Глава 1. Теоретические основы обеспечения безопасности информации в деятельности платёжных систем
1.1. Место и роль обеспечения безопасности ин формации платёжных систем в условиях информатизации общества
Успешное развитие современных платёжных систем требует тщательно разработанной программы развития и интеграции всех составляющих их инженерной инфраструктуры: информационных технологий, телекоммуникаций и защиты информации.
Развитие платёжной инфраструктуры требует значительных финансовых вложений в программно-аппаратные средства. Учитывая, что в базах центров авторизации платежных карт содержится информация, полная или частичная потеря, которой неизбежно приведет к значительным, а в ряде случаев невосполнимым финансовым потерям, которые могут быть выше, чем средства, потраченные на создание самой системы, необходимо обеспечить надежную защиту всех её компонентов.
Для создания системы защиты информации предлагается использовать комплексный подход, а именно: создание "Единого пространства информационной безопасности", как комплекса взаимосвязанных и постоянно взаимодействующих технических, организационных и нормативно-правовых подсистем. Необходимым условием функционирования таких подсистем есть создание политики безопасности. Согласно международным рекомендациям за безопасность работы всех служб центров авторизации должны отвечать сотрудники службы безопасности.
Специалисты по информационной безопасности обязаны:
? обеспечить точный и полный контроль над предоставлением привилегий доступа на базе инструкций для каждого информационного ресурса и в соответствии с применяемой внутренней политикой безопасности, директивами и стандартами;
? быть информированными обо всех изменениях, связанных со статусом сотрудников, увольнением, переходом, или изменением должностных обязанностей;
? постоянно проводить мониторинг действий пользователей с привилегиями высокого уровня;
? удалять привилегии немедленно, как только они больше не требуются;
? ежедневно проводить мониторинг попыток доступа, для выявления критичных для безопасности событий, типа попыток несанкционированного доступа, которые могут угрожать целостности, конфиденциальности, или работоспособности системы;
? докладывать обо всех попытках несанкционированного доступа к общим информационным ресурсам для проведения расследования и принятия мер;
? организовать доступ так, чтобы каждый пользователь системы был определен уникальной идентификационной последовательностью (USERID), созданной только для этого пользователя;
? требовать для каждого процесса доступа к критичным информационным ресурсам аутентификацию пользователя;
? собирать, защищать, проводить аудит всей доступной журнально-протокольной информации.
Таким образом, на всех стадиях внедрения информационных технологий комплексно решается вопрос защиты информации, предоставляется подход для юридического решения споров между пользователями информационных технологий, разделение обязанностей между подразделениями, четко определяются границы ответственности между должностными лицами.
Цель информационной защиты - обеспечение надежной, корректной и безопасной работы всех компонентов платёжной системы, что подразумевает создание надежных и удобных механизмов регламента деятельности служб, пользователей и обслуживающего персонала, соблюдение дисциплины доступа к ресурсам информационной системы.
Для защиты информации ЭПС необходимо использовать комплексный подход, а именно: создание защищенной среды для обработки информации, которая объединит разнообразные (правовые, организационные, программно-технические) средства для отражения любой угрозы.
Стремительное развитие сети Интернет привело к появлению огромного количества интернет - магазинов и других интернет - проектов, оказывающих услуги конечному пользователю. Как следствие, встал вопрос о способе оплаты этих товаров и услуг. Как наиболее простое и удобное средство были предложены так называемые цифровые (электронные) деньги – электронные платежные средства, представленные и обращаемые в электронном виде, оборот которых гарантирует анонимность.
Сегодня системы электронных денег разнообразны. Каждая из них обладает своими особенностями, преимуществами и недостатками. А так как без использования электронных денег современному человеку точно не обойтись, важно знать о том, каким образом функционируют платежные системы такого типа, когда и как они могут облегчить нам жизнь, и какие типы электронных денег существуют на сегодняшний день.
«Электронные деньги» или электронные платежные средства — денежные обязательства эмитента в электронной форме, учет которых осуществляется на специальном устройстве, например — микропроцессорной карте или на жестком диске персонального компьютера т.е. «сетевые деньги», «цифровая наличность» или «цифровые деньги».
