Dijital para elektronik ödeme sistemini koruma yöntemleri. Elektronik parayı korumanın ana yolları? Elektronik ödeme sistemlerine yönelik güvenlik önlemleri
Elektronik ödeme sistemleri, elektronik para birimiyle çalışmanın en popüler türlerinden biridir. Her yıl giderek daha aktif bir şekilde gelişiyorlar ve para birimiyle çalışma pazarında oldukça büyük bir pay kaplıyorlar. Onlarla birlikte güvenliklerini sağlayacak teknolojiler de gelişiyor. Çünkü günümüzde parasal işlemlerin güvenli bir şekilde yapılmasını sağlayan iyi teknolojiler ve güvenlik sistemleri olmadan tek bir elektronik ödeme sistemi bile var olamaz. Güvenlik teknolojilerinin yanı sıra birçok elektronik ödeme sistemi de var. Her birinin farklı çalışma prensipleri ve teknolojileri olduğu gibi, kendine has avantaj ve dezavantajları da bulunmaktadır. Ek olarak, araştırma konusunun uygunluğunu belirleyen bir takım teorik ve pratik konular çözülmeden kalmaktadır.
Her elektronik ödeme sistemi, güvenli işlem ve veri aktarımı gerçekleştirmek için kendine ait yöntemleri, şifreleme algoritmalarını, veri aktarım protokollerini kullanır. Bazı sistemler RSA şifreleme algoritmasını ve HTTPs aktarım protokolünü kullanırken, diğerleri şifrelenmiş verileri aktarmak için DES algoritmasını ve SSL protokolünü kullanır. Bu makaleyi yazmanın ardındaki fikir, bir dizi popüler ödeme sistemini, yani bu sistemlerde kullanılan güvenlik teknolojilerini incelemek, analiz etmek ve hangisinin en gelişmiş olduğunu bulmaktır.
Makalenin yazılması sırasında ödeme sistemleri üzerine araştırmalar yapıldı ve mevcut ödeme sistemlerinin güvenliğinin analizi yapıldı. Dört ödeme sistemi (Webmoney, Yandex.Money, RauPa1 ve E-Port) aynı kriterlere göre analiz edildi. Sistemler, iç içe geçmiş parametreleri içeren çok seviyeli bir sistem kullanılarak değerlendirildi. Tabii ki, tüm bu kriterler bölgeyle ilgilidir. bilgi Güvenliği. İki ana kriter vardır: Ödemelerin bilgi güvenliğine yönelik teknik destek ve organizasyonel ve hukuki destek. Bu iki parametrenin her biri üç noktalı bir sistem kullanılarak değerlendirildi. Derecelendirme skalası da tam olarak bu, çünkü ülkemizde elektronik ödeme sistemlerinin mevcut gelişimi öyle bir seviyede ki, çoğu parametresi ancak “evet ya da hayır” kelimesiyle tanımlanabilecek düzeyde. Buna göre elektronik ödeme sistemi herhangi bir parametreyi en iyi şekilde karşılıyorsa en yüksek puanı (3), hiç yanıt vermiyorsa minimum puanı (0) almaktadır. Sistemde bu kriter açık biçimde mevcut değilse ancak eksik olanla ilişkili herhangi bir hizmet veya yetenek varsa, bir veya iki ara puan veririz.
Elektronik ödeme sistemlerini değerlendirirken, farklı koşullar altında aynı parametrenin değerinin aynı olmadığı unutulmamalıdır. Örneğin, koruma düzeyini önemli ölçüde artıran birçok hizmet, yalnızca kullanıcı tarafından gönüllü olarak uygulanabilir; ayrıca bu hizmetlerin sistemdeki varlığı da değerlidir. İnsan faktörü iptal edilmemiştir ve asla iptal edilmeyecektir, dolayısıyla hizmetin uygulanabileceği veya gerçekleşmeyebileceği dikkate alınır.
İşlem güvenliği için teknik destek
Bu, kriterlerin ilkidir; adından da anlaşılacağı üzere bilgi korumasının teknik yönünü sağlayan bir dizi parametredir. Bu parametreden önce aşağıdakiler dahil edilmiştir: özel bir anahtar kullanarak şifreleme, kimlik doğrulama ve erişim için kriptografik yöntemler donanım(en ilkel durumda - USB anahtarlarının kullanılması).
Bilgiyi teknik açıdan korumanın ana kriterinin elbette veri şifrelemesi ve daha spesifik olarak bunların uygulandığı şifreleme algoritmaları olduğu bir sır değil. Anahtar ne kadar uzun olursa, şifresini çözmenin ve dolayısıyla gizli bilgilere erişmenin de o kadar zor olduğu da bilinmektedir. Test edilen sistemlerden üçü, iyi bilinen ve yaygın olarak saygı duyulan RSA algoritmasını kullanıyor: Webmoney, Yandex.Money, PayPal. E-Port, SSL protokolü sürüm 3.0 üzerinden şifreleme kullanır.Aslında şifreleme, benzersiz olan, oturum sırasında oluşturulan ve oturum anahtarı adı verilen SSL anahtarları kullanılarak uygulanır. E-Port sistemindeki SSL anahtarının uzunluğu 40 ila 128 bit arasında değişmektedir ve bu, kabul edilebilir düzeyde bir işlem güvenliği için oldukça yeterlidir.
İşlemlerin bilgi güvenliğinin teknik desteğindeki bir sonraki parametre kimlik doğrulamadır, yani. kullanıcının kendi kişisel bilgilerine erişmesi için ihtiyaç duyduğu bir dizi çözüm. Burada her şey basit. Webmoney ve Yandex.Money sistemleri erişim için iki kriter kullanırken, PayPal ve E-Port yalnızca birini kullanır. Webmoney'de sisteme erişmek ve ödeme yapmak için bir şifre ve özel bir anahtar girmeniz gerekir.Yandex.Money de benzer şekilde çalışır: bir şifre ve özel bir cüzdan programı gereklidir. Diğer tüm sistemlerde erişim şifre ile sağlanmaktadır. Ancak E-Port sisteminde SSL protokolü kullanılarak çalışılabilmesi için potansiyel müşterinin (ve sistemdeki diğer herhangi bir katılımcının) web sunucusunun yetkili firmalardan birinden alınmış özel bir dijital sertifikaya sahip olması gerekir. Bu sertifika, istemcinin web sunucusunun kimliğini doğrulamak için kullanılır. E-Port'ta kullanılan sertifika güvenlik mekanizması RSA Güvenlik tarafından sertifikalandırılmıştır. Bu çalışmadaki üçüncü ve son kriter ise USB anahtarlar gibi özel donanımlar kullanılarak sisteme erişim sağlanmasıdır.
Kriptografik şifreleme yöntemleri
Webmoney ve Yandex.Money, 1024 bit uzunluğunda bir anahtar kullanır (çok yüksek bir gösterge, böyle bir anahtarı basit bir kaba kuvvet yöntemi kullanarak kırmak neredeyse imkansızdır) ve PayPal, 512 bit uzunluğunda bir anahtar kullanır. , ilk iki sistem için bu kriteri kullanarak maksimum puanı elde ederiz – 3. PayPal, daha kısa bir şifreleme anahtarı kullandığı için iki puan alır. Geriye yalnızca E-Port'u bu parametreyle değerlendirmek kalıyor.SSL protokolü kullanmasına ve hatta 128 bit'e kadar anahtar uzunluğuna rağmen, E-Port'un bazı potansiyel güvenlik açıkları vardır: tarayıcıların birçok eski sürümü, daha kısa uzunluktaki anahtarlarla şifrelemeyi destekler. yani alınan verileri hackleme olasılığı vardır; buna göre, tarayıcıyı istemci olarak kullananlar için Ödeme sistemi, onunla çalışman gerek En son sürüm(elbette bu her zaman uygun veya mümkün değildir). Ancak "şifreleme" sütununda E-Port'a 1,7 puan verilebilir: Sistem bu puanı, e-posta mesajlarını şifrelemek için aşamalı PGP protokolünün kullanılması sayesinde kazanmıştır.
Kimlik doğrulama
Webmoney ve Yandex.Money sistemleri erişim için iki kriter kullanırken, PayPal ve E-Port yalnızca birini kullanır. Webmoney'de sisteme erişmek ve ödeme yapmak için bir şifre ve özel bir anahtar girmeniz gerekir. Yandex.Money de benzer şekilde çalışır: Şifre ve özel bir cüzdan programı gereklidir, diğer tüm sistemlerde erişim şifre ile sağlanır. Ancak E-Port sisteminde potansiyel müşterinin web sunucusu SSL protokolü kullanılarak çalışır.
Webmoney ve Yandex.Money'e göre burada üç puan alıyorlar, PayPal - 0 puan, E-Port - bir.
Burada önceki parametrelere göre daha da kolaydır. Tüm sistemler arasında yalnızca Webmoney PayPal'ın böyle bir ek seçeneği vardır, ikincisi böyle bir fırsat sağlamaz. Böylece ağırlık katsayısı dikkate alındığında Webmoney ve PayPal bu parametre için 1,5 puan alırken, diğerleri sıfır aldı.
İki kriteri değerlendirdikten sonra özetleyebiliriz. Dikkate alınan parametrelerin toplamına göre Webmoney'in güvenli olduğu ortaya çıktı. Aslında kullanıcı, sağladığı tüm güvenlik hizmetlerini kullanırsa dolandırıcılara karşı neredeyse savunmasız kalabilir. İkinci sırayı Yandex.Money sistemi, üçüncüsü PayPal aldı (bu sistem, ödemelerin önemli yasal şeffaflığı nedeniyle tüzel kişiler için idealdir) ve son sırayı E-Port sistemi aldı.
Ayrıca ödeme sistemlerinin analizini özetlersek, elektronik ödeme sistemi seçiminin en önemlilerinden biri olsa bile tek bir güvenlik parametresine göre yapılmadığını söyleyebiliriz. Elektronik ödeme sistemleri aynı zamanda hizmetlerin kullanılabilirliği ve kullanım kolaylığı açısından da farklılık gösterir - başka birçok faktör vardır.
sonuçlar
Elektronik ödemeler telekomünikasyonun gelişmesinde doğal bir aşamadır.Tam teşekküllü bir ürünün bulunduğu nişlerde talep yüksektir - özellikleri çevrimiçi ödeme özellikleriyle iyi bir şekilde "örtülmüş" bir dijital ürün: anında ödeme, anında teslimat , sadelik ve markasızlık.
İnternet ödeme sistemiİnternet üzerinden mal ve hizmet satın alma/satma sürecinde finans, ticari kuruluşlar ve İnternet kullanıcıları arasında ödemelerin yapılmasına yönelik bir sistemdir. Bir sipariş işleme hizmetini veya elektronik vitrini tüm standart özelliklere sahip tam teşekküllü bir mağazaya dönüştürmenize olanak tanıyan ödeme sistemidir: alıcı, satıcının web sitesinde bir ürün veya hizmet seçerek, mağazadan ayrılmadan ödeme yapabilir. bilgisayar.
Bir e-ticaret sisteminde ödemeler bir takım koşullara tabi olarak yapılır:
1. Gizliliğin korunması. İnternet üzerinden ödeme yaparken alıcı, verilerinin (örneğin kredi kartı numarası) yalnızca yasal hakkı olan kuruluşlar tarafından bilinmesini ister.
2. Bilginin bütünlüğünü korumak. Satın alma bilgileri hiç kimse tarafından değiştirilemez.
3. Kimlik doğrulama. Alıcılar ve satıcılar, bir işlemde yer alan tüm tarafların söyledikleri kişi olduğundan emin olmalıdır.
4. Ödeme araçları. Alıcının kullanabileceği herhangi bir ödeme aracını kullanarak ödeme imkanı.
6. Satıcının risk garantileri. İnternette ticaret yaparken satıcı, ürünün reddedilmesi ve alıcının sahtekarlığıyla ilgili birçok riskle karşı karşıya kalır. Risklerin büyüklüğü, ödeme sistemi sağlayıcısı ve ticaret zincirine dahil olan diğer kuruluşlarla özel anlaşmalar yoluyla kararlaştırılmalıdır.
7. İşlem ücretlerinin en aza indirilmesi. Mal siparişi ve ödemesine ilişkin işlem ücretleri doğal olarak fiyatlarına dahildir, dolayısıyla işlem fiyatının düşürülmesi rekabet gücünü artırır. Alıcı malları reddetse bile her durumda işlemin ödenmesi gerektiğine dikkat etmek önemlidir.
Tüm bu koşulların özünde geleneksel ödeme sistemlerinin elektronik versiyonları olan İnternet ödeme sisteminde uygulanması gerekmektedir.
Böylece, tüm ödeme sistemleri aşağıdakilere ayrılır:
Borç (elektronik çekler ve dijital nakit ile çalışma);
Kredi (kredi kartlarıyla çalışmak).
Borç sistemleri
Borç ödeme planları, çevrimdışı prototiplerine benzer şekilde oluşturulmuştur: çek ve normal para. Program iki bağımsız tarafı içermektedir: ihraççılar ve kullanıcılar. İhraççı, ödeme sistemini yöneten kuruluş olarak anlaşılmaktadır. Ödemeleri temsil eden bazı elektronik birimler (örneğin, banka hesaplarındaki para) yayınlar. Sistem kullanıcıları iki ana işlevi yerine getirir. Ödemeleri internet üzerinden verilen elektronik birimleri kullanarak yapar ve kabul ederler.
Elektronik çekler normal kağıt çeklere benzer. Bunlar, ödemeyi yapan kişinin, kendi hesabından alıcının hesabına para aktarması için bankasına verdiği talimatlardır. İşlem, çekin alıcısının bankaya ibraz etmesi üzerine gerçekleşir. Burada iki temel fark var. İlk olarak, kağıt çek yazarken, ödeyen kişi gerçek imzasını ve çevrimiçi versiyonda elektronik imzayı koyar. İkincisi, çeklerin kendisi elektronik ortamda düzenlenmektedir.
Ödemeler birkaç aşamada yapılır:
1. Ödemeyi yapan kişi elektronik çek düzenler, bunu elektronik imzayla imzalar ve alıcıya iletir. Daha fazla güvenilirlik ve güvenlik sağlamak için çek hesap numarası bankanın genel anahtarıyla şifrelenebilir.
2. Çek, ödeme sistemine ödeme için ibraz edilir. Daha sonra (burada veya alıcıya hizmet veren bankada) bir çek gerçekleştirilir Elektronik İmza.
3. Orijinalliği teyit edildiği takdirde mal teslim edilir veya hizmet verilir. Para, ödeyenin hesabından alıcının hesabına aktarılır.
Ödeme planının basitliği (Şekil 43), ne yazık ki, çek programlarının henüz yaygınlaşmaması ve elektronik imzaların uygulanmasına yönelik sertifika merkezlerinin bulunmaması nedeniyle uygulanmasındaki zorluklarla dengelenmektedir.
Elektronik dijital imza (EDS), genel anahtar şifreleme sistemi kullanır. Bu, imzalama için özel bir anahtar ve doğrulama için bir genel anahtar oluşturur. Özel anahtar kullanıcı tarafından saklanır ve genel anahtara herkes tarafından erişilebilir. Genel anahtarları dağıtmanın en uygun yolu sertifika yetkililerini kullanmaktır. Genel anahtarı ve sahibine ilişkin bilgileri içeren dijital sertifikalar burada saklanır. Bu, kullanıcıyı genel anahtarını kendisi dağıtma zorunluluğundan kurtarır. Ayrıca sertifika yetkilileri, hiç kimsenin başka bir kişi adına anahtar üretememesini sağlamak için kimlik doğrulama sağlar.
Elektronik para tamamen gerçek parayı simüle eder. Aynı zamanda, ihraç eden kuruluş - ihraççı - farklı sistemlerde farklı şekilde adlandırılan (örneğin kuponlar) elektronik analoglarını da yayınlar. Daha sonra kullanıcılar tarafından satın alınır, kullanıcılar bunları satın alma işlemlerinin ödemesini yapmak için kullanır ve ardından satıcı bunları ihraççıdan geri alır. Her para birimi ihraç edildiğinde, itfa edilmeden önce veren yapı tarafından doğrulanan bir elektronik mühür ile onaylanır.
Fiziksel paranın özelliklerinden biri de anonimliğidir, yani onu kimin, ne zaman kullandığını göstermez. Bazı sistemler, benzetme yoluyla, alıcının, kendisi ile para arasındaki bağlantının belirlenemeyeceği şekilde elektronik nakit almasına olanak tanır. Bu, kör imza şeması kullanılarak yapılır.
Ayrıca şunu da belirtmek gerekir ki kullanırken elektronik para Sistem, paranın kullanılmadan önce dolaşıma sokulması esasına dayandığı için kimlik doğrulamaya gerek yoktur.
Şekil 44 elektronik para kullanan bir ödeme planını göstermektedir.
Ödeme mekanizması aşağıdaki gibidir:
1. Alıcı, gerçek parayı önceden elektronik parayla değiştirir. Müşteride nakit depolamak, kullanılan sistem tarafından belirlenen iki şekilde gerçekleştirilebilir:
Bilgisayarınızın sabit diskinde;
Akıllı kartlarda.
Farklı sistemler farklı değişim programları sunar. Bazıları, elektronik fatura karşılığında alıcının hesabındaki fonların aktarıldığı özel hesaplar açar. Bazı bankalar elektronik parayı kendileri verebilir. Aynı zamanda sadece müşterinin talebi üzerine düzenlenir, ardından bu müşterinin bilgisayarına veya kartına aktarılır ve nakit karşılığının hesabından çekilmesi sağlanır. Kör imzayı uygularken, alıcının kendisi elektronik faturalar oluşturur, bunları bankaya gönderir, burada hesaba gerçek para geldiğinde bunlar bir mühürle onaylanır ve müşteriye geri gönderilir.
Bu tür depolamanın kolaylığının yanı sıra dezavantajları da vardır. Bir diskin veya akıllı kartın hasar görmesi, elektronik paranın geri dönüşü olmayan kaybına neden olur.
2. Alıcı, satın alma işlemi için elektronik parayı satıcının sunucusuna aktarır.
3. Para, gerçekliğini doğrulayacak olan ihraççıya sunulur.
4. Elektronik faturaların gerçek olması durumunda satıcının hesabına satın alma tutarı kadar artırılarak mal alıcıya kargolanır veya hizmet sağlanır.
