![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 49 - CW 21/98
Bezpečnost elektronického obchodováníAlena Hönigová
Elektronický obchod, anglicky běžně označovaný e-commerce nebo e-com -- podpora obchodních činností, nakupování a prodávání zboží a služeb prostřednictvím elektronického média, se stává jedním z nejdůležitějších způsobů realizace obchodů budoucnosti. Všechny obchodní transakce vyžadují značné netriviální komunikaci a zpracování informací a komunikaci, aby se snížila nejistota pro prodávajícího i kupujícího, týkající se kvality obchodovaného zboží, i případného řešení sporů. Komunikace přes Internet významně snižuje náklady transakce. Obchodní služby, které nabízí Internet, zahrnují inzerci služeb a produktů, podporu zákazníka s rychlým vyřešením problémů, levné EDI, zajišťující okamžité a aktuální informace, elektronické bankovnictví a finanční služby, elektronické peníze, i distribuci určitých typů produktů. V současné době je Internet obchodníky nejvíce využíván pro inzerci, marketing a podporu zákazníka. Internet může být ideálním nástrojem pro vývoj každého produktu, který může být uložen na počítači jako digitální informace. Na Internetu mohou založit výrobu taková odvětví, jako je vývoj počítačového softwaru, nakladatelské podnikání, finančnictví, a umělecké a hudební obory. Ideální podmínky nabízí Internet pro výzkum trhu. Smlouvy a licence mohou být vydávány elektronicky, s použitím digitálního podpisu a šifrování. Platby mohou být prováděny elektronicky zákazníkem bance, mezi bankami navzájem, bankou dodavateli. Role maloobchodu a velkoobchodu se spojuje: zákazník může nakupovat přímo od výrobce a výrobce může nabídnout přímo zákazníkovi plný sortiment zboží.
Hrozby? S ohledem na rozsah Internetu může např. každá ztráta pověsti nabýt hrozivého dosahu. Brouzdání Internetem bývá srovnáváno s nakupováním na ulici. Představte si ale, že všechny vaše aktivity jsou zaznamenány na video. Každá elektronická výkladní skříň, do které se podíváte, každá virtuální položka, na kterou kliknete, každá cena, na kterou se zeptáte, a každá otázka, kterou položíte, může být trvale zaznamenána a využita pro účely marketingu. A co když firemní systém obsluhuje pro firmu přes Internet chudý student, aby pak použil stejný Internet k získání přístupu do sítí společností a ke krádeži kreditních karet tisíců zákazníků. ? A dále: vaše peníze mohou být padělány. Někdo se může za vás vydávat a uskutečnit vaším jménem finanční transakce. Vaše tajné dokumenty mohou být umístěny na veřejné elektronické nástěnce. Váš obchod může být přerušen. Důsledkem bude ztráta vašich konkurenčních výhod. To vše se vám může při provozování elektronického obchodu přes Internet stát, jestliže nevěnujete patřičnou péči bezpečnostním opatřením, neboť Internet sám o sobě je relativně nespolehlivý a nezabezpečený komunikační prostředek. Podívejme se, do kterých tříd můžeme rozdělit hlavní hrozby: · hrozby týkající se sítě dané organizace (využívání internetovských služeb může odhalit bezpečnostní slabiny, které útočník využije k přístupu do sítě společnosti) · hrozby týkající se internetovských serverů (obchodník, který uloží čísla kreditních karet na server napojený na Internet, podstupuje značné riziko) · hrozby týkající se přenosu dat (možné narušení integrity a důvěrnosti) · hrozby týkající se dostupnosti služby · hrozby týkající se popiratelnosti (jedna strana účastnící se on-line transakce může popřít, že se kdy transakce uskutečnila; tato hrozba je kritická pro elektronické finanční transakce nebo pro elektronické uzavírání smluv). Při ochraně vnitřní sítě před hrozbami ze strany Internetu je důležitá celková bezpečnostní politika, která musí obsahovat základní bezpečnostní kontroly, jako je řízení fyzického přístupu, řízení logického přístupu, správa bezpečnosti, monitorování bezpečnosti a bezpečnostní audit, řízení změn HW a SW a havarijní plány a zálohování. Vždy však platí, že celkovou ochranu nevyřeší jednotlivá izolovaně implementovaná opatření. Firewally jsou významné, ale řeší pouze ochranu vstupu do vaší sítě. Jestliže do ní pronikne hacker, rozhodující je bezpečnost vnitřní sítě.
