Ризикована привабливість

Сергій БЄЛОВ, начальник відділу інформаційної безпеки АТ «ВАБанк»; Сергій МАРТИНЕНКО, начальник відділу інформаційної безпеки АТ «Укрінбанк»

Щоб електронний бізнес давав тільки позитивний ефект, потенційним учасникам потрібно гарантувати його безпеку.

Застосування інформаційних технологій у банківській справі та електронній комерції дає змогу значно розширити перелік послуг, залучити нових клієнтів та посилити конкурентоспроможність тощо. Водночас ризики через відкритість мережі інтернет при цьому дуже високі, а швидкість, з якою вони можуть змінюватися, досить стрімка — кількість протиправних дій в інтернеті (віддалені атаки, шахрайство, перехоплення конфіденційної інформації тощо) щороку стрімко зростає.

Що захищати

Електронна комерція й інтернет-банкінг мають і спільні риси, і відмінності. Загальне для обох — операції здійснюються через публічні канали інтернет з використанням web-технологій, фінансові трансакції здійснюються через банківські рахунки. Відмінності: якщо інтернет-банкінг більшою мірою є закритою системою/мережею, тобто надає послуги тільки своїм клієнтам, пов’язаним угодами за термінами членства, й тому грунтується на договірних засадах і може не підтримувати низку необхідних технічних стандартів та міжнародних правових норм, то електронна комерція є відкритою системою. Тобто вона не має жорстких вимог щодо членства, послуги надаються клієнтам будь-якого банку, в будь-якій країні, а отже, електронна комерція може функціонувати виключно на стандартах і єдиній правовій базі.

Водночас останнім часом електронні технології у вітчизняній банківській системі розвивалися так, що вимоги до стандартизації інтернет-банкінгу «послаблювалися». Як наслідок — на практиці впроваджуються «нові» автоматизовані системи, які почасти не мають сучасних технологій захисту. Швидше за все, керівництво підприємств і менеджери інформаційних технологій, які планують та вибирають системи для впровадження, просто не мають чіткої уяви про ризики, а отже, і про відповідні технології безпеки та технічні стандарти. Водночас міжнародна практика свідчить, що основа успіху електронного бізнесу — створення надійного, захищеного і стандартизованого середовища. Загалом з урахування стандартів (насамперед — міжнародних) і починається універсалізація інструментів бізнесу з єдиними механізмами захисту для вирішення різних завдань (авторизація на будь-яких рівнях комп’ютерної мережі — операційних систем, СУБД та окремих програм; захищений внутрішній документообіг у корпоративній мережі, зокрема — електронною поштою; організація захищених з’єднань абонентів; надійний захист доступу до мережевих пристроїв та web-вузлів).

На практиці технічні аспекти безпеки електронного бізнесу мають забезпечувати, зокрема, аутентифікацію, конфіденційність, цілісність, не-відмову (non-repudiation).

В електронній банківській справі критичним є підтвердження, що кожна окрема комунікація/з’єднання, трансакція чи запит на доступ є легітимними/законними. Відповідно для цього треба використовувати надійні методи перевірки ідентичності (аутентифікація) та авторизації клієнтів, які намагаються ініціювати електронні трансакції. Методів аутентифікації є кілька: включаючи PIN (персональний ідентифікаційний номер), паролі, інтелектуальні картки, біометричні чи цифрові сертифікати інфраструктури відкритих ключів (PKI).

Конфіденційність означає, що інформація, яка поширюється мережею, має бути доступна лише уповноваженим особам.

Цілісність — інформація не може бути несанкціоновано змінена, а будь-яку зміну легко визначити.

«Не-відмова» — безперечна відповідальність за трансакцію, що включає створення доказу походження та доставки адресату електронної інформації. Цей доказ використовується для захисту відправника з метою спростування обманної заяви адресата про те, що дані не було отримано, і навпаки — для захисту одержувача з метою спростування обманної заяви відправника, що дані не було відправлено.

Ризик такої відмови від трансакції — це проблема і звичайних операцій, як, наприклад, трансакції з кредитними картками. Однак електронний банкінг та комерція підвищують цей ризик, оскільки неможливо однозначно підтвердити (аутентифікувати) ідентичність та повноваження учасників трансакції/угоди. Ризик підвищується також через можливі підроблення чи перекручення електронних трансакцій і потенційну можливість з боку користувачів стверджувати, що трансакції було змінено начебто зловмисником.

Методи захисту електронного бізнесу

Найкращим (і найуніверсальнішим) із поширених на поточний момент методом безпеки електронного бізнесу є цифровий сертифікат, який використовує інфраструктуру відкритих ключів (PKI, Public Key Infrastructure). Інфраструктура РКІ визначається низкою технічних стандартів: міжнародних (ISO — International Organization for Standardization; RFC — Request for Comments), європейських (ETSI — European Telecommunications Standards Institute) та ін.

Основа електронної комерції — єдині технічні відкриті стандарти. Подібно до телефонної системи, глобальна система електронної комерції є настільки цінною, наскільки збільшується кількість клієнтів, включених до системи, що можливо лише за уніфікації технічних стандартів. Як приклад — ще недавно мобільні телефони були розкішшю, а тепер... Найпоширеніщими реалізаціями стандартів PKI є програми Identrus, SWIFT (на базі PKI Identrus), VISA.

