О роли аутентификации в электронном бизнесе

О роли аутентификации в современных информационных системах поддержки электронного бизнеса

Для  электронного бизнеса характерно удаленное    взаимодействие пользователей и ресурсов и минимальное очное взаимодействие покупателя с продавцом. Согласно работе [7] для построения эффективного взаимодействия системы и пользователя в современных распределенных системах с применением информационных технологий одними из важнейших задач являются задачи идентификации и аутентификации пользователей. Существует классификация взаимодействия пользователей в зависимости от выполняемых бизнес-процессов и компонентов распределенных систем, из которой следует набор решений по идентификации и аутентификации и защите информации в целом.

В частности, применительно к электронному бизнесу в работе [1] выделены следующие группы взаимодействия пользователей и, следовательно, задач аутентификации:

•    В2Е (Business-to-Enterprise,   бизнес для  предприятия, Business-to-Extended-Enterprise,  бизнес  для   крупного   предприятия) — внутрикорпоративная   система  электронного бизнеса, позволяющая организовывать
работу персонала компании и вести совместную бизнес-деятельность сотрудников,        отдельных структур или подразделений [3]. Для сотрудников компании аутентификация должна предоставлять доступ (в том числе и защищенный доступ) к различным        распределенным приложениям,  обеспечивая   интеграцию  различных приложений и в то же время   устанавливая   заданные требования по безопасности [1] ;В2С (Business-to-Custo-mers, бизнес для потребителя) — сектор рынка, ориентированный на работу с конечными физическими потребителями товаров или услуг. В секторе В2С сделки между производителем и потребителем конечной продукции осуществляются в электронной форме. Сектор В2С образуют электронные магазины и иные организации, торгующие продукцией через Интернет непосредственно для потребителей [3]. Для покупателей и пользователей услуг аутентификация должна позволять обеспечивать доступ к услугам информационной системы при обеспечении заданных требований по безопасности. Как правило, это сводится к обеспечению взаимной аутентификации сервера и пользователя (другими словами, пользователь должен быть уверен, что он зашел именно на тот ресурс, на который хотел попасть, а сервер должен быть уверен, что на данный ресурс зашел именно тот пользователь, который осуществил заказ). Для электронной коммерции очень важен так называемый принцип "неотказуемости" покупателя, осуществившего заказ. Поскольку оплата в России производится "на месте" по факту доставки, платежные системы используются редко, и здесь мы их не рассматриваем;

•    В2В    (Business-to-Busi-ness, бизнес для бизнеса)— сектор рынка, ориентированный на организацию взаимодействия       между компаниями    в   процессе производства   и   продажи товаров или услуг. Сектор В2В охватывает торговые отношения между фирмами, осуществляемые в электронной форме: организацию поставок и продаж; согласование контрактов и планов.

Общими требованиями, предъявляемыми к процессу аутентификации в данных видах электронного бизнеса (а это далеко не все виды электронного бизнеса, например, в настоящее время интесивно развивается направление B2G — Business-to-Government, бизнес для государственных учреждений, в частности, известные в России системы госзаказов) являются следующие:

• надежность, основанная  на  применении,   как минимум, двухфакторного аутентификационного  механизма;
• применение цифровых сертификатов Х.509 в качестве технологической основы построения системы правления доступом пользователей;
• использование российских    криптомодулей реализации ЭЦП;

• малые габариты, простота и удобство использования   персонального идентификатора, с помощью которого пользователь аутентифицируется;

• развитая    система публичных Удостоверяющих центров;

• наличие     надежных средств проведения электронных платежей. Чтобы осознать данные требования и их происхождение, рассмотрим более подробно составляющие электронного бизнеса.

Что такое электронный бизнес, и каково в нем место аутентификации? 

Поскольку электронный бизнес чаще всего связывают с применением сети Интернет, на вопрос: "Что такое электронный бизнес?" логичнее всего получить ответ из поисковых машин Интернета. Вот как на этот вопрос ответила поисковая машина Яndех (со ссылкой на источник — "по материалам EDI-Press") Электронный бизнес — бизнес, основанный на использовании информационных технологий с тем, чтобы обеспечить оптимальное взаимодействие деловых партнеров и создать интегрированную цепочку добавленной стоимости. Электронный бизнес включает: продажи, маркетинг, финансовый анализ, платежи, поиск сотрудников, поддержку пользователей и поддержку партнерских отношений.

