ΕΡΓΑΙΑ ΣΟ ΜΑΘΗΜΑ: «ΣΕΧΝΟΛΟΓΙΕ ΔΙΑΔΙΚΣΤΑΚΩΝ ΤΝΑΛΛΑΓΩΝ ΚΑΙ ΤΠΗΡΕΙΩΝ» ΘΕΜΑ : «SECURITY ECONOMICS»

ΕΡΓΑΙΑ ΣΟ ΜΑΘΗΜΑ: «ΣΕΧΝΟΛΟΓΙΕ ΔΙΑΔΙΚΣΤΑΚΩΝ ΤΝΑΛΛΑΓΩΝ ΚΑΙ ΤΠΗΡΕΙΩΝ» ΘΕΜΑ : «SECURITY ECONOMICS» ΟΝΟΜΑΣΕΠΩΝΤΜΟ : ΜΙΧΑΗΛ ΓΕΩΡΓΙΟ ΑΡΙΘΜΟ ΜΗΣΡΩΟΤ : 133/08 ΣΜΗΜΑ ΕΦΑΡΜΟΜΕΝΗ ΠΛΗΡΟΦΟΡΙΚΗ ΠΑΝΕΠΙΣΗΜΙΟ ΜΑΚΕΔΟΝΙΑ EMAIL: it08133@uom.gr ΘΕΣΣΑΛΟΝΙΚΗ 2011-1 -

ΠΕΡΙΕΧΟΜΕΝΑ 1. Πρόλογοσ...ςελ. 4 2. Ειςαγωγή...ςελ. 5 3. Ο αντίκτυποσ του βαθμοφ αςφαλείασ ςτον ανταγωνιςμό των προμηθευτών και η αςφάλεια των επενδφςεων...ςελ. 6-8 4. Οι ρυθμιςτζσ μιασ αςφαλήσ αγοράσ...ςελ. 9 5. Κφριοι τφποι Βιομηχανικήσ αςφάλειασ...ςελ. 10-11 6. Εμπιςτοςφνη του πελάτη (ή ςυναλλαςςόμενων επιχειρήςεων) ςτην επιχείρηςη...ςελ. 12 7. Αςφάλεια ςυναλλαγών.ςελ. 13-15 8. χεδιαςμόσ ιςτοςελίδασ ςε αςφαλή πλαίςια..ςελ. 16-17 9. Επίλογοσ.....ςελ. 18 10. Βιβλιογραφία..... ςελ. 19-2 -

Αφιερωμένη στην οικογένεια μου - 3 -

Πρόλογοσ Ζχουν υπάρξει πρόςφατα διάφορεσ προςπάκειεσ να αναπτυχκεί μια κοινι αναφορά για τθν εκτίμθςθ του κινδφνου πλθροφοριϊν που τίκεται από τουσ διάφορουσ ςυνεργάτεσ των επιχειριςεων. Στθν εργαςία αυτι αναπτφςςεται ζνα απλό πρότυπο για να εξεταςτεί ο αντίκτυποσ τζτοιων εκτιμιςεων αςφαλείασ πλθροφοριϊν ςτουσ φορείσ παροχισ υπθρεςιϊν(προμθκευτζσ), τουσ πελάτεσ και τθ κοινωνικι πρόνοια. Ενϊ μερικοί κεωροφν ότι οι εκτιμιςεισ κα ωφελοφςαν τουσ προμθκευτζσ υψθλισ αςφάλειασ και κα ζβλαπταν εκείνουσ με τθ χαμθλότερθ αςφάλεια, δείχνει ότι αυτι θ περίπτωςθ δεν ιςχφει πάντα. Διαπιςτϊνεται ότι οι εκτιμιςεισ αςφαλείασ πλθροφοριϊν μποροφν να βλάψουν και τουσ δφο τφπουσ προμθκευτϊν, ανάλογα με τισ ςυνκικεσ ςτθν αγορά. Επίςθσ διαπιςτϊνεται ότι οι βακμοί αςφάλειασ ωφελοφν τουσ πιο απαιτθτικοφσ πελάτεσ που επικυμοφν τουσ ιδιαίτερα αςφαλείσ οργανιςμοφσ. Ακόμθ, ςε όλεσ τισ περιπτϊςεισ, διαπιςτϊνεται ότι θ κοινωνικι πρόνοια βελτιϊνεται όταν υιοκετοφνται οι μεγάλοι βακμοί αςφαλείασ πλθροφοριϊν. - 4 -

2. Ειςαγωγή Η αςφάλεια πλθροφοριϊν και θ ακεραιότθτα δικτφων είναι ηθτιματα φψιςτθσ ςθμαςίασ και για τουσ χριςτεσ αλλά και τισ επιχειριςεισ. Το κόςτοσ των παραβιάςεων τθσ αςφάλειασ και τθσ θλεκτρονικισ απάτθσ είναι αξιοςθμείωτο. Τα ηθτιματα αυτά αποτελοφν ανθςυχίεσ για τθ χάραξθ μιασ νζασ πολιτικισ. Δεδομζνου ότι θ ςθμαςία των δικτφων αυξάνεται για όλουσ τουσ εμπλεκόμενουσ φορείσ θ ακεραιότθτα των ςυςτθμάτων και των ςυναλλαγϊν είναι ηωτικισ ςθμαςίασ για ςκοποφσ ευθμερίασ. Με δεδομζνεσ τισ απειλζσ για το ςφςτθμα, οι επιχειριςεισ κα πρζπει να αποφαςίςουν το ποςό των πόρων που απαιτοφνται για να διατθρθκοφν τα ςυςτιματα ςε αποδεκτζσ καταςτάςεισ λειτουργίασ. Η εφρεςθ λφςεων ςε αυτό το πρόβλθμα κατανομισ των πόρων είναι επομζνωσ ζνα ςθμαντικό μζροσ τθσ εργαςίασ των διευκυντϊν των τεχνολογιϊν πλθροφορικισ. Ενϊ υπάρχουν διαφορετικζσ μορφζσ μεταφοράσ που παρζχουν ςτουσ πελάτεσ ευελιξία, θ χριςθ των εξωτερικϊν φορζων παροχισ υπθρεςιϊν που χειρίηονται τα ευαίςκθτα επιχειρθςιακά ςτοιχεία ειςάγει νζα ρίςκα αςφάλειασ. Είναι ευρζωσ κοινοποιθμζνεσ πολλζσ παραβιάςεισ τθσ αςφαλείασ οι οποίεσ είναι αποτζλεςμα μιασ αποτυχθμζνθσ ςυνεργαςίασ. Μερικζσ φορζσ αυτζσ οι αποτυχίεσ προζρχονται από αμζλειεσ τθσ εκάςτοτε επιχείρθςθσ ι μθ επαρκϊν επενδφςεων ςτθν αςφάλεια. Σε άλλεσ περιπτϊςεισ, οι προκλιςεισ αςφάλειασ προκφπτουν από τθ φφςθ του επιχειρθςιακοφ προτφπου του φορζα παροχισ υπθρεςιϊν. Οι προμθκευτζσ, που ενιςχφουν ςυχνά τθν υπθρεςίεσ που προςφζρουν ςε απάντθςθ τθσ ςυνεχόμενων απαιτιςεων των πελατϊν, ειςάγουν τθ δυνατότθτα των νζων μεκόδων αςφάλειασ με όλα τα πρόςκετα χαρακτθριςτικά. Οι παραδοςιακζσ μζκοδοι, μπορεί να είναι χρονοβόρεσ, επιβραδφνοντασ τθ δυνατότθτα του προμθκευτι να ανταγωνιςτεί τουσ υπόλοιπουσ ςτον κλάδου του. - 5 -

3. Ο αντίκτυποσ του βαθμοφ αςφαλείασ ςτον ανταγωνιςμό των προμηθευτών και αςφάλεια των επενδφςεων. Το outsourcing ζχει υιοκετθκεί ευρζωσ ςε πολλζσ βιομθχανίεσ. Με τθ βοικεια των τεχνολογιϊν πλθροφορικισ, τα οφζλθ για τισ ςυγκεκριμζνεσ υπθρεςίεσ τεχνολογίασ και για ολόκλθρεσ τισ επιχειρθςιακζσ διαδικαςίεσ περιλαμβάνουν μειϊςεισ δαπανϊν, βελτιωμζνθ χρθςιμοποίθςθ των πόρων, και απόκτθςθ νζων τεχνικϊν, δεξιοτιτων και των ικανοτιτων. Οι πρόςφατεσ καινοτομίεσ τθσ τεχνολογίασ που επιτρζπουν αυξανόμενο δικτυακό εφροσ ηϊνθσ και ανζξοδθ αποκικευςθ, ζχουν ωκιςει τθ μεταφορά ςε ζνα νζο επίπεδο αςφάλειασ. Στο λογιςμικό πρότυπο υπθρεςιϊν (Software as a Service), οι επιχειρθματικζσ εφαρμογζσ παρζχονται κατόπιν παραγγελίασ ωσ υπθρεςία ςτουσ πελάτεσ. Το SaaS επιτρζπει ςτισ εταιρίεσ να μειϊςουν τισ πολλζσ ςτακερζσ δαπάνεσ που ςυνδζονται με τθν απαραίτθτθ εςωτερικι υποδομι τεχνολογιϊν πλθροφορικισ, τθν επζκταςθ των εφαρμογϊν, τθ δοκιμι, τθ ςυντιρθςθ, και τθ διαχείριςθ δεδομζνων. Επίςθσ μειϊνει το κόςτοσ μζςω του ανταγωνιςμοφ. Εάν μια εταιρία δεν ικανοποιείται με ζναν φορζα παροχισ υπθρεςιϊν, μποροφν να μεταπθδιςει ςε ζναν άλλο προμθκευτι χωρίσ απϊλεια ςθμαντικϊν επενδφςεων (εκείνεσ οι επενδφςεισ κα αντιπροςϊπευαν ζνα μεγάλο κόςτοσ εάν θ εταιρία είχε επιςυνάψει μια μακροπρόκεςμθ ςφμβαςθ με ζναν προμθκευτι). Επιπλζον, οι επιχειριςεισ που χρθςιμοποιοφν μια προςανατολιςμζνθ προσ τισ υπθρεςίεσ αρχιτεκτονικι (SOA), μποροφν να διαχωρίηουν τισ διαδικαςίεσ και να τισ μεταφζρουν ςτουσ διαφορετικοφσ φορείσ παροχισ υπθρεςιϊν. Παραδείγματοσ χάριν, μζςα ςτθ βιομθχανία οικονομικϊν υπθρεςιϊν, πολλά όργανα ςτθρίηονται ςε μεγάλο ποςοςτό και ςτθν παραδοςιακι μεταφορά και ςε SaaS, απαςχολϊντασ χιλιάδεσ προμθκευτζσ που υποςτθρίηουν τισ επιχειρθςιακζσ διαδικαςίεσ τουσ. Ενϊ αυτζσ οι διαφορετικζσ μορφζσ μεταφοράσ παρζχουν ςτουσ πελάτεσ ευελιξία, θ χριςθ των εξωτερικϊν φορζων παροχισ υπθρεςιϊν που χειρίηονται τα ευαίςκθτα επιχειρθςιακά ςτοιχεία ειςάγει νζα ρίςκα αςφάλειασ (Macura και Johnson 2009). Είναι ευρζωσ κοινοποιθμζνεσ πολλζσ παραβιάςεισ τθσ αςφαλείασ οι οποίεσ είναι αποτζλεςμα μιασ αποτυχθμζνθσ ςυνεργαςίασ. Μερικζσ φορζσ αυτζσ οι αποτυχίεσ προζρχονται από αμζλειεσ τθσ εκάςτοτε επιχείρθςθσ ι μθ επαρκϊν επενδφςεων ςτθν αςφάλεια. Σε άλλεσ περιπτϊςεισ, οι προκλιςεισ αςφάλειασ προκφπτουν από τθ φφςθ του επιχειρθςιακοφ προτφπου του φορζα παροχισ υπθρεςιϊν. Οι προμθκευτζσ, που ενιςχφουν ςυχνά τθν υπθρεςίεσ που προςφζρουν ςε απάντθςθ τθσ - 6 -

