Конечно, Internet нельзя назвать неприступной, но по отношению ко многим коммерческим операциям эта сеть достаточно надежна. Для операций с кредитными картами технология шифрования уже имеется или скоро появится; до полного же решения проблемы защиты информации в Internet, безусловно, еще далеко.
У Роберта Олсона (Robert Olson), президента онлайновой торговой сети Virtual Vineyards (Лос-Альтос, шт. Калифорния), надежность Internet не вызывает сомнений. Не то чтобы Олсон недооценивает опасность, просто он спокойно относится к тем слухам, которые до него доходят. «Около 90% наших заказчиков без колебаний сообщили номер своей кредитной карточки по Internet; остальные 10%, кому это кажется рискованным, позвонят по телефону», — говорит он. Другие предприниматели в области розничной торговли тоже не впадают в панику. Например, для Донны Иуколано (Donna Iucolano), координатора интерактивной службы торговли цветами 1-800-Flowers (Уэстбери, шт. Нью-Йорк), оборот которой составляет 200 млн. долл. в год, надежность сети очень важна. Но и она считает, что «передача номера кредитной карточки по Internet не более опасна, чем его сообщение по телефону фирме, занимающейся прямым маркетингом, или официанту в ресторане».
«За три месяца работы компания не испытала каких-либо проблем, связанных с безопасностью», — отметила она. Вопреки распространяемым заявлениям о том, что со стороны Internet существует угроза неприкосновенности данных, и множеству убедительных причин принимать защитные меры против хакеров, целый ряд предприятий тем не менее уверенно продвигается вперед по пути сетевой коммерции. Олсон начал свой бизнес по Internet в январе, продавая дорогие вина от 25 лучших в мире виноделов. Через шесть месяцев работы у него не было жалоб по поводу безопасности, несмотря на потенциальную возможность, например, кражи номеров кредитных карточек или паролей хакерами. По словам Олсона, с тех пор как он открыл этот сетевой бизнес, уровень продаж увеличился на 25% и благодаря ему Олсон приобрел сотни заказчиков и шестерых служащих. Однако не все столь оптимистично относятся к риску торговли по Internet. Джим Хендрикс (Jim Hendrix), менеджер по информационному обслуживанию гигантской пищевой корпорации с оборотом в 5,1 млрд. долл. и 56 тыс. работников Tyson Food (Спрингдейл, шт. Арканзас), рассказывает совсем другую историю.
«Мы не хотели подвергаться дополнительному риску, — говорит он, — нервничали и, лишь установив в прошлом месяце брандмауэр, почувствовали себя в безопасности и организовали внешний сервер World-Wide Web (WWW)». Брандмауэр способен отфильтровывать все, за исключением наиболее важного трафика между частной сетью и Internet, а при необходимости он контролирует почти весь трафик. Правда, это довольно дорогостоящее решение по обеспечению безопасности: такой сервер может обойтись в 100 тыс. долл. До сих пор деятельность Tyson по Internet ограничивалась обменом информацией между филиалами компании. Однако теперь Хендрикс планирует помещать в нее такие сведения о компании, как годовые отчеты или маркетинговые данные, впервые открыв свою сеть для широкой публики. Кажется, что Олсон и Хендрикс живут в двух разных измерениях Internet. Так оно и есть. По мнению экспертов, уровень безопасности, достаточный для внешней электронной коммерции через WWW, не соответствует тем требованиям, которые предъявляют к принципиально открытой и поэтому незащищенной сети Internet внутренние деловые транзакции. «Технология безопасных операций с кредитными карточками уже есть или очень скоро появится. Но это не то же самое, что расчеты по Internet между предприятиями, — поясняет Стив Франко (Steve Franco), старший аналитик консультативной фирмы Yankee Group (Бостон). — Достигнутый уровень конфиденциальности пока не устраивает корпорации, желающие защитить свою информационную собственность». В целом изделия защиты для Internet делятся на две группы. Брандмауэры и маршрутизаторы безопасности оберегают внутреннюю информацию от вмешательства извне и обычно применяются теми компаниями, которые осуществляют безопасный электронный обмен данными или работают с другими приложениями, связывающими предприятия между собой. Программное обеспечение и протоколы шифрования деловых транзакций по Internet, таких как оплата по кредитным карточкам, способствуют тому, чтобы передаваемые номера или пароли не были перехвачены до достижения ими пункта назначения.
