Источник: http://www.kontrakty.com.ua/show/rus/article/10/1420042321.html
Чтобы электронный бизнес давал только позитивный эффект, потенциальным участникам следует гарантировать его безопасность.
Что защищать
Электронная коммерция и интернет-банкинг имеют общие черты и отличия. Общее для обоих — операции осуществляются через публичные каналы интернет с использованием web-технологий, финансовые транзакции осуществляются через банковские счета. Отличия: если интернет-банкинг в большей степени является закрытой системой/сетью, т.е. предоставляет услуги только своим клиентам, связанным соглашениями по срокам членства, и потому основывается на договорных основах и может не поддерживать ряд необходимых технических стандартов и международных правовых норм, то электронная коммерция является открытой системой. Т.е. она не имеет жестких требований относительно членства, услуги предоставляются клиентам любого банка, в любой стране, а следовательно, электронная коммерция может функционировать исключительно на стандартах и единой правовой базе.
В то же время в последнее время электронные технологии в отечественной банковской системе развивались так, что требования к стандартизации интернет-банкинга «ослаблялись». Как следствие — на практике внедряются «новые» автоматизированные системы, которые часто не имеют современных технологий защиты. Скорее всего, руководство предприятий и менеджеры информационных технологий, планирующие и выбирающие системы для внедрения, просто не имеют четкого представления о рисках, а следовательно, и о соответствующих технологиях безопасности и технических стандартах. В то же время международная практика свидетельствует, что основа успеха электронного бизнеса — создание надежной, защищенной и стандартизованной среды. В целом, с учетом стандартов (в первую очередь — международных) и начинается универсализация инструментов бизнеса с едиными механизмами защиты для разрешения различных задач (авторизация на любых уровнях компьютерной сети — операционных систем, СУБД и отдельных программ; защищенный внутренний документооборот в корпоративной сети, в том числе — по электронной почте; организация защищенных соединений абонентов; надежная защита доступа к сетевым устройствам и web-узлам).
На практике технические аспекты безопасности электронного бизнеса должны обеспечивать, в частности, аутентификацию, конфиденциальность, целостность, «не-отказ» (non-repudiation).
В электронном банковском деле критическим является подтверждение, что каждая отдельная коммуникация/соединение, транзакция или запрос на доступ являются легитимными/законными. Соответственно для этого нужно использовать надежные методы проверки идентичности (аутентификация) и авторизации клиентов, пытающихся инициировать электронные транзакции. Методов аутентификации несколько, включая PIN (персональный идентификационный номер), пароли, интеллектуальные карточки, биометрические данные или цифровые сертификаты инфраструктуры открытых ключей (PKI).
Конфиденциальность означает, что информация, которая распространяется по сети, должна быть доступна только уполномоченным лицам.
Целостность — информация не может быть несанкционированно изменена, а любое изменение легко определить.
«Не-отказ» — безусловная ответственность за транзакцию, что включает создание доказательства происхождения и доставки адресату электронной информации. Это доказательство используется для защиты отправителя с целью опровержения обманного заявления адресата о том, что данные не были получены, и наоборот — для защиты получателя с целью опровержения обманного заявления отправителя, что данные не были отправлены.
Риск такого отказа от транзакции — это проблема и обычных операций, как, например, транзакции с кредитными карточками. Однако электронный банкинг и коммерция повышают этот риск, поскольку невозможно однозначно подтвердить (аутентифицировать) идентичность и полномочия участников транзакции/соглашения. Риск повышается также из-за возможных подделок или искажений электронных транзакций и потенциальной возможности со стороны пользователей утверждать, что транзакции были изменены якобы злоумышленником.
Методы защиты электронного бизнеса
Лучший (и самый универсальный) из распространенных на текущий момент метод безопасности электронного бизнеса — цифровой сертификат, использующий инфраструктуру открытых ключей (PKI, public key infrastructure). Инфраструктура РКІ определяется рядом технических стандартов: международных (ISO — International Organization for Standardization; RFC — Request for Comments), европейских (ETSI — European Telecommunications Standards Institute) и др.
Основа электронной коммерции — единые технические открытые стандарты. Подобно телефонной системе, глобальная система электронной коммерции настолько ценна, насколько увеличивается количество клиентов, включенных в систему, что возможно только при унификации технических стандартов. В качестве примера — еще недавно мобильные телефоны были роскошью, а теперь... Самые распространенные реализации стандартов PKI — программы Identrus, SWIFT (на базе PKI Identrus), VISA.