Bezpečnost Při zajišťování bezpečnosti elektronického obchodování platí obecná zásada, že implementovaná bezpečnost závisí na tom, jaké typy služeb organizace nabízí a jakou výši rizika je ochotná akceptovat. Z pohledu bezpečnosti zůstává největším problémem zajistit bezpečnost transakcí. Znamená to zejména existenci bezpečných protokolů a kanálů, protokoly pro hotovosti a technologie pro clearing kreditních karet. Využívání protokolů typu SSL nebo SHTTP bez dalších bezpečnostních doplňků je pro bezpečné finanční transakce vysoce rizikové. Protokol SET společností Visa a Master Card pro clearing kreditních karet současným požadavkům na bezpečnost elektronických transakcí již vyhovuje. Špičkoví prodejci jako HP, IBM, RSA a Tandem již předávají své pilotní projekty výrobě a uvolňují první vlnu produktů, vyhovujícíchm SETu. Protokol SET zpracovává v současné době velmi dobře transakce odpovídající rozsahu transakcí zajišťovaných kreditními kartami. Mikroplatby a platby nad zhruba 5 000 dolarů jsou v současné době zatím mimo možnosti SETu. Kritici vytýkají SETu pomalost. Verze 1.0 neumožňuje použití debetních karet. A dále jsou problémy se zatížením poplatky, protože SET autentizuje účet, nikoliv osobu. Bezpečnostní rozšíření protokolu SSL, jako příklad bezpečnostního SW pro on-line bankovnictví, uvedl koncem loňského roku na trh Microsoft pod názvem Server Gated Crypto. Je to první reakce na červnové uvolnění exportu 128bitových šifrovacích produktů pro zámořské finanční ústavy ze strany amerického ministerstva obchodu. Předpokladem pro použití je existence digitálního certifikátu u banky. Jako první certifikační autorita byla vybrána firma VeriSign. Systém umožňuje serveru klienta, aby se v průběhu digitálního navazování spojení s bankovním serverem dotázal na přítomnost digitálního certifikátu SGC. Jestliže SW klienta digitální certifikát detekuje, je ustavena relace využívající 128bitové šifrování. V opačném případě se dohodne nejvyšší úroveň vzájemně dostupného šifrování. Konkrétním příkladem toho, jak lze v e-obchodování (na úrovni maloobchodu) na Internetu překlenout specifika evropského trhu, který je rozdělen měnou, jazykově i kulturními zvyklostmi, byla akce e-Christmas, on-line trh pro prodej vánočních dárků. Projekt byl vyvinutý firmami HP a Microsoft a byl zaveden v listopadu 1997 v devíti evropských zemích. Cílem je dát maloobchodu prostředek pro e-obchodování. Byly zřízeny platební struktury s alespoň jednou bankou v každé zemi a centrální místo, které provádělo napojení na satelitní servery více než 20 poskytovatelů internetových služeb. Zákazníci uchovávají v tomto systému údaje o kreditních kartách na svých PC s použitím SW Microsoft Wallet, který zajišťuje připojení k SW e-obchodování na serverech. Projektu se účastnili v každé zemi specialisté na e-obchodování jako např. Datacash nebo Trinitech. Bezpečnost transakcí je založena na SSL. Zákazníci použili pro vstup www.e-christmas.com a odtud se připojili na servery zúčastněných zemí. Na každém místě mohli číst stránky ve dvou jazycích, obvykle v jazyku dané země a angličtině. Kalkulátor na výpočet měny umožnil zákazníkovi kontrolu ceny. Jako zdroje měnových kurzů byly použity Financial Times a Reuters.
Jaká bude bezpečnost elektronického obchodu (Internetu) budoucnosti Rozvoj Internetu od doby jeho vzniku je obrovský. Na rozdíl od uplynulých více než 25 let jeho existence zohledňují však nyní vyvíjené nové služby a aplikace bezpečnost často na jednom z prvních míst. Formálně závisí budoucnost Internetu na aktivitách IAB, IETF, W3C, dalších normalizačních institucí a na soukromých firmách. Vyvíjená nová verze IP, známá jako IPng (IP Next Generation) je navržená pro provozování na sítích s vysokým výkonem (ATM) i na satelitních či bezdrátových sítích. V oblasti bezpečnosti poskytuje služby integrity, autentizace i důvěrnosti. V oblasti firewallů se navrhovaná zlepšení týkají jejich řízení a správy, interoperabilních šifrovacích systémů, větší integrace a nových standardů. Další uvažované změny se týkají nových bezpečnějších verzí DNS (Domain Name Service), automatické podpory bezpečného přenosu zpráv s tím, že implementace služeb šifrování, digitálního podpisu a integrity zajistí dobrou úroveň ochrany. Předpokládá se rovněž zlepšená možnost úschovy klíčů a zlepšení infrastruktury při práci s veřejnými klíči, uživatelsky snadno použitelný bezpečný Web WWW a e-mail a využívání nového programovacího jazyku Java, poskytujícího významné bezpečnostní rysy.
Co tedy na závěr? Rychlý vývoj bezpečnosti Internetu a tím i podmínek pro bezpečný elektronický obchod je šokující. Bylo by však chybou jen čekat, až budou všechny změny provedeny a všechny chyby odstraněny. Zamyslete se nad potřebami vaší organizace, nad službami, které byste již dnes mohli bez rizika využívat a nenechte si ujít neuvěřitelné možnosti, které již dnes elektronický obchod nabízí.
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |