Обзор проблем информационной безопасности международных платежных систем
Рассмотрение проблем информационной безопасности международных платежных систем. Особенности реализации организационно-технических мероприятий, направленных на обеспечение сохранности конфиденциальной информации. Характеристика технологии 3D-Secure.
Рубрика | Финансы, деньги и налоги |
Вид | статья |
Язык | русский |
Дата добавления | 06.04.2018 |
Размер файла | 34,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Обзор проблем информационной безопасности международных платежных систем
Введение
В статье рассматриваются проблемы обеспечения информационной безопасности в международных платежных системах. Проведен анализ систем и механизмов, призванных как гарантировать, так и повысить информационную безопасность Интернет-банкинга. Уделено внимание принципам организации информационной безопасности в международной платежной системе SWIFT. Рассмотрены особенности новой технологии 3D-Secure, которая существенно повышает уровень информационной безопасности международных карточных платежных систем. Проанализирован процесс имплементации технологии 3D-Secure в банковской сфере Украины.
Меры обеспечения безопасности - установка межсетевых экранов и антивирусов, систем обнаружения вторжений и прочих, безусловно, необходимых средств, а также управление доступом, инцидентами, целостностью, непрерывностью, соответствием - это детали, из которых строится большая социотехническая система под названием «информационная безопасность».
Вопросам обеспечения информационной безопасности в компьютеризированных системах кредитно-финансовой сферы уделяется особое внимание.
Интенсивное развитие информационно-телекоммуникационных систем приводит к тому, что информационная среда, являясь определяющим фактором во всех сферах деятельности государства, становится центром устремлений со стороны криминальных структур. Со времени своего появления банковская сфера и платежные системы неизменно вызывали преступный интерес. И этот интерес связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в них сосредотачивается важная и зачастую закрытая информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств.
Информационная преступность вышла на уровень, переводящий это явление в разряд наиболее серьезных и потенциально опасных национальных проблем. Ежегодные потери от нее в странах Западной Европы достигают 30 млрд. долларов, а в США - более 100 млрд. долларов. По официальным данным, предоставленным банками Национального банка Украины, общее количество мошеннических операций в 2013 году по сравнению с предыдущим увеличилось на 47%, а сумма убытков выросла на 20%. При этом эксперты отмечают, что 99,7% убытков, причиненных банкам по операциям с платежными картами, были осуществлены с картами международных платежных систем. [1]
В последнее десятилетие рост убытков, связанный с информационной преступностью, стал устойчивой тенденцией. Общие риски функционирования платежных систем возникают из-за технических отказов и хищения денежных средств банков или клиентов. Другими словами, природа данного риска лежит в области технических особенностей работы систем, и его величина довольно значительна на сегодняшний день. Крупные платежные системы вынуждены закладывать в свои бюджеты расходные статьи с учетом возможных убытков от хищений, рассчитанные статистически на основе предыдущих периодов.
1. Принципы обеспечения информационной безопасности в международных платежных системах
Для обеспечения информационной безопасности международных платежных систем совокупность аппаратно-программных, организационно-технических средств и мер, реализующих систему безопасности, должны образовывать распределенный комплекс, функционирующий под контролем центров управления безопасностью.
Безопасность информации в информационно-телекоммуникационных сетях международных платежных систем обеспечивается выполнением следующих общих принципов:
- защита информации (с целью обеспечения ее конфиденциальности, целостности и достоверности) при ее хранении, обработке и передачи по сетям;
- подтверждение подлинности объектов данных и пользователей (аутентификация сторон, устанавливающих связь);
- обнаружение и предупреждение нарушения целостности объектов данных;
- устойчивость сети связи при компрометации части ключевой системы;
- защита технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки информации по побочным каналам и от возможно внедренных в технические средства электронных устройств съема информации;
- защита от несанкционированного доступа к информационным ресурсам и техническим средствам сетей, в том числе к средствам их управления;
- реализация организационно-технических мероприятий, направленных на обеспечение сохранности конфиденциальной информации. [2]
В свете нынешних тенденций роста открытости технологий кредитно-финансовой сферы (использование Internet и других открытых сетей в качестве транспортных коммуникаций передачи данных) особую значимость приобретает вопрос обеспечения конфиденциальности, целостности и достоверности осуществляемых платежных транзакций.
