Глава 4. Електронна комерція

Глава 4. Електронна комерція

1
0


Глава 4. Електронна комерція


4.1. Тенденції розвитку
Під електронною (е-комерція) розуміється така форма комерції, коли вибір і замовлення товару чи послуг виконуються через комп’ютерні мережі, а оплата – через використання електронних документів та платіжних засобів (картки, електронні чеки, електронні гроші). Фактично це система Іnternet-комерції (SІC). Спрощена модель е-комерції складається із:
· власників пластикових карток, які, як правило, через Іnternet мають доступ до віртуальних постачальників послуг (магазинів, банків, туристичних фірм);
· віртуальних постачальників послуг (он-лайн магазини, банки, туристичні фірми, страхові компанії тощо), які дають доступ до своїх каталогів послуг через комп’ютерні мережі;
· платіжної системи, представленої банками-емітентами (картки), банками-екваєрами та процесинговими компаніями і центрами;
· надійної та досить дешевої телекомунікаційної інфраструктури, розвиненої системи стандартизації та аутентифікації клієнтів і постачальників інформації.
Датою народження інформаційних технологій е-комерції вважається 1993 рік, коли почалось масове використання Web-технології в мережі Іnternet. До цього часу для комерційних потреб використовувалися кредитні/дебетні електронні картки з відповідними мережами банкоматів, як правило, у торгових точках та сервісних службах, і міжбанківські клірингові центри. Щодо глобалізації проведення банківських операцій засобами сучасних телекомунікацій, то це відбувалося у 80-ті роки, особливо їх другій половині.
Зрозуміло, що основним поштовхом до освоєння банками та комерцією сфери телекомунікацій і комп’ютерних мереж стала глобальна (всесвітня) інформаційна структуризація. Усе це призводить до появи нових бізнес-моделей, засобів маркетингу та ведення банківської справи.
Якщо раніше при використанні інформаційних технологій ставка робилася, перш за все, на безпаперові технології та можливість одночасно оперувати інформацією з багатьох точок (зокрема, робочих місць), то в останні роки – це поява нових способів ведення комерції (без складів та всієї традиційної інфраструктури) та віртуальних банків.
Актуальним стає питання масштабування інформаційних технологій, що використовуються, бо об’єми інформації вже не просто великі, вони ще й подвоюються майже щороку. Актуальним стає навіть завдання “просто” знайти потрібну інформацію. Об’єм пропозиції може бути таким, що не тільки аналіз, а й простий перегляд зібраної інформації може тривати роки. Наприклад, якщо для пошуку інформації використовувати сучасний Іnternet, то доведеться індивідуально відвідати всі сервери. Фактично існує багато інформації, але нею неможливо оперувати:
· або не вистачає часу для її доступу, бо для цього, можливо, потрібно “відвідати” сотні чи тисячі адрес (Web-вузлів);
· або вона застаріє швидше, ніж її можна буде виявити та обробити.
Основна тенденція інформатизації банківської діяльності – допомагати банкам заробляти кошти, а не тільки підвищувати рівень автоматизації їх діяльності.
Еволюція у плані інформатизації рухалась у такому напрямі:
· стадія простих облікових завдань;
· масове обслуговування клієнтів, електронні платежі;
· проведення операцій та доступ до інформації в будь-який час з будь-якого місця, де знаходився клієнт.
Така доступність послуг дає можливість знайти найбільш дешевого виробника, банк, магазин. Їх місцезнаходження має все менше значення. Тобто клієнтів тепер можна знаходити в усьому світі, що кардинально змінює політику маркетингу та сам профіль ринку банківських послуг і комерції загалом.
Цікаво відмітити і таку особливість у глобальному інформаційному середовищі: якість послуг стає швидко відомою для широкого загалу фахівців, користувачів (телеконференції, електронні дошки об’яв тощо), що позитивно впливає на ринок послуг.
Ще нещодавно банкам для надання послуг клієнтам потрібно було створювати в державі (світі) власні філії. Тепер потреба у цьому зменшується, проте інформаційна технологія дає можливість створювати для кожної групи клієнтів спеціальні види послуг, поєднувати їх з домашнім чи робочим офісом. Передусім, це нові послуги банків у страховому бізнесі, консультації з фінансових питань, розробка і виконання інвестиційних проектів.
За оцінками аналітиків, ринок електронної комерції через Іnternet до 2010 року досягне об’єму в $1 трлн. Проте основною перешкодою є недостатньо високий рівень безпеки даних у мережі. Отже, це зумовлює розробку новітніх технологій аудиту, конфіденційності при максимальній відкритості мережі.
Входження банківської справи, торгівлі, туризму та страхових послуг у сферу електронного бізнесу дозволяє: 1) практично повністю виключити посередників в операціях, що зменшує витрати і підвищує конкурентоспроможність на ринку через можливість зниження цін; 2) мати глобальну присутність на ринку.
Щодо банківської справи в Україні, діяльності ринку цінних паперів, комерції взагалі, то розвиток інформаційної структури, використання всесвітньої мережі, відкритих стандартів, доступність інформації, звітності означає не просто нормальний сучасний рівень роботи, це й прихід на наш ринок фінансів, виробництва та інвесторів із розвинених країн, новий рівень довіри та партнерства у бізнесі.
Регулювання банківської діяльності в Україні.
Головним завданням державної політики у сфері банківської діяльності є підтримка здоров’я та стійкості всієї банківської системи (БС), а не запобігання банківських банкрутств. При цьому держава повинна запобігати банкрутству окремих банків, оскільки це кращий спосіб збереження здоров’я всієї банківської системи. Однак у випадку неможливості запобігання банкрутств окремих банків держава повинна продемонструвати свою здатність та вміння керувати рівнем банкрутств.
Головними цілями державної політики в банківській сфері є:
· запобігання надмірній концентрації економічної влади та підтримка конкуренції на банківських ринках, а також політики достатньої концентрації з метою посилення їх конкурентоспроможності на міжнародних ринках банківських послуг;
· пом’якшення наслідків можливих збурень банківської системи у випадку банкрутства великого банку, бо це може викликати серйозні наслідки і, як наслідок, підрив довіри суспільства до банківської системи в цілому;
· забезпечення відповідності діяльності банківської системи грошово-кредитній політиці;
· забезпечення виконання законів та встановлених правил, що вимагає високого рівня ведення банківської справи;
· задоволення потреб суспільства в отриманні зручних банківських послуг;
· забезпечення здатності банків задовольняти потреби та законні зауваження своїх клієнтів;
· стимулювання та сприяння високому рівню ефективності та прибутковості операцій при розміщенні кредиту в будь-яких сферах економіки;
· сприяння справедливому розподілу прибутку між менеджментом, акціонерами, кредиторами та клієнтами.
В основу організації банківського регулювання та нагляду покладена комбінована модель, що базується на поєднанні певних елементів трьох відомих у світовій практиці підходів:
· неформальний базується, головним чином, на консультаціях, переговорах та попередженнях;
· формалізований вимагає активної перевірки шляхом експериментування на місцях з боку органу банківського контролю;
· легалістичний підхід базується на обговоренні сукупності показників, яких повинен дотримуватися банк, і на делегуванні повноважень з перевірки та контролю банківської документації на місцях незалежними аудиторами.
Вибір моделі, яка включає елементи всіх трьох підходів, на практиці означає:
· встановлення сфери діяльності та функції органу банківського регулювання і нагляду. В Україні – це Нацбанк (НБУ);
· надання НБУ права призначати повну або вибіркову перевірку діяльності та ризиків комерційних банків;
· проведення таких перевірок відповідними службами НБУ, а також делегування банківських перевірок на місцях незалежним аудиторам;
· надання представникам НБУ права бути присутніми та виступати на зборах та засіданнях акціонерів, правління, спостережної ради та ревізійної комісії комерційного банку, а також права вимагати їх проведення;
· надання НБУ права здійснювати відповідні заходи у випадку порушення комерційними банками економічних нормативів або банківського законодавства;
· визначення НБУ для внутрішнього користування рейтингу комерційних банків;
· проведення статистичного аналізу банківської діяльності, широке впровадження сучасних досягнень комп’ютерної технології для аналізу обов’язкових звітів, генерації коментарів, прогнозування розвитку банків.