Воспользовавшись данным определением, заметим, что с точки зрения информационной безопасности наиболее подвержены уязвимостям процессы платежей, продаж как целостного процесса, финансового анализа и подержки партнерских отношений.

Выделяют три основных типа торговых площадок интернет-бизнеса группы В2В:

• Independent Trading Marketplace — Независимая торговая площадка, сосдаваемая независимым оператором; Private Marketplace — частная торговая площадка, организованная одним предприятием; Industry Sponsored Marketplace — отраслевая торговая площадка, создаваемая несколькими предприятиями отрасли.

Для обеспечения упомянутых в определении электронного бизнеса процессов разработчики программного обеспечения создают все новые и новые направления бизнеса, ориентированные на извлечение выгод онлайнового бизнеса, целью которого являются обеспечение мобильности реагирования на изменяющийся покупательский спрос, снижение расходов, обеспечение окупаемости и эффективности вложений. Рассмотрим основные направления торгово-коммерческих фирм, являющихся объектами внедрения технологий электронного бизнеса, направления которых давно "на слуху", с точки зрения составляющих векторов развития электронного бизнеса.

ERP (Enterprise Resource Planning, Корпоративные информационные системы).

Как это ни парадоксально звучит, но создание системы ERP, по сути, является первым шагом предприятия к рынку В2В. Именно вокруг такой системы создаются приложения для электронной коммерции и другим онлайновым технологиям межкорпоративного взаимодействия. Автоматизация внутрикорпоративного взаимодействия активно расширяется в течение последнего десятилетия, причем за 4 года объем мирового рынка ERP-систем удваивается и по данным IDC должен составить в 2004г. 40-45 млрд. USD.

Более того, по мнению аналитиков компании Gartner Group, на смену электронной коммерции придет эра совместной коммерции (Collaborative Commerce), где предприятия не только будут покупать друг у друга продукцию, но работать совместно над созданием новых товаров и услуг. Компания-покупатель, являясь выразителем интересов конечного потребителя, выступает в данном случае в роли одного из ключевых элементов системы во всем многообразии внешних связей.

Такой подход лег в основу новой концепции корпоративной информационной системы ERP II (Enterprise Resource and Relationship Processing), предназначенной для управления ресурсами и внешними связями предприятий. Движущей силой такого подхода является стремление покупателей и продавцов сотрудничать в группах по интересам с целью создания продуктов и услуг, востребованных на рынке.

Поскольку ERP-система содержит, как правило, конфиденциальную информацию, доступ к которой должен строго регламентироваться, проблемы аутентификации пользователей систем все чаще встают в полный рост. Особенно с учетом того, что любое внесение изменений или прямое копирование данных зачастую может принести прямой урон корпорации. Дополнительным и наиболее актуальным сегодня требованием является возможность доступа к данным ERP-системы из любого места земного шара, в том числе из так называемой "недоверенной"среды (Интернет-кафе, гостиницы, аэропорт, вокзал) для определенных групп пользователей, к которым в первую очередь, относятся VIР-персоны.

SCM (Supply Chain Management, Системы снабжения корпорации).

Проблемы бесперебойного снабжения предприятия производственными и непроизводственными материалами и комплектующими всегда являлись источниками головной боли руководителей. По оценке аналитиков компании AMR Research, стоимость обработки и выполнения заказов на непроизводственные товары может достигать 70% всей стоимости закупки, для производственных товаров этот показатель может достигать 90%. С появлением Интернета началось широкое использование Сети для автоматизации процесса закупок (В2В е-Procurement). По данным IDC (International Data Corp) мировой рынок прикладного программного обеспечения для этих целей вырастет с 1,4 млрд. долл. в 2000 г. до 7-8 млрд. долл. в 2004 г. Ряд ярких примеров использования онлайновых систем снабжения и полученного при внедрении экономического эффекта подробно рассмотрен во многих работах, в частности — в [4]. Важнейшей частью процесса поставок является управление цепочками поставок. Эта услуга позволяет компаниям иметь постоянно обновляемую информацию о статусе выполнения заказа и перемещении товара от продавца к покупателю, прогнозировать и контролировать сроки отгрузки и доставки товара заказчику.

