bola séria podvodov s bankomatmi, ktorá viedla nielen k finančným stratám, ale aj k justičným omylom a zníženiu dôvery v bankový systém.
Jedným z príkladov implementácie kryptografických metód je systém ochrany kryptografických informácií pomocou digitálneho podpisu EXCELLENCE.
Softvérový kryptografický systém EXCELLENCE je navrhnutý tak, aby chránil informácie spracovávané, ukladané a prenášané medzi osobnými počítačmi kompatibilnými s IBM pomocou kryptografického šifrovania, digitálneho podpisu a autentifikačných funkcií.
Systém implementuje kryptografické algoritmy, ktoré sú v súlade so štátnymi normami: šifrovanie - GOST 28147-89. Digitálny podpis je založený na algoritme RSA.
Systém kľúčov s prísnou autentifikáciou a certifikáciou kľúčov je postavený na protokole X.509 a princípe otvorenej distribúcie kľúčov RSA, ktoré sú v medzinárodnej praxi široko používané.
Systém obsahuje kryptografické funkcie na spracovanie informácií na úrovni súborov:
a kryptografické funkcie pre prácu s kľúčmi:
Každý účastník siete má svoj vlastný súkromný a verejný kľúč. Tajný kľúč každého užívateľa je zaznamenaný na jeho individuálnej kľúčovej diskete alebo individuálnej elektronickej karte. Utajenie kľúča predplatiteľa zabezpečuje ochranu pre neho zašifrovaných informácií a nemožnosť sfalšovania jeho digitálneho podpisu.
Systém podporuje dva typy médií s kľúčovými informáciami:
Každý účastník siete má adresár verejných kľúčov všetkých účastníkov systému chránených pred neoprávnenými zmenami spolu s ich menami. Každý účastník je povinný uchovávať svoj súkromný kľúč v tajnosti.
Funkčne je systém EXCELLENCE implementovaný vo forme softvérového modulu excell_s.exe a beží na operačnom systéme MS DOS 3.30 a vyššom. Parametre na vykonávanie funkcií sa odovzdávajú vo formulári príkazový riadok DOS. Okrem toho je dodávané grafické rozhranie. Program automaticky rozpoznáva a podporuje 32-bitové operácie na procesore Intel386/486/Pentium.
Na vloženie do iných softvérové systémy implementovaný variant systému EXCELLENCE, obsahujúci základné kryptografické funkcie pre prácu s dátami v RAM v režimoch: pamäť - pamäť; pamäť - súbor; súbor - pamäť.
Predpoveď na začiatok 21. storočia
Podiel manažmentu bánk, ktorý prijme účinné opatrenia na riešenie problému informačnej bezpečnosti, by sa mal zvýšiť na 40 – 80 %. Hlavným problémom bude servis (vrátane bývalého) personálu (od 40 % do 95 % prípadov) a hlavnými typmi hrozieb budú neoprávnený prístup (UNA) a vírusy (až 100 % bánk bude vystavených vírusovým útokom ).
Najdôležitejšími opatreniami na zabezpečenie informačnej bezpečnosti bude najvyššia profesionalita služieb informačnej bezpečnosti. Pre to banky budú musieť minúť až 30 % zisku na informačnú bezpečnosť.
Napriek všetkým vyššie uvedeným opatreniam je absolútne riešenie problému informačnej bezpečnosti nemožné. Efektívnosť systému informačnej bezpečnosti banky je zároveň úplne determinovaná množstvom finančných prostriedkov doň investovaných a profesionalitou služby informačnej bezpečnosti a možnosť narušenia informačného bezpečnostného systému banky je výlučne určená nákladmi na prekonanie bezpečnostného systému a kvalifikácie podvodníkov. (V zahraničnej praxi sa verí, že má zmysel „hacknúť“ bezpečnostný systém, ak náklady na jeho prekonanie nepresiahnu 25 % hodnoty chránených informácií).
Kapitola 4 skúmala vlastnosti prístupu k ochrane systémov elektronického bankovníctva. Špecifikom týchto systémov je špeciálna forma elektronickej výmeny dát – elektronické platby, bez ktorej nemôže existovať žiadna moderná banka.
