Электронные платежи

Реальны ли виртуальные банки?

Сергей Тихомиров

 

Несколько лет назад, ожидая поезда на маленькой станции в центре Европы, я взял в киоске почитать какой-то компьютерный журнал. На его последней странице был опубликован рассказ о гипотетическом судебном процессе, темой которого был вопрос: обязан ли конкретно взятый владелец компьютера установить на нем антивирус, и не является ли принудительная установка оного вмешательством в частную жизнь или вторжением в пределы частной собственности.

После долгих дискуссий вопрос так и не был решен, и все участники заседания решили объявить перерыв и ... отключились от сети. А у читателя осталось странное ощущение, что все участники этого процесса -- просто компьютерные программы, которые в конечном итоге пытались создать прецедент, дающий возможность юридической самозащиты.

Тогда этот рассказ вызвал лишь легкую улыбку -- никто не думал, что вскоре переплетение виртуального и реального мира будет столь тесным. И переплетение это не только откроет массу возможностей для развития, но и создаст дополнительные проблемы. Например, проблема надежной идентификации, подтверждения полномочий, различения оригинальных и подделанных субъектов виртуального мира, их соответствия реальным. Этот виртуальный мир именуется "Интернет".

Из огромного многообразия тем, объединяющих Интернет и банки, мы рассмотрим только наиболее интересные и важные с нашей точки зрения. Такими темами являются способы перенесения в Интернет традиционных банковских продуктов и реализация концепции электронных денег. Естественно, что невозможно обойти вопросы безопасности и надежности.

Первый шаг (безмебельная технология)

Первый и наиболее очевидный шаг в виртуальную реальность -- это перенесение обычных принципов и методов обслуживания клиентов, т. е. мы просто создаем действующую модель банка средствами Интернета. Причем чем больше эта модель будет приближена к реальности, тем проще в ней будет работать клиенту, привыкшему к реальному банку.

Системы типа Homebanking (клиент--банк) существуют давно, в некоторых странах удаленное управление счетами реализовано в рамках системы Videotex для широкого круга клиентов банка. Широкое распространение Интернета дает возможность простую в своей основе идею реализовать различными способами, оставляя полный простор для полета фантазии.

Например, открыв WWW-страницу Security First Network Bank (одного из первых банков, предоставляющих услуги через Интернет), вы попадаете в настоящий операционный зал. Вы можете подойти к информационной стойке и получить ответы на некоторые вопросы (часто задаваемые), узнать о содержании предоставляемых услуг и их стоимости. У стойки операциониста вы можете открыть новый счет, получить информацию о состоянии своего счета, дать поручение о переводе денег на другой счет. У стойки операциониста по ценным бумагам вы можете узнать курсы, купить или продать их. В общем, все совсем, как в реальном банке. Разве что наличных денег вы не получите. Да и счет вам откроют только после получения бумажных документов, хотя вашего личного присутствия и не потребуется.

Кстати, один из промежуточных шагов от обычного операционного зала к виртуальному -- это автоматизированный зал самообслуживания. Такой зал можно реализовать средствами, предназначенными для работы с Интернетом, но в рамках внутрибанковской компьютерной сети (такой подход к реализации информационных систем получил название Intranet). При этом убиваются два зайца -- обкатывается технология работы с банковскими продуктами через Интернет, и снимается подсознательное недоверие клиента к работе в рамках виртуального пространства. В таком зале совмещаются "электронные стойки" и обычные банкоматы, обеспечивающие работу с наличными деньгами. Особенно удобно использование таких операционных залов в сочетании с системами типа "электронный кошелек". Этот подход в настоящее время используется некоторыми банками, а также фирмой Derby в ее проекте "Электронный город Злин".

Перенесение в Интернет для работы в оперативном режиме хотя бы минимального набора банковских услуг, связанных с ведением счетов, -- это необходимое условие для банков, желающих освоить нетрадиционные услуги.

Электронные деньги (карточки или анонимные банкноты)

На торговом поле действуют три основных группы -- продавцы, покупатели и посредники в расчетах (банки). Появление новой среды взаимодействия не только порождает новые возможности реализации старых инструментов, но и требования к появлению новых инструментов.

