Introducere în comertul electronic

Daca cu patru-cinci ani în urma practic comertul Internet nici nu exista, astazi acesta reprezinta un loc de atragere a unor enorme interese financiare; ca urmare tot mai multe firme de calculatoare se întrec în a oferi echipamentele si programele necesare acestor servicii.

Comertul electronic este un concept integrat, creat pentru a unifica o mare varietate de servicii în domeniul afacerilor, plecând de la posta electronica transmisa între diferite organizatii, registre de adrese, sisteme electronice pentru efectuarea de plati la distanta, informatii de ordin managerial, rapoarte statistice etc. Unii oameni folosesc însa termenul cu un sens mult lai restrictiv, reducându-l la tranzactii comerciale electronice si magazine electronice; altii folosesc termeni generali, cum ar fi afaceri electronice. Exista tendinta de a se reduce scopul comertului electronic la achizitionare de bunuri si servicii; este însa necesar sa generalizam acest scop, pentru a include orice fel de tranzactie ce presupune o afacere, o relatie interorganizationala, ce se realizeaza prin mijloace electronice.

Dar ce se întelege la ora actuala prin comert Internet?

• Pentru multe firme, comertul Internet re 212g619c prezinta posibilitatea de a se efectua cumparaturi prin retea, consultând cataloage electronice "on" pe Web sau cataloage "off" pe CD-ROM si platind prin intermediul cartilor de credit sau, în viitorul foarte apropiat, prin intermediul unor portmonee electronice.
• Pentru altii, comertul Internet re 212g619c prezinta relatiile de afaceri care se deruleaza prin retea între furnizori si clienti, ca o alternativa la variantele de comunicatii "traditionale" prin fax, linii de comunicatii dedicate sau EDI pe retele cu valoare adaugata. Aceasta utilizare se mai numeste retea privata virtuala.
• O alta forma a comertului Internet, care le include pe cele anterioare, dar si multe alte utilizari înca neexploatate, o reprezinta autentificarea digitala. Ea implica o serie variata de documente, de la contacte sau comenzi pro forma, pâna la imagini sau înregistrari vocale.

Tipuri si faze ale tranzactiilor comerciale

Termenul mai larg de afaceri electronice (Electronic Business) desemneaza multimea afacerilor asistate si bazate pe telecomunicatii si informatica. În acest context, comertul electronic (Electronic Commerce sau e-commerce) este definit ca multimea activitatilor de vânzare/cumparare a unor bunuri si servicii, folosind mijloace de telecomunicatii si informatice. Scopul comertului electronic poate fi definit ca fiind tranzactia electronica. Cea mai mare parte a discutiilor referitoare la comertul electronic ramân focalizate în zona achizitionarii, a cumpararii de bunuri si servicii. În general, în comertul traditional deosebim doua tipuri de tranzactii de cumparare:

Cumparaturile majore. Constau din acel tip de procese practicat de (mari) firme atunci când urmaresc achizitii majore. Sunt bazate pe o succesiune de faze. În multe cazuri din lumea reala, aceste faze pot fi rapid identificate, însa în altele, unele dintre ele pot sa lipseasca sau presupun si alte secvente.

Faza precontractuala: Cumparatorul cauta informatii despre vânzatorii de bunuri si serviciile pe care si le doresc si despre preturi, facilitati, termene si conditii aplicabile în cazul cumpararii. Vânzatorul cauta informatii prospective despre potentialii cumparatori ai bunurilor si serviciilor de care dispune. Aceasta este o zona comuna cu stiinta marketingului, incluzând si reclama comerciala.

Faza contractuala: Pe parcursul acestei faze se stabileste o relatie formala între cumparator si vânzator, se includ termeni si conditii ce vor fi aplicate în tranzactie, prin încheierea unui contract.

Faza realizarii comenzii: Implica procesarea ordinelor de cumparare (în termeni contractuali: oferta) si a raspunsurilor la acestea din partea vânzatorului, care se pregateste pentru livrare (în termeni contractuali acceptarea). Unele tranzactii pot implica amendamente la ordinele de cumparare, renegocieri si anulari.

Faza logistica: În aceasta faza a afacerii se livreaza bunurile sau se realizeaza serviciile. În plus, pot fi implicate unele servicii post-livrare, cum ar fi inspectii sau returnari.

