Количество пользователей Интернета достигло несколько сот миллионов и появилось новое качество в виде «виртуальной экономики». В ней покупки совершаются через торговые сайты, с использованием новых моделей ведения бизнеса, своей стратегией маркетинга и пр.

Электронная коммерция (ЭК) – это предпринимательская деятельность по продаже товаров через Интернет. Как правило выделяются две формы ЭК:

торговля между предприятиями (business to business, B2B);

торговля между предприятиями и физическими лицами, т.е. потребителями (business to consumer, B2С).

ЭК породила такие новые понятия как:

Электронный магазин – витрина и торговые системы, которые используются производителями или дилерами при наличии спроса на товары.

Электронный каталог – с большим ассортиментом товаров от различных производителей.

Электронный аукцион – аналог классического аукциона с использованием Интернет-технологий, с характерной привязкой к мультимедийному интерфейсу, каналу доступа в Интернет и показом особенностей товара.

Электронный универмаг – аналог обычного универмага, где обычные фирмы выставляют свой товар, с эффективным товарным брендом (Гостиный двор, ГУМ и т.д.).

Виртуальные комъюнити (сообщества), в которых покупатели организуются по группам интересов (клубы болельщиков, ассоциации и т.д.).

Интернет в области ЭК приносит существенные выгоды:

экономия крупных частных компаний от перевода закупок сырья и комплектующих на Интернет-биржи достигает 25 - 30%;

участие в аукционе конкурирующих поставщиков со всего мира в реальном масштабе времени приводит к снижению запрограммированных ими за поставку товаров или услуг цен;

повышение цен за товары или услуги в результате конкуренции покупателей со всего мира;

экономия за счет сокращения числа необходимых сотрудников и объема бумажного делопроизводства.

Доминирующее положение в ЭК в западных странах стал сектор В2В, который к 2007 году по разным оценкам достигнет от 3 до 6 трлн. долларов.

Первыми получили преимущества от перевода своего бизнеса в Интернет компании, продающие аппаратно-программные средства и представляющие компьютерные и телекоммуникационные услуги.

Каждый интернет-магазин включает две основных составляющих: электронную витрину и торговую систему.

Электронная витрина содержит на Web-сайте информацию о продаваемых товарах, обеспечивает доступ к базе данных магазина, регистрирует покупателей, работает с электронной «корзиной» покупателя, оформляет заказы, собирает маркетинговую информацию, передает сведения в торговую систему.

Торговая система доставляет товар и оформляет платеж за него. Торговая система - это совокупность магазинов, владельцами которых являются разные фирмы, берущие в аренду место на Web-сервере, который принадлежит отдельной компании.

Технология функционирования интернет-магазина выглядит следующим образом:

Покупатель на электронной витрине с каталогом товаров и цен (Web-сайт) выбирает нужный товар и заполняет форму с личными данными (ФИО, почтовый и электронный адреса, предпочитаемый способ доставки и оплаты). Если происходит оплата через Интернет, то особое внимание уделяется информационной безопасности.

Передача оформленного товара в торговую систему интернет-магазина, где происходит комплектация заказа. Торговая система функционирует ручным или автоматизированным способом. Ручная система функционирует по принципу Посылторга, при невозможности приобретения и наладки автоматизированной системы, как правило, при незначительном объеме товаров.

Доставка и оплата товара. Доставка товара покупателю осуществляется одним из возможных способов:

курьером магазина в пределах города и окрестностей;

специализированной курьерской службой (в том числе из-за границы);

• самовывозом;

  по телекоммуникационным сетям доставляется такой специфический товар как информация.

Оплата товара может осуществляться следующими способами:

предварительной или в момент получения товара;

наличными курьеру или при визите в реальный магазин;

почтовым переводом;

банковским переводом;

наложенным платежом;

при помощи кредитных карт (VISA, MASTER CARD и др);

посредством электронных платежных систем через отдельные коммерческие банки (ТЕЛЕБАНК, ASSIST и др.).

В последнее время электронная коммерция или торговля посредством сети Интернет в мире развивается достаточно бурно. Естественно, что этот процесс осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.

