„Bezpieczenstwo transakcji dokonywanych przez internet”
„Bezpieczenstwo transakcji dokonywanych przez internet”
SPIS TRESCI:
1. wstep,
2. dane na temat transakcji internetowych,
3. bezpieczne uslugi bankow,
4. zakupy przez internet,
5. badanie Urzedu Ochrony Konsumentow i Konkurenscji.
6. zrodla.
7. zalacznik-wybrane aspekty raportu UOKiK,
WSTEP
Technika komputerowa rozwinela sie od nielicznych doswiadczalnych urzadzen budowlanych w latach czterdziestych do obecnie produkowanych masowo zlozonych systemow informatychnych.
Informatyka wraz z dobrodziejstwami cywilizacyjnymi i kulturowymi wniosla takze niebezpieczenstwa- mozliwosc niepozadanego ujawnienia, modyfikacji i niszczenia informacji. Sa to jej efekty uboczne i jednoczesnie cena nowoczesnosci.
Ataki na witryny rzadowe, wlamania do serwerow dostarczycieli uslug internetowych, oszustwa zwiazane z operacjami finansowymi realizowanymi za pomoca elektronicznych kart kredytowych, debetowych, naruszenia prywatnosci osobistej dokonywane przez dostarczycieli uslug internetowych oraz hackero- te wszystkie elementy to oblicza Wide Web, ktore plyna wraz z korzysciami internetu.
Niezaleznie od tego, czy jestes zwyczajnym, ostroznym „internauta”, czy tez administratorem niezwykle waznego serwera WWW, moze, ale oczywiscie nie musi przytrafic sie tobie.
Powszechnie mowi sie, ze w internecie zadna informacja nie jest bezpieczna. Amatorzy podsluchu sieciowego skrupulatnie przegladaja logi w poszukiwaniu naszych hasel, hakerzy wlamuja sie na pilnie strzezine serwery, a zlosliwcy, gdzie tylko popadnie, podkladaja wirusy i konie trojanskie. Wielu z nas czesto korzysta z bezpiecznych polaczen WWW i nie zastanawiamy sie nawet, jak to sie dzieje, ze w tym informacyjnym gaszczu nasze tajemnice sa naprawde bezpieszne.
Zagadnienia zwiazane z bezpieczenstwem internetu (w szerokim tego slowa znaczeniu) zyskuja coraz bardziej na znaczeniu, aczkolwiek poziom swiadomosci osob korzystajacych z internetu co do rangi tych zagadnien pozostawia jeszcze wiele do zyczenia. Zdaniem profesjonalistow jednym z najlepszych zabezpieczen systemow informatycznych jest wiedza na temat ochrony informacji.
DANE NA TEMAT TRANSAKCJI INTERNETOWYCH.
Polski handel elektroniczny dynamicznie sie rozwija, a laczna wartosc transakcji (bez uwzglednienia platform platniczych) w 2003 roku wyniosla blisko 300 mln zl. Rosnie udzial kart platniczych w platnosciach internetowych, znaczaco wzrosla tel liczba polskich sklepow internetowych przyjmujacych zaplate kartami platniczymi: okolo 460 na koniec 2002 roku i okolo 750 w grudniu 2003 roku.
W Polsce w ubieglym roku udzial platnosci regulowanych kartami w calkowitych obrotach handlu elekrtonicznego wzrosl o 23% (w porownaniu do roku 2003), choc najczestszym sposobem platnosci za zakupy w internecie ciegle jest zaliczenie pocztowe. Wynika z tego, ze Polscy internauci „boja sie” uzywac kart platniczych w sieci. Jednak w skali calego swiata za towary i uslugi zakupione w internecie ponad 86% konsumentow placi kartami platniczymi.
Handel w internecie jest najbardziej rozwiniety w Stanach Zjednoczonych, na ktore przypada ponad 66% sprzedazy (dane z 2002r). Drugim regionem z bardzo rozwinietym handlem elektronicznym sa kraje Unii Europejskiej, na ktore przypada 25% swiatowego e-handlu (dane z 2002 roku).
Wartosc transakcji polskiego elektronicznego oplaconych kartami w 2002 roku wyniosla 68,9 mln zl- „transakcje handlu elektronicznego w Polsce to ciagle niewielka calosc platnosci dokonywanych kartami. Cieszy nas wysoka dynamika pozwoju tego handlu”- stwierdzila Malgorzata O\'Shauqhessy, dyrektor generalna Visa International w Polsce.
Popularnosc transakcji dokonywanych przez internet ciagle rosnie, w koncu o wiele latwiej w zimny, deszczowy dzien usiasc przed komputerem, kupic wybrany towar i zaplacic karta platnicza- nie wychodzac z cieplego domu!
Kazdego konsumenta transakcji internetowych zastanawia, wszesniej czy pozniej, czy na pewno te wszystkie zabezpieczenia zapewniaja wlasciwe bezpieczenstwo!
BEZPIECZNE USLUGI BANKOW.
W kazdej placowce mozna uzyskac zapewnienia- „tak, oczywiscie, nasz system internetowy jest bezpieczny”. Kazdy e-bank zapewnia, ze dzieki zastosowaniu najnowoczesniejszych technik kryptograficznych pieniadze klientow sa calkowicie bezpieczne. Stwierdzenie to jest prawdziwe jedynie w zalozeniu, ze nikt nie bedzie probowal obejsc stosowanych zabezpieczen. Mozna to porownac do zamykania drzwijedynie na zwyczajny zamek- czlowiek z ulicy nie wlamie sie, ale zlodziej z wytrychem pokona takie zabezpieczenie bez zadnego problemu.
Internetowe konta bankowe od poczatku istnienia byly obiektem zainteresowan hacker- wlamywaczy.
Adrian Borowski w swoim artykule („Sejf na skobel” z 16 kwietnia 2002 roku) sledzi metody autoryzacji, uporzadkowanie zawartych informacji i bezpieczenstwo e-bankow, przeglad zaczyna od najprostrzego sposobu kontroli dostepu do konta, czyli za pomoca identyfikatora i hasla. Citibank i LG Petro Bank, ktore zdecydowaly sie na taka metode, postawily na wygode uzytkownika, rezygnujac z bezpieszenstwa. W tych bankach po podaniu dwoch ciagow znakow uzyskujemy dostęp do rachunku i mozliwosc dokonywania wszystkich operacji. Czy mozemy polegaćc jedynie na takim sposobie autoryzacji? Zdobycie hasła oraz nazwy uzytkownika przy uzyciu np. konia trojanskiego jest bardzo łatwe. Jeszcze prostsze jest zwykłe podgladanie przez ramie lub wykorzystanie mechanizmu autouzupełniania dla formularzy w przegladarce WWW.
Citibank wprowadzil w styczniu mozliwosc zamiany czterocyfrowgo PIN-u na i-PIN, ktory moze miec do dwunastu znakow. Jednak zmiana majaca poprawic bezpieczenstwo jeszcze bardziej je obnizyla, gdyz nowy, dłuzszy i-PIN tylko prowokuje do jego zapisywania. W systemie Citibank Online funkcje identyfikatora pełni numer karty kredytowej. Dodatkowo Citibank pozwala zdefiniowac przyjazna nazwę uzytkownika, zastępujaca ten numer. Nawet jezeli zalozymy, ze zdobycie lub zapamietanie informacji o karcie nie jest zadaniem bardzo latwym, to z nazwą uzytkownika moze byc juz o wiele prosciej.
Niestety, w obu przypadkach (Citibanku i LG Petro Banku) to klient jest odpowiedzialny za wszystkie operacje i dyspozycje skladane w systemie po uzyciu identyfikatora i hasła. O tym, że ktos zdobyl nasze dane, przekonamy się najwczesniej, gdy z naszego rachunku znikna pierwsze pieniadze. Niewielkim pocieszeniem bedzie wowczas mozliwosc zablokowania oproznionego juz konta. Dlatego w powyzszych przypadkach najlepiej okreslic dosc niski dzienny limit transakcji. Jezeli jednoczesnie bedziemy czesto kontrolowali stan rachunku, mamy szanse ustrzec sie przed wiekszymi stratami.
To, na czym Citibank i LG Petro Bank koncza proces uwierzytelniania, w pozostałych bankach jest dopiero poczatkiem. Tam, oprocz identyfikatora i hasła, uzywane sa dodatkowe metody zabezpieczania operacji.
Bank BPH i Bank Slaski stosuja przy wejsciu do systemu hasło maskowane, a do cyfrowego podpisywania transakcji - klucz prywatny zabezpieczony kodem. Jednak jezeli bedziemy przechowywali klucz na serwrze bankowym, to nie zwiekszymy bezpieczenstwa. Rachunek bedzie chroniony po prostu jeszcze jednym ciagiem znakow, ktory zlodziej bedzie mogł zdobyc podobnie jak nazwe uzytkownika.
Znajac jedynie identyfikator i hasło, mozna przegladac stan i inne dane konta. Dlatego jedyna zaleta systemow Banku BPH i Banku Slaskiego jest wykorzystanie hasel maskowanych do zalogowania sie w systemie. Poniewaz przy kazdym wchodzeniu do systemu proszeni jestesmy o losowo wybrane litery z całego kodu (w BSK sposrod 32 znakow, a w BPH sposrod od 8 do 70 znakow), potencjalny intruz potrzebuje wiecej czasu na podejrzenie całego hasła.
