Bezbednost Elektronskog Poslovanja Novo

7/27/2019 Bezbednost Elektronskog Poslovanja Novo

1/21

VISOKA KOLA ZA POSLOVNUEKONOMIJU I PREDUZETNITVO

BEOGRAD

SEMINARSKI RAD

Predmet: ELEKTRONSKO POSLOVANJE

BEZBEDNOST ELEKTRONSKOG POSLOVANJA

Mentor: Student:Prof. dr Nikola Braika Ivan Jevtovi

Broj indeksa 100-184-06


2/21

Beograd, novembar, 2008. godina.

Sadraj

BEZBEDNOST ELEKTRONSKOG POSLOVANJA

UVOD 2

1.PRAVNI INSTRUMENTI I NJIHOVA ULOGA U BEZBEDNOSTIELEKTRONSKOG POSLOVANJA 3

2.TEHNIKO-PRAVNA REENJA BEZBEDNOSTI ELEKTRONSKOGPOSLOVANJA 6

2.1. Digitalni novac 72.2. ifrovanje pomou kljua 102.3. Digitalni potpis 122.4. Digitalni sertifikati 142.5. SSL (Secure Socket Layer) 14

3. BUDUI RAZVOJ BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA 153.1. Upotreba ifrovanja privatne virtuelne mree (VPN) 16

4. ZAKLJUAK 18

5. LITERATURA 20

2


3/21

Rezime: Elektronsko poslovanje postalo je sinonim modernog, uspenog i efikasnog poslovanja. A da li je to uvek ba tako? Svakako da nije jer ni tradicionalni, klasini, oblici

poslovanja nisu poteeni razliitih malverzacija, mahinacija i zloupotreba. Privredni

kriminal pojavljuje se jo od davnina, a danas on dobija nove konotacije i novo okruenje. Sa

kompjuterskom tehnologijom ovaj kriminal postaje transnacionalan, briui razlike izmeu

zemalja, podruja, kontinenata.

Ravoj i ekspanzija kompjuterskih mrea otvorili su "breu" za nove oblike zloupotreba,

emu posebno pogoduje elektronsko poslovanje, kao nain obavljanja poslovnih transakcija

koje se preduzimaju i realizuju elektronski, pogotovo preko otvorenih mrea, kakav je

Internet. U ovom radu e biti vie rei o bezbednosti elektronskog poslovanja i o tokovima

budueg razvoja elektronskog poslovanja u bezbedonosnom smislu.

Kljune rei:elektronsko poslovanje, bezbednost

UVOD

Prema nedavno objavljenim podacima iz istraivanja amerikog Sekretarijata pravdkraa brojeva kreditnih kartica pogaa milione domainstava u SAD i nanosi im tetu

iznosu od 6,4 milijardi dolara. U prvom polugodi[tu 2007. godine, 3,6 miliona ameriki porodica je bilo pogoeno nekim vidom krae identiteta. U najveem broju sluajeva (sko50 posto) radilo se o krai brojeva kreditnih kartica, dok na prevaru sa bankovnim raunimotpada etvrtina zabeleenih sluajeva. Petnaest posto ispitanika bili su rtve kradljivaca lininformacija, dok je 12 posto uesnika istraivanja bilo oteeno kombinacijom dva ili vividova prevara.

Dve treine ispitanika su izjavile da su im prevaranti naneli novane gubitke, ijukupan iznos dostie 6,4 milijardi dolara. Najee rtve bili su mladi od 18 do 24 godineosobe sa godinjim prihodom veim od 75.000 dolara.Kako vrednost onlajn aktivnosti rasInternet postaje sve sloenija, kriminalizovanija i opasnija sredina. Iz sofisticiranih praksi, kto je phishing, bujaju onlajn krae identiteta i otimaina. Problem je sloen, jer se korenalazi u samoj osnovi Interneta.

3


4/21

Takvo poslovanje zahteva i namee, istovremeno, izgradnju novih principa i pravilije krenje moe predstavljati svojevrsne oblike zloupotreba. Problem postaje mnogkompleksniji sa injenicom da se pravila i principi kojima se definie i regulie elektronsk poslovanje vie ne nalaze u domenu drava, niti uobiajenih meunarodnih organizacijaasocijacija. Sve je znaajnija samoregulacija koja se spustila na nivo odgovarajuih udruenesto privatnih. Prenoenje nadlenosti otvorilo je brojne dileme i nametnulo posebna reenPored toga, pravila samoregulacije se razlikuju zavisno od asocijacije koja ih donosi to akteelektronskog poslovanja dovodi u zabunu.

Kada je Internet stvaran, ceo sistem je bio baziran na poverenju i njegovi tvorci nisrazmiljali o problemu digitalnog identiteta. Naknadno su se pojavili brojni sistemi, svaki svojim prednostima i manama, ali nijedan nije pruio odgovor na sve zahteve scenarij

digitalnog identiteta. Njihovo neprekidno gomilanje dovelo je do toga da aktuelno standigitalnog identiteta predstavlja neuklapajui obrazac ad hoc reenja. Svaki vebsajt nurazliita korisnika iskustva, viestruki pasvordi se nakupljaju, to sistem u celini ini veomosetljivim i ograniava punu ekspanziju elektronskog poslovanja i trgovine.

1. PRAVNI INSTRUMENTI I NJIHOVA ULOGA UBEZBEDNOSTI ELEKTRONSKOG POSLOVANJA

Internet je otvorena javna mrea dostupna svima.Uvek postoji mogunost da nekneovlaeno prati vau komunikaciju i to kasnije zloupotrebi. Zbog toga se u cilju njegoozbiljne primene u savremenom poslovanju mora pronai mehanizam koji e obezbediti:1

Zatitu tajnosti informacija (spreavanje otkrivanja njihovog sadraja) Integritet informacija (spreavanje neovlaene izmene informacija) Autentinost informacija (definisanje i provera identiteta poiljaoca)

Da bismo razumeli na kom nivou se nalazi bezbednost elektronskog poslovanja i d bismo shvatili kako bi nam bilo najlake i najpouzdanije da ga zatitimo moramo razume prevashodno osnovne principe elektronskog poslovanja.