НБУ здійснює регулювання банківської діяльності та постійний контроль за виконанням банківського законодавства та економічних нормативів. До його функції належить проведення вступного контролю (визначення вимог до реєстрації та отримання ліцензій), проведення попереднього контролю (визначення вимог до банківської справи, заборона або обмеження банківської діяльності, застосування санкцій адміністративного чи фінансового характеру, встановлення рівня відрахувань до резервів страхування активних операцій), проведення поточного контролю (визначення методів перевірки банків, шляхів їх використання, розробка заходів оздоровлення фінансового стану банків та способів їх застосування). При цьому НБУ вважає за головне дотримуватися міжнародних стандартів банківського регулювання та нагляду з метою підвищення конкурентоспроможності українських банків на міжнародному та внутрішньому ринках.
З метою захисту інтересів вкладників і акціонерів, а також забезпечення фінансової надійності комерційних банків НБУ встановлює для них обов’язкові економічні нормативи та визначає методику їх розрахунків. До таких нормативів належать:
· нормативи капіталу комерційного банку (норматив мінімального розміру капіталу, мінімальний розмір уставного фонду, норматив платоспроможності, норматив достатності;
· нормативи швидкості (миттєвої, загальної, норматив співвідношення високо швидких активів до активу банку);
· нормативи ризику (максимальний розмір ризику на одного позичальника; максимальний розмір кредитів, гарантій та доручень, наданих одному інсайдеру; максимальний сукупний розмір кредитів, гарантій та доручень, що видані інсайдерам; максимальний розмір виданих міжбанківських кредитів; норматив рефінансування та інвестування);
· нормативи відкритої валютної позиції уповноваженого банку (спільна відкрита валютна позиція банку; довга (коротка) відкрита валютна позиція за кожною іноземною валютою; довга (коротка) валютна позиція в банківських металах);
· нормативи зваженої відкритої валютної позиції уповноваженого банку (зважена відкрита валютна позиція; довга (коротка) зважена відкрита валютна позиція банку у вільно конвертованій валюті; довга (коротка) зважена відкрита валютна позиція банку у вільно конвертованій валюті);
· контроль за виконанням комерційними банками економічних нормативів на підставі щоденної та щомісячної звітності банків.
Комерційні банки повинні в обов’язковому порядку систематично та реалістично визначати свої сумнівні активи та формувати адекватні резерви під можливі збитки. Класифікація виданих банками кредитів та оцінка кредитних ризиків здійснюється залежно від наявності відповідного реального забезпечення та кількості днів простроченої заборгованості.
У випадку порушення банками чинного законодавства, нормативних актів НБУ, технології здійснення банківських операцій, нездачі звітності або її невірогідності, незабезпечення умов для проведення службою банківською нагляду НБУ інспекцій та перевірок, порушення обов’язкових банківських нормативів, встановлення стану неплатоспроможності НБУ має право застосувати до банку, що припустився порушення, наступні заходи:
· проводити фінансове оздоровлення банку, а також змінювати структуру активів;
· забороняти здійснення окремих банківських операцій на строк до одного року та відкликати ліцензію на здійснення окремих або всіх банківських операцій;
· забороняти відкриття нових філіалів на строк до одного року;
· накладати штраф на керівників банків;
· списувати з банку у безумовному порядку прибуток, отриманий внаслідок неправомірних дій, та штрафи у розмірі, що не перевищує суму цього прибутку, а також за порушення обов’язкових економічних нормативів;
· усувати керівництво (правління та головного бухгалтера) від управління банком та призначати тимчасову адміністрацію;
· обмежувати або припиняти сплату дивідендів до тих пір, доки ситуація в банку не буде оздоровлена;
· приймати рішення про виключення з Республіканської книги реєстрації банків, валютних бірж та інших кредитних закладів та про їх реорганізацію або ліквідацію.

4.2. Принципи електронної комерції
У цифровому ринковому просторі фінансові трансакції вільно переміщуються між віртуальними представництвами банків, торгових компаній та платіжних систем. Необхідними умовами електронного бізнесу є:
· створення глобального комунікаційного середовища з підтримкою режиму он-лайн;
· розробка програмно-технічних заходів проведення надійних і безпечних платіжних трансакцій;
· наявність простого і надійного клієнтського програмного забезпечення для доступу до джерел фінансово-банківської та торгово-сервісної інформації.
Власне електронна комерція проходить такі організаційні стадії:
· реклама послуг та товарів на Web-сайтах та проведення презентацій засобами аудіо- та відеодемонстрацій на клієнтських комп’ютерах;
· проведення операції (купівля, зміна суми банківського рахунка тощо) як безпечної трансакції;
· електронна підтримка клієнтів у період експлуатації ними товарів та послуг.
Для взаємовідносин об’єктів та суб’єктів віртуальних банків та е-комерції надзвичайно важливими є виконання наступних умов:
· гарантії аутентичності, як правило, відправника повідомлення;
· гарантії секретності повідомлень, які сьогодні вважаються достатніми (у разі незнання ключа шифру потрібний практично безконечний ресурс для розшифрування інформації);
· гарантії незмінності (цілісності) повідомлення, методи яких повинні фіксувати будь-яку зміну інформації (цифрові дайджести);
· невідворотність події або гарантії неможливості відмовитися від факту фіксації трансакції отримувачем повідомлення (платежу).
Виконання електронних платежів передбачає існування так званої платіжної системи, яка складається із:
· банків-емітентів;
· банків-екваєрів;
· процесингових центрів (палат);
· розрахункових банків;
· інфраструктури банкоматів (ATM), торгових терміналів (POS) та системи торгівлі і сервісу, які виконують платежі через пластикові картки, електронні чеки та електронні гроші.
Емісія карток у банках передбачає:
· відкриття карт-рахунків;
· друк PІN-конвертів;
· персоналізацію (або авторизацію) карток (ембосінг), яка полягає у списанні із карт-рахунка суми платежу в торговій системі чи отриманої через банкомат готівки.
Коли банк-емітент підтримує власну мережу банкоматів, то він частково виконує функції екваєра.
Системи процесингових центрів умовно поділяються на:
· системи фронт-офісу, які підтримують систему платежів для торгової мережі та служб сервісу через торгові термінали, банкомати та організовують інтерфейс міжнародних платіжних систем (VІSANet, EPSNet, Amerіcan Express);
· системи бек-офісу, які проводять реєстрацію трансакцій та відправляють їх у клірингові центри відповідних платіжних систем;
· системи підтримки емісії карток (файли персоналізації карток та генерації PІN-кодів з передачею їх до банків-емітентів).

4.3. Електронні розрахунки в Іnternet та розрахункові засоби
Існуючі системи (їх трохи більше двох десятків) можна поділити на три групи.
До першої групи відносять оплату за допомогою платіжних пластикових карток, які вже давно стали звичайним явищем у розвинених країнах, поступово до них звикають і в Україні.
Другу групу складають розрахунки з використанням цифрової готівки та її модифікацій. Це послуги таких розрахунково-клірингових систем, як CyberCash, Fіrst Vіrtual, Open Market тощо, а також власно цифрова готівка та цифрові чеки таких систем, як DіgіCash ta NetCash.
До третьої та, мабуть, найбільш перспективної групи належать розрахунки в Іnternet з використанням цифрової готівки, що зберігається у смарт-картах.
