Metoder för att skydda det elektroniska betalningssystemet för digitala pengar. De viktigaste sätten att skydda elektroniska pengar? Säkerhetsåtgärder för elektroniska betalningssystem
Elektroniska betalningssystem är en av de mest populära typerna av att arbeta med elektronisk valuta. Varje år utvecklas de mer och mer aktivt och upptar en ganska stor del av marknaden för att arbeta med valuta. Tekniker för att säkerställa deras säkerhet utvecklas också tillsammans med dem. För idag kan inte ett enda elektroniskt betalningssystem existera utan bra teknik och säkerhetssystem, som i sin tur säkerställer en säker transaktion av monetära transaktioner. Det finns många elektroniska betalningssystem i sig, liksom säkerhetstekniker. Var och en av dem har olika driftsprinciper och tekniker, såväl som sina egna fördelar och nackdelar. Dessutom förblir ett antal teoretiska och praktiska frågor olösta, vilket avgör forskningsämnets relevans.
Varje elektroniskt betalningssystem använder sina egna metoder, krypteringsalgoritmer, dataöverföringsprotokoll för att utföra säkra transaktioner och dataöverföring. Vissa system använder RSA-krypteringsalgoritmen och HTTPs-överföringsprotokollet, medan andra använder DES-algoritmen och SSL-protokollet för att överföra krypterad data. Tanken bakom att skriva den här artikeln är att studera och analysera ett antal populära betalningssystem, nämligen säkerhetsteknikerna som används i dem, och ta reda på vilket som är det mest avancerade.
Under författandet av artikeln genomfördes forskning kring betalningssystem och en analys av säkerheten i befintliga betalningssystem. Fyra betalningssystem analyserades (Webmoney, Yandex.Money, RauPa1 och E-Port) enligt samma kriterier. Systemen utvärderades med hjälp av ett flernivåsystem som inkluderar kapslade parametrar. Naturligtvis hänför sig alla dessa kriterier till området informationssäkerhet. Det finns två huvudkriterier: tekniskt stöd för informationssäkerhet vid betalningar och organisatoriskt och juridiskt stöd. Var och en av dessa två parametrar utvärderades med hjälp av ett trepunktssystem. Betygsskalan är exakt detta, eftersom den nuvarande utvecklingen av elektroniska betalningssystem i vårt land är på en sådan nivå att de flesta av deras parametrar endast kan beskrivas med orden "ja eller nej." Följaktligen, om ett elektroniskt betalningssystem bäst matchar någon parameter, får det högsta poängen (3), om det inte svarar alls får det minsta poängen (0). Om systemet inte har detta kriterium i sin explicita form, men om det finns några tjänster eller möjligheter förknippade med det saknade, ger vi ett mellanpoäng - ett eller två.
När man utvärderar elektroniska betalningssystem bör man komma ihåg att under olika förhållanden är värdet på samma parameter inte detsamma. Exempelvis kan flera tjänster som avsevärt ökar skyddsnivån endast implementeras av användaren frivilligt, dessutom är själva närvaron av dessa tjänster i systemet värdefull. Den mänskliga faktorn har inte annullerats och kommer aldrig att avbrytas, så det tas med i beräkningen att tjänsten antingen kan implementeras eller orealiseras.
Teknisk support för transaktionssäkerhet
Detta är det första av kriterierna - en uppsättning parametrar som, vilket framgår av namnet, tillhandahåller den tekniska sidan av informationsskydd. Innan denna parameter ingår följande: kryptografiska metoder för kryptering, autentisering och åtkomst med en speciell hårdvara(i det mest primitiva fallet - med USB-nycklar).
Det är ingen hemlighet att huvudkriteriet för att skydda information i tekniska termer, naturligtvis, är datakryptering, och mer specifikt de kryptografiska algoritmerna som de är implementerade med. Det är också känt att ju längre nyckeln är, desto svårare är det att dekryptera den och följaktligen att få tillgång till konfidentiell information. Tre av de testade systemen använder den välkända och allmänt respekterade RSA-algoritmen: Webmoney, Yandex.Money, PayPal. E-Port använder kryptering via SSL-protokollet version 3.0. I själva verket implementeras kryptering med SSL-nycklar, som är unika, de genereras under sessionen och kallas sessionsnyckeln. Längden på SSL-nyckeln i E-Port-systemet varierar från 40 till 128 bitar, vilket är tillräckligt för en acceptabel nivå av transaktionssäkerhet.
Nästa parameter i det tekniska stödet för informationssäkerhet för transaktioner är autentisering, d.v.s. en uppsättning lösningar som användaren behöver för att komma åt sin egen personliga information. Allt är enkelt här. Systemen Webmoney och Yandex.Money använder två kriterier för åtkomst, medan PayPal och E-Port endast använder ett. I Webmoney, för att komma åt systemet och göra betalningar, måste du ange ett lösenord och en speciell nyckel. Yandex.Money fungerar på liknande sätt: ett lösenord och ett speciellt plånboksprogram krävs. I alla andra system tillhandahålls åtkomst med lösenord. I E-Port-systemet måste dock webbservern för den potentiella klienten (och alla andra deltagare i systemet) ha ett speciellt digitalt certifikat från ett av de auktoriserade företagen för att kunna arbeta med SSL-protokollet. Detta certifikat används för att autentisera klientens webbserver. Certifikatsäkerhetsmekanismen som används i E-Port är certifierad av RSA Security. Det tredje och sista kriteriet i denna studie är tillgång till systemet med hjälp av speciell hårdvara, såsom USB-nycklar.
Kryptografiska krypteringsmetoder
Webmoney och Yandex.Money använder en nyckel med en längd på 1024 bitar (en mycket hög indikator, det är nästan omöjligt att knäcka en sådan nyckel med en enkel brute force-metod), och PayPal använder en nyckel som är hälften så lång - 512 bitar. , för de två första systemen, genom att använda detta kriterium får vi maximal poäng – 3. PayPal, eftersom det använder en kortare krypteringsnyckel, får två poäng. Det återstår bara att utvärdera E-Port med denna parameter. Trots dess användning av SSL-protokollet och till och med nyckellängden på upp till 128 bitar, har E-Port en viss potentiell sårbarhet: många äldre versioner av webbläsare stöder kryptering med nycklar av kortare längd , så det finns en möjlighet att hacka mottagna data; följaktligen för dem som använder webbläsaren som klient för betalningssystem, du måste arbeta med det senaste versionen(naturligtvis är detta inte alltid bekvämt eller möjligt). Men i kolumnen "kryptering" kan E-Port ges poängen 1,7: systemet fick detta betyg tack vare användningen av det progressiva PGP-protokollet för att kryptera e-postmeddelanden.
Autentisering
Systemen Webmoney och Yandex.Money använder två kriterier för åtkomst, medan PayPal och E-Port endast använder ett. I Webmoney måste du ange ett lösenord och en speciell nyckel för att komma åt systemet och göra betalningar. Yandex.Money fungerar på liknande sätt: ett lösenord och ett speciellt plånboksprogram krävs. I alla andra system tillhandahålls åtkomst med lösenord. I E-Port-systemet används dock den potentiella klientens webbserver för att arbeta med SSL-protokollet.
Enligt Webmoney och Yandex.Money får de tre poäng här, PayPal - 0 poäng, E-Port - en.
Det är ännu enklare här än med de tidigare parametrarna. Av alla system är det bara Webmoney PayPal som har ett sådant extra alternativ, det senare ger inte en sådan möjlighet. Således, med hänsyn till viktningskoefficienten, fick Webmoney och PayPal 1,5 poäng för denna parameter, alla andra fick noll.
Efter att ha utvärderat de två kriterierna kan vi sammanfatta. Baserat på summan av parametrarna visade sig Webmoney vara säker. Faktum är att om användaren använder alla säkerhetstjänster som den tillhandahåller, kan han förbli praktiskt taget osårbar för bedragare. Den andra platsen togs av Yandex.Money-systemet, den tredje av PayPal (detta system är idealiskt för juridiska personer för dess betydande juridiska insyn i betalningar), och den sista platsen tilldelades E-Port-systemet.
Dessutom, sammanfattande analysen av betalningssystem, kan vi säga att valet av ett elektroniskt betalningssystem inte utförs enligt en säkerhetsparameter, även om den är en av de viktigaste. Elektroniska betalningssystem skiljer sig också åt i tillgången på tjänster, användarvänlighet - det finns många andra faktorer.
Slutsatser
Elektroniska betalningar är ett naturligt steg i utvecklingen av telekommunikation. Efterfrågan är hög i de nischer där det finns en fullfjädrad produkt - en digital produkt, vars egenskaper är väl "överlagrade" med egenskaperna hos onlinebetalning: omedelbar betalning, omedelbar leverans , enkelhet och varumärkeslöshet.
Internetbetalningssystemär ett system för att genomföra betalningar mellan finans-, affärsorganisationer och Internetanvändare i processen att köpa/sälja varor och tjänster via Internet. Det är betalningssystemet som låter dig förvandla en orderhanteringstjänst eller ett elektroniskt skyltfönster till en fullfjädrad butik med alla standardattribut: genom att välja en produkt eller tjänst på säljarens webbplats kan köparen göra en betalning utan att lämna dator.
I ett e-handelssystem görs betalningar på ett antal villkor:
1. Upprätthålla konfidentialitet. När köparen gör betalningar via Internet vill köparen att hans uppgifter (till exempel kreditkortsnummer) endast ska vara kända för organisationer som har laglig rätt att göra det.
2. Upprätthålla informationens integritet. Köpinformation kan inte ändras av någon.
3. Autentisering. Köpare och säljare måste vara säkra på att alla parter som är inblandade i en transaktion är de de säger att de är.
4. Betalningsmedel. Möjlighet att betala med vilket betalningsmedel som helst för köparen.
6. Säljarens riskgarantier. Vid handel på Internet utsätts säljaren för många risker förknippade med produktvägrar och oärlighet hos köparen. Storleken på riskerna måste avtalas med betalsystemleverantören och andra organisationer som ingår i handelskedjan genom särskilda avtal.
7. Minimera transaktionsavgifter. Transaktionshanteringsavgifter för beställning och betalning av varor ingår naturligtvis i deras pris, så att sänka transaktionspriset ökar konkurrenskraften. Det är viktigt att notera att transaktionen ska betalas i alla fall, även om köparen vägrar varan.
Alla dessa villkor måste implementeras i internetbetalningssystemet, som i huvudsak är elektroniska versioner av traditionella betalningssystem.
Således är alla betalningssystem indelade i:
Debet (att arbeta med elektroniska checkar och digitala kontanter);
Kredit (arbetar med kreditkort).
Debetsystem
Debetbetalningssystem är byggda på samma sätt som deras offline-prototyper: check och vanliga pengar. Systemet involverar två oberoende parter: emittenter och användare. Emittenten förstås som den enhet som hanterar betalningssystemet. Den utfärdar några elektroniska enheter som representerar betalningar (till exempel pengar på bankkonton). Systemanvändare utför två huvudfunktioner. De gör och accepterar betalningar på Internet med utgivna elektroniska enheter.
Elektroniska kontroller är analoga med vanliga papperskontroller. Detta är betalarens instruktioner till sin bank att överföra pengar från sitt konto till betalningsmottagarens konto. Operationen sker efter uppvisande av mottagaren av checken på banken. Det finns två huvudsakliga skillnader här. För det första, när han skriver en papperscheck, sätter betalaren sin riktiga signatur, och i onlineversionen - en elektronisk signatur. För det andra utfärdas själva checkarna elektroniskt.
Betalningar görs i flera steg:
1. Betalaren utfärdar en elektronisk check, undertecknar den med en elektronisk signatur och skickar den vidare till mottagaren. För att säkerställa större tillförlitlighet och säkerhet kan checkkontonumret krypteras med bankens publika nyckel.
2. Checken presenteras för betalning till betalningssystemet. Därefter (antingen här eller hos den bank som betjänar mottagaren) sker en kontroll elektronisk signatur.
3. Om dess äkthet bekräftas, levereras varorna eller tjänsten tillhandahålls. Pengar överförs från betalarens konto till mottagarens konto.
Betalningssystemets enkelhet (fig. 43) uppvägs tyvärr av svårigheterna med dess genomförande på grund av att kontrollsystemen ännu inte har blivit utbredda och det inte finns några certifieringscenter för implementering av elektroniska signaturer.
En elektronisk digital signatur (EDS) använder ett krypteringssystem med publik nyckel. Detta skapar en privat nyckel för signering och en offentlig nyckel för verifiering. Den privata nyckeln lagras av användaren och den offentliga nyckeln kan nås av alla. Det enklaste sättet att distribuera publika nycklar är att använda certifieringsmyndigheter. Där lagras digitala certifikat som innehåller den publika nyckeln och information om ägaren. Detta befriar användaren från skyldigheten att själv distribuera sin publika nyckel. Dessutom tillhandahåller certifikatutfärdare autentisering för att säkerställa att ingen kan generera nycklar på uppdrag av en annan person.
Elektroniska pengar simulerar helt riktiga pengar. Samtidigt utfärdar den utfärdande organisationen - emittenten - sina elektroniska analoger, som kallas olika i olika system (till exempel kuponger). Därefter köps de av användare, som använder dem för att betala för inköp, och sedan löser säljaren in dem från emittenten. När den utfärdas certifieras varje monetär enhet av ett elektroniskt sigill, som verifieras av emissionsstrukturen före inlösen.
En av funktionerna hos fysiska pengar är dess anonymitet, det vill säga det indikerar inte vem som använde dem och när. Vissa system tillåter, analogt, köparen att ta emot elektroniska kontanter på ett sådant sätt att sambandet mellan honom och pengarna inte kan fastställas. Detta görs med hjälp av ett blindsignaturschema.
Det är också värt att notera att vid användning elektroniska pengar Det finns inget behov av autentisering, eftersom systemet är baserat på att pengar släpps ut i omlopp innan det används.
Figur 44 visar ett betalningssystem som använder elektroniska pengar.
Betalningsmekanismen är som följer:
1. Köparen byter ut riktiga pengar mot elektroniska pengar i förväg. Att lagra kontanter hos kunden kan utföras på två sätt, vilket bestäms av systemet som används:
På din dators hårddisk;
På smarta kort.
Olika system erbjuder olika utbytessystem. Vissa öppnar särskilda konton till vilka pengar från köparens konto överförs i utbyte mot elektroniska räkningar. Vissa banker kan själva ge ut elektroniska kontanter. Samtidigt utfärdas det endast på begäran av kunden, följt av dess överföring till denna klients dator eller kort och uttag av kontanter motsvarande från hans konto. Vid implementering av en blindsignatur skapar köparen själv elektroniska räkningar, skickar dem till banken, där de, när riktiga pengar kommer in på kontot, certifieras av ett sigill och skickas tillbaka till kunden.
