Безопасность межбанковских операций

Рис.2.Построение информационной защиты подсистемы “Интернет-клиент”  системы ДБО БСС

            Здесь собственную защиту HTTP-трафика  (шифрование, аутентификацию и авторизацию), а также взаимодействие с внешними  средствами защиты выполняет  блок BS-Defender, реализованный в виде симметричных прокси-серверов, в функции которого дополнительно входят протоколирование всего трафика, прошедшего по системе, и сжатие (распаковка) сообщений, проходящих по системе. Это позволяет сделать необязательным использование SSL-протокола. В принципе возможно использование функциональности BS-Defender и для формирования ЭЦП документов. BS-Defender имеет возможность подключать для шифрования и обработки ЭЦП также и внешние криптографические средства защиты (СКЗИ — КриптоПроСSР, Сигнал-Ком, Верба-OW, собственные разработки банка). Использование первых двух из перечисленных систем позволяет организовать работу в инфраструктуре открытых ключей (PKI).

  Взаимодействие интернет-клиента с АБС осуществляется через сервер ДБО, который имеет интерфейс практически со всеми известными промышленными АБС.

            Также представляет интерес механизм  сессий, обеспечивающий корректную  работу интернет-клиента в случае  сбоев и (или) обрывов связи.  Он позволяет значительно повысить  надежность системы и снизить  риски финансовых потерь клиента,  так как исключается возможность  повторного списания средств в случаях обрыва связи при доставке клиенту подтверждения выполненной в банке операции.

Информационная  безопасность в системах электронной  коммерции

            Обеспечение информационной безопасности  в системах электронной коммерции  — существенно более сложная  задача, чем для систем интернет-банкинга, так как и число участников, задействованных в проведении  операций, значительно больше, и  виды используемых при расчетах  платежных средств разнообразнее.  Выполнение финансовых транзакций  при этом обеспечивается системами  интернет-платежей, поэтому именно они и решают главные задачи информационной защиты.

            Типовая схема взаимодействия  участников электронной коммерции  представлена на рис. 3. Не вдаваясь  в подробности технологии, рассмотрим  риски финансовых потерь каждого  из участников системы.

Рис.3.Схема  взаимодействия участников электронной коммерции

   Основным риском  покупателя при выполнении платежей  через Интернет является вероятность  потери своих средств в случаях, когда:

- покупатель производит  оплату в мошеннический магазин  и не получает оплаченный товар  или услугу;

- реквизиты получателя  в распоряжении покупателя на  оплату мошеннически заменяются  другими при передаче распоряжения  в банк покупателя;

• секретные реквизиты доступа к платежным средствам покупателя становятся известными третьим лицам и используются последними в мошеннических целях.

            Основной финансовый риск интернет-магазина (он же получатель средств, поставщик) заключается в неполучении оплаты за предоставленный товар или услугу. Такая ситуация может возникнуть в случаях:

- мошеннического использования  платежного средства покупателя  третьим лицом (как правило,  полученные таким образом средства  приходится возвращать);

- мошеннического изменения  реквизитов получателя платежа  в распоряжении покупателя на  оплату.

Следует отметить, что в  последнем случае финансовые потери несет интернет-магазин, если оказание услуги производится непосредственно  после положительного ответа на авторизационный запрос. В том случае, если оказание услуги выполняется только после поступления средств на счет магазина, финансовые потери несет покупатель.

            Конкретные схемы реализации информационной защиты должны учитывать как степень уязвимости платежных средств при их использовании в среде Интернет, так и технико-технологические и правовые (юридические) аспекты организации взаимодействия сторон при исполнении сделок электронной коммерции на техническом» технологическом и правовом (юридическом) уровнях.

