Software & Systems

Информатизация современного общества несет в себе как позитивное, так и негативное начало. В связи с массовой компьютеризацией информационных процессов, увеличением ценности и значимости информационных ресурсов перед обществом встает острая проблема защиты информации и персонализированных данных, которые циркулируют в важных информационных системах, то есть предотвращение модифицирования, удаления и похищения для использования в криминальных целях.

Система электронных платежей (СЭП) – это технология (если говорить о реализации, то сервис), представляющая собой совокупность методов, договоренностей и подтехнологий и позволяющая производить расчеты между контрагентами по сетям передачи данных [1]. СЭП входят в сферу электронной коммерции. В настоящее время главной угрозой для электронной коммерции являются преступления в сфере информационных технологий, или киберпреступность [2]. Противоправные действия в области систем электронных платежей могут повлечь за собой нарушения в работе ЭВМ и привести СЭП, банк, а впоследствии и рыночную экономику к краху. Проблемами защиты данных в СЭП, в том числе электронных платежей, разработкой современных технических и клиентских средств защиты, а также усовершенствованием антивирусных систем сегодня занимаются многие отечественные и иностранные специалисты (см. [3, 4] и др.), а также крупные компании: Eset Soft- ware Ltd, Kaspersky AntiVirus [5] и многие другие. Существует значительное количество научных исследований и практических разработок, связанных с защитой СЭП, однако в силу постоянного разви- тия технологий возникают новые проблемы, которые необходимо решать новыми способами [6].

Под защищенностью СЭП понимается совокупность технических и клиентских средств защиты, обеспечивающих требуемый уровень безопасности. В настоящий момент средства криптографической и технической защиты еще не имеют длительной истории успешной эксплуатации и безопасность (подделка, хищение, изменение номинала) не подтверждена широким обращением [2]. Теоре- тически возможны хищения электронных денег посредством инновационных методов в силу недостаточной зрелости технологий защиты [4]. Актуальность данного исследования подтверждена официальной статистикой. По данным МВД, в 2013 году зарегистрировано более 11 тысяч преступлений в сфере электронных платежей, а к середине 2014 года – более 7 тысяч [7]. По приведенной статистике можно судить о том, что количество преступлений в сфере электронных платежей растет с каждым годом. Это означает, что операторы СЭП не торопятся создавать и вводить новые методы и способы защиты платежей, а пользователям необходимо самим выбирать наиболее безопасные СЭП для оплаты товаров и услуг.

СЭП подразделяются на мобильные сервисы (приложения СЭП для мобильных устройств) и немобильные (браузерные СЭП, приложения СЭП для ПК). По видам оплаты СЭП подразделяют на карточные платежные системы и операторы электронных денег.

Платежные шлюзы – симбиоз карточных платежных систем и операторов цифровой наличности. Такие системы позволяют совершать практи- чески все возможные транзакции в рамках одной системы. Большинство СЭП можно отнести к шлюзам, но обычно каждая СЭП выделяет основной тип электронных платежей [3].

В ходе работы был проведен анализ способов и методов защиты мобильных и немобильных сервисов СЭП, таких как протоколы SSL и SET [1], объединенный протокол SSL и SET, CVV2- и CVK2-код, проверка адреса Adress Verification Service, однофакторная и двухфакторная авторизация, электронные сертификаты пользователя, E-num, электронный токен, привязка IP, биометри- ческие данные и др. [8].

Анализ защиты мобильных сервисов СЭП показал, что у большинства методов и способов защиты выявлены недостатки и уязвимости, которые дают возможность жищения денежных средств пользователя. Однако законодательные и технические меры по ограничению платежей не позволяют похитить с помощью мобильных сервисов СЭП крупные денежные средства.

Также был проведен анализ защиты немобильных сервисов СЭП. Он показал, что у немобильных сервисов существует большое количество разных методов защиты и только половина из них имеют недостатки и уязвимости. Это позволяет использовать немобильные сервисы как безопасное средство платежей, однако именно через них злоумышленники крадут крупные денежные средства [9]. Исследование проводилось на сервисах СЭП, в частности, тех, которые используют в обороте эмитированные электронные деньги и не относятся к интернет-банкингам.

