Вы, наверное, используете сильные и уникальные пароли для предотвращения взлома ваших интернет-аккаунтов, но достаточно ли этого? Может быть, да, но с достаточной долей уверенности, можно утверждать что Google и Facebook аккаунты могут быть взломаны, несмотря на очень сложные пароли, которые не могут быть легко угаданы.

У большинства людей есть несколько десятков учетных записей онлайн, и возможно, необходимо оценить безопасность и параметры восстановления для каждого из них. С другой стороны, можно просто совершить несколько дополнительных шагов, перечисленных ниже, что поможет улучшить общую безопасность этих аккаунтов. Если вы нашли что-то полезное в списке, Вы можете попробовать реализовать его для улучшения защищенности своих данных.

Контрольный список по безопасности для онлайн-аккаунтов

1. Включайте опцию «Всегда использовать HTTPS» в настройках для Facebook, Twitter, Gmail, Google и всех других онлайн-сервисов, которые поддерживают безопасное HTTP. Это особенно важно при доступе к Интернету через Wi-Fi сети, потому что без HTTPS, любой (а не только квалифицированный хакер) может захватить ваши данные для входа используя Firesheep , простое расширение Firefox.
2. Если у вас есть один или несколько аккаунтов Google, используйте 2-х этапную аутентификацию. Это означает, что если кто-то пытается войти в ваш аккаунт Google с другого компьютера, им придется ввести дополнительный код, который поступает непосредственно на мобильный телефон в виде текстового сообщения SMS или через голосовой вызов.
3. Двухэтапная аутентификация может также предупредить Вас о возможной хакерской активности. Если вы когда-либо получите SMS (или голосовой вызов) от Google с проверкой кода, без вашего запроса, то это является непосредственным свидетельством того, что кто-то знает ваш пароль, хотя он и не в состоянии получить доступ без ввода кода подтверждения.
4. Подключите свой номер мобильного телефона к учетной записи Facebook. Это чрезвычайно важно, потому что в этом случае, вы будете получать SMS и мгновенные оповещения по электронной почте всякий раз, когда в Facebook аккаунт, будет совершена попытка доступа с другого компьютера или другого мобильного телефона.
5. Внимательно изучите сторонние сайты, которые имеют доступ к вашим онлайн-аккаунтам и закройте доступ для всех нежелательных приложений, которые больше не используются. Это необходимо сделать для ваших учетных записей на Facebook, Google и Twitter.
6. Используйте два адреса — один общественный, который отображается в блогах и форумах, а другой адрес электронной почты, сообщайте только доверенным пользователям. Почему? Публичный адрес электронной почты, связанный с такими сервисами как Twitter, YouTube, Facebook, Foursquare, LinkedIn, Flickr, Tumblr, Posterous, Skype и другими социальными сайтами, используйте, чтобы люди могли найти и связаться с вами, если у них есть ваш адрес электронной почты в их адресной книге. Помимо этого, используйте другой «секретный» адрес электронной почты, для сервисов типа Dropbox, Amazon, Google Apps, ваш банковкий аккаунт, хостинг, Apple ITunes, PayPal и других мест, где важность безопасности становится еще более критической. Не используйте этот адрес для связи с людьми.
7. Если вы тестируете новый онлайн-сервис, используйте одноразовые адреса электронной почты для создания тестовой учетной записи в этой службе. Правда, некоторые онлайн-сервисы не принимают одноразовые адреса для предотвращения поддельных регистраций.
8. Предпочтительно использовать виртуальную кредитную карту для торговых операций, особенно на сайтах, где вы совершаете покупку в первый раз или там где много текста написано мелким шрифтом, или есть риск того, что счет будет выставлен снова, если я не аннулировать аккаунт. Это также поможет сохранить кредитную карту в безопасности при работе с относительно неизвестными сайтами.
9. Время от времени, тестируйте самые важные онлайн-сервисы для проверки различных вариантов восстановления пароля. В случае, если вы, действительно забудете пароль или потеряете доступ к дополнительному адресу электронной почты или номеру своего мобильного телефона- это окажется весьма полезным.

Как помнить и управлять множеством различных паролей?

Некоторые люди предпочитают использовать менеджеры паролей, которые очень удобны. Другой способ состоит в создании простого 1-страничного документа для хранения информации о всех онлайн-аккаунтах и соответствующих паролях. Этот файл, защищенный паролем храните на Dropbox, и информация будет доступна на всех компьютерах.

Это может удивить некоторых, но вы можете создать копию этого файла, что бы члены семьи могли воспользоваться им в случае, если вы будете путешествовать, а они нуждаются в срочном доступе к любому из онлайн-сервисов. Кроме того, поскольку чтобы получить доступ к Gmail или Google аккаунтам необходим  мобильный телефон, включите резервные коды подтверждения для доступа к документу. Таким образом, аккаунт Google можно использовать без необходимости использовать телефон.

Современные мобильные устройства все чаще используются для выхода в Интернет. Экран мобильного телефона существенно отличается по своим возможностям от экрана компьютера, да и скорость мобильного Интернета ограничена. Поэтому для мобильных устройств было разработано специальное средство для доступа к ресурсам Интернет -протокол беспроводного доступа WAP (Wireless Application Protocol), который стал достаточно распространенным.

С появлением новой технологии все большую популярность стали приобретать специальные приложения. К таким приложениям относятся мобильные кошельки. С помощью этого сервиса пользователь может в режиме on-line проверить состояние своего банковского счета. Для этого необходимо запустить на телефоне программу «Мобильный кошелек» и сделать с его помощью соответствующий запрос. Приложение установит безопасное WAP-соединение со шлюзом необходимого банка и обменяется требуемой информацией. В результате пользователь увидит на экране телефона состояние своего банковского счета. Кроме того, с помощью подобных сервисов можно осуществлять платежи, переводить деньги на счет мобильного телефона, оплачивать покупки.

Услуга эта весьма удобная и в настоящее время набирает все большую популярность. Чем шире распространяется данный сервис, тем больше внимания ему уделяют злоумышленники, которые используют в своих атаках не только ошибки банковских программистов, но и ошибки проектировщиков услуг мобильной связи.

К сожалению, в погоне за прибылью банки не всегда задумываются об обеспечении безопасности своих сервисов.

Атака, результатом которой является снятие денег с чужого банковского счета, является следствием уязвимости технологий, лежащих в основе доступа в сеть Интернет с мобильного устройства.

Использование мобильного кошелька для получения информации о вашем счете в банке может привести к тому, что вы лишитесь средств не только на мобильном телефоне, но и на банковской карте.

Разработчики уже упоминавшегося ранее протокола беспроводного доступа WAP старались максимально скопировать хорошо зарекомендовавшую себя технологию World Wide Web. В WAP используется тот же способ адресации ресурсов, что и в WWW, те же обозначения типов данных.

В WAP существуют свои аналоги языка разметки HTML и скриптовых языков. Обычно запрос с мобильного устройства в сеть Интернет посылает либо специальный WAP-браузер, либо специальное приложение. В нашем случае, это мобильный кошелек. Далее запросы поступают на WAP-шлюз. В функции WAP-шлюза входит преобразование запросов из формата WAP-протокола в формат WWW-протокола и обратно. Кроме того, WAP-шлюз преобразует данные с целью оптимизации трафика и уменьшения объема передаваемых по сети данных.

Как и в WWW-протоколе, в WAP существуют свои средства для защищенной передачи данных. Если в WWW-протоколе к таким относится SSL, то в WAP — это WTLS (Wireless Transport Layer Security). Протокол WTLS был разработан и внедрен для обеспечения сохранности персональных данных при передаче информации между беспроводными терминалами, в том числе между сотовыми телефонами. Количество устройств, активно использующих WTLS-протокол, в настоящее время приближается к нескольким десяткам миллионов.

Как уже упоминалось, WTLS-протокол по своей сути очень схож с протоколами SSL и TLS, но все же имеет ряд различий, которые обусловлены следующими причинами:

• низкой скоростью передачи данных между мобильными терминалами;
• невысокой производительностью процессоров большинства мобильных устройств;
• неполной реализацией криптографических преобразований ввиду ограничений архитектуры сотовых телефонов.

Именно на основе приведенных особенностей и был разработан протокол WTLS, лишь частично опирающийся на знакомую архитектуру SSL и TLS.

Внесенные изменения в архитектуру SSL и TLS привели к тому, что в новом протоколе появились существенные уязвимости. Так, попытки снизить нагрузку на центральный процессор мобильных устройств привели к тому, что WTLS-протокол обладает крайне слабой системой шифрования. Объясним это на простом примере. Прежде всего, напомним, что большинство протоколов защищенной передачи данных основаны на использовании понятий закрытого и открытого ключа.

Открытый ключ — ключ, используемый для того, чтобы зашифровать некоторый пакет данных пользователя. После того, как данные зашифрованы, расшифровать их можно, используя закрытый ключ. Открытый ключ не является секретным и может свободно распространяться. Точные копии одного и того же текста, зашифрованные с помощью открытого ключа, имеют одинаковые зашифрованные сообщения.

Закрытый ключ — ключ, известный только своему владельцу. С помощью этого ключа можно расшифровать любые пакеты данных. Знание открытого ключа не дает возможности определить закрытый ключ.

Пусть два абонента — банк и мобильный кошелек пользователя на сотовом телефоне — хотят установить безопасное соединение. Для этого банк вырабатывает открытый ключ Е и отправляет его мобильному кошельку по открытому каналу, то есть по каналу, который может прослушивать злоумышленник.

Закрытый же ключ банк хранит у себя. Это секретный ключ.

Мобильный кошелек вырабатывает некоторую случайную последовательность байт X. Чтобы отправить ее банку, он применяет функцию шифрования, используя для этого открытый ключ. В результате получается зашифрованное сообщение, которое банк расшифровывает, применяя свой закрытый ключ.

Далее начинается защищенный обмен информацией между банком и мобильным кошельком. Банк, зная случайное сообщение X, вырабатывает новое сообщение XN. Делает он это следующим образом:

XN=X XOR N,

где XOR — это логическая операция побитового исключающего ИЛИ, N — это номер передаваемого по защищенному каналу сообщения. Далее происходит шифрование передаваемого сообщения PN:

CN = Е (XN, PN),

где Е — это операция шифрования на ключе XN.

Соответственно, для передачи следующего сообщения будет сначала выработано сообщение XN+1, а потом уже CN+1.

Казалось бы, данная схема позволяет быть уверенным в полной безопасности системы. Но это не так. Дело в том, что мобильные кошельки, как и большинство других приложений, работающих по WAP, передают информацию небольшими пакетами, что связано с характерными особенностями передачи данных по каналам мобильного интернета.

Пусть пользователь вводит свой пароль в мобильном кошельке на своем сотовом телефоне. Каждая буква пароля отправляется в собственном пакете данных, который шифруется отдельно.

Пусть злоумышленник перехватывает эти пакеты. Пакеты зашифрованы, а значит, злоумышленник не может догадаться о содержимом пакета, но он знает, что в его руках оказалась шифровка следующего формата:

CN = Е (X XOR N, PN)

Если злоумышленник прослушивал сеть начиная с того момента, как пользователь открыл приложение мобильного кошелька, то он знает номер N передаваемого сообщения. Этой информации достаточно для того, чтобы узнать пароль пользователя мобильного кошелька.

Ранее мы рассмотрели, как злоумышленник может получить контроль над посторонним сотовым телефоном. В частности, как он может установить вредоносную программу, которая сможет получить доступ к отрытому каналу между банком и мобильным кошельком. После того, как взломщик получит доступ к каналу, ему будет необходимо отправить в сеть якобы от мобильного кошелька следующее сообщение:

Р = N XOR G XOR S,

где G — это предполагаемая злоумышленником буква, которую атакуемый мог ввести в качестве одной из букв пароля, переданной в пакете с номером S, а N — это последовательный номер передаваемого пакета.

Перехватив уже зашифрованный пакет, он может сравнить его с пакетом номер S. Если зашифрованные значения совпали, то догадка мошенника верна и с помощью банального перебора он может получить пароль мобильного кошелька пользователя. А это в свою очередь открывает ему доступ к банковскому счету пострадавшего. Это не единственные недостатки реализации WTLS протокола. Существует еще целый ряд уязвимостей WAP-протокола.

Защититься от подобной атаки можно, если оставаться бдительным и помнить о ряде признаков того, что ваш мобильный кошелек может быть взломан. Прежде всего, с подозрением надо отнестись к тому, что у вас не с первого раза принимают вводимый пароль. Это может быть следствием того, что злоумышленник внедряет свои пакеты в передаваемые данные, тем самым делая перебор вашего пароля описанным выше способом. Конечно самым неприятным доказательством того, что ваш счет взломали, является стремительное уменьшение вашего баланса. Лучшей защитой по-прежнему является отказ от использования уязвимых мобильных кошельков ряда банков.

Мобильная связь и сфера банковских услуг тесно связаны друг с другом. SMS-сервисы — одна из первых услуг, к которой обратились банковские системы. Самым популярным из них является, пожалуй, сервис оповещения о количестве средств на собственном счете. Такая услуга предоставляется большинством банков. Ведь весьма удобно получать SMS-сообщение каждый раз, когда ваш счет уменьшается, и уж тем более, если у вас пополняется баланс. Кроме того, по запросу можно узнать состояние своего баланса. Для этого необходимо послать SMS-сообщение на заранее выданный вам банком телефонный номер. В ответ вы получите информацию о состоянии вашего банковского счета.

К сожалению, подобные системы уязвимы. Данные о вашем балансе можете узнать не только вы, но и злоумышленник. Причем ему не надо будет знать ни вашего имени, ни номера счета, а только номер вашего телефона.

Для того чтобы понять, каким образом злоумышленник получает доступ к информации о состоянии банковского счета, необходимо уделить внимание рассмотрению архитектуры наиболее распространенной системы SMS-оповещения, которой пользуются банки.

Стандартную схему вы можете видеть на приведенном ниже рисунке. Любой банк имеет базу данных собственных клиентов. Если клиент подписан на SMS-сервис, то его телефонный номер всегда присутствует в базе данных. Именно с этими номерами работает установленное на стороне банка приложение, отвечающее за SMS-рассылку. Такое приложение обменивается информацией по сети Интернет с уже хорошо знакомым нам SMS-шлюзом поставщика услуг мобильной связи. Как правило, обмен идет по защищенному протоколу HTTPS. Поставщик услуг в свою очередь связан с передающими станциями операторов, обмениваясь с ними данными по защищенному HTTPS-протоколу.

