РИСКИ И УГРОЗЫВ ЭЛЕКТРОННОЙ КОММЕРЦИИ
Тема 5 Безопасность ЭК
1. Виды и источники угроз системам электронной коммерции
2. Принципы создания и методика построения системы безопасности электронной коммерции
3. Риски в электронной коммерции
1. ВИДЫ И ИСТОЧНИКИ УГРОЗ СИСТЕМАМ ЭЛЕКТРОННОЙ КОММЕРЦИИ
Рассмотрим некоторые термины и определения.
Понятие «безопасность»в русском языке трактуется как состояние, при котором отсутствует опасность, есть защита от нее.
В этом смысле оно характеризует определенное состояние какой-либо системы (социальной, технической или любой другой), процесса или явления.
Таким образом «безопасность»- это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.
«Угроза»согласно толковому словарю русского языка определяется как непосредственная опасность. Опасность носит общий, потенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно.
Одним из принятых определений является следующее:
Угроза безопасности– это совокупность условий и факторов, создающих опасность жизненно важным интересам, то есть угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов). С юридической точки зрения, понятие«угроза»определяется как намерение нанести зло (ущерб).
Таким образом, угрозу безопасности можно обозначить как «деятельность, которая рассматривается в качестве враждебной по отношению к интересам».
|
|
При всем многообразии видов угроз все они взаимосвязаны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности.
Обеспечение безопасности– это особым образом организованная деятельность, направленная на сохранение внутренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существующим видам угроз.
Система безопасностипредназначена для выявления угроз интересам, поддержания в готовности сил и средств обеспечения безопасности, и управления ими, организации нормального функционирования объектов безопасности.
Применительно к электронной коммерции определение безопасности можно сформулировать так.
Безопасность электронной коммерции– это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь.
Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей.
|
|
Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности.
Рыночные отношения с их неотъемлемой частью – конкуренцией основаны на принципе «выживания» и поэтому обязательно требуют обеспечения защиты от угроз.
По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются:
- человек;
- информация;
- материальные ценности.
Опираясь на понятие безопасности и перечисленные выше объекты защиты, можно сказать, что понятие «безопасность» любого предприятия или организации включает в себя следующие составляющие:
- Физическую безопасность, под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников.
- Экономическую безопасность, под которой понимается защита экономических интересов субъектов отношений. В рамках экономической безопасности также рассматриваются вопросы обеспечения защиты материальных ценностей от пожара, стихийных бедствий, краж и других посягательств.
|
|
- Информационную безопасность, под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования.
Повседневная практика показывает, что к основным угрозам физической безопасности относят:
- психологический террор, запугивание, вымогательство, шантаж;
- грабеж с целью завладения материальными ценностями или документами;
- похищение сотрудников фирмы или членов их семей;
- убийство сотрудника фирмы.
В настоящее время ни один человек не может чувствовать себя в безопасности. Не затрагивая специфических вопросов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предварительно собирают информацию о жертве, изучают ее «слабые места». Без необходимой информации об объекте нападения степень риска для преступников значительно увеличивается. Поэтому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотрудниках фирмы, которой преступники могут воспользоваться для подготовки преступления.
В общем случае можно сформулировать следующие виды угроз экономической безопасности:
|
|
- общая неплатежеспособность;
- утрата средств по операциям с фальшивыми документами;
- подрыв доверия к фирме.
Практика показывает, что наличие этих угроз обусловлено в первую очередь следующими основными причинами:
- утечкой, уничтожением или модификацией (например, искажением) коммерческой информации;
- отсутствием полной и объективной информации о сотрудниках, партнерах и клиентах фирмы;
- распространением конкурентами необъективной, компрометирующей фирму информацией.
Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности фирмы. Как считают западные специалисты, утечка 20% коммерческой информации в 60-ти случаях из ста приводит к банкротству фирмы.
Поэтому физическая, экономическая и информационная безопасности очень тесно взаимосвязаны.