Elektronická výmena údajov (EDE) je výmena obchodných, obchodných a finančných elektronických dokumentov medzi počítačmi. Napríklad objednávky, platobné pokyny, návrhy zmlúv, faktúry, potvrdenky atď.
EOD zabezpečuje rýchlu interakciu medzi obchodnými partnermi (klientmi, dodávateľmi, predajcami atď.) vo všetkých fázach prípravy obchodnej transakcie, uzatvorenia zmluvy a realizácie dodávky. Vo fáze platby zmluvy a prevodu prostriedkov môže EDI viesť k elektronickej výmene finančných dokumentov. To vytvára efektívne prostredie pre obchodné a platobné transakcie:
* V reálnom čase je možné zoznámiť obchodných partnerov s ponukami tovarov a služieb, vybrať požadovaný produkt/službu, objasniť obchodné podmienky (náklady a dodacia lehota, obchodné zľavy, záručné a servisné povinnosti);
* Objednávanie tovaru/služieb alebo vyžiadanie návrhu zmluvy v reálnom čase;
* Operatívna kontrola dodávky tovaru, príjem sprievodných dokumentov (faktúry, faktúry, zoznamy komponentov a pod.) e-mailom;
* Potvrdenie o dokončení dodávky tovaru/služby, vystavenie a zaplatenie faktúr;
* Vykonávanie bankových úverových a platobných transakcií. Medzi výhody OED patria:
* Zníženie nákladov na prevádzku prechodom na bezpapierovú technológiu. Odborníci odhadujú náklady na spracovanie a vedenie papierovej dokumentácie na 3 – 8 % z celkových nákladov na obchodné transakcie a dodanie tovaru. Prínos z používania EED sa napríklad v americkom automobilovom priemysle odhaduje na viac ako 200 USD na vyrobené auto;
* Zvýšenie rýchlosti zúčtovania a peňažného obratu;
* Zvýšenie pohodlia výpočtov.
Existujú dve kľúčové stratégie rozvoja EED:
1. EOD sa používa ako konkurenčná výhoda, ktorá umožňuje užšiu interakciu s partnermi. Túto stratégiu si osvojili veľké organizácie a nazýva sa Extended Enterprise Approach.
2. EDI sa používa v niektorých špecifických priemyselných projektoch alebo v iniciatívach združení komerčných a iných organizácií na zvýšenie efektívnosti ich interakcie.
Banky v Spojených štátoch a západnej Európe už uznali svoju kľúčovú úlohu pri šírení EDI a významné výhody, ktoré vyplývajú z užšej interakcie s obchodnými a osobnými partnermi. OED pomáha bankám poskytovať služby klientom, najmä malým, ktorí si ich predtým nemohli dovoliť pre ich vysoké náklady.
Hlavnou prekážkou širokého šírenia EDI je rôznorodosť prezentácie dokumentov pri ich výmene prostredníctvom komunikačných kanálov. Na prekonanie tejto prekážky rôzne organizácie vyvinuli štandardy na predkladanie dokumentov v systémoch EED pre rôzne odvetvia:
QDTI - General Trade Interchange (Európa, medzinárodný obchod);
MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);
TDCC - Výbor pre koordináciu údajov o doprave;
VICS - Voluntary Interindustry Communication Standard (USA, Voluntary Interindustry Communication Standard);
WINS – štandardy skladových informačných sietí informačnej siete sklady komodít).
V októbri 1993 medzinárodná skupina EHK OSN zverejnila prvú verziu normy EDIFACT. Vyvinutý súbor pravidiel syntaxe a prvkov komerčných údajov bol formalizovaný vo forme dvoch noriem ISO:
ISO 7372 – Adresár prvkov obchodných údajov;
ISO 9735 - EDIFACT - Pravidlá syntaxe na aplikačnej úrovni.
Špeciálnym prípadom EOD sú elektronické platby – výmena finančných dokumentov medzi klientmi a bankami, medzi bankami a inými finančnými a komerčnými organizáciami.