Такая информация для многих компаний носит стратегический характер и является объектом вожделений, прежде всего, со стороны конкурентов и недобросовестных партнеров. По оценкам специалистов по безопасности компании Siemens шпионаж в области деловых и технологических секретов является одной из самых недооцененных угроз в современном мире. Проблема организации защищенного доступа к таким информационным системам также рассматривается, прежде всего, с точки зрения "правильного" решения задач аутентификации пользователей.

e-Commerce (Electronic Commerce, электронная коммерция) — бизнес, основанный на информационных технологиях. Электронная коммерция предполагает:

• открытие своего сайта и виртуального   магазина  в Интернете;

• наличие системы управления компанией; использование электронной рекламы и маркетинга;

• использование моделей бизнес для бизнеса и/или бизнес для потребителя.

Важную роль во взаимодействии продавца с покупателями играют системыCRM (Customer Relationship Management, система управления отношений с клиентами). CRM -системы позволяют постоянно поддерживать контакт с покупателями с целью отслеживания покупательского спроса и помощи в выборе нужного товара.

Учитывая то, что коммерческая информация, как правило, носит конфиденциальный характер, а потеря клиентской базы и истории взаимоотношений компании с клиентами порой критична для бизнеса, управление доступом к рассматриваемым информационным системам и аутентификация пользователей, как одна из его составляющих частей, представляют собой актуальнейшую задачу.

Некоторые данные по российскому рынку 

По оценкам, полученным из различных источников, общее число пользователей Интернета в России исчисляется миллионами, при этом пользователи различных платежных систем в Интернете исчисляются сотнями тысяч. При этом объем электронной торговли находится в пределах 500-900млн. долларов, из них более половины приходится на направление В2С (продажа товаров и услуг населению). Заметим, что во всем мире объем торговли направления В2В на порядок превосходит направление В2С, что подтверждает тезис о том, что развитие электронного бизнеса в России идет "своим путем". Относительно совокупного товарооборота в стране на долю электронной торговли приходится всего около 0,2%. По данным Spy LOG средняя стоимость покупки в интернет-магазинах составляет сегодня более 100 долларов, хотя данные, на наш взгляд, могут быть завышены. Для сравнения, вСША средний размер покупки равен 230 долларам. При этом более трети магазинов в Рунете по данным Spy LOG говорят о средней стоимости покупок ниже 50 долл., почти 60% магазинов — о средней стоимости покупок ниже 100 долл. Наиболее популярным методом оплаты покупок сегодня является "наличными прямо в руки курьеру". Это заклинание настолько сильно, что его использует почти 90% интернет-магазинов, а те, кто не использует, просто не могут этого сделать, поскольку их клиенты расположены несколько дальше одной поездки курьера. Почти треть магазинов так и ограничивается этим универсальным методом, не считая нужным вводить другие. В то же время, в планах расширения спектра способов оплаты лидируют кредитные карты, что пока подтверждает скепсис владельцев магазинов в отношении возможности современных платежных систем получить большой ареал распространения. Заметим, что для крупных торговых систем, имеющих как традиционные, так и интернет-площадки, доля электронной торговли составляет, как правило, в среднем не более 5-7% общего оборота компании (из-за отсутствия доверия). Рассмотрим, чего не хватает для повышения доверия к электронной сделке как таковой?

Как можно повысить доверие к электронному бизнесу? 

Несмотря на завершение первого этапа ГЦП "Электронная Россия", создается впечатление, что никто целенаправленно и на современном научном уровне не занимается проблемой комплексной регламентации процесса электронной торговли как отдельного вида деятельности. Во-первых, для нормального функционирования электронного бизнеса необходимо законодательное регулирование. При этом, как минимум, необходимо, чтобы договоры в электронной форме отвечали требованиям гражданского законодательства и признавались арбитражными и гражданскими судами и органами власти.

