Informační bezpečnost v systémech elektronického obchodování. „Bezpečnost elektronického obchodu. Hlavní směry ochrany informací

Úvod……………………………………………………………………………….. 3
1.Elektronický obchod a historie jeho vývoje……………………………….. ..5
1.1. Historie elektronického obchodování ………………………………………………………... 6
2. Zabezpečení elektronického obchodu………………………………………..8
2.1. Rizika a hrozby……………………………………………….…… ...11
Závěr……………………………………………………………………………….. 17
Seznam referencí ……………………………………………………………… 20

Úvod

Globální internet zpřístupnil elektronické obchodování společnostem jakékoli velikosti. Jestliže dříve organizace elektronické výměny dat vyžadovala značné investice do komunikační infrastruktury a byla proveditelná pouze pro velké společnosti, pak využití internetu dnes umožňuje malým firmám připojit se k „elektronickým obchodníkům“. Elektronický obchod na World Wide Web dává jakékoli společnosti příležitost přilákat zákazníky z celého světa. Takový on-line obchod tvoří nový prodejní kanál – „virtuální“, který nevyžaduje téměř žádné materiální investice. Pokud lze informace, služby nebo produkty (například software) dodat prostřednictvím webu, pak celý proces prodeje (včetně platby) může probíhat online.
Definice e-commerce zahrnuje nejen internetově orientované systémy, ale také „elektronické obchody“, které využívají jiná komunikační prostředí – BBS, VAN atd. Přitom prodejní postupy iniciované informacemi z WWW, ale využívající k výměně dat fax, telefon apod., lze pod e-commerce klasifikovat jen částečně. Podotýkáme také, že přestože je WWW technologickým základem elektronického obchodování, řada systémů využívá i jiné komunikační schopnosti. Žádosti prodávajícího o upřesnění parametrů produktu nebo o provedení objednávky tak lze zasílat i e-mailem.
Dnes jsou dominantním platebním prostředkem pro online nákupy kreditní karty. Na scénu však vstupují i ​​nové platební nástroje: čipové karty, digitální hotovost, mikroplatby a elektronické šeky.
E-commerce nezahrnuje pouze on-line transakce. Oblast pokrytá tímto konceptem musí zahrnovat také takové činnosti, jako je provádění marketingového výzkumu, identifikace příležitostí a partnerů, udržování vztahů s dodavateli a spotřebiteli, organizace toku dokumentů atd. Elektronický obchod je tedy komplexní pojem a zahrnuje elektronickou výměnu dat jako jeden součástí.

E-commerce a historie jeho vývoje

Elektronický obchod je druh ekonomické činnosti, která propaguje zboží a služby od výrobců ke spotřebitelům prostřednictvím elektronických počítačových sítí. Jinými slovy, elektronický obchod je marketing, akvizice a prodej zboží a služeb prostřednictvím počítačových sítí, především internetu. Elektronický obchod poskytuje nové příležitosti ke zlepšení efektivity komerčních aktivit obecně.
Na rozdíl od tradičního obchodování poskytuje elektronický obchod společnostem následující příležitosti:
A) Prodávejte své produkty přes internet;
B) Rozvíjet a koordinovat vztahy se spotřebiteli a dodavateli;
B) vyměňovat zboží a služby elektronicky;
D) Snížit cenu dodávky digitálních produktů a poprodejní zákaznickou podporu;
D) rychle reagovat na změny trhu;
E) Snížit režijní náklady;
G) Zlepšit služby zákazníkům a představit své vlastní služby pro zákazníky;
H) Rozšířit okruh spotřebitelů;
I) Zohlednit individuální potřeby kupujícího;
Elektronický obchod umožňuje kupujícím:
A) nakupovat zboží kdykoli a kdekoli;
B) Proveďte srovnávací analýzu cen a vyberte tu nejlepší;
C) Získejte simultánní přístup k široké škále produktů;
D) Vyberte si vhodné mechanismy pro nákupy;
D) Dostávejte informace a novinky v závislosti na vašich preferencích.
1.1 Historie elektronického obchodování

První systémy elektronického obchodování se objevily v 60. letech minulého století v USA. Používaly se v dopravních společnostech pro výměnu dat mezi různými službami při přípravě letů a pro rezervaci letenek.
Zpočátku byl takový obchod prováděn pomocí sítí mimo internet, za použití speciálních standardů pro elektronickou výměnu dat mezi organizacemi.
Koncem 60. let 20. století existovaly ve Spojených státech čtyři průmyslové standardy pro výměnu dat mezi různými dopravními společnostmi. Pro spojení těchto standardů byl v roce 1968 vytvořen zvláštní výbor pro harmonizaci přepravních dat. výsledky práce tvořily základ nového standardu EDI.
V 70. letech došlo k podobným událostem v Anglii. V této zemi nebyla hlavní oblastí aplikace EDI doprava, ale obchod. Zde vybraný soubor specifikací Tradacoms byl přijat Evropskou hospodářskou komisí OSN jako standard pro výměnu dat v mezinárodních obchodních organizacích.
V 80. letech začaly práce spojovat evropské a americké standardy. Výsledkem této práce bylo, že na 42. zasedání Pracovní skupiny pro usnadnění mezinárodního obchodu v září 1996 bylo přijato doporučení č. 25, „Použití standardu OSN pro elektronickou výměnu dat ve správě, obchodu a dopravě“.
Tím pádem. Na počátku 90. let se objevil standard EDI-FACT, který byl přijat ISO (ISO 9735).
Ke konečnému spojení amerických a evropských norem ale nedošlo. Pro elektronickou výměnu dat se objevila nová, slibnější příležitost – výměna dat přes internet.
Rozvoj internetu s jeho nízkými náklady na přenos dat učinil modernizaci EDI systémů naléhavou. V důsledku toho byl v polovině 90. let vyvinut další standard – EDIFACT over Internet (EDIINT), který popisuje, jak přenášet EDI transakce pomocí zabezpečených e-mailových protokolů SMTP/S-MIME.
Pro vznik a růst popularity e-commerce existuje řada demografických a technologických předpokladů, jako jsou:
a) široký přístup k informačním technologiím, zejména počítačům a internetu;
b) zvýšení úrovně vzdělanosti společnosti a následně svobodnější zacházení s technikou;
c) technologický pokrok a digitální revoluce umožnily vzájemné interakci mnoha digitálních zařízení, jako je počítač, mobilní telefon atd.;
d) globalizace, otevřená ekonomika, konkurence v globálním měřítku;
e) dostupnost elektronického obchodu komukoli, kdykoli a na jakémkoli místě.
f) touha ušetřit čas;
g) růst sortimentu zboží a služeb, rostoucí poptávka po speciálním zboží a službách.

Bezpečnost elektronického obchodu.

Jedním z hlavních problémů e-commerce dnes zůstává problém bezpečnosti, tzn. minimalizace rizik a ochrana informací.
Důvody pro narušení běžného fungování firmy na internetu mohou být: počítačové viry, podvody vedoucí k finančním ztrátám; krádež důvěrných informací; nezákonné zasahování do souborů s důvěrnými informacemi o spotřebitelích atd.
Stupeň ochrany webových stránek elektronické společnosti závisí na míře důvěrnosti jejích informací a potřebě jejich dodržování. Pokud jsou tedy například na webu zadána čísla kreditních karet, pak je nutné zajistit nejvyšší stupeň ochrany webového serveru.
Úkoly zachování bezpečnosti v e-commerce se týkají autentizace uživatele, zachování důvěrnosti a integrity informací: autentizace – kontrola pravosti uživatele; důvěrnost – zajištění uchování soukromých informací poskytnutých uživatelem; integrita informace – absence zkreslení přenášených informací.
Hackeři a viry mohou představovat hrozbu pro integritu informací na webovém serveru.
Hacker proniká do slabě chráněných počítačů a serverů a instaluje speciální programy - neviditelné, které je poměrně obtížné odhalit. Takový neviditelný program obvykle nepoškozuje webovou stránku, ale vytváří velké zahlcení sítě. Hacker určí cíl svého útoku a aktivuje předinstalovaný program, který pošle příkaz přes internet na několik počítačů. Tím začíná útok, který přetíží síť komerčního podniku.
Dalším závažným typem narušení bezpečnosti počítačů a serverů na internetu je virus. Viry narušují integritu systému a zavádějí opatření k zabezpečení informací. Nejlepším prostředkem ochrany před viry je instalace a pravidelná aktualizace antivirových programů a používání firewallů. Firewall je filtr instalovaný mezi podnikovou sítí a Internetem, který chrání informace a soubory před neoprávněným přístupem a umožňuje přístup pouze oprávněným osobám. Firewall tak zabraňuje pronikání počítačových virů a hackerů do podnikové sítě a chrání ji před vnějšími vlivy při připojení k internetu.
Při zavádění elektronického obchodování je jednou z nejdůležitějších otázek důvěrnost informací. Informace poskytnuté uživatelem společnosti musí být spolehlivě chráněny. Jedním ze způsobů, jak zajistit bezpečný a důvěrný přenos dat po počítačových sítích, je kryptografie, tzn. šifrování nebo kódování dat tak, aby je mohly číst pouze strany zapojené do konkrétní transakce.
Při šifrování převádí odesílatel zprávy text na sadu znaků, které nelze přečíst bez použití speciálního klíče známého příjemci. Klíčem k šifře je sekvence znaků uložená na pevném disku počítače nebo na disketě. Stupeň zabezpečení informací závisí na šifrovacím algoritmu a délce klíče, měřeno v bitech.
Existují dva typy šifrovacích algoritmů:

symetrický, ve kterém se pro šifrování i dešifrování informací používá stejný klíč známý oběma stranám;
asymetrický, ve kterém se používají dva klíče, jeden pro šifrování a druhý pro dešifrování. Jeden z těchto klíčů je soukromý (tajný), druhý je otevřený (veřejný).

Jednou z nejznámějších a nejslibnějších metod ověřování odesílatele zpráv je elektronický digitální podpis (EDS) - elektronický ekvivalent vlastnoručního podpisu. První digitální podpis navrhl v roce 1976 Whitfield Diffie ze Stanfordské univerzity. Federální zákon Ruské federace „o elektronickém digitálním podpisu“ uvádí, že elektronický digitální podpis je nezbytným předpokladem elektronického dokumentu určeného k ochraně tohoto dokumentu před paděláním, získaného v důsledku kryptografické transformace informací pomocí soukromého klíče elektronického digitálního podpisu a umožňující identifikovat vlastníka certifikátu podpisového klíče a také prokázat absenci zkreslení informací v elektronickém dokumentu.
Proces použití elektronického digitálního podpisu je následující:
1. odesílatel vytvoří zprávu a zašifruje ji svým soukromým klíčem, který je zároveň elektronickým digitálním podpisem odesílatele. V tomto případě je zašifrován jak text samotné komunikace, tak digitální podpis připojený na konci dokumentu.
2. odesílatel předá zašifrovaný dopis a svůj veřejný klíč prostřednictvím komunikačních kanálů příjemci;
3. Příjemce dešifruje zprávu pomocí veřejného klíče odesílatele.
4. Spolu s digitálním podpisem se obvykle používá některá ze stávajících hashovacích funkcí. Funkce HASH při zpracování zprávy vytváří řetězec znaků, nazývaný souhrn zprávy. Odesílatel vytvoří souhrn zprávy, zašifruje ji a také přepošle příjemci. Příjemce zpracuje zprávu stejnou funkcí HASH a také obdrží souhrn zprávy. Pokud se oba souhrny zpráv shodují, byla zpráva přijata bez poškození.
5. Digitální certifikáty se používají k potvrzení vlastnictví veřejného klíče konkrétní osobě nebo obchodnímu podniku. Digitální certifikát je dokument vydaný certifikační autoritou k potvrzení identity konkrétní osoby nebo podniku ověřením jeho jména a veřejného klíče. Chcete-li získat digitální certifikát, musíte kontaktovat certifikační centrum a poskytnout potřebné informace. Každá certifikační autorita si stanovuje vlastní ceny a vydává digitální certifikát zpravidla na rok s možností obnovení po zaplacení na další rok.
K řešení bezpečnostních problémů používají společnosti elektronického obchodování technologie SSL a SET.
Protokol SSL je hlavním protokolem používaným k ochraně dat přenášených přes internet. Tento protokol je založen na kombinaci asymetrických a symetrických šifrovacích algoritmů. Poskytuje tři hlavní funkce: ověřování serveru, ověřování klienta a šifrované připojení SSL.
Protokol SET je protokol používaný pro transakce mezi komerčními bankami a zákazníky kreditních karet.

Rizika a hrozby

Jakékoli podnikání je spojeno s riziky vyplývajícími z konkurence, krádeží, nestability veřejných preferencí, přírodních katastrof atd. Rizika spojená s elektronickým obchodem však mají své vlastní charakteristiky a zdroje, včetně:
Zloději.
Neschopnost přilákat společníky.
Poruchy zařízení.
Výpadky napájení, komunikačních linek nebo sítě.
Závislost na doručovacích službách.
Intenzivní konkurence.
Softwarové chyby.
Změny v politice a zdanění.
Omezená kapacita systému.

Zloději
Nejoblíbenější hrozbou pro elektronický obchod jsou počítačoví hackeři. Každý podnik je vystaven hrozbě útoku zločinců a velké podniky elektronického obchodování přitahují pozornost počítačových hackerů různých úrovní dovedností.
Důvody této pozornosti jsou různé. V některých případech jde jednoduše o „čistý sportovní zájem“, v jiných o touhu ublížit, ukrást peníze nebo koupit produkt či službu zdarma.
Bezpečnost webu je zajištěna kombinací následujících opatření:
Zálohujte důležité informace.
Personální politika, která vám umožňuje přilákat do práce pouze svědomité lidi a podporovat svědomitost zaměstnanců. Nejnebezpečnější pokusy o hackování pocházejí zevnitř společnosti.
Používání softwaru s funkcemi ochrany dat a jeho včasné aktualizace.
Školení personálu k identifikaci cílů a rozpoznání systémových slabin.
Auditování a protokolování k detekci úspěšných a neúspěšných pokusů o hackování.
Obvykle je hackování úspěšné díky snadno uhodnutelným heslům, běžným chybám v konfiguraci a neschopnosti aktualizovat verze softwaru včas. K ochraně před nepříliš sofistikovaným lupičem postačí poměrně jednoduchá opatření. Jako poslední možnost by vždy měla existovat záložní kopie důležitých dat.

Neschopnost přilákat společníky
Zatímco útoky hackerů jsou největším problémem, většina selhání elektronického obchodování stále pramení z tradičních ekonomických faktorů. Vytvoření a marketing velkého e-shopu vyžaduje hodně peněz. Společnosti preferují krátkodobé investice, které nabízejí okamžitý růst zákazníků a příjmů, jakmile se značka etabluje na trhu.
Kolaps e-commerce vedl ke krachu mnoha společností, které se specializovaly pouze na něj.