Достичь этого можно только, используя криптографически стойкие и эффективно реализуемые криптосхемы, и организуя надежные и удобные системы распределения ключевой информации. [3]
В отличие от традиционных систем шифрования, в которых используется один ключ, в методах несимметричного шифрования -- системах с открытым ключом, предусмотрены два ключа, каждый из которых невозможно вычислить из другого. Один ключ - открытый, используется отправителем для шифрования информации, другим - закрытым, получатель расшифровывает полученный зашифрованный текст. Механизм электронной цифровой подписи чаще всего используется при обслуживании банками юридических лиц, но иногда его предлагают и индивидуальным клиентам. Преимущество электронной цифровой подписи состоит в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что электронная цифровая подпись также может быть уязвимой для мошенников. Злоумышленники могут добраться до ключа от цифровой подписи, заразив компьютер вредоносным программным обеспечением.
Банки стараются использовать различные системы и механизмы, призванные как гарантировать, так и повысить информационную безопасность использования Интернет-банкинга.
Некоторые банки предлагают клиентам Интернет-банкинга приобрести или взять в аренду специальное устройство -- генератор одноразовых паролей. Генератор подключается к компьютеру через USB-порт и не требует специального программного обеспечения. Предлагается также использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель, а затем используется при проведении операций. Такие системы являются упрощенной версией электронной цифровой подписи.
Помимо перечисленных мер, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования Интернет-банкингом:
- ограничение использования личного сертификата -- система некоторых банков позволяет использовать электронный ключ или электронный сертификат только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг можно только со своего личного компьютера, а просматривать выписки по счету можно и с помощью других устройств;
- виртуальная клавиатура -- технология предназначена для того, чтобы мошенники не могли считывать регистрационные данные при вводе их с обычной клавиатуры с помощью вредоносного программного обеспечения;
- ограничение длительности сессии -- в случае неактивности клиента сессия в системе Интернет-банкинга через определенное время будет закрыта. Для возобновления работы потребуется заново пройти аутентификацию;
- история подключений -- с помощью этой функции пользователь Интернет-банкинга может отследить все несанкционированные операции. [4]
На сегодняшний день практически всеми банками, предоставляющими услугу Интернет-банкинга, применяется стандарт SSL (Secure Socked Layer) -- шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL позволяет всем участникам торговли спокойно передавать самую различную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который невозможно за короткий промежуток времени.
Протокол SSL надежно защищает информацию, передаваемую через Интернет, но все же он не может уберечь частную информацию, хранимую на сервере продавца, -- например, номера кредитных карт. Когда продавец получает данные кредитной карты вместе с заявкой на покупку, информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к частной информации и дальнейшее использование ее в мошеннических целях.
В дополнение к использованию протокола шифрования передаваемых данных участники интернет-коммерции используют такие способы идентификации держателей карт, как проверка СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVC2 -- для MasterCard).
К интересным способам идентификации относится технология проверки адреса AVS (Address Verification Service). Она в большей степени характерна для североамериканского рынка электронной коммерции, но, тем не менее, с ней приходится сталкиваться и держателям карт российских и украинских банков, при использовании карт для оплаты товаров с доставкой на территории США.
2. Информационная безопасность в SWIFT
информационный безопасность платежный
Наиболее известной и устойчивой из всех ныне существующих международных платежных систем является система SWIFT, которая получила широкое распространение в сфере международных межбанковских расчетов. С мая 1977 года, когда система начала функционировать, и до сегодняшнего дня число финансовых учреждений, пользующихся услугами этой системы, превзошло 10000 из 212 стран мира [5]. Число транзакций, пересылаемых этими учреждениями, составляет более 2,5 млрд ежегодно. В настоящее время пользователями услуг системы SWIFT в Украине являются 137 финансовых организаций. Первые восемь украинских банков были подключены к сети SWIFT еще в сентябре 1993 года. [6]
Кроме того, система SWIFT может применяться для обмена информацией и осуществления взаиморасчетов при операциях с ценными бумагами и дорожными чеками. В перспективе предполагается использование данной системы и в других сферах экономики, где необходима оперативная, качественная среда для передачи финансово-значимой информации, требующая высокого уровня обеспечения конфиденциальности.
