На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

2
Ожидается:
16 Июня 2024

Исследование защищенности систем электронных платежей

Investigation of security of electronic payment systems
Дата подачи статьи: 25.11.2016
УДК: 004.056.53
Статья опубликована в выпуске журнала № 2 за 2017 год. [ на стр. 324-327 ]
Аннотация:В данной работе исследуется защищенность систем электронных платежей. Актуальность исследования обу-словлена постоянным ростом количества преступлений в сфере электронных платежей, что подтверждается официальной статистикой. Пользователям систем электронных платежей необходимо иметь представление о защищенности этих систем, следовательно, и о защищенности своих денежных средств, хранящихся в них. В процессе работы рассматривались разнообразные системы электронных платежей, проанализированы способы и методы, обеспечивающие безопасность систем, выявлены недостатки и достоинства способов и методов их защиты, определены критерии и подкритерии оценки защищенности, а для каждого из подкритериев определено значение показателя безопасности в процентах. На основании значений показателей была произведена оценка защищенности систем электронных платежей, что позволяет сделать выводы о степени защищенности каждой из них. Исследование позволяет дать оценку защищенности наиболее популярных систем электронных платежей на территории Российской Федерации и стран СНГ.
Abstract:The article investigates security of electronic payment systems. The relevance of this study is confirmed by the official statistics, which shows the increase of the number of crimes in the field of electronic payments year by year. Therefore, users of these systems need to be aware of the security of electronic payment systems, consequently, about the security of their money stored in these systems. The work considers a variety of electronic payment systems, analyzes the ways and methods of ensuring the security of electronic payment systems, identifies advantages and disadvantages of techniques and methods of electronic payment system protection, the criteria and sub-criteria for evaluation of electronic payment system security, and determines value security index in percentage terms for each sub-criteria. Based on the values of the indicators the authors assessed security of electronic payment systems and received an overall assessment for each electronic payment system. Based on the assessment, the paper shows some conclusions about the degree of security of an electronic payment system. This study demonstrates the assessment of security of the most popular electronic payment systems in the Russian Federation and CIS countries.
Авторы: Маркина Т.А. (tmark812@mail.ru) - Университет ИТМО (доцент), Санкт-Петербург, Россия, кандидат технических наук, Хрупов В.А. (od@mail.ifmo.ru) - Университет ИТМО (студент), Санкт-Петербург, Россия
Ключевые слова: система электронных платежей, электронный платеж, электронные деньги, защищенность системы электронных платежей, мобильный сервис системы электронных платежей, немобильный сервис системы электронных платежей, карточная платежная система
Keywords: : electronic payment systems, electronic payment, e-money, security, electronic payment systems, mobile service electronic payment system, no mobile service electronic payment systems, card payment system
Количество просмотров: 4984
Статья в формате PDF
Выпуск в формате PDF (17.16Мб)
Скачать обложку в формате PDF (0.28Мб)

Размер шрифта:       Шрифт:

Информатизация современного общества несет в себе как позитивное, так и негативное начало. В связи с массовой компьютеризацией информационных процессов, увеличением ценности и значимости информационных ресурсов перед обществом встает острая проблема защиты информации и персонализированных данных, которые циркулируют в важных информационных системах, то есть предотвращение модифицирования, удаления и похищения для использования в криминальных целях.

Система электронных платежей (СЭП) – это технология (если говорить о реализации, то сервис), представляющая собой совокупность методов, договоренностей и подтехнологий и позволяющая производить расчеты между контрагентами по сетям передачи данных [1]. СЭП входят в сферу электронной коммерции. В настоящее время главной угрозой для электронной коммерции являются преступления в сфере информационных технологий, или киберпреступность [2]. Противоправные действия в области систем электронных платежей могут повлечь за собой нарушения в работе ЭВМ и привести СЭП, банк, а впоследствии и рыночную экономику к краху. Проблемами защиты данных в СЭП, в том числе электронных платежей, разработкой современных технических и клиентских средств защиты, а также усовершенствованием антивирусных систем сегодня занимаются многие отечественные и иностранные специалисты (см. [3, 4] и др.), а также крупные компании: Eset Soft- ware Ltd, Kaspersky AntiVirus [5] и многие другие. Существует значительное количество научных исследований и практических разработок, связанных с защитой СЭП, однако в силу постоянного разви- тия технологий возникают новые проблемы, которые необходимо решать новыми способами [6].

Под защищенностью СЭП понимается совокупность технических и клиентских средств защиты, обеспечивающих требуемый уровень безопасности. В настоящий момент средства криптографической и технической защиты еще не имеют длительной истории успешной эксплуатации и безопасность (подделка, хищение, изменение номинала) не подтверждена широким обращением [2]. Теоре- тически возможны хищения электронных денег посредством инновационных методов в силу недостаточной зрелости технологий защиты [4]. Актуальность данного исследования подтверждена официальной статистикой. По данным МВД, в 2013 году зарегистрировано более 11 тысяч преступлений в сфере электронных платежей, а к середине 2014 года – более 7 тысяч [7]. По приведенной статистике можно судить о том, что количество преступлений в сфере электронных платежей растет с каждым годом. Это означает, что операторы СЭП не торопятся создавать и вводить новые методы и способы защиты платежей, а пользователям необходимо самим выбирать наиболее безопасные СЭП для оплаты товаров и услуг.

СЭП подразделяются на мобильные сервисы (приложения СЭП для мобильных устройств) и немобильные (браузерные СЭП, приложения СЭП для ПК). По видам оплаты СЭП подразделяют на карточные платежные системы и операторы электронных денег.