Podstatou koncepcie elektronických platieb je, že správy odoslané cez komunikačné linky, správne vykonané a odoslané, sú základom pre vykonanie jednej alebo viacerých bankových operácií. Na vykonanie týchto operácií sa v zásade nevyžadujú žiadne papierové dokumenty (hoci môžu byť vydané). Inými slovami, správa odoslaná cez komunikačné linky nesie informáciu o tom, že odosielateľ vykonal nejaké operácie na svojom účte, najmä na korešpondenčnom účte prijímajúcej banky (ktorým môže byť zúčtovacie centrum), a že príjemca musí vykonať operácie uvedené v správe. Na základe takejto správy môžete posielať alebo prijímať peniaze, otvoriť si pôžičku, zaplatiť za nákup alebo službu a vykonávať akékoľvek iné banková transakcia. Takéto správy sa nazývajú elektronické peniaze a vykonávanie bankových operácií na základe odosielania alebo prijímania takýchto správ sa nazýva elektronické platby. Prirodzene, celý proces uskutočňovania elektronických platieb si vyžaduje spoľahlivú ochranu. V opačnom prípade bude banka a jej klienti čeliť vážnym problémom.
Elektronické platby sa používajú na medzibankové, obchodné a osobné platby.
Medzibankové a obchodné vyrovnania sa uskutočňujú medzi organizáciami (právnickými osobami), a preto sa niekedy nazývajú korporátne. Vyrovnania týkajúce sa jednotlivých klientov sa nazývajú osobné.
Väčšina veľkých krádeží v bankových systémoch priamo alebo nepriamo súvisí s elektronickými platobnými systémami.
Na ceste k vytvoreniu elektronických platobných systémov, najmä globálnych, je veľa prekážok, ktoré pokrývajú veľké množstvo finančných inštitúcií a ich klientov v rôznych krajinách. Hlavné sú:
1. Chýbajúce jednotné štandardy operácií a služieb, čo výrazne komplikuje vytváranie jednotných bankových systémov. Každá veľká banka sa snaží o vytvorenie vlastnej EOD siete, čo zvyšuje náklady na jej prevádzku a údržbu. Duplicitné systémy sťažujú ich používanie, vytvárajú vzájomné rušenie a obmedzujú možnosti zákazníkov.
2. Zvýšená mobilita peňažnej zásoby, ktorá vedie k zvýšeniu možnosti finančných špekulácií, rozširuje toky „putujúceho kapitálu“. Tieto peniaze môžu v krátkom čase zmeniť situáciu na trhu a destabilizovať ho.
3. Zlyhania a výpadky technických nástrojov a softvérové chyby pri vykonávaní finančného vyrovnania, ktoré môžu viesť k vážnym komplikáciám pre ďalšie vyrovnanie a strate dôvery klientov v banku, najmä z dôvodu úzkeho prelínania bankových väzieb (druh „šírenia chýb“). Zároveň sa výrazne zvyšuje úloha a zodpovednosť prevádzkovateľov a administratívy systémov, ktorí priamo riadia spracovanie informácií.
Každá organizácia, ktorá sa chce stať klientom akéhokoľvek elektronického platobného systému, alebo organizovať svoj vlastný systém, si to musí uvedomiť.
Aby mohol elektronický platobný systém fungovať spoľahlivo, musí byť dobre chránený.
Obchodné dohody sa uskutočňujú medzi rôznymi obchodnými organizáciami. Banky sa na týchto zúčtovaniach podieľajú ako sprostredkovatelia pri prevode peňazí z účtu vyplácajúcej organizácie na účet prijímajúcej organizácie.
Vyrovnanie obchodníka je mimoriadne dôležité pre celkový úspech programu elektronických platieb. Objem finančných transakcií rôznych spoločností zvyčajne tvorí významnú časť celkového objemu bankových transakcií.
