Проблемы безопасности данных платежной индустрии реферат

Обновлено: 05.07.2024

Функционирование платежных систем в Интернете возможно только при обеспечении условий безопасности. Понятие "безопасность информации" можно определить как состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации. Решение проблемы безопасности основывается на криптографических или шифровальных системах, обеспечивающих:

конфиденциальность - информация должна быть защищена от несанкционированного доступа как при хранении, так и при передаче. Доступ к информации может получить только тот, для кого она предназначена. Обеспечивается шифрованием;

аутентификацию - необходимо однозначно идентифицировать отправителя, при однозначной идентификации отправитель не может отказаться от послания. Обеспечивается электронной цифровой подписью и сертификатом;

целостность - информация должна быть защищена от несанкционированной модификации как при хранении, так и при передаче. Обеспечивается электронной цифровой подписью.

Любая система шифрования работает по определенной методологии, которая включает один или несколько алгоритмов шифрования (математических формул), ключей, используемых этими алгоритмами, а также системы управления ключами. Наиболее распространены алгоритмы, объединяющие ключ с текстом. Основная проблема шифрования состоит в безопасной процедуре генерации и передаче ключей участникам взаимодействия.

На практике существуют два основных типа криптографических алгоритмов: классические, или симметричные, алгоритмы, основанные на использовании закрытых, секретных ключей, когда и шифрование, и дешифрирование производятся с помощью одного и того же ключа; ассиметричные - алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ.

Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных. Порядок использования систем с симметричными ключами выглядит следующим образом.

Безопасно создается, распространяется и сохраняется симметричный секретный ключ. Отправитель использует симметричный алгоритм шифрования вместе с секретным симметричным ключом для получения зашифрованного текста. Отправитель передает зашифрованный текст. Симметричный секретный ключ никогда не передается по незащищенным каналам связи. Для восстановления исходного текста получатель применяет к зашифрованному тексту тот же самый симметричный алгоритм шифрования вместе с тем же самым симметричным ключом, который уже есть у получателя.

Характеристики симметричных шифров регламентируются стандартами: ГОСТ № 28147-89 РФ, DES (Data Encryption Standard) США и др.

Суть асимметричных криптосистем состоит в том, что каждым адресатом генерируются два ключа, связанные между собой по определенному правилу. Хотя каждый из пары ключей подходит как для шифрования, так и для дешифрирования, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом.

Криптографические системы с открытым ключом используют так называемые необратимые, или односторонние, функции. Понятие односторонней функции было введено в теоретическом исследовании о защите входа в вычислительные системы. Функция f(x) называется односторонней (one-way function), если для всех значений х из ее области определения легко вычислить значения у = fix), но вычисление обратного значения практически не осуществимо. Известно несколько криптосистем с открытым ключом. Наиболее разработана на сегодня система RSA, предложенная еще в 1978 г. Этот алгоритм стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ (Международный консультативный комитет по телефонии и телеграфии).

Шифрование передаваемых через Интернет данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник транзакции является тем лицом, за которое он себя выдает. В бизнесе наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи - цифровая подпись (в России закон о цифровой подписи принят в январе 2003 г.). С ее помощью можно доказать не только то, что транзакция была инициирована определенным источником, но и то, что информация не была испорчена во время передачи. Как и в шифровании, технология электронной подписи использует либо секретный ключ (в этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется пара ключей - открытый и личный). И в данном случае более простые в использовании методы с открытым ключом (такие как RSA) более популярны.

Основной проблемой криптографических систем является распространение ключей. Асимметричные методы более приспособлены для открытой архитектуры Интернета, однако и здесь использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдать себя за отправителя подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости верификации открытого ключа. Для этих целей используются электронные сертификаты.

Технология цифровых сертификатов работает следующим образом. Чтобы воспользоваться сертификатом, потенциальный покупатель должен прежде всего получить этот сертификат у надежного источника сертификатов. Для этого ему необходимо каким-то образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.