Elektronik paranın önemli ayırt edici özelliklerinden biri mikro ödeme yapabilme yeteneğidir. Bunun nedeni, banknotların değerinin gerçek paralara (örneğin 37 kopek) karşılık gelmemesidir.
Hem bankalar hem de bankacılık dışı kuruluşlar elektronik nakit çıkarabilir. Ancak henüz geliştirilmedi tek sistem farklı elektronik para türlerini dönüştürme. Bu nedenle, ihraç ettikleri elektronik parayı yalnızca ihraç edenlerin kendisi kullanabilir. Ayrıca bu tür paraların finansal olmayan yapılardan kullanılması devlet tarafından garanti edilmemektedir. Ancak düşük işlem maliyeti, elektronik parayı çevrimiçi ödemeler için cazip bir araç haline getiriyor.
Kredi sistemleri
İnternet kredi sistemleri, kredi kartlarıyla çalışan geleneksel sistemlerin analoglarıdır. Aradaki fark, tüm işlemlerin İnternet üzerinden gerçekleştirilmesi ve bunun sonucunda ek güvenlik ve kimlik doğrulama önlemlerine ihtiyaç duyulmasıdır.
Kredi kartları kullanılarak İnternet üzerinden ödeme yapılmasına aşağıdakiler dahildir:
1. Alıcı. Web tarayıcısı ve İnternet erişimi olan bir bilgisayarı olan bir istemci.
2. Amir banka. Alıcının banka hesabı burada bulunur. Amir banka, kartları verir ve müşterinin mali yükümlülüklerinin garantörüdür.
3. Satıcılar. Satıcılar, mal ve hizmet kataloglarının tutulduğu ve müşteri satın alma siparişlerinin kabul edildiği E-Ticaret sunucuları olarak anlaşılmaktadır.
4. Bankaların satın alınması. Satıcılara hizmet veren bankalar. Her satıcının cari hesabını tuttuğu tek bir bankası vardır.
5. İnternet ödeme sistemi. Diğer katılımcılar arasında aracı görevi gören elektronik bileşenler.
6. Geleneksel ödeme sistemi. Bu tür kartlara hizmet vermek için bir dizi finansal ve teknolojik araç. Ödeme sisteminin çözdüğü ana görevler arasında, kartların mal ve hizmetler için ödeme aracı olarak kullanılmasının sağlanması, bankacılık hizmetlerinin kullanılması, karşılıklı mahsupların yapılması vb. yer almaktadır. Ödeme sistemine katılanlar, kredi kartı kullanımı yoluyla birleşmiş bireyler ve tüzel kişilerdir.
7. Ödeme sistemi işlem merkezi. Geleneksel ödeme sisteminde katılımcılar arasında bilgi ve teknolojik etkileşimi sağlayan kuruluş.
8. Ödeme sisteminin takas bankası. İşlem merkezi adına ödeme sistemi katılımcıları arasında karşılıklı mutabakatları gerçekleştiren bir kredi kuruluşudur.
Böyle bir sistemdeki genel ödeme şeması Şekil 45'te gösterilmektedir.
1. Elektronik mağazadaki alıcı bir ürün sepeti oluşturur ve “kredi kartı” ödeme yöntemini seçer.
Mağaza aracılığıyla, yani kart parametreleri doğrudan mağazanın web sitesine girilir ve ardından İnternet ödeme sistemine (2a) aktarılır;
Ödeme sistemi sunucusunda (2b).
İkinci yolun avantajları açıktır. Bu durumda kartlarla ilgili bilgiler mağazada kalmaz ve buna bağlı olarak üçüncü şahısların eline geçme veya satıcı tarafından aldatılma riski azalır. Her iki durumda da, kredi kartı bilgileri aktarılırken bunların ağdaki saldırganlar tarafından ele geçirilme olasılığı hâlâ mevcuttur. Bunu önlemek için veriler iletim sırasında şifrelenir.
Şifreleme doğal olarak ağdaki verilere müdahale olasılığını azaltır, bu nedenle alıcı/satıcı, satıcı/İnternet ödeme sistemi, alıcı/İnternet ödeme sistemi arasındaki iletişimin güvenli protokoller kullanılarak yapılması tavsiye edilir. Bunlardan en yaygın olanı, SSL (Güvenli Yuva Katmanı) protokolünün yanı sıra, İnternet'teki kredi kartı satın alma işlemleriyle ilgili ödemelerle ilgili işlemleri işlerken sonunda SSL'nin yerini alacak şekilde tasarlanan SET (Güvenli Elektronik İşlem) standardıdır.
3. İnternet ödeme sistemi, geleneksel ödeme sistemine bir yetkilendirme talebi iletir.
4. Bir sonraki adım, amir bankanın çevrimiçi bir hesap veritabanı tutup tutmadığına bağlıdır. Bir veri tabanı varsa, işlem merkezi amir bankaya kart yetkilendirmesi için bir talep gönderir (giriş veya sözlüğe bakın) (4a) ve ardından (4b) sonucunu alır. Böyle bir veri tabanı yoksa, işlem merkezinin kendisi kart sahiplerinin hesaplarının durumu, durdurulma listeleri ve yetkilendirme taleplerinin durumu hakkındaki bilgileri saklar. Bu bilgiler amir bankalar tarafından düzenli olarak güncellenmektedir.
Mağaza bir hizmet sağlar veya mal gönderir (8a);
İşlem merkezi, tamamlanan işleme ilişkin bilgileri uzlaştırma bankasına (8b) iletir. Alıcının amir bankadaki hesabındaki para, ödeme bankası aracılığıyla mağazanın alıcı bankadaki hesabına aktarılır.
Çoğu durumda bu tür ödemeleri yapmak için özel bir ödemeye ihtiyacınız vardır. yazılım. Alıcıya (elektronik cüzdan denir), satıcıya ve onun hizmet bankasına sağlanabilir.
giriiş
1. Elektronik ödeme sistemleri ve sınıflandırılması
1.1 Temel kavramlar
1.2 Elektronik ödeme sistemlerinin sınıflandırılması
1.3 Rusya'da kullanılan ana elektronik ödeme sistemlerinin analizi
2. Elektronik ödeme sistemlerine ilişkin güvenlik tedbirleri
2.1 Elektronik ödeme sistemlerinin kullanımına ilişkin tehditler
2.2 Elektronik ödeme sistemlerini korumaya yönelik teknolojiler
2.3 Uyumluluk için teknolojilerin analizi temel gereksinimler elektronik ödeme sistemlerine
Çözüm
Kaynakça
GİRİİŞ
10 yıl önce çok az kişinin ilgisini çeken elektronik ödemeler ve elektronik para gibi son derece uzmanlaşmış bir konu, son zamanlarda sadece iş adamlarının değil, son kullanıcıların da ilgisini çekmeye başladı. Muhtemelen ara sıra bilgisayar veya popüler basın okuyan her iki kişi de moda olan "e-iş" ve "e-ticaret" kelimelerini biliyor. Uzaktan ödeme görevi (uzun mesafelerde para transferi) özel kategoriden gündelik hale geldi. Ancak bu konudaki bilgi bolluğu vatandaşların zihinlerinin netleşmesine hiçbir şekilde katkıda bulunmuyor. Hem elektronik ödeme sorununun karmaşıklığı ve kavramsal gelişme eksikliği nedeniyle hem de birçok popülerleştiricinin genellikle günlük düzeyde bozuk telefon prensibi üzerinde çalışması nedeniyle, elbette her şey herkes için açıktır. Ancak bu, elektronik ödemelerin pratik gelişiminin zamanı gelene kadar. Bazı durumlarda elektronik ödemelerin kullanımının ne kadar uygun olduğuna dair anlayış eksikliğinin olduğu nokta burasıdır.
Bu arada, interneti kullanarak ticaret yapacak olanlar için olduğu kadar internet üzerinden alışveriş yapacak olanlar için de elektronik ödeme kabul etme görevi giderek önem kazanıyor. Bu makale her ikisine de yöneliktir.
Yeni başlayanlar için elektronik ödeme sistemlerini değerlendirirken temel sorun, tasarım ve çalışma prensiplerinin çeşitliliği ve uygulamanın dışsal benzerliğine rağmen derinliklerinde oldukça farklı teknolojik ve finansal mekanizmaların gizlenebilmesidir.
Küresel İnternetin popülaritesinin hızla gelişmesi, dünya ekonomisinin çeşitli alanlarında yeni yaklaşımların ve çözümlerin geliştirilmesine yönelik güçlü bir ivmeye yol açmıştır. Bankalardaki elektronik ödeme sistemleri gibi muhafazakar sistemler bile yeni trendlere yenik düştü. Bu, yeni ödeme sistemlerinin ortaya çıkmasına ve geliştirilmesine yansıdı - İnternet üzerinden elektronik ödeme sistemleri; bunun temel avantajı, müşterilerin ödeme emrini fiziksel olarak taşımanın zorlu ve bazen teknik açıdan zor aşamasını atlayarak ödeme (finansal işlemler) yapabilmesidir. bankaya. Bankalar ve bankacılık kurumları da müşteri hizmetlerinin hızını artırabilecekleri ve ödeme yapma masraflarını azaltabilecekleri için bu sistemleri uygulamaya koymakla ilgileniyorlar.
Elektronik ödeme sistemleri, gizli bilgiler de dahil olmak üzere, yanlış bilgilerin görüntülenmesine, değiştirilmesine ve dayatılmasına karşı koruma gerektiren bilgileri dağıtır. Uygun İnternet merkezli güvenlik teknolojilerinin geliştirilmesi şu anda büyük bir zorluktur. Bunun nedeni mimarinin, temel kaynakların ve teknolojilerin İnternet ağları Erişimi veya toplamayı organize etmeye odaklanmış açık bilgi. Ancak son zamanlarda internet üzerinden güvenli bilgi aktarımı için standart internet teknolojilerinin bina sistemlerinde kullanılması olasılığını gösteren yaklaşımlar ve çözümler ortaya çıkmıştır.
RGR'nin amacı elektronik ödeme sistemlerini analiz etmek ve her birinin kullanımına yönelik öneriler geliştirmektir. Hedefe dayanarak, RGR'yi gerçekleştirmenin aşağıdaki aşamaları formüle edilmiştir:
1.Elektronik ödeme sistemlerinin temel görevlerini, çalışma prensiplerini, özelliklerini saptayabilecektir.
2. Ana elektronik ödeme sistemlerini analiz edebilecektir.
3. Elektronik paranın kullanımıyla ilgili tehditleri analiz edebilecektir.
4. Elektronik ödeme sistemlerini kullanırken güvenlik önlemlerini analiz edin.
1. ELEKTRONİK ÖDEME SİSTEMLERİ VE SINIFLANDIRILMASI
1.1 Temel kavramlar
Elektronik ödemeler. Yirminci yüzyılın ikinci yarısında bir tür nakit dışı ödeme olarak elektronik ödemelerin ortaya çıkışından bahsetmenin meşru olduğu gerçeğiyle başlayalım. Başka bir deyişle, ödemelerle ilgili bilgilerin banka havalesi yoluyla aktarımı uzun süredir mevcuttu, ancak kabloların her iki ucunda bilgisayarlar ortaya çıktığında temelde yeni bir nitelik kazandı. Bilgi o dönemde ortaya çıkan teleks, teletip ve bilgisayar ağları kullanılarak aktarılıyordu. Niteliksel olarak yeni bir sıçrama, ödemelerin hızının önemli ölçüde artması ve otomatik işleme olanağının ortaya çıkmasıyla ifade edildi.
Daha sonra, nakit ödemeler ve diğer ödeme araçları (örneğin çekler) gibi diğer ödeme türlerinin elektronik eşdeğerleri de ortaya çıktı.
Elektronik ödeme sistemleri (EPS). Belirli bir donanım ve donanımdan oluşan herhangi bir komplekse elektronik ödeme sistemi diyoruz. yazılım elektronik ödeme yapılmasına olanak sağlıyor.
Var olmak çeşitli yollar ve EPS'ye erişim için iletişim kanalları. Günümüzde bu kanalların en yaygın olanı internettir. Erişimi kullanılarak gerçekleştirilen EPS'nin yayılması artıyor cep telefonu(SMS, WAP ve diğer protokoller aracılığıyla). Diğer yöntemler daha az yaygındır: modemle, tuşlu telefonla, operatör aracılığıyla telefonla.
Elektronik para. Belirsiz terim. Arkasında ne yattığını dikkatlice düşünürseniz, elektronik paranın ve elektronik ödeme sistemlerinin "elektronik nakit" için yanlış bir isim olduğunu anlamak kolaydır.
Terminolojideki bu yanlış anlama, terimlerin İngilizceden çevrilme özgürlüğünden kaynaklanmaktadır. Rusya'da elektronik ödemeler Avrupa ve Amerika'ya göre çok daha yavaş geliştiğinden, kesin olarak belirlenmiş şartları kullanmak zorunda kaldık. Elbette elektronik nakitin “dijital nakit” (e-nakit), “dijital para”, “elektronik nakit” (dijital nakit)2 gibi isimlerinin de yaşam hakkı vardır.
Genel olarak "elektronik para" terimi belirli bir şey ifade etmemektedir, bu nedenle gelecekte onu kullanmaktan kaçınmaya çalışacağız.
Elektronik nakit:
Bu, geçen yüzyılın 90'lı yıllarında ortaya çıkan ve bir banka veya başka bir finansal kuruluştaki hesaptan hesaba, yani doğrudan kişiler - son katılımcılar arasında para transferine doğrudan bağlı olmayan elektronik ödemelere izin veren bir teknolojidir. ödemede. Elektronik paranın bir diğer önemli özelliği de sağladığı ödemelerin anonimliğidir. Ödemeyi onaylayan yetkilendirme merkezinin, parayı özel olarak kimin ve kime aktardığı konusunda bilgisi bulunmuyor.
Elektronik nakit, elektronik ödeme türlerinden biridir. Bir elektronik nakit birimi, ihraççının (banka veya diğer finansal kurum) mali yükümlülüğünden başka bir şey değildir ve esasen normal bir kambiyo senedine benzer. Elektronik nakit kullanan ödemeler, diğer ödeme sistemlerini kullanmanın sakıncalı olduğu durumlarda ortaya çıkar. Açık bir örnek, bir alıcının internette mallar için ödeme yaparken kredi kartı hakkında bilgi verme konusundaki isteksizliğidir.
Terminolojiye karar verdikten sonra konuşmamızın bir sonraki aşamasına geçebiliriz - hadi EPS'nin sınıflandırılması hakkında konuşalım. EPS elektronik ödemelere aracılık ettiğinden, EPS'nin bölünmesi bu ödemelerin farklı türlerine göre yapılmaktadır.
Ayrıca EPS mekanizmasının dayandığı yazılım ve/veya donanım teknolojisi de bu konuda çok önemli rol oynuyor.
1.2 Elektronik ödeme sistemlerinin sınıflandırılması
Elektronik ödeme sistemleri, hem elektronik ödemelerin özelliklerine hem de elektronik ödeme sisteminin altında yatan spesifik teknolojiye göre sınıflandırılabilir.
Elektronik ödemelerin türüne bağlı olarak EPS'nin sınıflandırılması:
1. Ödeme katılımcılarının bileşimine göre (Tablo 1).
tablo 1
| Elektronik ödeme türü | Ödeme tarafları | Geleneksel nakit ödeme sistemindeki analog | EPS örneği |
| Bankadan bankaya ödemeler | Finansal Kurumlar | analog yok | |
| B2B ödemeleri | Tüzel kişiler | Kuruluşlar arasında nakitsiz ödemeler | |
| С2B ödemeleri | Mal ve hizmetlerin son tüketicileri ve tüzel kişiler - satıcılar | Alıcılardan satıcılara nakit ve gayri nakdi ödemeler | Kredi pilotu |
| C2C ödemeleri | Bireyler | Bireyler arasında doğrudan nakit ödemeler, posta ve telgraf transferleri |
"Bankadan bankaya" tipi elektronik ödemelere hizmet etmek üzere tasarlanmış elektronik ödeme sistemlerini ayrıca ele almayacağız. Bu tür sistemler son derece karmaşıktır, bankacılık sisteminin işleyişinin teknolojik yönlerini daha büyük ölçüde etkiler ve büyük olasılıkla okuyucularımızın geniş kitlelerinin ilgisini çekmez.
Ek olarak, mantıksal olarak Tablo 1'e tam olarak uymayan başka bir ödeme türünün daha bulunduğunu belirtmek gerekir. Resmi kriterlere göre, tamamen C2B alanına girmektedir, ancak yine de bu türden yaygın EPS yoluyla sağlanamamaktadır. Mikro ödemeler, son derece küçük (cent veya cent'in kesirleri) mal maliyetiyle karakterize edilir. Hepsinin en karakteristik özelliği Popüler Makaleler Mikro ödemeleri uygulayan bir sisteme örnek olarak şakaların satışı verilebilir (parça başına bir sent karşılığında). Eaccess ve Phonepay gibi sistemler mikro ödeme yapmaya uygundur.
2. Gerçekleştirilen operasyonların türüne göre (Tablo 2).
Tablo 2
| Elektronik ödeme türü | Nerede kullanılıyorlar? | EPS örneği |
| Banka hesap yönetimi işlemleri | Modem, internet, cep telefonu vb. üzerinden erişim sağlayan "Müşteri bankası" sistemleri. | Müşteri Sisteminin banka hesabını yönetme işlemleri |
| Banka hesabı açmadan para transferi işlemleri | Para transfer sistemleri bilgisayar ağları posta ve telgraf transferlerine benzer | |
| Kartlı banka hesaplarıyla yapılan işlemler | Banka ve kredi plastik kartları | Siberplat (Siberpos) |
| Elektronik çeklerle yapılan işlemler ve diğer nakit dışı ödeme yükümlülükleri | Şirketler arası ödemelerin kapalı sistemleri | Siberplat (Cybercheck) |
| Elektronik (yarı) nakit ile yapılan işlemler | Fiziksel hesaplamalar kişiler, malların ödemesinde para yerine kullanılan jetonların ve ön ödemeli kartların elektronik analogları |
“Müşteri - banka” tipi sistemlerin oldukça uzun zamandır bilindiğini belirtmekte fayda var. Banka hesabınıza modem kullanarak erişebilirsiniz. Geçtiğimiz on yılda, kullanıcı dostu bir web arayüzü aracılığıyla hesabınızı İnternet'i kullanarak yönetmek için yeni fırsatlar ortaya çıktı. Bu hizmete "İnternet bankacılığı" adı verildi ve "müşteri-banka" türündeki ödeme sistemlerine temelde yeni bir şey getirmedi. Ayrıca, bir banka hesabına erişmenin başka seçenekleri de vardır; örneğin cep telefonu kullanarak (WAP bankacılığı, SMS bankacılığı). Bu bağlamda, bu yazıda bu tür EPS üzerinde özellikle durmayacağız; yalnızca şu anda Rusya'da yaklaşık 100 ticari bankanın 10'dan fazla farklı EPS kullanarak İnternet bankacılığı hizmetleri sağladığını belirteceğiz.
