Безопасность электронной коммерции. Популярные мифы и реальность
Пер. Intersoft Lab
Одной из популярнейших тем для обсуждения является безопасность электронной коммерции. Но до сих пор, несмотря на все ценные мнения и высказывания, не существует практичного, "земного" пособия к тому, что же все-таки является предметом безопасности электронной коммерции.
В этой статье приводятся некоторые точки зрения на этот вопрос, и делается попытка отделить мифы от реальной действительности. Давайте попробуем ответить на некоторые базовые вопросы, очевидные для специалистов.
Реальность - Системы могут быть защищены только от известных угроз, с уменьшением количества связанных с ними рисков до приемлемого уровня.
Только вы сами можете определить правильный баланс между желаемым уровнем снижения рисков и стоимостью решения. Безопасность вообще представляет собой один из аспектов риск-менеджмента. А информационная безопасность является совокупностью здравого смысла, риск-менеджмента бизнеса и базовых технических навыков под управлением достойного менеджмента, разумного использования специализированных продуктов, возможностей и экспертиз и правильных технологий разработки. При этом web-cайт - это всего лишь средство доставки информации потребителю.
Миф 2 Безопасность сайтов - это исключительно технический вопрос
Реальность - Слишком часто безопасность в большей степени относится к области соответствующего контроля процесса разработки, правильного управления конфигурацией операционной системы и в целом последовательного управления сайтом.
Настоящая безопасность находится под вашим прямым контролем - то, что приемлемо при разработке внутренних систем, может оказаться неподходящим для сервисов, к которым предоставляется полный общий доступ. Неполадки в системах, затрагивающие внутри предприятия только нескольких доверенных сотрудников, становятся очевидными при перемещении в среды общего доступа.
Миф 3 СМИ регулярно сообщают обо всех слабых местах и рисках в области безопасности
Реальность - Часто СМИ сообщают только о тех неполадках, которые могут привлечь всеобщее внимание и не требуют специальных навыков для понимания заложенной в них проблемы. Такие сообщения редко отражают реальные угрозы бизнесу с точки зрения безопасности и часто вообще не связаны с безопасностью.
Миф 4 Информация по кредитным карточкам в Интернет не защищена
Реальность - На самом деле, информация по кредитным карточкам гораздо меньше подвержена хищениям при передаче по Интернет, чем в близлежащем магазине или ресторане. В несанкционированном использовании такой информации может быть заинтересован недобросовестный бизнес, а как вы с ним работаете - через Интернет или нет - уже не столь важно. Повысить же безопасность собственно передаваемой информации можно с помощью использования защищенных каналов передачи и надежных сайтов, например, тех, что поддерживаются TrustUK.
Существенной составляющей множества систем электронной коммерции является потребность в надежной идентификации потребителей. Способ идентификации непосредственно влияет не только на степень риска, но даже на вид уголовного преследования.
Реальность - Пароли обеспечивают только базовую проверку - что подключается некто авторизованный для использования конкретной системы. Люди склонны не слишком скрывать свои пароли от других - особенно от близких родственников и коллег.
Более сложная технологий аутентификации может оказаться гораздо рентабельнее. Используемый уровень аутентификации должен отражать риск доступа к информации случайных лиц, независимо от согласия на это ее действительного владельца.
Миф 6 Однажды сконфигурированное и установленное решение по безопасности остается надежным с течением времени
Реальность - Предприятия не всегда устанавливают системы как полагается, бизнес меняется, как и угрозы. Необходимо убедиться, что системы ведут профайлы безопасности, и что ваш профайл постоянно переоценивается с точки зрения развития бизнеса и внешней среды.
Не менее важна и технология, однако она должна рассматриваться как составная часть более широкого спектра средств для контроля безопасности. Обычно в качестве решения для защиты содержимого электронно-коммерческих сайтов называют брандмауэры, однако даже они имеют свои слабые места.
Миф 7 Брандмауэры непроницаемы. Реализовав брандмауэр, можно почивать на лаврах в уверенности, что злоумышленники никогда не проникнут через него
Реальность - Проблема в том, что их необходимо конфигурировать так, чтобы через них все же шел некий трафик, причем в обоих направлениях.
Необходимо тщательно обдумать, что вы пытаетесь защитить. Предотвращение атаки на главную страницу вашего сайта существенно отличается от предотвращения использования вашего web-сервера в качестве пути к вашим серверным системам, и требования к брандмауэру в обоих случая сильно отличаются. Многие системы нуждаются в сложной многослойной защите для обеспечения доступа к более чувствительным данным только авторизованных пользователей.
Ключевую роль на любом электронно-коммерческом сайте играет, как правило, электронная почта. Тем не менее, она привносит с собой ряд проблем в области безопасности, игнорировать которые недопустимо. Эти проблемы распадаются на две основные категории:
Защита содержимого электронной почты - оно может быть искажено или прочитано.
Защита вашей системы от атак через входящую электронную почту.
Если предполагается работа с конфиденциальной или чувствительной к целостности почтовой информацией, существует масса продуктов для ее защиты.
Реальность - Вирусы до сих пор представляют серьезную опасность. Последнее увлечение создателей вирусов - вложенные в письма файлы, при открытии выполняющие макрос, производящий несанкционированные получателем действия. Но разрабатываются и другие средства распространения вирусов - например, через HTML web-страниц.
Необходимо убедиться, что ваши антивирусные продукты сохраняют актуальность. Если они были предназначены для поиска вирусов, может оказаться, что они способны только выявлять вирусы, но не устранять их.
