VISOKA KOLA ZA POSLOVNU EKONOMIJU I PREDUZETNITVO BEOGRAD

SEMINARSKI RAD

Predmet: ELEKTRONSKO POSLOVANJE

BEZBEDNOST ELEKTRONSKOG POSLOVANJA

Mentor: Prof. dr Nikola Braika

Student: Ivan Jevtovi Broj indeksa 100-184-06

Beograd, novembar, 2008. godina.

Sadraj
UVOD 1. PRAVNI INSTRUMENTI I NJIHOVA ULOGA U BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA TEHNIKO-PRAVNA REENJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA 2.1. Digitalni novac 2.2. ifrovanje pomou kljua 2.3. Digitalni potpis 2.4. Digitalni sertifikati 2.5. SSL (Secure Socket Layer) BUDUI RAZVOJ BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA 3.1. Upotreba ifrovanja privatne virtuelne mree (VPN) ZAKLJUAK LITERATURA 6 7 10 12 14 14 15 16 18 20 3 2

2.

3. 4. 5.

BEZBEDNOST ELEKTRONSKOG POSLOVANJA

Rezime: Elektronsko poslovanje postalo je sinonim modernog, uspenog i efikasnog poslovanja. A da li je to uvek ba tako? Svakako da nije jer ni tradicionalni, klasini, oblici poslovanja nisu poteeni razliitih malverzacija, mahinacija i zloupotreba. Privredni kriminal pojavljuje se jo od davnina, a danas on dobija nove konotacije i novo okruenje. Sa kompjuterskom tehnologijom ovaj kriminal postaje transnacionalan, briui razlike izmeu zemalja, podruja, kontinenata. Ravoj i ekspanzija kompjuterskih mrea otvorili su "breu" za nove oblike zloupotreba, emu posebno pogoduje elektronsko poslovanje, kao nain obavljanja poslovnih transakcija koje se preduzimaju i realizuju elektronski, pogotovo preko otvorenih mrea, kakav je Internet. U ovom radu e biti vie rei o bezbednosti elektronskog poslovanja i o tokovima budueg razvoja elektronskog poslovanja u bezbedonosnom smislu. Kljune rei: elektronsko poslovanje, bezbednost

UVOD
Prema nedavno objavljenim podacima iz istraivanja amerikog Sekretarijata pravde, kraa brojeva kreditnih kartica pogaa milione domainstava u SAD i nanosi im tetu u iznosu od 6,4 milijardi dolara. U prvom polugodi[tu 2007. godine, 3,6 miliona amerikih porodica je bilo pogoeno nekim vidom krae identiteta. U najveem broju sluajeva (skoro 50 posto) radilo se o krai brojeva kreditnih kartica, dok na prevaru sa bankovnim raunima otpada etvrtina zabeleenih sluajeva. Petnaest posto ispitanika bili su rtve kradljivaca linih informacija, dok je 12 posto uesnika istraivanja bilo oteeno kombinacijom dva ili vie vidova prevara. Dve treine ispitanika su izjavile da su im prevaranti naneli novane gubitke, iji ukupan iznos dostie 6,4 milijardi dolara. Najee rtve bili su mladi od 18 do 24 godine i osobe sa godinjim prihodom veim od 75.000 dolara.Kako vrednost onlajn aktivnosti raste, Internet postaje sve sloenija, kriminalizovanija i opasnija sredina. Iz sofisticiranih praksi, kao to je phishing, bujaju onlajn krae identiteta i otimaina. Problem je sloen, jer se koren nalazi u samoj osnovi Interneta.

Takvo poslovanje zahteva i namee, istovremeno, izgradnju novih principa i pravila ije krenje moe predstavljati svojevrsne oblike zloupotreba. Problem postaje mnogo kompleksniji sa injenicom da se pravila i principi kojima se definie i regulie elektronsko poslovanje vie ne nalaze u domenu drava, niti uobiajenih meunarodnih organizacija i asocijacija. Sve je znaajnija samoregulacija koja se spustila na nivo odgovarajuih udruenja, esto privatnih. Prenoenje nadlenosti otvorilo je brojne dileme i nametnulo posebna reenja. Pored toga, pravila samoregulacije se razlikuju zavisno od asocijacije koja ih donosi to aktere elektronskog poslovanja dovodi u zabunu. Kada je Internet stvaran, ceo sistem je bio baziran na poverenju i njegovi tvorci nisu razmiljali o problemu digitalnog identiteta. Naknadno su se pojavili brojni sistemi, svaki sa svojim prednostima i manama, ali nijedan nije pruio odgovor na sve zahteve scenarija digitalnog identiteta. Njihovo neprekidno gomilanje dovelo je do toga da aktuelno stanje digitalnog identiteta predstavlja neuklapajui obrazac ad hoc reenja. Svaki vebsajt nudi razliita korisnika iskustva, viestruki pasvordi se nakupljaju, to sistem u celini ini veoma osetljivim i ograniava punu ekspanziju elektronskog poslovanja i trgovine.

1. PRAVNI INSTRUMENTI I NJIHOVA ULOGA U BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA

Internet je otvorena javna mrea dostupna svima.Uvek postoji mogunost da neko neovlaeno prati vau komunikaciju i to kasnije zloupotrebi. Zbog toga se u cilju njegove ozbiljne primene u savremenom poslovanju mora pronai mehanizam koji e obezbediti:1 Zatitu tajnosti informacija (spreavanje otkrivanja njihovog sadraja) Integritet informacija (spreavanje neovlaene izmene informacija) Autentinost informacija (definisanje i provera identiteta poiljaoca) Da bismo razumeli na kom nivou se nalazi bezbednost elektronskog poslovanja i da bismo shvatili kako bi nam bilo najlake i najpouzdanije da ga zatitimo moramo razumeti prevashodno osnovne principe elektronskog poslovanja.

Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007

Slika 1 Prikaz sveobuhvatnog elektronskog poslovanja i krajnih korisnika Interneta2 Kako elektronsko poslovanje omoguava izvravanje klasinih poslovnih zloupotreba kao to su prevare, finansijske malverzacije ili izbegavanje plaanja poreza na nov nain potrebno ga je posebno regulisati jer se pravila i kontrolni mehanizmi klasinog poslovanja ne mogu primeniti. Meutim, to nije tako jednostavno, prvenstveno zato to je ova nova i propulzivna oblast poslovanja u stalnim i brzim promenama. Pored toga, tehnologija koja se primenjuje nije ograniena samo na jedan region ili zemlju, ve naprotiv. To, opet, sa svoje strane dovodi da problema na koji postojei pravni sistemi ne daju zadovoljavajue odgovore poto je njihovo vanje ogranieno teritorijom drave u kojoj se primenjuje. Izlaz je pokuan da se nae u meunarodnim organizacijama i telima tipa Ujedinjenih nacija, Svetske trgovinske organizacije ili u okviru regionalnih ekonomskih blokova, kao to je Evropska Unija. Sporost u dogovaranju koja je posledica usaglaavanja stavova izmeu zainteresovanih drava prouzrokuje relativnu neefikasnost ovih tela. Pored toga, njihove odluke su obavezne samo za one drave koje su se izjasnile da ih prihvataju. Meutim, potrebe za smanjenjem trokova poslovanja i elja za poveanjem trita
2

http://www.microsoft.com/communications/. (preuzeto 11.05.2008. godine)

koja je sublimirana u elektronskom poslovanju dovela je do toga da mnoge razvijene zemlje ubrzano pristupaju njegovom regulisanju. Ulogu meunarodnih organizacija vezanu za elektronsko poslavanje, moda, najbolje ilustruje OECD koji je 1996. godine doneo izavetaj pod nazivom "Globalna informaciona infrastruktura - globalno informaciono drutvo" prvenstveno namenjen vladama lanica ali zahvaljujui uticaju koji ima i drugim. U Izvetaju se istie globalni karakter elektronskog poslovanja i sugerie vladama, uvaavajui sve politike i pravne razlike izmeu drava, da potstiu digitalno poslovanje stvarajui uslove uz to manje poveanje regulacije. Kako nacionalna zakonodavstva nisu i nee biti direktno primenjiva u svim oblastima cyberspace poslovanja potrebno je regulaciji ovog podruja pristupiti putem samoregulacije. Naroitu panju treba obratiti sigurnosti i autentinosti elektronski dokumenata koja se razmenjuju izmeu subjekata iz razliitih drava kako bi ona bila pravno valjana. OECD predlae da se to pre doe do zajednikih stavova vezanih za legalnost elektronskih dokumenata putem elektronskog potpisa. Bez obzira to je u mnogim zemljama obavljanje poslovnih transakcija telefonom i/ili faksom uobiajena stvar izgleda da postoji psiholoka barijera za njihovo izvravanje putem Interneta. To je najverovatnije posledica dileme koja se javlja kod poslovnih subjekata i vezana je za nadlenosti pravnih sistema na globalnoj raunarskoj mrei. Naime, postavlja se pitanje koji pravni sistem e se koristiti u sluaju spopra u prekograninom prometu roba i usluga putem mree? Nalaenjem reenja za ovaj problem sigurno e pozitivno uticati na uspeh elektronskog poslovanja. Jedno od reenja bi moglo biti da je za pravne posledice proizale iz ugovora koji se odnose na elektronsko poslovanje nadlean pravni sistem sa teritorije gde se nalazi prodavac. Problem se uslonjava kada se posao vodi u nekoliko zemalja. Takoe se postavlja pitanje da li je sedite prodavca u elektronskom poslavanju tamo gde je lociran server sa koga on nudi svoju robu i usluge ili negde drugde U globalnom elektronskom poslovanju ubiajeno je da organizacija u nekoj zemlji ima server i nita vie, to je naroito izraeno kod "virtualnih organizacija" koje sigurno ne podpadaju ni pod jedan geografski ogranien pravni sistem. SAD imaju najvie interesa da razvijaju elektronsko poslovanje, meutim, daleko je od toga da se to i desilo. "Okviri globalne elektronske trgovine" iz 1997. godine predstavlja plan Vlade SAD u kome privatni sektor treba da preuzme inicijativu. Preduzete su akcije i na prilagoavanju Jednoobraznog trgovakog zakona SAD. Po njemu ukoliko je omoguena on-line trgovina preko web site-a prodavac je u

onoj dravi u kojoj je obavljena kupovina. Komisija Ujedinjenih nacija za meunarodno trgovako pravo (UNCITRAL)3 sainila je model zakona kojim se regulie elektronsko poslovanje. Bez obzira to se ovaj model bazira na zakonu o trgovini SAD, njegova namena nije da pojedinanim zemljama preporui prilagoavanje amerikog modela njihovom pravnom sistemu ve da ukae na pravce moguih reenja koja e zavisiti od pravne tradicije i interesa svake zemlje da se ukljui u elektronsko poslovanje. Evropska Unija je svoju politiku u oblasti elektronskog poslovanja deklarisala 1997. godine kao "Evropsku inicijativu u oblasti elektronskog poslovanja". Na osnovu ove inicijative bliska su reenja koje su zemlje lanice pojedinano donele u regulisanju digitalnog potpisa, sistema ifriranja i potvrde autentinosti. Sporazum izmeu dva najvea trgovaka bloka, EU i SAD, 4 vezan za elektronsko poslovanje trebao bi da rei glavninu problema koji ovaj tip poslovanja namee. On e zahvaljujui veliini ovih trita predstavljati i osnovu pravnog okruenja na globalnom nivou jer ukoliko e neka zemalja hteti da posluje sa EU ili SAD morae da donese slian propis ili da mu pristupi. Mnogo je lake podsticati razliite zemlje da ovakav sporazum podre ukljuujui se u njegov razvoj od poetka nego teiti naknadnoj harmonizaciji velikog broja pojedinanih prava. Usled nedostatka regulacije elektronskog poslovanja na globalnom nivou namee se zakljuak da je i za subjekte ovog poslovanja najbolje da sklope ugovor u kome e se precizirati pravna nadlenost u sluaju bilo kog nesporazuma.