Poruchy zařízení
Je zcela zřejmé, že výpadek důležité části jednoho z počítačů společnosti, jejíž činnost je zaměřena na internet, může způsobit jeho značné škody.
Ochrana proti výpadkům pro stránky, které pracují ve vysoké zátěži nebo plní důležité funkce, je zajištěna duplicitou, takže porucha kterékoli komponenty neovlivní funkčnost celého systému. I zde je však nutné vyhodnotit ztráty z případných prostojů v porovnání s náklady na pořízení dalšího zařízení.
Mnoho počítačů se systémem Apache, PHP a MySQL je relativně snadné nastavit. Replikační jádro MySQL navíc umožňuje obecnou synchronizaci informací mezi databázemi. Velký počet počítačů však znamená i vysoké náklady na údržbu zařízení, síťové infrastruktury a hostingu.
Výpadky napájení, komunikačních linek, sítě a doručovací služby
Závislost na internetu znamená závislost na mnoha propojených poskytovatelích služeb, takže pokud se spojení se zbytkem světa náhle přeruší, nezbývá než čekat na jeho obnovení. Totéž platí pro výpadky proudu a stávky nebo jiné výpadky proudu a stávky nebo jiné poruchy doručovací společnosti.
Pokud máte dostatečný rozpočet, můžete jednat s více poskytovateli služeb. To s sebou nese dodatečné náklady, ale zajišťuje nepřetržitý provoz v případě poruchy jednoho z nich. Extrémní výpadky proudu lze chránit instalací nepřerušitelných zdrojů napájení.

Intenzivní konkurence
Pokud si otevřete kiosek na ulici, posouzení konkurenčního prostředí není nijak zvlášť obtížné – konkurenty budou všichni, kdo na dohled prodávají stejný produkt. V případě e-commerce je situace poněkud složitější.
V závislosti na nákladech na dopravu, kolísání měny a rozdílech v nákladech na pracovní sílu se konkurenti mohou nacházet kdekoli. Internet je vysoce konkurenční a rychle se rozvíjející prostředí. V populárních obchodních sektorech se téměř denně objevují noví konkurenti.
Konkurenční riziko je obtížné posoudit. Zde je nejsprávnější strategií podpora současné úrovně technologie.

Softwarové chyby
Když je podnik závislý na softwaru, je zranitelný vůči chybám v tomto softwaru.

Pravděpodobnost kritických selhání lze minimalizovat instalací spolehlivého softwaru, testováním po každé výměně vadného hardwaru a používáním formálních testovacích postupů. Je velmi důležité doprovázet jakékoli inovace systému důkladným testováním.
Chcete-li snížit škody způsobené selháním softwaru, měli byste okamžitě zálohovat všechna data. Při provádění jakýchkoli změn musíte uložit předchozí konfigurace programu. Pro rychlé odhalení případných poruch je nutné neustálé sledování systému.

Změny v daňové politice
V mnoha zemích nejsou činnosti elektronického podnikání definovány nebo nejsou dostatečně definovány zákonem. Tento stav však nemůže trvat věčně a vyřešení problému povede k řadě problémů, které by mohly vést k uzavření některých podniků. Navíc vždy hrozí nebezpečí vyšších daní.
Těmto problémům se nelze vyhnout. V této situaci by bylo jediným rozumným postupem pečlivě sledovat situaci a uvést činnost podniku do souladu se zákonem. Měla by být také prozkoumána možnost lobování za své vlastní zájmy.

Omezená kapacita systému
Ve fázi návrhu systému byste měli rozhodně zvážit možnost jeho růstu. Úspěch je neoddělitelně spjat se zátěží, takže systém musí umožňovat rozšíření vybavení.
Omezeného zvýšení výkonu lze dosáhnout výměnou hardwaru, ale rychlost i toho nejpokročilejšího počítače má své limity, takže software musí při dosažení stanoveného limitu poskytovat schopnost rozložit zátěž mezi více systémů. Například systém správy databází musí být schopen zpracovávat požadavky z více strojů současně.
Rozšiřování systému není bezbolestné, ale včasné plánování ve fázi vývoje umožňuje předvídat mnoho problémů spojených s nárůstem počtu klientů a předcházet jim.

Závěr
Přestože připojení k internetu poskytuje obrovské výhody díky přístupu ke kolosálnímu množství informací, je také nebezpečné pro stránky s nízkou úrovní zabezpečení. Internet trpí vážnými bezpečnostními problémy, které, pokud jsou ignorovány, mohou znamenat katastrofu pro nepřipravené stránky. Chyby v návrhu TCP/IP, složitost administrace hostitele, zranitelnosti programů a řada dalších faktorů dohromady činí nechráněné weby zranitelnými vůči akcím útočníků.
Aby organizace správně zvážily bezpečnostní důsledky připojení k internetu, musí odpovědět na následující otázky:
Mohou hackeři zničit vnitřní systémy?
Mohly by být důležité informace organizace ohroženy (upraveny nebo přečteny) při přenosu přes internet?
Je možné zasahovat do práce organizace?
To všechno jsou důležité otázky. Existuje mnoho technických řešení pro boj s hlavními bezpečnostními problémy internetu. Všechny však mají svou cenu. Mnoho řešení omezuje funkčnost za účelem zvýšení bezpečnosti. Jiné vyžadují výrazné kompromisy týkající se snadného používání internetu. Ještě další vyžadují investice značných zdrojů – pracovní čas na implementaci a udržování zabezpečení a peníze na nákup a údržbu vybavení a programů.
Účelem internetové bezpečnostní politiky je rozhodnout, jak se bude organizace chránit. Zásady se obvykle skládají ze dvou částí – obecných zásad a specifických provozních pravidel (která jsou ekvivalentní konkrétním zásadám popsaným níže). Obecné zásady řídí přístup k internetové bezpečnosti. Pravidla určují, co je povoleno a co je zakázáno. Pravidla mohou být doplněna konkrétními postupy a různými pokyny.
Je pravda, že v literatuře o internetové bezpečnosti se objevuje ještě třetí typ zásad. Jedná se o technický přístup. V této publikaci bude technický přístup chápán jako analýza, která pomáhá implementovat principy a pravidla politiky. Je obecně příliš technický a složitý na to, aby mu porozuměl organizační management. Proto jej nelze používat tak široce jako politiku. Je však nepostradatelný při popisu možných řešení, identifikaci kompromisů, které jsou nezbytným prvkem při popisu politiky.
Aby byly internetové politiky účinné, musí tvůrci politik rozumět kompromisům, které budou muset udělat. Tato politika by také neměla být v rozporu s jinými řídícími dokumenty organizace. Tato publikace se pokouší poskytnout technickým odborníkům informace, které budou muset vysvětlit tvůrcům internetové politiky. Obsahuje předběžný návrh politiky, na základě kterého pak lze činit konkrétní technická rozhodnutí.
Internet je důležitým zdrojem, který změnil způsob fungování mnoha lidí a organizací. Internet však trpí vážnými a rozšířenými bezpečnostními problémy. Mnoho organizací bylo napadeno nebo prozkoumáno útočníky, což jim způsobilo těžké finanční ztráty a ztrátu prestiže. V některých případech byly organizace nuceny se dočasně odpojit od internetu a utratily značné množství peněz za řešení problémů s konfiguracemi hostitelů a sítí. Stránky, které o těchto problémech nevědí nebo je ignorují, se vystavují riziku online útoku ze strany zlomyslných aktérů. I ty weby, které zavedly bezpečnostní opatření, jsou vystaveny stejným nebezpečím kvůli vzniku nových zranitelností v síťových programech a vytrvalosti některých útočníků.
Zásadním problémem je, že internet nebyl navržen jako bezpečná síť. Některé z jeho problémů v aktuální verzi TCP/IP jsou:
Snadné zachycení dat a falšování adres strojů v síti – většinu internetového provozu tvoří nešifrovaná data. E-maily, hesla a soubory lze zachytit pomocí snadno dostupných programů.
Zranitelnost nástrojů TCP/IP – řada nástrojů TCP/IP nebyla navržena tak, aby byla bezpečná a zkušení útočníci je mohou kompromitovat; nástroje používané pro testování jsou obzvláště zranitelné.
Nedostatek zásad – mnoho stránek je nevědomky nakonfigurováno tak, že k sobě poskytují široký přístup z internetu, aniž by brali v úvahu možnost zneužití tohoto přístupu; Mnoho webů umožňuje více služeb TCP/IP, než potřebují ke svému provozu, a nijak se nepokouší omezit přístup k informacím o jejich počítačích, které by mohly pomoci útočníkům.
Obtížná konfigurace – řízení přístupu k hostiteli je složité; Často je obtížné správně nakonfigurovat a ověřit účinnost instalací. Nástroje, které jsou omylem nesprávně nakonfigurovány, mohou vést k neoprávněnému přístupu.