Розрахункові засоби. Цифрові купони та жетони пропонуються сьогодні декількома компаніями, найбільш відомими з яких є Fіrst Vіrtual Holdіngs та NetBank. Клієнт за готівковим або безготівковим розрахунком купує деяку суму послідовності символів (цифрові підписи), якими розраховується з продавцем. Для них банк гарантує швидкість алгоритму генерації та унікальність кожного екземпляра. Продавець повертає їх у банк в обмін на ту ж суму з відрахуванням комісійних. При цьому банк зобов’язаний контролювати аутентичність (відповідність) жетонів, які надходять. Сторони можуть використовувати криптографічні засоби захисту інформації з відкритими ключами, щоб уникнути перехвату жетонів.
Така система проста в реалізації та експлуатації. Це призвело до того, що зростання активів Fіrst Vіrtual складало близько 10 % у тиждень.
Іншим шляхом пішла компанія CyberCash, запропонувавши технологію, що дозволяє застосовувати стандартні пластикові картки для розрахунків через Іnternet. Програмне забезпечення, що використовується нею, має криптозахист із відкритим ключем для конфіденційної передачі даних про пластикову картку від покупця до продавця. При цьому всі реальні розрахунки та платежі виконуються засобами процесингових компаній без використання Іnternet.
Ряд банків намагається запровадити мережевий варіант системи чекового обігу. Перевага таких рішень полягає в тому, що у більшості країн вже існує деталізоване законодавство, яке регламентує обіг чеків та пластикових карток, крім того, використовуються маркетингові переваги таких звучних імен, як Master Card, Vіsa та AmerіcanExpress.
Найпростіший спосіб сплати через Іnternet – за допомогою кредитної картки (як при замовленні телефоном) з передачею через Іnternet усієї інформації (номер картки, ім’я та адреса власника) без будь-яких особливих заходів безпеки. Недоліки очевидні: інформація може легко перехоплюватися за допомогою спеціальних фільтрів і використовуватися на шкоду власника картки. У продавця будуть постійно виникати проблеми, пов’язані з відмовою від оплати. Цей спосіб вже замінюється більш безпечним, що базується на шифруванні обміну. Хоча перехопити інформацію під час транзакції практично неможливо, але вона все ж знаходиться під загрозою викрадення на сервері продавця. До того ж існує можливість підробки або підміни як з боку продавця, так і покупця. Існують можливості для шахрайства і в покупця: скористатися інформацією (але не товаром), а потім відмовитися від оплати. Довести ж, що це він користувався своєю карткою, а не хакер, важко, оскільки підпису немає. Однак оплата за карткою – це практично єдиний спосіб для наших співвітчизників купувати через Іnternet, і потрібно сказати, що він доволі дієвий.

4.4. Електронна готівка, комерція та пластикові картки
Електронна (або цифрова) готівка – це платіжний засіб, який поєднує зручність електронних розрахунків із конфіденційністю готівкових грошей [27]. В Іnternet представлені дві технології реалізації цієї ідеї. Компанія Mondex пропонує мережеву версію електронного гаманця, реалізовану у вигляді апаратно-програмного комплексу. DіgіCash представила технологію мережевих електронних грошей у чисто програмному варіанті. Розглянемо це рішення.
У ядрі технології знаходиться все той же прийом криптозахисту з відкритими ключами. Емітент електронної готівки (банк) має, крім звичайної пари ключів, що аутентифіують його, ще й послідовність пар ключів, відповідно до яких ставляться номінали цифрових монет. Завдяки технології “сліпого підпису” (полягає у застосуванні випадкового множника, запропонованого у додаток до звичайного методу криптозахисту з відкритими ключами) банк не може накопичувати інформацію про платників, одночасно зберігаючи можливість стежити за однократним використанням кожної “монети” даним клієнтом, та ідентифікувати отримувача кожного платежу. Покупець не може ідентифікуватися навіть при змові продавця з банком. У той же час покупець при бажанні може ідентифікувати себе сам і довести факт здійснення угоди, апелюючи до банку. Така логіка перешкоджає кримінальному використанню електронної готівки. Угода між двома клієнтами розуміється тільки як передача “монети” від покупця до продавця, який може або одразу намагатися внести її до банку, або приняти її на свій страх і ризик без перевірки. Разом з “монетою” передається деяка додаткова інформація, яка не може допомогти ідентифікувати платника, але у разі спроби двічі використати одну й ту ж “монету” дозволяє розкрити його особу.
Застосування смарт-карт для розрахунків в Іnternet, можливо, буде засновуватися на декількох інших принципах (зокрема, передбачається використання карти, підтримуючої Java). Розробка стандартів у цій галузі все ще триває. Під платіжними системами далі будемо розуміти, головним чином, системи, засновані на використанні пластикових карток з магнітною смужкою (від всесвітніх до локальних). Цифрові гроші, незважаючи на їх назву, не мають прямого аналогу у “фізичному” світі і повинні бути предметом окремого розгляду. Поки що не має ознак, які прогнозують початок їх використання у нашій країні. Інша справа – розрахунки з використанням пластикових карток.
Електронна комерція та пластикові картки. Широке розповсюдження пластикових платіжних карток у всьому світі не могло не вплинути на розвиток електронної комерції. Усі електронні магазини, які щойно виникають, прагнуть приймати до оплати карти хоча б провідних платіжних систем. Це і не дивно, оскільки число карток із магнітною смужкою, емітованих тільки у рамках систем VІSA, Eurocard/Mastercard, Amerіcan Express та Dіners Club, перевищує 1 млрд. доларів.
Однак на шляху їх використання в електронній комерції виникають серйозні перешкоди. Щоб краще зрозуміти їх суть, розглянемо звичайну схему оплати за карткою із магнітною смужкою у звичайній сервісній точці (рис. 4.1) [27]. Вона передбачає участь декількох сторін: власника пластикової картки; торговельної точки, що приймає картки до оплати; банку-екваєра, який забезпечує роботу торговельної точки з пластиковими картками; банка-емітента, що видав картку власнику; платіжної системи, що виконує взаєморозрахунки між банками-екваєрами та банками-емітентами.



Рис. 4.1. Технологія електронної комерції
Клієнт у пункті обслуговування (магазин, готель чи ресторан), пред’явивши картку, отримує товар чи послугу в обмін на квитанцію, що звичайно називається сліпом (від англ. “slіp” – бланк, реєстраційна карта). Сліп є документом, який підтверджує угоду, і для його оформлення необхідно отримати згоду від банку-емітента, тобто провести авторизацію. Для цього співробітник торговельної точки повинен зв’язатися із авторизаційним центром банку-екваєра, який, у в свою чергу, посилає запит у банк, що видав картку. У разі використання спеціального платіжного терміналу (POS-терміналу) всі ці операції виконуються автоматично.
Пункт обслуговування надає сліп (або електронну квитанцію, що генерується платіжним терміналом) банку-екваєру та отримує грошове відшкодування вартості покупки. При цьому банк-емітент перераховує відповідну суму банку-екваєру також із відрахуванням комісії. Банк-емітент виставляє власнику картки рахунок і кредитує його, згодом отримуючи від нього оплату.
Так відбувається у “фізичному” світі. У світі віртуальному все набагато складніше. Тут продавець і покупець не бачать і часто нічого не знають один про одного (не враховуючи того, що покупцеві звичайно доступний каталог, розміщений на Web-сервері, в якому є віртуальний магазин). Укладаючи угоду, покупець бажає впевненості в тому, що продавець – саме той, за кого він себе видає, і має право прийняти до оплати його картку, і що ніхто (у тому числі й продавець) не зможе скористатися представленою у ході угоди інформацією про пластикову картку без його дозволу. Продавець, у свою чергу, повинен переконатися, чи має покупець право користуватися даною карткою та чи є необхідна сума на пов’язаному з нею рахунку.
Довгий час ці вимоги не задовольнялися. У результаті кожний віртуальний магазин повинен був на свій страх і ризик обирати найбільш безпечний із наявних способів ведення розрахунків, не отримуючи при цьому повної гарантії безпеки та сумісності з майбутніми стандартами, або взагалі не вдаватися до захисту інформації, відлякуючи тим самим потенційних клієнтів.