1 Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007

4


5/21

Slika 1 Prikaz sveobuhvatnog elektronskog poslovanja i krajnih korisnika Interneta2

Kako elektronsko poslovanje omoguava izvravanje klasinih poslovnih zloupotrebkao to su prevare, finansijske malverzacije ili izbegavanje plaanja poreza na nov na potrebno ga je posebno regulisati jer se pravila i kontrolni mehanizmi klasinog poslovanja mogu primeniti. Meutim, to nije tako jednostavno, prvenstveno zato to je ova nova propulzivna oblast poslovanja u stalnim i brzim promenama. Pored toga, tehnologija koja primenjuje nije ograniena samo na jedan region ili zemlju, ve naprotiv. To, opet, sa svostrane dovodi da problema na koji postojei pravni sistemi ne daju zadovoljavajue odgovo poto je njihovo vanje ogranieno teritorijom drave u kojoj se primenjuje. Izlaz je pokuda se nae u meunarodnim organizacijama i telima tipa Ujedinjenih nacija, Svetsktrgovinske organizacije ili u okviru regionalnih ekonomskih blokova, kao to je Evropsk

Unija. Sporost u dogovaranju koja je posledica usaglaavanja stavova izmeu zainteresovandrava prouzrokuje relativnu neefikasnost ovih tela. Pored toga, njihove odluke su obavezsamo za one drave koje su se izjasnile da ih prihvataju.

Meutim, potrebe za smanjenjem trokova poslovanja i elja za poveanjem trit

2 http :// www .microsoft .com /communications /. (preuzeto 11.05.2008. godine)

5


6/21

koja je sublimirana u elektronskom poslovanju dovela je do toga da mnoge razvijene zemlubrzano pristupaju njegovom regulisanju. Ulogu meunarodnih organizacija vezanu zelektronsko poslavanje, moda, najbolje ilustruje OECD koji je 1996. godine doneo izave pod nazivom "Globalna informaciona infrastruktura - globalno informaciono drutvo prvenstveno namenjen vladama lanica ali zahvaljujui uticaju koji ima i drugim. U Izvetase istie globalni karakter elektronskog poslovanja i sugerie vladama, uvaavajui sv politike i pravne razlike izmeu drava, da potstiu digitalno poslovanje stvarajui uslove to manje poveanje regulacije. Kako nacionalna zakonodavstva nisu i nee biti direktn primenjiva u svim oblastima cyberspace poslovanja potrebno je regulaciji ovog podru pristupiti putem samoregulacije. Naroitu panju treba obratiti sigurnosti i autentinoselektronski dokumenata koja se razmenjuju izmeu subjekata iz razliitih drava kako bi o

bila pravno valjana. OECD predlae da se to pre doe do zajednikih stavova vezanih legalnost elektronskih dokumenata putem elektronskog potpisa.

Bez obzira to je u mnogim zemljama obavljanje poslovnih transakcija telefonom i/ifaksom uobiajena stvar izgleda da postoji psiholoka barijera za njihovo izvravanje puteInterneta. To je najverovatnije posledica dileme koja se javlja kod poslovnih subjekatavezana je za nadlenosti pravnih sistema na globalnoj raunarskoj mrei. Naime, postavlja pitanje koji pravni sistem e se koristiti u sluaju spopra u prekograninom prometu robausluga putem mree? Nalaenjem reenja za ovaj problem sigurno e pozitivno uticati nuspeh elektronskog poslovanja. Jedno od reenja bi moglo biti da je za pravne posledic proizale iz ugovora koji se odnose na elektronsko poslovanje nadlean pravni sistem teritorije gde se nalazi prodavac. Problem se uslonjava kada se posao vodi u nekolikzemalja. Takoe se postavlja pitanje da li je sedite prodavca u elektronskom poslavanju tamgde je lociran server sa koga on nudi svoju robu i usluge ili negde drugde U globalnoelektronskom poslovanju ubiajeno je da organizacija u nekoj zemlji ima server i nita vie, je naroito izraeno kod "virtualnih organizacija" koje sigurno ne podpadaju ni pod jed

geografski ogranien pravni sistem. SAD imaju najvie interesa da razvijaju elektronsk poslovanje, meutim, daleko je od toga da se to i desilo. "Okviri globalne elektronsktrgovine" iz 1997. godine predstavlja plan Vlade SAD u kome privatni sektor treba d preuzme inicijativu. Preduzete su akcije i na prilagoavanju Jednoobraznog trgovakozakona SAD. Po njemu ukoliko je omoguena on-line trgovina preko web site-a prodavac je

6


7/21

onoj dravi u kojoj je obavljena kupovina. Komisija Ujedinjenih nacija za meunarodntrgovako pravo (UNCITRAL)3 sainila je model zakona kojim se regulie elektronsko poslovanje. Bez obzira to se ovaj model bazira na zakonu o trgovini SAD, njegova namenije da pojedinanim zemljama preporui prilagoavanje amerikog modela njihovo pravnom sistemu ve da ukae na pravce moguih reenja koja e zavisiti od pravne tradicijinteresa svake zemlje da se ukljui u elektronsko poslovanje. Evropska Unija je svoju politiku oblasti elektronskog poslovanja deklarisala 1997. godine kao "Evropsku inicijativu u oblaelektronskog poslovanja". Na osnovu ove inicijative bliska su reenja koje su zemlje lani pojedinano donele u regulisanju digitalnog potpisa, sistema ifriranja i potvrde autentinost

Sporazum izmeu dva najvea trgovaka bloka, EU i SAD,4 vezan za elektronsko poslovanje trebao bi da rei glavninu problema koji ovaj tip poslovanja namee. On

zahvaljujui veliini ovih trita predstavljati i osnovu pravnog okruenja na globalnom niv jer ukoliko e neka zemalja hteti da posluje sa EU ili SAD morae da donese slian propis da mu pristupi. Mnogo je lake podsticati razliite zemlje da ovakav sporazum podrukljuujui se u njegov razvoj od poetka nego teiti naknadnoj harmonizaciji velikog bro pojedinanih prava. Usled nedostatka regulacije elektronskog poslovanja na globalnom nivnamee se zakljuak da je i za subjekte ovog poslovanja najbolje da sklope ugovor u kome se precizirati pravna nadlenost u sluaju bilo kog nesporazuma.