Przeniesienie klucza prywatnego na dysk lokalny komputera znacznie zwieksza poziom bezpieczenstwa - o ile nie udostepnimy nikomu naszej maszyny. Zaplacimy za to koniecznoscia dokonywania operacji zawsze z tego samego miejsca, co czasami moze byc niewygodne. Wciąz mozliwe bedzie jednak \"oczyszczenie\" naszego konta przez kogos, komu uda się przejac kontrole nad maszyna - czy to siadajac przy niej, czy tez zdalnie, za pomoca konia trojanskiego. Bezpieczenstwo podnosi znacznie dopiero umieszczenie klucza np. na dyskietce. Wowczas nasze oszczednosci beda chronione tak dobrze, jak my sami bedziemy dbali o ten nosnik. Pamietajmy przy tym, ze zle pilnowana dyskietke mozna skopiować. W takim wypadku nasz rachunek bankowy stanie przed rabusiami otworem, o czym mozemy sie dowiedziec dopiero po jego oproznieniu.
Wspolczesne systemy operacyjne sa tak zlozone, ze nigdy nie ma pewnosci co do ich bezpieczenstwa. Zawieraja one wciaz odkrywane bledy i pozwalaja na instalowanie oprogramowania szpiegujacego. Nie mamy wiec pewnosci, czy wiemy o wszystkich „tylnych wejsciach” do naszego systemu. Plagi robakow internetowych i trojanow rozsylanych e-mailami oraz czeste krytyczne poprawki do systemow sa tego dowodem. Rodzi sie tez pytanie: czy mozemy ufac naszemu operatorowi lub dostawcy internetu oraz pozostalym uzytkownikom naszej sieci? Odpowiedz brzmi: nie - szczegolnie w sieciach osiedlowych, gdzie mamy bezposrednie połaczenie z wieloma potencjalnymi przestepcami.
Wnioski z tego sa niepokojace. A przeciez nie wszyscy mamy czas i ochote na zglebianie tajnikow kryptografii i pilnowanie się za kazdym razem, gdy chcemy zarzadzac swoimi pieniedzmi. Powinnismy jednak byc swiadomi, na co jestesmy narazeni, abysmy mogli skutecznie chronic sie przed zagrozeniami.
Wobec przytlaczajacej liczby doniesien o „dziurach” umozliwiajacych atakujacemu przejecie calkowitej kontroli nad systemem. Nie przemawiaja za tym takze setki tysiecy robakow sieciowych i koni trojanskich rozsyłanych w kazdej sekundzie w internecie. Symantec ostrzegał niedawno przed kolejnym tego typu programem o nazwie Backdoor.Nibu.H. Stworzono go specjalnie do przechwytywania danych wprowadzanych podczas korzystania z kont internetowych. Bledy znajduje się takze na serwerach. Usterka w ISS-ie została wykorzystana przez rosyjskich hakerów do przechwycenia danych z 50 witryn bankowosci internetowej.
ZAKUPY PRZEZ INTERNET.
Sieciowe transakcje to przede wszystkim bardzo szeroka oferta oraz atrakcyjne ceny towarów. Popularnosc nowej formy wymiany dobr została takze zauwazona przez przestepcow. Dlatego tez kiedy goscimy na internetowych licytacjach, konieczne jest zachowanie umiaru i zdrowego rozsadku. Dzieki temu unikniemy nieprzyjemności dwojakiego rodzaju. Po pierwsze, nikt nie \"wydrenuje\" naszego portfela. Po drugie (i moze wazniejsze), nie staniemy sie mimowolnymi sprawcami przestepstwa. Jezeli ochoczo kupujemy najnowszy procesor za 100 złotych, to niewykluczone, że pozniej przyjdzie nam sie tlumaczyc przed sadem ze wspołpracy z paserem.
Robiac zakupy przez siec, powinnismy zachowac szczegolna ostroznosc. Konieczne jest dokładne zapoznanie się z opisem oferowanego przez sprzedawce przedmiotu. Jesli charakterystyka towaru wydaje się nam zbyt lakoniczna, nie bojmy się zadawać pytan i nie wstydzmy sie tego, ze moga one sprawiac wrazenie naiwnych. Jak mawia przysłowie: nie ma glupich pytan- sa tylko glupie odpowiedzi. Powinnismy ustalic nie tylko stan techniczny przedmiotu, ktory chcemy nabyc, ale tez zawartosc oferowanego zestawu. Nie zaszkodzi dokladnie okreslic wszelkich kosztow zwiazanych z dostarczeniem zakupionej rzeczy. Takie dodatkowe oplaty bywaja czasem wielkim zaskoczeniem.
Duza ilosc firm udostepniajacych narzedzia do prowadzenia internetowych aukcji pobiera prowizje od zawartych transakcji. Najczesciej oplata taka jest obliczana na podstawie wartosci sprzedanego przedmiotu. W takiej sytuacji niektorzy sprzedawcy, chcac ominac koniecznosc zaplaty, oferuja towar za znacznie zanizona cene, by pozniej \"odbic straty\", podnoszac koszty za przeslanie towaru. Tego rodzaju zachowanie nie dosc ze sprzeczne jest z zasadami obowiazujacymi w wiekszosci serwisow, to moze narazic kupujacego na wysokie wydatki.
Nalezy zwrocic baczna uwage na to, z kim mamy przeprowadzic transakcje. Coraz czesciej zdarza sie, iz oszusci podszywaja sie pod uzytkownikow, ktorzy zgromadzili znaczna liczbe pozytywnych komentarzy. Wystarczy nieco zmieniona nazwa kontrahenta, aby kupujacy nie zauwazył, ze dostawca towaru jest osoba inna niz ta, ktora cieszy się dobra opinia wsrod uzytkownikow portalu.
Najlepiej traktowac tez z rezerwa wszelkie pojawiajace sie podczas aukcji informacje typu: \"Ja, Stefan11, z takiego a takiego powodu musialem zmienic swoje konto. Obecnie uzywam identyfikatora Stefan.11\". Trudno uwierzyc, ze ktos, kto wyrobił sobie dobra marke, zrezygnuje z niej z jakichkolwiek przyczyn.
Inne zagadnienie to pojawiajace sie w ostatnim czasie \"kradzieze\" tozsamosci uzytkownikow i prowadzenie transakcji na ich konto. Tego rodzaju zachowania sa szczegolnie grozne. W razie powziecia jakichkolwiek podejzen nalezy bezzwlocznie skontaktowac sie z działem bezpieczenstwa serwisu aukcyjnego.
To, ze zawieramy transakcje z osoba budzaca do tej pory zaufanie, takze nie zwalnia nas z obowiazku zachowania minimum zdrowego rozsadku. Dobrym sposobem wyludzenia pieniedzy od naiwnych jest zalozenie konta i przeprowadzenie szeregu (kilkunastu lub kilkudziesieciu) transakcji, ktorych przedmiotem byly rzeczy praktyczne nic niewarte. Oszust zdobywa upragnione pozytywne komentarze, ktore sugerują, ze mamy do czynienia z rzetelnym kontrahentem.
Niewystarczajace zatem bedzie dokladne sprawdzenie nazwy uzytkownika, ale takze zapoznanie sie z jego wczesniejszymi aukcjami. Jesli do tej pory byl tylko kupujacym i do tego obracal rzeczami o niewielkiej wartosci, a nagle chce sprzedc najnowszy model amplitunera po zbyt okazyjnej cenie, nabierzmy duzego dystansu do takiej oferty. Na aukcjach ceny sa nizsze niz w klasycznych sklepach, lecz gdy ktos oferuje sprzet z piecdziesiecioprocentowym upustem, nalezy byc ostroznym.
W styczniu obiegła swiat sensacyjna wiadomosc o najwiekszej do tej pory kradziezy numerow kart kredytowych przez internet. Wywolala ona przerazenie wsrod wielu klientow sklepow online. Rosyjski haker probował wymusic 100 000 dolarow od amerykanskiej firmy zajmujacej sie sprzedaza wysylkowa CD Universe. Twierdzil, ze dysponuje 300 000 numerow waznych kart kredytowych. Kiedy firma odmowiła zaplaty, haker ukrywajacy się pod pseudonimem Maxus zaczal rozdawac numery przez internet i sprzedawac je za posrednictwem swojej strony WWW zainteresowanym oszustom. W ten sposob rozpowszechnil około 25 000 numerow, zanim FBI zamknela jego strone.
19-letni sprawca zostal wykryty dzieki kontu w jednym z bankow w Rydze. Nadal jednak nie wiadomo, w jaki sposob wszedl w posiadanie tajnych danych. Prawdopodobnie stało sie to mozliwe z powodu błedu w oprogramowaniu ktoregos z systemow e-commerce lub bazy danych.
Firmy prowadzace dzialalnosc w internecie nie sa bardziej narazone na oszustwa niz gdzie indziej, jednak transakcje zawierane poprzez siec sa zdecydowanie bardziej anonimowe. Z tego powodu przestepcy roznego rodzaju, od przypadkowych oszustow atakujacych z kawiarni internetowych az do zorganizowanych grup handlujacych kartami kredytowymi, maja poczucie wiekszej bezkarności. Do przestepstw najczesciej popelnianych w internecie nalezy poslugiwanie kradzionymi numerami kart kredytowych.
Na klientow sklepow internetowych czyhaja trzy rodzaje zagrozen:
• dane przesylane pomiedzy kupujacym a sprzedawca moga byc \"podsluchane\" przez osobe trzecia,
• zlodziej wykrada numer karty kredytowej, wlamujac sie do serwera, a nawet do komputera klienta,
• kupujacy zostaje oszukany przez nieuczciwego sprzedawce.
