Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

торые автоматизируют коммерческие операции на основе безбу­ мажных методов бизнеса. ЭК обычно представляет собой ЭДО с ис­ пользованием ЭП или W3-ceTH. ЭК включает электронные коммер­ ческие операции в рамках и между частным и общественным секто­ рами бизнеса, а также использует внутригосударственную (нацио­ нальную) инфраструктуру и международные коммуникации.

ЭК играет очень важную роль в современном обществе и эко­ номическом развитии, и очевидно, что бурный рост этой сферы бизнеса неминуем. В 2002 г. компания «eMarketer», специализирую­ щаяся на сборе и анализе данных электронного рынка, опубликовала отчёт под названием «Прогнозы и реальность - обзор итоговых пока­ зателей электронной коммерции за 2001 г. в свете прогнозов ведущих аналитических компаний», в котором было указано, что оборот гло­ бального рынка ЭК в 2001 г. оценивался в $449 млрд, (на $226 млрд, больше чем в 2000 году). На 2002, 2003 и 2004 гг. прогнозировался рост в $841 млрд., $1,5 трлн, и $2,7 трлн, соответственно.

Вот некоторые конкретные примеры. Крупнейший в мире Интернет-магазин «Amazon» закончил IV квартал 2003 г. с ростом прибыли (составившей $73,2 млн). 2003 г. стал самым прибыльным в истории «Amazon» и многих других Internet-магазинов. В начале 2004 г. более 22 миллионов человек пользовались электронными банковскими услугами 10 крупнейших американских банков. Этот показатель возрос на 29% по сравнению с 2003 г. Wells Fargo (США) через Интернет обслуживает 4.2 млн человек, Swedbank (Швеция) - 1.5 млн, Nordia (Финляндия) - 1.2 млн, First direct (Великобритания) - более 1 млн человек. Банк ING Direct (Нидерланды) при выходе на рынок Великобритании за 6 месяцев приобрел 250 тыс. новых кли­ ентов.

По итогам 2004 г. суммарный доход «Amazon» составил $6,92 млрд. Прибыль за 2004 г. составила $588 млн В июле 2005 г. компа­ ния «Google» подвела финансовые итоги второго квартала 2005 г. Компании удалось достичь значительного роста доходов - за отчет­ ный период они составили $1,384 млрд. Чистая прибыль компании по итогам второго квартала составила $343 млн долл, (в 4,3 раза больше, чем $79 млн прибыли, полученные годом ранее).

ЭК становиться стратегическим направлением совершенство­ вания частного и общественного секторов бизнеса. Она нашла все­ общее признание, так как обеспечивает снижение затрат, конкурен­ тоспособность и позволяет решать проблемы увеличения скорости и объемов платежей и обмена коммерческой информацией. Это глав­ ный лейтмотив нашего бурно развивающегося информационного сообщества. Это и средство для достижения, и результат технологи­ ческого перевооружения коммерческой деятельности, которое обес­ печивает ей надежную дорогу в XXI век.

Вместе с тем, ЭК является результатом конвергенции самых передовых технологий на поворотном этапе нашей экономической и общественной истории. Она обеспечивает повсеместную интегра­ цию персональных компьютеров, сетей передачи данных, уникаль­ ного ПО и глобальной политико-экономической сферы, и все это в условиях постоянно снижающихся финансовых затрат на её реали­ зацию. Очевидно, что методы ЭК становятся более доступными по причине их небольшой стоимости, они уже являются частью гло­ бальной социальной среды, что также обеспечивает их дальнейшее широкое использование.

31.1. Риски в ЭК

ЭК может быть чрезвычайно выгодным бизнесом вследствие небольших финансовых затрат на его проведение и наличия боль­ шого количества преимуществ для вновь создаваемых и сущест­ вующих систем обслуживания покупателей по сравнению с тради­ ционными формами коммерческой деятельности. Однако сущест­ вует и «обратная сторона медали». Электронные системы (ИТС), ко­ торые являются основой электронного бизнеса, весьма чувствитель­ ны к разного рода технологическим «злоупотреблениям», техниче­ ским ошибкам и сбоям. А это в свою очередь может нанести колос­ сальный ущерб участникам электронной торговой сделки, а именно продавцам, финансовым организациям (включая банки), поставщи­ кам услуг и покупателям.

Угрозы электронному бизнесу (и их источники) могут быть следующими:

впрямой финансовый урон вследствие обмана (мошенничества).

Некто - внешний нарушитель или мошенник из сотрудников организации (компании) - может, например, преступным обра­ зом перевести определенную сумму валюты с одного счета на другой или уничтожить электронные финансовые документы;

вкража важной конфиденциальной информации (данных). Многие ор­ ганизации хранят и обмениваются очень важной информацией, которая является конфиденциальной и может содержать сведе­ ния, составляющие коммерческую (или иную) тайну. Это может быть технологическая или деловая информация, секретные дан­ ные о коммерческих интересах клиентов или покупателей. При этом несанкционированное раскрытие этой тайны может при­ вести к краху или банкротству той или иной компании;

•потеря благоприятных условий бизнеса вследствие разрушения службы. Службы, базирующиеся на информационно-телеком-

муникационных инфраструктурах, могут быть выведены из строя на длительный или недопустимый период времени в ре­ зультате умышленных атак (следствие злонамеренных дейст­ вий либо внешних нарушителей, либо «обиженных» сотруд­ ников службы) или природных катаклизмов. Возможные поте­ ри могут быть катастрофическими;

внесанкционированное использование ресурсов. Внешние нарушите­ ли могут получить несанкционированный доступ к информа­ ции (данным) и использовать ее в своих целях или против ее владельцев. Телекоммуникационный службы - один из таких примеров. Наиболее часто встречающийся способ нарушений со стороны хакеров - проникновение в компьютерные системы и сети и использование последних в качестве «исходных пози­ ций» для атак на другие системы и сети;

опотеря доверия или внимания со стороны покупателя. Любой элек­ тронный бизнес может понести значительные потери вследст­ вие либо причиненных покупателям неудобств или имевших место несанкционированных вторжений или банкротств и их публичной огласки, либо в результате ретроспективного анали­ за ранее имевших место атак нарушителей или отказов в рабо­ те. Имидж электронного бизнеса также может быть подорван в результате незаконных или сомнительных действий нарушите­ ля, которой выдавал себя (маскировался) за одного из действи­ тельных участников коммерческой деятельности;

вдополнительные затраты вследствие ненадежности. Прерывания в период проведения коммерческих операций вследствие внешних вторжений, обмана, неправильных коммерческих действий, ошибок операторов или сбоев в электронной систе­ ме неминуемо приведут к параллелизму и возникновению со­ мнительных состояний в течение электронной торговой сес­ сии. Например, могут быть не приняты ответные квитанции или подтверждения в период проведения коммерческой опе­ рации, или результаты последней могут быть оспорены дру­ гими участниками электронной сделки. В таких ситуациях возможны урон бизнесу, потеря доверия и дискредитация имиджа фирмы, а также большие затраты на разрешение конфликтной ситуации.

Несмотря на законы и постановления, предназначенные для

защиты интересов покупателей, последние, тем не менее, также уяз­ вимы. Покупателю, который доверил свои деньги электронной сис­ теме, может бьггь нанесен ущерб (потеря денег) вследствие атаки или по причине сбоя в ней. В конечном счете, все рассмотренные ком­ мерческие риски в той или иной степени касаются и покупателей ли-

бо в форме прямых финансовых потерь, либо в форме скрытых по­ терь вследствие «гибели» бизнеса, либо потерь из-за неблагоприят­ ных коммерческих факторов (снижение конкурентоспособности).

В средствах массовой информации очень часто публикуется информация об атаках на системы ЭК и электронных платежей. Вот наиболее впечатляющие примеры:

•1988 г. (ноябрь) - студент Корнельского университета (США) Robert Morris Jr. через Internet «заразил» и таким образом вывел из строя более 1000 компьютеров;

в1994 г. - вследствие атак на системы паролирования в Internetсети было скомпрометировано сотни тысяч (может быть мил­ лионы) паролей пользователей;

о1995 г. - американский банк CITIBANK (Нью-Йорк) потерял $10 млн вследствие атак нарушителей на его систему управле­ ния электронными платежами;

в1997 г. - 37-летний хакер Carlos Salgado Jr. (Daly City, США) похи­ тил через Internet около 100 тыс. номеров КК, которые пытался продать на черном рынке за $260 тыс. (возможный финансовый ущерб был оценен в сотни миллионов долларов США);