ςυνεχόμενων απαιτιςεων των πελατϊν, ειςάγουν τθ δυνατότθτα των νζων μεκόδων αςφάλειασ με όλα τα πρόςκετα χαρακτθριςτικά. Οι παραδοςιακζσ μζκοδοι, μπορεί να είναι χρονοβόρεσ, επιβραδφνοντασ τθ δυνατότθτα του προμθκευτι να ανταγωνιςτεί τουσ υπόλοιπουσ ςτον κλάδου του. Φυςικά μια επιπλζον ανθςυχία είναι θ ευαιςκθςία των ςτοιχείων τθσ εταιρίασ που μπορεί να αποκθκευτεί ςτα μθχανιματα ενόσ προμθκευτι και να επεξεργαςτεί (κακόβουλα) από τουσ υπαλλιλουσ του. Αυτό είναι ςθμαντικό ηιτθμα και αντιπροςωπεφει ζναν μεγάλο κίνδυνο επειδι θ εταιρία δεν ζχει πλζον τθ δυνατότθτα να επιτθριςει άμεςα και να ελζγξει τθν πρόςβαςθ απρόςκλθτων επιςκεπτϊν. Ακόμα κι αν το δίκτυο του προμθκευτι είναι αςφαλζσ, θ εταιρία αντιμετωπίηει πολλζσ απειλζσ (χάκερσ, κακόβουλοσ κϊδικασ κ.λπ.) όταν κινείται το ςτοιχείο από τον προμθκευτι μζςω του διαδικτφου. Τελικά, οι φορείσ παροχισ υπθρεςιϊν χρθςιμοποιοφν ςυχνά ζνα πρότυπο τθσ διαρκοφσ «μίςκωςθσ», όπου πολλοί πελάτεσ μοιράηονται τθν ίδια υποδομι επιχειρθματικισ εφαρμογισ με ελεγχόμενθ πρόςβαςθ ςτα ςτοιχεία τουσ. Η πρόκλθςθ για ζναν τζτοιο προμθκευτι διαχωρίηει τα ςτοιχεία των πελατϊν. Η ανεπαρκισ διαχείριςθ δεδομζνων μπορεί να επιτρζψει τθν ζκκεςθ ςτοιχείων τθσ εταιρίασ ςε ζναν άλλο «πελάτθ», ο οποίοσ μπορεί να είναι ανταγωνιςτισ ςτον ίδιο βιομθχανικό κλάδο. Για αυτοφσ τουσ λόγουσ, οι εταιρίεσ πρζπει να αξιολογοφν το επίπεδο αςφαλείασ πλθροφοριϊν των ςυνεργατϊν τουσ. Παραδοςιακά, οι πελάτεσ εκτελοφν τζτοιεσ αξιολογιςεισ μζςω ερευνϊν, ςυνεντεφξεων, μζςω επιτόπιων επιςκζψεων, δοκιμϊν, και ανακεωριςεων. Χρθςιμοποιϊντασ αυτζσ τισ πλθροφορίεσ οι πελάτεσ αναπτφςςουν δικά τουσ χαρακτθριςτικά και αξιολογοφν από μόνοι τουσ, τουσ κινδφνουσ (μζςω του προςδιοριςμοφ των απειλϊν, ελζγχου, προςδιοριςμόσ πικανοτιτων υποκλοπισ, προςδιοριςμόσ κινδφνων κ.α.) (Stoneburner 2002). Αυτό όμωσ είναι χρονοβόρο και δαπανθρό και για τουσ προμθκευτζσ και για τουσ πελάτεσ. Από πολλζσ εταιρίεσ (ειδικά ςτθν οικονομικι βιομθχανία) που ζχουν εκατοντάδεσ προμθκευτζσ, ο πολφσ χρόνοσ που απαιτείται για να τθν αξιολόγθςθ του κινδφνου, μπορεί να το καταςτιςει αδφνατο να αξιολογθκοφν όλοι οι κίνδυνοι. Πρόςφατα ζχουν υπάρξει διάφορεσ προςπάκειεσ να αναπτυχκεί μια κοινι εκτίμθςθ κινδφνου ςυμπεριλαμβανομζνθσ τθσ κοινισ αξιολόγθςθσ, των αξιολογιςεων των προμθκευτϊν αςφάλειασ και τθσ ςυνεργαςίασ μεταξφ των οίκων Goldman Sachs, Moodys, και Avior για να δθμιουργιςουν μια εκτίμθςθ κινδφνου πλθροφοριϊν προμθκευτϊν (VIR). Παραδείγματοσ χάριν, θ - 7 -

εκτίμθςθ τθσ Moodys, λζει ότι οι προμθκευτζσ που υπογράφουν αναλφονται και εκτιμϊνται ςε 11 κατθγορίεσ «βαςικϊν αρχϊν αςφάλειασ», ςυμπεριλαμβανομζνου του ελζγχου προςπζλαςθσ, τθσ επιχειρθςιακισ ςυνοχισ και τθσ αςφαλείασ δεδομζνων. Η ιδζα πίςω από τζτοιεσ εκτιμιςεισ είναι να μειωκεί το φορτίο και για τουσ πελάτεσ και για τουσ φορείσ παροχισ υπθρεςιϊν με τθ δθμιουργία μιασ ενιαίασ εκτίμθςθσ κινδφνου (Kark 2008) που μπορεί να χρθςιμοποιθκεί αποτελεςματικά από όλουσ. Θζλοντασ να εξιςωκεί άμεςα θ εκτίμθςθ αςφαλείασ πλθροφοριϊν με τισ εκτιμιςεισ των οικονομικϊν οργάνων, εμπίπτουμε ςε λάκθ αφοφ οι εκτιμιςεισ αςφάλειασ είναι αρκετά διαφορετικζσ από τισ αξιολογιςεισ φερεγγυότθτασ (που μετροφν τθν πικανότθτα προεπιλογισ για ζναν εκδότθ χρζουσ). Μια καλι αξιολόγθςθ φερεγγυότθτασ επιτρζπει γενικά ςτον εκδότθ χρζουσ να ςυγκεντρϊςει τα χριματα από τθ χρθματοοικονομικι αγορά με χαμθλότερο κόςτοσ (Kliger και Sarig 2000). Εντοφτοισ, μια καλι εκτίμθςθ αςφάλειασ δεν ωφελεί απαραιτιτωσ ζναν προμθκευτι υψθλισ αςφάλειασ επειδι θ εκτίμθςθ αςφάλειασ μπορεί να επιδράςει ςτον ανταγωνιςμό μεταξφ των φορζων παροχισ υπθρεςιϊν, ςτα κίνθτρα τουσ για να βελτιϊςουν τα επίπεδα αςφάλειασ, και ςτισ τιμζσ που χρεϊνονται ςτουσ πελάτεσ. - 8 -

