Економічний механізм електронної комерції
7.1. Захист інформації в мережі Internet
7.2. Загальні принципи та передумови е-комерції в Україні
7.3. Використання пластикових карт у е-комерції
7.4. Віртуальний гаманець покупця—vWallet
7.5. Віртуальний платіжний термінал продавца—vPOS
7.6. Шлюз із фінансовими системами—vGate
7.1. Захист інформації в мережі Internet
Проблему інформаційної безпеки в Інтернеті можна досить умовно сегментувати на три складові:
l проблема захисту авторських прав,
l безпека інформаційного обміну,
l електронна комерція.
Інтернет поставив всю концепцію захисту авторського права з ніг на голову. Існуючі юридичні механізми, більшість з яких розроблена ще в XIX столітті, абсолютно не витримують технологічного прогресу. Очевидно, що традиційними методами цю проблему навряд чи можна вирішити.
Найактуальнішою темою для України – є безпека інформаційного обміну. Розвиток електронних засобів масової інформації значно прискорився останнім часом. Зростає їх кількість, але не завжди якість. Швидше, можна констатувати наявність інформаційної сваволі в українському сегменті Мережі. Що це таке і як з ним боротися?
Вживаючи термін “небезпечне інформаційне середовище”, мається на увазі активне поширення неперевіреної, а часом просто неправдивої інформації. Причому часто це робиться свідомо. Метою такої діяльності може бути як банальне привертання уваги до ресурсу, так і широка кампанія з метою створення негативного іміджу конкретної людини чи події.
Введення певних обмежень чи дозвільних механізмів викликає шалений опір з боку інтернетників. Головний їхній аргумент це заява про те, що введення навіть найпростішої реєстрації ресурсу як засобу масової інформації, є так би мовити, наступом держави на свободу слова.
Можливо, збереження Мережі вільною від різного роду регулюючих механізмів стало б найпростішим виходом, оскільки вона досить успішно саморегулюється власними законами розвитку. З точки зору експерименту було б навіть цікаво поспостерігати, до чого б дійшли ці засоби масової інформації у своєму саморегульованому розвитку. Але цей інтерес зберігається до того моменту, доки неправдива інформація не торкнулася того, хто спостерігає. І тоді він починає гарячково шукати механізми впливу на кривдника. А виявляється - їх немає. Середовище вільне від усього, в тому числі і від захисту власних інтересів.
Зі свого боку, державі також треба вжити термінових заходів. Не секрет, що саме законодавство про інформацію, її збір і розповсюдження, ще не достатньо розвинуте. Деякі аспекти інформаційної діяльності іноді регулюються відверто застарілими нормами. Крім того, не розроблені державні стандарти, згідно із якими можна здійснити класифікацію або вимагати від мережевих ЗМІ певної уніфікації скажімо, їхніх вихідних даних.
Є ще один момент, який значно ускладнює правове регулювання діяльності мережевих ЗМІ. Йдеться про законодавче встановлення граничного розміру сум позовів про захист честі та гідності, які часто просто фінансово знищують ЗМІ. За таких умов цілком зрозуміле небажання інтернетників підлягати будь-якому регулюванню.
Але є надія, що такий закон скоро буде прийнято. Важливо, що парламентарії вже зрозуміли, що журналісти їм не вороги. За минулий рік у судах України накопичилося позовів на відшкодування моральної шкоди на суму, яка у два з половиною рази перевищує бюджет України!
Є ще один аргумент на користь добровільної реєстрації. У такому разі відпадає необхідність створення спеціального закону про поширення інформації в Мережі. Якщо такий закон буде прийнято Верховною Радою, а деякі чиновники цього вимагають, то за умови малої технічної грамотності депутатів, ще невідомо що там буде заборонено. Навіщо нам нові заборони? Може, оберемо з двох зол менше, яке, по суті, і не є злом?
При роботі в Інтернеті варто мати на увазі, що наскільки ресурси Всесвітньої мережі відкриті кожному клієнту, настільки ж і ресурси його комп'ютерної системи можуть бути за певних умов відкриті усім, хто має необхідні засоби.
Для приватного користування цей факт не відіграє особливої ролі, але знати про нього необхідно, щоб не припускати дій, що порушують законодавства тих країн, на території яких розташовані сервери Інтернету. До таких дій відносяться вільні або мимовільні спроби порушити працездатність комп'ютерних систем, спроби злому захищених систем, використання і поширення програм, що порушують працездатність комп'ютерних систем (зокрема, комп’ютерних вірусів).
Працюючи у Всесвітній мережі, варто пам’ятати про те, що абсолютно всі дії фіксуються і протоколюються спеціальними програмними засобами й інформація як про законні, так і про незаконні дії обов'язково десь накопичується. Таким чином, до обміну інформацією в Інтернеті варто підходити як до звичайного листування з використанням поштових листівок. Інформація вільно циркулює в обидві сторони, але в загальному випадку вона доступна всім учасникам інформаційного процесу. Це стосується усіх служб Інтернету, відкритих для масового використання.
Проте навіть у звичайному поштовому зв’язку поряд із листівками існують і поштові конверти. Використання поштових конвертів при листуванні не означає, що партнерам є, що приховувати. Їхнє застосування відповідає давно сформованої історичної традиції й устояних морально-етичних норм спілкування. Потреба в аналогічних “конвертах” для захисту інформації існує й в Інтернеті. Сьогодні Інтернет є не тільки засобом спілкування й універсальної довідкової системи - у ньому циркулюють договірні і фінансові зобов'язання, необхідність захисту яких як від перегляду, так і від фальсифікації очевидна. Починаючи з 1999 року Інтернет стає потужним засобом забезпечення роздрібного торгового обороту, а це потребує захисту даних кредитних карт і інших електронних платіжних засобів.