2. TEHNIKO-PRAVNA REENJA BEZBEDNOSTIELEKTRONSKOG POSLOVANJA

Bez obzira na rast poslovanja preko Interneta mnogim firmama web prezentacije slusamo za navoenje osnovnih podataka o njima i njihovim proizvodima. Predpostavlja se da

ta inercija posledica neadekvatnih reenja vezanih za sigurnost transakcija i autorizacijkorisnika. Ona ukljuuju "vatrene zidove", lozinke pristupa, smart kartice, biometrikidentifikaciju, tehnike ifriranja i zakonska reenja.

2.1. Digitalni novac

3 Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,20074 http://www.microsoft.com/communications/. (preuzeto 11.05.2008. godine)

7


8/21

Da bi elektronska trgovina mogla da zadovolji velika oekivanja koja se pred nju postavljaju, potrebno je da usluge plaanja budu ustanovljene i prihvaene i u poslovnim potroakim krugovima. Prepoznajui ovo, zaista sve zainteresovane strane u akademskiustanovama, vladama i finansijskim slubama istrauje razne tipove usluge plaanja kookruuju sisteme elektronskog plaanja i digitalne valute. Neki predloeni sistemelektronskog plaanja su jednostavne elektronske verzije postojeih sistema plaanja, kao su ekovi i kreditne kartice, dok se drugi zasnivaju tehnologiji digitalne valute, i predvia da e znaajnije uticati na dananje finansijske i monetarne sisteme. Dok popularna tampaoni koji razvijaju sisteme plaanja, predskazuju fundamenatalne promene u finansijskosektoru usled inovacija u elektronskom plaanju. Alan Grenspan, predsenik odbora guverne

sistema fundamentalnih rezervi smatra da e se elektronski novac rasprostirati polako i da igrati mnogo manju ulogu u naoj ekonomiji od one koju je istorijski odigrao privatni nov(Greenspan 1996). U svetskom bankarskom sistemu danas se gotovo sve novane transakcobavljaju u digitalnom obliku, putem raznovrsnih interbank mrea. Jedna od najveih takvmrea je CHIPS (Clearing House Interbank Payments System) i ona je jo daleke 1994.godiostvarila gotovo 120 miliona transakcija, u ukupnoj vrednosti od 500 triliona dolara. I dok bankarski sistemi elektronskim novcem slue decenijama, pojedinani potroai tek onedavno imaju mogunost da koriste elektronski novac na smislen nain. Rastua snaga i snia cena kunih raunara, u sprezi sa velikim napretkom u telekomunikacionimtehnologijama, koja je omoguila globalno povezivanje po izuzetno niskim cenama, uinili da digitalni transfer sredstava postane realnost za milione ljudi irom sveta. Kao rezultat togsvedoci smo nezaustavljivog razvoja digitalne ekonomije.

Da bi sistem digitalne valute mogao da ostvari svoju namenu, neophodno je ispunjenjnekih uslova, a to je pre svega postojanje mogunosti trenutnog sravnavanja sredstavaobezbeenje pune bezbednosti transakcija, kroz snaan sistem enkripcije. Neophodni su

velika brzina prenosa podataka, jednostavan i ekonomian pristup servisima, kao i personaraunari sa odgovarajuim softverom. Budui da se velika brzina prenosa informacija savremenim telekomunikacionim sistemima podrazumeva, najznaajniji problem predstavl bezbednost podataka koji se prenose digitalnim putem, budui da i najmanja greka ineopreznost mogu potpuno da urue kompletnu transakciju. Tehnologije digitalne enkripcije

8


9/21

potpisa (vidljivih i nevidljivih) upravo omoguuju postojanje elektronskog novca. Ovi sisteukljuuju, jednostavno reeno, dve vrste kljueva za ifriranje: privatni, koji je poznat samvlasniku sredstava i javni, koji je dostupan svima. Informacije koje privatni kljuevi ifriraj javni mogu da deifruju i obrnuto. Banke i klijenti koriste svoje kljueve da ifriraju (razaitite) i potpisuju (u cilju identifikacije) blokove digitalnih podataka koji predstavljajnovana sredstva. Banke potpisuju novane naloge koristei se privatnim kljuevima, a ta potpisane naloge stranke i deponenti proveravaju koristei se baninim javnim kljuem. druge strane, klijenti se privatnim kljuem slue tokom polaganja depozita ili podizanja novcda bi banka putem javnog kljua korisnika proverila verodostojnost takvog naloga. U osno postoje dve vrste e-novca: identifikovan i anoniman (digitalni novac u uem smisluIdentifikovan je onaj elektronski novac koji sadri informaciju o identitetu osobe koja njim

manipulie i koji, slino kreditnim karticama, banci omoguuje da precizno prati cirkulacinovanih sredstava na tritu. Anoniman e-novac radi slino papirnom novcu: kada se taknovac jednom povue sa rauna, vie ne postoji nain da mu se ue u trag, odnosno da se voevidencija o njegovoj transakciji, to je u prvom sluaju lako izvodljivo. Dalje, obe vrste mogu ralaniti na jo dve kategorije. Kada se koristi tzv. onlajn e-novac, tokom svaktransakcije je neophodno uspostaviti vezu sa bankom (putem modema ili mree), tako da procesu prenosa sredstava uvek uestvuju tri elementa: kupac, banka i prodavac. Kada se pkoristi oflajn elektronski novac, transakcija se moe obaviti bez direktnog upliva banke. Oflanovac je najkompleksnija forma elektronskog novca, najvie zbog toga to je povezan problemom dvostruke potronje. Naime, elektronski novac se, budui da je digitalni zapmoe umnoavati u bezbroj kopija koje se ni po emu ne razlikuju od originala. Takve kopi bi bilo nemogue identifikovati, pa bi u jednom hipotetikom, trivijalnom e-money sistemkorisnik preko noi mogao da umnoi svoje bogatstvo do nesluenih razmera. Dovoljno bilo da se jedan isti e-novac kopira i potom potroi na dva mesta i ve kroz nekoliko satinovani saldo bi probio plafon.

U onlajn sistemu se taj problem reava jednostavno: tokom svake transakcije sidentitet elektronskog novca proverava direktno u bankarskom raunaru, koji vodi strogevidenciju o toku novanih sredstava i uredno belei sve pakete novca koji je u jednomtrenutku negde utroen. U vrlo kratkom roku prodavac dobija od banke podatak da li novkoji mu je ponuen ima realnu osnovu, odnosno da li je prethodno ve negde iskoriten. Jas

9


10/21

je potpuna analogija sa proverom validnosti kreditnih kartica tokom gotovinskog plaanjEvidencija potronje e-novca u oflajn sistemu je sloenija i odvija se na nekoliko nainJedna varijanta ukljuuje korienje naroitih memorijskih kartica sa ipovima, u kojima belee sve transakcije i vodi evidencija o sredstvima koja su utroena (tzv. Observer ipovAko bi korisnik sa takvom karticom pokuao da ista sredstva kopira i potroi ih dva putObserver ip bi obustavio transakciju. Budui da je kartica zatiena od upisivanja podatakkorisnik ne bi imao mogunost da koriguje podatke iz evidencije, a da pritom ne izazovtrajno oteenje memorijske kartice. Drugi nain kojim se u oflajn sistemu onemoguavdvostruko troenje je dosta sloeniji i ukljuuje neto drugaiji sistem konstrukcije e-novca.tom sluaju, koji se sutinski ne razlikuje od sistema identifikovanog e-novca, u kodigitalnog novca i rutinu za ifrovanje se upisuju informacije o identitetu osobe koja njim

manipulie, tako da bi svaki paket bio praktino potpisan i identifikacija prekrioca bi bisasvim jednostavna; svakako bi bilo i manje pokuaja nelegalnog kopiranja, budui da korisnik bio svestan da moe biti lako uhvaen. Pri tome, razlika izmeu oflajidentifikovanog i oflajn anonimnog e-novca bi, u ovom sistemu, bila u tome to bi banka prvom sluaju imala informacije o vlasniku sredstava, bez izuzetka, dok bi se u drugosluaju ti podaci pojavili samo kada bi korisnik pokuao da novac kopira, a ukoliko bi transakcija obavila legalnim putem, taj novac bi ostao neobeleen. Prednost ovakvosistema je u manjim trokovima implementacije, budui da korisnicima u tom sluaju ne bile potrebne nikakve memorijske kartice.

Od naroitog znaaja i interesa su digitalni proizvodi. Ovi proizvodi semogu da s prodaju i kupuju na tritu to i odreuje njihovu vrednost, korisnost i profitabilnost. K proizvodi sa kojima moe da se trguje, oni treba da budu podvrgnuti i diferencijalizaci proizvoda i problemu nesigurnosti kvaliteta. Ono to omoguuje da se svaki menahiza plaanja obradi elektronski je i injenica da za razliku od novca, novanica ili metalnog novkoji nose monetarnu vrednost, negotovinski mehanizmi predstavljaju jemstvo plaanja

ugovor o plaanju. Zasnivaju se na informaciji koja sledi posle transakcije, odgovarajukonta koja predstavlja novani zapis, reguliu se izmeu banaka i finansijskih institucijekovi su prvobitni primer gde se, u stvari, na bezvrednom paretu papira, prenosi vaninformacija koja se razmenjuje za izmirenje rauna.

2.2. ifrovanje pomou kljua

10


11/21

Kriptografija kao nauka koja se bavi metodama ouvanja tajnosti informacija prureenje ovog problema. Pre nego to preemo na prikaz i objanjenje razliitih sistemifrovanja podataka koji su danas u upotrebi, potrebno je objasniti osnovne elemenkriptografije:

1. ifrovanje - postupak transformacije itljivog teksta u oblik neitljiv zaonoga kome taj tekst nije namenjen.

2. deifrovanje - postupak vraanja ifrovanog teksta u itljiv oblik 3. klju - poetna vrednost algoritma kojim se vri ifrovanje.

ema 1 Prikaz ifrovanja kljuem5

Prvi sistem koji emo predstaviti koristi metod ifrovanja tajnim kljuem. ifrovanjtajnim kljuem (Simetrino ifrovanje) jeste ifarski sistem kod koga je klju za ifrovan

identian kljuu za deifrovanje. to znai da i poiljalac i primalac poruke koriste isti tajklju. Svako ko na bilo koji nain sazna njegovu vrednost mogao bi da ita i modifikuje sv poruke koje meusobno razmenjuju poiljalac i primalac poruke,a da to ostane neprimeenPostoji jo jedan problem, ako jedan od njih eli da komunicira sa vie poslovnih partnemora da obezbedi razliit klju za svakog primaoca, kako bi se izbegla mogunost da bilo ko primalac ita poruke koje mu nisu namenjene. Reenje ovih problema je pronaeno u visistema ifrovanja javnim kljuem (Asimetrini ifarski sistem). U njemu svaki uesnik komunikaciji koristi dva kljua. Jedan klju je javni i moe se slobodno distribuirati, dok drugi tajni i dostupan je samo njegovom vlasniku. Iako su razliiti, kljuevi su meusobn povezani odreenim transformacijama. Poznavanje jednog kljua i algoritma transformacije omoguava dobijanje drugog kljua. Najbitnije je da se tajni klju u celom postupkkomunikacije nigde ne alje jer nepostoji potreba da bilo ko sem njegovog vlasnika bud

5 Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007

11


12/21

upoznat s njim. to znai da moete bilo kome da poaljete ifrovanu poruku ako znate javklju osobe kojoj aljete, a samo primalac svojim tajnim kljuem moe da deifruje porukOvaj sistem predstavlja reenje za prva dva uslova koja smo na poetku ovog teksta postavilZatitu tajnosti informacija i ouvanje njihovog integriteta. Ostaje otvoreno pitanje kako d primalac bude siguran da je poruku koju je primio zaista poslao poiljalac. Obezbeenautentinosti informacija tj. definisanje i provera identiteta poiljaoca postie se upotrebodigitalnih potpisa i digitalnih sertifikata. Na meunarodnom planu prve smernice koje odnose na ifriranje dokumenata vezanih za elektronsko poslovanje dao je OECD 199godine u obliku dva principa6:

- korisnik ima pravo izabora metode ifriranja, to je predmet primene prava;- osnovna prava pojedinca na privatnost ukljuuju tajnost komunikacija i zatitu podata

o linosti, to nee biti kreno nacionalnom politikom ifriranja.Tenja za to veom sigurnou na Internetu moe dovesti do veoma krute regulacij

metoda i sistema ifriranja dokumenata u nekim zemljama ili ekonomskim blokovima. Takvzakone e biti teko sprovoditi jer Internet nije pogodno mesto za restriktivna nacionalnzakonodavstva. Evropska Unija je 1994. u Direktivi o privatnosti podataka dala smernice ko predstavljaju zajedniku politiku vezanu i za elektronsko poslavanje. Na osnovu DirektiVelika Britanija je 1998. u svom Zakonu o zatiti podataka specificirala7: "Podaci o linostinee moi biti poslati u zemlje van evropskog ekonomskog podruja sve dok te zemlje teritorije ne obezbede odgovarajui nivo zatite prava i sloboda subjekata podataka u odnona obradu podataka o linosti." Meutim u Evropskoj Unije niko i nigde ne daje odgovore pitanja: Ko odluuje ta je to odgovarajue? Kako zaustaviti transfer? Kako spreiti da poda poslati u neku zemlju sa adekvatnom zatitom iz nje ne odu u neku drugu koja to nema? Ka je elektronsko poslovanje donelo i neke proizvode koje nemaju fizike karakteristike (n primer, softver) i koji se isporuuju samo u elektronskom obliku na elektronske adres postavlja se pitanje kako se oni mogu oporezovati. Kada su takvi proizvodi u pitanju od ju

1998. godine oni se u Evropskoj Uniji oporezuju kao usluge. Amerikanci stoje na stanovida nema razlike vezane za naplatu poreza izmeu proizvoda koji se mogu fiziki opipati i kosu kupljeni on-line ili u prodavnici jer se oni isporuuju na neku poznatu fiziku adresu. Asve su ovo parcijalna reenja. Jedno od reenja je moda porez koji je svojstven sam6 Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,20077 http://www.acm.org/pubs/citations/proceedings/cpr/2 99513/p19-burn/

12


13/21

Internetu, tako zvani "bit porez". Ideja o ovom porezu bazira se na tome da svaki bit ko putuje mreom predstavlja predmet oporezivanja po stopi koja je jedinstvena. On bi mogao se sakuplja u telefonskim centralama ili kod provajdera i da se dostavlja nadlenoj poreskslubi. Meutim, takav porez ne bi vodio rauna o prirodi podataka ili roba koje se kupuj Najvea koliina bitova na Internetu pripada deijim video igrama koje su u veini zemaljgde je razvijeno elektronsko poslovanje, osloboene poreza ili su oporezovane po najnistopi. Takoe je nejasno koja vlada bi preuzla porez koji je posledica prekograninog proto podataka.

2.3. Digitalni potpis

Jedan od najvanijih "tehnikih" reenja vezanih za elektronsko poslavanje je digital potpis. Digitalni potpis je tehnika ifriranja koja je "reila" glavni problem elektronsko poslovanja: strah od nedovoljne sigurnosti transakcija. Njime se obezbeuje integritet podatkodnosno omoguuje da podaci ostanu nepromenjeni tokom transakcije, i omoguuutvrivanje poiljaoca. Digitalnim ifriranjem se elektronski dokument, koji e se nalazatitransakcijama na Internetu, ini neitljivim svima koji nemaju klju za deifriranje. Samitim, poveava se sigurnost transfera poverljivih podataka. Identifikacija poiljaoca se obavl potvrdom autentinosti kod "poverljive tree strane". Poverljiva trea strana (TTP - TrustThird Party) je neko kome je dozvoljeno da proizvodi digitalne sertifikate autentinodigitalnog potpisa i u koju imaju poverenje obe zainteresovane strane za transakciju. Potvrautentinosti predstavlja dokaz da je vlasnik digitalnog potpisa upravo onaj koji tvrdi da jest Najrasprostanjenija metoda je metoda ifriranja javnim kljuem koja poiljaocu i primaocelektronske poruke dodeljuje dva kljua - jedan javni i jedan privatni. Javni klju se deponukod TTP. 8 Prava samo nekih zemalja su podrala upotrebu digitalnog potpisa bilo u oblikuzakona bilo preporuka. U SAD je svega devetnaest drava lanica pravno regulisalo ov

problematiku. Evropa je u blagom zaostatku. Prva zemlja u Evropi koja je pravno definisakorienje digitalnog potpisa je Velika Britanija, 1997., a za njom 1998. godine sledFrancuska i Nemaka, koja, ak, donosi poseban Zakon o digitalnom potpisu. Jo nek8 Pristup korienju digitalnog potpisa u svetu nije jednoobrazan. Meunarodna tela kao to su, na primer, IET(Internet Engineering Task Force) ili ISO (International Organization for Standardisation) rade na njegovostandardizaciji, a OECD i UNCITRAL daju upustva dravama kako pravno regulisati elekronsko poslovanje i/neke njegove delove.

13


14/21

evropske zemlje (vedska, Italija i Belgija) su najavile zakonsku regulaciju. Te iste godinEvropska komisija obznanjuje predlog Direktive o digitalnom potpisu, donete 1999. kosadri minumum zahteva za potvrdu elekteronskog potpisa naroito u prekograninitransakcijama. Direktiva predvia i saradnju sa treim zemljama ak do nivoa da sorganizacije za izdavanje sertifikata autentinosti nalaze na njihovoj teritoriji. Pored digitaln potpisa mogue je korienje i drugih naina ifriranja elektronskih dokumenata ili potvrautentinosti poiljaoca. Meutim, u mnogim zemljama se na mogunost primennestandardnih sistema ifriranja dokumenata od strane korisnika Interneta ne gled blagonaklono.