2. TEHNIKO-PRAVNA REENJA BEZBEDNOSTI ELEKTRONSKOG POSLOVANJA

Bez obzira na rast poslovanja preko Interneta mnogim firmama web prezentacije slue samo za navoenje osnovnih podataka o njima i njihovim proizvodima. Predpostavlja se da je ta inercija posledica neadekvatnih reenja vezanih za sigurnost transakcija i autorizaciju korisnika. Ona ukljuuju "vatrene zidove", lozinke pristupa, smart kartice, biometriku identifikaciju, tehnike ifriranja i zakonska reenja. 2.1. Digitalni novac
3
4

Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007 http://www.microsoft.com/communications/. (preuzeto 11.05.2008. godine)

Da bi elektronska trgovina mogla da zadovolji velika oekivanja koja se pred nju postavljaju, potrebno je da usluge plaanja budu ustanovljene i prihvaene i u poslovnim i potroakim krugovima. Prepoznajui ovo, zaista sve zainteresovane strane u akademskim ustanovama, vladama i finansijskim slubama istrauje razne tipove usluge plaanja koja okruuju sisteme elektronskog plaanja i digitalne valute. Neki predloeni sistemi elektronskog plaanja su jednostavne elektronske verzije postojeih sistema plaanja, kao to su ekovi i kreditne kartice, dok se drugi zasnivaju tehnologiji digitalne valute, i predvia se da e znaajnije uticati na dananje finansijske i monetarne sisteme. Dok popularna tampa i oni koji razvijaju sisteme plaanja, predskazuju fundamenatalne promene u finansijskom sektoru usled inovacija u elektronskom plaanju. Alan Grenspan, predsenik odbora guvernera sistema fundamentalnih rezervi smatra da e se elektronski novac rasprostirati polako i da e igrati mnogo manju ulogu u naoj ekonomiji od one koju je istorijski odigrao privatni novac (Greenspan 1996). U svetskom bankarskom sistemu danas se gotovo sve novane transakcije obavljaju u digitalnom obliku, putem raznovrsnih interbank mrea. Jedna od najveih takvih mrea je CHIPS (Clearing House Interbank Payments System) i ona je jo daleke 1994.godine ostvarila gotovo 120 miliona transakcija, u ukupnoj vrednosti od 500 triliona dolara. I dok se bankarski sistemi elektronskim novcem slue decenijama, pojedinani potroai tek od nedavno imaju mogunost da koriste elektronski novac na smislen nain. Rastua snaga i sve nia cena kunih raunara, u sprezi sa velikim napretkom u telekomunikacionim tehnologijama, koja je omoguila globalno povezivanje po izuzetno niskim cenama, uinili su da digitalni transfer sredstava postane realnost za milione ljudi irom sveta. Kao rezultat toga, svedoci smo nezaustavljivog razvoja digitalne ekonomije. Da bi sistem digitalne valute mogao da ostvari svoju namenu, neophodno je ispunjenje nekih uslova, a to je pre svega postojanje mogunosti trenutnog sravnavanja sredstava i obezbeenje pune bezbednosti transakcija, kroz snaan sistem enkripcije. Neophodni su i velika brzina prenosa podataka, jednostavan i ekonomian pristup servisima, kao i personalni raunari sa odgovarajuim softverom. Budui da se velika brzina prenosa informacija u savremenim telekomunikacionim sistemima podrazumeva, najznaajniji problem predstavlja bezbednost podataka koji se prenose digitalnim putem, budui da i najmanja greka ili neopreznost mogu potpuno da urue kompletnu transakciju. Tehnologije digitalne enkripcije i

potpisa (vidljivih i nevidljivih) upravo omoguuju postojanje elektronskog novca. Ovi sistemi ukljuuju, jednostavno reeno, dve vrste kljueva za ifriranje: privatni, koji je poznat samo vlasniku sredstava i javni, koji je dostupan svima. Informacije koje privatni kljuevi ifriraju, javni mogu da deifruju i obrnuto. Banke i klijenti koriste svoje kljueve da ifriraju (radi zaitite) i potpisuju (u cilju identifikacije) blokove digitalnih podataka koji predstavljaju novana sredstva. Banke potpisuju novane naloge koristei se privatnim kljuevima, a tako potpisane naloge stranke i deponenti proveravaju koristei se baninim javnim kljuem. Sa druge strane, klijenti se privatnim kljuem slue tokom polaganja depozita ili podizanja novca, da bi banka putem javnog kljua korisnika proverila verodostojnost takvog naloga. U osnovi, postoje dve vrste e-novca: identifikovan i anoniman (digitalni novac u uem smislu). Identifikovan je onaj elektronski novac koji sadri informaciju o identitetu osobe koja njime manipulie i koji, slino kreditnim karticama, banci omoguuje da precizno prati cirkulaciju novanih sredstava na tritu. Anoniman e-novac radi slino papirnom novcu: kada se takav novac jednom povue sa rauna, vie ne postoji nain da mu se ue u trag, odnosno da se vodi evidencija o njegovoj transakciji, to je u prvom sluaju lako izvodljivo. Dalje, obe vrste se mogu ralaniti na jo dve kategorije. Kada se koristi tzv. onlajn e-novac, tokom svake transakcije je neophodno uspostaviti vezu sa bankom (putem modema ili mree), tako da u procesu prenosa sredstava uvek uestvuju tri elementa: kupac, banka i prodavac. Kada se pak koristi oflajn elektronski novac, transakcija se moe obaviti bez direktnog upliva banke. Oflajn novac je najkompleksnija forma elektronskog novca, najvie zbog toga to je povezan sa problemom dvostruke potronje. Naime, elektronski novac se, budui da je digitalni zapis, moe umnoavati u bezbroj kopija koje se ni po emu ne razlikuju od originala. Takve kopije bi bilo nemogue identifikovati, pa bi u jednom hipotetikom, trivijalnom e-money sistemu, korisnik preko noi mogao da umnoi svoje bogatstvo do nesluenih razmera. Dovoljno bi bilo da se jedan isti e-novac kopira i potom potroi na dva mesta i ve kroz nekoliko sati novani saldo bi probio plafon. U onlajn sistemu se taj problem reava jednostavno: tokom svake transakcije se identitet elektronskog novca proverava direktno u bankarskom raunaru, koji vodi strogu evidenciju o toku novanih sredstava i uredno belei sve pakete novca koji je u jednom trenutku negde utroen. U vrlo kratkom roku prodavac dobija od banke podatak da li novac koji mu je ponuen ima realnu osnovu, odnosno da li je prethodno ve negde iskoriten. Jasna