Kullanılan teknolojiye bağlı olarak EPS'nin sınıflandırılması:
EPS'nin en önemli özelliklerinden biri hırsızlığa karşı dayanıklı olmasıdır. Bu belki de bu tür sistemlerin en çok tartışılan özelliğidir. Tablo 3'te görülebileceği gibi, sistem güvenliği sorununu çözerken, elektronik güvenlik sistemi oluşturmaya yönelik yaklaşımların çoğu, kritik bilgileri içeren belirli bir merkezi veritabanının gizliliğine dayanmaktadır. Aynı zamanda bazıları buna ekleniyor gizli üs Bu ek koruma seviyeleri donanımın dayanıklılığına bağlıdır.
Prensip olarak EPS'nin inşa edilebileceği başka teknolojiler de vardır. Örneğin, kısa bir süre önce medyada plastik bir karta yerleştirilmiş CDR disklere dayalı bir EPS'nin geliştirildiğine dair bir rapor vardı. Fakat benzer sistemler dünya pratiğinde yaygın olarak kullanılmamaktadır ve bu nedenle bunlara odaklanmayacağız.
Tablo 3
| Teknoloji | Sistemin kararlılığı neye dayanıyor? | EPS örneği |
| Merkezi sunucu istemci bankasına sahip sistemler, para transferi | Erişim anahtarlarının gizliliği | Telebank (Guta bankası), "İnternet Hizmet Bankası" (Avtobank) |
| Akıllı kartlar | Akıllı kartların bilgisayar korsanlığına karşı donanımsal direnci | Mondex, ACCORD |
| Manyetik kartlar ve sanal kredi kartları | Asist, Elit |
|
| Kazı kazan kartları | Kazı kazan kartı numaraları ve kodlarıyla veritabanının gizliliği | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Kullanıcının bilgisayarındaki program biçimindeki dosya/cüzdan | Bilgi alışverişi protokolünün kriptografik gücü | |
| Ücretli telefon görüşmesi | Akıllı telefon ağının pin kodları ve donanım kararlılığı ile merkezi veritabanının gizliliği | Eerişim, Telefonla Ödeme |
1.3 Rusya'da kullanılan ana elektronik ödeme sistemlerinin analizi
Şu anda, Rus İnternet'te oldukça fazla sayıda elektronik ödeme sistemi kullanılıyor, ancak bunların hepsi yaygın olarak kullanılmıyor. RuNet'te kullanılan neredeyse tüm Batılı ödeme sistemlerinin kredi kartlarına bağlı olması karakteristiktir. PayPal gibi bazıları Rusya'dan gelen müşterilerle çalışmayı resmi olarak reddediyor. Günümüzde en yaygın kullanılan sistemler şunlardır:
CyberPlat, karma tip sistemleri ifade eder (yukarıdaki sınıflandırmalardan herhangi biri açısından). Aslında bu sistem içerisinde üç ayrı bankanın tek çatı altında toplandığını söyleyebiliriz: Müşterilerin sisteme katılan bankalar (11 Rus bankası ve 1 Letonya) ile açılan hesapları yönetmelerine olanak sağlayan klasik “müşteri-banka” sistemi. ; Sisteme bağlı tüzel kişiler arasında güvenli ödeme yapmanızı sağlayan CyberCheck sistemi; ve kredi kartlarından kabul edilen ödemeleri işleyen bir İnternet edinme sistemi - CyberPos. CyberPlat, Rusya pazarında mevcut tüm İnternet edinme sistemleri arasında en fazla sayıda kredi kartı türünün işlenmesini sağlıyor: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; STB kart sistemi ve ACCORD kartı/Bashcard. Gayri resmi olarak şirket çalışanları, diğer Rus kart sistemleriyle arayüz oluşturma olasılığını araştırdıklarını iddia etti. Yukarıdakilere ek olarak CyberPlat şirketi, E-port ödeme sisteminin kazı kazan kartlarının işlenmesini sağlıyor ve Paycash sistemi ile bir ağ geçidinin yakında devreye alınacağını duyurdu.
Şu anda, çalıntı kredi kartlarından yapılan ödemelere karşı koruma düzeyini artırmak için şirket, satıcının, alıcının kredi kartıyla ilişkili banka hesabına gerçekten erişiminin olup olmadığını veya yalnızca ayrıntılarını bilip bilmediğini kontrol etmesine olanak tanıyan özel PalPay teknolojisi geliştiriyor. Bu teknolojinin devreye alınması henüz resmi olarak açıklanmadı.
CyberCheck sistemi, kurumsal ortaklarla çalışmayı organize etmek için büyük ilgi görüyor. Ana özelliği (kredi kartlarıyla ödeme kabul etmeye kıyasla), ödeme yapan kişinin ödemeyi yaptıktan sonra ödemeyi reddetmesinin imkansız olmasıdır. Yani CyberCheck'ten ödeme onayı almak, üye işyeri hesabının bulunduğu bankadan bu onayı almak kadar güvenilirdir. Tüm bu özellikler, CyberPlat'ı Rus İnternet'teki EPS satıcıları için belki de en gelişmiş ve ilgi çekici kılmaktadır.
Kredi kartlarından yapılan ödemelerin işlenmesi açısından Assist sistemi, birçok yönden CyberPlat'ın işlevsel bir benzeridir. Moskova'da çıkarları Alfa Bank tarafından temsil edilmektedir. Sisteme toplam 5 banka bağlı. İnternet edinme alt sistemi Visa, Mastercard/Eurocard ve STB kartından ödeme kabul etmenize olanak sağlar. Eylül ayı itibarıyla Assist sistemi sunucusunda bildirilen diğer kart sistemlerinden yapılan ödemeler fiilen kabul edilmemeye başlandı. Ancak resmi olmayan bilgilere göre yakın gelecekte Diners Club kartları, Cirrus Maestro ve Visa Electron banka kartlarını kabul etmek mümkün olacak. İlginç bir şekilde, bu tür kartlar genellikle satın alan şirketler tarafından kabul edilmiyor, ancak düşük maliyeti nedeniyle bu kartlar çok yaygın. Genellikle banka kartlarını kabul etmeyi reddetmenin nedeni güvenlik kaygılarıdır. Belki de ASSIST, geçtiğimiz gün desteğini duyurduğu SET protokolünü kullanarak bu sorunu aşabilecek. Kart sahibinin, kendisinden yapılan ödemeyi reddetmesine (geri ödeme) izin veren, internetteki plastik kartlarla geleneksel ödeme yönteminin aksine, SET protokolü işlemin gerçekliğini garanti ederek satıcının riskini önemli ölçüde azaltır.
Assist web sitesinde duyurulan, bir İnternet sağlayıcısından satın alınan elektronik sertifikalar kullanılarak yapılan ödeme yöntemi, sağlayıcılara yeni iş alanları açması açısından oldukça ilgi çekicidir, ancak mevcut bilgilere göre, yasal zorluklar nedeniyle yakın zamana kadar bu mümkün değildi. aslında herkes tarafından kullanılır. Ancak yine resmi olmayan bilgilere göre bu durum yakında değişecek - zaten 2001 sonbaharında bu hesaplama yönteminin ilk pratik uygulamasını görebiliriz.
Açıklamalarda bahsedilen CyberPlat ve Assist kart sistemlerine ek olarak piyasada popülerlik kazanan başka kart sistemleri de bulunmaktadır. Discover/NOVUS, Kuzey Amerika'da geniş çapta dağıtılmaktadır ve Batılı bir kitleye hizmet veren elektronik mağazaların ilgisini çekebilir. Bu sistemin kartlarını işleyecek herhangi bir yerli satın alma şirketinin varlığından haberdar değiliz, ancak Batılı alıcıların çıkarlarını temsil eden aracılardan gelen bir takım teklifler var. Rus kart sistemleri arasında STB ve Union Card'dan sonra piyasada en çok dikkat çekenler Zolotaya Korona, Sbercard (Sberbank), Universal Card ve ICB-card (Promstroybank) ile daha önce bahsedilen ACCORD kart/Bashcard'dır. "ICB-kart" birkaç küçük alıcı şirket tarafından işlenmektedir; Zolotaya Korona ve Sbercard kartlarından internet üzerinden yapılan ödemelerin kabulü, güya doğrudan ihraççılar ve/veya ilgili şirketler tarafından sağlanmaktadır ve Universal Kart söz konusu olduğunda, bu, kimse tarafından sağlanmıyor gibi görünüyor.
Paycash ve Webmoney, geliştiricileri tarafından elektronik nakit sistemleri olarak konumlandırılıyor, ancak daha yakından incelendiğinde yalnızca Paycash'in bu statüyü haklı olarak iddia edebileceği görülüyor.
Paycash'in geliştirilmesi Tavrichesky Bank tarafından başlatıldı, ancak şu anda sisteme Guta Bank gibi başka bankalar da bağlı.
Teknolojik açıdan Paycash, nakit ödemelerin neredeyse eksiksiz bir taklidini sağlar. Bir elektronik cüzdandan (müşteri tarafından bilgisayarına yüklenen özel bir program), bankayla ilgili ödemenin anonimliği sağlanırken para diğerine aktarılabilir. Sistem Rusya'da oldukça yaygınlaştı ve şu anda dünya pazarına girme girişimlerinde bulunuyor.
Paycash'in darboğazı, parayı elektronik cüzdana aktarma prosedürüdür. Yakın zamana kadar tek yol bunu yapmak için bir banka şubesine gidip sistem hesabına para aktarmak gerekiyordu. Doğru, alternatifler vardı - Guta Bank Telebank sisteminin kullanıcıları için, Guta Bank'taki bir hesaptan evden çıkmadan para aktarmak mümkündü, ancak görünüşe göre bazı durumlarda bunları doğrudan satıcının hesabına aktarmak daha kolaydı - Paycash'i aracı olarak kullanmadan elektronik mağaza. Western Union veya posta/havale yoluyla da para transferi yapmak mümkündü ancak ücretlerin yüksekliği nedeniyle bu yolun çekiciliği sınırlıydı. St.Petersburg sakinleri için çok egzotik bir fırsat var - para için evinize kurye çağırmak. Harika ama ne yazık ki hepimiz Kuzey başkentinde yaşamıyoruz.
Kredi kartlarından Paycash'e para transferi henüz mümkün değil. Bunun nedeni, kart sistemlerinin işleyişini destekleyen şirketlerin müşterilerine "geriye dönük" ödeme yapmayı reddetme - "geri ödeme" adı verilen fırsatı sunmasıdır. "Geri ödeme", kredi kartı sahibini, kartın ayrıntılarını kullanabilecek dolandırıcılardan koruyan bir mekanizmadır. Böyle bir ret durumunda, malın fiilen gerçek kart sahibine teslim edildiğini ve ödemenin yapılması gerektiğini ispat yükü satıcıya düşer. Ancak Paycash söz konusu olduğunda bu tür bir kanıt, oldukça açık nedenlerden dolayı temelde imkansızdır. Yukarıda bahsi geçen geliştirilme aşamasındaki CyberPlat'lı ağ geçidinin de bu sorunu çözmesi amaçlanıyor.
Bu arada, bunu açmak için darboğaz PayCash sistemde oldukça makul iki hamle yaptı: ön ödemeli ödül kartları çıkardı ve oranları posta oranlarından önemli ölçüde düşük olan Contact transfer sistemi aracılığıyla ödeme kabulü sağladı (%2,2'ye karşı %8).
Webmoney sistemi, Rusya'daki elektronik ödeme pazarındaki “öncülerden” biridir. Şu anda uluslararası bir karaktere sahiptir. Bazı bilgilere göre Webmoney'in yalnızca eski SSCB cumhuriyetlerinde değil, yabancı ülkelerde de temsilcileri var. Sistem operatörü, kar amacı gütmeyen özerk bir kuruluş olan "VM Center"dır.
Webmoney'in çalışma modu elektronik nakit ile çalışmaya çok benzer; yalnızca dikkatli ve titiz bir analiz, Webmoney'in aslında ödemelerde tam bir anonimlik sağlamadığından, yani ödemelerin sahiplerinden gizlenmediğinden emin olmayı mümkün kılar. sistemin kendisi. Bununla birlikte, Webmoney uygulaması, bu özelliğin oldukça faydalı olduğunu ve bazı durumlarda dolandırıcılıkla mücadeleye olanak sağladığını göstermiştir. Ayrıca VM Center, ayrı bir ücretli hizmet olarak tüzel kişilerin ve bireylerin sertifikasyonunu sunar ve bu da onu doğal olarak sistemdeki diğer katılımcılarla ilgili olarak anonimlikten mahrum bırakır. Bu fırsat öncelikle dürüst bir elektronik mağaza düzenlemek isteyenler ve potansiyel alıcıları güvenilirliklerine ikna etmek isteyenler için gereklidir. Webmoney, iki para biriminde hesap açmanıza ve para aktarmanıza olanak tanır: ruble ve dolar.
Sisteme erişim için “elektronik cüzdan” programı kullanılmaktadır. Sistemin ek özellikleri arasında kısa mesajların cüzdandan cüzdana aktarılması ve cüzdan sahipleri arasındaki kredi işlemleri yer alıyor. Bununla birlikte, bizim görüşümüze göre, geri ödeme yapılmaması durumunda krediyi zorla tahsil etme olanağı olmaksızın, internet üzerinden anonim kişilere borç vermeyi kabul edecek kişi sayısı çok azdır.
Paycash'ten farklı olarak, Webmoney başlangıçta hem normal parayı bir cüzdana aktarma hem de bankadaki ödeme talimatlarını doldurma gibi sıkıcı prosedürler olmadan cüzdan içeriğini nakde çevirme olanağı sağladı, ancak yasal açıdan oldukça tuhaf bir şekilde. . Genel olarak Webmoney'in kuruluşlarla yaptığı çalışmalar açısından hukuki desteği uzun zamandır birçok şikayete neden olmuştur.
Son kullanıcılar aktif olarak kendileri için "cüzdan" kurarken birçok elektronik mağazasının bu EPS'yi kullanmayı reddetmesinin nedeni buydu. Doğru, şu anda bu durum biraz iyileşti ve Webmoney sahiplerinin aktif pazarlama konumu, sistemin imajının sürekli olarak iyileşmesine yol açıyor. Biri ilginç özellikler Bu pazarlama stratejisi, pazara girdikten hemen sonra herkese bu sistemde para kazanma fırsatı verilmesiydi (bazıları “Çiviler” projesini ve daha sonraki gelişimini - Visit.ru'yu hatırlayabilir). Tıpkı Paycash gibi Webmoney de sisteme para yatırmak için tasarlanmış ön ödemeli kazı kazan kartları yayınlıyor.
Kazı kazan kartlarına dayalı iki sistem: E-port (Avtokard-holding) ve KreditPilot (Kreditpilot.com) ikiz kardeş gibidir. Her ikisi de, alıcının önce geniş bir dağıtım ağında bir yerden veya evindeki kuryeyle sipariş ederek gizli kodlu bir ödül kartı satın alacağını, ardından bu sistemlerden ödeme kabul eden mağazalarla bu kodu kullanarak çevrimiçi ödeme yapmaya başlayacağını varsayıyor. E-port ayrıca banka aracılığıyla veya “Webmoney” sistemi üzerinden şirketin hesabına para aktarılarak “sanal” kazı kazan kartları oluşturma olanağı da sunuyor.
Eylül 2001'de faaliyete geçen Rapida sistemi, tıpkı önceki iki sistem gibi, kullanıcının hesabına kazı kazan kartı veya sisteme katılan bir bankadan ödeme yoluyla para yatırma imkanı sunuyor. Ayrıca, “Müşteri-Banka” modunda çalışılarak, sisteme katılımcı olmayan tüzel kişilerin hesaplarına ve banka hesabı açmadan bireylere para aktarılabileceği de belirtiliyor. Sisteme erişim sadece internet üzerinden değil aynı zamanda tonlu arama kullanılarak telefonla da sağlanmaktadır. Genel olarak sistem teknolojik olarak gelişmiş ve çok ilginç görünüyor, ancak şu ana kadar faaliyete geçmesinden bu yana beklentiler hakkında konuşabilmek için yeterli zaman geçmedi.
Ödemenin uzun mesafeli aramalarda olduğu gibi yapılmasına izin veren (daha sonra telefon şirketinden gelen bir faturaya dayanarak) EPS ilk olarak Amerika Birleşik Devletleri'nde ortaya çıktı ve pornografik kaynaklara erişim için ödeme yapması amaçlandı. Bununla birlikte, bu tür sistemlerin birçok sahibinin sistematik dolandırıcılık eylemleri nedeniyle, alıcılar arasında popülerlik kazanamadılar ve bu sistemler ödemeleri önemli ölçüde geciktirme eğiliminde olduğundan satıcılar da bunlardan özellikle memnun değildi.
Benzer konseptin iki yurt içi uygulaması - Phonepay ve Eaccess - yolculuklarının en başında. Her iki sistem de ödeme yapmak için müşterinin 8-809 kodlu (görünüşe göre MTU-inform şirketi tarafından sağlanan) belirli bir şehirlerarası numarayı araması gerektiğini ve bunun ardından bazı önemli bilgilerin aktarılacağını varsayar. Eaccess durumunda bu, ücretli bir bilgi kaynağına erişmek için kullanılan bir pin kodudur ve Phonepay durumunda, beş rakamdan birinin 12 hanesinden oluşan evrensel bir "dijital paradır". Sistemlerin web sitelerine bakıldığında, e-erişimin giderek geliştiği, sisteme bağlı mağaza sayısının arttığı ancak Phonepay'in kendisine ait olmayan tek bir mağazayı bağlamadığı dikkat çekmektedir. geliştiricilere kendi sistemine.
Kanımca, Rusya'daki bu tür sistemlerin son kullanıcı tarafından bunlara erişim kolaylığı açısından çok kesin beklentileri var, ancak bunların uygulama kapsamı satışlarla sınırlı olacaktır. bilgi kaynakları. Ödemelerin alınmasındaki uzun gecikme (sistem, alıcının telefon faturasını ödemesinden önce bunları mağazaya aktaracaktır), bu EPS'yi kullanarak maddi varlık alım satımını oldukça kârsız bir faaliyet haline getirmektedir.
