Безопасность электронной коммерции: настоящее и будущее

Мы уже неоднократно писали о новинках и событиях на рынке средств безопасности. Но тема продолжает оставаться актуальной. Несмотря на постоянное расширение спектра мер по защите от киберпреступности, активность злоумышленников растет пропорционально развитию отрасли в целом. Сегодня их усилия направлены в основном на подрыв работы сайтов крупных компаний - таких, как пострадавшие не так давно CD Universe, Travelocity, Ikea и Western Union. Однако специалисты Gartner Group утверждают, что в ближайшие два года, по мере создания организованной онлайновой преступности, под угрозой окажутся и более мелкие ресурсы. В связи с этим аналитики призывают к усилению контроля за безопасностью электронно-коммерческих сайтов, а также к сотрудничеству с клиентами в этом вопросе, так как в ряде случаев именно потребитель первым сталкивается с возникшей на коммерческом сайте проблемой.

Компания IshopSecure, известный поставщик решений в области безопасности электронной коммерции, полагает, что таким атакам подвергались практически все хоть сколько-нибудь известные сайты, специализирующиеся на электронной коммерции. Одной из основных причин этого специалисты называют то, что для хранения информации о клиентах многие компании используют внутреннюю базу данных, а упоминающиеся на многих сайтах современные системы шифрования часто относятся исключительно к процессам обмена данными, а не хранения информации.

Но как бы ни активизировалась киберпреступность, по другую сторону баррикад не менее активно создаются новые методы борьбы с нею. Так, 22 июня 2001 года Совет Европейского Комитета по проблемам преступности принял заключительный проект Конвенции о киберпреступности. Данная Конвенция станет первым международным соглашением, направленным против преступлений, осуществляемых через Интернет и другие компьютерные сети, в особенности против нарушений авторских прав, компьютерных мошенничеств, детской порнографии и преступлений в области безопасности сетей. Конвенция содержит ряд процедурных возможностей, например - поиск и перехват информации в компьютерных системах. Главной целью Конвенции, как сказано в ее преамбуле, "является создание единой политики, направленной на защиту общества от киберпреступности, в том числе путем принятия соответствующих законов и стимулирования международного сотрудничества". Теперь проект направляется в Совет министров Совета Европы на исследование и принятие, которое, возможно состоится в сентябре этого года. Далее Совет министров может принять решение о начале процесса подписания Конвенции, что может иметь место в конце ноября. Конвенция вступает в силу с момента ее ратификации пятью государствами, минимум три из которых являются членами Совета Европы. Текст конвенции можно посмотреть здесь.

Пока единой программы борьбы не существует, "нарушители конвенции" чувствуют себя на просторах Интернет исключительно свободно. Последним "подвигом" хакеров стало нарушение работы американского государственного Центра координации по проблемам безопасности (CERT Coordination Center) Университета Университета Карнеги Меллона в Питсбурге. 22 и 23 мая сайт Центра пережил "отказ-от-обслуживания" (DDOS, denial-of-service), в результате чего на целые сутки был нарушен доступ на страницы сайта добросовестных пользователей ресурса. Утром 22 мая сайт подвергся бомбардировке огромным количеством запросов на доступ, вызвавшим перегрузку web-сервера, на котором находились данные Центра, и сделавшим невозможным отображение данных по добросовестным запросам. Ричард Петиа (Richard Pethia), директор Программы жизнеспособности сетевых систем Института Карнеги Меллона, утверждает, что урок, который предстоит вынести компаниям из этого происшествия, заключается в том, что никто не может считать себя неуязвимым, когда речь идет об атаках такого рода. Дело в том, что их обработка производится полностью вручную, что, как правило, занимает целый день, так как вначале бывает трудно понять, чем вызвана проблема - неполадкой в аппаратном обеспечении, неверно сконфигурированным программным обеспечением или действиями злоумышленников. "Ирония судьбы", приключившаяся с сайтом, целью которого является выработка рекомендаций по безопасности для всего интернет-сообщества, не осталась незамеченной другими компаниями, работающими в сфере сетевой безопасности. Тед Джулиан (Ted Julian), главный стратег компании-производителя программного обеспечения в области безопасности Arbor Networks, заявил, что данный случай является сигналом для всех, так как CERT явно не страдал ни недостатком инфраструктуры защиты, ни слабой подготовкой экспертов.

Впервые такие атаки появились в феврале 2000 года, а первыми пострадавшими стали Yahoo, eBay, CNN и ряд других сайтов. В январе 2001 года аналогичной атаке подверглась сеть Microsoft, а в мае, чуть раньше CERT, от подобного же вмешательства пострадал правительственный сайт Witehouse.gov.

Следует заметить, что согласно исследованиям специалистов из Калифорнийского университета, в Интернет еженедельно происходит до 4000 таких атак. При этом среди преступников наиболее популярны Amazon.com, America online и сайт бесплатной почты Microsoft Hotmail.