magisterska_Викторија_Стојковски
TRANSCRIPT
Универзитет “ Св. Климент Охридски“ Битола
Економски факултет – Прилеп
Магистерски труд
Е- БЕЗБЕДНОСТ НА ДЕЛОВНИТЕ СУБЈЕКТИ ВО РЕПУБЛИКА
МАКЕДОНИЈА И БЕЗБЕДНОСНИ АСПЕКТИ НА ЕЛЕКТРОНСКАТА
ТРГОВИЈА
Ментор: Изработил:
Доцент д-р Марјан Ангелески Викторија Стојковски
Прилеп, 2012
2
СОДРЖИНА
Вовед .............................................................................................................. Error! Bookmark not defined.
Предмет на истражување ........................................................................................................................ 5
Цели на истражување ............................................................................................................................... 6
ПРВ ДЕЛ
I Глава
Безбедност во електронската трговија ................................................................................................. 7
1. Безбедноста како предуслов за реализација на е-трансакции ............................................................ 7
2. Компоненти на безбедност на електронската трговија ..................................................................... 13
II Глава
Потенцијални ризици и закани на електронската трговија .......................................................... 17
1. Видови закани на електронската трговија ...................................................................................... 17
2. Закани кои се однесуваат на напади на мрежата ........................................................................... 17
2.1 Следење на мрежниот сообраќај ................................................................................................... 17
3. Закани кои се однесуваат на клиентот ............................................................................................ 21
3.1 Phishing- кражба на лични податоци ............................................................................................. 21
3.2 Измама со кредитни картички ................................................................................................. 23
3.3 Pharming измама .............................................................................................................................. 25
3.4 Злонамерен софтвер како закана за компјутерските системи ................................................... 26
3.5 Непосакувани програми што ја загрозуваат безбедноста на компјутерските системи ............ 30
3.6 Сајбер вандализам како закана за безбедноста на интернет ...................................................... 32
III Глава
Предуслови за безбедност во електронската трговија и плаќањето преку интернет
3
1.Технолошки решенија како средства за поголема безбедност .......................................................... 34
1.1 Криптографски техники ................................................................................................................ 34
1.2 Технолошко решение и протоколи за заштита на каналите на комуникација .......................... 37
1.3 Firewall и Proxy технолошки решенија за заштита на мрежи ..................................................... 42
1.4 Антивирусни софтвери за заштита на серверите и клиентитe ................................................. 46
2.Безбедносни политики како средства за подобрување на е-безбедност ........................................... 47
3. Системи за плаќање во електронската трговија ................................................................................. 50
3.1 Начини на плаќање преку интернет .............................................................................................. 50
3.2 Системи за плаќање преку интернет ............................................................................................. 58
3.3 Безбедност на системите за плаќање ................................................................................................. 66
ВТОР ДЕЛ
IV Глава
Методологија на истражување ............................................................................................................. 69
1.Методи и инструменти на истражување .......................................................................................... 69
2. Дефинирање на хипотези ................................................................................................................. 70
V Глава
Анализа на безбедносните аспекти на електронската трговија и безбедноста на деловните
субјекти во Република Македонија
1. Анализа на законската регулатива и националната инфраструктурата за е-безбедност и
електронска трговија во Република Македонија ............................................................................... 72
2. Емпириско истражување на е-безбедноста на деловните субјекти во Република
Македонија.. .......................................................................................................................................... 78
Заклучок ................................................................................................................................................. 101
Анекс ....................................................................................................................................................... 111
Користена литература .......................................................................................................................... 114
4
ВОВЕД
Изработката на овај магистерски труд е реализирана во два дела, каде првиот дел
се однесува на теоретските аспекти кои се однесуваат на безбедноста на електронската
трговија. Во првата глава од овај магистерски труд се започнува од доловување на
значењето на електронската трговија и нејзината користеност, потоа го објаснува
безбедносното окружување на електронската трговија, претставувајќи ја безбедноста на
електронската трговија како предуслов за реализција на е-трансакции, како и
обработување на шестте компоненти на електронската трговија, односно основните
принципи на електронската трговија како што се автентичност, доверливост, приватност,
неодбивање, интегритет и достапност. Втората глава се однесува на потенцијалните
ризици и закани на деловните субјекти кои можат да ги “нападнат“ серверите на
деловните субјекти кои стопанисуваат преку интернет. Овие потенцијални закани се
поделени на закани кои се однесуваат на мрежата и закани кои се однесуваат на клиентот
и серверот и истите подетално се објаснуваат. Третата глава укажува на предусловите
кои треба да бидат исполнети за безбедност во електронската трговија и плаќањето преку
интернет. Во оваа глава подетално се опишани технолошките решенија кои во
комбинација со безбедносните политики се достигнува високо ниво на безбедност. На
крајот од оваа глава се опфатени начините и системите за плаќање преку интернет, како и
нивната безбедност.
Вториот дел од магистерскиот труд е поделен на две глави кои го опфаќаат
емпириското истражување поврзано со анализата на законската регулатива за е-
безбедност во Република Македонија и е-безбедноста на деловните субјекти во Република
Македонија. Истражувачкиот дел се состои од методологија на истражувањето и анализа
на добиените резултати.
На самиот крај од овој магистерски труд, изнесен е заклучокот, каде се изложени
заклучните согледувања до кои е дојдено при изработката на овој труд.
5
Предмет на истражување
Електронската трговија завзема голем замав при комуницирањето на
стеикхолдерите, меѓутоа сеуште влева недоверба кај истите. Управувањето со безбедноста
на електронската трговија е повеќеслоен предизвик и бара координација на деловната
политика и соодветната технологија. За да се добие довербата на потрошувачите,
сопственикот на електронскиот бизнис треба да овозможи заштита на персоналните
податоци на неговите потрошувачи, како број еден од листата на неговите приоритети.
Меѓутоа успешноста на електронската трговија, зависи пред се и од заштитата на
сопствените сервери на сопственикот од различни напади на злосторници како што се
хакерите, внатрешните напади и различните несакани програми и злонамерни кодови,
како црви, вируси и тројанци.
Електронската трговија е опкружена од различни видови закани кои му
наштетуваат на истата и го оспоруваат и онеспособуваат нејзиното работење. Исто така
електронската трговија станува поле на компјутерски криминал, каде се извршуваат
најразлични кражби при вршењето на платежни трансакции. Затоа предмет на ова
истражување претставуваат безбедносните решенија кои можат делумно, но не и во
целост да ја заштитат електронската трговија. Имајќи ги предвид овие факти, потребно е
да се разбере потребата од заштита на купувачите и продавачите кои купуваат и плаќаат
преку интернет заради зголемување на довербата кај истите. Плаќањето преку интернет на
најразлични начини, исто така зема голем замав во последните години, меѓутоа постојат и
купувачи кои не се запознаени со истото, како и за неговите можности и закани. Делот за
системите за плаќање од овај труд ќе им помогне на истите да ги осознаат начините на
плаќање преку интернет, системите за плаќање преку интернет како и нивната безбедност.
Меѓутоа технолошките решенија како средства за поголема безбедност потребно е
да се комбинираат со корпоративни политики кои дополнително би ја зголемиле истата.
Технолошките решенија, корпоративните политики и законската регулатива заедно ја
6
максимизираат безбедноста на електронската трговија и затоа овај труд има за цел истите
да ги разработи.
Цели на истражување
Имајќи го предвид предметот на истражување, целта на истражување е да се
осознаат проблемите со кои се соочуваат деловните субјекти во е-бизнис окружувањето,
како и можните решенија кои придонесуваат за заштита од истите. Имено, основната цел
на истражувањето е да се осознаат технолошките решенија и безбедносните политики кои
е потребно да се координираат меѓусебно за поголема сигурност на електронската
трговија. Општественото значење на истражувањето се согледува во можноста
потрошувачите и деловните субјекти да добијат знаења во врска со начините на кои може
да се извршуваат плаќањата преку интернет, кои се заканите на електронската трговија, а
вооедно и можните решенија, кои би можеле да се применат во реалната пракса. Врз
основа на резултатите од истражувањето ќе се добие реалната слика за електронската
безбедност на деловните субјекти во Република Македонија, односно кои типови на
заштита ги користат за да достигнат одредено ниво на безбедност, колку сметаат дека
електронската трговија е безбедна и колку се вклучени во истата преку купување и
продавање на производи преку интернет. Со доловување на најбитниот фактор за учество
во електронската трговија, а тоа е безбедноста, може да се поткрене свеста на учесниците
колку е битен овај фактор за работењето на едно ново подрачје како што е електронската
трговија, која во голема мера го олеснува купувањето и продавањето преку интернет и е
доста развиено во европските земји и кое допрва ќе се развива во Република Македонија.
Со добро познавање на предусловите кои се потребни за функционирање на ова поле,
купувачите и продавачите преку взаемна доверба и имплементирање на потребните
мерки, можат Република Македонија да ја подкренат на едно повисоко ниво, на коешто
функционираат Европските земји, а за жал во нашата земја не доволно се користат. Со
поголема запознаеност на продавачите и купувачите, може да се замени традиционалниот
начин со еден помодерен и поедноставен начин за купување и плаќање, каде безбедноста
игра голема улога која не треба да претставува пречка, туку напротив предизвик за
граѓаните на Република Македонија.
7
ПРВ ДЕЛ
I глава
Безбедност во електронската трговија
1. Безбедноста како предуслов за реализација на е-трансакции
Со оглед на развојот на World Wide Web, расте употребата на интернетот за
комерцијални цели, каде првичната намена на интернетот била да се овозможи лесен
далечински пристап до компјутери. Дизајнирањето на интернетот е мотивирано од
едноставноста и лесното користење, а безбедноста како за на интернет и на web е
разгледувана во подоцнежниот развој на интернетот. Во намерата интернетот да биде
отворен систем, односно отворена мрежа, брзиот развој на нови софтвери и
комуникациски системи, доведе до тоа корисниците на софтверот да не се доволно
запознаени со софтверот и архитектурата на системот. Ова ги прави корисниците
недоволно свесни за големиот број пропусти кои можат да доведат до сериозни
нарушувања на безбедноста.
Безбедноста на е- трговија е дефинирана на следниот начин1:
- Безбедноста на електронската трговија се однесува на доверливост на
информациите, одржување на вредноста на информациите, како и обезбедување на
достапност на легитимните корисници и клиенти кога е потребно да се изврши
овластена деловна активност.
- Безбедноста на електронската трговија се однесува на сите аспекти на тоа како се
собираат бизнис информациите и како се користат истите, како хардевот и
софтверот ги процесираат овие информации, како истите се зачувани и заштитен и
како системските ресурси се конфигурирани да ги направат безбедни
1 “Electronic Business Systems Security”
http://media.wiley.com/product_data/excerpt/82/04710729/0471072982.pdf
8
информациите за да се обезбеди нивната достапност на легитимните корисници и
клиенти.
Со користење на овие дефиниции, за безбедноста на е-трговија може да се каже
дека со сигурност деловните информации кои содржат вредност се безбедни и достапни
за бизнис обработка кога е потребно. Како резултат на тоа, безбедноста на е-трговијата
при користењето на технологиите кои се користат за производство, чување и
комуникација на информации се врши безбедно, така што вредноста на информациите е
сигурна и може да се верува кога се користи. Ако информациите и процесирањето на
технологијата се направени безбедно, корисниците ќе имаат доверба дека информациите
се вистинити.
За споредба, доколку информациите и нивната вредност не се направени безбедно,
не може да се верува и не се лесно достапни за легитимните корисници и клиенти,
бизнис и владините активности ќе имаат негативно влијание. Ако случајно или
намерно информациите се украдени, стануваат неточни или невистинити, или не
се достапни за користење, бизнис и владините одлуки и акции можат да
станат компромитирани, искривени и акциите не би биле превземени. Кога ова се
случува, директорите, акционерите, корисниците, клиентите и граѓаните губат доверба
во информациите и може да немаат повеќе доверба во системот, процесите или
организациите кои ги произведуваат информациите. Тие исто така ја губат довербата во
организацијата одговорна за одржување на информациите и интегритетот на бизнис
процесите. Безбедноста на е-трговијата се состои во способноста да обезбеди доверба за
сите информации и компјутерските процеси кои се користат при спроведувањето на е-
бизнис.
Организациите секогаш ја оценуваат информацијата како важен ресурс. Меѓутоа
денес, во економија базирана на знаење, значењето на информацијата како стратешки
влез и излез е нагласена. Сопствениците на електронски бизнис се повеќе се впуштаат во
електронската трговија, бидејќи интернетот претставува можност за глобалната трговија,
која е многу погодна за пренос на информации по ниска цена. Заедно со оваа можност
доаѓа и предизвикот за безбедноста на информациите.
9
Одржувањето на системот е важно за да може да ја заштитиме нашата приватност
и да се намали можноста за кражба на идентитет. За жал, одржувањето на безбедноста на
компјутерот може да биде тешка задача. Компјутерската безбедност вклучува заштита на
информациите преку спречување, откривање и одговор на широк спектар на напади.
Постојат повеќе потенцијални ризици за системот. Некои од нив се посериозни отколку
другите. Меѓу овие опасности се вируси кои доведуваат до оштетување на целиот систем,
некои влегуваат во системот и менуваат фајлови, некои го користат нашиот компјутер за
да нападнат други, или некои ги крадат нашите информации за кредитна картичка и ги
користат за неовластено купување. Нема гаранција дека дури и со најдобрите мерки на
претпазливост некои од овие работи нема да се случат. Сепак, постојат чекори кои можат
да се превземат за да се минимизираат ризиците.
Постигнувањето на високо ниво на безбедност е можно доколку се користат нови
технологии. Меѓутоа не е доволно да се користат само нови технологии. Највисокото
можно ниво на безбедност може да се постигне со комбинација на нови технологии со
организациски политики, процедури и владини закони. Но и овие мерки не се доволни за
да се постигне целосна безбедност, туку само одредено високо ниво на безбедност.
Системите во е-трговија се електронски системи кој ја овозможуваат размената на
стоки и услуги преку интернет во безбедно окружување. Безбедноста на системите во е-
трговијата е строга од самата причина за потребата да се во врска внатрешните и
надворешните процеси. Креирањето на инфраструктура за заштита на компанијата,
нејзините трговски партнери и на своите клиенти е од клучно значење доколку бизнисот
се реализира со целосниот потенцијал на интернет. Системите во e-трговија се
трансакциско- обработувачки. Безбедноста на овие системи за обработка на трансакцијата
се базираат на два основни услови 2:
- Автентичност - корисникот е навистина е оној што се представил
- Авторизација - опис на она што најавениот корисник е дозволено да направи.
2 Petr Suchánek, E-commerce Systems and E-shop Web Sites Security: The Silesian University, School of Business
Administration in Karvina, Department of Informatics pp.2
10
Автентикацијата и авторизацијата ги штитат системите од нелегални начини на
користење. Во однос на глобалноста на интернет, хакерите можат да нападнат од сите
места во светот. Нападот може да трае неколку секунди, но и да причине огромна штета и
финансиски загуби. Во многу од случаевите, активни напаѓачи врз инфомациските
системи се вработените. Но исто така постои и нелегално користење на системот од
страна на корисници. Поради тоа безбедноста не е потребна само за заштита од хакери, но
и од недозволено и неправилно користење на системот. Во обезбедувањето на безбедност
на системите во електронската трговија потребно е да се обрне внимание на3:
- Системите на плаќање
- Напади на серверите
- Заштита на описот
- Други спецификации поврзани со е-бизнис трансакции на интернет.
Безбедносната инфраструктура потребно е да ги има следните основни
способности4:
- Идентификација/проверка:
Ова е првиот чекор на секој процес на безбедност и приватност: да се биде во
можност да се каже кои се корисниците. Постоењето на безбедносна инфраструктура која
може тоа да го направи брзо и точно е потребна за создавање на добро искуство за
клиенти и партнери.
-Овластување:
Откако системот ќе определи кои се корисниците и дека тоа се навистина тие кои
се најавиле, мора да се обезбеди правилни чекори на пристап до различни апликации и
складирање на информации.
-Средства за заштита:
Системот мора да ги задржи информациите доверливи и приватни. Ова станаува се
потешко во модерната-бизнис средина, каде што информациите патуваат низ повеќе,
често недоверливи мрежи.
3 Petr Suchánek, E-commerce Systems and E-shop Web Sites Security: The Silesian University, School of Business
Administration in Karvina, Department of Informatics pp.2 4 http://www.ecommerceprogram.com/ecommerce/Ebusiness-Security.asp
11
-Отчетност:
Отчетноста претставува способност да бидат следени корисниците што прават со
секој податок. Решенијата на е-трговијата исто така ќе треба да осигураат дека учесниците
што учествуваат во трансакциите се одговорни.
-Администрација:
Адинистрацијата вклучува дефинирање на безбедносни политики и нивното
постојано имплементирање во склоп на инфраструктурата на претпријатието на различни
платформи и мрежи.
-Осигурување:
Под осигурување се подразбираат механизми кои покажуваат како безбедносните
решенија работат, преку методи, како што се проактивна детекција на вируси или напади,
периодични извештаи и др.
-Достапност:
Модерната е-трговија мора да спречи прекини на услугите, дури и за време на
големи напади. Ова значи дека решенијата мора да имаат вградено толеранција на грешки
и апликации и процедури за брзо да го повратат системот назад во фукнкција. ИТ
менаџерите мора да бидат способни да направат промени во системот секое време во
денот.
Природно системите на електронската трговија имаат поголеми безбедносни
ризици од традиционалните бизнис системи и од тука се согледува потребата системите на
електронската трговија да бидат заштитени од тие ризици. Со самото тоа што е-трговијата
се води преку интернет, далеку поголем број на луѓе имаат пристап до е-трговијата
отколку што имаат пристап до традиционалните бизниси. Клиенти, добавувачи,
вработени, како и бројни други луѓе ги користат системите на е-трговија и секојдневно
очекуваат нивните доверливи информации да останат безбедни. Некои од најчестите
причини за безбедност во е-трговијата вклучуваат чување на деловните и корисничките
информации приватни и доверливи, автентичноста на податоците и интегритетот на
податоците. Некои од методите за заштита на системите на е-трговија и безбедно чување
12
на информациите вклучуваат физички мерки на безбедност како складирање на податоци,
пренос на податоци, анти-вирусен софтвер, firewalls, како и енкрипција на податоците.
Безбедната е-трговија ја следи едноставен збир на принципи5:
- Сопствениците на електронскиот бизнис да ги разбираат нивните мрежи и бизнис
целите кои ги подржуваат. Некои системи и информации се повеќе вредни од другите, а
не сите имаат потреба да бидат заштитени подеднакво.
- Потребно е темелно да се развие остварлива безбедносна политика, таа да се
спроведува и надоградува на одреден временски период. Овој процес треба да се
искористи за да се насочат и автоматизираат операциите и подобрување на меѓу-
платформската интеграција и дистрибуција.
- Подобрување на решенијата како што се firewalls, автентикација и енкрипција со
адаптивни технологии што ја зголемуваат ефикасноста и спречуваат предвремено
застарување.
- Набавка на инфраструктурни производи и алатки за оценување од различни
производители. Независниот извор за оценување на производите е многу повердостоен за
докажување непристрасна евалуација на целокупните перформанси на е-трговијата.
- Сопствениците на бизнисот да размислат за аутсорсинг на само некои или на сите
безбедносни операции за управување. Притоа им овозможува на организациите да се
фокусираат на внатрешните ресурси.
Е-трговијата, претставува користење на информатичката и комуникациската
технологија (ИКТ) во водење бизнис на интернет, но не само купување и
продажба, но исто така, сервисирање на клиентите и соработка со бизнис партнери6.
Методите на електронската трговија им овозможуваат на компаниите да ги поврзат своите
внатрешни и надворешни системи за обработка на податоците поефикасно и флексибилно,
5 Internet Security Systems,Secure E-business, http://www.tarrani.net/Security/securityebus.pdf 6 Manivannan Senthil Velmurugan, Security and trust in e-business:problems and prospects: International Journal of
Electronic Business Management, 2009 pp151
13
да работат повеќе поврзано со добавувачи и партнери и подобро да ги задоволат
потребите и очекувањата на своите клиенти.
Довербата е клучот за успехот на е-бизнисот и недостаток на доверба е значаен
проблем на патот кон успехот. За време на секоја бизнис трансакција, инволвираните
страни треба да чувствуваат доверба во луѓето и компаниите. Довербата мора да биде
основана и присутна постојано во извршувањето на трансакциските активности на
бизнисот.
2. Компоненти на безбедност на електронската трговија
Доверливост, интегритет, неотповикливост, приватност, достапност и автентичност
ги претставуваат шестте компоненти на безбедност на електронската трговија и самата
заштита на сите компоненти поединечно ја претставуваат безбедноста на електронската
трговија7.
Доверливост
Доверливоста претставува достапност на информациите само за овластени лица,
или ограничување на пристапот до информациите на неовластени лица8. За одржување на
доверливоста на информациите за интернет корисниците , организациите треба да најдат
начини да ги задржат информациите од неовластени корисници. Од оперативна гледна
точка, тоа значи дека информациите кои се чуваат мора да бидат безбедни и можат да
бидат посетувани само од страна на овластени лица. Слично на тоа, информациите во
транзит треба да бидат недостапни за неовластени лица и да можат да ги разоткријат само
легитимни лица.
7 http://www.uky.edu/~dsianita/390/390wk4.html#a1
8 Eben Otuteye, A Systematic approach to e-business security, Faculty of Administration, University of New
Brunswick, Frederiction, Canada pp.3
14
Приватност
Приватноста се однесува на способноста на трговецот да ја контролира употребата
на информациите за купувачите, кои информации самите купувачи им ги довериле на
трговците кои се занимаваат со електронска трговија9. Самите трговци потребно е да
воспостават внатрешни политики коишто ќе управуваат со податоците на купувачите и да
ги заштитат тие информации од неовластени употреби, бидејќи секоја неовластена
употреба претставува нарушување на приватноста. За да се зачуваат информациите
безбедни се подразбира заштита на било кој електронски записи или фајлови од
неовластен пристап, како и обезбедување на безбеден пренос и складирање на податоците
на таквите информации. Алатките како енкрипција и firewalls управуваат со приватноста
во е-трговијата.
Интегритет
Додека се врши пренос на податоците преку интернет , информациите може да
поминуваат низ повеќе доверливи или недоверливи мрежи пред да стигнат до крајниот
примач. Додека информациите се во транзит , нивната содржина може да биде изменета и
тоа од хакери, мрежни администратори, незадоволни вработени, владини агенти., но таа
исто така може да биде и ненамерна. Интегритетот на податоците дава одговор на
прашањето дали информациите можат да бидат изменети или корупмпирани на било кој
начин, односно под инегритет се подразбира дека податоците не може да се менуваат без
тоа да биде забележано. Инетегритетот на податоците претставува уверување дека
пораката која е добиена е идентична со пораката која што е испратена. За бизнисот
потребно е да се биде сигурен дека податоците не се изменети за време на транзит било
тоа да е намерно или случајно. Да се помогне во интегритетот на податоците, заштитните
ѕидови ги чуваат податоците од неовластен пристап, додека едноставно, правењето “back
up“ на податоците овозможува обновување на податоците или опремата, доколку бидат
оштетени. Интегритетот може да биде нарушен додека трае преносот на информациите.
9 Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија: бизнис, технологија општество, Скопје:Арс
Ламина, 2010стр.268
15
“На пример, доколку неовластено лице извршува пренасочување на банкарски трансфер
на друга различна сметка, со тоа ја менува содржината на комуникацијата на интернет, а
воедно и доколку ја попречува комуникацијата на интернет, тогаш интегритетот на
пораката е компромитиран бидејќи комуникацијата повеќе не ја претставува намерата на
вистински праќач.10
“ Во екстремни случаи недостаток на интегритет на информациите се
јавува кога целата база на податоци е изгубена или заменета со нешто друго. Помеѓу овие
екстремни случаи има ситуации кога податоците се оштетени минимално или значително
така што поголеми поправки треба да се направат за да се употребливи повторно.
Автентичност
Продавачите, купувачите и финансиските институции мора да се осигураат за
идентитетот на страните со кои соработуваат11
. Во електронската трговија потребно е да
се потврди веродостојноста на податоците, трансакциите, комуникациите и документите.
Трансакциите во електронската трговија претставуваат големи предизвици за
воспоставување на автентичноста поради леснотијата со која електронските информации
може да бидат изменети и копирани. И двата учесници при извршувањето на трансакции
во електронската трговија сакаат да бидат сигурни дека другата страна е навистина таа
што се претставува, особено кога купувачот прави порачка , а потоа извршува исплата по
електронски пат. Еден вообичаен начин за да се обезбеди тоа е да се ограничи пристапот
на мрежата или доверливи делови со помош на виртуелна приватна мрежа (VPN).
Автентичноста потребно е да функционира и на двете страни и тоа клиентот да го
идентификува серверот со кој комуницира и обратно, серверот да го идентификува
клиентот со кој комуницира. Автентичноста бара субјектот кој го претставува својот
идентитет да го потвди со нешто што го знае ( на пример лозинка или PIN), нешто што
клиентот има (на пример смарт картичка или идентификациона карта) или нешто што
клиентот го претставува ( биометрика: отпечаток од прст)12
.
10
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија, општество, Скопје: Арс
Ламина, 2010 стр.267 11
Efraim Turban, R. Kelly Rainer, Richard E. Potter, Introduction to information technology, 2003 page 305 12
Eben Otuteye, A Systematic approach to e-business security: Faculty of Administration, University of New
Brunswick, Fredericton, Canada pp 5
16
Достапност
Достапноста претставува способност на трговецот да обезбедува континуирано
функционирање на страната за електронска трговија како што е планирано13
. Достапноста
е од посебно важен интерес за бизнис сопствениците, однсно одредени информации да
бидат достапни на нивните клиенти кога тоа им е потребно. Пораките мора да бидат
доставувани навремено и безбедно, но исто така и мора да се бидат зачувани и прикажани
како што е потребно. Бидејќи достапноста на сервисите е потребна за сите деловни веб
страни, потребно е да се превземат мерки за да се спречи прекин на услугата на сервисите
од можни прекини во напојувањето, хардверски грешки, и надградби на системот. Back up
на податоците, уреди за непрекинато напојување (UPS), антивирусни програми,
претставуваат како решенија за да се спречи недостапноста на сервисите.
Неотповикливост
Неотповикливоста се однесува на способноста да се обезбеди сигурност дека
учесниците во е-трговијата не ги отповикуваат своите активности, односно поединците
мора да ги исполнуваат своите обврски кон договорот. Трговците во е-трговијата мора да
бидат сигурни дека примената порачка од страна на купувачот нема да биде одбиена и
дека трансакцијата ќе се случи, со постоење на докази за нејзино докажување.
Неотповикливоста може да биде решена со користењето на дигитални потписи и
енкрипција. Со дигиталниот потпис порачката е електронски потпишана од страна на
купувачот и со оглед на тоа што дигиталниот потпис може да биде креиран од страна на
една личност, таа личност подоцна нема да може да ја негира порачката, бидејќи
порачката може да се докаже со неговиот потпис.
13
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија, општество, Скопје: Арс
Ламина стр.269
17
II ГЛАВА
Потенцијални ризици и закани на електронската трговија
1. Видови закани на електронската трговија
Најчестите закани и ризици кои се јавуваат во електронската трговија, се
однесуваат на серверот, клиентот и мрежата. Со оглед на тоа, заканите се поделени на три
групи и тоа:
- Закани кои се однесуваат на напади на мрежата
- Закани кои се однесуваат на клиентот
- Закани кои се однесуваат на серверот
2. Закани кои се однесуваат на напади на мрежата
Во однос на заканите кои се однесуваат на напади на мрежата, тука спаѓа
следењето на мрежниот сообраќај или sniffer вид на прислушкувачка програма, која има
способност да ги надгледува информациите кои се пренесуваат преку мрежата14
2.1 Следење на мрежниот сообраќај
Програмите за следење на мрежниот сообраќај или sniffer пакетите се
прислушкувачки уреди кои навлегуваат во компјутерски мрежи и го прислушкуваат
мрежниот сообраќај. Како што телефонскиот прислушкувач му овозможува на ФБИ да ги
прислушкува разговорите на другите луѓе, sniffer програмата му овозможува на некој да
прислушкува во компјутерските разговори. Сепак, компјутерски разговори се состојат од
бинарни податоци. Затоа, мрежните прислушкувачки програми исто така се познати како
"протокол анализа", кои им овозможуваат "декодирање" на компјутерскиот сообраќај и
даваат смисла на сето тоа. Со самото тоа што многу мрежи користат заеднички медиуми,
sniffer програмите имаат предност во однос на телефонското прислушување. Sniffer
програмите подолго време се во две форми. Легалниот или комерцијалниот sniffers пакет
се користи за да помогне во одржување на мрежи. Легалните sniffer пакети се
14
Кенет К.Лаудон, Џејн П.Лаудон, Менаџмент информациски системи : Управување со дигитална
компанија, Скопје: Арс Ламина, 2010 стр.302
18
комерцијални уреди кои се користат за да се помогне во управувањето со мрежата и
одржувањето и да се обезбеди мрежна безбедност. Тие исто така се користат како
дијагностичка алатка за back up на мрежните системи и да се испита мрежен систем кај кој
била нарушена безбедноста. Нелеганиот sniffer пакет се користи од страна на хакерите да
добијат неовластен пристап до чувствителни информации и податоци на мрежата.
Нелегалниот sniffer пакет е инсталиран без знаење на ИТ администраторот и се наоѓа во
различни области на мрежата заради шпионирање или крадење на информацискиот пакет
кој поминува низ мрежата.
Слика 1. Напаѓач помеѓу клиент и сервер
Извор:http://www.ibm.com/developerworks/websphere/library/techarticles/0504_mckegney/0504_mckegney.html
Типичните употреби на овие програми вклучуваат15
:
- Автоматско добивање на јасни текст лозинки и кориснички имиња од мрежата. Нив ги
користат хакери / крекери со цел да пробиваат во системи
- Конверзија на податоците во човеков читлив формат, така што луѓето можат да читаат во
сообраќајот
15
http://www.windowsecurity.com/whitepapers/Sniffing_network_wiretap_sniffer_FAQ_.html
19
- Лажна анализа за да се откријат проблемите во мрежата, како тоа зошто компјутерот не
може да разговара со друг компјутер
- Анализа на перформансите за да се откријат тешкотиите на мрежата
- Наметнување детекција на мрежата по наредба, за да се откријат хакери / кракери
- Логирање во мрежниот сообраќај, со цел да се создадат профили со тоа што хакерите да
нема да можат да пробиваат.
Во основа постојат три вида на sniffer пакети 16
:
- ARP sniffing: ARP sniffing вклучуваaт информациски пакети кои се испраќаат до
администраторот преку ARP кеш на двaта мрежни хостови. Наместо да се врши
испраќање на двата хостови во мрежниот сообраќај, го препраќа директно на
администраторот.
- IP sniffing: IP sniffing работи преку мрежна картичка со кoја се врши следење на сите
информацискии пакети кои одговараат со филтерот на IP адресата . Ова овозможува
следење на сите информациски пакети за анализа и испитување.
- MAC sniffing : MAC sniffing исто така, работи преку мрежна картичка која овозможува
уредот да ги следи сите информациски пакети кои одговараат со филтерот на MAC
адреса.
16
http://www.spamlaws.com/how-packet-sniffers-work.html
20
Компоненти на Sniffer пакетот претставуваат:
- Хардвер
Повеќето производи работат на стандардни мрежни адаптери, иако некои бараат посебен
хардвер. Ако се користи специјален хардвер, можат да се анализират хардвер грешки како
CRC грешки, напон проблеми, кабелски програми, "dribbles", "треперење“ и друго.
- Драјвер за снимање
Драјверот за снимање претставува најважниот дел. Драјверот го снима мрежниот
сообраќај преку жица, ги филтрира податоциите и од сообраќајот кој треба да биде
сниман и потоа ги меморира податоците во приверемената меморија.
- Привремена меморија
Откако податоците се снимени од мрежата тие се меморираат во привремена меморија.
Тие рамки се заробени од мрежата, тие се чуваат во тампон. Постојат неколку начини на
снимање: снимање додека има меморијата или употреба на меморијата каде новите
податоци ги преместуваат старите податоци.
- Декодирање
Декодирањето ја прикажува содржината на мрежниот сообраќај на јазик препознатлив за
човекот и со тоа се дознава што се случува во мрежата.
- Пакет за уредување / трансмисија
Некои производи содржат карактеристики кои овозможуваат да се уредуваат сопствените
мрежни пакети и да се испраќаат кон мрежата.
21
3. Закани кои се однесуваат на клиентот
Во однос на заканите кои се однесуваат на клиентот, постојат три видови на закани:
- Phishing- кражба на лични податоци
- Измама со кредитни картички
- Pharming измама
- Злонамерен софтвер како закана за компјутерските системи
- Непосакувани програми што ја загрозуваат безбедноста на компјутерските системи
- Сајбер вандализам како закана за безбедноста на интернет
3.1 Phishing- кражба на лични податоци
Фишинг претставува метод на измама преку електронска пошта во кој измамникот
испраќа на изглед легитимен е-маил со намера да добие персонални или финансиски
податоци од примателите17
. Комуникациите претпочитаат да бидат од популарни веб
сајтови, сајтови за аукција, процесори за онлајн плаќања, а најчесто се користат ИТ
администратори за да ја намамат јавноста. Фишинг обично се врши преку e-mail измама
или инстант пораки, кои често се насочуваат за корисниците да внесат повеќе детали на
лажен веб-сајт кој изгледа и е скоро идентичен со легитимниот веб сајт. Фишинг е пример
за социјални инженеринг техники кои се користат да ги измамат корисниците и
експлоатираат сиромашната употребливост на web безбедносни технологии. Обидите да
се спречи се поголемиот број на пријавени инциденти вклучуваат легислатива, обука на
корисникот, јавна свест и технички мерки на безбедност.
17
http://searchsecurity.techtarget.com/definition/phishing
22
Ова е пример како може да изгледа измама преку електронска пошта:
Здраво!
Како дел од нашите мерки за безбедност, ние регуларно вршиме мониторинг на
активностите во системот на Facebook. Ние неодамна ве контактиравме откако
забележавме проблем на вашата корисничка сметка.
Нашиот систем детектира невообичаена активност која содржи авторски права
поврзана со вашиот Facebook профил, ве молиме следете го линкот поддолу за да ја
пополните формата за авторски права:
http://www.facebook.com/application_form
Забелешка: Доколку не ја пополните апликацијата вашиот профил ќе биде
блокиран на неопределено.
Поздрав,
Facebook Copyrights Department.
Извор: http://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx
Спелување
Линкови во е-маил
Закани
Популарна
компанија
23
- Правопис и лоша граматика. Cyber криминалците не се запознати со грешките во
нивната граматика и правопис. Професионалните компании или организации
обично имаат персонал од уредници кои не дозволуваат неуреден е-маил да биде
испратен на своите корисници. Ако постојат грешки во е-маилот, тоа може да биде
измама.
- Потребно е внимание со линковите во е-маил. Ако постои линк во сомнителна е-
маил порака, не треба да се кликнува на неа. Глувчето треба да се постави (но не
клик) на линкот за да се види дали адресата се совпаѓа со врската, која беше во
полето за порака.
- Закани. Cyber криминалците исто така често ги користат заканите во поглед на тоа
дека безбедноста е загрозена.
- Spoofing на популарните веб-сајтови или фирми. Во е-маил пораката користена е и
графика, со цел да наликува на некоја легитимен веб-сајт, но всушност се
пренасочува до лажен веб-сајт или до легитимен pop-up прозорец.
3.2 Измама со кредитни картички
Измамата со кредитни картички, претставува најчестата причина поради која се
оспоруваат трансакциите на интернет. Купувачите стравуваат дека ќе бидат измамени,
односно дека информациите од нивните кредитни картички ќе бидат украдени. Меѓутоа
овој страв на купувачите е неоснован, бидејќи веројатноста да се украдат информациите
преку вршењето трансакции е помала, за разлика од систематското хакирање и крадењето
на корпоративни сервери каде што се складирани информациите за купувањето со
кредитни картички.
Проблемот со безбедноста на податоците на кредитните картички се јавува на
страната на продавачот кога ќе ги прифати и во својот систем ќе ги меморира своите
податоци. Најголем број на кражби на податоците од кредитните картички се случуваат
кога илјадници броеви се украдени од евиденцијата која постои на страната на интернет
продавачот.
24
Значи, правиот проблем во системот на плаќање со кредитни картички не е во
обезбедување на сигурносен канал за комуникација помеѓу купувачот и продавачот, туку
во неможноста да се утврди идентитетот на страните во овие трансакции, како и
безбедноста на податоците кои ги поседува продавачот.
Продавачот нема можност да го провери идентитетот на лицето кое ги внесува потребните
податоци на неговот сајт и дали навистина е тоа лице кое ја поседува кредитната картичка
со која сака да обави трансакција. Овој проблем е поголем кога купувачот прави
интернационална порачка, бидејќи доколку ја направи порачката и потоа истата биде
откажана, таа порачка нема начин да се докаже дека всушност е направена, како и да се
докаже идентитетот на сопственикот на картичката. Затоа идентитетот на клиентите е
клучно прашање за интернет продавачите, бидејќи со овие измами трговците на интернет
претрпуваат загуби.
Било која технологија која би била употребена како можно решение, мора да
задоволи повеќе барања кои ги поставуваат купувачите, продавачите и финансиските
институции и тоа:
- Брза и едноставна имплементација на таа технологија од страна на сите учесници и
можност за користење на постоечка инфраструктура на било кој уред кој има
пристап на интернет.
- Можна прецизна идентификација на сите учесници во обавувањето на трансакција,
обезбедена со документација на комплетниот спор во случај на потреба од
решавање на евентуални спорови.
25
3.3 Pharming измама
Pharming е измамничка пракса во која злонамерен код кој е инсталиран на
персонален компјутер или сервер, кој погрешно ги упатува корисниците да лажни веб
сајтови без нивно знаење или согласност. Хакерите се обидуваат да го скријат
вистинскиот идентитет, преку користење на лажни адреси или лажно се претставуваат.
Pharming е наречен "фишинг без мамец."18
Како што претходно споменав во фишинг измамата, се испраќа е-маил кој е
наменет за да се отријат персонални податоци додека во фарминг измамата поголем број
на корисници можат да бидат жртви, бидејќи не се потребни поединци и не се потребни
несвесни акции кои се бараат од жртвата. Во една од формите на фарминг нападот, кодот
испратен преку е-маил ги модифицира локалните фајлови на персоналниот комјутер.
Адресите на датотеките се конвертираат во броевите на стринговите кои што комјутерот
на корисникот ги користи за пристап на веб сајтовите. Компјутерот со компромитирана
датотека ќе оди на лажна веб-страница, дури и ако корисникот ја внесил правилната
интернет адреса . Некои програми за шпионски отстранувања можат да се поправат од
корупцијата, но често се повторува доколку корисникот ги менува пребарувачките навики.
Особено застрашувачка pharming тактика е познат како труење на името на систем
доменот (DNS труе2ољсјдфој мисли дека пристапува кон легитимен веб-сајт, всушност е
насочен кон погрешен. Во овој метод на pharming, индивидуалните датотеки на
персоналниот компјутер нема потреба да бидат оштетени. Наместо тоа, проблемот се
јавува во DNS серверот, кој се справува со илјадници или милиони барањат за адреси од
страна на интернет корисниците. Жртвите завршуваат на лажен сајт без никакви видливи
индикатори на несовпаѓање. Spyware програмите, не можат да се справат со овој вид на
pharming затоа што технички погрешно ништо не е потребно со компјутерите на
крајните корисници. Еднаш внесените персонални податоци на лажна веб страна, како
што се бројот на кредитната картичка, кориснички број во банка или пасворд,
криминалците ги имаат информациите и кражба на идентитетот би бил крајниот резултат.
18 http://searchsecurity.techtarget.com/definition/pharming
26
3.4 Злонамерен софтвер како закана за компјутерските системи
Злонамерните софтвери претставуваат софтвери кои се создадени за да нанесуваат
штета на крајниот корисник, а кои вклучуваат мнозинство од закани и тоа различни
видови на компјутерски вируси, црви, тројанци и роботски мрежи.19
Злонамерниот код
претставува софтвер кој особено преовладува и претставува штетна форма која ја
нарушува безбедноста и кој софтвер е создаден за да оштети, уништи или да негира услуга
на целниот систем.
Вирусите и црвите се шират преку компјутерите и мрежите преку правење на
копии од самите себе, најчесто без знаење на корисникот на компјутерот.20
Според Paul
Phillips авторот na книгата E-business strategy, компјутерските вируси претставуваат
инструкции на компјутерот кои се дизајнирани за да ги нарушат нормалните функции на
софтверот. Вирусот се пренесува на тој начин што самиот себе се атачира на друга
програма, а се активира за да предизвика штета кога програмата се отвара од страна на
корисникот. Исто така авторите Гојко Грубор и Милан Милисавлевиќ во својата книга
“Основи за заштита на информациите“ комјутерскиот вирус го објаснуваат преку следната
дефиниција:
“Компјутерскиот вирус е програма која ги инфицира останатите програми и ги
модифицираат така што ја вклучуваат неговата напредна копија. На инфицираното
подрачје вирусот може да се шири низ комјутерскиот систем и компјутерската мрежа,
користејќи ја авторизацијата на секој корисник да ги инфицира неговите програми.“21
Компјутерските вируси се делат на неколку главни категории и тоа:22
- Boot сектор вирус - претставува вирус кој се накачува на master boot record (MBR)
во boot секторот на тврдиот диск, единствената локација на тврдиот диск, каде се
сместени основните влезен-излезен систем (BIOS) на компјутерот и програмата за
19
Кенет К.Лаудон, Џејн П.Лаудон, Менаџмент информациски системи : Управување со дигитална
компанија, Скопје : Арс Ламина, 2010 стр.300 20
http://www.businesslink.gov.uk/bdotg/action/detail?itemId=1075385962&type=RESOURCES 21
Gojko Grubor, Milan Milosavljevic, Osnove zastite informacija: metodolosko-tehnoloske osnove, Univerzitet
Singidunum, Beograd, 2010 str.106 22
http://caverson.hubpages.com/hub/Types-Of-Computer-Viruses
27
подигнување на оперативниот систем.23
За разлика од другите видови на вируси,
boot вирусот не влијае на датотеки, наместо тоа тој оди по самиот диск на кој е
зачуван вирусот и поради тоа, овој вирус не е толку голема закана како што била
порано. Од појавата на компакт дисковите (CD) и дигитал видео диск (DVD), не е
возможно да се инфицираат програмите кои се на нив.
- Макровируси кои се наменети за апликации и тој вирус влијае само на
апликацијата за која што е напишана. Апликации кои можат да бидат заразени од
овие макровируси претставуваат Microsoft Word, Microsoft Exel и Power Point.