В процессе работы были определены критерии и подкритерии оценки защищенности СЭП (табл. 1). Если какой-то метод или способ безопасности отсутствует, значение безопасности данного критерия будет равно 0 %. В сумме все критерии дают оценку безопасности 100 %. Оценка защищенности системы зависит от количества набранных процентов из 100. Оценка A (отлично) – от 90 % (включительно) и выше, оценка B (хорошо) – от 80 % (включительно) до 90 %, оценка C (удовлетворительно) – от 70 % (включительно) до 80 %, оценка F (неудовлетворительно) – результаты менее 70 %.

Всего выделено 15 критериев безопасности, они разбиты на 6 групп по степени безопасности. Например, в первой подгруппе первый критерий – защита аккаунта паролем, где подкритериями вы-ступают наличие пароля, надежность пароля (то есть минимальный пароль начинается от 1, 5, 8 символов, необходимо ли вводить дополнительные символы), наличие строки надежности пароля, ограничение срока действия пароля системой (например несколько месяцев). Вторым критерием в группе является использование безопасного соединения веб-сайтом, где подкритериями являются безопасность SSL-соединения (то есть используется ли SSL-шифрование и есть ли незащищенный контент на веб-странице), вторым подкритерием является используемый протокол (TLS 1.1 или 1.2, в котором не используются небезопасные алгоритмы шифрования).

Для исследования были взяты 12 систем электронных платежей, имеющих интерфейс на русском языке и находящихся в доменной зоне RU [10]. Это обусловлено тем, что именно эти системы под прицелом у злоумышленников из-за большого количества пользователей. Выбор этих систем немаловажен для рядовых пользователей, так как каждый человек хочет иметь наиболее защищенный инструмент электронных платежей. Результаты исследования представлены в таблице 2.

Исследование показало, что лишь две СЭП – WebMoney и OKPAY – имеют оценку «хорошо» (B). Всего три СЭП (VISA QIWI-кошелек, PayPal, RBK Money) получили оценку «удовлетвори- тельно» (С). Все остальные СЭП получили оценку неудовлетворительно, среди них и Яндекс.Деньги. Для проведения электронных платежей можно рекомендовать использовать СЭП, получившие оценку «удовлетворительно» и выше, но при условии, что пользователь будет следовать инструкциям и рекомендациям СЭП, незамедлительно реагировать на подозрительные действия со своим электронным кошельком и сообщать об этом в службу поддержки СЭП, которую он использует.

Литература

1.     Таненбаум Э., Уэзеролл Д. Компьютерные сети. СПб: Питер, 2012. 960 c.

2.     Иванов М.А., Михайлов Д.М., Чугунков И.В. Защита информации в электронных платежных системах. М.: КНОРУС, 2011.

3.     Голдовский И. Безопасность платежей в Интернете. СПб: Питер, 2005. 240 c.

4.     Уэллс Т. Компьютерное мошенничество. Битва байтов. М.: Маросейка, 2010. 354 с.

5.     Официальный веб-сайт лаборатории Касперского. URL: http://www.kasperskylab.com (дата обращения: 15.07.16).

6.     Ануреев С.В. Платежные системы и их развитие в России. М.: Финансы и статистика, 2005. 288 с.

7.     Официальный веб-сайт делового портала TADVISER. URL: http://www.tadviser.ru (дата обращения: 15.07.16).

8.     IT-сообщество Хабрахабр. URL: http://habrahabr.ru (дата обращения: 15.07.16).

9.     Гризов А. Новые платежные технологии. Информационно-справочное издание. М.: Рекон Интернешнл, 2009. 468 с.

10.  Официальный веб-сайт информационного агентства «Банки.ру». URL: http://www.banki.ru (дата обращения: 15.07.16).