Электронные платежные системы (ЭПС) – это сервисы, позволяющие производить прямые расчеты между контрагентами посредством электронного соединения.
Любая электронная платежная система обеспечивает ряд преимуществ своих электронных денег по сравнению с деньгами традиционными, ведь переводы и платежи внутри электронной платежной системы обладают:
? доступностью - любой пользователь имеет возможность открыть собственный электронный счет;
? мобильностью - вне зависимости от места своего нахождения пользователь может осуществлять любые финансовые операции со своим счетом;
? безопасностью - храня свои сбережения в электронном виде, можно не бояться, что они выпадут через дырку в кошельке или их насильно отберет какая-нибудь криминальная личность. Разумеется, мошенники и аферисты обосновались и тут, но если придерживаться определенных мер предосторожности, об этом можно не переживать - 128 битное шифрование, привязка к номеру мобильного телефона или “железу” компьютера и другие современные способы защиты сделают свое дело;
? простотой использования - для открытия и использования электронного счета не требуется специальных знаний;
? оперативностью - перевод средств со счета на счет происходит в считанные минуты;
? выгодностью - чтобы оплатить счет за интернет или пополнить счет на мобильном телефоне в терминале или банкомате можно только заплатив приличные комиссионные. С платежной системой такого не будет, комиссия снимается только за сам перевод и редко, когда достигает даже 1% от общей суммы;
? полным контролем - платежные системы позволяют быть в курсе всех своих трат, ведь история операций сохраняется и ее можно просмотреть в любое время, просто зайдя в соответствующий раздел своего профиля.
К недостаткам электронных платежных систем в современных условиях Узбекистана следует отнести:
? неразвитую инфраструктуру хранения и трансферты электронных средств;
? зависимость пользователей от аппаратных средств и коммуникаций;
? некоторые платежные системы находятся вне правовой зоны;
? низкую безопасность;
? конфиденциальность - все операции и переводы, которые вы совершаете, фиксируются на серверах платежной системы. В некоторых случаях, для доступа ко всем возможностям, пользователю предлагается предоставить свои персональные данные (идентификационный код, паспорт, иногда другие документы). Государственные налоговые службы могут без проблем получить доступ ко всей информации.
Универсальная карточная платежная система может состоять из следующих участников:
- банки или финансовые компании, являющиеся эмитентами карт;
- клиенты банка-эмитента или держатели карт;
- эквайеры – банки или финансовые компании, выдающие по картам наличные, производящие расчеты с предприятиями торговли и сферы услуг, принимающими карты к оплате;
- организации торговли и сферы услуг – POS (pointofsale);
- процессинговые компании или расчетно-процессинговые центры; расчетный банк.
Клиент подписывает с банком соглашение о порядке использования карточки, после чего банк открывает клиенту карточный счет, изготавливает карты, присваивает ей номер и заносит на нее номер, имя держателя, срок действия и другую информацию. Эта же информация заносится в базу данных.
При внесении денег на карточный счет клиент (держатель карты) заполняет платежный документ, копию которого он оставляет у себя. При снятии денег проверяется состояние счета клиента на наличие на счете необходимой суммы. У клиента при этом остается чек, как подтверждение снятия им денег. Все движения по счету отображаются в базе данных.
В зависимости от типа карты, используемой клиентом, схема работы может отличаться. В случае работы с магнитной картой необходимо перед проведением каждой операции проверять состояние счета, связываясь с процессинговой компанией, так как на карте находятся только идентификационные данные, а вся информация о движении по счету хранится в базе данных.
Функции центра авторизации может брать на себя банк-эмитент и банки - эквайеры. В случае использования смарт-карты информация о состоянии счета и PIN-код хранятся в самой карте. В банке по этому счету блокируется сумма, записанная на карту. Эта заблокированная сумма доступна для снятия только с помощью карты.