Многолетний успех системы SWIFT заключается в предоставлении широкого спектра услуг пользователям при передаче, хранении и обеспечении безопасности сообщений. Важным фактором также является своевременная поддержка пользователей в технических, административно-правовых, а также в вопросах обучения и консультирования при подключении новых пользователей. Но самое важное - высокий уровень ответственности перед пользователями за сохранность, своевременность и конфиденциальность передаваемой информации.
С технической точки зрения сеть представляет SWIFT собой международную телекоммуникационную сеть, позволяющую финансовым организациям из разных стран подключиться к ней, используя компьютеры и терминалы различных типов, для передачи банковской и финансовой информации. В системе принят особый формат банковских сообщений - стандарт, который развивается с помощью рабочей группы специалистов банков и самой организацией SWIFT. В системе SWIFT используются как международные стандарты, разработанные ISO, так и стандарты Международной торговой палаты (ICC).
В результате исторического развития сети SWIFT образована новая сеть - SWIFT II, которая базируется на 4-х уровневой сетевой архитектуре и на системе управления процессорами, находящимися в операционных центрах SWIFT.
Логическая архитектура системы SWIFT II подчиняется основным принципам установленным ISO (Международная организация стандартизации) для взаимодействия открытых систем. Активные компоненты архитектуры SWIFT II - узлы могут быть связаны между собой:
- прямыми выделенными линиями;
- местными (международными) коммутируемыми линиями;
- локальными сетями;
- спутниковыми каналами связи.
Архитектура системы состоит из четырех основных компонентов:
- SCP (процессор управления системой);
- SP (коммутационный процессор);
- RP (региональный процессор);
- CP (процессор передачи).
В настоящее время в системе SWIFT II была разработана и рекомендована Советом директоров для повсеместного использования улучшенная архитектура системы обеспечения безопасности, которая соответствует в широком смысле современному уровню развития телекоммуникационных технологий и криптографических методов. Основой нового подхода стало использование интеллектуальных карт (ICC), изменение алгоритма проверки достоверности и увеличение длины двухсторонних ключей, которыми обмениваются пользователи.
Фактически ядро системы SWIFT II сосредоточено в двух Центрах управления системой (SCC), которые расположены в Нидерландах и США. SCC включает в себя две ключевые компоненты системы, а именно SCP и SP. Для улучшения работоспособности и защиты от сбоев в системе SWIFT II применяется дублирование каждого SCP и резервирование работы каждого SP. В любое время только один SCP является активным и осуществляет непосредственное управление системой. Остальные три SCP постоянно находятся в «горячем» резерве и непрерывно обновляют свое состояние по данным конфигурации активного SCP.
Все транзакции и сообщения, которые передаются по международным линиям связи систематически кодируются SWIFT с использованием шифров, действующих и меняющихся в течение произвольных промежутков времени.
3. Технология 3D-Secure
Нельзя обойти вниманием появление и широкое внедрение новой технологии 3D-Secure, которая существенно повышает уровень информационной безопасности международных карточных платежных систем. [7]
По разным оценкам объем украинского рынка интернет-торговли за прошедший год вырос более чем на 40%, превысив отметку в 10 млрд. долларов США. Потенциал роста огромен и фактически рынок e-commerce в Украине только начинает формироваться. По мнению экспертов, на сегодняшний день одним из сдерживающих факторов является недостаточный уровень развития инструментов электронного банкинга. Если платежные сервисы, такие как WebMoney, Qiwi, Яндекс-Деньги, еще пользуются спросом, то оплачивать интернет-покупки банковскими картами Visa или MasterCard население отказывается по причине недоверия к уровню защищенности платежных транзакций.