А с сотовыми операторами обмениваются SMS-сообщениями уже пользователи услуг. Схема достаточно проста и с виду вполне надежна. Приведем теперь примеры запросов, которыми обмениваются участники данной схемы. Так как мы рассматриваем проблему уязвимости SMS-систем банков в целом, то приводимые запросы — это всего лишь обобщение запросов с указанием вымышленных имен банков и шлюзов. Поставщик услуг, получив от зарегистрированного пользователя с номером 89037548744 SMS-сообщение, формирует следующий запрос информационной системе банка о состоянии счета:

https://sms.plohoybank.ru?<xmlversion=?1.0?><sms>
<tel>89037548744</tel>
<request> check balance</request><sms></xml>

Как видно из приведенного примера, запрос представляет собой следующее сообщение в XML формате:

<xml version=?1.0?>
<sms>
<tel>89037548744</tel>
<request>check balance</request>
</sms>
</xml>

В теге tel записывается номер телефона, а в теге request — команда на проверку состояния счета.

При получении запроса банковское приложение ищет номер счета пользователя, связанного с номером мобильного телефона. Если счет существует, то приложение посылает в ответ SMS-сообщение с детальной информацией о состоянии счета.

К сожалению, данная схема уязвима. Во-первых, не все банковские приложения выполняют проверку на подлинность таких запросов. То есть не все приложения используют защищенные протоколы передачи данных с поддержкой аутентификации клиентов. А это значит, что злоумышленник может выполнить поддельный запрос к банковскому приложению. Для этого ему необходимо знать Интернет-адрес банковского приложения и номер мобильного телефона интересующего его абонента.

Во-вторых, даже защищенные протоколы передачи данных, такие как SSL, все же являются уязвимыми. Интересно то, что для подобной атаки злоумышленнику необходим всего лишь компьютер с выходом в Интернет и Интернет-браузер. На рисунке выше приведен пример того, как набрав в браузере запрос к банковскому приложению, пользователь без всякой авторизации смог получить подробную информацию о банковском счете.

С помощью описанного механизма злоумышленник может не только получить информацию о состоянии баланса абонента, но и собрать информацию о банковском приложении для осуществления последующих атак. Целью атак является не само приложение, а получение полного доступа к банковским программным комплексам обработки данных. В результате злоумышленник будет обладать информацией о счетах всех клиентов банка.

Приведем простейший пример того, как злоумышленник может получить дополнительную информацию о банковском приложении.

Если злоумышленник выполнит следующий запрос:

https://sms.plohoybank.ru?<xml version=?1.0?<sms></sms></xml>

то от банковского приложения он получит ответ, приведенный ниже.

Банковские приложения содержат проверку входящих сообщений от поставщиков услуг. В случае некорректности таких сообщений, банковские приложения предупреждают об ошибках и указывают на них. Например, в приведенном на рисунке запросе не заполнены параметры. Автоматизированная система банка сообщает, что в запросе отсутствует поле с именем tel. Такие подсказки позволяют злоумышленнику получить информацию о правильной структуре запроса и, в конечном счете, об особенностях архитектуры банковской системы управления счетами клиентов.

Для предотвращения подобного рода атак банки должны более внимательно относиться к безопасности своего программного обеспечения. Во-первых, необходимо использовать защищенные протоколы. Во-вторых, приложения должны правильно обрабатывать ошибки таким образом, чтобы не снабжать мошенника данными, на основе которых он смог бы получить представление об архитектуре и уязвимостях системы.

Для пользователя подобных услуг дополнительной информацией о том, что злоумышленник ведет охоту за сведениями о его банковском балансе, может быть получение сообщения о состоянии счета, которое он не запрашивал.

Поясним, почему так может произойти и почему это является признаком атаки.

Дело в том, что не все банковские системы отвечают на HTTP-запрос HTTP-ответом, сообщая состояние баланса в течение установленного соединения. Иногда приложения отвечают лишь сообщением о том, что запрос получен. После того, как в базе данных найдены сведения о состоянии счета, информационная система банка посылает запрос SMS-шлюзу на передачу SMS-сообщения с данными о балансе. При этом, если злоумышленник не может перехватить или прервать его передачу, то на телефон пользователя придет не запрошенное им сообщение.

Одним из явных признаков атаки является получение незапрашиваемых SMS-сообщений с информацией о состоянии вашего банковского счета.

Таким образом, получение неожиданных SMS-сообщений о состоянии счета должно вас насторожить.

Кроме того, необходимо быть аккуратнее с незнакомцами, которые пытаются подключиться к вашему телефону. Если вы предполагаете, что ваше мобильное устройство уязвимо, то необходимо сменить прошивку на более безопасную или поменять модель аппарата.

Новые представления о пространстве и времени, рожденные теорией относительности Эйнштейна, развитие наших представлений о материи (квантовая теория поля, элементарные частицы, полупроводники, сверхтекучесть, сверхпроводимость и т. п.), появление ядерной физики (от первых представлений об атоме Резерфорда и Бора, до расщепления и синтеза атомного ядра и управляемых термоядерных реакций), полеты человека в космос и развитие космонавтики, компьютеризация общества — все это символы прошедшего XX века. За одно столетие человечество совершило в своем развитии беспрецедентный по значимости шаг вперед.

Успехи в науке привели к тому, что XX век стал веком автоматизации в самых разных областях человеческой деятельности (наука, промышленность, финансовая активность, быт и т. п.). Примером внедрения автоматизации могут служить разнообразные системы управления, созданные человеком для обеспечения надежного контроля и управления функционированием как отдельных технических устройств, так и целых отраслей промышленности.

Автоматизация коснулась широких слоев населения планеты. Сегодня на многих предприятиях для повышения эффективности работы сотрудников внедрены локальные сети персональных компьютеров, позволяющие широко использовать системы электронной почты, электронного документооборота, юридические и бухгалтерские консультационные системы и многое, многое другое.

Успешное широкомасштабное внедрение средств автоматизации стало возможным только благодаря появлению электронных вычислительных машин (ЭВМ). Компьютер наряду с ядерной физикой и космонавтикой стал одним из главных символов прошедшего века. Влияние последствий появления вычислительных машин на развитие человеческого общества переоценить невозможно.

Компьютер впервые позволил человеку обрабатывать колоссальные объемы информации в течение коротких интервалов времени. Переход «количества» в «качество» не заставил себя долго ждать. На страницах этой книги невозможно даже перечислить всего, что стало возможным благодаря появлению ЭВМ.

Не ставя себе задачу рассказать о всех победах, одержанных человеком благодаря появлению компьютера, отметим лишь два достаточно экзотических открытия — расшифровку генома человека и доказательство великой теоремы Ферма (проблемы теории чисел, стоявшей перед математиками в течение нескольких веков), — сделать которые без использования компьютера было бы весьма затруднительно.

Бурное развитие вычислительной техники, вылившееся в появление компьютеров различной производительности и назначения (от высокопроизводительных мэйнфреймов до микропроцессоров на пластиковых картах), в свою очередь стимулировало развитие систем передачи цифровой информации, объединяющих различные вычислительные средства в мощные комплексы обработки информации. Системы передачи информации прошли эволюцию от специализированных систем, позволяющих с помощью специальных протоколов подключить к центральному компьютеру его удаленные терминалы до распределенных высокопроизводительных сетей, использующих для подключения пользователей самые разнообразные, но стандартные технологии и протоколы передачи информации. По своему назначению это были сети общего доступа или корпоративные сети. Кульминацией развития сетей общего доступа стал Интернет.

Обмен информацией по каналам связи в коллективных многопользовательских системах в свою очередь потребовал решения задачи обеспечения защиты информации от несанкционированного доступа. Это стимулировало развитие криптографических методов. В 70-е годы человечество взяло на вооружение открытые стандарты шифрования информации, что было единственно возможным решением проблемы обеспечения защиты информации в больших информационных системах.

Развитие перечисленных ранее технологий происходило разными способами и разными темпами. В то же время оно имело общие черты, отражающие общие для всех технологий тенденции. О двух тенденциях хочется сказать особо.

Первая — это стандартизация используемых технических средств (аппаратных и программных). Наличие общепринятых стандартов является единственным известным человечеству способом обеспечения совместимости средств различных производителей. Нужно сказать, что люди неплохо научились решать эту задачу, придерживаясь простого правила — сначала стандарт, а потом на его основе производство.

Вторая тенденция — индивидуализация или, иначе, персонализация различных технических средств. Технологии развиваются таким образом, чтобы новые технические средства могли войти в арсенал каждого человека. Персональные компьютеры, мобильные телефоны, Интернет — все это средства, предназначенные для индивидуального применения.

Среди достижений ушедшего века Интернет является одним из наиболее значимых. Широкое внедрение Интернета не могло не отразиться на развитии электронных форм бизнеса (e-business), одной из которых является электронная коммерция. Таким образом, электронная коммерция стала порождением самых современных технологий прошедшего столетия.

Многие крупные компании уже давно прибегают к помощи электронной коммерции (electronic commerce, или e-commerce) при проведении деловых операций. Электронный обмен данными (electronic data interchange, EDI) по частным компьютерным сетям начался в 60-х годах. Почти с того же времени банки начали успешно использовать телекоммуникационные сети для электронного перевода денежных средств (electronic funds transfer, EFT).

Системы электронной коммерции на базе протоколов EDI (ANSI X.12, EDIFACT) использовались крупными компаниями (например, такими, как General Electric, General Motors) для организации закупок комплектующих, запчастей, сырья у своих партнеров-поставщиков (системы e-procurement, или электронного снабжения). При этом обмен информацией производился через корпоративные телекоммуникационные сети этих компаний.

Системы, построенные на основе протоколов EDI, не получили широкого распространения в силу своей дороговизны. Они оказались доступными для использования только крупным компаниям.

С появлением Интернета ситуация в электронной коммерции изменилась коренным образом. У каждого пользователя персонального компьютера появилась возможность за относительно небольшие деньги получить доступ к практически любому информационному ресурсу, что полностью изменило представление об электронной коммерции. С ростом популярности Интернета и появлением новых технологий электронная коммерция вошла в жизнь многих больших и малых торговых фирм, а также частных лиц.

Электронная коммерция знаменует собой третий этап развития Интернета (бизнес в Интернете начинался с услуг Internet Service Provider, далее сменился обеспечением информационного наполнения Интернета и сегодня в значительной степени представлен различными системами электронной коммерции). При этом ее развитие не является монотонно возрастающей функцией времени. Бум в электронной коммерции, отмеченный летом 2000 г., уже к концу того же года сменился массой пессимистических сообщений, связанных с закрытием или сокращением персонала целого ряда Интернет-магазинов и Интернеткомпаний.

Такое развитие событий не следует драматизировать, вынося электронной коммерции смертный приговор, как это иногда делается в прессе. Оно характерно для начального этапа развития любого бизнеса, когда новая технология берется на вооружение, и в тех случаях, когда она бизнесу не очень нужна. В результате часть пионеров, не продумавших до конца необходимость использования электронной коммерции для решения своих задач, была вынуждена сойти с дистанции.

Электронная коммерция считается одним из видов электронного бизнеса. В соответствии с документами ООН, бизнес признается электронным, если хотя бы две его составляющие из четырех (производство товара или услуги, маркетинг, доставка товаров и расчеты) осуществляются с помощью Интернета. Поэтому в такой интерпретации обычно полагают, что покупка относится к электронной коммерции, если как минимум маркетинг (организация спроса) и расчеты производятся средствами Интернета.

Более узкая трактовка понятия «электронная коммерция» характеризует системы безналичных расчетов на основе пластиковых карт. В этом случае операция покупки считается электронной, если реквизиты карты передаются торговому предприятию или его агенту через Интернет. При этом товар может предлагаться на продажу без помощи Интернета, например через журнальные каталоги.

И все-таки наиболее популярная трактовка электронной коммерции состоит в следующем. Под электронной коммерцией подразумевается продажа товаров, при которой как минимум организация спроса на товары осуществляется через Интернет. При этом способ оплаты не имеет значения: расчеты за покупку могут совершаться даже наличными.

В настоящей книге будут использоваться два последних определения платежных систем. При этом, когда речь идет о безопасности расчетов, используется определение, введенное международными платежными системами, а в случаях, когда приводится статистика по объемам электронного бизнеса, — последнее определение.

Сегодня рынок электронной коммерции в зависимости от того, кем являются покупатель и продавец, принято делить по нескольким секторам:

• Business-to-Business (когда покупателем и продавцом являются юридические лица); сегодня это наиболее крупный сектор электронной коммерции, занимающий около 80 % всего рынка;
• Business-to-Consumer (в отличие от предыдущей схемы покупателем в этом случае является физическое лицо); на этот сектор приходится практически вся оставшаяся часть ЭК;
• Consumer-to-Consumer (покупателем и продавцом в этом случае являются физические лица; типичный пример — аукционы);
• Business-within-Business (когда роль покупателя и продавца играют различные подразделения одной и той же компании);
• Business-to-Government (выполнение заказов для правительственных учреждений). Электронная коммерция начиналась с операций купли-продажи и перечисления денежных средств по компьютерным сетям. В ее основе лежала традиционная коммерция. При этом использование электронных сетей добавляло электронной коммерции гибкости в решении задач организации спроса и расчетов, а также в отдельных случаях и доставки товаров.

Сегодня цели электронной коммерции с точки зрения бизнеса расширились. Они включают в себя не только деловые операции, прямо связанные с куплей-продажей товаров и услуг для непосредственного извлечения прибыли. Электронная коммерция подразумевает и поддержку извлечения прибыли: например, создание спроса на товары и услуги, организацию послепродажной поддержки и обслуживания клиентов, а также повышение эффективности взаимодействия между деловыми партнерами.

Оперируя цифровой информацией в компьютерных сетях, электронная коммерция предлагает бизнесу принципиально новые возможности: например облегчает сотрудничество деловых групп. Если такие группы представляют собой подразделения одной компании, то они могут обмениваться информацией при планировании маркетинговой стратегии. Электронная коммерция поможет в совместной работе над новыми товарами или услугами, даст возможность фирмам улучшить связи с потребителями.

Коммерческая деятельность через электронные сети снимает ряд физических ограничений, естественных для работы обычных предприятий торговли и сервиса. Компьютерные системы в Интернете способны обеспечивать поддержку клиентов 24 часа в сутки, семь дней в неделю.

Заказы на продукцию могут приниматься в любое время и из любого места нашей планеты. Развитию электронной коммерции в немалой степени способствовало отсутствие таможенных ограничений. Еще в 1996 г. специализированная комиссия ООН опубликовала «Акт о беспошлинной электронной торговле и международном торговом праве». С 1998 г. беспошлинную электронную торговлю ведут страны Европейского Союза и США. В мае того же года решение о введении беспошлинной торговли приняла Всемирная Торговая Организация, членом которой готовится стать Россия.

Электронная коммерция предлагает новые формы организации предприятия и ведения бизнеса. Примером может служить фактически символ электронного бизнеса — книготорговая фирма Amazon из Сиэтла. Не имея традиционных магазинов с прилавками, она продает всю продукцию через Интернет и напрямую координирует доставку товаров от издателей к покупателям.