Следует отметить, что остаток по счету в банке не всегда равен остатку, записанному на карте. Незаблокированная сумма пополнятся при приходе средств на счет клиента, с нее также возможны списания по поручению клиента, например, для осуществления коммунальных платежей – такой вид карты получил название – «электронный кошелек». Есть и другие виды электронных кошельков, в которых хранится электронная наличность. В момент совершения операций по карте осуществляется только проверка «электронного кошелька».
При оплате товаров или услуг при помощи смарт-карты, продавец проводит операцию авторизации карточки с помощью POS терминала. После проверки по стоп - листу происходит обработка платежа в режиме off-line (без связи с банком). Корректировка остатка по счету происходит в базе данных банка.
Для пополнения «электронного кошелька» со счета в банке клиенту необходимо явиться в отделение банка, где будет проведена данная операция. При этом часть средств будет заблокирована.
Следует отметить, что на текущий момент наиболее распространенными все-таки являются схемы работы с магнитными картами. Однако в настоящее время стало очевидным, что перспективной является именно технология расчетов со смарт-картами.
Кратко электронные платежные системы (ЭПС) можно описать как технологию прямых взаиморасчетов между участниками сделки без дополнительных условностей (межбанковские переводы, указание личных данных и пр.) посредством Интернета. В сочетании с оперативностью, применение ЭПС поспособствовало резкому развитию электронной коммерции. Сегодня ЭПС – удобный способ расчетов для операторов сотовой связи, Интернет-провайдеров, крупных магазинов и др. Электронные деньги (ЭД) прошли три этапа развития. Первый этап - магнитные кредитные и дебетовые карты с широким использованием ЭПС. Второй этап - внедрение смарт-карт (с хранимой суммой). Эти ЭД не заменили их владельцам наличность, а лишь сделали распоряжение банковскими счетами более эффективным. Так основной смысл ЭД приобрел новое значение: сочетания преимуществ наличного и электронного оборота денежной массы. Третий этап развития электронной денежной формы - «сетевые деньги» - уже позволили осуществлять «онлайн» платежи. Сегодня в качестве ЭПС применяется несколько основных технологий платежных систем:
1. Использование кредитных схем – в основе кредитных платежных систем лежит использование кредитных карточек. При разовых покупках карточка действует так же, как при обычной покупке в магазине: клиент покупает товар или услугу и передает продавцу для оплаты номер своей кредитной карточки, только происходит всё через Интернет. Такой способ передачи данных обязывает к применению дополнительных мер безопасности (шифрование обмена сообщениями, цифровая подпись и т.д.). Схема проведения платежей через Интернет выглядит следующим образом:
? покупатель на странице электронного магазина выбирает товар или услугу, формирует «корзину» покупок и выбирает способ оплаты "кредитная карта";
? реквизиты карты (номер, имя владельца, дата окончания действия) передаются платежной системе Интернет для авторизации. При этом параметры кредитной карты могут вводиться как на сайте магазина (после этого они будут переданы на сервер платежной системы), так и непосредственно на сервере платежной системы. Для покупателя второй способ считается более безопасным, т.к. в этом случае снижается риск «утечки» сведений о карте;
? платежная система Интернет передает запрос на авторизацию в процессинговый центр платежной системы, который и производит авторизацию карты;
? результат авторизации передается платежной системе Интернет;
? продавец и покупатель получают результат авторизации;
? при положительном результате авторизации:
• магазин оказывает услугу, или отгружает товар;
• процессинговый центр передает в расчетный банк сведения о совершенной транзакции. Деньги со счета покупателя в банке-эмитенте перечисляются через расчетный банк на счет магазина в банке-эквайере.
К преимуществам этого способа оплаты можно отнести:
? адаптированность к условиям существующих расчетных схем;
? привычность для клиентов и правовая определенность;
? достаточно высокая защищенность конфиденциальной информации за счет использования протокола HTTPS. В соответствии с этим протоколом номер карточки, передаваемый по сети, шифруется. Дешифровку смогут осуществлять только уполномоченные банки и процессинговые компании. Этот протокол должен обеспечить защиту клиентов от недобросовестных продавцов и защиту продавцов от мошенничества при помощи поддельных или краденых карточек;
? простота использования.
