Чтение 4–й страницы книги ~ТВТ~

Кстати, один из промежуточных шагов от обычного операционного зала к
виртуальному - это автоматизированный зал самообслуживания. Такой зал можно
реализовать средствами, предназначенными для работы с Интернетом, но в
рамках внутрибанковской компьютерной сети (такой подход к реализации
информационных систем получил название Intranet). При этом убивают двух
зайцев - обкатывается технология работы с банковскими продуктами через
Интернет и снимается подсознательное недоверие клиента к работе в рамках
виртуального пространства. В таком зале совмещаются "электронные стойки" и
обычные банкоматы, обеспечивающие работу с наличными деньгами. Особенно
удобно использование таких операционных залов в сочетании с системами типа
"электронный кошелек". Этот подход в настоящее время используется некоторыми
банками, а также фирмой Derby в ее проекте "Электронный город Злин".

Перенесение в Интернет для работы в оперативном режиме хотя бы
минимального набора банковских услуг, связанных с ведением счетов, - это
необходимое условие для банков, желающих освоить нетрадиционные услуги.

Электронные деньги (карточки или анонимные банкноты)

На торговом поле действуют три основные группы людей - продавцы,
покупатели и посредники в расчетах (банки).

Появление новой среды взаимодействия не только порождает новые
возможности реализации старых инструментов, но и требования к появлению
новых инструментов.

Первоначальное использование Интернета в торговле было аналогично
торговле по почте или телефону - только как средство заказа товара.
Покупатель просматривал каталог, выбирал требуемые товары, заполнял бланк
заказа и сообщал метод платежа. Реально используемым платежным инструментом
были кредитные или дебетовые карточки. Возникающие проблемы с возможным
перехватом информации были решены обычными методами, которые будут
рассмотрены ниже.

Также были образованы платежные системы на основе кредитных карточек
(например, CyberCash). Однако использование карточек не позволяло делать
мелкие платежи ввиду относительно высокой стоимости отдельной транзакции (а
именно мелкие платежи были желательны компаниям, предоставляющим
информационные услуги через Интернет), не давало возможности расчетов
напрямую между субъектами.

В связи с этим практически одновременно возникло несколько платежных
систем в рамках Интернета. Все они основаны на выпуске банком "электронных
банкнот", на самом деле являющихся электронными чеками банков. Одной из
наиболее известных систем является Ecash (или Digicash), являющаяся
полностью автономной платежной системой. Кроме относительно невысокой
стоимости транзакций, Ecash также обеспечивает анонимность платежей,
используя так называемую "слепую подпись", что является существенным
преимуществом при выборе платежной системы конечным пользователем.

Ecash скорее является технологией, которую используют банки и их клиенты.
Немаловажную роль играет наличие разного рода организационных структур,
обеспечивающих функционирование торговли через Интернет, вообще, и работы
банков, в частности.

Интерес к работе в рамках Интернета проявляют и системы расчетов с
использованием микропроцессорных карточек.

Например, Mondex имеет планы подключения своих терминалов (которые
позволяют обмениваться электронными деньгами непосредственно между
владельцами карточек) к Интернету.

Безопасность , или Не так страшен черт, как его малюют

Мы подошли к теме, которая постоянно появляется в средствах массовой
информации. Это вопросы безопасности в Интернете. Очевидно, что исследуемая
область приложения предъявляет особые требования к безопасности и
надежности.

Подробное исследование всех методологических и технических основ
обеспечения надежности заняло бы не один журнал, так что мы будем
предполагать, что все основные понятия известны. Следует только отметить:
абсолютно устойчивых методов шифрования нет; вопрос только в том, чтобы
затраты на расшифровку или подделку сообщений превышали получаемую выгоду. В
настоящее время такие методы существуют, и все попытки дискредитировать их
провалились.

Сразу следует сказать, что обе крайние точки зрения ("Интернет - место,
где резвятся одни хакеры" и "все очень легко, просто и надежно") не
правильны. Хакеры и прочие субъекты, желающие прожить за чужой счет, в
Интернете есть, но при соблюдении определенных правил безопасность обмена
информацией может быть обеспечена. К тому же, в области финансовых отношений
существуют другие методы обмана клиентов, напрямую не связанные с
Интернетом. Скорее эти методы перенесены в виртуальное пространство из
реального, а его размеры и простота общения только упрощают задачу
мошенникам.

Первой проблемой работы организаций с Интернетом (не только финансовых, а
и всех остальных) была проблема защиты информации в своих локальных сетях от
несанкционированного доступа. Этой проблеме уже много лет, и постоянно идет
борьба брони и снаряда - отыскиваются новые дырки в защитных системах,
придумываются новые методы борьбы с проникновением. Активное развитие
распределенных гипертексовых систем (Всемирной паутины WWW) и использование
распределенных вычислений (язык Java) привело к появлению новых проблем. Но
методы борьбы с проникновением известны, и в рамках финансовых организаций
основным является использование закрытых внутренних сетей, отгороженных от
внешнего мира брандмауэрами (firewall), а также использование динамических
методов идентификации пользователей. Так что при аккуратном использовании
можно считать, что от несанкционированного доступа защититься можно.

Расчеты кредитными карточками через Интернет натолкнулись на проблему
перехвата сообщений, содержащих номер карточки и прочую информацию о
владельце. Эта проблема была решена автономными системами шифрования
информации (например, CyberWallet), основанными на асимметричных алгоритмах
шифрования. Большинство систем пластиковых карточек также создало свои
протоколы и системы передачи информации.

Аналогичными методами решается проблема защиты информации от искажения.
Тут применяется традиционная электронная подпись.

Но проблем защиты передаваемой информации - не самая сложная, она требует
минимальных организационных усилий. Достаточно передать клиенту открытый
ключ системы асимметричного шифрования, и никто не сможет прочитать
зашифрованное сообщение.

Более важной является проблема защиты от появления ложных фирм (и ложных
покупателей). Методы работы таких фирм традиционны. В рамках Интернета очень
легко организовать фиктивные фирмы, которые будут собирать заказы, получать
деньги в банке и после этого ликвидироваться. И в результате будут страдать
либо покупатели, либо банки (в зависимости от условий выдачи карточек и
местных законов).

В конечном итоге решение этой проблемы сводится к организации системы
центров подтверждения подлинности (authentication) как продавцов, так и
покупателей. Технически эти системы основаны на наличии системы связанных
серверов ключей, которые по запросу могут выдать открытые ключи любого
продавца, и покупатель может проверить подлинность продавца. Организационно
эти системы не должны быть зависимы ни от продавцов, ни от банков.

Создание таких систем подтверждения подлинности является достаточно
сложной организационной задачей, к решению которой сейчас приступают
некоторые международные организации. Наиболее значимым проектом такого рода
является eTRUST, продвигаемый в настоящее время такими некоммерческими
ассоциациями в рамках Интернета, как CommerceNet и Electronic Frontier
Foundation. Этот проект нацелен на обеспечение доверия и конфиденциальности
в электронных сделках.

Основные принципы eTRUST включают:

потребитель имеет право знать о степени приватности и безопасности сделки
до ее совершения;

приватность сделки невозможна без соответствующей безопасности;

нет единого стандарта приватности для всех типов сделок.

В этом проекте принимают участие не только организации, связанные с
Интернетом, но и аудиторские фирмы, что обеспечивает ему надежное легитимное
сопровождение.