Tillsammans med bekvämligheten med sådan förvaring har den också nackdelar. Skador på en disk eller ett smartkort resulterar i oåterkallelig förlust av elektroniska pengar.
2. Köparen överför elektroniska pengar för köpet till säljarens server.
3. Pengarna presenteras för emittenten, som verifierar dess äkthet.
4. Om de elektroniska räkningarna är äkta, ökas säljarens konto med köpesumman och varorna skickas till köparen eller tjänsten tillhandahålls.
En av de viktiga utmärkande egenskaperna hos elektroniska pengar är förmågan att göra mikrobetalningar. Detta beror på att sedlarnas valör kanske inte motsvarar riktiga mynt (till exempel 37 kopek).
Både banker och icke-bankorganisationer kan ge ut elektroniska kontanter. Den har dock inte utvecklats ännu ett system konvertera olika typer av elektroniska pengar. Därför är det bara emittenterna själva som kan lösa in de elektroniska kontanterna de emitterat. Dessutom garanteras inte användningen av sådana pengar från icke-finansiella strukturer av staten. Den låga transaktionskostnaden gör dock elektroniska kontanter till ett attraktivt verktyg för onlinebetalningar.
Kreditsystem
Internetkreditsystem är analoger till konventionella system som fungerar med kreditkort. Skillnaden är att alla transaktioner utförs via Internet, och som ett resultat av detta behövs ytterligare säkerhets- och autentiseringsåtgärder.
Följande är involverade i att göra betalningar via Internet med kreditkort:
1. Köpare. En klient med en dator med webbläsare och internetåtkomst.
2. Utgivande bank. Köparens bankkonto finns här. Den utfärdande banken utfärdar kort och är garant för kundens ekonomiska förpliktelser.
3. Säljare. Säljare förstås som e-handelsservrar där kataloger över varor och tjänster upprätthålls och kundernas inköpsorder accepteras.
4. Förvärva banker. Banker som betjänar säljare. Varje säljare har en enda bank där han förvarar sitt löpande konto.
5. Internetbetalningssystem. Elektroniska komponenter som fungerar som mellanhänder mellan andra deltagare.
6. Traditionellt betalningssystem. En uppsättning finansiella och tekniska medel för att betjäna kort av denna typ. Bland huvuduppgifterna som löses av betalningssystemet är att säkerställa användningen av kort som betalningsmedel för varor och tjänster, använda banktjänster, genomföra ömsesidiga kvittningar etc. Deltagare i betalningssystemet är individer och juridiska personer som förenas genom användning av kreditkort.
7. Betalningssystemets bearbetningscenter. En organisation som tillhandahåller information och teknisk interaktion mellan deltagare i det traditionella betalningssystemet.
8. Betalningssystemets avvecklingsbank. En kreditorganisation som utför ömsesidiga avräkningar mellan betalningssystemdeltagare på uppdrag av behandlingscentralen.
Det allmänna betalningssystemet i ett sådant system visas i figur 45.
1. Köparen i den elektroniska butiken skapar en varukorg och väljer betalningsmetoden "kreditkort".
Genom butiken, det vill säga kortparametrarna skrivs in direkt på butikens webbplats, varefter de överförs till internetbetalningssystemet (2a);
På betalningssystemets server (2b).
Fördelarna med det andra sättet är uppenbara. I det här fallet finns inte information om korten kvar i butiken, och följaktligen minskar risken för att ta emot dem av tredje part eller att bli lurad av säljaren. I båda fallen, vid överföring av kreditkortsuppgifter, finns det fortfarande en möjlighet att de kan fångas upp av angripare på nätverket. För att förhindra detta krypteras data under överföringen.
Kryptering minskar naturligtvis möjligheten för dataavlyssning i nätverket, så det är tillrådligt att utföra kommunikation mellan köpare/säljare, säljare/Internetbetalningssystem, köpare/Internetbetalningssystem med säkra protokoll. De vanligaste av dem idag är SSL-protokollet (Secure Sockets Layer) samt SET-standarden (Secure Electronic Transaction), utformad för att så småningom ersätta SSL vid bearbetning av transaktioner relaterade till betalningar för kreditkortsköp på Internet.
3. Internetbetalningssystemet skickar en auktorisationsbegäran till det traditionella betalningssystemet.
4. Nästa steg beror på om den utfärdande banken har en onlinedatabas med konton. Om det finns en databas skickar behandlingscentralen den utfärdande banken en begäran om kortauktorisering (se inledning eller ordbok) (4a) och sedan får (4b) dess resultat. Om det inte finns någon sådan databas lagrar bearbetningscentralen själv information om statusen för kortinnehavarens konton, stopplistor och uppfyller auktoriseringsförfrågningar. Denna information uppdateras regelbundet av de emitterande bankerna.
Butiken tillhandahåller en tjänst eller skickar varor (8a);
Behandlingscentralen sänder information om den genomförda transaktionen till avvecklingsbanken (8b). Pengar från köparens konto hos den utfärdande banken överförs via likvidbanken till butikens konto hos den övertagande banken.
För att göra sådana betalningar behöver du i de flesta fall en speciell programvara. Den kan levereras till köparen (kallad elektronisk plånbok), säljaren och dennes servicebank.
Introduktion
1. Elektroniska betalningssystem och deras klassificering
1.1 Grundläggande begrepp
1.2 Klassificering av elektroniska betalningssystem
1.3 Analys av de viktigaste elektroniska betalningssystem som används i Ryssland
2. Säkerhetsåtgärder för elektroniska betalningssystem
2.1 Hot i samband med användningen av elektroniska betalningssystem
2.2 Teknik för att skydda elektroniska betalningssystem
2.3 Analys av teknologier för efterlevnad grundläggande krav till elektroniska betalningssystem
Slutsats
Bibliografi
INTRODUKTION
Ett mycket specialiserat ämne för elektroniska betalningar och elektroniska pengar som var av litet intresse för få människor för 10 år sedan har nyligen blivit relevant inte bara för affärsmän utan även för slutanvändare. Förmodligen varannan person som ens ibland läser datorn eller populärpressen känner till de fashionabla orden "e-business" och "e-commerce". Uppgiften med fjärrbetalning (överföring av pengar över långa avstånd) har flyttats från specialkategorin till vardag. Men det överflöd av information om denna fråga bidrar inte alls till klarhet i medborgarnas medvetande. Både på grund av komplexiteten och den konceptuella bristen på utveckling av problemet med elektroniska betalningar, och på grund av det faktum att många popularisatorer ofta arbetar på principen om en trasig telefon, på vardagsnivå, är allt naturligtvis klart för alla. Men detta är tills tiden kommer för den praktiska utvecklingen av elektroniska betalningar. Det är här det saknas förståelse för hur lämplig användningen av elektroniska betalningar är i vissa fall.
Samtidigt blir uppgiften att ta emot elektroniska betalningar allt viktigare för dem som ska ägna sig åt handel via Internet, såväl som för dem som ska göra inköp via Internet. Den här artikeln är avsedd för båda.
Huvudproblemet när man överväger elektroniska betalningssystem för en nybörjare är mångfalden av deras design- och funktionsprinciper och det faktum att, trots den externa likheten i implementeringen, helt olika tekniska och finansiella mekanismer kan döljas i deras djup.
Den snabba utvecklingen av populariteten för det globala Internet har lett till en kraftfull drivkraft för utvecklingen av nya tillvägagångssätt och lösningar inom olika områden av världsekonomin. Även sådana konservativa system som elektroniska betalningssystem i banker har gett efter för nya trender. Detta återspeglades i uppkomsten och utvecklingen av nya betalningssystem - elektroniska betalningssystem via Internet, vars främsta fördel är att kunder kan göra betalningar (finansiella transaktioner), kringgå det ansträngande och ibland tekniskt svåra stadiet att fysiskt transportera en betalningsorder till banken. Banker och bankinstitut är också intresserade av att implementera dessa system, eftersom de kan öka hastigheten på kundservicen och minska omkostnader för att göra betalningar.
Elektroniska betalningssystem cirkulerar information, inklusive konfidentiell information, som kräver skydd mot visning, modifiering och påläggning av falsk information. Att utveckla lämpliga Internetcentrerade säkerhetstekniker är för närvarande en stor utmaning. Anledningen till detta är att arkitekturen, kärnresurserna och teknologierna Internetnätverk fokuserat på att organisera åtkomst eller insamling öppen information. På senare tid har dock tillvägagångssätt och lösningar dykt upp som indikerar möjligheten att använda standardteknik för Internet i byggnadssystem för säker överföring av information via Internet.
Syftet med RGR är att analysera elektroniska betalningssystem och ta fram rekommendationer för användningen av vart och ett av dem. Baserat på målet formuleras följande steg för att utföra RGR:
1. Bestäm huvuduppgifterna för elektroniska betalningssystem och principerna för deras funktion, deras egenskaper.
2. Analysera de viktigaste elektroniska betalningssystemen.
3. Analysera hoten i samband med användningen av elektroniska pengar.
4. Analysera säkerhetsåtgärder vid användning av elektroniska betalningssystem.
1. ELEKTRONISKA BETALNINGSSYSTEM OCH DERES KLASSIFICERING
1.1 Grundläggande begrepp
Elektroniska betalningar. Låt oss börja med det faktum att det är legitimt att tala om framväxten av elektroniska betalningar som en typ av icke-kontantbetalningar under andra hälften av 1900-talet. Med andra ord har överföringen av information om betalningar via bank funnits länge, men fick en i grunden ny kvalitet när datorer dök upp i båda ändarna av trådarna. Information överfördes med hjälp av telex, teletyp och datornätverk som dök upp vid den tiden. Ett kvalitativt nytt språng uttrycktes i det faktum att betalningshastigheten har ökat avsevärt och möjligheten till automatisk behandling av dem har blivit tillgänglig.
Därefter uppstod även elektroniska motsvarigheter till andra typer av betalningar - kontanta betalningar och andra betalningsmedel (till exempel checkar).
Elektroniska betalningssystem (EPS). Vi kallar ett elektroniskt betalningssystem varje komplex av specifik hårdvara och programvara, vilket möjliggör elektroniska betalningar.
Existera olika sätt och kommunikationskanaler för åtkomst till EPS. Idag är den vanligaste av dessa kanaler Internet. Spridningen av EPS ökar, tillgången till vilken sker med hjälp av mobiltelefon(via SMS, WAP och andra protokoll). Andra metoder är mindre vanliga: med modem, med tonvalstelefon, per telefon via en operatör.
Elektroniska pengar. Otydlig term. Om man noga överväger vad som ligger bakom är det lätt att förstå att elektroniska pengar är ett felaktigt namn för "elektroniska kontanter", liksom elektroniska betalningssystem som sådana.
Detta missförstånd i terminologin beror på friheten att översätta termer från engelska. Eftersom elektroniska betalningar i Ryssland utvecklades mycket långsammare än i Europa och Amerika, var vi tvungna att använda fast etablerade termer. Naturligtvis har sådana namn på elektroniska kontanter som "digitala kontanter" (e-cash), "digitala pengar", "elektroniska kontanter" (digitala kontanter)2 rätt till liv.
I allmänhet betyder termen "elektroniska pengar" inget specifikt, så i framtiden kommer vi att försöka undvika att använda det.
Elektroniska kontanter:
Detta är en teknik som dök upp på 90-talet av förra seklet, som möjliggör elektroniska betalningar som inte är direkt knutna till överföring av pengar från konto till konto i en bank eller annan finansiell organisation, det vill säga direkt mellan personer - de slutliga deltagarna i betalningen. En annan viktig egenskap hos elektroniska kontanter är betalningarnas anonymitet. Auktoriseringscentralen som attesterar betalningen har ingen information om vem som specifikt överfört pengarna och till vem.
Elektroniska kontanter är en av de typer av elektroniska betalningar. En enhet elektroniska kontanter är inget annat än en finansiell förpliktelse för emittenten (banken eller annan finansiell institution), i huvudsak liknande en vanlig växel. Betalningar med elektroniska kontanter förekommer där det blir obekvämt att använda andra betalningssystem. Ett tydligt exempel är en köpares ovilja att lämna information om sitt kreditkort när han betalar för varor på Internet.
Efter att ha beslutat om terminologin kan vi gå vidare till nästa steg i vårt samtal - låt oss prata om klassificeringen av EPS. Eftersom EPS förmedlar elektroniska betalningar baseras uppdelningen av EPS på olika typer av dessa betalningar.
Dessutom spelar mjukvaran och/eller hårdvarutekniken som EPS-mekanismen är baserad på en mycket viktig roll i denna fråga.
1.2 Klassificering av elektroniska betalningssystem
Elektroniska betalningssystem kan klassificeras baserat både på särdragen för elektroniska betalningar och på basis av den specifika teknik som ligger till grund för det elektroniska betalningssystemet.
Klassificering av EPS beroende på typen av elektroniska betalningar:
1. Enligt sammansättningen av betalningsdeltagare (tabell 1).
bord 1
| Typ av elektroniska betalningar | Betalningsparter | Analog i det traditionella kontantavräkningssystemet | EPS exempel |
| Bank-till-bank-betalningar | Finansiella institut | inga analoger | |
| B2B-betalningar | Juridiska personer | Kontantlösa betalningar mellan organisationer | |
| С2B betalningar | Slutkonsumenter av varor och tjänster och juridiska personer - säljare | Kontanta och icke-kontanta betalningar från köpare till säljare | Kredit pilot |
| C2C-betalningar | Individer | Direkta kontantbetalningar mellan privatpersoner, post- och telegraföverföringar |
Vi kommer inte vidare att överväga de elektroniska betalningssystem som är utformade för att tillhandahålla elektroniska betalningar av typen "bank-till-bank". Sådana system är extremt komplexa, de påverkar i högre grad de tekniska aspekterna av banksystemets funktion, och de är troligen inte av intresse för den breda massan av våra läsare.
Dessutom bör det noteras att det finns en annan typ av betalning som logiskt sett inte riktigt passar in i Tabell 1. Enligt formella kriterier faller den helt inom C2B-området, men kan ändå inte tillhandahållas med hjälp av utbredd EPS av denna typ. Mikrobetalningar kännetecknas av extremt små (cent eller bråkdelar av en cent) kostnad för varor. Det mest karakteristiska av alla populära artiklar Ett exempel på ett system som implementerar mikrobetalningar är försäljning av skämt (för en cent per styck). System som Eaccess och Phonepay är lämpliga för att göra mikrobetalningar.