Реагируя на сложившуюся ситуацию, платежная система Visa разработала новый протокол 3D-Secure, обеспечивающий безопасность интернет-платежей по банковским картам.
Технология 3D-Secure позволяет проводить дополнительную аутентификацию держателя карты при проведении им платежей в сети Интернет на сайтах, поддерживающих данную технологию.
Название 3D-Secure происходит от английского термина Three-Domain Secure, указывающего на то, что данная технология реализована на основе трех доменов, в которых происходит порождение и проверка транзакций:
· домен эмитента, который поддерживает держателя карты и банк, выпускающий карты;
· домен эквайера, который поддерживает банк-эквайер и его клиентов;
· домен взаимодействия - содержит элементы, которые осуществляют проведение транзакций между двумя другими доменами, в основном этот домен поддерживает сети и сервисы карточных ассоциаций.
В процессе онлайн-проверки участвуют три независимые компании - банк продавца, на счет которого перечисляются деньги, банк покупателя и собственно платежная система. При оформлении платежа банковской картой в интернет-магазине, поддерживающем данную технологию (определяется по наличию логотипа Verified By Visa), реквизиты покупателя перенаправляются на сервер банка-эмитента, выдавшего карту (банк также должен поддерживать данную технологию). Проверку подлинности владельца карты осуществляет банк, для этого используется пароль, известный только владельцу карты и банку. По результатам проверки банк-эмитент формирует ответное сообщение с использованием цифровой подписи с целью защиты информации от несанкционированных изменений.
Для ввода частной информации клиента, например, номера карты, используются защищенные страницы платежного сервера. Введенная информация сохраняется на платежном сервере, и получатель платежа не имеет доступа к этой информации, что наилучшим образом защищает от ее потери и хищения.
В результате у покупателя открывается диалоговое окно, в котором требуется ввести PIN-код (как в банкомате) или одноразовый пароль, присланный в виде SMS на номер контактного телефона (указывается при оформлении карты). После ввода пароля операция считается подтвержденной и происходит перечисление денежных средств с карты клиента на банковский счет магазина. Таким образом, если по какой-либо причине злоумышленники получили информацию о банковской карте, воспользоваться ею не удастся, поскольку подтвердить подлинность владельца карты без SMS-пароля не получится. Указанный пароль высылается непосредственно в момент совершения операции в Интернете после ввода реквизитов карты и может быть использован для подтверждения только один раз.
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании -- нет необходимости в специальном оборудовании, а процедура подтверждения операции занимает всего несколько минут. Во-вторых, она позволяет обезопасить учетную запись от использования злоумышленниками -- даже если мошенникам станет известен логин и пароль для входа в систему, они не получат доступ к деньгам, а пользователь узнает о попытке провести несанкционированную операцию из SMS-сообщения. [8-12]
Технология 3D-Secure не только обеспечивает безопасное проведение платежа, но и разграничивает риски участников транзакции за счет четкого разделения функций каждого.
Услуги, основанные на технологии 3D-Secure, также были приняты платежной системой MasterCard под названим MasterCard SecureCode (MCC) и японской платежной системой JCB International как J/Secure.
информационный безопасность платежный
Выводы
С внедрением новой технологии 3D-Secure платежные системы Visa и MasterCard фактически уравняли степень защищенности интернет-платежей с использованием банковских карт и платежей через сервисы, аналогичные WebMoney.
Вполне естественно, что технология новая, должного распространения еще не получила, и в Украине ряд продавцов продолжают принимать платежи «по старинке». Однако, опираясь на динамику подключения банков и соответственно интернет-магазинов к 3D-Secure, можно предположить, что в скором времени интернет-платежи с банковских карт без подтверждения SMS-паролем станут недоступными. На наш взгляд, только в этом случае будет достигнут желаемый эффект - рост доверия граждан к онлайн-расчетам посредством карт Visa или MasterCard.