Seznam použité literatury
1. Materiály ze serveru informačních technologií - http://www. citforum.ru
2. Co je to elektronický obchod? V. Zavalejev, Centrum informačních technologií. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovič A.A., Carev V.V. Učebnice pro vysoké školy: Elektronický obchod 2002, 320 stran.

| Do seznamu publikací

Zajištění informační bezpečnosti obchodních podniků, maloobchodních sítí a jejich infrastruktury

Současné trendy ve vývoji obchodu v Rusku vedou ke konsolidaci společností zvyšováním počtu podniků v jejich složení, konsolidací aktiv různých operátorů, prováděním fúzí a akvizic a vytvářením síťových distribučních center. V důsledku toho rostou požadavky na informační technologie a jejich význam při organizování obchodu. Zpracování informačních toků v jakékoli společnosti vyžaduje vysokou rychlost a absolutní přesnost.

Obr. 1. Hlavní informační toky cirkulující v systému řízení síťové společnosti

Řízení moderního obchodu, velkoobchodu a distribuční sítě zahrnuje použití automatizovaných systémů pro integrovaný obchod, sklad a účetnictví. Manažeři dnes rozhodují o řízení na základě dat získaných z informačních systémů. Bez ohledu na strukturu společnosti je tedy nutné účtování smluv, pohybů zásob, hotovosti a účetnictví provádět v jediném informačním prostoru.

Za účelem automatizace řízení obchodního procesu je v podniku vytvořen informační systém, který může zahrnovat:

- vnitřní účetní a výkaznický systém (obsahuje údaje o objemu, struktuře a rychlosti výroby a oběhu zboží, nákladech a ztrátách podniku, hrubých příjmech, čistém zisku, ziskovosti atd.);
- marketingový informační systém (umožňuje sledovat aktuální stav, trendy a perspektivy vývoje trhu). Tento informační systém lze také definovat jako zpravodajský systém, protože zajišťuje sběr, zpracování a analýzu údajů o činnosti konkurentů.

Data do informačního systému pocházejí od pracovníků společnosti a z kancelářských systémů distributorů. V budoucnu jsou využívány pro operativní řízení podniku, kontrolu a analýzu činnosti společnosti jako celku, regionálních kanceláří a distributorů. Spotřebiteli dat informační sítě jsou manažeři a vedoucí pracovníci společnosti a distributoři. Obrázky 1 a 2 znázorňují hlavní informační toky cirkulující v systému řízení obchodního podniku (obchodní síť) a ukazují jejich hlavní zdroje a spotřebitele.

Pro strategická manažerská rozhodnutí je nezbytné, aby vedoucí podniku, finanční ředitel, hlavní účetní a vrcholní manažeři předložili úplný obraz o stavu podniku a jeho vývojových trendech (obr. 1.).

Na pracovištích v účtárně, na prodejní ploše, ve skladu se pracovníci zabývají pouze jednotlivými fragmenty obecného informačního toku. Jejich úkoly a funkce se zpravidla týkají zpracování a evidence příjmu a spotřeby zboží, vystavování faktur, práce na pokladně atd. (obr. 2.).

Vzhledem k rizikům obchodních podniků a zranitelnosti informačních systémů se jeví jako nezodpovědné zastávat přístup, kdy společnost reaguje na události dodatečně, tzn. poté, co se stanou. Z toho vyplývá, že firma musí vytvořit systém informační bezpečnosti. Je to jeden z hlavních prvků řídicího systému.

Zastavení provozu informačního systému může mít pro podnik nevratné následky. Podle pojišťovny Gerling tak při úplném zastavení informačního systému mohou obchodní společnosti existovat pouze 2,5 dne, a pro výrobní podniky bez nepřetržitého výrobního cyklu je toto číslo 5 dní.

Výchozími daty pro vytvoření efektivního systému informační bezpečnosti by měly být jasné představy o jeho cílech a struktuře, typech hrozeb a jejich zdrojích a možných protiopatřeních.

Zdroje hrozeb mohou být vnější i vnitřní.

Obr.2. Systém výměny dat pro zaměstnance různých oddělení maloobchodního podniku nebo maloobchodního řetězce

Vnější hrozby nejčastěji pocházejí od konkurence, zločineckých skupin a zkorumpovaných úředníků v rámci právních a správních orgánů. Akce vnějších hrozeb mohou být zaměřeny na pasivní paměťová média, odstranění informací během procesu výměny, zničení informací nebo poškození jejich paměťových médií. Výhrůžky mohou být namířeny na zaměstnance společnosti a mohou být vyjádřeny ve formě úplatků, výhrůžek, vydírání, vylákávání informací za účelem získání informací představujících obchodní tajemství, nebo mohou zahrnovat odlákání předních specialistů atd.

Zasvěcené hrozby představují největší nebezpečí. Mohou pocházet od nekompetentních manažerů, bezohledného a nekvalifikovaného personálu, defraudantů a podvodníků a zastaralých výrobních prostředků. Jednotliví zaměstnanci s vysokou mírou sebevědomí mohou z důvodu nespokojenosti se svými ambicemi (výše platu, vztahy s vedením, kolegy atd.) proaktivně rozdávat komerční informace konkurenci, snažit se zničit důležité informace nebo pasivní média, např. například zavést počítačový virus.

Poškození informačních zdrojů může být způsobeno:

provádění neoprávněného přístupu a odstraňování důvěrných informací;
uplácení zaměstnanců za účelem získání přístupu k důvěrným informacím nebo informačnímu systému;
zachycováním informací obíhajících v komunikačních a počítačových zařízeních a systémech pomocí technických prostředků průzkumu a sběru informací;
odposloucháváním důvěrných rozhovorů probíhajících v kancelářských prostorách, služebních a osobních vozidlech, v bytech a vilách;
prostřednictvím vyjednávacích procesů, za použití neopatrného zacházení s informacemi;

Hlavní zdroje informací jsou: lidé, dokumenty, publikace, technická média, technické prostředky, výrobky a odpady.