Макровирусите се пренесуваат на тој начин што кога корисникот ќе отвори
документ од соодветната апликација, вирусот сам се копира во шаблоните на
апликацијата и при креирањето на нови документи се пренесува вирусот, односно и
тие се инфицираат со макровирусот24
. Овие вируси се пренесуваат доста брзо,
бидејќи често се користат апликации со макро функции. Најчести макровируси се
Concept, Marker и Melissa.
- Вируси кои инфицираат фајлови претставуваат вируси кои се прикачуваат на exe.
фајлови, на компресирани фајлови како zip фајловите и на драјвер фајловите. Овие
вируси се активираат откако ке стартува програмата на која се прикачиле, односно
која ја инфицирале. Откако вирусот ќе биде во движење, самиот себе ќе се прикачи
на други програми и систем фајлови и ќе продолжи по патеката за која е направен.
Вирусот постојано ќе бара програми кои ќе може да ги зарази со кодот и тој ќе се
активира откако ќе стартува програмата. Тоа ќе продолжи се додека не се рашири
низ целиот компјутер и веројатно на кој друг било компјутер кој е поврзан на
оригиналниот систем.
- Мрежен вирус - овој вид на вирус се пренесува преку мрежата и тоа преку локална
мрежа и преку интернет. Мрежниот вирус се движи заедно со ресурсите кои се
споделени и тоа како фајлови и датотеки. Овој вид на вирус се движи низ мрежата
23
Gojko Grubor, Milan Milosavljevic, Osnove zastite informacija: metodolosko-tehnoloske osnove, Univerzitet
Singidunum, Beograd, 2010 str.106 24
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија,општество , Скопје:Арс
Ламина, 2010 стр.272
28
се додека не наиде на ранлив компјутер кој го инфицира и повторно се пренесува
преку компјутерите кои се поврзани на таа мрежа.
- Е-маил вирус – овој вирус како што кажува и неговото име, се пренесува преку
електронска пошта. Е-маил вирусот се размножува самиот себе на тој начин што се
испраќа на контактите кои се наоѓаат на контакт листата за е-маил адреси. Еден од
овој тип на вируси кој беше успешно проширен и кој исто така делуваше
деструктивно е ILOVEYOU вирусот.
- Мултипарт вируси - оние кои го добиле називот мултипарт вируси се типовите на
компјутерски вируси кои истовремено се и фајл вируси и вируси од boot секторот.
Тие влегуваат во компјутерот преку различни видови на уреди, и потоа се
прикачуваат самите себе во систем меморијата. Потоа тие се пренесуваат во хард
дискот и го инфицираат boot секторот. Еднаш кога ќе се инсталираат во boot
секторот овие типови на вируси заразуваат извршни фајлови и се распространуваат
самите себе во системот.
Црвите претставуваат вируси кои се реплицираат од еден комјутер на друг преку
мрежата.25
Црвите не е потребно да се атачираат на било каква програма за да се
распространуваат, што ги прави тешки за избегнување. За разлика од вирусите, нападите
од црви се со поголем интензитет, предизвикуваат штети преку уништување на податоци
или програми, меѓутоа и го попречуваат или прекинуваат работењето на компјутерските
мрежи. Црвите за разлика од вирусите, се пренесуваат исклучиво преку мрежа.
25
Colin Combe, Introduction to e-business management and strategy, Butterworth-Heinemann, 2006 pp.170
29
Слика 2. Генеричка структура на црвите
Извор: Gojko Grubor, Milan Milosavljevic, Osnove zastite informacija str. 111
Вирусите се пренесуваат на повеќе начини како што се: компакт дисковите, usb-
меморијата и другите преносливи медиуми кои содржат инфицирани документи, како и
пораките кои се испраќаат преку електронската пошта која исто така содржи инфицирани
атачменти, но и интернет црвите кои ги користат пропустите во оперативниот систем на
нашиот компјутер додека сме поврзани на интернет.
Тројански коњ претставува програма која навидум изгледа легитимна, но всушност
содржи друга програма или блок на несакани злонамерни кодови, скриени во блок на
пожелен код.26
Тројанскиот коњ всушност го крие вистинскиот идентитет на корисникот,
бидејќи уништувачкото однесување настапува откако ќе се активира програмата. Сам по
себе, тројанскиот коњ не може да се нарече вирус бидејќи не се пренесува, но најчесто
претставува начин злонамерните кодови да се воведат во компјутерот. Тројанскиот коњ се
состои од серверски компоненти кои се воведуваат во компјутерот на корисникот и
компоненти на клиентот кој со кои управува напаѓачот.27
Најчесто тројанскиот коњ се
воведува во корисничкиот компјутер преку логирање на корисникот каде внесува
корисничко име и лозинка. Rootkit претставува специјална програма на тројански коњ,
која го менува постоечкиот софтвер на на оперативниот систем, така што може да се
прикрие постоењето на тројански коњ.
Роботи се вид на злонамерен код којшто може да биде инсталиран на компјутерот кога
корисникот се приклучува на интернет. Откако ќе биде извршено инсталирањето,
напаѓачот испраќа надворешни команди на кои роботската мрежа одговара со што
компјутерот станува “зомби“ и може да биде контролиран од надворешна трета страна.28
26
http://www.businesslink.gov.uk/bdotg/action/detail?itemId=1075385962&type=RESOURCES 27
Gojko Grubor, Milan Milosavljevic, Osnove zastite informacija: metodolosko-tehnoloske osnove, Univerzitet
Singidunum, Beograd 2010 str.112 28
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија, општество,Скопје:Арс
Ламина, 2010 стр.273
НАПАД ШИРЕЊЕ ИЗБОР НА
МЕТА
ПРЕБАРУВАЊЕ ТЕРЕТ
30
Роботските мрежи пак претставуваат група на заразени, далечинско управувани
комјутери, каде хакерите испраќаат злонамерен код, кој може да биде вирус, црв или пак
тројански коњ и преку апликацијата која ја испраќаат добиваат пристап до инфицираните
компјутери. Бидејќи трета страна ја има контролата над инфицираниот компјутер, таа
страна може да стартува со напади со одбивање на услуги, кражба на идентитет, измама со
кредитни картички и останати измами.
За заштита од вирусите се користат антивирусни програми кои ги детектираат
вирусите, превентивно делуваат да се оневозможи пристап до заразени датотеки и
заразените датотеки ги држат во таканаречен “карантин“. Постојат два вида на
антивирусни програми, каде првиот вид се нарекува скенер на вируси, кој е потребно
навремено да се ажурира најчесто преку веб страните на добавувачот, со цел да
препознава нови вируси и вториот вид на антивирусна програма хеуристички софтвер, кој
детектира вируси на тој начин што применува правила за тоа што претставува вирус.
Бидејќи хеуристичкиот софтвер не бара чести ажурирања, најчесто може да испраќа
лажни сигнали.
3.5 Непосакувани програми што ја загрозуваат безбедноста на компјутерските
системи
Покрај претходно споменататите злонамерни кодови, непосакуваните програми исто
така ја загрозуваат безбедноста на компјутерските системи. Овие несакани програми
најчесто се наоѓаат на страните на социјалните мрежи и на останатите страни со
популарни содржини, каде корисникот се намамува да ги превземе. Во овој труд како
несакани програми ќе бидат разработени: рекламен софтвер, пребарувачки паразит и
шпионски софтвер.
Рекламен софтвер (adware) - преставува софтвер кој е финансиски поддржан или
финансиски поддржува друга програма, со прикажување на реклами кога корисникот е
31
поврзан на интернет.29
Овие рекламни софтвери најчесто се користат за криминални
активности. Како примери за рекламен софтвер може да се наведат Zango Search и Purity
Scan, кои кога се користат одредени клучни зборови во пребарувањето на интернет
прикажуваат скокачки реклами на одредени страни.
Пребарувачки паразит (Browser hijacking software) – преставува програма којашто
има способност за надгледување и изменување на подесувањата на корисничкиот
пребарувач.30
Пребарувачкиот паразит ги менува подесувањата на корисничкиот
пребарувач на тој начин што ја променува стандардната почетна страна на пребарувачот,
ги променува пребарувачките барови и алатките (toolbars), креира десктоп кратенки и го
прикажува наизменичното рекламирање преку pop up прозорци. Откако пребарувачкиот
паразит ќе го “киднапира“ интернет пребарувачот, софтверот може да пренасочи линкови
до други страни кои ги рекламира или пак на страните кои собираат информации за
посетените страни. Потребно е да се напомене дека пребарувачкиот паразит најчесто е дел
од рекламниот софтвер.
Шпионски софтвер – Шпионски софтвер или Spyware е општ термин кој се користи
да се опише софтвер кој извршува одредени однесувања, генерално, без соодветно
добивање согласност како што се31
:
- Рекламирање
- Собирање лични информации
- Промена на конфигурацијата на компјутерот на корисникот
Шпионскиот софтвер прикриено сам се инсталира на компјутерот, за потоа да може да
ги надлегува локациите на интернет-мрежата на кои корисникот се конектира и за да
можат да прифаќаат конекција на реклами.32
Шпионскиот софтвер се инсталира без
знаење на корисникот и тоа како резултат на кликнување на измамнички pop up прозорец.
29
http://ist.mit.edu/security/malware 30
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија, општество, Скопје: Арс
Ламина, 2010 стр.274 31 http://www.microsoft.com/security/pc-security/spyware-whatis.aspx 32
Кенет К.Лаудон, Џејн П.Лаудон, Менаџмент информациски системи : Управување со дигитална
компанија, Скопје:Арс Ламина, 2010стр. 302
32
Рекламниот софтвер (adware), кој е дизајниран за рекламирање, бидејќи содржи
компоненти за следење и известувања за корисникот, се смета за шпионски софтвер. The
cookie е познат механизам за складирање на информации за интернет корисникот на
нивниот сопствен компјутер. Доколку веб страната ги зачувува информациите за
корисникот во форма на cookie, без негово знаење, тогаш и овие така наречени
“колачиња“ може да се сметаат за форма на шпионски софтвер. Шпионскиот софтвер е
доста загрижувачки за корисниците на интернет, бидејќи во голема мера ја загрозуваат
нивната приватност. Keyloggers, како форма на шпионски софтвер, го евидентираат секое
притискање на тастатурата, за да добијат сериски број од одреден софтвер, за да обезбедат
влез во електронската пошта на корисникот, да добијат лозинка од заштитени комјутерски
системи или за да добијат број од кредитна картичка.
3.6 Сајбер вандализам како закана за безбедноста на интернет
Сајбер вандализам претставува злонамерно дело на хакерите со што извршуваат
нарушување на фукционирањето, изменување, па дури и уништување на страната.33
Еден
од најкористените начини, преку кој се загрозува безбедноста на интернет страната
претставува хакирањето, кое се извршува од група хакери или кракери. Преку хакирање,
лицето добива неовластен пристап до системот и извршува нелегални активности. Исто
така тоа лице добива вредни информации, на пример како што се детали за кредитни
картички, за да може да извршува измами. Меѓутоа не секои активности кои ги
превземаат хакерите се превземаат за криминални дејствија. Во зависност од нивните
мотиви, зависи за што ќе ги употребат своите активности, дали за добронамерни или за
криминални дејсвтија. Во некои случаи, секторите за безбедност во корпорациите,
ангажираат група на хакери, за да биде тестиран нивниот систем, односно нивните мерки
за безбедност кои ги превземаат. Лицата кои што го користат хакирањето за криминални
активности се нарекуваат кракери.
33
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија, општество, Скопје:Арс
Ламина, 2010 стр.278
33
Едни од мотивите кои ги мотивираат хакерите да превземаат активности за
хакирање претставуваат:34
- Следење на информациите: хакерите воведуваат програма за да пробијат во
електронската пошта или други извори на доверливи информации.
- Пристап до база на податоци: хакерите се активни во напаѓањето на бази на
податоци на финансиски институции за чувствителни финансиски податоци и
броеви на кредитни картички.
- Кражба на идентитет: Овој начин на хакирање е исто така наречен “spoofing“
којшто е претходно образложен во овој труд.
- Одбивање на услуги: Овие напади на хакерите уште се нарекуваат напади со
одбивање на услуги (DoS), кои сериозно ја нарушуваат способноста на фирмите
континуирано да понудуваат услуги, но уште поважно ја поткопуваат довербата на
клиентите за безбедноста која ја нудат.
34
Colin Combe, Introduction to e-business management and strategy, Butterworth-Heinemann pp174
34
III Глава
Предуслови за безбедност во електронската трговија и плаќањето преку интернет
1.Технолошки решенија како средства за поголема безбедност
1.1 Криптографски техники
Криптографските техники претставуваат техники за заштита на безбедноста на
интернет комуникациите каде спаѓа кодирањето кое уште е наречено енкрипција.
Енкрипцијата е процес на трансформирање или енкриптирање на податоците на начин
којшто е тежок, скап или одзема многу време за неавторизирано лице да го декриптира35
.
Енкрипцијата е најмногу употребуван метод за заштита на трансакциите преку интернет.
Секоја енкрипција е се состои од четири основни дела, каде првиот дел е пораката
неенкриптирана која што треба да се испрати која е напишана во форма која е разбирлива
за човекот, потоа таа порака се енкриптира во форма разбирлива за компјутерот, а
алгоритмот на енкрипција и клучот кој претставува код за енкрипирање и декриптирање
на пораката. Во табелата поддолу се претставени компонентите на енкрипцијата заедно со
нивното објаснување и проследени со пример.
35
Electronic Commerce , A Managerial Perspective, 2006, page 475
35
Извор: Electronic Commerce, A Managerial Perspective 2006, page 475
Постојат два одновни начини на енкрипција и тоа: енкрипција со таен клуч и
енкрипција со јавен клуч36
. При енкриптирањето со таен клуч, страните испраќаат
заеднички број на енкриптиран клуч којшто е познат само за нив, додека при енкрипција
со јавен клуч енкриптираниот број на клуч е различен за испраќачот и примачот. Исто
така, при енкрипција со таен клуч, истиот клуч се користи и при енкрипција и декрипција
на пораката, а при енкрипирање со јавен клуч, се користат два клуча, каде едниот се
користи за енкрипција а другиот за декриптирање на пораката. При енкриптирањето со
јавен клуч се користат два клуча и тоа јавен клуч кој е достапен за секого и приватен клуч
36
Colin Combe, Introduction to e-business and strategy, Butterworth-Heinemann, 2006 pp 171
Компоненти Објаснување Пример
Неенкриптирана порака Оригинална порака во форма
разбирлива за човекот
Број на кредитна картичка
5342 8765 3652 9982
Алгоритам на енкрипција Математичка формула или процес
којшто е користен за енкрипција или
декрипција на пораката
Додај број (клуч) на секој
број од картичката. На
пример додавај го бројот 4
на секој број така што 1 ќе
стане 5, а бројот 9 ќе биде 3
(модуларна аритметика)
Kлуч Специјален број којшто одговара на
алгоритамот за да се трансформира
пораката
Бројот што ќе биде додаван
на оригиналниот број, во
случајот бројот 4.
Енкриптирана порака Енкриптирана порака во форма
разбирлива за компјутерот
Оригиналниот број на
картичката 5342 8765 3652
9982 ќе биде 9786 2109 7096
3326 во енкриптирана
форма.
36
кој е познат само за сопственикот. Доколку пораката е енлриптирана со јавен клуч, тогаш
декрипцијата на пораката се извршува со приватен клуч. На пример Аманда сака да биде
сигурна дека Брајан ќе биде единствениот што ќе ја прочита нејзината порака. Аманда ја
енкриптира пораката со јавен клуч на Брајан, додека Брајан ја декриптира пораката со
негов приватен клуч37
.
Слика 3. Енкрипција и декрипција со јавен и приватен клуч
Испраќач Енкрипција Декрипција Примач
Криптографските техники овозможуваат поголема сигурност на интернет
комуникациите и опфаќаат три компоненети на безбедноста на електронската трговија и
тоа:38
- доверливост на податоците: податоците се енкриптирани, односно ја кријат
вистинската содржина на пораките
- интегритет на податоците: со енкриптирањето на пораката се обезбедува гаранција
дека истата не е променета
- проверување на идентитетот за потекло на податоците: алгоритмите за дигитален
потпис обезбедуваат начини за докажување на автентичност.
37
Turban, Rainer, Potter, Introduction to Information technology , second edition, Wiley, 2003 pp306 38
Дитер Голман, Компјутерска сигурност, АД Вербум Скопје,2010 стр.201
Порака Енкриптирана
порака
Порака
Јавен клуч
на
примачот
Приватен клуч
на примачот
37
Доверливоста на пораката може да се провери со хеш функцијата, преку која се креира
приказ на пораката. Хеш функцијата всушност претставува алгоритам којшто креира број
со фиксирана должина и тој број уште се нарекува хеш или отисок на пораката.39
Испраќачот на примателот му ги испраќа резултатот од хеш функцијата и откако
примателот ќе ја добие пораката ја применува хеш функцијата за да провери дали се
добива истиот резултат и доколку го добие истиот резултат се докажува дека пораката не
била изменета при нејзиното испраќање.
Проверката на идентитетот за потекло на податоците се извршува со дигитален
потпис, каде испраќачот испраќа кодиран текст до примателот кој е потпишан со е-
потпис, користејќи приватен клуч. Откако примателот ќе ја добие пораката го користи
јавниот клуч на испраќачот со што го потврдува неговиот идентитет.
1.2 Технолошко решение и протоколи за заштита на каналите на комуникација
За заштита на каналите на комуникација се користат неколку протоколи кои се
вбројуват во технолошки решенија кои овозможуваат поголема безбедност. Во овај
магистерски труд најпрво ќе започнам од најчесто користениот протокол за заштита на
каналите на комуникација, а тоа е Secure Socket Layer ( SSL).
Secure Socket Layer (SSL) бил создаден од Netscape со цел да користи стандарден
сертификат за автентикација и енкрипција на податоците со што би се овозможило
приватност или доверливост.
Secure Socket Layer (SSL) протоколот овозможува енрипција на податоците,
интегритет на пораката, автентикација на серверот и опционална автентикација на
клиентот за TCP/IP конекција.40
Енкрипцијата на податоците е главната способност на
овај протокол и со самото тоа е и најчесто користен. На пример, кога се нарачува од
39
Кенет К.Лаудон, Карол Герсио Травер, Електронска трговија:бизнис, технологија, општество, Скопје:Арс
Ламина, 2010 стр.286 40
Paul Phillips, E-business strategy, The Mcgrow-Hill companies, 2003 pp 323
38
големи интернет продавници како што е Amazon.com, порачката е автоматски од SSL
протоколот енкриптирана пред да биде испратена преку интернет.
SSL протоколот се наоѓа помеѓу TCP/IP протоколот и апликациското ниво. TCP/IP
протоколот испраќа само безгрешен проток на информации, SSL протоколот го зголемува
бројот на карактеристики и тоа41
:
- Автентикација и неотповикливост на серверот со дигитални потписи
- Автентикација и неотповикливост на клиентот со дигитални потписи
- Тајност на податоците преку употреба на енкрипција
- Интегритет на податоците преку употреба на кодови за автентикација на пораки
Како што претходно споменав, SSL протоколот ги енкриптира податоците помеѓу
компјутерот на клиентот и серверот. Кога е повикана заштитена страна со SSL
протокол, пребарувачот го идентификува серверот како доверлив субјект и иницира
ракување ( кое е една од компонентите на SSL протоколот која е прикажана во сликата
поддолу) за да помине информација за енкриптиран клуч во двата правци. Откако с
еизвршени барањата до серверот, информациите кои се движат во двете насоки се
енкриптирани и хакерите кои извршуваат sniffing на мрежата не можат да ја прочитаат
содржината.
41
Симсон Гарфинкел, Џин Спафорд, Безбедност и заштита на мрежниот сообраќај, Скопје: Абакус комерц,
Давид компјутери, 2010 стр. 234
39
Слика 4. Компоненти на SSL протоколот
Извор: Дитер Голман, Компјутерска сигурност стр. 233
Secure Socket Layer (SSL) протоколот е изграден на повеќето веб сервери и
прелистувачи и за клиентите е лесно да препознаат дали страната на која се повикуваат
поседува сертификат бидејќи стандардната URL наместо http: се трансформира во https:.
Слика 5. Заштитни икони во Mozilla Firefox и Internet Explorer
Извор:http://www.ibm.com/developerworks/websphere/library/techarticles/0504_mckegney/0504_mckegney.html
Апликативно ниво
TCP
Интернет
Интерфејс
SSL протокол за ракување
Ниво на запис на SSL
Internet Explorer
Mozilla Firefox
40
Првата верзија на Netscape, која била создадена за да се користи со Netscape
Navigator била верзијата на SSL 1.0, која подоцна е надоградена и веќе се користела како
SSL 2.0. Меѓутоа и оваа верзија на SSL 2.0 подоцна од страна на Microsoft е заменета со
PCT која надминува некоии нејзини недостатоци. Предностите на оваа надоградена
верзија на SSL се согледуваат во SSL 3.0 протоколот.
Secure Socket Layer (SSL) неодамна беше наследен од Transport Layer Security
(TLS) којшто е базиран на SSL. Последната верзија на SSL 3.0 претставува основа на TLS
протоколот. TLS протоколот овозможува приватност помеѓу страните кои комуницираат и
гарантира дека нивната комуникација не е пресретната од трета страна.
Како и SSL протоколот и TLS протоколот е составен од две компоненти и
тоа42
:
- TLS запис протокол
- TLS ракувачки протокол
TLS запис протоколот обезбедува заштита на комуникацијата со примена на
енкрипциски метод како Data Encryption Standard (DES). Додека пак TLS ракувачкиот
протокол овозможува да се автентикуваат клиентот и серверот помеѓу себе и преговара
околу алгоритамот на енкрипција и криптографскиот клуч пред податоците да се
разменат.