Во-вторых, необходимо введение механизмов страхования интернет-сделок, поскольку надежность партнеров не бывает стопроцентной и в традиционном бизнесе.

В-третьих, для развития электронного бизнеса не хватает нормативных актов по техническому регулированию, обеспечивающих надежное функционирование инфраструктуры электронного бизнеса. Прежде всего, необходимо введение унифицированных стандартов и протоколов, а также средств защиты электронных сделок, построенных на индустриальной и общепризнанной платформе.

В-четвертых, необходимы дополнительные усилия к развитию систем интернет-банкинга, отвечающего современным требованиям, особенно в части удобства пользователей. В частности, с точки зрения обеспечения аутентификации, пользователь должен иметь один универсальный персональный идентификатор, в котором надежно хранятся цифровые сертификаты, обеспечивающие его удобный доступ в платежные и информационные системы, а также его ЭЦП.

Наконец, для нормального развития электронный бизнес как и любой другой нуждается в развитом информационном обеспечении. Как правило, информации, размещенной на интернет-страницах электронного магазина, бывает недостаточно для принятия решения о покупке. Чтобы не быть обманутым очередной "пирамидой" или компанией-однодневкой, потенциальный покупатель обязательно попытается собрать информацию о продавце из других источников. На обывательском уровне это сводится к положительным ответам на вопросы: "Устраивает ли стоимость, условия поставки и качество известного товара, имеются ли гарантии того, что продавец не обманет и поставит товар в срок. Если товар не соответствует заявленным свойствам, продавец обязательно вернет деньги или обменяет товар по моему желанию".

В данной статье рассматривается только одна из вышеперечисленных проблем — проблема применения в электронных сделках современных средств защиты   информации   как средства повышения доверия. Более того, рассматривается не вся проблема в целом, а лишь некоторые наиболее существенные аспекты. Тем не менее, решение этой проблемы может оказать существенную помощь в повышении реального доверия к электронной сделке как покупателей, так и продавцов.

Степень зрелости решений по защите информации 

Рассмотрим один из возможных способов совершения электронной сделки, основанный на применении современных методов защиты информации. Общая картина готовности решений по защите информации для промышленного использования была недавно опубликована в материалах Gartner Group (данные на май 2003г.) (см. рис. 1) Видно, что: известная      технология SSL (Secure Socket Layer) уже вышла на плато промышленного   применения,   а значит, пригодна к массовому использованию в системах обеспечения  электронного бизнеса; проблема защищенного беспроводного      доступа(Wi-Fi Protected    Access Control) сейчас "на слуху"(пик популярности) у специалистов, а решение проблемы, по оценкам специалистов Gartner Group, ожидается в течение ближайших двух лет; решение   проблем  управления доступом пользователей   (Identity   and Access Management),  построения инфраструктуры открытых ключей  (Public Key Infrastructure), применения технологий eToken и Smart Cards в качестве стандарта персонального идентификатора ожидается в течение ближайших пяти лет. 

