Problemele de securitate a retelelor vor fi, probabil,2 capul de afis al viitorilor ani, avand in vedere faptul ca rata de crestere a criminalitatii informatice in anul 1998 fata de 1997 a fost de 250%, potrivit unui studiu efectuat de FBI. Sistemele de operare in retea, precum si dispozitivele destinate securitatii, cum ar fi firewall-urile, au vulnerabilitati total necunoscute de utilizatorii lor. In plus, multe programe noi apar in comunitatile hackerilor/crackerilor, care automatizeaza procesul de penetrare a unui sistem, asfel incat acum, prin simple click-uri de mouse, pot fi compromise anumite sisteme, in timp ce solutiile de securitate promise se lasa asteptate.
Evident ca, in momentul in care intreaga activitate poate fi compromisa de un acces neautorizat in retea, problema implementarii unui sistem de securitate cat mai sigur se impune de la sine. Exista diferite moduri de implementare a unui sistem de securitate, care depind foarte mult de arhitectura retelei si de modul in care doriti ca Internetul sa fie prezent in biroul dumneavoastra.
Nu exista nici o lege care sa stipuleze ca trebuie sa va conectati intreaga retea la Internet, desi o multime de firme fac acest lucru. Un mod simplu de a reduce costurile este sa creati doar un sector limitat care sa aiba conectivitate. Daca scopul este de a furniza informatii promotionale clientilor, puteti chiar renunta la conexiune. Cu siguranta se va gasi un ISP (furnizor de servicii Internet) care sa va gazduiasca pe web.
Totusi, daca alegeti sa furnizati un acces dedicat, cu un server aflat in control local, sunt cateva lucruri pe care le-ati putea face si care ar duce la cresterea sigurantei retelei. In primul rand, daca singurul lucru expus in exterior este un server Web si sunteti ingrijorat ca va fi atacat, puteti alege modul read-only (informatia poate fi doar citita). Intr-adevar, acest mod este mai dificil de implementat decat cel read/write, dar castigurile in securitate sunt imense. In modul read-only, chiar daca un cracker obtine acces privilegiat, nu prea poate face mare lucru. Ideea e sa includeti toate programele CGI (Common Gateway Interface – programe de acces la Internet) intr-o zona restrictiva. Aceste programe vor citi datele din mediul read-only si vor genera o pagina rezultat. Aceasta este o metoda sigura pentru furnizarea de suport tehnic, liste de produse si preturi etc. Cert este ca atata vreme cat aveti back up-uri (copii de siguranta) ale programelor CGI, puteti avea un calculator identic intr-o ora sau mai putin, chiar in cazul in care crackerii au reusit sa provoace o cadere de sistem. Genul acesta de aranjament este potrivit doar pentru cei care furnizeaza informatii. Este insuficient (si inaplicabil) pentru aceia care doresc sa accepte informatii.
Calculatorul de sacrificiu este totusi cea mai sigura solutie, care sa reprezinte singura legatura cu exteriorul si care va asteptati sa fie tinta unor atacuri. Desigur, este mult mai convenabil sa aveti o anumita portiune a retelei conectata la Internet. Oricum, daca doriti ca angajatii dumneavoastra sa aiba acces la Internet (informare, documentare, training), aceasta solutie este impracticabila. Ea poate fi totusi implementata atunci cand nu doriti un trafic intens din interior spre exterior, in special in situatiile comerciale, adica atunci cand se accepta plata cu carte de credit prin intermediul unui browser.
Protejarea cardurilor pe Internet este o problema
Exista numeroase moduri de a accepta cartile de credit, unele dintre ele prezentand riscuri destul mari. In general, cand acceptati numere de carti de credit prin Internet, le veti si verifica/deconta tot cu ajutorul Internetului, ceea ce va face necesar apelul la un serviciu extern. Exista diferite tehnici de implementare a acestei solutii, dintre care se impun doua:
1. Salvarile locale: informatia e dirijata printr-o sesiune securizata si criptata (SHTML, de exemplu). De obicei, aceasta se realizeaza printr-un formular creat in mod special pentru acest lucru si prin care se stocheza informatia pe un disc. Informatia de intrare ajunge pe discul local cu ajutorul catorva procese, unul dintre acestea fiind cel in care numarul cartii de credit este verificat pe baza unui algoritm specific, pentru a se vedea daca este corect sau nu (numerele cartilor de credit se genereza dupa un anumit algoritm; astfel, un numar poate fi corect deoarece corespunde algoritmului, dar sa nu existe in schimb si o carte de credit corespondenta).
Acest tip de verificare ridica totusi doua probleme importante. Prima este ca algoritmii de generare sunt acum larg raspanditi (pot fi procurati de pe Internet), si anumite persoane pot face comenzi pe baza acestor numere corecte. In acest fel, partea care accepta carti de credit este supusa unui risc serios. In general, organizatiile verifica validitatea cartilor de credit la sfarsitul saptamanii pentru comenzile mici ca valoare si imediat, in cazul comenzilor ce depasesc o anumita suma. Daca se furnizeaza bunurile sau serviciile inainte de a realiza o verificare completa (nume, adresa etc.), se produc pagube din cauza comenzilor frauduloase. Daca se recurge imediat la o verificare completa, partea acceptanta pierde teoretic pe durata in care cartea de credit nu e validata.
O alta problema, poate mai importanta, este ca stocarea acestor numere pe un disc local se poate dovedi o optiune fatala, deoarece depindeti de securitatea serverului dumneavoastra pentru a proteja datele despre clientela. Probabil ca daca aceste informatii vor fi doar citite, o gramada de bani vor fi furati, iar in momentul in care se va afla ca informatiile referitoare la acele carti de credit converg, si anume spre discul dumneavoastra, cu siguranta ca veti avea mari probleme.
2. Salvarile pe un calculator aflat la distanta: poate fi o solutie preferabila sau nu. Este necesara o forma HTML securizata pe site-ul Web, furnizata de Serviciul de Protectie a Cartilor de Credit. Aceasta forma va contine, probabil, niste scripturi care redirecteaza datele subscrise catre un server conectat la distanta, care are rolul de a proteja aceste numere. Avantajele si dezavantajele acestei metode sunt diverse. In primul rand, partea care accepta cartea de credit nu va avea in posesia ei informatii despre aceasta, ceea ce cu siguranta va da dureri de cap ulterior. De exemplu, sa presupunem ca un copil intra in posesia cartii de credit a parintilor si face anumite comenzi. Partea care le accepta nu detine informatii despre cartea de credit. Mai tarziu, parintii vor contesta aceste comenzi, pretinzand ca nu le-au facut niciodata. Este adevarat ca problema se poate rezolva cu ajutorul unei terte parti (care a colectat informatiile), dar aceasta modalitate consuma timp si creeaza dubii asupra comertului electronic in general. Aceasta metoda este considerata totusi cea mai sigura, probabil si datorita faptului ca are un scenariu mai bun „in conditiile cele mai defavorabile” .
Considerentele enuntate anterior constituie o problema si pentru consultantii in materie de comert electronic, in vederea alcatuirii unui asa-zis pachet viabil. Desigur ca s-ar putea concepe un pachet complet, dar acesta este destul de dificil de implementat si, la urma urmei, problema se pune si in termeni de cost.
Lucian Demian