Тип применяемого продукта защиты зависит от нужд компании. Например, Олсон из Virtual Vineyard считает существующие меры достаточными для своего бизнеса торговли потребительскими товарами по Internet. Встроенная защита Компания использует сервер Commerce Server корпорации Netscape Communications со встроенным протоколом Security Sockets Layer (SSL), который с помощью технологии шифрования лишает любопытных возможности копаться в сети. SSL шифрует данные на уровне приложений.
Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола.
Программное обеспечение сервера Netscape обеспечивает также аутентификацию — сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута. Стоимость Netscape Commerce Server около 5 тыс. долл. «Конечно, электронная коммерция ставит проблемы доверия и удобства со стороны потребителя, но механизмы защиты уже существуют», — убеждает Олсон. В компании 1-800-Flowers к проблемам безопасности относились очень серьезно. «Мы не хотели подвергать наших заказчиков риску, — рассказывает Иуколано, — поэтому вышли в Internet лишь тогда, когда почувствовали, что защита данных гарантированна».
«Впервые мы вышли в сеть через CompuServe три года назад, затем перешли в Bloomberg Financial Services Network, а недавно стали абонентами America Online и Apple eWorld. Мы чувствовали, что во всех этих сетях меньше риска для коммерции, чем в Internet, которая по своей природе открыта для всех».
«Заказчики 1-800-Flowers удовлетворены уровнем безопасности, который обеспечивает протокол Netscape SSL», — констатирует Иуколано.
Прежде чем выйти в Internet, компания изучила технологию шифрования, после чего решила приобрести Netscape Commerce Server из-за популярности Netscape Navigator, программного обеспечения клиента для просмотра информации в WWW. Затем компания заключила договор на разработку узла WWW с системным интегратором The New York Web. «Первой нашей задачей было предоставить 1-800-Flowers возможность начать торговлю по WWW, и мы решили ее с помощью сервера Netscape, — делится опытом Кристофер Грэхэм (Christopher Graham), архитектор из The New York Web. — Следующим шагом стал поиск метода шифрования, который был бы более на- дежен, чем технология RSA Data Security, применяемая в Netscape Commerce Server, и позволил бы обмениваться по Internet конфиденциальными документами между 1-800-Flowers и деловыми партнерами этой компании». «Еще одна проблема заключалась в обеспечении достаточно высокой скорости обмена, — продолжает Грэхэм. — С этой целью в текущем месяце мы намерены арендовать линию связи T3». Другие компании ставят перед собой дополнительные задачи. Крейг Адамс (Craig Adams), администратор информационной системы и президент корпорации Noteworthy Music (Нашуа, шт. Нью-Йорк), занимающейся дистрибуцией компакт-дисков по сети, считает степень безопасности в Internet достаточной для расчетов по кредитным карточкам, но аутентификация пользователей и проверка достоверности, по его мнению, оставляют желать лучшего.
Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога. «В Internet трудно идентифицировать пользователя или узел, из которого исходит транзакция, — говорит Адамс. — Случаи мошенничества с именами или паролями пользователей по- прежнему остаются реальностью». Верная игра До каких же пор менеджеры будут нервничать? Они успокоятся лишь тогда, когда пользователи системы почувствуют себя уверенно.
