Неприемлемые риски информационной безопасности при совершении бесконтактных платежей | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 1 июня, печатный экземпляр отправим 5 июня.

Опубликовать статью в журнале

Автор:

Рубрика: Технические науки

Опубликовано в Молодой учёный №17 (255) апрель 2019 г.

Дата публикации: 28.04.2019

Статья просмотрена: 10 раз

Библиографическое описание:

Герасимович А. В. Неприемлемые риски информационной безопасности при совершении бесконтактных платежей // Молодой ученый. — 2019. — №17. — С. 19-21. — URL https://moluch.ru/archive/255/58432/ (дата обращения: 22.05.2019).



Использование бесконтактных платежей для оплаты товаров и услуг в России появилось в 2016 году. Согласно основной идее данного рода платежей, они позволяют проводить платежные транзакции максимально быстро и просто, по сравнению с иными видами оплаты. Для достижения данной идеи была выбрана технология связи устройств в автоматическом режиме, не требующем подтверждения другого устройства на соединение. Технология в течение полугода была внедрена всеми крупными банковскими организациями, а также поддержана производителями электроники в своих решениях.

В отношении информационной безопасности при использовании технологии бесконтактной оплаты производители электроники и банковские организации уверяют в полной безопасности передаваемых данных и минимальных рисках. Однако при использовании новых технологий, способных управлять ценной информацией, необходимо исследовать их информационную безопасность и выявлять неприемлемые риски информационной безопасности.

Ценной информацией являются денежные средства, а точнее санкционированные операции по переводу таких средств между счетами, которые используются при бесконтактной оплате. Неприемлемые риски информационной безопасности требуют введения дополнительных защитных мер, воплощение которых возможно как со стороны организаций, поддерживающих развитие технологии, так и со стороны частных пользователей.

В данной статье представляются результаты применения методики оценки рисков нарушения информационной безопасности, предложенной Банком России [1].

Объектом исследования является система бесконтактных платежей на базе технологии NFC, позволяющей осуществлять бесконтактную связь между устройствами. Стоит отметить, что в процессе взаимодействия устройства условно делятся на активные и пассивные. Активные устройства генерируют связь и питают энергией пассивные устройства. В статье рассматриваются платежные терминалы как активные устройства, а банковские карты и смартфоны как пассивные устройства. Смартфоны при оплате товаров и услуг бесконтактным способом используют режим эмуляции банковской карты, в связи с чем являются пассивным устройством.

Областью оценки рисков нарушения информационной безопасности является платежная информация. Платежной информацией является информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций. Для данного типа информационного актива важно сохранение всех свойств информационной безопасности: конфиденциальности, целостности и доступности.

Были выделены следующие типы объектов среды, на которые возможно несанкционированное воздействие: канал связи, активные устройства, пассивные устройства, программные компоненты активных и пассивных устройств.

По результатам анализа для каждого типа объектов среды источников угроз, нарушаемого свойства информационной безопасности в результате реализации угрозы, способа реализации угрозы и используемых априорных средств защиты, а также оценке степени возможности реализации угроз и оценке тяжести последствий нарушения информационной безопасности были определены неприемлемые риски информационной безопасности при совершении бесконтактных платежей.

Неприемлемые риски информационной безопасности:

  1. Риски информационной безопасности для канала связи

Источник угроз: внешний нарушитель. Используемые априорные средства защиты: область взаимодействия устройств ограничена от 4 до 10 см.

Успешная реализация угроз информационной безопасности возможна в результате нарушения конфиденциальности и/или целостности платежной информации. Нарушение конфиденциальности происходит вследствие несанкционированного доступа к платежной информации и ее хищения через подключение к каналу связи. Нарушение целостности осуществляется через модификацию информации во время передачи данных.

Параметры описанных рисков информационной безопасности могут быть снижены до приемлемых в результате внедрения шифрования канала связи во время передачи платежной информации.

  1. Риски информационной безопасности для активного считывающего устройства. Источник угроз: внешний нарушитель. Используемые априорные средства защиты: регулярное обслуживание устройств.

Реализация угроз, ведущих к неприемлемым рискам, возможна в результате нарушения конфиденциальности информации на активном устройстве путем изменение аппаратных или программных средств, входящих в состав устройства. Данная угроза может быть реализована как во время бесконтактной связи, так и заблаговременно.

Дополнительным средством зашиты может быть создание механизма автоматического обнаружения несанкционированного активного устройства в рабочей области при бесконтактной передаче данных.

  1. Риски информационной безопасности для пассивного устройства.

Источник угроз: внешний нарушитель. Используемые априорные средства защиты: область взаимодействия устройств ограничена от 4 до 10 см.

Нарушение конфиденциальности платежной информации путем несанкционированного снятия или копирования информации при помощи нелегитимного считывающего устройства ведет к наиболее опасным неприемлемым рискам информационной безопасности.

Дополнительным средством защиты со стороны частных лиц может быть хранение бесконтактных карт в материалах, не пропускающих ВЧ излучение. В отношении смартфонов повысить защищенность возможно установлением дополнительных защитных механизмов, например: паролей, введения биометрических данных для совершения платежной транзакции.

Источник угроз: внутренний нарушитель Используемые априорные средства защиты: ограничения на снятие средств.

Халатность, приводящая к утере (хищению) пассивного устройства-носителя информации приводит к нарушению конфиденциальности. Риск считается неприемлемым, в том числе из-за возможности неоднократного снятия средств, в результате отсутствия защитных механизмов для бесконтактных банковских карт или в случае недостаточной защиты смартфона.

  1. Риски информационной безопасности для программных компонентов пассивных и активных устройств.

Источник угроз: внешний нарушитель. Используемые априорные средства защиты: программная защита данных.