Первоначальное использование Интернета в торговле было аналогично торговле по почте или телефону -- только как средство заказа товара. Покупатель просматривал каталог, выбирал требуемые товары, заполнял бланк заказа и сообщал метод платежа. Реально используемым платежным инструментом были кредитные или дебетовые карточки. Возникающие проблемы с возможным перехватом информации были решены обычными методами, которые будут рассмотрены ниже.

Также были образованы платежные системы на основе кредитных карточек (например, CyberCash). Однако использование карточек не позволяло делать мелкие платежи ввиду относительно высокой стоимости отдельной транзакции (а именно мелкие платежи были желательны компаниям, предоставляющим информационные услуги через Интернет), не давало возможности расчетов напрямую между субъектами.

В связи с этим практически одновременно возникло несколько платежных систем в рамках Интернета. Все они основаны на выпуске банком "электронных банкнот", на самом деле являющихся электронными чеками банков. Одной из наиболее известных систем является Ecash (или Digicash), являющаяся полностью автономной платежной системой. Кроме относительно невысокой стоимости транзакций, Ecash также обеспечивает анонимность платежей, используя так называемую "слепую подпись", что является существенным преимуществом при выборе платежной системы конечным пользователем.

Ecash скорее является технологией, которую используют банки и их клиенты. Немаловажную роль играет наличие разного рода организационных структур, обеспечивающих функционирование торговли через Интернет вообще, и работы банков в частности.

Интерес к работе в рамках Интернета проявляют и системы расчетов с использованием микропроцессорных карточек.

Например, Mondex имеет планы подключения своих терминалов (которые позволяют обмениваться электронными деньгами непосредственно между владельцами карточек) к Интернету.

Безопасность (не так страшен черт, как его малюют)

Мы подошли к теме, которая постоянно появляется в средствах массовой информации. Это вопросы безопасности в Интернете. Очевидно, что исследуемая область приложения предъявляет особые требования к безопасности и надежности.

Подробное исследование всех методологических и технических основ обеспечения надежности заняло бы не один журнал, так что мы будем предполагать, что все основные понятия известны. Следует только отметить: что абсолютно устойчивых методов шифрования нет, вопрос только в том, чтобы затраты на расшифровку или подделку сообщений превышали получаемую выгоду. В настоящее время такие методы существуют, и все попытки дискредитировать их провалились.

Сразу следует сказать, что обе крайние точки зрения ("Интернет -- место, где резвятся одни хакеры" и "все очень легко, просто и надежно") не правильны. Хакеры и прочие субъекты, желающие прожить за чужой счет, в Интернете есть, но при соблюдении определенных правил безопасность обмена информацией может быть обеспечена. К тому же, в области финансовых отношений существуют другие методы обмана клиентов, напрямую не связанные с Интернетом. Скорее эти методы перенесены в виртуальное пространство из реального, а его размеры и простота общения только упрощают задачу мошенникам.

Первой проблемой работы организаций с Интернетом (не только финансовых, а и всех остальных) была проблема защиты информации в своих локальных сетях от несанкционированного доступа. Этой проблеме уже много лет, и постоянно идет борьба брони и снаряда -- отыскиваются новые дырки в защитных системах, и придумываются новые методы борьбы с проникновением. Активное развитие распределенных гипертекстовых систем (Всемирной паутины WWW) и использование распределенных вычислений (язык Java) привело к появлению новых проблем. Но методы борьбы с проникновением известны, и в рамках финансовых организаций основным является использование закрытых внутренних сетей, отгороженных от внешнего мира брандмауэрами (firewall), а также использование динамических методов идентификации пользователей. Так что при аккуратном использовании можно считать, что от несанкционированного доступа защититься можно.

Расчеты кредитными карточками через Интернет натолкнулись на проблему перехвата сообщений, содержащих номер карточки и прочую информацию о владельце. Эта проблема была решена автономными системами шифрования информации (например, CyberWallet), основанными на асимметричных алгоритмах шифрования. Большинство систем пластиковых карточек также создало свои протоколы и системы передачи информации.

Аналогичными методами решается проблемы защиты информации от искажения. Тут применяется традиционная электронная подпись.