Secure Electronic Transaction (SET) – користи криптографија за да докаже
доверба во информациите, да обезбеди интегритет во плаќањето и да ја потврди
автентичноста на купувачот и продавачот43
. При извршувањето на трансакциите и
купувачот и продавачот добиваат дигитален сертификат од доверлив издавач на
сертификати. SET протоколот не е многу користен поради неговата комплексност и
неговите трошоци. SET претставува отворен стандард кој е развиен и понуден од страна
на Visa и Mastercard, кои се согледаа на слабостите при извршувањето на обични
42
http://searchsecurity.techtarget.com/definition/Transport-Layer-Security-TLS 43
Colin Combe, Introducion to e- business management and strategy, Butterworth-Heinemann , 2006 pp172
41
трансакции со он-лајн кредитните картички на интернет. Овој протокол е дизајниран за да
им овозможи на купувачите да купуваат погодно и сигурно со инкорпорирање на
дигитални потписи, сертификати и енкрипција. Дигиталниот сетрификат е зачуван во така
наречен паричник заедно со деталите за кредитната картичка, кои можат да бидат
декриптирани само од страна на компанијата која ја издала картичката. Бидејќи
податоците за купувачот се внесени во дигиталниот паричник, секојпат кога купувачот
купува преку интернет он-лајн информациите автоматски ќе се внесуваат со што
купувачот заштедува време од внесување на информациите секој пат кога купува он-лајн
на различни веб страни но и врши автентикација. Дигиталните потписи се користат од
страна на SET со што се овозможува купувачите да им докажат на продавачите дека се
оние кои се претставуваат. Системот е базиран на тој начин што продавачите и
купувачите добиваат дигитални сертификати и дигитални новчаници. Купувачите се
заштитени на тој начин што при извршувањето на трансакцијата бројот на кредитната
картичка директно се упатува кон нејзиниот издавач и се извршува плаќањето без
претходно истиот да биде забележан од страна на продавачот.
SET протоколот има свои предности и недостатоци. Како недостаток на овај
протокол може да се наведе тоа што продавачите мораат да го инсталираат SET софтверот
на своите сервери, што преставува трошок и исто така може да доведе до повисоки цени
за купвачите. Како друг недостаток на SET протоколо претставува тоа што е побавен во
извршувањето на верификација на трансакциите. Меѓутоа во предности се наведува тоа
што деталите за кредитните картички не се зачувуваат на серверот на продавачот, со што
се редуцира ризикот од измама. Од страна на продавачите SET е атрактивен протокол за
нив, бидејќи го избегнуваат ризикот од негирање на купувачите дека извршиле
трансакција.
42
Secure Hypertext Trasnfer Protocol (S-HTTP)
S-HTTP претставува безбедносен протокол за комуникација со пораки и
истиот е дизајниран за да се користи во коњукција со HTTP44
. Основниот протокол преку
кој комуницираат клиентите и серверите на World Wide Web претставува HTTP, но
истиот е добар за отворени комуникации, но не ја докажува автентичноста и не поседува
енкрипциски карактеристики. Затоа S-HTTP е дизајниран да се користи во коњукција со
HTTP за да му се овозможи на клиентите и серверите да комуницираат безбедно, а
вооедно овај протокол овозможува да поминуваат енкриптирани информации.
Meѓутоа, S-HTTP никогаш во целост не бил прифатен, бидејќи SSL
протоколот станал повеќе популарен. SSL протоколот е повеќе прифатен од таа причина
што овозможува енкрипција на сите податоци кои поминуваат помеѓу клиентот и
серверот, вклучувајќи ги и податоците на IP ниво. Имено SSLи S-HTTP протоколите ја
овозможуваат истата автентикација и енкрпција, но S-HTTP овозможува енкрипција na
пораките само на HTTP-нивото. Пораките можат да се заштитуваат со користење на
дигитални сертификати, автентикација и енкрипција.
1.3 Firewall и Proxy технолошки решенија за заштита на мрежи
Firewall или огнениот ѕид е систем кој се обидува да заштити приватна мрежа од
хакери, софтвер вируси, извршување на корупција со податоци или неовластен пристап45
.
Firewall всушност претставува сигурносен портал помеѓу две мрежи, најчесто
доверлива и недоверлива мрежа и одлучува кои мрежни комуникации да поминат преку
мрежата, кои да се одбијат, а кои да се енкриптираат. Firewall е потребен бидејќи46
:
- Превенира напади од недоверливи мрежи
- Го заштитува интегритетот на податоците од критични информации
- Ја задржува довербата на потрошувачите и партнерите.
44
http://www.javvin.com/protocolHTTPS.html 45
Paul Beynon-Davies, E-business, Palgrave macmillan, New York, 2004 pp221 46
Марковски Смиле, Гушев Марјан, Е-бизнис и мобилни интернет технологии семинар: Универзитет
“Св.Кирил и Методиј“, Природно математички факултет, Институт за информатика, 2002 стр.108
43
Типични задачи на Firewall претставуваат47
:
- Врз основа на адресата на испраќачот или примачот, се проверува контрола на
пристап
- Контрола на пристап врз основа на бараната услуга
- Криење на внатрешната мрежа од надворешниот свет
- Се проверуваат датотеките кои треба да поминат дали содржат вируси
- Врз основа на изворот на сообраќајот, се проверува идентитетот
- Најавување на активностите на интернет.
Постојат два вида на Firewall и тоа хардверски и софтверски, кои можат да
користат истовремено. Во софтверски заштитен ѕид спаѓа firewall-от кој е составен дел од
најновиот windows оперативен систем, меѓутоа постојат и други софтверски заштитни
ѕидови кои се поддржани од надворешни продавачи и оние кои се дел од сопствена
комерцијална сигурност. Софтверскиот firewall мора да биде добро конфигуриран за да
биде ефективен. Во хардверски заштитен ѕид спаѓа рутер ко поседува firewall
карактеристики. Рутерот се наоѓа помеѓу компјутерот и модемот и претставува
потешкотија да бидат хакирани мрежата или компјутерот кога се “скриени“ зад
хардверска firewall кутија. Меѓутоа и хардверскиот firewall треба да биде добро
конфигуриран на пример да биде променета стандардната лозинка на рутерот во таква
која што ќе биде тешко да се пробие.
Firewall користи два основни механизми и тоа филтрирање на пакет и прокси
сервери. Основна карактеристика на firewall-от претставува филтрирањето на податоците.
Податоците на интернет, податоците и побарувањата испратени од еден компјутер до друг
се претвораат во сегменти кои се нарекуваат пакети, каде секој пакет содржи интернет
адреса на компјутерот испраќач, како и интернет адресата на компјутерот кои ги прима
податоците. Пакетите, исто така содржат и други информации за идентификување кои
можат да се користат за разликување на пакетите еден од друг. Филтрирањата на пакетите
47
Дитер Голман, Компјутерска сигурност, АД Вербум, Скопје 2010 стр.238
44
претставуваат правила кои можат да го прифатат или одбијат доаѓањето на пакетите
базирано на изворот и дестинацијата на адресата. Способностите на пакет филтрите се
вградени во повеќето оперативни системи и уредите за рутирање. Најчест пример за
филтрирачки пакет, претставува мрежниот рутер кој вклучува листа за контрола на
пристап. Меѓутоа овај механизам кој е наречен филтрирање на пакети има и свои
недостатоци. При поставување на правилата администраторот може да изостави важни
правила или погрешно да постави одредено правило со што би оставил “дупка“ во firewall-
от. Исто така поради тоа што содржината на пакетот не е битна за пакет-филтерот, откако
пакетот ќе го помине firewall-от внатрешната мрежа е отворена за напади.
Firewall или заштитниот ѕид типично содржи прокси сервер кои ги испитува сите
пораки кои влегуваат и излегуваат од приватната мрежа и ги блокираат оние кои не
покажуваат безбедносни критериуми48
. Во веб окружувањето, прокси серверот се наоѓа
помеѓу веб пребарувачот и веб серверот и за секој интернет сервис нормално е да биде
доделен. Прокси серверите бараат автентикација на крајниот корисник, повеќе рестрикции
во комуникацијата на одреден збир протоколи и применуваат рестрикција на контролата
на пристап.
Прокси сервер претставува сервер кој овозможува индиректна врска до друг сревер
или интернет, со дополнително ниво на заштита и способност за кеширање на податоците
и датотеките за побрзо пронаоѓање49
. Наместо директно поврзување на интернет или на
сервер каде се зачувани податоците, прокси серверот превзема побарување и доколку тоа
пребарување содржи податок или веб страна, најпрвин прокси серверот проверува дали
тие веќе се кеширани и доколку истите прв пат се пребарувани, прокси серверот ги
поврзува со корисникот и ги кешира во својата меморија.
Постојат повеќе видови на прокси сервер, каде секој вид има свои карактеристики.
48
Paul Beynon-Davies, E-business, Palgrave macmillan, New York, 2004 pp 221 49
http://myhosting.com/blog/2011/08/proxy-vps-explained/
45
Четирите видови на прокси сервер се следните:50
- Транспарентен прокси
- Анонимен прокси
- Нарушувачки прокси
- Високо анонимен прокси
Трансапрентниот прокси оригиналната IP адреса ја прави достапна за пребарување
на http адреси, меѓутоа овај вид на прокси сервер не овозможува анонимност на оној кој
што го користи овој вид на прокси и најчесто се користи за кеширање на web страни.
За разлика од транспарентниот, анонимниот прокси, обезбедува анонимност на
корисникот на овај вид на прокси, но не ја прави достапна оригиналната IP адреса.
Нарушувачкиот прокси сервер се посистоветува со прокси серверот меѓутоа
оригиналната IP адреса ја прави неправилна за користење на http адреси.
Претходните три видови на прокси сервери се идентификуваат како прокси сервери,
додека пак четвртиот вид на прокси сервер наречен високо анонимен, не се
идентификува како прокси сервер и оригиналната IP адреса не ја прави достапна.
Треба да се напомене дека при користењето на прокси сервери постојат и одредени
ризици, со самиот факт што при користењето на прокси сервер, податоците при
испраќањето поминуваат низ него кои се најчесто во неенкриптирана форма. При
испраќањето на податоците, постои ризик истите да бидат пресретнати од злонамерен
прокси сервер коишто снима се што се испраќа. Затоа кога е неизбежно да се користи
непознат прокси сервер најдобро е да не се испраќаат приватни информации.
50
http://whatismyipaddress.com/using-proxies
46
1.4 Антивирусни софтвери за заштита на серверите и клиентитe
Антивирусниот софтвер е создаден за да препознава вируси, црви и останати
злонамерни кодови и истите да ги отстранува.
Постојат два вида на антивирусен софтвер, кои работат на ист начин и тоа
константно пребаруваат вируси во компјутерот но користат различни методи.
Првиот вид на антивирусен софтвер, чува листа од познати вируси наречена “листа
со дефиниции од вируси“ или “ вирусна библиотека“51
. Секој документ или датотека кои
влегуваат во компјутерот, антивирусниот софтвер ги споредува со вирусната библиотека,
за да се провери податокот дали содржи некоја од вирусните дефиниции од вирусната
библиотека. Меѓутоа голем недостаток на овај тип антивирусен софтвер е тоа што
доколку одреден податок содржи вирус кој не е дефиниран во вирусната библиотека, тој
нема да биде препознаен и ќе биде дозволено да влезе во компјутерот на корисникот.
Вториот вид на антивирусен софтвер уште е наречен хеуристичка програма, која
поседува способности да препознава нови вируси кои се уште не се познати, по
принципот учење со истражување и грешки. Со самото тоа, што овај тип на антивирусен
софтвер препознава нови вируси е повеќе сигурносна програма.
Антивирусниот софтвер претставува мерка на безбедност со која се зголемува
безбедноста на клиентите и серверите. Антивирусниот софтвер кој би се користел за
заштита, потребно е да ги има следните компоненти52
:
- Спречување - го запира вирусот да не го зарази системот
- Откиривање – го открива вирусот што го има заразено системот
- Реакција – го враќа системот во чиста состојба.
Основната цел на антивирусниот софтвер е да ги скенира вирусите во компјутерот
и истите да ги одстрани. За потребното пребарување на вирусите, антивирусните
51
http://anti-virus-and-internet-security.blogspot.com/ 52
Дитер Голман, Компјутерска сигурност, АД Вербум, Скопје 2010 стр.141
47
програми најчесто овозможуваат автоматско и рачно скенирање на вирусите.
Автоматското скенирање на вируси се извршува секогаш кога се симнуваат датотеки од
интернет и исто така кога ќе се внеси диск во комјутерот. Наспроти автоматското
пребарување на вируси, рачното скенирање на вируси го извршува самиот корисник тогаш
кога шпто смета дека е потребно и на датотеките кои сам ги избира. Антивирусниот
софтвер потребно е постојано да ја надоградува листата на видови вируси, бидеќи
хакерите постојано создаваат нови вируси, кои е потребно да бидат препознаени во
компјутерот и да бидат отстранети. Обично антивирусните програми автоматски
извршуваат надоградување на базата на вируси. Како примери на антивирусни програми
кои можат да се користат за заштита на компјутерот претставуваат: Norton Antivirus,
Kaspersky Anti-Virus, ZoneAlarm Antivirus, AVG antivirus, Avira Anti virus и т.н
2.Безбедносни политики како средства за подобрување на е-безбедност
Организациите треба да ја подобруваат е-безбедноста на тој начин што ќе изработат
план за безбедност кој ќе ги содржи следните делови53
:
- Проценка на ризикот
- Воспоставување на централен менаџмент
- Имплементирање на соодветни политики
- Создавање на организација за безбедност
- Мониторинг и евалуација на политиките и контрола
Проценката на ризикот претставува првиот чекор за изработка на безбедносен план
кој опфаќа препознавање на информациските ресурси како суштински средства кои мора
да бидат заштитени. Во овај дел се врши развивање на практични процедури за проценка
на ризик кој ја поврзува сигурноста на мрежата со потребите на бизнисот. Исто така при
53
www.cisco.com/warp/public/cc/so/neso/sqso/rois_wp.pdf
48
прценката на ризикот се изработува програма и се поставуваат менаџери одговорни за таа
програма, бидејќи организациите сметат дека бизнис менаџерите треба да бидат
одговорни за менаџирањето со безбедноста на информациите поврзани со нивното
работење, подеднакво како што се сметаат за одговорни за други деловни ризици. Покрај
тоа, менаџерите се најсоодветни за проценка за тоа кои од нивните информациски ресурси
се најчуствителни и да го проценат влијанието на безбедносните проблеми. Меѓутоа
управувањето со ризикот треба да биде континиурано, односно постојано. Потребно е
организациите да увидат дека безбедноста на мрежата е постојан процес, со тоа што
постојаното управување на ризикот помага да се осигура дека контролата е соодветна и
ефективна и лицата кои го користат и одржуваат информацискиот систем се придржуваат
кон организациските политики.
При воспоставување на централен менаџмент се именува централна група за
извршување на клучните активности. Централната група за мрежна безбедност служи како
катализатор за обезбедување, за тоа дека ризичните информации се земени во предвид во
планираните и тековните операции. Тие развиваат организациски полотики и насоки,
едуцирани корисници за безбедноста на ризичните информации, истражување на
потенцијалните закани, слабости и контролни техники, проценети ризици и
идентификувани потребни политики. Кај централната група за извршување на клучните
активности потребно е да се подобрува професионализмот и техничките вештини, за што
се потребни специјални курсеви за обука на систем администратори, за одбрана од
безбедносни упади.
Во имплементирањето на соодветни политики потребно е поврзување на
политиките со ризиците на бизнисот. Сеопфатниот сет од политики е клучен елемент во
ефективната програма за безбедност. Овие политики е потребно да бидат прилагодливи
на континиурана основа, за да се одговори на ново идентификуваните ризици. Потребно е
да се разликува политиката од упатствата, бидејќи политиките се однесуваат на основните
барања што менаџерите сметаат дека се задолжителни, додека пак упатствата
претставуваат насоки или подетални правила за спроведување на политиките.
При создавање на организација за безбедност потребно е континуирано едуцирање
на корисниците за ризиците и останатите политики. Централниот безбедносен менаџмент
49
работи на тоа да докажи на сфаќањето на останатите за ризиците и политиките. Тие ја
поттикнуваат свеста кај вработените за ризиците кои постојат во врска со откривање на
доверливи информации и лозинки. Организацијата за безбедност управува со контролите
за пристап, процедури за докажување на автентичноста и политики за овластување.
Автентичноста се докажува преку дигитални сертификати, дигитални потписи и
користење на јавни клучеви. Во комбинација со дигиталните потписи се користат и
биометрички уреди за проверка на лицетои тоа преку отисок на прст, препознавање на
глас, скенирање на зеницата на окото и сл. Контролата на пристап се извршува преку
користење на заштитни ѕидови и прокси сервери за контрола на надворешни лица, додека
пак контролата на внатрешни лица се извршува со корисничко име и лозинка. Исто така
различно ниво на корисници имаат различно ниво на пристап, кое се контролира со
политиките на овластување. Политиките за овластување имаат за цел да ограничува
пристапот до приватни информации.
Мониторингот и евалуацијата на политиките и контролата се извршува преку
следење на фактори кои влијаат на ризикот и назначување на безбедносната ефективност.
Организациите потребно е директно да ја тестираат ефективноста од нивната контрола.
Централниот безбедносен менаџмент води сметка за ревизорските наоди и напредокот
на организациите во имплементирање ба корективни мерки. Некои организации
спроведуваат тестови за оценување на својата безбедност и назначуваат индивидуалци да
го пробијат системот. Овие тестови им овозможуваат на организациите да ги
идентификуваат своите слабости и истите да се елиминираат. Резултатите кои се добиени
од контролата потребно е да се користат за да се насочат идните напори на
организацијата. Организацијата потребно е постојано да известува околу новите алатки и
технологии на мониторинг, а за тоа потребно е учество во професионални организации и
следење на најнова литература корисна во учењето за најновите алатки за мониторинг и
истражувачки напори.
50
3. Системи за плаќање во електронската трговија
3.1 Начини на плаќање преку интернет
Во овај магистерски труд како начини на плаќање преку интернет обработувани се
следните начини:
Дигитална готовина
Дигитална готовина претставува порака за плаќање која содржи дигитален потпис
кој функционира како медиум за размена или чување на вредност.54
Плаќањето со
дигитална готовина функционира на тој начин што купувачот во својот дигитален
паричник додава вредност која што му е потребна за да ја изврши посакуваната
трансакција. Корисникот на дигиталната готовина испраќа енкриптирана порака до
банката, со што ја овластува да го одземе потребниот износ од неговата сметка. Банката
откако ќе ја добие пораката ја декриптира со приватен клуч и врши идентификација на
корисникот преку неговиот дигитален потпис. Откако е извршена идентификацијата на
корисникот, банката генерира “сериски броеви“ кои ги енкриптира во порака, потпишана
со дигитален потпис, ја испраќа назад на корисникот. Корисникот ја добива пораката која
што уште е наречена токен и има право да ја користи за купување на сајтовите на
трговците. За време на извршената трансакција, сопствениците на електронскиот бизнис,
добиваат е-пари кои овластени од страна на банка. Откако ќе биде извршена
трансакцијата, трговецот ја контактира банката за извршената трансакција и парите се
уплатуваат на негова сметка. Подолу илустративно е претставен текот на извршување на
трансакции со дигитална готовина.
Дигиталната готовина има свои одредени карактеристики и тоа55
:
- Безбедност – од аспект на безбедноста дигиталната готовина претставува сигурен
метод на извршување на трансакциите, бидејќи не може да се извршува копирање и
54
http://www.cs.bham.ac.uk/~mdr/teaching/modules06/netsec/lectures/DigitalCash.html 55
Mandana Jahanian Farsi, Master’s Thesis in Computer Science, Gotebord University,1997 pp10
51
повторна употреба на истата. Дигиталната готовина претставува сигурен метод на
плаќање, бидејќи посредува банка која има база на податоци за потрошени
електронски токени.
- Приватност – Оваа карактеристика на дигиталната готовина се однесува на тоа
што купувачот за време на трансакциите останува анонимен. Меѓутоа банката
претходно врши автентикација на купувачот и единствено купувачот останува
анонимен за продавачот.
- Преносливост - Безбедноста и користењето на дигиталната готовина не зависат од
било каква физичка локација. Пренесувањето на готовината се извршува преку
компјутерски мрежи во уреди за складирање и обратно.
- Деливост – Под поимот деливост се подразбира тоа што може да се извршуваат
промени. Решение за деливост на монетите претставува користење на монети кои
што можат да бидат поделени така што нивната вкупна вредност ќе одговара на
оригиналната монета.
- Пренесливост – Преносливоста значи корисникот да може да ја потроши монетата
која што ја добил при наплатата, без да ја контактира банката. Плаќањето
претставува трансфер доколку примателот на готовината може да ја искористи за
други плаќања.
52
Слика 6. Тек на плаќање со дигитална готовина
Дигитален паричник
Дигиталниот паричник или уште наречен е-паричник претставува компонента на
софтвер кој се превзема на компјутерот на корисникот и во истиот корисникот ги
зачувува бројот на кредитната картичка и останатите персонални информации56
.