Гарантами безопасности платежных систем являются стандарты безопасности. Наиболее распространенными стандартами безопасности виртуальных платежей являются протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых через Интернет данных и стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок при помощи пластиковых карт.

Протокол SSL - стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая Web-браузером, включая URL-адреса, все отправляемые сведения (такие как номера кредитных карт), данные для доступа к закрытым Web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с Web-серверов. Три основные функции безопасности, гарантированные в SSL, основаны на криптографии с открытым ключом.

Одной из основных причин медленного роста электронной коммерции является озабоченность покупателей надежностью средств, применяемых при выполнении платежей в Интернете с использованием кредитных карт. Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известные как стандарт SET (Secure Electronic Transaction - Безопасные электронные транзакции).

В основе системы безопасности, используемой стандартом SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure - PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET - регламентация использования системы безопасности, которая устанавливается международными платежными системами.

Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль над доступом, резервное энергоснабжение, аппаратная криптография и т.п.); во-вторых, специфические дополнения - межсетевые экраны (firewalls) для защиты каналов Интернета.

Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.

Список использованной литературы

1. Веляевский И.К. Маркетинговое исследование: информация, анализ, прогноз. М.: Финансы и статистика, 2006.

2. Головеров Д.В., Кемрадж А.С. и др. Правовые аспекты использования Интернет-технологий. М.: Книжный мир, 2008.

3. Данько Т.П., Дьяконова Л.Я., Завьялова Н.В., Сагинова О.В. и др. Электронный маркетинг: Учеб. пособие. М.: ИНФРА-М, 2007.

4. Раздьяконов Н. и др. Jump In: Учеб. пособие для слушателей курсов "Амадеус". М.; СПб.: Amadeus Russia, 2007.

5. Успенский И. Энциклопедия Интернет-бизнеса. СПб.: Питер, 2006.

6. Холмогоров В. Интернет-маркетинг. Краткий курс. СПб.: Питер, 2008.

7. Хорошилов А.В., Селетков С.Я. Мировые информационные ресурсы. СПб.: Питер, 2004.

Раздел: Финансовые науки
Количество знаков с пробелами: 58030
Количество таблиц: 1
Количество изображений: 0

Воронцова С.В., кандидат юридических наук, доцент кафедры уголовного процесса Московского университета МВД России.

Вопросы обеспечения безопасности электронных платежей имеют большое значение для хозяйственной деятельности организации. В статье рассматриваются актуальные вопросы обеспечения подобной безопасности. Выводы автора могут быть использованы в правоприменительной практике хозяйствующих субъектов.

Ключевые слова: электронные платежи, ЮНСИТРАЛ, SWIFT, CHIPSW, фишинг.

The issues of ensuring security of electronic payments are of great importance for economic activity of organization. The article considers topical issues of ensuring such security. The author's conclusions might be used in law-application practice of economic subjects.

Key words: electronic payments, UNCITRAL, SWIFT, CHIPSW, fishing .

Voroncova S.V. Problems of security of electronic payments effectuated in international payment systems.

Современное состояние мировой экономики характеризуется все более возрастающим влиянием международных (глобальных) банков, банковских групп, финансовых холдингов. Руководитель Института банковского управления США Крис Скинер заявил, что финансово-кредитная отрасль изменилась за последние 5 лет больше, чем за предыдущие 50 . Это в первую очередь связано с использованием новейших достижений науки и техники, в т.ч. электронных форм проведения расчетов и платежей.

См.: Скинер К. Будущее банкинга. Мировые тенденции и новые технологии в отрасли. Минск: Гривцов Паблишер, 2009. С. 18.