В числе недостатков можно назвать:
? неразвитость рынка кредитных карт в Узбекистане;
? транзакция по кредитной карте через Интернет с точки зрения платежных систем сетей является "транзакцией без физического присутствия владельца", и как следствие того, повышается риск возможности перехвата личной и банковской информации во время транзакции, что требует повышенной степени защиты;
? относительно высокая стоимость транзакции: в среднем магазин уплачивает процессинговой компании 3-6% от суммы операции;
? временная задержка в 3-14 дней при переводе денег;
? необходимость ведения страховых депозитов (20-70% оборота), сложная и дорогая процедура осуществления возврата денег;
? необходимость проверки кредитоспособности клиента и авторизации карточки, повышающая издержки на проведение транзакции и делающая системы неприспособленными для микроплатежей;
? отсутствие анонимности и, как следствие, навязчивый сервис со стороны торговых структур.
2. Использование дебетовых схем - Дебетовые карточки могут использоваться при оплате товаров и услуг через Internet в режиме онлайн так же, как при получении наличных в банкомате: для совершения платежа клиент должен ввести номер карточки и PIN-код. Однако на практике этот вариант используется редко. Гораздо шире распространены электронные чеки. Электронный чек, как и его бумажный аналог, содержит код банка, в который чек должен быть предъявлен для оплаты, и номер счета клиента. Клиринг по электронным чекам осуществляют различные компании, например, CyberCash. К категории дебетовых схем можно отнести и расчеты с помощью электронных кошельков, для которых предусмотрен клиринг транзакций, в том числе с помощью виртуальных электронных кошельков (сумма хранится в этом случае на жестком диске компьютера). Главное достоинство дебетовых схем состоит в том, что они избавляют клиента от необходимости платить проценты за кредит. Отсутствие поддержки солидных фирм на уровне безопасности - вот одна из причин непопулярности дебетовых схем расчетов. Тем не менее, в секторе мелких платежей, где проблема безопасности стоит не столь остро, дебетовые схемы (к которым также применим механизм сбора транзакций) могут успешно конкурировать с кредитными. Использование электронных кошельков - это специальная программа или интернет-сервис, которые позволяют хранить электронные деньги и выполнять электронные расчеты. На просторах СНГ наибольшую популярность получили такие системы:
? WebMoney;
? Яндекс Деньги;
? Pay me;
? QIWI-кошелек;
? Easy Pay;
? Hamkor Bank.
Каждый электронный кошелек имеет сильные и слабые стороны, их необходимо учитывать перед тем, как отдавать предпочтение той или иной системе. Теперь рассмотрим каждый сервис по отдельности.
- WebMoney – одна из старейших систем на просторах СНГ. Она была создана в 1998 году и с тех пор успела завоевать огромную аудиторию. Сервис работает с различными валютами: узбекским суммам, долларами, гривнами, российским, белорусскими рублями, евро и другими, под каждую из которых можно создать отдельный кошелек. Кроме этого, есть специальный интернет-модуль для золота.
Рисунок 1. Электронный кошелёк «WebMoney»
Использовать WebMoney относительно просто. Для того, чтобы увеличить список операций, необходимо получить аттестат. Сделать это можно абсолютно бесплатно (если речь идет о формальном документе), для процедуры необходимо заполнить анкету и загрузить сканированные копии паспорта и банковской карты. Перевод титульных знаков совершается после того, как введен номер кошелька.
WebMoney имеет многоступенчатую систему защиты, каждая операция подтверждается специальным СМС-кодом. Совсем недавно было выпущено специальное приложение для мобильных платформ, которое позволяет использовать WebMoney на телефонах и планшетах.
- Pay Me – умный кошелек, который работает с огромным количеством счетов. Главной особенностью является простота в использовании, гарантия как для продавца, так и для покупателя (если речь идет о покупках) и множество другого.
Рисунок 3. Электронный кошелёк «Pay me»
В случае оплаты покупок важнейшей особенностью Pay Me является предоставление гарантий безопасности, как покупателю, так и продавцу. Для узбекских пользователей Pay Me возможность приёма платежей на счёт появилась лишь в октябре 2011 года, и на текущий момент вывод средств со счёта для узбекских пользователей возможен на счета в узбекских банках. Для наибольшего охвата клиентов и предоставления качественных услуг компания Pay me планирует начать сотрудничает со многими онлайн платежными системами «Яндекс.Деньги», «WebMoney», «QIWI-кошелек» и другими.