Коммерческая деятельность в электронных сетях снимает некоторые физические ограничения. Компании, подключая свои компьютерные системы к Интернет, способны предоставить клиентам поддержку 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места.

Однако у этой «медали» есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.

Объем мирового оборота электронной коммерции через Интернет в 2006 году, по прогнозам компании Forrester Tech., может составить от 1,8 до,2 трлн. долл. Столь широкий диапазон прогноза определяется проблемой обеспечения экономической безопасности электронной коммерции. Если уровень безопасности сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность системы электронной коммерции является сдерживающим фактором развития электронного бизнеса.

Решение проблемы обеспечения экономической безопасности электронной коммерции в первую очередь связано с решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.

Интеграция бизнес-процессов в среду Интернет приводит к кардинальному изменению положения с обеспечением безопасности. Порождение прав и ответственности на основании электронного документа требует всесторонней защиты от всей совокупности угроз, как отправителя документа, так и его получателя.

К сожалению, руководители предприятий электронной коммерции в должной степени осознают серьезность информационных угроз и важность организации защиты своих ресурсов только после того, как последние подвергнуться информационным атакам. Как видно, все перечисленные препятствия относятся к сфере информационной безопасности.

Среди основных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны.

При достижении безопасности информации обеспечение ее доступности, конфиденциальности, целостности и юридической значимости являются базовыми задачами . Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.

Если первые четыре требования можно обеспечить техническими средствами, то выполнение двух последних зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.

В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронного бизнеса , которые включают: защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота; обеспечение долгосрочного хранения информации в электронном виде; обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.

Существует несколько видов угроз электронной коммерции:

Проникновение в систему извне.

Несанкционированный доступ внутри компании.

Преднамеренный перехват и чтение информации.

Преднамеренное нарушение данных или сетей.

Неправильная (с мошенническими целями) идентификация пользователя.

Взлом программно-аппаратной защиты.

Несанкционированный доступ пользователя из одной сети в другую.

Вирусные атаки.

Отказ в обслуживании.

Финансовое мошенничество.

Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование – кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.

Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом – это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.

Какие угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе :

подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;

создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);

перехват данных, передаваемых по сетям электронной коммерции;

проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;

реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.

В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

На первый взгляд, может показаться, что каждый подобный инцидент – не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак. Например, потоки запросов на сервер Buy превысили средние показатели в 24 раза, а предельные – в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.

Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

За рубежом решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.

Консорциум ISTF выделяет двенадцать областей информационной безопасности , на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса:

механизм объективного подтверждения идентифицирующей информации;

право на персональную, частную информацию;

определение событий безопасности;

защита корпоративного периметра;

определение атак;

контроль потенциально опасного содержимого;

контроль доступа;

администрирование;

реакция на события.

Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.

В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить – каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.

Безусловно, обеспечением информационной безопасности должны заниматься специалисты в данной области, но руководители органов государственной власти, предприятий и учреждений независимо от форм собственности, отвечающие за экономическую безопасность тех или иных хозяйственных субъектов, должны постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены основные функциональные компоненты организации комплексной системы информационной безопасности:

коммуникационные протоколы;

средства криптографии;

средства контроля доступа к рабочим местам из сетей общего пользования;

антивирусные комплексы;

программы обнаружения атак и аудита;

средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью – непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто. Напомним, что Интернет создавалась несколько десятилетий назад для научного обмена информацией не имеющей большой стоимости.

К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с передачей, обработкой и хранением конфиденциальной информации. Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.

Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным – например, таким, как номера кредитных карт.

Шифрование данных

На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол Secure Sockets Layer (SSL).

Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации. К общеизвестным коммерческим сертификационным организациям относятся: VerySign, CyberTrust, GTE.

SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных:

данные зашифрованы;

между сервером-источником и сервером назначения установлено защищенное соединение;

активирована аутентификация сервера.

Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола.

Программное обеспечение сервера Netscape обеспечивает также аутентификацию – сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута.

Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога.

Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут идентифицировать схемы или следы атак, генерировать аварийные сигналы для предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания.