Son olarak, başka bir tür elektronik transfer sisteminden bahsetmek gerekir; geleneksel posta ve telgraf transferleriyle rekabet eden, bireyler arasındaki özel transfer sistemlerinden. Bu boşluğu ilk işgal edenler Western Union ve Money Gram gibi yabancı sistemlerdi. Geleneksel transferlerle karşılaştırıldığında, ödemede daha fazla hız ve güvenilirlik sağlarlar. Aynı zamanda, bir takım önemli dezavantajları da var; bunlardan en önemlisi, hizmetlerinin yüksek maliyeti olup, transfer tutarının% 10'una kadar ulaşmaktadır. Diğer bir sorun ise bu sistemlerin mal ödemelerini sistematik olarak kabul etmek için yasal olarak kullanılamamasıdır. Ancak sadece ailesine ve arkadaşlarına para göndermek isteyenler için dikkatlerini bu sistemlere ve aynı zamanda para göndermek mantıklıdır. yerli analoglar(Anelik ve İletişim). Şu ana kadar ne Paycash ne de Webmoney onlarla rekabet edemiyor çünkü Avustralya veya Almanya'da herhangi bir yerde elektronik cüzdandan nakit çekerek nakit almak mümkün değil. Rapida EPS bu olasılığı öne sürüyor ancak şu ana kadar web sitesinde herhangi bir ayrıntı bulunmuyor ve sistemin ofislerinin coğrafyası piyasada halihazırda mevcut olan sistemlerle karşılaştırılamaz.
Görünüşe göre elektronik mağaza sahipleri, öncelikle kredi kartlarından ve elektronik nakit sistemlerinden (Webmoney ve Paycash) para kabul etmeyi düşünmelidir. Tüketici özelliklerinin bütünlüğüne dayanarak, bize göre, Rusya pazarında kredi kartlarından ödeme kabul eden sistemlerin hiçbiri CyberPlat ile rekabet edemez. Diğer tüm sistemler isteğe bağlı kullanıma tabidir, özellikle de kartlarına CyberPlat tarafından hizmet verildiği için aynı E-port'un ayrı olarak kurulmasına gerek olmadığını hatırlarsanız.
2. ELEKTRONİK ÖDEME SİSTEMLERİNE YÖNELİK KORUMA ARAÇLARI
2.1 Elektronik ödeme sistemlerinin kullanımına ilişkin tehditler
Hadi düşünelim olası tehditler bir saldırganın bu sistemle ilgili yıkıcı eylemleri. Bunu yapmak için saldırganın saldırısının ana hedeflerine bakalım. Bir saldırganın ana hedefi finansal varlıklar veya daha doğrusu bunların elektronik ikameleri (vekilleri) - ödeme sisteminde dolaşan ödeme emirleridir. Bu araçlarla ilgili olarak bir saldırgan aşağıdaki hedefleri takip edebilir:
1. Finansal varlıkların çalınması.
2. Sahte finansal varlıkların tanıtılması (sistemin mali dengesinin ihlali).
3. Sistem arızası ( teknik tehdit).
Saldırının belirtilen nesneleri ve hedefleri doğası gereği soyuttur ve bilgiyi korumak için gerekli önlemlerin analizine ve geliştirilmesine izin vermez, bu nedenle Tablo 4, saldırganın yıkıcı etkilerinin nesnelerinin ve hedeflerinin bir spesifikasyonunu sağlar.
Tablo 4 Bir saldırganın olası yıkıcı eylemlerinin modeli
| Etki nesnesi | Etkinin amacı | Etkiyi uygulamaya yönelik olası mekanizmalar. |
| Bankanın web sunucusundaki HTML sayfaları | Müşteri tarafından ödeme emrine girilen bilgilerin elde edilmesi amacıyla ikame. | Sunucuya saldırı ve sunucudaki sayfaların değiştirilmesi. Trafikteki sayfaların değiştirilmesi. Müşterinin bilgisayarına saldırı ve müşterinin sayfalarının değiştirilmesi |
| Sunucudaki istemci bilgi sayfaları | Müşteri(ler)in ödemeleri hakkında bilgi edinmek | Sunucuya saldırı. Trafik saldırısı. İstemcinin bilgisayarına saldırı. |
| Müşterinin forma girdiği ödeme emri verileri | Müşteri tarafından ödeme emrine girilen bilgilerin alınması. | İstemcinin bilgisayarına saldırı (virüsler vb.). Trafikte gönderildiklerinde bu talimatlara saldırı. Sunucuya saldırı. |
| Müşterinin bilgisayarında bulunan ve elektronik ödeme sistemiyle ilgili olmayan özel müşteri bilgileri | Gizli müşteri bilgilerinin elde edilmesi. Müşteri bilgilerinin değiştirilmesi. İstemcinin bilgisayarını devre dışı bırakma. | Bütün kompleks bilinen saldırılarİnternete bağlı bir bilgisayara. Ödeme sistemi mekanizmalarının kullanılması sonucu ortaya çıkan ek saldırılar. |
| Bankanın işlem merkezinden alınan bilgiler. | İşleme merkezi bilgilerinin açıklanması ve değiştirilmesi ve yerel ağ kavanoz. | İnternete bağlı yerel bir ağa saldırı. |
Bu tablo, İnternet üzerinden herhangi bir elektronik ödeme sisteminin karşılaması gereken temel gereksinimleri göstermektedir:
İlk olarak sistem, ödeme emri verilerinin yetkisiz değişiklik ve tadilatlardan korunmasını sağlamalıdır.
İkinci olarak sistem, saldırganın müşterinin bilgisayarına saldırı düzenleme yeteneğini artırmamalıdır.
Üçüncüsü, sistem sunucuda bulunan verileri izinsiz okunmaya ve değiştirilmeye karşı korumalıdır.
Dördüncüsü, sistem bankanın yerel ağını küresel ağın etkisinden koruyacak bir sistem sağlamalı veya desteklemelidir.
Belirli elektronik ödeme bilgileri koruma sistemlerinin geliştirilmesi sırasında, bu model ve gereklilikler daha fazla ayrıntıya tabi olmalıdır. Ancak mevcut sunum için böyle bir ayrıntıya gerek yok.
2.2 Elektronik ödeme sistemlerini korumaya yönelik teknolojiler
Bir süredir WWW'nin gelişimi, WWW'nin temelini oluşturan html sayfalarının statik metin olması nedeniyle sekteye uğramıştır. onların yardımıyla kullanıcı ile sunucu arasında etkileşimli bir bilgi alışverişi düzenlemek zordur. Geliştiriciler, HTML'nin yeteneklerini bu yönde genişletmek için birçok yol önerdiler ve bunların çoğu hiçbir zaman geniş çapta benimsenmedi. İnternetin gelişiminde yeni bir aşamayı temsil eden en güçlü çözümlerden biri, Sun'ın Java uygulamalarını HTML sayfalarına bağlı etkileşimli bileşenler olarak kullanma önerisiydi.
Java uygulaması, Java programlama dilinde yazılmış ve bazı sanal bilgisayarların (bir Java makinesinin) kodları olan ve Intel ailesi işlemcilerin kodlarından farklı olan özel bayt kodlarında derlenen bir programdır. Applet'ler İnternet'teki bir sunucuda barındırılır ve bu uygulamaya yapılan çağrıyı içeren bir HTML sayfasına her erişildiğinde kullanıcının bilgisayarına indirilir.
Uygulama kodunu yürütmek için standart bir tarayıcı, bayt kodlarını Intel işlemci ailesi (veya başka bir işlemci ailesi) üzerindeki makine talimatlarına dönüştüren bir Java motoru uygulamasını içerir. Java uygulama teknolojisinin doğasında var olan yetenekler bir yandan güçlü uygulamalar geliştirmenize olanak sağlar. Kullanıcı arayüzleri, herhangi bir ağ kaynağına URL aracılığıyla erişimi organize eder, TCP/IP, FTP vb. protokolleri kolaylıkla kullanır, ancak diğer yandan bilgisayar kaynaklarına doğrudan erişimi imkansız hale getirir. Örneğin, uygulamaların erişimi yoktur. dosya sistemi bilgisayar ve bağlı cihazlar.
WWW'nin yeteneklerini genişletmek için benzer bir çözüm Microsoft'un teknolojisi - Active X'tir. Bu teknoloji ile Java arasındaki en önemli fark, bileşenlerin (uygulama analoglarının) koddaki programlar olmasıdır. Intel işlemci ve bu bileşenlerin tüm bilgisayar kaynaklarına, ayrıca Windows arayüzlerine ve hizmetlerine erişebilmesi.
WWW'nin yeteneklerini genişletmeye yönelik daha az yaygın olan bir diğer yaklaşım ise Netscape'in Netscape Navigator teknolojisi için Eklentisidir. İnternet üzerinden elektronik ödemeler için bilgi güvenliği sistemleri oluşturmak için en uygun temel bu teknoloji gibi görünüyor. Daha fazla tartışma için bu teknolojinin Web sunucusu bilgilerini koruma sorununu nasıl çözdüğüne bakalım.
Bir Web sunucusu ve yöneticinin olduğunu varsayalım. bu sunucunun sunucunun bilgi dizisinin bir kısmına erişimi kısıtlamak gerekir; bazı kullanıcıların bazı bilgilere erişebileceği, ancak bazılarının erişemeyeceği şekilde düzenleyin.
Şu anda, bu sorunu çözmek için bir takım yaklaşımlar öneriliyor, özellikle de pek çok yaklaşım. işletim sistemiİnternet sunucularının çalıştığı bazı alanlara erişim için bir şifre gerekir; kimlik doğrulama gerektirir. Bu yaklaşımın iki önemli dezavantajı vardır: birincisi, veriler sunucunun kendisinde açık metin olarak saklanır ve ikincisi, veriler ağ üzerinden yine açık metin olarak iletilir. Böylece, bir saldırganın iki saldırı düzenleme fırsatı vardır: sunucunun kendisine (şifre tahmin etme, şifre atlama vb.) ve trafiğe saldırı. Bu tür saldırıların gerçekleri İnternet topluluğu tarafından yaygın olarak bilinmektedir.
Bilgi güvenliği sorununun çözümünde bilinen bir diğer yaklaşım ise SSL (Secure Sockets Layer) teknolojisine dayanan yaklaşımdır. SSL kullanıldığında, istemci ile verinin iletildiği sunucu arasında güvenli bir iletişim kanalı kurulur; Verilerin ağ üzerinden açık metin olarak iletilmesi sorunu nispeten çözülmüş sayılabilir. SSL ile ilgili temel sorun, anahtar sisteminin yapısı ve onun üzerindeki kontroldür. Verilerin sunucuda açık metin olarak saklanması sorunu ise çözümsüz kalıyor.
Yukarıda açıklanan yaklaşımların bir diğer önemli dezavantajı, hem sunucu hem de ağ istemci yazılımından destek alma ihtiyacıdır ki bu da her zaman mümkün veya uygun değildir. Özellikle kitlesel ve organize olmayan müşterilere yönelik sistemlerde.
Yazarın önerdiği yaklaşım, internetteki ana bilgi taşıyıcısı olan html sayfalarının korunmasına dayanmaktadır. Korumanın özü, HTML sayfalarını içeren dosyaların sunucuda şifrelenmiş biçimde saklanmasıdır. Bu durumda, şifrelendikleri anahtar yalnızca onu şifreleyen kişi (yönetici) ve istemciler tarafından bilinir (genel olarak, bir anahtar sistemi oluşturma sorunu şeffaf dosya durumunda olduğu gibi çözülür) şifreleme).
Müşteriler, Netscape'in Netscape Eklentisi teknolojisini kullanarak güvenli bilgilere erişir. Bu modüller daha doğrusu programlardır yazılım bileşenleri MIME standardındaki belirli dosya türleriyle ilişkilendirilen . MIME, İnternet'teki dosya formatlarını tanımlayan uluslararası bir standarttır. Örneğin, şu dosya türleri mevcuttur: metin/html, metin/düzlem, resim/jpg, resim/bmp, vb. Ek olarak standart, ayarlama için bir mekanizma tanımlar. özel türler bağımsız geliştiriciler tarafından tanımlanabilen ve kullanılabilen dosyalar.
Bu nedenle, belirli MIME dosya türleriyle ilişkili eklentiler kullanılır. Bağlantı, kullanıcı ilgili türdeki dosyalara eriştiğinde, tarayıcının onunla ilişkili Eklentiyi başlatması ve bu modülün dosya verilerini görselleştirmek ve kullanıcının eylemlerini bu dosyalarla işlemek için tüm eylemleri gerçekleştirmesidir.
En iyi bilinen eklenti modülleri, videoları avi formatında oynatan modülleri içerir. Bu dosyaları görüntülemek tarayıcıların standart yetenekleri arasında yer almaz, ancak uygun Eklentiyi yükleyerek bu dosyaları tarayıcıda kolayca görüntüleyebilirsiniz.
Ayrıca tüm şifrelenmiş dosyalar, belirlenmiş uluslararası standartlara uygun olarak MIME tipi dosyalar olarak tanımlanmaktadır. "uygulama/x-shp". Daha sonra Netscape teknolojisi ve dosya türüyle ilişkilendirilecek protokoller kullanılarak bir Eklenti geliştirilir. Bu modül iki işlevi yerine getirir: birincisi, bir şifre ve kullanıcı kimliği ister ve ikinci olarak, dosyanın şifresini çözme ve tarayıcı penceresine çıkarma işini yapar. Bu modül, Netscape'in tüm istemci bilgisayarların tarayıcılarına belirlediği standart sıraya göre kurulur.
Bu noktada işin hazırlık aşaması tamamlanarak sistem işletmeye hazır hale gelir. İşlem sırasında istemciler şifrelenmiş HTML sayfalarına standart adreslerini (URL) kullanarak erişirler. Tarayıcı bu sayfaların türünü belirler ve geliştirdiğimiz modülü otomatik olarak başlatarak şifrelenmiş dosyanın içeriğini ona aktarır. Modül istemcinin kimliğini doğrular ve başarılı bir şekilde tamamlandıktan sonra şifreyi çözer ve sayfanın içeriğini görüntüler.
Tüm bu prosedürü gerçekleştirirken, yukarıda açıklanan sistemin tüm çalışmaları gözlerinden gizlendiği için müşteri sayfaların "şeffaf" şifrelendiği hissine kapılır. Aynı zamanda, resimlerin kullanımı, Java uygulamaları, CGI komut dosyaları gibi html sayfalarının doğasında bulunan tüm standart özellikler korunur.
Bu yaklaşımın birçok bilgi güvenliği sorununu çözdüğünü görmek kolaydır çünkü açık biçimde yalnızca müşterilerin bilgisayarlarında bulunur, veriler ağ üzerinden şifrelenmiş biçimde iletilir. Bilgi elde etme amacı güden bir saldırgan, yalnızca belirli bir kullanıcıya saldırı gerçekleştirebilir ve hiçbir sunucu bilgi güvenliği sistemi bu saldırıya karşı koruma sağlayamaz.
Şu anda yazar, Netscape Navigator (3.x) tarayıcısı ve Netscape Communicator 4.x için önerilen yaklaşıma dayalı olarak iki bilgi güvenliği sistemi geliştirmiştir. Sırasında ön test Geliştirilen sistemlerin MExplorer kontrolünde normal şekilde çalışabildiği ancak her durumda çalışamadığı tespit edildi.
Sistemlerin bu sürümlerinin, bir HTML sayfasıyla ilişkili nesneleri (resimler, komut dosyası uygulamaları vb.) şifrelemediğini unutmamak önemlidir.
Sistem 1, gerçek html sayfalarının tek bir nesne olarak korunmasını (şifrelenmesini) sağlar. Bir sayfa oluşturursunuz ve ardından onu şifreleyip sunucuya kopyalarsınız. Şifrelenmiş bir sayfaya erişildiğinde, şifresi otomatik olarak çözülür ve özel bir pencerede görüntülenir. Sunucu yazılımından güvenlik sistemi desteği alınmasına gerek yoktur. Tüm şifreleme ve şifre çözme çalışmaları müşterinin iş istasyonunda gerçekleştirilir. Bu sistem evrenseldir, yani sayfanın yapısına ve amacına bağlı değildir.
Sistem 2, korumaya farklı bir yaklaşım sunar. Bu sistem sayfanızın bazı alanlarında korumalı bilgilerin görüntülenmesini sağlar. Bilgiler sunucuda şifrelenmiş bir dosyadadır (html formatında olması gerekmez). Sayfanıza gittiğinizde güvenlik sistemi otomatik olarak bu dosyaya erişir, içindeki verileri okur ve sayfanın belirli bir alanında görüntüler. Bu yaklaşım, minimum çok yönlülükle maksimum verimlilik ve estetik güzelliğe ulaşmanıza olanak tanır. Onlar. sistemin belirli bir amaca yönelik olduğu ortaya çıkıyor.
Bu yaklaşım internet üzerinden elektronik ödeme sistemleri oluşturulurken de uygulanabilir. Bu durumda Web sunucusunun belirli bir sayfasına erişildiğinde kullanıcıya ödeme emri formunu görüntüleyen Eklenti modülü başlatılır. İstemci bunu doldurduktan sonra modül ödeme verilerini şifreler ve sunucuya gönderir. Aynı zamanda kullanıcıdan elektronik imza da talep edebilir. Ayrıca, şifreleme ve imza anahtarları herhangi bir ortamdan okunabilir: disketler, elektronik tabletler, akıllı kartlar vb.
2.3 Elektronik ödeme sistemlerine ilişkin temel gereksinimlere uyum için teknolojilerin analizi
Yukarıda İnternet üzerinden ödeme sistemleri oluşturmak için kullanılabilecek üç teknolojiyi tanımladık: Bu, Java uygulamalarına, Active-X bileşenlerine ve eklenti modüllerine dayalı bir teknolojidir. Bunlara sırasıyla J, AX ve P teknolojileri diyelim.