Информационные технологии в совокупности с информационными ресурсами и информационной инфраструктурой образуют информационное пространство современного общества. Это информационное пространство является системообразующим фактором всей общественной жизни. Традиционный рыночный тип хозяйствования, основу которого составляет индустриальный способ производства, трансформируется под влиянием достижений научно-технической и информационно-коммуникационной революции. В последние десятилетия мир переживает период перехода от индустриального общества к обществу информационному. Происходит кардинальная смена способов производства, мировоззрения людей, межгосударственных отношений. По своему значению и воздействию на общество это сравнимо с новой всемирной промышленной революцией, нисколько не уступающей по своему значению революциям прошлого. Фактически речь идет о развертывании и реализации очередной (второй) промышленной революции, получившей название информационной, которая приведет к созданию информационного общества .

См.: Щербавич И.А. Правовые вопросы связи. М.: ИГ "Юрист", 2007. N 1. С. 126.

Комиссия ООН по праву международной торговли.

См.: Шамраев А.В. Правовое регулирование международных банковских сделок и сделок на международных финансовых рынках. М.: КНОРУС; ЦИПСиР, 2009. С. 39.

Отношения SWIFT и пользователей регулируются Руководством пользователя SWIFT, где определены их взаимные обязательства и пределы ответственности. SWIFT не дает никаких гарантий того, что предоставление услуг и банковских продуктов будет бесперебойным, безошибочным, оставляет за собой право приостанавливать предоставление услуг полностью или частично в любое время по целому ряду причин, перечень которых не является исчерпывающим. На пользователя вышеуказанным Руководством возлагается обязанность по обеспечению безопасности данных, он несет ответственность за обеспечение конфиденциальности, целостности хранящихся у него данных. В случае возникновения несанкционированного доступа к информации третьих лиц именно на пользователя возлагается ответственность. Общая ответственность SWIFT перед всеми пользователями по искам, предъявляемым в течение года в связи с предоставлением или использованием услуг и продуктов SWIFT, ограничивается 10 млн. евро. В случае если общая сумма исков, предъявляемых SWIFT в течение года, превышает данную сумму, то сумма каждого удовлетворенного иска должна быть уменьшена пропорционально той части, в которой данный иск относится к сумме всех удовлетворенных исков, предъявленных SWIFT в течение года.

См.: Глоссарий терминов, используемых в платежных и расчетных системах // Платежные и расчетные системы. Международный опыт. Вып. 1. М.: Банк России, 2007.

Наряду с вышеуказанными расчетными системами действуют неформальные финансово-расчетные системы, используемые преимущественно на Среднем Востоке, в Африке и Азии. Система hawala сформировалась в Индостане задолго до появления западной банковской системы и до распространения западного банковского дела на мусульманском Востоке. Hawala существует вне или параллельно традиционным банковским или финансовым каналам. Используется эта система расчетов в основном иммигрантами, зарабатывающими на Западе и отсылающими деньги родственникам. Обычно данная система позиционируется как теневая, но это не совсем так, так как они в большинстве случаев действуют согласно закону.

Система hawala основана на переводе денежных средств путем однократных уведомлений по электронной почте, факсу или телефонными звонками. Материальные ценности в виде денег, золота и драгоценных камней перемещаются из страны в страну без сопроводительных финансовых документов. Учитывая, что все финансовые транзакции осуществляются в ходе своповых операций (методом взаимозачета) или при личных встречах (второе случается значительно реже), то отследить эти потоки государственные контрольные органы не в состоянии .

См.: Материалы Конференции Европол - МВД России "Борьба с преступностью в сфере мошенничества с платежными картами". М.: МВД России, 2009.

Как и всякое достижение науки, информатизация общества несет в себе как позитивное, так и негативное начало. Высочайшая степень автоматизации, к которой стремится современное общество, ставит его в зависимость от степени безопасности используемых информационных технологий от криминальных действий. В связи с массовой компьютеризацией информационных процессов, увеличением ценности и значимости информационных ресурсов особую остроту принимает проблема надежной защиты информации, циркулирующей в критически важных информационных системах, т.е. предупреждение ее искажения и уничтожения, несанкционированной модификации, криминального получения и использования.