Защита данных сайта

Для защиты данных сайта необходимо проанализировать данные, используемые сайтом, и определить политику безопасности. Эти данные могут представлять собой HTML-код, подробности о клиентах и продуктах, хранящиеся в базе данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно использовать при определении политики безопасности данных:

Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К чувствительным данным должно быть обеспечено минимальное число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение доступа в систему влияет на работу системы в целом.

Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ.

Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию общепринятой (и популярной) возможности обрабатывать сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте", хотя при этом можно создать новый пароль и высылать его в качестве альтернативы.

Чувствительная информация – такая, как номера кредитных карт – может храниться в базах данных и после шифрования. Расшифровывать ее каждый раз при возникновении такой необходимости могут только авторизованные пользователи и приложения. Однако это также влияет на скорость работы системы в целом.

Можно защитить данные сайта и с помощью компонент среднего яруса. Эти компоненты могут быть запрограммированы для аутентификации пользователей, разрешая доступ к базе данных и ее компонентам только авторизованным пользователям и защищая их от внешних угроз.

Можно реализовать дополнительные функции безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQL Server.

Заметьте, что не менее важно защищать и резервные копии, содержащие информацию о потребителях.

Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения или повреждения данных, следить за появлением которых в состоянии только профессиональные организации, специализирующиеся на информационной безопасности.

Интеграция коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс в области безопасности информации во многом определяет развитие процесса электронной коммерции.

В России развитие электронной коммерции сдерживается:

Отсутствием или слабым развитием инфраструктуры ЭК, в частности, надежной и повсеместной инфраструктуры доставки товара покупателю (курьерские службы и т.п.), особенно через «электронный магазин», находящийся в другом городе.

Отставанием государственной правоприменительной практики и, как следствие, отсутствие или слабые гарантии исполнения сделок, заключенных в электронной форме.

Наличием объективных и субъективных предпосылок для развития мошенничества, связанных с использованием Интернета для коммерции.

Слабой маркетинговой проработкой проектов ЭК.

Трудностями в отплате товаров, в частности, отсутствие доверия населения к коммерческим банкам.

Низкий уровень доходов большинства населения России делает деньги более весомым богатством, чем время, поэтому многие Россияне не согласны оплачивать наряду со стоимостью товара расходы на его доставку, и предпочитают делать покупки в обычных магазинах. Поэтому ЭК может широко распространиться в России только после существенного улучшения экономической обстановки в стране.

В эпоху бурного развития электронной коммерции и торговли в интернете, при участии соответствующих организаций, встает особо остро вопрос её безопасности.

Серьезную угрозу представляют собой компьютерные преступления, которые связанны с проникновением криминальных элементов в системы и сети кредитных организаций и банков для нормального функционирования экономики в целом. Этот тезис касается и электронной коммерции.

Проблема обеспечения безопасности для коммерческой информации в электронном бизнесе объемны, а методы и технологии насыщены, что это могло бы стать программой для специализированных конференций. Информационно технологии являются одним из главнейших факторов влияния на формирование современного общества.

Уровни безопасности

Безопасность электронной коммерции напрямую зависит от разработки соответствующих законодательных актов и иных нормативно-технических документов. Критерии оценки коммерческой безопасности в сфере IT занимают здесь особое место. Только стандартизация позволит провести сравнительный анализ и дать оценку.

Меры безопасности для эффективной защиты коммерции в интернете должны внедряться на четырех уровнях:

• законодательный;
• административный;
• процедурный;
• программно-технический.

На современном этапе развития экономики национальная нормативно-правовая база должна согласовываться с международной практикой. Назревает необходимость приведения национальных стандартов и сертификационных нормативов в соответствие с международным уровнем развития информационных технологий, а также с действенными критериями оценки, дабы обеспечить безопасность электронной коммерции.

Мошенничество в Интернете.

К сожалению, в Интернете высокие показатели уровня мошенничества являются сдерживающим фактором развития всей электронной коммерции. Потребители, торговля и коммерческие организации боятся использовать эту технологию из-за риска финансовых потерь. Интернет используется главным образом в качестве канала для получения информации. Лишь около 2% поисков по каталогам и базам данных Интернета заканчивается покупкой.