Другой пример новой формы организации бизнеса — компания Software.net. Вся продукция этой компании — коммерческое программное обеспечение, находится на том же компьютере, который используется для приема заказов через Интернет.

В результате оборотные фонды компаний Amazon и Software.net полностью цифровые. Ключевым вопросом любой коммерческой сделки является способ ее оплаты. При широком разнообразии механизмов оплаты, как существующих, так и разрабатываемых, эта часть электронной коммерции наиболее подвижна и чувствительна к изменениям. Покупатели могут использовать пластиковые карты, электронные чеки, цифровую наличность, смарт-карты и т. п.

В настоящей книге в основном рассматривается способ оплаты по пластиковым картам, являющийся на сегодняшний день наиболее универсальным и хорошо апробированным методом безналичной оплаты товаров и услуг.

Ожидается, что позиции этого способа оплаты только укрепятся по мере распространения микропроцессорных карт, осуществляемого сегодня всеми крупнейшими международными платежными системами. Микропроцессорные карты обладают рядом существенных преимуществ по сравнению с другими средствами оплаты. К числу таких преимуществ в первую очередь следует отнести высокую защищенность операций от мошенничества благодаря применению криптографических методов, реализуемых картой, а также наличие широкого набора терминальных устройств, в которых покупатель может совершить операцию электронной коммерции с помощью микропроцессорной карты (персональный компьютер, GSM-телефон, приставка для телевизионного приемника Set-Top-Box).

Значение микропроцессорных карт для развития электронной коммерции возрастает с ростом рынка этих карт. Крупнейшие платежные системы еще в 1996 г. признали стандарт EMV и объявили о миграции всех своих карточных продуктов с магнитной полосой на смарт-карты, поддерживающие этот стандарт. Протоколы, разработанные для электронной коммерции, учитывают этот факт и позволяют эффективно использовать EMV-карты в электронной коммерции.

В свою очередь и стандарты в области микропроцессорных карт развиваются в направлении учета требований электронной коммерции. Так в 1999 г. в версии v.3.1.1 стандарта EMV были опубликованы спецификации Chip Electronic Commerce, а в последней версии 4.0 того же стандарта, принятой в июне 2000 г., приводится определение процедуры, позволяющей объединить выполнение команды Generate AC (команда генерации криптограммы) и динамической аутентификации карты (Dynamic Data Authentication). Новая процедура весьма полезна для реализации мобильной и телевизионной коммерции.

На конгрессе GSM World Congress, прошедшем в феврале 2001 г. в Каннах, впервые была продемонстрирована транзакция мобильной коммерции, выполненная по карте, поддерживающей стандарт EMV. Карта была создана компанией Oberthur и содержала два приложения: M/Chip Lite (версия стандарта EMV международных платежных систем Europay/MasterCard) и приложение SIM GSM. Транзакция была выполнена с помощью телефона Motorola Timeport GSM. EMV-приложение использовалось для расчетов за электронную покупку, а приложение SIM GSM — для выполнения стандартных функций, оговоренных в протоколе мобильной связи GSM.

Относительно недавно появился международный стандарт на электронный кошелек CEPS (Common Electronic Purse Standard). Электронные кошельки, поддерживающие этот стандарт, а также уже получившие распространение электронные кошельки Mondex, GeldKarte, Proton, VISA Cash, несомненно, со временем займут свою нишу в электронной коммерции.

Вполне возможно, что уже в ближайшие годы появятся новые методы оплаты. В частности, весьма перспективным представляется быстро развивающийся способ оплаты товаров небольшой стоимости с помощью микроденег (microcash) или электронной наличности. Сегодня на слуху системы электронной наличности eCash, DigiCash, Web Money Transfer, PayCash, CyberCash и другие.

Электронная коммерция развивается на наших глазах. Хотя еще не исчерпаны все возможности, обеспечиваемые текущим уровнем технологического развития, новые сетевые технологии и прикладные программы могут появиться уже завтра. Здесь в первую очередь следует отметить появление новых средств доступа в Интернет, повышающих возможности клиентов. К таким средствам доступа относятся устройства Set-Top-Box, предназначенные для организации интерактивного телевидения, мобильные телефоны стандарта GSM, карманные персональные компьютеры (Personal Digital Assistant).

Ожидается, что в ближайшем будущем мобильный телефон станет самым распространенным средством проведения операции покупки в электронной коммерции. По данным некоторых исследований уже в 2004 г. с помощью мобильной коммерции (часто для обозначения мобильной коммерции используется термин m-comrnerce) будет совершаться около 40 % электронных покупок.

Значительное внимание уделяется и развитию телевизионной коммерции (t-commerce). Телевизор остается самым массовым и привычным электронным устройством, находящимся в распоряжении человека. Новые формы цифрового телевидения позволяют эффективно использовать его и для решения задач финансового рынка, в частности, электронного бэнкинга и электронной коммерции. Сегодня устройства управления Set-Top-Box от компаний Расе, Philips, Pioneer и Sony уже прошли сертификацию на совместимость со стандартом ЕМ V по уровню Type Approval Level I. Об использовании микропроцессорных карт в электронной коммерции в этой книге будет рассказано подробно.

Настоящая книга посвящена главным образом одному аспекту электронной коммерции — расчетам. Эта часть электронной коммерции является наиболее сложной и фундаментальной. От качества организации расчетов (особенно от обеспечения их безопасности) зависит успех любого бизнеса, основанного на технологии электронной коммерции в целом.

Первоначально в планы автора входило дополнительно рассказать о построении Интернет-магазинов и организации Интернет-коммерции в целом. По мере работы над книгой стало понятно, что перечисленные аспекты должны стать темой отдельной книги. Слишком обширной и специфической по содержанию оказалась главная тема — безопасность электронной коммерции.

В книге рассмотрены все известные на сегодняшний день протоколы электронной коммерции, включая SET, 3D SET, SSL, 3D SSL, 3D Secure, технологию виртуальных номеров карт (Proxy Numbers). Обсуждаются достоинства и недостатки рассмотренных протоколов. Проводится их сравнение.

Несмотря на то что спецификации протокола Secure Electronic Transaction общедоступны, в книге, пожалуй, впервые на русском языке приводится достаточно подробное описание процедур получения сертификатов и совершения электронных покупок с комментариями, поясняющими необходимость тех или иных шагов алгоритмов протокола.

Для того чтобы читатель смог полностью разобраться с основными принципами, лежащими в основе протоколов безопасной коммерции, автор в отдельной главе постарался дать общее представление о современной прикладной криптографии. Автор надеется, что это поможет читателю оценить качество отдельных протоколов с точки зрения обеспечиваемой ими безопасности и экономии потребляемых вычислительных ресурсов.

Помимо описания протоколов Интернет-коммерции и обсуждения их достоинств и недостатков, читатель сможет познакомиться с правилами международных платежных систем, относящимися к электронной коммерции. Не остались без внимания и вопросы стандартизации в области электронной коммерции, а также правовые аспекты этого бизнеса.

Автор также посчитал необходимым дать в начале книги краткий обзор рынка Интернет-коммерции, а также рассказал о главных факторах, оказывающих влияние на эту технологию. Это было важно сделать не только для того, чтобы дать представление читателю о текущем состоянии дел в электронной коммерции. Необходимо также понять, в каком направлении будет развиваться эта технология. От правильного понимания тенденций развития электронной коммерции зависит успех технического и технологического обеспечения этой новой формы ведения бизнеса.

На сегодняшний день банки-участники крупнейших международных платежных систем VISA, MasterCard, Europay и American Express эмитировали (выдали своим клиентам) более 2 млрд карт. Поэтому многим жителям нашей планеты хотя бы в общих чертах известно о том, что собой представляют пластиковые карты. И все-таки для того, чтобы в дальнейшем в этой книге придерживаться общей и понятной всем терминологии, коротко опишем, каким образом функционируют системы безналичных расчетов, основанные на использовании пластиковых карт.

В первую очередь необходимо отметить, что платежная система представляет собой ассоциацию банков, называемых банками-участниками этой платежной системы. Когда банк присоединяется к ассоциации (вступает в нее), он тем самым подтверждает свою готовность и берет на себя обязательство следовать правилам этой ассоциации (платежной системы), определяющим технические, юридические и финансовые аспекты функционирования банка в системе. Такое признание банком правил системы является основой для взаимного доверия между неизвестными друг другу банками при организации ими безналичных расчетов для своих клиентов.

В платежной системе банк может выступать в двух ипостасях: во-первых, в качестве банка-эмитента и, во-вторых, в качестве обслуживающего банка. Каждый банк может быть одновременно и эмитентом и обслуживающим банком.

В качестве эмитента банк выдает своему клиенту (физическому и/или юридическому лицу, имеющему в данном банке счет) специальное удостоверение (пластиковую карту), обеспечивающее удаленный доступ клиента к своему счету с целью получения различных услуг: безналичная покупка в торговом предприятии (ТП), получение наличных в банкомате или отделении банка и т. п. Таким образом, пластиковая карта связана со счетом (счетами) клиента в банке.

Пластиковая карта содержит логотипы платежной системы и банкаэмитента, голограмму платежной системы и специальные символы, повышающие устойчивость карты к возможным ее подделкам, а также информацию, называемую реквизитами карты (номер карты, срок ее действия, имя владельца карты, код обслуживания, специальную информацию, генерируемую эмитентом и используемую им для проверки подлинности карты). Часть этой информации наносится на пластик карты с помощью специальной печати и считывается в процессе совершения транзакции визуально. Эта информация используется продавцом ТП для проведения так называемой голосовой авторизации. Другая часть информации наносится на магнитную полосу и/или микропроцессор (чип), расположенные на карте. Информация с магнитной полосы или чипа считывается с помощью специальных устройств, называемых считывателями карты или карт-ридерами. Электронные терминалы в ТП (Point-of-Sale, или POS-терминалы), а также автоматические устройства выдачи наличных (банкоматы) оснащены подобными карт-ридерами.

Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса (в мире насчитывается около 21 млн торговых предприятий, принимающих в качестве средства оплаты своих товаров пластиковые карты). Обслуживающий банк заключает договоры с торговыми предприятиями на обслуживание в них пластиковых карт, гарантируя торговому предприятию возврат средств за операцию, совершенную в нем по карте любого банка-участника платежной системы.

Когда клиент банка А собирается совершить покупку в ТП обслуживающего банка В, то торговое предприятие в первую очередь должно убедиться в том, что в соответствии с договором с обслуживающим банком В операция по предъявляемой для оплаты карте будет возмещена. Другими словами, ТП должно убедиться в том, что банк-эмитент А и обслуживающий банк В являются участниками одной платежной системы. Это устанавливается по логотипу платежной системы, нанесенному на пластиковой карте клиента.

Процесс оплаты услуги в общем случае состоит из двух частей. Первая часть — авторизация транзакции.

ТП «считывает» с предъявляемой клиентом для оплаты покупки пластиковой карты необходимую информацию, а также, возможно, получает некоторую идентифицирующую клиента информацию непосредственно от самого клиента (например, персональный идентификационный номер владельца карты). Полученная от клиента и считанная с карты информация, а также информация о покупке (сумма покупки, валюта транзакции и т. п.) и торговом предприятии (идентификаторы ТП и устройства приема карты) передается торговым предприятием своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса ТП спрашивает у обслуживающего банка, может ли оно предоставить данному клиенту запрашиваемую им услугу. В свою очередь обслуживающий банк обращается за разрешением на оказание услуги к банку-эмитенту А. При этом банки А и В обмениваются сообщениями в соответствии с правилами, установленными платежной системой. Поэтому синтаксис и семантика сообщений понятна обоим банкам.

Эмитент А, получив запрос от обслуживающего банка В, проверяет достоверность информации о карте и ее владельце: правильность реквизитов карты и идентификатора владельца карты. После этого банк А определяет достаточность средств на счете клиента для оплаты запрашиваемой им услуги. Если все проверки завершились успешно, банк А отвечает на запрос банка В разрешением на совершение покупки, предварительно списав (или только «заморозив») со счета клиента стоимость покупки вместе с некоторыми установленными им комиссиями.

Получив разрешение от банка А, обслуживающий банк в свою очередь разрешает операцию покупки своему ТП, тем самым гарантируя последнему возмещение средств за совершаемую торговым предприятием продажу товара/услуг. В большинстве случаев, если обслуживающий банк представил эмитенту правильную и достаточную (по правилам системы) для авторизации информацию, ответственность за транзакцию в случае возникновения спора (диспута) ложится на эмитента.

Вторая часть безналичной оплаты товаров/услуг заключается в расчетах между всеми участниками транзакции. Как уже отмечалось, ТП получает возмещение за операцию покупки от своего обслуживающего банка. Обслуживающий банк в свою очередь получает возмещение с банка-эмитента. Гарантом расчетов между банками выступает платежная система. В этом состоит ее важнейшая функция. Расчеты, как правило, производятся безакцептно (то есть без получения специального разрешения) через специальные счета, открываемые банками в расчетных банках платежной системы.

Наконец, банк-эмитент списывает средства со счета своего клиента. Таким образом, при участии и гарантии платежной системы реализуется передача средств со счета клиента на счет ТП.

Основанием для расчетов между участниками транзакции могут быть авторизационные сообщения, которыми обменялись в процессе совершения транзакции обслуживающий банк и банк-эмитент. В этом случае по окончании бизнес-дня платежная система на основе имеющейся у нее информации осуществляет расчеты между всеми своими банками-участниками за прошедший бизнес-день. Системы, в которых расчеты производятся на основании авторизационного трафика, называются Single Message System (SMS).

Иногда правила платежной системы таковы, что для инициализации расчетов между участниками транзакции обслуживающий банк должен отправить в платежную систему специальное сообщение, которое далее передается банку-эмитенту. Только на основании этого сообщения платежная система осуществит расчеты между всеми ее банкамиучастниками. Специальное сообщение называется презентментом (presentment), а системы, производящие расчеты на основе презентментов, — Dual Message System. Сегодня большинство международных платежных систем относятся именно к этому классу систем.

Несмотря на то что системы Dual Message System являются функционально более гибкими, их техническая поддержка является более сложной. В результате общая тенденция состоит в переходе всех систем на режим SMS.

В платежной системе время от времени по различным причинам могут возникать споры (диспуты) между банком-эмитентом и обслуживающим банком, связанные с некоторой транзакцией, имевшей место в системе. Например, владелец карты может утверждать, что никогда не совершал транзакции, за которую с его счета были списаны деньги, или совершал транзакцию, но на другую сумму. Жизнь многогранна и подобных «или» может быть очень много. Для разрешения возникающих споров платежные системы разрабатывают правила, предусматривающие использование специальных сообщений, которыми обмениваются банки-участники системы.