je potpuna analogija sa proverom validnosti kreditnih kartica tokom gotovinskog plaanja. Evidencija potronje e-novca u oflajn sistemu je sloenija i odvija se na nekoliko naina. Jedna varijanta ukljuuje korienje naroitih memorijskih kartica sa ipovima, u kojima se belee sve transakcije i vodi evidencija o sredstvima koja su utroena (tzv. Observer ipovi). Ako bi korisnik sa takvom karticom pokuao da ista sredstva kopira i potroi ih dva puta, Observer ip bi obustavio transakciju. Budui da je kartica zatiena od upisivanja podataka, korisnik ne bi imao mogunost da koriguje podatke iz evidencije, a da pritom ne izazove trajno oteenje memorijske kartice. Drugi nain kojim se u oflajn sistemu onemoguava dvostruko troenje je dosta sloeniji i ukljuuje neto drugaiji sistem konstrukcije e-novca. U tom sluaju, koji se sutinski ne razlikuje od sistema identifikovanog e-novca, u kod digitalnog novca i rutinu za ifrovanje se upisuju informacije o identitetu osobe koja njime manipulie, tako da bi svaki paket bio praktino potpisan i identifikacija prekrioca bi bila sasvim jednostavna; svakako bi bilo i manje pokuaja nelegalnog kopiranja, budui da bi korisnik bio svestan da moe biti lako uhvaen. Pri tome, razlika izmeu oflajn identifikovanog i oflajn anonimnog e-novca bi, u ovom sistemu, bila u tome to bi banka u prvom sluaju imala informacije o vlasniku sredstava, bez izuzetka, dok bi se u drugom sluaju ti podaci pojavili samo kada bi korisnik pokuao da novac kopira, a ukoliko bi se transakcija obavila legalnim putem, taj novac bi ostao neobeleen. Prednost ovakvog sistema je u manjim trokovima implementacije, budui da korisnicima u tom sluaju ne bi bile potrebne nikakve memorijske kartice. Od naroitog znaaja i interesa su digitalni proizvodi. Ovi proizvodi semogu da se prodaju i kupuju na tritu to i odreuje njihovu vrednost, korisnost i profitabilnost. Kao proizvodi sa kojima moe da se trguje, oni treba da budu podvrgnuti i diferencijalizaciji proizvoda i problemu nesigurnosti kvaliteta. Ono to omoguuje da se svaki menahizam plaanja obradi elektronski je i injenica da za razliku od novca, novanica ili metalnog novca koji nose monetarnu vrednost, negotovinski mehanizmi predstavljaju jemstvo plaanja ili ugovor o plaanju. Zasnivaju se na informaciji koja sledi posle transakcije, odgovarajua konta koja predstavlja novani zapis, reguliu se izmeu banaka i finansijskih institucija. ekovi su prvobitni primer gde se, u stvari, na bezvrednom paretu papira, prenosi vana informacija koja se razmenjuje za izmirenje rauna. 2.2. ifrovanje pomou kljua

10

Kriptografija kao nauka koja se bavi metodama ouvanja tajnosti informacija prua reenje ovog problema. Pre nego to preemo na prikaz i objanjenje razliitih sistema ifrovanja podataka koji su danas u upotrebi, potrebno je objasniti osnovne elemente kriptografije: 1. 2. 3. ifrovanje - postupak transformacije itljivog teksta u oblik neitljiv za deifrovanje - postupak vraanja ifrovanog teksta u itljiv oblik klju - poetna vrednost algoritma kojim se vri ifrovanje. onoga kome taj tekst nije namenjen.

ema 1 Prikaz ifrovanja kljuem5 Prvi sistem koji emo predstaviti koristi metod ifrovanja tajnim kljuem. ifrovanje tajnim kljuem (Simetrino ifrovanje) jeste ifarski sistem kod koga je klju za ifrovanje identian kljuu za deifrovanje. to znai da i poiljalac i primalac poruke koriste isti tajni klju. Svako ko na bilo koji nain sazna njegovu vrednost mogao bi da ita i modifikuje sve poruke koje meusobno razmenjuju poiljalac i primalac poruke,a da to ostane neprimeeno. Postoji jo jedan problem, ako jedan od njih eli da komunicira sa vie poslovnih partnera mora da obezbedi razliit klju za svakog primaoca, kako bi se izbegla mogunost da bilo koji primalac ita poruke koje mu nisu namenjene. Reenje ovih problema je pronaeno u vidu sistema ifrovanja javnim kljuem (Asimetrini ifarski sistem). U njemu svaki uesnik u komunikaciji koristi dva kljua. Jedan klju je javni i moe se slobodno distribuirati, dok je drugi tajni i dostupan je samo njegovom vlasniku. Iako su razliiti, kljuevi su meusobno povezani odreenim transformacijama. Poznavanje jednog kljua i algoritma transformacije ne omoguava dobijanje drugog kljua. Najbitnije je da se tajni klju u celom postupku komunikacije nigde ne alje jer nepostoji potreba da bilo ko sem njegovog vlasnika bude
5

Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007

11

upoznat s njim. to znai da moete bilo kome da poaljete ifrovanu poruku ako znate javni klju osobe kojoj aljete, a samo primalac svojim tajnim kljuem moe da deifruje poruku. Ovaj sistem predstavlja reenje za prva dva uslova koja smo na poetku ovog teksta postavili Zatitu tajnosti informacija i ouvanje njihovog integriteta. Ostaje otvoreno pitanje kako da primalac bude siguran da je poruku koju je primio zaista poslao poiljalac. Obezbeenje autentinosti informacija tj. definisanje i provera identiteta poiljaoca postie se upotrebom digitalnih potpisa i digitalnih sertifikata. Na meunarodnom planu prve smernice koje se odnose na ifriranje dokumenata vezanih za elektronsko poslovanje dao je OECD 1997. godine u obliku dva principa6: korisnik ima pravo izabora metode ifriranja, to je predmet primene prava; osnovna prava pojedinca na privatnost ukljuuju tajnost komunikacija i zatitu podataka o linosti, to nee biti kreno nacionalnom politikom ifriranja. Tenja za to veom sigurnou na Internetu moe dovesti do veoma krute regulacije metoda i sistema ifriranja dokumenata u nekim zemljama ili ekonomskim blokovima. Takve zakone e biti teko sprovoditi jer Internet nije pogodno mesto za restriktivna nacionalna zakonodavstva. Evropska Unija je 1994. u Direktivi o privatnosti podataka dala smernice koje predstavljaju zajedniku politiku vezanu i za elektronsko poslavanje. Na osnovu Direktive Velika Britanija je 1998. u svom Zakonu o zatiti podataka specificirala 7: "Podaci o linosti nee moi biti poslati u zemlje van evropskog ekonomskog podruja sve dok te zemlje ili teritorije ne obezbede odgovarajui nivo zatite prava i sloboda subjekata podataka u odnosu na obradu podataka o linosti." Meutim u Evropskoj Unije niko i nigde ne daje odgovore na pitanja: Ko odluuje ta je to odgovarajue? Kako zaustaviti transfer? Kako spreiti da podaci poslati u neku zemlju sa adekvatnom zatitom iz nje ne odu u neku drugu koja to nema? Kako je elektronsko poslovanje donelo i neke proizvode koje nemaju fizike karakteristike (na primer, softver) i koji se isporuuju samo u elektronskom obliku na elektronske adrese postavlja se pitanje kako se oni mogu oporezovati. Kada su takvi proizvodi u pitanju od juna 1998. godine oni se u Evropskoj Uniji oporezuju kao usluge. Amerikanci stoje na stanovitu da nema razlike vezane za naplatu poreza izmeu proizvoda koji se mogu fiziki opipati i koji su kupljeni on-line ili u prodavnici jer se oni isporuuju na neku poznatu fiziku adresu. Ali sve su ovo parcijalna reenja. Jedno od reenja je moda porez koji je svojstven samo
6
7

Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007 http://www.acm.org/pubs/citations/proceedings/cpr/2 99513/p19-burn/

12

Internetu, tako zvani "bit porez". Ideja o ovom porezu bazira se na tome da svaki bit koji putuje mreom predstavlja predmet oporezivanja po stopi koja je jedinstvena. On bi mogao da se sakuplja u telefonskim centralama ili kod provajdera i da se dostavlja nadlenoj poreskoj slubi. Meutim, takav porez ne bi vodio rauna o prirodi podataka ili roba koje se kupuju. Najvea koliina bitova na Internetu pripada deijim video igrama koje su u veini zemalja, gde je razvijeno elektronsko poslovanje, osloboene poreza ili su oporezovane po najnioj stopi. Takoe je nejasno koja vlada bi preuzla porez koji je posledica prekograninog protoka podataka. 2.3. Digitalni potpis Jedan od najvanijih "tehnikih" reenja vezanih za elektronsko poslavanje je digitalni potpis. Digitalni potpis je tehnika ifriranja koja je "reila" glavni problem elektronskog poslovanja: strah od nedovoljne sigurnosti transakcija. Njime se obezbeuje integritet podatka, odnosno omoguuje da podaci ostanu nepromenjeni tokom transakcije, i omoguuje utvrivanje poiljaoca. Digitalnim ifriranjem se elektronski dokument, koji e se nalazati u transakcijama na Internetu, ini neitljivim svima koji nemaju klju za deifriranje. Samim tim, poveava se sigurnost transfera poverljivih podataka. Identifikacija poiljaoca se obavlja potvrdom autentinosti kod "poverljive tree strane". Poverljiva trea strana (TTP - Trusted Third Party) je neko kome je dozvoljeno da proizvodi digitalne sertifikate autentinost digitalnog potpisa i u koju imaju poverenje obe zainteresovane strane za transakciju. Potvrda autentinosti predstavlja dokaz da je vlasnik digitalnog potpisa upravo onaj koji tvrdi da jeste. Najrasprostanjenija metoda je metoda ifriranja javnim kljuem koja poiljaocu i primaocu elektronske poruke dodeljuje dva kljua - jedan javni i jedan privatni. Javni klju se deponuje kod TTP.
8

Prava samo nekih zemalja su podrala upotrebu digitalnog potpisa bilo u obliku

zakona bilo preporuka. U SAD je svega devetnaest drava lanica pravno regulisalo ovu problematiku. Evropa je u blagom zaostatku. Prva zemlja u Evropi koja je pravno definisala korienje digitalnog potpisa je Velika Britanija, 1997., a za njom 1998. godine slede Francuska i Nemaka, koja, ak, donosi poseban Zakon o digitalnom potpisu. Jo neke
8

Pristup korienju digitalnog potpisa u svetu nije jednoobrazan. Meunarodna tela kao to su, na primer, IETF (Internet Engineering Task Force) ili ISO (International Organization for Standardisation) rade na njegovoj standardizaciji, a OECD i UNCITRAL daju upustva dravama kako pravno regulisati elekronsko poslovanje i/ili neke njegove delove.