4. Οι ρυθμιςτζσ μιασ αςφαλήσ αγοράσ. Η Επιτροπι Αξιϊν και Συναλλάγματοσ (SEC), που δθμιουργικθκε το 1934, είναι ο κφριοσ ρυκμιςτισ τθσ αγοράσ ςτισ Ηνωμζνεσ Πολιτείεσ. Η ςυντριβι χρθματιςτθρίου του 1929, που προκάλεςε τθ μεγάλθ φφεςθ ςτισ Η.Π.Α, ζδειξε ότι θ ρφκμιςθ ιταν ανεπαρκισ. Ο νόμοσ ανταλλαγισ τίτλων του 1934 ςυνεπϊσ ζδωςε ςτθν κυβζρνθςθ ζναν κακοριςτικό ρόλο για τθν προςταςία των μικρϊν επενδυτϊν από τθν απάτθ και τουσ παρείχε τθ δυνατότθτα να καταλάβουν τι είναι οι χρθματιςτθριακζσ εκκζςεισ των επιχειριςεων. Η επιτροπι επιβάλλει κανόνεσ για να επιτευχκεί ο ςτόχοσ αυτόσ. Οι επιχειριςεισ που εκδίδουν τα αποκζματα, τουσ δεςμοφσ, και άλλουσ τίτλουσ πρζπει να αρχειοκετιςουν τισ λεπτομερϊσ τισ οικονομικζσ δθλϊςεισ εγγραφισ, οι οποίεσ τίκενται ςτθν διάκεςθ του κοινοφ. Το SEC κακορίηει εάν αυτζσ οι κοινοποιιςεισ είναι πλιρεισ και δίκαιεσ ζτςι ϊςτε οι επενδυτζσ να μποροφν να κάνουν ρεαλιςτικζσ αξιολογιςεισ των τίτλων αυτϊν. Το SEC επιτθρεί επίςθσ τισ εμπορικζσ ςυναλλαγζσ ςτα αποκζματα και κακορίηει τουσ κανόνεσ με ςκοπό να αποτρζψουν τθν διακφμανςθ τιμϊν. Ζτςι οι μεςίτεσ και οι ζμποροι μζςα και ζξω από τθν χρθματιςτθριακι αγορά, πρζπει να καταχωριςουν τισ τιμζσ μζςω του SEC. Επιπλζον, θ επιτροπι απαιτεί από τισ επιχειριςεισ να πουν ςτο κοινό πότε οι ανϊτεροι υπάλλθλοί τουσ αγοράηουν ι πωλοφν τισ μετοχζσ του αποκζματόσ τουσ. Η αντιπροςωπεία επιδιϊκει επίςθσ να αποτρζψει τα μζλθ από εμπορικζσ ςυναλλαγζσ αφοφ το απόκεμα είναι βαςιςμζνο ςε πλθροφορίεσ που δεν πρζπει να είναι δθμόςιεσ. Προσ το τζλοσ τθσ δεκαετίασ του '80, το SEC άρχιςε να εςτιάηει όχι μόνο ςτουσ ανϊτερουσ υπαλλιλουσ και τουσ διευκυντζσ αλλά και ςτα υπόλοιπα μζλθ που εμπορεφονται, δθλαδι από τουσ χαμθλότερουσ υπαλλιλουσ ι ακόμα και τουσ δικθγόρουσ που μποροφν να ζχουν πρόςβαςθ ςτισ ςθμαντικζσ πλθροφορίεσ για μια επιχείρθςθ. Το SEC ζχει πζντε επιτρόπουσ που διορίηονται από τον Πρόεδρο. Λιγότερα από τρία μποροφν να είναι μζλθ του ίδιου πολιτικοφ κόμματοσ. Επίςθσ το SEC επιτθρεί τισ μελλοντικζσ αγορζσ. - 9 -

5. Κφριοι τφποι Βιομηχανικήσ αςφάλειασ Στισ μζρεσ μασ επικρατεί μια ιδιαίτερθ ποικιλομορφία απειλϊν, τεχνολογιϊν και λφςεων. Τα προϊόντα και οι υπθρεςίεσ που εφοδιάηονται περιλαμβάνουν για παράδειγμα τισ κλειδαριζσ και τα χρθματοκιβϊτια, τον εξοπλιςμό θλεκτρονικισ παρακολοφκθςθσ, τα θλεκτρονικά ςυςτιματα ελζγχου, τα κωρακιςμζνα είδθ, φφλαξθ του εξοπλιςμοφ και ενδυμάτων και περιφράξεισ. Σε μερικζσ περιπτϊςεισ τα προϊόντα ζχουν μια μικρι αλυςίδα εφοδιαςμοφ, ενϊ ςε άλλα, όπωσ τα καλάςςια ςυςτιματα παρακολοφκθςθσ, θ ολοκλιρωςθ προζρχεται από το μεγάλο αρικμό των ενδιάμεςων προμθκευτϊν. Μερικζσ φορζσ θ παραγωγι είναι πολφ μεγάλθ και τυποποιθμζνθ, ενϊ ςε άλλεσ περιπτϊςεισ, τα προϊόντα είναι προςαρμοςμζνα να ικανοποιιςουν ςυγκεκριμζνεσ απαιτιςεισ πελατϊν όπωσ ζνα ςφςτθμα ανίχνευςθσ περιφροφρθςθσ οικοδομισ. Σε οριςμζνεσ περιπτϊςεισ, τα προϊόντα πωλοφνται άμεςα ςτον πελάτθ, ενϊ ςε άλλεσ, οι διανομείσ, οι μεταπωλθτζσ και θ ολοκλιρωςθ ςυςτθμάτων διαδραματίηουν ζναν βαςικό ρόλο ςτθ αλυςίδα εφοδιαςμοφ. Οι τεχνολογίεσ που χρθςιμοποιοφνται ςε αυτά τα προϊόντα είναι ποικίλεσ και περιλαμβάνουν μεταξφ άλλων καταςκευζσ, αυτοκίνθτα, κλωςτοχφαντουργικά προϊόντα και ενδφματα, θλεκτρονικά προϊόντα, και ςυςτιματα ενθμζρωςθσ και επικοινωνιϊν. Συχνά τα προϊόντα και οι υπθρεςίεσ χρθςιμοποιοφνται όχι μόνο για αςφάλεια, αλλά και ςε άλλεσ δραςτθριότθτεσ. Παραδείγματοσ χάριν, τα δελτία ταυτότθτασ μποροφν να χρθςιμοποιθκοφν για αςτυνομικοφσ ςκοποφσ αλλά και να αςκιςουν το δικαίωμα να ψθφίςουν και οι βιντεοκάμερεσ μποροφν να χρθςιμοποιθκοφν για επιτιρθςθ. Αυτό τείνει να αυξιςει προσ τα πάνω τθ αλυςίδα εφοδιαςμοφ. Τζτοια ποικιλόμορφθ βιομθχανία αυξάνει τθ δυςκολία τθσ ζρευνασ. - 10 -

