Безопасность платежных систем

При создании платежных систем необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность должна обеспечивать целостность программ и данных, обеспечение нормальной работы всей системы. Внешняя — должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существует два подхода к построению защиты платежных систем:

  • комплексный подход — объединяет разнообразные методы противодействия угрозам;
  • фрагментарный подход — противодействие определенным угрозам (антивирусные средства и т. п.).

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой был приведен свод правил и норм, атакже основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее «руководство к действию» для специалистов по защите информации. В ней определяются описанные ниже понятия.

Политика безопасности, т. е. совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации. Политика безопасности определяет:

  1. Цели, задачи, приоритеты системы безопасности.
  2. Гарантированный минимальный уровень защиты.
  3. Обязанности персонала по обеспечению защиты.
  4. Санкции за нарушение защиты.
  5. Области действия отдельных подсистем.

Анализ риска, который состоит из нескольких этапов:

  1. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.).
  2. Определение по каждому элементу системы уязвимых мест.
  3. Оценка вероятности реализации угроз.
  4. Оценка ожидаемых размеров потерь.
  5. Анализ методов и средств защиты.
  6. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод такого разграничения информации следующий:

  • конфиденциальная информация — доступ к которой строго ограничен;
  • открытая информация — доступ к которой посторонних не связан с материальными и другими потерями.

Для коммерческой деятельности такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:

  • несанкционированный доступ, т. е. получение пользователем доступа к объекту без соответствующего разрешения;
  • «взлом системы», т. е. умышленное проникновение (основную нагрузку защиты в этих случаях несет программа входа);
  • «маскарад», т. е. выполнение каких-либо действий одним пользователем банковской системы от имени другого;
  • вирусные программы, т. е. воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

Проблема обеспечения своей информационной безопасности выходит за рамки одной страны. Ни один из пользователей сети не защищен на все 100%. Вырабатываются новые программы защиты, но рано или поздно находится «умник», который проходит через все хитроумные преграды. Одно из самых крупных проникновений в банковскую сеть за последние годы — попытка снять более $ 12 млн из Ситибанка (крупнейший банк Америки и крупнейший в мире торговец валютой) нашим соотечественником Левиным в 1994 г. Больше четверти миллиона этой суммы до сих пор не найдено, и перспектив найти и вернуть деньги их законному владельцу пока нет. Все чаще и чаще средства массовой информации сообщают о хакерах, взламывающих защиту в виртуальных магазинах и делающих покупки по чужим кредитным карточкам. Идет своего рода состязание между «взломщиками» и «защитниками», и кто кого одолеет, пока неизвестно.
В зависимости от существующих угроз, различают следующие направления защиты электронных систем:

  1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
  2. Защита информационных ресурсов от несанкционированного использования.
  3. Защита информационных ресурсов от несанкционированного доступа.
  4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»),
  5. Защита юридической значимости электронных документов.
  6. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания, аппаратные и аппаратно- программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиту программы восстановления и резервного хранения информации. Например, разработчики платежной системы Webmoney Transfer предприняли повышенные меры безопасности для всех сообщений в системе с помощью их кодировки. Использование специального алгоритма защиты информации (похожего на алгоритм RSA, где длина ключа более 1024 бит) и использование специальных ключей при каждом сеансе передачи информации позволяет защитить информацию о назначении и сумме платежа от чужого любопытства.

Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер. В государственном секторе и при наличии информации, относящейся к государственной тайне, они обязательны для исполнения. Технологий защиты данных много, однако постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при президенте РФ). Ни западных, ни наших сертифицированных программ защиты платежей, проводимых через Интернет, пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги в Интернете выгодны для клиентов, выгодны для банков, выгодны для коммерсантов, поскольку себестоимость любых электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание, причем в самые короткие сроки.