Typy obchodných vyrovnaní sa v rôznych organizáciách značne líšia, ale pri ich realizácii sa vždy spracúvajú dva typy informácií: platobné správy a pomocné (štatistiky, správy, oznámenia). Pre finančné organizácie sú, samozrejme, najväčším záujmom informácie z platobných správ – čísla účtov, sumy, zostatok a pod. Pre obchodné organizácie sú oba typy informácií rovnako dôležité – prvá poskytuje kľúč k finančnému stavu, druhá pomáha pri rozhodovaní a tvorbe politiky.
Najbežnejšie typy obchodných vysporiadaní sú:
* Priamy vklad.
Zmyslom tohto typu zúčtovania je, že organizácia dá banke pokyn, aby určité druhy platieb svojim zamestnancom alebo klientom uskutočňovala automaticky pomocou vopred pripravených magnetických médií alebo špeciálnych správ. Podmienky realizácie takýchto platieb sú vopred dohodnuté (zdroj financovania, výška a pod.). Slúžia najmä na pravidelné platby (platby rôznych druhov poistenia, splátky úverov, mzdy a pod.). Inštitucionálne je priamy vklad pohodlnejší ako napríklad platby šekmi.
Od roku 1989 sa počet zamestnancov využívajúcich priamy vklad zdvojnásobil na 25 % z celkového počtu. Viac ako 7 miliónov Američanov dnes dostáva výplaty prostredníctvom priameho vkladu. Pre banky ponúka priamy vklad tieto výhody:
Zníženie objemu úloh spojených so spracovaním papierových dokumentov a v dôsledku toho úspora značných súm;
Zvýšenie počtu vkladov, pretože musí byť uložených 100% objemu platieb.
Okrem bánk z toho profitujú majitelia aj pracovníci; zvyšuje sa pohodlie a znižujú náklady.
* Výpočty pomocou OED.
Údaje sú tu faktúry, faktúry, súčiastky atď.
Na implementáciu EDI je potrebný nasledujúci súbor základných služieb:
E-mail podľa štandardu X.400;
Prenos súboru;
Komunikácia z bodu do bodu;
On-line prístup k databázam;
Poštová schránka;
Transformácia štandardov prezentácie informácií.
Príklady v súčasnosti existujúcich systémov vysporiadania obchodov využívajúcich EDI zahŕňajú:
National Bank a Royal Bank (Kanada) sú prepojené so svojimi zákazníkmi a partnermi pomocou informačnej siete IBM;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), založená v roku 1986, spája Bank of Scotland so zákazníkmi a partnermi v 15 krajinách prostredníctvom korešpondenčných bánk a automatizovaných zúčtovacích stredísk.
Elektronické medzibankové zúčtovanie sú prevažne dvoch typov:
* Zúčtovanie zúčtovania pomocou výkonného počítačového systému sprostredkovateľskej banky (zúčtovacia banka) a korešpondenčných účtov bánk zúčastňujúcich sa na zúčtovaní v tejto banke. Systém je založený na zápočte vzájomných peňažných pohľadávok a záväzkov právnických osôb s následným prevodom zostatku. Zúčtovanie je široko využívané aj na burzách cenných papierov a komoditných burzách, kde sa vyrovnanie vzájomných pohľadávok účastníkov transakcie uskutočňuje prostredníctvom zúčtovacieho centra alebo špeciálneho elektronického zúčtovacieho systému.
Medzibankové zúčtovanie sa uskutočňuje prostredníctvom špeciálnych zúčtovacích centier, komerčných bánk, medzi pobočkami a pobočkami jednej banky - prostredníctvom ústredia. V mnohých krajinách vykonávajú funkcie zúčtovacích centier centrálne banky. Automatizované zúčtovacie strediská (ACH) poskytujú služby na výmenu finančných prostriedkov medzi finančnými inštitúciami. Platobné transakcie sa obmedzujú najmä na debety alebo kredity. Členmi systému AKP sú finančné inštitúcie, ktoré sú členmi Asociácie AKP. Združenie je založené s cieľom vyvinúť pravidlá, postupy a štandardy pre implementáciu elektronických platieb v rámci geografického regiónu. Treba poznamenať, že AKT nie je nič iné ako mechanizmus na presun finančných prostriedkov a sprievodných informácií. Sami platobné služby nevykonávajú. AKT boli vytvorené na doplnenie systémov spracovania papierových finančných dokumentov. Prvá automatická prevodovka sa objavila v Kalifornii v roku 1972, v USA v súčasnosti funguje 48 automatických prevodoviek. V roku 1978 bola vytvorená asociácia National Automated Clearing House Association (NACHA), ktorá združuje všetkých 48 sietí ACH na kooperatívnom základe.