Существует множество типов мошенничества, от которых страдает безопасность электронной коммерции. Основные типы приведены ниже.

Транзакции и безналичный расчет. Выполненные мошенниками транзакции с использованием реквизитов карточки, передают им настоящие данные о карте и грозят полным опустошением счета без получения желаемых услуг или товаров.

Базы данных и личная переписка. Получение информации о клиенте через взлом баз данных торговых предприятий или путем несанкционированного доступа к личной переписке покупателя, содержащей его персональные данные.

Магазины-однодневки. Интернет-магазины, возникающие на непродолжительный период, созданные для получения средств от покупателей за несуществующие товары или услуги.

Ложная стоимость и повторные списания. Увеличение стоимости товаров по отношению к заявленной покупателю цене и повторные списания средств со счетов клиента.

Магазины-шпионы. Интернет-магазины и торговые агенты, предназначенные для сбора данных о реквизитах пластиковых карт и другой личной информации о клиенте.

Таким образом, безопасность электронной коммерции, как для клиентов, так и для организаций, является основной проблемой, сдерживающей развитие электронной коммерции в интернете.

Материал не является исчерпывающим и предоставлен лишь для ознакомления с основными проблемами, существующими в данной сфере. Для получения подробной информации о сотрудничестве обратитесь к нашим менеджерам по указанному ниже телефону.

Безопасность электронной коммерции

Безопасность на сегодняшний день является ключевым вопросом при внедрении и использовании систем электронной коммерции (ЭК). Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций.

Пользователи и специалисты до сих пор не рассматривают Интернет как безопасную среду. Опросы показывают, что наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. По данным разработчиков платежной системы VISA около 23% транзакций ЭК так и не производится из-за боязни клиента ввести собственную персональную информацию при работе, например, с электронным магазином персональную информацию о клиенте. Анализ литературных источников показывает, что для обеспечения необходимо выполнить следующие три условия:

Исключить возможность перехвата персональной или банковской информации во время транзакции;

Исключить возможность извлечения этой информации из баз данных;

Исключить возможность использовать "украденную" информацию в собственных целях.

Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные криптоалгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.

Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.

При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.

Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым.

Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

Эффективность электронной коммерции

В настоящее время используется множество разнообразных систем электронного бизнеса. Это вызывает проблемы при выборе системы ЭК для решения конкретной задачи, стоящей перед пользователем. Предлагается использовать метод анализа иерархий для оценки параметров, по которым сравниваются системы ЭК.

Эффективность систем ЭК обозначает меру соответствия используемых в ней технологий, приемов и правил коммерческим потребностям ее субъектов.

Сейчас многие методики оценки эффективности Interntet-проектов, к которым относятся и системы ЭК, базируются на таких показателях работы, как частота посещаемости сайта и время, которое проводит посетитель на сайте. Например, для электронного магазина важным фактором оценки эффективности его функционирования является количество посетителей.

Существуют такие направления оценки эффективности систем ЭК:

экономическое;

организационное;

маркетинговое.

Эти три направления взаимосвязаны.

Экономическая эффективность может быть определена как отношение прибыли P, полученной вследствие применения системы, к затратам Z, связанным с ее разработкой и эксплуатацией: . Затраты при этом определяются как сумма капитальных вложений в проектирование, приобретение компонент и реализацию системы и эксплуатационных затрат. Но получить эти оценки можно только после внедрения системы. Пользователю же необходимо иметь средства выбора системы для реализации конкретной задачи, стоящей перед ним.

Чтобы сравнивать системы ЭК, можно использовать методы, применяемые для анализа открытых систем, которые предоставляют средства выявления приоритетов лица, принимающего решение (ЛПР), и измерения интенсивности взаимодействия компонент, описывающих структуру системы иерархии.

В результате изучения материала данной главы студент должен: знать

• правовые основы информационной безопасности;
• стандарты безопасности платежей пластиковыми картами;
• правила работы с электронными счетами-фактурами; уметь
• произвести безопасный платеж с использованием пластиковой карты;
• осуществлять безопасные покупки с использованием пластиковых карт; владеть
• знаниями по современным информационным атакам и классификации АРТ- атак;
• знаниями по повышению безопасности ЭДО и электронных платежей.