«Несмотря ни на что свою сеть необходимо защищать. От решения этого вопроса зависит уверенность пользователей и способность к управлению менеджеров ИС», — заявил Адамс. Он отметил, что его бизнес пока не подвергался вмешательству мошенников, ворующих номера кредитных карточек и пароли, и заказчики не жаловались на недостаточный уровень безопасности. Однако он понимает: чтобы электронная коммерция заработала в полную силу, степень уверенности заказчиков должна быть еще выше. Аналитики утверждают, что заказчики будут уверены лишь тогда, когда в процесс обеспечения защиты электронной коммерции включатся банки и другие финансовые учреждения. Но это уже происходит. Так, в марте корпорация First Union (Шарлотт, шт. Сев. Каролина) — девятая по величине банковская холдинговая компания в стране с активами в 77 млрд. долл. — в партнерстве с корпорацией Open Market, разработчиком программ и поставщиком услуг электронной коммерции, занялась обеспечением электронной оплаты товаров и услуг по Internet. First Union согласилась поддерживать финансовые операции по Internet с использованием защищенной инфраструктуры виртуальных торговых точек со встроенными программными и аппаратными инструментами Community Commerce компании Open Market-s, обеспечивающей электронные закупки и предоставляющей ряд банковских услуг. «Целью соглашения является приближение банковской холдинговой компании к осуществлению финансовых транзакций в режиме on-line», — поясняет Фред Уинклер (Fred Winkler), президент отделения кредитных карточек First Union. «Конфиденциальность информации заказчиков — важное условие успеха электронной банковской деятельности, которое до сих пор не выполнялось, препятствуя оформлению транзакций по сети», — заметил Уинклер. Без этого, по его словам, ни один банк не станет предоставлять своих услуг в режиме on-line. По мнению многих наблюдателей, если банки и финансовые институты не продемонстрируют уверенности своим участием, электронная коммерция погибнет. Правда, некоторые гиганты, такие как корпорации MasterCard International и Visa, в прошлом году приступили к разработке проектов поддержки электронной коммерции. MasterCard заключила соглашение с Netscape и использует изделия этой фирмы для предоставления пользователям услуг по онлайновым платежам, а Visa сотрудничает с корпорацией Microsoft с целью учреждения аналогичной службы через сеть Microsoft Network Service, доступной через Windows 95. Аналогично в мае корпорация CyberCash (Рестон, шт. Виргиния) и операционный отдел банка First National Bank of Omaha объявили о соглашении по совместной разработке и предоставлению услуг защищенных онлайновых платежей для торговцев, применяющих в своей работе Internet. First of Omaha принимает платежи по кредитным карточкам от 44 тыс. торговых учреждений во всех штатах. CyberCash выполняет роль посредника, через которого платежи смогут поступать от покупателей к продавцам и далее в их банки. Она обкатывает модель службы платежей и в течение месяца рассчитывает запустить ее в эксплуатацию.
«Главное для надежных платежей и транзакций в этих зарождающихся сетевых финансовых службах — это шифрование, — считает Г. Уинфильд Триз (G. Winfield Treese), директор Open Market по передовым технологиям. — Шифрование — ключ к аутентификации, цифровой подписи и т. д. Как только будет решена проблема шифрования данных, мы сможем приступить к решению других проблем выхода в Internet, таких как угроза проникновения вирусов».
Программное обеспечение Open Market поддерживает SSL и еще один протокол защиты данных — Hyper Text Transfer Protocol (SHTTP), применяемый в инструментах доступа к Internet. Другие компании, предлагающие интегрированное программное обеспечение коммерции для клиентов и серверов, спешат ответить своими системами шифрования на запросы пользователей в связи с необходимостью защиты данных. Фирмы NetMarket, CommerceNet, CyberCash, First Virtual Holding, а также Microsoft выступили с предложениями по шифрованию платежных документов. Такие компании, как RSA Data Security и Terisa Systems (совместное предприятие дочерней компании RSA и Enterprise Integration Technologies), продают лицензии на многие имеющиеся сегодня технологии шифрования с открытым и частным ключами.
Хотя все эти изделия и службы находятся пока в стадии становления, по мнению аналитиков, встроенных в них мер защиты будет достаточно, чтобы предотвратить утечку информации.
Менеджеры информационных систем в замешательстве Даже когда электронные расчеты с потребителями станут безопасными, перспектива размещения в сети важных внутренних данных корпорации заставит бледнеть ветеранов информационных подразделений. Несмотря на заверения поставщиков в безопасности электронной коммерции, многие менеджеры информационных систем продолжают отвергать идею размещения ответственной корпоративной информации на внешнем сервере WWW для связи по Internet с деловыми партнерами или даже с собственными филиалами.