2. Efter typ av utförda operationer (tabell 2).
Tabell 2
| Typ av elektroniska betalningar | Var används de? | EPS exempel |
| Bankkontohantering | "Klientbank"-system med åtkomst via modem, internet, mobiltelefon m.m. | Operationer för att hantera ett bankkonto i klientsystemet |
| Pengaröverföringar utan att öppna ett bankkonto | System för överföring av pengar dator nätverk, liknande post- och telegraföverföringar | |
| Transaktioner med kortbankkonton | Debet- och kreditkort i plast | Cyberplat (Cyberpos) |
| Transaktioner med elektroniska checkar och andra icke-kontanta betalningsförpliktelser | Slutna system för intercorporate betalningar | Cyberplat (Cybercheck) |
| Transaktioner med elektroniska (kvasi) kontanter | Beräkningar med fysiska personer, elektroniska analoger till polletter och förbetalda kort som används som pengarsurrogat för att betala för varor |
Det bör noteras att system av typen "klient - bank" har varit kända under ganska lång tid. Du kan komma åt ditt bankkonto med ett modem. Under det senaste decenniet har det dykt upp nya möjligheter att hantera ditt konto med hjälp av Internet, genom ett användarvänligt webbgränssnitt. Denna tjänst kallades "Internetbanking" och introducerade inte något fundamentalt nytt i betalningssystem av typen "klient-bank". Dessutom finns det andra alternativ för att komma åt ett bankkonto, till exempel med hjälp av en mobiltelefon (WAP-bank, SMS-bank). I detta avseende kommer vi inte i denna artikel specifikt att uppehålla oss vid denna typ av EPS; vi kommer bara att notera att för närvarande i Ryssland tillhandahåller cirka 100 affärsbanker internetbanktjänster med mer än 10 olika EPS.
Klassificering av EPS beroende på vilken teknik som används:
En av de viktigaste egenskaperna hos EPS är dess motståndskraft mot inbrott. Detta är kanske den mest diskuterade egenskapen hos sådana system. Som framgår av tabell 3, när man löser problemet med systemsäkerhet, bygger de flesta tillvägagångssätt för att bygga ett elektroniskt säkerhetssystem på sekretessen för en viss central databas som innehåller kritisk information. Samtidigt lägger några av dem till detta hemlig bas Dessa ytterligare skyddsnivåer är baserade på hårdvarans hållbarhet.
I princip finns det andra teknologier som EPS kan byggas utifrån. Till exempel kom det för inte så länge sedan ett reportage i media om utvecklingen av en EPS baserad på CDR-skivor inbyggda i ett plastkort. dock liknande system används inte i stor utsträckning i världspraxis, och därför kommer vi inte att fokusera på dem.
Tabell 3
| Teknologi | Vad bygger systemets stabilitet på? | EPS exempel |
| System med central serverklientbank, överföring av pengar | Sekretess för åtkomstnycklar | Telebank (Guta-bank), "Internet Service Bank" (Avtobank) |
| Smarta kort | Hårdvarubeständighet hos smartkort mot hackning | Mondex, ACCORD |
| Magnetiska kort och virtuella kreditkort | Assist, Elit |
|
| Skrap lotter | Sekretess för databasen med skraplottersnummer och koder | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Fil/plånbok i form av ett program på användarens dator | Kryptografisk styrka hos informationsutbytesprotokollet | |
| Betalt telefonsamtal | Sekretess för den centrala databasen med pinkoder och hårdvarustabilitet för det smarta telefonnätet | Eaccess, Phonepay |
1.3 Analys av de viktigaste elektroniska betalningssystem som används i Ryssland
För närvarande används ganska många elektroniska betalningssystem på det ryska internet, även om inte alla används i stor utsträckning. Det är karakteristiskt att nästan alla västerländska betalningssystem som används på RuNet är kopplade till kreditkort. Vissa av dem, till exempel PayPal, vägrar officiellt att arbeta med kunder från Ryssland. De mest använda systemen idag är:
CyberPlat hänvisar till system av blandad typ (ur någon av ovanstående klassificeringars synvinkel). I själva verket kan vi säga att inom detta system är tre separata samlade under ett tak: det klassiska "klient-bank"-systemet, som tillåter kunder att hantera konton som öppnats hos banker som deltar i systemet (11 ryska banker och 1 lettisk) ; CyberCheck-system, som låter dig göra säkra betalningar mellan juridiska personer anslutna till systemet; och ett internetinlösensystem, det vill säga behandla betalningar som accepteras från kreditkort - CyberPos. Bland alla internetinköpssystem som finns tillgängliga på den ryska marknaden tillhandahåller CyberPlat behandling av det största antalet typer av kreditkort, nämligen: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; det har meddelat sin nära förestående anslutning till STB-kortsystemet och ACCORD-kort/Bashcard. Inofficiellt hävdade företagets anställda att de undersökte möjligheten att samverka med andra ryska kortsystem. Utöver ovanstående tillhandahåller CyberPlat-företaget bearbetning av skraplotter i E-ports betalningssystem och tillkännagav den kommande driftsättningen av en gateway med Paycash-systemet.
För närvarande, för att öka skyddsnivån mot betalningar från stulna kreditkort, utvecklar företaget specialiserad PalPay-teknik, som gör att säljaren kan kontrollera om köparen verkligen har tillgång till bankkontot som är kopplat till kreditkortet eller bara känner till dess detaljer. Införandet av denna teknik i drift har ännu inte tillkännages officiellt.
CyberCheck-systemet är av stort intresse för att organisera arbetet med företagspartners. Dess huvudsakliga egenskap (jämfört med att acceptera betalningar med kreditkort) är omöjligheten för betalaren att vägra att göra en betalning i efterhand. Med andra ord, att ta emot betalningsbekräftelse från CyberCheck är lika tillförlitligt som att få en sådan bekräftelse från banken där handlarens konto finns. Alla dessa egenskaper gör CyberPlat till den kanske mest avancerade och intressanta för EPS-säljare på det ryska internet.
Assist-systemet när det gäller att hantera betalningar från kreditkort är på många sätt en funktionell analog till CyberPlat. I Moskva företräds dess intressen av Alfa Bank. Totalt är 5 banker anslutna till systemet. Undersystemet för internetinlösen tillåter dig att acceptera betalningar från Visa, Mastercard/Eurocard, STB-kort. Från och med september accepterades faktiskt inte betalningar från andra kortsystem som deklarerats på Assist-systemservern. Enligt inofficiell information kommer det dock inom en snar framtid att vara möjligt att acceptera Diners Club-kort, Cirrus Maestro och Visa Electron-betalkort. Intressant nog accepteras denna typ av kort vanligtvis inte av förvärvande företag, men på grund av dess låga kostnad är dessa kort mycket vanliga. Vanligtvis är vägran att acceptera betalkort motiverad av säkerhetsproblem. Kanske kommer ASSIST att kunna komma runt detta problem genom att använda SET-protokollet, vars stöd tillkännagavs av företaget häromdagen. Till skillnad från den traditionella metoden att betala med plastkort på Internet, som gör det möjligt för kortägaren att vägra betalningen från den (återbetalning), garanterar SET-protokollet transaktionens äkthet, vilket avsevärt minskar risken för säljaren.
Metoden för avveckling med hjälp av elektroniska certifikat köpta från en internetleverantör, tillkännagiven på Assist-webbplatsen, är ganska intressant eftersom den öppnar upp nya affärsområden för leverantörer, men enligt tillgänglig information, på grund av juridiska svårigheter, var det tills nyligen inte faktiskt används av vem som helst. Men återigen enligt inofficiell information kommer detta tillstånd snart att förändras - redan hösten 2001 kan vi se den första praktiska implementeringen av denna beräkningsmetod.
Utöver CyberPlat- och Assist-kortsystemen som nämns i beskrivningarna, finns det andra som har vunnit en viss popularitet på marknaden. Discover/NOVUS distribueras brett i Nordamerika och kan vara av intresse för de elektroniska butiker som betjänar en västerländsk publik. Vi känner inte till några inhemska förvärvande företag som skulle behandla kort med detta system, men det finns ett antal förslag från mellanhänder som företräder västerländska inlösares intressen. Bland de ryska kortsystemen, efter STB och Union Card, är de mest märkbara på marknaden Zolotaya Korona, Sbercard (Sberbank), Universal Card och ICB-kort (Promstroybank), samt det redan nämnda ACCORD-kortet/Bashcard . "ICB-kort" behandlas av ett par små förvärvande företag, acceptansen av betalningar via Internet från Zolotaya Korona och Sbercard-kort tillhandahålls förmodligen direkt av utfärdare och/eller närstående företag, och i fallet med Universal Card gör det verkar inte tillhandahållas av någon.
Paycash och Webmoney positioneras av sina utvecklare som elektroniska kontantsystem, men vid närmare granskning kan endast Paycash med rätta göra anspråk på sådan status.
Utvecklingen av Paycash initierades av Tavrichesky Bank, men för närvarande är andra banker anslutna till systemet, till exempel Guta Bank.
Ur teknisk synvinkel ger Paycash en nästan komplett imitation av kontantbetalningar. Från en elektronisk plånbok (ett specialiserat program installerat av klienten på sin dator) kan pengar överföras till en annan, samtidigt som anonymiteten för betalningen säkerställs i förhållande till banken. Systemet har blivit ganska utbrett i Ryssland och gör för närvarande försök att ta sig in på världsmarknaden.
Flaskhalsen med Paycash är proceduren för att överföra pengar till en elektronisk plånbok. Tills nyligen det enda sättet att göra detta var att gå till ett bankkontor och föra över pengar till systemkontot. Visserligen fanns det alternativ - för användare av Guta Bank Telebank-systemet var det möjligt att överföra pengar från ett konto i Guta Bank utan att lämna hemmet, men i vissa fall var det tydligen lättare att överföra dem direkt till säljarens konto - elektronisk butik utan att använda Paycash som mellanhand. Det var också möjligt att överföra pengar via Western Union eller post-/banköverföring, men denna vägs attraktivitet begränsades av den höga avgiftsnivån. För invånare i S:t Petersburg finns det en mycket exotisk möjlighet - att ringa en kurir till ditt hem för pengar. Underbart, men tyvärr bor vi inte alla i den norra huvudstaden.
Det är fortfarande inte möjligt att överföra pengar till Paycash från kreditkort. Detta beror på det faktum att företag som stödjer driften av kortsystem ger sina kunder möjlighet till den så kallade "charge back" - vägran att göra en betalning "retrospektivt". "Charge back" är en mekanism som skyddar ägaren av ett kreditkort från bedragare som kan använda dess uppgifter. Vid ett sådant avslag ligger bevisbördan på säljaren för att varan faktiskt har levererats till den verkliga kortinnehavaren och att betalning ska ske. Men i fallet med Paycash är den här typen av bevis i princip omöjliga – av ganska uppenbara skäl. Ovan nämnda gateway med CyberPlat, som är under utveckling, är också tänkt att lösa detta problem.
Under tiden för att packa upp det här flaskhals i systemet gjorde PayCash två ganska rimliga drag - det utfärdade förbetalda skraplotter och tillhandahöll betalningsacceptans genom kontaktöverföringssystemet, vars priser är betydligt lägre än portopriserna (2,2 % mot 8 %).
Webmoney-systemet är en av "pionjärerna" på marknaden för elektroniska betalningar i Ryssland. För närvarande har den en internationell karaktär. Enligt viss information har Webmoney representanter inte bara i republikerna i före detta Sovjetunionen, utan också i främmande länder. Systemoperatören är den autonoma ideella organisationen "VM Center".
Driftläget för Webmoney är mycket likt att arbeta med elektroniska kontanter, bara en noggrann och noggrann analys gör det möjligt att se till att Webmoney faktiskt inte ger fullständig anonymitet för betalningar, det vill säga de är inte dolda för ägarna av systemet själva. Användningen av Webmoney har dock visat att den här egenskapen är ganska fördelaktig, vilket i vissa fall gör det möjligt att bekämpa bedrägerier. Dessutom, som en separat betaltjänst, erbjuder VM Center certifiering av juridiska personer och individer, vilket naturligtvis berövar honom anonymitet i förhållande till andra deltagare i systemet. Denna möjlighet är nödvändig i första hand för dem som vill organisera en ärlig elektronisk butik och avser att övertyga potentiella köpare om deras tillförlitlighet. Webmoney låter dig öppna konton och överföra pengar i två valutor: rubel och dollar.
För att komma åt systemet används programmet "elektronisk plånbok". Ytterligare funktioner i systemet är överföring av korta meddelanden från plånbok till plånbok, samt kredittransaktioner mellan plånboksägare. Det är dock enligt vår mening få personer som kommer att gå med på att låna ut till anonyma personer via Internet utan möjlighet att tvångsindriva lånet vid utebliven återbetalning.
Till skillnad från Paycash tillhandahöll Webmoney initialt möjligheten att både överföra vanliga kontanter till en plånbok och ta ut innehållet i plånböcker utan de tråkiga procedurerna att fylla i betalningsuppdrag på banken, men på ett ganska konstigt, ur juridisk synvinkel, sätt . I allmänhet har Webmoneys juridiska stöd när det gäller dess arbete med organisationer länge orsakat många klagomål.
Detta var anledningen till att medan slutanvändare aktivt installerade "plånböcker" åt sig själva, vägrade många elektroniska butiker att använda denna EPS. Det är sant att denna situation för närvarande har förbättrats något, och Webmoney-ägarnas aktiva marknadsföringsposition leder till det faktum att bilden av systemet ständigt förbättras. En av intressanta funktioner Denna marknadsföringsstrategi var att nästan omedelbart efter dess inträde på marknaden fick alla möjlighet att tjäna pengar i detta system (vissa kanske kommer ihåg projektet "Nails" och dess senare utveckling - visiting.ru). Precis som Paycash, ger Webmoney ut förbetalda skraplotter som är utformade för att sätta in pengar i systemet.
Två system baserade på skraplotter: E-port (Avtokard-innehav) och KreditPilot (Kreditpilot.com), är som tvillingbröder. Båda utgår från att köparen först kommer att köpa ett skraplott med hemlig kod någonstans i ett brett distributionsnät eller genom att beställa det med bud hem, och sedan börja betala online med denna kod med butiker som tar emot betalningar från dessa system. E-port erbjuder dessutom möjligheten att skapa "virtuella" skraplotter genom att överföra pengar till företagets konto via en bank eller genom systemet "Webmoney".
Rapida-systemet, som började fungera i september 2001, precis som de två tidigare, erbjuder att sätta in pengar på användarens konto genom skraplotter eller betalning hos en bank som deltar i systemet. Dessutom anges möjligheten att arbeta i "Client-Bank" -läget och överföra pengar till konton för juridiska personer som inte är deltagare i systemet, såväl som till individer utan att öppna ett bankkonto. Tillgång till systemet tillhandahålls inte bara via Internet, utan också via telefon med hjälp av tonval. Generellt sett ser systemet tekniskt avancerat och mycket intressant ut, men än så länge har det inte gått tillräckligt med tid sedan det togs i drift för att kunna prata om utsikterna.
EPS, som tillåter betalning att göras på samma sätt som för långdistanssamtal (i efterhand, baserat på en faktura från telefonbolaget), dök först upp i USA och var avsedda att betala för tillgång till pornografiska resurser. Men på grund av de systematiska bedrägliga åtgärderna från många ägare av sådana system, blev de inte populära bland köpare, och säljarna var inte särskilt nöjda med dem, eftersom dessa system tenderade att avsevärt försena betalningarna.