Но проблемы защиты передаваемой информации -- не самые сложные, поскольку они требуют минимальных организационных усилий. Достаточно передать клиенту открытый ключ системы асимметричного шифрования, и никто не сможет прочитать зашифрованное сообщение.

Более важной является защита от появления ложных фирм (и ложных покупателей). Методы работы таких фирм традиционны. В рамках Интернета очень легко организовать фиктивные фирмы, которые будут собирать заказы, получать деньги в банке и после этого ликвидироваться. И в результате будут страдать либо покупатели, либо банки (в зависимости от условий выдачи карточек и местных законов).

В конечном итоге решение это проблемы сводится к организации системы центров подтверждения подлинности (authentication) как продавцов, так и покупателей. Технически эти системы основаны на наличии системы связанных серверов ключей, которые по запросу могут выдать открытые ключи любого продавца, и покупатель может проверить подлинность продавца. Организационно эти системы не должны быть зависимы ни от продавцов, ни от банков.

Создание таких систем подтверждения подлинности является достаточно сложной организационной задачей, к решению которой сейчас приступают некоторые международные организации. Наиболее значимым проектом такого рода является eTRUST, продвигаемый в настоящее время такими некоммерческими ассоциациями в рамках Интернета, как CommerceNet и Electronic Frontier Foundation. Этот проект нацелен на обеспечение доверия и конфиденциальности в электронных сделках.

Основные принципы eTRUST включают:

потребитель имеет право знать о степени приватности и безопасности сделки до ее совершения;

приватность сделки невозможна без соответствующей безопасности;

нет единого стандарта приватности для всех типов сделок.

В этом проекте принимают участие не только организации, связанные с Интернетом, но и аудиторские фирмы, что обеспечивает ему надежное легитимное сопровождение.

А что у нас (нужен ли особый путь)?

Возникает естественный вопрос -- а есть ли перспективы использования Интернета в наших условиях? Может быть, пока еще рано даже и говорить об этом? Не окажутся ли фирмы, продвигающие продукты для работы с банками через Интернет, в положении оптимистичного торговца, который докладывал о широких возможностях продажи купальников в Гренландии?

Немалую толику проблем вносит и положение дел с системами шифрования и электронной подписи, без которых невозможно функционирование платежных систем в открытых средах. Проблемы вызваны как внешними причинами (запрет на экспорт определенных технологий в нашу страну), так и внутренними (лицензирование импорта и разработки подобных систем и отсутствие одновременно надежных, удобных и адаптируемых систем отечественной разработки).

Правда, следует отметить, что за последнее время фирмы, занимающиеся лицензированной разработкой подобных систем. осознали, что невозможно жить только за счет своего монополизма, и повернулись лицом к клиенту, выпустив многоплатформенные версии своих продуктов.

Нам кажется, что наше отставание в области банковских технологий, обусловленное отсутствием соответствующей истории, в данном случае перекрывается определенными особенностями структуры бизнеса.

Во-первых, в бизнес у нас пришло большое количество людей с техническим образованием, которые не пугаются компьютера и способны понять преимущества новых технологий. Причем большая часть таких людей работает в сфере мелкого и среднего бизнеса, для которого характерно желание сократить затраты человеческого труда и времени.

Во-вторых, наблюдается определенная неравномерность распределения банковских услуг и капиталов по регионам.

Интернет может помочь региональным банкам, имеющим достаточные ресурсы, выйти на центральный рынок, а центральным банкам в свою очередь выйти на региональных клиентов, которые или имеют много расчетов в центре, или просто не доверяют местным банкам. Сюда же примыкают проблемы с офшорными компаниями и офшорными банками

В-третьих, вспомним ситуацию с пластиковыми карточками. Отсутствие инфраструктуры расчетов по традиционным магнитным карточкам вызвало к жизни большое количество проектов, основанных на интеллектуальных карточках. Хотя, если быть откровенным, этот пример скорее не в пользу распространения Интернета, поскольку вторым фактором распространения микропроцессорных карточек является отсутствие надежной связи. Но дело в этой области постепенно выправляется. Достаточно посмотреть на постоянное увеличение числа фирм, предоставляющих провайдерские услуги в провинции.

И наконец, общее движение нашей банковской системы позволяет надеяться на успех внедрения новых технологий.

 

 


 

 

1