Objem a charakter operácií sa neustále rozširuje. Krajiny AKT začínajú vykonávať obchodné zúčtovanie a transakcie elektronickej výmeny údajov. Po troch rokoch úsilia rôznych bánk a spoločností bol vytvorený systém CTP (Corporate Trade Payment) na automatické spracovanie kreditov a debetov. Trend rozširovania funkcií automatických prevodoviek bude podľa odborníkov pokračovať aj v najbližšom období.
* Priame zúčtovanie, pri ktorom dve banky spolu priamo komunikujú pomocou loro nostro účtov, prípadne za účasti tretej strany, ktorá hrá organizačnú alebo podpornú úlohu. Prirodzene, objem vzájomných transakcií musí byť dostatočne veľký, aby odôvodnil náklady na organizáciu takéhoto systému vyrovnania. Takýto systém zvyčajne spája niekoľko bánk a každý pár môže komunikovať priamo medzi sebou a obchádzať sprostredkovateľov. V tomto prípade je však potrebné riadiace centrum, ktoré sa zaoberá ochranou interagujúcich bánk (distribúcia kľúčov, riadenie, kontrola fungovania a evidencia udalostí).
Takýchto systémov je na svete pomerne veľa – od malých spájajúcich viacero bánk či pobočiek až po obrie medzinárodné spájajúce tisíce účastníkov. Najznámejším systémom tejto triedy je SWIFT.
Nedávno sa objavil aj tretí typ elektronických platieb – elektronické krátenie šeku, ktorého podstatou je zastavenie cesty posielania papierového šeku do peňažného ústavu, kde bol predložený. V prípade potreby jeho elektronický analóg „cestuje“ ďalej vo forme špeciálnej správy. Preposielanie a preplatenie elektronického šeku sa vykonáva pomocou ACH.
V roku 1990 NACHA oznámila prvú fázu testovania národného pilotného programu „Electronic Check Truncation“. Jeho cieľom je znížiť náklady na spracovanie obrovského množstva papierových šekov.
Odoslanie peňazí pomocou elektronického platobného systému zahŕňa nasledujúce kroky (objednávka sa môže líšiť v závislosti od konkrétnych podmienok a samotného systému):
1. Určitý účet v systéme prvej banky sa zníži o požadovanú sumu.
2. O rovnakú sumu sa zvyšuje korešpondenčný účet druhej banky v prvej.
3. Z prvej banky do druhej banky sa odošle správa s informáciami o vykonávaných akciách (identifikátory účtu, suma, dátum, podmienky atď.); v tomto prípade musí byť odoslaná správa vhodne chránená pred falšovaním: zašifrovaná, opatrená digitálnym podpisom a ovládacími poľami atď.
4. Požadovaná suma sa odpíše z korešpondenčného účtu prvej banky v druhej.
5. Určitý účet v druhej banke je navýšený o požadovanú sumu.
6. Druhá banka zasiela prvej banke oznámenie o vykonaných úpravách účtu; táto správa musí byť tiež chránená proti neoprávnenej manipulácii podobným spôsobom ako ochrana platobnej správy.
7. Výmenný protokol sa zaznamenáva pre oboch účastníkov a prípadne aj pre tretiu stranu (v riadiacom centre siete), aby sa predišlo konfliktom.
Na ceste prenosu správ môžu byť sprostredkovatelia - zúčtovacie centrá, sprostredkovateľské banky pri prenose informácií atď. Hlavnou ťažkosťou takýchto výpočtov je dôvera v ich partnera, to znamená, že každý účastník si musí byť istý, že jeho korešpondent vykoná všetky potrebné kroky.