             Наиболее сложной задачей является  обеспечение безопасности финансовых  транзакций в секторе В2С при  использовании стандартных банковских  платежных карт. Привлекательность  применения карт в электронной  коммерции очевидна — клиентская  база потенциальных плательщиков  в случае использования карт  международных платежных систем  фактически неограниченна, инфраструктура  этих платежных систем позволяет  производить расчеты практически  по всему миру. Для защиты информации  при выполнении сделки предусмотрены  следующие технологические приемы:

     1)Параметры  заказа после обращения потенциального  покупателя на сайт магазина (количество, сумма, идентификатор магазина  и т.п.) передаются на авторизационный сервер системы интернет-платежей в зашифрованном виде и с ЭЦП магазина (см. рис. 3 шаг 2).

     2)Авторизационный сервер выполняет проверку ЭЦП магазина и возвращает в ответ подтверждение приема авторизационного запроса с номером сессии (шаг 3), ответ подписывается ЭЦП авторизационного сервера.

     3)Одновременно  с пересылкой параметров заказа  магазин маршрутизирует покупателя  на авторизационный сервер. Сервер устанавливает с покупателем защищенное SSL-соединение для ввода покупателем параметров банковской карты или другого платежного средства(шаг4).

      4)Авторизационный запрос затем транслируется в ту платежную систему, к которой принадлежит банковская карта покупателя (шаг 5).

      5)Ответ  от платежной системы (шаг 6) возвращается магазину (шаг 7 с  ЭЦП авторизационного сервера. Важным моментом здесь является ввод параметров карты именно на стороне авторизационного сервера, а не на сайте магазина, что позволяет снизить риски мошеннического использования карты. Защита взаимодействия авторизационного сервера с внешней платежной системой (шаги 5 и 6), как правило, обеспечивается в соответствии с правилами этой внешней системы — закрытые выделенные линии, шифрование трафика, применение ЭЦП.

Существенным недостатком  таких расчетов является недостаточная  защищенность схемы от мошенничества. Основная проблема заключается в  том, что обеспечить регистрацию  клиентов-плательщиков в платежной  системе в целях формирования ключей ЭЦП и цифровых сертификатов не представляется возможным. А так  как сделка совершается без физического  присутствия покупателя и без  физического предъявления карты, то

выяснить, действительно  ли покупатель является истинным владельцем карты, просто невозможно.

            В таких случаях, когда методы PKI по разным причинам невозможно  использовать, применяются своеобразные  суррогаты PKI — дополнительные  способы идентификации. Рассмотрим  некоторые из наиболее известных в настоящее время:

     1.Использование  дополнительных идентификаторов  карты CVC2 (Control Verification Code), CVV2 (Control Verification Value):Эти коды были введены международными платежными системами соответственно MasterCard и Visa и представляют собой трехзначное число, которое не эмбоссировано на самой карте, но присутствует на ее обратной стороне. Поэтому знать это число можно, только имея физический доступ к карте в момент совершения сделки, предполагается, что эту возможность имеет только владелец. В настоящее время эти дополнительные идентификаторы входят в стандартный формат авторизационных сообщении, проверка осуществляется в банках-эмитентах.

     2.Применение  службы AVS (Address Verification Service):При выдаче карты в банке-эмитенте регистрируются адресные данные владельца, которые затем необходимо указывать при совершении сделок. Использование этой технологии ограничено тем, что российские банки-эмитенты не поддерживают эту службу.

    3.Применение технологии 3D-Secure (Three Domain Model) в системе Visa: Суть технологии состоит в предварительной аутентификации участников. В частности, покупателю (владельцу кредитной карты) генерируется некоторый специальный пароль, который известен только ему и банку-эмитенту. Принцип работы 3D-Secure состоит в том, что существуют три домена — банк- эмитент, продавец и Visa. Через домен Visa проходит сообщение между покупателем, продавцом и банками. При этом Visa обеспечивает полную конфиденциальность информации. Для идентификации покупателя в системе банку-эмитенту отправляется запрос на аутентификацию. Эмитент устанавливает соединение с покупателем, предъявляет установленную для общения с ним секретную фразу и запрашивает пароль покупателя. Проверив введенный покупателем пароль, банк-эмитент формирует в систему ответ. Далее происходит идентификация продавца банком- эквайером. Сделка не совершается, если на каком-либо из этапов не произошла верификация участников. Для проведения электронных платежей по стандарту 3D-Secure необходимо, чтобы все участники системы — покупатель, эмитент, эквайер и продавец — поддерживали данную технологию. В России пока не поддерживается.