Jesli jednak chcemy korzystac z dobrodziejstw karty kredytowej i uzywac jej do placenia za zakupiony towar, mozemy te zagrozenia zminimalizowac. Soeren Sasse, szef dzialu uslug w firmie Europay obslugujacej karty Eurocard, radzi wszystkim kupujacym online, aby przed złozeniem pierwszego zamowienia w sklepie internetowym sprawdzili, czy firma, ktora go prowadzi, jest znana i godna zaufania. Nalezy tez zwrocic uwage na to, czy oferowane sa w nim jakies dodatkowe uslugi, jak duzy jest asortyment towarow, czy warunki sprzedazy opisane sa jasno i zrozumiale, a takze czy podany jest dokladny adres firmy. Sklepy, ktore powyzszych warunkow nie spelniaja, nie powinny zaslugiwac - zdaniem Sasse - na nasze zaufanie.
Wszystkie informacje o kliencie powinny byc przesylane przez internet w postaci zaszyfrowanej. Najpopularniejszym obecnie standardem szyfrowania danych jest tak zwany SSL (Secure Sockets Layer), stosowany w wiekszosci sklepow, ktore reklamuja sie jako bezpieczne. \"Nigdy nie przeslalbym numeru swojej karty kredytowej przez nieszyfrowane lącze\", ostrzega Sasse. Informacje przesylane odkrytym tekstem zbyt latwo moga wpasc w rece niepowolanych osob.
Kazdy moze bez problemu sprawdzic, czy przesylane informacje rzeczywiscie podlegaja szyfrowaniu - po nawiazaniu zabezpieczonego polaczenia przegladarka wyswietla w pasku stanu mała ikonke klodki albo klucza. Fakt, ze potwierdzenie szyfrowania uzyskujemy z wlasnej przegladarki, a nie ze strony WWW sklepu internetowego, stanowi dla nas dodatkową gwarancję bezpieczenstwa.
Pytanie o numer karty przed zlozeniem zamowienia jest podejrzane!
Powszechnie stosowanym sposobem na wyludzenie numeru karty kredytowej bez przyjmowania zamowienia jest zazadanie podania numeru w celu weryfikacji wieku przy probie skorzystania z serwisu przeznaczonego dla doroslych. Osoby zajmujace sie handlem internetowym radza, aby przed zlozeniem zamowienia dokladnie zapoznac sie z warunkami sprzedazy, zwracajac przy tym uwage na takie szczegoły, jak prawo do zwrotu towaru i koszty przesylki, ktore - szczegolnie w przypadku zakupow za granica - moga byc dosc wysokie.
Jesli rzeczy, ktore zamierzamy kupic, sa dla nas szczegolnie wazne lub bardzo zalezy nam na czasie, zakupy przez internet moga okazac sie niezbyt dobrym rozwiazaniem. Nieraz zdarza sie, ze zamowienie zlozone w mało znanym sklepie internetowym w ogole nie jest realizowane. Okazuje sie, ze wprawdzie strona z oferta jeszcze istnieje, ale obsługujaca ja firma już nie. Eliminacja \"czarnych owiec\" z grona sklepow internetowych lezy rowniez w interesie firm wydajacych karty kredytowe. Mastercard posunał sie tak daleko, ze w ramach akcji \"Shop Smart\" sprawdza kazdego sprzedawce i - jesli spełni odpowiednie wymogi - poleca jego sklep online jako solidny i bezpieczny.
TROCHE TEORII
Technika komputerowa rozwineła sie od nielicznych doswiadczalnych urzadzen budowanych w latach czterdziestych do obecnie produkowanych masowo, zlozonych systemow informatycznych. Skoro nawet w zyciu codziennym powierzamy pamietanie i przetwarzanie informacji maszynom, oczywiscie interesuje nas ich zdolnosc do ochrony wartosciowych danych. Aby uchronic sie przed zagrozeniami czyhajacymi dzisiaj w cyberprzestrzeni, nie wystarcza juz same zabezpieczenia typu firewall, ktore strzega jedynie zasobow serwera przed niechcianym dostępem. Zeby bezpiecznie przesylac wiadomosci pomiedzy komputerami, w tym rowniez do systemow bankowych, musimy skorzystac z mechanizmow opartych na zaawansowanej kryptografii. W tym celu opracowano m.in. protokol SSL pozwalajacy na uwierzytelnianie, negocjowanie uzytych algorytmow, wymiane kluczy i wreszcie szyfrowanie danych. Wszystkie te elementy razem daja nam gwarancje, ze polaczylismy sie z własciwa instytucja, a nie z kims, kto sie za nia podaje, oraz ze nasze dane sa przesylane bezpiecznie i nikt nie moze ich poznac. Druga strona (stosuja ja banki) dzieki technice podpisu cyfrowego takze ma pewnosc, ze nikt obcy nie podaje sie za nas oraz ze nie wyprzemy sie zadnej z dokonanych operacji.
Zarowno szyfrowanie, jak i deszyfrowanie sa wykonywane z wykorzystaniem tzw. kluczy kryptograficznych. Podczas przesylania danych przez internet poslugujemy sie, najogolniej mowiac, dwoma rodzajami algorytmow szyfrujacych - metoda kluczy symetrycznych oraz niesymetrycznych. Ponadto algorytmy symetryczne dziela sie na blokowe, w ktorych utajniane są cale, np. 64-bitowe, bloki danych, oraz strumieniowe, gdzie do przetwarzania pobiera się pojedyncze znaki.
Pierwszy sposob wykorzystuje jeden tajny kod - ten sam zarowno do szyfrowania, jak i deszyfrowania wiadomości. Oznacza to, ze znajac ciag uzyty do utajnienia wiadomosci, mozna ja odtajnic. Z tego powodu metoda ta nie jest doskonała. Musimy bowiem dysponowac sposobem bezpiecznego przekazania tajnego klucza drugiej osobie, poniewaz jesli dostanie sie on w niepowolane rece, wowczas cała korespondencja przestanie byc bezpieczna. Po drugie, obie strony musza byc przekonane, ze zadna z nich nie przekazała kodu nikomu obcemu. Po trzecie wreszcie, nie istnieje mozliwosc sprawdzenia, przez kogo zostala zaszyfrowana wiadomosc. Duzymi zaletami takiego szyfrowania jest jednak jego szybkosc, wydajnosc oraz odpornosc na proby zlamania.
Druga niesymetryczna metoda, zwana inaczej szyfrowaniem kluczem jawnym, wykorzystuje z kolei dwa kody - prywatny (tajny) i publiczny (jawny). Uzyskuje sie je, stosujac matematyczne przeksztalcenie, charakteryzujace sie tym, ze przy zastosowaniu dowolnych metod obliczeniowych nie ma mozliwosci wyznaczenia jednej wartosci na podstawie drugiej. Kazdy uzytkownik dysponuje swoja para kluczy oraz udostepnia publicznie jej czesc jawna. Jesli ktos chce wyslac wiadomosc, to szyfruje ja, korzystajac ze znanego klucza odbiorcy. Jedyna osoba, ktora odczyta przesylkę, bedzie jej adresat, gdyz tylko on moze uzyc swojego, trzymanego w tajemnicy klucza prywatnego. Proces ten, w odroznieniu od pierwszej omowionej metody, nie jest jednak symetryczny, poniewaz kod uzyty do utajnienia wiadomości nie pozwala na jej odtajnienie. W ten sposob zapewniona jest poufnosc przesylanych informacji.
Pierwsza metoda charakteryzuje sie wydajnoscia i odpornoscia na lamanie, ale wymaga przekazania klucza drugiej stronie. W drugiej zas nie ma problemu wymiany tajnego kodu, jednak jest ona zlozona i czasochlonna. Laczac zalety obu sposobow, uzyskano mechanizm umozliwiajacy przesylanie stron WWW przez internet. Na poczatku, przy zestawianiu polaczenia, wykorzystywana jest technika szyfrowania niesymetrycznego, dzieki ktorej utajnia sie i przesyła wygenerowany losowo jednorazowy klucz sesyjny. Sluzy on do zapewnienia bezpieczenstwa dalszej transmisji szyfrowanej juz za pomoca metody symetrycznej. W ten sposob wszystkie wymieniane dane sa kodowane szybko i bezpiecznie za pomocą symetrycznego klucza, natomiast zastosowanie czasochlonnego i zlozonego algorytmu ogranicza się do poczatkowej czesci transmisji. Na takiej zasadzie opiera sie wlasnie dzialanie protokołu SSL.