Дигиталниот паричник овозможува извршување на трансакциите во електронската
трговија да се извршуваат брзо и безбедно. Дигиталниот паричник работи на тој начин
што комуницира преку Near Field Communications (NFC), технологија која овозможува
преку чип кој се наоѓа во внатрешноста на картичката да комуницира со терминалот за да
биде извршена трансакцијата или преку бар код кој ќе биде скениран. Користењето на
дигитален паричник е ефикасно од таа перспектива, што купувачот нема потреба при
секое купување да внесува информации за неговата кредитна картичка. Во дигиталниот
паричник се внесени името на купувачот, бројот на кредитна картичка како и информации
56
Turban, Rainer, Potter, Introducion to information tehnology, second edition, Wiley 2003 pp304
Банка
Купувач Продавач
1. Издава
дигитална
готовина
2. Испраќа
дигитална
готовина
3. Прашува за
извршеното
плаќање
53
за превозот и овие информации се повикуваат секогаш кога купувачот извршува купување
преку веб страни. Кога корисникот купува од продавачите кои прифаќаат е-паричник,
коринсикот може да го користи перформансот “one-click“ купување.
Електронски кредитни картички
Електронските кредитни картички се користат при купување он-лајн едноставно и
брзо, каде купувањето се извршува со тоа што купувачот на продавачот му го испраќа
бројот на кредитната картичка. Ризикот при ова купување се согледува во фактот што
хакери можат да го прочитаат бројот на кредитната картичка. За да се избегне овај ризик,
потребно е бројот на кредитната картичка да биде испратен во енкриптирана форма со
користење на SSL протокол на компјутерот на купувачот , кој е достапен на стандардните
пребарувачи. Три техники се развиени за прифаќање на броеви на платежни картички при
трансакциите кои се извршуваат преку интернет и тоа57
:
- Надвор од мрежата - При користењето на оваа техника порачката се прави преку
интернет, а потрошувачот преку телефон го контактира продавачот и порачката ја
плаќа со тоа што му го кажува бројот на кредитната картичка
- On-line со енкрипција – Во овај случај купувачот ја корсти својата кредитна
картичка за купување преку интернет на тој начин што му го испраќа бројот од
картичката на продавачот преку интернет во енкриптирана форма.
- On-line без енкрипција – Купувачот користејќи ја оваа техника, на продавачот му
го испраќа бројот на кредитната картичка со едноставно испраќање на бројот на
картичката преку електронска пошта.
57
Симпсон Гарфинкел, Џин Спафорд, Безбедност и заштита на мрежниот сообраќај, Скопје: Абакус комерц,
Давид компјутери, 2010 стр. 321
54
Дигитален систем на плаќање со акумулиран биланс
Дигиталниот систем на плаќање со акумулиран биланс овозможува да се
извршуваат микроплаќања и купување преку интернет, со што на крајот од месецот се
испраќа сметка на корисникот, која треба да се плати од неговата кредитна картичка или
телефонската сметка.
SMART картички
SMART картичките поседуваат микропроцесор (чип) кој може да сочува голема
вредност на информации. Со овие картички се озвозможува да се префрлуваат средства,
да се плаќаат сметки, корисниците да купуваат или да плаќаат за услуги кои се нудат на
телевизија или на компјутер. SMART се идеални за микроплаќања, кои имаат лозинка со
што се зголемува сигурноста. Овие картички можат да бидат контактни и без контактни
(RFID) радио сигнали за идентификација.
SMART или паметните картички се разликуваат од кредитните по тоа што58
:
- SMART може да се користат за различни цели поради тоа што има поголем
капацитет на складирање на информации;
- Поседуваат зголемено ниво на заштита со тоа што се дополнително заштитени со
лозинка и информациите селективно се откриваат;
- SMART користат RSA систем за енкрипција, каде картичката е дизајнирана што
јавниот клуч може да се прочита, но приватниот клуч може да биде декриптиран
само од корисникот, што ја зголемува неговата сигурност.
58
Симпсон Гарфинкел, Џин Спафорд, Безбедност и заштита на мрежниот сообраќај, Скопје: Абакус комерц,
Давид компјутери, 2010 стр. 331
55
Електронски чек
Електронскиот чек кој исто така е познат како е-чек, всушност претставува
електронска верзија на книжниот чек. Електронскиот чек нуди повеќе поволности со што
станува популарен за употреба. Со користењето на електронскиот чек во електронската
трговија се заштедува време, меѓутоа и овозможува сигурност за бизнисот и купувачите.
Користењето на електронски чек за плаќање овозможува предности пред
плаќањето со чек во книжна форма и тоа59
:
- Ги намалува трошоците на процесирање - трошоците на процесирање на
електронскиот чек се помали, за разлика од плаќањето со чек во книжна форма
како и извршувањето на трансакции со кредитни картички.
- Средствата се добиваат порано - Користењето на електронски чек на плаќање му
овозможува на бизнисите да ги добијат своите средства порано, за разлика од
обработката на традиционалниот чек.
- Се зголемува продажбата - Доколку се замени користењето на традиционалниот
чек со електронски чек, може да се очекува зголемување на базата на потрошувачи,
бидејќи се прифаќа интернационалниот начин на користење на плаќања.
Сопственикот на бизниц, нема простор за сомневање од измами, бидејќи плаќањето
со е-чек побарува валидна сметка и врши автентикација на корисникот.
- Едноставно, безбедно - Како што и претходно споменав, електронскиот чек е
безбеден за користење, но исто така е и лесен за користење.
- Помалку грешки и избегнување на измами- Електронскиот чек е обработуван од
автоматски систем, кој ги редуцира потенцијалните грешки и измами.
59 http://payments.intuit.com/resources/facts-about-electronic-checks.jsp
56
Мобилен систем на плаќање
Мобилниот систем на плаќање како соодветно решение за извршување на трансакции
може да биде класифициран во зависност од начинот на извршување на плаќањето и
технологијата која што ќе се користи. Во зависност од тоа постојат три начини на плаќање
и тоа 60
:
- Плаќање базирано на банкарска сметка
- Плаќање базирано на кредитна картичка
- Плаќање преку телекомуникациска компанија
Плаќањето базирано на банкарска сметка може да претставува корисно решение и за
телекомуникациските оператори и за банките со оглед на тоа што и операторите и банките
имаат неколку милиони потрошувачи. Плаќањето преку банкарска сметка може да се
извршува на тој начин, што бројот на мобилниот телефон на корисникот да биде поврзан
со сметката во банката и кога потрошувачот ќе изврши таканрачено М-плаќање, банката
од неговата сметка ќе ја одбие вредност за извршената трансакција и истата ќе ја префрли
на сметката на продавачот.
Плаќањето преку кредитна картичка се извршува на сличен начин со плаќањето
базирано на банкарска сметка, со тоа што бројот на кредитната картичка е поврзан со
бројот на мобилниот телефон и при извршувањето на М-плаќање вредноста ќе биде
наплатена од кредитната картичка и се пренесува на сметката на продавачот.
Плаќањето преку телекомуникациска компанија ќе се извршува на начин што
потрошувачот ќе може да го користи својот мобилен телефон за да извршува трансакции и
вредноста на извршената трансакција ќе биде додадена на неговата телефонска сметка.
60 Mahil Carr, Mobile Payment Systems and Services: An Introducion
http://www.mpf.org.in/pdf/Mobile%20Payment%20Systems%20and%20Services.pdf
57
Технологии кои се користат за м- плаќање претставуваат следните61
:
- Кратки пораки (SMS)- Кратката порака се користи за да се докажат одредени
информации за статусот на сметката или за трансмисија на платежни инструкции
преку телефонот.
- Неструктуирани дополнителни услуги за испорака (USSD)- претставува
уникатна технологија на GSM ( Global System for Mobile Communication). USSD
претставува способност надоградена на GSM стандардот за поддршка на
трансмисијата на информации преку сигнализирање на каналите на GSM мрежата.
Потребно е да се напомене дека времето на интеракција, односно на добивање на
повратен одговор е пократко преку оваа технологија наспроти кратките пораки.
- WAP/GPRS- General Packet Radio Servis претставува податочна мобилна услуга за
корисниците на GSM. GPRS овозможува сервиси како Multimedia Messagins Service
(MMS), пристап до Wireless Application Protocol (WAP), како и пристап до сервиси
за интернет комуникации како E-mail и World Wide Web на мобилните телефони.
- Телефонска апликација – На мобилниот телефон на корисникот, исто така може
да се развие апликација за М- плаќање, која може да се дизајнира во Java
програмски јазик.
- SIM- апликација - Subscriber Identity Module (SIM) кој се користи во GSM
мобилни телефони е паметна картичка, односно, тоа е мал чип со процесорска моќ,
односно интелигенција и меморија. Информациите во SIM можат да биде
заштитени со користење криптографски алгоритми и клучеви. Ова ја прави SIM
апликацијата релативно посигурна од клиентските апликации, кои се наоѓаат на
мобилниот телефон.
- Near Field Communication (NFC) - претставува комбинација од безконтактна
паметна картичка и мобилниот телефон.
- Мобилен новчаник – Апликациски софтвер може да биде инсталиран на
мобилниот телефон за извршување на М-плаќања кој би ги содржел информациите
61 Mahil Carr, Mobile Payment Systems and Services: An Introducion
http://www.mpf.org.in/pdf/Mobile%20Payment%20Systems%20and%20Services.pdf
58
за потрошувачот, како и банкарската сметка и истиот би претставувал мобилен
новчаник.
- Двоен чип – Бидејќи апликацијата за М-плаќање е интегрирана во SIM-
картичката, нејзиното интегрирање, треба да биде во соработка со
телекомуникацискиот оператор. За да се избегне тоа, најдобро е да се користи
двоен чип, каде еден слот ќе биде користен за апликацијата на М-плаќање, а
другиот за SIM картичката.
3.2 Системи за плаќање преку интернет
Како системи за плаќање преку интернет во овај магистерски труд ќе бидат
опфатени дел од системите кои купувачите ги користат за плаќање преку интернет.
Paypal
Paypal претставува сигурен, брз и безбеден начин за плаќање онлајн, каде
финансиските податоци никогаш не се пренесуваат. Paypal ги зачувува безбедно
информациите за кредитната и дебитната картичка и истиот како систем може да се
користи за купување преку интернет кои го прифаќаат Paypal. Со користењето на Paypal
како систем се добиваат бесплатно следниите бенефиции62
:
- Бесплатно отворање на Paypal корисничка сметка
- Бесплатно купување онлајн во UK и 1000 други веб страни
- Бесплатна заштита каде и да се купува и доколку нешто не пристигне се враќа
назад и се враќаат парите, бидејќи се применуваат одредени услови и правила
62
www.paypal.com
59
- Бесплатно симнување на Paypal апликација на I-phone, Blackberry и Android, која
може да се користи за проверка на Paypal сметка, испраќање на пари на пријатели и
фамилија или за донација.
- Бесплатно додавање на Paypal сметката од банкарската сметка
- Слободно префрлување од Paypal сметката и префрлување на банкарската сметка.
Paypal работи на тој начин што откако ќе се отвори корисничка сметка, корисникот
одлучува како ќе го изврши плаќањето и тоа со кредитна картичка или дебитна
картичка, Paypal баланс или со сметка од банката. Потоа Paypal ги чува тие податоци,
со тоа што не е потребно постојано да се внесуваат истите и ја внесуваат само е-маил
адресата и лозинка и купувањето може да се извршува на Ebay, Boots, Topshop и
останати помали продавачи кои го поддржуват Paypal.
Payza
Payza системот за плаќање е достапен и за бизнисите и за купувачите како
индивидуални лица. Персоналниот Payza ги има следните карактеристики63
:
- Испраќање и примање на пари онлајн, секаде и во секое време бесплатно. Со Payza
е-паричникот, интернационалните плаќања се депонираат директно на
корисничката сметка и е достапен во 190 земји.
- Со Payza флексибилните опции, Payza е-паричникот може да се користи за
купување или плаќање онлајн или трансфер на пари на сметката на банката.
- Ги чува финансиските и персоналните информации безбедни.
- Доколку корисникот има одредени прашања за сметката или услугите на Payza,
може само да се испрати е-маил, преку телефон или чат да се контактираат
специјалистите за поддршка на корисниците кои ќе им помогнат околку
проблемитe.
63
www.payza.com
60
Payza за бизнис корисниците ги има следните карактеристики:
- Payza е достапна во 190 земји и поддржува 22 валути и со тоа Payza преставува “отворена
врата кон светот“за компаниите. Компаниите можат да го продават производите и услугите
онлајн, насекаде, во секое време и секогаш безбедно;
- Само со еден клик може да се испратат индивидуални или масовни исплати на
вработени или соработници без трошоци и секогаш бесплатно;
- За производите или услугите кои ги нудат корпорациите се плаќа веднаш директно
и безбедно. Меѓународните плаќања се добиваат прво во Payza е-паричникот;
- Payza ги има имплементирано сите алатки потребни за успешно работење на
корпорацијата и тоа копчиња за исходот од плаќањата, интегрирана картичка за купување,
маркетинг колекции на продавачот, онлајн фактури и плаќања;
- Главниот приоритет на Payza претставува сигурноста и во овај контекст, Payza испрќа
пари, споделува производи и услуги но не и информации;
- Доколку бизнисите имаат прашања за корисничката сметка или за Payza сервисите,
потребно е само да се контактира службата за поддршка на корисниците.
Payza работи на начин што се отвара е-паричник во кои се додаваат пари од
банкарската сметка, кредитната картичка или сертифициран чек, со можност да се
испраќаат или добиваат пари или пак се извбршува купување онлајн, каде Payza
обезбедуба 100% сигурност додека се процесираат плаќањата или побарувањата.
Worldpay
Worldpay претставува глобално решение за прифаќање на плаќањата. Повеќе
милиони трансакции на ден се овозможени за извршување плаќања преку интернет, маил
или мобилен телефон со пристапување на корисничка сметка и едноставна техничка
конекција. Worldpay им овозможува на корпорациите да им помагаат на своите
потрошувачи да извршуваат брзи, лесни и едноставни плаќања.
61
Worldpay преку своите услуги докажува чисти финансиски бенефиции за своите
корисници и тоа64
:
- Готовински тек – подобрување на готовинскиот тек и контрола колку често се
добиваат пари;
- Безбедност – системот на Worldpay помага да се минимизира ризикот од
изложување на измама;
- Флексибилност – континуираност за бизнисот и овозможувње да се прошират
плаќањата, како што бизнисот расте.
Eway
Eway платежниот систем на своите корисници им нуди поголем број на услуги и
тоа65
:
- Директни плаќања кои ја зголемуваат довербата на клиентите, кои самите го
извршуваат плаќањето со внесување на трансакцијата без пренасочување од веб
страната на продавачот.
- Едноставни плаќања преку факс или телефон со внесување на деталите за
кредитната картичка во MyEway и се добиваат резултатите за трансакциите.
- Користење на мобилниот телефон за извршување на плаќања со инсталирање на
апликација за Eway корисничка сметка.
- Извршување на плаќањата со токен, каде купувачите ќе можат да се логират на
страната и извршуваат плаќања без да мораат да ги внесуваат секојпат
персоналните и финансиските информации.
64
http://www.worldpay.com/about_us/index.php?page=benefits&sub=why&&c=WW 65
http://www.eway.com.au/how-it-works/what-products-are-included-.html
62
- Автоматски плаќања со интерактивен систем за препознавање на гласот (IVR).
Потрошувачите се јавуваат, ги внесуваат деталите за кредитната картичка и се
извршува плаќањето.
Eway работи на тој начин што купувачот ги внесува безбедно деталите за
картичката на веб страната на продавачот и потоа продавачот безбедно ги препратува
до Eway, каде Eway комуницира со банката за процесирање на трансакцијата и
резултатот од трансакцијата е прикажан на страната на продавачот заедно со
трансакциски маил испратен до продавачот и купувачот за да продолжи соработката.
Moneybookers
Moneybookers дигиталниот систем за плаќање на потрошувачите им понудува
одредени поволности и тоа:
- Skrill digital Wallet кој понудува безбедност и погодност за онлајн плаќања со
внесување на емаил адреса и лозинка;
- Безбедност на потрошувачите со користење на највисоките стандарди за
енкрипција со континуирано ажурирање на системот;
- Купување онлајн со што потрошувачите купуваат директно и со безбедно
внесување на деталите за картичката;
- Потрошувачите можат да добиваат готовина од 200 држави во 40 валути;
- Moneybookers Master Card припејд картичка која директно поврзува до Skrill
дигиталниот паричник;
- World Post понудува евтин, брз и безбеден превоз со онлајн следење и осигурување
исклучиво за Skrill (Moneybookers) потрошувачи;
- Испраќање и добивање на пари на интернационално ниво;
- Ниски и целосно транспарентни такси;
- Слободно и безбедно чување на депозит со Skrill корисничка сметка, со внесување
и повлекување на средства кога ќе им бидат потребни на купувачите.
63
Moneybookers за бизниси понудува:
- Moneybookers е официјално прифатен од Ebay и други аукциски платформи.
Moneybookers флексибилното решение нуди сигурни и инстант плаќања помеѓу
купувачите и продавачите, вклучувајќи ги сите потребни варијабли за купувачите
да бидат задоволни и заштитени;
- Moneybookers ги обезбедуваат продавачите со решенија за големи и мали
трансакции со заштита од измами и ризичен менаџмент;
- Понуда на сите видови интерфејси за плаќање кои обезбедуваат решенија за
плаќања за продавачите;
- Skrill му помага на дигиталните компании конвертирање на интернет сообраќај во
плаќање на потрошувачите, заштитувајќи ги продавачите од сите видови на онлајн
измами;
- Skrill веќе работи со голем број на продавачи и претставува најлесниот начин за
започнување на онлајн бизнис со овозможен пристап до сите опции за исплата и
алатки за управување со ризик преку едноставна интеграција;
- Moneybookers ги остава своите корисници да ги контролираат својата слобода за
измените кои им се потребни;
- Moneybookers тимовите за ризици и измама ја скенираат и потврдуваат безбедноста
на трансакциите со некои од најнапредните достигнувања и достапни алатки за
заштита;
- Одржување на ниски и целосно транспарентни стапки.
Ipay
Ipay претставува платежен систем за онлајн плаќање во електронската трговија.
Ipay нуди широк ранг на сервиси вклучувајќи кредитни картички, дебитни картички,
електронски чек и за бизнис-бизнис платформа и бизнис-потрошувач платформа. Сите
услуги, поддршки, процесирања, технологии и грижа за корисници се поддржани од
Planaet Payment. Ipay Gateway онлајн картички во секое време, насекаде и во секоја валута.
Кредитните картички се прифаќаат безбедно на едноставен и ефективен начин. Ipay го
64
олеснува прифаќањето на сите поважни кредитни и дебитни картички вклучувајќи Visa,
MsterCard, American Express, Discover и JCB. Исто така Ipay на своите корисници им
нуди можност да плаќаат со електронски чек или ACH ( Automated Clearing House).
Плаќаеата со ACH методи се поддржани од NACHA ( National Automated Clearing House
Association), вклучувајќи поддредени плаќања и депозит, концентрација на пари и
исплата, телефонски влез и логирање преку интернет.
Paymate
Paymate платежниот систем, претставува безбедносен платежен систем кој овозможува
прифаќање на кредитни картички онлајн и преку мобилен телефон.
Paymate на продавачите им ги нуди следните поволности66
:
- Корпорациите со Paymate можат да прифаќаат онлајн плаќања на нивната веб
страна или на Ebay.
- Преку Paymate корпорациите ги добиваат парите директно на банкарската сметка
- Paymate е поддржан од Ebay како безбедносен платежен метод, со тоа што
купувачите можат да продаваат онлајн.
- Paymate плаќањето го прават лесно за купувачите, со што купувачите од 60 држави
не е потребно да имаат Paymate корисничка сметка за да плаќаат со нивната
кредитна картичка.
- Paymate е сигурен и за купувачите и за продавачите, бидејќи се надгледува секоја
трансакција за да се превенира измама.
Наспроти поволностите за продавачите, купувачи од 60 земји можат да ги користат
своите кредитни картички за да купуваат онлајн. Купувачите плаќањето го извршуваатт со
ендоставно безбедносно внесување на деталите за кредитната картичка и го авторизираат
плаќањето. Финансиските информации се безбедни, бидејќи Paymate не ги споделува со
продавачите.
66
http://www.paymate.com/cms/
65
Paymate OnTheGo е најновата иновација за мали бизниси, кои сакаат да ги прифаќаат
плаќањата во движење. Со користењето на Paymate OnTheGo компатибилен “паметен“
телефон се претвора во безбедносен продажен терминал, кој лесно ги прифаќа плаќањата
со кредитна картичка насекаде. Оваа иновација не е скапа, заштедува време и го покажува
текот на готовината исто како да се плаќа директно на банкарска сметка.
Paymate OnTheGo се состои од два дела : “The Swiper“ и “ The App“.
- “The Swiper“ претставува уред кој се става во џекот за слушалки на “паметниот
телефон“. The Swiper ги чита информациите на кредитната картичка кога
акртичката ќе помине низ него.
- “The App“ претставува апликација која е потребно да се превземи бесплатно од
“продавницата“ за апликации. Апликацијата содржи алатки кои ги процесираат
плаќањата. Исто така малите бизниси потребно е да имаат Paymate корисничка
сметка за да се процесираат плаќањата и парите да се плаќаат директно на
банкарската сметка.
66
3.3 Безбедност на системите за плаќање
Во поглед на безбедноста на системите за плаќање, во оваа точка од овај
магистерски труд, ќе биде обработувана безбедноста која ја нудат системите на плаќање
кои се обработени во претходната точка.