Платежные шлюзы – симбиоз карточных платежных систем и операторов цифровой наличности. Такие системы позволяют совершать практи- чески все возможные транзакции в рамках одной системы. Большинство СЭП можно отнести к шлюзам, но обычно каждая СЭП выделяет основной тип электронных платежей [3].

В ходе работы был проведен анализ способов и методов защиты мобильных и немобильных сервисов СЭП, таких как протоколы SSL и SET [1], объединенный протокол SSL и SET, CVV2- и CVK2-код, проверка адреса Adress Verification Service, однофакторная и двухфакторная авторизация, электронные сертификаты пользователя, E-num, электронный токен, привязка IP, биометри- ческие данные и др. [8].

Анализ защиты мобильных сервисов СЭП показал, что у большинства методов и способов защиты выявлены недостатки и уязвимости, которые дают возможность жищения денежных средств пользователя. Однако законодательные и технические меры по ограничению платежей не позволяют похитить с помощью мобильных сервисов СЭП крупные денежные средства.

Также был проведен анализ защиты немобильных сервисов СЭП. Он показал, что у немобильных сервисов существует большое количество разных методов защиты и только половина из них имеют недостатки и уязвимости. Это позволяет использовать немобильные сервисы как безопасное средство платежей, однако именно через них злоумышленники крадут крупные денежные средства [9]. Исследование проводилось на сервисах СЭП, в частности, тех, которые используют в обороте эмитированные электронные деньги и не относятся к интернет-банкингам.

В процессе работы были определены критерии и подкритерии оценки защищенности СЭП (табл. 1). Если какой-то метод или способ безопасности отсутствует, значение безопасности данного критерия будет равно 0 %. В сумме все критерии дают оценку безопасности 100 %. Оценка защищенности системы зависит от количества набранных процентов из 100. Оценка A (отлично) – от 90 % (включительно) и выше, оценка B (хорошо) – от 80 % (включительно) до 90 %, оценка C (удовлетворительно) – от 70 % (включительно) до 80 %, оценка F (неудовлетворительно) – результаты менее 70 %.

Всего выделено 15 критериев безопасности, они разбиты на 6 групп по степени безопасности. Например, в первой подгруппе первый критерий – защита аккаунта паролем, где подкритериями вы-ступают наличие пароля, надежность пароля (то есть минимальный пароль начинается от 1, 5, 8 символов, необходимо ли вводить дополнительные символы), наличие строки надежности пароля, ограничение срока действия пароля системой (например несколько месяцев). Вторым критерием в группе является использование безопасного соединения веб-сайтом, где подкритериями являются безопасность SSL-соединения (то есть используется ли SSL-шифрование и есть ли незащищенный контент на веб-странице), вторым подкритерием является используемый протокол (TLS 1.1 или 1.2, в котором не используются небезопасные алгоритмы шифрования).

Для исследования были взяты 12 систем электронных платежей, имеющих интерфейс на русском языке и находящихся в доменной зоне RU [10]. Это обусловлено тем, что именно эти системы под прицелом у злоумышленников из-за большого количества пользователей. Выбор этих систем немаловажен для рядовых пользователей, так как каждый человек хочет иметь наиболее защищенный инструмент электронных платежей. Результаты исследования представлены в таблице 2.

Исследование показало, что лишь две СЭП – WebMoney и OKPAY – имеют оценку «хорошо» (B). Всего три СЭП (VISA QIWI-кошелек, PayPal, RBK Money) получили оценку «удовлетвори- тельно» (С). Все остальные СЭП получили оценку неудовлетворительно, среди них и Яндекс.Деньги. Для проведения электронных платежей можно рекомендовать использовать СЭП, получившие оценку «удовлетворительно» и выше, но при условии, что пользователь будет следовать инструкциям и рекомендациям СЭП, незамедлительно реагировать на подозрительные действия со своим электронным кошельком и сообщать об этом в службу поддержки СЭП, которую он использует.

Литература

1.     Таненбаум Э., Уэзеролл Д. Компьютерные сети. СПб: Питер, 2012. 960 c.

2.     Иванов М.А., Михайлов Д.М., Чугунков И.В. Защита информации в электронных платежных системах. М.: КНОРУС, 2011.

3.     Голдовский И. Безопасность платежей в Интернете. СПб: Питер, 2005. 240 c.

4.     Уэллс Т. Компьютерное мошенничество. Битва байтов. М.: Маросейка, 2010. 354 с.

5.     Официальный веб-сайт лаборатории Касперского. URL: http://www.kasperskylab.com (дата обращения: 15.07.16).

6.     Ануреев С.В. Платежные системы и их развитие в России. М.: Финансы и статистика, 2005. 288 с.

7.     Официальный веб-сайт делового портала TADVISER. URL: http://www.tadviser.ru (дата обращения: 15.07.16).

8.     IT-сообщество Хабрахабр. URL: http://habrahabr.ru (дата обращения: 15.07.16).

9.     Гризов А. Новые платежные технологии. Информационно-справочное издание. М.: Рекон Интернешнл, 2009. 468 с.

10.  Официальный веб-сайт информационного агентства «Банки.ру». URL: http://www.banki.ru (дата обращения: 15.07.16).


Постоянный адрес статьи:
http://swsys.ru/index.php?page=article&id=4290&lang=
Статья в формате PDF
Выпуск в формате PDF (17.16Мб)
Скачать обложку в формате PDF (0.28Мб)
Статья опубликована в выпуске журнала № 2 за 2017 год. [ на стр. 324-327 ]

Назад, к списку статей