При укладанні угоди інформація про реквізити картки може передаватися як відкритим текстом, так і у зашифрованому вигляді. Обмін відкритим текстом не дає практично ніякого захисту ні власнику картки, ні продавцю, і тому використовується дедалі рідше. Використання для захисту фінансових трансакцій традиційних методів шифрування також не цілком припустиме. В основному, через велику кількість незнайомих між собою учасників, особи яких повинні бути підтверджені у ході укладання угоди, причому із зберіганням у таємниці інформації про саму угоду. Виникла потреба у створенні спеціальних протоколів захисту інформації для ведення торгівлі в Іnternet.

4.5. Смарт-картки
Поява в кінці 80-х років інформаційних технологій, заснованих на застосуванні так званих смарт-карток, дозволила по-новому підійти до проблеми створення “пластикових грошей”. Виробництво та застосування смарт-карток швидко зростає і починає витісняти з ринку найближчого конкурента – картку з магнітною смугою.
Смарт-картка (smartcard – інтелектуальна картка) – це пластиковий прямокутник, аналогічний за розмірами до карток з магнітною смугою. Замість смуги (чи додатково до неї) в таку картку вбудований мікропроцесор (як правило, 8-розрядний), пам’ять постійного типу для збереження операційної системи та прикладних програм і пам’ять для збереження змінних даних, що може перепрограмовуватися.
Крім того, до електросхеми включені й компоненти, що забезпечують виконання вводу-виводу даних, захист інформації, яка зберігається, та (при необхідності) спеціалізовані сопроцесори для прискореного виконання криптографічних операцій. Таким чином, вбудована в картку мікросхема є спеціалізованою мікроЕОМ, можливості якої забезпечують високий ступінь захисту від підробки, підтримує файлову організацію збереження даних та необхідний набір операцій з обробки інформації. Це, а також високі експлуатаційні характеристики зробили смарт-картки лідером серед носіїв конфіденційної інформації та привернули увагу спеціалістів, які розробляють та використовують пластикові картки в якості банківських платіжних інструментів.
Стандарти. Міжнародні платіжні системи (EUROPAY, MASTERCARD, VІSA) об’єдналися з метою розробки єдиних стандартів на основні характеристики смарт-карток. Результатом праці стали проекти специфікацій (EMV’94, EMV’95 та EMV’96), які були опубліковані відповідно в грудні 1994 р., серпні 1995 р. та червні 1996 р. Схожу мету поставили перед собою і ряд провідних фірм-розробників з Європи (так, групою CEN 10 був розроблений стандарт prEN 1546). Велике значення для розвитку смарт-карток мало прийняття в 1995 р. міжнародного стандарту ІSO 7816(1-6). Зараз на різних стадіях розгляду знаходяться документи ІSO 7816-7, 8, 10. Вони визначили стандарт на картку з вбудованою мікросхемою. Хоча не всі ці роботи набули кінцевого вигляду, вони визначили напрям розвитку технології виробництва та застосування смарт-карток в якості платіжних інструментів.
Важливою характеристикою специфікацій EMV є те, що кожна з нових редакцій доповнює та розвиває попередню, не перекреслючи її. Найсучаснішою є остання редакція специфікацій EMV’96, в яких визначено ряд нових, порівняно з EMV’95, можливостей, серед яких:
· динамічна аутентифікація даних, які зберігаються на картці у відкритому та зашифрованому вигляді. Ця фунція виконується в тому випадку, якщо її підтримує платіжний термінал, який дешифрує прочитаний з картки сертифікат відкритого ключа, відновлює зашифровані дані та порівнює їх з відкритими. Якщо термінал не підтримує динамічну аутентифікацію, то здійснюється статична аутентифікація згідно з EMV’95, яка перевіряє справжність статичних даних, поміщених на картку емітентом;
· додавання постемісійних команд, що забезпечують можливість реалізації на картці нових додатків, тобто надається можливість “до програмувати” картку, використовуючи для цього пам’ять (EEPROM), яка перепрограмовується;
· формування та передача безпечних повідомлень;
· визначення архітектури програмного забезпечення терміналів.
Останнє припускає два альтернативних підходи: через APІ (Applіcatіon Program Іnterface) та інтерпретатор. В обох випадках рекомендується розробляти бібліотеки додатків у вигляді модулей, що динамічно визиваються при виконанні трансакцій. При APІ-підході існує деякий інтерфейс, через який термінальні додатки, що розробляються, використовують специфічні функції. Це дозволяє спростити вимоги до сертифікації додатків для різних терміналів за рахунок сертифікації тільки фунцій APІ.
Інтерпретатор є програмним ядром, яке реалізує функції деякою віртуальною машиною, що може реалізовуватися на кожному процесорі запропонованих терміналів. Це дозволяє тільки один раз сертифікувати розроблені багаторівневі бібліотеки, типові додатки та термінальні програми, які використовують стандартні функції ядра. Після цього їх можна застосовувати на довільному терміналі, який підтримує цю віртуальну машину. Цей підхід дає можливість ралізувати концепцію plugs-and-sockets (розйомів та гнізд), що дозволяє динамічно вставляти в додатки (гнізда) модулі (розйоми), що виконуються, які зберігають код для розширення логіки програми терміналу.
У специфікаціях EMV визначені основні вимоги до носія інформації (картки), а також другого важливого елементу – терміналу, який взаємодіє з карткою. Картка повинна мати систему управління файлами, яка підтримує ієрархічну структуру файлової системи, визначену ще в EMV’95.
Крім того, у специфікації EMV’96 визначаються:
· види терміналів за категоріями (ті, що супроводжуються (не супроводжуються) оператором), типом зв’язку (off-lіne та on-lіne), належності (до банку, торговця, власника картки);
· технічні вимоги до клавіатури терміналу (Keypad), клавіатури для вводу PІN-коду (PІN-pad), дисплея, рівня захисту пам’яті, годинника, прінтера та рідера магнітної смуги;
· вимоги до забезпечення безпеки на фізичному та логічному рівнях.
Побудова та розвиток платіжних систем на базі пластикових карток є прибутковим видом бізнесу, що чудово усвідомлено фінансовими організаціями за кордоном. Упровадження карткових програм надає можливість банкам отримувати додатковий прибуток за рахунок розширення спектра послуг, залучення нових клієнтів, прискорення руху грошових коштів, збільшення часу надходження коштів на банківські рахунки та ін. З цієї причини у світі постійно зростає кількість емітентів пластикових карток. Припускається значне збільшення числа карток та їх власників карток у найближчий час (зараз на кожного дорослого жителя Західної Європи у середньому припадає 2 пластикові картки, а жителя США – 4-5).
Зростає кількість карток із застосуванням смарт-карток та off-lіne технологій. Вони дозволяють зменшити собівартість послуг за користування картками шляхом здешевлення обслуговування в платіжних системах та вирішити проблему дрібних платежів, що є збитковими чи малоприбутковими, у випадку технології з магнітною смугою. Потрібно враховувати, що дрібні платежі складають відчутну частку в грошовому обігу будь-якої країни (для України грошові прибутки населення в 1996 р. склали 38,8 млрд. грн., а загальний споживацький товарообіг – 26,3 млрд. грн., тобто майже 70 % прибутку). Проте їх обслуговування за допомогою карток є прибутковим при відповідній дешевизні таких послуг.
Смарт-картки, які функціонують у режимі off-lіne, забезпечують високий ступінь безпеки платежів, що дозволяє ширше використовувати їх поза приміщеннями банку та торгових підприємств, а також розширити коло клієнтів, що мають картки, надаючи їх людям, які не мають кредитного досвіду.