•2000 г. (февраль) - 19-летний хакер Raphael Gray похитил через Internet более 3 млн фунтов стерлингов путем взлома девяти Web-сайтов, включая «Salesgate.com», «VisionComputers.com» и «AlbionsMO.com»;

в2001 г. - в программном обеспечении Microsoft обнаружен «троянский конь», который был замаскирован под «заплатку» для возможных уязвимых мест в OQ2001 г. (июль) - корпора­ ция «Cisco Systems» официально признала, что все ее маршру­ тизаторы (IOS v.11.2 и выше) уязвимы для хакерских атак;2003 г. - в течение года были взломаны информационные системы свыше 80% мировых финансовых учреждений. Согласно ис­ следованию, проведенному компанией Deloitte Touche Tohmatsu, почти 40% организаций, чьи системы были атакованы, понес­ ли финансовые потери. Исследование основано на интервью с руководителями служб безопасности 100 ведущих мировых финансовых учреждений;

о2007 г. - депутат Госдумы России Виктор Алкснис в конце нояб­ ря 2007 г. озаботился темой строительства корпорацией Microsoft центра обработки данных в Иркутской области на 10 000 серве­ ров. Его опасения были основаны на том, что несколькими ме­ сяцами ранее корпорация выпустила обновление для ОС Win­ dows ХР и Vista, которое устанавливалось без ведома пользова­ телей. Депутат отправил запрос руководителю ФСБ России и получил следующий ответ: «Учитывая, что на серверах центра

обработки данных предполагается обрабатывать и хранить большие объёмы информации, которая может содержать дан­ ные, представляющие интерес для спецслужб иностранных го­ сударств, а в ПО не исключено наличие уязвимостей и недоку­ ментированных возможностей, органами Федеральной службы безопасности планируется проведение мероприятий, направ­ ленных на предотвращение возможности использования этой информации в ущерб интересов Российской Федерации»;

оянварь 2010 г. - мошенники взломали 49 Интернет-сайтов па­ латы представителей конгресса США. Атаке подверглись ре­ сурсы как республиканской, так и демократической партий. На взломанных страницах нарушители разместили непри­

стойное обращение в адрес президента страны Барака Обамы. Вполне естественен вопрос: «А какова вероятность очередной атаки нарушителя?», или «А какова вероятность того, что атаки на­ несут определенный ущерб?». Ответы на эти вопросы дать практи­ чески невозможно, так как чрезвычайно трудно накопить реальную

статистику о таких событиях.

Организация (компания), подвергшаяся атаке нарушителя на собственную систему безопасности, должна либо весьма осторожно отразить этот инцидент в открытой печати, либо вообще отказаться от его огласки. Открытая публикация случившегося может подорвать до­ верие к ней покупателей или ее конкурентоспособность. Порой может быть легче, а значит и более выгодно, спокойно «проглотить» негатив­ ные последствия несанкционированных вторжений или сбоев.

Однако, несмотря на нежелание компаний раскрывать детали дискредитации их систем безопасности или реальные потери, в ре­ зультате анализа были получены некоторые оценки финансовых потерь в период второй половины 90-х гг. прошлого века, а именно:

оподделка КК - 5 млрд. $US ежегодно (во всем мире);

окража данных в режиме «оп-Нпе» - 10 млрд. $US ежегодно (только в США), включая воровство телефонных и КК, про­ граммных продуктов и конфиденциальной корпоративной информации;

окомпрометация защищаемой информации - в течение 19971998 гг. около 50% организаций, подвергшихся атакам в целях овладения конфиденциальной информацией, понесли серьез­ ные финансовые потери;

оинститутом компьютерной безопасности (Computer Security Institute - CSI, США) совместно с ФБР проведен анализ компь­ ютерного пиратства и установлено, что потери американских

Internet-компаний составили: в 1999 г. - $256 млн, в 2000 г. - $378 млн, в 2001 г. - $456 млн, в 2002 г. - $202 млн;

©в 2009 г. по данным ФБР мошенники украли через Интернетсеть $560 млн Чаще всего мошенники, чтобы получить доступ

кбазе данных пострадавших, представлялись сотрудниками ФБР. Общее количество финансовых правонарушений, со­ вершенных во всемирной «паутине», превысило 336 тыс. Б 2008 году их было чуть меньше - 275 тыс. Больше всего преступле­ ний было совершено с проведенными через Интернет-сеть предварительными платежами - 16,6% от общего количества. Второе место со значительным отставанием занимают инци­ денты, связанные с оплатой товаров и услуг -11,9% .