Hlavní způsoby, jak získat neoprávněné informace, jsou:

- zveřejnění důvěrných informací;
- neoprávněný přístup k informačním zdrojům;
- únik důvěrných informací vinou zaměstnanců společnosti.

Závažnost problému přijímání opatření k zajištění bezpečnosti informací lze ilustrovat na následujících příkladech:

1. Bezpečnostní služba federálního operátora každý měsíc detekuje dva až šest incidentů souvisejících s porušením bezpečnosti informací.
2. V hypermarketu byla mladá dívka „osvětlena“ na nedostatky programu pro párování pokladních terminálů přes místní síť. V důsledku podvodu si dáma za tři měsíce „vydělala“ 900 000 rublů.
3. Mladý pokladník provedl změny v hotovostním programu a za měsíc způsobil podniku škodu ve výši asi 200 000 rublů. Správce systému zjistil skutečnost neoprávněného přístupu až při vyšetřování dva měsíce po propuštění pokladní.

Vedoucí představitelé firem tedy musí pochopit důležitost informační bezpečnosti a naučit se předvídat a řídit budoucí trendy. Efektivní provoz bezpečnostních systémů by měl být nejvyšší prioritou celého podniku.

Hlavní směry ochrany informací:

- právní ochrana zahrnuje: Legislativa Ruské federace, její vlastní regulační dokumenty, včetně: předpisů o uchovávání důvěrných informací, seznamu informací tvořících obchodní tajemství, pokynů k postupu při přístupu zaměstnanců k důvěrným informacím, předpisů o kancelářské práci a tok dokumentů, povinnost zaměstnance nezveřejňovat důvěrné informace, sdělení zaměstnance o zachování obchodního tajemství atd.;
- organizační ochrana zahrnuje režimově-správní a organizační opatření. Patří mezi ně: organizace bezpečnostní služby, organizace vnitropodnikové a přístupové kontroly, organizace práce se zaměstnanci na nezveřejňování informací tvořících obchodní a úřední tajemství, organizace práce s dokumenty, organizace práce na analýze vnějších a vnitřní hrozby atd.
- inženýrská a technická ochrana – zahrnuje použití různých technických, elektronických a softwarových nástrojů určených k ochraně informací.

Implementace programu bezpečnosti informací by měla být prováděna na základě integrovaného využívání bezpečnostních systémů a nástrojů vycházejících z předpokladu, že není možné zajistit požadovanou úroveň bezpečnosti pouze jedním samostatným nástrojem nebo opatřením, nebo jednoduchou kombinací z nich. Je nutná jejich systémová koordinace. V tomto případě může implementace jakékoli hrozby ovlivnit chráněný objekt pouze v případě, že jsou překonány všechny úrovně ochrany.

Bezpečnost jakéhokoli systému elektronického obchodování jako celku spočívá v ochraně před různými druhy zásahů do jeho dat. Všechny tyto zásahy lze rozdělit do několika kategorií:

· krádež dat (například krádež čísel kreditních karet z databáze);

· rušení (například datové přetížení stránky, která není určena pro tak velké množství informací);

· zkreslení údajů (například změna částek v souborech plateb a faktur nebo vytváření neexistujících certifikátů nebo stránek pro čerpání informací směřujících na konkrétní stránky);

· zničení dat (například při přenosu ze stránky nebo na stránku od uživatele);

· odmítnutí přijatých opatření (například ze skutečnosti zadání objednávky nebo přijetí zboží);

· neúmyslné zneužití zařízení staveniště bona fide uživatelem;

· neoprávněný přístup k informacím:

· neoprávněné kopírování, aktualizace nebo jiné použití dat;

· neautorizované transakce;

· neoprávněné prohlížení nebo přenos dat (například zobrazování skutečných jmen návštěvníků místo přezdívek v chatovací místnosti nebo na fóru).

Nelze přitom nevzít v úvahu, že v otázkách bezpečnosti v této oblasti existuje řada objektivních problémů právního charakteru – technologie se vyvíjejí mnohem rychleji než legislativní rámec, je obtížné chytit útočníka v čin zločinu a důkazy a stopy zločinů lze snadno zničit beze stopy. To vše vyžaduje, aby společnosti pečlivě vypracovaly politiku ochrany svého elektronického podnikání. Úplné a absolutní zabezpečení je nedosažitelné, protože systémy e-businessu jsou postaveny na různých standardních a zakázkových softwarových aplikacích od různých dodavatelů a značném počtu externích služeb poskytovaných poskytovateli služeb nebo obchodními partnery. Značná část těchto komponent a služeb je obvykle pro IT specialisty zákaznické společnosti neprůhledná, navíc mnohé z nich jejich tvůrci často upravují a vylepšují. Důkladně zkontrolovat všechny možné bezpečnostní závady je nemožné a odstranění všech těchto závad je ještě obtížnější. A i kdyby to bylo možné, nelze vyloučit ani tzv. lidský faktor, protože všechny systémy vytvářejí, mění a spravují lidé a podle výzkumu Institutu počítačové bezpečnosti 81 % respondentů uvedlo, že největší starostí jsou firmy je vnitřní hrozba – úmyslné či neúmyslné jednání vlastních zaměstnanců.

Problém ochrany před vnitřními hrozbami má dva aspekty: technický a organizační. Technickým aspektem je snaha eliminovat jakoukoli možnost neoprávněného přístupu k informacím. K tomuto účelu se používají takové známé prostředky jako:

udržovat hesla a pravidelně je měnit; poskytování minimálních práv nezbytných pro správu systému;

Dostupnost standardních postupů pro včasnou změnu přístupové skupiny při personálních změnách nebo okamžité zničení přístupu při propuštění zaměstnance.

Organizačním aspektem je vyvinout racionální vnitřní bezpečnostní politiku, která se změní v rutinní operace, jako jsou metody ochrany a předcházení hackerským útokům, které společnosti používají jen zřídka, jako například:

· zavedení obecné kultury bezpečnosti ve společnosti;

· testování softwaru pro hackování;

· sledování každého pokusu o hackování (bez ohledu na to, jak je úspěšný) a jeho důkladné prošetření;

· každoroční školení zaměstnanců o otázkách bezpečnosti a kybernetické kriminality, včetně informací o konkrétních příznacích hackerských útoků, s cílem maximalizovat počet zaměstnanců, kteří jsou schopni takovou činnost odhalit;

· zavedení jasných postupů pro řešení případů neúmyslné změny nebo zničení informací.

K ochraně před vniknutím zvenčí dnes existuje mnoho systémů, které jsou v podstatě různými druhy filtrů, které pomáhají identifikovat pokusy o hackování v raných fázích a pokud je to možné, zabraňují útočníkovi vstoupit do systému prostřednictvím externích sítí.

· routery - zařízení pro řízení síťového provozu umístěná mezi sítěmi druhého řádu a spravující příchozí a odchozí provoz segmentů sítě k nim připojených;

· firewally – prostředky k izolaci privátních sítí od veřejných sítí pomocí softwaru, který monitoruje a potlačuje vnější útoky na stránky pomocí určité kontroly nad typy požadavků;

aplikační brány jsou prostředky, kterými správce sítě implementuje bezpečnostní politiku, která řídí směrovače provádějící filtrování paketů;

· Intrusion Detection Systems (IDS) - systémy, které detekují úmyslné útoky a neúmyslné zneužití systémových prostředků uživateli;

· nástroje pro hodnocení bezpečnosti (speciální skenery atd.) - programy, které pravidelně skenují síť na problémy a testují účinnost implementované bezpečnostní politiky.