Безопасность предприятий электронной коммерции

Под безопасностью предприятия ЭК понимают состояние защищенности его от внешних и внутренних угроз. Понятие безопасности предприятия включает:

• правовую защиту безопасности;
• защиту персональных данных;
• физическую безопасность;
• экономическую и финансовую безопасность;
• информационную безопасность.

Наиболее распространенными киберпреступлениями в 2014 г. и начале 2015 г. были целенаправленные атаки на информационные системы предприятий (APT - advanced persistent threat), попытки использования уязвимостей в приложениях с открытым кодом, динамические техники обхода защиты (АЕТ - advanced evasion techniques), угрозы в финансовой сфере, сфере мобильных платежей, дистанционном банковском обслуживании, онлайн-банкинге. К вредоносному банковскому ПО относятся банкеры, клавиатурные шпионы, программы для кражи виртуальных кошельков. Банкер (bankers) - особый вид системных ставок в букмекерских конторах, где выбирается одно (или несколько) событий с предполагаемым успешным исходом. В 2014 г. экспертами зафиксировано 16 млн заражений Windows-компьютеров вредоносным банковским ПО, обнаружено 12 тыс. мобильных банковских троянцев.

К угрозам физической безопасности относятся посягательства на жизнь и личные интересы сотрудников предприятия, такие действия в отношении сотрудников предприятия, как психологический террор, запугивание, вымогательства, грабеж с целью завладения материальными ценностями или документами, похищение сотрудников, угроза жизни, кражи, а также пожар и стихийные бедствия.

К экономической и финансовой безопасности относятся защита экономических и финансовых интересов предприятия и субъектов предприятия. Угрозами экономической и финансовой безопасности являются неплатежеспособность предприятия, компрометация и подрыв доверия к предприятию, использование фальшивых документов, утечка коммерческой информации, подделка финансовых документов для получения кредита, нарушение сроков платежей, разглашение конфиденциальной финансовой информации, условий предоставления кредитов, подделка товаров и их торговых марок и др.

Правовая защита достигается путем соблюдения каждым субъектом электронной торговли законодательства РФ, нормативных и правовых актов, соглашений сторон электронных сделок, прав и обязанностей в соответствии с правовым статусом субъекта, прав и обязательств по порядку оформления электронной сделки. Участниками электронных сделок являются субъекты и посредники электронной торговли. Они обязаны предпринимать действия по снижению рисков, предотвращению угроз и конфликтов в процессах электронной торговли. Для этого им следует использовать средства профилактики и предупреждения правонарушений, мониторинг правового обеспечения своей деятельности. В модельном Законе "Об электронной торговле", принятом Постановлением Межпарламентской Ассамблеи государств - участников СНГ № 31-12 от 2008 г. прописаны основные мероприятия по обеспечению безопасности электронной торговли.

При ведении ЭК важно соблюдение положений Федерального закона от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне". Закон дает следующее определение: "Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду".

В соответствии с п. 2 ст. 3 Закона "О коммерческой тайне", информация, составляющая коммерческую тайну - это сведения любого характера, которые имеют действительную или потенциальную коммерческую ценность. Она неизвестна третьим лицам на законном основании либо к ней обладателем сведений введен режим коммерческой тайны. Информация может носить производственный, технический, экономический, организационный и другой характер. Статья 15 ч. 1 ГК РФ, предусматривает возмещение убытков, нанесенных нарушением режима коммерческой тайны. Под убытками понимаются расходы, необходимые для восстановления нарушенного права. Их несет лицо, чьи права были нарушены.

Для обеспечения режима сохранности коммерческой тайны на предприятии работодатель обязан издать "Положение об использовании корпоративной электронной почты" и "Приказ о вводе режима коммерческой тайны". В приказе оговаривается информация, которая на данном предприятии представляет коммерческую тайну. Положение и Приказ доводятся до сведения всех сотрудников предприятия под личную подпись. Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты этой информации. Также он может применять другие, не противоречащие законодательству РФ, меры защиты. Это следует из ст. 34 п. 1 Конституции РФ.