Faza de achitare: În timpul acestei faze, bunul sau serviciul este platit. Tranzactiile relevante includ autorizari pentru efectuarea platii, plata si un raspuns pentru confirmarea efectuarii tranzactiei. Particularitati întâlnim în cazul contractelor ce impun plati partiale, ce se succed la perioade definite de timp. Asociata la aceasta faza este institutia financiara a cumparatorului, pentru confirmarea tranzactiei ce afecteaza contul sau si pentru stabilirea tranzactiei si a balantei.

Faza post-proces: Dupa ce afacerea de baza a fost terminata, sunt necesare un numar de activitati aditionale. Cea mai întâlnita este colectarea si raportarea informatiilor manageriale. În unele cazuri, poate exista obligatia de a memora si raporta aceste statistici la o asociatie industriala sau o autoritate statistica nationala. Aditional, vânzarea unui bun sau serviciu poate crea o relatie între vânzator si cumparator prin, service întretinere, aducere la zi (upgrade) si, eventual, înlocuirea cu un alt bun sau serviciu.

Acest model, compus din sase faze, are avantajul de a asigura procurarea rationala si efectiva a bunurilor si serviciilor importante. Modelul este abstract si necesita specializare atunci când se doreste sa fie aplicat într-o situatie particulara.

1. Cumparaturile spontane (directe). O mare parte din achizitiile efectuate de firme sau persoane, implicând sume relativ mici de bani, ce nu ofera pericolul platii unui pret prea mare sau al cumpararii unui bun impropriu calitativ, poarta denumirea de procurare spontana de bunuri si servicii. Aceste cumparaturi sunt practicate în general intuitiv sau spontan, cu un minimum de decizii rationale.

2. Cumparaturi spontane (directe). O mare parte din achizitiile efectuate de firme sau persoane, implicând sume relativ mici de bani, ce nu ofera pericolul platii unui pret prea mare sau al cumpararii unui bun impropriu calitativ, poarta denumirea de procurare spontana de bunuri si servicii. Aceste mici cumparaturi sunt practicate în general intuitiv sau spontan, cu minimum de decizii rationale.

Clasificarea articolelor tranzactionate

Prin termenul de articole tranzactionate se înteleg entitatile vândute si cumparate. Ele sunt un determinant major al formei mecanismului de tranzactionare. Articolele tranzactionate pot fi clasificate având în vedere urmatoarele criterii:

• Bunuri sau servicii: Bunul este o entitate ce poate fi identificata fizic si poate fi livrata, pe când serviciul este o actiune ce poate fi întreprinsa;
• Articole tranzactionate digital sau fizic: Un articol digital este acela ce poate fi livrat printr-o retea de telecomunicatii (de exemplu Internet). Pe de alta parte, livrarea unui articol fizic implica activitati logistice, cum ar fi transportul bunului, sau facilitati, acolo unde trebuie realizat serviciul.
• Rangul de productivitate al articolelor tranzactionate: este important sa distingem articolele tranzactionate prin modul în care sunt produse. Un produs este o oferta a unui vânzator, care poate fi comandat simplu sau printr-un identificator de produs.

Printr-o analiza a comertului, inclusiv cel electronic, se pot identifica urmatoarele patru categorii de produse tranzactionate:

• Produse standard: Revolutia industriala a implicat automatizarea proceselor repetitive si standardizarea bunurilor si serviciilor într-un numar limitat de forme, cu trasaturi prestabilite. Folosim termenul de produse standard pentru acele articole care au un identificator de produs si care pot fi comandate din cataloagele vânzatorilor.
• Marfurile: Aceasta este o clasa particulara de produse care exista într-o forma identificabila, în cantitati considerabile si în forme identice, disponibile la surse variate. Exemple cunoscute sunt capitalul, instrumente financiare împartite si derivate, cum sunt contractele, schimbul valutar, precum si produse primare, cum ar fi cafeaua sau uleiul brut.
• Produse specializate: Acestea sunt proiectate sa satisfaca anumite nevoi, pentru anumiti clienti si pentru anumite scopuri. Fabricile, vapoarele, dar si unele sisteme de programe la cheie sunt exemple de astfel de bunuri.
• Produse configurabile: Exista multe cazuri în care produsele de baza sau specificatiile standard trebuie modificate pentru a fi în acord cu nevoile unui anumit cumparator. Se obtin astfel produse semispecializate. Configuratiile care pot fi realizate includ:
• optiuni asupra produsului: culoare, dimensiune;
• extensii optionale;
• parametrizari;
• specializari;
• modificari optionale;
• servicii suplimentare.