Удивительно, но факт - несмотря на падение издержек от ха­

керов, количество атак осталось практически неизменным, т.е. все научились минимизировать убытки, связанные с компьютерными преступлениями. На первом месте по исчисляемым убыткам для компаний стоит кража конфиденциальной информации (около $70 млн), на втором - отказ от обслуживания ($65,6 млн). Причем только половина из опрошенных компаний смогли оценить в денежном эквиваленте свои потери - так что указанные суммы вероятно надо умножать как минимум на два. Интересен и тот факт, что 45% оп­ рошенных рассказали об атаках изнутри организаций, 78% сочли большей угрозой Интернет, а 36% - своих собственных сотрудников, сидящих в локальной сети.

Несмотря на то, что никогда не возможно точно оценить веро­ ятный финансовый и коммерческий ущерб, нанесенный вследствие атак и сбоев в СЭЛП, приведенные факты со всей очевидностью де­ монстрируют, что благодушие в таких ситуациях недопустимо!

Риски, связанные с ЭК, могут быть значительно снижены толь­ ко путём использования соответствующих контрмер по защите биз­ неса и создания необходимых жестких правил ведения электронной коммерции. С точки зрения технологических перспектив неразре­ шимых проблем в этой сфере не существует. Вопросы информаци­ онной безопасности долгие годы исследовались правительствами многих государств, научными организациями и отдельными спе­ циалистами индустриального сектора экономики. И полученные ими решения большинства технических проблем вполне прозрачны для инженерно-технических работников. Однако до настоящего момента эти решения в области информационной безопасности чрезвычайно редко реализовывались на практике, за исключением, пожалуй, систем национальной безопасности и частных банковских электронных систем. Следовательно, все еще существует большое количество научных направлений в области информационной

безопасности в интересах решения широко спектра задач ЭК. Более того, развитие разнообразной легальной коммерческой деятельно­ сти и контроля за ней должно предусматривать создание специаль­ ных технологических контрмер по защите данных.

31.2.Бумажный и электронный документооборот

вбизнесе

Большое количество научных направлений в области распре­ деленной обработки и передачи информации вновь приобрели ог­ ромное значение во второй половине 80-х годов прошлого столетия. Например, достаточно крупные научные силы были направлены на определение точного соответствия между бумажным (БДО) и элек­ тронным документооборотом в бизнесе (и не только). Однако мно­ гие из полученных решений оказались неудачными.

Только в 1990-х гг. стали очевидными основные реализацион­ ные и правовые различия между традиционными бумажными тех­ нологиями документооборота и ЭДО. Подписанные бумажные до­ кументы имеют свойственные им атрибуты защиты, которые отсут­ ствуют в электронных документах. К таким атрибутам, позволяю­ щим обнаружить любую подделку или искажение бумажного доку­ мента, относятся:

•специальная типографская краска, которая наносится на цел­ лулоидные волокна бумаги;

оуникальность соответствующей процедуры печати (например, печатный (фирменный) бланк);

оводяные знаки;

обиометрические свойства подписи (в том числе, нажим на ручку, форма и стиль подписи);

ометки времени.

Рассмотренные атрибуты несвойственны для электронных до­

кументов. Электронные сообщения представляют собой, как прави­ ло, простую последовательность двоичных чисел или битов (единиц и нулей), которые представляют информацию в определенном ко­ довом формате (слова или числа). Появление единиц или нулей в сообщении случайно и зависит только от содержания самого сооб­ щения и правил его кодирования. Как и бумажные, электронные документы могут быть достаточно легко модифицированы, если не использовать специально разработанные способы защиты. В этой связи, для защиты электронных документов необходимо использо­ вать специальные дополнительные технологические средства, включающие средства физической и электронной защиты, которые

обеспечивают такой же уровень доверия, какой достигнут при ис­ пользовании атрибутов защиты в бумажных документах.

