Bezpečnost elektronického obchodování

Elektronický obchod, anglicky běžně označovaný e-commerce nebo e-com podpora obchodních činností, nakupování a prod...


Elektronický obchod, anglicky běžně označovaný e-commerce nebo e-com podpora
obchodních činností, nakupování a prodávání zboží a služeb prostřednictvím
elektronického média, se stává jedním z nejdůležitějších způsobů realizace
obchodů budoucnosti. Všechny obchodní transakce vyžadují značně netriviální
komunikaci a zpracování informací, aby se snížila nejistota pro prodávajícího i
kupujícího, týkající se kvality obchodovaného zboží, i případného řešení sporů.
Komunikace přes Internet významně snižuje náklady transakce. Obchodní služby,
které nabízí Internet, zahrnují inzerci služeb a produktů, podporu zákazníka s
rychlým vyřešením problémů, levné EDI, zajišťující okamžité a aktuální
informace, elektronické bankovnictví a finanční služby, elektronické peníze, i
distribuci určitých typů produktů. V současné době je Internet obchodníky
nejvíce využíván pro inzerci, marketing a podporu zákazníka.
Internet může být ideálním nástrojem pro vývoj každého produktu, který může být
uložen na počítači jako digitální informace. Na Internetu mohou založit výrobu
taková odvětví, jako je vývoj počítačového softwaru, nakladatelské podnikání,
finančnictví, a umělecké a hudební obory. Ideální podmínky nabízí Internet pro
výzkum trhu. Smlouvy a licence mohou být vydávány elektronicky, s použitím
digitálního podpisu a šifrování. Platby mohou být prováděny elektronicky
zákazníkem bance, mezi bankami navzájem, bankou dodavateli. Role maloobchodu a
velkoobchodu se spojuje: zákazník může nakupovat přímo od výrobce a výrobce
může nabídnout přímo zákazníkovi plný sortiment zboží.
Hrozby?
S ohledem na rozsah Internetu může např. každá ztráta pověsti nabýt hrozivého
dosahu. Brouzdání Internetem bývá srovnáváno s nakupováním na ulici. Představte
si ale, že všechny vaše aktivity jsou zaznamenány na video. Každá elektronická
výkladní skříň, do které se podíváte, každá virtuální položka, na kterou
kliknete, každá cena, na kterou se zeptáte, a každá otázka, kterou položíte,
může být trvale zaznamenána a využita pro účely marketingu. A co když firemní
systém obsluhuje pro firmu přes Internet chudý student, aby pak použil stejný
Internet k získání přístupu do sítí společností a ke krádeži kreditních karet
tisíců zákazníků? A dále: vaše peníze mohou být padělány. Někdo se může za vás
vydávat a uskutečnit vaším jménem finanční transakce. Vaše tajné dokumenty
mohou být umístěny na veřejné elektronické nástěnce. Váš obchod může být
přerušen. Důsledkem bude ztráta vašich konkurenčních výhod. To vše se vám může
při provozování elektronického obchodu přes Internet stát, jestliže nevěnujete
patřičnou péči bezpečnostním opatřením, neboť Internet sám o sobě je relativně
nespolehlivý a nezabezpečený komunikační prostředek.
Podívejme se, do kterých tříd můžeme rozdělit hlavní hrozby:
lhrozby týkající se sítě dané organizace (využívání internetovských služeb může
odhalit bezpečnostní slabiny, které útočník využije k přístupu do sítě
společnosti),
lhrozby týkající se internetovských serverů, lhrozby týkající se přenosu dat,
(možné narušení integrity a důvěrnosti),
lhrozby týkající se dostupnosti služby,
lhrozby týkající se popiratelnosti (jedna strana účastnící se on-line transakce
může popřít, že se kdy transakce uskutečnila.
Při ochraně vnitřní sítě před hrozbami ze strany Internetu je důležitá celková
bezpečnostní politika, která musí obsahovat základní bezpečnostní kontroly,
jako je řízení fyzického přístupu, řízení logického přístupu, správa
bezpečnosti, monitorování bezpečnosti a bezpečnostní audit, řízení změn HW a SW
a havarijní plány a zálohování. Vždy však platí, že celkovou ochranu nevyřeší
jednotlivá izolovaně implementovaná opatření. Firewally jsou významné, ale řeší
pouze ochranu vstupu do vaší sítě. Jestliže do ní pronikne hacker, rozhodující
je bezpečnost vnitřní sítě.
Bezpečnost
Při zajišťování bezpečnosti elektronického obchodování platí obecná zásada, že
implementovaná bezpečnost závisí na tom, jaké typy služeb organizace nabízí a
jakou výši rizika je ochotná akceptovat.
Z pohledu bezpečnosti zůstává největším problémem zajistit bezpečnost
transakcí. Znamená to zejména existenci bezpečných protokolů a kanálů,
protokoly pro hotovosti a technologie pro clearing kreditních karet. Využívání
protokolů typu SSL nebo SHTTP bez dalších bezpečnostních doplňků je pro