Bir saldırganın bilgisayara saldırma yeteneğinin artırılmaması gerekliliğini göz önünde bulundurun. Bunu yapmak için olası saldırı türlerinden birini analiz edelim - ilgili istemci koruma modüllerinin bir saldırgan tarafından değiştirilmesi. J teknolojisi durumunda bunlar küçük uygulamalardır, AX durumunda suya daldırılabilir bileşenler, P durumunda bunlar eklenti modüllerdir. Saldırganın koruma modüllerini doğrudan müşterinin bilgisayarında değiştirme olanağına sahip olduğu açıktır. Bu saldırıyı gerçekleştirmeye yönelik mekanizmalar bu analizin kapsamı dışındadır; ancak, bu saldırının gerçekleştirilmesinin söz konusu koruma teknolojisine bağlı olmadığını da belirtmek gerekir. Ve her teknolojinin güvenlik düzeyi aynıdır; hepsi bu saldırıya karşı eşit derecede dengesiz.
J ve AX teknolojilerinin ikame açısından en zayıf noktası internetten indirilmeleridir. Şu anda hücum oyuncusu oyuncu değişikliği yapabilir. Dahası, eğer bir saldırgan bankanın sunucusundaki bu modülleri değiştirmeyi başarırsa, internette dolaşan tüm ödeme sistemi bilgilerine erişim elde ediyor.
P teknolojisi durumunda, modül ağdan indirilmediğinden, müşterinin bilgisayarında kalıcı olarak saklandığından ikame tehlikesi yoktur.
Değiştirmenin sonuçları farklıdır: J teknolojisi durumunda, bir saldırgan yalnızca istemci tarafından girilen bilgileri çalabilir (bu ciddi bir tehdittir), Active-X ve Plug-in durumunda ise saldırgan yalnızca istemci tarafından girilen bilgileri çalabilir. Bilgisayarda çalışan istemcinin erişim sahibi olduğu her türlü bilgiyi elde etmek.
Şu anda yazar, Java uygulaması kimlik sahtekarlığı saldırılarını uygulamaya yönelik belirli yöntemlerden haberdar değildir. Görünüşe göre bu saldırılar zayıf bir şekilde gelişiyor, çünkü sonuçta ortaya çıkan bilgi çalma fırsatları neredeyse yok. Ancak Active-X bileşenlerine yönelik saldırılar yaygın ve iyi biliniyor.
İnternet üzerinden elektronik ödeme sisteminde dolaşan bilgilerin korunması gerekliliğini ele alalım. Bu durumda J teknolojisinin çok önemli bir konuda hem P hem de AX'ten daha düşük olduğu açıktır. Tüm bilgi güvenliği mekanizmaları şifrelemeye veya elektronik imzaya dayanmaktadır ve ilgili tüm algoritmalar, anahtar öğelerin eklenmesini gerektiren kriptografik dönüşümlere dayanmaktadır. Şu anda, anahtar öğelerin uzunluğu 32-128 bayt düzeyinde olduğundan kullanıcının bunları klavyeden girmesini gerektirmek neredeyse imkansızdır. Soru ortaya çıkıyor: bunlara nasıl girilir? P ve AX teknolojilerinin bilgisayar kaynaklarına erişimi olduğundan, bu sorunun çözümü açık ve iyi bilinmektedir - anahtarlar yerel dosyalardan, disketlerden, tabletlerden veya akıllı kartlardan okunur. Ancak J teknolojisi durumunda, böyle bir giriş imkansızdır; bu, ya müşterinin uzun bir anlamsız bilgi dizisi girmesini istemeniz ya da anahtar öğelerin uzunluğunu azaltarak kriptografik dönüşümlerin gücünü azaltmanız ve dolayısıyla azaltmanız gerektiği anlamına gelir. güvenlik mekanizmalarının güvenilirliği. Üstelik bu azalma çok anlamlıdır.
Elektronik ödeme sisteminin, sunucuda bulunan verilerin izinsiz okunmasına ve değiştirilmesine karşı korunmasını organize etmesi gerekliliğini ele alalım. Bu gereklilik, sistemin kullanıcıya yönelik gizli bilgilerin sunucuya yerleştirilmesini içermesinden kaynaklanmaktadır. Örneğin, işleme sonuçlarıyla ilgili bir notla birlikte kendisine gönderilen ödeme emirlerinin bir listesi.
P teknolojisi durumunda bu bilgiler, şifrelenip sunucuya yerleştirilen HTML sayfaları biçiminde sunulur. Tüm eylemler yukarıda açıklanan algoritmaya (HTML sayfalarının şifrelenmesi) uygun olarak gerçekleştirilir.
J ve AX teknolojilerinde bu bilgiler, sunucudaki bir dosyaya yapılandırılmış bir biçimde yerleştirilebilir ve bileşenlerin veya applet'lerin, verileri okuma ve görselleştirme işlemlerini gerçekleştirmesi gerekir. Bütün bunlar genellikle uygulamaların ve bileşenlerin toplam boyutunun artmasına ve dolayısıyla ilgili sayfaların yüklenme hızının azalmasına yol açar.
Bu gereklilik açısından bakıldığında, P teknolojisi daha fazla üretilebilirliği nedeniyle kazanır; daha düşük geliştirme yükü ve ağdan geçerken bileşenlerin değiştirilmesine karşı daha fazla direnç.
Bankacılık yerel ağını korumaya yönelik son gereklilik ise, bir güvenlik duvarı (güvenlik duvarı) sisteminin yetkin bir şekilde inşa edilmesi yoluyla yerine getirilir ve söz konusu teknolojilere bağlı değildir.
Böylece yukarıdaki ön hazırlık gerçekleştirildi. Karşılaştırmalı analiz J, AX ve P teknolojileri; müşterinin bilgisayarının güvenlik derecesinin korunması, elektronik ödeme sistemlerinde kullanılan kriptografik dönüşümlerin gücünden önemli ölçüde daha önemliyse, J teknolojisinin kullanılması gerektiği sonucu çıkar.
Teknoloji P, ödeme bilgi güvenliği sistemlerinin altında yatan en uygun teknolojik çözüm gibi görünüyor, çünkü gücü birleştiriyor. standart uygulama Win32 ve İnternet üzerinden yapılan saldırılara karşı koruma. Bu teknolojiyi kullanan projelerin pratik ve ticari uygulaması, örneğin Rus Finansal İletişim şirketi tarafından gerçekleştirilmektedir.
AX teknolojisine gelince, onun kullanımı davetsiz misafirlerin saldırılarına karşı etkisiz ve istikrarsız görünüyor.
ÇÖZÜM
Elektronik para, en azından dikkate alınması gereken, giderek daha açık bir şekilde günlük gerçekliğimiz haline gelmeye başlıyor. Elbette önümüzdeki elli yıl içinde (muhtemelen) hiç kimse sıradan parayı kaldırmayacak. Ancak elektronik parayı yönetememek ve beraberinde getirdiği fırsatları kaçırmak, on beş yıldır zorlukla taşınan bir şeyin etrafına gönüllü olarak “demir perde” çekmek anlamına geliyor. Birçok büyük şirket, hizmetleri ve malları için elektronik ödemeler yoluyla ödeme olanağı sunmaktadır. Bu, tüketiciye büyük ölçüde zaman tasarrufu sağlar.
Elektronik cüzdanınızı açmak ve parayla yapılan tüm çalışmalar için ücretsiz yazılım, toplu bilgisayarlara maksimum düzeyde uyarlanmıştır ve biraz pratik yaptıktan sonra ortalama kullanıcı için herhangi bir soruna neden olmaz. Zamanımız bilgisayarların, internetin ve e-ticaretin zamanıdır. Bu alanlarda bilgi sahibi olan ve uygun araçlara sahip kişiler çok büyük başarılara imza atıyor. Elektronik para, her geçen gün yaygınlaşan, internete erişimi olan kişiye giderek daha fazla fırsat sunan paradır.
Hesaplama ve grafik çalışmasının amacı aşağıdaki görevleri tamamlamak ve çözmekti:
1. Elektronik ödeme sistemlerinin temel görevleri ve çalışma esasları, özellikleri belirlenir.
2. Başlıca elektronik ödeme sistemleri analiz edilir.
3. Elektronik para kullanımına ilişkin tehditler analiz edilir.
4. Elektronik ödeme sistemlerini kullanırken korunma yolları analiz edilir.
BİBLİYOGRAFİK LİSTE
1. Antonov N.G., Pessel M.A. Para dolaşımı, kredi ve bankalar. -M.: Finstatinform, 2005, s. 179-185.
2. Banka portföyü - 3. -M.: Somintek, 2005, s. 288-328.
3. Mihaylov D.M. Uluslararası ödemeler ve garantiler. M.: FBK-PRESS, 2008, s. 20-66.
4. Polyakov V.P., Moskovkina L.A. Merkez bankalarının yapısı ve işlevleri. Yabancı deneyim: Ders kitabı. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Elektronik bankacılık sistemlerinin güvenliği. - M: Birleşik Avrupa, 2004
6. Demin V.S. ve diğerleri Otomatik bankacılık sistemleri. - M: Menatep-Bilgi, 2007
7.Krysin V.A. İş güvenliği. - M: Finans ve İstatistik, 2006
8. Linkov I.I. ve diğerleri Ticari yapılarda bilgi bölümleri: nasıl hayatta kalınır ve başarılı olunur. - M: NİT, 2008
9.Titorenko G.A. ve diğerleri Bankacılık faaliyetlerinin bilgisayarlaştırılması. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Dağıtılmış ağlar. - St.Petersburg: Peter, 2008
12. Aglitsky I. Rus bankaları için bilgi desteğinin durumu ve beklentileri. - Bankacılık teknolojileri, 2007 No. 1.
özel ders
Bir konuyu incelemek için yardıma mı ihtiyacınız var?
Uzmanlarımız ilginizi çeken konularda tavsiyelerde bulunacak veya özel ders hizmetleri sağlayacaktır.
Başvurunuzu gönderin Konsültasyon alma olasılığını öğrenmek için hemen konuyu belirtin.
3. Elektronik ödemelerin korunması
Banka bilgileri nedeniyle banka güvenliği sorunu özellikle ciddidir., birincisi gerçek parayı temsil ediyor ve ikincisi çok sayıda banka müşterisinin gizli çıkarlarını etkiliyor.
2000 yılında e-ticaret pazar büyüklüğü
| Pazar büyüklüğü ve özellikleri | Tahmin, dolar |
| İnternet üzerinden yapılan tüm ürün satın alımlarının toplam maliyeti | 4,5-6 milyar |
| Ortalama alıcı başına tüm satın alma işlemlerinin toplam maliyeti | 600-800 |
| İnternet işlemi başına ortalama satın alma maliyeti | 25-35 |
| İnternet satın alma işlemlerinin tam hacmi | 130-200 milyon |
| Çevrimiçi ürün satın alma payı | 60-70% |
| Teslim edilen mal alımlarının payı | 30-40% |
Elektronik ödeme sistemlerinin genel işleyiş şeması
Sistemle anlaşma yapmış ve uygun lisansı almış bir banka iki sıfatla hareket edebilir: diğer tüm katılımcı bankalar tarafından ödeme için kabul edilen bu sistemin ödeme araçlarının ihraççısı olarak ve alıcı banka olarak, Bu sisteme ait diğer ihraççıların ihraç ettiği ödeme araçlarını ödeme için kabul etmek ve bu ödeme araçlarını şubelerinde nakde çevirmek için kabul etmek.
Ödeme kabul prosedürü oldukça basittir. Her şeyden önce işletmenin kasiyeri, uygun özellikleri kullanarak kartın orijinalliğini doğrulamalıdır.
Ödeme yaparken, şirket müşterinin kart ayrıntılarını bir fotokopi makinesi - damgalayıcı kullanarak özel bir çeke aktarmalı, satın alma işleminin yapıldığı veya hizmetlerin sağlandığı tutarı çeke girmeli ve müşterinin imzasını almalıdır.
Bu şekilde düzenlenen çeke makbuz denir. Ödeme sistemi, işlemlerin güvenli bir şekilde gerçekleştirilebilmesi için, ödemelerin yetkisiz olarak yapılabileceği çeşitli bölgeler ve iş türleri için tutarlara ilişkin daha düşük limitler önermektedir. Limit tutarının aşılması veya müşterinin kimliğine ilişkin şüphe oluşması durumunda şirket, yetkilendirme işlemi yapmakla yükümlüdür.
Prosedürün teknik yönlerine değinmeden, yetkilendirme sırasında şirketin aslında müşterinin hesabının durumu hakkındaki bilgilere erişim elde ettiğini ve böylece kartın müşteri tarafından sahipliğini ve ödeme kabiliyetini belirleme fırsatı elde ettiğini belirtiyoruz. işlem tutarında. Fişin bir nüshası şirkette kalır, ikincisi müşteriye aktarılır, üçüncüsü alıcı bankaya teslim edilir ve ödeme tutarının müşterinin hesabından şirkete geri ödenmesine esas teşkil eder.
Son yıllarda, fiş doldurmaya gerek olmayan POS terminalleri oldukça popüler hale geldi. POS terminalinde yerleşik okuyucu üzerindeki manyetik şeritten kart bilgileri okunur, klavyeden işlem tutarı girilir ve terminal yerleşik modem aracılığıyla uygun ödeme sistemine yetkilendirme başvurusunda bulunur. Bu durumda, hizmetleri banka tarafından tacirlere sunulan işlem merkezinin teknik yeteneklerinden yararlanılır. Bu durumda şirket, müşteri imzasının bir örneğini ve terminalin çalışma gününün sonunda oluşturduğu toplu dosyaları içeren kasa bandının bir kopyasıyla bankaya rapor verir.
Son yıllarda giderek daha fazla ilgi görmeye başladı Mikroişlemci kartları kullanan bankacılık sistemleri.
Harici olarak bu depolama ortamları, kartın içine lehimlenen bellek yongası veya mikroişlemci ve yüzeyinde görüntülenen kontak plakası yaprakları dışında sıradan kartlardan farklı değildir.
Bu kartların yukarıdakilerden temel farkı, kendileri bir transit hesap olduğundan, müşterinin hesap durumuna ilişkin bilgileri doğrudan taşımalarıdır. Bu tür kartlar için her toplama noktasının özel bir POS terminali (çip okuyuculu) ile donatılması gerektiği açıktır.
Kartı kullanabilmek için müşterinin banka terminalindeki hesabından yükleme yapması gerekmektedir. Kart - terminal veya müşteri kartı - üye işyeri kartı diyalogu sırasında tüm işlemler OFF-LINE modda yapılır.
Böyle bir sistem, çipin yüksek derecede güvenliği ve tam borç ödeme planı nedeniyle neredeyse tamamen güvenlidir. Ayrıca kartın kendisi normalden önemli ölçüde daha pahalı olsa da, ÇEVRİMDIŞI modun telekomünikasyon yükünü kullanmaması nedeniyle çalışma sırasında sistem daha da ucuza çıkıyor.
Plastik banka kartlarını kullanarak elektronik ödemeler çeşitli türler“Banka 1 - Müşteri - İşletme - Banka 2” zincirindeki ödemeler ve “Banka 1 - ... - Banka N” türündeki bankalar arası ödemeler için oldukça esnek ve evrensel bir mekanizmayı temsil eder. Ancak bu ödeme araçlarının çok yönlülüğü onları dolandırıcılık açısından özellikle cazip bir hedef haline getiriyor. Suiistimalden kaynaklanan kayıpların yıllık maliyeti, toplam ciroyla karşılaştırıldığında nispeten küçük olsa da, önemli miktardadır.
Güvenlik sistemi ve gelişimi, plastik kartlarla yasadışı işlem yapma yöntemlerinden ayrı düşünülemez; 5 ana suç türü.
1. Sahte kartlarla yapılan işlemler.
Bu tür dolandırıcılık, ödeme sistemi kayıplarının en büyük payını oluşturur. Gerçek kartların yüksek teknik ve teknolojik güvenliği nedeniyle, ev yapımı kartlar son zamanlarda nadiren kullanılmaktadır ve basit teşhislerle tespit edilebilmektedir.
Kural olarak, banka ve müşteri ayrıntılarının uygulandığı sahtecilik için çalıntı kart boşlukları kullanılır. Teknik açıdan son derece donanımlı olan suçlular, bir kartın manyetik şeridine bile bilgi yazabiliyor, kopyalayabiliyor, tek kelimeyle yüksek düzeyde sahtecilik gerçekleştirebiliyor.
Bu tür eylemlerin failleri, kural olarak, bazen müşteri hesapları ve işlem prosedürleri hakkındaki bilgilere erişimi olan banka bankalarının çalışanlarıyla gizli anlaşma yapan organize suç gruplarıdır. Uluslararası suç topluluğuna saygı duruşunda bulunarak, sahte kartların Rusya'da bankacılık piyasasının bu sektörünün gelişiminin başlamasıyla neredeyse aynı anda ortaya çıktığını belirtmekte fayda var.
2. Çalıntı/kayıp kartlarla yapılan işlemler.
Çalınan bir kartı kullanarak büyük hasara yol açmak ancak dolandırıcının müşterinin PIN kodunu bilmesi durumunda mümkündür. Daha sonra, çalınan kartı veren bankanın onu elektronik durdurma listesine (geçersiz kartlar listesi) koyma zamanı gelmeden önce, bir elektronik veznedar ağı aracılığıyla müşterinin hesabından büyük miktarda para çekmek mümkün hale gelir - ATM'ler.
3. Hizmetler ve mallar için çoklu ödemeler “Taban sınırını” aşmayan ve yetki gerektirmeyen tutarlar için. Ödeme yapmak için suçlunun yalnızca müşterinin imzasını taklit etmesi yeterlidir. Ancak bu şemayla istismarın en çekici nesnesi erişilemez hale geliyor: peşin. Bu kategori, amir bankanın müşterilerine posta yoluyla gönderdiği kartların çalınmasını içeren suçları içermektedir.
4. Posta/Telefon Siparişi Dolandırıcılığı.
Bu tür suç, müşterinin posta veya telefon siparişi yoluyla mal ve hizmet teslimine yönelik hizmetin geliştirilmesiyle bağlantılı olarak ortaya çıkmıştır. Mağdurunun kredi kartı numarasını bilen suçlu, bunu sipariş formunda belirtebilir ve emri geçici ikamet yerinde aldıktan sonra kaçabilir.
5. Hesaptan birden fazla para çekme.
Bu suçlar genellikle çalışanlar tarafından işlenmektedir. tüzel kişilik, bir müşteriden mal ve hizmetler için kredi kartıyla ödeme kabul etmek ve bir ödeme gerçeği için birkaç ödeme çeki düzenleyerek gerçekleştirilir. Gönderilen çeklere göre şirketin hesabına satılan malların veya sağlanan hizmetlerin maliyetinden daha fazla para yatırılıyor. Ancak suçlu bir takım işlemleri tamamladıktan sonra işletmeyi kapatmak veya terk etmek zorunda kalıyor.