Основной объект информационной безопасности – коммерческая информация– имеет разные формы представления, может быть:
- информацией, переданной устно;
- документированной информацией, зафиксированной на различных носителях (бумаге, дискете и т.п.);
- информацией, передаваемой по различным линиям связи или компьютерным сетям.
Злоумышленниками в информационной сфере используются различные методы добывания информации. Сюда входят:
- классические методы шпионажа (шантаж, подкуп и т.д.);
- методы промышленного шпионажа;
- несанкционированное использование средств вычислительной техники;
- аналитические методы.
Поэтому спектр угроз информационной безопасности чрезвычайно широк.
Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.
С помощью технических средств промышленного шпионажа не только различными способами подслушивают и подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Это породило новый вид преступлений - компьютерные преступления, то есть несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.
Противостоять компьютерной преступности сложно, что главным образом объясняется:
- новизной и сложностью проблемы;
- сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
- возможностью выполнения преступления с использованием средств удаленного доступа, то есть злоумышленника может вообще не быть на месте преступления;
- трудностями сбора и юридического оформления доказательств компьютерного преступления.
РИСКИ И УГРОЗЫВ ЭЛЕКТРОННОЙ КОММЕРЦИИ
В условиях рыночной экономики риск – ключевой элемент предпринимательства. Характерные особенности риска – неопределенность, неожиданность, неуверенность, предположение, что успех придет.
Виды:
- случайные
- преднамеренные
В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении.
Электронная коммерция подвержена рискам в той же, а может и большей мере, что и коммерция в ее традиционном понимании. Наряду с «классическими» присутствуют и новые специфические риски, среди которых можно выделить три группы угроз:
- вирусы и вредоносные программы;
- хакерские атаки;
- мошенничества с использованием различных средств передачи данных.
Целью написания вирусов и вредоносных программ, как правило, служит приостановка либо полное отключение аппаратных и программных возможностей объекта атаки, а также получение конфиденциальных сведений о субъекте, будь то физическое или юридическое лицо.
Первыми объектами интереса вирусоописателей стали данные, необходимые для доступа в сеть Интернет за счет других пользователей. Специальные программы различными путями заносились в компьютер пользователя-жертвы, отслеживали имена и пароли, необходимые для доступа во всемирную паутину, а затем передавали эти данные своим создателям.
Следующим этапом стало незаконное выяснение личных данных о банковских счетах жертв.
Кроме выяснения конфиденциальных данных, зачастую программы вирусы предназначены для блокирования сетевого ресурса жертвы. В качестве примера здесь можно привести приостановку работы Интернет-магазина какой-либо компании компанией-конкурентом.
В качестве превентивной меры в борьбе с вирусами можно использовать специальные антивирусные программы, причем самые свежие и обновленные версии.
Кроме этого, в борьбе с вредоносными программами хорошим подспорьем является внимательность пользователя к источникам, из которых информация попадает на его компьютер, а также общая компьютерная грамотность.
Взлом хакерами программного обеспечения и сетевых ресурсов в настоящее время превратился в мощное орудие недобросовестной конкуренции. Взламываются абсолютно все:
- сайты Интернет-магазинов;
- сайты провайдеров услуг Интернета;
- закрытые разделы на платных сайтах;
- сайты государственных учреждений.
Стопроцентной защиты от хакеров, как впрочем и от вирусов, нет и быть не может. Это обусловлено тем, что абсолютно все дыры в программном обеспечении заделать невозможно, хакеры постоянно ищут новые уязвимости, а когда находят – производят атаку.
Для защиты от хакерских атак на сегодняшний день существуют специальные программы и сетевые экраны, надежно закрывающие доступ неавторизованным пользователям.
Количество разнообразных видов мошенничества, создаваемых людьми для отъема денег у себе подобных, постоянно растет. Еще более бурный рост вызвало повсеместное развитие новых информационно-коммуникационных технологий, позволяющих криминальным элементам быстро и практически анонимно осуществлять свою противоправную деятельность.
