بمباران اخبار، اطلاعيه ها و هشدارهاي پي در پي در خصوص مشكلات امنيتي موجود در بانكداري و تجارت آنلاين، رسانه هاي گروهي جهان و مخاطبان آن ها را بيش از خود تهديدهاي امنيتي با سردرگمي مواجه كرده است! به نظر مي رسد جنگ بين امنيت و ضد امنيت پاياني نخواهد داشت و كاربران نگون بخت خدمات اينترنتي، تنها قربانيان اين نبرد محسوب مي شوند؛ درست به اين دليل كه هم مجرمان اينترنتي تا حد زيادي به اهداف خود مي رسند و هم شركت هاي امنيتي، روز به روز بر تجارت و فروش نرم افزارهاي امنيتي خود مي افزايند. شركت هاي ارائه دهنده خدمات آنلاين نيز آنقدر نقدينگي دارند كه حتي ضررهاي هنگفت در نظر ما، براي آن ها كاملاً قابل اغماض باشد.
البته برخلاف بزرگنمايي هاي رسانه اي و تحليل هاي غيرواقعي بسياري از كارشناسان، تهديدهاي امنيتي معاملات الكترونيك به هيچ وجه فلج كننده و غيرقابل كنترل نيستند؛ چرا كه حتي در بدبينانه ترين بررسي ها، از ابتداي تولد جرايم سايبر، مجموع درآمد سالانه مجرمان اينترنتي از چندين ميليون دلار فراتر نرفته است، كه اين مبلغ و حتي چند برابر آن نيز، در مقايسه با گردش جهاني پول كاملاً ناچيز است. به هر ترتيب اغراق و بزرگنمايي مشكلات امنيتي موجود، بي انصافي ست. نبايد اين گونه فكر كرد كه تك تك اعمال، رفتار و فعاليت هاي ما در اينترنت تحت كنترل تبه كاران و ابزار مخرب آن ها قرار دارد. علاوه بر اين، ابزار و نرم افزارهاي امنيتي هم چندان بي كفايت نيستند و قادر به كنترل و انسداد درصد بسيار بالايي از كدهاي مخرب و نفوذهاي غيرقانوني مي باشند و درست به همين دليل تنها درصد محدودي از اقدامات خرابكارانه با هدف سرقت مستقيم يا غيرمستقيم پول به ثمر مي نشينند و اغلب آنها به نحوي خنثي شده و ماهيت مجرمانه خود را از دست مي دهند.
آخرين حلقه زنجير
هيچ دليلي وجود ندارد كه ريسك امنيتي خريد آنلاين از يك فروشگاه معتبر، كمتر از استفاده حضوري از كارت اعتباري و يا وجه نقد در محوطه فيزيكي آن فروشگاه باشد. احتمال اجراي تهديدهاي اينترنتي آنلاين، درست به اندازه اين احتمال است كه شخصي در محل خريد حضوري شما و بدون اين كه متوجه شويد، رمز و شماره كارت اعتباري تان را يادداشت كند و يا حتي خود آن را برداشته و پا به فرار بگذارد...؛ نه بيشتر. تنها تفاوت موجود، محيط انجام معامله است و عدم حضور تهديدهاي فيزيكي و قابل مشاهده .
در مبادلات و معاملات آنلاين احتمال ناديده انگاشتن جوانب امنيتي و عدم رعايت آن، فقط كمي بيشتر از داد و ستدهاي حضوري ست.
در حقيقت مجرمان اينترنتي معمولاً به صورت مستقيم به شبكه هاي سازماني و سرورهاي اطلاعاتي حمله نميكنند؛ بلكه تمام تمام تلاش خود را بر روي آسيب پذيرترين حلقه زنجير متمركز مي كنند... و اين حلقه شكنده چيزي و يا بهتر بنويسم كسي نيست به جز كاربر نهايي. شما هم حتماً تأييد مي كنيد كه دسترسي به اطلاعات حساس و با ارزش سازماني از طريق كاربران خانگي بسيار آسان تر از شكستن لايه هاي مختلف امنيتي، نفوذ به يك پايگاه اطلاعاتي و دسترسي به اطلاعات رمزگذاري شده است.