На сегодняшний день технологию 3D-Secure поддерживает большинство крупнейших банков Украины. Только в сентябре 2013 года новую технологию для держателей карт имплементировали три ведущих банка кредитно-финансовой сферы Украины - Райффайзен Банк Аваль, Пивденный, UniCredit Bank™. [13]
При достаточно обширном списке технологических средств и мер, предпринимаемых для обеспечения безопасных расчетов с помощью международных платежных систем, многое зависит от самих клиентов. Часто причиной мошеннического доступа к счетам пользователей является невнимательность и неосторожность самих пользователей. Поэтому, чтобы избежать возможных проблем, владельцам учетных записей необходимо беречь данные доступа к ним.
Литература
1.Про захист інформації в інформаційно-телекомунікаційних системах. Закон України від 05.07.1994 № 80/94-ВР. [Электронный ресурс]/ Режим доступа: http://zakon2.rada.gov.ua/laws/show/537-v. - Загл. с экрана.
2.Про платіжні системи та переказ коштів в Україні. Закон України від 05.04.2001 № 2346-III (Редакція станом на 11.08.2013). [Электронный ресурс]/ Режим доступа: http://zakon.rada.gov.ua/go/2346-14. - Загл. с экрана.
3.Резниченко Е. Безопасность Интернет-банкинга: практические аспекты. [Электронный ресурс]/ Режим доступа: http://www.prostobank.ua/internet_banking/stati/- Загл. с экрана.
4.Официальный сайт SWIFT. [Электронный ресурс]/ Режим доступа: http://www.swift.com/about_swift/company_information/company_information- Загл. с экрана.
5.Официальный сайт украинского отделения SWIFT. [Электронный ресурс]/ Режим доступа: http:// ukrswift.org/- Загл. с экрана.
6.Официальный сайт банка Дистанционное Банковское Обслуживание. [Электронный ресурс]/ Режим доступа: http:// www.bankdbo.ru/3-d-secure/- Загл. с экрана.
7.Гончаров В.В. Безопасность и защита интернет-платежей // Расчеты и операционная работа в коммерческом банке. -- 2012. -- № 4.
8.Шаньгин В. Ф., Соколов А. В. Защита информации в распределенных корпоративных сетях и системах //Изд-во: ДМК. - 2002.
Размещено на Allbest.ru
...Подобные документы
Значение международных платежных систем на основе банковских платежных карточек. Развитие системы безналичных расчетов на основе банковских карт международных платежных систем в Республике Беларусь. Сравнительный анализ платежных систем Visa и MasterCard.
курсовая работа [628,0 K], добавлен 26.11.2014История развития электронной коммерции и современное состояние рынка платежных систем. Технология работы платежной системы Яndex.Деньги, ее преимущества и недостатки, проблемы обеспечение безопасности информации, сравнение с компаниями-конкурентами.
курсовая работа [61,5 K], добавлен 21.06.2012Цифровые деньги как платежные средства, представленные и обращаемые в электронном виде. Этапы развития платежных систем России. Преимущества электронных платежных систем. Основные условия проведения платежей в Интернете, обеспечение их безопасности.
презентация [296,5 K], добавлен 16.12.2011Статистический анализ динамики платежных операций с электронными деньгами, перспективы их развития и пути решения проблем использования. Анализ современного рынка электронных денег в России и прогнозирование сценариев его развития. Виды платежных систем.
курсовая работа [148,2 K], добавлен 01.09.2014Рынок электронных платежных систем. Процесс регистрации аккаунта в GoldMoney. Обзор и сравнение платежных систем: CyberPlat, ASSIST, Рапида, Instant, ЭлИТ, PayCash, WebMoney Transfer, e-port, КредитПилот, EACCESS, e-gold, Pay Pal, GoldMoney, CyberCash.
реферат [30,5 K], добавлен 03.12.2010История появления электронных платежных систем; принципы из функционирования. Методы обналичивания денег в системах WebMoney, Яндекс.Деньги, PayCash. Виды систем дистанционного банковского обслуживания. Использование платежных систем в Интернет-магазинах.
