Безопасность электронных платежей
В последние годы электронные технологии
активно внедряются в бизнес-процессы.
Необходимость всегда иметь под рукой
нужную информацию заставляет многих
руководителей задумываться над проблемой
оптимизации бизнеса с помощью компьютерных
систем. Но если перевод бухгалтерского
учета из бумажной формы в электронную давно
осуществлен, то взаиморасчеты с банком все
еще остаются недостаточно
автоматизированными: массовый переход на
электронный документооборот только
предстоит.
Сегодня многие банки имеют те или иные
каналы для удаленного осуществления
платежных операций. Отправить "платежку"
можно прямо из офиса, воспользовавшись
модемным соединением или выделенной линией
связи. Стало реальностью выполнение
банковских операций через Интернет - для
этого достаточно иметь компьютер с
доступом в глобальную сеть и ключ
электронной цифровой подписи (ЭЦП), которая
зарегистрирована в банке.
Удаленное обслуживание в банке позволяет
повысить эффективность частного бизнеса
при минимальных усилиях со стороны его
владельцев. При этом обеспечиваются:
экономия времени (не нужно приходить в банк
лично, платеж можно выполнить в любое время);
удобство работы (все операции производятся
с персонального компьютера в привычной
деловой обстановке); высокая скорость
обработки платежей (банковский оператор не
перепечатывает данные с бумажного
оригинала, что дает возможность исключить
ошибки ввода и сократить время обработки
платежного документа); мониторинг
состояния документа в процессе его
обработки; получение сведений о движении
средств по счетам.
Однако, несмотря на очевидные преимущества,
электронные платежи в России пока не очень
популярны, поскольку клиенты банков не
уверены в их защищенности. Это прежде всего
связано с распространенным мнением, что
компьютерные сети легко может "взломать"
какой-нибудь хакер. Этот миф прочно
укоренился в сознании человека, а регулярно
публикуемые в СМИ новости об атаках на
очередной веб-сайт еще сильнее укрепляют
это мнение. Но времена меняются, и
электронные средства связи рано или поздно
заменят личное присутствие плательщика,
желающего сделать безналичный банковский
перевод с одного счета на другой.
На наш взгляд, безопасность электронных
банковских операций сегодня можно
обеспечить. Гарантией этому служат
современные методы криптографии, которые
используются для защиты электронных
платежных документов. В первую очередь это
ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она
успешно применяется в Банке России. Вначале
он ввел систему межрегиональных
электронных расчетов всего в нескольких
регионах. Сейчас она охватывает все регионы
Российской Федерации и представить без нее
функционирование Банка России практически
невозможно. Так стоит ли сомневаться в
надежности ЭЦП, если ее использование
проверено временем и уже так или иначе
касается каждого гражданина нашей страны?
Электронно-цифровая подпись - гарантия
безопасности. Согласно типовому договору
между банком и клиентом наличие под
электронным документом достаточного
количества зарегистрированных ЭЦП
уполномоченных лиц служит основанием для
совершения банковских операций по счетам
клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ
"Об электронной цифровой подписи"
определено, что ЭЦП должна формироваться и
проверяться сертифицированным ФАПСИ
программным обеспечением. Сертификация ЭЦП
является гарантией того, что данная
программа выполняет криптографические
функции согласно нормативам ГОСТ и не
совершает деструктивных действий на
компьютере пользователя.
Чтобы проставить на электронный документ
ЭЦП, необходимо иметь ее ключ, который может
храниться на каком-нибудь ключевом
носителе информации. Современные ключевые
носители ("e-Token", "USB-drive", "Touch-Memory")
по форме напоминают брелоки, и их можно
носить в связке обычных ключей. В качестве
носителя ключевой информации можно также
использовать дискеты.
Если клиент желает использовать в расчетах
с банком электронные платежи, нужно
заключить договор, получить от банка
документацию и необходимое программное
обеспечение. Потом надо настроить на своем
компьютере программное обеспечение (согласно
документации) и сформировать ключи ЭЦП.
Подписать документ электронной цифровой
подписью можно автоматически, вставив
ключевой носитель в компьютер. Затем
носитель следует извлечь и убрать в
надежное место - без ключа личную
электронную подпись никто не сможет
подделать. Для защиты платежных документов
от просмотра информация в них шифруется при
передаче в банк и обратно.
Каждый ключ ЭЦП служит аналогом
собственноручной подписи уполномоченного
лица. Если в организации бумажные "платежки"
обычно подписывают директор и главный
бухгалтер, то в электронной системе лучше
всего сохранить тот же порядок и
предусмотреть для уполномоченных лиц
разные ключи ЭЦП. Впрочем, можно
использовать и одну ЭЦП - данный факт
необходимо отразить в договоре между
банком и клиентом.