Paypal системот за плаќање преку интернет претставува еден од најбезбедните
системи за плаќање во светот. Како систем за плаќање може да ги препознае проблемите
пред истите да се случат, со тоа што користи технологија за превенција од измами која
ги следи сомнителните трансакции и каде работи тим од 2000 стручни лица кои работат
за да ги заштитат корисниците на Paypal од измами и кражба на идентитет. Во овај
контекст корисниците кои испраќаат или примаат голема сума на пари се обезбедуваат
со успешно завршена трансакција преку систем за верификација. Бидејќи, основен
приоритет е сигурно чување на финансиските и персоналните информации, истите
автоматски се енкриптираат кога се испраќаат помеѓу компјутерот на корисниците и
системот на Paypal. Исто така кога корисниците се логираат на страната, интернет
пребарувачот на корисникот пребарува преку SSL протоколот и информациите се
заштитуваат од истиот со енкрипциски клуч од 168 bites.
Payza системот за плаќање ги заштитува корисниците кои го користат овај систем со
тоа што постои тим за превенција од измами кој користи “ state of art” технологија за
мониторинг на средствата кои се движат низ системот. Како и кај Paypal системот за
плаќање информациите се заштитуваат со SSL протокол со 128 bites енкрипциски клуч.
Skrill Moneybookers им нуди на своите корисници безбеден начин за трансфер на
пари онлајн без да мораат да ги внесуваат своите финансиски податоци секојпат кога ќе
извршуваат трансакции. Moneybookers има преку 25 милиони корисници и истиот е
регулиран од (FSA) United Kindom Financial Services Authority. Преку постојано
ажурирање и подобрување на системот се обезбедува високо ниво на заштита и
безбедност. Развиени се напредни технички системи за плаќање кој ќе обезбедат парите да
останат безбедни.
67
Безбедноста кај Ipay платежниот систем се согледува во тоа што се користи
безбедносен токен и за секој потрошувач генериран е уникатен токен. Со користењето
на овај безбедносен токен информациите се внесуваат еднаш, а не одделно за секое
купување и истите можат да се изменуваат во секое време. Исто така Ipay платежниот
систем понудува и 3D безбедност, каде се понудува дополнителен слој на безбедност за
онлајн трансакции со кредитни и дебитни картички со проверка дека онлајн купувачот е
всушност поседувачот на картичката. Тоа овозможува поседувачот на картичката да
креира ПИН код и истиот да биде додаден на неговата картичка.
Worldpay на своите корисници им нуди стандарден сигурносен пакет кој содржи
високо ниво на заштита, вклучувајќи:
- Чип и PIN за сите терминали
- Верификација на адреса
- Верификација на картичката
Eway платежниот систем на своите корисници им нуди најдобри SSL сертификати
и со самото тоа што е партнер на Verisign на корпорациите им нуди сертификати од
најдобрите SSL провајдери. На своите корисници Eway им нуди сигурна
инфраструктура со тоа што деталите за картичките ги чува безбедни и истите се
енкриптирани со највисоко ниво на заштита кое е достапно. Исто така Eway е
надворешно ревидиран од Stratsec (QSA) секоја година со Payment Card Industry Data
Security Standard (PCIDSS). Тоа значи дека Eway се придржува до највисоките
безбедни стандарди поставени од Visa и Mastercard.
Процесот за апликација на Paymate подлежи на ригорозни проверки за
обезбедување безбедност. Paymate испраќа емаил за потврда кога се отвора
корисничка сметка, за да се потврди идентитетот на продавачот. Paymate ги заштитува
корпорациите со што се врши мониторинг на секоја трансакција, што претставува
процес кој ги заштитува двете страни. Услугата Paymate OnTheGo користи “end-to-
end“ енкрипција со тоа што деталите за кредитната картичка не се откриваат.
68
Информациите за купувачот како е-маил адресата и други детали исто така се
доверливи и продавачот истите може да ги види само доколку купувачот одлучи
истите да бидат откирени.
69
ТРЕТ ДЕЛ
IV Глава
Методологија на истражување
1.Методи и инструменти на истражување
Истражувањето поврзано со темата на овај магистерски труд со наслов “Е-
безбедност на деловните субјекти во Република Македонија и безбедносни аспекти на
електронската трговија“ е реализирано со помош на методот на испитување, каде како
инструмент со кое е извршено пилот истражување се користи анкетен прашалник.
Анкетниот прашалник во најголема мера содржи прашања од затворен тип, кои се
претходно структуирани. Анкетниот прашалник беше испраќан преку електронска пошта
до деловните субјекти, со оглед на фактот дека електронската пошта е најбрзиот начин за
анкетниот прашалник да биде дистрибуиран до деловните субјекти, а и вооедно со
најниски трошоци. Деловните субјекти имаа можност да го одговорат прашалникот без да
бидат временски ограничени и под притисок од испитаникот.
Околу анализата на законската регулатива и националната инфраструктурата за е-
безбедност и електронска трговија во Република Македонија беа користени закони за да се
долови законодавството во Република Македонија од оваа област.
Со извршеното истражување, односно со помош на методот на испитување на
деловните субјекти во Република Македонија се доби претстава за тоа колку тие се грижат
околу безбедноста на нивните компјутерските системи, кои механизми ги користат за да
се заштитат, како и за тоа колку сметаат дека електронската трговија и електронското
плаќање се безбедни. Анкетниот прашалник беше составен од петнаесет прашања, кои во
доволна мера ја доловува безбедноста на деловните субјекти во Република Македонија, а
од аспект на законската регулатива е доловено во која мера Република Македонија ја
регулира електронската безбедност, што се смета за прекршочно дело и која е казната за
извршеното дело.
70
2. Дефинирање на хипотези
Спроведеното пилот истражување во овај магистеркски труд беше извршено со цел да
се добие претстава за тоа колку деловните субјекти во Република Македонија се
запознаени колку безбедноста на нивните компјутерски системи е важна во нивното
работење, како и тоа колку се грижат за истата.
Со истражувањето беа опфатени 30 деловни субјекти во Република Македонија кои
според бројот на вработени се класифицирани во четири групи и тоа:
Микро со 1-9 вработени
Мали со 10-49 вработени
Средни со 50-249 вработени
Големи со повеќе од 250 вработени
Од аспект на дејноста, при истражувањето се опфатени различни дејности кои
истите се класифицирани во тринаесет групи и тоа:
Текстилна индустрија
Автомобилска индустрија
Прехрамбена индустрија
Производство на софтверски решенија
Градежништво
Сечење, обликување и доработка на камен
Графичка дејност
Телевизиски и комуникациски услуги
Машинска обработка
71
Трговија
Услуги
Производство на полиетиленски производи
Производство , дистрибуција и сервис на персонални компјутери.
72
V Глава
Истражување на безбедносните аспекти на електронската трговија и е-безбедноста
на деловните субјекти во Република Македонија
1. Анализа на законската регулатива и националната инфраструктурата за е-
безбедност и електронска трговија во Република Македонија
Законската регулатива за е-безбедност и електронска трговија во Република
Македонија е регулирана со Закон за податоците во електронски облик и електронски
потпис.67
Овај закон го уредува и регулира електронското работење, каде се употребуваат
податоци во електронски облик и истите се верификувани со електронски потпис. Според
овај закон, електронскиот потпис не може да се оспори или одбие, бидејќи електронскиот
потпис кој е со квалификуван сертификат даден во врска со електронски податоци има
подеднаква важност со своерачен потпис кој се дава со хартиени документи. Единствено
електронскиот потпис нема важност на места каде што е потребен своерачен потпис.
Со овај закон исто така е забранета употребата на податоци и средства за
електронско потпишување без согласност на потписникот или носителот на сертификатот.
Според законот задолжително е да може од квалификуваниот сертификат да се утврди
дека истиот е квалификуван, име, држава на издавачот, псевдоним на носителот или
назив, пропишани податоци за која намена е издаден сертификатот, податоци за проверка
на електронскиот потпис, кога е почетокот и крајот на важење на сертификатот,
идентификационен број, ограничувања за употреба на сертификатот доколку истите
постојат и евентуални ограничувања на износот на трансакциите кои можат да се вршат со
сертификатот. Сертификатот се издава на основа на документ за идентификација и тоа
лична карта или пасош за физички лица и за правните лица регистрација на фирмата.
Издавачот кој издава квалификувани сертификати е должен да употребува системи
и опрема која што ќе обезбедува техничка и криптографска сигурност за гарантирана
безбедност и доверливост на податоците. Околу чувањето на сертификатите, потребно е
67
Службен весник на Р. Македонија бр.34 од 03.05.2001 година
73
да се користат безбедни системи и со истите да може да се провери автентичноста на
сетификатот, достапност со сертификатот ако е дозволено од носителот, овластени лица
да можат да внесуваат нови податоци или веќе постоечките да ги изменуваат, како и тоа
корисникот на едноставен начин да може да ги забележува промените кои би го загрозиле
исполнувањето на условите.
Издавачите на сертификати во Република Македонија се заведени во регистар кој
го води Министерството за финансии. Исто така и издавачите од странство може да се
регистрираат во регистарот кој го води Република Македонија само доколку нивните
сертификати се признаваат во Република Македонија. Регистарот се потпишува со општо
прифатлив електронски потпис чиј квалификуван сертификат се објавува во “Службен
весник на Република Македонија“.68
За општо прифатливото електронско потпишување се користат средства кои треба
да обезбедат дека податоците за електронското потпишување се единствени, сигурни и
доверливи и истите да не можат да се добијат во разумно време и со разумни средства,
електронскиот потпис да биде заштитен од фалсификување со употреба на достапна
технологија, како и тоа потписникот да може сигурно да ги сочува податоците од
неовластен пристап.
Надзорот на квалификуваните сертификати го извршува Министерството за
финансии и при надзорот проверува дали условите од законот како и сите подзаконски
акти се содржани во правилниците на издавачот на квалификувани сертификати, дали
издавачот цело време ги исполнува сите услови, како и правилниците, дали е запазена
постапката при издавање на сертификатите, законитоста на издавање, чување и
поништување на сертификатот како и законитоста на давањето на други услови на
издавачот. Само оние издавачи кои ќе докажат дека ги исполнуваат сите услови заедно со
подзкаонските акти, како издавачите од Република Македонија, така и издавачите од
странство на кои сертификатите се важечки во нашата земја, можат да се запишат во
регистарот на акредитирани издавачи и да ја вршат својата дејност користејќи ја назнаката
68
Службен весник на Р. Македонија бр.34 од 03.05.2001 година
74
акредитиран издавач и истата да ја стават во својот сертификат. Министерството за
финансии ја врши функцијата на акредитациски орган кој ги пропишува начините и
постапклата за акредитирање на издавачите, обликот и формата на знакот за акредитиран
издавач и истиот води јавен електронски регистар на акредитирани издавачи.
Акредитацискиот орган покрај тоа што врши надзор и превзема мерки доколку
издавачите не се придржуваат кон условите на законот, како и тоа дали се запазени
постапките при издавање на квалификуваните сертификати, законитоста при издавање,
чување и поништување на сертификатите, исто така издава и препораки и стандарди за
работа на акредитираните издавачи. Акредитацискиот орган може да препорача да се
менуваат правилата на акредитираниот издавач и престанок на употреба на неадекватни
постапки. Доколку акредитираниот издавач не постапува по препораките на
Акредитацискиот орган, истиот со решение ќе го избрише од регистарот на
акредитираните издавачи, но на ова решение акредитираниот издавач може да поднесе
жалба која се доставува и истата се разгледува од надлежната Комисија на Владата на
Република Македонија за решавање на управни работи од втор степен и нејзиното
решение е конечно.
Со Законот за електронска трговија исто така е регулирана е-безбедноста во
Република Македонија. Предмет на уредување на Законот за електронска трговија
претставуваат услугите на информатичкото општество кои се поврзани со електронската
трговија, одговорностите кои ги сносат давателите на тие услуги, комерцијалната
комуникација и правилата врз основа на кои се склучуваат договорите во електронски
облик.69
Врз основа на дадената дефиниција за тоа што претставува предмет на на овај
Закон, пооделно ќе бидат објаснети сите термини кои се споменуваат.
Под услуги на информатичко општество подетално се мисли на услуги кои се
обезбедуваат за надомест на далечина, каде услугата се обезбедува без истовремено
присуство на двете страни, на лично барање на примателот на услугата и тоа преку
електронски средства.
69
Сл.Весник на Р.Македонија бр. 133 од 02.11.2007 година
75
Давател на услуги на информатичко општество може да биде секое физичко или
правно лице, меѓутоа физичкото или правното лице потребно е да основаат трговско
друштво на неопределено време во Република Македонија. Од другата страна во
комерцијалната комуникација се јавува примателот на услугите, кој исто така може да
биде секое физичко или правно лице, кое од свои причини ги користи овие услуги.
Комуникацијата помеѓу овие две страни, давателот на услугите и примателот на услугите,
уште е наречена комерцијална комуникација и истата претставува форма на комуникација
која се создава со таа цел директно или индиректно да се промовираат производи, услуги
или пак углед на некое лице кое врши трговска или занаетчиска дејност или на трговско
друштво.
И како последен термин кој произлегува од оваа дефиниција, претставува
договорот во електронски облик кој го склучуваат правните или физичките лица и истиот
го прифаќаат, примаат, раскинуваат, откажуваат и го покажуваат по електронски пат.
Договорот кој се склучува по електронски пат се смета за полноважен и во случаевите
каде што е потребен потпис, се смета за важечки електронскиот потпис, доколку истиот ги
исполнува прописите кои се зададени за важноста на електронскиот потпис. Меѓутоа
договорот склучен по електронски пат не се применува во случаевите каде се вклучува
судот, нотари и слични професии.
По однос на нарачката која претставува дел од договорот, примателот на услугата,
кога ја прави нарачката должен е да побара да му се достави потврда за прием на
нарачката. Потврдата од страна на давателот на услугата треба да биде доставена по
електронски пат и тоа без одлагање. За примателот на услугите потребно е да постои
можност да ги поправи погрешно внесените податоци и тоа пред да ја направи порачката,
а за тоа давателот на услугите должен е да стави на располагање технички средства со кои
примателот на нарачката може да ги препознае погрешно внесените податоци и истите да
ги поправи. Според член 13 од овај Закон, нарачката, како и потврдата за прием се сметаат
за примени во моментот кога му се достапни на страните до кои се адресирани.70
70
Сл.Весник на Р.Македонија бр. 133 од 02.11.2007 година
76
Спроведувањето на Законот за електронска трговија е под надзор на
Министерството за економија, Министерството за транскоп и врски и Агенцијата за
електронски комуникации, додека инспекцискиот надзор го врши Државниот пазарен
инспекторат и Агенцијата за електронски комуникации.
Казната за извршеното прекршочно дело, спротивно на овај Закон се движи од
5000 до 8000 евра за давателот на услугите и тоа доколку не ги обезбеди потребните
информации на примателот на услугите како што се името или фирмата на давателот на
услугите, неговото седиште, податоци за давателот на услугата со кои ќе може да стапи во
контакт како и електронска адреса, решение кое докажува дека е запишан во Централниот
регистар на Република Македонија, податоци од надлежен орган, доколку давателот на
услуги има обврски да издава лиценци или други одобренија како и даночен број доколку
е обврзник на ДДВ, доколку информациите за склучување на договорот кој треба да биде
разбирлив и недвосмислен , а тие информации се однесуваат на технички постапки кои е
потребно да се следат за да се склучи договорот, содржината на договорот, општи услови
на работење, дали договорот ќе биде архивиран и достапен, технички средства за
препознавање и поправање на погрешно внесените податоци, како и јазиците кои се
понудени. Казната од 5000 до 8000 евра се однесува и на тоа доколку давателот на
услугите не обезбеди пристап до одредбите од договорот на начин кој ќе овозможи
складирање и репродуцирање на истите, доколку не ги извршува обврските да ги
индормира надлежните органи доколку постои основано сомнение примателот на
неговите услуги да превзема недозволени активности и ако постои основано сомнение
дека примателот на неговите услуги давал погрешни податоци и тоа до надлежните
органи да достави информации кои ќе овозможат идентификација на примателот на
услугите. Со иста парична казна се казнува давателот на услугите доколку не овозможи
пристап до електронската опрема и уреди без одлагање и не ги достави потребните
податоци и документација врз основа на кои се врши Инспекциски надзор.
Покрај паричната казна на правното лице како давател на услуги на
информатичкото општество и на одговорното лице во тој правен субјект им се извршува
прекршочна санкција забрана за вршење должност во рок од една до пет години.
77
Покрај Законот за податоците во електронски облик и електронски потпис и
Законот за електронска трговија, со Кривичниот законик на Република Македонија се
опфатени и некои основни компјутерски казнени дела. Членот 149 од Кривичниот законик
се однесува на злоупотребата на личните податоци. Оваа законска одредба има став 1 и
став 2, каде став 1 се однесува на прибирање, обработување и користење на лични
податоци на некое лице, без претходна согласност од тоа лице. Додека пак, став 2 се
однесува на тоа одредено лице да навлегува во компјутерски информационен систем на
лични податоци со намера со нивното користење, да наштети некому или да оствари за
себе некаква имотна корист.71
За овие дела од став 1 и став 2 пропишана е парична казна
од една година.
Со членот 151 од Кривичниот Закон, регулирано е неовластеното
прислушкување и тонско снимање. Членот 151 се состои од шест става, според кои
казната за ова кривично дела би изнесувала од една до три години.
Членот 251-а од Кривичниот Закон, се однесува на правење и внесеување на
компјутерски вируси. Казненото дело се однесува на правење на компјутерски вирус или
внесување на компјутерски вирус во туѓ компјутер или мрежа. За да претставува казнено
дело, вирусот треба да биде направен со намера за внесување во туѓ компјутер или
компјутерска мрежа. Меѓутоа и внесувањето на компјутерскиот вирус во компјутерот или
компјутерската мрежа, претставува облик на кривично дело. Сепак и два случаи се
сметаат за казнени дела, само доколку постои умисла за тоа да се направи.
Како надополнување на членот 251- а, претставува членот 251-б кој се
однесува на компјутерска измама. По дефиниција “ компјутерска измама претставува
внесување на невистинити податоци како и извршување на фалсификат на електронски
потпис или друг вид на измама која би имала значително влијание врз резултатите од
електронската обработка и преносот на податоците.“72
При извршувањето на овај основен
71
Тупанчески Никола, Кривична одговорност на правните лица со посебен осврт на кривичните дела од
чл.157 од КЗ на РМ (Повреда на авторско право и сродни права) и чл.286 од КЗ на РМ (Неовластена
употреба на туѓ пронајдок или софтвер) 72
Тупанчески Никола, Кривична одговорност на правните лица со посебен осврт на кривичните дела од
чл.157 од КЗ на РМ (Повреда на авторско право и сродни права) и чл.286 од КЗ на РМ (Неовластена
употреба на туѓ пронајдок или софтвер)
78
облик на делото се добива парична казна или затвор до 3 години. Како и во членот 251-а и
во овај член неопходна е намерата на извршителот на кривичното дело.
2. Емпириско истражување на е-безбедноста на деловните субјекти во Република
Македонија
Замислата на ова истражување претставуваше тоа да бидат опафтени деловни
субјекти од повеќето поголеми градови на Република Македонија и анкетните
прашалници беа доставени низ целата држава, но повратен одговор е добиен само од
Битола, Скопје, Прилеп и Виница. На анкетниот прашалник од Битолскиот регион,
одговор се доби од 25 деловни субјекти што претставува 81% од вкупно анкетираните
субјекти, 4 повратни одговори од главниот град на Република Македонија, Скопје или
13% од вкупно анкетираните иако беа испратени најголем број на прашалници во
главниот град со оглед на тоа што најголемите деловни субјекти се стационирани токму во
Скопје, еден деловен субјект од Прилеп кој претставува 3% од вкупно анкетираните и
еден деловен субјект од Виница и исто така претставува 3% од вкупно анкетираните.
1. Дистрибуција на деловните субјекти според локацијата
Табела 1. Дистрибуција на деловните субјекти според локацијата
Битола 25 81%
Прилеп 1 3%
Скопје 4 13%
Виница 1 3%
Вкупно 31 100
79
Графикон 1. Дистрибуција на деловните субјекти според локацијатa
2. Структура на деловните субјекти според дејноста
Од аспект на дејноста, опфатени се повеќе дејности и тоа: Текстилна
индустрија во која спаѓаат два деловни субјекта и опфаќаат 7% од вкупните испитаници,
Автомобилска индустрија каде е е опфатен еден деловен субјект, производител на делови
за автомобили и процентуално прикажано од вкупните испитаници претставува 3%,
Прехрамбената индустрија која го содржи најголемиот дел од испитаниците и тоа 6 со
19% од вкупните испитаници и тука се опфатени производители на безалкохолни и
алкохолни пијалоци, производство на сирење и млечни производи, кондитории,
производство на замрзната храна и производители на конзервирани производи,
Производството на софтверски решенија како дејност опфаќа 13% од испитаниците со
опфатени 4 деловни субјекти, Сечење, обликување и доработка на камен со 2 деловни
субјекта и 7% од вкупните испитаници, Графичка дејност исто така со опфатени 2 деловни
субјекта и 7% од вкупните испитаници, Телевизиски и комуникациски услуги со еден
деловен субјект, како и Машинска обработка, Производство на полиетиленски производи
и Производство, дистрибуција и сервис на персонални компјутери со по еден деловен
субјекти и 3 % од испитаниците, во Трговијата како дејност опфатени се 5 деловни
субјекти или 16% и Услугите со 3 деловни субјекти или 10% од вкупните испитаници.