Bunuri si servicii digitale

Comertul electronic poate cuprinde majoritatea proceselor ce implica achizitionari de bunuri si servicii fizice, cu exceptia fazei logistice din modelul achizitionarii consultative. Spre deosebire de acestea, bunurile si serviciile digitale sunt acele articole care pot fi livrate utilizând infrastructura informationala. Rezulta ca pentru bunurile si serviciile digitale, piata a promovat contextul necesar pentru întreg procesul de achizitionare, inclusiv livrarea. Bunurile si serviciile digitale includ, de exemplu:

• documente, inclusiv carti si articole;
• baze de date, inclusiv statistici;
• publicatii electronice, care se adreseaza "consumului" spiritului uman;
• informatii de referinta, cum ar fi dictionare si enciclopedii;
• stiri;
• informatii meteo;
• fisiere audio cu muzica, discursuri etc.;
• fisiere video, video-audio, ce teleconferinte, TV, videoclipuri;
• voce interactiva, cum ar fi conversatia telefonica;
• video interactiv, cum ar fi videoconferintele;
• imagini;
• cursuri multimedia on-line;
• bilete la evenimente "live" pe Internet;
• software, biblioteci;
• asigurari;
• bani, inclusiv schimb monetar;
• afaceri la burse;
• comert de marfuri derivate.

Piata electronica (marketspace)

Conceptul de marketspace este utilizat pentru a desemna locul în care este practicat comertul electronic, având drept corespondent în lumea reala piata de bunuri si servicii (marketspace). Marketspace-ul se refera la contextul virtual în care cumparatorii si vânzatorii se descopera reciproc si în care se dezvolta, într-o lume bazata pe servicii si unelte de comunicatii, complexe si în continua dezvoltare, precum si pe o solida infrastructura informationala.

Schimbul de date electronice (EDI)

Conceptul EDI (Electronic Data Interchange) schimbul de date electronice, este usor de înteles ca un înlocuitor al ordinelor de plata bazate pe hârtie cu echivalentul lor electronic. În realitate este un termen mult mai cuprinzator, impactul EDI asupra e-commerce-ului fiind foarte mare. EDI ofera perspectiva unei comunicari usoare si ieftine a informatiei între firme si organizatii. Altfel definit, EDI reprezinta schimbul de documente în forma electronica standardizata, între firme si organizatii, într-o maniera automatizata, direct de la o aplicatie pe calculatorul unei organizatii/firme la o alta aplicatie pe calculatorul altei organizatii/firme.

Istoria EDI arata ca primele aplicatii a ceea ce va deveni EDI au fost facute în SUA. La originea ideii sta o necesitate internationala care a început sa se contureze în anul 1948, la Transportul Aerian din Berlin (Berlin Airlift), unde munca de coordonare a formelor de consemnare a transporturilor de mâncare si consumabile (care soseau în diferite limbi, forme si numar de copii) a impus o standardizare a acestor acte. Transmisia electronica a început în jurul anului 1960, initial în industria transporturilor pe cai ferate si drumuri, unde standardizarea documentelor devenise necesara. În 1968 s-a format TDCC (Comitetul de Coordonare a Datelor despre Transport al SUA), care a coordonat dezvoltarea unor reguli referitoare la setul de standarde existent, cu specificul industriei. Urmatoarea mutare semnificativa pentru standardizare vine cu standardul X. 12 al ANSI, care înlocuieste si extinde standardele elaborate de TDCC.

Aproape în acelasi timp, Departamentul Vamilor si Taxelor din Marea Britanie, asistat de SITPRO (Departamentul Britanic de Simplificare a Procedurilor Comerciale), a dezvoltat propriile sale standarde pentru documentele utilizate în comertul international, numit Tradacoms. Acesta a fost mai târziu extins de Comisia Economica pentru Europa în ceea ce a devenit GTDI (Propunerea Generala de Standarde pentru Schimbul de Date Comerciale), care a fost treptat acceptat de 2000 de organizatii de export Britanice.