در اينجا نگاهي مي اندازيم به راهكارها و ملزومات حفاظتي كه هر كاربري براي افزايش امنيت اطلاعات و دريافت خدمات مطلوب در اينترنت، بايد از آن ها آگاه باشد.
ملزومات امنيتي يك صفحه اينترنتي براي ارائه خدمات پولي و تجاري چيست؟
صفحات اينترنتي كه در آن ها مبادلات آنلاين و خدمات حساس مالي يا تجاري انجام مي شود، بايد داراي ملزومات زير باشند:
* تضمين اين مسئله كه داده هاي وارد شده براي انجام مبادلات و يا معاملات الكترونيك، تنها توسط بخش ها يا افراد معيني قابل دسترسي ست. اين مسئله از طريق رمزگذاري انجام مي شود.
* صحت، درستي و عدم نقص اطلاعات درطول عمليات نقل و انتقال؛ به منظور اطمينان از عدم سوء استفاده از اطلاعات حساس. اين مسئله از طريق استفاده از امضاي ديجيتال انجام مي شود.
* و در نهايت، هويت هر دو طرف رابطه تجاري، يعني ارائه دهنده و دريافت كننده خدمات آنلاين، بايد كاملاً واضح و مشخص بوده و مورد تأييد و تصديق قرار گيرد. مدارك هويت ديجيتالي براي رفع نگراني هاي موجود در اين رابطه مورد استفاده قرار مي گيرند.
براي دسترسي به اين ملزومات كلي، روش هاي ارتباطي استانداردي طراحي شده است كه هر كدام وظايف خاصي را بر عهده دارند:
پروتكل هاي امنيتي
پروتكل هاي امنيتي، قوانين و استانداردهايي هستند كه براي محافظت از مبادلات و معاملات اينترنتي در برابر تهديدهاي آنلاين، وضع شده اند و دسترسي هاي غيرمجاز به اطلاعات تبادل شده را محدود مي كنند.
به اين ترتيب اين پروتكل ها، نقش مهمي در محافظت از كاربران خانگي، شبكه هاي محلي، فروشگاه ها، سازمان ها و مؤسسات مالي تجاري دارند. تهديدهايي چون سرقت اطلاعات، سرقت مستقيم و يا غير مستقيم پول، ايجاد توقف و اختلال در فرآيندهاي تجاري، كلاهبرداري هاي آنلاين و غيره تهديدهايي هستند كه از كوچكترين نقص و اشتباه در كاربرد اين پروتكل ها سود مي برند.
مهمترين و پركاربردترين اين استانداردهاي ارتباطي، براي حفاظت از فعاليت هاي تجاري آنلاين، پروتكل مشهوري با عنوان SSL (Secure Socket Layer) است. اين پروتكل مي تواند هرگونه داده و اطلاعات ورودي به سيستم يا شبكه را رمزگذاري كرده و سپس آن ها را در مقصد و براي تحويل گيرنده مجاز، رمز گشايي نمايد. اين بدان معناست كه اگر شخص سومي بخواهد به داده هاي مبادله شده از طريق SSL، دسترسي پيدا كند، بدون در اختيار داشتن كليد رمزگشايي مربوطه كاملاً ناموفق خواهد بود.
در اين پروتكل، تنها فروشنده و ارائه كننده خدمات آنلاين، نياز به مدارك و معرفي نامه هاي ديجيتال دارد تا هويت و اعتبار امنيتي وي مورد تأييد قرار بگيرد. در اين صورت خريدار و دريافت كننده خدمات اينترنتي، هيچ نيازي به ارائه معرفي نامه و هويت سنجي امنيتي نخواهد داشت.