Реализация угрозы путем заражения активного или пассивного устройства вирусом с целью доступа к приложениям и дальнейшего несанкционированного их использования ведет к нарушению конфиденциальности информации. Наиболее подвержен данной угрозе смартфон, так как обладает большим функционалом и имеет большее количество возможностей успешного заражения вредоносным программным кодом. Нарушение целостности происходит также за счет заражения пассивного устройства вирусным кодом с целью доступа к приложениям и дальнейшего их несанкционированного использования.

Повышение защиты данных в данном случае можно добиться использованием антивирусных средств, регулярным их обновлением, а также сознательным использованием функционала устройства.

Таким образом, были описаны следующие недопустимые риски нарушения информационной безопасности, которые требуют внедрения дополнительных средств защиты.

Исходя из вышесказанного, можно сделать выводы, что наиболее критичными угрозами являются: нарушение конфиденциальности при передаче платежной информации по каналу связи; нарушение конфиденциальности при использовании пассивного устройства как в результате воздействия со стороны внешнего злоумышленника, так и в результате халатности держателя.

Следует отметить, что повышение защищенности устройств при использовании бесконтактной связи возможно не только со стороны организаций, поддерживающих развитие и применение технологии, но и со стороны частных пользователей данным видом оплаты.

Литература:

  1. РС БР ИББС-2.2–2009. Обеспечение ин информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности [Электронный ресурс]. — 2010. — Режим доступа: https://www.cbr.ru/Content/Document/File/46929/st22_09.pdf, свободный.
Основные термины (генерируются автоматически): информационная безопасность, платежная информация, априорное средство защиты, пассивное устройство, источник угроз, нарушение конфиденциальности, внешний нарушитель, канал связи, риск, бесконтактная связь.


Похожие статьи

Современные проблемы в области информационной...

Современные средства и методы защиты информации направлены на защиту информации и данных предприятия которые включают технологии.

Ключевые слова: защита информации, информационная безопасность, распределённые системы, компьютерная сеть, интернет...

Анализ каналов утечки конфиденциальной информации...

Каналом утечки информации называют канал коммуникации, позволяющий процессу

Результатом противоправных действий может стать нарушение конфиденциальности

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на...

Угрозы безопасности информации на игровых сервисах...

В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них.

Основным источником рассматриваемых угроз являются преднамеренные действия...

Обеспечение информационной безопасности предприятия от...

Современные средства и методы защиты информации направлены на защиту информации и данных предприятия которые включают технологии

– физические — это средства защиты реализуются в виде автономных устройств и систем: обеспечение безопасности помещений...

Основные аспекты управления рисками информационной...

Статья посвящена процессу управления рисками информационной безопасности.

Методы оценки рисков нарушения целостности информации...

Ключевые слова: уязвимость, угроза, риск, информационная безопасность, оценки информационной безопасности, целостность.

Анализ угроз доступности информационной системы

Внешние источники угрозы доступности. Данные источники могут быть вызваны различными действиями

Нарушение условий работы — системы связи, электропитание, отопление и т. п

По аспекту информационной безопасности: Угрозы конфиденциальности, угрозы...

Методы оценки рисков нарушения целостности информации...

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Угрозы безопасности локальных вычислительных сетей

Угрозы безопасности информации локальных вычислительных сетей можно разделить на две

В связи с активным применением сетевых технологий для передачи данных вирусы все более

Технические средства съема информации. Сюда можно отнести такие средства, как...

Методы борьбы с угрозами информационной безопасности...

Технологическая эволюция становится источником принципиально новых угроз

Данная концепция так же направлена на борьбу с рядом угроз национальной безопасности.

информационное воздействие на общественное и индивидуальное сознание, связанное с...

Похожие статьи

Современные проблемы в области информационной...

Современные средства и методы защиты информации направлены на защиту информации и данных предприятия которые включают технологии.

Ключевые слова: защита информации, информационная безопасность, распределённые системы, компьютерная сеть, интернет...

Анализ каналов утечки конфиденциальной информации...

Каналом утечки информации называют канал коммуникации, позволяющий процессу

Результатом противоправных действий может стать нарушение конфиденциальности

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на...

Угрозы безопасности информации на игровых сервисах...

В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них.

Основным источником рассматриваемых угроз являются преднамеренные действия...

Обеспечение информационной безопасности предприятия от...

Современные средства и методы защиты информации направлены на защиту информации и данных предприятия которые включают технологии

– физические — это средства защиты реализуются в виде автономных устройств и систем: обеспечение безопасности помещений...

Основные аспекты управления рисками информационной...

Статья посвящена процессу управления рисками информационной безопасности.

Методы оценки рисков нарушения целостности информации...

Ключевые слова: уязвимость, угроза, риск, информационная безопасность, оценки информационной безопасности, целостность.

Анализ угроз доступности информационной системы

Внешние источники угрозы доступности. Данные источники могут быть вызваны различными действиями

Нарушение условий работы — системы связи, электропитание, отопление и т. п

По аспекту информационной безопасности: Угрозы конфиденциальности, угрозы...

Методы оценки рисков нарушения целостности информации...

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Угрозы безопасности локальных вычислительных сетей

Угрозы безопасности информации локальных вычислительных сетей можно разделить на две

В связи с активным применением сетевых технологий для передачи данных вирусы все более

Технические средства съема информации. Сюда можно отнести такие средства, как...

Методы борьбы с угрозами информационной безопасности...

Технологическая эволюция становится источником принципиально новых угроз

Данная концепция так же направлена на борьбу с рядом угроз национальной безопасности.

информационное воздействие на общественное и индивидуальное сознание, связанное с...

Задать вопрос