Problemele create de utilizarea transatlantica a doua tipuri diferite de standarde (de cele mai multe ori incompatibile), au fost rezolvate printr-o consfatuire între Uniunea Europeana si cea Nord-Atlantica (UN-JEDI). Aceasta a elaborat un set de standarde pentru translatia documentelor - EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport). Impactul direct rezulta reducerea incidentelor provocate de erori, minimizarea timpului petrecut cu repararea exceptiilor cauzate de erori, micsorarea întârzierilor în procesele de afaceri.

EDI poate fi comparat prin diferentiere cu posta electronica. Posta electronica cuprinde formate libere, mesaje textuale care sa fie transmise electronic de la o persoana la alta. În schimb, EDI accepta mesaje de afaceri structurate, care pot sa gaseasca sub diferite forme predefinite: copii hard, forme preimprimate sau documente de afaceri, care sunt transmise electronic între aplicatii de calculator.

Elementele esentiale ale arhitecturii EDI sunt:

• un mediu de transmisie electronic (o retea locala sau Internet), care este preferat pentru a trimite depozite fizice de informatii;
• o baza de mesaje formatate, structurate în acord cu standardele; aceste mesaje pot fi translatate, interpretate si parcurse în conformitate cu niste reguli explicite;
• o livrare rapida a documentelor electronice de la emitator la receptor;
• o comunicare directa între aplicatii si nu între persoane.

EDI depinde de infrastructura tehnologiei informationale. Aceasta poate include managementul datelor si posibilitati de comunicare în retea, poate cuprinde captarea eficienta de date în format electronic, procesarea si conservarea datelor, accesul controlat la acestea si o transmisie viabila, sigura si eficienta între locuri diferite. EDI ofera posibilitatea unor comunicatii ieftine si usoare a informatiilor structurate între organizatii guvernamentale, agentii guvernamentale, vânzatori si clienti. EDI poate fi folosit pentru a rationaliza proceduri, a reduce costuri si a implementa servicii rapide si de calitate, fiind un set de servicii strâns legate de comertul electronic.

Vulnerabilitati ale Internetului ce afecteaza comertul electronic

Un factor principal care frâneaza dezvoltarea actuala a e-commerce-ului îl constituie insecuritatea. Internetul original a fost proiectat pentru cercetare si nu pentru desfasurarea unor tranzactii comerciale. Se pot identifica mai multe probleme specifice de securitate, care pot fi considerate adevarate obstacole în dezvoltarea comertului Internet.

1. Noutatea domeniului

Se poate vorbi despre comertul Internet ca fiind un adevarat nou domeniu de cunoastere. Desigur ca el are anumite similitudini cu alte zone ale experientei umane: schemele obisnuite de vânzare/cumparare bazate pe cartelele de credit, sistemele EDI (Electronic Data Interchange), metodele traditionale de protectie criptografica a datelor, gestiunea securitatii site-urilor. Dar exista si unele deosebiri esentiale, care fac comertul Internet un domeniu nou si de mare viitor: factorul global al comertului Internet, care face sa fie implicate firme si clienti din toata lumea, cu legi, obiceiuri si atitudini diferite, factorul inteligenta, care face sa se angajeze în gasirea unor solutii forte intelectuale deosebite, factorul de insecuritate, care deriva din faptul ca Internetul nu a fost proiectat sa suporte tranzactii sigure, fiind tinta permanenta a unor atacuri ale hacker-ilor. Dar cum orice masuri de securitate sunt relative, solutiile practice în acest domeniu reprezinta un compromis între vulnerabilitati si riscuri. Este evident ca exista o multime de vulnerabilitati, ca unele sunt mai cunoscute si preferate de atacatori si, ca urmare, solutiile de securitate si cheltuielile aferente trebuie focalizate catre acestea.