В частности, если банк-эмитент считает, что некоторая транзакция, выполненная по карте его клиента, является по каким-то причинам неверной (например, клиент не совершал данной транзакции, сумма транзакции является неправильной, транзакция является дубликатом транзакции, по которой безналичные расчеты уже были совершены и т. п.), он направляет обслуживающему банку специальное сообщение, называемое chargeback (отказ от платежа). На основании этого сообщения платежная сеть возвращает на счет банка-эмитента средства, связанные с транзакцией, на которую пришел chargeback. Возвращаемые средства списываются со счета обслуживающего банка. Далее банкэмитент возвращает списанные средства на счет клиента.

Операции безналичных расчетов в платежных системах называют транзакциями. Платежные системы поддерживают транзакции различных видов: покупка, снятие наличных в отделении банка, снятие наличных в банкомате, получение информации об остатке на счете клиента и другие.

Транзакции различаются также по способу представления информации о карте в платежную систему. Существуют электронные транзакции (информация о карте считывается с магнитной полосы/чипа) и транзакции голосовой авторизации (paper-based).

По определению CNP-транзакция (Cardholder Not Present) представляет собой операцию покупки по пластиковой карте, в момент совершения которой клиент не присутствует лично в предприятии торговли/сервиса, а сообщает торговому предприятию (ТП) реквизиты своей карты (обычно номер карты и ее срок годности), необходимые для проведения авторизации, заочно (письмом, по телефону, сети передачи данных и т. д.).

В этой книге всякий раз, когда речь идет о расчетах с помощью пластиковой карты, под транзакцией электронной коммерции (ЭК) понимается CNP-транзакция, при совершении которой обмен данными между владельцем пластиковой карты и ТП о реквизитах карты происходит через Интернет.

Обычно процесс покупки в ЭК выглядит следующим образом. Клиент с помощью персонального компьютера (или другого устройства, например GSM-телефона), подключенного к сети Интернет, выбирает интересующие его товары в виртуальной витрине (Storefront) товаров Webсайта торгового предприятия. Подтвердив выбор товаров и согласие с их стоимостью, клиент сообщает ТП о желании заплатить за покупку с помощью пластиковой карты.

Далее происходит диалог между ТП и владельцем карты, целью которого является получение реквизитов карты покупателя для их представления в сеть в виде стандартного авторизационного запроса. В течение этого диалога ТП и покупатель иногда имеют возможность аутентифицировать друг друга, что обеспечивает безопасность транзакции ЭК.

Полученные от клиента данные о реквизитах карты (кстати, ТП может и «не видеть» эти данные) торговое предприятие передает своему обслуживающему банку, который на основе этих данных формирует и представляет в сеть авторизационный запрос. Начиная с этого момента, транзакция обрабатывается по тем же правилам, что и обычная операция покупки по пластиковой карте. Авторизационный запрос обслуживающего банка в виде сообщения в формате, принятом в соответствующей платежной системе, передается банку-эмитенту клиента, который авторизует транзакцию и о результате авторизации сообщает обслуживающему банку. Обслуживающий банк передает ТП решение эмитента, которое сообщается владельцу карты. В случае успешного завершения транзакции клиент получает электронный чек, содержащий адрес ТП в Интернете, название ТП, сумму покупки и т. п.

На этом обработка транзакции ЭК может завершиться, и тогда между всеми участниками транзакции будут произведены расчеты. Иногда транзакция считается завершенной только после того, как ТП передаст обслуживающему банку специальное сообщение, подтверждающее факт выполнения торговым предприятием заказа, связанного с покупкой.

Возможность совершить покупку заочно (без присутствия покупателя в ТП) всегда являлась привлекательной как для покупателя, так и для продавца. Для покупателя — из-за удобства способа (не выходя из дома, в любое время суток, в спокойном режиме без очереди и т. п.), для продавца — благодаря, главным образом, возможности снижения накладных расходов на организацию торговли и возможности круглосуточно рекламировать свой товар широкой аудитории потенциальных покупателей.

На первом этапе развития «заочной» торговли наиболее распространенным способом проведения такой покупки был заказ товара по почте, телеграфу и телефону. Поэтому подобные транзакции получили название МО/ТО-транзакций (Mail Order/Telephone Order). Единственная проблема в то время состояла в организации расчетов за такие покупки. Продавцу хотелось заранее идентифицировать покупателя и убедиться в его кредитоспособности. С распространением пластиковых карт эта проблема частично решилась — у торгового предприятия появилась возможность получить относительно надежные гарантии кредитоспособности покупателя.

Относительность гарантии заключалась в том, что при заочных покупках вероятность мошенничества по кредитным картам все-таки оставалась высокой. Для успешного выполнения операции заочной покупки достаточно было знать всего лишь номер карты и ее срок действия.

Ситуация в области «заочных» покупок стала качественно меняться по мере распространения Интернета как глобальной среды информационного взаимодействия пользователей друг с другом. Быстрому развитию электронной коммерции через Интернет способствуют:

• быстрый рост продаж персональных компьютеров (оценка скорости роста числа проданных PC, сделанная в 1998 г., показала увеличение в 10 раз за 10 лет);
• стремительный рост производительности процессоров, памяти и каналов передачи данных (в соответствии с законом Мура время удваивания перечисленных выше показателей составляет соответственно, 18, 12 и 9 месяцев);
• отсутствие таможенных налогов, связанных с электронными продажами;
• быстрое распространение альтернативных средств доступа в Интернете, прежде всего — мобильных телефонов и интерактивного телевидения;
• относительно низкая стоимость доступа в Интернет, а также постоянная тенденция к уменьшению платы за доступ в Интернет и пользование его ресурсами;
• повышение безопасности обработки транзакций в Интернете благодаря появлению новых технологий и стандартов, связанных с ЭК;
• удобство и простота технологии электронных покупок через Интернет для покупателя: интересующий его товар можно приобрести не выходя из дома, в любое время суток, без очереди и т. п.;
• возможность для покупателя получить предложение на покупку интересующего его товара сразу от многих ТП;
• доступность информации о товарах и услугах в Интернет-магазинах в режиме реального времени;
• возможность для ТП дать предложение по продаже своих товаров большой аудитории потенциальных покупателей;
• привлекательность ЭК для ТП в связи с уменьшением накладных расходов на организацию бизнеса.

В основе развития ЭК лежат бурный рост сети Интернет и компьютеризация населения. К концу 1996 г. число пользователей Интернета по разным оценкам насчитывало 50-60 млн человек. По данным исследования, проведенного компанией Nua, в начале 2001 г. Интернетом пользуются 407,1 млн, что более чем в два раза превышает количество пользователей в сентябре 1999 г. В частности, быстрый рост числа пользователей наблюдался в Азиатско-Тихоокеанском регионе: в настоящее время количество пользователей Интернета здесь превышает 100 млн человек. При этом на регион приходится 26 % всего населения мира. Лидером по количеству пользователей Интернета продолжает оставаться Северная Америка. На нее приходится 41 % всех пользователей. Однако в 2000 г. наблюдалось снижение темпов роста количества пользователей Сети в этом регионе, что во многом объясняется близостью рынка к насыщению. В Европе проживает 27,8 % всех пользователей Интернета, в Латинской Америке — 4 %, в Африке — 0,8 %, а на Среднем Востоке — 0,6 %.

В США, которые являются мировым лидером по числу пользователей Интернета, в 2001 г. зарегистрировано 110,83 млн пользователей (около 41 % населения страны).

Другими лидерами по критерию «доля пользователей Интернета среди всех жителей страны» являются Швеция (44 %), Великобритания (24 %), Голландия (19 %), Германия (15 %), Франция (10 %), Италия (8 %), Испания (7 %).

Сегодняшние темпы роста числа пользователей Интернета составляют 92 % в год. По данным monitoring.ru, размер аудитории российской части Интернета (Рунет) на конец 2000 г. равнялся 11,4 млн человек, что составляло 10,3 % от взрослого населения страны (110,5 млн человек). Аудитория Рунета продолжает увеличиваться. В целом, за год (с ноября 1999 г. по ноябрьдекабрь 2000 г.) рост составил ПО % (примерно на 20 % выше, чем в среднем в мире). Нерегулярная аудитория, включающая всех посетителей, кроме тех, кто имеет только единичный опыт пользования Интернетом, выросла в среднем на 0,9 млн человек (5,1 млн в мае-июне, 6,0 млн в ноябре-декабре). Недельная аудитория Рунета (те, кто регулярно посещает Интернет примерно раз в неделю) за год практически не изменилась, ее численность стабилизировалась на уровне, зафиксированном в третьем квартале 2000 г. Наиболее активная аудитория (те, кто регулярно посещает Интернет и проводит там не менее одного часа в неделю) с ноября 1999 г. по ноябрь-декабрь 2000 г. практически не выросла. Численность активной аудитории составляет 1,8 млн человек. Ядро аудитории образуют посетители, которые проводят в Интернете не менее 3 часов в неделю. В Рунете их 900 тыс. человек.

Основной рост аудитории Рунета происходит за счет тех, кто только только приобрел первый опыт, но не стал пока регулярным пользователем. С мая-июня по ноябрь-декабрь 2000 г. такие пользователи обеспечили рост максимальной аудитории Рунета (все посетители Интернета, включая тех, кто имел хотя бы единичный опыт посещения Сети) в среднем на 2,2 млн человек (9,2 млн в мае-июне, 11,4 млн в ноябре-декабре).

Данные monitoring.ru отличаются от прогнозов специалистов компании А. Т. Kearney, оценивающих среднегодовые темпы роста числа тех, кто регулярно пользуется Рунетом, примерно на 50-70 %.

Рост аудитории Рунета сказывается и на изменении других ее характеристик. На начало 2000 г. поисковая система «Апорт» зарегистрировала в русскоязычном секторе Интернета около 70 тыс. серверов и более 6,2 млн Web-страниц, на которых размещено 54 Гбайт документов.

Сегодня 95 % всех транзакций ЭК совершается с помощью персональных компьютеров. Однако все большее распространение получают новые виды терминальных устройств, предназначенных для организации ЭК. К ним в первую очередь следует отнести мобильные телефоны стандарта GSM и устройства доступа к инте^ктивному телевидению Set-Top-box (STB-устройства). Уже в 2005 г. предсказывается следующее распределение объемов ЭК между тремя основными каналами:

• персональные компьютеры — 29 %;
• мобильные телефоны — 35 %;
• интерактивное телевидение — 36 %.

По данным VISA International наиболее перспективным средством доступа в Интернет является мобильный телефон. В частности, компания прогнозирует, что объем покупок ЭК, осуществляемых в мире в 2003 г. через мобильные телефоны, составит около $66 млрд. Более скромные оценки предлагает компания Jupiter Media Metrix.

По данным Jupiter, уже в 2001 г. владельцы сотовых телефонов потратят в Интернете около $260 млн. К 2005 году пользователями мобильного Интернета станут уже 171 млн человек, а объем продаж поднимется до $10,8 млрд.

Остановимся коротко на мобильной телефонии и интерактивном телевидении. В 1998 г. в Европе насчитывалось 120 млн владельцев GSM-телефонов, а к концу 1999 г. их количество достигло 170 млн. Для сравнения —число персональных компьютеров в Европе на тот же момент времени (конец 1999 г.) составляло 42 млн.

По данным различных агентств, к началу 2000 г. в мире было зарегистрировано около 470 млн абонентов сотовой связи (8 % от всего населения планеты), доля цифровых стандартов достигла 83 %, а доля стандарта GSM превысила 54 %.

Рост числа владельцев GSM-телефонов в мире происходит с космической скоростью. В соответствии с прогнозами компании Ericsson, в 2004 г. число мобильных телефонов в мире превысит 1 млрд аппаратов. Еще более оптимистичный прогноз предлагает компания Nokia. Согласно ее прогнозу планка в 1 млрд сотовых телефонов будет превышена до конца 2002 г.

Интернет-технологии и мобильная связь в настоящее время представляют собой два наиболее быстро развивающихся телекоммуникационных рынка. По прогнозу исследовательской группы Strategies Group of Washington в 2001 г. будет уже около 15,6 млн мобильных пользователей Интернета, число которых в любой стране зависит только от скорости развития сетей и возможностей оборудования передачи данных.

Сегодня мало кто сомневается в том, что мобильный Интернет в недалеком будущем станет частью нашей повседневной жизни. Основные производители средств передачи сообщений по электронной почте (IBM/Lotus Notes, MS Mail и Da Vinci eMail) уже включили возможности мобильных Интернет-коммуникаций в свои продукты. Все большее число операторов сотовой связи вместе с ISP-провайдерами предлагают услуги мобильного Интернета.

Позиции GSM-телефонов в качестве средства доступа в Интернет упрочились после появления открытого глобального стандарта WAP (Wireless Access Protocol), описывающего защищенный протокол обмена данными GSM-телефона с сервером.

Необходимость создания специального стандарта для доступа к ресурсам Интернета через мобильный телефон объяснятся двумя причинами. Во-первых, файлы, передающиеся по протоколу HTTP, трудно было бы смотреть на маленьком экране сотового телефона (минимальный размер Web-страницы — 640 х 480 пикселов, а максимальный размер сотового телефона — 96 х 65 пикселов). Во-вторых, объемы информации, передаваемые во время проведения транзакции ЭК, совершенно не рассчитаны на те скорости связи, которые сегодня доступны владельцам мобильных телефонов (9,6 Кбит/с для телефонов в стандарте GSM и 14,4 Кбит/с для телефонов в стандарте CDMA). При этом стоит отметить, что более скоростной стандарт CDMA в России продвигается с большим трудом. В 2000 г. в стране насчитывалось не более 30 тыс. владельцев телефонов, работающих в этом стандарте.

Стандарт WAP (последняя версия 1.2) определяет полный стек протоколов, начиная с физического и заканчивая прикладным уровнем эталонной модели взаимодействия открытых систем. Он использует двоичный формат представления данных, что позволяет эффективно сжимать пакеты передаваемой информации. Кроме того, протокол адаптирован под большой период ожидания и низкую пропускную способность каналов. Специальный язык WML (производное от XML), с помощью которого создаются WAP-совместимые Web-страницы, позволяет оптимально использовать малые дисплеи сотовых телефонов, включая двухстрочные текстовые и полностью графические. Благодаря встроенному в мобильный телефон WAP-браузеру, пользователи смогут запускать различные приложения без помощи компьютера прямо на своих телефонах. Еще одно преимущество WAP — поддержка различных транспортных протоколов. Кроме того, предусматривается его совместимость с домашними радиосетями стандарта Bluetooth.

Стандарт WAP 1.2 включает в себя технологию WIM (Wireless Identity Module), обеспечивающую шифрование и цифровую подпись данных на основе алгоритмов симметричного шифрования. Это позволяет использовать WAP 1.2 для реализации проектов мобильной коммерции и банковских операций, гарантируя приемлемую безопасность этих приложений. При этом WIM-модуль находится в памяти SIM-карт (такие карты уже производятся компаниями Gemplus и Schlumberger).

В начале 2001 г. компании Nokia, KPN Mobile и голландский процессор Interpay провели успешное испытание системы m-commerce с использованием протокола WAP 1.2.