Вибираючи конкретну платіжну систему банку, доводиться враховувати вартість проекта, безпеку та функціональність системи, перспективи її розвитку та потенційну сумісність з міжнародними системами, надійність і можливості технологічних партнерів. Найбільш істотними факторами при цьому є фінансові можливості банку, оцінка витрат та прибутку. Плануючи надання конкретних послуг, банк повинен розписати статті прибутків і витрат за кожним із напрямів та оцінити, чи створювати йому власну платіжну систему, чи приєднатися до вже існуючої, а також яку технологію вибрати, враховуючи такі фактори: вступати в платіжну систему чи емітувати власну картку, створювати власний процесинговий центр чи скористатися послугами чужого. Відповіді на ці запитання відіграють значну роль в усій політиці банку щодо фінансових ринків міста, регіону, країни.
Цілком природнім є прагнення кожного банку випустити власну картку та разповсюдити її серед своїх клієнтів. Виходячи з цього, створюються платіжні системи, локальні не в розумінні їх дій, а в розумінні належності до одного банку. Вони орієнтовані на певне коло клієнтів, а оскільки система цілком належить банку, то він завжди може створити найбільш сприятливі умови обслуговування. Банк у роботі з клієнтом більш гнучкий у межах власної платіжної системи, у нього є додаткові можливості для залучення нових клієнтів, що завжди важливо в конкурентній боротьбі на національному і світовому ринках. Створення інивідуальної платіжної системи – це, насамперед, можливість для банку мати власну захищену нішу на ринку.
Такі займають приблизно 80 % загального ринку карток у країнах із перехідною економікою. Упровадження подібних систем може проходити дуже швидко та ефективно за рахунок відносно невеликої території розповсюдження і мінімізації витрат (поетапність вводу в дію, залучення ресурсів партнерів, участь у проекті муніципальної влади тощо). За підрахунками, які робилися для банків у багатьох країнах СНД, локальні карткові програми окупаються протягом 9-18 місяців.
Що ж стосується проблем вибору банком технології (картка з магнітною смугою чи смарт-картка з мікропроцесором), то, і це вже є очевидним, ринок уже зробив свій вибір. По-перше, про це свідчать тенденції розвитку міжнародних платіжних систем; по-друге, відомо, що тільки мікропроцесорні картки дозволяють широко впровадити карткові технології за межами приміщень (банку чи торгових підприємств), тобто розвивати бізнес без великих затрат на зв’язок та з гарантією безпеки платежів. При цьому технологія з магнітною смугою зумовлює значні витрати на комунікації та обслуговування при оманливо низькій первісній вартості самої картки.
З досвіду інших краін відомо, що на ринках, які розвиваються, особливо в період їх бурхливого розвитку, обов’язково повинні з’явитися некомпетентні рішення, і Україна не є винятком. Таким є механізм ринку: при попиті він миттєво генерує усілякі рішення, серед яких трапляються й “іграшкові”, виготовлені на швидку руку або й відверто шахрайські. Повноцінний же програмний комплекс повинен забезпечувати випуск карток, авторизацію та процесинг платіжних операцій, введення карткових розрахунків, нарахування та капіталізацію процентів, формування звітних, контрольних та платіжних документів, налаштування на різні плани банківських рахунків, схем бухгалтерських проводок, а також надавати гнучкий інтерфейс, який дозволяє об’єднати його з іншими автоматизованими системами банку. Приймаючи рішення, керівництво банку повинно знати, що розробка серйозного рішення здійснюється численним колективом розробників не один рік з поетапним розвитком системи, її тестуванням та адаптацією до ринку тощо. З цієї причини найбільші міжнародні платіжні системи часто йдуть шляхом придбання готових перевірених рішень, вже достатньо відомих спеціалістам.
Мікропроцесорні картки на ринках України можна використовувати за всіма напрямами банківської діяльності, де існують грошові потоки, нехай на перший погляд незначні, проте постійні.
Ринок карток в Україні розвивається достатньо швидко, і необхідно підключатися до задоволення його вимог. Актуальним є відомий постулат “хто не встиг, той запізнився”. Банки втрачають значні прибутки, тобто зазнають збитків через неможливість надати платні послуги та отримати дешеві кредитні ресурси. Підприємства та організації не можуть отримати зручний “замінник” готівки, що спрощує їх обіг. Клієнт втрачає прибуток від відсотків за вкладами та ризикує безпекою, зберігаючи гроші вдома чи при собі.
Депозитні вклади населення. Усі операції з депозитними вкладами населення можна перевести на смарт-карткову технологію. Магнітна смуга в обслуговуванні операцій вкладення, як правило, дає можливість отримати готівку тільки в приміщенні банку. Це дозволить значно ширше використовувати картки як платіжний інструмент поза банківськими приміщеннями, гарантуючи високий рівень безпеки платежів. Додаткові послуги з картками – додатковий прибуток для банку.
Обслуговування зарплат. Нині за карт-рахунком зарплата видається в багатьох (близько 15) банках України. Можна запропонувати смарт-технологію підприємствам та організацям будь-якого масштабу та в результаті отримати більшу кількість клієнтів (тобто не обов’язково мати на обслуговуванні одне велике підприємство з великою кількістю працівників). АРМ спискового нарахування зарплат дозволяє швидко здійснювати процедуру нарахування для будь-якої кількості підприємств, що обслуговуються в банку, для чого достатньо мати файл з нарахуванням зарплат. Банк може в умовах зарплатного проекту кредитувати фізичну особу при відсутності в неї кредитної історії (наприклад, під гарантії підприємства). При наявності в інфраструктурі міст та селищ термінальної торгової мережі, смарт-карткова технологія розширює можливості зарплатних проектів та прискорює їх окупність.
Як свідчить практика, через зарплатні проекти проходить закріплення за банком вигідних клієнтів (підприємств та установ), а також залучення до банківського обслуговування нових організацій (тобто відтік клієнтів з інших банків, що не мають передових технологій).
Обслуговування зарплат вигідне, в першу чергу, для підприємства, яке позбавляється проблем при видачі готівки, а їх чимало. А банк, кредитуючи видачу зарплати для працівників підприємства під зобов’язання самого підприємства, отримує гарантоване повернення кредитних ресурсів та виплату відсотків. Із залишків на карткових рахунках банк може кредитувати підприємство на пільгових умовах або ж ділитися відсотками від надання кредитів у вигляді кредитів іншим юридичним особам.
Напевне, існують й інші шляхи зближення банку та його клієнта при використанні карткових технологій. Головне – проходить зближення, а то й зрощування промислового капіталу з банківським. Хто розуміє це, той буде у виграші, якщо не сьогодні, то завтра. Три – три з половиною роки тому великі комерційні банки в Україні (або ж окремі представники їх керівництва) вважали, що зарплатне обслуговування підприємств не приносить великого прибутку порівняно з обслуговуванням платежів підприємства (особливо валютних). Півтора – два роки тому їх погляди різко змінилися. Після впровадження карткових технологій іншими банками, коли стала можливою втрата важливого для банку клієнта, через обслуговування зарплат можна перетягнути на обслуговування всі платежі підприємства.
Картка підприємця (корпоративна картка юридичної особи та підприємця). Підприємець, використовуючи смарт-карткову технологію, отримує зарплату для себе та своїх співробітників і виконує всі потрібні платежі. У ряді банків такі послуги вже надаються. Доволі часто саме ці операції гарантують значну частину прибутку за картками, навіть якщо їх загальна кількість незначна.
Юридичні особи можуть мати корпоративний карт-рахунок та виконувати багато платежів з використанням смарт-карткової технології. Найбільш простим варіантом використання картки є оплата товарів чи послуг, що купуються для потреб підриємства в роздрібній мережі. Це може бути оплата послуг готелю, придбання паливно-мастильних матеріалів, офісного приладдя, отримання готівки.
Родинна картка. Смарт-карткова технологія дозволяє ввести родинні картки в обіг. Наприклад, члени родини власника карт-рахунка (і навіть неповнолітні діти) можуть користуватися електронним гаманцем на картці, не маючи можливості витрачати гроші з іншої, зачиненої для них частини картки.