Более того, бумажные и электронные документы могут выпол­ нять совершенно разные функции в бизнесе и юриспруденции. Эти документы различаются между собой, в первую очередь, средой доставки, которая обеспечивает их уникальность и подлинность. Например, бумажный документ может обслуживать (сопровождать) доставку товаров или другого имущества, которое указано в нём. Получатель этого документа может удостовериться, что доставка будет признана законной. А в качестве доказательства этой доставки выступает оригинальный и подлинный бумажный документ.

С другой стороны, электронные сообщения не являются уни­ кальными. Действительно, одно из преимуществ цифровых данных в том, что они позволяют делать любое количество копий, причем последние не будут ничем отличаться от оригинала. Эта свойство (характеристика) электронных документов прямо противоречит свойству бумажных документов, которые специально защищены от копирования. Таким образом, специфические различия между бу­ мажными и электронными документами требуют и различных спо­ собов и процедур обработки для достижения необходимых коммер­ ческих свойств и обеспечения правомочных функций. Несмотря на то, что простой бумажный документ вполне достаточен для прове­ дения коммерческой операции (за счет наличия в нем фирменного заголовка и других атрибутов защиты), он может быть передан в форме последовательности криптографически защищенных элек­ тронных сообщений (совместно с методами физической защиты) для решения той же самой задачи, но к этому еще добавляется элек­ тронная цифровая регистрация заголовка бумажного документа.

На практике, в сфере ЭК существует несколько юридически корректных операций, аналогичных БДО. Однако невозможно БДО полностью отобразить в ЭДО. В тоже время, необходимо вести по­ иск реальных функциональных аналогов, учитывая уникальные свойства передачи дискретных сообщений.

31.3. Безопасность ЭК - надёжность ЭК

ЭК в форме ЭДО используется уже достаточно давно - с нача­ ла 80-х гг. прошлого века. Первоначально, ЭДО был предназначен в основном для обслуживания коммерческой деятельности индустри­ ального сектора экономики (автомобильная, фармацевтическая, пищевая и легкая промышленности). Б начальный период участни­ ки ЭДО уделяли внимание безопасности только с точки зрения кор­

ректности стоимости и цен, так как преимущества ЭК были мало заметны. К сожалению, очень часто правильные мысли приходят слишком поздно.

В 90-е гг. прошлого века наблюдался бурный прогресс в разви­ тии ЭК. Значимость обеспечения безопасности ЭК возрастала с ка­ тастрофической быстротой. Стремительное развитие электронного бизнеса требовало скорейшего решения проблем защиты коммер­ ческой информации и его правового обеспечения. К факторам, по­ влекшим за собой качественные изменения ЭК, относятся:

впрогресс мировой ИТИ. Мировая система электросвязи претерпела за последние десятилетия огромные качественные и количест­ венные изменения. Начиная с отдельных закрытых направлений связи между торговыми партнерами, она превратилась в гло­ бальную открытую информационно-технологическую инфра­ структуру (киберпространство), «стирающую» пространство и время. Эта инфраструктура представляет собой совокупность глобальных, национальных, региональных и частных сетей (ИТС), которые зачастую в своем развитии не подчиняются ни каким правилам, и в то же время - не защищены (например, Internet);

вбурный рост глобальной торговли. Современный бизнес требует глобализации коммерческой деятельности и соблюдения при этом необходимого уровня конфиденциальности. Вместе с тем, исходя из того, что потенциальные торговые партнеры могут находиться на диаметрально противоположных сторо­ нах земного шара, возникает большой соблазн для уклонения от законного разрешения конфликтных ситуаций и разногла­ сий, которые вероятнее всего могут завершиться в пользу про­ тивоположной стороны. Но за счёт использования современ­ ных методов защиты участники электронного бизнеса могут предъявить и надежно защитить неоспоримые доказательства проведенной ими торговой сделки. Когда участники сделки уверены в надежности этих методов, то при возникновении спорных ситуаций имеется реальная возможность для право­ вого разрешения проблем. Это особенно важно, когда прихо­ дится рассматривать мир электронной торговли как сферу полномочий, у которой могут отсутствовать ясные правовые границы, так как сообщения регулярно передаются через

промежуточные участки сетей, которые не входят в юрисдик­ цию ни одной из сторон торговой сделки. С другой стороны, электронный бизнес может стать самым урегулированным (с правовой стороны) видом коммерческой деятельности за счет использования центров сертификации и авторизации, ко­