W zaleznosci od stosowanego algorytmu klucze uzywane do utajniania wiadomosci moga roznic sie dlugoscia. Rowniez przy kodowaniu tym samym szyfrem mozna posluzyc sie dluzszymi lub krotszymi wartosciami. Zwiekszenie dlugosci klucza o jeden bit podwaja ilosc mocy obliczeniowej potrzebnej do jego zlamania. Wiadomo, ze odgadniecie 56-bitowego klucza (dla szyfru symetrycznego DES) za pomoca najszybszego komputera powszechnego uzytku mogloby zajac dziesiatki lat. Jednak rozwoj internetu umozliwil jednoczesne wykorzystanie wielu tysiecy maszyn do sprawdzenia wszystkich mozliwych kombinacji kodow. Znana w branzy kryptograficznej organizacja RSA Security regularnie przeprowadza testy, ktore maja kontrolowac stopien bezpieczenstwa kluczy roznych dlugosci w znanych metodach szyfrowania. Proby te dowiodly, ze za pomoca superkomputera DES Cracker, specjalnie skonstruowanego przez Electronic Frontier Foundation (EFF), 56-bitowy klucz mozna zlamac w ciagu 56 godzin. Gdy do kolejnego testu przylaczyli sie uzytkownicy internetu (około 100 tys.), na pokonanie zabezpieczenia wystarczyly juz tylko 22 godziny. Dlatego, majac na uwadze ciagly wzrost mocy obliczeniowej komputerow, mozna przyjac, ze w obecnych warunkach 80-bitowa wartosc zapewni wymagany poziom bezpieczenstwa jeszcze przez od 10 do 15 lat. Na podstawie tych doswiadczen okreslono skalę bezpieczenstwa dla kluczy szyfrujących. Juz z tego prostego porownania widac, ze bezpieczniej jest uzywac mozliwie najdluzszych kluczy.
Okazuje sie, ze utajniajac wiadomosc, zyskujemy poufnosc, ale odbiorcy wciaz brakuje pewnosci co do jej autentycznosci. Jest to wazny problem zwlaszcza w przypadku bankow, gdzie potwierdzenie integralnosci danych transakcji jest podstawowym wymogiem ich zatwierdzenia.
Z pomoca znow przyszla nam kryptografia, a dokladniej metoda szyfrowania niesymetrycznego. Oprocz tworzenia kryptogramow umozliwia ona rowniez generowanie cyfrowych podpisow dla przesylanych wiadomosci. Weryfikacja sygnatury pozwala sie upewnic, ze tresc nie zostala zmieniona w czasie transmisji.
Nikt lacznie z odbiorca nie ma mozliwosci podrobienia podpisu cyfrowego, ktory jest na trwałe skojarzony z danymi, ktore sygnuje. W przypadku gdyby autor wypierał sie danej wiadomosci, oczywiscie istnieje takze mozliwosc rozstrzygniecia sporu pomiedzy nadawca i odbiorca. Dzieki spełnieniu tych warunkow zapewniona jest autentycznosc danych.
Sygnatura to nic innego jak kilkadziesiat bitow dołaczonych do zasadniczej wiadomosci. Otrzymujemy je w wyniku poddania tresci wiadomosci dzialaniu tzw. funkcji skrotu i zakodowaniu rezultatu funkcja podpisu z uzyciem klucza prywatnego nadawcy.
Weryfikacja podpisu wymaga nieco wiecej obliczen. Najpierw sami obliczamy wartosc funkcji skrotu na podstawie otrzymanych danych, a nastepnie dekodujemy dolaczony ciag bitow z uzyciem jawnego klucza nadawcy. Obydwie wartosci porownujemy i jezeli sa identyczne ¬ weryfikacja podpisu konczy sie pomyslnie.
Sygnature tworzy sie, wykorzystujac odwrocenie roli obu kluczy w metodzie niesymetrycznej. Jako podpis nadawcy moze posluzyc jego wlasna wiadomosc, zakodowana odwrotnie niz standardowo, przy uzyciu osobistego klucza prywatnego. Wowczas adresat, dysponujac kluczem publicznym nadawcy, moze ja odkodowac i w ten sposob upewnic sie, ze dane pochodza od tej wlasnie osoby. Dzieki tak wygenerowanemu podpisowi nadawca wiadomosci nie moze sie wyprzec jej autorstwa. Mechanizm tworzenia podpisow cyfrowych daje odbiorcy pewnosc autentycznosci otrzymanych danych, a wszelkie proby ich modyfikacji sa natychmiast wykrywane.
Niestety, przy uzyciu wiadomosci w roli podpisu tracimy jej poufnosc, gdyz kazdy moze poznac zawartosc przesylki. Z tego wzgledu praktyczne formy elektronicznych sygnatur nie polegaja na kodowaniu calej wiadomosci kluczem prywatnym nadawcy (wystepuje tu rowniez problem wydajnosci), a jedynie na zakodowaniu skrotu tej wiadomosci. Mowimy wowczas o podpisie cyfrowym z funkcja skrotu. Algorytm uzywany do zakodowania skrotu wiadomosci jest inny niz ten uzywany do szyfrowania przesylanego klucza sesyjnego, a co za tym idzie ¬ wykorzystywane klucze rowniez sa inne.
CERTYFIKATY.
Systemy szyfrujace zapewniaja ochrone autentycznosci i poufnosci danych, nie zawieraja jednak mechanizmow potwierdzania tozsamosci nadawcy. Skuteczne stosowanie podpisow cyfrowych wymaga zatem wprowadzenia bezstronnego posrednika. Jego rola polegalaby na wydawaniu poswiadczen tozsamosci uzytkownikow systemu.
Obecne przegladarki internetowe, a takze oprogramowanie pocztowe maja wbudowana obsluge tzw. certyfikatow. Technika ta zostala opracowana wlasnie z mysla o uwierzytelnianiu instytucji lub osob prywatnych w sieci i na niej rowniez opiera sie dzialanie protokolu SSL. Certyfikat pelni funkcje elektronicznego dowodu osobistego i umozliwia udowodnienie tozsamosci instytucji (m.in. banku) lub osoby w internecie. Majac własny certyfikat, mozna cyfrowo podpisywac wiadomosci, dzieki czemu odbiorcy maja pewnosc, ze rzeczywiscie pochodzi ona od osoby, ktora podaje sie za nadawce. W przypadku takiej sygnatury odbiorca musi miec rowniez mozliwosc stwierdzenia waznosci oraz autentycznosci podpisu nadawcy, co przy uzyciu cyfrowego dowodu tozsamosci jest zapewnione.
Certyfikat mozna uzyskac od urzedu licencjonujacego (Certifying Authority), takiego jak np. Verisign. Przed wydaniem cyfrowego poswiadczenia instytucja ta przeprowadza skomplikowana i rygorystyczna procedure uwierzytelniajaca, dotyczaca ubiegajacej sie strony. Po pomyslnym zakonczeniu weryfikacji wydaje sie certyfikat, ktory takze jest opatrzony podpisem elektronicznym instytucji poswiadczajacej. Klucz publiczny urzedu certyfikacji jest powszechnie znany (np. jest preinstalowany w systemie Windows razem z przegladarka WWW), co pozwala szybko sprawdzic autentycznosc wydanego dokumentu. W niektorych przypadkach na potrzeby swojego systemu internetowego firmy oprocz tego, ze posiadaja wlasny certyfikat, same rowniez wydaja certyfikaty dla klientow (np. Fortis Bank). Certyfikat udzielany kluczom uzytkownika zapewnia jego autentycznosc, uwierzytelnienie oraz gwarantuje, ze nikt poza uprawnionym uzytkownikiem nie uzyska połaczenia z witryna.
Czescia wydanego certyfikatu sa niemozliwe do zamiany i niepowtarzalne klucze prywatne, zwykle przechowywane na komputerze po to, aby algorytmy deszyfrujące lub podpisujace mogły z nich bezposrednio korzystac. Drugim składnikiem certyfikatu sa odpowiadajace kluczom prywatnym klucze publiczne. Sa one jawne i potrzebne po to, aby wszyscy mogli wysylac do wlasciciela certyfikatu zaszyfrowane wiadomosci i sprawdzac, czy podpisane cyfrowo wiadomosci rzeczywiscie pochodza od niego. Aby wyslac do kogos zaszyfrowana wiadomosc lub potwierdzic autentycznosc sygnatury danej osoby, nalezy na swoim komputerze miec kopie certyfikatu otrzymana od tej osoby i zawierajaca jej klucze publiczne.
Certyfikat zawiera ponadto: nazwe własciciela, dodatkowe informacje (np. adres), date utraty waznosci, nazwe wydawcy oraz unikatowy numer seryjny.
Protokol SSL to zestaw reguł i standardow umozliwiajacy bezpieczna wymiane zaszyfrowanych informacji pomiedzy przegladarka a serwerem z wykorzystaniem certyfikatow.
Niektore serwery sa tak skonfigurowane, aby dzieki zastosowaniu szyfrowania uniemoaliwic osobom niepowolanym podgladanie informacji przesylanych z i do witryny. Znane przegladarki, takie jak Internet Explorer, Netscape Navigator i Opera, obsluguja protokoly zabezpieczen stosowane w WWW.
Gdy uzytkownik pobiera szyfrowana strone, protokol SSL automatycznie negocjuje warunki transmisji i na pasku stanu pojawia się ikona zamknietej klodki. Od tej pory wszystkie wysylane informacje (na przykład numer karty kredytowej, hasło lub inne poufne dane) sa szyfrowane z wykorzystaniem losowo wygenerowanego klucza sesyjnego
Do 14 stycznia br. nie moglismy prywatnie korzystac z kluczy dłuzszych niz 56 bitow, poniewaz obowiazywaly nas ograniczenia eksportowe rzadu Stanow Zjednoczonych. W obliczu tego embarga rowniez banki w pozostalych krajach nie mogłyby oferowac wystarczajaco bezpiecznej transmisji i dlatego na ich uzytek powstal standard Server Gated Cryptography (SGC). Technologia ta umozliwiła wybranym instytucjom spoza USA wykorzystanie 128-bitowych kluczy do szyfrowania wymienianych danych. Obecnie nie trzeba juz stosowac takich zabiegow, jednak standard ten nadal funkcjonuje ze względu na starsze przegladarki, ktore nie moga swobodnie uzywać 128-bitowych kluczy. Zdarza sie, niestety, ze serwery nie obsluguja standardu SGC (np. system WBKonline) i wtedy przegladarka wymaga uaktualnienia.