bezpečné finanční transakce vysoce rizikové. Protokol SET společností Visa a
Master Card pro clearing kreditních karet současným požadavkům na bezpečnost
elektronických transakcí již vyhovuje.
Špičkoví prodejci jako HP, IBM, RSA a Tandem již předávají své pilotní projekty
výrobě a uvolňují první vlnu produktů, vyhovujících SETu. Protokol SET
zpracovává v současné době velmi dobře transakce odpovídající rozsahu transakcí
zajišťovaných kreditními kartami. Mikroplatby a platby nad zhruba 5 000 dolarů
jsou v současné době zatím mimo možnosti SETu. Kritici vytýkají SETu pomalost.
Verze 1.0 neumožňuje použití debetních karet. A dále jsou problémy se zatížením
poplatky, protože SET autentizuje účet, nikoliv osobu.
Bezpečnostní rozšíření protokolu SSL, jako příklad bezpečnostního SW pro
on-line bankovnictví, uvedl koncem loňského roku na trh Microsoft pod názvem
Server Gated Crypto. Je to první reakce na červnové uvolnění exportu
128bitových šifrovacích produktů pro zámořské finanční ústavy ze strany
amerického ministerstva obchodu. Předpokladem pro použití je existence
digitálního certifikátu u banky. Jako první certifikační autorita byla vybrána
firma VeriSign. Systém umožňuje serveru klienta, aby se v průběhu
digitálního navazování spojení s bankovním serverem dotázal na přítomnost
digitálního certifikátu SGC. Jestliže SW klienta digitální certifikát detekuje,
je ustavena relace využívající 128bitové šifrování. V opačném případě se
dohodne nejvyšší úroveň vzájemně dostupného šifrování.
Konkrétním příkladem toho, jak lze v e-obchodování (na úrovni maloobchodu) na
Internetu překlenout specifika evropského trhu, který je rozdělen měnou,
jazykově i kulturními zvyklostmi, byla akce e-Christmas, on-line trh pro prodej
vánočních dárků. Projekt byl vyvinutý firmami HP a Microsoft a byl zaveden v
listopadu 1997 v devíti evropských zemích. Cílem je dát maloobchodu prostředek
pro e-obchodování. Byly zřízeny platební struktury s alespoň jednou bankou v
každé zemi a centrální místo, které provádělo napojení na satelitní servery
více než 20 poskytovatelů
internetových služeb. Zákazníci uchovávají v tomto systému údaje o kreditních
kartách na svých PC s použitím SW Microsoft Wallet, který zajišťuje připojení k
SW e-obchodování na serverech. Projektu se účastnili v každé zemi specialisté
na e-obchodování jako např. Datacash nebo Trinitech. Bezpečnost transakcí je
založena na SSL. Zákazníci použili pro vstup www.e-christmas.com a odtud se
připojili na servery zúčastněných zemí. Na každém místě mohli číst stránky ve
dvou jazycích, obvykle v jazyku dané země a angličtině. Kalkulátor na výpočet
měny umožnil zákazníkovi kontrolu ceny. Jako zdroje měnových kurzů byly použity
Financial Times a Reuters.
Jaká bude bezpečnost elektronického obchodu (Internetu) budoucnosti
Rozvoj Internetu od doby jeho vzniku je obrovský. Na rozdíl od uplynulých více
než 25 let jeho existence zohledňují však nyní vyvíjené nové služby a aplikace
bezpečnost často na jednom z prvních míst. Formálně závisí budoucnost Internetu
na aktivitách IAB, IETF, W3C, dalších normalizačních institucích a na
soukromých firmách. Vyvíjená nová verze IP, známá jako IPng (IP Next
Generation) je navržená pro provozování na sítích s vysokým výkonem (ATM) i na
satelitních či bezdrátových sítích. V oblasti bezpečnosti poskytuje služby
integrity, autentizace i důvěrnosti. V oblasti firewallů se navrhovaná zlepšení
týkají jejich řízení a správy, interoperabilních šifrovacích systémů, větší
integrace a nových standardů. Další uvažované změny se týkají nových
bezpečnějších verzí DNS (Domain Name Service), automatické podpory bezpečného
přenosu zpráv s tím, že implementace služeb šifrování, digitálního podpisu a
integrity zajistí dobrou úroveň ochrany. Předpokládá se rovněž zlepšená možnost
úschovy klíčů a zlepšení infrastruktury při práci s veřejnými klíči,
uživatelsky snadno použitelný bezpečný Web, e-mail a využívání nového
programovacího jazyku Java, poskytujícího významné bezpečnostní rysy.
Co tedy na závěr?
Rychlý vývoj bezpečnosti Internetu a tím i podmínek pro bezpečný elektronický
obchod je šokující. Bylo by však chybou jen čekat, až budou všechny změny
provedeny a všechny chyby odstraněny. Zamyslete se nad potřebami vaší
organizace, nad službami, které byste již dnes mohli bez rizika využívat, a
nenechte si ujít neuvěřitelné možnosti, které již dnes elektronický obchod
nabízí.
8 1089 / ram









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.