13

evropske zemlje (vedska, Italija i Belgija) su najavile zakonsku regulaciju. Te iste godine Evropska komisija obznanjuje predlog Direktive o digitalnom potpisu, donete 1999. koji sadri minumum zahteva za potvrdu elekteronskog potpisa naroito u prekograninim transakcijama. Direktiva predvia i saradnju sa treim zemljama ak do nivoa da se organizacije za izdavanje sertifikata autentinosti nalaze na njihovoj teritoriji. Pored digitalnog potpisa mogue je korienje i drugih naina ifriranja elektronskih dokumenata ili potvrde autentinosti poiljaoca. Meutim, u mnogim zemljama se na mogunost primene nestandardnih sistema ifriranja dokumenata od strane korisnika Interneta ne gleda blagonaklono. Priznaje se da je ifriranje veoma korisno sredstvo zatite podataka ali i da se ono oristi u kriminalne svrhe. Kako bi se to spreilo odreene zemlje preduzimaju razliite mere, na primer: SAD - u jednom zakonskom predlogu iz 1998. godine bile su predviene kazne od 5 do 10 godina zatvora za one koji koriste ifriranje dokumenata da bi prikrili svoje kriminalne aktivnosti; Velika Britanija - pri regulaciji digitalnog potpisa, 1997., TTP ima ovlaenje da pored pristupa javnim kjuevima ima pristup i privatnim. Pored toga, u SAD postoji zakonska zabrana izvoza, bez dozvole odgovarajuih institucija, softvera za ifriranje koji se baziraju na "kljuu" koji je vei od 56 bita. Samim tim je dovedena u pitanje i mogunost njihovog korienja u poslovanju sa inostranstvom. Ovo ogranienje samo potvruje raireno miljenje da neko negde kontrolie, naroito prekogranine, tokove podataka Internetom, a svaka kontrola Interneta, naroito elektronske pote, predstavlja invaziju na privatnost korisnika. U kontroli korisnika Interneta otilo se jo dalje. Vlada SAD je 1993. godine preduzela sve korake da ozakoni ureaj koji bi se nalazio u svakom raunaru i koji bi vrio automatsku identifikacju korisnika na mrei, Clipper Chip, u cilju spreavanja zloupotreba, odnosno otkrivanja poinilaca. Identifikaciju bi vrile dve vladine ustanove. Mnoge grupe boraca za graanska prava, ne samo iz SAD, ovaj pokuaj legalizacije stalne kontrole korisnika Interneta i njihovih interesovanja, odnosno privatnosti za sada su spreile. Protiv nje su bile i vlade pojedinih zemljama, naroito u Evropi. 9 2.4. Digitalni sertifikati Ako koristite sistem ifrovanja javnim kljuem i elite da nekom poaljete poruku,
9

http://www.acm.org/pubs/citations/proceedings/cpr/2 99513/p19-burn/

14

morate prvo dobiti njegov javni klju. Meutim, kako moete biti sigurni da je to zaista njegov klju? Reenje ovog problema postie se upotrebom digitalnih sertifikata . Moemo ih nazvati i digitalnom Linom kartom, jer oni zaista to i jesu - digitalna lina karta u syber prostoru, sredstvo kojim ete vi ili osoba sa kojom komunicirate dokazati identitet na Internetu. Poto na Internetu nema policije koja bi proverila vae podatke i izdala vam Linu kartu, pojavile su se kompanije koje imaju ulogu 'tree strane', - CA Certificate Authority ija je uloga da provere i utvrde neiji identitet i nakon toga mu izdaju digitalni sertifikat. Kako to funkcionie u praksi npr. poiljaoc podnosi zahtev za izdavanje sertifikata CA kompaniji. CA proverava njegov identitet na osnovu linih dokumenata koje im je prikazao pri podnoenju zahteva. Ako je sve u redu poiljaoc im prosleuje svoj javni klju za koji CA kreira digitalni potpis i nakon toga izdaje sertifikat kojim se potvruje da taj javni klju zaista pripada poiljaocu. Ako poiljaoc kasnije eli da komunicira sa nekim, pri prvom kontaktu mu alje digitalni sertifikat i svoj javni klju. S obzirom da svi poznatiji komunikacioni programi u sebi ve imaju ukljuene javne kljueve CA kompanija kojima se veruje, primalac po prijemu ove poruke lako utvruje validnost sertifikata poiljaoca.Digitalni sertifikat vaeg servera izdat od strane CA mora da sadri sledee: naziv vae organizacije, dodatne podatke za identifikaciju, Va javni klju, datum do koga vai va javni klju, ime CA koji je izdao digitalni sertifikat, jedinstveni serijski broj.Svi ovi podaci formiraju sertifikat koji se na kraju ifruje koristei tajni klju CA. Ako korisnik ima poverenja u CA i ima CA javni klju, moe biti siguran u ispravnost sertifikata. Najee korieni standard za digitalne sertifikate je X.509. ta je SSL i kako funkcionie Secure Web server moete proitati u sledeem tekstu. 2.5. SSL (Secure Socket Layer) SSL (Secure Socket Layer) protokol koji je razvila firma Netscape, je trenutno najee korien metod za obavljanje sigurnih transakcija na mrei. Podrava ga veina Web servera kao i klijenata ukljuujui Microsoft Internet Explorer i Netscape Navigator.SSL obezbeuje privatnost, integritet podataka i autentinost poiljalaca korienjem kombinacije ifrovanja javnim kljuem, simetrinog ifrovanja, i digitalnih sertifikata. Transakcija korienjem SSL protokola ukljuuje sledee aktivnosti: server alje svoj digitalni sertifikat klijentu

15

klijent proverava da li je sertifikat izdat od strane CA klijent i server razmenjuju javne kljueve klijent generie tajni klju koji se koristi samo u zapoetoj transakciji. klijent ifruje generisani tajni klju, korienjem serverovog javnog kljua i alje ga serveru.

3.

BUDUI

RAZVOJ

BEZBEDNOSTI

ELEKTRONSKOG

POSLOVANJA
Biranje najbolje virtuelne privatne mree za organizaciju moe da bude zbunjujui proces, imajui u vidu veliku ponudu na tritu. Proizvodi mogu da se, funkcionalno i po karakteristikama, preklapaju u razliitoj meri. Najbolje reenje za organizaciju moe leati izmeu te dve krajnosti, kao kombinacija kupovine kod posrednika za Internet usluge i razvoja u sopstvenoj reiji. Virtuelna privatna mrea uspostavljena sopstvenim snagama moe da obezbedi maksimum fleksibilnosti i kontrole, ali i da ne bude vredna poetnih trokova i sloenosti za male organizacije. Za vee organizacije, virtuelna privatna mrea zasnovana na posredniku Internet usluga moe da bude upotrebljena kao pilot-instalacija ili privremeno reenje, da bi se pomogla migracija ka sopstvenom sistemu. Sopstveno reenje e na dui rok utedeti vie novca i verovatno obezbediti veu fleksibilnost za pokrivanje svih potreba privatnosti u preduzeu. Jednom kada je doneta odluka o tome da virtuelna privatna mrea moe da ponudi privatnost i pogodnost Organizaciji u pogledu trokova u odnosu na tradicionalna uspostavljanja veza, preostaje samo da se odlui koji inioci najbolje odgovaraju situaciji i potrebama njenih mobilnih korisnika. Najverovatnije, VPN reenje koje e zadovoljiti sve potrebe organiyacije lei negde izmeu proizvoda razvijenog u potpunosti sopstvenim snagama i kupovine svih usluga van sopstvene organizacije. 3.1. Upotreba ifrovanja privatne virtuelne mree (VPN)

