Безпека електронної комерції. Популярні міфи і реальність, Комерція, Різне, статті

Пер. Intersoft Lab

Однією з найпопулярніших тем для обговорення є безпека електронної комерції. Але до сих пір, незважаючи на всі цінні думки і висловлювання, не існує практичного, “земного” допомоги до того, що ж таки є предметом безпеки електронної комерції. У цій статті наводяться деякі точки зору на це питання, і робиться спроба відокремити міфи від реальної дійсності. Давайте спробуємо відповісти на деякі базові питання, очевидні для фахівців.

Міфи

Міф 1
Системи можна зробити захищеними
Реальність – Системи можуть бути захищені тільки від відомих загроз, із зменшенням кількості пов’язаних з ними ризиків до прийнятного рівня. Тільки ви самі можете визначити правильний баланс між бажаним рівнем зниження ризиків і вартістю рішення. Безпека взагалі являє собою один з аспектів ризик-менеджменту. А інформаційна безпека є сукупністю здорового глузду, ризик-менеджменту бізнесу і базових технічних навичок під управлінням гідного менеджменту, розумного використання спеціалізованих продуктів, можливостей та експертиз і правильних технологій розробки. При цьому web-cайт – це всього лише засіб доставки інформації споживачеві.

Міф 2
Безпека сайтів – це виключно технічне питання
Реальність – Занадто часто безпеку більшою мірою відноситься до області відповідного контролю процесу розробки, правильного управління конфігурацією операційної системи і в цілому послідовного управління сайтом. Справжня безпека знаходиться під вашим прямим контролем – те, що прийнятно при розробці внутрішніх систем, може виявитися невідповідним для сервісів, до яких надається повний загальний доступ. Неполадки в системах, що зачіпають всередині підприємства тільки кількох довірених співробітників, стають очевидними при переміщенні в середовища загального доступу.

Міф 3
ЗМІ регулярно повідомляють про всі слабкі місця і ризики в області безпеки
Реальність – Часто ЗМІ повідомляють тільки про ті негаразди, які можуть привернути загальну увагу і не вимагають спеціальних навичок для розуміння закладеної в них проблеми. Такі повідомлення рідко відображають реальні загрози бізнесу з точки зору безпеки і часто взагалі не пов’язані з безпекою.

Міф 4
Інформація по кредитних картках в Інтернет не захищена
Реальність – Насправді, інформація по кредитних картках набагато менше схильна розкрадань при передачі по Інтернет, ніж в прилеглому магазині або ресторані. У несанкціонованому використанні такої інформації може бути зацікавлений недобросовісний бізнес, а як ви з ним працюєте – через Інтернет чи ні – вже не настільки важливо. Підвищити ж безпека власне переданої інформації можна за допомогою використання захищених каналів передачі і надійних сайтів, наприклад, тих, що підтримуються TrustUK.
Суттєвою складовою безлічі систем електронної комерції є потреба в надійній ідентифікації споживачів. Спосіб ідентифікації безпосередньо впливає не тільки на ступінь ризику, але навіть на вид кримінального переслідування.

Міф 5
Паролі ідентифікують людей
Реальність – Паролі забезпечують тільки базову перевірку – що підключається хтось авторизований для використання конкретної системи. Люди схильні не надто приховувати свої паролі від інших – особливо від близьких родичів і колег.
Більш складна технологій аутентифікації може виявитися набагато рентабельніше. Використовуваний рівень аутентифікації повинен відображати ризик доступу до інформації випадкових осіб, незалежно від згоди на це її дійсного власника.

Міф 6
Одного разу сконфигурированное і встановлене рішення з безпеки залишається надійним з часом

Реальність – Підприємства не завжди встановлюють системи як годиться, бізнес змінюється, як і погрози. Необхідно переконатися, що системи ведуть профайли безпеки, і що ваш профайл постійно переоцінюється з точки зору розвитку бізнесу і зовнішнього середовища.
Не менш важлива і технологія, однак вона повинна розглядатися як складова частина більш широкого спектра засобів для контролю безпеки. Звичайно як рішення для захисту вмісту електронно-комерційних сайтів називають брандмауери, проте навіть вони мають свої слабкі місця.

Міф 7
Брандмауери непроникні. Реалізувавши брандмауер, можна спочивати на лаврах у впевненості, що зловмисники ніколи не проникнуть через нього

Реальність – Проблема в тому, що їх необхідно конфігурувати так, щоб через них все ж ішов якийсь трафік, причому в обох напрямках.
Необхідно ретельно обміркувати, що ви намагаєтеся захистити. Запобігання атаки на головну сторінку вашого сайту істотно відрізняється від запобігання використанню вашого web-сервера в якості шляху до ваших серверним системам, та вимоги до брандмауеру в обох випадках сильно відрізняються. Багато систем потребують складної багатошарової захисту для забезпечення доступу до більш чутливим даними тільки авторизованих користувачів.
Ключову роль на будь-якому електронно-комерційному сайті грає, як правило, електронна пошта. Тим не менш, вона привносить з собою ряд проблем в області безпеки, ігнорувати які неприпустимо. Ці проблеми розпадаються на дві основні категорії:

Якщо передбачається робота з конфіденційною або чутливою до цілісності поштового інформацією, існує маса продуктів для її захисту.

