БЕЗОПАСНОСТЬ

Покупаете ли вы товары в Интернете? Я, например, люблю www.books.ru, и если бы не сроки доставки, то всегда приобретал бы книги через этот online-магазин. На сайте Интернет-магазина накапливается некоторая информация о вас, включая ту, что вы сами предоставили при регистрации (ФИО, адрес доставки, телефон и иногда номер кредитной карты), и ту, которая собирается Web-сервером самостоятельно (например, о ваших предпочтениях). Разумеется, вы хотите, чтобы эти данные сохранялись в тайне от разного рода злоумышленников. И если опасность, что хакеры украдут номер вашей кредитной карты, несколько преувеличена, то поток сообщений рекламного характера от спэммеров вполне реален. Я лично получаю до двадцати таких сообщений ежедневно - каким-то образом мой адрес попал в различные базы рассылки. Помимо Интернет-магазинов информацию, которая должна остаться тайной, собирают и другие серверы, например в процессе различных опросов и т. д.

А можно ли быть уверенным, посещая такого рода серверы, что собранная о вас информация будет доступна только некоторым сотрудникам магазина? Да и подлинность посещенного вами Web-сервера тоже может вызывать сомнения. Если для Интернет-покупок потеря в $20-30 не столь удручающа (хотя и неприятна), то воспользовавшись услугами поддельного Интернет-банка (а такие случаи известны), вы можете потерять несоизмеримо больше. Что же делать в этом случае? Как удостовериться, что выбранный вами сервер именно тот, за кого он себя выдает, а предоставленная информация будет сохранена в тайне?

В обычной жизни такую гарантию даст договор о конфиденциальности, заключаемый с банком или иной организацией. Хотелось бы и в виртуальности иметь некий “знак качества”, подтверждающий все маркетинговые заявления о “гарантии безопасности платежей” (такое заявление, например, висит на “оЗоне”) и т. д. И в последнее время такие цифровые печати стали появляться во всем мире, в том числе и в России. Я бы хотел рассказать о двух “знаках качества” - сертификате Thawte (www.thawte.com/getinfo/products/secure.html) и WebTrust.

Первый получил широкое распространение в России в последний год ввиду своей дешевизны для заказчика. Например, электронный магазин “оЗон” (www.ozon.ru) или страховая компания “Ренессанс-Страхование” (www.renins.com), осуществляющая страхование через Интернет, воспользовались этой услугой, заплатив всего $125 за годовое обслуживание одного сертификата. Разместив на своем сайте небольшую пиктограмму, Web-сервер подтверждает, что он именно тот, за кого себя выдает. Подлинность гарантирует третья сторона (в данном случае Thawte), используя цифровые SSL-сертификаты. В терминах инфраструктуры открытых ключей (PKI) компания Thawte является Certificate Authority (CA). Для установки на свой сайт “знака качества” необходимо выполнить всего восемь простых шагов, начиная от получения и подписания документов на оказание услуги (обязательным условием является обладание правами на Интернет-домен) и заканчивая оплатой счета (в том числе и по кредитной карте) и инсталляцией полученного сертификата на вашем сервере. Кстати, список поддерживаемых Web-серверов впечатляет: Apache, IIS, Netscape, Stronghold, WebSite, 4D WebStar, ICSS, Domino и др. Абсолютно идентичную услугу предоставляет и VeriSign. Только пиктограмма на сайте другая и стоимость услуг как минимум вдвое (для коммерческих сайтов разница составляет семь раз, а для крупных сайтов может достигать десяти) превышает стоимость аналогичных услуг Thawte. Оно и понятно. VeriSign - известная во всем мире торговая марка, а Thawte знают очень немногие.

Второй “знак качества” еще не получил широкого распространения в России, но его активно начинают продвигать консалтинговые компании “большой пятерки”, например Ernst & Young и KPMG. По своей сути печать WebTrust аналогична сертификату Thawte - это гарантия качества Web-сервера. Однако WebTrust отражает в первую очередь не техническую сторону дела, а его бизнес-составляющую. Печать WebTrust гарантирует, что online-бизнес проверен лицензированной аудиторской компанией на соответствие принципам и критериям, описанным Американским институтом сертифицированных бухгалтеров AICPA и Канадским институтом присяжных бухгалтеров CICA (www.aicpa.org/assurance/webtrust/index.htm). К принципам и критериям могут быть отнесены конфиденциальность (confidentiality), защищенность (security), доступность (availability), соблюдение прав на частную жизнь (privacy), удовлетворение клиентов (consumer redress) и прозрачность деловых принципов (business practice). “Знак качества” WebTrust обычно выдается компаниям, которые осуществляют свою деятельность в Интернете и реализуют схему “бизнес - потребитель” (business-to-consumer, B2C), с целью повышения доверия посетителей Web-сервера к розничным online-покупкам. В отличие от Thawte и VeriSign, чей сертификат действителен в течение года, печать WebTrust требует ежеквартального подтверждения соответствия принципам и критериям AICPA и CICA.

Выдавать заключения о таком соответствии тестируемого Web-сервера может любая организация, обладающая лицензией на право проведения подобной деятельности. В России эти компании пока можно пересчитать по пальцам одной руки; среди них, например, KPMG или Ernst & Young. Однако больший объем работ, проводимых в процессе сертификации на WebTrust, приводит и к большим затратам, чем получение печати Thawte и VeriSign.

В заключение хочу сказать, что присвоение “знака качества” несет с собой для Web-сервера ряд значительных преимуществ, в частности, рост доверия к вашему бизнесу со стороны инвесторов, клиентов и партнеров и отрыв на шаг вперед в конкурентной борьбе. При прочих равных условиях заказчик может уйти к компании, подтвердившей свой статус “знаком качества” от третьей стороны.

С автором статьи можно связаться по адресу: luka@infosec.ru.