Två inhemska implementeringar av ett liknande koncept - Phonepay och Eaccess - är i början av sin resa. Båda systemen förutsätter att kunden för att kunna göra en betalning måste ringa ett visst fjärrnummer i koden 8-809 (tillhandahålls, tydligen, av MTU-informera företaget), varefter lite nyckelinformation kommer att finnas dikterat till honom av roboten. När det gäller Eaccess är detta en pinkod som används för att komma åt en betald informationsresurs, och i fallet med Phonepay är det ett universellt "digitalt mynt" som består av 12 siffror av en av de fem valörer hårdkodade i systemet.När man tittar på systemens hemsidor kan man notera att e -access fortfarande gradvis utvecklas vilket ökar antalet butiker som är anslutna till systemet, men Phonepay har inte kopplat en enda butik som inte hör hemma till utvecklarna till sitt system.
Enligt min åsikt har sådana system i Ryssland mycket bestämda utsikter relaterade till slutanvändarens lätta åtkomst till dem, dock kommer omfattningen av deras tillämpning att begränsas till försäljning informationsresurser. Den långa förseningen i att ta emot betalningar (systemet kommer att överföra dem till butiken tidigast förrän köparen betalar telefonräkningen) gör handel med materiella tillgångar med hjälp av dessa EPS till en ganska olönsam aktivitet.
Slutligen bör en annan typ av elektroniska överföringssystem nämnas - specialiserade system för överföringar mellan individer, som konkurrerar med traditionella post- och telegrafiska överföringar. De första att ockupera denna nisch var sådana utländska system som Western Union och Money Gram. Jämfört med traditionella överföringar ger de högre hastighet och tillförlitlighet vid betalning. Samtidigt har de ett antal betydande nackdelar, varav den främsta är den höga kostnaden för deras tjänster, som når upp till 10% av överföringsbeloppet. Ett annat problem är att dessa system inte kan användas lagligt för att systematiskt ta emot betalningar för varor. Men för dem som bara vill skicka pengar till familj och vänner är det vettigt att rikta uppmärksamheten mot dessa system, såväl som deras inhemska analoger(Anelik och Contact). Än så länge kan varken Paycash eller Webmoney konkurrera med dem, eftersom det inte är möjligt att ta emot kontanter genom att dra upp dem ur en elektronisk plånbok någonstans i Australien eller Tyskland. Rapida EPS hävdar denna möjlighet, men än så länge finns det inga detaljer på webbplatsen, och geografin för systemets kontor kan inte jämföras med system som redan finns på marknaden.
Ägare av elektroniska butiker bör tydligen först och främst tänka på att acceptera pengar från kreditkort och elektroniska kontantsystem - Webmoney och Paycash. Baserat på helheten av konsumentegenskaper, enligt vår åsikt, kan inget av de system som finns på den ryska marknaden för att acceptera betalningar från kreditkort konkurrera med CyberPlat. Alla andra system är föremål för valfri användning, särskilt om du kommer ihåg att samma E-port inte behöver installeras separat, eftersom dess kort betjänas av CyberPlat.
2. SKYDDSMEDDELANDE FÖR ELEKTRONISKA BETALNINGSSYSTEM
2.1 Hot i samband med användningen av elektroniska betalningssystem
Låt oss överväga eventuella hot destruktiva handlingar av en angripare i förhållande till detta system. För att göra detta, låt oss titta på huvudmålen för en angripares attack. Huvudmålet för en angripare är finansiella tillgångar, eller snarare deras elektroniska substitut (surrogat) - betalningsorder som cirkulerar i betalningssystemet. I förhållande till dessa verktyg kan en angripare sträva efter följande mål:
1. Stöld av finansiella tillgångar.
2. Införande av förfalskade finansiella tillgångar (kränkning av systemets finansiella balans).
3. Systemfel ( tekniskt hot).
De angivna föremålen och målen för attacken är abstrakta till sin natur och tillåter inte analys och utveckling av nödvändiga åtgärder för att skydda information, därför ger Tabell 4 en specifikation av föremålen och målen för angriparens destruktiva effekter.
Tabell 4 Modell över möjliga destruktiva handlingar av en angripare
| Objekt för inflytande | Syftet med påverkan | Möjliga mekanismer för att implementera påverkan. |
| HTML-sidor på bankens webbserver | Substitution i syfte att erhålla information som lagts in i en betalningsorder av kunden. | Attack mot servern och byte av sidor på servern. Byte av sidor i trafik. Attack mot klientens dator och byte av klientens sidor |
| Klientinformationssidor på servern | Få information om klient(er) betalningar | Attack på servern. Trafikattack. Attack mot klientens dator. |
| Betalningsorderdata som anges av kunden i formuläret | Ta emot information som kunden skrivit in i betalningsordern. | Attack mot klientens dator (virus etc.). En attack mot dessa instruktioner när de skickas genom trafik. Attack på servern. |
| Privat kundinformation som finns på kundens dator och som inte är relaterad till det elektroniska betalningssystemet | Inhämtning av konfidentiell kundinformation. Ändring av kundinformation. Inaktiverar klientens dator. | Hela komplexet kända attacker till en dator som är ansluten till Internet. Ytterligare attacker som uppstår som ett resultat av användningen av betalningssystemmekanismer. |
| Information från bankens handläggningscentral. | Avslöjande och ändring av bearbetningscenterinformation och lokalt nätverk burk. | Attack mot ett lokalt nätverk anslutet till Internet. |
Denna tabell visar de grundläggande krav som alla elektroniska betalningssystem via Internet måste uppfylla:
För det första måste systemet säkerställa skyddet av betalningsorderdata från obehöriga ändringar och modifieringar.
För det andra bör systemet inte öka angriparens förmåga att organisera attacker på klientens dator.
För det tredje måste systemet skydda data som finns på servern från obehörig läsning och modifiering.
För det fjärde måste systemet tillhandahålla eller stödja ett system för att skydda bankens lokala nätverk från påverkan från det globala nätverket.
Under utvecklingen av specifika elektroniskaem, den här modellen och kraven måste vara föremål för ytterligare detaljer. Sådana detaljer krävs dock inte för den aktuella presentationen.
2.2 Teknik för att skydda elektroniska betalningssystem
Under en tid försvårades utvecklingen av WWW av att html-sidor, som ligger till grund för WWW, är statisk text, d.v.s. med deras hjälp är det svårt att organisera ett interaktivt informationsutbyte mellan användaren och servern. Utvecklare föreslog många sätt att utöka HTMLs möjligheter i denna riktning, av vilka många aldrig anammades i stor utsträckning. En av de mest kraftfulla lösningarna som representerade ett nytt steg i utvecklingen av Internet var Suns förslag att använda Java-appletar som interaktiva komponenter kopplade till HTML-sidor.
En Java-applet är ett program som är skrivet i programmeringsspråket Java och kompilerat till speciella bytekoder, som är koderna för någon virtuell dator - en Java-maskin - och som skiljer sig från koderna för Intel-familjens processorer. Applets lagras på en server på Internet och laddas ner till användarens dator närhelst en HTML-sida öppnas som innehåller ett anrop till denna applet.
För att exekvera appletkod innehåller en standardwebbläsare en implementering av en Java-motor som tolkar bytekoderna till maskininstruktioner på en Intel-familj av processorer (eller en annan familj av processorer). Möjligheterna som är inneboende i Java-appletteknik, å ena sidan, låter dig utveckla kraftfulla användargränssnitt, organisera åtkomst till alla nätverksresurser via URL, använd enkelt TCP/IP, FTP, etc. protokoll, men å andra sidan gör de det omöjligt att komma åt datorresurser direkt. Till exempel har appletar inte tillgång till filsystem dator och anslutna enheter.
En liknande lösning för att utöka kapaciteten hos WWW är Microsofts teknologi - Active X. De viktigaste skillnaderna mellan denna teknik och Java är att komponenter (analoger av appletar) är program i kod Intel-processor och det faktum att dessa komponenter har tillgång till alla datorresurser, såväl som Windows-gränssnitt och tjänster.
Ett annat mindre vanligt tillvägagångssätt för att utöka funktionerna för WWW är Netscapes plug-in för Netscape Navigator-teknik. Det är denna teknik som verkar vara den mest optimala grunden för att bygga informationssäkerhetssystem för elektroniska betalningar via Internet. För ytterligare diskussion, låt oss titta på hur denna teknik löser problemet med att skydda webbserverinformation.
Låt oss anta att det finns någon webbserver och administratören av denna server det krävs för att begränsa åtkomsten till någon del av serverns informationsuppsättning, dvs. organisera så att vissa användare har tillgång till viss information, men andra inte.
För närvarande föreslås ett antal tillvägagångssätt för att lösa detta problem, särskilt många OS, under vilka internetservrarna fungerar, kräver ett lösenord för att komma åt vissa av sina områden, dvs. kräver autentisering. Detta tillvägagångssätt har två betydande nackdelar: för det första lagras data på själva servern i klartext, och för det andra överförs data över nätverket också i klartext. Således har en angripare möjlighet att organisera två attacker: på själva servern (gissning av lösenord, förbikoppling av lösenord etc.) och en attack mot trafik. Fakta om sådana attacker är allmänt kända för internetgemenskapen.
Ett annat välkänt tillvägagångssätt för att lösa problemet med informationssäkerhet är tillvägagångssättet som bygger på SSL-teknik (Secure Sockets Layer). Vid användning av SSL upprättas en säker kommunikationskanal mellan klienten och servern genom vilken data överförs, d.v.s. Problemet med att överföra data i klartext över nätverket kan anses vara relativt löst. Det största problemet med SSL är konstruktionen av nyckelsystemet och kontrollen över det. När det gäller problemet med att lagra data på servern i klartext är det fortfarande olöst.
En annan viktig nackdel med tillvägagångssätten som beskrivs ovan är behovet av deras stöd från både servern och nätverksklientmjukvaran, vilket inte alltid är möjligt eller bekvämt. Speciellt i system riktade till masskunder och oorganiserade kunder.
Det tillvägagångssätt som författaren föreslagit bygger på att skydda själva HTML-sidorna, som är den huvudsakliga informationsbäraren på Internet. Kärnan i skyddet är att filer som innehåller HTML-sidor lagras på servern i krypterad form. I det här fallet är nyckeln med vilken de är krypterade endast känd för den person som krypterade den (administratören) och klienter (i allmänhet löses problemet med att bygga ett nyckelsystem på samma sätt som i fallet med transparent fil kryptering).
Klienter får tillgång till säker information med Netscapes Plug-in för Netscape-teknik. Dessa moduler är program, mer exakt mjukvarukomponenter, som är associerade med vissa filtyper i MIME-standarden. MIME är en internationell standard som definierar filformat på Internet. Till exempel finns följande filtyper: text/html, text/plane, image/jpg, image/bmp, etc. Dessutom definierar standarden en mekanism för inställning anpassade typer filer som kan definieras och användas av oberoende utvecklare.
Så plug-ins används som är associerade med specifika MIME-filtyper. Anslutningen är att när användaren kommer åt filer av motsvarande typ, startar webbläsaren den plugin som är kopplad till den och denna modul utför alla åtgärder för att visualisera fildata och bearbeta användarens handlingar med dessa filer.
De mest kända plug-in-modulerna inkluderar moduler som spelar upp videor i avi-format. Att visa dessa filer ingår inte i webbläsarnas standardfunktioner, men genom att installera lämplig plug-in kan du enkelt se dessa filer i webbläsaren.
Vidare definieras alla krypterade filer som MIME-filer i enlighet med den etablerade internationella standarden. "applikation/x-shp". En plug-in utvecklas sedan med hjälp av Netscape-teknik och protokoll för att associera med filtypen. Denna modul utför två funktioner: för det första ber den om ett lösenord och användar-ID, och för det andra utför den arbetet med att dekryptera och mata ut filen till webbläsarfönstret. Denna modul installeras i enlighet med standardordningen som fastställts av Netscape på webbläsarna på alla klientdatorer.
Vid denna tidpunkt är det förberedande skedet av arbetet avslutat och systemet är redo för drift. Under drift får klienter åtkomst till krypterade HTML-sidor med deras standardadress (URL). Webbläsaren bestämmer typen av dessa sidor och startar automatiskt modulen vi utvecklade och överför innehållet i den krypterade filen till den. Modulen autentiserar klienten och, efter framgångsrikt slutförande, dekrypterar och visar innehållet på sidan.
När du utför hela denna procedur får klienten känslan av "transparent" kryptering av sidor, eftersom allt arbete i systemet som beskrivs ovan är dolt för hans ögon. Samtidigt bevaras alla standardfunktioner som är inneboende i html-sidor, såsom användning av bilder, Java-applets, CGI-skript.
Det är lätt att se att detta tillvägagångssätt löser många informationssäkerhetsproblem, eftersom i öppen form finns den endast på klienternas datorer; data överförs över nätverket i krypterad form. En angripare, som strävar efter att få information, kan bara utföra en attack på en specifik användare, och inget serverinformationssäkerhetssystem kan skydda mot denna attack.
För närvarande har författaren utvecklat två informationssäkerhetssystem baserade på det föreslagna tillvägagångssättet för webbläsaren Netscape Navigator (3.x) och Netscape Communicator 4.x. Under förtest Det visade sig att de utvecklade systemen kan fungera normalt under kontroll av MExplorer, men inte i alla fall.
Det är viktigt att notera att dessa versioner av system inte krypterar objekt som är associerade med en HTML-sida: bilder, skriptapplets, etc.
System 1 erbjuder skydd (kryptering) av de faktiska HTML-sidorna som ett enda objekt. Du skapar en sida och krypterar den och kopierar den till servern. När du kommer åt en krypterad sida dekrypteras den automatiskt och visas i ett speciellt fönster. Säkerhetssystemstöd krävs inte från serverprogramvaran. Allt krypterings- och dekrypteringsarbete utförs på klientens arbetsstation. Detta systemär universell, dvs. beror inte på sidans struktur och syfte.
System 2 erbjuder en annan metod för skydd. Detta system säkerställer att skyddad information visas i någon del av din sida. Informationen finns i en krypterad fil (inte nödvändigtvis i html-format) på servern. När du går till din sida kommer säkerhetssystemet automatiskt åt den här filen, läser data från den och visar den i ett visst område på sidan. Detta tillvägagångssätt låter dig uppnå maximal effektivitet och estetisk skönhet, med minimal mångsidighet. De där. systemet visar sig vara inriktat på ett specifikt syfte.
Detta tillvägagångssätt kan även tillämpas när man bygger elektroniska betalningssystem via Internet. I det här fallet, när du kommer åt en viss sida på webbservern, startas Plug-in-modulen, som visar betalningsorderformuläret för användaren. Efter att klienten har fyllt i den krypterar modulen betalningsdata och skickar den till servern. Samtidigt kan han kräva en elektronisk signatur från användaren. Dessutom kan krypterings- och signaturnycklar läsas från alla media: disketter, elektroniska surfplattor, smartkort, etc.