До конца 2001 г. ожидается появление версии 1.3 стандарта WAP, которая должна существенно повысить уровень безопасности приложений, функционирующих на основе беспроводной связи. Протокол WAP 1.3 будет поддерживать асимметричные алгоритмы шифрования и динамическую прокси-навигацию. Динамическая прокси-навигация является методом переадресации, поддерживающим соединение между телефонной трубкой и Web-сервером без промежуточной расшифровки данных. В настоящее время информация при ее передаче от оператора мобильной связи до сервера на разных участках передачи защищается протоколами WTLS и SSL. При переходе от одного протокола к другому данные расшифровываются и оказываются подверженными риску быть перехваченными мошенниками. В протоколе WAP 1.3 обеспечивается сквозное шифрование данных с помощью протокола WTLS.

По данным различных аналитических агентств в 1999 г. из 80 млн проданных в США и Европе радиотелефонов менее четверти были снабжены возможностями WАР-протокола. В 2001 г. их доля должна была достигнуть 95 %. Однако уже сегодня понятно, что столь массового распространения телефонов, поддерживающих WAP, не произойдет.

По мнению экспертов, срок жизни протокола WAP ограничен появлением скоростных протоколов передачи данных в мобильной телефонии, позволяющих передавать за разумное время полноценную графику. Протокол WAP для этого совершенно не приспособлен. Ожидается, что с появлением GPRS (скорость передачи данных до 115 Кбит/с) через 1-1,5 года время протокола WAP пройдет.

Таким образом, следует признать, что протокол WAP не до конца оправдал возложенные на него надежды. Это произошло по различным причинам, включая дороговизну WAP-совместимых телефонов и стоимости услуг, а также низкую скорость передачи данных в режиме коммутации каналов CSD (Circuit Switch Data).

В России получили распространение модели WAP-телефонов от компаний Motorola, Nokia и Siemens. На сегодняшний день все крупнейшие операторы сотовой связи, включая Би Лайн, МТС, North-West GSM, запустили WAP-сервисы, и абоненты этих компаний уже сейчас могут воспользоваться доступом к Интернету через мобильный телефон. При этом стоимость доступа остается высокой — от 5 до 30 центов за минуту.

В условиях относительно низкого распространения WAP операторы GSM начали поиск альтернативных вариантов доступа к уже готовым WML-сайтам с помощью существующей широкой базы аппаратов GSM фазы 2+. Идея состояла в том, чтобы средствами SIM Application Toolkit (STK) встроить в SIM-карту минибраузер, который бы формировал SMS-запросы, а также обрабатывал ответы и выводил на дисплей телефона содержащуюся в них информацию. В качестве языка представления данных рассматривался язык WML. Использование канала SMS с одной стороны уменьшает стоимость передачи данных, а с другой — позволяет обеспечить скорость работы, сравнимую с CSD.

Изложенный здесь подход получил название WML/STK-браузинга, а для его стандартизации было создано сообщество SIM Alliance (www.simalliance.org), в которое вошли ведущие производители SIM-карт: компании Bull, Gemplus, Giesike&Devrient, Graphium Denmark, Oberthur Card Systems, ORGA, Schlumberger.

Итогом работы сообщества SIM Alliance стали новые спецификации S@T (SIMAlliance Application Toolbox), определяющие функциональность минибраузера в SIM-карточке, а также уровни передачи информации в канале связи SMS и их соответствие уровням WAP-запросов.

Таким образом, решение S@T обеспечивает канал доступа к информации в формате WML на основе недорогой сетевой инфраструктуры SMS. Подключенная к любому мобильному телефону GSM фазы 2+, 5@Т-совместимая карточка обеспечивает доступ к WML-услугам через сервер S@T Gateway, связанный с центром коротких сообщений.

Архитектура S@T обеспечивает встроенную сквозную безопасность между приложениями на сервере и браузером S@T, тем самым позволяя осуществлять безопасные транзакции мобильной коммерции. Обеспечение безопасности S@T пока базируется на технологиях шифрования и электронной подписи с использованием симметричных алгоритмов, хотя уже сегодня ведутся разработки спецификаций браузера с асимметричным шифрованием.

Определенный интерес для развития электронной коммерции представляют также инициативы организации Mobile Electronic Transactions Initiative (MeT) (http://www.mobiletransaction.org), сформированной несколькими лидерами индустрии сотовой связи. Эта организация выпустила спецификации в области безопасной мобильной коммерции.

Организация МеТ была основана рядом лидеров телекоммуникационной индустрии, включая таких гигантов, как Nokia, Ericsson, Sony и Matsushita, с целью скорейшей разработки технологий мобильной коммерции. В дополнение к спецификациям организация прилагает несколько вариантов их использования. Спецификации можно бесплатно скачать с Web-сайта МеТ.

Согласно концепции МеТ, разрабатываемые технологии должны работать в рамках любых сетей, со всеми службами и любыми устройствами. В частности, спецификации обеспечивают совместимость с существующими стандартами и технологиями, такими как WAP, WTLS (протокол безопасной передачи данных), WIM, инфраструктурой открытого ключа и технологией беспроводной связи Bluetooth. Спецификации МеТ обеспечивают аутентификацию владельца сотового телефона, а также обеспечивают конфиденциальность и целостность информации, которой клиент обменивается с платежной системой. Продукты, созданные с использованием спецификаций МеТ, должны появиться уже в 2001 г.

Удобным средством инициализации транзакции электронной коммерции через GSM-телефон является банковская микропроцессорная карта. Сегодня на рынке присутствуют две основные концепции организации систем мобильной коммерции. Первая основана на применении двухслотовых (dual slot) телефонов, имеющих встроенный ридер, способный считывать информацию с двух стандартных (ISO 7816-1,2,3) микропроцессорных карт. GSM-телефоны с двумя слотами (один слот для SIM-карты телекоммуникационного оператора, а второй — для платежной смарт-карты) уже демонстрировались компаниями Alcatel, Motorola, Gemplus.

Ряд банковских приложений, таких как пополнение электронного кошелька, предоставление выписок по счетам, а также иные виды мобильного банковского обслуживания и программ лояльности могут предоставляться через двухслотовые мобильные телефоны с использованием SIM-карточек, реализующих ЭЦП, уже сегодня. Подобные услуги предоставляются в ряде европейских (Германия, Швеция, Чехия), а также азиатских (Гонконг, Сингапур) стран. При этом SIM-карта обменивается информацией с чиповой картой, реализующей то или иное банковское приложение, с помощью команд, определенных стандартом GSM SIM Application Toolkit Commands GSM 11.14.

Вторая концепция основана на все возрастающих возможностях SIMкарточек, способных выполнять не только свою основную функцию модуля идентификации абонента, но и обеспечивать функционирование других приложений, например финансовых. Хорошей иллюстрацией этой концепции является недавно продемонстрированная компанией Oberthur Card Systems SIM-карта SIMphonic 3G, обеспечивающая наряду со стандартной функциональностью GSM SIM функциональность платежного приложения стандарта EMV. Вставляя эту карту в платежный POS-терминал, поддерживающий стандарт EMV, можно выполнить безналичный платеж по EMV-карте.

Важнейшую роль в развитии концепции использования SIM-карты как универсального средства для реализации доступа к сети мобильной связи и других приложений (в том числе финансовых) сыграло появление спецификаций SIM Application Toolkit (STK). Стандарт STK позволяет хранить и выполнять на SIM-карточке разнообразные прикладные программы, а также предусматривает возможность удаленного программирования или обновления хранимой на SIM-карточке информации. При этом обеспечивается защита информации при ее передаче по радиоканалам. SIM-карты в сочетании со стандартом STK позволяют аутентифицировать абонентов на основе технологии электронной цифровой подписи, а также шифровать конфиденциальную информацию. При этом уровень безопасности, обеспечиваемый ими, выше, чем предоставляемый другими технологиями, в частности протоколом WAP.

Технология STK позволяет разрабатывать разнообразные финансовые приложения на SIM-карте. Однако на сегодняшний день не существует многофункциональной SIM-карты с полностью решенными проблемами разграничения доступа между приложениями. Поэтому несомненное достоинство концепции dual slot состоит в разделении финансовых и коммуникационных приложений с обеспечением для каждого из них независимого контроля доступа и полным исключением возможности их интерференции.

Другое достоинство этой концепции заключается в возможности построения более гибких отношений между операторами коммуникационных услуг и банками, а также в использовании различных приложений для организации безналичных расчетов в мобильной коммерции. В то же время очевидным недостатком концепции dual slot является необходимость обеспечения пользователей двухслотовыми телефонами, выбор которых невелик, а функциональные возможности и эргономика в лучшем случае средние.

Активными сторонниками концепции dual slot является банковское сообщество и платежные системы на основе пластиковых карт. Эта концепция позволяет банкам обеспечить контроль над своими приложениями.

Сотовые операторы в своем большинстве не поддерживают концепцию dual slot, являясь сторонниками концепции универсальной SIM-карты. Тем самым коммуникационные операторы пытаются сохранить имеющееся у них преимущество, связанное с тем, что GSM SIM-карта разрабатывалась прежде всего как приложение для мобильной связи. Эмиссия SIM-карт всегда контролировалась и продолжает контролироваться сотовыми операторами, которым бы очень хотелось оставить существующее положение дел как можно дольше.

Кроме того, концепция dual slot предоставляет возможность пользователю сотового телефона использовать SIM-карты различных операторов сотовой связи, что также не соответствует интересам операторов сотовой связи.

Таким образом, на сегодняшний день банковское сообщество предпочитает решения на базе двухслотовых аппаратов, в то время как телекоммуникационные операторы, а также производители мобильных телефонов идею двухслотового телефона «SIM+банковская карта» не принимают. При этом финансовые возможности многих таких операторов значительно превосходят имеющийся потенциал банковских структур. В результате отмечается борьба за клиента телекоммуникационных операторов с банковскими организациями. Причем сегодня эта борьба ведется на поле банковских услуг.

Контролируя эмиссию SIM-карт, операторы сотовой связи активно предлагают внедрение на рынке многофункциональных SIM-карт или в крайнем случае — двухслотовых SIM-карт (один слот — для GSM SIM-карты, а другой — для SIM-карты с банковским приложением).

Наиболее серьезные аргументы банковского сообщества в пользу принятия концепции двухслотового «SIM+банковская карта» телефона состоят в том, что банки на сегодняшний день обладают по крайней мере двумя проработанными финансовыми технологиями в области смарт-карт (EMV, CEPS), а также построили мощную распределенную инфраструктуру приема пластиковых карт, обработки платежных транзакций и межбанковских расчетов за транзакции. Очень многое будет зависеть от того, как быстро банки будут внедрять эти приложения на рынке платежных средств (особенно это касается скорости распространения EMV-карт). Наличие на рынке большого количества банковских микропроцессорных карт может заставить телекоммуникационных операторов принять концепцию двухслотовых телефонов.

Дополнительным аргументом в пользу банков является тот факт, что сотовые операторы в основном поддерживают замкнутые системы, в которых пользователь может выполнить транзакцию электронной коммерции, только если и продавец подключен к тому же оператору сотовой связи. В условиях конкуренции между операторами сотовой связи вряд ли стоит надеяться, что в ближайшее время получится построить единую систему мобильной связи на базе нескольких операторов, не говоря уже о платежных системах с глобальным географическим покрытием. Кроме того, операторы сотовой связи понимают, что платежи по картам дадут весьма незначительный в относительном выражении доход как с точки зрения платы за трафик, так и с точки зрения комиссий за обработку транзакций.

Чтобы как можно скорее закрепить свои позиции в области мобильной связи, банки предпринимают попытки сделать обязательным для производителей оборудования для мобильной связи внедрение стандарта FINREAD, находящегося сегодня в процессе разработки CEN/ISSS (www.cenorm.be/ under ISSS). В разработке проекта принимают участие отдельные заинтересованные банки, а также European Committee for Banking Standards.

Серьезные изменения в области мобильной коммерции могут произойти после появления на рынке смарт-карт, поддерживающих многофункциональные операционные системы. На сегодняшний день существует три основные многофункциональные операционные системы (ОС):

• MULTOS, поддерживается консорциумом MAOSCO, основным участником которого является MasterCard;
• Java Card, поддерживается VISA International и Sun Microsystems;
• Windows for Smart Cards, поддерживается Microsoft.

Из перечисленных операционных систем большой интерес на сегодняшний день представляет ОС MULTOS. Это объясняется следующими причинами:

• MULTOS является наиболее стабильной спецификацией, не подверженной, в отличие от других перечисленных выше ОС, частым изменениям.
• MULTOS обеспечивает высокий уровень безопасности для приложений, функционирующих под ее управлением, что подтверждается сертификацией этой ОС по высшему уровню безопасности ITSEC Еб (примерно соответствует уровню А1 Оранжевой книги США).
• MULTOS действительно ясно специфицирует операции загрузки/удаления приложений в отличие от других ОС, которые только заявляют подобную функциональность, но не определяют ее с необходимой для реализации степенью детальности.

MULTOS является наиболее эффективной ОС с точки зрения своих операционных показателей. Сравнения многофункциональных ОС проводились специалистами компании Consult Hyperion. Методика анализа базировалась на сравнении характеристик выполнения некоторого фиксированного набора приложений, написанных на различных языках высокого уровня (MEL, С, Java). С точки зрения размера кода выяснилось, что лидером является MULTOS. Приложения, написанные на языке MEL под MULTOS, требовали наименьших затрат памяти. Более того, было установлено, что размер кода приложения, написанного на языке С под MULTOS, меньше размера кода того же приложения, написанного на языке Java под Java Card. Что касается такого показателя эффективности ОС, как время исполнения кода приложения, то исследования показали, что приложение под управлением ОС MULTOS выполняется на 50 % быстрее по сравнению с ОС Java Card. Как уже отмечалось, ОС MULTOS является высокозащищенным решением. Карты, поддерживающие эту ОС, обязательно содержат сопроцессор RSA. Таким образом, решение задачи динамической аутентификации владельца карты при использовании этой карты является обеспеченным. Это особенно важно для приложений EMV, CEPS, digital ID, Windows 2000 logon, GSM SIM и т. п.

В самом конце 2000 г. компания MasterCard объявила о запуске многофункциональной смарт-карты на базе ОС MULTOS, стоимость которой на больших тиражах составляет $3. При этом карта имеет размер EEPROM, равный 16 К, сопроцессор RSA, реализующий шифрование на ключах длиной 1024 бита. Последняя версия ОС MULTOS для карты разработана австралийской компанией Keycorp Ltd. При этом в ПЗУ карточки прошиты приложения M/Chip Lite (EMV-приложение системы MasterCard) и Public Key Infrastructure.

До конца 2001 г. появятся карточки нескольких производителей на базе MULTOS с EEPROM, равным 32 К. Микропроцессор будет поставляться компаниями Infineon Technologies AG и Philips Semiconductors NV. Ожидается, что стоимость такой карты также не будет превышать $3.