     4.Система универсальной  идентификации владельца кредитной  карты UCAF (Universal Cardholder Authentication Field):UCAF — это специализированная система передачи данных, которая имеет возможность сопоставить данные банка-эмитента карты и информацию, известную продавцу, и на основании этого соответствия гарантировать, что сделка осуществляется реальным держателем карты. Система предложена корпорацией MasterCard, требует поддержки со стороны процессинговых центров и банков-эмитентов. В России пока не поддерживается.

     5.Схема PayPal:Одна из самых популярных американских платежных систем PayPal использует следующий верификационный механизм. Клиенту-владельцу банковской карты, который предполагает стать участником системы в качестве покупателя, предлагается зарегистрироваться. В процессе регистрации покупатель указывает реквизиты своей банковской карты и система инициирует платеж с нее.

Сумма платежа при этом небольшая и имеет случайное  значение, генерируемое системой. Покупателю предлагается получить в своем банке-эмитенте выписку с указанием суммы  платежа и кодом авторизации в платежной карточной системе, а затем ввести эти данные в специальном окне на сайте PayPal. В том случае, если введенные покупателем данные совпадут с данными, полученными системой PayPal от процессингового центра в ответ на авторизационный запрoc, покупателю присваивается верифицированный идентификационный код. Этот код затем должен использоваться покупателем при совершении сделок. Схема достаточно эффективна и в то же время не требует изменений интерфейсов с банками-эмитентами.

     7. Ради исторической  справедливости следует упомянуть  протокол SET (Secure Electronic Transaction): Протокол предполагает при выпуске банковской карты в банке-эмитенте формировать цифровой сертификат владельца карты. Сертификаты хранятся в иерархических центрах сертификатов платежной системы и при каждой сделке финансовой транзакции предшествует транзакция обмена и проверки сертификатов участников сделки. Содержащиеся в сертификатах открытые ключи используются для проверки ЭЦП под документами и для расшифровки содержания ЭД. Ввиду того, что PKI полностью перекрывает SET и является более общим стандартом, имеющим к тому же юридическую поддержку, протокол SET не нашел практического применения. Хотя есть отдельные реализации, например Альфабанк в свое время анонсировал внедрение SET совместно с платежной системой АССИСТ. Однако и в этом случае внедрение не распространилось на клиентов — владельцев платежных карт сторонних банков.

     8. Гораздо более  полную защиту от мошенничества  обеспечивает применение микропроцессорных  банковских карт (смарт-карты). Наличие  на таких картах микропроцессора  и энергонезависимой памяти позволяет  хранить на них закрытый и  открытый ключи, пароли доступа  к карте, цифровые сертификаты,  а также алгоритмы шифрования  и ЭЦП.

Это позволяет, в частности, использовать пароль доступа к карте (ПИН), как это делается в любых  других физических устройствах (банкоматы, POS-терминалы). Так как алгоритмы  обработки ПИН «зашиты» в микропроцессоре  карты, нет необходимости передавать его через Интернет на авторизационный сервер. Кстати, именно отсутствие такой возможности для карт с магнитной полосой и приводит к значительному усложнению организации безопасных транзакций, так как передавать PIN через Интернет равносильно предоставлению доступа к карте всем желающим.

            Возможности смарт-карт по хранению  и обработке цифровых сертификатов  открывают широкие перспективы  по применению их в платежных  системах, использующих PKI без установки  на стороне покупателя специализированного  ПО. Дополнительным преимуществом применения смарт-карт в электронной коммерции как с точки зрения безопасности, так и с точки зрения технологичности является то, что на самой карте может храниться остаток средств, доступных для выполнения платежей. Поэтому процесс авторизации значительно ускоряется, так как нет необходимости формировать запрос к процессинговому центру и ожидать от него ответа. Гипотетическое же мошенничество в случае попадания карты в чужие руки ограничивается суммой, хранящейся на карте.