Bu tür hareketlerin yaşanmaması için kart kullanıcılarının işlem yaparken imzaladıkları belgelere (küçük tutarlarda dahi olsa) daha dikkatli olmaları tavsiye ediliyor.
Güvenlik departmanlarının kullandığı yöntemler iki ana kategoriye ayrılabilir. İlk ve belki de en önemli seviye, plastik kartın teknik güvenliği ile ilgilidir. Artık teknolojik açıdan kartın banknotlardan daha iyi korunduğunu ve gelişmiş teknolojiler kullanılmadan kartı kendiniz yapmanın neredeyse imkansız olduğunu güvenle söyleyebiliriz.
Herhangi bir ödeme sisteminin kartları kesin olarak belirlenmiş standartları karşılar. Haritanın standart bir formu vardır. Sistemdeki banka kimlik numarası (BIN kodu) ve müşterinin banka hesap numarası, adı ve soyadı, kartın son kullanma tarihi kartın ön yüzünde kabartmalı olarak kesin olarak belirlenmiş konumlara yerleştirilmiştir. Holografik şekilde yapılmış bir ödeme sistemi sembolü de bulunmaktadır. Kart numarasının son dört hanesi doğrudan holografik sembolün üzerine kabartılmıştır (kabartma olarak basılmıştır), bu da hologramın kopyalanmasını veya sembole zarar vermeden kodun yeniden basılmasını imkansız hale getirir.
Kartın arkasında manyetik şerit ve sahibinin imzasının bulunduğu bir alan bulunmaktadır. Ödeme sisteminin kendisine ait detaylar, güvenlik işaretleri, bilgilerin kopyalanmasını engelleyen semboller, manyetik şerit üzerine kesin olarak tanımlanmış konumlarda ve kriptografik algoritmalar kullanılarak kaydedilir ve kartın ön yüzünde basılan bilgiler çoğaltılır. Sahibinin imzası olan numune alanı özel bir kaplamaya sahiptir. İmzayı silmeye veya iletmeye yönelik en ufak bir girişimde, kaplama bozulur ve ödeme sisteminin güvenlik sembollerinin bulunduğu farklı renkte bir alt tabaka ortaya çıkar.
Kartın kalan yüzey alanı tamamen amir bankanın tasarrufunda olup, bankanın sembolleri, reklamları ve müşteriler için gerekli bilgilerle keyfi bir şekilde dekore edilmiştir. Kartın kendisi yalnızca ultraviyole ışık altında görülebilen karakterlerle korunmaktadır.
Teknik koruma önlemleri aynı zamanda banka iletişimlerinin, bankacılık ağlarının yasadışı izinsiz girişlerden, arızalardan ve bilgilerin sızmasına ve hatta yok olmasına neden olan diğer dış etkenlerden korunmasını da içerir. Koruma, yazılım ve donanım ile gerçekleştirilmekte olup, yetkili ödeme sistemi kuruluşları tarafından sertifikalandırılmıştır.
İkinci koruma önlemleri kategorisi, plastik kartlarla çalışmaya yönelik banka departmanlarından bilgi sızıntısını önlemeye yönelik önlemleri içerir. Ana prensip, çalışanların resmi sorumluluklarının net bir şekilde tanımlanması ve buna uygun olarak gizli bilgilere erişimin, iş için gerekli olan asgari düzeyi aşmayacak şekilde sınırlandırılmasıdır.
Bu önlemler suçluların çalışanlarla gizli anlaşma yapma riskini ve olasılığını azaltır. Çalışanların becerilerini geliştirmeye yönelik tematik seminerler düzenlenmektedir. Ödeme sistemleri, kartlarla ilgili suçlara ilişkin resmi materyal ve istatistiklerin yayınlandığı, suçluların işaretlerinin ve yasa dışı dolaşıma giren sahte kartların işaretlerinin rapor edildiği güvenlik bültenlerini düzenli olarak dağıtır. Bültenler aracılığıyla personele eğitim verilmekte ve suçun azaltılmasına yönelik önleyici ve özel faaliyetler düzenlenmektedir.
Bölüm çalışanlarının personel seçimine özellikle dikkat edilmektedir. Tüm güvenlik konuları özel bir güvenlik görevlisinin sorumluluğundadır. Önleyici tedbirler arasında en önemli yer, “plastik parayı” kullanmanın kültürel düzeyini artırmayı amaçlayan müşterilerle yapılan çalışmalardır. Kartın dikkatli ve dikkatli kullanılması suç mağduru olma olasılığını önemli ölçüde azaltır.
Elektronik mutabakat ve ödeme sistemindeki ihlallerin analizi
Uzmanlar arasında, Norveç'in II. Dünya Savaşı'ndaki hızlı düşüşünün, büyük ölçüde, İngiliz Kraliyet Donanması kodlarının, daha önce Kraliyet Donanması'nın 40 numaralı odası uzmanlarının Almanya'ya karşı kullandığı yöntemlerin tamamen aynısını kullanan Alman kriptograflar tarafından kırılmasından kaynaklandığı iyi biliniyor. savaş.
İkinci Dünya Savaşı'ndan bu yana, hükümetin kriptografi kullanımına ilişkin gizlilik perdesi kaldırıldı. Bu şaşırtıcı değil ve bunun nedeni yalnızca Soğuk Savaş değil, aynı zamanda (herhangi bir organizasyondaki) bürokratların hatalarını kabul etme konusundaki isteksizliğidir.
ATM dolandırıcılığının fiilen gerçekleştirildiği yollardan bazılarına bakalım. Amaç, tasarımcıların ürünlerinin teorik olarak zarar görmezliğine yönelik fikirlerini analiz etmek ve olanlardan dersler çıkarmaktır.
Çok fazla teknik hile gerektirmeden gerçekleştirilebilecek çeşitli dolandırıcılık türlerini ve bunların gerçekleşmesine izin veren bankacılık prosedürlerini gösteren birkaç basit örnekle başlayalım.
Bir müşterinin kartındaki manyetik şeridin yalnızca hesap numarasını içermesi gerektiği ve hesap numarasının şifrelenip sonuçtan dört hane alınarak kişisel kimlik numarasının (PIN) elde edildiği bilinmektedir. Bu nedenle, ATM'nin şifreleme yapabilmesi veya PIN doğrulamasını (örn. etkileşimli sorgulama) gerçekleştirebilmesi gerekir.
İngiltere'deki Winchester Kraliyet Mahkemesi yakın zamanda basit ama etkili bir plan kullanan iki suçluyu mahkum etti. ATM'lerde kuyruklarda durdular, müşterilerin PIN kodlarına baktılar, ATM tarafından reddedilen kartları aldılar ve müşterilerin hesaplarını soymak için kullanılan hesap numaralarını boş kartlara kopyaladılar.
Bu hile birkaç yıl önce bir New York bankasında kullanılmış (ve rapor edilmiş). Fail, işten atılmış bir ATM teknisyeniydi ve bölgede güvenlik varlığı bulunan banka onu suçüstü yakalamadan önce 80.000 dolar çalmayı başardı.
Bu saldırılar başarılı oldu çünkü bankalar müşterinin hesap numarasının tamamını banka kartına yazdırdı ve ayrıca manyetik şeritte herhangi bir kriptografik fazlalık da yoktu. New York Bank'ın dersinin alınacağını düşünebilirsiniz ama hayır.
Diğer bir teknik saldırı türü, birçok ATM ağının mesajları şifrelememesine ve bir işlemi yetkilendirirken kimlik doğrulama prosedürlerini gerçekleştirmemesine dayanır. Bu, bir saldırganın bankadan ATM'ye verilen "Ödeme yetkisi veriyorum" yanıtını kaydedebileceği ve ardından kaydı ATM boşalana kadar tekrar oynatabileceği anlamına gelir. “İç çıkarma” olarak bilinen bu teknik yalnızca dışarıdaki saldırganlar tarafından kullanılmıyor. Banka operatörlerinin suç ortaklarıyla birlikte ATM'leri "bağırsaklarını boşaltmak" için bir ağ kontrol cihazı kullandığı bilinen bir durum var.
Test işlemleri başka bir sorun kaynağıdır
Bir ATM türü için, on notayı dağıtmayı test etmek için on dört basamaklı bir tuş dizisi kullanıldı. Belirli bir banka, uzak ATM'lerin kullanımına ilişkin kılavuzunda bu diziyi basmıştır. Üç yıl sonra para aniden kaybolmaya başladı. Test işlemlerini engellemek için tüm bankaların bu tür ATM özellikli yazılım yamalarını kullanmasına kadar devam ettiler.
En hızlı büyüyen dolandırıcılık, müşteri hesaplarını ve PIN kodlarını toplamak için sahte terminallerin kullanılmasını içeren dolandırıcılıklardır. Bu türün saldırıları ilk kez 1988'de Amerika Birleşik Devletleri'nde tanımlandı. Dolandırıcılar herhangi bir kartı kabul eden ve bir paket sigara dağıtan bir makine yaptılar. Bu buluş bir mağazaya yerleştirildi ve PIN kodları ve manyetik kartlardan gelen veriler bir modem aracılığıyla iletildi. Hile tüm dünyaya yayıldı.
Teknisyenler aynı zamanda şikayetlerinin muhtemelen göz ardı edileceğini bilerek müşterilerden para da çalarlar. İskoçya'daki bir bankada, bir yardım masası mühendisi bir bilgisayarı ATM'ye bağladı ve müşterilerin hesap numaralarını ve PIN'lerini kaydetti. Daha sonra kartların sahtesini yaptı ve hesaplardan para çaldı. Müşteriler bir kez daha boş duvarlara şikayette bulundu. Banka, bu uygulama nedeniyle İskoçya'nın en üst düzey hukuk yetkililerinden biri tarafından alenen eleştirildi.
Dört haneli PIN kullanmanın amacı, birisi başka bir kişinin banka kartını bulduğunda veya çaldığında, kodu rastgele tahmin etme şansının on binde bir olmasıdır. PIN'i girmek için yalnızca üç denemeye izin verilirse, çalınan karttan para çekilme olasılığı üç binde birden azdır. Ancak bazı bankalar dört rakamın sağladığı çeşitliliği azaltmayı başardı.
Bazı bankalar, hesap numarasını kriptografik olarak dönüştürerek PIN alma modelini izlemez, bunun yerine rastgele seçilen bir PIN kullanır (veya müşterilerin seçmesine izin verir) ve ardından onu hatırlamak için kriptoya dönüştürür. Bu yaklaşım, müşterinin tahmin edilmesi kolay bir PIN seçmesine olanak tanımanın yanı sıra bazı teknik tuzakları da beraberinde getirir.
Bazı bankalar şifrelenmiş bir PIN değerini dosyada tutar. Bu, programcının kendi PIN'inin şifrelenmiş değerini elde edebileceği ve aynı PIN'e sahip diğer tüm hesapları veritabanında arayabileceği anlamına gelir.
Büyük bir İngiliz bankası, kartın manyetik şeridine şifreli bir PIN kodu bile yazdı. Suç camiasının, kendi kartlarının manyetik şeridindeki hesap numarasını değiştirebileceklerini ve daha sonra bunu kendi PIN'leriyle bir hesaptan hırsızlık yapmak için kullanabileceklerini fark etmeleri on beş yıl sürdü.
Bu nedenle VISA sistemi, bankaların şifrelemeden önce müşterinin hesap numarasını PIN'iyle birleştirmesini önermektedir. Ancak her banka bunu yapmıyor.
Şimdiye kadarki daha karmaşık saldırılar, basit uygulama ve işletim prosedürü hatalarıyla ilişkilendirildi. Profesyonel güvenlik araştırmacıları bu tür hataları ilgi çekici bulmama eğilimindeydi ve bu nedenle daha incelikli teknik kusurlardan yararlanan saldırılara odaklandılar. Bankacılığın ayrıca bir takım güvenlik zayıflıkları da var.
Bankacılık sistemlerine yönelik ileri teknoloji saldırıları nadir olmasına rağmen, AB Bilgi Güvenliği Teknolojisi Değerlendirme Kriterleri (ITSEC) gibi hükümet girişimleri bilinen teknik standartlara göre sertifikalandırılmış bir dizi ürün geliştirmeyi amaçladığından kamunun bakış açısından ilgi çekicidir. hatalar. Bu programın temelindeki öneriler, ilgili ürünlerin uygulama ve süreç prosedürlerinin esasen hatasız olacağı ve saldırının, devlet güvenlik teşkilatı personelininkiyle karşılaştırılabilir teknik eğitim gerektirmesidir. Görünüşe göre bu yaklaşım sivil sistemlere göre askeri sistemlere daha uygundur.
Daha karmaşık saldırıların nasıl gerçekleştirildiğini anlamak için bankacılık güvenliğine daha detaylı bakmak gerekiyor.
Güvenlik modülleriyle ilgili sorunlar
Tüm güvenlik ürünleri eşit kalitede değildir ve az sayıda banka, iyi ürünleri vasat olanlardan ayırabilecek eğitimli uzmanlara sahiptir.
Gerçek uygulamada, şifreleme ürünlerinde, özellikle eski IBM 3848 güvenlik modülünde veya şu anda bankacılık kuruluşları için önerilen modüllerde bazı sorunlar vardır.
Bankanın donanımsal olarak uygulanan güvenlik modülleri yoksa, yazılımda PIN kodu şifreleme işlevi uygulanacaktır ve buna karşılık gelen istenmeyen sonuçlar ortaya çıkacaktır. Güvenlik modülü yazılımı, yazılım ürünlerinde üreticinin mühendisleri tarafından hata ayıklamak için kesme noktalarına sahip olabilir. Bu gerçek, bankalardan birinin onu ağa dahil etmeye karar vermesi ve üreticinin sistem mühendisinin gerekli ağ geçidinin çalışmasını sağlayamaması üzerine dikkat çekti. İşi tamamlamak için bu hilelerden birini kullanarak sistemden PIN'leri çıkardı. Bu tür kesme noktalarının varlığı, güvenlik modüllerini yönetmek için güvenilir prosedürler oluşturmayı imkansız hale getirir.
Bazı güvenlik modülü üreticileri bu tür saldırıları kendileri kolaylaştırıyor. Örneğin, günün saatine göre çalışan anahtarlar oluşturmak için bir yöntem kullanılır ve sonuç olarak gerçekte beklenen 56 anahtar biti yerine yalnızca 20 anahtar biti kullanılır. Böylece olasılık teorisine göre üretilen her 1000 anahtar için, ikisi eşleşecek.
Bu, bir saldırganın banka iletişimlerini manipüle ederek bir terminalden yapılan işlemlerin yerini başka bir terminalden aldığı bazı incelikli suiistimalleri mümkün kılar.
Bir bankanın programcıları, müşteri anahtarlarını şifreleme programlarına girmeyle ilgili sorunlarla bile uğraşmadılar. Basitçe, sistem başlatıldığında her zaman sıfırlanan bir bellek alanındaki anahtar değerleri gösteren işaretçiler yerleştirdiler. Sonuç bu karar gerçek olduğu ortaya çıktı ve test sistemleri aynı anahtar depolama alanlarını kullandı. Bankanın teknisyenleri, test ekipmanlarından müşteri PIN kodlarını alabileceklerini fark etti. Bunlardan birçoğu çalınan banka kartlarının PIN kodlarını seçmek için yerel suçlularla temasa geçti. Bankanın güvenlik müdürü neler olduğunu açıkladığında bir araba kazasında öldü (ve yerel polis ilgili tüm materyali "kaybetti"). Banka müşterilerine yeni kart gönderme zahmetine girmedi.
Güvenlik modüllerinin temel amaçlarından biri, bilgisayarlara erişen programcıların ve personelin önemli banka bilgilerini ele geçirmesini önlemektir. Ancak güvenlik modüllerinin elektronik bileşenlerinin sağladığı gizlilik çoğu zaman kriptografik sızma girişimlerine karşı koyamamaktadır.
Güvenlik modüllerinin dahili kullanım için kendi ana anahtarları vardır ve bu anahtarların belirli bir konumda muhafaza edilmesi gerekir. Anahtarın yedek kopyası genellikle PROM gibi kolayca okunabilen bir biçimde tutulur ve anahtar zaman zaman okunabilir; örneğin bir dizi bölge ve terminal anahtarının kontrolü bir güvenlik modülünden diğerine aktarıldığında. bir diğer. Bu gibi durumlarda banka bu operasyonun gerçekleştirilmesi sürecinde tamamen uzmanların insafına kalmıştır.
Tasarım teknolojileriyle ilgili sorunlar
ATM tasarım teknolojisinden kısaca bahsedelim. Eski modellerde, şifreleme programının kodu modülün kendisinde değil, kontrol cihazında yanlış yerde bulunuyordu. Kontrol cihazının belirli bir alandaki modülün yakınına yerleştirilmesi gerekiyordu. Ancak çok sayıda ATM şu anda banka binasının yakınında bulunmuyor. Birleşik Krallık'taki bir üniversitenin kampüsünde bulunan bir ATM, şifrelenmemiş hesap numaralarını ve PIN kodlarını telefon hattışehirden birkaç mil uzakta bulunan şubenin kontrol ünitesine. Telefon hattı dinleme cihazını kullanma zahmetine giren herkes binlerce kartın sahtesini yapabilirdi.
En iyi ürünlerden birinin satın alındığı durumlarda dahi, yanlış uygulama ya da kötü düşünülmüş teknolojik prosedürlerin banka açısından sıkıntıya yol açabileceği çok sayıda seçenek bulunmaktadır. Çoğu güvenlik modülü, her işlem için bir dizi dönüş kodu döndürür. Bunlardan bazıları, örneğin "anahtar eşlik hatası", programcının gerçekte kullanılmakta olan bir modül üzerinde deneme yaptığına dair bir uyarı verir. Ancak çok az banka bu uyarıları yakalayıp buna göre hareket etmek için gereken aygıt sürücüsünü yazmaya zahmet etti.
Bankaların ATM sisteminin tamamı veya bir kısmı için “ilgili hizmetleri sağlayan” firmalarla taşeronluk yaptığı ve PIN kodlarını bu firmalara aktardığı durumlar da bulunmaktadır.