Protokol SSL pozwala na wykorzystanie roznych algorytmow szyfrujacych:
¬ 1. Algorytm asymetryczny z kluczem publicznym serwera (np. RSA 1024-bit) - jest on uzywany w trakcie inicjacji polaczenia. Przegladarka generuje klucz dla algorytmu symetrycznego, szyfruje go z uzyciem RSA i przesyla w tej postaci do serwera. Tam system uzywajac swojego klucza prywatnego odczytuje kod potrzebny do dalszej wymiany informacji za pomoca szyfrowania symetrycznego.
¬2. Algorytmy symetryczne (np. RC4 40- i 128-bit) - kiedy przegladarka przekaze juz serwerowi wygenerowany tajny klucz, mozliwe jest rozpoczecie komunikacji i szyfrowanie calej transmisji algorytmem symetrycznym. Kod ten jest uzywany tylko podczas jednej sesji. Przy kolejnym polaczeniu przegladarka generuje nowy klucz i przesyla go ponownie do serwera za pomoca algorytmu niesymetrycznego.
¬3. Funkcje skrotu (np. MD5, SHA) - sa one uzywane do generowania podpisow cyfrowych dla przesylanej informacji.
Niektore banki stosuja w swoich systemach internetowych inne sposoby potwierdzania tozsamosci, nie majace nic wspolnego z sygnaturami cyfrowymi. Dlatego czesto mozemy sie spotkac z okresleniem \"podpis elektroniczny\" odnoszacym sie do tych zastepczych metod. Przy zapewnieniu odpowiednich warunkow moga one dawac wystarczajacy poziom pewnosci, ze transakcji nie dokonuje osoba niepowolana. Najmniej zadowalajacym sposobem, nie bedacym podpisem cyfrowym, jest polaczenie identyfikatora uzytkownika i jego hasła. Daje on slabe zabezpieczenie przed podszywaniem sie oraz dopuszcza mozliwosc modyfikacji danych po ich dotarciu do serwera banku, a przed ich przetworzeniem w glownym systemie bankowym. Taka niezbyt bezpieczna metode ochrony transakcji zastosowano w systemie Handlobanku, gdzie hasla musza spelniac rygorystyczne wymogi.
Druga metoda zastepcza stosowana przez banki jest kombinacja trzech elementów: identyfikatora uzytkownika, hasła oraz ciagu cyfr wskazywanego przez token. Polaczenie to dobrze zabezpiecza przed podszywaniem sie, jednak nie zapewnia integralnosci danych transakcji od chwili wyslania ich z przegladarki. W czasie transmisji przez siec wiadomosc jest zaszyfrowana, a nastepnie zostaje zapisana w systemie bankowym. Dlatego oszust, wlamujac sie na serwer, moze zaingerowac w transakcje przed przekazaniem jej do glownego systemu. Przykladem takiego zastosowania jest system Lukas e-Bank. W jego regulaminie ciąg znakow zawierajacy haslo i wskazanie tokena jest okreslany mianem \"klucza\", natomiast kombinacja \"klucza\" i identyfikatora (podawane też podczas rejestracji w systemie) okresla sie mianem \"podpisu elektronicznego\". Jak widac, taka terminologia moze byc nieco mylaca w stosunku do faktycznych znaczen tych okreslen w kryptografii i nalezy ostroznie podchodzic do jej interpretacji. Latwo to zauwazyc, poniewaz ani \"podpis elektroniczny\" nie jest generowany na podstawie przesylanej tresci, ani też \"klucza\" nie wykorzystuje sie do szyfrowania przesylanych informacji (są one utajniane za pomocą standardowych algorytmow kryptograficznych, wykorzystywanych przez protokol SSL).
Prawdziwy podpis cyfrowy jest uzywany w Banku Przemyslowo-Handlowym oraz w Fortis Banku. Natomiast system banku Pekao SA sygnuje skrot danych transakcji z wykorzystaniem tokena.
SLABY PUNKT.
Polityka ochrony Polityka ochrony systemow informatycznych zaklada, ze bezpieczenstwo całego systemu jest tak mocne jak jego najslabszy element. Dlatego oprocz stosowanych zabezpieczen kryptograficznych najwyzszej jakosci nalezy zadbac o bezpieczenstwo infrastruktury wykorzystywanej do przetwarzania i przechowywania gromadzonych danych. W czasach kiedy nie bylo jeszcze usług takich jak bankowosc internetowa, problem ten dotyczyl jedynie fizycznego ograniczenia dostepu do serwerow. Dzis olbrzymie znaczenie ma rowniez zastosowanie zaawansowanych technik ochronnych zwiazanych
z publicznym charakterem sieci. System internetowy jest fizycznie oddzielony od sieci wewnetrznej, a wymieniane dane sa okresowo aktualizowane wedlug scisle okreslonych zasad. Bezpieczenstwo jest podnoszone przez okreslenie scislych procedur operacyjnych dla administratorow sieci, zastosowanie zapor typu firewall oraz rejestracje aktywnosci i wszelkich wykonywanych operacji.
Dzieki szyfrowaniu danych mozemy dzis bez obaw wysylac je przez siec. Musimy jednak miec rowniez pewnosc, ze ustawienia w naszej przegladarce nie spowoduja osłabienia bezpieczenstwa. Niezapisywanie szyfrowanych stron na dysk, sprawdzanie, czy nie wygasl certyfikat serwera, oraz wylaczenie autouzupelniania nazw uzytkownikow i hasel w formularzach to podstawowe wymogi. Przestrzegajac tych zasad, ze spokojem mozemy przesylac nasze poufne dane poprzez WWW. Ciagly rozwoj internetu, nowe specyfikacje protokolow oraz innowacyjne usługi z pewnoscia zburza ten porzadek i za kilka lat bedziemy musieli na nowo się martwic. Nim to jednak nastapi, dokonamy jeszcze wielu transakcji.
Token to urzadzenie elektroniczne wspierajace sprzetowo proces uwierzytelniania uzytkownika. Systemy internetowe niektorych bankow wykorzystuja je do dodatkowego zabezpieczenia operacji dokonywanych na rachunku przez klienta. Wygladem token przypomina maly kalkulator (DigiPass 300 w Pekao SA i WBK) lub breloczek do kluczy (SecureID w Lukas Banku). Mozna go uzyc tylko z jednym rachunkiem. Na wyswietlaczu pokazywane sa generowane przez urzadzenie ciagi cyfr, ktore nastepnie uzytkownik wprowadza do systemu.
Token DigiPass 300 zawiera w swoich ukladach elektronicznych zaimplementowany sprzetowo algorytm kryptograficzny DES oraz pamieta prywatny asymetryczny klucz uzytkownika. Po wprowadzeniu danych transakcji i hasla na stronie sa one wysylane do serwera, ktory je weryfikuje i generuje dla nich wartosc skrotu (tzw. hash-code). Uzytkownik wprowadza podane przez bank cyfry do tokena, ktory szyfruje je i wyswietla unikatowy wynik. Podczas utajniania uwzgledniany jest rowniez biezacy czas. Klient wpisuje wynik na stronie i znow wysyla do banku. System, znajac publiczny klucz oraz uzyty przez token algorytm, weryfikuje prawidlowosc i prawdziwosc ciagu, a nastepnie zatwierdza operacje.
Urzadzenie SecureID dziala inaczej, gdyz co minute generuje niepowtarzalne szesciocyfrowe kody (cardcode). Pokazywana wartosc jest tworzona na podstawie 64-bitowej liczby (seed value) przyporzadkowanej klientowi oraz biezacego czasu. System bankowy weryfikuje, czy podany ciag rzeczywiscie zostal wygenerowany przez odpowiedni egzemplarz tokena oraz czy jest on aktualny.
Szczegoly konstrukcyjne tokenow sa trzymane w tajemnicy przez ich producentow, poniewaz budowa i zasada ich dzialania stanowia wazny element bezpieczenstwa calego uzywanego systemu.
Negocjowanie bezpiecznego polaczenia z serwerem przez protokol SSL (Secure Sockets Layer) wyglada nastepujaco:
1. Uzytkownik laczy sie za pomoca przegladarki internetowej z serwerem.
2. Serwer wysyla swoj certyfikat.
3. Komputer uzytkownika weryfikuje autentycznosc certyfikatu serwera.
4. Opcjonalnie moze byc dokonana weryfikacja certyfikatu uzytkownika. Serwer sprawdza, czy jest on na komputerze klienta, i pobiera jego dane. Informacje te porownywane sa z zawartoscia bazy danych.
5. Z parametrow certyfikatu serwera wynika, jakie szyfrowanie moze byc uzyte. Wybor dotyczy uzycia kluczy 40- i 128-bitowych oraz rozszerzenia SGC.
6. Po ustaleniu preferowanej dlugosci klucza sesyjnego przegladarka uzytkownika generuje go, a nastepnie szyfruje z wykorzystaniem klucza publicznego zawartego w certyfikacie banku (dł. 1024 bitow) algorytmem RSA. Zaszyfrowany 40- lub 128- -bitowy klucz sesyjny jest wysylany do serwera wraz z informacja o wybranym algorytmie szyfrowania.