Міф 8
Віруси більше не є проблемою
Реальність – Віруси досі представляють серйозну небезпеку. Останнє захоплення творців вірусів – вкладені в листи файли, при відкритті виконують макрос, що виробляє несанкціоновані одержувачем дії. Але розробляються й інші засоби поширення вірусів – наприклад, через HTML web-сторінок.
Необхідно переконатися, що ваші антивірусні продукти зберігають актуальність. Якщо вони були призначені для пошуку вірусів, може виявитися, що вони здатні тільки виявляти віруси, але не усувати їх.
PKI (Public Key Infrastructure, інфраструктура відкритих ключів, що підтримує використання пар відповідних один одному ключів, відкритого і закритого) зазвичай розглядається як панацея від усіх проблем безпеки електронної комерції. Це не так. Дійсно, ця технологія може створити помилкове відчуття захищеності. Сьогодні вона вже є складовою частиною безлічі електронно-комерційних додатків – В основному в середовищі B2B. Але чи рухається розвиток PKI в тому ж напрямку, невідомо.

Міф 9
Компанія, що має сертифікат на відкритий ключ від шановного Certification Authority (CA), сама по собі вже заслуговує довіри

Реальність – Сертифікат просто увазі щось на кшталт:

“На момент запиту сертифіката, я, CA, справив відомі дії для перевірки ідентичності цієї компанії. Вас це може задовольнити, а може і ні. Я не знайомий з цією компанією і не знаю, чи можна їй довіряти, і навіть – у чому саме полягає її бізнес. До тих пір, поки мене не сповістять, що відкритий ключ дискредитований, я навіть не дізнаюся, що він, наприклад, вкрадений або переданий комусь ще, і це ваша справа – Перевіряти, не анульований він. Моя відповідальність обмежується положеннями документа, що описує політику моєї компанії (Policy Statement), яке вам слід прочитати перед тим, як використовувати ключі, пов’язані з даною компанією “.

Міф 10
Цифрові підписи є електронним еквівалентом рукописних
Реальність – Деяка схожість є, проте є безліч дуже істотних відмінностей, тому нерозумно вважати ці два види підпису рівноцінними. Їх надійність також залежить від того, наскільки строго встановлено, щоб закритий ключ знаходився дійсно в індивідуальному користуванні.
Ключові відмінності полягають також у тому, що:

Міф 11
Продукти в області безпеки можна оцінювати згідно з їх функціональності, як і бізнес-пакети
Реальність – Вони вимагають також оцінки безпеки їх реалізації і тих загроз, від яких вони не можуть захистити (які можуть бути і не задокументовані).
В цілому бізнес-додатки вибираються виходячи з їх функціональних можливостей і простоти використання. Часто вважається само собою зрозумілим, що функції виконуються як належить (наприклад, пакет для обчислення оподаткування вірно розраховує податки). Але це несправедливо по відношенню до продуктів, що забезпечують безпеку. Найбільшим питанням тут стає те, як реалізовані в них функції захисту. Наприклад, пакет може пропонувати потужну парольний аутентифікацію користувачів, але при цьому зберігати паролі в простому текстовому файлі, який може прочитати практично хто завгодно. І це було б зовсім не очевидно й могло б створити помилкове відчуття захищеності.

Міф 12
Продукти в області безпеки легко встановлюються

Реальність – Більшість продуктів поставляються із заданими за умовчанням установочними параметрами. Однак, організації мають різну політику і безпеки та конфігурації всіх систем і робочих станцій рідко відповідають один одному. На практиці, установка повинна бути підлаштована під політику безпеки організації і кожну з специфічних конфігурацій платформ. Перевірка механізмів обслуговування швидко зростаючого числа користувачів та інших атрибутів створення захищеної середовища для сотень наявних користувачів може виявитися досить складним і тривалим процесом.

Міф 13
PKI-продукти захищають електронну комерцію без додаткової настройки
Реальність – PKI-продукти являють собою базовий інструментарій, що допомагає реалізовувати рішення в області безпеки, проте тільки як частина всього пакета, що включає також юридичні, процедурні, а також інші технічні елементи. На практиці це часто набагато складніше і дорожче, ніж установка базової PKI.

Міф 14
Консультанти з безпеки заслуговують абсолютної довіри

Реальність – Пам’ятаєте, що консультанти з безпеки будуть мати доступ до всіх ваших найбільш чутливим процесам і даними. Якщо запрошувані консультанти не працюють в якій-небудь користується повагою фірмі, необхідно отримати відомості з незацікавленого джерела про їх компетентності та досвід – наприклад, поговорити з їх колишніми замовниками.
Існує маса консультантів, які заявляють про себе як про професіоналів в області інформаційної безпеки, але насправді практично не мають уявлення про те, що це таке. Вони можуть навіть створити помилкове відчуття безпеки, переконуючи вас, що ваші системи більш захищені, ніж насправді.

Висновки

Таким чином, перш ніж гортати найсучасніші брошури з питань безпеки, розкладіть по поличках основне:

Оригінальний текст статті можна подивитися тут:

NCC Library: “E-Security Popular Myths and the Reality”

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*