2.3 Analys av teknologier för att uppfylla grundläggande krav för elektroniska betalningssystem
Ovan beskrev vi tre teknologier som kan användas för att bygga betalningssystem över Internet: detta är en teknik baserad på Java-applets, Active-X-komponenter och plug-in-moduler. Låt oss kalla dem teknologierna J, AX respektive P.
Tänk på kravet att en angripares förmåga att attackera en dator inte bör ökas. För att göra detta, låt oss analysera en av de möjliga typerna av attacker - ersättning av motsvarande klientskyddsmoduler av en angripare. I fallet med teknik J är det applets, i fallet med AX, nedsänkbara komponenter, i fallet med P är det plug-in-moduler. Det är uppenbart att en angripare har möjlighet att byta ut skyddsmodulerna direkt på klientens dator. Mekanismerna för att implementera denna attack ligger utanför ramen för denna analys, men det bör noteras att implementeringen av denna attack inte beror på skyddstekniken i fråga. Och säkerhetsnivån för varje teknik är densamma, d.v.s. de är alla lika instabila för denna attack.
Den mest sårbara punkten i J- och AX-teknologier, ur substitutionssynpunkt, är att de laddas ner från Internet. Det är i detta ögonblick som en angripare kan utföra ett byte. Dessutom, om en angripare lyckas ersätta dessa moduler på bankens server, får han tillgång till alla volymer av betalningssysteminformation som cirkulerar på Internet.
När det gäller teknik P finns det ingen fara för utbyte, eftersom modulen inte laddas ner från nätverket - den lagras permanent på klientens dator.
Konsekvenserna av substitution är olika: i fallet med J-teknik kan en angripare bara stjäla den information som klienten matat in (vilket är ett allvarligt hot), och i fallet med Active-X och Plug-in kan en angripare skaffa all information som klienten som körs på datorn har tillgång till.
För närvarande är författaren inte medveten om specifika metoder för att implementera Java-applet-spoofingattacker. Tydligen utvecklas dessa attacker dåligt, eftersom de resulterande möjligheterna att stjäla information praktiskt taget saknas. Men attacker på Active-X-komponenter är utbredda och välkända.
Låt oss överväga kravet på att skydda information som cirkulerar i det elektroniska betalningssystemet via Internet. Det är uppenbart att i det här fallet är teknologi J underlägsen både P och AX i en mycket viktig fråga. Alla informationssäkerhetsmekanismer är baserade på kryptering eller elektronisk signatur, och alla motsvarande algoritmer är baserade på kryptografiska transformationer som kräver införande av nyckelelement. För närvarande är längden på nyckelelement i storleksordningen 32-128 byte, så att kräva att användaren matar in dem från tangentbordet är nästan omöjligt. Frågan uppstår: hur går man in i dem? Eftersom P- och AX-teknologier har tillgång till datorresurser är lösningen på detta problem uppenbar och välkänd - nycklar läses från lokala filer, disketter, surfplattor eller smartkort. Men i fallet med teknologi J är sådan inmatning omöjlig, vilket innebär att du antingen måste kräva att klienten anger en lång sekvens av meningslös information, eller, genom att minska längden på nyckelelement, minska styrkan hos kryptografiska transformationer och därför minska säkerhetsmekanismernas tillförlitlighet. Dessutom är denna minskning mycket betydande.
Låt oss överväga kravet att det elektroniska betalningssystemet måste organisera skyddet av data som finns på servern från obehörig läsning och modifiering. Detta krav härrör från det faktum att systemet innebär att konfidentiell information avsedd för användaren placeras på servern. Till exempel en lista över betalningsuppdrag som skickats till honom med en anteckning om bearbetningsresultaten.
När det gäller teknik P presenteras denna information i form av HTML-sidor, som krypteras och placeras på servern. Alla åtgärder utförs i enlighet med algoritmen som beskrivs ovan (kryptering av HTML-sidor).
När det gäller J- och AX-teknologier kan denna information placeras i någon strukturerad form i en fil på servern, och komponenter eller appletar måste utföra operationerna för att läsa och visualisera data. Allt detta leder i allmänhet till en ökning av den totala storleken på applets och komponenter, och följaktligen till en minskning av laddningshastigheten för motsvarande sidor.
Ur detta kravs synvinkel vinner teknik P på grund av sin större tillverkningsbarhet, d.v.s. lägre utvecklingskostnader och större motståndskraft mot utbyte av komponenter när de passerar genom nätverket.
När det gäller det sista kravet för att skydda det lokala banknätverket uppfylls det genom den kompetenta konstruktionen av ett system av brandväggar (brandväggar) och beror inte på den aktuella tekniken.
Ovanstående genomfördes alltså preliminärt jämförande analys teknologierna J, AX och P, av vilka det följer att teknik J bör användas om upprätthållandet av säkerhetsgraden för klientens dator är betydligt viktigare än styrkan hos kryptografiska transformationer som används i elektroniska betalningssystem.
Teknik P verkar vara den mest optimala tekniska lösningen bakom betalningsinformationssäkerhetssystem, eftersom den kombinerar kraften standardapplikation Win32 och skydd mot attacker via Internet. Det praktiska och kommersiella genomförandet av projekt som använder denna teknik utförs till exempel av det ryska Financial Communications-företaget.
När det gäller AX-teknik verkar dess användning vara ineffektiv och instabil mot attacker från inkräktare.
SLUTSATS
Elektroniska pengar börjar allt tydligare bli vår vardagliga verklighet, vilket åtminstone måste beaktas. Självklart kommer ingen att avskaffa vanliga pengar de närmaste femtio åren (troligen). Men att inte kunna hantera elektroniska pengar och gå miste om de möjligheter som de för med sig innebär att frivilligt sätta upp en "järnridå" runt sig själv, som har flyttats med så svårt under de senaste femton åren. Många stora företag erbjuder betalning för sina tjänster och varor genom elektroniska betalningar. Detta sparar konsumenten mycket tid.
Gratis programvara för att öppna din elektroniska plånbok och för allt arbete med pengar är maximalt anpassad för massdatorer, och efter lite övning orsakar det inga problem för den genomsnittliga användaren. Vår tid är tiden för datorer, internet och e-handel. Människor som har kunskap inom dessa områden och lämpliga verktyg uppnår enorm framgång. Elektroniska pengar är pengar som blir mer utbredda för varje dag som öppnar upp fler och fler möjligheter för en person som har tillgång till Internet.
Syftet med beräkningen och det grafiska arbetet var att slutföra och lösa följande uppgifter:
1. Huvuduppgifterna för elektroniska betalningssystem och principerna för deras funktion, deras egenskaper bestäms.
2. De viktigaste elektroniska betalningssystemen analyseras.
3. Hoten i samband med användningen av elektroniska pengar analyseras.
4. Skyddsmedlen vid användning av elektroniska betalningssystem analyseras.
BIBLIOGRAFISK LISTA
1. Antonov N.G., Pessel M.A. Penningcirkulation, kredit och banker. -M.: Finstatinform, 2005, s. 179-185.
2. Bankportfölj - 3. -M.: Somintek, 2005, s. 288-328.
3. Mikhailov D.M. Internationella betalningar och garantier. M.: FBK-PRESS, 2008, s. 20-66.
4. Polyakov V.P., Moskovkina L.A. Centralbankernas struktur och funktioner. Utländsk erfarenhet: Lärobok. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Säkerhet för elektroniska banksystem. - M: Förenade Europa, 2004
6. Demin V.S. Automatiserade banksystem. - M: Menatep-Inform, 2007
7. Krysin V.A. Affärssäkerhet. - M: Finans och statistik, 2006
8. Linkov I.I. Informationsavdelningar i kommersiella strukturer: hur man överlever och lyckas. - M: NIT, 2008
9. Titorenko G.A. Datorisering av bankverksamhet. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Distribuerade nätverk. - St. Petersburg: Peter, 2008
12. Aglitsky I. Tillstånd och framtidsutsikter för informationsstöd för ryska banker. - Bankteknik, 2007 nr 1.
Handledning
Behöver du hjälp med att studera ett ämne?
Våra specialister kommer att ge råd eller tillhandahålla handledningstjänster i ämnen som intresserar dig.
Skicka in din ansökan anger ämnet just nu för att ta reda på möjligheten att få en konsultation.
3. Skydd av elektroniska betalningar
Problemet med banksäkerhet är särskilt akut, eftersom bankinformation, för det första representerar det riktiga pengar, och för det andra påverkar det ett stort antal bankkunders konfidentiella intressen.
E-handelsmarknadens storlek år 2000
| Marknadens storlek och egenskaper | Uppskattning, dollar |
| Total kostnad för alla köp av internetprodukter | 4,5-6 miljarder |
| Totalkostnad för alla köp per genomsnittlig köpare | 600-800 |
| Kostnad för genomsnittligt köp per internettransaktion | 25-35 |
| Full volym av köptransaktioner på Internet | 130-200 miljoner |
| Andel av produktköp online | 60-70% |
| Andel av inköp av levererade varor | 30-40% |
Allmänt system för hur elektroniska betalningssystem fungerar
En bank som har ingått ett avtal med systemet och erhållit lämplig licens kan agera i två kapaciteter - som emittent av betalningsinstrument i detta system, accepterade för betalning av alla andra deltagande banker, och som en inlösande bank, betjäna företag som acceptera betalningsinstrument i detta system för betalning, utgivna av andra emittenter, och acceptera dessa betalningsmedel för inlösen i sina filialer.
Betalningsacceptansproceduren är ganska enkel. Först och främst måste företagets kassör verifiera kortets äkthet med hjälp av lämpliga egenskaper.
Vid betalning måste företaget överföra kundens kortuppgifter till en speciell check med hjälp av en kopieringsmaskin - tryckare, ange beloppet för vilket köpet gjordes eller tjänsterna tillhandahållits i checken och skaffa kundens underskrift.
En check som utfärdas på detta sätt kallas en kupong. För att kunna genomföra transaktioner på ett säkert sätt rekommenderar betalningssystemet lägre gränser för belopp för olika regioner och typer av verksamheter för vilka betalningar kan göras utan tillstånd. Om gränsbeloppet överskrids eller om det råder tvivel om kundens identitet är företaget skyldigt att genomföra en auktorisationsprocess.
Utan att uppehålla oss vid de tekniska aspekterna av förfarandet, påpekar vi att företaget under auktorisering faktiskt får tillgång till information om statusen på kundens konto och får därmed möjlighet att fastställa äganderätten till kortet av kunden och dennes betalningsförmåga. i transaktionsbeloppet. En kopia av kvittot finns kvar hos företaget, den andra överförs till kunden, den tredje levereras till den övertagande banken och fungerar som grund för återbetalning av betalningsbeloppet till företaget från kundens konto.
Under de senaste åren har POS-terminaler blivit mycket populära, med hjälp av vilka det inte finns något behov av att fylla i lappar. Kortuppgifterna läses från magnetremsan på läsaren som är inbyggd i POS-terminalen, transaktionsbeloppet skrivs in från tangentbordet och terminalen, via det inbyggda modemet, ansöker om auktorisering till lämpligt betalningssystem. I det här fallet används bearbetningscentrets tekniska kapacitet, vars tjänster tillhandahålls till handlaren av banken. I det här fallet rapporterar företaget till banken med en kopia av kassabandet med ett prov på kundens signatur och batchfiler som terminalen genererar i slutet av arbetsdagen.
De senaste åren har allt mer uppmärksammats banksystem som använder mikroprocessorkort.
Externt skiljer sig dessa lagringsmedier inte från vanliga kort, förutom minneschippet eller mikroprocessorn som är lödd inuti kortet och kontaktplattans kronblad som visas på dess yta.
Den grundläggande skillnaden mellan dessa kort och allt ovan är att de direkt innehåller information om kundens kontostatus, eftersom de själva är ett transitkonto. Det är tydligt att varje insamlingsställe för sådana kort måste vara utrustad med en speciell POS-terminal (med en chipläsare).
För att kunna använda kortet måste klienten ladda det från sitt konto i bankterminalen. Alla transaktioner görs i OFF-LINE-läge under dialogkortet - terminal- eller klientkort - handelskort.
Ett sådant system är nästan helt säkert på grund av den höga säkerhetsgraden för chippet och hela debetbetalningssystemet. Dessutom, även om kortet i sig är betydligt dyrare än ett vanligt, visar sig systemet under drift vara ännu billigare på grund av det faktum att OFF-LINE-läget inte använder telekommunikationsbelastningen.
Elektroniska betalningar med plastbankkort olika typer representerar en ganska flexibel och universell mekanism för avvecklingar i kedjan "Bank 1 - Client - Enterprise - Bank 2" och interbankavvecklingar av typen "Bank 1 - ... - Bank N". Det är dock mångsidigheten hos dessa betalningsinstrument som gör dem till ett särskilt attraktivt mål för bedrägerier. Den årliga kostnaden för missbruksrelaterade förluster uppgår till ett betydande belopp, om än relativt liten jämfört med den totala omsättningen.
Säkerhetssystemet och dess utveckling kan inte betraktas isolerat från metoderna för illegala transaktioner med plastkort, som kan delas in i 5 huvudtyper av brott.
1. Operationer med förfalskade kort.
Denna typ av bedrägerier står för den största delen av betalningssystemens förluster. På grund av den höga tekniska och tekniska säkerheten för riktiga kort används hemgjorda kort sällan nyligen och kan identifieras med enkel diagnostik.
Som regel används stulna kortblanketter för förfalskning, på vilka bank- och kunduppgifterna appliceras. Eftersom de är tekniskt välutrustade kan brottslingar till och med skriva information på magnetremsan på ett kort eller kopiera det, med ett ord, utföra förfalskning på en hög nivå.
Förövarna av sådana handlingar är som regel organiserade kriminella grupper, som ibland samarbetar med anställda i utfärdande banker som har tillgång till information om kundkonton och transaktionsförfaranden. Som en hyllning till det internationella kriminella samfundet bör det noteras att förfalskade kort dök upp i Ryssland nästan samtidigt med början av utvecklingen av denna sektor av bankmarknaden.
2. Transaktioner med stulna/förlorade kort.
Det är möjligt att orsaka stor skada med ett stulet kort endast om bedragaren känner till kundens PIN-kod. Då blir det möjligt att ta ut ett stort belopp från kundens konto genom ett nätverk av elektroniska kassaapparater - bankomater innan den utfärdande banken för det stulna kortet har tid att sätta det på den elektroniska stopplistan (lista över ogiltiga kort).
