Рейтинг безопасности электронных платежных систем

Дмитрий Денежко aka Denga

Спецвыпуск: Хакер, номер #061, стр. 061-070-1

(denezko@dmitry.ru)

Вопрос безопасности электронных денег всегда был и остается одним из основных факторов, которые сдерживают развитие этого рынка. В этом рейтинге мы протестируем четыре основные российские платежные системы, чтобы определить, какая из них самая надежная.

Для начала немного расскажу об использованной методике, простой до нельзя: оценим все четыре системы (Webmoney, «Яндекс.Деньги», CyberPlat и E-Port) по одним и тем же критериям, каждому из которых соответствует определенная шкала оценок. Сами же системы на выходе будут ранжироваться по совокупному количеству баллов, набранных в ходе каждого испытания.

Будем оценивать по многоуровневой системе, которая включает вложенные параметры. Разумеется, все эти критерии относятся к сфере информационной безопасности, так как мы составляем именно рейтинг безопасности электронных платежных систем. У нас есть два основных критерия: техническое обеспечение информационной безопасности платежей и организационно-правовое обеспечение. Под вторым мы подразумеваем в первую очередь уязвимости платежной системы мошенничеству, фишингу и т.д. Каждый из двух этих параметров будем оценивать по трехбалльной системе. Шкала оценок именно такая, так как нынешнее развитие электронных платежных систем в нашей стране находится на таком уровне, что большинство их параметров можно описать лишь словами «да» или «нет». Соответственно, если система электронных платежей максимально соответствует какому-либо параметру, она получает высший бал (3), если совсем не соответствует — минимальный (0). Если в системе данного критерия в его явном виде нет, но если присутствуют какие-то сервисы или возможности, связанные с отсутствующим, присуждаем промежуточный бал — единицу или двойку. Какая именно из этих двух оценок будет выбрана, зависит от того, насколько конкретный дополнительный параметр связан с «исходным» критерием.

Оценивая системы электронных платежей, не забудем о том, что при разных условиях значения одного и того же параметра не одинаковы. Например, несколько сервисов, которые солидно повышают уровень защиты, могут быть реализованы пользователем только добровольно, дополнительно — ценно само наличие этих сервисов в системе. Человеческий фактор никто не отменял и никогда не отменит, поэтому мы будем учитывать, что сервис может быть как реализован, так и не реализован. Получается, что мы обязаны вводить весовой коэффициент для каждого параметра: для обязательных сервисов выставляем «1», а для сервисов, которыми пользуются только добровольно, — «0,5». Приступим.

Техническое обеспечение безопасности транзакций

Это первый из наших критериев — набор параметров, обеспечивающий, как ясно из его названия, техническую сторону защиты информации. В этот параметр включены: криптографические методы шифрования, аутенфикация и доступ при помощи специального аппаратного обеспечения (в самом примитивном случае — с помощью USB-ключей). Начинаем анализ.

Ни для кого не секрет, что основным критерием защиты информации в техническом плане является, конечно, шифрование данных, а конкретнее — криптографические алгоритмы, с помощью которых они реализованы. Известно также, что чем больше длина ключа, тем труднее расшифровать его и, соответственно, получить доступ к конфиденциальной информации. Три из «испытуемых» систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», Cyberplat. В E-Port применяется шифрование через SSL-протокол версии 3.0. Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны и генерируются во время сессии, поэтому и названы сеансовыми ключами. Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что, по оценкам экспертов, вполне достаточно для приемлемого уровня безопасности транзакций.