2. Probleme de piata

Limitarea curenta a tehnologiei comertului Internet este paradoxala: desi exista instrumente criptografice puternice pentru asigurarea confidentialitatii, integritatii, autenticitatii si a nerepudierii, atât din categoria cifrurilor cu cheie secreta (DES, IDEA, Triple DES, RC4, RC5 etc.), cât si a cifrurilor cu chei publice (RSA, DSA, PGP, SEEK), totusi raspândirea acestor tehnologii este obstructionata de unele forte de piata, care fac presiuni puternice asupra companiilor de a realiza noi si noi produse , de a realiza noi si noi aliante. În aceste conditii, chiar daca algoritmii si mecanismele criptografice sunt suficient de puternice, calitatea standardelor si, mai ales, a implementarilor (de multe ori simplificate inadecvat) fac ca tehnologiile de criptare folosite în comertul Internet sa aiba unele slabiciuni inacceptabile. O alta problema legata de piata o reprezinta lipsa unor standarde privitoare la securitatea tranzactiilor. Doua tehnologii, SSL (Security Socket Layer) si S-HTTP (Secure HTTP), au primit o oarecare acceptare în ultimii ani, când Visa, MasterCard si Microsoft au intrat în competitie. Istoric vorbind, Internetul a fost creat având la baza software public (liber) si o cooperare mutuala între domeniile academic si de cercetare. Mediul utilizatorilor, al administratorilor si al programatorilor Unix, s-a bazat pe o politica deschisa, discutii si cooperare privind vulnerabilitatile si contracararea lor. Astazi divizarea pietei în producatori si utilizatori de mainframe-uri si de PC-uri, a creat interese deosebite în elaborarea standardelor, a redus din consensul initial, a condus la unele practici comerciale agresive, în special la gigantii IBM sau Microsoft. În comunitatea PC-urilor, în cadrul careia opereaza majoritatea utilizatorilor, securitatea a fost si este înca mult ignorata. Sistemele de operare ale acestor tipuri de calculatoare au serioase (si cunoscute) brese de securitate. Chiar daca sistemele de operare ale retelelor în care sunt conectate PC-urile au implementate masuri sofisticate de securitate, ele nu înlatura vulnerabilitatea masinilor conectate, care induc si retelei o anumita insecuritate. Trei lumi "culturale" deosebite, Unix, PC-uri si Mainframe-uri, converg pe Internet într-un moment în care securitatea tranzactiilor si a datelor a crescut în constiinta utilizatorilor; acestia cer masuri din ce în ce mai eficiente în acest domeniu. Istoria sugereaza ca si în acest caz viitorul apartine unor standarde deschise, care sa nu fie blocate de drepturi de proprietate inhibitorii. Ultimii ani au subliniat viitorul deosebit al unei arhitecturi de securitate deschise, intens cercetata si discutata în momentul de fata, care sa fie libera de taxe de licenta si care sa stea la baza standardelor de securitate Internet ce vor fi folosite si în comertul electronic.

3. Probleme ale guvernelor

Datorita reglementarilor existente în unele tari puternic industrializate, si în special în SUA, guvernele exercita un control strict al exporturilor de criptografie "puternica". Se fac unele exceptii în domeniul criptografiei utilizate în banci sau pentru procedurile de autentificare. Acest lucru creeaza un impact financiar negativ asupra companiilor de software care nu pot exporta programe ce sunt vândute curent în viata lor. Desigur însa ca, în alte tari, unde aceste restrictii nu exista, se poate cumpara usor software criptografic ca DES, Triple DES, IDEA etc. De asemenea, exista numeroase site-uri pe Internet unde astfel de programe sunt disponibile liber si exista multe carti care învata programatorii sa creeze mecanisme criptografice puternice. Aceste restrictii guvernamentale, cu precadere în SUA, împiedica utilizarea unor mecanisme de securitate puternice, raspândite în toata lumea si compatibile între ele. Recenta licenta de export obtinuta de firma TIS pentru firewall-ul sau, care permite înglobarea unor metode puternice de cifrare, fara existenta unui tert de încredere, arata o posibila reorientare a politicii Washington-ului în acest domeniu.

4. Probleme de conceptie

Internetul opereaza într-un mediu de încredere, în care era permis tuturor utilizatorilor situati la distanta sa acceseze, prin r-comenzi BSD (rlogin sau rsh), , fisiere si resurse critice de pe calculatoare importante. Totodata, securitatea era lasata mai mult pe respectul reciproc al utilizatorilor, pe "gentelmen agreement-ul" stabilit între acestia decât pe puternice masuri tehnice si administrative. O protectie minima, considerata mult timp suficienta, dar dovedita ulterior cu slabiciuni de conceptie, au constituit-o sistemele de parole care creau o anumita "bariera" la patrunderea pe un sistem distant. Pe masura însa ce Internetul s-a extins, comunitatea utilizatorilor a crescut foarte mult, iar între acestia se gasesc numeroase persoane care nu mai respecta regulile de comportament stabilite initial de cercetatori. Numai în ultimii am asistat la numeroase atacuri în Internet, dintre care unele cu un caracter foarte extins:

• viermele Internet, care a afectat câteva mii de calculatoare în 1988;
• incidentul "Berferd" de la AT&T, din 1991;
• furtul de parole ale furnizorilor, de servicii Internet din anii 1993, 1994;
• interceptarea pachetelor IP la Centrul de supercalculatoare de la San Diego, din 1994;
• furturile de fonduri de la Citibank, din 1995.