«Сегодня большинство организаций косо смотрит на использование Internet в качестве средства коммуникаций», — говорит Джеролд Грошоу (Jerrold Grochow), руководитель отдела информации корпорации American Management Systems (AMS, Фэрфакс, шт. Виргиния). AMS — консультационная фирма и системный интегратор с оборотом в 460 млн. долл. — эксплуатирует сервер WWW без специальных средств защиты, позволяющий любому пользователю Internet просматривать общую корпоративную информацию. Однако в долгосрочные планы AMS входит установка защищенного сервера WWW, через который AMS сможет общаться с деловыми партнерами и заказчиками.
«Было бы очень полезно использовать Internet, например, для поддержки заказчиков. Но отвечать на их специальные вопросы через незащищенный сервер было бы неразумно. Сначала должна быть обеспечена защита в форме паролей или закрытого сервера WWW», — делится своим мнением Грошоу. Согласно результатам недавнего исследования, опубликованного корпорацией Yankee Group, Грошоу — один из многих. Примерно 75% менеджеров ИС из 200 компаний Fortune 1000 заявили, что они не считают возможным применение Internet для осуществления деловых операций из-за присущего этой сети недостатка средств защиты информации. Полностью уверены в безопасности Internet всего 8%, остальные еще не решили.
«Кроме того, 89% сказали, что они применяли бы Internet для транзакций, если бы верили в их защищенность. Это свидетельствует о высоком интересе к Internet», — полагает старший аналитик Yankee Group Стефан Франко (Stephen Franco).
Неудивительно, что надежность рассматривается как самая важная проблема для менеджеров ИС, медлящих с установкой наиболее передовых приложений на Internet. «Многие пользователи, подключенные к Internet, уже применяют электронную почту и основные функции, для которых не требуется высокого уровня защиты», — сообщил Франко. «Что касается мощных приложений вроде электронного обмена документами (EDI), то продукты с солидными средствами защиты, такими как брандмауэры и программное обеспечение шифрования коммерческого уровня, появились на рынке только в последние полгода или год», — утверждает Джеффри Шиллер (Jeffrey Schiller), директор по средствам защиты данных компании Internet Ingineering Steering Group, входящей в Internet Ingineering Task Force (Кембридж, шт. Массачусетс). «Теперь, когда корпорации открыли для себя полезность применения Internet, они должны одолеть новое препятствие — защиту данных», — говорит он. Сложная проблема По словам Франко из Yankee Group, обеспечение защиты никогда не было простым делом. Защиту в Internet следует рассматривать как часть общей стратегии безопасности информации в Internet. Как таковая, она требует постоянного внимания и усилий; одних буферных брандмауэров между Internet и частными сетями недостаточно. «Проблема обеспечения безопасности транзакций не имеет единственного решения. Нельзя возвести брандмауэр и сказать, что сеть безопасна. Любой брандмауэр можно преодолеть», — считает Франко.
«Отделы ИС должны контролировать соединения, следить за достижениями хакеров, которые становятся все более изощренными, и разрабатывать твердую политику безопасности». Чтобы проиллюстрировать сложность проблемы обеспечения надежности, Франко и другие упоминают произошедший в конце прошлого года и получивший широкую огласку случай вскрытия защиты, когда хакер пробрался сквозь защитные брандмауэры фирмы General Electric на Internet и проник в системы корпорации, содержащие частную информацию. Хотя данные остались в целости и сохранности, компании пришлось прервать доступ к Internet на 72 часа. «Хотя GE утверждает, что она все равно намерена заниматься коммерческой деятельностью по Internet, этот инцидент напомнил об уязвимости сети», — отмечает Скотт Стоун (Scott Stone), менеджер по интерактивным службам и базам данных GE Information Services (Роквилл, шт. Мэриленд). «Многие корпорации обращаются к брандмауэрам в надежде, что им удастся защититься от хакеров. Но я не думаю, что этого достаточно, — вторит ему Шиллер. — Корпорациям требуются защищенные хост-компьютеры. Иначе никакие данные, распространяемые по Internet, не будут достоверными». Необходимы исследования «Чтобы установить твердую политику обеспечения безопасности, менеджеры ИС должны изучить нужды своих организаций и определить, на какой риск компания готова пойти ради использования Internet для передачи ответственной информации», — говорит Джуди Росалл (Judy Rosall), вице- президент по исследованию рынка компании The Radicati Group (Пало-Альто, шт. Калифорния). Кроме того, как отмечает Франко из Yankee Group, мало кто из менеджеров ИС желает становиться специалистом по защите информации. После установки сервера WWW экономический эффект от поддержки связи по Internet недостаточно высок, чтобы оправдать большое количество уделяемых этому сил и времени. Поэтому решение проблем безопасности лучше поручить другой организации, как это сделала 1-800-Flowers. Стефен Франко сделал вывод, что для операций с кредитными картами технология шифрования уже имеется или скоро появится. До полного же решения проблемы защиты информации в Internet еще далеко.