IdentrusTM LLC (Идентрус) — основанная в апреле 1999 года программа позволяет управлять бизнес-рисками интернет-коммерции через доверительные отношения клиентов с их финансовыми учреждениями в пределах систем электронного банкинга, электронной торговли и коммерции. Юридическая и техническая инфраструктура Идентруса основывается на международных технических стандартах РКІ, типовых однородных системных правилах, контрактах и действиях. Система открыта для финансовых учреждений и их клиентов во всем мире. В декабре 1999 года Идентрус получил высшую награду «CIB/BT Financial Technology Awards» в номинации модели защиты В2В (business-to-business) и интернет-коммерции. В августе 2001 года Европейская комиссия сертифицировала Identrus как ведущий стандарт защиты в электронной коммерции в пределах Евросоюза. На сегодня в Идентрус входит более 60 глобальных финансовых учреждений. Хотя Identrus PKI предназначен для финансовых систем, он также применяется рядом правительственных агентств США, включая Министерство обороны. Система Identrus PKI построена так, что каждый банк системы и каждый его клиент имеют уникальный идентификатор, указанный в их персональных цифровых сертификатах. Таким образом, клиенты различных банков могут устанавливать между собой электронные отношения.
Развитию электронной коммерции особенно содействовало создание системы TrustAct SWIFT и интеграция возможностей SWIFT и Identrus для общего решения задач B2B — финансовые учреждения и их клиентов смогли объединить возможности защиты Идентруса с возможностями передачи сообщений SWIFT по каналам интернет. Кроме того, TrustAct хранит регистрацию сообщений, а следовательно, обеспечивает функции арбитража и полный «не-отказ» от транзакций в случае спора.
Для транзакций с платежными карточками международных платежных систем разработан стандарт 3-D Secure VISA. На сегодня все учреждения, осуществляющие интернет-транзакции с использованием международных платежных карточек VISA и Europay, должны обязательно поддерживать этот стандарт, который также основывается на PKI-стандартах.
В Украине перспективным направлением электронной коммерции и интернет-банкинга является внедрение международных PKI-стандартов. При этом для успешного развития интернет-банкинга обязательно построение системы PKI с учетом требований IdentrusTM LLC. Для внедрения электронной коммерции также обязательно выполнение требований стандарта 3-D Secure VISA.
С е-законодательством пока не сложилось
Другое дело — насколько возможно использование таких стандартов в пределах действующего законодательства Украины?
В странах ЕС, США, Канаде цифровые подписи и сертификаты утверждены на законодательной основе как эквивалент собственноручной подписи; законодательно определены термины «электронная подпись», «электронные документы». Страны ЕС приняли национальные законодательные акты, которые целиком отвечают Директиве Европарламента и Совета Министров ЕС 1999/93/ЕС о системе электронных подписей, которая применяется в пределах Содружества, и решению Комиссии 2000/709/ЕС Европарламента и Совета. Сегодня все положения Директивы 1999/93/ЕС реализованы в виде технических европейских и международных стандартов (ETSI и RFC).
В Украине также Верховной Радой утверждены соответствующие законы. В том числе Закон «Об электронной цифровой подписи» вступил в силу с 1 января 2004 года. Однако, не вдаваясь в детали, можно констатировать, что этот закон не отвечает ни европейскому законодательству в целом, ни технической сути электронной подписи и принципам ее применения (в терминах международных и европейских стандартов). Например, электронная подпись в терминах ЕС должна обеспечивать аутентификацию и целостность, а в терминах нашего закона — только аутентификацию. «Усиленная электронная подпись» в определении ЕС — это электронная подпись ЕС и дополнительные требования к надежности, которые технически означают, что средство создания подписи должно удовлетворять требования стандартов FIPS 140-1, 140-2 level 2, 3 (Federal Information Processing Standards, США). Такого термина в законе Украины нет, вместо этого есть термин «электронная цифровая подпись», который отвечает электронной подписи ЕС в рамках криптографии с открытыми ключами. В термины ЕС и соответствующие европейские и международные стандарты введен термин «квалифицированная электронная подпись», которого в нашем законе также нет...
Кстати, система PKI Identrus предполагает усиленную или квалифицированную электронную подпись, которая в законе Украины не определена вообще. Поэтому на практике наш закон не может быть применен к открытым сетям электронного бизнеса (например, электронная коммерция).
Собственно, для развития нашего электронного бизнеса нужно не так уж и много
— на практике признать членство Украины в Международной организации по
стандартизации ISO и внедрить необходимые технические и другие стандарты,
которые уже действуют в Европе. А для законодательного урегулирования — принять
закон «Об электронной торговле» (проект от 17.02.2003 №?3114), который, по
мнению большинства специалистов, отвечает требованиям ЕС и согласовывается с
международными и европейскими стандартами. Кроме того, адаптировать уже принятые
законы к требованиям европейского законодательства.