Анализ электронных платежных систем

Paycash и Webmoney позиционируются  их разработчиками как системы  электронной наличности, однако  при ближайшем рассмотрении только Paycash может по праву претендовать  на такой статус.

Разработка Paycash была инициирована банком "Таврический", но в настоящее  время к системе подключены и  другие банки, например, "Гута-банк".

С технологической точки  зрения, Paycash обеспечивает практически  полную имитацию расчетов наличными. Из одного электронного кошелька (специализированной программы, устанавливаемой клиентом на свой компьютер) деньги могут быть переведены в другой, при этом обеспечивается анонимность платежа по отношению  к банку. Система получила достаточно широкое распространение в России и в настоящее время предпринимает  попытки выхода на мировой рынок.

Узким местом Paycash является процедура по перечислению денег  в электронный кошелек. До последнего времени единственным способом сделать это было — пойти в отделение банка и перевести деньги на счет системы. Правда, были и альтернативы — для пользователей системы "Телебанк" Гута-банка, существовала возможность перевести деньги со счета в Гута-банке, не выходя из дома, но в ряде случаев, по всей видимости, проще переводить их непосредственно на счет продавца — электронного магазина, не используя Paycash в качестве посредника. Также можно было переводить деньги через Western Union или почтовым/телеграфным переводом, но привлекательность этого пути ограничивалась высоким уровнем комиссии.

Возможность перечисления денег  в Paycash с кредитных карт по сей  день отсутствует. Это связано с  тем, что компании, поддерживающие работу карточных систем, обеспечивают своим  клиентам возможность так называемого "charge back" — отказа от совершения платежа "задним числом". "Charge back" является механизмом, защищающим владельца кредитной карточки от мошенников, которые могут воспользоваться ее реквизитами. В случае такого отказа бремя доказательства того, что товар действительно был поставлен настоящему владельцу карточки и что платеж должен быть совершен, падает на продавца. Но в случае с Paycash такого рода доказательство в принципе невозможно — по вполне очевидным причинам. Упомянутый выше шлюз с CyberPlat, находящийся в стадии разработки, предназначен в том числе и для решения этой проблемы.

Система Webmoney — один из "пионеров" на рынке электронных платежей в  России. В настоящее время она  имеет международный характер. По некоторым сведениям, Webmoney имеет  представителей не только в странах  — республиках бывшего СССР, но и в дальнем зарубежье. Оператором системы является автономная некоммерческая организация "ВМ-центр".

Режим функционирования Webmoney очень напоминает работу с электронной  наличностью, только внимательный и  придирчивый анализ позволяет убедиться, что на самом деле Webmoney не обеспечивает полной анонимности платежей, то есть они не являются закрытыми от самих  владельцев системы. Впрочем, практика работы Webmoney показала, что это ее свойство идет скорее на пользу, позволяя в некоторых случаях бороться с мошенничеством. Более того, в  качестве отдельного платного сервиса "ВМ-центр" предлагает сертификацию юридического и физического лица, естественно, лишающую его анонимности по отношению к другим участникам системы. Эта возможность необходима прежде всего тем, кто хочет организовать честный электронный магазин и намеревается убедить потенциальных покупателей в своей надежности. Webmoney позволяет открывать счета и переводить средства в двух валютах: рублях и долларах.

Для доступа к системе  используется программа "электронный  кошелек". Дополнительными возможностями  системы являются передача коротких сообщений с кошелька на кошелек, а также кредитные операции между  владельцами кошельков. Впрочем, по нашему мнению, мало кто согласится кредитовать анонимов через Интернет, не имея возможности принудительно  взыскивать кредит в случае его невозврата.

В отличие от Paycash, Webmoney изначально обеспечивала возможность как передачи обычных наличных в кошелек, так  и обналичивание содержимого кошельков без утомительных процедур заполнения платежных поручений в банке, но достаточно странным, с юридической точки зрения, способом. Вообще, юридическое обеспечение Webmoney в части ее работы с организациями долгое время вызывало много нареканий.

Это было причиной того, что  в то время как конечные пользователи активно устанавливали себе "кошельки", многие электронные магазины отказывались от использования этой ЭПС. Правда, в настоящее время эта ситуация несколько выправилась, да и активная маркетинговая позиция владельцев Webmoney приводит к тому, что имидж  системы постоянно улучшается. Одной  из интересных особенностей этой маркетинговой  стратегии явилось то, что почти  сразу после ее выхода на рынок  всем желающим была предоставлена возможность  зарабатывать деньги в этой системе (кое-кто, может быть, вспомнит проект "Гвозди" и его более позднего развития — visiting). Так же, как и Paycash, Webmoney выпускает предоплаченные скрэтч-карты, предназначенные для ввода денег в систему.

2. СРЕДСТВА ЗАЩИТЫ СИСТЕМ  ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

2.1 Угрозы, связанные с  использованием систем электронных  платежей

Рассмотрим возможные  угрозы разрушающих действий злоумышленника по отношению к данной системе. Для  этого рассмотрим основные объекты  нападения злоумышленника. Главным  объектом нападения злоумышленника являются финансовые средства, точнее их электронные заместители (суррогаты) - платежные поручения, циркулирующие  в платежной системе. По отношению  к данным средствам злоумышленник  может преследовать следующие цели:

1. Похищение финансовых  средств.