Πίνακασ 1: Διαςτάςεισ μοντζλου SERVQUAL ςε αντιςτοιχία με τισ διαςτάςεισ ποιότητασ ηλεκτρονικών ςυναλλαγών Β2Β και B2C - 11 -

6. Εμπιςτοςφνη του πελάτη (ή ςυναλλαςςόμενων επιχειρήςεων) ςτην επιχείρηςη Η ανάπτυξθ ενόσ αιςκιματοσ εμπιςτοςφνθσ του πελάτθ ςτθν επιχείρθςθ με τθν οποία ςυναλλάςςεται θλεκτρονικά, προχποκζτει: τθν φπαρξθ πολιτικισ επιςτροφισ του προϊόντοσ (ςε περίπτωςθ αλλαγισ γνϊμθσ ι λανκαςμζνθσ παραγγελίασ). Η επιχείρθςθ πρζπει να κακορίηει με ςαφινεια και να τθρεί τισ προχποκζςεισ, κάτω από τισ οποίεσ κα επιςτρζφεται το καταβλθκζν ποςό τθσ ςυναλλαγισ τθν παρουςίαςθ και επεξιγθςθ του ςυςτιματοσ αςφάλειασ θλεκτρονικϊν ςυναλλαγϊν που χρθςιμοποιεί θ επιχείρθςθ τθν φπαρξθ πολιτικισ προςταςίασ των προςωπικϊν δεδομζνων του καταναλωτι, με μία ρθτι διλωςθ ιδιωτικότθτασ (privacy statement) από πλευράσ θλεκτρονικισ επιχείρθςθσ, για το είδοσ προςωπικϊν δεδομζνων που μπορεί να ςυλλζξει και τον τρόπο αξιοποίθςισ τουσ (να δίνεται απαραίτθτα ςτον καταναλωτι θ δυνατότθτα άρνθςθσ τθσ μεταβίβαςθσ, μεταπϊλθςθσ ι ανταλλαγισ των δεδομζνων του ςε τρίτουσ τθ δυνατότθτα πρόςβαςθσ του πελάτθ ςτο φάκελο προςωπικϊν δεδομζνων που διατθρεί γι αυτόν θ επιχείρθςθ τθν φπαρξθ πολιτικισ διαχείριςθσ των παραπόνων / καταγγελιϊν, είτε των καταναλωτϊν είτε των ςυναλλαςςόμενων επιχειριςεων (π.χ. αναφορά του αρμόδιου δικαςτθρίου που κα επιλφςει τισ διαφορζσ διαφωνίεσ που ενδζχεται να προκφψουν) τθν αναφορά οικονομικϊν ςτοιχείων τθσ θλεκτρονικισ επιχείρθςθσ ςτθν ιςτοςελίδα τθσ, ςυνεργαςιϊν με ζγκυρα χρθματοπιςτωτικά ιδρφματα, όπωσ επίςθσ οποιωνδιποτε πλθροφοριϊν που δθμιουργοφν μία κετικι εικόνα και ενιςχφουν τθν εμπιςτοςφνθ του πελάτθ ςτθν επιχείρθςθ το κετικό αντίκτυπο του ονόματοσ τθσ επιχείρθςθσ ςτο χϊρο του θλεκτρονικοφ εμπορίου. - 12 -

