بخشی از مقاله
چکیده:
در این مقاله به بررسی معضلات امنیتی فراروی تجارت الکترونیکی و همچنین سایر عواملی که سبب عدم افزایش اعتماد به آن میشود پرداخته شدهاست. هدف از این مطالعات، شناخت و به حداقل رساندن مشکلات و موانع پیشروی توسعه تجارت الکترونیک با محوریت کشور ایران بوده است و در این راستا از دید فنی و جامعهشناختی به موضوع پرداخته شدهاست.
لذا این مقاله ابتدا مهمترین خطرات و تهدیدات موجود را اجمالا معرفی کرده، سپس به معرفی برخی ابزارها، سرویسها و راهکارهای رایج جهت ایجاد امنیت و کاهش ریسک در تجارت الکترونیک پرداختهاست. در ادامه پیشنهادهایی برای کاهش ریسکهای اعتماد مطرح کردهاست. این پیشنهادها که اغلب برای کاهش وقوع حوادث - پیشگیری - میباشند در دو دسته کاربردی - که هر فرد هنگام مبادلات الکترونیک باید به آن توجه کند - و زیرساختی - که بیشتر به نقش حاکمیت در افزایش اعتماد میپردازد - تقسیمبندی شدهاند. در پایان نیز بطور خلاصه نتیجهای از بحث و نیز موضوعاتی که در آینده میتوان به آنها پرداخت ارائه شدهاست.
1. مقدمه:
امروزه با پیشرفت تکنولوژی، تبادل اطلاعات بصورت الکترونیکی در حوزههای مختلف به جزء لاینفکی از زندگی روزمره انسانها بدل شده است، یکی از مهمترین و تاثیر گذارترین این حوزهها، حوزه تجارتالکترونیک میباشد. اگر بخواهیم قدری واقعیتر و عینیتر به اهمیت تجارت الکترونیک بپردازیم کافی است نگاهی گذرا بر میزان و شیوه رشد کمپانیها و شرکتهایی که در این حوزه در سطح دنیا فعال میباشند3 داشته باشیم و درآمد، محبوبیت و همینطور تاثیرگذاری اینان را در ابعاد مهمی همچون اقتصاد جهانی، امنیت ملی و جهانی در کشورهای مختلف بررسی کنیم.
در کشور ما نیز - به تبعیت از رشد اقتصاد و فناوری در ابعاد جهانی - تجارت الکترونیک میتواند بسیار حائز اهمیت باشد، بخصوص در شرایط فعلی و به دلیل تحریمهای ظالمانهای که در حق کشور و ملتمان توسط دولتهای غربی رواداشته شده است، پیشرفت و توسعه تجارت الکترونیک به طرز فوقالعادهای میتواند به استقامت در برابر تکانههای خارجی و بهبود وضعیت اقتصاد ملی، بهبود معیشت و ایجاد اشتغال در سطح وسیع کمک کند.
با توجه به اینکه رشد تجارت الکترونیک مستلزم ایجاد زیرساختهای مورد نیاز از جمله زیرساختهای فنی، قانونی، آموزشهمگانی و... میباشد در این مقاله به معرفی خطرات، تهدیدات و موانع موجود در راستای ایجاد کسب و کارهای الکترونیک و راههای افزایش ایمنی برای کاهش ریسک و افزایش اعتماد که نهایتا منجر به رونق تجارت الکترونیک میشود خواهیم پرداخت.
2. تعاریف:
.2 1 تجارت الکترونیک: فرآیند خرید و فروش کالاها و خدمات به صورت الکترونیکی که مستلزم استفاده از اینترنت، شبکه ها و دیگر اشکال دیجیتالی است را تجارت الکترونیک گویند، که این چنین فرآیند مبادله ای بازار الکترونیک را به وجود میآورد
.2 2 امنیت:
امنیت به معنای کیفیت یا حالت امن بودن، رهایی از خطر، ترس و احساس نگرانی و تشویش میباشد. این تعبییر در دنیای الکترونیکی نیز صادق میباشد
در راستای رسیدن به یک امنیت مناسب موارد زیر باید مد نظر قرار گیرند :
· محرمانگی: به اطلاعات محرمانه باید فقط افراد، دستگاه و پردازشهای تعیین هویت شده دسترسی داشتهباشند.
· احراز هویت: فرستنده و گیرنده باید هویت خود را اثبات کنند.
· بررسی مجوز: هنگام دریافت درخواست کاربر، باید مجوز دسترسی وی برای آن تراکنش خاص بررسیگردد.
· یکپارچگی: اطلاعات بدون احراز هویت و دسترسی، نباید تغییر داده شوند.
· عدم انکار: هنگام دریافت، ارسال اطلاعات یا سرویس، فرد انجامدهنده یا گیرنده نتواند آنرا انکار کند.
· قابلیت دسترسی: در هنگام نیاز، اطلاعات برای احراز هویتشدگان در دسترس باشند.