7. Serwer banku wykorzystuje swoj klucz prywatny do odszyfrowania klucza sesyjnego. Dalsza transmisja jest zabezpieczona uzyskanym w ten sposob kodem symetrycznym.
BADANIE URZEDU OCHRONY KONKURENCJI I KONSUMENTOW.
Badania zrealizowane przez urzednikow UOKiK-u w sierpniu 2004 roku objely 186 firm internetowych. Przeprowadzono monitoring wybranych witryn, sprawdzajac zgodnisc oferty z wymogami prawa. Weryfikowano m.in., czy sprzedawcy zamieszczali wyczerpujacy opis towarow, informowali o sposobie skladania zamowien, reklamacji oraz warunkach zwrotu. Zwracano uwage na mozliwosci zapisania i wydrukowania umowy przed zlozeniem zamowienia.
Nieprawidlowosci stwierdzono w przypadku kazdego badanego sklepu czy banku. We wniosku podkreslono rowniez, ze nawet jesli odpowiednie dane zostaly umieszczone w witrynach sklepow, to czesto trudno je bylo znalezc. Jedynie w pojedynczych wypadkach trafiono na wskazowki mogace swiadczys o zlej woli sprzedawcow. W komunikacie UOKiK-u wskazano, komentujac zauwazone bledy, ze „w ocenie Urzedu wyraznie wplywa to na zmniejszenie zaufania konsumentow wobec obrotu elektronicznego.
Jednym z celow UOKiK-u, zgodnie z zalozeniami przyjetej przez Urzad „Strategii Polityki Konsumenckiej na lata 2004-2006”, jest „budowanie zaufania uczestnikow obrotu gospodarczego do sieci, a takze do handlu transgranicznego”. Coz, w.g Piotra Debka „po przeczytaniu wnioskow raportu uzasadniona bedzie panika, a nie zaufanie”.
ZRODLA:
1. „ Podrecznik administratora bezpieczenstwa teleinformatycznego”- Krzysztof Liderman, Warszawa 2003
2. „ Elementarz bezpieczenstwa systemow informatycznych”- Marian Molski, Sebastian Opala, Warszawa 2002
3. „ Chip”- numer 5 z 2000 roku,
4. „Chip”- numer 11 z 2000 roku,
5. „Chip”- numer 4 z 2002 roku,
6. „Chip”- numer 11 z 2002 roku,
7. „Chip”- numer 3 z 2004 roku,
8. „Chip”- numer 11 z 2004 roku,
9. „Chip”- numer 12 z 2004 roku.
WYBRANE ASPEKTY RAPORTU UOKiK.
Przegląd działań Unii Europejskiej dotyczących regulacji handlu elektronicznego
3.1. Inicjatywy polityczne i pozaustawodawcze
Swoboda przepływu towarów i świadczenia usług, leżąca u podłoża powstania i funkcjonowania jednolitego rynku WE, nabiera obecnie, w miarę rozwoju handlu elektronicznego, szczególnego znaczenia. Ułatwiony dzięki Internetowi dostęp do informacji handlowych i ofert, a przy tym zakaz jakichkolwiek ograniczeń wspomnianych swobód, w jeszcze większym stopniu urzeczywistniać będą ideę wspólnego rynku. Stanowi to dodatkowy impuls zainteresowaniom Unii Europejskiej wszelkimi elektronicznymi formami handlu.
Gospodarcze aspekty Internetu (handel elektroniczny) dopiero od niedawna zaczęły uzyskiwać przeważające znaczenie w inicjatywach Unii Europejskiej. Znacznie wcześniej bowiem dostrzeżono socjologiczny wymiar Internetu. W ten sposób regulacje unijne w zakresie e-commerce związane są nierozerwalnie z działaniami w zakresie tworzenia i rozwoju społeczeństwa informacyjnego.
Wobec obserwowanego wciąż rozwoju technik i środków komunikacji elektronicznej oraz rosnącego ich wykorzystywania w obrocie gospodarczym, społeczeństwo informacyjne i jego globalna elektroniczna gospodarka, oparte na światowych sieciach cyfrowych, wydają się naturalną przyszłością i obowiązującym standardem w XXI wieku, a rozwój handlu elektronicznego ma prowadzić do rozwoju społeczeństwa informacyjnego.
W latach 1993-1994 przygotowano w Unii Europejskiej dokument Europe and the Global Information Society, Recommendations to the European Council – tzw. Raport Bangemanna i stanowiący jego integralną część europejski plan działania – An Action Plan. Dokumenty te zawierały zalecenia dla Wspólnoty Europejskiej i jej państw członkowskich w zakresie kształtowania szeroko rozumianej infrastruktury informacyjnej. Położono w nich nacisk na społeczny aspekt tej infrastruktury, wskazując na rewolucyjne zmiany zasad, warunków i sposobów pracy oraz życia w społeczeństwie informacyjnym. W ślad za przyjęciem tych dokumentów podjęte zostały liczne działania dla realizacji zawartych w nich ustaleń dotyczących budowy zrębów społeczeństwa informacyjnego w krajach UE. Zainicjowano szeroki program wspierania badań naukowych i prac mających na celu opracowanie i przygotowanie różnorodnych aplikacji oraz wprowadzenie efektywnych regulacji prawnych w obszarze zagadnień warunkujących rozwój elektronicznej gospodarki i szerzej – społeczeństwa informacyjnego.
W dniu 17 lutego 1997r. została uchwalona Rezolucja Rady w sprawie zakazu rozpowszechniania nielegalnych i szkodliwych treści w Internecie. Jej celem było przede wszystkim poinformowanie o zaistniałych niebezpiecznych zjawiskach i zachęcenie do współpracy przy ich zwalczaniu. Regulacja dotyczy m.in. takich zagadnień jak rozpowszechnianie pornografii dziecięcej czy materiałów rasistowskich w sieci.
Dnia 14 kwietnia 1997r. ukazał się komunikat Komisji (COM (1997) 157 final), zatytułowany European Initiative In Electronic Commerce (Inicjatywa europejska w gospodarce elektronicznej), a następnie wytyczne dotyczące: liberalizacji rynku telekomunikacyjnego, ustanowienia ram prawnych i procedur administracyjnych, jasnych i możliwych do przewidzenia oraz stworzenia otwartego i konkurencyjnego środowiska gospodarczego sprzyjającego rozwojowi gospodarki elektronicznej w Europie. Komunikat wskazywał przede wszystkim na problem budowania zaufania i pewności działania w handlu elektronicznym.
3 grudnia 1997r. Komisja Europejska przedstawiła Zieloną Księgę na temat konwergencji sektorów telekomunikacji, mediów oraz technologii informacyjnych i wpływu tego procesu na regulacje sprzyjające powstaniu społeczeństwa informacyjnego. Dokument ten powstał w związku z coraz większym wpływem nowoczesnych technologii na zacieranie się różnic pomiędzy sektorem telekomunikacyjnym i audiowizualnym. Zauważono, że coraz częściej powstają produkty, które trudno jednoznacznie zakwalifikować do jednego z sektorów, zwłaszcza ze względu na nowe nośniki informacji. Do nowych produktów i usług zaliczono między innymi: zakupy w Internecie, możliwość prowadzenia rozmów via Internet, e-mail, strony www wraz z możliwością dostępu do sieci telefonii mobilnej, usługi informacyjne na cyfrowych kanałach nadawczych, rozpowszechnianie wiadomości, filmów, koncertów z wykorzystaniem sieci.
Kolejnym ważnym dokumentem dotyczącym omawianej problematyki jest program e-Europe 2000 – An Information Society For All zaprezentowany w Lizbonie 24 marca 2000r. Zakłada on przyśpieszenie budowy społeczeństwa informacyjnego w Unii Europejskiej, poprzez upowszechnienie Internetu i jego zastosowań. Celem strategicznym tego programu jest stworzenie warunków do upowszechniania nowych technologii informacyjnych, dla poprawy efektywności gospodarki, zapewnienia nowych miejsc pracy i sprostania światowej konkurencji. Podstawą planu są dwie grupy działań wspierających się wzajemnie. Z jednej strony celem planu jest dążenie do rozwoju bezpiecznych usług, aplikacji i ich treści, co obejmuje zarówno usługi publiczne bezpośrednio dostępne w sieci, jak również biznes elektroniczny. Z drugiej strony plan dotyczy także infrastruktury szerokopasmowej, będącej podstawą rozwoju tych usług, oraz kwestii bezpieczeństwa.
Inicjatywa e-Europe zakłada, wśród wielu swoich celów, rozwój szybszego i bezpiecznego Internetu oraz pobudzenie wykorzystania Internetu, w tym poprzez przyspieszenie i zdynamizowanie gospodarki elektronicznej.
Program e-Europe 2000 został zaktualizowany przez programy: e-Europe 2002, przyjęty podczas konferencji Rady Europejskiej w Feira w dniach 19-20 czerwca 2000r., e-Europe+, przyjęty w Goeteborgu w dniu 16 czerwca 2001r. oraz e-Europe 2005, przyjęty na szczycie Unii Europejskiej w Sewilli w dniach 21-22 czerwca 2002r.