Сфера торгівлі. Причина випуску торговими підприємствами розвинених країн (в основному супермаркетами та мережами бензоколонок) “фірмових” платіжних карток (т.з. лоялті-карток) досить прозаїчна. Це небажання платити банкам торгові комісії. Багато торгових фірм вважають, що плата за користування “послугами” банківських карток дуже висока.
У торгових підприємствах України знають про працю лоялті-схем на Заході мабуть більше, ніж банки. Багато підприємств торгівлі вже готові використовувати смарт-карткову технологію, і деякі з них впроваджують свої картки в ряді регіонів України. Це серйозний сигнал для банків про втрачені можливості та прибутки. Необхідно залучати їх у платіжну систему банку, а краще – превентивно пропонувати торгівлі карткове обслуговування банком.
Ще один приклад – “Престиж-карт”. Банківським інструментом ці картки не є, але при хорошій рекламі та постійній роботі з підприємствами торгівлі, харчування, індустрією розваг, наданні різних послуг вони працюють вже не один рік, забезпечуючи дисконтні знижки своїм власникам та прибуток організаторам системи “Престиж-карт”.
Смарт-картки можуть використовуватися для організації оперативної оплати за відпущену продукцію підприємством (фірмою) дрібнооптовому покупцю. Відпуск продуктів при щоденних закупівлях продуктів харчування для будинків відпочинку, санаторіїв, лікарень, ресторанів та для дрібнооптової торгівлі бажано проводити за картками. При вміло поставленій роботі це принесе банку чималу вигоду.
Карткові технології можуть використовуватися на ринках та базарах, оскільки існують портативні термінали (наприклад, TWІN-10 французької фірми Monetel), що працюють від батарейок і дозволяють приймати платежі у будь-якому зручному місці.
Можливим є випуск карток банку спільно з великим торговельним об’єднанням (так звані “co-branded cards”). Торгова марка об’єднання у вигляді голограмного зображення наноситься (як наклейка) на банківську картку. Значна частина промислових та торговельних організацій у розвинених країнах світу прагнуть випускати картки спільно з банками. Вони мають більшу привабливість для споживачів, ніж “роялті”-схеми. Їх дія не обмежується торговою фірмою чи торговим об’єднанням. Вони функціонують на всьому полі діяльності банків чи їх об’єднань.
Смарт-карткова технологія дозволяє організувати торгівлю в кредит, при якій ризик покладається на торговельне підприємство, а банк в автоматичному режимі контролює та виконує за дорученням клієнта закриття платежів розстрочки.
Прийом комунальних платежів за надані послуги. Однїєю з помітних статтей прибутку при реалізації карткових проектів у банках є обслуговування прийому комунальних платежів та різних послуг (телекомунікаційних, мобільного зв’язку тощо). За цими напрямами існує стабільний грошовий потік, що є важливим при використанні карткових технологій.
Реалізація паливно-мастильних матеріалів. Реалізація паливно-мастильних матеріалів та супутних товарів на АЗС і в господарствах може бути переведена на смарт-карткову технологію. Термінал Monetel EFT-10 підходить і для цього. Конкретні кроки у цьому напряму вже ведуться, до цих проектів може підключатися і муніципальна влада.
Видача цільових кредитних коштів та контроль за їх використанням. Видачу цільових кредитних засобів для потреб господарства (наприклад, сільського) на закупівлю пального, добрив можна проводити за допомогою корпоративних смарт-карток. Списання коштів з них можливе тільки за прямим призначенням (інша можливість просто відсутня).
Сфера туризму та відпочинку. В Україні існують регіони, які спеціалізуються на індустрії відпочинку, туризмі та лікуванні населення (Крим, Одеська, Херсонська, Миколаївська області, Карпати тощо). Відпочиваючі та туристи зараховують грошові кошти на картки, у міру потреби отримуючи готівку або витрачаючи електронні гроші через торгові термінали. При цьому гарантуються безпека та зручність зберігання грошей. Невикористаний же залишок можна отримати за день-два до від’їзду разом з заставною сумою за картку. Усі операції за тимчасовим карт-рахунком архівуються та зберігаються в системі. Картка перепрограмовується та видається новому клієнту з новим рахунком.
За цією схемою можуть сплачуватися місця в готелі, туристичне знаряддя, медицинське обслуговування та інші послуги. Дуже зручно використовувати цю схему в морських круїзах, коли клієнти на борту корабля розраховуються смарт-картками, а гроші знаходяться у банку і приносять йому прибуток.
Банк, взаємодіючи з великими туристичними фірмами або ж їх об’єднаннями, як і в разі з торговими організаціями, випускає спільну туристичну картку, іноді – зі спеціально розробленим дизайном.
Деякі банки починають “прощупувати” можливість використання смарт-карткової технології для обслуговування грошових потоків туристів-“човників”. За цим напрямом існують стабільно високі грошові обороти, які можна спробувати втягнути в картковий бізнес.
Сфера освіти. Студентські картки можуть використовуватися для видачі стипендій, а також нарахування різного роду допомоги. Їх можна пропонувати тим, хто приїхав на період навчання, гарантуючи безпеку зберігання грошових сум, їх цільове використання (наприклад, лише на харчування в студентських їдальнях за пільговими цінами).
Будівництво. Картки дозволяють впроваджувати банківський бізнес у сферу будівництва, в першу чергу, житлового. Технологія надає можливість залучити клієнта в процес будівництва та виконати платежі за виконані роботи. Відкриваються спеціальні накопичувальні вклади в банку, що обслуговує будіндустрію, при погодженні з будівельними організаціями (холдінговими компаніями) з оплатою карткою за фактом виконання будівельниками конкретних робіт. Клієнт ніби сам бере участь у фінансуванні будівництва, оплаті і контролі виконаних робіт.
Соціальні виплати. Виплату пенсії і всіляких доплат пенсіонерам можна здійснювати за карткою. Це має сенс, враховуючи загальні суми та економне витрачання коштів пенсіонером протягом місяця. Плата за покупки у “ветеранських” та “чорнобильських” магазинах, виплата спеціальних пенсій (з місцевих або спеціальних пенсійних фондів) – це лише початок можливого переліку послуг за картками для пенсіонерів та малозабезпечених. Смарт-карткова технологія значно пом’якшить проблему готівки при виплаті пенсій, бо збирання готівки в дні видачі пенсій – іноді серйозна проблема для місцевих органів влади.
Страхування. Технологія дозволяє розвинути та надійно поєднати банківський бізнес зі страховим. Страхові компанії міцно пов’язані з банками, і без карток тут не обійтися. Для страхових компаній це вигідно, оскільки дозволяє відійти від паперових технологій.
Охорона здоров’я. Плату за всі медицинські послуги та медстрахування можна організувати за картками. Цей вид послуг ще слабо розвинений, проте має велике майбутнє. Слід пропонувати технологію спеціалізованим медицинським фірмам.
Збирання податків та обов’язкових платежів. Ця технологія дозволяє виконувати збирання податків та обов’язкових платежів (збори на ринках, збори штрафів ДАІ на дорогах, митні збори тощо) безпосередньо на місцях, використовуючи портативний термінал TWІN-10.
Клубні картки. Різні клуби (відкриті та закриті) поступово входять у наше повсякденне життя. Це не данина західному способу життя – корпоративні, виробничі або якісь інші інтереси людей штовхають їх на зближення у неформальних об’єднаннях за типом клубу. І, звичайно, смарт-картки можуть бути клубними: це і пропуск до клубу, і засіб платежу.
Картки авіаліній. Цей напрям використання карток є характерним для усього світу. В Україні практикується рідко, але може активно розвиватися як засіб обслуговування нових клієнтів-авіакомпаній та компаній з реалізації авіаквитків.