IdentrusTM LLC (Ідентрус) — заснована у квітні 1999 року програма дає можливість управляти бізнес-ризиками інтернет-комерції через довірчі відносини клієнтів з їхніми фінансовими установами в межах систем електронного банкінгу, електронної торгівлі та комерції. Юридична й технічна інфраструктура Ідентрусу грунтується на міжнародних технічних стандартах РКІ, типових однорідних системних правилах, контрактах та діях. Система є відкритою для фінансових установ та їхніх клієнтів у всьому світі. В грудні 1999 року Ідентрус здобув вищу нагороду «CIB/BT Financial Technology Awards у номінації моделі захисту В2В (Business-to-Business) та інтернет-комерції. У серпні 2001 року Європейська комісія сертифікувала Identrus як провідний стандарт захисту в електронній комерції в межах Євросоюзу. На сьогодні в Ідентрус входить більш 60 глобальних фінансових установ. Хоча Identrus PKI призначений для фінансових систем, він також застосовується низкою урядових агенцій США, включаючи Міністерство оборони. Система Identrus PKI побудована так, що кожен банк системи та кожен його клієнт мають унікальний ідентифікатор, зазначений у їхніх персональних цифрових сертифікатах. Таким чином, клієнти різних банків можуть установлювати між собою електронні відносини.

Розвитку електронної комерції особливо сприяло створення системи TrustAct SWIFT та інтеграція можливостей SWIFT і Identrus для спільного вирішення завдань B2B — фінансові установи та їхні клієнти змогли об’єднати можливості захисту Ідентрусу з можливостями передачі повідомлень SWIFT каналами Інтернет. Крім того, TrustAct зберігає реєстрацію повідомлень, а отже, забезпечує функції арбітражу та цілковиту «не-відмову» від трансакцій у разі спору.

Для трансакцій з платіжними картками міжнародних платіжних систем розроблено стандарт 3-D Secure VISA. На сьогодні всі установи, які здійснюють інтернет-трансакції з використанням міжнародних платіжних карток VISA та Europay, повинні обов’язково підтримувати цей стандарт, який також грунтується на PKI-стандартах.

В Україні перспективним напрямом електронної комерції та інтернет-банкінгу є впровадження міжнародних PKI-стандартів. При цьому обов’язковим для успішного розвитку інтернет-банкінгу є побудова системи PKI з урахуванням вимог IdentrusTM LLC. Для впровадження електронної комерції також обов’язковим є виконання вимог стандарту 3-D Secure VISA.

З е-законодавством поки що не склалося

Інша річ — наскільки можливе використання таких стандартів у межах чинного законодавства України?

У країнах ЄС, США, Канаді тощо цифрові підписи й сертифікати затверджено на законодавчій основі як еквівалент власноручного підпису; законодавчо визначено терміни «електронний підпис», «електронні документи». Країни ЄС ухвалили національні законодавчі акти, які цілком відповідають Директиві Європарламенту та Ради Міністрів ЄС 1999/93/ЄС про систему електронних підписів, що застосовується в межах Співтовариства, та рішенню Комісії 2000/709/ЄС Європарламенту і Ради. Нині усі положення Директиви 1999/93/ЕС реалізовано у вигляді технічних європейських та міжнародних стандартів (ETSI та RFC).

В Україні також Верховною Радою затверджено відповідні закони. Зокрема Закон «Про електронний цифровий підпис» набув чинності з 1 січня 2004 року. Проте, не вдаючись у деталі, можна констатувати, що цей закон не відповідає ні європейському законодавству в цілому, ні технічній суті електронного підпису та принципам його застосування (в термінах міжнародних і європейських стандартів). Наприклад, електронний підпис у термінах ЄС повинен забезпечувати аутентифікацію та цілісність, а в термінах нашого Закону — лише аутентифікацію. «Посилений електронний підпис» у визначенні ЄС — це електронний підпис ЄС та додаткові вимоги щодо надійності, які технічно означають, що засіб створення підпису має задовольняти вимоги стандартів FIPS 140-1, 140-2 level 2, 3 (Federal Information Processing Standards, U. S.). Такого терміна в Законі України немає, натомість є термін «електронний цифровий підпис», який відповідає електронному підпису ЄС у межах криптографії з відкритими ключами. В терміни ЄС і відповідні європейські та міжнародні стандарти введено термін «кваліфікований електронний підпис», якого в нашому Законі також немає...

До речі, система PKI Identrus передбачає посилений чи кваліфікований електронний підпис, який у законі України не визначено взагалі. Відтак на практиці наш Закон не може бути застосований до відкритих мереж електронного бізнесу (наприклад, електронна комерція).

Власне, для розвитку нашого електронного бізнесу потрібно не так вже й багато — на практиці визнати членство України в Міжнародній організації зі стандартизації ISO й упровадити необхідні технічні та інші стандарти, що вже діють у Європі. А для законодавчого врегулювання — ухвалити Закон «Про електронну торгівлю» (проект від 17.02.2003 № 3114), який, за визначенням більшості фахівців, відповідає вимогам ЄС і узгоджується з міжнародними та європейськими стандартами. Крім того, адаптувати вже ухвалені закони до вимог європейського законодавства.

Обговорити на форумi

На початок

Версія для друку		Відправити поштою
Оцiнити статтю		Ваш коментар