Priznaje se da je ifriranje veoma korisno sredstvo zatite podataka ali i da se onoristi u kriminalne svrhe. Kako bi se to spreilo odreene zemlje preduzimaju razliite mer

na primer: SAD - u jednom zakonskom predlogu iz 1998. godine bile su predviene kazne o5 do 10 godina zatvora za one koji koriste ifriranje dokumenata da bi prikrili svoje kriminalaktivnosti; Velika Britanija - pri regulaciji digitalnog potpisa, 1997., TTP ima ovlaenje d pored pristupa javnim kjuevima ima pristup i privatnim. Pored toga, u SAD postoji zakonszabrana izvoza, bez dozvole odgovarajuih institucija, softvera za ifriranje koji se baziraju "kljuu" koji je vei od 56 bita. Samim tim je dovedena u pitanje i mogunost njihovokorienja u poslovanju sa inostranstvom. Ovo ogranienje samo potvruje raireno miljenda neko negde kontrolie, naroito prekogranine, tokove podataka Internetom, a svakkontrola Interneta, naroito elektronske pote, predstavlja invaziju na privatnost korisnika.kontroli korisnika Interneta otilo se jo dalje. Vlada SAD je 1993. godine preduzela svkorake da ozakoni ureaj koji bi se nalazio u svakom raunaru i koji bi vrio automatskidentifikacju korisnika na mrei, Clipper Chip, u cilju spreavanja zloupotreba, odnosnotkrivanja poinilaca. Identifikaciju bi vrile dve vladine ustanove. Mnoge grupe boraca graanska prava, ne samo iz SAD, ovaj pokuaj legalizacije stalne kontrole korisnika Internei njihovih interesovanja, odnosno privatnosti za sada su spreile. Protiv nje su bile i vlad

pojedinih zemljama, naroito u Evropi.9

2.4. Digitalni sertifikati

Ako koristite sistem ifrovanja javnim kljuem i elite da nekom poaljete poruku

9 http://www.acm.org/pubs/citations/proceedings/cpr/2 99513/p19-burn/

14


15/21

morate prvo dobiti njegov javni klju. Meutim, kako moete biti sigurni da je to zaista njegklju? Reenje ovog problema postie se upotrebom digitalnih sertifikata . Moemo ih nazvi digitalnom Linom kartom, jer oni zaista to i jesu - digitalna lina karta u syber prostorusredstvo kojim ete vi ili osoba sa kojom komunicirate dokazati identitet na Internetu. Pona Internetu nema policije koja bi proverila vae podatke i izdala vam Linu kartu, pojavile se kompanije koje imaju ulogu 'tree strane', - CA Certificate Authority ija je uloga d provere i utvrde neiji identitet i nakon toga mu izdaju digitalni sertifikat. Kako to funkcioniu praksi npr. poiljaoc podnosi zahtev za izdavanje sertifikata CA kompaniji. CA proveravnjegov identitet na osnovu linih dokumenata koje im je prikazao pri podnoenju zahteva. A je sve u redu poiljaoc im prosleuje svoj javni klju za koji CA kreira digitalni potpis i naktoga izdaje sertifikat kojim se potvruje da taj javni klju zaista pripada poiljaocu. Ak

poiljaoc kasnije eli da komunicira sa nekim, pri prvom kontaktu mu alje digitalni sertifikasvoj javni klju. S obzirom da svi poznatiji komunikacioni programi u sebi ve imajukljuene javne kljueve CA kompanija kojima se veruje, primalac po prijemu ove poruklako utvruje validnost sertifikata poiljaoca.Digitalni sertifikat vaeg servera izdat od straCA mora da sadri sledee: naziv vae organizacije, dodatne podatke za identifikaciju,

Va javni klju, datum do koga vai va javni klju, ime CA koji je izdao digitalnsertifikat, jedinstveni serijski broj.Svi ovi podaci formiraju sertifikat koji se na kraju ifrukoristei tajni klju CA. Ako korisnik ima poverenja u CA i ima CA javni klju, moe bisiguran u ispravnost sertifikata. Najee korieni standard za digitalne sertifikate je X.50ta je SSL i kako funkcionie Secure Web server moete proitati u sledeem tekstu.

2.5. SSL (Secure Socket Layer)

SSL (Secure Socket Layer) protokol koji je razvila firma Netscape, je trenutnnajee korien metod za obavljanje sigurnih transakcija na mrei. Podrava ga veina We

servera kao i klijenata ukljuujui Microsoft Internet Explorer i Netscape Navigator.SSobezbeuje privatnost, integritet podataka i autentinost poiljalaca korienjem kombinaciifrovanja javnim kljuem, simetrinog ifrovanja, i digitalnih sertifikata. Transakcijkorienjem SSL protokola ukljuuje sledee aktivnosti:

server alje svoj digitalni sertifikat klijentu

15


16/21

klijent proverava da li je sertifikat izdat od strane CA klijent i server razmenjuju javne kljueve klijent generie tajni klju koji se koristi samo u zapoetoj transakciji.

klijent ifruje generisani tajni klju, korienjem serverovog javnogkljua i alje ga serveru.

3. BUDUI RAZVOJ BEZBEDNOSTI ELEKTRONSKOGPOSLOVANJA

Biranje najbolje virtuelne privatne mree za organizaciju moe da bude zbunjuju proces, imajui u vidu veliku ponudu na tritu. Proizvodi mogu da se, funkcionalno i pkarakteristikama, preklapaju u razliitoj meri. Najbolje reenje za organizaciju moe leaizmeu te dve krajnosti, kao kombinacija kupovine kod posrednika za Internet usluge i razvou sopstvenoj reiji. Virtuelna privatna mrea uspostavljena sopstvenim snagama moe dobezbedi maksimum fleksibilnosti i kontrole, ali i da ne bude vredna poetnih trokovasloenosti za male organizacije. Za vee organizacije, virtuelna privatna mrea zasnovana posredniku Internet usluga moe da bude upotrebljena kao pilot-instalacija ili privremenreenje, da bi se pomogla migracija ka sopstvenom sistemu. Sopstveno reenje e na dui routedeti vie novca i verovatno obezbediti veu fleksibilnost za pokrivanje svih potreb privatnosti u preduzeu.