PIN kodlarının iki veya daha fazla banka arasında paylaşıldığı durumlar da olmuştur. Tüm banka personeli güvenilir kabul edilse bile, dış firmalar bankaya özel güvenlik politikaları uygulamayabilir. Bu firmalardaki personel her zaman gerektiği gibi incelenmiyor, muhtemelen düşük maaş alıyor, meraklı ve umursamaz oluyor ve bu da dolandırıcılığın planlanıp uygulanmasına yol açabiliyor.
Açıklanan yönetim hatalarının çoğu, projenin psikolojik kısmının gelişmemiş olmasından kaynaklanmaktadır. Banka şubeleri ve bilgisayar merkezleri günlük işlerini tamamlarken standart prosedürlere uymalıdır, ancak yalnızca amacı açık olan kontrol prosedürlerine sıkı bir şekilde uyulması muhtemeldir. Örneğin, şube kasasının anahtarlarının yönetici ile muhasebeci arasında paylaşılması gayet iyi anlaşılmıştır: bu, her ikisini de ailelerinin rehin alınmasından korur. Şifreleme anahtarları genellikle kullanıcı dostu bir biçimde paketlenmez ve bu nedenle doğru şekilde kullanılmaları pek olası değildir. Kısmi bir cevap, aslında anahtarlara benzeyen cihazlar olabilir (nükleer silah sigortalarının kriptografik anahtarları örnek alınarak modellenmiştir).
Operasyonel prosedürlerin iyileştirilmesi konusunda çok şey yazılabilir, ancak amaç herhangi bir kriptografik anahtarın onu kötüye kullanabilecek teknik yeteneğe sahip birinin eline geçmesini önlemekse, o zaman kılavuzlarda ve eğitim kurslarında açık bir hedef olmalıdır. "Belirsizlik yoluyla güvenlik" ilkesi çoğu zaman yarardan çok zarar getirir.
Anahtar dağıtımı
Anahtar dağıtımı banka şubeleri için özel bir sorun teşkil etmektedir. Bildiğiniz gibi teori, iki bankacının her birinin kendi anahtar bileşenini girmesini gerektirir, böylece bunların kombinasyonu terminalin ana anahtarını verir. Bakım sonrası ilk işlem sırasında terminal ana anahtarında şifrelenen PIN kodu ATM'ye gönderilir.
ATM teknisyeni her iki anahtar bileşeni de alırsa PIN'in ve sahte kartların şifresini çözebilir. Uygulamada, anahtarları elinde bulunduran şube müdürleri, ATM'nin servis sırasında yanında durmak istemedikleri için anahtarları mühendise teslim etmekten neredeyse mutlu oluyorlar. Üstelik terminal anahtarı girmek, klavye kullanmak anlamına geliyor ve bu da yaşlı yöneticilerin onurlarına aykırı olduğunu düşünüyor.
Anahtarları yanlış yönetmek yaygın bir uygulamadır. Bakım ekibinden bir mühendise her iki mikro devrenin de ana anahtarlarla birlikte verildiği bilinen bir durum vardır. Teorik olarak ikili kontrol prosedürleri mevcut olmasına rağmen, son anahtarların kullanılması ve kimsenin ne yapacağını bilmemesi nedeniyle güvenlik görevlileri çipleri teslim etti. Bir mühendis kartların sahtesini yapmaktan daha fazlasını yapabilir. Anahtarları alıp tüm banka ATM işlemlerini durdurabilirdi.
Anahtarların korumalı dosyalardan daha çok açık dosyalarda saklanması ilginç değildir. Bu sadece ATM anahtarları için değil aynı zamanda milyarlarca dolarlık işlemleri gerçekleştiren SWIFT gibi bankadan bankaya ödeme sistemlerine ait anahtarlar için de geçerlidir. Terminal anahtarları ve bölge anahtarları gibi başlatma anahtarlarını yalnızca bir kez kullanıp daha sonra yok etmek akıllıca olacaktır.
Kriptanalitik tehditler
Kriptanalizciler muhtemelen bankacılık sistemleri için en az tehdidi oluşturuyorlar, ancak onları tamamen göz ardı etmek mümkün değil. Bazı bankalar (büyük ve tanınmış olanlar dahil) hala DES'ten önceki yıllarda oluşturulan kendi geliştirdiği şifreleme algoritmalarını kullanıyor. Bir veri ağında, veri blokları bir sabit eklenerek basitçe "karıştırıldı". Ağın 40'tan fazla banka tarafından kullanılmasına rağmen bu yöntem beş yıl boyunca eleştirilmedi. Üstelik bu bankaların tüm sigorta, denetim ve güvenlik uzmanları sistem özelliklerini okuyor.
“Saygın” bir algoritma kullanılsa bile uygun olmayan parametrelerle uygulanabilmektedir. Örneğin bazı bankalar, gerekli güvenlik düzeyinin sağlanması için anahtar uzunluğunun en az 500 bit olması gerekmesine rağmen, anahtar uzunlukları 100 ila 400 bit arasında değişen RSA algoritmasını uygulamıştır.
Ayrıca, belirli bir bankanın kullandığı anahtarı bulana kadar tüm olası şifreleme anahtarlarını deneyerek kaba kuvvet kullanarak da bir anahtar bulabilirsiniz.
Uluslararası ağlarda bölge anahtarlarını kullanarak çalışma anahtarlarını şifrelemek için kullanılan protokoller, bölge anahtarına bu şekilde saldırı yapılmasını kolaylaştırır. Bölge anahtarı bir kez açıldığında bankanın ağ üzerinden gönderdiği veya aldığı tüm PlN kodları çözülebilir. Kanada Bankası uzmanları tarafından yakın zamanda yapılan bir araştırma, DES'e yönelik bu tür bir saldırının bölge anahtarı başına yaklaşık 30.000 £'a mal olacağını ortaya çıkardı. Sonuç olarak organize suçun kaynakları böyle bir suç için oldukça yeterlidir ve böyle bir suç yeterince varlıklı bir kişi tarafından işlenebilir.
Muhtemelen, anahtarları bulmak için gerekli olan özel bilgisayarlar, şu anda kaos içinde olan ülkeler de dahil olmak üzere bazı ülkelerin istihbarat servislerinde oluşturulmuştur. Sonuç olarak, bu ekipmanın koruyucularının bunu kişisel kazanç için kullanma riski vardır.
Küçük ve büyük tüm sistemler yazılım hataları içerir ve insan hatasına açıktır. Bankacılık sistemleri de bir istisna değildir ve endüstriyel üretimde çalışan herkes bunu fark eder. Şube yerleşim sistemleri, onlarca yılda gelişen birçok etkileşimli modülle birlikte daha büyük ve daha karmaşık hale gelme eğilimindedir. Bazı işlemler kaçınılmaz olarak yanlış yürütülecektir: borçlar kopyalanabilir veya hesap hatalı şekilde değiştirilebilir.
Bu durum, banka hesaplarının mutabakatını sağlamak için özel bir kadro bulunduran büyük şirketlerin mali kontrolörleri için yeni bir durum değil. Hatalı bir ödeme ortaya çıktığında, bu çalışanlar incelenmek üzere ilgili belgeleri talep eder ve belgelerin eksik olması durumunda bankadan hatalı ödemenin iadesini alır.
Ancak ATM müşterilerinin ihtilaflı ödemeleri geri ödeme seçeneği yoktur. ABD dışındaki çoğu bankacı sistemlerinde herhangi bir hata olmadığını söylüyor.
Böyle bir politika bazı hukuki ve idari risklere yol açmaktadır. Öncelikle dolandırıcılık gizlendiği için suiistimal ihtimali yaratıyor. İkinci olarak, bu durum delillerin müvekkil için fazla karmaşık olmasına yol açmaktadır ve bu da ABD mahkemelerindeki prosedürün basitleştirilmesinin nedeni olmuştur. Üçüncüsü, banka çalışanlarının yakalanma ihtimalinin düşük olduğu bilgisine dayanarak dolaylı olarak hırsızlık yapmaya teşvik edilmesiyle ilişkili ahlaki tehlike vardır. Dördüncüsü, bu ideolojik bir kusurdur, çünkü müşteri taleplerinin merkezi olarak kaydedilmemesi nedeniyle dolandırıcılık vakaları üzerinde düzgün bir şekilde organize edilmiş kontrol imkanı yoktur.
ATM kayıplarının iş faaliyetleri üzerindeki etkisini doğru bir şekilde tahmin etmek zordur. Birleşik Krallık'ta, Hazine Ekonomi Bakanı (bankacılığın düzenlenmesinden sorumlu bakan) Haziran 1992'de bu tür hataların her gün yapılan üç milyon işlemden en az ikisini etkilediğini belirtti. Ancak son dönemdeki dava baskısı nedeniyle bu rakam önce 250.000 hatalı işlemde 1, ardından 100.000'de 1 ve son olarak da 34.000 hatalı işlemde 1 olarak revize edildi.
Şikayette bulunan müşteriler genellikle banka çalışanları tarafından geri çevrildiğinden ve çoğu kişi hesaplarından tek seferlik para çekme işlemini fark edemediğinden, en iyi tahmin yaklaşık 10.000'de 1'inin hatalı işlem meydana geldiğidir. 50 yıl boyunca haftada bir ATM kullanan dört müşteriden birinin, hayatları boyunca ATM kullanımında sorun yaşamasını bekleyebiliriz.
Kriptografik sistem tasarımcıları, sistem arızalarının teoride nasıl meydana gelebileceğinden ziyade pratikte nasıl meydana geldiğine dair bilgi eksikliği nedeniyle dezavantajlı konumdadır. Bu dezavantaj geri bildirim Yanlış bir tehdit modelinin kullanılmasına yol açmaktadır. Tasarımcılar, genellikle hatalara neden olan şeylere odaklanmak yerine, çabalarını sistemde neyin başarısızlığa yol açabileceğine odaklarlar. Pek çok ürün o kadar karmaşık ve karmaşıktır ki nadiren doğru şekilde kullanılırlar. Sonuç olarak çoğu hata sistemin uygulanması ve bakımı ile ilişkilidir. Spesifik bir sonuç, yalnızca finansal kayıplara yol açmakla kalmayan, aynı zamanda adaletin yerine getirilmesine ve bankacılık sistemine olan güvenin azalmasına da yol açan bir dizi ATM dolandırıcılığı oldu.
Kriptografik yöntemlerin uygulanmasına bir örnek, EXCELLENCE dijital imzasını kullanan kriptografik bilgi koruma sistemidir.
EXCELLENCE yazılımı şifreleme sistemi, şifreleme şifrelemesi, dijital imza ve kimlik doğrulama işlevlerini kullanarak IBM uyumlu kişisel bilgisayarlar arasında işlenen, saklanan ve iletilen bilgileri korumak için tasarlanmıştır.
Sistem, devlet standartlarına uygun şifreleme algoritmaları uygular: şifreleme - GOST 28147-89. Dijital imza RSA algoritmasına dayanmaktadır.
Sıkı kimlik doğrulama ve anahtar sertifikasyonuna sahip anahtar sistemi, uluslararası uygulamada yaygın olarak kullanılan X.509 protokolü ve açık RSA anahtar dağıtımı ilkesi üzerine kurulmuştur.
Sistem, bilgileri dosya düzeyinde işlemek için şifreleme işlevleri içerir:
ve anahtarlarla çalışmaya yönelik şifreleme işlevleri:
Her ağ abonesinin kendi özel ve genel anahtarı vardır. Her kullanıcının gizli anahtarı, kendi kişisel anahtar disketine veya bireysel elektronik kartına kaydedilir. Abonenin anahtarının gizliliği, kendisi için şifrelenen bilgilerin korunmasını ve dijital imzasının taklit edilmesinin imkansızlığını sağlar.
Sistem iki tür temel bilgi ortamını destekler:
Her ağ abonesi, yetkisiz değişikliklere karşı korunan, adlarıyla birlikte tüm sistem abonelerinin ortak anahtarlarından oluşan bir dosya dizinine sahiptir. Her abone kendi özel anahtarını gizli tutmakla yükümlüdür.
İşlevsel olarak EXCELLENCE sistemi excell_s.exe yazılım modülü biçiminde uygulanır ve MS DOS 3.30 ve üzeri işletim sisteminde çalışır. İşlevlerin yürütülmesine ilişkin parametreler formda iletilir Komut satırı DOS. Ayrıca grafiksel bir arayüz de sağlanmaktadır. Program, Intel386/486/Pentium işlemcideki 32 bit işlemleri otomatik olarak tanır ve destekler.
Başkalarının içine yerleştirmek için yazılım sistemleri Aşağıdaki modlarda RAM'deki verilerle çalışmak için temel şifreleme işlevlerini içeren EXCELLENCE sisteminin bir çeşidi uygulanmıştır: bellek - bellek; bellek - dosya; dosya - bellek.
21. yüzyılın başlangıcına ilişkin tahmin
Bilgi güvenliği sorununu çözmek için etkin önlemler alacak banka yönetiminin payının yüzde 40-80'lere çıkması gerekiyor. Asıl sorun hizmet (eski dahil) personeli (vakaların %40 ila %95'i) olacak ve ana tehdit türleri yetkisiz erişim (UNA) ve virüsler olacak (bankaların %100'e kadarı virüs saldırılarına maruz kalacak) ).
Bilgi güvenliğini sağlamaya yönelik en önemli önlem, bilgi güvenliği hizmetlerinin en yüksek profesyonelliği olacaktır. Bunun için Bankalar kârlarının yüzde 30'unu bilgi güvenliğine harcamak zorunda kalacak.
Yukarıda sıralanan tüm önlemlere rağmen bilgi güvenliği sorununun kesin çözümü mümkün değildir. Aynı zamanda, bir bankanın bilgi güvenliği sisteminin etkinliği tamamen kendisine yatırılan fon miktarına ve bilgi güvenliği hizmetinin profesyonelliğine göre belirlenir ve bir bankanın bilgi güvenliği sisteminin ihlal edilme olasılığı tamamen sistemin maliyetine göre belirlenir. güvenlik sisteminin ve dolandırıcıların niteliklerinin üstesinden gelmek. (Yabancı uygulamada, üstesinden gelmenin maliyeti korunan bilginin değerinin% 25'ini aşmıyorsa, bir güvenlik sistemini "hacklemenin" mantıklı olduğuna inanılmaktadır).
Bölüm 4'te elektronik bankacılık sistemlerinin korunmasına yönelik yaklaşımın özellikleri incelenmiştir. Bu sistemlerin belirli bir özelliği, elektronik veri alışverişinin özel bir biçimidir - elektronik ödemeler, onsuz hiçbir modern bankanın var olamayacağı.
Elektronik veri alışverişi (EDE), ticari, ticari ve finansal elektronik belgelerin bilgisayardan bilgisayara alışverişidir. Örneğin siparişler, ödeme talimatları, sözleşme teklifleri, faturalar, makbuzlar vb.
EOD, bir ticari işlemin hazırlanması, bir sözleşmenin imzalanması ve bir teslimatın uygulanmasının tüm aşamalarında ticari ortaklar (müşteriler, tedarikçiler, satıcılar vb.) arasında hızlı etkileşimi sağlar. Sözleşme ödemesi ve fon transferi aşamasında EDI, mali belgelerin elektronik alışverişine yol açabilir. Bu, ticaret ve ödeme işlemleri için etkili bir ortam yaratır:
* Ticari ortakları mal ve hizmet teklifleri hakkında bilgilendirmek, gerekli ürün/hizmeti seçmek, ticari koşulları (maliyet ve teslimat süresi, ticari indirimler, garanti ve hizmet yükümlülükleri) gerçek zamanlı olarak netleştirmek mümkündür;
* Gerçek zamanlı olarak mal/hizmet siparişi vermek veya sözleşme teklifi talep etmek;
* Malların teslimatının operasyonel kontrolü, beraberindeki belgelerin (faturalar, faturalar, bileşen listeleri vb.) e-posta ile alınması;
* Mal/hizmet teslimatının tamamlandığının teyidi, faturaların düzenlenmesi ve ödenmesi;
*Banka kredi ve ödeme işlemlerinin yürütülmesi. OED'nin avantajları şunları içerir:
* Kağıtsız teknolojiye geçerek operasyon maliyetlerinin azaltılması. Uzmanlar, kağıt belgelerin işlenmesi ve muhafaza edilmesinin maliyetinin, ticari işlemlerin ve malların tesliminin toplam maliyetinin% 3-8'i olduğunu tahmin ediyor. Örneğin ABD otomotiv endüstrisinde EED kullanımından elde edilen faydanın üretilen araba başına 200 dolardan fazla olduğu tahmin edilmektedir;
* Yerleşme ve para devir hızının arttırılması;
*Hesaplama kolaylığının arttırılması.
EED'yi geliştirmek için iki temel strateji vardır:
1. EOD, ortaklarla daha yakın etkileşime olanak tanıyan bir rekabet avantajı olarak kullanılır. Bu strateji büyük kuruluşlar tarafından benimsenmiştir ve Genişletilmiş Kurumsal Yaklaşım olarak adlandırılmaktadır.
2. EDI, bazı spesifik endüstriyel projelerde veya ticari ve diğer kuruluşların birliklerinin girişimlerinde, etkileşimlerinin verimliliğini artırmak için kullanılır.
Amerika Birleşik Devletleri ve Batı Avrupa'daki bankalar, EDI'nin yayılmasındaki kilit rollerinin ve iş ortakları ve kişisel ortaklarla daha yakın etkileşimden elde edilen önemli faydaların zaten farkındadır. OED, bankaların müşterilere, özellikle de yüksek maliyetleri nedeniyle daha önce bunları kullanmaya gücü yetmeyen küçük müşterilere hizmet sunmasına yardımcı oluyor.
EDI'nin geniş çapta yayılmasının önündeki temel engel, belgelerin iletişim kanalları aracılığıyla paylaşılması sırasında sunumlarının çeşitliliğidir. Bu engelin üstesinden gelmek için çeşitli kuruluşlar, çeşitli endüstrilere yönelik EED sistemlerinde belgelerin gönderilmesine yönelik standartlar geliştirmiştir:
QDTI - Genel Ticaret Değişimi (Avrupa, uluslararası ticaret);
MDSND - Ulusal Otomatik Takas Odaları Birliği (ABD, Ulusal Otomatik Takas Odaları Birliği);
TDCC - Ulaştırma Verileri Koordinasyon Komitesi;
VICS - Gönüllü Endüstrilerarası İletişim Standardı (ABD, Gönüllü Endüstrilerarası İletişim Standardı);
WINS - Depo Bilgi Ağı Standartları bilgi ağı mal depoları).
