Электронная коммерция и национальная безопасность МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ

МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
http://www.bre.ru/security/21627.html
Электронная коммерция и национальная
безопасность
В. Горшков, А. Соловьев
Защита информации. Конфидент № 6, 2003
В последнее десятилетие мир переживает период перехода от общества
индустриального к обществу информационному. Это привело к необходимости
рассматривать информационное пространство государства как одну из
составляющих национальной безопасности, поскольку информационные процессы
способны оказать существенное влияние на экономику, обороноспособность,
политику и на многие другие стороны деятельности государства.
Информационное пространство государства включает в себя:







информационные ресурсы;
информационно-телекоммуникационную инфраструктуру;
средства массовой информации;
рынок
информационных
технологий,
средств
связи,
информатизации
телекоммуникаций;
информационные продукты и услуги;
взаимодействие с открытыми мировыми информационными сетями;
систему информационного законодательства.
и
Доктрина информационной безопасности Российской Федерации, утвержденная
Президентом РФ 9 сентября 2000, года определяет, что национальная
безопасность Российской Федерации существенным образом зависит от
обеспечения информационной безопасности. В доктрине под информационной
безопасностью РФ понимается защищенность национальных интересов в
информационной сфере, определяющихся совокупностью сбалансированных
интересов личности, общества и государства.
При этом интересы государства в информационной сфере заключаются в
создании
условий
для
гармоничного
развития
российской
информационной инфраструктуры, для реализации конституционных прав и
свобод человека и гражданина в области получения информации и использования
ее в целях обеспечения незыблемости конституционного строя, суверенитета и
территориальной целостности России, политической, экономической и социальной
стабильности.
Одной из угроз национальной безопасности является возрастающее влияние
информационных процессов на экономику государства. Как отмечено в Доктрине,
«обеспечение информационной безопасности в сфере экономики играет
ключевую роль в обеспечении национальной безопасности Российской
Федерации.
Воздействию
подвержены:
информационных
угроз
в
сфере
 система государственной статистики;
 кредитно-финансовая система;
 информационные и учетные автоматизированные
экономики
наиболее
системы федеральных органов
исполнительной власти, обеспечивающих деятельность общества и государства в сфере
экономики;
1
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
 системы бухгалтерского учета предприятий, учреждений и организаций независимо от
форм собственности;
 системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой,
таможенной и внешнеэкономической деятельности государства, а также предприятий,
учреждений и организаций независимо от форм собственности».
Кроме того, «серьезную угрозу для нормального функционирования экономики
в целом представляют компьютерные преступления, связанные с проникновением
в компьютерные системы и сети банков и иных кредитных организаций». Все это
приводит к реальному ущербу в деятельности субъектов хозяйственной
деятельности, что для государства выражается в недополучении налоговых
платежей в бюджет и ухудшении экономических показателей.
Необходимо отметить, что в Доктрине отсутствует понятие и оценка ситуации в
отношении электронной коммерции, но по сути информационных процессов это
направление экономической деятельности в полной мере должно рассматриваться
и учитываться уже сегодня.
Весь
мир
серьезно
озабочен
состоянием
защиты
национальных
информационных
ресурсов
вследствие
возможности
широкого,
неконтролируемого доступа к ним через открытые информационные сети. Более
80 % компьютерных преступлений происходят с использованием глобальной сети
Интернет. При рассмотрении любых связанных с ними количественных оценок
необходимо учитывать, что все они весьма условны: любая статистика,
приводимая в современной литературе, это лишь видимая часть «айсберга» под
названием «информационные угрозы и их последствия».
В отчете «Исследование в области информационной безопасности в России и
СНГ» в 2001 году компания «Эрнст и Янг» привела следующие данные:
Виды угроз
Вирусные атаки
Отказ в обслуживании
Проникновение в систему извне
НСД внутри компании
Хищение ПЭВМ
Нарушение целостности данных или
сетей
Финансовое мошенничество
Хищение коммерческой информации
Частота
обнаружения,
%
43
15
14
11
7
5
3
2
Все эти угрозы имеют отношение к системе электронной торговли. Рассмотрим
более подробно проблемы, связанные с ее становлением и развитием в России.
Электронная коммерция есть заключение и исполнение сделок в электронной
форме, что влечет за собой необходимость решения вопросов ее правового,
финансового, организационного, информационного и технического обеспечения.
Электронная торговля включает в себя заказ товаров и их оплату с
использованием сети Интернет, что является частью электронной коммерции.
В настоящее время получили развитие две модели глобальной электронной
коммерции:
B2B
(business-to-business)
–
торговые
отношения
между
предприятиями и B2С (business-to-customer) – торговые отношения между
предприятием и покупателем.
Объем мирового оборота электронной коммерции через Интернет в 2003 году,
по прогнозам компании Forrester Tech., может составить от 1,8 до 3,2 трлн. долл.
2
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Столь широкий диапазон прогноза определяется проблемой обеспечения
экономической безопасности электронной коммерции. Если уровень безопасности
сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции
может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность
системы электронной коммерции является сдерживающим фактором развития
электронного бизнеса.
Решение проблемы обеспечения экономической безопасности электронной
коммерции в первую очередь связано с решением вопросов защиты
информационных технологий, применяемых в ней, то есть с обеспечением
информационной безопасности.
Электронная коммерция объединяет
используются новые технологии для
продавцов, методов представления,
определения условий сделки, порядка
процесса осуществления платежей.
множество различных функций. В ней
организации контакта покупателей и
обсуждения и формирования заказа,
продажи товаров и услуг, а также для
В настоящее время существует множество программных решений для
организации электронного бизнеса. В России развитие электронной коммерции
сдерживается:
 недостаточно развитой инфокоммуникационной инфраструктурой;
 ее высокой уязвимостью для злоумышленников;
 нарастающей степенью конкурентной борьбы.
Как видно, все перечисленные препятствия относятся к сфере информационной
безопасности. К сожалению, руководители предприятий электронной коммерции в
должной степени осознают серьезность информационных угроз и важность
организации защиты своих ресурсов только после того, как последние
подвергнуться информационным атакам.
Рассмотрим некоторые из путей обеспечения экономической защищенности
предприятий электронной коммерции. Причем эта задача не сводится
исключительно к обеспечению доверия участников к процессу организации
транзакций: важно обеспечивать их безопасность на каждом этапе осуществления
электронного бизнеса.
Процесс электронной коммерции в укрупненном виде включает семь этапов:







выбор продукта или услуги на сервере компании и оформление заказа;
внесение заказа в базу данных магазина;
проверку доступности заказанного продукта через центральную базу данных;
уведомление о невозможности своевременной поставки заказа и о его коррекции при
отсутствии заказанного товара;
подтверждение заказа и его размещение в базу данных на выполнение при наличии
заказанного товара;
оплата клиентом заказа в режиме реального времени;
поставку заказанного товара клиенту.
Какие угрозы подстерегают компанию, ведущую электронную коммерцию на
каждом этапе:
 подмена web-страницы сервера электронного магазина (переадресация запросов на


другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных
картах, сторонним лицам;
создание ложных заказов и разнообразные формы мошенничества со стороны
сотрудников электронного магазина, например, манипуляции с базами данных
(статистика свидетельствует о том, что больше половины компьютерных инцидентов
связано с деятельностью собственных сотрудников);
перехват данных, передаваемых по сетям электронной коммерции;
3
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
 проникновение злоумышленников во внутреннюю сеть компании и компрометация
компонентов электронного магазина;
 реализация атак типа «отказ в обслуживании» и нарушение функционирования или
вывода из строя узла электронной коммерции.
В результате реализации таких угроз компания теряет доверие клиентов,
теряет деньги от потенциальных и/или несовершенных сделок, нарушается
деятельность электронного магазина, затрачивает время, деньги и человеческие
ресурсы на восстановление функционирования.
Конечно, угрозы, связанные с перехватом передаваемой через Интернет
информации, присущи не только сфере электронной коммерции. Особое значение
применительно к последней представляет то, что в ее системах обращаются
сведения, имеющие важное экономическое значение: номера кредитных карт,
номера счетов, содержание договоров и т.п.
На первый взгляд, может показаться, что каждый подобный инцидент – не
более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако
вспомним 2000-й год, который был ознаменован случаями массового выхода из
строя ведущих серверов электронного бизнеса, деятельность которых носит
поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet,
Datek и E*Trade.
Расследование, проведенное ФБР, показало, что указанные серверы вышли из
строя из-за многократно возросшего числа направленных в их адрес запросов на
обслуживание в результате реализованных DoS-атак. Например, потоки запросов
на сервер Buy превысили средние показатели в 24 раза, а предельные – в 8 раз.
По разным оценкам, экономический ущерб, понесенный американской
экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.
Согласитесь, это немалая цифра для любой экономики, и никто не возьмется
утверждать, что в следующий раз она не окажется много больше.
За рубежом решением проблемы информационной безопасности электронного
бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF)
– общественная организация, состоящая из представителей и экспертов
компаний-поставщиков средств информационной безопасности, электронного
бизнеса и провайдеров интернет-услуг.
Консорциум
ISTF
выделяет
двенадцать
безопасности, на которых в первую очередь
внимание организаторов электронного бизнеса:









областей
информационной
должно быть сосредоточено
механизм объективного подтверждения идентифицирующей информации;
право на персональную, частную информацию;
определение событий безопасности;
защита корпоративного периметра;
определение атак;
контроль потенциально опасного содержимого;
контроль доступа;
администрирование;
реакция на события.
От защиты перечисленных областей зависит непрерывность бизнеса со всеми
вытекающими отсюда экономическими последствиями. Безопасность более не
является дополнительным аспектом бизнеса: ведь даже 97-процентная
надежность системы означает, что за год для бизнеса будут потеряны 293 часа.
Безусловно, обеспечением информационной безопасности должны заниматься
специалисты в данной области, но руководители органов государственной власти,
предприятий и учреждений независимо от форм собственности, отвечающие за
4
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
экономическую безопасность тех или иных хозяйственных субъектов, должны
постоянно держать данные вопросы в поле своего зрения. Для них ниже приведем
основные функциональные компоненты организации комплексной системы
информационной безопасности:







коммуникационные протоколы;
средства криптографии;
механизмы авторизации и аутентификации;
средства контроля доступа к рабочим местам из сетей общего пользования;
антивирусные комплексы;
программы обнаружения атак и аудита;
средства централизованного управления контролем доступа пользователей, а также
безопасного обмена пакетами данных и сообщений любых приложений по открытым
сетям.
Решение проблемы информационной безопасности электронной коммерции
является
наиболее
важной
составляющей
обеспечения
экономической
безопасности электронного бизнеса. Кроме того, учитывая его всевозрастающее
значение для экономики государства в целом, следует помнить, что надежность
функционирования электронного бизнеса уже сегодня может оказывать
непосредственное
влияние
на
национальную
безопасность
развитых
информационных сообществ, и это влияние в дальнейшем будет только
возрастать.
Об авторах:
В. В. Горшков, д.э.н., профессор СПбГИЭУ
А. И. Соловьев, к.т.н., доцент, ООО «Конфидент»
5