3. Flera betalningar för tjänster och varor för belopp som inte överstiger "golvgränsen" och som inte kräver tillstånd. För att göra betalningar behöver brottslingen bara förfalska klientens underskrift. Men med detta schema blir det mest attraktiva föremålet för övergrepp otillgängligt - kontanter. Denna kategori inkluderar brott som involverar kort som stulits medan de skickades av den utfärdande banken till sina kunder per post.
4. Post-/telefonorderbedrägeri.
Denna typ av brott förekom i samband med utvecklingen av tjänsten för att leverera varor och tjänster via post eller telefonorder från klienten. Genom att känna till offrets kreditkortsnummer kan brottslingen ange det på beställningsformuläret och, efter att ha tagit emot beställningen på den tillfälliga bostaden, fly.
5. Flera uttag från kontot.
Dessa brott begås vanligtvis av anställda juridisk enhet, acceptera betalning från en kund för varor och tjänster med kreditkort, och utförs genom att utfärda flera betalningscheckar för ett betalningsfaktum. Baserat på inlämnade checkar krediteras företagets konto mer pengar än kostnaden för sålda varor eller tillhandahållna tjänster. Men efter att ha genomfört ett antal transaktioner tvingas brottslingen att stänga eller lämna företaget.
För att undvika sådana handlingar rekommenderas kortanvändare att vara mer uppmärksamma på de undertecknade dokumenten när de gör transaktioner (även för små belopp).
De metoder som säkerhetsavdelningarna använder kan delas in i två huvudkategorier. Den första och kanske viktigaste nivån är relaterad till den tekniska säkerheten för själva plastkortet. Nu kan vi med tillförsikt säga att ur teknisk synvinkel är kortet bättre skyddat än sedlar, och det är nästan omöjligt att göra det själv utan användning av sofistikerad teknik.
Kort från alla betalningssystem uppfyller strikt etablerade standarder. Kartan har en standardform. Bankens identifikationsnummer i systemet (BIN-kod) och kundens bankkontonummer, hans för- och efternamn, kortets utgångsdatum är präglade och placerade på strikt etablerade positioner på kortets framsida. Det finns också en betalningssystemsymbol gjord på ett holografiskt sätt. De fyra sista siffrorna i kortnumret är präglade (intryckta i relief) direkt på den holografiska symbolen, vilket gör det omöjligt att kopiera hologrammet eller prägla om koden utan att förstöra symbolen.
På baksidan av kortet finns en magnetremsa och ett område med en provsignatur av ägaren. Detaljerna om själva betalningssystemet, säkerhetsmärken, symboler som förhindrar att information kopieras registreras på magnetremsan i strikt definierade positioner och med hjälp av kryptografiska algoritmer, och informationen som är tryckt på kortets framsida dupliceras. Ägarens signaturprovområde har en speciell beläggning. Vid minsta försök att göra raderingar eller vidarebefordra signaturen förstörs beläggningen och ett substrat av en annan färg visas med betalningssystemets säkerhetssymboler.
Den återstående ytan av kortet står helt och hållet till den utfärdande bankens förfogande och är dekorerad på ett godtyckligt sätt med bankens symboler, dess reklam och information som är nödvändig för kunderna. Själva kortet är skyddat av tecken som endast är synliga under ultraviolett ljus.
Tekniska skyddsåtgärder omfattar även skydd av bankkommunikation, banknätverk från olagliga intrång, haverier och annan yttre påverkan som leder till läckage eller till och med förstörelse av information. Skyddet utförs av mjukvara och hårdvara och är certifierat av auktoriserade betalningssystemorganisationer.
Den andra kategorin av skyddsåtgärder inkluderar åtgärder för att förhindra informationsläckage från bankavdelningar för arbete med plastkort. Huvudprincipen är en tydlig avgränsning av de anställdas myndighetsansvar och i enlighet med detta begränsa tillgången till sekretessbelagd information i en omfattning som inte överstiger det minimum som krävs för arbetet.
Dessa åtgärder minskar risken och möjligheten för brottslingar att samverka med anställda. Temaseminarier hålls för att anställda ska kunna förbättra sin kompetens. Betalsystem distribuerar regelbundet säkerhetsbulletiner, där de publicerar officiellt material och statistik om brott som involverar kort, rapporterar tecken på brottslingar och tecken på att förfalskade kort kommer ut i olaglig omsättning. Genom bulletiner utbildas personal och organiseras förebyggande och särskilda aktiviteter som syftar till att minska brottsligheten.
Särskild uppmärksamhet ägnas åt personalvalet av avdelningsanställda. Alla säkerhetsfrågor ansvarar för en dedikerad säkerhetsansvarig. Bland de förebyggande åtgärderna är den viktigaste platsen upptagen av arbete med klienter som syftar till att öka den kulturella nivån på hanteringen av ”plastpengar”. Varsam och noggrann hantering av kortet minskar avsevärt sannolikheten för att bli offer för ett brott.
Analys av överträdelser i det elektroniska avvecklings- och betalningssystemet
Det är välkänt bland specialister att Norges snabba fall under andra världskriget till stor del berodde på att den brittiska kungliga marinens koder bröts av tyska kryptografer som använde exakt samma metoder som Royal Navy's Room 40-specialister använde mot Tyskland i förr. krig.
Sedan andra världskriget har en slöja av sekretess lyfts över regeringens användning av kryptografi. Detta är inte förvånande, och det beror inte bara på det kalla kriget, utan också på byråkraternas (i vilken organisation som helst) ovilja att erkänna sina misstag.
Låt oss titta på några av de sätt på vilka bankomatbedrägerier faktiskt har begåtts. Målet är att analysera designernas idéer som syftar till den teoretiska osårbarheten hos deras produkt och dra lärdom av det som hände.
Låt oss börja med några enkla exempel som visar flera typer av bedrägerier som kan utföras utan mycket tekniskt gimmick, samt bankprocedurerna som gör att de kan hända.
Det är välkänt att magnetremsan på en kunds kort endast får innehålla hans kontonummer, och hans personliga identifieringsnummer (PIN) erhålls genom att kryptera kontonumret och ta fyra siffror från resultatet. Således måste uttagsautomaten kunna utföra kryptering eller på annat sätt utföra PIN-verifiering (t.ex. interaktiv fråga).
Winchester Crown Court i England dömde nyligen två brottslingar som använde ett enkelt men effektivt system. De stod i köer vid bankomater, tittade på kundernas pinkoder, plockade upp kort som avvisats av bankomaten och kopierade kontonummer från dem till tomma kort, som användes för att råna kunders konton.
Detta trick användes (och rapporterades) för flera år sedan på en bank i New York. Gärningsmannen var en avskedad bankomattekniker och han lyckades stjäla 80 000 dollar innan banken, som hade säkerhetsnärvaro i området, tog honom på bar gärning.
Dessa attacker lyckades eftersom bankerna skrev ut hela kundens kontonummer på bankkortet och dessutom fanns det ingen kryptografisk redundans på magnetremsan. Man skulle kunna tro att New York Banks läxa skulle dras, men nej.
En annan typ av teknisk attack bygger på det faktum att många ATM-nätverk inte krypterar meddelanden och inte utför autentiseringsprocedurer när de godkänner en transaktion. Detta innebär att en angripare kan spela in ett svar från banken till bankomaten "Jag godkänner betalning" och sedan spela upp inspelningen tills bankomaten är tom. Denna teknik, känd som "urtagning", används inte bara av utomstående angripare. Det finns ett känt fall där bankoperatörer använde en nätverkskontrollenhet för att "tömma" bankomater tillsammans med medbrottslingar.
Testtransaktioner är en annan källa till problem
För en typ av bankomat användes en fjortonsiffrig nyckelsekvens för att testa utmatningen av tio sedlar. En viss bank skrev ut denna sekvens i sin manual för användning av fjärruttagsautomater. Tre år senare började pengar plötsligt försvinna. De fortsatte tills alla banker använder denna typ av ATM-aktiverade programvarukorrigeringar för att förhindra testtransaktionen.
De snabbast växande bedrägerierna är de som involverar användning av falska terminaler för att samla in kundkonton och PIN-koder. Attacker av denna art beskrevs första gången i USA 1988. Bedragare har byggt en maskin som accepterar alla kort och serverar ett paket cigaretter. Denna uppfinning placerades i en butik och PIN-koder och data från magnetkort överfördes via ett modem. Tricket spreds över hela världen.
Tekniker stjäl också pengar från kunder, i vetskap om att deras klagomål sannolikt kommer att ignoreras. På en bank i Skottland kopplade en helpdesk-ingenjör en dator till en bankomat och registrerade kundernas kontonummer och PIN-koder. Han förfalskade sedan korten och stal pengar från kontona. Återigen klagade kunder till tomma väggar. Banken kritiserades offentligt av en av Skottlands högsta juridiska tjänstemän för denna praxis.
Syftet med att använda en fyrsiffrig PIN-kod är att om någon hittar eller stjäl en annan persons bankkort så finns det en chans på tiotusen att gissa koden slumpmässigt. Om endast tre försök tillåts att ange PIN-koden, är sannolikheten för att ta ut pengar från ett stulet kort mindre än en på tre tusen. Vissa banker har dock lyckats minska mångfalden med fyra siffror.
Vissa banker följer inte mönstret att erhålla en PIN-kod genom att kryptografiskt konvertera kontonumret, utan att använda en slumpmässigt vald PIN-kod (eller låta kunderna välja) och sedan kryptotransformera den för att komma ihåg den. Förutom att låta kunden välja en PIN-kod som är lätt att gissa, introducerar detta tillvägagångssätt några tekniska fallgropar.
Vissa banker sparar ett krypterat PIN-värde. Detta innebär att programmeraren kan få det krypterade värdet av sin egen PIN-kod och söka i databasen efter alla andra konton med samma PIN-kod.
En stor brittisk bank skrev till och med en krypterad PIN-kod på kortets magnetremsa. Det tog det kriminella samfundet femton år att inse att de kunde byta ut kontonumret på magnetremsan på sitt eget kort och sedan använda det med sin egen PIN-kod för att stjäla från ett konto.
Av denna anledning rekommenderar VISA-systemet att banker kombinerar kundens kontonummer med sin PIN-kod innan de krypterar. Det är dock inte alla banker som gör detta.
Mer sofistikerade attacker hittills har kopplats till enkla implementerings- och driftsprocedurer. Professionella säkerhetsforskare har tenderat att se sådana misstag som ointressanta och har därför fokuserat på attacker som utnyttjar mer subtila tekniska brister. Bankverksamheten har också ett antal säkerhetsbrister.
Även om högteknologiska attacker mot banksystem är sällsynta är de intressanta ur allmänhetens synvinkel, eftersom statliga initiativ som EU:s informationssäkerhetsteknikutvärderingskriterier (ITSEC) syftar till att utveckla en uppsättning produkter som är certifierade mot kända tekniska fel. Förslagen som ligger till grund för detta program är att implementeringen och processprocedurerna för de berörda produkterna kommer att vara i stort sett felfria och att attacken kräver teknisk utbildning jämförbar med den för personal från statliga säkerhetsmyndigheter. Tydligen är detta tillvägagångssätt mer lämpligt för militära system än för civila.
För att förstå hur mer sofistikerade attacker utförs är det nödvändigt att titta på banksäkerheten mer i detalj.
Problem relaterade till säkerhetsmoduler
Alla säkerhetsprodukter är inte av samma kvalitet och få banker har utbildade experter för att skilja bra produkter från mediokra.
I praktiken finns det vissa problem med krypteringsprodukter, i synnerhet den gamla säkerhetsmodulen IBM 3848 eller de moduler som för närvarande rekommenderas för bankorganisationer.
Om banken inte har hårdvaruimplementerade säkerhetsmoduler kommer PIN-kodskrypteringsfunktionen att implementeras i mjukvara med motsvarande oönskade konsekvenser. Säkerhetsmodulens programvara kan ha brytpunkter för felsökning av mjukvaruprodukter av tillverkarens ingenjörer. Detta faktum uppmärksammades när en av bankerna beslutade att inkludera det i nätverket och tillverkarens systemingenjör kunde inte säkerställa driften av den nödvändiga gatewayen. För att få jobbet gjort använde han ett av dessa knep för att extrahera PIN-koder från systemet. Förekomsten av sådana brytpunkter gör det omöjligt att skapa tillförlitliga procedurer för att hantera säkerhetsmoduler.
Vissa tillverkare av säkerhetsmoduler underlättar själva sådana attacker. Till exempel används en metod för att generera arbetsnycklar baserade på tiden på dygnet och som ett resultat används faktiskt bara 20 nyckelbitar, istället för de förväntade 56. Således, enligt sannolikhetsteorin, för varje 1000 nycklar som genereras, två kommer att matcha.
Detta möjliggör vissa subtila missbruk där en angripare manipulerar bankkommunikation så att transaktioner från en terminal ersätts av transaktioner från en annan.
Programmerarna i en bank brydde sig inte ens om problemen i samband med att ange klientnycklar i krypteringsprogram. De installerade helt enkelt pekare till nyckelvärdena i ett minnesområde som alltid återställs till noll när systemet startar. Resultatet detta beslut det visade sig att den verkliga och testsystem använde samma nyckellagringsutrymmen. Bankens tekniker insåg att de kunde skaffa kundens PIN-koder på testutrustning. Flera av dem kontaktade lokala kriminella för att välja PIN-koder till stulna bankkort. När bankens säkerhetschef avslöjade vad som hände dog han i en bilolycka (och den lokala polisen "förlorade" allt relevant material). Banken brydde sig inte om att skicka ut nya kort till sina kunder.
Ett av huvudsyften med säkerhetsmoduler är att förhindra att programmerare och personal som kommer åt datorer får nyckel bankinformation. Sekretessen som tillhandahålls av säkerhetsmodulernas elektroniska komponenter motstår dock ofta inte kryptografiska penetrationsförsök.
Säkerhetsmoduler har sina egna huvudnycklar för internt bruk, och dessa nycklar måste förvaras på en specifik plats. En säkerhetskopia av nyckeln upprätthålls ofta i en lättläsbar form, såsom en PROM, och nyckeln kan läsas då och då, till exempel när kontroll av en uppsättning zon- och terminalnycklar överförs från en säkerhetsmodul till annan. I sådana fall är banken helt utlämnad till experterna i processen att utföra denna operation.
Problem i samband med designteknik
Låt oss kort diskutera ATM-designteknik. I äldre modeller var krypteringsprogrammets kod placerad på fel ställe - i kontrollenheten och inte i själva modulen. Styranordningen var tänkt att placeras i omedelbar närhet av modulen i ett visst område. Men ett stort antal uttagsautomater finns för närvarande inte i nära anslutning till bankhuset. Vid ett brittiskt universitet fanns en bankomat på campus och skickade okrypterade kontonummer och PIN-koder till telefonlinje till filialens kontrollenhet, som låg flera mil från staden. Den som brydde sig om att använda en telefonavlyssningsenhet kunde förfalska kort i tusental.