Ekim 1993'te uluslararası UN/ECE grubu EDIFACT standardının ilk versiyonunu yayınladı. Geliştirilen sözdizimi kuralları ve ticari veri öğeleri seti, iki ISO standardı biçiminde resmileştirildi:
ISO 7372 - Ticari Veri Öğeleri Dizini;
ISO 9735 - EDIFACT - Uygulama düzeyinde sözdizimi kuralları.
EOD'nin özel bir durumu elektronik ödemelerdir - müşteriler ile bankalar arasında, bankalar ile diğer mali ve ticari kuruluşlar arasında mali belgelerin değişimi.
Elektronik ödeme kavramının özü, iletişim hatları üzerinden gönderilen, düzgün bir şekilde yürütülen ve iletilen mesajların, bir veya daha fazla bankacılık işleminin gerçekleştirilmesinin temelini oluşturmasıdır. Prensip olarak, bu işlemleri gerçekleştirmek için hiçbir kağıt belgeye gerek yoktur (verilmiş olsalar da). Başka bir deyişle, iletişim hatları üzerinden gönderilen mesaj, gönderenin kendi hesabında, özellikle alıcı bankanın (ki bu bir takas merkezi olabilir) muhabir hesabında bazı işlemler gerçekleştirdiği ve alıcının bu işlemleri yapması gerektiği bilgisini taşır. mesajda belirtilen işlemler. Böyle bir mesaja dayanarak para gönderebilir veya alabilir, kredi açabilir, bir satın alma veya hizmet için ödeme yapabilir ve diğer işlemleri gerçekleştirebilirsiniz. bankacılık işlemi. Bu tür mesajlara elektronik para, bu tür mesajların gönderilmesine veya alınmasına dayalı bankacılık işlemlerinin yürütülmesine ise elektronik ödemeler adı verilmektedir. Doğal olarak, elektronik ödeme yapma sürecinin tamamı, güvenilir koruma. Aksi takdirde banka ve müşterileri ciddi sıkıntılarla karşı karşıya kalacaktır.
Elektronik ödemeler bankalar arası, ticari ve kişisel ödemeler için kullanılır.
Bankalararası ve ticari anlaşmalar kuruluşlar (tüzel kişiler) arasında yapılır, bu yüzden bazen kurumsal olarak adlandırılırlar. Bireysel müşterileri içeren yerleşimlere kişisel denir.
Bankacılık sistemlerindeki büyük hırsızlıkların çoğu doğrudan veya dolaylı olarak elektronik ödeme sistemleriyle ilgilidir.
Çok sayıda finansal kurumu ve onların farklı ülkelerdeki müşterilerini kapsayan, özellikle küresel olanlar olmak üzere elektronik ödeme sistemleri oluşturmanın önünde birçok engel bulunmaktadır. Başlıcaları şunlardır:
1. Operasyonlar ve hizmetler için tek tip standartların bulunmaması, bu da birleşik bankacılık sistemlerinin oluşturulmasını önemli ölçüde zorlaştırmaktadır. Her büyük banka, işletme ve bakım maliyetlerini artıran kendi EOD ağını oluşturmaya çalışmaktadır. Yinelenen sistemler, bunların kullanımını zorlaştırarak, karşılıklı etkileşime neden olur ve müşteri yeteneklerini sınırlandırır.
2. Finansal spekülasyon olasılığının artmasına yol açan para arzının artan hareketliliği, “dolaşan sermayenin” akışını genişletir. Bu para piyasadaki durumu değiştirebilir ve kısa sürede istikrarsızlaştırabilir.
3. Finansal anlaşmalar yapılırken teknik araçların arızaları ve arızaları ve yazılım hataları, özellikle bankacılık bağlarının yakın iç içe geçmesi nedeniyle (bir tür) daha sonraki ödemelerde ciddi zorluklara ve müşteriler açısından bankaya olan güven kaybına yol açabilir. “hata yayılımı”). Aynı zamanda doğrudan bilgi işlemeyi yöneten sistem operatörleri ve yöneticilerinin rol ve sorumlulukları da önemli ölçüde artmaktadır.
Herhangi bir elektronik ödeme sisteminin müşterisi olmak isteyen veya kendi sistemini kurmak isteyen her kuruluşun bunun bilincinde olması gerekir.
Güvenilir bir şekilde çalışabilmesi için elektronik ödeme sisteminin iyi korunması gerekir.
Ticari anlaşmalar çeşitli ticari kuruluşlar arasında yapılır. Bankalar, ödeme yapan kuruluşun hesabından alıcı kuruluşun hesabına para aktarırken aracı olarak bu uzlaşmalara katılmaktadır.
Satıcı mutabakatı, bir elektronik ödeme programının genel başarısı için son derece önemlidir. Çeşitli şirketlerin finansal işlem hacmi genellikle toplam banka işlem hacminin önemli bir bölümünü oluşturur.
Ticari anlaşmaların türleri farklı kuruluşlara göre büyük farklılıklar gösterir, ancak bunlar gerçekleştirilirken her zaman iki tür bilgi işlenir: ödeme mesajları ve yardımcı bilgiler (istatistikler, raporlar, bildirimler). Finansal kuruluşlar için en büyük ilgi elbette ödeme mesajlarından gelen bilgilerdir - hesap numaraları, tutarlar, bakiye vb. Ticari kuruluşlar için her iki bilgi türü de eşit derecede önemlidir; birincisi finansal durum hakkında ipucu sağlar, ikincisi ise karar alma ve politika geliştirmede yardımcı olur.
En yaygın ticari anlaşma türleri şunlardır:
* Doğrudan mevduat.
Bu tür uzlaşmanın anlamı, kuruluşun bankaya önceden hazırlanmış manyetik ortamlar veya özel mesajlar kullanarak çalışanlarına veya müşterilerine belirli türdeki ödemeleri otomatik olarak yapması talimatını vermesidir. Bu tür ödemelerin yapılmasına ilişkin koşullar önceden kararlaştırılır (finansman kaynağı, tutar vb.). Esas olarak düzenli ödemeler için kullanılırlar (çeşitli sigorta türlerinin ödemeleri, kredi geri ödemeleri, maaşlar vb.). Kurumsal olarak doğrudan para yatırma, örneğin çekle yapılan ödemelerden daha uygundur.
1989'dan bu yana doğrudan mevduat kullanan çalışan sayısı ikiye katlanarak toplamın %25'ine ulaştı. Bugün 7 milyondan fazla Amerikalı maaş çeklerini doğrudan mevduat yoluyla alıyor. Bankalar için doğrudan mevduat aşağıdaki avantajları sunar:
Kağıt belgelerin işlenmesiyle ilgili görev hacminin azaltılması ve bunun sonucunda önemli miktarda tasarruf sağlanması;
Ödeme hacminin %100'ünün yatırılması gerektiğinden mevduat sayısında artış.
Bankaların yanı sıra hem mülk sahipleri hem de işçiler bundan faydalanıyor; kolaylık artar ve maliyetler azalır.
* OED kullanılarak yapılan hesaplamalar.
Buradaki veriler faturalar, faturalar, bileşen sayfaları vb.'dir.
EDI'yi uygulamak için aşağıdaki temel hizmetler gereklidir:
X.400 standardına göre e-posta;
Dosya transferi;
Noktadan noktaya iletişim;
Veritabanlarına çevrimiçi erişim;
Posta kutusu;
Bilgi sunum standartlarının dönüşümü.
EDI kullanan mevcut ticari uzlaşma sistemlerine örnekler şunları içerir:
National Bank ve Royal Bank (Kanada), IBM Bilgi Ağını kullanarak müşterilerine ve iş ortaklarına bağlanmaktadır;
1986 yılında kurulan Bank of Scotland Transcontinental Otomatik Ödeme Hizmeti (TAPS), Bank of Scotland'ı muhabir bankalar ve otomatik takas odaları aracılığıyla 15 ülkedeki müşteriler ve ortaklarla buluşturuyor.
Elektronik bankalararası mutabakatlar esas olarak iki türdendir:
* Aracı bankanın (takas bankası) güçlü bilgisayar sistemini ve bu bankadaki takaslara katılan bankaların muhabir hesaplarını kullanarak takasların takas edilmesi. Sistem, tüzel kişilerin karşılıklı parasal taleplerinin ve yükümlülüklerinin daha sonra bakiyenin aktarılmasıyla mahsup edilmesine dayanmaktadır. Takas aynı zamanda, işlem katılımcılarının karşılıklı taleplerinin çözümlenmesinin bir takas odası veya özel bir elektronik takas sistemi aracılığıyla gerçekleştirildiği borsa ve emtia borsalarında da yaygın olarak kullanılmaktadır.
Bankalararası takas işlemleri, özel takas odaları, ticari bankalar aracılığıyla, bir bankanın şubeleri ve şubeleri arasında - merkez aracılığıyla gerçekleştirilir. Pek çok ülkede takas odalarının işlevleri merkez bankaları tarafından yerine getirilmektedir. Otomatik takas odaları (ACH'ler), finansal kurumlar arasında fon alışverişi için hizmet sağlar. Ödeme işlemleri esas olarak borç veya alacaklarla sınırlıdır. AKP sisteminin üyeleri, AKP Derneği'ne üye olan finans kuruluşlarıdır. Dernek, bir coğrafi bölgede elektronik ödemelerin uygulanmasına ilişkin kurallar, prosedürler ve standartlar geliştirmek amacıyla kurulmuştur. ACP'nin, fonların ve beraberindeki bilgilerin taşınmasına yönelik bir mekanizmadan başka bir şey olmadığı unutulmamalıdır. Ödeme hizmetlerini kendileri gerçekleştirmezler. ACP'ler, kağıt mali belge işleme sistemlerini tamamlamak üzere oluşturulmuştur. İlk otomatik şanzıman 1972'de Kaliforniya'da ortaya çıktı; şu anda Amerika Birleşik Devletleri'nde 48 otomatik şanzıman çalışıyor. 1978 yılında, 48 ACH ağının tamamını kooperatif temelinde birleştiren Ulusal Otomatik Takas Odası Birliği (NACHA) kuruldu.
Operasyonların hacmi ve niteliği sürekli genişlemektedir. ACP'ler iş anlaşmaları ve elektronik veri alışverişi işlemlerini gerçekleştirmeye başlıyor. Çeşitli banka ve şirketlerin üç yıllık çalışmalarının ardından, alacak ve borçların otomatik olarak işlenmesini sağlayan CTP (Kurumsal Ticaret Ödemesi) sistemi oluşturuldu. Uzmanlara göre otomatik şanzıman işlevlerini genişletme eğilimi yakın gelecekte de devam edecek.
* İki bankanın loro nostro hesaplarını kullanarak, muhtemelen organizasyonel veya destekleyici bir rol oynayan üçüncü bir tarafın katılımıyla birbirleriyle doğrudan iletişim kurduğu doğrudan anlaşmalar. Doğal olarak, karşılıklı işlemlerin hacmi, böyle bir uzlaşma sistemini organize etmenin maliyetlerini haklı çıkaracak kadar büyük olmalıdır. Tipik olarak, böyle bir sistem birkaç bankayı birleştirir ve her bir çift, aracıları atlayarak birbirleriyle doğrudan iletişim kurabilir. Ancak bu durumda etkileşim halindeki bankaların korunması (anahtarların dağıtımı, yönetimi, işleyişinin kontrolü ve olayların kaydedilmesi) ile ilgilenen bir kontrol merkezine ihtiyaç duyulmaktadır.
Dünyada bu tür pek çok sistem var - birkaç bankayı veya şubeyi birbirine bağlayan küçük sistemlerden binlerce katılımcıyı birbirine bağlayan dev uluslararası sistemlere kadar. Bu sınıfın en ünlü sistemi SWIFT'tir.
Son zamanlarda üçüncü bir elektronik ödeme türü ortaya çıktı - elektronik çek kesme, bunun özü, kağıt çeklerin sunulduğu finans kurumuna gönderilmesi yolunu durdurmaktır. Gerektiğinde elektronik analogu özel bir mesaj şeklinde daha da “yolculuk yapar”. Elektronik çekin iletilmesi ve geri ödenmesi ACH kullanılarak gerçekleştirilir.
1990 yılında NACHA, ulusal pilot program "Elektronik Kontrol Kesilmesi"nin testlerinin ilk aşamasını duyurdu. Amacı, büyük miktarlarda kağıt çeklerin işlenmesinin maliyetini azaltmaktır.
Elektronik ödeme sistemi kullanarak para göndermek aşağıdaki adımları içerir (belirli koşullara ve sistemin kendisine bağlı olarak sıra değişebilir):
1. Birinci bankanın sistemindeki belirli bir hesaptan gerekli miktarda kesinti yapılır.
2. İkinci bankanın birinci bankadaki muhabir hesabı aynı miktarda artar.
3. Birinci bankadan ikinci bankaya, gerçekleştirilen işlemlere ilişkin bilgileri (hesap tanımlayıcılar, tutar, tarih, koşullar vb.) içeren bir mesaj gönderilir; bu durumda, gönderilen mesajın sahteciliğe karşı uygun şekilde korunması gerekir: şifrelenmiş, dijital imza ve kontrol alanları vb. ile sağlanmalıdır.
4. Gerekli tutar, ikinci bankadaki birinci bankanın muhabir hesabından borçlandırılır.
5. İkinci bankadaki belirli bir hesaba gerekli miktarda artırım yapılır.
6. İkinci banka, yapılan hesap ayarlamalarına ilişkin birinciye bildirim gönderir; bu mesajın aynı zamanda ödeme mesajının korunmasına benzer şekilde kurcalamaya karşı korunması gerekir.
7. Değişim protokolü, çakışmaları önlemek için hem aboneler hem de muhtemelen üçüncü bir taraf için (ağ kontrol merkezinde) kaydedilir.
Mesajın iletilmesi sırasında aracılar olabilir - takas merkezleri, bilgi aktarımında aracı bankalar vb. Bu tür hesaplamaların ana zorluğu ortağına olan güvendir, yani her abonenin muhabirinin gerekli tüm eylemleri gerçekleştireceğinden emin olması gerekir.
Elektronik ödemelerin kullanımını genişletmek için mali belgelerin elektronik sunumunun standartlaştırılması yapılmaktadır. 70'lerde iki kuruluş bünyesinde başlatıldı:
1) ANSI (Amerikan Ulusal Standart Enstitüsü), ANSI X9.2-1080'i (Finans Enstitüleri Arasında Borç ve Kredi Kartı Mesaj Alışverişi için Değişim Mesajı Spesifikasyonu) yayınladı. 1988 yılında benzer bir standart ISO tarafından benimsenmiş ve ISO 8583 (Banka Kartı Kaynaklı Mesaj Değişim Mesajı Özellikleri - Finansal İşlemlerin İçeriği) olarak adlandırılmıştır;
2) SWIFT (Dünya Çapında Bankalararası Finansal Telekomünikasyon Topluluğu), bankalar arası mesajlar için bir dizi standart geliştirmiştir.
ISO 8583 standardına uygun olarak, bir mali belge, bir mesajın veya elektronik belgenin (elektronik kredi kartı, X.400 formatındaki mesaj veya EDIFACT sözdizimindeki belge) belirli alanlarında yer alan bir dizi veri öğesini (detayları) içerir. Her veri öğesine (ED) kendi benzersiz numarası atanır. Bir veri öğesi zorunlu (yani bu türdeki her mesajda yer alır) veya isteğe bağlı (bazı mesajlarda bulunmayabilir) olabilir.
Bit ölçeği, mesajın bileşimini (içinde mevcut olan ED'ler) belirler. Bit ölçeğinin belirli bir basamağı bir olarak ayarlanırsa bu, mesajda karşılık gelen ED'nin mevcut olduğu anlamına gelir. Bu mesaj kodlama yöntemi sayesinde mesajın toplam uzunluğu azaltılır, mesajların çok sayıda ED'li sunumunda esneklik sağlanır ve standart yapıdaki bir elektronik belgeye yeni ED'ler ve mesaj türlerinin dahil edilebilmesi sağlanır.
Elektronik bankalararası ödemeler için çeşitli yöntemler vardır. Bunlardan ikisini ele alalım: çekle ödeme (hizmet sonrası ödeme) ve akreditifle ödeme (beklenen hizmet karşılığında ödeme). Ödeme talepleri veya ödeme emirleri yoluyla ödeme gibi diğer yöntemler de benzer bir yapıya sahiptir.
Çekle ödeme, ödeyenin kimliğini içeren bir kağıt veya başka bir belgeye dayanır. Bu belge, çekte belirtilen tutarın, çek sahibinin hesabından hamiline ait hesabına aktarılmasına esas teşkil etmektedir. Çekle ödeme aşağıdaki adımları içerir:
Çek almak;
Bankaya çek ibraz etmek;
Çek sahibinin hesabından keşidecinin hesabına havale yapılması talebi;
Para transferi;
Ödeme bildirimi.
Bu tür ödemelerin ana dezavantajları, kolayca taklit edilebilen bir yardımcı belgeye (çek) duyulan ihtiyacın yanı sıra ödemenin tamamlanması için gereken önemli sürenin (birkaç güne kadar) olmasıdır.
Bu nedenle son zamanlarda akreditifle ödeme şeklinde ödeme türü daha yaygın hale geldi. Aşağıdaki adımları içerir:
Müşteri tarafından kredinin sağlanması konusunda bankaya bilgi verilmesi;
Alıcının bankasına kredi sağlanması ve para transferi konusunda bildirimde bulunulması;
Krediyi aldığının alıcıya bildirilmesi.
Bu sistem çok kısa sürede ödeme yapmanızı sağlar. Kredi bildirimi (elektronik) posta, disketler, manyetik bantlar yoluyla gönderilebilir.
Yukarıda tartışılan ödeme türlerinin her birinin kendi avantajları ve dezavantajları vardır. Çekler, küçük miktarlarda ödeme yapmak için olduğu kadar düzensiz ödemeler için de en uygun yöntemdir. Bu durumlarda ödemedeki gecikme çok önemli değildir ve kredi kullanımı uygunsuzdur. Akreditif kullanılarak yapılan ödemeler genellikle düzenli ödemeler ve önemli tutarlar için kullanılır. Bu durumlarda, takas gecikmesinin olmaması, paranın devir süresini kısaltarak çok fazla zaman ve paradan tasarruf etmenize olanak tanır. Bu iki yöntemin ortak dezavantajı, güvenilir bir elektronik ödeme sistemi düzenlemek için para harcama gereğidir.