Obecně platí, že první věcí, kterou by společnost měla udělat, je zjistit, co by měla chránit a před kým. Hlavními hráči na tomto poli jsou akcionáři společnosti, spotřebitelé, zaměstnanci a obchodní partneři a pro každého z nich je nutné vypracovat vlastní schéma ochrany. Všechny bezpečnostní požadavky musí být zdokumentovány, aby sloužily jako vodítko pro všechny implementace aplikací elektronického obchodování a jejich bezpečnostních opatření napříč různými obchodními liniemi společnosti. Navíc vám to umožní vytvořit samostatný rozpočet pro servis bezpečnostních problémů v rámci společnosti a optimalizovat náklady pro tyto potřeby, čímž se eliminuje duplicita jakýchkoli bezpečnostních problémů při vývoji každého jednotlivého obchodního projektu.

Bohužel dnešní praxe je taková, že bezpečnostní politika je ponechána na vedení IT oddělení, jehož zaměstnanci se domnívají, že technologické záležitosti jsou důležitější než jakési „papírové“ návody, a navíc nejsou specialisty na určité oblasti podnikání. které rovněž vyžadují jasné ochranné postupy v rámci společnosti.

Při párování různého softwaru navíc mohou nastat specifické problémy, které výrobci jednotlivých integrovaných produktů neznají. Výzkum takových interakcí by měl předcházet jakýmkoli technologickým a rozpočtovým rozhodnutím. A tomu bylo dosud věnováno příliš málo pozornosti.

Existuje několik typů hrozeb elektronického obchodování:

Průnik do systému zvenčí.

Neoprávněný přístup v rámci společnosti.

Záměrné zachycování a čtení informací.

Úmyslné narušení dat nebo sítí.

Nesprávná (pro podvodné účely) identifikace uživatele.

Hackerská ochrana hardwaru a softwaru.

Neoprávněný přístup uživatele z jedné sítě do druhé.

Virové útoky.

Odmítnutí služby.

Finanční podvody.

K boji proti těmto hrozbám se používá řada metod založených na různých technologiích, a to: šifrování – zakódování dat, které zabrání jejich přečtení nebo zkreslení; digitální podpisy, které ověřují identitu odesílatele a příjemce; technologie stealth využívající elektronické klíče; firewally; virtuální a privátní sítě.

Žádná metoda ochrany není univerzální, například firewally nekontrolují viry a nejsou schopny zajistit integritu dat. Neexistuje žádný absolutně spolehlivý způsob, jak čelit hacknutí automatické ochrany, a je jen otázkou času, kdy bude hacknut. Doba, za kterou se taková ochrana prolomí, ale zase závisí na její kvalitě. Je třeba říci, že software a hardware pro ochranu připojení a aplikací na internetu byl vyvíjen dlouhou dobu, i když nové technologie jsou zaváděny poněkud nerovnoměrně.

Jaké hrozby čekají na společnost provozující elektronický obchod v každé fázi:

Nahrazení webové stránky serveru elektronického obchodu (přesměrování požadavků na jiný server), zpřístupnění informací o klientovi, zejména o jeho platebních kartách, třetím osobám;

Vytváření falešných objednávek a různých forem podvodů ze strany zaměstnanců elektronického obchodu, např. manipulace s databázemi (statistiky ukazují, že více než polovina počítačových incidentů souvisí s činností jejich vlastních zaměstnanců);

Zachycování dat přenášených prostřednictvím sítí elektronického obchodu;

Průnik útočníků do vnitřní sítě společnosti a kompromitace komponent elektronického obchodu;

Implementace útoků denial of service a narušení fungování nebo deaktivace uzlu e-commerce.

V důsledku implementace takových hrozeb společnost ztrácí důvěru zákazníků, přichází o peníze z potenciálních a/nebo nedokonalých transakcí, je narušena činnost elektronického obchodu a vynakládá se čas, peníze a lidské zdroje na obnovu fungování.

Hrozby spojené se zachycením informací přenášených přes internet se samozřejmě neomezují pouze na sektor elektronického obchodování. V souvislosti s posledně jmenovaným je zvláště důležité, že jeho systémy obsahují informace velkého ekonomického významu: čísla kreditních karet, čísla účtů, obsah smluv atd.

1. Zabezpečení e-commerce

Zajištění bezpečnosti je nejen nezbytnou podmínkou úspěšného elektronického podnikání, ale také základem důvěryhodných vztahů mezi protistranami. Samotná podstata e-businessu spočívá v aktivní výměně informací a transakcích prostřednictvím nechráněné veřejné sítě, které jsou prostě nemožné bez důvěryhodných vztahů mezi podnikatelskými subjekty. Zajištění bezpečnosti je proto složité, zahrnuje takové úkoly, jako je přístup k webovým serverům a webovým aplikacím, autentizace a autorizace uživatelů, zajištění integrity a důvěrnosti dat, implementace elektronických digitálních podpisů atd.

S rostoucí komercializací internetu se stále více pozornosti věnuje ochraně informací přenášených po síti. Specializované protokoly určené k organizaci bezpečné interakce přes internet (například SET, SOCKS5, SSL, SHTTP atd.) získaly široké uznání po celém světě a jsou úspěšně používány zahraničními vývojáři k vytváření internetových bankovních a obchodních elektronických systémů.

V zahraničí se problémem informační bezpečnosti e-businessu zabývá nezávislé konsorcium - Internet Security Task Force (ISTF) - veřejná organizace složená ze zástupců a expertů společností, které dodávají nástroje pro bezpečnost informací, e-business a internetové služby. poskytovatelé.

ISTF identifikuje dvanáct oblastí informační bezpečnosti, které by měly být primárním středem pozornosti. organizátoři elektronického obchodu:

Mechanismus pro objektivní potvrzení identifikačních informací;

Právo na osobní, soukromé informace;

Definice bezpečnostních událostí;

Ochrana firemního perimetru;

Definice útoků;

Kontrola potenciálně nebezpečného obsahu u1086;

Řízení přístupu;

Správa;

Reakce na události.

Je známo, že použití algoritmů elektronického digitálního podpisu (EDS) umožňuje spolehlivě chránit před mnoha hrozbami, ale to platí pouze tehdy, pokud jsou tyto algoritmy vetkány do dobře podložených interakčních protokolů, právně správné struktury vztahů a logicky uzavřeného systém důvěry.

Informační bezpečnost je založena na jednoduché logice procesů výpočtu digitálního podpisu a jeho ověření pomocí dvojice odpovídajících klíčů, nicméně tato logika je založena na základním matematickém výzkumu. Digitální podpis může vypočítat pouze vlastník soukromého klíče a každý, kdo má veřejný klíč odpovídající soukromému klíči, jej může ověřit.

Specialisté v této oblasti by se samozřejmě měli podílet na zajišťování informační bezpečnosti, ale vedoucí státních orgánů, podniků a institucí, bez ohledu na formu vlastnictví, kteří jsou zodpovědní za ekonomické zabezpečení určitých ekonomických subjektů, musí tuto problematiku neustále udržovat. jejich zorné pole. Níže jsou pro ně uvedeny hlavní funkční součásti organizace komplexního systému zabezpečení informací:

Komunikační protokoly;

Kryptografické nástroje;

Nástroje pro řízení přístupu pro pracovní stanice z veřejných sítí;

Antivirové komplexy;

Programy pro detekci a audit útoků;

Nástroje pro centralizovanou správu řízení přístupu uživatelů a také bezpečnou výměnu datových paketů a zpráv libovolných aplikací přes otevřené sítě.