Jednom kada je doneta odluka o tome da virtuelna privatna mrea moe da ponud privatnost i pogodnost Organizaciji u pogledu trokova u odnosu na tradicionalnuspostavljanja veza, preostaje samo da se odlui koji inioci najbolje odgovaraju situacij potrebama njenih mobilnih korisnika. Najverovatnije, VPN reenje koje e zadovoljiti sv

potrebe organiyacije lei negde izmeu proizvoda razvijenog u potpunosti sopstvenisnagama i kupovine svih usluga van sopstvene organizacije.

3.1. Upotreba ifrovanja privatne virtuelne mree (VPN)

16


17/21

ifrovanje je dalo organizacijama mnogo novih opcija za zatitu poverljivih podatakUpotreba ifrovanja u beinim komunikacijama uinila ih je isto toliko bezbednim kaosesije po zemaljskim linijama javnih komutiranih telefonskih mrea. Organizacije koje edodatnu bezbednost, ili one koje nameravaju da slobodno alju poverljive podatke prekInterneta ili bilo kog drugog komunikacionog medijuma, mogu da implementiraju ifrovankroz sve komunikacione linkove uspostavljanjem virtuelne privatne mree. Virtuelna privatmrea dozvoljava korisnicima da bezbedno alju podatke preko svih tipova veza, a moevelikoj meri da pojednostavi kontrolu postupaka bezbednosti i tedi novac preduzea prilikomobilnih pristupa. Ima mnogo VPN reenja izmeu potpuno samostalno uspostavljenih, jedne, i onih kupljenih kod posrednika, sa druge strane. Virtuelne privatne mreuspostavljene sopstvenim snagama nude visok nivo fleksibilnosti i kontrole, a mogu da ti

sve poverljive podatke im ovi napuste internu mreu preduzea. Meutim, takva reenmogu da budu preskupa za vrlo male organizacije. Virtuelne privatne mree kod posrednikInternet usluga dobre su kao male implementacije ili privremena reenja, ali treba posebnobratiti panju na pitanje da li zadovoljavaju potrebe mobilnih korisnika. Pravo reenje preduzee bie ono koje najbolje uspostavlja ravnoteu izmeu njegovih potreba u pogletrokova, kontrole postupaka i fleksibilnosti virtuelne privatne mree. Nastojanjima da stvori univerzalni sistem onlajn autentifikacije prikljuio se i Majkrosoft. Kompanija je 200godine lansirala Pasport - sistem koji je prikupljao osetljive, line informacije, kao to simena korisnika i brojevi njihovih kreditnih kartica i proputao ih do akreditovanih vebsajtovkako bi se overio korisnikov identitet (ID)10. Ovo je, meutim, podrazumevalo pohranjivanjeinformacija u centralnoj bazi podataka, ime je Majkrosoft bio stavljen u ulogu uvarkorisnikovih linih podataka. Sistem nije zaiveo, jer je izazivao prave none more oko pitan privatnosti. InfoKard11 je novi Majkrosoftov pokuaj, kod kojeg je pitanje privatnosti reenotako to e sve line informacija biti uvane od tree strane, kao to su, na primer, kompanikoje izdaju kreditne kartice. To je, uostalom, posao koji ove kompanije ve obavljaju

Majkrosoft je ve najavio da e sistem biti deo softver paketa sledee verzije vindovsa, kotreba da se nae u slobodnoj prodaji poetkom idue godine. Korisnici XP-a e program moda Sistem takoe generie javne i privatne ifrovane kljueve za overu transakcija. Privat

10 Mr Tatjana Kovaevi, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 200311 Mr Tatjana Kovaevi, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 2003

17


18/21

klju se uva na korisnikovom raunaru, dok se javni klju deli izmeu korisnika sertifikacionog autoriteta. Tokom kupovine, korisnik prvo pristupa virtuelnom novaniku "infokarticama", koji se nalazi na desktopu njegovog raunara. Pristup je ogranie pasvordom. Ovaj "master" pasvord se ne alje preko Interneta, ve se uva na bezbednom demaine. Na taj nain se onemoguava kraa pasvorda od strane hakera. InfoKard softver zatautomatski proverava digitalni potpis vebsajta i verifikuje da se radi o legitimnom mestuUkoliko sajt nema vaei sertifikat, znai da postoji mogunost da je u pitanju "lanjakSistem u tom sluaju ne dozvoljava korisniku prenos linih podataka. Ukoliko je sajt ispravaod njega stie zahtev za detaljima neophodnim za transakciju, kao to su broj korisnikovkartice, ime i adresa. InfoKard kao odgovor upuuje korisnika na digitalne kartice koje nalaze na desktopu raunara. Klik na odgovarajuu karticu tera program da propusti zahtev

detalje sertifikacionom autoritetu. Autoritet istog momenta verifikuje da je zahtev doao o prave osobe, traei od korisnikovog raunara da upotrebi privatni klju za deifrovanje ni bitova ifrovanih sa autoritetovim javnim kljuem. Ukoliko je sve u redu, autoritet generisertifikat koji sadri odgovarajuu informaciju, potpisuje je digitalnim potpisom i aljkorisniku. Klik na sertifikat prenosi informaciju do sajta i omoguava obavljanje trgovinIako zvui komplikovano, cela radnja e u stvarnosti zahtevati svega nekoliko sekundispasie korisnika od runog unosa linih podataka. Sem toga, sistem nudi mogunoformiranja razliitih kartica koje sadre samo odabranu informaciju. Na taj se nain moograniiti koliina linih podataka koju korisnik daje vebsajtovima. Takoe, mogu da sformiraju i kartice namenjene vebsajtovima koji zahtevaju samo identitet korisnika, ali neverifikaciju tree strane. To su, na primer, imejl vebsajtovi ili onlajn dnevne novine. Ovkartice e uvati privatni/javni klju za svaki vebsajt, tako da se oni mogu upotrebiti umes pasvorda. Strunjaci gledaju na novi sistem sa optimizmom i smatraju da e dodavankriptografskih kljueva znaajno poveati onlajn bezbednost. Kompanija Verisajn je venajavila da e obezbediti digitalni sertifikat za InfoKard. Slini sistem treba da dobiju

korisnici Epla i Linuksa kroz otvoreni projekat pod nazivom Higins. Projektom rukovoneprofitna fondacija Eklips, uz doprinos IBM-a. Virtuelni novanik za pomenute sistemmogao bi da bude spreman ve u junu.