Ключ ЭЦП состоит из двух частей - закрытой и
открытой. Открытая часть (открытый ключ)
после генерации владельцем представляется
в Удостоверяющий центр, роль которого
обычно играет банк. Открытый ключ, сведения
о его владельце, назначение ключа и другая
информация подписываются ЭЦП
Удостоверяющего центра. Таким образом
формируется сертификат ЭЦП, который нужно
зарегистрировать в системе электронных
расчетов банка.
Закрытая часть ключа ЭЦП (секретный ключ) ни
при каких условиях не должна передаваться
владельцем ключа другому лицу. Если
секретный ключ был передан даже на короткое
время другому лицу или оставлен где-нибудь
без присмотра, считается, что ключ "скомпрометирован"
(т.е. подразумевается вероятность
копирования или нелегального
использования ключа). Иначе говоря, в этом
случае лицо, не являющееся владельцем ключа,
получает возможность подписать
несанкционированный руководством
организации электронный документ, который
банк примет к исполнению и будет прав, так
как проверка ЭЦП покажет ее подлинность.
Вся ответственность в данном случае
ложится исключительно на владельца ключа.
Действия владельца ЭЦП в этой ситуации
должны быть аналогичны тем, которые
предпринимаются при утере обычной
пластиковой карты: этот человек должен
сообщить в банк о "компрометации" (утере)
ключа ЭЦП. Тогда банк заблокирует
сертификат данной ЭЦП в своей платежной
системе и злоумышленник не сможет
воспользоваться своим незаконным
приобретением.
Предотвратить нелегальное применение
секретного ключа можно и с помощью пароля,
который накладывается как на ключ, так и на
некоторые виды ключевых носителей. Это
способствует минимизации ущерба при утере,
поскольку без пароля ключ становится
недействительным и у владельца будет
достаточно времени, чтобы сообщить банку о
"компрометации" своей ЭЦП.
Электронные платежи с помощью системы InterBank.
Рассмотрим, как клиент может
воспользоваться услугами электронных
платежей при условии, что в банке
установлена система комплексной
реализации электронных банковских услуг
InterBank. Если клиент является частным
предпринимателем либо руководит небольшой
коммерческой фирмой и имеет доступ в
Интернет, ему достаточно будет выбрать
систему криптографической защиты (ЭЦП и
шифрование), которую он хочет использовать.
Мы рекомендуем применять
сертифицированную отечественную
криптографию (хотя программное обеспечение
подсистем InterBank позволяет использовать
любые криптосистемы). Клиент может
установить сертифицированное программное
обеспечение "КриптоПро CSP" либо
ограничиться встроенной в Microsoft Windows
системой Microsoft Base CSP.
Таким образом, для организации удаленного
обслуживания нужны лишь три составляющие:
операционная система Microsoft Windows, доступ в
Интернет и программное обеспечение ЭЦП.
Функциональные возможности по
осуществлению электронных платежей клиент
получит на веб-сайте банка,
воспользовавшись приложением "Интернет-Клиент".
Если клиент - крупная фирма с большим
финансовым оборотом, то ему можно
рекомендовать другую подсистему из состава
InterBank - "Клиент Windows". С ее помощью
клиент самостоятельно ведет базу данных по
электронным документам и может
подготавливать платежные поручения на
своем компьютере, не используя сеанс связи
с банком. Когда все нужные документы будут
сформированы, клиент соединяется с банком
по телефону или выделенной линии для обмена
данными.
Еще один вид услуг, предоставляемый
комплексом InterBank, - информирование клиента о
состоянии его банковских счетов, курсах
валют и передача других справочных данных
через голосовую связь, факс или экран
сотового телефона.
Удобный способ использования электронных
расчетов - визирование платежных
документов уполномоченными сотрудниками
предприятия, которые находятся на
значительном расстоянии друг от друга.
Например, главный бухгалтер подготовил и
подписал электронный платежный документ.
Директор, будучи в данный момент в
командировке в другом городе или в другой
стране, может просмотреть этот документ,
подписать его и отправить в банк. Все эти
действия позволяет выполнить подсистема
"Интернет-Клиент", к которой бухгалтер
и директор предприятия подключатся через
Интернет. Шифрование данных и
аутентификация пользователя будут
осуществляться одним из стандартных
протоколов - SSL или TLS.
Итак, применение электронных платежей в
бизнесе предоставляет значительные
преимущества по сравнению с традиционным
сервисом. Что же касается безопасности, то
ее обеспечивают стандарт ЭЦП (ГОСТ 34.10-94), с
одной стороны, и ответственность клиента за
хранение ключа подписи - с другой.
Рекомендации по использованию и хранению
ключей ЭЦП клиент всегда может получить в
банке, и если он будет им следовать, то
надежность платежей гарантирована.
С.Потапкин Компания R-Style Softlab Интернет Финансы
|
|