Internet již dlouho má řadu výborů, většinou dobrovolnických organizací, které pečlivě provádějí navrhované technologie procesem standardizace. Tyto výbory, které tvoří většinu Internet Engineering Task Force (IETF), standardizovaly několik důležitých protokolů, což urychlilo jejich přijetí na internetu.

Protokoly jako rodina TCP/IP pro datovou komunikaci, SMTP (Simple Mail Transport Protocol) a POP (Post Office Protocol) pro e-mail a SNMP (Simple Network Management Protocol) pro správu sítě jsou přímými výsledky úsilí IETF. Typ použitého bezpečnostního produktu závisí na potřebách společnosti.

Na internetu jsou oblíbené protokoly pro bezpečný přenos dat, konkrétně SSL, SET, IP v.6. Uvedené protokoly se na internetu objevily poměrně nedávno, jako nutnost ochrany cenných informací, a okamžitě se staly de facto standardy.

Bohužel v Rusku jsou stále velmi opatrní ohledně možnosti zavedení internetu do těch oblastí činnosti, které souvisejí s

přenos, zpracování a ukládání důvěrných informací. Podobný

Opatrnost se vysvětluje nejen konzervativností domácích finančních struktur, které se obávají otevřenosti a dostupnosti internetu, ale částečně i tím, že většina softwaru pro informační bezpečnost od západních výrobních společností vstupuje na náš trh s exportními omezeními ohledně v nich implementované kryptografické algoritmy. Například v exportních verzích softwaru pro WWW servery a prohlížeče od výrobců, jako jsou Microsoft a Netscape Communications, existují omezení týkající se délky klíče pro jednoklíčové a dvouklíčové šifrovací algoritmy používané protokolem SSL, který neposkytuje kompletní ochranu při práci na internetu.

Aplikace elektronického obchodování jsou však kromě interních hrozeb také náchylné k externím hrozbám pocházejícím z internetu. A protože je iracionální přidělovat každému anonymnímu návštěvníkovi samostatné přihlašovací ID (protože aplikace neroste), musí společnosti používat jiný typ autentizace. Kromě toho je nutné připravit servery na odrážení útoků. A konečně byste měli být extrémně opatrní s citlivými údaji, jako jsou čísla kreditních karet.

Šifrování dat

Obchodní web zpracovává citlivé informace (jako jsou čísla spotřebitelských kreditních karet). Přenos takových informací přes internet bez jakékoli ochrany může vést k nenapravitelným následkům. Kdokoli může přenos odposlouchávat a získat tak přístup k důvěrným informacím. Proto musí být data šifrována a přenášena přes zabezpečený kanál. Pro implementaci zabezpečeného přenosu dat se používá protokol Secure Sockets Layer (SSL).

Chcete-li implementovat tuto funkci, musíte si zakoupit digitální certifikát a nainstalovat jej na server(y). O digitální certifikát můžete požádat některý z certifikačních orgánů. Mezi známé komerční certifikační organizace patří: VerySign, CyberTrust, GTE.

SSL je schéma pro protokoly, jako je HTTP (v případě zabezpečení se nazývá HTTPS), FTP a NNTP. Při použití SSL pro přenos dat:

Data jsou šifrována;

Mezi zdrojovým serverem a cílovým serverem bylo vytvořeno zabezpečené připojení;

Ověření serveru je povoleno.

Když uživatel odešle číslo kreditní karty pomocí SSL, data jsou okamžitě zašifrována, takže hacker nemůže vidět jejich obsah. SSL je nezávislý na síťovém protokolu.

Serverový software Netscape také poskytuje autentizaci – certifikáty a digitální podpisy – ověřující identitu uživatele a integritu zprávy a zajišťující, že zpráva nezměnila svou cestu.

Autentizace zahrnuje potvrzení identity uživatele a digitálního podpisu pro ověření pravosti dokumentů zapojených do výměny informací a finančních transakcí. Digitální podpis jsou data, která lze připojit k dokumentu, aby se zabránilo padělání.

Detekce narušení

Intrusion Detection Systems (IDS) dokáže identifikovat vzory nebo stopy útoků a generovat pro ně alarmy

upozornit operátory a povzbudit routery, aby ukončily připojení ke zdrojům nelegálního vniknutí. Tyto systémy mohou také zabránit pokusům způsobit odmítnutí služby.

Popis práce

Cílem této práce je prostudovat pojem e-commerce a zamyslet se nad otázkami informační bezpečnosti e-commerce.
úkoly:
- definovat e-commerce;
- zvážit jeho hlavní prvky, typy, pozitivní a negativní aspekty;
- zvážit hlavní typy hrozeb a hlavní způsoby zajištění bezpečnosti elektronického obchodování.

Informační bezpečnost elektronického obchodu (EC)

Počet uživatelů internetu dosáhl několika set milionů a objevila se nová kvalita v podobě „virtuální ekonomiky“. V něm se nakupuje prostřednictvím nákupních stránek, pomocí nových obchodních modelů, vlastní marketingové strategie atd.

Elektronický obchod (EC) je obchodní činnost pro prodej zboží přes internet. Zpravidla existují dvě formy ES:

* obchod mezi podniky (business to business, B2B);

* obchod mezi podniky a jednotlivci, tzn. spotřebitelé (business to customer, B2C).

EC dala vzniknout takovým novým konceptům, jako jsou:

* Elektronický obchod - výkladní skříně a obchodní systémy, které používají výrobci nebo prodejci při poptávce po zboží.

* Elektronický katalog – s velkým sortimentem produktů od různých výrobců.

* Elektronická aukce je obdobou klasické aukce s využitím internetových technologií s charakteristickým napojením na multimediální rozhraní, internetový přístupový kanál a zobrazení vlastností produktu.

* Elektronický obchodní dům je obdobou běžného obchodního domu, kde své zboží vystavují běžné firmy, s efektní značkou produktu (Gostiny Dvor, GUM atd.).

* Virtuální komunity (komunity), ve kterých jsou kupující organizováni zájmovými skupinami (fankluby, spolky atd.).

Internet v oblasti EC přináší značné výhody:

* úspora pro velké soukromé společnosti z převodu nákupů surovin a komponent na internetové burzy dosahuje 25 - 30 %;

* účast v aukci konkurenčních dodavatelů z celého světa v reálném čase vede ke snížení cen, které si naprogramovali za dodávku zboží nebo služeb;

* zvýšení cen zboží nebo služeb v důsledku konkurence ze strany kupujících z celého světa;

* úspory snížením počtu potřebných zaměstnanců a objemu papírování.

Dominantním postavením v ES v západních zemích se stal B2B sektor, který do roku 2007 podle různých odhadů dosáhne 3 až 6 bilionů. dolarů. První, kdo těžil z převodu svého podnikání na internet, byly společnosti prodávající hardware a software a poskytující počítačové a telekomunikační služby.

Každý internetový obchod obsahuje dva hlavní komponenty:

elektronický obchod a obchodní systém.

Elektronický obchod obsahuje informace o zboží prodávaném na webu, poskytuje přístup do databáze obchodu, eviduje zákazníky, pracuje s elektronickým „košíkem kupujícího“, zadává objednávky, shromažďuje marketingové informace a přenáší informace do obchodního systému.

Obchodní systém dodá zboží a zpracuje za něj platbu. Obchodní systém je soubor obchodů vlastněných různými společnostmi, které si pronajímají prostor na webovém serveru vlastněném samostatnou společností.