7. Αςφάλεια ςυναλλαγών Η αςφάλεια θλεκτρονικϊν ςυναλλαγϊν αποτελεί το μείηον πρόβλθμα ςτθν εξάπλωςθ του θλεκτρονικοφ εμπορίου. Η ζννοια τθσ αςφάλειασ ςτο θλεκτρονικό εμπόριο γίνεται αντιλθπτι ωσ θ εξαςφάλιςθ των επιχειριςεων και των καταναλωτϊν για το απόρρθτο των θλεκτρονικϊν ςυναλλαγϊν που πραγματοποιοφν ι που πρόκειται να πραγματοποιιςουν ςτο μζλλον και για τθν αδυναμία επεξεργαςίασ των ςτοιχείων των ςυναλλαγϊν αυτϊν από οποιοδιποτε τρίτο μζροσ. Η κριςιμότθτα του κζματοσ ςυνδζεται με τθ ςυχνότθτα εμφάνιςθσ και τισ ςυνζπειεσ περιςτατικϊν, όπωσ «πρόςβαςθ χωρίσ εξουςιοδότθςθ ςε ςτοιχεία τθσ ςυναλλαγισ», «διαγραφι, αλλοίωςθ ι μεταβίβαςθ πλθροφοριϊν ςε τρίτουσ», «πρόκλθςθ διακοπισ δικτυακϊν υπθρεςιϊν», «άρνθςθ λιψθσ ι αποςτολισ πλθροφοριϊν» κτλ. Επιςθμαίνεται ότι οι ςθμαντικότερεσ απαιτιςεισ αςφάλειασ ενόσ ςυςτιματοσ θλεκτρονικϊν εμπορικϊν ςυναλλαγϊν είναι: ο ζλεγχοσ αυκεντικότθτασ, που χρθςιμοποιείται για τθν εξακρίβωςθ τθσ ταυτότθτασ ενόσ χριςτθ του ςυςτιματοσ, θ εξουςιοδότθςθ, που αναφζρεται ςτθ δυνατότθτα πρόςβαςθσ ςε ςυγκεκριμζνεσ πλθροφορίεσ και υπθρεςίεσ μετά τθν εξακρίβωςθ τθσ ταυτότθτασ του χριςτθ, θ ακεραιότθτα, που ςχετίηεται με τθν αςφαλι μεταφερόμενων δεδομζνων ςτο δίκτυο, θ μθ αποποίθςθ τθσ ευκφνθσ, που υποδθλϊνει ότι δεν κα πρζπει να δίνεται θ δυνατότθτα ςε κάποιο ςυναλλαςςόμενο να ιςχυριςτεί ότι δεν ςυμμετείχε ςε ςυγκεκριμζνθ θλεκτρονικι ςυναλλαγι και θ εμπιςτευτικότθτα, που χαρακτθρίηει τθν αποφυγι μθ εξουςιοδοτθμζνθσ πρόςβαςθσ και τροποποίθςθσ ςτοιχείων τθσ ςυναλλαγισ. Η αςφάλεια ςτο θλεκτρονικό εμπόριο βαςίηεται ςτθν κρυπτογράφθςθ, δθλ. ςτθν κωδικοποίθςθ των ςτοιχείων μιασ θλεκτρονικισ ςυναλλαγισ με τρόπο, που να μπορεί να αποκρυπτογραφθκοφν μόνο με τθ χριςθ ειδικοφ κλειδιοφ (μία ςειρά δυαδικϊν ψθφίων ςυγκεκριμζνου μικουσ)189. Στθν παραδοςιακι κρυπτογραφία, ο αποςτολζασ και ο παραλιπτθσ ενόσ μθνφματοσ γνωρίηουν το ίδιο μυςτικό κλειδί (ςυμμετρικι κρυπτογραφία). Στα δθμόςια δίκτυα όμωσ που ζχουν πρόςβαςθ πολλοί χριςτεσ, θ παραπάνω μζκοδοσ είναι ακατάλλθλθ, κακϊσ απαιτείται διαφορετικό ιδιωτικό κλειδί ςε κάκε περίπτωςθ. Για το λόγο αυτό, αξιοποιείται ςτισ θλεκτρονικζσ επικοινωνίεσ θ αςφμμετρθ κρυπτογραφία (ι κρυπτογραφία δθμόςιου κλειδιοφ), όπου οποιοςδιποτε μπορεί να ςτείλει μινυμα χρθςιμοποιϊντασ ζνα δθμόςιο κλειδί. Στθ ςυνζχεια όμωσ, το μινυμα μπορεί να αποκρυπτογραφθκεί μόνο από το ιδιωτικό κλειδί, που λογικά βρίςκεται ςτθν κατοχι του αυκεντικοφ παραλιπτθ. - 13 -

Πίνακασ 2: Για ποιο λόγο φοβοφνται οι ευρωπαίοι πολίτεσ; Πηγή: European Commission. Eurobarometre, Sondage no. 58.1 Oct./Nov. 2002. Το μινυμα (είτε κρυπτογραφθμζνο είτε όχι) ςυνοδεφεται πολλζσ φορζσ από τθν ψθφιακι υπογραφι του αποςτολζα, ζτςι ϊςτε ο παραλιπτθσ να μπορεί να επιβεβαιϊςει τθν ταυτότθτα του πρϊτου. Ουςιαςτικά, θ ψθφιακι υπογραφι είναι το αποτζλεςμα τθσ κρυπτογράφθςθσ ενόσ αιςκθτά μικρότερου, ςε ςχζςθ με το πρωτότυπο, μθνφματοσ. Ο παραλιπτθσ είναι ςε κζςθ να αποκρυπτογραφιςει το κωδικοποιθμζνο μινυμα που λαμβάνει και που ςυνιςτά τθν ψθφιακι υπογραφι, μόνο με το δθμόςιο κλειδί του αποςτολζα, οπότε αυτόματα βεβαιϊνεται για τθν αυκεντικότθτα τθσ ταυτότθτάσ του. Τονίηεται ότι, το Προεδρικό Διάταγμα 150/2001 κακιζρωςε τθ νομικι ιςοδυναμία των ιδιόχειρων με τισ ψθφιακζσ υπογραφζσ. Ζνασ άλλοσ τρόποσ αςφαλοφσ θλεκτρονικισ επικοινωνίασ είναι θ χριςθ ψθφιακϊν πιςτοποιθτικϊν από εξουςιοδοτθμζνεσ αρχζσ πιςτοποίθςθσ. Όταν κάποιοσ δθμιουργιςει ζνα ηευγάρι δθμόςιου και ιδιωτικοφ κλειδιοφ, ζχει πλζον τθν ευκφνθ για τθν προςταςία του ιδιωτικοφ και τθ διανομι του δθμόςιου κλειδιοφ του. Ο πιο αξιόπιςτοσ τρόποσ διανομισ δθμόςιων κλειδιϊν είναι μζςω μιασ αναγνωριςμζνθσ αρχισ πιςτοποίθςθσ, θ οποία γίνεται δζκτθσ του δθμόςιου κλειδιοφ του χριςτθ ενόσ ςυςτιματοσ θλεκτρονικϊν ςυναλλαγϊν, ςε ςυνδυαςμό με κάποιο είδοσ απόδειξθσ τθσ ταυτότθτάσ του. Η αρχι πιςτοποίθςθσ ζχει τθ δυνατότθτα να εκδίδει ψθφιακά πιςτοποιθτικά, που ςυςχετίηουν μία ςυγκεκριμζνθ οντότθτα με ζνα ςυγκεκριμζνο δθμόςιο κλειδί. Για να είναι ωςτόςο παγκόςμια αποδεκτό ζνα ψθφιακό πιςτοποιθτικό, πρζπει να βρίςκεται ςε ςυμφωνία με διεκνι πρότυπα. Συνικωσ, ζνα τζτοιο πρότυπο περιλαμβάνει το δθμόςιο κλειδί, τθν αναφορά του ονόματοσ του - 14 -

