Ηλεκτρονικό Εμπόριο Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)
Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3
Σκοποί ενότητας Να κατανοήσει ο φοιτητής τις βασικές εννοιολογικές προσεγγίσεις της ασφάλειας των συναλλαγών ηλεκτρονικού εμπορίου. 4
Περιεχόμενα ενότητας Ορισμός ασφάλειας ηλεκτρονικού εμπορίου (ΑΗΕ). Βασικότεροι μέθοδοι ασφάλειας. Οι κυριότεροι παράγοντες που δημιουργούν πρόβλημα ΑΗΕ. Απαιτήσεις ΑΗΕ. Μοντέλο διασφάλισης πληροφοριών. Μέτρα ΑΗΕ & Επίπεδα ΑΗΕ. 5
Ασφάλεια Ηλεκτρονικού Εμπορίου (ΑΗΕ): Ορισμός Αναφέρεται στην προστασία δεδομένων, δικτύων, ηλεκτρονικών υπολογιστών και άλλων στοιχείων πληροφοριακών συστημάτων για τη διεκπεραίωση μίας ηλεκτρονικής συναλλαγής. Πηγή: Turban et al. (2010). 6
Ασφάλεια Ηλεκτρονικού Εμπορίου (ΑΗΕ): Ενδεικτικά στατιστικά Σύμφωνα με έκθεση του ινστιτούτου ασφάλειας υπολογιστών των ΗΠΑ (Richardson, 2008): 1. Τα ακριβότερα περιστατικά ασφάλειας υπολογιστών ήταν εκείνα που περιλαμβάνουν χρηματοοικονομική απάτη. 2. Τα περιστατικά με ιούς συνέβησαν αυξήθηκαν. 3. ~ 1/10 οργανισμούς ανέφερε ότι είχε τουλάχιστον ένα περιστατικό με το σύστημα ονομάτων τομέων (DNS). 4. To 20% από τους αποκριθέντες απάντησαν θετικά σε τουλάχιστον μία ερώτηση που αφορούσε στοχευμένες επιθέσεις. 5. Η πλειοψηφία των αποκριθέντων ανέφερε πως οι οργανισμοί τους έχουν πολιτική ασφάλειας. Πηγή: Turban et al. (2010). 7
Βασικότεροι μέθοδοι ασφάλειας (1) 1. Λογισμικό προστασίας από ιούς. 2. Τείχη προστασίας. 3. Εικονικά ιδιωτικά δίκτυα. 4. Λογισμικό εναντίον κατασκοπίας. 5. Κρυπτογράφηση δεδομένων. 6. Συστήματα ανίχνευσης εισβολών. Πηγή: Chickowski (2008). 8
Βασικότεροι μέθοδοι ασφάλειας (2) 7. Φιλτράρισμα Web/ URL. 8. Συστήματα παρεμπόδισης εισβολής. 9. Τείχη προστασίας επιπέδου εφαρμογής. 10. Κρυπτογράφηση αποθηκευμένων δεδομένων. 11. Λογισμικό διαχείρισης αρχείων καταγραφής. 12. Λίστες ελέγχου προσπέλασης στον διακομιστή. Πηγή: Chickowski (2008). 9
Οι κυριότεροι παράγοντες που δημιουργούν πρόβλημα ΑΗΕ Η τρωτή σχεδίαση του διαδικτύου λόγω διαφορετικής «φιλοσοφίας» αρχικής του δημιουργίας. Η συνεχώς αυξανόμενη τάση προς χρηματοοικονομκά κίνητρα μέσω ηλεκτρονικών επιθέσεων. Η underground οικονομία του διαδικτύου με σκοπό την υποκλοπή στοιχείων, όπως: αριθμοί πιστωτικών καρτών, τραπεζικών λογαριασμών, προφίλ και χαρακτηριστικά χρηστών, κωδικούς πρόσβασης, κτλ. Ιδίως σήμερα, όπου όλοι έχουν αποθηκευμένα προσωπικά στοιχεία σε πλήθος πληροφοριακών συστημάτων. Οι συνεχείς τεχνολογικές αλλαγές οι οποίες με τη σειρά τους δημιουργούν νέα κενά ασφάλειας, πολλές φορές προερχόμενα και από υπαλλήλους των ίδιων των εταιρειών (εσωτερικές υποκλοπές). Πηγή: Turban et al. (2010). 10
Εκούσιες απειλές και επιθέσεις ΑΗΕ Οι εκούσιες απειλές διακρίνονται σε 3 κατηγορίες: 1. Ανθρώπινο σφάλμα. 2. Περιβαλλοντικοί κίνδυνοι (τυφώνες, σεισμοί, κτλ.). 3. Δυσλειτουργίες του πληροφοριακού συστήματος (κατασκευαστικό σφάλμα, παρωχημένη τεχνολογία, μη συντηρημένα συστήματα, κτλ.). Εκούσιες επιθέσεις: κλοπή δεδομένων, καταστροφή δεδομένων και συστημάτων, κτλ. Πηγή: Turban et al. (2010). 11
Τεχνικές και μη τεχνικές επιθέσεις 1. Τεχνικές επιθέσεις: χρήση εργαλείων λογισμικού και μελέτη-απόκτηση γνώσεων σε ζητήματα ασφάλειας για να διαπιστωθούν τρωτά σημεία (κενά ασφαλείας) σε πληροφοριακά συστήματα ΗΕ. 2. Μη τεχνικές επιθέσεις: χρήση απάτης ή άλλων μεθόδων πειθούς προκειμένου να παραπλανηθούν χρήστες και να αποκαλύψουν στοιχεία, τα οποία μπορούν να χρησιμοποιηθούν ώστε να επιφέρουν κακόβουλες επιθέσεις σε συστήματα ΗΕ. 12