Provozní technologie internetového obchodu jak následuje:

Kupující si vybere požadovaný produkt na elektronické výloze s katalogem zboží a cen (webová stránka) a vyplní formulář s osobními údaji (celé jméno, poštovní a e-mailová adresa, preferovaný způsob doručení a platby). Pokud se platba provádí přes internet, pak je věnována zvláštní pozornost bezpečnosti informací.

převod hotového zboží do obchodního systému internetového obchodu,

kde je objednávka dokončena. Obchodní systém funguje ručně nebo automaticky. Manuální systém funguje na principu Posyltorg, kdy není možné zakoupit a nastavit automatický systém zpravidla při malém objemu zboží.

Dodání a platba zboží. Doručení zboží kupujícímu je realizováno

jedním z možných způsobů:

* kurýrní prodejna ve městě a okolí;

* specializovaná kurýrní služba (i ze zahraničí);

* vyzvednout;

* tyto specifické informace jsou poskytovány prostřednictvím telekomunikačních sítí

produkt jako informace.

Platbu za zboží je možné provést následujícími způsoby:

* předběžné nebo v době převzetí zboží;

* v hotovosti kurýrovi nebo při návštěvě skutečné prodejny;

* poštovním převodem;

* Bankovní transakce;

* na dobírku;

* pomocí kreditních karet (VISA, MASTER CARD atd.);

prostřednictvím elektronických platebních systémů prostřednictvím jednotlivých obchodních

banky (TELEBANK, ASSIST atd.).

V poslední době se ve světě poměrně rychle rozvíjí e-commerce nebo obchod přes internet. Přirozeně, tento proces

za přímé účasti finančních institucí. A tento způsob obchodování je stále populárnější, alespoň tam, kde nový elektronický trh může využívat velká část podniků i populace.

Komerční aktivity v elektronických sítích odstraňují některá fyzická omezení. Společnosti, které připojují své počítačové systémy

internetu, jsou schopni poskytnout zákazníkům podporu 24 hodin denně bez svátků a víkendů. Objednávky produktů lze přijímat kdykoli a odkudkoli.

Tato „mince“ má však i svou druhou stranu. V zahraničí, kde je e-commerce nejrozšířenější, jsou transakce nebo náklady na zboží často omezeny na 300–400 USD. Důvodem je nedostatečné řešení problémů informační bezpečnosti v počítačových sítích. Podle Výboru OSN pro prevenci a kontrolu kriminality dosáhla počítačová kriminalita úrovně jednoho z mezinárodních problémů. Ve Spojených státech je tento druh trestné činnosti na třetím místě z hlediska ziskovosti po obchodování se zbraněmi a drogami.

Objem celosvětového obratu elektronického obchodování přes internet v roce 2006,

Podle předpovědí Forrester Tech. by se mohl pohybovat od 1,8 do 2 bilionů. Takto široké rozpětí prognózy je určeno problémem zajištění ekonomické bezpečnosti elektronického obchodování. Pokud úrovně zabezpečení zůstanou na současné úrovni, globální obrat elektronického obchodování by mohl být ještě nižší. Z toho vyplývá, že právě nízká bezpečnost systému e-commerce je limitujícím faktorem rozvoje e-businessu.

Řešení problematiky zajištění ekonomické bezpečnosti elektronického obchodu je spojeno především s řešením otázek ochrany informačních technologií v něm používaných, tedy zajištění bezpečnosti informací.

Integrace podnikových procesů do prostředí internetu vede k zásadní změně bezpečnostní situace. Vznik práv a povinností na základě elektronického dokumentu vyžaduje komplexní ochranu před celou řadou hrozeb, a to jak ze strany odesílatele dokumentu, tak jeho příjemce. Manažeři e-commerce podniků si bohužel řádně uvědomují závažnost informačních hrozeb a důležitost organizace ochrany svých zdrojů až poté, co jsou vystaveny informačním útokům. Jak vidíte, všechny vyjmenované překážky se týkají oblasti informační bezpečnosti.

Mezi základní požadavky na provádění obchodních transakcí patří důvěrnost, integrita, autentizace, autorizace, záruky a utajení.

Při dosahování bezpečnosti informací je důležité zajistit jejich dostupnost, důvěrnost, integritu a právní význam základní úkoly . Každá hrozba musí být zvážena z hlediska toho, jak by mohla ovlivnit tyto čtyři vlastnosti nebo kvality bezpečných informací.

Důvěrnost znamená, že omezené informace by měly být přístupné pouze těm, kterým jsou určeny. Pod integrita informace je chápána jako její vlastnost existence v nezkreslené podobě. Dostupnost informace jsou určeny schopností systému poskytovat včasný a neomezený přístup k informacím subjektům, které k tomu mají příslušné oprávnění. Právní význam informace jsou v poslední době důležité spolu s vytvořením regulačního rámce pro informační bezpečnost v naší zemi.

Pokud lze první čtyři požadavky splnit technickými prostředky, pak splnění posledních dvou závisí jak na technických prostředcích a odpovědnosti jednotlivců a organizací, tak i na dodržování zákonů, které chrání spotřebitele před možnými podvody ze strany prodejců.

V rámci zajištění komplexní informační bezpečnosti je v první řadě nutné vyzdvihnout klíč problémy v oblasti elektronického zabezpečení podnikání který zahrnuje:

ochrana informací při jejich přenosu komunikačními kanály; ochrana počítačových systémů, databází a elektronické správy dokumentů;

zajištění dlouhodobého uchovávání informací v elektronické podobě; zajištění bezpečnosti transakcí, důvěrnosti obchodních informací, autentizace, ochrany duševního vlastnictví atd.

Existuje několik typů hrozeb elektronického obchodování:

 Pronikání do systému zvenčí.

 Neoprávněný přístup v rámci společnosti.

 Záměrné zachycování a čtení informací.

 Záměrné narušení dat nebo sítí.

 Nesprávná (pro podvodné účely) identifikace

uživatel.

 Hackování ochrany softwaru a hardwaru.

 Neoprávněný přístup uživatele z jedné sítě do druhé.

 Virové útoky.

 Odepření služby.

 Finanční podvody.

K boji proti těmto hrozbám se používá řada metod založených na různých technologiích, a to: šifrování – zakódování dat, které zabrání jejich přečtení nebo zkreslení; digitální podpisy, které ověřují identitu odesílatele a příjemce; technologie stealth využívající elektronické klíče; firewally; virtuální a privátní sítě.

Žádná metoda ochrany není univerzální, například firewally nekontrolují viry a nejsou schopny zajistit integritu dat. Neexistuje žádný absolutně spolehlivý způsob, jak čelit hacknutí automatické ochrany, a je jen otázkou času, kdy bude hacknut. Doba, za kterou se taková ochrana prolomí, ale zase závisí na její kvalitě. Je třeba říci, že software a hardware pro ochranu připojení a aplikací na internetu byl vyvíjen dlouhou dobu, i když nové technologie jsou zaváděny poněkud nerovnoměrně.

Který hrozby čekají na e-shopovou společnost v každé fázi :

 nahrazení webové stránky serveru elektronického obchodu (přesměrování požadavků na jiný server), zpřístupnění informací o klientovi, zejména o jeho platebních kartách, třetím osobám;

 vytváření falešných objednávek a různých forem podvodů ze strany zaměstnanců elektronického obchodu, např. manipulace s databázemi (statistiky ukazují, že více než polovina počítačových incidentů souvisí s činností jejich vlastních zaměstnanců);

 zachycování dat přenášených prostřednictvím sítí elektronického obchodování;

 pronikání útočníků do vnitřní sítě společnosti a kompromitace komponent elektronického obchodu;