- QIWI-кошелек - Основная особенность QIWI-кошелька – возможность работы, как через стандартные каналы – интернет, мобильный телефон, так и через платежные терминалы.
Рисунок 4. Электронный кошелёк «QIWI-кошелек»
Преимущества платежной системы «QIWI Кошелек»:
? отсутствие комиссии за оплату услуг и ввод средств;
? широкие возможности пополнения счета и интеграции с популярными электронными платежными системами;
? одновременная возможность работы с системой через мобильный телефон, смартфон, КПК или веб-интерфейс;
? возможность проведения платежей с помощью SMS при отсутствии GPRS-соединения;
? юридически грамотно составленный текст оферты об использовании платежного сервиса;
? отсутствие каких-либо жестких требований к телефону и программному обеспечению: наличие пяти способов регистрации в системе;
? высокий уровень безопасности транзакций (переводов);
? поддержка современной технологии MDS (штрих-код в мобильном телефоне);
? уведомления о выставленных счетах в виде SMS-сообщения;
? возможность отключения от Интернета вручную после окончания операции;
? SMS-платежи (в том случае, если GPRS-соединение недоступно)
Недостатки платежной системы «QIWI Кошелек»:
? сложности c настройками GPRS-Internet - они, как правило, не прописаны в подавляющем большинстве моделей мобильных телефонов;
? весьма ограниченные возможности обналичивай и вывода денег из "QIWI Кошелька";
? высокий процент комиссии при выводе средств – 4% от суммы перевода;
? требование периодического обновления списка магазинов, партнеров и сервисов, при этом, если пользователем удаляются ненужные сервисы, то при следующем обновлении эти изменения не сохраняются.
- Hamkor Bank могут использовать только люди, которые имеют счет или карту в этом банке. Также существует огромное количество аналогичных сервисов от других банков.
Рисунок 5. Электронный кошелёк «Hamkor Bank»
Главные преимущества - возможность совершать операции круглосуточно и дистанционно, получить доступ к своим счетам можно с любого компьютера, телефона или планшета с выходом в интернет, из любой точки мира и в любое время суток, включая выходные и праздничные дни.
Более 100 000 компаний сотрудничают со Hamkor Bank, что позволяет его клиентам дистанционно оплачивать услуги большинства узбекских частных и государственных компаний, муниципальных учреждений, надзорных органов и т.д.
Hamkor Bank создан не только для совершения расчётных операций, через него можно открыть вклад, отправить заявку на кредит или получить выписку по счёту, график платежей, узнать остаток средств на карте. То есть, получить элементарную информацию, не выходя из дома.
Нельзя не отметить высокую степень защиты Hamkor Bank онлайн, которая позволяет миллионам граждан безопасно использовать данную услугу. Взлом вашего аккаунта практически не возможен, если хранить данные для входа в надёжном месте и не посещать сайтом сомнительного содержания.
Под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Основными видами угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:
? стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);
? сбои и отказы оборудования (технических средств) АС;
? последствия ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);
? ошибки эксплуатации (пользователей, операторов и другого персонала);
? преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников и т.п.).
Все множество потенциальных угроз по природе их возникновения разделяется на два класса:
? естественные угрозы- это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека;
? искусственные угрозы- это угрозы АС, вызванные деятельностью человека.
Среди них, исходя из мотивации действий, можно выделить:
? непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
? преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал). Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
? неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
? неправомерное отключение оборудования или изменение режимов работы устройств и программ;
? неумышленная порча носителей информации;
? запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
? нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
? заражение компьютера вирусами;
? неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;
? разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
? проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
? игнорирование установленных правил при работе в системе;
? вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
? некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
? пересылка данных по ошибочному адресу абонента (устройства);
? ввод ошибочных данных;
? неумышленное повреждение каналов связи.
Основные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
? физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