Även i de fall där en av de bästa produkterna köps, finns det ett stort antal alternativ där felaktig implementering eller ogenomtänkta tekniska procedurer leder till problem för banken. De flesta säkerhetsmoduler returnerar en rad returkoder för varje transaktion. Några av dem, som "nyckelparitetsfel", ger en varning om att programmeraren experimenterar med en modul som faktiskt används. Men få banker har brytt sig om att skriva den enhetsdrivrutin som behövs för att fånga upp dessa varningar och agera därefter.
Det finns fall där banker har ingått underkontrakt för hela eller delar av bankomatsystemet med företag som "tillhandahåller relaterade tjänster" och överfört PIN-koder till dessa företag.
Det har också förekommit fall där PIN-koder delats mellan två eller flera banker. Även om all bankpersonal anses vara pålitlig, kanske externa företag inte upprätthåller bankspecifika säkerhetspolicyer. Personalen på dessa företag är inte alltid ordentligt granskade, är sannolikt underbetalda, nyfikna och hänsynslösa, vilket kan leda till att bedrägerier uttänks och avrättas.
Många av de beskrivna ledningsmisstagen är baserade på bristande utveckling av den psykologiska delen av projektet. Bankkontor och datacentraler bör följa standardprocedurer när de slutför sitt dagliga arbete, men endast de kontrollprocedurer vars syfte är tydligt kommer sannolikt att följas strikt. Till exempel är det väl förstått att dela nycklarna till kassaskåpet mellan chefen och revisorn: det skyddar dem båda från att deras familjer tas som gisslan. Kryptografiska nycklar är inte ofta förpackade i en användarvänlig form och är därför osannolikt att användas korrekt. Ett partiellt svar kan vara enheter som faktiskt liknar nycklar (modellerade på de kryptografiska nycklarna till kärnvapensäkringar).
Mycket skulle kunna skrivas om att förbättra operativa rutiner, men om målet är att förhindra att någon kryptonyckel hamnar i händerna på någon som har den tekniska förmågan att missbruka den, så måste det finnas ett uttryckligt mål i manualerna och utbildningarna. Principen om "säkerhet genom dunkel" gör ofta mer skada än nytta.
Nyckelfördelning
Nyckeldistribution utgör ett särskilt problem för bankkontor. Som ni vet kräver teorin att var och en av de två bankirerna anger sin egen nyckelkomponent, så att deras kombination ger terminalens huvudnyckel. PIN-koden, krypterad på terminalens huvudnyckel, skickas till bankomaten under den första transaktionen efter underhåll.
Om bankomatteknikern tar emot båda nyckelkomponenterna kan han dekryptera PIN-koden och förfalskade kort. I praktiken lämnar filialchefer som har nycklarna nästan gärna över dem till ingenjören eftersom de inte vill stå bredvid bankomaten medan den servas. Att ange en terminalnyckel innebär dessutom att man använder ett tangentbord, vilket äldre chefer anser vara under sin värdighet.
Det är vanligt att hantera nycklar fel. Det finns ett känt fall då en ingenjör från underhållspersonalen fick båda mikrokretsarna med huvudnycklar. Även om dubbla kontrollprocedurer existerade i teorin, lämnade säkerhetstjänstemän över markerna eftersom de sista nycklarna användes och ingen visste vad de skulle göra. En ingenjör kunde göra mer än att bara förfalska kort. Han kunde ha gått iväg med nycklarna och stoppat all bankautomatverksamhet.
Det är inte ointressant att nycklar oftare lagras i öppna filer än i skyddade. Det gäller inte bara bankomatnycklar utan även nycklar till bank-till-bank avvecklingssystem som SWIFT, som hanterar transaktioner värda miljarder. Det skulle vara klokt att använda initialiseringsnycklar, såsom terminalnycklar och zonnycklar, bara en gång och sedan förstöra dem.
Kryptoanalytiska hot
Kryptanalytiker utgör förmodligen det minsta hotet mot banksystemen, men de kan inte helt diskonteras. Vissa banker (inklusive stora och välkända) använder fortfarande hemmagjorda kryptografiska algoritmer skapade under åren före DES. I ett datanätverk "förvrängdes" datablock helt enkelt genom att lägga till en konstant. Denna metod kritiserades inte på fem år, trots att nätverket användes av mer än 40 banker. Dessutom har alla försäkrings-, revisions- och säkerhetsexperter från dessa banker tydligen läst systemspecifikationerna.
Även om en "respektabel" algoritm används, kan den implementeras med olämpliga parametrar. Till exempel har vissa banker implementerat RSA-algoritmen med nyckellängder som sträcker sig från 100 till 400 bitar, även om nyckellängden måste vara minst 500 bitar för att ge den nödvändiga säkerhetsnivån.
Du kan också hitta en nyckel med brute force, och prova alla möjliga krypteringsnycklar tills du hittar en nyckel som en specifik bank använder.
De protokoll som används i internationella nätverk för att kryptera arbetsnycklar med hjälp av zonnycklar gör det enkelt att attackera zonnyckeln på detta sätt. Om zonnyckeln har öppnats en gång kan alla PlN-koder som skickas eller tas emot av banken över nätverket dekrypteras. En nyligen genomförd studie av experter från kanadensiska banker fann att en attack av detta slag på DES skulle kosta cirka 30 000 pund per zonnyckel. Följaktligen är den organiserade brottslighetens resurser helt tillräckliga för ett sådant brott, och ett sådant brott skulle kunna utföras av en tillräckligt rik individ.
Förmodligen skapades de specialiserade datorer som krävs för att hitta nycklarna i underrättelsetjänsterna i vissa länder, inklusive i länder som nu är i ett tillstånd av kaos. Följaktligen finns det en viss risk att vårdnadshavarna av denna utrustning kan använda den för personlig vinning.
Alla system, små som stora, innehåller programvarubuggar och är föremål för mänskliga fel. Banksystem är inget undantag, och det inser alla som har arbetat med industriell produktion. Branschavvecklingssystem tenderar att bli större och mer komplexa, med många interagerande moduler som har utvecklats under decennier. Vissa transaktioner kommer oundvikligen att utföras felaktigt: debiteringar kan dupliceras eller ett konto kan ändras felaktigt.
Denna situation är inte ny för finanskontrollanter i stora företag, som har en särskild personal för att stämma av bankkonton. När en felaktig debitering dyker upp begär dessa medarbetare ut relevant underlag för granskning och får, om underlag saknas, återbetalning av den felaktiga betalningen från banken.
Bankomatkunder har dock inte det här alternativet att återbetala bestridda betalningar. De flesta bankirer utanför USA säger helt enkelt att det inte finns några buggar i deras system.
En sådan policy leder till vissa juridiska och administrativa risker. För det första skapar det möjlighet till missbruk, eftersom bedrägeriet är dolt. För det andra leder detta till bevis som är för komplexa för klienten, vilket var anledningen till att förenkla förfarandet i amerikanska domstolar. För det tredje finns det moraliska risker som är förknippade med att indirekt uppmuntra bankanställda att stjäla baserat på vetskapen om att de sannolikt inte kommer att bli gripna. För det fjärde är detta en ideologisk brist, eftersom det på grund av bristen på centraliserad registrering av kundanspråk inte finns någon möjlighet till korrekt organiserad kontroll över fall av bedrägerier.
Effekten på affärsverksamheten i samband med förluster i bankomater är svår att exakt uppskatta. I Storbritannien uppgav finansministern (ministern med ansvar för att reglera bankväsendet) i juni 1992 att sådana fel påverkar minst två transaktioner av tre miljoner som görs varje dag. Men under den senaste tidens tvister har denna siffra först reviderats till 1 av 250 000 felaktiga transaktioner, sedan 1 av 100 000 och slutligen 1 av 34 000.
Eftersom kunder som gör klagomål vanligtvis avvisas av bankanställda och de flesta människor helt enkelt inte kan märka ett engångsuttag från sitt konto, är den bästa gissningen att cirka 1 av 10 000 felaktiga transaktioner inträffar. Bankomater en gång i veckan i 50 år kan vi förvänta oss att en av fyra kunder kommer att uppleva problem med att använda bankomater under sin livstid.
Kryptografiska systemdesigners är i underläge på grund av bristande information om hur systemfel uppstår i praktiken snarare än hur de kan uppstå i teorin. Denna nackdel respons leder till användning av en felaktig hotmodell. Designers fokuserar sina ansträngningar på vad i systemet som kan leda till fel, snarare än att fokusera på vad som vanligtvis orsakar fel. Många produkter är så komplexa och kluriga att de sällan används på rätt sätt. Konsekvensen är det faktum att de flesta fel är förknippade med implementering och underhåll av systemet. Ett specifikt resultat har varit en ström av bankomatbedrägerier, som inte bara har lett till ekonomiska förluster, utan också till rättegångsfel och minskat förtroende för banksystemet.
Ett exempel på implementering av kryptografiska metoder är det kryptografiska informationsskyddssystemet som använder den digitala signaturen EXCELLENCE.
EXCELLENCE programvarans kryptografiska system är utformat för att skydda information som bearbetas, lagras och överförs mellan IBM-kompatibla persondatorer med hjälp av kryptografisk kryptering, digital signatur och autentiseringsfunktioner.
Systemet implementerar kryptografiska algoritmer som överensstämmer med statliga standarder: kryptering - GOST 28147-89. Den digitala signaturen är baserad på RSA-algoritmen.
Nyckelsystemet med strikt autentisering och nyckelcertifiering bygger på X.509-protokollet och principen om öppen RSA-nyckeldistribution, som används flitigt i internationell praxis.
Systemet innehåller kryptografiska funktioner för att bearbeta information på filnivå:
och kryptografiska funktioner för att arbeta med nycklar:
Varje nätabonnent har sin egen privata och publika nyckel. Varje användares hemliga nyckel registreras på hans individuella nyckeldiskett eller individuella elektroniska kort. Sekretessen för abonnentens nyckel säkerställer skyddet av den information som krypteras för honom och omöjligheten att förfalska hans digitala signatur.
Systemet stöder två typer av nyckelinformationsmedia:
Varje nätverksabonnent har en filkatalog med publika nycklar för alla systemabonnenter, skyddade från obehörig modifiering, tillsammans med deras namn. Varje abonnent är skyldig att hålla sin privata nyckel hemlig.
Funktionellt implementeras EXCELLENCE-systemet i form av en mjukvarumodul excell_s.exe och körs på operativsystemet MS DOS 3.30 och högre. Parametrar för att utföra funktioner skickas i formuläret kommandorad DOS. Dessutom tillhandahålls ett grafiskt gränssnitt. Programmet känner automatiskt igen och stöder 32-bitars operationer på Intel386/486/Pentium-processorn.
För inbäddning i andra mjukvarusystem en variant av EXCELLENCE-systemet har implementerats, som innehåller grundläggande kryptografiska funktioner för att arbeta med data i RAM i följande lägen: minne - minne; minne - fil; fil - minne.
Prognos för början av 2000-talet
Andelen bankledningar som kommer att vidta effektiva åtgärder för att lösa informationssäkerhetsproblemet bör öka till 40-80 %. Det största problemet kommer att vara servicepersonal (inklusive tidigare) (från 40 % till 95 % av fallen), och de huvudsakliga typerna av hot kommer att vara obehörig åtkomst (UNA) och virus (upp till 100 % av bankerna kommer att utsättas för virusattacker ).
De viktigaste åtgärderna för att säkerställa informationssäkerhet kommer att vara den högsta professionaliteten hos informationssäkerhetstjänsterna. För detta banker kommer att behöva spendera upp till 30 % av vinsten på informationssäkerhet.
Trots alla åtgärder som anges ovan är en absolut lösning på problemet med informationssäkerhet omöjlig. Samtidigt bestäms effektiviteten av en banks informationssäkerhetssystem helt av mängden medel som investeras i det och informationssäkerhetstjänstens professionalism, och möjligheten att bryta mot en banks informationssäkerhetssystem bestäms helt av kostnaden för övervinna säkerhetssystemet och bedragarnas kvalifikationer. (I utländsk praxis tror man att det är vettigt att "hacka" ett säkerhetssystem om kostnaden för att övervinna det inte överstiger 25 % av värdet på den information som skyddas).
Kapitel 4 undersökte egenskaperna hos metoden för att skydda elektroniska banksystem. En specifik egenskap hos dessa system är en speciell form av elektroniskt datautbyte - elektroniska betalningar, utan vilken ingen modern bank kan existera.
Elektroniskt datautbyte (EDE) är dator-till-dator-utbyte av affärs-, kommersiella och finansiella elektroniska dokument. Till exempel beställningar, betalningsinstruktioner, avtalsförslag, fakturor, kvitton m.m.
EOD säkerställer snabb interaktion mellan handelspartners (klienter, leverantörer, återförsäljare, etc.) i alla skeden av att förbereda en handelstransaktion, ingå ett kontrakt och genomföra en leverans. I stadiet för kontraktsbetalning och överföring av pengar kan EDI leda till elektroniskt utbyte av finansiella dokument. Detta skapar en effektiv miljö för handels- och betalningstransaktioner:
* Det är möjligt att bekanta handelspartner med erbjudanden om varor och tjänster, välja önskad produkt/tjänst, klargöra kommersiella villkor (kostnad och leveranstid, handelsrabatter, garanti och serviceåtaganden) i realtid;
* Beställa varor/tjänster eller begära ett kontraktsförslag i realtid;
* Driftskontroll av leverans av varor, mottagande av medföljande dokument (fakturor, fakturor, komponentlistor, etc.) via e-post;
* Bekräftelse på slutförande av leverans av varor/tjänster, utfärdande och betalning av fakturor;
* Utförande av bankkredit- och betalningstransaktioner. Fördelarna med OED inkluderar:
* Minska kostnaderna för verksamheten genom att byta till papperslös teknik. Experter uppskattar kostnaden för att bearbeta och underhålla pappersdokumentation till 3-8% av den totala kostnaden för kommersiella transaktioner och leverans av varor. Nyttan av användningen av EED uppskattas till exempel i den amerikanska bilindustrin till mer än 200 USD per tillverkad bil;
* Öka avvecklingshastigheten och penningomsättningen;
* Öka bekvämligheten med beräkningar.
Det finns två nyckelstrategier för att utveckla EED:
1. EOD används som en konkurrensfördel, vilket möjliggör närmare interaktion med partners. Denna strategi har antagits av stora organisationer och kallas Extended Enterprise Approach.
2. EDI används i vissa specifika industriprojekt eller i initiativ av sammanslutningar av kommersiella och andra organisationer för att öka effektiviteten i deras interaktion.
Banker i USA och Västeuropa har redan erkänt sin nyckelroll i spridningen av EDI och de betydande fördelarna som kommer från närmare samverkan med affärspartners och personliga partners. OED hjälper banker att tillhandahålla tjänster till kunder, särskilt små, som tidigare inte hade råd att använda dem på grund av deras höga kostnader.