80
Текстилна индустрија 2 7%
Автомобилска индустрија 1 3%
Прехрамбена индустрија 6 19%
Производство на софтверски решенија 4 13%
Градежништво 2 7%
Сечење, обликување и доработка на камен 2 7%
Графичка дејност 2 6%
Телевизиски и комуникациски услуги 1 3%
Машинска обработка 1 3%
Трговија 5 16%
Услуги 3 10%
Производство на полиетиленски производи 1 3%
Производство, дистрибуција и сервис на персонални компјутери 1 3%
Вкупно 31 100%
Табела 2. Структура на деловните субјекти според дејноста
81
Графикон 2. Структура на деловните субјекти според дејноста
3. Структура на деловните субјекти според бројот на вработени
Во анкетното истражување опфатени се четири групи на деловни субјекти
според бројот на вработени и тоа:
Микро со вработени од 1-9 лица
Мали со вработени од 10-49 лица
Средни со вработени од 50-249 лица
82
Големи со вработени на над 250 лица
Одговор на извршеното истражување дадоа 9 микро фирми кои сочинуваат
29% од вкупниот број на деловни субјекти кои се опфатени со истражувањето, 7 мали
фирми или 22 %, 7 средни фирми или 23% од вкупните испитаници и 8 големи фирми или
26% од испитаниците.
Микро 9 29%
Мали 7 22%
Средни 7 23%
Големи 8 26%
Вкупно 31 100%
Табела 3. Структура на деловните субјекти според бројот на вработени
Графикон 3. Структура на деловните субјекти според бројот на вработени
83
4. Дали во вашата компанија имате ИТ сектор?
На прашањето дали во нивната компанија имаат ИТ сектор, 16 деловни
субјекти одговориле дека во нивните компании имаат ИТ сектор, што претставува 52% , а
15 деловни субјекти одговориле дека немаат ИТ сектор или тоа би претставувало 48% од
вкупните испитаници. Од извршената анализа на прашалниците компаниите кои
одговориле дека имаат ИТ сектор се претежно големи или средни деловни субјекти,
меѓутоа и некои од малите компании одговориле дека имаат ИТ сектор, а некои
одговориле дека ангажираат екстерни стручни лица за одржување на нивните системи.
Одговорите на ова прашање доведуваат до еден заклучок дека и големите и малите
компании се свесни за одржување на нивните компјутерски системи.
Да 16 52%
Не 15 48%
Вкупно 31 100%
Табела 4. ИТ сектор во компаниите
Графикон 4. ИТ сектор во компаниите
84
5. Дали вработените во вашата компанија при реализација на
секојдневните активности користат интернет?
По однос на ова прашање, а прикажано и поддолу во табелата и графиконот
27 компании одговориле потврдно дека вработените при реализација на секојдневните
активности користат интернет или тоа би претствувало 87%, ниеден деловен субјект не
одговорил дека вработените во нивната компанија не користат интернет, а само 4 деловни
субјекти одговориле дека делумно нивните вработени користат интернет при реализација
на секојдневните активности. Со самото тоа што сите вкупно 31 деловни субјекти
опфатени во ова истражување користат интернет при реализација на секојдневните
активности, се покажува зависноста од интернетот на сите компании. Во денешното
информатичко опкружување, работењето без интернет е незамисливо, бидејќи сите
компании за различни активности го користат интернетот, без разлика дали станува збор
за рекламирање, порачки, контакт со потрошувачите и сл.
Табела 5. Користење на интернет од страна на вработените за реализација на
секојдневните активности
Да 27 87%
Не 0 0%
Делумно 4 13%
Вкупно 31 100%
85
Графикон 5. Користење на интернет од страна на вработените за реализација на
секојдневните активности
6. Дали вашата компанија има поставено одредени процедури за заштита?
На прашањето дали деловните субјекти имаат поставено одредени процедури
за заштита, 26 деловни субјекти одговориле дека имаат поставено процедури за заштита и
тоа претставува 84 % , а само 5 деловни субјекти одговориле дека немаат поставено
одредени процедури за заштита или тоа би било 16% од вкупно анкетираните деловни
субјекти. И во однос на ова прашање, голем е процентот на компании каде е развиена
свесноста за нападите од вработените или така наречени “ внатрешни напади“, каде
вработените можат да ги злоупотребат доверливите информации на компанијата. Со
поставувањето на одредени процедури за заштита, само одредени доверливи лица можат
да имат достапност до доверливите информации и на тој начин истите ги заштитуваат.
Само 16 % одговориле дека немаат поставено процедури за заштита и од извршената
анализа на одговорите тие се микро претпријатија и тоа од дејност на трговијата, каде е
многу мал бројот на вработени.
86
Табела 6. Поставеност на процедури за заштита во компаниите
Графикон 6. Поставеност на процедури за заштита во компаниите
7. Дали користите антивирусни програми за заштита на компјутерските
системи?
Во поглед на користењето на антивирусни програми за заштита на
компјутерскте системи, 30 деловни субјекти одговориле дека користат антивирусни
програми или тоа би претставувало 97%, а само еден деловен субјект одговорил дека не
користат антивирусни програми за заштита на компјутерските системи, што би
претставувало 3% од вкупните испитаници. Големиот процент од 97% покажува дека
деловните субјекти во Република Македонија се запознаени со корисноста на
Да 26 84%
Не 5 16%
Вкупно 31 100%
87
антивирусните програми за заштита на нивните компјутерски системи и дека со нивното
користење ја зголемуваат безбедноста на компјутерските системи и доколку истите не би
ги користеле, ќе се соочат со штетите кои можат да ги предизвикаат малициозните
софтвери врз компјутерските системи. Од целокупната анализа може да се заклучи дека
користењето на антивирусни програми претставува основен безбедносен механизам за да
ги заштитат своите компјутерски системи.
Да 30 97%
Не 1 3%
Вкупно 31 100%
Табела 7. Користење на антивирусни програми за заштита на компјутерските системи на
компаниите
Графикон 7. Користење на антивирусни програми за заштита на компјутерските
системи на компаниите
88
8. Доколку користите софтвер за заштита дали истиот е лиценциран?
Како надополнување на претходното прашање дали компаниите користат
антивирусен софтвер за заштита на компјутерските системи, следува прашањето дали
истиот е лиценциран, каде 25 од деловните субјекти кои користат антивирусен софтвер е
лпиценциран или процентуално прикажано 83%, а само 5 деловни субјекти или 17% не
користат лиценциран антивирусен софтвер. Поголемиот процент од испитаниците или тоа
би било 83% се свесни за предностите кои ги нуди лиценцираниот софтвер, па затоа и
вложуваат во него, со цел да користат најнови верзии на антивирусни програми, каде се
внесуваат најновите вирусни дефиниции и нудат поголема заштита. Меѓу овие деловни
субјекти има и такви кои користат бесплатни антивирусни софтвери, но сепак истите им
нудат заштита на нивните компјутерски системи.
Да 25 83%
Не 5 17%
Вкупно 30 100%
Табела 8. Користење на лиценциран софтвер од страна на компаниите
Графикон 8. Користење на лиценциран софтвер од страна на компаниите
89
9. Какви други типови на безбедносни механизми користите за заштита на
компјутерските системи?
Прашањето какви други типови на безбедносни механизми користат
деловните субјекти за заштита на компјутерските системи, претставуваше прашање од
отворен тип каде беа дадени малку одговори. Само некои од деловните субјекти го
одговориле ова прашање, а повеќето и не се доволно запознаени какви механизми се
користат во нивната компанија или какви механизми поставил екстерното стручно лице.
Табеларно се претставени одговорите на деловните субјекти:
Процедури за физички пристап 4
Систем на привилегии на корисниците со лозинки 2
Редовен back up на податоците 4
Обука на корисниците 1
VPN - Виртуелни приватни мрежи 1
Екстерен систем администратор 1
Firewall 4
Мрежен систем за контрола на пристап на корисници 1
Proxy 1
Хардверска заштита: UPS, Power Protector 1
Data Storage 1
Апликативен софтвер за заштита на базата на податоци 1
Табела 9. Механизми кои компаниите ги користат за заштита на компјутерските системи
Деловните субјекти кои го одговориле ова прашање, табеларно претставените
механизми за заштита на нивните компјутерски системи ги користат повеќе во
комбинација. Од табеларно прикажаните безбедносни механизми кои ги користат
деловните субјекти може да се заклучи дека покрај антивирусните програми кои се
најповеќе користени, следни се процедурите за физички пристап, редовниот back up на
податоците и користењето на firewall.
90
10. Дали безбедноста на вашите компјутерски системи на било кој начин
била загрозена?
По однос на ова прашање, 12 деловни субјекти одговориле дека безбедноста
на нивните компјутерски системи била загрозена, што процентуално изразено би било
37%, а 20 деловни субјекти или 63% одговориле дека безбедноста на нивните
компјутерски системи не била загрозена. Повторно е извршена поединечна анализа на
одговорите, што доведува до фактот дека загрозена е безбедноста на компјутерските
системи кај големите и средните претпријатија, од каде можат да се извлечат корисни
информации и каде е поголем бројот на вработени кои од невнимание или недоволна
запознаеност со оваа проблематика ги “заразуваат“ компјутерските системи со
малициозни кодови, кои понатаму нанесуваат дополнителни штети, а како што е објаснето
во точката од овај труд за малициозен софтвер, овие малициозни кодови можат да доведат
до уништување на цели датотеки.
Да 12 37%
Не 20 63%
Вкупно 31 100%
Табела 10. Загрозеност на безбедноста на компјутерските системи на компаниите
91
Графикон 10. Загрозеност на безбедноста на компјутерските системи на компаниите
11. Доколку била загрозена безбедноста на компјутерските системи, поради
што мислите дека се должи тоа?
Во претходното прашање, кое гласеше дали безбедноста на компјутерските
системи на било кој начин им била загрозена на деловните субјекти, само 12 одговориле
дека безбедноста била загрозена. Ова прашање се надоврзува на претходното каде се
наведени можните причини поради кои безбедноста на нивните компјутерски системи
била нарушена. Од добиените 12 одговори, 3 компании одговориле дека безбедноста на
нивните компјутерски системи била како последица на лошо дефинирани безбедносни
процедури или тоа би претставувало 25 % од вкупно дадени одговори, 4 деловни субјекти
одговориле дела последицата за нарушување на безбедноста претставува нивниот лош
антивирусен софтвер или процентуално искажано 33 % и 5 компании наведуваат дека од
други причини е загрозена безбедноста на компјутерските системи или тоа би биле 42% од
дадените одговори. До овај понуден одговор, на деловните субјекти им е оставен простор
да наведат кои се причините за нарушување на безбедноста но никој не одговори и се
држеја до опцијата “ друго“.
92
Лошо дефинирани безбедносни процедури 3 25%
Лош антивирусен софтвер 4 33%
Друго 5 42%
Вкупно 12 100%
Табела 11. Причини поради кои била загрозена безбедноста на компјутерските системи
Графикон 11. Причини поради кои била загрозена безбедноста на компјутерските
системи
12. Дали сте свесни за штетите кои можат да ги предизвикаат малициозните
софтвери врз вашата компанија?
По однос на ова прашање, дали компаниите се свесни за штетите кои можат
да ги предизвикаат малициозните софтвери врз нивната компанија, добиени се 29
одговори со да или 94%, а само 2 одговори со не или 6%. Овај процент од 94% е
очекуван, бидејќи и големите и средните и малите компании одговориле дека користат
антивирусни програми. Останатите 6% се микро компании, кои недоволно се запознаени
93
со оваа проблематика. Дел од деловните субјекти кои одговориле дека се свесни за
штетите кои ги нанесуваат малициозните софтвери, ги имаат и увидено тие штети со
самото тоа што претходно одговориле дека безбедноста на нивните компјутерски системи
била загрозена како последица на лош антивирусен софтвер.
Да 29 94%
Не 2 6%
Вкупно 31 100%
Табела 12. Свесност на компаниите за штетите кои можат да настанат како
последица на малициозните софтвери
Графикон 12. Свесност на компаниите за штетите кои можат да настанат како
последица на малициозните софтвери
94
13. Дали вашата компанија ги нуди своите производи преку интернет?
На прашањето дали компанниите ги нудат своите производи на интернет, 14
деловни субјекти одговориле дека ги нудат своите производи на интернет, а 17 од
испитаниците дека не ги понудуваат своите производи на интернет. Или процентуално
како што е прикажано на графиконот 45% ги нудат своите производи на интернет, а 55%
од компаниите сеуште не ги нудат своите производи на интернет. Некои од компаниите
подетално имаат објаснето дека своите производи ги нудат само за маркетиншки цели, а
не и за продажба. Додека пак, деловните субјекти од прехрамбената индустрија своите
производи ги понудуваат исклучително преку дистрибутивна мрежа. Наспроти
компаниите кои ги нудат своите производи на интернет, поголем е процентот на
компаниите или 55 % кои не ги нудат своите производи на интернет и се држат до
традиционалниот начин на продажба.
Да 14 45%
Не 17 55%
Вкупно 31 100%
Табела 13. Колку комапниите ги нудат своите производи преку интернет
95
Графикон 13. Колку комапниите ги нудат своите прозиводи преку интернет
14. Дали сметате дека е-безбедноста претставува клучен фактор за да ги
нудите вашите производи на интернет?
По однос на ова прашање, 16 компании сметаат дека е-безбедноста
претставува клучен фактор за да ги нудат своите производи на интернет или тоа би било
52% од вкупните испитаници, а 15 компании или 48% сметаат дека е-безбедноста не
претставува клучен фактор за да ги нудат своите производи на интернет. Со оглед на тоа
што повеќе компании одговориле дека сметаат дека е-безбедноста претставува клучен
фактор за да ги нудат своите производи на интернет, кај овие компании сеуште
интернетот влева недоверба или не се доволно запознаени со неговите предности и
начините кои можат да доведат до безбедна е-трговија. Наспроти нив, компаниите кои
сметаат дека е-безбедноста не претставува клучен фактор за да ги нудат своите производи
на интернет веќе го користат интернетот како глобален пазар за нудење на своите
производи.
96
Да 16 52%
Не 15 48%
Вкупно 31 100%
Табела14. Е-безбедноста како клучен фактор за компаниите да ги понудуваат
своите производи на интернет.
Графикон 14. Е-безбедноста како клучен фактор за компаниите да ги понудуваат
своите производи на интернет
15. Дали вашата компанија има купено производи преку интернет?
На прашањето дали компаниите имаат купено производи преку интернет 15
компании или 48% одговориле дека имаат купено производи преку интернет, што
покажува дека се запознаени со начините на кои може да се купува преку интернет и
електронската трговија ја сметаат за безбедна, без разлика дали целосно или делумно. Од
97
вкупно 31 деловни субјекти 52% или 16 деловни субјекти одговориле дека немаат купено
производи на интернет, што доведува до заклучок дека наспроти тие што имаат купувано
производи преку интернет, не се запознаени со начините за купување преку интернет или
стравуваат од интернет измами и електронската трговија ја сметаат за недоволно безбедна
за да се впуштаат во “ризик“.
Да 15 48%
Не 16 52%
Вкупно 31 100%
Табела 15. Купување на производи преку интернет
Гафикон 15. Купување на производи преку интернет
98
16. Колку сметате дека електронската трговија и електронското плаќање се
безбедни?
Електронската трговија и електронското плаќање завземаат голем замав во
последните години, па затоа на компаниите им беше поставено прашањето колку сметаат
дека електронската трговија и електронското плаќање се безбедни. На ова прашање 23%
од испитаниицте или апсолутно прикажано 7 деловни субјекти сметаат дека се потполно
безбедни електронската трговија и електронското плаќање, 77 % или 24 деловни субјекти
сметаат дека се делумно безбедни, додека пак 0% или ниеден деловен субјект не сметаат
дека не се безбедни. Најголемиот процент од 77% кои сметаат дека електронската трговија
и електронското плаќање се делумно безбедни доведува до фактот дека деловните
субјекти во Република Македонија сеуште немаат доволно доверба во можностите кои ги
нуди интернетот и електронската трговија за водење на е-бизнис. Сепак добар е фактот
што 0% или ниеден деловен субјект не сметаат дека не се безбедни, што овозможува
електронската трговија да оди во нагорна линија.
Потполно безбедни 7 23%
Делумно безбедни 24 77%
Не се безбедни 0 0%
Вкупно 31 100%
Табела 16. Безбедност на електронската трговија и електронското плаќање
99
Графикон 16. Безбедност на електронската трговија и електронското плаќање
И како последна анализа на оваа истражување, направена е споредба на
четири сродни прашања кои табеларно се прикажани. Целта на оваа споредување е да се
прикаже кај колку од компаниите кои иако користат антивирусен софтвер, безбедноста на
нивната компјутерски системи е загрозена и дали причината за тоа претставувала
антивирусниот софтвер.
Број на компании кои користат антивирусен софтвер 30
Број на компании каде безбедноста била загрозена 12
Број на компании каде причината претставувала антивирусниот софтвер 4
Број на компании каде причината претставувала лошо дефинирани безбедносни процедури 3
Табела. 17 Споредба помеѓу сродни прашања
Како што е прикажано и во табелата, 30 анкетирани компании одговориле
дека користат антивирусен софтвер, 12 компании дале одговор дека нивната безбедност на
некој начин била загрозена, од кои само 7 ја наведоја причината поради која нивната
безбедност била загрозена. Од тие 7 компании, 4 компании како причина поради која е
загрозена нивната безбедност го наведуваат нивниот антивирусен софтвер, што покажува
на фактот дека нивната верзија на антивирусен софтвер не доведувала до доволно ниво на
безбедност, бидејќи и во овај магистерски труд во делот за антивирусен софтвер наведено
е дека антивирусната програма треба постојано да се ажурира и да се извршува “update”
100
на истата. Во оваа бројка од 4 компании кои одговориле дека нивната безбедност спаѓа и
компанија која не користела лиценциран антивирусен софтвер, што уште повеќе укажува
на фактот дека лиценцираниот софтвер нуди поголема заштита, бидејќи ги содржи
најновите верзии на антивирусни програми, каде се внесуваат најновите дефинииции за
вирусите кои секојдневно се креираат и со тоа заштитата на компјутерските системи се
зголемува. Останатите 3 компании како причина за нарушување на безбедноста на
нивните компјутерски системи ја наведуваат лошата дефинираност на безбедносните
процедури, што укажува на фактот дека и внатрешните напади од страна на вработените
претсавуваат закана која не треба да биде игнорирана. Безбедносните политики треба да
бидат внимателно дефинирани, како и одговорностите кои се доделуваат на вработените.
Пристапот до доверливите информации треба да го имаат одговорните лица, а не и
вработените кои не ја сносат таа одговорност со што би се избегнале внатрешните напади.
101
Заклучок
Врз основа на теоретскиот и истражувачкиот дел при изработката на овај
магистерски труд се дојде до одредени заклучни согледувања кои дополнително ја
обајаснуваат оваа проблематика.
1. Денес се повеќе деловните субјекти се впуштаат во електронската трговија со
оглед на фактот дека интернетот претставува можност за глобална трговија,
која е погодна за пренос на информации по ниска цена.
Секоја информација која се пренесува преку мрежата е вредна и затоа е важно
истата да е заштитина. Системите кои се користат во електронската трговија се
трансакциско-обработувачки и безбедноста на овие системи се базираат на
автентичноста каде се утврдува идентитетот на корисникот и авторизацијата
која претставува што им е дозволено на најавените корисници да направат.
Исто така безбедносната инфраструктура потребно е поседува некои основни
способности како што се идентификацијата, овластување, средства за заштита,
отчетност, безбедносни политики, осигурување како и постојана достапност до
системот. Неоспорен е фактот дека довербата е клучот за успехот на е-бизнисот
и недостатокот од доверба претставува проблем кон патот кон успехот и затоа
потребно е двете страни да чувствуваат доверба која треба да биде основана и
присутна постојано во извршувањето на трансакциските активности на
бизнисот.
2. Безбедноста на електронската трговија ја карактеризираат шест компоненти кои
е потребно да се заштитуваат за да се постигне определено ниво на безбедност.
Доверливоста како една од компонентите претставува ограничен пристап за
неовластени лица или обратно кажано достапност на информациите за
овластени лица. Секоја неовластена употреба на информациите претставува
нарушување на приватноста и оттука произлегува потребата трговецот да ја
зачува приватноста на купувачите, односно нивните податоци да бидат
заштитени. Исто така во процесот на транзит на информациите, истите може да
бидат пресретнати и изменати, затоа интегритетот на податоците претставува
102
уверување дека пораката која е добиена е идентична со пораката која што е
испратена и истиот се постигнува со едноставно правење на “ back up “ на
податоците за нивна обнова, а заштитните ѕидови заштитуваат од неовластен
пристап до податоците. Автентичноста како компонента за безбедност на
електронската трговија бара од корисниците докажување на идентитетот и тоа
преку лозинки, смарт картички или пак со отпечаток од прст. На бизнис
сопствениците од посебна важност му претставува тоа да на нивните корисници
одредени информации да му се достапни кога тоа им е потребно. Во овај поглед
потребно е да се превземат мерки за да се спречи прекин на услугата на
сервисите од можни прекини во напојувањето, хардверски грешки, и надградби
на системот и тие мерки вклучуваат back up на податоците, уреди за
непрекинато напојување (UPS) и антивирусни програми. И како последна
компонента, неотповикливоста се однесува на способноста да се обезбеди
сигурност дека учесниците во е-трговијата не ги отповикуваат своите
активности, односно поединците мора да ги исполнуваат своите обврски кон
договорот. Како решение за неотповикливоста се зема во предвид користењето
на дигиталниот потпис и енкрипцијата.