Примечание. Соблюдение положений Закона "О коммерческой тайне" необходимо студентам, проходящим производственную практику на государственных или коммерческих предприятиях. Сведения, помещаемые в отчеты о прохождении практики и выпускные квалификационные работы, не должны раскрывать коммерческую тайну этих предприятий.

Введение ……………………………………………………… ………………..…3
1.Электронная коммерция и история ее развития…………………….............. ..5
1.1. История электронной коммерции…………………………………………...6
2. Безопасность электронной коммерции………………………………………..8
2.1. Риски и угрозы……………………………………………………….…… ...11
Заключение…………………………………………………… ………………….17
Список использованной литературы…………………………………………... 20

Введение

Глобальная сеть Internet сделала электронную коммерцию доступной для фирм любого масштаба. Если раньше организация электронного обмена данными требовала заметных вложений в коммуникационную инфраструктуру и была по плечу лишь крупным компаниям, то использование Internet позволяет сегодня вступить в ряды "электронных торговцев" и небольшим фирмам. Электронная витрина в World Wide Web дает любой компании возможность привлекать клиентов со всего мира. Подобный on-line бизнес формирует новый канал для сбыта - "виртуальный", почти не требующий материальных вложений. Если информация, услуги или продукция (например, программное обеспечение) могут быть поставлены через Web, то весь процесс продажи (включая оплату) может происходить в on-line режиме.
Под определение электронной коммерции подпадают не только системы, ориентированные на Internet, но также и "электронные магазины", использующие иные коммуникационные среды - BBS, VAN и т.д. В то же время процедуры продаж, инициированных информацией из WWW, но использующих для обмена данными факс, телефон и пр., могут быть лишь частично отнесены к классу электронной коммерции. Отметим также, что, несмотря на то, что WWW является технологической базой электронной коммерции, в ряде систем используются и другие коммуникационные возможности. Так, запросы к продавцу для уточнения параметров товара или для оформления заказа могут быть посланы и через электронную почту.
На сегодняшний день доминирующим платежным средством при on-line покупках являются кредитные карточки. Однако на сцену выходят и новые платежные инструменты: смарт-карты, цифровые деньги (digital cash), микроплатежи и электронные чеки.
Электронная коммерция включает в себя не только on-line транзакции. В область, охватываемую этим понятием, необходимо включить и такие виды деятельности, как проведение маркетинговых исследований, определение возможностей и партнеров, поддержка связей с поставщиками и потребителями, организация документооборота и пр. Таким образом, электронная коммерция является комплексным понятием и включает в себя электронный обмен данными как одну из составляющих.

Электронная коммерция и история ее развития

Первые системы электронной коммерции появились в 1960 –х годах в США. Они применялись в транспортных компаниях для обмена данными между различными службами при подготовке рейсов и для заказа билетов.
Первоначально такая коммерция велась с использованием сетей, не входящих в сеть Интернет, по специальным стандартам электронного обмена данными между организациями.
К концу 1960-х годов в США существовало четыре индустриальных стандарта для обмена данными в различных транспортных компаниях. Для объединения этих стандартов в 1968 г. был создан специальный Комитет согласования транспортных данных. результаты работы легли в основу нового EDI- стандарта.
В 1970-е годы аналогичные события происходили в Англии. В этой стране главной областью применения EDI был не транспорт, а торговля. Выбранный здесь набор спецификаций Tradacoms был принят Европейской экономической комиссией ООН в качестве стандарта обмена данными в международных торговых организациях.
В 1980-х годах начались работы по объединению европейских и американских стандартов. В результате этой работы на 42-й сессии Рабочей группы по упрощению процедур международной торговли в сентябре 1996 г. была принята Рекомендация № 25 «Использование стандарта Организации Объединенных Нации для электронного обмена данными в управлении, торговле и на транспорте».
Таким образом. В начале 1990-х годов появился стандарт EDI-FACT, принятый ISO (ISO 9735).
Но окончательное слияние американского и европейского стандартов не произошло. Для электронного обмена данными появилась новая, более перспективная возможность – обмен данными через Интернет.
Развитие интернета с его низкой себестоимостью передачи данных сделало актуальной модернизацию EDI систем. В результате в середине 1990 годов был разработан еще один стандарт – EDIFACT over Internet (EDIINT), описывающий как передавать EDI – транзакцию посредством протоколов безопасной электронной почты SMTP/S-MIME.
Для возникновения и роста популярности электронной коммерции существует ряд демографических и технологических предпосылок, таких, как:
а) широко распространенный доступ к информационным технологиям, в частности компьютерам и интернету;
б) повышение уровня образования общества и, следовательно, более свободное обращение с технологиями;
в) технический прогресс и цифровая революция сделали возможным взаимодействие между собой многих цифровых устройств, например компьютера, мобильного телефона, и другое;
г) глобализация, открытая экономика, конкуренция в глобальном масштабе;
д) доступность электронной коммерции для кого угодно, в какое угодно время, и в каком угодно месте.
е) стремление к экономии времени;
ж) рост ассортимента товаров и услуг, возрастание спроса на специальные товары и услуги.