κατόχου του, πλθροφορίεσ για τθν εξακρίβωςθ τθσ ψθφιακισ του υπογραφισ, τθν ταυτότθτα και τθν ψθφιακι υπογραφι του χορθγοφ του πιςτοποιθτικοφ και τθ χρονικι περίοδο εγκυρότθτασ του πιςτοποιθτικοφ. Σε πολλοφσ οργανιςμοφσ χρθςιμοποιοφνται επίςθσ μθχανιςμοί αςφάλειασ, που ελζγχουν τθ ροι πλθροφοριϊν μεταξφ ενόσ τοπικοφ δικτφου και του Διαδικτφου, με τθν ονομαςία firewalls. Ζνασ τζτοιοσ μθχανιςμόσ περιλαμβάνει ειδικά φίλτρα πρόςβαςθσ ςε χριςτεσ με ςυγκεκριμζνα χαρακτθριςτικά, ενϊ θ επιχείρθςθ ζχει τθ δυνατότθτα να καταγράψει και να ελζγξει όλεσ τισ προςπάκειεσ ςφνδεςθσ ςτο δίκτυο. Στα πλαίςια τθσ καλφτερθσ δυνατισ αςφάλειασ των ςυναλλαγϊν ςτο διαδίκτυο, ζχουν αναπτυχκεί αρκετά πρωτόκολλα επικοινωνίασ, όπωσ για παράδειγμα το Secure Sockets Layer που βρίςκει κυρίωσ εφαρμογι ςε web servers και browsers και το Secure Electronic Transaction με εφαρμογι ςε ζξυπνεσ κάρτεσ, πλθρωμζσ μζςω πιςτωτικϊν καρτϊν και transaction servers. Τα πρωτόκολλα αυτά μποροφν να εγγυθκοφν ςε κάποιο βακμό τθν αςφάλεια των θλεκτρονικϊν ςυναλλαγϊν, παρουςιάηουν ωςτόςο και μειονεκτιματα, όπωσ το γεγονόσ ότι επιβραδφνουν τθν επικοινωνία ςτο διαδίκτυο, λόγω τθσ κρυπτογράφθςθσ. Όλα τα παραπάνω, είτε μεμονωμζνα είτε ςυνδυαςτικά, αποτελοφν ςυνιςτϊςεσ μιασ ςθμαντικισ προςπάκειασ που καταβάλλεται ςε παγκόςμιο επίπεδο, για τθν οριςτικι επίλυςθ του προβλιματοσ τθσ θλεκτρονικισ αςφάλειασ, που όμωσ ζχει αρκετό δρόμο ακόμθ να διανφςει. Πίνακασ 3: Ο αριθμόσ των ευρωπαικών εταιριών ςτον τομζα τησ αςφάλειασ. Πηγή: European Security Directory 2009-15 -

8. χεδιαςμόσ ιςτοςελίδασ ςε αςφαλή πλαίςια Το βαςικό χαρακτθριςτικό που διαφοροποιεί μία ιςτοςελίδα από άλλεσ εναλλακτικζσ πθγζσ πλθροφόρθςθσ είναι θ μη ιεραρχική δομή τθσ. Αυτό ςθμαίνει ότι, οι πλθροφορίεσ δεν διαδζχονται ιεραρχικά θ μία τθν άλλθ, αφοφ οι επιμζρουσ ςελίδεσ ενόσ δικτυακοφ τόπου ςυνδζονται μεταξφ τουσ με ποικίλουσ τρόπουσ και προσ οποιαδιποτε πικανι κατεφκυνςθ. Απαραίτθτο ςτοιχείο ςτο ςχεδιαςμό μιασ ιςτοςελίδασ είναι θ δθμιουργία μιασ κετικισ πρϊτθσ εντφπωςθσ για τον επιςκζπτθ, (είτε ςτζλεχοσ επιχείρθςθσ είτε καταναλωτι), θ οποία μπορεί να προζρχεται από ζνα «εφκολο» και ςυνάμα ενδεικτικό του περιεχομζνου όνομα διεφκυνςθσ URL (Uniform Resource Locator), το γριγορο άνοιγμα (download) τθσ ειςαγωγικισ ςελίδασ και τθν φπαρξθ ελκυςτικϊν τίτλων που αυξάνουν τισ προςδοκίεσ. Τα υπόλοιπα ςτοιχεία που κακιςτοφν αποτελεςματικό το ςχεδιαςμό μιασ ιςτοςελίδασ, είναι τα εξισ: ςαφείσ αντικειμενικοί ςτόχοι (που αποςκοπεί θ ιςτοςελίδα, ςε ποιουσ απευκφνεται ) ορκολογικι οργάνωςθ περιεχομζνων ιςτοςελίδασ ευδιάκριτοι και λειτουργικοί (ενεργοί) ςφνδεςμοι εφκολθ ανάγνωςθ κειμζνου (χρθςιμοποίθςθ λζξεων «κλειδιά», ςωςτι ςφνταξθ κειμζνου) διακζςιμθ επιλογι ςυχνότερων ερωτιςεων (Frequently Asked Questions) διακζςιμθ επιλογι χάρτθ ιςτοςελίδασ αποτελεςματικόσ ςχεδιαςμόσ διαδρομϊν (ειδικότερα όταν υπάρχει θ δυνατότθτα εικονικισ περιιγθςθσ) εμφανι ςθμεία επικοινωνίασ με τθν επιχείρθςθ αναφορά των ςυςτθμάτων αςφάλειασ που χρθςιμοποιεί θ επιχείρθςθ και των δθλϊςεων για τθν προςταςία των επιχειρθματικϊν και προςωπικϊν δεδομζνων ςυνεχισ διακεςιμότθτα ιςτοςελίδασ τακτικι ενθμζρωςθ ιςτοςελίδασ. Ο ςχεδιαςμόσ ιςτοςελίδασ μπορεί να αποτελεί πρακτικά μία απλι διαδικαςία, απαιτεί όμωσ εξαιρετικι προςοχι, φανταςία και επινοθτικότθτα, αφενόσ γιατί το κριτιριο τθσ αιςκθτικισ είναι υποκειμενικό γνϊριςμα και αφετζρου γιατί ο απίςτευτα μεγάλοσ αρικμόσ δικτυακϊν τόπων επιτρζπει τθ δυνατότθτα ςφγκριςθσ και αντιπαράκεςθσ, με βάςθ αρκετά πρότυπα αναφοράσ. Λόγω τθσ ςθμαντικότθτασ του ποιοτικοφ κριτθρίου, οριςμζνεσ - 16 -