Toate atacurile speculeaza proasta configurare a unor sisteme, unele erori în scrierea programelor, administrarea neglijenta a unor noduri sau chiar neglijenta unor utilizatori autorizati. De asemenea, unele atacuri mai sofisticate profita de lipsa totala a unor servicii de securitate în ierarhia de protocoale TCP/IP, folosita de toate calculatoarele conectate la Internet.

De exemplu, multe protocoale la nivelul de jos al ierarhiei TCP/IP, inclusiv Ethernet, sunt de tip difuzare (broadcast). Ca urmare, este posibil pentru orice masina conectata la un LAN sa "asculte" traficul destinat altor masini. În acelasi context, este posibil pentru orice calculator conectat la Internet, cum ar fi de exemplu un furnizor de servicii, sa "asculte" legatura de comunicatii ce se stabileste între doua alte calculatoare. Aceste "ascultari", însotite de memorarea traficului, sunt destinate atât încercarilor de aflare a unor parole de conectare, cât si de înregistrare a unor date confidentiale. De asemenea, nici un protocol din suita TCP/IP nu contine mijloace de autentificare reciproca a partilor comunicante. Ca urmare, este imposibil sa se determine cu precizie daca adresa de pe un pachet de date este originala sau nu. Acest lucru creeaza posibilitatea ca un sistem sa se dea drept altul si sa obtina informatii cu caracter privat. Protocoalele mentionate nu contin nici mijloace de autentificare a continutului pachetelor. Se folosesc doar niste simple sume de control pentru detectarea erorilor de transmisie. Se folosesc doar niste simple sume de control pentru detectarea erorilor de transmisie. Ca urmare, se pot opera modificari în continutul pachetelor, cu urmari dezastruoase, de exemplu, pentru niste tranzactii comerciale. De asemenea, multe implementari TCP utilizeaza algoritmi usor predictibili de generare a numerelor de secventa a pachetelor. Acest lucru, corelat cu incapacitatea de autentificare, creeaza premisele unor fraude privind interceptarea, modificarea sau furtul unor pachete. De asemenea, se pot stabili conexiuni frauduloase la sisteme, pentru accesarea unor fisiere importante sau, mai subtil, pentru instalarea unor "trape" pregatitoare ale unor accese ulterioare nestingherite pe acel sistem.

În contextul comertului electronic, atacurile la securitate se manifesta cu preponderenta prin urmatoarele chei:

• Ascultarea comunicatiilor. Acest tip de atac poate conduce la furtul unor informatii importante ale clientilor, cum ar fi numarul cartelei de credit, numarul de cont bancar, note de plata sau balante financiare. De asemenea, atacurile de acest tip conduc la furtul unor servicii, accesibile în mod normal doar celor care platesc, cum ar fi cele de informare sau de distribuire de software. Aceste lucruri pot, de exemplu, informa o firma despre tratativele de afaceri ale altor firme competitoare sau pot genera deconspirarea unor date cu caracter personal ale cumparatorilor, date transmise doar pentru firmele cu care acestia fac afaceri.
• Furtul parolelor. Atacurile de acest tip pot fi folosite pentru a permite accesul la sisteme unde se afla informatii sau servicii importante. Folosirea unor algoritmi criptografici tot mai puternici pentru protejarea acestor date a mutat tinta atacurilor de la încercarile de a "sparge" protocolul la încercarile de obtinere a unor informatii în clar de la nodurile mai putin protejate.
• Modificarea datelor. Aceste atacuri folosesc la schimbarea continutului unor tranzactii, ca de exemplu suma transferata în contul unei banci, persoana platita pe un cec electronic, valoarea unor comenzi pro forma etc.
• Înregistrarea. Acest tip de atac poate fi folosit pentru a permite unei parti comunicante sa se dea drept alta. Atacatorul plaseaza în Internet un calculator destinat colectarii a sute de mii de numere de cartele de credit, numere de cont sau alte informatii, atacatorii pot executa plati importante în numele unor persoane care nici nu banuiesc sau pot colecta taxe de la diversi comercianti.
• Repudierea. Repudierea sau refuzul de cunoastere a unor tranzactii facute prin retea creeaza serioase daune partilor implicate. De exemplu situatia unui cec bancar, refuzat nu pentru ca nu are acoperire în cont, ci pentru simplu fapt ca banca nu are mijloace de autentificare a acestuia.