Безопасность электронной комме рции.

симметричные, в которых один и тот же ключ, известный обеим сторонам, используется и для шифрования, и для дешифрования информации;
асимметричные, в которых используется два ключа, один – для шифрования, второй для дешифрования. Один из таких ключей является закрытым (секретным), второй открытым (общедоступным).

Риски и угрозы

Взломщики
Наиболее популяризованная угроза электронной коммерции исходит от компьютерных злоумышленников - взломщиков. Любое предприятие подвержено угрозе нападения преступников, крупные же предприятия электронной коммерции привлекают внимание компьютерных взломщиков разного уровня квалификации.
Причины этого внимания различны. В одних случаях это просто "чисто спортивный интерес", в других желание навредить, похитить деньги или бесплатно приобрести товар или услугу.
Безопасность сайта обеспечивается сочетанием следующих мер:
Резервное копирование важной информации.
Кадровая политика, позволяющая привлекать к работе только добросовестных людей и стимулировать добросовестность персонала. Наиболее опасные попытки взлома, исходящие изнутри компании.
Использование программного обеспечения с возможностями защиты данных и своевременное его обновление.
Обучение персонала идентификации целей и распознанию слабых мест системы.
Аудит и ведение журналов с целью обнаружения успешных и неудачных попыток взлома.
Как правило, взлом удается по причине легко угадываемого пароля, распространенных ошибок в конфигурации и несвоевременного обновления версий программного обеспечения. Для защиты от неслишком изощренного взломщика достаточно принятия относительно простых мер. На крайний случай, всегда должна иметься резервная копия критичных данных.

Невозможность привлечения компаньонов
Хотя атаки взломщиков вызывают наибольшие опасения, однако большинство неудач в области электронной коммерции все же связано с традиционными экономическими факторами. Создание и маркетинг крупного сайта электронной коммерции требует немалых средств. Компании предпочитают краткосрочные инвестиции, предлагая немедленный рост числа клиентов и доходов после утверждения торговой марки на рынке.
Крах электронной коммерции привел к разорению множество компаний, которые специализировались только на ней.

Отказы оборудования
Совершенно очевидно, что отказ важной части одного из компьютеров компании, деятельность которой сосредоточена в веб, может нанасти ей существенный ущерб.
Защита от простоя сайтов, работающих под высокой нагрузкой или выполняющих важные функции, обеспечивается дублированием, благодаря чему выход из строя любого компонента не сказывается на функциональность всей системы. Однако и здесь необходимо оценить потери от возможных простоев в сравнении с расходами на приобретение дополнительного оборудования.
Множество компьютеров, на которых выполняются Apache, PHP и MySQL, относительно просты в настройке. Кроме того, механизм репликации MySQL позволяет выполнять общую синхронизацию информации в базах данных. Тем не менее, большое число компьютеров означает и большие затраты на поддержание оборудования, сетевой инфраструктуры и хостинга.
Сбои питания, коммуникационных линий, сети и службы доставки
Зависимость от Интернет означает зависимость от множества взаимосвязанных поставщиков услуг, поэтому, если связь с остальным миром вдруг обрывается, не остается ничего иного, как ждать ее восстановления. Это же относится к перебоям в электропитании и забастовками или иными перебоям в электропитании и забастовками или иным перебоям в работе компании, занимающейся доставкой.
Располагая достаточным бюджетом, можно иметь дело с несколькими поставщиками услуг. Это влечет дополнительные расходы, однако обеспечивает бесперебойность работы в условиях отказа одного из них. От крайних перебоев в электропитании можно защищаться установкой источников бесперебойного питания.