اعتبار بخشي امنيتي
علاوه بر استفاده از پروتكل هاي امنيتي و ابزار حفاظت از اطلاعات رايانه اي مانند نرم افزارهاي ضد ويروس، هركدام از طرف هاي يك معامله الكترونيك (ارائه كننده و دريافت كننده خدمات)، بايد داراي ابزار و مدارك خاص امنيتي براي برقراري ارتباط امن با طرف مقابل خود باشند. رمزهاي عبور، مدارك ديجيتال،كارت هاي هوشمند، امضاي ديجيتال، شماره هاي IP ، آدرس هاي MAC و حتي خصوصيات منحصر بفرد بيومتريك (اثر انگشت، ...) همگي ابزاري هستند كه به اعتبار سنجي امنيتي طرف هاي يك معامله اينترنتي كمك مي كنند. اعتبار و هويت امن كاربرهاي خانگي اينترنت معمولاً با رمزهاي عبور، شماره كارت هوشمند، امضاي ديجيتال و ... تأييد مي شود اما براي بانك ها، مراكز فروشگاهي بزرگ و سازمان هاي تجاري، دارا بودن مدارك امنيتي ويژه ضروري ست. شايد بتوان گواهي نامه هاي ديجيتال را مهمترين ابزار شناسايي و تأييد اعتبار مراكز بزرگ مالي تجاري دانست. بدان معني كه اگر يك پايگاه اينترنتي داراي اين گواهي نامه امنيتي نباشد نبايد به خيلي به آن اعتماد كرد و اطلاعات حساس و محرمانه خود را در آن وارد كرد.
امنيت تجارت الكترونيك؛ قابل دسترس، قابل اجرا
نكته بسيار مهم در اينجاست كه روش هاي خاص امنيتي براي حافظت از معاملات اينترنتي چنان سخت گيرانه طراحي شده اند كه مي توان ادعا كرد "ديگر تفاوت چنداني ميان انجام معاملات حضوري و مبادلات الكترونيك باقي نمانده است."
درست به همان نحو كه يك مشتري، اطلاعات شخصي، محرمانه و حساس خود را به صورت رو در رو در اختيار هر فروشنده اي قرار نمي دهد و جوانب امنيتي را به طور كامل حفظ ميكند، در حوزه مبادلات آنلاين نيز نبايد اين اطلاعات را در صفحات، پايگاه ها و نيز سرورهايي كه فاقد مدارك و گواهي نامه هاي خاص امنيتي هستند، وارد كند .
علاوه بر اين، در لايه هاي ارتباطي بالاتر، مدير شبكه خدمات دهنده بايد نهايت دقت و احتياط را در اطمينان از عدم وجود هر گونه كد يا ابزار مخرب (ويروس، تروژان، ابزار هك و ...) و نيز هرگونه آسيب پذيري (حفره ها و نقص هاي امنيتي) به كار برد تا امنيت داده ها و اطلاعات ذخير شده در سرور مورد تهديد قرار نگيرند. همان طور كه بيان شد، بسياري از نرم افزارهاي مخرب مانند تروژان ها با هدف ايجاد آسيب پذيري در سرورها و يا سيستم هاي متصل به آن، تنها از طريق كاربران خانگي و يا ساير شبكه هاي خدمات گيرنده، سازمان هاي ارائه دهنده خدمات آنلاين را تهديد مي كنند. دسترسي هاي غير مجاز در سطوح بالا، سرقت داده هاي حساس و محرمانه و ايجاد خسارت هاي قابل توجه و ... تهديدهاي دائم و شايعي هستند كه از كوچكترين فرصت و باريكترين روزنه استفاده مطلوب مي كنند.
از طرف ديگر، مراجع صدور گواهي نامه هاي ديجيتال، مسئول صدور تأييديه هاي امنيتي براي سرورها و شبكه ها بر اساس پروتكل هاي امنيتي هستند. اين مراكز تصميم گيري مي توانند براي شركت هاي ارائه كننده خدمات الكترونيك، مشتري ها و حتي كاربران عادي اينترنت نيز گواهي نامه هاي ديجيتال صادر كنند.
به عنوان نمونه اي از اين مراجع معتبر مي توان به گروه VeriSign اشاره كرد كه عمده فعاليت هاي امنيتي زيرساخت در اينترنت را به عهده دارد.