╚ßst 49 - CW 21/98

BezpeΦnost elektronickΘho obchodovßnφ

Elektronick² obchod, anglicky b∞₧n∞ oznaΦovan² e-commerce nebo e-com -- podpora obchodnφch Φinnostφ, nakupovßnφ a prodßvßnφ zbo₧φ a slu₧eb prost°ednictvφm elektronickΘho mΘdia, se stßvß jednφm z nejd∙le₧it∞jÜφch zp∙sob∙ realizace obchod∙ budoucnosti. VÜechny obchodnφ transakce vy₧adujφ znaΦnΘ netrivißlnφ komunikaci a zpracovßnφ informacφ a komunikaci, aby se snφ₧ila nejistota pro prodßvajφcφho i kupujφcφho, t²kajφcφ se kvality obchodovanΘho zbo₧φ, i p°φpadnΘho °eÜenφ spor∙.

Komunikace p°es Internet v²znamn∞ sni₧uje nßklady transakce. Obchodnφ slu₧by, kterΘ nabφzφ Internet, zahrnujφ inzerci slu₧eb a produkt∙, podporu zßkaznφka s rychl²m vy°eÜenφm problΘm∙, levnΘ EDI, zajiÜ¥ujφcφ okam₧itΘ a aktußlnφ informace, elektronickΘ bankovnictvφ a finanΦnφ slu₧by, elektronickΘ penφze, i distribuci urΦit²ch typ∙ produkt∙. V souΦasnΘ dob∞ je Internet obchodnφky nejvφce vyu₧φvßn pro inzerci, marketing a podporu zßkaznφka.

Internet m∙₧e b²t ideßlnφm nßstrojem pro v²voj ka₧dΘho produktu, kter² m∙₧e b²t ulo₧en na poΦφtaΦi jako digitßlnφ informace. Na Internetu mohou zalo₧it v²robu takovß odv∞tvφ, jako je v²voj poΦφtaΦovΘho softwaru, nakladatelskΘ podnikßnφ, finanΦnictvφ, a um∞leckΘ a hudebnφ obory. Ideßlnφ podmφnky nabφzφ Internet pro v²zkum trhu. Smlouvy a licence mohou b²t vydßvßny elektronicky, s pou₧itφm digitßlnφho podpisu a Üifrovßnφ. Platby mohou b²t provßd∞ny elektronicky zßkaznφkem bance, mezi bankami navzßjem, bankou dodavateli. Role maloobchodu a velkoobchodu se spojuje: zßkaznφk m∙₧e nakupovat p°φmo od v²robce a v²robce m∙₧e nabφdnout p°φmo zßkaznφkovi pln² sortiment zbo₧φ.

Hrozby?

S ohledem na rozsah Internetu m∙₧e nap°. ka₧dß ztrßta pov∞sti nab²t hrozivΘho dosahu. Brouzdßnφ Internetem b²vß srovnßvßno s nakupovßnφm na ulici. P°edstavte si ale, ₧e vÜechny vaÜe aktivity jsou zaznamenßny na video. Ka₧dß elektronickß v²kladnφ sk°φ≥, do kterΘ se podφvßte, ka₧dß virtußlnφ polo₧ka, na kterou kliknete, ka₧dß cena, na kterou se zeptßte, a ka₧dß otßzka, kterou polo₧φte, m∙₧e b²t trvale zaznamenßna a vyu₧ita pro ·Φely marketingu. A co kdy₧ firemnφ systΘm obsluhuje pro firmu p°es Internet chud² student, aby pak pou₧il stejn² Internet k zφskßnφ p°φstupu do sφtφ spoleΦnostφ a ke krßde₧i kreditnφch karet tisφc∙ zßkaznφk∙. ? A dßle: vaÜe penφze mohou b²t pad∞lßny. N∞kdo se m∙₧e za vßs vydßvat a uskuteΦnit vaÜφm jmΘnem finanΦnφ transakce. VaÜe tajnΘ dokumenty mohou b²t umφst∞ny na ve°ejnΘ elektronickΘ nßst∞nce. VßÜ obchod m∙₧e b²t p°eruÜen. D∙sledkem bude ztrßta vaÜich konkurenΦnφch v²hod. To vÜe se vßm m∙₧e p°i provozovßnφ elektronickΘho obchodu p°es Internet stßt, jestli₧e nev∞nujete pat°iΦnou pΘΦi bezpeΦnostnφm opat°enφm, nebo¥ Internet sßm o sob∞ je relativn∞ nespolehliv² a nezabezpeΦen² komunikaΦnφ prost°edek.