Communications Week Технические рекомендации Решение задач обеспечения защиты данных в Internet — не простая проблема. Аналитики и участники проектов предлагают некоторые общие рекомендации для менеджеров ИС.
1. Следите за соединениями.
2. Наблюдайте за методами хакеров, которые становятся все более и более изощренными.
3. Разрабатывайте твердую политику безопасности.
4. Требуйте надежных защищенных хост-компьютеров. Иначе никакие данные, отправленные по Internet, не будут достоверными.
5. Определите величину риска нарушения защиты.
6. Сделайте защиту одним из критериев выбора компьютерных систем.
eToken — концептуально новый электронный ключ, имеющий встроенную аппаратную систему аутентификации пользователей. eToken предназначен для безопасного хранения цифровых сертификатов, паролей, ключей шифрования, защиты приложений и данных, обеспечения Интернет-безопасности.
Privacy-Enhanced Mail (PEM) — это стандарт на передачу конфиденциальных сообщений поддерживается почти во всех современных мощных пакетах электронной почты.
Secure Encrypted Transactions (SET) — система SET (защищенные зашифрованные операции) используются в программе просмотра WWW фирмы Spry Inc.., отделения CompuServe. В этой системе применяется описанный ниже протокол Secure HTTP (SHTTP).
Secure HyperText Transport Protocol (SHTTP) — программное обеспечение, гарантирующее неприкосновенность и аутентификацию данных, переданных по Internet. Secure Sockets Layer — протокол, разработанный корпорацией Netscape Communications для шифрования данных на уровне приложений.
Аутентификация — процесс проверки достоверности информации, введенной пользователем при регистрации в сетевой ОС или многопользовательской системе. Аутентификация обычно предусматривает сверку имени и пароля пользователя со списком лиц, имеющих право доступа к системе. Если данные совпадают, пользователь может войти в систему и получает доступ к ресурсам в соответствии со своими правами согласно бюджету.
Брандмауэр — маршрутизатор, через который не проходят сообщения, распространяемые по сети; служит препятствием, защищающим циркулирующую в сети информацию. Ключи — инструменты, существующие в открытой и частной форме и используемые для шифрования и дешифрования содержимого цифровых документов.
Цифровые подписи — данные, присоединяемые к документу и подтверждающие его авторство и целостность содержимого. Защитную цифровую подпись нельзя подменить, а документ — исправить, не оставив следов. Шифрование — передача данных в формате, который можно прочитать только с применением определенного ключа или шифра. Электронная коммерция — приобретение или продажа товаров посредством электронных носителей или через сеть, подобную Internet. Это понятие может включать в себя также заказ, оплату и даже доставку товаров и услуг.
Электронный обмен данными (EDI) — способ электронного обмена служебными документами, включая накладные, заказ-наряды и платежные документы. Заказчики и поставщики могут организовать сеть EDI посредством стандартов Open Systems Interconnections или с использованием специализированных изделий.
Передача номеров кредитных корточек по электронной почте и системе WWW без шифрования. Чаще всего приемом не шифрованных данных о кредитных карточках занимаются небольшие и среднии фирмы. В этой ситуаци нужно четка соблюдать ряд правил:
1. Ни в коем случаи не храните данные о кредитных карточках на компьютере, подключенном к сети Internet.
2. Передовайте номер кредитной карточки и дату окончания ее действия в разных сообщениях или лучше отправьте по факсу, позвоните по телефону (в рабочие часы).
3. Как можно быстрее удаляйте номера кредитных карточек с сетевых компьютеров.
4. При хранении информации разделяйте номера кредитных карточек и сроки окончания их действия.
Эти правила при нешифровании данных о кредитных карточках не устраняют риск похищения, а только снижает его.
Security on LGG