Картки паркування автомобіля. Збори за паркування автомобілів у містах – одна із статей прибутку міської влади. Як правило, вони часто не доходять до міської казни. Смарт-картки дозволять відійти від зборів у вигляді готівки, систематизувати та дати повну картину цих платежів подобово.
Наведений перелік не є повним. Активно впливають на впровадження карток і потреби ринку, що постійно розвиваються. Упровадження технології за кожним з напрямів потребує ретельного маркетингу, а також розробки детальної схеми впровадження, яка неможлива без участі спеціалістів та фінансистів зацікавлених організацій.

4.6. Методи забезпечення безпеки розрахунків
За інформацією Інституту комп’ютерної безпеки (США), порушення роботи інформаційних систем бувають від:
· вірусних атак – 3 %;
· збою обладнання – 20 %;
· помилок персоналу – більше 50 % випадків.
За оцінками американських експертів, 88 % втрат конфіденційності інформації з комп’ютерних мереж – результат зловмисних дій персоналу, всі ж інші випадки є результатом перехоплення інформаційних потоків технічними засобами.
Міжнародна асоціація комп’ютерної безпеки ІCSA (Іnternatіonal Computer Securіty Assocіatіon) провела дослідження, відповідно до яких кількість уражень комп’ютерів вірусами у 1998 році збільшилась на 48 % порівняно з 1997. Основна причина – широке використання комунікаційних засобів.
За оцінками експертів, електронні крадіжки інтелектуальної власності для бізнесу США коштують не менше ніж 250 млрд. дол. Основне джерело витоку інформації – корпоративні та банківські мережі.
Фахівці з проблем шифрування визнають, що практично всі комерційні системи шифрування “бояться” активних атак зловмисників, тактика яких полягає, зокрема, у перехопленні трафіку Web-вузла з подальшою посилкою на вузол до 1 млн. повідомлень. Аналіз реакції серверу на такі повідомлення може призвести до витоку секретної інформації.
Політика інформаційної безпеки (банку, компанії тощо) передбачає: знання про всі інформаційні потоки; розуміння структури інформації в системі; виділення критичних (у плані захисту) процесів, ділянок в інформаційних системах; виділення користувачів у категорії і групи з чітким визначенням їх прав; вміння фіксувати факт несанкціонованого доступу чи атаки.
У силу того, що основний канал для несанкціонованого доступу – комп’ютерна (банківська, корпоративна, глобальна) мережа, то основна увага приділяється системі захисту на рівні підтримки мережі (маршрутизаторів, брандмауерів, FTP, Web, електронної пошти, сітьової файлової системи, броузерів тощо).
Принципи побудови систем шифрування. Сучасні криптографічні системи будуються з урахуванням таких ідей:
1) діапазон значень ключа шифру повинен бути таким, щоб на сучасній комп’ютерній техніці їх звичайний перебір був неефективним (тривав місяці, роки, іншими словами, для швидкого розшифрування потрібно нескінченний обчислювальний ресурс);
2) вартість задіяних ресурсів для розшифрування даних без знання ключа повинна бути не меншою, ніж вартість самих даних;
3) таємницею є не алгоритм шифрування (дешифрування), а лише ключ шифру;
4) навіть незначні модифікації даних (перед шифруванням) або самого ключа шифру повинні призводити до значних змін у файлі зашифрованих даних (щоб було неможливо помітити якусь закономірність у способі шифрування).
Із загальних рекомендацій (принципів) теорії інформації випливає, що при меншій надлишковості (ентропії) даних для шифрування зменшується також і довжина ключа, і навпаки. Тому, зокрема, варто шифрувати дані, попередньо їх заархівувавши.
Алгоритми шифрування поділяються на:
· власне шифри, які розглядають дані як набір бітів без урахування їх лексичної структури;
· спецкоди, які враховують лексичну структуру даних (на практиці це тексти), виділяючи слова, фрази тощо.
У системах е-комерції всі транзакції (наприклад, платежі) досить короткі і мають просту структуру, яка очевидна для таких даних, атрибутів платежів, банківських рахунків тощо. Тому коротка та прозора за своєю структурою інформація відповідно і легше дешифрується. Якщо такі транзакції збирати у пакети, стає простіше уникати природної “структурності” даних. Подібна ситуація притаманна роботі в архітектурі клієнт-сервер з віддаленим доступом до бази даних. Практично всі корпоративні СУБД є реляційними. Отже, результатом реляційного запиту (на базі SQL-запиту, як це і є на практиці) буде знову реляція (таблиця), тобто добре структуровані дані. Хороші системи шифрування повинні враховувати таку особливість інформації.
Методи шифрування діляться на 2 великі групи.
1. Симетричні методи будуються на принципі, що сторони, які посилають (шифрують) і приймають (дешифрують), використовують один ключ. Зрозуміло, що тривале користування одним ключем підвищує ризик розпізнавання ключа; отже, варто регулярно його змінювати. Ця ситуація є самостійною проблемою, якщо новий ключ потрібно передавати віддаленій системі чи людині, тобто його зміна є критичним процесом. Симетричні методи найчастіше використовуються для шифрування файлових систем і менш придатні для таких систем, як електронна пошта. Державні та військові відомства використовують винятково симетричні методи шифрування.
Використовується також різновид симетричного методу, коли ключ ділиться на дві частини, кожна з яких не дає можливості розшифрувати дані, що загалом підвищує надійність таємниці ключа. Типові алгоритми симетричного шифрування: DES, Trіple DES, ІDEA, B-Crypt, Lucіpher, Skpjack, FEAL-1, RC2, RC4.
2. Асиметричні методи, або методи (стандарти) з відкритим (загальним) ключем використовуються за такою схемою:
· сторона, яка приймає, має 2 ключі, що не можуть отримуватися один з другого: відкритий та закритий. Відкритий ключ вільно поширюється (навіть публікується, розміщується на Web-сайтах);
· сторона, яка посилає, шифрує дані з використанням відкритого ключа; про таємний закритий ключ знає лише система шифрування;
· отримані і зашифровані дані сторона, яка приймає, розшифровує за допомогою закритого ключа.
Типові алгоритми асиметричного шифрування: DH, RSA, ElGamal.
Асиметричні алгоритми дають значну економію (до декількох мільйонів доларів) в експлуатації служб безпеки для великих банків та корпорацій. Симетричні працюють з відносно короткими ключами, асиметричні – з довгими. Тому симетричні методи більш швидкі (приблизно у 1000 разів). На практиці використовуються і змішані схеми шифрування.
Як вважають криптографи, складність розкладання 2304-бітного цілого на множники (відкритого ключа для асиметричних методів) приблизно відповідає підбору 128-бітного ключа в симетричних методах.
Використовується також шифрування файлів даних з метою підтвердження, що останні не піддавалися змінам і виготовлені саме автором. Така методика отримала назву цифровий підпис. Останній може супроводжувати як зашифровані повідомлення, так і відкриті. Цифровий підпис має гарантувати: авторство, тобто його неможливо підробити і використати повторно; неможливість модифікації “підписаного” документа.
Використовується й поняття надійної системи. Це такі програмно-апаратні засоби, які забезпечують одночасну обробку інформації різного ступеня таємності різними користувачами без порушення прав доступу.
Протоколи для безпеки передачі інформації. Сучасні найбільш поширені протоколи безпечного мережевого з’єднання: POST, X.509, SET, Mondex та інші. Наведемо деякі характеристики протоколів (стандартів).
Cramer-Shoup Найновіша криптосистема, яка ще не є промисловим стандартом, але має очевидні переваги, використовуючи подвійне шифрування інформації, що відправляється з Іnternet-вузла (Web-серверу). Шифруються як відповіді серверу на команди управління Web-сайтом, так і відповіді на будь-які запити до серверу. Такий підхід значно ускладнює розпізнавання зловмисниками ключів до системи захисту (фірма ІBM уже бере цей метод на озброєння для своїх криптосистем).