16

ifrovanje je dalo organizacijama mnogo novih opcija za zatitu poverljivih podataka. Upotreba ifrovanja u beinim komunikacijama uinila ih je isto toliko bezbednim kao i sesije po zemaljskim linijama javnih komutiranih telefonskih mrea. Organizacije koje ele dodatnu bezbednost, ili one koje nameravaju da slobodno alju poverljive podatke preko Interneta ili bilo kog drugog komunikacionog medijuma, mogu da implementiraju ifrovanje kroz sve komunikacione linkove uspostavljanjem virtuelne privatne mree. Virtuelna privatna mrea dozvoljava korisnicima da bezbedno alju podatke preko svih tipova veza, a moe u velikoj meri da pojednostavi kontrolu postupaka bezbednosti i tedi novac preduzea prilikom mobilnih pristupa. Ima mnogo VPN reenja izmeu potpuno samostalno uspostavljenih, sa jedne, i onih kupljenih kod posrednika, sa druge strane. Virtuelne privatne mree uspostavljene sopstvenim snagama nude visok nivo fleksibilnosti i kontrole, a mogu da tite sve poverljive podatke im ovi napuste internu mreu preduzea. Meutim, takva reenja mogu da budu preskupa za vrlo male organizacije. Virtuelne privatne mree kod posrednika Internet usluga dobre su kao male implementacije ili privremena reenja, ali treba posebno obratiti panju na pitanje da li zadovoljavaju potrebe mobilnih korisnika. Pravo reenje za preduzee bie ono koje najbolje uspostavlja ravnoteu izmeu njegovih potreba u pogledu trokova, kontrole postupaka i fleksibilnosti virtuelne privatne mree. Nastojanjima da se stvori univerzalni sistem onlajn autentifikacije prikljuio se i Majkrosoft. Kompanija je 2001. godine lansirala Pasport - sistem koji je prikupljao osetljive, line informacije, kao to su imena korisnika i brojevi njihovih kreditnih kartica i proputao ih do akreditovanih vebsajtova, kako bi se overio korisnikov identitet (ID)10. Ovo je, meutim, podrazumevalo pohranjivanje informacija u centralnoj bazi podataka, ime je Majkrosoft bio stavljen u ulogu uvara korisnikovih linih podataka. Sistem nije zaiveo, jer je izazivao prave none more oko pitanja privatnosti. InfoKard11 je novi Majkrosoftov pokuaj, kod kojeg je pitanje privatnosti reeno tako to e sve line informacija biti uvane od tree strane, kao to su, na primer, kompanije koje izdaju kreditne kartice. To je, uostalom, posao koji ove kompanije ve obavljaju. Majkrosoft je ve najavio da e sistem biti deo softver paketa sledee verzije vindovsa, koja treba da se nae u slobodnoj prodaji poetkom idue godine. Korisnici XP-a e program moi da Sistem takoe generie javne i privatne ifrovane kljueve za overu transakcija. Privatni
10 11

Mr Tatjana Kovaevi, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 2003 Mr Tatjana Kovaevi, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 2003

17

klju se uva na korisnikovom raunaru, dok se javni klju deli izmeu korisnika i sertifikacionog autoriteta. Tokom kupovine, korisnik prvo pristupa virtuelnom novaniku sa "infokarticama", koji se nalazi na desktopu njegovog raunara. Pristup je ogranien pasvordom. Ovaj "master" pasvord se ne alje preko Interneta, ve se uva na bezbednom delu maine. Na taj nain se onemoguava kraa pasvorda od strane hakera. InfoKard softver zatim automatski proverava digitalni potpis vebsajta i verifikuje da se radi o legitimnom mestu. Ukoliko sajt nema vaei sertifikat, znai da postoji mogunost da je u pitanju "lanjak". Sistem u tom sluaju ne dozvoljava korisniku prenos linih podataka. Ukoliko je sajt ispravan, od njega stie zahtev za detaljima neophodnim za transakciju, kao to su broj korisnikove kartice, ime i adresa. InfoKard kao odgovor upuuje korisnika na digitalne kartice koje se nalaze na desktopu raunara. Klik na odgovarajuu karticu tera program da propusti zahtev za detalje sertifikacionom autoritetu. Autoritet istog momenta verifikuje da je zahtev doao od prave osobe, traei od korisnikovog raunara da upotrebi privatni klju za deifrovanje niza bitova ifrovanih sa autoritetovim javnim kljuem. Ukoliko je sve u redu, autoritet generie sertifikat koji sadri odgovarajuu informaciju, potpisuje je digitalnim potpisom i alje korisniku. Klik na sertifikat prenosi informaciju do sajta i omoguava obavljanje trgovine. Iako zvui komplikovano, cela radnja e u stvarnosti zahtevati svega nekoliko sekundi i spasie korisnika od runog unosa linih podataka. Sem toga, sistem nudi mogunost formiranja razliitih kartica koje sadre samo odabranu informaciju. Na taj se nain moe ograniiti koliina linih podataka koju korisnik daje vebsajtovima. Takoe, mogu da se formiraju i kartice namenjene vebsajtovima koji zahtevaju samo identitet korisnika, ali ne i verifikaciju tree strane. To su, na primer, imejl vebsajtovi ili onlajn dnevne novine. Ove kartice e uvati privatni/javni klju za svaki vebsajt, tako da se oni mogu upotrebiti umesto pasvorda. Strunjaci gledaju na novi sistem sa optimizmom i smatraju da e dodavanje kriptografskih kljueva znaajno poveati onlajn bezbednost. Kompanija Verisajn je ve najavila da e obezbediti digitalni sertifikat za InfoKard. Slini sistem treba da dobiju i korisnici Epla i Linuksa kroz otvoreni projekat pod nazivom Higins. Projektom rukovodi neprofitna fondacija Eklips, uz doprinos IBM-a. Virtuelni novanik za pomenute sisteme mogao bi da bude spreman ve u junu.