4. ZAKLJUAK

18


19/21

Elektronsko poslovanje ne priznaje dravne granice to komplikuje naplatu poreza mnogim zemljama irom sveta. Kada se tome doda elektronski ke koji je osnovni obli plaanja kod ovog poslovanja problem postaje veoma kompleksan, jer tehnike mogunodozvoljavaju gotovo momentalni prenos gotovine sa jednog rauna na drugi, iz jedne zemljedrugu, bez evidentiranja prenosa. Pored toga, mnogi kupci i prodavci posluju samo sa svojelektronskih adresa koje se nalaze na besplatnim serverima i ne sadre podatke o njihovifizikim adresama. Iako, oigledno, postoji tenja da se elektronsko poslovanje regulinikako se ne smaju zanemariti ni svi oni koji se suprostavljaju toj tenji. Njihovi argumenmogu posluiti u sagledavanju propusta. Kao tri kljuna razloga contra navodi se sledee:

a) regulacija je jednostavno nepotrebna jer je najbolje da privatni sektor sam odlukako e delovati sa stanovita zatite elektronskog poslovanja;

b) davanje ovlaenja TTP umesto da povea sigurnost uinie elektronsko poslovanmanje sigurnim, zato to e centralizovani autoritet biti meta hakera, osetljiv na korupcijuzavisie od potenja zaposlenih; i

c) ideja da vladine agencije mogu imati pristup privatnim kljuevima osumnjienih zkriminal je pogrena. Kriminalci nee koristiti TTP.

Informacione tehnologije su pruile, kroz multimediju, nove oblike formiranja saoptavanja naunih i tehnolokih informacija, podiui komunikaciju, nauku i strunoblasti na novi, kvalitetno vii i bogatiji nivo. Tzv. elektronske konferencije, uz primenmultimedijalnih tehnologija, omoguavaju komunikacije izmeu uesnika koji su prostornrazdvojeni. Pri tome, novi vidovi raunarsko-komunikacione tehnologije stvaraju virtueln prisustvo koje ide toliko daleko da se i operativni zahvati mogu obavljati uz savete i voenod strane strunjaka koji su hiljade kilometara daleko od operacione sale (informaciona mreMEDLINE u SAD).Svrha digitalnog potpisa je da potvrdi autentinost sadraja poruke (dokda poruka nije promenjena na putu od poiljaoca do primaoca ), kao i da obezbedgarantovanje identiteta poiljaoca poruke.

Osnovu digitalnog potpisa ini sadraj same poruke. Poiljalac primenom odreenikriptografskih algoritama prvo od svoje poruke koja je proizvoljne duine stvara zapis fiksduine (pr. 512 ili 1024 bita) koji u potpunosti oslikava sadraj poruke. To prakticno znai svaka promena u sadraju poruke dovodi do promene potpisa. Ovako dobijen zapis on dalifruje svojim tajnim kljuem i tako formira digitalni potpis koje se alje zajedno sa porukom

19


20/21

Da vidimo kako to funkcionie na naem primeru. Poiljalac kreira digitalni potpis na osnov poruke koju eli da poalje primaocu. ifruje ga svojim tajnim kljuem i alje zajedno porukom. Primalac po prijemu poruke deifruje potpis poiljaoca njegovim javnim kljuemZatim primenom istog postupka kao i poiljaoc i primaoc kreira potpis na osnovu poruke ko je primila i uporeuje ga sa primljenim potpisom. Ako su potpisi identini, moe biti sigurada je poruku zaista poslao poiljaoc (jer je njegovim javnim kljuem uspeno deifrovo potpii da je ona stigla do njega nepromenjena (jer je utvrdo da su potpisi identini). I pored velisigurnosti koje prua ovaj metod zatite, i dalje postoji mogunost prevare. Neko je moga poslati primaocu svoj javni klju tvrdei da je od poiljaoca, a zatim mu slati poruke za ko bi on mislo da ih alje poiljaoc.

Reenje ovog problema prua upotreba digitalnih sertifikata. Kada su banke ponudi

ovaj vid poslovanja, neizbeno je pokrenuto pitanje bezbednosti. Strah od nedovoljn bezbednosti u velikoj meri odbija klijente. Spektakularni neovlaeni transferi novansredstava, koje gledamo svakodnevno na filmovima, su nemogui kako nas uveravaju banna svojim sajtovima. Banke sada ulau velika novana sredstva za odravanje sistema pa shodno tome garantuje i bezbednost. Trenutno se za obezbeenje transakcija koristi 128-bitifriranje, 128-bitna kombinacija simetrinih i asimetrisnih algoritama, koja kako i samstrunjaci za bezbednost kau nije neprobojna ali je veoma spora i neuporedivo vie konego to bi bilo isplativo. injenica da su meu prvim korisnocima ovog naina plaanja biinformatie firme treba da ohrabri budue korisnike.

Moemo da zakljuimo nakraju ovog seminarskog rada da je najvei problem pitanj bezbednosti rada tj. zatita podataka od neovlaenog pristupa i promena, i zatita kreditnkartica prilikom kupovine preko mree i sl. To je problem koji zahteva vee tehnike organizacione inovacije, kako bi se u to veoj meri spreile zloupotrebe. Potrebno je budunosti reavati i pitanja zatite autorskih prava, zatite privatnosti pojedinaca i zatita kompjuterskih virusa.

5. LITERATURA

20


21/21

1. Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,20072. Dr Hasan Hani, Leksikon poslovne informatike, Znak, Beograd, 1995. godine3. Mr Tatjana Kovaevi, Elektronsko poslovanje, skripta, Megatrend Univerzite

primenjenih nauka, 2001-20034. David Kosiur, Understanding Electronic Commerce, Microsoft Press 1997.5. http://www.posdata/virtual.htm (preuzeto 11.05.2008. godine)6. http://www.microsoft.com/communications/ . (preuzeto 11.11.2008. godine)7. http://www.ariadne.ac.uk/issue17/teleworking/(preuzeto 12.112008. godine)
http://www.ariadne.ac.uk/issue17/teleworking/http://www.ariadne.ac.uk/issue17/teleworking/

Documents

Bezbednost Elektronskog Poslovanja Novo