В самом начале апреля 2001 г. компания Keycorp уже объявила о запуске на рынок карточки MULTOS с объемом EEPROM, равным 32 К. Решение Keycorp базируется на применении криптоконтроллера 66Plus (SLE66CX320P) компании Infineon Technologies AG. Микроконтроллер был сертифицирован по наивысшему для микропроцессоров уровню безопасности ITSEC E4. Производительность криптоконтроллера в три раза выше производительности микропроцессоров, имевшихся на рынке до его появления. Карта, наряду с приложениями EMV, может поддерживать такие электронные кошельки, как Mondex, Proton, а также приложение аутентификации клиента.

Необходимо остановиться на очень важном свойстве карты MULTOS — возможности загружать новые приложения в удаленном режиме. Фактически это означает возможность существования нескольких различных центров эмиссии приложений. Например, эмитент приложения GSM SIM — сотовый оператор, эмитент приложений EMV и CEPS — кредитная организация и т. п. В этом случае могут представлять интерес однослотовые модели мобильных телефонов. Возможно, это и является серьезным опасением для телекоммуникационных операторов,понимающих, что если принять концепцию двухслотового «SIM+ банковская карта» телефона, то наличие банковской многофункциональной карты приведет со временем к тому, что SIM-карта будет заменена банковской, поддерживающей функциональность GSM SIM.

Повторим, что на сегодняшний день существенным ограничением для использования мобильных телефонов в качестве инструмента проведения транзакций ЭК являются два фактора: низкая скорость передачи данных в сетях, основанных на использовании стандарта GSM, и маленький дисплей телефона, ограничивающий возможности отображения на нем информации, необходимой клиенту в процессе совершения электронной покупки.

Проблема повышения скорости передачи данных между мобильным телефоном и сервером решается внедрением стандарта для средств мобильной связи третьего поколения Universal Mobile Telecommunications System (UMTS), предложенного Европейским институтом электросвязи (ETSI). Стандарт UMTS открывает новые возможности для мобильной связи. Ширина полосы частот и скорость передачи данных в нем во много раз выше, чем в стандарте GSM (до 2 Мбит/с вместо 9,6 Кбит/с). Таким образом, мобильный телефон в скором времени превратится в мультимедиа-терминал со встроенным телевизионным экраном. Это позволит передавать и принимать не только обычный разговор, но и видеоизображение (то есть аппарат будет функционировать как видеотелефон), работать с Интернетом и электронной почтой, даст возможность владельцу заниматься телешопингом, а также заказывать и просматривать телепрограммы прямо на мобильном аппарате.

В России планируется развернуть три опытные сети сотовой связи третьего поколения. Разработан план создания опытных зон UMTS в Москве и Санкт-Петербурге. Заявки на их создание уже подали North-West GSM, Delta Telecom (обе компании — из Санкт-Петербурга) и конструкторское бюро «Импульс» от оператора «Вымпелком» (Москва). Заявки на тестирование технологии UMTS поступили также от московских компаний МТС и МСС.

С помощью UMTS можно будет решить проблему телефонизации в РФ, поскольку возможности стационарных аналоговых сетей связи очень ограничены. По оценке аналитиков, к 2005 г. число абонентов сотовой связи в России составит около 10-15 млн человек.

Массовое использование технологии UMTS в мире начнется не раньше 2003 г., а по некоторым прогнозам — в 2009 г. Первая сеть мобильной связи третьего поколения вступила в действие в мае 2001 г. на острове Мэн. Владельцы ЗО-телефонов производства компании NEC получили возможность пользоваться услугами видеотелефонии, играть в масштабе реального времени в компьютерные игры, а также получать информацию обо всех услугах, которые они могут получить в той точке острова Мэн, где они находятся.

Наконец, в заключение необходимо сказать несколько слов о системах GPRS, реализующих переходный этап от технологии GSM к стандарту UMTS. Система GPRS (General Packet Radio Services) представляет собой новый стандарт для пакетного обмена данными в сетях мобильной связи стандарта GSM. На первом этапе обеспечивается пропускная способность 13,4 Кбит/с, в будущем возможно увеличение до 115 Кбит/с. Массовое коммерческое внедрение GPRS во всем мире ожидается через 1-1,5 года, когда в широкой продаже появятся GPRS-совместимые телефоны. На выставке CeBIT 2000 компании Motorola и Sagem демонстрировали образцы GPRS-трубок.

При производстве GPRS-трубок производители столкнулись с серьезными техническими проблемами. Увеличение скорости передачи данных в GPRS происходит за счет одновременного использования нескольких временных слотов в GSM-канале. Это приводит к значительному повышению нагрузки на аккумуляторы и микросхемы телефона. Как результат, первые образцы GPRS-трубок обходились без подзарядки источника питания очень ограниченное время. К тому же существовала проблема с перегревом трубки. Сейчас конструкторы решили отмеченные проблемы, и массовый выпуск надежных трубок ожидается уже в 2001 г.

Все ведущие операторы (назовем хотя бы Vodafone Airtouch, T-Mobile, Sonera, Telnor Mobile) модернизировали свои узлы до поддержки пакетной передачи данных по протоколу GPRS уже к середине лета 2000 г. Основное преимущество GPRS в том, что эта технология обеспечивает пакетную передачу данных: абонент не резервирует за собой канал, а занимает его только при передаче информации. По сути дела, при использовании протокола GPRS абонент может быть все время подключен к Интернету, но при этом его телефонная линия свободна. В этом случае плата берется только за объем переданной информации. По данным сотрудников Nokia, передача 1,8 Мбайт данных аналогична разговору продолжительностью 30 минут, а предложенный компанией Nokia тариф — $ 1 за передачу мегабайта данных — гораздо дешевле современных тарифов на передачу голоса.

Сегодня стандарт GPRS поддерживается и крупнейшими российскими операторами сотовой связи — МТС и «Би Лайн».

Интерактивное телевидение, как и мобильная телефония, приобретает все большее распространение. В мире насчитывается 1,5 млрд телевизионных приемников, что значительно превышает количество телефонных абонентов, равное примерно 1 млрд.

Наиболее распространенными услугами, получаемыми клиентом с использованием STB-устройств, являются:

• программирование широковещательных телевизионных передач под конкретных пользователей;
• получение информационных сервисов: прогноз погоды, новости, биржевая информация и т. п.;
• покупка товаров и услуг;
• заказ и оплата индивидуальных телевизионных программ (Videoon-Demand, Pay-Per-View);
• доступ в Интернет;
• игры и т. п.

Организация платежей через интерактивное телевидение (сегодня для обозначения этого вида ЭК часто используется термин t-commerce) требуется для оплаты:

• покупок товаров и услуг;
• избирательно для оплаты услуг Video-on-Demand и Pay-Per-View («плати и смотри»);
• игр;
• доступа к информационным услугам.

Наиболее оптимистичные прогнозы утверждают, что уже к 2003 г. через интерактивное телевидение будет производиться около 30 % всех удаленных платежей. Рассматриваются две модели ввода платежных данных при применении интерактивного телевидения:

• ввод данных с помощью микропроцессорной карты через картридер, подключенный к отдельному второму слоту STB-устройства;
• ввод данных из программы электронного бумажника (electronic wallet), хранящейся в устройстве управления телевизора.

Сегодня мало примеров использования TV для проведения транзакций ЭК. Предоставляемый каналом Sky Digital интерактивный телевизионный сервис Open позволяет потребителям совершать покупки, не выходя из дома, пользоваться электронной почтой и играть в некоторые несложные игры.

Похожие услуги (включая ЭК) начала оказывать российская компания Телеком Рикор.

Известен также пример сотрудничества компаний Future TV и Mondex International в области использования электронных кошельков Mondex. По технологии Future TV зрители могут теперь выбирать, какие программы им смотреть и когда. Оплата услуг производится с помощью карт Mondex. В результате телевизор пользователя со временем узнает о предпочтениях своего хозяина и сам предлагает ему программы, которые он может захотеть увидеть.

Существующая ситуация, видимо, связана с тем, что некоторые телевизионщики считают новые информационные технологии опасными для себя. До последнего времени основу могущества телевизионных магнатов составляло владение содержанием передаваемой информации и контроль над ним, а также «право собственности» на аудиторию. Появление технологий, осуществляющих «распаковывание» содержания передач (каждый зритель выбирает передачу, а не канал), а также поддерживающих принцип «плати и смотри», угрожают привычной власти телемагнатов и устоявшейся схеме получения доходов.

Тем не менее, переход к «распаковыванию» и «плате за просмотр» неизбежен, поскольку оба эти принципа чрезвычайно привлекательны для потребителя. Недавние исследования показали, что 57 % потребителей предпочли бы оплачивать телевидение по принципу «плати и смотри».

Как уже отмечалось, ЭК с помощью TV должна стать наиболее распространенным способом проведения заочной торговли. По данным опроса, проведенного Gallup по заказу Расе Micro Technology (Pace Micro Technology является крупнейшим в Европе производителем телевизионных цифровых декодеров и устройств Set-top-Box; компания выпустила 2 500 000 приставок digital set-top box), 42 % респондентов ответили, что предпочитают использовать телевизионные приемники для проведения операций ЭК. При этом примерно 25 % респондентов ответили, что не будут использовать технологию ЭК ни при каких обстоятельствах. Среди тех опрошенных, кто собирается когда-нибудь использовать ЭК, 59 % склоняются в пользу интерактивного телевидения, а 37 % — в пользу персональных компьютеров. При этом, как это ни покажется странным, среди компьютерного поколения (молодые люди от 16 до 24 лет) доля людей, предпочитающих интерактивное телевидение персональным компьютерам в качестве средства проведения ЭК, составляет 65 %.

Объемы операций через Интернет постоянно растут. В 1995 г. оборот продаж/покупок по Интернету составлял около $300 млн (Coopers&Lybrand). По данным компании ActiveMedia общий объем сделок в рамках систем электронной коммерции в мире в 1996 г. составил $2,7 млрд, а в 1998 г. достиг $73,8 млрд. По данным отчета исследовательской компании eMarketer, в 2000 г. мировые обороты по электронной коммерции составили $185 млрд, в 2001 г. они увеличатся до $336,2 млрд, в 2002 г. — составят $684,3 млрд, а в 2003 г. достигнут $1,26 трлн.

Похожая оценка для 2003 г. дается компанией IDC. По прогнозам IDC к 2003 г. объем операций ЭК достигнет уровня $1,3 трлн. Ожидается, что к 2005 г. более 10 % всех торговых операций в мире будет производиться с использованием средств электронной коммерции.

Аналитики eMarketer утверждают, что в общих доходах электронной коммерции в 2000 г. доля В2В составляла 79,2 %. В дальнейшем эта доля будет только увеличиваться: в 2001 г. она составит 82,5 %, а к 2003 г. достигнет 87 %.

По оценкам компании Forrester Research в 2004 г. обороты электронной коммерции в корпоративном секторе составят $2,7 трлн. По мнению аналитиков рост объемов будет происходить в основном за счет рынков Европы и Азиатско-Тихоокеанского региона. Более половины транзакций ЭК (около 51 %) будет осуществляться в Северной Америке. Объем второго по величине, Азиатско-Тихоокеанского рынка, составит 23 % от всего объема ЭК. Лидером в этом регионе останется Япония. Объем европейского рынка оценивается в 22 % от всего объема ЭК.

По прогнозам исследовательского центра IDC, доходы европейских В2В-компаний, составившие в 2000 г. 61 млрд евро ($57,3 млрд), к 2005 г. взлетят до 1,5 трлн евро. Самым динамично развивающимся направлением европейского В2В-бизнеса в следующие четыре года будут торговые площадки в Интернете (emarketplaces). В течение периода до 2005 г. эти площадки будут приносить наиболее высокий доход, который будет складываться преимущественно из поступлений от электронных сделок, заключения партнерств и дополнительных услуг, таких как, например, электронный консалтинг.

Лидером рынка В2В-коммерции в ближайшие годы останутся США — в 2003 г. их доля на этом рынке составит 59 % ($ 747 млрд). По прогнозам eMarketer, до 2003 г. будет наблюдаться рост популярности онлайновых торговых площадок и бирж. Будут усложняться и совершенствоваться предлагаемые ими услуги. Причем основными игроками на этом рынке станут небольшие компании. Сейчас в онлайновой торговле принимают участие только 8 % малых компаний, но к 2003 г. их доля возрастет до 72 % и их доходы от этой деятельности достигнут $230 млрд.

По данным компании Boston Consulting Group (BCG) в 1999 г. скорость роста годового объема операций, выполненных через системы электронной коммерции (ЭК), составила около 200 % для Европы и 145 % для США.

В четвертом квартале 2000 г. американцы потратили $ 8,562 млрд в секторе В2С и впервые в истории перешагнули рубеж в 1 % от общего объема розничных продаж в США.

В отчете Департамента Коммерции США говорится, что за период с октября по декабрь 2000 г. американцы купили на 35,9 % больше товаров, чем за предыдущий квартал, что свидетельствует о неослабевающем интересе к покупкам через Интернет в Америке, даже несмотря на общее замедление развития экономики. Лидерство в Европе по числу любителей делать покупки через Интернет принадлежит Швеции, где таким способом покупают товары 2,5 % населения страны. Как показало исследование компании Jupiter Media Metrix, число интернетпользователей в Швеции достигло рекордного уровня. Согласно этому исследованию, в феврале 2001 г. 4,23 млн шведов выходили в Интернет. В общей сложности Интернет использует 59 % всего населения страны в возрасте от 12 до 79 лет, что составляет максимальный показатель среди европейских стран. 65 % мужчин и 54 % женщин хотя бы один раз в месяц выходят в Интернет.

«Несмотря на более низкую степень развития электронной коммерции, Германия и Великобритания являются наиболее важными рынками благодаря размерам их экономики. Вместе они составляют 60 % европейского рынка и отвечают за большую часть роста в абсолютном значении (в том числе трехкратного роста в течение одного года)», — говорится в отчете Boston Consulting Group.

Небольшая доля продаж через Интернет во Франции объясняется национальной спецификой. Уже 20 лет во Франции распространены дешевые устройства Minitel, позволяющие входить в некий национальный аналог Интернета и делать там покупки. Оборот в этой сети превышает оборот Интернет-торговли в любой другой европейской стране — $1,32 млрд.

Значительно отличаются методы платежей. В Германии и скандинавских странах менее 20 % покупок через Интернет оплачивается кредитными картами, а в Британии, Франции и Италии кредитки используются очень широко. Более 90 % онлайновых платежей Великобритании оплачивается карточками.

К 2003 г. по прогнозу Jupiter Communications покупки через Интернет в Европе будут совершать 40,2 млн человек.
Структура электронных покупок в 1998 г. имела следующий вид:

• компьютеры и комплектующие к ним — 44 %;
• продажа авиабилетов — 23 %;
• книги — 14 %;
• музыкальные записи — 5 %;
• программы — 5 %;
• прочее-9%.