Podφvejme se, do kter²ch t°φd m∙₧eme rozd∞lit hlavnφ hrozby:

╖ hrozby t²kajφcφ se sφt∞ danΘ organizace (vyu₧φvßnφ internetovsk²ch slu₧eb m∙₧e odhalit bezpeΦnostnφ slabiny, kterΘ ·toΦnφk vyu₧ije k p°φstupu do sφt∞ spoleΦnosti)

╖ hrozby t²kajφcφ se internetovsk²ch server∙ (obchodnφk, kter² ulo₧φ Φφsla kreditnφch karet na server napojen² na Internet, podstupuje znaΦnΘ riziko)

╖ hrozby t²kajφcφ se p°enosu dat (mo₧nΘ naruÜenφ integrity a d∙v∞rnosti)

╖ hrozby t²kajφcφ se dostupnosti slu₧by

╖ hrozby t²kajφcφ se popiratelnosti (jedna strana ·Φastnφcφ se on-line transakce m∙₧e pop°φt, ₧e se kdy transakce uskuteΦnila; tato hrozba je kritickß pro elektronickΘ finanΦnφ transakce nebo pro elektronickΘ uzavφrßnφ smluv).

P°i ochran∞ vnit°nφ sφt∞ p°ed hrozbami ze strany Internetu je d∙le₧itß celkovß bezpeΦnostnφ politika, kterß musφ obsahovat zßkladnφ bezpeΦnostnφ kontroly, jako je °φzenφ fyzickΘho p°φstupu, °φzenφ logickΘho p°φstupu, sprßva bezpeΦnosti, monitorovßnφ bezpeΦnosti a bezpeΦnostnφ audit, °φzenφ zm∞n HW a SW a havarijnφ plßny a zßlohovßnφ. V₧dy vÜak platφ, ₧e celkovou ochranu nevy°eÜφ jednotlivß izolovan∞ implementovanß opat°enφ. Firewally jsou v²znamnΘ, ale °eÜφ pouze ochranu vstupu do vaÜφ sφt∞. Jestli₧e do nφ pronikne hacker, rozhodujφcφ je bezpeΦnost vnit°nφ sφt∞.

BezpeΦnost

P°i zajiÜ¥ovßnφ bezpeΦnosti elektronickΘho obchodovßnφ platφ obecnß zßsada, ₧e implementovanß bezpeΦnost zßvisφ na tom, jakΘ typy slu₧eb organizace nabφzφ a jakou v²Üi rizika je ochotnß akceptovat.

Z pohledu bezpeΦnosti z∙stßvß nejv∞tÜφm problΘmem zajistit bezpeΦnost transakcφ. Znamenß to zejmΘna existenci bezpeΦn²ch protokol∙ a kanßl∙, protokoly pro hotovosti a technologie pro clearing kreditnφch karet. Vyu₧φvßnφ protokol∙ typu SSL nebo SHTTP bez dalÜφch bezpeΦnostnφch dopl≥k∙ je pro bezpeΦnΘ finanΦnφ transakce vysoce rizikovΘ. Protokol SET spoleΦnostφ Visa a Master Card pro clearing kreditnφch karet souΦasn²m po₧adavk∙m na bezpeΦnost elektronick²ch transakcφ ji₧ vyhovuje.

èpiΦkovφ prodejci jako HP, IBM, RSA a Tandem ji₧ p°edßvajφ svΘ pilotnφ projekty v²rob∞ a uvol≥ujφ prvnφ vlnu produkt∙, vyhovujφcφchm SETu. Protokol SET zpracovßvß v souΦasnΘ dob∞ velmi dob°e transakce odpovφdajφcφ rozsahu transakcφ zajiÜ¥ovan²ch kreditnφmi kartami. Mikroplatby a platby nad zhruba 5 000 dolar∙ jsou v souΦasnΘ dob∞ zatφm mimo mo₧nosti SETu. Kritici vyt²kajφ SETu pomalost. Verze 1.0 neumo₧≥uje pou₧itφ debetnφch karet. A dßle jsou problΘmy se zatφ₧enφm poplatky, proto₧e SET autentizuje ·Φet, nikoliv osobu. BezpeΦnostnφ rozÜφ°enφ protokolu SSL, jako p°φklad bezpeΦnostnφho SW pro on-line bankovnictvφ, uvedl koncem lo≥skΘho roku na trh Microsoft pod nßzvem Server Gated Crypto. Je to prvnφ reakce na ΦervnovΘ uvoln∞nφ exportu 128bitov²ch Üifrovacφch produkt∙ pro zßmo°skΘ finanΦnφ ·stavy ze strany americkΘho ministerstva obchodu. P°edpokladem pro pou₧itφ je existence digitßlnφho certifikßtu u banky. Jako prvnφ certifikaΦnφ autorita byla vybrßna firma VeriSign. SystΘm umo₧≥uje serveru klienta, aby se v pr∙b∞hu digitßlnφho navazovßnφ spojenφ s bankovnφm serverem dotßzal na p°φtomnost digitßlnφho certifikßtu SGC. Jestli₧e SW klienta digitßlnφ certifikßt detekuje, je ustavena relace vyu₧φvajφcφ 128bitovΘ Üifrovßnφ. V opaΦnΘm p°φpad∞ se dohodne nejvyÜÜφ ·rove≥ vzßjemn∞ dostupnΘho Üifrovßnφ.