2. Внедрение фальшивых  финансовых средств (нарушение  финансового баланса системы).

3. Нарушение работоспособности  системы (техническая угроза).

Указанные объекты и цели нападения носят абстрактный  характер и не позволяют провести анализ и разработку необходимых  мер защиты информации, поэтому в  таблице 4 приводится конкретизация  объектов и целей разрушающих  воздействий злоумышленника.

Таблица 4 Модель возможных  разрушающих действий злоумышленника

Объект воздействия	Цель воздействия	Возможные механизмы  реализации воздействия.
HTML-страницы на web-сервере  банка	Подмена с целью получение  информации, вносимой в платежное  поручение клиентом.	Атака на сервер и подмена  страниц на сервере. Подмена страниц в трафике. Атака на компьютер клиента  и подмена страниц у клиента
Клиентские информационные страницы на сервере	Получение информации о платежах клиента (ов)	Атака на сервер. Атака на трафик. Атака на компьютер клиента.
Данные платежного поручения, вносимые клиентом в форму	Получение информации, вносимой в платежное поручение клиентом.	Атака на компьютер клиента (вирусы и т.д.). Атака на данные поручения  при его пересылке по трафику. Атака на сервер.
Частная информация клиента, расположенная на компьютере клиента  и не относящаяся к системе  электронных платежей	Получение конфиденциальной информации клиента. Модификация информации клиента. Выведение из строя компьютера клиента.	Весь комплекс известных  атак на компьютер, подключенный к сети Интернет. Дополнительные атаки, которые  появляются в результате использования  механизмов платежной системы.
Информация процессингового центра банка.	Раскрытие и модификация  информации процессингового центра и локальной сети банка.	Атака на локальную сеть, подключенную к Интернет.

 

Из данной таблицы вытекают базовые требования, которым должна удовлетворять любая система  электронных платежей через Интернет:

Во-первых, система должна обеспечивать защиту данных платежных  поручений от несанкционированного изменения и модификации.

Во-вторых, система не должна увеличивать возможности злоумышленника по организации атак на компьютер  клиента.

В-третьих, система должна обеспечивать защиту данных, расположенных  на сервере от несанкционированного чтения и модификации.

В-четвертых, система должна обеспечивать или поддерживать систему  защиты локальной сети банка от воздействия  из глобальной сети.

В ходе разработки конкретных систем защиты информации электронных  платежей, данная модель и требования должны быть повергнуты дальнейшей детализации. Тем не менее, для текущего изложения  подобная детализация не требуется.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ  
Электронные деньги все более явно начинают становиться нашей повседневной реальностью, с которой, как минимум, уже необходимо считаться. Конечно, никто в ближайшие лет пятьдесят (наверное) не отменит обычные деньги. Но не уметь управляться с электронными деньгами и упускать те возможности, которые они с собой несут, - значит добровольно возводить вокруг себя «железный занавес», который с таким трудом раздвигался за последние полтора десятка лет. Многие крупные фирмы предлагают оплату своих услуг и товаров через электронные расчеты. Потребителю же это значительно экономит время.  
Бесплатное программное обеспечение для открытия своего электронного кошелька и для всей работы с деньгами максимально адаптировано для массовых компьютеров, и после небольшой практики не вызывает у рядового пользователя никаких проблем. Наше время – время компьютеров, Интернет и электронной коммерции. Люди, обладающие знаниями в этих областях и соответствующими средствами, добиваются колоссальных успехов. Электронные деньги – деньги, получающие все более широкое распространение с каждым днем, открывающие все больше возможностей для человека, имеющего доступ в Сеть.  

 

 

 

 

 

 

 

БИБЛИОГРАФИЧЕСКИЙ СПИСОК  
1.                Антонов Н.Г., Пессель М.А. Денежное обращение, кредит и банки. -М.: Финстатинформ, 2005, стр. 179-185.  
2.                Банковский портфель - 3. -М.: Соминтэк, 2005, стр. 288-328.  
3.                Михайлов Д.М. Международные расчеты и гарантии. М.: ФБК-ПРЕСС, 2008, стр. 20-66.  
4.                Поляков В.П., Московкина Л.А. Структура и функции центральных банков. Зарубежный опыт: Учебное пособие. - М.: ИНФРА-М, 2006.  
5.                Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 2004 г.  
6.                Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ,2007 г.  
7.                Крысин В.А. Безопасность предпринимательской деятельности. — М:Финансы и статистика, 2006 г.  
8.                Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. — М: НИТ, 2008 г.  
9.                Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 2007 г.  
10.           Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. — СПБ: Питер, 2008 г. 
11.           Novell NetWare. Руководство пользователя, 2008 г.  
12.           Аглицкий И. Состояние и перспективы информационного обеспечения российских банков. — Банковские технологии, 2007 г. №1.