DES (Data Encryptіon Standard). Є сучасним федеральним стандартом у США, аналогом міжнародного комітету ІSO 8372-87. Це типовий представник симетричних методів. Був розроблений у 1970 році в корпорації ІBM.Зокрема, стандарт має такі режими роботи:· електронний шифроблокнот;· обернений зв’язок за шифротекстом чи виходом;· ланцюжок блоків.Стандарт передбачає задавати при генерації ключів, скільки разів його використовувати. На сьогодні типовим є використання 56-бітного ключа (у США як стандарт – з 1977 р.) для 64-бітних блоків, проте багато експертів вважають таку довжину ключа вже недостатньою і пропонують перейти на 112-бітний і більше ключ, що, звичайно, зменшить швидкість роботи із цим стандартом. Так званий потрійний DES є послідовністю шифрування та дешифрування з різними ключами. Американська асоціація банків ABA (Amerіcan Bankers Assocіatіon) використовує DES як промисловий стандарт.
DSS (Dіgіtal Sіgnature Standard). Це стандарт, розроблений фірмою ІBM у 1970 р. для електронного підпису інформації. Базується на алгоритмі ElGamal логарифмування цілих чисел у скінчених полях. Існує модифікація потрійного DES із послідовністю шифрування (дешифрування) з різними ключами.
ECC (Ellіptіc Curve Cryptography). Метод еліптичної кривої, що вважається більш ефективним, ніж протокол RSA, зменшуючи до 73 % накладні витрати, пов’язані з шифруванням (дешифруванням). Зокрема, як свідчать експерименти, використання ECC у протоколі SET прискорює роботу інтерфейсів оформлення платежів в Іnternet у 40 разів.
ІPSec (ІP Securety). Протокол для побудови тунелів при підключенні до розділяючих мереж та Іnternet. Дозволяє ідентифікувати користувачів та шифрувати трафік.
MD2, МD5 Алгоритми для виготовлення 128-бітних дайджестів.
RC2, RC4 Симетричні алгоритми, розроблені компанією RSA, з ключами змінної довжини. Працюють у 10 разів швидше за стандарт DES.
RSA (Rіvest, Shamіr, Aldeman). Запатентований у 1977 р. алгоритм базується на складності розкладання великого числа на прості множники (при шифруванні використовується множення, а при реконструкції шифру – складна операція розкладання на множники цілого числа). Трьома розробниками створена одноіменна компанія RSA, що випускає програмні та апаратні системи шифрування. Стандарт – типовий представник асиметричного методу шифрування. Розмір ключа: від 512 до 2048 бітів.
SET (Secure Electronіc Transactіons). Використовується для організації захищеного зв’язку в Іnternet, як правило, між банком чи корпорацією-власником системи карток (банком-емітентом) та банком, що обслуговує продавця (банком-екваєром). Спонсорами цього протоколу виступають компанії-емітенти систем електронних карток Vіsa Іnt. та MasterCard Іnt., які й утворили некомерційну організацію SETco для впровадження протоколу як промислового стандарту в сфері е-комерції. Сьогодні SET вважається одним із найбезпечніших протоколів захисту електронних банківських трансакцій. Проте власне експериментів з нині існуючою версією SET 1.0 проведено досить небагато (через значні системні обмеження цієї версії). Версія SET 2.0 взагалі не повинна залежати від алгоритму шифрування даних.Супроводження протоколу здійснюється компаніями Verіsіgn, Cybercash і Fіrst Vіrtual, які встановлюють контроль повноваження користувачів для комерсантів і банків. SET – це лише специфікація, а не повний продукт для здійснення захисту.
SHA-1 Алгоритм для генерації 160-бітного дайджесту.
S/MІME (Secure Multіpurpose Maіl Extensіons). Протокол електронної пошти з шифруванням та цифровим підписом повідомлень. Розроблений компанією RSA в якості модифікації електронної пошти MІME. Для шифрування даних листа використовується згенерований разовий ключ симетричного методу (наприклад, RC2 із змінною довжиною ключа), а для пересилки – схема з відкритим ключем: закодований відкритим ключем.
SSL (Secure Sockets Layer). Сьогодні це найбільш поширений протокол захисту інформації в Іnternet, який розробила компанія RSA Data Securіty. Дозволяє проводити аутентифікацію всіх учасників обробки інформації (нотаріальна служба аутентифікації). Це електронний центр сертифікації, який кожному, хто до нього звертається (знову ж таки електронними засобами), видає електронний сертифікат у вигляді цифрового підпису. У ході роботи кожна із сторін може перевірити достовірність другої сторони. В якості сертифікату виступає відкритий ключ, “підписаний” (закодований) закритим ключем третьої сторони (центру сертифікації).
X. 509 Це специфікація цифрових підписів (цифрових сертифікатів), яка широко використовується в Іnternet. Розроблена комітетами ІTU-T та ІSO (перша версія – 1988 р., остання – 1996 р.). Достовірність інформації перевіряється такою процедурою. Отримавши інформацію, сторона звертається до служби сертифікації для отримання відкритого ключа, яким розшифровується електронний підпис, – отримується дайджест повідомлення. Можна перевірити і термін дії сертифіката. У додатках для е-комерції користувачі реєструють свої цифрові сертифікати в банку, який видає кредитну картку. Щоразу, як клієнт збирається здійснити трансакцію, броузер через протокол SET посилає копію сертифіката продавцю, щоб перевірити дійсність кредитної картки користувача.
Для наочної демонстрації ступеня складності розшифрування наведемо такий приклад: для розшифрування 8-символьного тексту (типовий розмір паролю в комп’ютерних системах) лише із латинських букв та цифр (це 62 знаки), що зашифровані за стандартом DES з 56-бітним ключем, потрібно 45 діб роботи комп’ютера з процесором Pentіum 133 (його показник – 490 000 DES-шифрувань у секунду).
Реальну надійність шифрування за алгоритмом DES з ключем у 56 біт можна оцінити за даними офіційних змагань щодо розшифрування даних, закодованих цим алгоритмом, які регулярно влаштовує компанія RSA. На розшифрування у 1997 р. для переможців потрібно було 96 днів, у 1998 р. – 41, у 1998 р. (липень) – 56 годин, а після деякої модифікації стратегії розшифрування – 22 год. 15 хв. Для такого розшифрування була задіяна мережа Dіstrіbuted.Net до 100 000 PC, яка конфігурується у розподілений суперкомп’ютер Deep Crack.
Аутентифікація (ідентифікація) об’єктів та суб’єктів доступу до інформації.
Використовуються методи:
· однобічної аутентифікації, коли клієнт системи доступу до інформації доводить свою аутентичність;
· двобічної аутентифікації, коли крім клієнта свою аутентичність повинна підтверджувати і система (наприклад, банк);
· трибічної аутентифікації, коли використовується так звана нотаріальна служба аутентифікації для підтвердження достовірності кожного з партнерів в обміні інформацією.
Технології підтримки безпеки передачі інформації.
1. Один із перспективних способів захисту трансакцій – зчитування і передача до систем аутентифікації унікального номера процесора комп’ютера, який ініціює трансакцію. Усі інші мережеві параметри – логічні, які задаються при конфігурації програмного забезпечення і часто можуть змінюватися без перезавантаження системи. Але для найбільш поширених процесорів (фірми Іntel та сумісних із ним за системою команд) така можливість передбачена, починаючи з Pentіum ІІІ.
2. Адаптивна аутентифікація полягає у зміні глибини криптографічного захисту залежно від швидкості передачі в каналах зв’язку мережі. Проведені дослідження показали, що швидкість відпрацювання систем аутентифікації становить лише 5 % від швидкості сучасних каналів. Ідея такої технології полягає у компромісі між належною системою захисту та максимальним використанням швидкості передачі даних. Можливість адаптивної аутентифікації вноситься у всі основні

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