Det främsta hindret för den utbredda spridningen av EDI är mångfalden av presentationer av dokument när de utbyts via kommunikationskanaler. För att övervinna detta hinder har olika organisationer utvecklat standarder för att skicka in dokument i EED-system för olika branscher:
QDTI - General Trade Interchange (Europa, internationell handel);
MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);
TDCC - Transportation Data Coordinating Committee;
VICS - Voluntary Interindustry Communication Standard (USA, Voluntary Interindustry Communication Standard);
WINS - Warehouse Information Network Standards informationsnätverk varulager).
I oktober 1993 publicerade den internationella gruppen UN/ECE den första versionen av EDIFACT-standarden. Den utvecklade uppsättningen syntaxregler och kommersiella dataelement formaliserades i form av två ISO-standarder:
ISO 7372 - Register för handelsdataelement;
ISO 9735 - EDIFACT - Syntaxregler på applikationsnivå.
Ett specialfall av EOD är elektroniska betalningar - utbyte av finansiella dokument mellan kunder och banker, mellan banker och andra finansiella och kommersiella organisationer.
Kärnan i begreppet elektroniska betalningar är att meddelanden som skickas över kommunikationslinjer, korrekt utförda och överförda, är grunden för att utföra en eller flera banktransaktioner. I princip krävs inga pappersdokument för att utföra dessa operationer (även om de kan utfärdas). Med andra ord, meddelandet som skickas över kommunikationslinjerna innehåller information om att avsändaren har utfört vissa operationer på sitt konto, särskilt på den mottagande bankens korrespondentkonto (som kan vara en clearingcentral), och att mottagaren måste utföra operationer som anges i meddelandet. Baserat på ett sådant meddelande kan du skicka eller ta emot pengar, öppna ett lån, betala för ett köp eller en tjänst och utföra andra banktransaktion. Sådana meddelanden kallas elektroniska pengar, och utförandet av banktransaktioner baserat på att skicka eller ta emot sådana meddelanden kallas elektroniska betalningar. Naturligtvis kräver hela processen att göra elektroniska betalningar pålitligt skydd. Annars kommer banken och dess kunder att möta allvarliga problem.
Elektroniska betalningar används för interbank-, handels- och personliga betalningar.
Interbank- och handelsavvecklingar görs mellan organisationer (juridiska personer), varför de ibland kallas företag. Förlikningar som involverar enskilda kunder kallas personliga.
De flesta större stölder i banksystem är direkt eller indirekt relaterade till elektroniska betalningssystem.
Det finns många hinder för att skapa elektroniska betalningssystem, särskilt globala, som täcker ett stort antal finansinstitut och deras kunder i olika länder. De viktigaste är:
1. Brist på enhetliga standarder för verksamhet och tjänster, vilket avsevärt komplicerar skapandet av enhetliga banksystem. Varje storbank strävar efter att skapa sitt eget EOD-nätverk, vilket ökar kostnaderna för dess drift och underhåll. Dubblettsystem gör dem svåra att använda, skapar ömsesidig störning och begränsar kundens möjligheter.
2. Ökad rörlighet i penningmängden, vilket leder till en ökning av möjligheten till finansiell spekulation, utökar flödena av "vandrande kapital". Dessa pengar kan förändra situationen på marknaden och destabilisera den på kort tid.
3. Fel och misslyckanden i tekniska verktyg och mjukvarufel vid finansiella avräkningar, vilket kan leda till allvarliga komplikationer för ytterligare uppgörelser och förlorat förtroende för banken från kundernas sida, särskilt på grund av den nära sammanflätningen av bankförbindelser (ett slags av "felspridning"). Samtidigt ökar rollen och ansvaret för systemansvariga och förvaltning, som direkt sköter informationsbehandlingen, markant.
Varje organisation som vill bli kund hos något elektroniskt betalningssystem, eller organisera sitt eget system, måste vara medveten om detta.
För att fungera tillförlitligt måste ett elektroniskt betalningssystem vara väl skyddat.
Handelsuppgörelser görs mellan olika handelsorganisationer. Banker deltar i dessa avvecklingar som mellanhänder när de överför pengar från den betalande organisationens konto till den mottagande organisationens konto.
Säljaravveckling är extremt viktig för den övergripande framgången för ett elektroniskt betalningsprogram. Volymen av finansiella transaktioner för olika företag utgör vanligtvis en betydande del av den totala volymen av banktransaktioner.
Typerna av handelsavvecklingar varierar mycket för olika organisationer, men när de genomförs behandlas alltid två typer av information: betalningsmeddelanden och hjälpmedel (statistik, rapporter, aviseringar). För finansiella organisationer är det största intresset förstås information från betalningsmeddelanden – kontonummer, belopp, saldo m.m. För handelsorganisationer är båda typerna av information lika viktiga - den första ger en ledtråd till det finansiella tillståndet, den andra hjälper till vid beslutsfattande och policyutveckling.
De vanligaste typerna av handelsuppgörelser är:
* Direkt insättning.
Innebörden av denna typ av avveckling är att organisationen instruerar banken att göra vissa typer av betalningar till sina anställda eller kunder automatiskt, med hjälp av förberedda magnetiska media eller speciella meddelanden. Villkoren för att göra sådana betalningar är överenskomna i förväg (finansieringskälla, belopp etc.). De används främst för regelbundna betalningar (betalningar av olika typer av försäkringar, återbetalningar av lån, löner etc.). Institutionellt är direkt insättning bekvämare än till exempel betalningar med checkar.
Sedan 1989 har antalet anställda som använder direktinsättning fördubblats till 25 % av totalen. Mer än 7 miljoner amerikaner får idag sina lönecheckar genom direkt insättning. För banker erbjuder direktinsättning följande fördelar:
Minska volymen av uppgifter i samband med bearbetning av pappersdokument och, som ett resultat, besparing av betydande belopp;
Ökning av antalet insättningar, eftersom 100% av betalningsvolymen måste deponeras.
Förutom banker gynnas både ägare och arbetare; bekvämligheten ökar och kostnaderna minskar.
* Beräkningar med OED.
Uppgifterna här är fakturor, fakturor, komponentblad etc.
För att implementera EDI, krävs följande uppsättning grundläggande tjänster:
E-post enligt X.400-standarden;
Filöverföring;
Punkt-till-punkt kommunikation;
Direktåtkomst till databaser;
Brevlåda;
Transformation av standarder för informationspresentation.
Exempel på befintliga handelsavvecklingssystem som använder EDI inkluderar:
National Bank och Royal Bank (Kanada) är anslutna till sina kunder och partners med hjälp av IBM Information Network;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), som grundades 1986, förbinder Bank of Scotland med kunder och partners i 15 länder genom korrespondentbanker och automatiserade clearinghus.
Elektroniska interbankavvecklingar är huvudsakligen av två typer:
* Clearing av avvecklingar med hjälp av det kraftfulla datorsystemet för förmedlande bank (clearingbank) och korrespondentkonton för banker som deltar i avvecklingar i denna bank. Systemet är baserat på kvittning av ömsesidiga monetära fordringar och skyldigheter från juridiska personer med efterföljande överföring av saldot. Clearing används också i stor utsträckning på aktie- och råvarubörser, där avvecklingen av transaktionsdeltagares ömsesidiga fordringar sker genom ett clearinghus eller ett särskilt elektroniskt clearingsystem.
Clearingavvecklingar mellan banker utförs genom särskilda clearinghus, affärsbanker, mellan filialer och filialer till en bank - genom huvudkontoret. I ett antal länder utförs clearinghusens funktioner av centralbanker. Automatiserade clearinghus (ACH) tillhandahåller tjänster för utbyte av medel mellan finansiella institutioner. Betalningstransaktioner är huvudsakligen begränsade till antingen debeter eller krediter. Medlemmar i AKP-systemet är finansiella institutioner som är medlemmar i AKP-föreningen. Föreningen bildas för att utveckla regler, rutiner och standarder för genomförande av elektroniska betalningar inom en geografisk region. Det bör noteras att AVS inte är något annat än en mekanism för att flytta medel och åtföljande information. De utför inte betaltjänster själva. AVS skapades för att komplettera system för bearbetning av finansiella dokument på papper. Den första automatiska växellådan dök upp i Kalifornien 1972; det finns för närvarande 48 automatiska växellådor i drift i USA. 1978 skapades National Automated Clearing House Association (NACHA), som förenade alla 48 ACH-nätverk på en kooperativ basis.
Verksamhetens volym och karaktär ökar ständigt. AVS börjar utföra affärsavvecklingar och elektroniska datautbytestransaktioner. Efter tre års ansträngningar från olika banker och företag skapades CTP-systemet (Corporate Trade Payment) för att automatiskt behandla krediter och debiteringar. Enligt experter kommer trenden att utöka funktionerna för automatisk växellåda att fortsätta inom en snar framtid.
* Direktavveckling, där två banker kommunicerar direkt med varandra med hjälp av loro nostro-konton, eventuellt med deltagande av en tredje part som spelar en organisatorisk eller stödjande roll. Naturligtvis måste volymen av ömsesidiga transaktioner vara tillräckligt stor för att motivera kostnaderna för att organisera ett sådant avvecklingssystem. Vanligtvis förenar ett sådant system flera banker, och varje par kan kommunicera direkt med varandra och kringgå mellanhänder. I det här fallet finns det dock ett behov av en kontrollcentral som sysslar med skydd av interagerande banker (utdelning av nycklar, hantering, kontroll av funktion och registrering av händelser).
Det finns en hel del sådana system i världen – från små som kopplar ihop flera banker eller filialer till gigantiska internationella som kopplar samman tusentals deltagare. Det mest kända systemet i denna klass är SWIFT.
Nyligen har en tredje typ av elektroniska betalningar dykt upp - elektronisk check trunkering, vars essens är att stoppa vägen för att skicka en papperscheck till finansinstitutet där den presenterades. Vid behov ”färdas” dess elektroniska analog vidare i form av ett särskilt meddelande. Vidarebefordran och återbetalning av elektronisk check sker med hjälp av ACH.
1990 tillkännagav NACHA den första testfasen av det nationella pilotprogrammet "Electronic Check Truncation". Dess mål är att minska kostnaderna för att hantera enorma mängder papperscheckar.
Att skicka pengar med ett elektroniskt betalningssystem inkluderar följande steg (beroende på de specifika villkoren och själva systemet kan beställningen variera):
1. Ett visst konto i den första bankens system reduceras med det belopp som krävs.
2. Den andra bankens korrespondentkonto i den första ökar med samma belopp.
3. Ett meddelande skickas från den första banken till den andra banken innehållande information om de åtgärder som utförs (kontoidentifierare, belopp, datum, villkor, etc.); i detta fall måste det skickade meddelandet vara lämpligt skyddat från förfalskning: krypterat, försett med en digital signatur och kontrollfält, etc.
4. Det erforderliga beloppet debiteras från den första bankens korrespondentkonto i den andra.
5. Ett visst konto i den andra banken ökas med det belopp som krävs.
6. Den andra banken skickar den första ett meddelande om gjorda kontojusteringar; Detta meddelande måste också skyddas mot manipulering på ett sätt som liknar ett betalningsmeddelande.
7. Växelprotokollet registreras för både abonnenter och eventuellt för en tredje part (vid nätverkets kontrollcentral) för att förhindra konflikter.
Det kan finnas mellanhänder längs vägen för meddelandeöverföring - clearingcentraler, förmedlande banker vid överföring av information osv. Den största svårigheten med sådana beräkningar är förtroendet för sin partner, det vill säga varje abonnent måste vara säker på att hans korrespondent kommer att utföra alla nödvändiga åtgärder.
För att utöka användningen av elektroniska betalningar genomförs standardisering av den elektroniska presentationen av finansiella dokument. Det startades på 70-talet inom två organisationer:
1) ANSI (American National Standard Institute) publicerade ANSI X9.2-1080, (Interchange Message Specification for Debet and Credit Card Message Exchange Among Financial Institute). 1988 antogs en liknande standard av ISO och kallades ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) har utvecklat en serie standarder för interbankmeddelanden.
I enlighet med ISO 8583-standarden innehåller ett finansiellt dokument ett antal dataelement (detaljer) som finns i vissa fält i ett meddelande eller elektroniskt dokument (elektroniskt kreditkort, meddelande i X.400-format eller dokument i EDIFACT-syntax). Varje dataelement (ED) tilldelas sitt eget unika nummer. Ett dataelement kan antingen vara obligatoriskt (det vill säga inkluderat i varje meddelande av denna typ) eller valfritt (kan saknas i vissa meddelanden).
Bitskalan bestämmer meddelandets sammansättning (de ED:er som finns i det). Om en viss siffra i bitskalan är satt till ett betyder det att motsvarande ED finns i meddelandet. Tack vare denna metod för att koda meddelanden reduceras meddelandets totala längd, flexibilitet uppnås i presentationen av meddelanden med många ED:er, och möjligheten att inkludera nya ED:er och meddelandetyper i ett elektroniskt dokument med en standardstruktur tillhandahålls.
Det finns flera metoder för elektroniska interbankbetalningar. Låt oss överväga två av dem: betalning med check (betalning efter tjänsten) och betalning med remburs (betalning för den förväntade tjänsten). Andra metoder, som betalning via betalningsförfrågningar eller betalningsorder, har en liknande organisation.
Betalning med check baseras på ett papper eller annan handling som innehåller betalarens legitimation. Detta dokument ligger till grund för överföring av det belopp som anges i checken från ägarens konto till innehavarens konto. Betalning med check inkluderar följande steg:
Ta emot en check;
Lämna in en check till banken;
Begäran om överföring från checkägarens konto till utdragarens konto;
Pengaöverföring;
Betalningsmeddelande.
De största nackdelarna med sådana betalningar är behovet av ett extra dokument (check), som lätt kan förfalskas, såväl som den betydande tid som krävs för att slutföra betalningen (upp till flera dagar).
Därför har på senare tid denna typ av betalning som betalning med remburs blivit vanligare. Den innehåller följande steg:
Meddelande till banken från kunden om tillhandahållande av ett lån;
Meddelande till mottagarens bank om tillhandahållande av ett lån och överföring av pengar;
Meddela mottagaren om att få lånet.
Detta system låter dig göra betalningar på mycket kort tid. Anmälan om lån kan skickas med (elektronisk) post, disketter, magnetband.
Var och en av de typer av betalningar som diskuterats ovan har sina egna fördelar och nackdelar. Checkar är mest bekväma för att betala små belopp, såväl som för oregelbundna betalningar. I dessa fall är förseningen i betalningen inte särskilt betydande, och användningen av kredit är olämplig. Betalningar med remburs används vanligtvis för regelbundna betalningar och för betydande belopp. I dessa fall gör avsaknaden av en clearingfördröjning att du kan spara mycket tid och pengar genom att minska omsättningsperioden. Den gemensamma nackdelen med dessa två metoder är behovet av att spendera pengar på att organisera ett pålitligt elektroniskt betalningssystem.
