V. БЕЗОПАСНОСТЬ

Среди проблем безопасности мобильных платежей значатся следующие:

• Конфиденциальность: при использовании мобильных платежей информация о покупке и способе оплаты не должна попасть в чужие руки.

• Аутентификация: продавцы и клиенты должны иметь возможность проверить подлинность предоставленных личных данных.

• Целостность: стоимость транзакций не должна меняться без ведома любой из сторон.

• Авторизация: все участники сделки должны иметь возможность проверить, имеется ли у них разрешение на проведение оплаты.

• Безотказность: должна быть обеспечена невозможность осуществления финансовых операций без ведома той или иной стороны.

В числе других проблем, не относящихся к безопасности, можно назвать доступность, удобство, скорость, простоту использования и стандартизацию.

Помимо угрозы безопасности личных данных из-за использования беспроводных устройств для совершения финансовых операций, возникают иные уязвимости. При обработке подобных транзакций может быть использовано несколько беспроводных сетей с разными уровнями защиты, что приводит к изменению/потере информации и DoS-атакам (атакам типа «отказ в обслуживании»). В таких условиях отслеживание хакеров усложняется, поскольку мобильные устройства перемещаются между зонами действия различных сетей, а многие беспроводные сети США не проводят аутентификацию пользователя, что не позволяет ассоциировать конкретного пользователя с конкретным устройством.

Некоторые вопросы безопасности позволяет решить связующее ПО. Например, протокол беспроводных приложений WAP строит защиту связи на основе технологии WTLS (уровень беспроводной защиты передачи), но обеспечивает её не по всей длине канала связи, а только от мобильного устройства до WAP-шлюза, на котором происходит переход от WTLS к протоколу SSL (уровень защищенных сокетов). Эти шлюзы очень уязвимы к DoS-атакам, поскольку на мобильных устройствах могут выполняться вредоносные WML-программы (программы на языке разметки для беспроводных устройств), что затрудняет работу существующих систем безопасности (регистрации, аутентификации и шифровки). Несколько финансовых компаний, расположенных в США, совместно с поставщиками из Консорциума технологий для финансовых услуг (FSTC) работают над внедрением полной поддержки транзакций в финансовых приложениях для мобильных устройств, беспроводных сетях и финансовых учреждениях.

Одним из значительных препятствий на данный момент является невозможность повсеместного применения полной шифровки канала от начала до конца. Однако, это станет возможным с введением в эксплуатацию технологии WAP 2.0.

Также станет возможным внедрение дополнительных мер безопасности для защиты финансовых операций. На данный момент стандарт GSM поддерживает аутентификацию как пользователей (по персональному идентификационному номеру PIN), так и устройств (с помощью SSL). Финский оператор сотовой связи Sonera предлагает SIM-карты с встроенной инфраструктурой открытых ключей PKI (Personal Key Identification). Одним из возможных вариантов является использование беспроводной PKI, т.е. системы управления ключами и сертификатами доступа, для работы с которой пользователю необходимо ввести 2 PIN-кода (первый - для аутентификации, второй – в качестве цифровой подписи). Беспроводная PKI применяется и в WTLS для поддержки двухсторонней аутентификации (аноним - 1 класс, сервер - 2 класс, пользователь - 3 класс).

Сервис I-appli в телефонах iMode, разработанный на языке Java для мобильных устройств, также поддерживает проведение финансовых операций. Среди примеров использования этого сервиса можно выделить японскую компанию DoCoMo, которая применяет его в своих телефонах iMode. Для обеспечения безопасной работы сервиса используется протокол SSL 40- или 128-битной версии.

Безопасность связи всегда будет иметь первостепенное значение в вопросах мобильных платежей, особенно при операциях с крупными суммами. Несомненно, требуется проделать большую работу для удовлетворения специфических требований безопасности и изучения новых способов защиты платежей. Помимо существующих ограничений суммы платежа в зависимости от типа пользователя, истории его платежей и кредитоспособности существует возможность ввести ограничение по его местоположению. Используемые для осуществления мобильных платежей беспроводные сети также могут стать ограничивающим фактором в вопросах регулирования сумм платежей у зарегистрированных и случайных пользователей этих сетей.