В условиях роста зависимости каждого из нас от информации, циркулирующей в глобальных компьютерных сетях, развития информационных и сетевых технологий появилась так называемая киберпреступность. Термин российским законодателем юридически не определен, но в научной литературе этот термин используется для определения преступности в виртуальном пространстве, в котором находятся сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленных в локальных и глобальных сетях. Первым юридическим актом, в котором дана оценка значения киберпреступности, стали решения Конвенции о киберпреступности, проведенной Советом Европы 23 ноября 2001 г. Там была сделана попытка координации действий правоохранительных органов на международном и национальном уровнях по недопущению несанкционированного вмешательства в работу компьютерных систем.

Преступникам стал доступен новый вид преступлений, совершаемый в Сети, - сетевая преступность. Конечная их цель - получение дохода с помощью технологий и финансовых преступлений. Особое беспокойство онлайн-криминалистов вызывает так называемый фишинг - разновидность сетевого мошенничества, при котором пользователей заманивают на фальшивые сайты, где получают доступ к данным платежных карт с целью хищения денежных средств. Техника фишинга была подробно описана в 1987 г., а сам термин появился 2 января 1996 г. в новостной группе alt.online-service.America-Online сети Usenet. На этом этапе фишинг-атаки были направлены на орфографию содержания электронной почты и/или грамматические ошибки. Целью фишеров сегодня являются клиенты банков и электронных платежных систем.

Следующим этапом совершенствования способа преступления стал фарминг. Как и при фишинге, целью фарминга является получение персональных данных клиентов платежных систем. Разница заключается в том, что атака преследует цель перенаправления трафика к веб-сайту в другое место. В результате механизм перенаправления активизируется, когда пользователь набирает адрес, соответствующий его банку, и жертва попадает на один из ложных сайтов. Термин "фарминг" - это перенаправление жертвы на ложный IP-адрес. Для этого может использоваться некая навигационная структура (файл hosts, система доменных имен - domain name system, DNS). Фишинг не может быть осуществим без участия определенного количества лиц.

Специфика проблемы борьбы с киберпреступностью состоит в том, что отдельно взятая страна не в состоянии противостоять ей собственным государственным властным механизмом и только международное сообщество способно противостоять данному виду преступности. Традиционные представления о территориальной юриспруденции, об административных границах применительно к киберпреступности во многом теряют смысл.

Роль национального законодательства снижается, и на первый план выходят инструменты межгосударственного (международного) регулирования, международное взаимодействие стран, многостороннее межгосударственное сотрудничество, строящееся на основе договоров и соглашений.

Совершенствование противодействия транснациональной организованной преступности, действующей в сфере оборота электронных расчетов и платежей, может происходить в следующих направлениях:

• создание международных антикриминальных центров по борьбе с киберпреступностью, которые смогли бы быстро реагировать на криминальные действия, активно сотрудничая с Интерполом;
• разработка уголовно-правовых норм для борьбы в сфере информационной безопасности и внедрение их в национальные законодательства;
• создание межгосударственных следственно-оперативных групп для расследования криминальных действий в этой сфере;
• формирование единой политики европейских стран, в том числе и стран СНГ, в области противодействия преступности в сфере высоких технологий и создание модели руководящего и технического сотрудничества в этой области;
• комплексное технико-программное и правовое регулирование отношений в сфере защиты информации.

Формирующееся информационное общество выдвигает новые требования к обеспечению национальной безопасности. Теперь она определяется в значительной мере "защитой интересов личности, общества и государства в информационной сфере" в соответствии с Доктриной информационной безопасности Российской Федерации.

Доктрина информационной безопасности Российской Федерации (утв. Указом Президента от 9 сентября 2000 г. N ПР-1895) // Российская газета. 2000. 28 сентября.

Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности. --> Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности.

Читайте также:

  
• Роль философских категорий в освоении новых типов системных объектов реферат
  
• Анализ исполнения доходов бюджета реферат
  
• Реферат на тему нововавилонское царство
  
• Самоочищение почвы и санитарно гигиеническое значение этого процесса реферат
  
• Реферат на тему день рождения нуля