Электронная подпись и шифрование
Вильям Хиллисон, Карл Пачини и Дэвид Сайнасон
В кратком изложении
Внутренний контроль в е-коммерции
С развитием е-коммерции предприятия стали нуждаться в средствах внутреннего контроля, которые обеспечивают сохранность информации и безопасность активов. Основное правило остается прежним: расходы на контроль надо сравнивать с преимуществами, которые получает компания.
Есть причины, по которым в электронной среде считают необходимой электронную подпись, нередко - с технологией шифрования. Шифрование с общим и индивидуальным ключом (симметричное) может обеспечить контроль за достоверностью, исполнением и безопасностью, если риск особенно велик. Другие средства больше подходят для ситуаций с небольшим риском.
Концепции внутреннего контроля не зависят от технологии, но при реализации средств управления учитывается технологическое развитие. Интернет сделал возможной передачу важнейшей информации по электронным каналам. Возникла необходимость в подписи, делающей документ подлинным, подконтрольным и неоспоримым для обеих сторон.
Многие традиционные риски меняются, и юридическим лицам приходится ими управлять. По мнению бухгалтеров и аудиторов, внутренний контроль призван обеспечить:
- экономичные меры против несанкционированного доступа и использования активов;
- надежность финансовых документов и отчетности;
- соблюдение соответствующих законов и положений.
Средства внутреннего контроля должны быть эффективными, хотя выгоду от их применения иногда трудно определить. Соотнести лучшие средства с риском или убытками нелегко, но императив "затраты/доходы" не теряет важности для разработки и оценки процесса контроля.
Объем онлайновых продаж быстро растет и к 2002 году обещает достичь 35 млрд. долларов (по сравнению с 4,5 млрд. в 1998 году).
30 июня 2000 г. Президент Клинтон подписал "Закон об электронных подписях в глобальной и национальной коммерции", согласно которому электронные документы и подписи нельзя лишить законной силы только на основании их электронной формы.
Рост числа электронных транзакций создает перегрузку систем контроля, которые обеспечивают целостность процесса. Вместе с потребностью переоценить имеющиеся средства управления, возникают новые риски.
Риски
Для электронного бизнеса характерны как традиционные торговые и контрактные риски, так и новые, присущие лишь электронной среде. Некоторые из них появляются вследствие физической удаленности клиентов от поставщиков; другие - из-за отсутствия бумажной документации.
Пристального внимания требуют следующие факторы:
- Установление подлинности. Подписи от руки традиционно заверяют подлинность документов. Электронная подпись служит той же цели, причем иногда она даже надежнее защищена от подделки.
- Неоспоримость (nonrepudiation). Стороны не должны иметь возможность оспорить договор. Традиционное законодательство определяет ситуации, в которых необходимо составить письменный контракт, чтобы сделка имела законную силу. При возникновении споров копии документов с датой и подписью рассматриваются в суде как доказательство обоснованности претензий. При надлежащем использовании технология электронной подписи может выполнять ту же функцию.
- Безопасность. Некоторые электронные риски не связаны напрямую с е-коммерцией. При передаче данных по открытым сетям существует опасность потери и перехвата, а полученные цифровые сообщения необходимо защищать. Бумажные документы подшиваются и хранятся, а риск их огласки меньше благодаря ограниченному количеству копий. В электронной среде возможно мгновенное копирование и распространение документов, а базы данных и сервера дают широкий доступ к конфиденциальной информации.
Для защиты от рисков каждого типа существуют различные технологические приемы. Ни одна процедура не подходит для всех транзакций, событий или контрактов. Анализ затрат и выгод подскажет, какое средство контроля лучше использовать в данной ситуации.
Зоны риска, связанные с электронной коммуникацией:
- перевод денежных средств;
- обязательства вследствие деятельности или контракта, которые могут повлечь финансовую или юридическую ответственность;
- транзакции, затрагивающие информацию, которая может быть оспорена;
-транзакции, затрагивающие информацию для служебного пользования;
- связь в условиях, требующих секретности или конфиденциальности;
- транзакции, при которых не переводятся денежные средства, не возникает финансовой или юридической ответственности, не требуется секретности или конфиденциальности;
- связь в условиях, не требующих секретности или конфиденциальности.
Для работы с финансами необходимы более эффективные средства контроля. Обеспечивая хранение и доступ к информации, также следует подумать о безопасности.
Продолжение в следующем выпуске.