Pre rozšírenie využívania elektronických platieb sa realizuje štandardizácia elektronickej prezentácie finančných dokladov. Začalo to v 70-tych rokoch v rámci dvoch organizácií:
1) ANSI (American National Standard Institute) zverejnil ANSI X9.2-1080, (Špecifikácia výmenných správ pre výmenu správ debetných a kreditných kariet medzi finančným inštitútom). V roku 1988 prijala podobnú normu ISO a nazvala ju ISO 8583 (Špecifikácie správ o výmene správ z bankových kariet – obsah pre finančné transakcie);
2) SWIFT (Spoločnosť pre celosvetové medzibankové finančné telekomunikácie) vyvinula sériu štandardov pre medzibankové správy.
V súlade s normou ISO 8583 finančný dokument obsahuje množstvo dátových prvkov (detailov) nachádzajúcich sa v určitých poliach správy alebo elektronického dokumentu (elektronická kreditná karta, správa vo formáte X.400 alebo dokument v syntaxi EDIFACT). Každému dátovému prvku (ED) je priradené vlastné jedinečné číslo. Údajový prvok môže byť buď povinný (t. j. zahrnutý v každej správe tohto typu) alebo voliteľný (v niektorých správach môže chýbať).
Bitová stupnica určuje zloženie správy (tie ED, ktoré sú v nej prítomné). Ak je určitá číslica bitovej stupnice nastavená na jednu, znamená to, že v správe je prítomný zodpovedajúci ED. Vďaka tomuto spôsobu kódovania správ sa znižuje celková dĺžka správy, dosahuje sa flexibilita pri prezentácii správ s mnohými ED a je zabezpečená možnosť zahrnúť nové ED a typy správ do elektronického dokumentu štandardnej štruktúry.
Existuje niekoľko spôsobov elektronických medzibankových platieb. Uvažujme dve z nich: platba šekom (platba po službe) a platba akreditívom (platba za očakávanú službu). Ostatné spôsoby, ako napríklad platba prostredníctvom žiadostí o platbu alebo platobných príkazov, majú podobnú organizáciu.
Platba šekom je založená na papierovom alebo inom doklade obsahujúcom identifikáciu platiteľa. Tento doklad je podkladom pre prevod sumy uvedenej na šeku z účtu majiteľa na účet doručiteľa. Platba šekom zahŕňa nasledujúce kroky:
Príjem šeku;
Predloženie šeku do banky;
Žiadosť o prevod z účtu majiteľa šeku na účet šekovníka;
Prevod peňazí;
Oznámenie o zaplatení.
Hlavnými nevýhodami takýchto platieb je potreba pomocného dokumentu (šeku), ktorý sa dá ľahko sfalšovať, ako aj značný čas potrebný na dokončenie platby (až niekoľko dní).
Preto sa v poslednej dobe tento typ platby ako platba akreditívom stal bežnejším. Zahŕňa nasledujúce kroky:
Oznámenie banky zo strany klienta o poskytnutí úveru;
Oznámenie banky príjemcu o poskytnutí úveru a prevode peňazí;
Informovanie príjemcu o prijatí pôžičky.
Tento systém vám umožňuje vykonávať platby vo veľmi krátkom čase. Oznámenie o výpožičke je možné zaslať (elektronickou) poštou, disketami, magnetickými páskami.
Každý z vyššie uvedených typov platieb má svoje výhody a nevýhody. Šeky sú najvhodnejšie pri platení malých súm, ako aj pri nepravidelných platbách. V týchto prípadoch nie je omeškanie platby veľmi výrazné a použitie úveru je nevhodné. Platby pomocou akreditívu sa zvyčajne používajú pri pravidelných platbách a pri významných sumách. V týchto prípadoch vám absencia oneskorenia pri zúčtovaní umožňuje ušetriť veľa času a peňazí znížením doby obratu peňazí. Spoločnou nevýhodou týchto dvoch metód je potreba minúť peniaze na organizáciu spoľahlivého elektronického platobného systému.