Принцип захисту інформації в Інтернеті заснований на тому, щоб виключити або, принаймні, утруднити можливість добору адекватного методу для перетворення даних в інформацію. Одним із прийомів такого захисту є шифрування даних.
Системам шифрування стільки ж років, скільки письмовому обміну інформацією. Звичайний підхід складається в тому, що до документа застосовується якийсь метод шифрування (назвемо його ключем), після чого документ стає недоступним для читання звичайними засобами. Його може прочитати тільки той, хто знає ключ, - тільки він може застосувати адекватний метод читання. Аналогічно відбувається і шифрування відповідного повідомлення. Якщо в процесі обміну інформацією для шифрування і читання користуються тим самим ключем, то такий криптографічний процес є симетричним.
Основний недолік симетричного процесу полягає в тому, що, перед тим, як почати обмін інформацією, треба виконати передачу ключа, а для цього також потрібен захищений зв'язок, тобто проблема повторюється, хоча і на іншому рівні. Якщо роздивитися оплату клієнтом товару або послуги за допомогою кредитної карти, то виходить, що торгова фірма повинна створити по одному ключеві для кожного свого клієнта і якимось чином передати їм ці ключі. Це вкрай незручно.
Тому в даний час в Інтернеті використовують несиметричні криптографічні системи, засновані на використанні не одного, а двох ключів. Відбувається це в такий спосіб. Компанія для роботи з клієнтами створює два ключі: один - відкритий (public - привселюдний) ключ, а інший - закритий (private - особистий) ключ. Насправді це як би дві "половинки" одного цілого ключа, пов’язані одна з одною.
Ключі улаштовані так, що повідомлення, зашифроване однією половинкою, можна розшифрувати тільки іншою половинкою (не тією, якою воно було закодоване). Створивши пару ключів, торгова компанія широко поширює привселюдний ключ (відкриту половинку) і надійно зберігає закритий ключ (свою половинку).
Як привселюдний, так і закритий ключ являють собою якусь кодову послідовність. Привселюдний ключ компанії може бути опублікований на її сервері, де кожен бажаючий може його одержати. Якщо клієнт хоче зробити фірмі замовлення, він візьме її привселюдний ключ і з його допомогою закодує своє повідомлення про замовлення і дані про свою кредитну картку. Після кодування це повідомлення може прочитати тільки власник закритого ключа. Ніхто з учасників ланцюжка, по якому пересилається інформація, не в змозі це зробити. Навіть сам відправник не може прочитати власне повідомлення, хоча йому добре відомий його зміст. Лише одержувач зможе прочитати повідомлення, оскільки тільки в нього є закритий ключ, що доповнює використаний привселюдний ключ.
Якщо фірмі треба буде відправити квитанцію про те, що замовлення прийняте до виконання, вона закодує її своїм закритим ключем. Клієнт зможе прочитати квитанцію, скориставшись наявним у нього привселюдним ключем даної фірми. Він може бути упевнений, що квитанцію йому відправила саме ця фірма, і ніхто інший, оскільки ніхто інший доступу до закритого ключа фірми не має.
Захист привселюдним ключем (утім, як і більшість інших видів захисту інформації) не є абсолютно надійним. Справа в тому, що оскільки кожен бажаючий може одержати і використовувати привселюдний ключ, то він може як завгодно детально вивчити алгоритм роботи механізму шифрування і намагатися встановити метод розшифровування повідомлення, тобто реконструювати закритий ключ.
Це настільки справедливо, що алгоритми кодування привселюдним ключем навіть нема рації приховувати. Звичайно до них є доступ, а часто вони просто широко публікуються. Тонкощі полягають у тому, що знання алгоритму ще не означає можливості провести реконструкцію ключа в розумно прийнятні терміни. Так, наприклад, правила гри в шахи відомі всім, і неважко створити алгоритм для перебору всіх можливих шахових партій, але він нікому не потрібен, оскільки навіть найшвидший сучасний суперкомпьютер буде працювати над цією задачею довше, ніж існує життя на нашій планеті.
Кількість комбінацій, що треба перевірити при реконструкції закритого ключа, не настільки велика, як кількість можливих шахових партій, проте захист інформації прийнято вважати достатнїм, якщо витрати на його подолання перевищують очікувану цінність самої інформації. У цьому складається принцип достатності захисту, яким керуються при використанні несиметричних засобів шифрування даних. Він припускає, що захист не абсолютний, і прийоми його зняття відомі, але він усе ж достатній для того, щоб зробити цей захід недоцільним. Тільки з'явиться інший засіб, який дозволить розшифрувати зашифровану інформацію у розумні терміни, змінюють принцип роботи алгоритму, і проблема повторюється на більш високому рівні.
Зрозуміло, не завжди реконструкцію закритого ключа роблять методами простого перебору комбінацій. Для цього існують спеціальні методи, засновані на дослідженні особливостей взаємодії відкритого ключа із визначеними структурами даних. Область науки, присвячена цим дослідженням, називається криптоанализом, а середня тривалість часу, необхідного для реконструкції закритого ключа по його опублікованому відкритому ключу, називається криптостійкістю алгоритму шифрування.
Для багатьох методів несиметричного шифрування криптостійкість, отримана в результаті криптоаналізу, істотно відрізняється від розмірів, що гарантуються розроблювачами алгоритмів на підставі теоретичних оцінок. Тому в багатьох країнах питання застосування алгоритмів шифрування даних знаходиться у сфері законодавчого регулювання. Зокрема, в Україні до використання в державних організаціях дозволені тільки ті програмні засоби шифрування даних, що пройшли державну сертифікацію в адміністративних органах, зокрема, у Державному агентстві урядового зв'язку й інформації при Президентові України.