Интенсивная конкуренция
В случае открытия киоска на улице оценка конкурентной среды не составляет особого труда - конкурентами будут все, кто торгует тем же товаром в пределах видимости. В случае электронной коммерции ситуация несколько сложнее.
В зависимости от расходов на доставку, а также учитывая колебания курсов валют и различий в стоимости рабочей силы, конкуренты могут располагаться где угодно. Интернет - в высшей степени конкурентная и активно развивающаяся среда. В популярных отраслях бизнеса новые конкуренты возникают почти ежедневно.
Риск, связанный с конкуренцией, с трудом поддается оценке. Здесь наиболее верная стратегия - поддержка современного уровня технологии.

Ошибки программного обеспечения
Когда коммерческая деятельность зависит от программного обеспечения, она уязвима к ошибкам в этом программном обеспечении.

Вероятность критических сбоев можно свести к минимуму за счет установки надежного программного обеспечения, nxfntkmyjuj тестирования после каждого случая замены неисправного оборудования и применения формальных процедур тестирования. Очень важно сопровождать тщательным тестированием любые нововведения в систему.
Для уменьшения вреда, наносимого сбоями программного обеспечения, следует своевременно создавать резервные копии всех данных. При внесении каких-либо изменений необходимо сохранить преждние конфигурации программ. Для быстрого обнаружения возможных неисправностей требуется вести постоянный мониторинг системы.

Изменения в политике налогообложения
Во многих странах деятельность в сфере электронного бизнеса не определена, либо недостаточно определена законодательно. Однако такое положение не может сохраняться вечно, и урегулирование вопроса приведет к возникновению ряда проблем, способных повлечь закрытие некоторых предприятий. К тому же всегда существует опасность повышения налогов.
Этих проблем избежать невозможно. В этой ситуации единственной разумной линией поведения будет внимательное отслеживание ситуации и приведение деятельности предприятия в соответствии с законодательством. Следует также изучить возможность лоббирования собственных интересов.

Ограниченная пропускная способность системы
На этапе проектирования системы обязательно следует просмотреть возможность ее роста. Успех неразрывно связан с нагрузками, поэтому система должна пускать наращивание оборудования.
Ограниченного роста производительности можно достичь заменой оборудования, однако скорость даже самого совершенного компьютера имеет предел, поэтому в программном обеспечении должна быть предусмотрена возможность при достижении указанного предела распределять нагрузку по нескольким системам. Например, система управления базами данных должна обеспечить одновременную обработку запросов от нескольких машин.
Наращивание системы не проходит безболезненно, однако своевременное его планирование на этапе разработки позволяет предвидеть многие неприятности, связанные с увеличением количества клиентов, и заранее их предупреждать.

Заключение
Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объёму информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьёзных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.
Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:
Могут ли хакеры разрушить внутренние системы?
Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при её передаче по Интернету?
Можно ли помешать работе организации?
Всё это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении лёгкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.
Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.
Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.
Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.
Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьёзных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.
Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищённая сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:
Лёгкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.
Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищёнными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.
Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Список использованной литературы
1. Материалы с сервера информационных технологий-http://www. citforum.ru
2. Что такое электронная коммерция? В. Завалеев, Центр Информационных Технологий. http://www.citforum.ru/ marketing/articles/art_1.shtml
3. http://www.proms.ru/book- wicommerce_theory.html
4. Кантарович А.А., Царев В.В. Учебники для вузов: Электронная коммерция 2002 г. , 320 Стр.