Celem tych programów jest dążenie do uczynienia z Europy najbardziej dynamicznej, opartej na wiedzy gospodarki świata. Strategia lizbońska Unii Europejskiej, której elementem są inicjatywy e-Europe, zakłada, iż nastąpi wzmocnienie konkurencyjności europejskiej gospodarki poprzez stymulowanie wzrostu zatrudnienia, wydajności pracy i konkurencyjności produktów unijnych na rynkach światowych. Realizacja strategii korzystnie wpłynie na całą sferę europejskiego życia społeczno-gospodarczego.
W założeniach programu e-Europe+ znalazły się m.in. postulaty upowszechnienia Internetu i udostępnienia drogi elektronicznej jako właściwej do załatwiania szeregu spraw i równorzędnej pod względem prawnym w zakresie działalności gospodarczej, edukacji, życia politycznego i w wielu innych dziedzinach, obejmujących docelowo pełen zakres aspektów funkcjonowania społeczeństwa informacyjnego. Plan e-Europe+ wzmacniał mechanizmy współpracy między państwami członkowskimi i kandydującymi w procesie akcesyjnym. Opierając się na potencjale każdego z krajów powinien ułatwiać wymianę doświadczeń społeczno-gospodarczych i kulturalnych między Unią Europejską a krajami kandydującymi oraz przyczyniać się do niwelowania różnic, jakie istnieją w dostępie do technologii informacyjnych i komunikacyjnych, w szczególności do Internetu, edukacji i handlu elektronicznego.
Pierwszy raport z postępów w realizacji planu e-Europe+ (Progres Report) został przedstawiony w trakcie Europejskiej Konferencji Ministerialnej Społeczeństwo Informacyjne – Łączenie Europy, która odbyła się w dniach 3-4 czerwca 2002r. w Lublianie. Raport ten stanowi podstawę dla dalszych wspólnych działań wszystkich krajów UE. Zostały one wpisane w założenia planu e-Europe 2005.
Dokonując przeglądu i oceny dotychczasowych osiągnięć podkreślono znaczenie stałych i spójnych wysiłków na rzecz dalszego rozwoju i wdrażania polityk z zakresu społeczeństwa informacyjnego, bazujących na współpracy sektora publicznego, prywatnego i organizacji społecznych. Kooperacja ma dotyczyć rozwoju kluczowych dziedzin, takich jak: telekomunikacja , handel elektroniczny, administracja elektroniczna i edukacja.
Inicjatywa e-Europe 2005, uwzględniając wcześniejsze doświadczenia i nowe wyzwania, proponuje szereg konkretnych i kompleksowych rozwiązań. Założenia e-Europe 2005 koncentrują się na użytkowniku. Celem strategii jest zwiększenie udziału obywateli w nowoczesnej gospodarce poprzez rozwój nowych usług. Plan e-Europe 2005 opisuje dwie grupy działań, które wzajemnie się uzupełniają. Z jednej strony kładzie nacisk na rozwój usług, aplikacji i treści dotyczących zarówno sektora publicznego jak i prywatnego, z drugiej strony porusza kwestie z dziedziny infrastruktury szerokopasmowej oraz bezpieczeństwa. Celem planu jest stworzenie korzystnych warunków dla inwestycji i tworzenia nowych miejsc pracy, wzrostu wydajności, modernizacji usług publicznych i zapewnienia wszystkim możliwości uczestnictwa w globalnym społeczeństwie informacyjnym. Innymi słowy, celem tej inicjatywy jest stymulowanie rozwoju bezpiecznych usług, aplikacji i ich treści opartych na powszechne dostępnej infrastrukturze szerokopasmowej.
Plan działań obejmuje cztery grupy powiązanych ze sobą przedsięwzięć:
1) po pierwsze, środki o charakterze politycznym, których cel to: przegląd i dostosowanie ustawodawstwa krajowego i europejskiego wpływającego na e-business, zapewnienie, aby ustawodawstwo nie hamowało rozwoju nowych usług, wzmocnienie konkurencji i interoperacyjności, poprawa dostępu do różnorodnych sieci, usunięcie przeszkód w rozwoju sieci szerokopasmowych.
2) po drugie, wymiana doświadczeń i dobrych praktyk. Przewiduje się uruchomienie projektów mających na celu przyśpieszenie tempa rozwoju najnowocześniejszych aplikacji i infrastruktury, np. utworzenie grupy zadaniowej ds. bezpieczeństwa sieci internetowych i multimediów.
3) po trzecie, prowadzenie kontroli postępów w realizacji celów i wspierających je strategii pozwoli na skuteczniejsze monitorowanie wdrażania środków polityki i ich skuteczniejsze ukierunkowanie.
4) po czwarte, ogólna koordynacja realizowanych obecnie polityk doprowadzi do należytej korelacji między proponowanymi działaniami.
Inicjatywa Komisji Europejskiej Go Digital z dnia 24 maja 2000r. ma na celu stymulowanie uczestnictwa małych i średnich przedsiębiorców w handlu elektronicznym poprzez działania zmierzające do intensyfikacji wymiany wiedzy i informacji oraz pogłębienia świadomości dotyczącej możliwości wykorzystania środków elektronicznego przekazu informacji.
3.2. Regulacje prawne
Rozwijająca się współcześnie koncepcja społeczeństwa informacyjnego zaowocowała szeregiem działań legislacyjnych podjętych przez Unię Europejską. Stworzenie nowych ram prawnych dokonuje się w pierwszym rzędzie poprzez wypracowanie prawnych uwarunkowań dla stosowania nowych usług i zastosowania istniejących już rozwiązań mających na celu ochronę interesów konsumentów w zakresie nowych sytuacji związanych z wykorzystaniem sieci komputerowych , zwłaszcza Internetu.
W zakresie rozwoju gospodarki elektronicznej w celu zapewnienia niezbędnego poziomu bezpieczeństwa działalności w sieci oraz zwiększenia zaufania konsumentów i dostawców usług internetowych, zastosowanie mają następujące regulacje prawne:
- dyrektywa Parlamentu Europejskiego i Rady 1995/46 z dnia 24 października 1995r. o ochronie podmiotów fizycznych w odniesieniu do przetwarzania danych osobowych i swobodnego przepływu danych;
- dyrektywa Parlamentu Europejskiego i Rady 1997/7 z dnia 20 maja 1997r. o ochronie konsumentów w umowach zawieranych na odległość;
Wskazana dyrektywa zawiera szereg postanowień służących ochronie konsumenta przy zawieraniu umów sprzedaży towarów i usług na odległość. Umowa zawarta na odległość, zgodnie z przepisami dyrektywy, stanowi każdego rodzaju umowę, zawartą między konsumentem a dostawcą, dotyczącą towarów i świadczenia usług w ramach zorganizowanej działalności gospodarczej przedsiębiorcy, który do chwili i łącznie z chwilą zawarcia umowy korzysta z jednego lub więcej środków komunikacji na odległość. Propozycja zawarcia umowy ze strony profesjonalisty oraz zamówienie za strony konsumenta powinny być przekazane przy wykorzystaniu środków porozumiewania się na odległość. Na kontrahencie konsumenta ciąży obowiązek dostarczenia, przed zawarciem umowy danych dotyczących dostawcy, jego adresu, tożsamości, ceny towarów i usług, łącznie z wszelkimi informacjami dotyczącymi kosztów dostawy, praw odstąpienia i okresie obowiązywania oferty. Ponadto dyrektywa wprowadza obowiązek pisemnego potwierdzenia uzyskania powyższych informacji, ze szczególnym uwzględnieniem problematyki dotyczącej odstąpienia od umowy, zasad jej rozwiązania, możliwości i miejsca składania reklamacji, serwisu i udzielonych gwarancji. Poza rozbudowanym obowiązkiem dostarczenia konsumentowi informacji, dyrektywa wprowadza uprawnienie do odstąpienia konsumenta od umowy bez podania przyczyny i bez wiążących go jakichkolwiek obciążeń finansowych.
- dyrektywa Parlamentu Europejskiego i Rady 1997/66 z dnia 15 grudnia 1997r. o zasadach przetwarzania danych osobowych i ochrony prywatności w sektorze telekomunikacji;
- dyrektywa Parlamentu Europejskiego i Rady 1999/93 z dnia 13 grudnia 1999r. o wspólnotowych podstawach regulacji podpisu elektronicznego;
- dyrektywa Parlamentu Europejskiego i Rady 2000/31 z dnia 8 czerwca 2000r. w sprawie niektórych prawnych aspektów usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego na Rynku Wewnętrznym (Dyrektywa o handlu elektronicznym);
Dyrektywa ta kształtuje podstawowe ramy prawne dotyczące transakcji zawieranych drogą elektroniczną, zobowiązując państwa członkowskie Unii Europejskiej do uznania ich za w pełni wiążące i równoważne transakcjom zawieranym w formie tradycyjnej.
W przeciwieństwie do dyrektywy o sprzedaży na odległość, dyrektywa o handlu elektronicznym nie zmierza w pierwszym rzędzie do zagwarantowania konsumentom szczególnej dodatkowej ochrony przy transakcjach on-line. Celem dyrektywy jest zapewnienie niezakłóconego i swobodnego przepływu usług, które mogą być wykonywane drogą elektroniczną – usług społeczeństwa informacyjnego. Nawet jeśli dyrektywa zawiera odniesienia do ochrony konsumenta, to jednak koncentruje się głównie na aspektach, stanowiących lub mogących stanowić przeszkody w funkcjonowaniu rynku wewnętrznego Wspólnoty.