Comertul Internet intereseaza în mod esential atât marile, cât si în micile companii. Conform unor date publicate recent, 50% dintre firmele care au peste 1000 de lucratori au în momentul de fata cel putin un site Web, în timp ce 80% dintre firmele ce poseda un astfel de site au sub 100 de angajati. Internetul devine foarte atractiv pentru micile firme, care pot fi foarte active pe retea, se pot face mult mai rapid cunoscute si îsi pot promova mai ieftin politica de piata. În acest context, multe afaceri au migrat în ultimii ani pe Internet. Practic, nu exista firma într-o tara cu o dezvoltare cel putin medie care sa nu aiba create pagini Web, pe care se gasesc informatii despre serviciile si produsele oferite. De asemenea, consumatorii si producatorii pot comunica instantaneu prin e-mail, ceea ce le confera posibilitatea unei informari reciproce si a unor comunicatii foarte ieftine. si totusi acestia nu s-au "aruncat" înca sa faca comert la scara mare pe Internet. De ce oare aceasta retinere? Motivele invocate cel mai adesea sunt legate de securitatea tranzactiilor comerciale si a platilor.

Impactul spargerii securitatii sistemelor

În afara de pierderi însemnate sau pierderea unor secrete importante, exista si alte câteva efecte negative datorate spargerii sistemelor:

pierderi de afaceri - accesul la date confidentiale permite competitorilor sa câstige locuri importante pe piata;

reputatie compromisa - daca datele pierdute erau de mare importanta, se pierde si imaginea, reputatia organizatiei al carui nume era indicat în informatiile respective;

pierderi depozitare - daca organizatia avea responsabilitati de depozitare a bunurilor, este responsabila nu doar pentru pierderea bunurilor, ci si pentru pierderea relatiei de confidentialitate; poate aduce pierderi extraordinare de bunuri si afaceri, precum si pierderea reputatiei;

pierderi de bunuri - poate lua mai multe forme: de bani si de echipamente, de servicii, de capacitati în retele publice;

pierderi de secrete comerciale - compromiterea secretelor comerciale poate avea un efect dramatic asupra profitului organizatiei; de exemplu, în domeniul farmaceutic, o pierdere de genul acesta include ani de cercetare, resurse (oameni, materiale, capital) etc.

Analiza riscului

Dupa ce a fost identificata natura amenintarilor, impactul spargerii sistemelor de securitate si caracteristicile intrusilor, se pot determina acele resurse care trebuie protejate.

Analiza riscului într-un mediu de retea, implica patru sarcini de baza:

determinarea obiectelor care trebuie protejate - variaza în functie de profilul organizatiei în cauza (comercial sau nu); exemple de obiecte ce pot fi protejate sunt: informatii despre echipamente, personal, bunurile personalului, consumabile, bani, timp de procesare a procesorului, servicii de retea (cum ar fi e-mail) etc.

identificarea surselor de risc - (clasele de intrusi) - fiecare clasa de intrusi trebuie examinata în contextul spargerii retelei, de la accidental pâna la intentionat.

stabilirea probabilitatii riscului - vazuta nu ca o activitate stiintifica, o estimare rezonabila permite o privire generala asupra riscului de spargere a retei.

evaluarea costului unei actiuni de spargere - exista trei tipuri de costuri de baza care se iau în considerare:

cost primar - costul înlocuirii resurselor pierdute, reintroducerii datelor în baza de date;

cost secundar - afacerile pierdute; este destul de greu de evaluat si cuantificat înainte de incident; o cale poate fi revederea afacerilor din anul anterior, din aceeasi perioada;

cost proportional pentru valori statistice - acest tip de analiza este important în cazul în care pierderile resurselor retelei au un efect negativ asupra afacerilor clientilor.