Можно выделить следующие виды мошенничества:
- связанные с использованием номеров кредитных карт;
- связанные с использованием копий легальных сайтов;
- связанные с использованием фиктивных торговых площадок;
- связанные с инвестициями и возможностью заработать;
- связанные с несовершенством платежных систем.
Мошенничество в Интернете.
К сожалению, в Интернете высокие показатели уровня мошенничества являются сдерживающим фактором развития всей электронной коммерции. Потребители, торговля и коммерческие организации боятся использовать эту технологию из-за риска финансовых потерь. Интернет используется главным образом в качестве канала для получения информации. Лишь около 2% поисков по каталогам и базам данных Интернета заканчивается покупкой.
Существует множество типов мошенничества, от которых страдает безопасность электронной коммерции. Основные типы приведены ниже.
Транзакции и безналичный расчет. Выполненные мошенниками транзакции с использованием реквизитов карточки, передают им настоящие данные о карте и грозят полным опустошением счета без получения желаемых услуг или товаров.
Базы данных и личная переписка. Получение информации о клиенте через взлом баз данных торговых предприятий или путем несанкционированного доступа к личной переписке покупателя, содержащей его персональные данные.
Магазины-однодневки. Интернет-магазины, возникающие на непродолжительный период, созданные для получения средств от покупателей за несуществующие товары или услуги.
Ложная стоимость и повторные списания. Увеличение стоимости товаров по отношению к заявленной покупателю цене и повторные списания средств со счетов клиента.
Магазины-шпионы. Интернет-магазины и торговые агенты, предназначенные для сбора данных о реквизитах пластиковых карт и другой личной информации о клиенте.
Таким образом, безопасность электронной коммерции, как для клиентов, так и для организаций, является основной проблемой, сдерживающей развитие электронной коммерции в интернете.
Вышеуказанное деление в большой мере условно, поскольку существуют мошенничества, затрагивающие если не все, то многие из обозначенных элементов, и провести четкую грань, к какому же из видов мошенничеств относится то или иное, представляется трудноосуществимым.
3. МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Безопасность электронной коммерции напрямую зависит от разработки соответствующих законодательных актов и иных нормативно-технических документов. Критерии оценки коммерческой безопасности в сфере IT занимают здесь особое место. Только стандартизация позволит провести сравнительный анализ и дать оценку.
Меры безопасности для эффективной защиты коммерции в интернете должны внедряться на четырех уровнях:
· законодательный;
· административный;
· процедурный;
· программно-технический.
На современном этапе развития экономики национальная нормативно-правовая база должна согласовываться с международной практикой. Назревает необходимость приведения национальных стандартов и сертификационных нормативов в соответствие с международным уровнем развития информационных технологий, а также с действенными критериями оценки, дабы обеспечить безопасность электронной коммерции.
Современные методы защиты информации основываются на следующих подходах:
Системный подход к построению систем защиты, предполагающий оптимальное сочетание программных, организационных, физических и аппаратных свойств, применяемых на всех этапах обработки информации.
Принцип постоянного совершенствования системы. Современная защита информации предполагает постоянное совершенствование системы в соответствии с ростом рисков утечки информации. Данный процесс непрерывен и заключается в реализации современных методов и путей совершенствования систем информационной безопасности, постоянном контроле, выявлении её слабых мест и потенциальных каналов утечки информации. Непрерывное совершенствование систем обусловлено появлением новых способов доступа к информации извне.
Обеспечение надежности систем информационной защиты, т. е. контроль уровня надежности при отказе системы, возникновении сбоев, взломе и ошибках.
Контроль функционирования системы защиты. Непрерывное совершенствование средств и методов контроля над работоспособностью механизмов защиты.
Совершенствование методов борьбы с вредоносными программами и вирусами.
Оптимизация затрат на создание и эксплуатация систем контроля, выражающаяся в экономической целесообразности применения систем информационной безопасности.
Дата добавления: 2021-03-18; просмотров: 613; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!