Zakres regulacji dyrektywy obejmuje, m.in.: 1) zasady świadczenia usług społeczeństwa informacyjnego, w tym obowiązki informacyjne ciążące na usługodawcy, 2) wymagania dotyczące zakresu i treści informacji handlowych, jawność informacji handlowych, problematyka przesyłania informacji niezamówionych, 3) zawieranie umów za pomocą środków elektronicznych, 4) zasady odpowiedzialność dostawców usług społeczeństwa informacyjnego. Postanowienia dyrektywy realizują wspólnotowe zasady przejrzystości i dostępu do informacji, obligując w szczególności operatorów sieci do ujawniania identyfikujących ich danych.
- dyrektywa Parlamentu Europejskiego i Rady 2000/46 z dnia 18 września 2000r. o zasadach przesyłania i kontroli elektronicznych środków płatności;
- dyrektywa Parlamentu Europejskiego i Rady 2002/65 z dnia 23 września 2002r. dotycząca sprzedaży konsumentom usług finansowych na odległość.
Kolejne projekty prawa dyskutowane w Unii Europejskiej przedstawiają propozycje dotyczące:
- zasad dystrybucji reklam w usługach elektronicznych (COM (1999) 385 z dnia 23 lipca 1999r.);
- zasad zapobiegania przestępstwom w elektronicznych metodach dokonywania płatności (COM (2001) 11 z dnia 9 lutego 2001r.)
Liberalizacja rynku telekomunikacyjnego, przeprowadzona przez Komisję Europejską, ma na celu pobudzenie inwestowania w nowe technologie telekomunikacyjne. Myślą przewodnią towarzyszącą powyższym ustaleniom jest tworzenie warunków dla płynnego dostosowania się do zmian technologicznych oraz rozwoju inwestycji w ustalonych warunkach prawnych i swobodnej konkurencji rynkowej.
Nowy pakiet dyrektyw telekomunikacyjnych (sektora komunikacji elektronicznej) obejmuje:
- dyrektywę 2002/21 Parlamentu Europejskiego i Rady z dnia 7 marca 2002r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa);
- dyrektywę 2002/20 Parlamentu Europejskiego i Rady z dnia 7 marca 2002r. w sprawie zezwoleń na udostępnienie sieci i usługi łączności elektronicznej (dyrektywa o zezwoleniach);
- dyrektywę 2002/19 Parlamentu Europejskiego i Rady z dnia 7 marca 2002r. w sprawie dostępu do sieci łączności elektronicznej i urządzeń towarzyszących oraz ich łączenia (dyrektywa o dostępie);
- dyrektywę 2002/22 Parlamentu Europejskiego i Rady z dnia 7 marca 2002r. w sprawie usługi powszechnej i praw użytkowników odnoszących się do sieci i usług łączności elektronicznej (dyrektywa o usłudze powszechnej);
- dyrektywę 2002/58 Parlamentu Europejskiego i Rady z dnia 12 lipca 2002r. w sprawie przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej;
- dyrektywę Komisji 2002/77 z dnia 16 września 2002r. w sprawie konkurencji na rynkach sieci i usług łączności elektronicznej.
4. Handel elektroniczny w Polsce – rola Urzędu Ochrony Konkurencji i Konsumentów
Jednym z założeń Strategii Polityki Konsumenckiej na lata 2004 - 2006 jest wypromowanie handlu elektronicznego jako bezpiecznej sfery obrotu konsumenckiego, funkcjonującej w ramach Wspólnego Rynku Unii Europejskiej, dostosowanego jednocześnie do standardów międzynarodowych określonych przez Organizację Współpracy Gospodarczej i Rozwoju (ODCE).
Strategia zakłada:
1. przeprowadzenie kontroli w zakresie usług dostępu do Internetu (podłączenie, zakładanie kont pocztowych, witryn WWW., itp.) oraz
2. w zakresie sprzedaży on – line.
Członkostwo w UE oraz globalny i ponadgraniczny charakter handlu elektronicznego determinują potrzebę weryfikacji polskiego systemu prawnego pod kątem zasadności barier czy utrudnień istniejących na poziomie legislacji narodowej. Jednocześnie konieczny jest proces stworzenia gwarancji instytucjonalnych dla bezpieczeństwa obrotu handlowego w internecie, a także przygotowanie konsumentów do właściwego korzystania z handlu elektronicznego.
Jako zadania priorytetowe zostały wskazane:
1. opracowanie trybów działania stosownych jednostek organizacyjnych, w tym metod kontroli i monitoringu handlu elektronicznego i udziału w międzynarodowych przedsięwzięciach pozwalających na promocję e – commerce,
2. poszerzenie wiedzy o zasadach działalności gospodarczej w Internecie oraz
3. budowanie zaufania uczestników obrotu gospodarczego do sieci, a także do handlu transgranicznego.
4. zwiększenie zaufania konsumentów poprzez promocję rozwiązań pro – konsumenckich w Internecie.
Realizacji tego celu służyć powinno inspirowanie środowisk przedsiębiorców i konsumentów do kreowania sektorowych samoregulacji oraz wypracowanie alternatywnych procedur rozstrzygania sporów.
Cele wskazane w Strategii wpisują się w programy istniejące w UE, OECD oraz ICPEN.
5. Udział w ICPEN - przygotowanie do nadzoru handlu elektronicznego
Polska jest członkiem International Consumer Protection and Enforcement Network – Międzynarodowej Sieci Ochrony Konsumentów i Rozwoju Sieci. Głównym celem ICPEN jest zapobieganie nieuczciwym praktykom marketingowych o wymiarze międzynarodowym. W ramach tej platformy współpracy międzynarodowej łączącej państwa członkowskie OECD, Polska uzyskała m.in. dostęp do efektywnych metod kontroli handlu elektronicznego.
5.1. Przeszukiwanie internetu metodą sweep days
Jedną z inicjatyw zapoczątkowanych przez ICPEN, w której czynny udział bierze również Polska są organizowane corocznie międzynarodowe dni przeszukiwania Internetu (sweep days). Akcja ta polega na przeszukiwaniu w określonym dniu lub dniach zawartości wyrywkowo wybranych stron internetowych oraz ich oceny pod kątem sformułowanego uprzednio zestawu kryteriów. Przy ich formułowaniu uwzględnia się określone normy prawa, stricte konsumenckie problemy występujące w obrocie itp.
„Sweep” pełni ogromną rolę m.in. poprzez:
• promocję uczciwej przedsiębiorczości w drodze edukacji środowisk przedsiębiorców,
• edukację konsumentów za pomocą rozpowszechniania w mediach informacji zdobytych w ramach prowadzonych akcji,
• demonstrację obecności organów kontroli i nadzoru w przestrzeni internetowej.
Uczestnictwo w akcjach tego typu umożliwiło Urzędowi przygotowanie jednej z podstawowych metod kontroli komercyjnych zasobów internetu. Uwzględniając coraz bardziej intensywną rozbudowę polskiego systemu prawnego jak i kompetencji UOKiK w obszarze gospodarki elektronicznej, przeszukiwanie internetu metodą sweep days staje się instrumentem bardzo dobrze dostosowanym do nowych zadań.
Metoda ta pozwoliła przyswoić polskiej gospodarce elektronicznej, społeczeństwu tj. przedsiębiorcom, konsumentom, organom rządowym i organizacjom pozarządowym normy europejskie i międzynarodowe.
Badanie internetu powinno przyczynić się do zachowania kryterium funkcjonalności działania organu ochrony konsumentów tzn. zakotwiczyć go w danej problematyce. Konieczne jest pozyskanie danych pozwalających ocenić charakter obrotu konsumenckiego on-line i zasadniczych problemów występujących w tej płaszczyźnie rynku.
5.2. Childrens’ Sweep Day - Dzień Przeszukiwania Internetu na rzecz Dzieci 28 kwietnia 2004 r.
Międzynarodowy dzień przeszukiwania Internetu na rzecz Dzieci był kolejną, tym razem lokalną, inicjatywą członków Międzynarodowej Sieci Ochrony Konsumenta i Egzekwowania Praw Konsumenta - International Consumer Protection and Enforcement Network. Przegląd koordynował norweski rzecznik praw konsumentów.
Temat przedsięwzięcia brzmiał: „Dzieci a strony internetowe oferujące usługi dla użytkowników telefonów komórkowych.
W badaniu uczestniczyły organy nadzoru z 14 państw (Australia, Belgia, Kanada, Dania, Estonia, Finlandia, Niemcy, Węgry, Łotwa, Litwa, Norwegia, Polska, Szwecja, Wielka Brytania).
Celem przeglądu była ocena reklam usług przeznaczonych dla użytkowników telefonów komórkowych oraz warunki umów przy sprzedaży takich usług nieletnim.
Wyniki ogólne (międzynarodowe) badania.
Zbadano 203 strony internetowe. Przy czym liczba ta nie obejmuje stron zbadanych w Australii, Kanadzie, na Łotwie i Litwie. Państwa te przedstawiły własne oceny swoich ustaleń.
Jako najważniejsze ustalenia należy wskazać:
- większość stron internetowych przeznaczona jest dla dzieci w wieku od 12 do 15 lat i między 15 a 18 rokiem życia,
- oferowane usługi to głównie dzwonki, loga, obrazy, animacje i gry do telefonów komórkowych,
- zaledwie 6 % zbadanych stron zawierało ostrzeżenia o ograniczeniu wieku,
- 31 % zbadanych stron nie zawierało wystarczająco czytelnych informacji cenowych,
- na 30 % zbadanych stron nie można było znaleźć dokład