3. Во поглед на заканите и ризиците кои се јавуваат во електронската трговија,
истите се поделени се во три групи и тоа закани кои се однесуваат на напани да
мрежата, закани кои се однесуваат на клиентот и закани кои се однесуваат на
серверот. Заканите кои се однесуваат на мрежата се однесуваат на следење на
мрежниот сообраќај, што претставуваат програми или sniffer пакети се
прислушкувачки уреди кои навлегуваат во компјутерски мрежи и го
прислушкуваат мрежниот сообраќај. Овие пакети можат да бидат легални кои
се користат за да се помогне да се обезбеди мрежна безбедности нелегални кои
се користат од страна на хакерите за да добијат неовластен пристап до
чувствителни информации и податоци на мрежата. Компоненти на
прислушкувачкиот пакет претставуваат: хардвер, драјвер за снимање,
привремена меморија, декодирање и пакет за уредување. Во однос на заканите
кои се однесуваат на клиентот, постојат три видови на закани и тоа: phishing
кражба на лични податоци, измама со кредитни картички и pharming измама,
103
злонамерен софтвер, непосакувани програми што ја загрозуваат безбедноста на
компјутерските системи и сајбер вандализам како закана за безбедноста на
интернет. Фишинг претставува метод на измама преку електронска пошта во
кој измамникот испраќа легитимен на изглед е-маил со намера да добие
персонални или финансиски податоци од примателите. Измамата со кредитни
картички, претставува најчестата причина поради која се оспоруваат
трансакциите на интернет. Купувачите стравуваат дека ќе бидат измамени,
односно дека информациите од нивните кредитни картички ќе бидат украдени.
Меѓутоа овој страв на купувачите е неоснован, бидејќи веројатноста да се
украдат информациите преку вршењето трансакции е помала, за разлика од
систематското хакирање и крадењето на корпоративни сервери каде што се
складирани информациите за купувањето со кредитни картички. Pharming е
измамничка пракса во која злонамерен код кој е инсталиран на персонален
компјутер или сервер, кој погрешно ги упатува корисниците да лажни веб
сајтови без нивно знаење или согласност. Злонамерните софтвери претставуваат
софтвери кои се конструирани за да нанесат штета на крајниот корисник, а кои
вклучуваат мноштво од закани, како компјутерски вируси, црви, тројанци и
роботски мрежи. Непосакуваните програми исто така ја загрозуваат
безбедноста на компјутерските системи. Овие несакани програми најчесто се
наоѓаат на страните на социјалните мрежи и на останатите страни со популарни
содржини, каде корисникот се намамува да ги превземе. Рекламен софтвер
(adware) - преставува софтвер кој е финансиски поддржан или финансиски
поддржува друга програма, со прикажување на реклами кога корисникот е
поврзан на интернет. Пребарувачки паразит (Browser hijacking software) –
преставува програма којашто може да ги надгледува и менува подесувањата на
корисничкиот пребарувач. Шпионски софтвер или Spyware е општ термин кој
се користи да се опише софтвер кој извршува одредени однесувања, генерално,
без соодветно добивање согласност како што се: рекламирање, собирање лични
информации и промена на конфигурацијата на компјутерот на корисникот.
Сајбер вандализам претставува намерно нарушување на фукционирањето,
изобличување, па дури и уништување на страната. Преку хакирање, лицето
104
добива неовластен пристап до системот и извршува нелегални активности. Исто
така тоа лице добива вредни информации, на пример како што се детали за
кредитни картички, за да може да извршува измами. Меѓутоа не секои
активности кои ги превземаат хакерите се превземаат за криминални дејствија.
Во зависност од нивните мотиви, зависи за што ќе ги употребат своите
активности, дали за добронамерни или за криминални дејсвтија. Во некои
случаи, секторите за безбедност во корпорациите, ангажираат група на хакери,
за да биде тестиран нивниот систем, односно нивните мерки за безбедност кои
ги превземаат.
4. Постојат неколку предуслови за безбедност на електронската трговија и
плаќањето преку интернет и тука спаѓаат: технолошките решенија како
средства за поголема безбедност и безбедносни политики како средства за
подобрување на е-безбедноста. Криптографските техники претставуваат
техники за заштита на безбедноста на интернет комуникациите каде спаѓа
кодирањето кое уште е наречено енкрипција. Енкрипцијата е процес на
трансформирање или енкриптирање на податоците на начин којшто е тежок,
скап или одзема многу време за неавторизирано лице да го декриптира.
Постојат два одновни начини на енкрипција и тоа: енкрипција со таен клуч и
енкрипција со јавен клуч. При енкриптирањето со таен клуч, страните
испраќаат заеднички број на енкриптиран клуч којшто е познат само за нив,
додека при енкрипција со јавен клуч енкриптираниот број на клуч е различен за
испраќачот и примачот. Исто така, при енкрипција со таен клуч, истиот клуч се
користи и при енкрипција и декрипција на пораката, а при енкрипирање со
јавен клуч, се користат два клуча, каде едниот се користи за енкрипција а
другиот за декриптирање на пораката.
5. Како технолошки решенија кои се користат за заштита на каналите на
комуникација претставуваат неколку протоколи, а како најчесто користен е
Secure Socket Layer (SSL). Secure Socket Layer (SSL) протоколот овозможува
енкрипција на податоците како негова главна способност, меѓутоа и интегритет
на пораката, свтентикација на серверот и опционална автентикација на
105
клиентот. Овај протокол е составен од две компоненти и тоа: TLS запис
протокол и TLS ракувачки протокол. TLS запис протоколот обезбедува заштита
на комуникацијата со примена на енкрипциски метод како Data Encryption
Standard (DES), додека пак TLS ракувачкиот протокол овозможува да се
автентикуваат клиентот и серверот помеѓу себе и преговара околу алгоритамот
на енкрипција и криптографскиот клуч пред податоците да се разменат. Покрај
Secure Socket Layer (SSL) протоколот, се користи и Secure Electronic Transaction
(SET) стандардот кој користи криптографија за да докаже доверба во
информациите, да обезбеди интегритет во плаќањето и да ја потврди
автентичноста на купувачот и продавачот. S-HTTP претставува безбедносен
протокол за комуникација со пораки и истиот е дизајниран за да се користи во
коњукција со HTTP.
6. Firewall како технолошко решение за заштита на мрежи е потребен бидејќи
превенира напади од недоверливи мрежи, го заштитува интегритетот на
податоците од критични информации и ја задржува довербата на
потрошувачите и партнерите. Основна карактеристика на firewall-от
претставува филтрирањето на податоците. Заштитниот ѕид содржи прокси
сервер кој ги испитува сите пораки кои влегуваат и излегуваат од приватната
мрежа и бараат автентикација на крајниот корисник и применуваат рестрикција
на контролата на пристап. Постојат четири видови на прокси сервери и тоа:
транспарентен, анонимен, нарушувачки и високо анонимен прокси.
7. За заштита на серверите се користи и антивирусен софтвер кој е создаден за да
препознава вируси, црви и останати злонамерни кодови и истите да ги
отстранува. Секој антивирусен софтвер кој се користи за заштита потребно е да
содржи три компоненти и тоа: спречување, откривање и рекација. Воглавно
основната цел на антивирусниот софтвер е да ги скенира вирусите во
компјутерот и истите да ги отстрани, а скенирањето на вирусите може да се
извршува рачно или автоматски.
8. Наспроти технолошките решенија, е-безбедноста може да се подобрува на тој
начин што организациите ќе изработат план за безбедност составен од пет дела
106
и тоа: проценка на ризикот, воспоставување на централен менаџмент,
имплементирање на соодветни политики, создавање на организација за
безбедност и мониторинг и евалуација на политиките и контрола.
9. За плаќање преку интернет постојат повеќе начини:
- Дигитална готовина, плаќање кое функционира на начин каде купувачот во својот
дигитален паричник ја додава вредноста која што му е потребна за извршување на
определена трансакција.
- Дигитален паричник или е-паричник каде се содржани сите потребни информации
за корисникот заедно со бројот на кредитната картичка и комуницира преку Near
Field Communications (NFC) технологија.
- Електронски кредитни картички кои се користат за онлајн купување со испраќање
на бројот на картичката на продавачот. Бројот на кредитната картичка се испраќа
во енкриптирана форма со користење на SSL протокол.
- SMART картичките се картички кои содржат микропроцесор (чип), имаат лозинка
со што се зголемува нивната сигурност и се идеални за микро плаќања.
- Електронски чек што всушност претставува електронска верзија на книжниот чек,
со кој се заштедува време и овозможува сигурност.
- Мобилен систем на плаќање, каде постојат три начини на плаќање и тоа: преку
банкарска сметка со тоа што бројот на мобилниот телефон е поврзан со
банкарската сметка, плаќање базирано на кредитна картичка со тоа што бројот на
кредитната картичка е побрзан со бројот на мобилниот телефон и плаќање преку
телекомуникациска компанија со тоа што вредноста на извршената трансакција се
додава на телефонската сметка на корисникот.
10. Во поглед на системите за плаќање обработени се следните:
- Paypal работи на тој начин што корисникот отвора корисничка сметка
каде се внесуваат податоците за корисникот бројот на кредитната
картичка. Откако еднаш ќе бидат внесени овие податоци, нареден пат
корисникот внесува само емаил адреса и лозинка и може слободно да
купува на страниците кои го поддржуваат овај систем на плаќање.
107
- Payza како систем за плаќање и за бизнисите и за купувачите работи на тој
начин што се отвора е-паричник на кој се додаваат пари, со можност да се
добиваат пари и од други лица, да се испраќаат пари или да се извршува
купување онлајн.
- Worldpay како систем за плаќање докажува чисти финансиски бенефиции
за своите корисници како подобрување на готовинскиот тек и контрола
колку често се добиваат пари, помага да се минимизира ризикот од
измама и континуираност за бизнисот.
- Eway платежниот систем работи на тој начин што купувачот безбедно ги
внесува своите податоци на страната што купува, а продавачот ги
препраќа истите податоци до Eway каде Eway комуницира со банката за
процесирање на трансакцијата.
- Moneybookers дигиталниот систем за плаќање понудува различни
поволности за купувачите и за бизнисите. Како поволности за купувачите
се сметаат: Skrill digital Wallet кој понудува безбедност и погодност за
онлајн плаќања со внесување на емаил адреса и лозинка, безбедност на
потрошувачите со користење на највисоките стандарди за енкрипција со
континуирано ажурирање на системот, купување онлајн со што
потрошувачите купуваат директно и со безбедно внесување на деталите
за картичката, потрошувачите можат да добиваат готовина од 200 држави
во 40 валути, Moneybookers Master Card припејд картичка која директно
поврзува до Skrill дигиталниот паричник, World Post понудува евтин, брз
и безбеден превоз со онлајн следење и осигурување исклучиво за Skrill
(Moneybookers) потрошувачи, испраќање и добивање на пари на
интернационално ниво, ниски и целосно транспарентни такси, слободно
и безбедно чување на депозит со Skrill корисничка сметка, со внесување
и повлекување на средства кога ќе им бидат потребни на купувачите.
- Paymate системот за плаќање ја понудува најновата иновација за бизниси
Paymate OnTheGo со која што можат да ги прифаќаат плаќањата во
движење. Со користењето на оваа иновација компатибилен “паметен“
108
телефон се претвора во продажен терминал кој ги прифаќа плаќањата со
кредитна картичка.
11. Во поглед на законската регулатива во Република Македонија, е-
безбедноста на електронската трговија е регулирана со Законот за електронска
трговија, Кривичниот Закон на Република Македонија и Законот за податоците
во електронски облик и електронски потпис. Законот податоците во
електронски облик и електронски поптис ја регулира важноста на
електронскиот потпис и тоа дека електронскиот потпис кој има квалификуван
сертификат не може да се одбие или оспори бидејќи ја има истата важност како
и своерачниот потпис, освен во случаевите каде е задолжителен своерачен
потпис. За елетронското потпишување се користат средства кои обезбедуваат
дека податоците се единствени, доверливи, како и тоа електронскиот потпис да
биде заштитен од фалсификување. Законот за електронска трговија ги уредува
услугите кои се даваат во информатичкото општество, одоговрностите на
давателите на тие услуги, комерцијалната комуникација, како и договорите во
електронски облик. Кривичниот законик на Република Македонија со
членовите 149, 151 и 251 ја регулира електронската безбедност во Република
Македонија и тоа членот 149 се однесува на злоупотребата на личните
податоци, членот 151 се однесува на неовластеното прислушкување и тонско
снимање, а членот 251-а се однесува на правење и внесување на компјутерски
вируси, а членот 251-б ги регулира компјутерските измами.
12. Од извршеното истражување кое што беше извршено за време од осум
недели, беа испратени преу 200 пораки преку електронска пошта на деловни
субекти низ целата држава, меѓутоа само 31 деловен субјект одговорија на
анкетнот прашалник. Генерално, може да се извлече заклучокот од извршеното
истражување дека поголемиот број од анкетираните во нивните компании имаат
ит сектор кој се грижи за безбедноста на нивните комјутерски системи, а и дел
од тие со немаат ит сектор во компанијата ангажираат екстерно стручно лице,
вработените во нивните компании секојдневно користат интернет, бидејќи во
денешното информатичко опкружување незамисливо е бизнисите да
109
опстојуваат на пазарот доколку не го користат интернетот за наразлични цели
било тоа за нарачки, плаќања, комуникација со потрошувачите, рекламирање
па и за следење на најнови технологии и трендови кои го одржуваат бизнисот и
истиот прават да расте и да се проширува. Од аспект на поставувањето
процедури за заштита, во кои процедури спаѓаат достапноста на одредени
вработени до доверливи информации, корпоративен емаил слично, значајно
поголем е процентот на компаниите кои поставуваат процедури за заштита во
компаниит, со што покажуваат дека се свесни за така наречените “внатрешни
напади“ кои што можат да ги предизвикуваат вработените. Антивирусната
заштита кај компаниите се покажа како приоритет бидејќи освен еден деловен
субјект, сите останати користат антивирусни програми за заштита на
компјутерските системи, од кои пак повеќето се лиценцирани што претставува
уште еден доказ дека компаниите доволно се запознени за штетите кои можат
да настанат. Освен антивирусните програми, мал број од деловните субјекти
помогнаа да се дознае сликата за е- безбедноста на деловните субјекти,
откривајќи кои други типови на безбедносни механизми ги користат за заштита
на компјутерските системи и тука спаѓаат: процедури за физички пристап,
систем на привилегии на корисниците со лозинки, редовен back up на
податоците, обука на корисниците, виртуелни приватни мрежи, екстерен систем
администратор, firewall, мрежен систем за контрола на корисници, proxy,
хардверска заштита како ups, power protector, data storage, апликативен софтвер
за заштита на базата на податоци. Од одговорите кои се добија при
испитувањето поголем е бројот на деловни субјекти каде не била загрозена
безбедноста на нивните компјутерски системи, а деловните субјекти кај кои
безбедоста е нарушена сметаат дека тоа се случило како последица на лош
антивирусен софтвер, лошо дефинирани безбедносни процедури или пак од
други причини кои не сакаа да ги наведат. Од аспект на продавање и купување
на проиводи преку интернет, повеќето деловни субјекти се изјасниле дека не ги
понудуваат прозводите на интернет, а дел од тие со ги нудат своите производи
ги нудат за маркетиншки цели. Исто така поголем е и бројот на деловни
субјекти кои се изјасниле дека не купуваат производи преку интернет и затоа
110
сметаат дека е-безбедноста претставува клучен фактор. И како краен заклучок
од овај магистерски труд и извршеното истражување деловните субјекти во
Република Македонија сметаат дека електронската трговија и електронското
плаќање се делумно безбедни.
111
Анекс
Анкетен прашалник
Име на деловниот субјект______________________________
Место___________________________
1. Колку вработени има во вашата компанија?
а) од 1 до 9
б) од 10 до 49
в) од 50 до 249
г) од 250 и повеќе
2. Дејност на компанијата____________________________
3. Дали во вашата компанија имате ИТ сектор?
а) да
б) не
4. Дали вработените во вашата компанија при реализација на секојдневните
активности користат интернет?
а) да
б) не
в) делумно
5. Дали вашата компанија има поставено одредени процедури за заштита?73
а) да
б) не
6. Дали користите антивирусни програми за заштита на компјутерските системи?
73
Под процедури за заштита се подразбира тоа во вашата компанија да биде дефинирано кој има право на
пристап до одредени програми, корпоративниот маил и сл. каде се наоѓаат доверливи информации за
компанијата.
112
а) да
б) не
7. Доколку користите софтвер за заштита дали истиот е лиценциран?
а) да
б) не
8. Какви други типови на безбедносни механизми користите за заштита на
компјутерските системи?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
9. Дали безбедноста на вашите компјутерски системи на било кој начин била
загрозена?
а) да
б) не
10. Доколку била загрозена безбедноста на компјутерските системи, поради што
мислите дека се должи тоа?
а) лошо дефинирани безбедносни процедури
б) лош антивирусен софтвер
в) друго________________________________
11. Дали сте свесни за штетите кои можат да ги предизвикаат малициозните
софтвери врз вашата компанија?
а) да
б) не
12. Дали вашата компанија ги нуди своите производи преку интернет?
а) да
б) не
13. Дали сметате дека е-безбедноста претставува клучен фактор за да ги нудите
вашите производи на интернет?
а) да
б) не
14. Дали вашата компанија има купено производи преку интернет?
113
а) да
б) не
15. Колку сметате дека електронската трговија и електронското плаќање се
безбедни?
а) потполно безбедни
б) делумно безбедни
в) не се безбедни
114
Користена литература
Brahm Canres, E-business, Strategic thinking and practice, John Abbott College
and Mc Gill University, New York, 2006
Colin Combe, Introduction to e-business management and strategy, Butterworth-
Heinemann, 2006
Дитер Голман, Компјутерска сигурност, АД Вербум Скопје, 2010
Eben Otuteye, A Systematic approach to e-business security: Faculty of Administration,
University of New Brunswick, Fredericton, Canada
Efraim Turban, R.Kelly Rainer, Richard E.Potter, Introduction to information
technology, second edition, Wiley 2003
Electronic commerce, A Managerial Perspective, 2006
Gojko Grubor, Milan Milosavljevic, Osnove zastite informacija: Metodolosko-tehnoloske
osnove, Univerzitet Singidunum, Beograd 2010
Karen Scarfone, Paul Hoffman, Computer Security, National Institute of Standards
and Technology, September 2009
Кенет К. Лаудон, Карол Герсио Травер, Електронска трговија: бизнис,
технологија, општество, Скопје: Арс Ламина, 2010
Кенет К. Лаудон, Џејн П. Лаудон, Менаџмент информациски системи:
Управување со дигитална компанија, Скопје : Арс Ламина, 2010
Mandana Jahanian Farsi, Master’s Thesis in Computer Science, Goteborg University,
1997
Manivannan Senthil Velmurugan, Security and trust in e-business:problems and
prospects: International Journal of Electronic Business Management, Faculty of Business
and Law Multimedia University, Malaysia 2009
115
Марковски Смиле, Гушев Марјан, Е-бизнис и мобилни интернет технологии
семинар: Универзитет "Св. Кирил и Методиј", Природно математички факултет,
Институт за Информатика, 2002
Paul Beynon-Davies, E-business, Palgrave macmillan, New York, 2004
Paul Phillips, E-business strategy, The Mcgrow-Hill companies, 2003
Petr Suchánek, E-commerce Systems and E-shop Web Sites Security: The Silesian
University, School of Business Administration in Karviná, Department of Informatics
Singh Sumanjeet, Emergence of payment systems in the age of electronic commerce: The
state of art, Global Journal of International Business Research, 2009
Симпсон Гарфинкел, Џин Спафорд, Безбедност и заштита на мрежниот сообраќај,
Скопје: Абакус комерц, Давид компјутери, 2010
Сл.Весник на Р.Македонија бр. 133 од 02.11.2007 година
Службен весник на Р. Македонија бр.34 од 03.05.2001 година
Тупанчески Никола, Кривична одговорност на правните лица со посебен осврт на
кривичните дела од чл.157 од КЗ на РМ (Повреда на авторско право и сродни
права) и чл.286 од КЗ на РМ (Неовластена употреба на туѓ пронајдок или софтвер)
Интернет извори
Electronic Business Systems Security
http://media.wiley.com/product_data/excerpt/82/04710729/0471072982.pdf
http://anti-virus-and-internet-security.blogspot.com/
http://caverson.hubpages.com/hub/Types-Of-Computer-Viruses
http://ist.mit.edu/security/malware
http://myhosting.com/blog/2011/08/proxy-vps-explained/
http://payments.intuit.com/resources/facts-about-electronic-checks.jsp
http://searchsecurity.techtarget.com/definition/phishing
116
http://whatismyipaddress.com/using-proxies
http://www.businesslink.gov.uk/bdotg/action/detail?itemId=1075385962&type=RESOU
RCES
http://www.cs.bham.ac.uk/~mdr/teaching/modules06/netsec/lectures/DigitalCash.html
http://www.ecommerceprogram.com/ecommerce/Ebusiness-Security.asp
http://www.eway.com.au/how-it-works/what-products-are-included-.html
http://www.ipay.com
http://www.javvin.com/protocolHTTPS.html
http://www.microsoft.com/security/pc-security/spyware-whatis.aspx
http://www.moneybookers.com
http://www.paymate.com/cms/
http://www.spamlaws.com/how-packet-sniffers-work.html
http://www.uky.edu/~dsianita/390/390wk4.html#a1
http://www.windowsecurity.com/whitepapers/Sniffing_network_wiretap_sniffer_FAQ_.h
tml
http://www.worldpay.com/about_us/index.php?page=benefits&sub=why&&c=WW
Internet Security Systems, Secure E-business,
http://www.tarrani.net/Security/securityebus.pdf
Mahil Carr, Mobile Payment Systems and Services: An Introducion
http://www.mpf.org.in/pdf/Mobile%20Payment%20Systems%20and%20Services.pdf
www.cisco.com/warp/public/cc/so/neso/sqso/rois_wp.pdf
www.paypal.com
www.payza.com
117