Ожидается, что доля продаж авиабилетов в ближайшие годы увеличится до 35 %, в то время как доля продаж компьютеров, наоборот, уменьшится до 16%. Согласно отчету, проведенному компанией Census Bureau, пользователи Интернета в 2000 г. потратили на покупки $28 млрд, что превысило аналогичные показатели за 1999 ($17,3 млрд) и 1998 годы ($7,7 млрд). Пользователи потратили больше всего денег на покупку авиабилетов — $7,8 млрд (27,9 %). На покупку ПК в Интернете было потрачено $5,1 млрд (18,2 %), а на бронирование номеров в отелях $2,1 млрд (7,5 %). При этом через Интернет производилось 24 % всех продаж компьютерного оборудования. На покупку программного обеспечения пользователи потратили $1,3 млрд (4,6 %), что составило 21 % от всего объема данного рынка. По прогнозам этой же компании объем продаж в секторе В2С в 2001 г. составит $ 65 млрд. Таким образом, рост этого сектора электронной коммерции составляет 46 % в год.

Согласно последнему отчету компании Boston Consulting Group объем продаж в секторе В2С в 2000 г. равнялся $44,5 млрд, что составило 1,7 % от всего объема в розничном секторе.

Набирают обороты и новые виды электронных покупок. Все более популярной становится торговля через Интернет ценными бумагами. Так, по итогам первого квартала 2000 г. объем торгов ценными бумагами вырос на 69 %, а размер активов счетов пользователей впервые перевалил за $1 трлн. Лидером рынка является онлайновый брокер Charles Schwab. На втором месте E-Trade.

Интернет меняет и формы торговли. Большой популярностью пользуются электронные аукционы, превращающиеся из увлекательной экзотики в основной способ торговли в виртуальной экономике. По мнению экспертов, объем продаж через потребительские аукционы будет стремительно расти от $1,4 млрд в 1998 г. до $19 млрд в 2003 г. Интересно, что в 1998 г. 75 % всего объема продаж на аукционах составляли компьютеры и все, что с ними связано. К 2003 г. эта цифра упадет до 27 %. Наиболее крупные известные компьютерные аукционы: OnSale, uBid и Cyberian Outpost.

Среди аукционов для потребителей можно выделить две крупные категории — продажа остатков и торговля коллекционными предметами. OnSale, Cybershop, Sharper Image и Cyberian Outpost продают остатки, а недавно запущенный компанией Amazon аукцион Auctions, с которым подписали договор о сотрудничестве уже около 170 торговцев, ориентированы на коллекционеров антиквариата, марок, монет, комиксов и старых пластинок.

Аукционы распространяют свое влияние на самые разные области торговли. Эксперты компании Forrester предсказывают, что очень скоро все — от маек до автомобилей — будет продаваться через Интернет по договорным ценам. Меняться будет и структура аукционов. В 1998 г. 70 % всех аукционных продаж составили продажи «от одного человека другому», а остальные 30 % были продажи в секторе В2С. В 2003 г. доля последних возрастет до 66 %.

В заключение, говоря об аукционах, нельзя не упомянуть крупнейший аукцион eBay. На начало 2000 г. рыночная стоимость акций этого аукциона составляла $18 млрд. На аукционе eBay зарегистрировано 4 млн клиентов. Аукцион поддерживает около 90 тематических групп, что привлекает к нему продавцов — продавца интересует не общее число клиентов какого-либо аукциона, а число клиентов, интересующихся его товаром (находящихся в его тематической группе).

Рассказывая об электронных аукционах и биржах, нельзя не упомянуть и таких монстров, как MetalSite (торговля металлом), World Chemical Exchange (работает с 4000 химических компаний, продающих и покупающих на ее Web-узле излишки продукции), Ariba и Commerce One.

В настоящее время в России существует рынок товаров и услуг, для оплаты которых средства электронной коммерции являются удобным платежным инструментом. К числу таких товаров и услуг относятся:

• бронирование и продажа билетов (авиабилетов, билетов на другие виды транспорта, билеты в театры, кино и т. п.);
• продажа компьютеров, ноутбуков, принтеров, мониторов, сканеров, программного обеспечения, сетевого оборудования, комплектующих и т. д.;
• продажа книг и изданий, компакт-дисков, аудио- и видеоаппаратуры;
• резервирование и оплата проживания в гостиницах;
• оплата пользователями Интернета услуг своих операторов доступа к Интернет-провайдеру (Internet Service Provider, ISP); сегодня в России насчитывается около 150 активных ISP;
• оплата пользователями услуг коммуникационных систем общего пользования (сотовых сетей, пейджинговых систем и других);
• продажа туристических путевок;
• подписка на различные услуги (например, газеты и журналы);
• продажа продуктов питания;
• продажа медикаментов;
• оплата коммунальных услуг;
• продажа программного обеспечения.

По самым грубым оценкам в 1999 г. годовой объем операций по электронной коммерции в России составлял $1 млн (на фоне примерно $ 130 млрд в мире). По данным компании eTopS, объем рынка ЭК в 1999 г. составлял примерно $1,5 млн. В соответствии с различными оценками в 2000 г. обороты ЭК составляли $10—45 млн. В частности, по данным инвестиционной компании RuNet Holding совокупный объем ЭК составлял в 2000 г. $12 млн. По данным А. Т. Kearney, суммарный оборот российского рынка электронной торговли в 2000 г. равнялся $40 млн. В России доля операций ЭК от общего товарооборота находится на уровне сотых долей процента. Представители российского офиса Boston Consulting Group прогнозируют рост объема электронной коммерции в России в 2003 г. до $400-600 млн. При этом соотношение электронной коммерции к общему товарообороту должно достигнуть 0,25 %, что будет соответствовать уровню США в 1998 г. Таким образом, по этому критерию отставание России от Северной Америки в области ЭК составляет примерно пять лет. Boston Consulting Group прогнозирует в 2003 г. средний оборот российской онлайновой торговли в $50—60 в год на каждого пользователя Интернета, что составит около 1 % от его дохода. Доход этот, заметим, будет вдвое выше, чем у среднего гражданина России. Сейчас же доходы пользователей, имеющих доступ из дома (25 % от общего числа), в 5—6 раз выше средних доходов по стране. К 2003 г. количество пользователей Интернета с низкой платежеспособностью, входящих в Интернет через образовательные и научные учреждения, сократится с нынешних 25 % до 10 %, а количество домашних пользователей возрастет до 40 %.

Тем не менее, аналитики Boston Consulting Group не предрекают до 2003 г. массового проникновения на российский рынок американских онлайновых продавцов. В отличие от европейского рынка в России не развита необходимая для этого инфраструктура. Скорее ожидается появление Интернет-компаний 2-3-го уровня, например скандинавов и турок. Наглядным примером служит их экспансия на традиционном рынке — достаточно взглянуть на магазины IKEA и «Рамстор».

В отношении прогнозов развития в России рынка В2В интерес представляют выводы аналитиков рейтингового агентства «Эксперт РА», сделанные в завершенном в начале 2001 г. отчете-исследовании «Перспективы развития межкорпоративного электронного бизнеса в промышленности России». В соответствии с этим отчетом к 2005 г. общий объем операций между российскими предприятиями через Интернет может составить $2,8 млрд. Данный показатель рассчитан при условии сохранения тех позитивных тенденций, которые наблюдаются в российской промышленности в последнее время. По прогнозам аналитиков рейтингового агентства «Эксперт РА» через три-четыре года российские компании могут вступить в фазу активного освоения межкорпоративного электронного бизнеса и взаимоотношения между участниками рынка примут более цивилизованный характер. Тем не менее, по оценкам авторов отчета, в ближайшем будущем лавинообразный рост продаж промышленной продукции в России через Интернет маловероятен. Скорее всего, до 2003 г. российский В2В-рынок будет проходить этап структурной организации, при котором стоимостные показатели объема рынка будут невелики.

Аналитический доклад «Перспективы развития межкорпоративного электронного бизнеса в промышленности России» составлен на основе базы данных рейтингового агентства «Эксперт РА», материалов официальных статистических органов (Госкомстата РФ, ГТК РФ) и сведений ведомственной отчетности. Также для получения дополнительной информации было проведено анкетирование 200 ведущих компаний России и серия интервью с топ-менеджерами крупнейших отечественных корпораций. Консультантом исследования была компания PricewaterhouseCoopers.

В России сегодня насчитывается полтора десятка систем ЭК и около 600 виртуальных магазинов. В области розничной торговли только половина Интернет-магазинов реально ведет бизнес, а ощутимый ежемесячный доход (более $5 тысяч) имеют два-три десятка. Среди них известна торговая система eMatrix (www.ematrix.ru), принадлежащая холдингу eHouse. В систему входят такие известные магазины, как Dostavka.ru, Megashop.ru, Wsore.ru, Aromat.ru, Kenga.ru. Суммарный оборот этих магазинов за первую половину 2000 г. составил $5,7 млн, а в сентябре того же года — $1,79 млн.

Российским пионером в области продаж через Интернет явился Мостбанк. В 1997 г. Мост-банк совместно с фирмой «Формоза Софт» и процессинговой компанией «Мультикарта» реализовал технологию электронных платежей с использованием карточек Мост-Банка ЕС/МС, VISA, MostCard. Подключившись через Интернет к Web-сайту компании «Формоза», можно было совершить покупку компьютеров, ноутбуков, принтеров, мониторов, сканеров, программного обеспечения, сетевого оборудования, комплектующих и т. д. (всего более 1000 видов техники). Интернет-магазин позволял в режиме реального времени получить доступ к информации о наличии товаров, ценах, предоставляемых скидках и льготах. Кроме того, для каждого товара имелось его изображение и краткое описание основных характеристик.

Процесс оплаты покупки в Интернет-магазине Мост-банка с использованием пластиковых карточек происходил следующим образом. Для авторизации операции покупки Интернет-магазин автоматически связывается с процессинговой компанией. После успешной авторизации сумма покупки холдировалась (замораживалась, но не списывалась) на счете клиента. Завершалась операция покупки передачей заказа и оформлением в момент доставки товаров слипа (специального банковского документа, оформляемого торговым предприятием и подтверждающего обслуживающему банку факт совершения покупки в торговой точке), на котором производился оттиск карточки и проставлялась подпись клиента. Только после этого банк списывал заблокированную ранее сумму.

Вслед за Мост-банком на рынке появились другие игроки. Сегодня в России продажами через Интернет активнее других занимаются такие банки, как Альфа-банк, Росбанк (через компанию UCS), «Первое общество взаимного кредита» (через процессинговую компанию STB CARD), «Менатеп (С.-Петербург)», «Петровский», «Платина». Для захвата транзакции от Интернет-магазина и ее доставки в платежную систему банки чаще всего используют технологию виртуального POS-сервера. Основная функция такого сервера состоит в подключении ТП к платежной системе на основе нескольких заранее оговоренных интерфейсов, а также в получении данных от владельца карты. Таким образом, для ТП облегчается задача начала безналичных расчетов по пластиковой карте. Кроме того, реквизиты карты не известны ТП, что является важным фактором при обеспечении безопасности в Интернет-торговле.

Сервер Assist (разработка и собственность петербургской компании «Рексофт») является на сегодняшний день самым известным виртуальным POS-сервером в России. Сервер начал свою работу в марте 1999 г. и сегодня через него работают несколько десятков ТП. Схема расчетов с помощью пластиковых карт в системе Assist показана на рисунке

Покупатель через Интернет подключается к Web-серверу ТП, формирует корзину товаров и выбирает в качестве способа оплаты пластиковую карту.

ТП формирует заказ и переадресует покупателя на сервер Assist. Одновременно ТП передает на сервер Assist идентификатор ТП, номер заказа и его сумму.

Сервер Assist устанавливает с покупателем защищенное SSL-соединение (подробнее см. далее) и принимает от покупателя параметры его кредитной карты (номер карты, время окончания ее действия, имя держателя карточки, CVV2/CVC2 и, возможно, некоторую другую информацию). К оплате принимаются карты всех известных международных и отечественных платежных систем, включая VISA, Europay/ MasterCard, American Express, Diners Club, JCB и STB CARD. Таким образом, конфиденциальная информация о реквизитах карты не предоставляется торговому предприятию.

Сервер Assist производит обработку полученной информации (в частности, совершает проверку реквизитов карты на их принадлежность к различным Negative-файлам, содержащим номера скомпрометированных карт, а также некоторую относящуюся к ним информацию) и формирует авторизационный запрос для передачи его в платежную систему.

Сервер Assist получает из сети ответ на авторизационный запрос. Если ответ содержит отрицательный код ответа, то сервер передает отказ покупателю с описанием причины отказа, а ТП — с номером заказа. Если ответ содержит положительный код ответа (транзакция разрешена), сервер передает магазину положительный результат авторизации с номером заказа, а также положительный код авторизации покупателю.

Первым пользователем услуг виртуального POS-сервера Assist был банк «Платина», фактически ожививший свой проект CyberPlat с помощью решения компании «Рексофт». Проект CyberPlat, запущенный в марте 1998 г., первоначально предоставлял услугу оплаты доступа в Интернет пользователям Демос (один из крупнейших российских ISP) с использованием пластиковых карт. Для совершения покупки в системе CyberPlat клиент должен был зарегистрироваться в системе на сайте CyberPlat, скачать с него специальное программное обеспечение и установить его на своем компьютере. При этом в банке «Платина» для клиента автоматически заводился счет, на который покупатель должен был положить определенную сумму денег. С этого счета производились расчеты за электронные покупки клиента.

Очевидно, что схема Cyber Plat была замкнутой, монобанковской и могла рассчитывать на успех в весьма ограниченном секторе бизнеса (например, при оплате услуг внутри замкнутого сообщества покупателей и продавцов).

С 2000 г. услугами Assist стали пользоваться платежная система STB CARD и Альфа-банк. В результате сотрудничества с STB CARD на сервере появились дополнительные возможности, включая «захват» дополнительных данных по карте (CVV2/CVC2, динамическая аутентификация владельцев карточки STB Card).

Банк «Платина» сегодня перестал пользоваться услугами сервера Assist, создав его аналог — сервер CyberPOS. Оператором системы CyberPlat является компания Cyberplat.com, выделившаяся из банка «Платина».

Идея создания виртуального POS-сервера оказалась весьма плодотворной и сегодня взята на вооружение всеми банками, занимающимися ЭК. Кроме того что виртуальный POS-сервер позволяет ТП с минимальными затратами внедрить оплату по пластиковым картам, эффективность решений на основе единого сервера с точки зрения безопасности оказывается более высокой.