Обратившись в любую платежную систему онлайн, Вы увидите, что информация об электронной сделке "надежно защищена". При этом самым распространенным способом является "защита, основанная на применении асимметричных способов шифрования информации на базе инфраструктуры открытых ключей". Однако на практике далеко не у всех разработчиков банковского программного обеспечения имеются высококвалифицированные кадры, умеющие корректно применить современные способы защиты информации, не оставив при этом "дыру" в защите. Да и злоумышленники становятся все более и более квалифицированными и изощренными. В этом развивающемся по спирали противостоянии побеждают профессионалы. К сожалению, не всем известна аксиома безопасности, гласящая о том, что степень защищенности системы определяется степенью уязвимости самого слабого звена. Примеров "взломов" платежных систем достаточно и у нас в России, и за рубежом. По мере того, как финансовые потери становятся ощутимыми, разработчики постепенно переходят на передовые технологии, ориентируясь на применение цифровых сертификатов. Применение цифровых сертификатов Х.509 подразумевает наличие третьей стороны, удостоверяющей валидность сертификатов, т.е. аутентичность цифровой подписи и неотказуемость. Введение временных меток и службы синхронизации времени позволяет уже сегодня делать операции по гарантированной доставке документов, имеющих юридическую силу. За рубежом разработан специальный протокол безопасных электронных транзакций SET (Secure Electronic Transaction), которому отводилась роль перспективного индустриального стандарта. На практике, и у нас в стране, и за рубежом наибольшее распространение получило применение защищенного протокола SSL (Secure Sockets Layer). И тот, и другой подход используют применение цифровых сертификатов Х.509 для доступа пользователей к платежной системе. Попробуем кратко сравнить эти два подхода. Протокол SSL позволяет отслеживать лишь две конечные точки "канала" — покупателя и продавца, в то время как технология SET предполагает аутентификацию и полный контроль над действиями всех участников транзакции (включая владельца кредитной карты, продавца, банк) и механизмом обработки платежа. Представители ассоциаций держателей кредитных карт считают, что использовать средства SET так же безопасно, как совершать покупки с помощью кредитной карты в магазине. При этом появляются предпосылки для уменьшения размеров комиссионных, выплачиваемых продавцами поставщикам услуг. В настоящее время пересылка информации о транзакциях по телефонным каналам и через Web при поддержке протокола SSL обходится продавцам довольно дорого, хотя стандарта, с которым можно было бы сравнить конкретные результаты, пока не существует.

Применение технологий организации доступа с применением Х.509 

Использование цифровых сертификатов для доступа пользователей к бизнес-приложениям подразумевает, что владелец платежной системы начинает постепенное строительство инфраструктуры открытых ключей. Одним из существенных преимуществ использования цифровых сертификатов являются некоторые удобные возможности управления доступом пользователя. Например, в связи с возможной компроментацией цифровой подписи клиента или невыплатой вовремя лицензионных платежей, действие его цифрового сертификата "легким движением руки" можно:

• приостановить;
• отозвать;
• признать  недействительным.

При этом очень важно, чтобы закрытый (другими словами, секретный или приватный) ключ пользователя хранился в защищенном отчуждаемом личном носителе (персональном идентификаторе), имеющем вид смарт-карты или eToken'a, обеспечивающих полную сохранность данных, которые записываются в защищенную часть чипа.

В настоящее время полулегально существующая и интенсивно развивающаяся система публичных Удостоверяющих центров позволяет получать положительный опыт применения такого подхода даже к электронным госзакупкам [8]. Согласно данным НАУЭТ, опубликованным в этой работе, электронные госзакупки с успехом проводятся в ряде регионов страны. Так, в Кемеровской области объем электронных закупок составил 1739,3 млн.руб., или 30-35% общего объема госзакупок области; в Новосибирской области — 1599 млн.руб. (60-70%); в Краснодарском крае — 102 млн.руб.(4-5%).

В этой же работе [8] приведены данные о проекте АИС ГЗ (автоматизированной системе государственного заказа) Санкт-Петербурга, выполняемого компанией "Комита" с использованием ЭЦП, выписанных Удостоверяющим Центром Санкт-Петербурга (генеральный директор А.Г.Карпов). Система уже начинает регулярную работу, причем данный пример важен тем, что это — первая в России государственная система, использующая технологию юридически значимого электронного документооборота с применением ЭЦП.

Таким образом, аутентификация как составная часть системы организации доступа пользователей входит во все информационные системы и в системы защиты информации, применяемые для ведения электронного бизнеса.

Организация   доступа пользователей, и, следовательно, технологии аутентификации, на основе применения цифровых сертификатов Х.509 в полной степени отвечают современным требованиям. Широкое применение сертификатов Х.509 позволит значительно повысить надежность и защищенность информационных систем, обеспечивающих функционирование электронного бизнеса. Во всяком случае, такой подход открывает весьма перспективные возможности для обеспечения мобильности пользователей без снижения степени защищенности используемых решений.

Возможно, широкое применение цифровых сертификатов позволит повысить степень доверия пользователей и вывести развитие электронного бизнеса на новый виток развития.