курсовая работа [46,7 K], добавлен 02.11.2014Принципы функционирования международной платежной системы на основе платежных карт. Международные стандарты и требования платежных систем на основе платежных карт. Развитие системы безналичных расчётов на основе пластиковых карт в Республике Беларусь.
курсовая работа [146,1 K], добавлен 11.02.2014Понятие "электронная платежная система". Роль электронной цифровой подписи в развитии электронной платежной системы. Характеристика электронных платежных систем в России, порядок зачисления, хранения денежных средств в электронных кошельках разных систем.
курсовая работа [511,4 K], добавлен 18.03.2010Сущность электронных платежных систем, проблемы их нормативного регулирования в РФ. Анализ технологических и экономических аспектов их функционирования. Общая схема платежа с помощью электронных денег. Перспективы развития ЭПС в системе денежного оборота.
дипломная работа [1,2 M], добавлен 29.10.2014Изучение понятия и теории развития электронных денег. Рассмотрение электронных платежных систем и их видов. Анализ платежных систем зарубежных стран. Описание проблемы современных электронных денег как инструмента менеджмента в Российской Федерации.
дипломная работа [2,6 M], добавлен 24.07.2015Роль денег в экономике, их функции. Тенденции развития интернет-платежных систем в России: ИПС-банкинг. Дискуссионные вопросы категориальной характеристики современных денег и денежной системы. Электронные деньги – резонанс в розничном финансовом секторе.
курсовая работа [180,8 K], добавлен 08.02.2015Механизм расчетов через платежные системы. Электронные деньги на базе карт, мобильных телефонов или Интернета. Виды платежных инструментов. Особенности становления и развития электронных расчетов. Международный опыт регулирования электронных денег.
курсовая работа [248,7 K], добавлен 13.03.2015Характеристика условий совершения платежей в системе электронной коммерции. Описание процесса выполнения платежей с помощью цифровых денег. Принципы обеспечения безопасности электронных платежей через сеть Internet. Анализ российских платежных систем.
реферат [26,2 K], добавлен 02.12.2010Понятие, значение и развитие безналичного обращения денежных средств. Анализ использования международных платежных систем. Проблемы и перспективы безналичных расчетов в современной банковской системе России. Развитие национальной платежной системы.
реферат [394,7 K], добавлен 19.03.2016Технология работы с финансовой информацией. Внедрение автоматизированных информационных систем. Разновидности экономической информации и схемы ее классификации. Виды управления информационной базой объекта. Технологии решения экономических задач.
дипломная работа [23,4 K], добавлен 07.03.2009Выявление проблем на российском рынке пластиковых карт и возможных путей их решения. История развития пластиковых карт и платежных систем, а также карточные продукты, предлагаемые наиболее распространенными платежными системами. Виды пластиковых карт.
курсовая работа [257,9 K], добавлен 23.12.2012Сущность и основные этапы развития платежных систем, цели и методы наблюдения за ними. Анализ и критерии оценивания функционирования платёжных систем Украины. Проблемы платёжных систем нашего государства, разработка путей и направлений их разрешения.
курсовая работа [60,8 K], добавлен 12.07.2010История появления и развития платежных инструментов. Суть кредитных денег, векселя, банкноты, чека. Электронные деньги как следующая ступень развития платежных инструментов: их преимущества и недостатки. Развитие пластиковых карт в РФ, защита их от угроз.
курсовая работа [45,3 K], добавлен 05.06.2011Понятие расходов на обеспечение безопасности государства. Анализ расходов федерального бюджета на обеспечение безопасности РФ на современном этапе. Повышение эффективности расходов на обеспечение безопасности государства в ходе рыночных преобразований.
курсовая работа [109,0 K], добавлен 10.02.2011Исторические аспекты возникновения и развития электронных систем. Электронные платёжные средства на базе сетей. Правовое регулирование электронных платежных систем по законодательству Российской Федерации. Тенденции развития рынка электронных расчетов.
курсовая работа [795,9 K], добавлен 07.11.2014