1. Ιοί. Βασικές μέθοδοι τεχνικών 2. Σκουλήκια. 3. Δούρειοι ίπποι. 4. Άρνηση υπηρεσίας. επιθέσεων 5. Επίθεση τροποποίησης περιεχομένου ιστοσελίδας, υποκλοπής δεδομένων (phishing) ή/ και ανακατεύθυνση ανυποψίαστων χρηστών. 6. Spam. 13
Απαιτήσεις ΑΗΕ 1. Πιστοποίηση αυθεντικότητας: διαδικασία επαλήθευσης της πραγματικής ταυτότητας μίας οντότητας. 2. Εξουσιοδότηση: διεργασία καθορισμού των λειτουργιών που μπορεί να προσπελάσει/ εκτελέσει μία οντότητα. 3. Επιθεώρηση: διαδικασία καταγραφής του τι προσπελάστηκε, πότε και από ποιον 4. Διαθεσιμότητα: τεχνολογίες που βοηθούν στην συνεχή και απρόσκοπτη λειτουργία ενός συστήματος. 5. Μη αποκήρυξη: η αδυναμία άρνησης των συναλλασσομένων για προ-επιβεβαιωμένη συναλλαγή ή ενέργεια. Πηγή: Turban et al. (2010). 14
Διασφάλιση πληροφοριών Ο τελικός στόχος της ΑΗΕ συχνά αναφέρεται και ως διασφάλιση πληροφοριών. Διασφάλιση πληροφοριών: η προστασία των πληροφοριακών συστημάτων από μη εξουσιοδοτημένη πρόσβασή τους ή τροποποίηση πληροφοριών, προστασία από άρνηση παροχής υπηρεσίας σε εξουσιοδοτημένους χρήστες, καθώς επίσης και τα μέτρα που είναι απαραίτητα για ανίχνευση, τεκμηρίωση και αντιμετώπιση των απειλών (Turban et al., 2010). 15
Μοντέλο διασφάλισης πληροφοριών: 3 συστατικά 1. Εμπιστευτικότητα: διασφάλιση απορρήτου και ακρίβειας δεδομένων. 2. Ακεραιότητα: διασφάλιση ότι τα δεδομένα δεν έχουν τροποποιηθεί δίχως εξουσιοδότηση και ότι ένα μήνυμα που στάλθηκε είναι το ίδιο με αυτό που παραλήφθηκε. 3. Διαθεσιμότητα: διασφάλιση ότι η πρόσβαση στα δεδομένα είναι έγκαιρη, διαθέσιμη, αξιόπιστη και περιορίζεται σε εξουσιοδοτημένους χρήστες. Πηγή: Turban et al. (2010). 16
Μέτρα ΑΗΕ 1. Μέτρα αναχαίτισης: μη εξουσιοδοτημένων χρηστών που προσπαθούν να εισέλθουν σε ένα σύστημα ΗΕ. 2. Μέτρα ανίχνευσης: εάν υπήρξαν προσπάθειες παραβίασης συστημάτων ΗΕ, καθώς επίσης και τι ακριβώς έκαναν αυτές οι ενέργειες. 3. Μέτρα παρεμπόδισης: μη εξουσιοδοτημένων χρηστών στην προσπέλαση συστημάτων ΗΕ. 17
Φάσεις κύκλου ζωής ενός προγράμματος ΑΗΕ 1. Σχεδιασμός και οργάνωση. 2. Υλοποίηση. 3. Λειτουργίες και συντήρηση. 4. Παρακολούθηση και αξιολόγηση. 18
Επίπεδα ΑΗΕ Η ΑΗΕ διακρίνεται σε 3 επίπεδα (Turban et al., 2010): 1. Ασφάλεια 1 ου επιπέδου: Έλεγχος της πρόσβασης. Παραδείγματα: πιστοποίηση αυθεντικότητας και κωδικοί πρόσβασης, βιομετρικά συστήματα, κρυπτογράφηση, ψηφιακές υπογραφές και ψηφιακά πιστοποιητικά, πρωτόκολλα ΗΕ (SSL), κτλ. 2. Ασφάλεια 2 ου επιπέδου: Διασφάλιση δικτύου ΗΕ. Παραδείγματα: τείχη προστασίας, εικονικά ιδιωτικά δίκτυα, συστήματα ανίχνευσης εισβολής, ελέγχους διείσδυσης, δίκτυα παγίδας, κτλ. 3. Ασφάλεια 3 ου επιπέδου: Γενικοί έλεγχοι και άλλοι μηχανισμοί ασφαλείας. Παραδείγματα: φυσικοί έλεγχοι, βιομετρικοί έλεγχοι, διοικητικοί έλεγχοι, έλεγχοι εφαρμογών-spam, προστασία από λογισμικό κατασκοπίας, κτλ. 19
Βιβλιογραφία Chickowski, E. (2008). Closing the security gap. InformationWeek. Baseline, June 2008. Richardson, R. (2008). 2008 CSI Computer Crime and Security Survey. Computer security institute. Accessed March 10, 2009, from: i.zdnet.com/blogs/csisurvey2008.pdf Turban, E., King, D., McKay, J., Marshall, P., Lee, J., and Viehland, D. (2010). Ηλεκτρονικό Εμπόριο: Αρχές Εξελίξεις Στρατηγική από τη σκοπιά του Manager. Εκδόσεις Μ. Γκιούρδας, Αθήνα. 20