Поясним сказанное. Рассмотрим упрощенные модели распределенной и централизованной систем обработки платежей. В централизованной системе платежи осуществляются с помощью единого для всех ТП сервера, а в распределенной — каждым ТП самостоятельно. Пусть в системе имеется m одинаковых торговых предприятий, через каждое из которых обрабатываются п карточек. Предположим, что система подвергается атаке хакеров, целью которой является получение информации о реквизитах карт, хранящихся в системе. В случае централизованной системы вся информация о nm карточках хранится на одном сервере, а в случае распределенной — на сервере каждого ТП хранится информация только об п картах. Будем считать, что вскрытие сервера означает получение хакерами информации о всех картах, хранящихся на сервере.

Обозначим через Рс и Pd — вероятности того, что атака хакеров соответственно на единый сервер централизованной системы и сервер одного ТП в распределенной системе завершится неудачно. Пусть с — средние потери от попадания информации о реквизитах одной карты в руки мошенника (сюда входят потенциальные потери от использования карты, стоимость блокировки карты и т. п.). Обозначим также через F(p) затраты, которые необходимо сделать для того, чтобы обеспечить такой уровень защиты сервера (ТП или центрального сервера), при котором вероятность того, что атака мошенников на сервер закончится провалом, равна р. Из общих соображений очевидно, что F(p) — монотонно возрастающая функция, определенная на интервале [0,1), и lim F(p)= °°, когда р—>1. Пусть Fo — ограничение сверху на расходы, связанные с повышением безопасности системы.

Легко показать, что средние потери от атаки мошенников равны Cc=cmn(l-Pc) и Cd=cmn(l-Pd) для централизованной и распределенной систем соответственно, где Рс и Pd являются решениями уравнений:

F(Pc)=Fo;

mF(Pd)=Fo.

В силу монотонности возрастания функции F(p) очевидно, что выполняется неравенство P c>Pd и, следовательно, Cc

В модели предполагалось, что множества карт, работающих в каждом ТП, не пересекаются. На практике одни и те же карты обслуживаются в разных ТП. Поэтому при взломе одного ТП становятся известны реквизиты карт, хранящиеся в базах данных других ТП. Это еще больше усиливает эффект от создания единого защищенного сервера ЭК.

Помимо систем Assist и Cyber Plat известны системы Элит+ (разработка компании АйТи, используемая Автобанком), Cashew (разработка компании DataX Florin, используемая банком Менатеп С.-Петербург), ЦЭП (разработка компании Web Plus, используемая банком ПСБ С.-Петербург).

Представляет интерес проект PayCash (совместная разработка банка «Таврический» (С.-Петербург) и группы компаний «Алкор-Холдинг»). Система PayCash реализует цифровой эквивалент чека. В проекте принимают участие несколько банков, каждый из которых имеет возможность выпустить собственные электронные деньги.

Комиссионные платежной системы PayCash за процессинг транзакции составляет 1-2 % от ее размера. На январь 2001 г. в системе были зарегистрированы 30 магазинов и 11 тысяч пользователей. Ежедневно к системе подключалось около 60 пользователей.

Другим примером системы электронной наличности является система WebMoney Transfer. Система предоставляет возможность пользователю Интернета осуществлять безналичные расчеты в масштабе реального времени с использованием электронной наличности WEBMONEY (WM). Подробнее о принципах функционирования систем PayCash и WebMoney Transfer читатель может узнать в главе «Системы электронной наличности».

В мае 2000 г. была запущена в эксплуатацию Система Интернетплатежей (СИП) Сбербанка РФ. Система была разработана компанией «СмартКард-Сервис». Она позволяет производить оплату товаров и услуг в Интернет-магазинах с помощью микропроцессорных карт системы СБЕРКАРТ Сбербанка.

Наконец, следует отметить совместный проект банка «Олимпийский» с компанией Europay по реализации проекта ЭК на базе протокола SET (о протоколе SET — Secure Electronic Transaction — подробно рассказано далее). Проект начат в ноябре 1998 г. Сведения о проекте очень скупы. Известно только, что в нем участвуют несколько сотен карт и один Интернет-магазин.

Известно, что проект ЭК на базе протокола SET и решения IBM Payment Suite был запущен российской компанией Транскредиткарт. Проект реализуется для предприятий МПС (автоматизируются безналичные расчеты за перевозку, топливо и т. п.).

В данном обзоре необходимо также упомянуть наиболее известные сегодня российские электронные магазины. По данным magazin.ru, Интернет-магазины по типу продаваемой ими продукции распределены так, как это показано на рисунке

Наиболее известным российским магазином электронной коммерции является магазин Ozon (www.ozon.ru). Магазин начал свою работу в апреле 1998 г. Сегодня он предлагает покупателям несколько тысяч наименований книжных изданий, компакт-диски и DVD, периодику и видеокассеты. К концу 1999 г. Ozon вышел на самоокупаемость, а в начале 2000 г. 51 % акций магазина были проданы инвесторам за $1,8 млн.

Магазин Bolero (www.bolero.ru) возник летом 1999 г. Сегодня на сайт магазина ежедневно заходят несколько тысяч человек. Магазин торгует книгами (более 24 тыс. наименований), музыкальными записями (более 25 тыс.), DVD и Video CD (около 800), играми (более 440), видеокассетами (около 4650 наименований), товарами для детей, журналами и газетами (более 550 наименований). Ежедневно в магазине совершается свыше 100 покупок. Если заказ сделан утром и доставка производится в пределах Москвы, то он исполняется в течение суток.

Компьютерный электронный магазин Dostavka.ru (www.Dostavka.ru) начал работать в декабре 1998 г. Цены в Dostavka.ru находятся в промежутке между ценами компьютерных рынков (типа московской «Горбушки») и салонов — ближе все-таки к рынку. Однако если есть спрос на определенный товар, то цена повышается. Ассортимент магазина насчитывает несколько сотен позиций. Доставка товаров производится только в Москве.

Магазин Ramis (www.ramis.ru) представляет собой электронный магазин по продаже расходных материалов для офисной техники. На Web-узле www.gost.ru находится электронный магазин по покупке необходимых покупателю стандартов ГОСТ.

В конце 2000 г. в Рунете открылась система бронирования и продажи билетов на все зрелищные мероприятия в режиме реального времени (www.parter.ru). Сейчас через эту систему можно заказать билеты на различные концерты, спортивные мероприятия, а также на спектакли лучших театров страны.

В середине декабря 1999 г. усилиями компании KompTek International и инвестиционного фонда net-Bridge в Рунете был открыт аукцион «Молоток.Ру». Схема функционирования аукциона строится следующим образом: продавец регистрируется, ставит в базу данных свой товар и назначает за него минимальную цену. Для регистрации продавца достаточно указать адрес электронной почты. Затем начинаются торги, продолжающиеся 3, 7, 15 или 30 дней. После завершения сделки продавцу и покупателю (который также регистрируется по адресу в электронной почте) высылается контактная информация, и они связываются друг с другом самостоятельно. Количество успешно завершаемых сделок составляет около 35 % от всего количества продаж через аукцион. По данным на середину 2000 г. в аукционе «Молоток.Ру» участвовало около 10 тыс. человек, выставлялось 5 тыс. лотов на сумму более $14 млн.

Большую популярность в России приобретает интернет-страхование. Крупнейшим страховым Интернет-представительством в Рунете является сайт Ингосстраха (www.ingos.ru). Функции Интернет-представительства Ингосстраха не ограничиваются только ролью виртуальной витрины, дающей посетителю информацию о предоставляемых компанией услугах. Основным отличием www.ingos.ru от большинства официальных сайтов других страховых компаний является хорошо отлаженный механизм обратной связи, осуществляемый как через почту, размещенную на сервере Ингосстраха, так и через анкеты, заполняемые потенциальными клиентами. В последних посетители сайта могут поместить подробную информацию о конкретном предмете, который они хотели бы застраховать, сумме и сроках страховки. Подробный ответ с указанием реальных страховых продуктов, более всего отвечающих запросам клиента, возвращается клиенту в течение одного дня с момента обращения.

Кроме этого, на сайте имеется специальный калькулятор, позволяющий клиенту, сидя за домашним компьютером и варьируя параметры страхования (страховые суммы, лимит ответственности и т. п.), самостоятельно оптимизировать свою страховую защиту.

Заключительный этап продажи услуги клиенту Ингосстраха не является электронным. Для заключения реальной сделки требуется присутствие клиента в офисе компании. Однако значительная часть сделки (подготовка документов) производится в Интернет-представительстве, и клиенту требуется совсем немного времени для того, чтобы подписать в офисе компании уже подготовленные договоры, предварительно лолучив разъяснения по любому интересующему вопросу.

Виртуальный офис компании «Группа ренессанс страхование» находится по адресу www.renins.com. Компания предлагает продукты, охватывающие основные направления страхования: квартиры, дачи, несчастные случаи, автогражданская ответственность и страхование выезжающих за рубеж.

Главным разделом сайта www.renins.com, бесспорно, является Интернетмагазин, в котором осуществляется продажа страховых полисов с использованием пластиковых карт. В настоящее время продается семь страховых продуктов, не требующих андеррайтинга — предварительного осмотра клиента. К таким продуктам относятся страхование от несчастных случаев, выезжающих за рубеж, страхование гражданской ответственности и т. п.

Компания РОСНО уже долгие годы является одним из лидеров в сфере социальных страховых продуктов. Для удобства посетителей представленные на сайте www.rosno.ru продукты разбиты на семь основных категорий, в числе которых медицинское страхование, страхование жизни, жилища, автомобиля, гражданской ответственности и т. д.

Основным разделом Web-сайта www.rosno.ru является «Центр Интернет-Продаж». Здесь клиент имеет возможность ознакомиться со страховыми продуктами компании, которые можно приобрести в онлайновом режиме. Для удобства все страховые программы поделены на четыре основные категории: автомобили, имущество, жизнь и здоровье, путешествия. Выбрав интересующий его продукт, клиент может ознакомиться с его описанием, рассчитать цену на предложенном здесь же калькуляторе. Если цена полиса устраивает клиента, то ему предлагается прочитать правила страхования и приступать к заполнению анкеты, которая фактически является заявлением на страхование. Расплатиться за страховку можно с помощью кредитной карточки.

В Рунете представлены также виртуальные офисы Промышленно-страховой компании (ПСК) (www.iic.ru), компании «Ресо-Гарантия» (www.reso.ru), Закрытого акционерного общества авиационного и космического страхования «АВИКОС» (www.avicos.ru), компании «Центр Брокер» (www.insurance2000.ru).

Опрос регулярной аудитории Рунета, проведенный агентством monitoring.ru, показал, что доля имеющих опыт приобретения товаров и услуг через Интернет составляет минимум 12 %. В Москве и СанктПетербурге эта доля составляет минимум 21 %. В остальной части европейской территории России рассматриваемый показатель вчетверо меньше (5 %). На Урале и в Западной Сибири доля имеющих опыт совершения электронных покупок составляет 8 %, в Восточной Сибири и на Дальнем Востоке — 16 %. При этом 66 % тех, кто имеет опыт приобретения товаров и услуг через Интернет, проживают в Европейской части России. Только на Москву и Санкт-Петербург приходится 47 % всех имеющих опыт приобретения товаров и услуг через Сеть. Активная аудитория Интернета предпочитает следующие темы: новости (64 %); развлечения, анекдоты, игры (59 %); общение, чаты (47 %); информация о товарах и услугах (40 %); бизнес, финансы (37 %). Максимальная аудитория предпочитает следующие темы: развлечения, анекдоты, игры (35 %); общение, чаты (32 %); новости (31 %); наука, образование (21 %). Средний возраст всей активной аудитории составляет 30 лет. Самые молодые люди в этой аудитории Рунета объединены интересом к музыке, литературе, кино (средний возраст 24 года). Затем следует группа со средним возрастом 26 лет, объединенная интересом к общению, чатам.

Среди посетителей российских Интернет-магазинов значительно больше россиян, чем в аудитории Рунета в целом. Если в целом на русскоязычных ресурсах 2/3 их посещений приходится на российских пользователей, то на сайтах Интернет-магазинов по данным отчета, составленного компанией SpyLog, российская аудитория дает более 3/4 трафика.

Преобладание российских пользователей неудивительно, если принять во внимание, что в выборку были включены магазины, ориентированные в первую очередь на российский рынок. Данное ограничение особенно заметно сказалось на доле аудитории из стран СНГ и Прибалтики — в секторе онлайновой торговли доля ближнего зарубежья не превышает 6 % против 14 % в целом по Рунету (данные по хитам). Русскоязычную аудиторию из бывших республик СССР отличает и крайне низкая активность на сайтах Интернет-магазинов — в среднем задень на каждого посетителя из Украины или Прибалтики приходится около 3 посещений против 4,5 посещений для российских посетителей и 5-6 посещений для посетителей из стран дальнего зарубежья. Это позволяет говорить о том, что среди посетителей из ближнего зарубежья (несмотря на немногочисленность данной категории) преобладают случайные посетители.

Помимо России, только у одной страны — Израиля — доля в аудитории Интернет-магазинов (2,1 % по посещениям) выше, чем в целом по Рунету (1,8 %). Очевидно, что подобный результат достигается за счет интереса русской диаспоры (а ее доля в населении максимальна именно в Израиле) к книгам, музыке и видео из России, которые можно заказать через Интернет. В аудитории соответствующих магазинов доля «стран диаспоры» составляет 18 %. В том числе США — 11,6 %, Израиля — 4,3 %, Германии — 2,1 %. В то же время в аудитории магазинов другого профиля (компьютерная техника, сотовые телефоны, продукты и т. д.) доля «стран диаспоры» составляет лишь 3-3,5 %. В противоположном направлении изменяется процент российских пользователей — 67 % в книжных магазинах, магазинах музыки и видео и около 85 % в прочих магазинах.

По данным magazin.ru на март 2000 г. предпочтения российских Интернет-покупателей распределялись следующим образом.

profit distribution

По данным raexport.ru распределение оборотов российских Интернетмагазинов по товарным категориям таково:

• компьютерные товары — 54 %;
• книги, видео, музыка — 29 %;
• продукты и бытовые товары — 17 %.

Сегодня в России для доставки товаров, купленных через Интернет, в 55 % случаев используются курьерские службы, а в 26% — почтовые посылки. По оценкам компании Torg.ru в более чем 80 % случаев оплата товаров совершается либо наличными при доставке курьером, либо банковским переводом на счет магазина. В остальных случаях расчеты за покупку производятся с помощью пластиковых карт и электронной наличности.

Результаты более детального анализа использования пластиковых карт для оплаты покупок в Рунете приведены на сайте www.raexport.ru. Эти данные показывают, что пластиковые карты применяются главным образом для покупок программного обеспечения (20 % всех продаж ПО), а также книг и продуктов (3 %). В остальных случаях используются такие средства оплаты, как наличные, наложенный платеж и банковский перевод.

В результате оказывается, что менее 1 % всех покупок в Интернете совершается с использованием пластиковых карт.