.2 3 اعتماد:
اعتماد به معنی یک رابطه جهتدار بین دو گروه ضامن و اعتمادکننده است. اعتماد این امکان را فراهم میسازد تا مردم بتوانند در یک شرایط نامطمئن و ریسکی در کنار هم زندگی کنند، همچنین وسیلهای را فراهم میسازد تا در این دنیای پیچیده، سردرگمیها تا حدی کاهش یابد. در واقع وجود اعتماد یکی از تاثیرگذارترین فاکتورهایی است که میتواند موجب توسعه و رشد تجارت الکترونیک شود
.2 4 ریسک:
ریسک، واژهای است که در دنیای تجارت و کسب و کار الکترونیک به وضوح شنیده میشود. عنصر اجتنابناپذیر در تجارت دنیاست که ناشی از عدم اعتماد و اطمینان است. ریسک قابل حذف از برنامه های کاری نیست، بلکه قابل مدیریت درست است. ریسک و تجارت توأم با یکدیگرند. اگر در معارضات کلان اقتصادی مدیرت نشود ممکن است تأثیرات جبرانناپذیری به دنبال داشته باشد
3. تهدیدها و ریسکها در تجارت الکترونیک:
.3 1 تهدیدها:
کارشناسان مسائل امنیتی بین حملات فنی و غیرفنی تفاوت قائل شدهاند. در حملات غیرفنی، افراد سودجو دست به راههای فریبکارانه گوناگون زدهاند تا بتوانند از طریق آن یکسری از اطلاعات محرمانه را به دست آورده و به وسیله آن به سیستمی حمله کرده و از آن سودجویند
. به این حملات، مهندسی اجتماعی نیز گفته میشود، حملاتی که با استفاده از صداقت دیگران صورت میگیرد نیز از این موارد است، در حملات فنی، افراد مزاحم و سودجو از دانش نرمافزاری و سختافزاری خود برای حمله و نفوذ به سیستمهای کامپیوتری استفاده میکنند، ویروسها یکی از حملات فنی به حساب میآیند، حملات معمولا ترکیبی از این دو نوع است به عنوان مثال فرد مزاحم، ممکن است از یک ابزار خودکار در فرستادن یک پیام به سرویس پیامهای کوتاه استفاده کند
حملات فنی شامل بدافزارها - ویروسها، کرم ها، اسب تروجان - ، حملات داس1، حملات از نوع تغییر چهره سایت2، حملات مربوط به جریان دادهها3، حملات فیشینگ4 و سرریز بافر5 میباشد.
دو دسته تهدیدات غیر فنی وجود دارند که شامل انسانمدار و کامپیوترمدار میشوند. تهدیدات غیرفنی انسانمدار بر پایه روشهای سنتی ارتباطات ”مانند تلفن“ استوار است و تهدیدات غیرفنی کامپیوترمدار بر پایهی روشهایی مانند ارسال پست الکترونیکی استوار است
.3 2 ریسکها:
ریسکهای موجود در انجام تراکنشهای تجارت الکترونیک در بررسیهای مختلف و از منظرهای گوناگون مورد مطالعه قرارگرفته است و طبقه بندیهای مختلفی در این رابطه ارائه شده است. در یکی از این طبقه بندیها، ریسکهای موجود به چهار حوزه، ریسکهای مرتبط با اطلاعات شخصی - حریم خصوصی و امنیت - ، ریسکهای مرتبط با کیفیت و قیمت محصول، ریسکهای مرتبط با ارائه خدمات مشتری و ریسکهای مرتبط با قابلیت اطمینان کسب و کار تقسیم شده است
4. معرفی ابزارها، سرویسها و راهکارهای موجود برای ایجاد امنیت، افزایش اعتماد و کاهش ریسک در تجارت الکترونیک:
در قسمت تعاریف، آیتمهای اصلی امنیت مطرح شد، در این قسمت میخواهیم به چند مورد از مواردی که سبب دستیافتن به این آیتمها میشود بپردازیم. بطور کلی میتوان راهکارهای کاهش ریسک و افزایش اعتماد را به راهکارهای فنی و غیرفنی تقسیم کرد. راهکارهای غیرفنی شامل روشهای جامعهشناختی - شامل: ایجاد قوانین مناسب، آموزشهای عمومی، پشتیبانی از کسب و کار های الکترونیک و... - میشود.
1.4 راهکارهای فنی:
میتوان راهکارهای فنی را مهمترین و اساسی ترین روشهای ایجاد امنیت در تجارت الکترونیک نامید که با بهرهگیری از این روشها ریسک را به حداقل رساند. درواقع سایر راهکارها و عواملی که در زمینه کاهش ریسک مطرح میباشد - ازجمله روشهای غیرفنی - اکثرا در راستای ایجاد بسترهای موردنیاز برای اجرای راهکارهای فنی میباشند. بطور مختصر و صرفا جهت آشنایی مقدماتی با عوامل فنی به چندمورد از این موارد اشاره میکنیم:
· رمزنگاری - شامل رمزنگاری متقارن، نامتقارن و درهمساز - :
رمزنگاری عبارت است از تبدیل دادهها به ظاهری که نهایتا بدون داشتن یک کلید مخصوص قرائت آن غیرممکن باشد. هدف آن حفظ حریم خصوصی است یا پنهان نگاه داشتن اطلاعات از افرادی که نباید به آنها دسترسی داشته باشند
· امضاء دیجیتال:
میتوان آن را نوعی رمزنگاری نامتقارن خواند. هنگام مبادله اطلاعات بین دو نهاد یا فرد، فرستنده با امضای دیجیتال می تواند برای گیرنده اثبات هویت نماید و در واقع تضمینی برای شخص گیرنده میباشد که اطلاعات - دادههای دریافتی - جعلی نبوده و هیچگونه حمله، حذف، درج، تکرار و... درآن صورت نگرفته و اطلاعات دریافتی از سوی شخص مورد نظر میباشد.
این نوع امضا قویتر از امضای سنتی و دستی میباشد اما مشکلتر و سختتر است. هر فایلی که توسط گیرنده دریافت میشود دارای نوعی هویت به معنای امضاء دیجیتال است پس راهی برای انکار از سوی امضاکننده نیست، اما اگر کلید رمز شده - کلید خصوصی - لو رفته باشد دیگر این راه حل که به عنوان زمان اعتماد به مهر و امضا شناخته شده کارا نخواهد بود.