KonkrΘtnφm p°φkladem toho, jak lze v e-obchodovßnφ (na ·rovni maloobchodu) na Internetu p°eklenout specifika evropskΘho trhu, kter² je rozd∞len m∞nou, jazykov∞ i kulturnφmi zvyklostmi, byla akce e-Christmas, on-line trh pro prodej vßnoΦnφch dßrk∙. Projekt byl vyvinut² firmami HP a Microsoft a byl zaveden v listopadu 1997 v devφti evropsk²ch zemφch. Cφlem je dßt maloobchodu prost°edek pro e-obchodovßnφ. Byly z°φzeny platebnφ struktury s alespo≥ jednou bankou v ka₧dΘ zemi a centrßlnφ mφsto, kterΘ provßd∞lo napojenφ na satelitnφ servery vφce ne₧ 20 poskytovatel∙ internetov²ch slu₧eb. Zßkaznφci uchovßvajφ v tomto systΘmu ·daje o kreditnφch kartßch na sv²ch PC s pou₧itφm SW Microsoft Wallet, kter² zajiÜ¥uje p°ipojenφ k SW e-obchodovßnφ na serverech. Projektu se ·Φastnili v ka₧dΘ zemi specialistΘ na e-obchodovßnφ jako nap°. Datacash nebo Trinitech. BezpeΦnost transakcφ je zalo₧ena na SSL. Zßkaznφci pou₧ili pro vstup www.e-christmas.com a odtud se p°ipojili na servery z·Φastn∞n²ch zemφ. Na ka₧dΘm mφst∞ mohli Φφst strßnky ve dvou jazycφch, obvykle v jazyku danΘ zem∞ a angliΦtin∞. Kalkulßtor na v²poΦet m∞ny umo₧nil zßkaznφkovi kontrolu ceny. Jako zdroje m∞nov²ch kurz∙ byly pou₧ity Financial Times a Reuters.

Jakß bude bezpeΦnost elektronickΘho obchodu (Internetu) budoucnosti

Rozvoj Internetu od doby jeho vzniku je obrovsk². Na rozdφl od uplynul²ch vφce ne₧ 25 let jeho existence zohled≥ujφ vÜak nynφ vyvφjenΘ novΘ slu₧by a aplikace bezpeΦnost Φasto na jednom z prvnφch mφst. Formßln∞ zßvisφ budoucnost Internetu na aktivitßch IAB, IETF, W3C, dalÜφch normalizaΦnφch institucφ a na soukrom²ch firmßch. Vyvφjenß novß verze IP, znßmß jako IPng (IP Next Generation) je navr₧enß pro provozovßnφ na sφtφch s vysok²m v²konem (ATM) i na satelitnφch Φi bezdrßtov²ch sφtφch. V oblasti bezpeΦnosti poskytuje slu₧by integrity, autentizace i d∙v∞rnosti. V oblasti firewall∙ se navrhovanß zlepÜenφ t²kajφ jejich °φzenφ a sprßvy, interoperabilnφch Üifrovacφch systΘm∙, v∞tÜφ integrace a nov²ch standard∙. DalÜφ uva₧ovanΘ zm∞ny se t²kajφ nov²ch bezpeΦn∞jÜφch verzφ DNS (Domain Name Service), automatickΘ podpory bezpeΦnΘho p°enosu zprßv s tφm, ₧e implementace slu₧eb Üifrovßnφ, digitßlnφho podpisu a integrity zajistφ dobrou ·rove≥ ochrany. P°edpoklßdß se rovn∞₧ zlepÜenß mo₧nost ·schovy klφΦ∙ a zlepÜenφ infrastruktury p°i prßci s ve°ejn²mi klφΦi, u₧ivatelsky snadno pou₧iteln² bezpeΦn² Web WWW a e-mail a vyu₧φvßnφ novΘho programovacφho jazyku Java, poskytujφcφho v²znamnΘ bezpeΦnostnφ rysy.

Co tedy na zßv∞r?

Rychl² v²voj bezpeΦnosti Internetu a tφm i podmφnek pro bezpeΦn² elektronick² obchod je Üokujφcφ. Bylo by vÜak chybou jen Φekat, a₧ budou vÜechny zm∞ny provedeny a vÜechny chyby odstran∞ny. Zamyslete se nad pot°ebami vaÜφ organizace, nad slu₧bami, kterΘ byste ji₧ dnes mohli bez rizika vyu₧φvat a nenechte si ujφt neuv∞°itelnΘ mo₧nosti, kterΘ ji₧ dnes elektronick² obchod nabφzφ.