ερωτιςεισ του ερωτθματολογίου που χρθςιμοποιικθκε ςτθν ζρευνα αφοροφςαν τθ διαδικαςία ςχεδιαςμοφ μιασ ιςτοςελίδασ. Ωσ κυριότεροσ ςτόχοσ ςτθ ςυγκεκριμζνθ διαδικαςία επιλζχκθκε ο υψθλόσ βακμόσ ανταπόκριςθσ ςτισ απαιτιςεισ του χριςτθ, που υποδθλϊνει τθ δυνατότθτα ευελιξίασ ςτο ςχεδιαςμό (αλλαγζσ όποτε απαιτοφνται) και τθν παροχι ουςιαςτικοφ και αναλυτικοφ περιεχομζνου ςτον επιςκζπτθ τθσ ιςτοςελίδασ. Τα ποιοτικά χαρακτθριςτικά τθσ ιςτοςελίδασ που αξιολογικθκαν ωσ περιςςότερο ςθμαντικά, ιταν 1) θ ευκολία και ταχφτθτα ςτθν αναηιτθςθ πλθροφοριϊν και 2) το περιεχόμενο που ανταποκρίνεται ςτισ ανάγκεσ των χρθςτϊν. Όςον αφορά τισ κατθγορίεσ πλθροφοριϊν μιασ ιςτοςελίδασ, ςτισ οποίεσ πρζπει μία θλεκτρονικι επιχείρθςθ να αποδίδει μεγαλφτερθ βαρφτθτα, επιλζχκθκαν 1) οι πλθροφορίεσ που αφοροφν τα προϊόντα και τισ υπθρεςίεσ τθσ επιχείρθςθσ και 2) οι πλθροφορίεσ που διαφοροποιοφν τθν επιχείρθςθ από τον ανταγωνιςμό. - 17 -

ΕΠΙΛΟΓΟ Υπάρχει αυξανόμενο ενδιαφζρον για πολλζσ βιομθχανίεσ για τισ υπθρεςίεσ εκτίμθςθσ αςφαλείασ πλθροφοριϊν των προμθκευτϊν, οι οποίεσ επιτρζπουν ςτουσ πελάτεσ να λαμβάνουν τισ αξιολογιςεισ του κινδφνου αυτϊν. Ερευνάμε τον αντίκτυπο τζτοιων υπθρεςιϊν εκτίμθςθσ κινδφνου ςτουσ πελάτεσ, τουσ προμθκευτζσ και τθ κοινωνικι πρόνοια. Διαιςκθτικά, οι παρατθρθτζσ μποροφν να καταλιξουν ςτο ςυμπζραςμα ότι οι εκτιμιςεισ αςφαλείασ πλθροφοριϊν πρζπει να ωφελιςουν τουσ φορείσ παροχισ υπθρεςιϊν υψθλισ αςφάλειασ και να βλάψουν τουσ αυτοφσ τθσ χαμθλότερθσ αςφάλειασ. Εντοφτοισ, διαπιςτϊνουμε ότι αυτό δεν ιςχφει πάντα αφοφ οι εκτιμιςεισ αςφαλείασ πλθροφοριϊν μποροφν να βλάψουν και πρϊτουσ. Αυτό εμφανίηεται ςε περιπτϊςεισ ανταγωνιςμοφ οι οποίεσ επιτρζπουν και ςτο φορζα παροχισ υπθρεςιϊν χαμθλισ αςφάλειασ να εμφανιςτεί το ίδιο ανταγωνιςτικόσ με αυτόν τθσ υψθλισ αςφάλειασ. Σε αυτι τθν περίπτωςθ, ο προμθκευτισ χαμθλισ αςφάλειασ είναι ςε κζςθ να χρεϊςει μια υψθλότερθ τιμι. Επομζνωσ, ςε μερικζσ περιπτϊςεισ οι εκτιμιςεισ αςφαλείασ πλθροφοριϊν μποροφν να ωφελιςουν και τουσ δφο φορείσ παροχισ υπθρεςιϊν. Η προγενζςτερθ βιβλιογραφία ζδειξε ότι οι βελτιωμζνεσ πλθροφορίεσ ωφελοφν πάντα τον πελάτθ υψθλϊν απαιτιςεων (Shapiro 1986). Στο εκπόνθμά μου είπα ότι οι εκτιμιςεισ αςφαλείασ πλθροφοριϊν μποροφν να βλάψουν τον πελάτθ αυτόν. Επίςθσ είπαμε για τον «διπολικό» ανταγωνιςμό, όπου και οι δφο φορείσ παροχισ υπθρεςιϊν μποροφν να ζχουν κετικό κζρδοσ. Διαπιςτϊςαμε ότι οι εκτιμιςεισ αςφαλείασ πλθροφοριϊν ζχουν τα λεπτζσ ιςορροπίεσ ςτον ανταγωνιςμό. Αν και θ εκτίμθςθ αςφαλείασ πλθροφοριϊν ζχει τα λεπτζσ επιδράςεισ ςτουσ προμθκευτζσ και ςτουσ πελάτεσ αντίςτοιχα, αυξάνει όμωσ τθ κοινωνικι πρόνοια. Η πολιτικι επίπτωςθ είναι ότι θ εκτίμθςθ αςφαλείασ πλθροφοριϊν πρζπει να ενκαρρφνεται από τουσ κοινωνικοφσ αρμόδιουσ. - 18 -

Βιβλιογραφικζσ αναφορζσ 1. Bauer, C., Grether, M., Leach, M., (1999), Building customer relations over the Internet, www.ecommerce.mit.edu 2. Van Steden, Ronald and Sarre, Rick (2007). The Growth of Private Security: Trends in the European Union. Security Journal, Vol. 20, pp. 222-235. Palgra Macmillan Ltd, London. 3. OECD (2008). Malicious Software (malware). A security threat to the Internet Economy. Paris. 4. http://www.cl.cam.ac.uk/~rja14/econsec.html Economics and Security Resource Page 5. http://www.adrianmizzi.com/ Return On Information Security Investment 6. Yuji Fujinaka, Secure implementation in economies with indivisible objects and money, Economics Letters, Volume 100, Issue 1, July 2008-19 -