Безопасность платежных систем
При создании платежных систем необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность должна обеспечивать целостность программ и данных, обеспечение нормальной работы всей системы. Внешняя — должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существует два подхода к построению защиты платежных систем:
- комплексный подход — объединяет разнообразные методы противодействия угрозам;
- фрагментарный подход — противодействие определенным угрозам (антивирусные средства и т. п.).
Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой был приведен свод правил и норм, атакже основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются описанные ниже понятия.
Политика безопасности, т. е. совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации. Политика безопасности определяет:
- Цели, задачи, приоритеты системы безопасности.
- Гарантированный минимальный уровень защиты.
- Обязанности персонала по обеспечению защиты.
- Санкции за нарушение защиты.
- Области действия отдельных подсистем.
Анализ риска, который состоит из нескольких этапов:
- Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.).
- Определение по каждому элементу системы уязвимых мест.
- Оценка вероятности реализации угроз.
- Оценка ожидаемых размеров потерь.
- Анализ методов и средств защиты.
- Оценка оптимальности предлагаемых мер.
Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод такого разграничения информации следующий:
- конфиденциальная информация — доступ к которой строго ограничен;
- открытая информация — доступ к которой посторонних не связан с материальными и другими потерями.
Для коммерческой деятельности такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
- несанкционированный доступ, т. е. получение пользователем доступа к объекту без соответствующего разрешения;
- «взлом системы», т. е. умышленное проникновение (основную нагрузку защиты в этих случаях несет программа входа);
- «маскарад», т. е. выполнение каких-либо действий одним пользователем банковской системы от имени другого;
- вирусные программы, т. е. воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.
Проблема обеспечения своей информационной безопасности выходит за рамки одной страны. Ни один из пользователей сети не защищен на все 100%. Вырабатываются новые программы защиты, но рано или поздно находится «умник», который проходит через все хитроумные преграды. Одно из самых крупных проникновений в банковскую сеть за последние годы — попытка снять более $ 12 млн из Ситибанка (крупнейший банк Америки и крупнейший в мире торговец валютой) нашим соотечественником Левиным в 1994 г. Больше четверти миллиона этой суммы до сих пор не найдено, и перспектив найти и вернуть деньги их законному владельцу пока нет. Все чаще и чаще средства массовой информации сообщают о хакерах, взламывающих защиту в виртуальных магазинах и делающих покупки по чужим кредитным карточкам. Идет своего рода состязание между «взломщиками» и «защитниками», и кто кого одолеет, пока неизвестно.
В зависимости от существующих угроз, различают следующие направления защиты электронных систем:
- Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
- Защита информационных ресурсов от несанкционированного использования.
- Защита информационных ресурсов от несанкционированного доступа.
- Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»),
- Защита юридической значимости электронных документов.
- Защита систем от вирусов.
Существуют различные программно-технические средства защиты.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания, аппаратные и аппаратно- программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.
К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиту программы восстановления и резервного хранения информации. Например, разработчики платежной системы Webmoney Transfer предприняли повышенные меры безопасности для всех сообщений в системе с помощью их кодировки. Использование специального алгоритма защиты информации (похожего на алгоритм RSA, где длина ключа более 1024 бит) и использование специальных ключей при каждом сеансе передачи информации позволяет защитить информацию о назначении и сумме платежа от чужого любопытства.
Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер. В государственном секторе и при наличии информации, относящейся к государственной тайне, они обязательны для исполнения. Технологий защиты данных много, однако постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при президенте РФ). Ни западных, ни наших сертифицированных программ защиты платежей, проводимых через Интернет, пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги в Интернете выгодны для клиентов, выгодны для банков, выгодны для коммерсантов, поскольку себестоимость любых электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание, причем в самые короткие сроки.