4. ZAKLJUAK

18

Elektronsko poslovanje ne priznaje dravne granice to komplikuje naplatu poreza u mnogim zemljama irom sveta. Kada se tome doda elektronski ke koji je osnovni oblik plaanja kod ovog poslovanja problem postaje veoma kompleksan, jer tehnike mogunosti dozvoljavaju gotovo momentalni prenos gotovine sa jednog rauna na drugi, iz jedne zemlje u drugu, bez evidentiranja prenosa. Pored toga, mnogi kupci i prodavci posluju samo sa svojih elektronskih adresa koje se nalaze na besplatnim serverima i ne sadre podatke o njihovim fizikim adresama. Iako, oigledno, postoji tenja da se elektronsko poslovanje regulie nikako se ne smaju zanemariti ni svi oni koji se suprostavljaju toj tenji. Njihovi argumenti mogu posluiti u sagledavanju propusta. Kao tri kljuna razloga contra navodi se sledee: a) regulacija je jednostavno nepotrebna jer je najbolje da privatni sektor sam odlui kako e delovati sa stanovita zatite elektronskog poslovanja; b) davanje ovlaenja TTP umesto da povea sigurnost uinie elektronsko poslovanje manje sigurnim, zato to e centralizovani autoritet biti meta hakera, osetljiv na korupciju i zavisie od potenja zaposlenih; i c) ideja da vladine agencije mogu imati pristup privatnim kljuevima osumnjienih za kriminal je pogrena. Kriminalci nee koristiti TTP. Informacione tehnologije su pruile, kroz multimediju, nove oblike formiranja i saoptavanja naunih i tehnolokih informacija, podiui komunikaciju, nauku i strune oblasti na novi, kvalitetno vii i bogatiji nivo. Tzv. elektronske konferencije, uz primenu multimedijalnih tehnologija, omoguavaju komunikacije izmeu uesnika koji su prostorno razdvojeni. Pri tome, novi vidovi raunarsko-komunikacione tehnologije stvaraju virtuelno prisustvo koje ide toliko daleko da se i operativni zahvati mogu obavljati uz savete i voenje od strane strunjaka koji su hiljade kilometara daleko od operacione sale (informaciona mrea MEDLINE u SAD).Svrha digitalnog potpisa je da potvrdi autentinost sadraja poruke (dokaz da poruka nije promenjena na putu od poiljaoca do primaoca ), kao i da obezbedi garantovanje identiteta poiljaoca poruke. Osnovu digitalnog potpisa ini sadraj same poruke. Poiljalac primenom odreenih kriptografskih algoritama prvo od svoje poruke koja je proizvoljne duine stvara zapis fiksne duine (pr. 512 ili 1024 bita) koji u potpunosti oslikava sadraj poruke. To prakticno znai da svaka promena u sadraju poruke dovodi do promene potpisa. Ovako dobijen zapis on dalje ifruje svojim tajnim kljuem i tako formira digitalni potpis koje se alje zajedno sa porukom.

19

Da vidimo kako to funkcionie na naem primeru. Poiljalac kreira digitalni potpis na osnovu poruke koju eli da poalje primaocu. ifruje ga svojim tajnim kljuem i alje zajedno sa porukom. Primalac po prijemu poruke deifruje potpis poiljaoca njegovim javnim kljuem. Zatim primenom istog postupka kao i poiljaoc i primaoc kreira potpis na osnovu poruke koju je primila i uporeuje ga sa primljenim potpisom. Ako su potpisi identini, moe biti siguran da je poruku zaista poslao poiljaoc (jer je njegovim javnim kljuem uspeno deifrovo potpis) i da je ona stigla do njega nepromenjena (jer je utvrdo da su potpisi identini). I pored velike sigurnosti koje prua ovaj metod zatite, i dalje postoji mogunost prevare. Neko je mogao poslati primaocu svoj javni klju tvrdei da je od poiljaoca, a zatim mu slati poruke za koje bi on mislo da ih alje poiljaoc. Reenje ovog problema prua upotreba digitalnih sertifikata. Kada su banke ponudile ovaj vid poslovanja, neizbeno je pokrenuto pitanje bezbednosti. Strah od nedovoljne bezbednosti u velikoj meri odbija klijente. Spektakularni neovlaeni transferi novanih sredstava, koje gledamo svakodnevno na filmovima, su nemogui kako nas uveravaju banke na svojim sajtovima. Banke sada ulau velika novana sredstva za odravanje sistema pa se shodno tome garantuje i bezbednost. Trenutno se za obezbeenje transakcija koristi 128-bitno ifriranje, 128-bitna kombinacija simetrinih i asimetrisnih algoritama, koja kako i sami strunjaci za bezbednost kau nije neprobojna ali je veoma spora i neuporedivo vie kota nego to bi bilo isplativo. injenica da su meu prvim korisnocima ovog naina plaanja bile informatie firme treba da ohrabri budue korisnike. Moemo da zakljuimo nakraju ovog seminarskog rada da je najvei problem pitanje bezbednosti rada tj. zatita podataka od neovlaenog pristupa i promena, i zatita kreditnih kartica prilikom kupovine preko mree i sl. To je problem koji zahteva vee tehnike i organizacione inovacije, kako bi se u to veoj meri spreile zloupotrebe. Potrebno je u budunosti reavati i pitanja zatite autorskih prava, zatite privatnosti pojedinaca i zatita od kompjuterskih virusa.

5. LITERATURA

20

1. 2. 3. 4. 5. 6. 7.

Marija Vidas Bubanja, Elektronsko poslovanje, VP Beograd,2007 Dr Hasan Hani, Leksikon poslovne informatike, Znak, Beograd, 1995. godine Mr Tatjana Kovaevi, Elektronsko poslovanje, skripta, Megatrend Univerzitet primenjenih nauka, 2001-2003 David Kosiur, Understanding Electronic Commerce, Microsoft Press 1997. http://www.posdata/virtual.htm (preuzeto 11.05.2008. godine) http://www.microsoft.com/communications/. (preuzeto 11.11.2008. godine) http://www.ariadne.ac.uk/issue17/teleworking/ (preuzeto 12.112008. godine)

21