PKI (Public Key Infrastructure, инфраструктура открытых ключей, поддерживающая использование пар соответствующих друг другу ключей, открытого и закрытого) обычно рассматривается как панацея от всех проблем безопасности электронной коммерции. Это не так. Действительно, эта технология может создать ложное чувство защищенности. Сегодня она уже является составной частью множества электронно-коммерческих приложений - в основном в среде B2B. Но движется ли развитие PKI в том же направлении, неизвестно.
Миф 9 Компания, имеющая сертификат на открытый ключ от уважаемого Certification Authority (CA), сама по себе уже заслуживает доверия
Реальность - Сертификат просто подразумевает нечто вроде:
"На момент запроса сертификата, я, CA, произвел известные действия для проверки идентичности этой компании. Вас это может удовлетворить, а может и нет. Я не знаком с этой компанией и не знаю, можно ли ей доверять, и даже - в чем именно состоит ее бизнес. До тех пор, пока меня не известят, что открытый ключ дискредитирован, я даже не узнаю, что он, например, украден или передан кому-то еще, и это ваше дело - проверять, не аннулирован ли он. Моя ответственность ограничивается положениями документа, описывающего политику моей компании (Policy Statement), которое вам следует прочитать прежде, чем использовать ключи, связанные с данной компанией".
Миф 10 Цифровые подписи являются электронным эквивалентом рукописных
Реальность - Некоторое сходство имеется, однако есть множество очень существенных различий, поэтому неразумно считать эти два вида подписи равноценными. Их надежность также зависит от того, насколько строго установлено, чтобы закрытый ключ находился действительно в индивидуальном пользовании.
Ключевые различия заключаются также в том, что:
Рукописные подписи находятся полностью под контролем подписывающего лица, цифровые же создаются с использованием компьютера и программного обеспечения, которые могут работать, а могут и не работать так, чтобы выполняемым ими действиям можно было доверять.
Рукописные подписи, в отличие от цифровых, имеют оригинал, который можно копировать.
Рукописные подписи не слишком тесно связаны с тем, что ими подписывается, содержание подписанных бумаг может быть изменено после подписания. Цифровые подписи сложным образом связаны с конкретным содержимым данных, которые ими подписаны.
Способность выполнять рукописную подпись не может быть предметом хищения, в отличие от закрытого ключа.
Рукописные подписи могут копироваться с разной долей сходства, а копии цифровых подписей могут создаваться только путем использования похищенных ключей и имеют при этом стопроцентную идентичность подписи реального владельца ключа.
И, наконец, некоторые протоколы аутентификации требуют подписи данных цифровой подписью от вашего имени, и при этом вы никогда не узнаете, что именно было подписано. Вас могут заставить подписывать цифровой подписью практически что угодно.
Миф 11 Продукты в области безопасности можно оценивать согласно их функциональности, как и бизнес-пакеты
Реальность - Они требуют также оценки безопасности их реализации и тех угроз, от которых они не могут защитить (которые могут быть и не задокументированы).
В целом бизнес-приложения выбираются исходя из их функциональных возможностей и простоты использования. Часто считается само собой разумеющимся, что функции выполняются как полагается (например, пакет для исчисления налогообложения верно рассчитывает налоги). Но это несправедливо в отношении продуктов, обеспечивающих безопасность. Самым большим вопросом здесь становится то, как реализованы в них функции защиты. Например, пакет может предлагать мощную парольную аутентификацию пользователей, но при этом хранить пароли в простом текстовом файле, который может прочитать практически кто угодно. И это было бы совсем не очевидно и могло бы создать ложное чувство защищенности.
Миф 12 Продукты в области безопасности легко устанавливаются
Реальность - Большинство продуктов поставляются с заданными по умолчанию установочными параметрами. Однако, организации имеют различную политику и безопасности и конфигурации всех систем и рабочих станций редко соответствуют друг другу. На практике, установка должна быть подстроена под политику безопасности организации и каждую из специфических конфигураций платформ. Проверка механизмов обслуживания быстро растущего числа пользователей и других атрибутов создания защищенной среды для сотен имеющихся пользователей может оказаться весьма сложным и длительным процессом.
Миф 13 PKI-продукты защищают электронную коммерцию без дополнительной настройки
Реальность - PKI-продукты представляют собой базовый инструментарий, помогающий реализовывать решения в области безопасности, однако только как часть всего пакета, включающего также юридические, процедурные, а также прочие технические элементы. На практике это часто гораздо сложнее и дороже, чем установка базовой PKI.
Миф 14 Консультанты по безопасности заслуживают абсолютного доверия
Реальность - Помните, что консультанты по безопасности будут иметь доступ ко всем вашим наиболее чувствительным процессам и данным. Если приглашаемые консультанты не работают в какой-либо пользующейся уважением фирме, необходимо получить сведения из незаинтересованного источника об их компетентности и опыте - например, поговорить с их прежними заказчиками.
Существует масса консультантов, заявляющих о себе как о профессионалах в области информационной безопасности, но на самом деле практически не имеющих представления о том, что это такое. Они могут даже создать ложное чувство безопасности, убеждая вас, что ваши системы более защищены, чем на самом деле.
Таким образом, прежде чем листать самые современные брошюры по вопросам безопасности, разложите по полочкам основное:
Тщательно рассчитайте типы рисков, угрожающих вашему электронно-коммерческому бизнесу и во что они вам обошлись бы, и не тратьте на защиту больше, чем эта предполагаемая цена риска.
Соблюдайте баланс между процедурными и техническими средствами контроля безопасности.
Разработайте полностью проект систем, в котором безопасность была бы одним из основополагающих компонентов, а не вносилась бы пост-фактум, после некоторых раздумий.
Выберите продукты безопасности, соответствующие этому проекту.