E TİCARETTE GÜVENLİK SORUNLARI VE ÖNLEMLERİ
E-TİCARETTE GÜVENLİK SORUNU Elektronik ticaretin gelişmesinin karşısındaki en büyük engel, güvenlik olarak görülmektedir. İnternet üzerinden gerçekleştirilen ticari faaliyetlerde karşılaşabilecek güvenlik sorunlar şunlar olabilir. - - Giriş yetkisi verilmeyen ağ kaynaklarına giriş, - - Bilgi ve ağ kaynaklarını imha etmek, zarar vermek, - - Bilgiyi değiştirmek, karıştırmak veya bilgiye yeni şeyler eklemek,
- - Yetkisiz kişilere bilginin iletilmesi, - - Bilgi ve ağ kaynaklarının çalınması, - - Alınan hizmetleri ve gönderilen veya alınan bilgiyi inkar etmek, - - Ağ hizmetlerinin kesilmesine ve bozulmasına neden olmak, - - Almadığı veya göndermediği bilgileri aldığını veya gönderdiğini iddia etmek.
Elektronik ticarette güvenlik sorunu, üç açıdan incelenebilir. Güvenlik Duvarları: Güvenlik duvarı , korunmuş ağlara veya sitelere yalnızca belirli özelliklere sahip dış kullanıcıların girmesine izin veren yazılım veya donanım olarak tanımlanabilir. Kullanıcılar, kullanıcı adı, şifre, internet IP adresi veya alan adı (domain name) kullanarak sisteme girebilirler. Güvenlik duvarı, şirket ağıyla, dış internet arasında bir bariyer oluşturur. Yetkili olmayan kişiler, doğrudan ağ içerisindeki bilgisayarlara giremez. Fakat, yetkili iç kullanıcılar, ağ dışındaki internet hizmetlerinden yararlanmaya devam eder. Güvenlik duvarı, ağ dışından izinsiz girişleri önlemek amacıyla kullanılabileceği gibi, işletme içinde çalışanların gizli veya stratejik bilgilere ulaşmasını engellemek için de kullanılabilir.
Şifreleme ve İşlem Güvenliği: Bilginin kanallar üzerinden iletilmesi sırasında, çalınma ve değiştirilme riski olmadan alıcıya gönderilmesi büyük önem taşımaktadır. Bunun için, çeşitli kriptografi yöntemleri ve araçları geliştirilmiştir. Şifreleme işlemiyle, gönderilen bilgi, anlamsız sayısal veriye dönüştürülmekte ve alıcıya gönderilmektedir. Günümüzde yaygın olarak kullanılan kriptografi türleri, açık-anahtarlı kriptografi ve tek/gizli anahtarlı kriptografi olmak üzere iki çeşittir. Gizliliği ve güvenliği sağlamak amacıyla bu yöntemlerde kullanılan araçlar; dijital sertifikalar, dijital ve elektronik imzalar ve onay kurumlarıdır.
Güvenliği ve İnternet Güvelik Protokolleri World Wide Web: Elektronik ticarette, kullanıcının kimliğini karşı tarafa bildirmesi, karşı tarafın da kendi kimliğini kullanıcıya bildirmesi önemlidir. Özellikle, internet üzerinden alışveriş yapılmasında ve internet üzerinden elektronik ödeme sistemlerinde güvenliği sağlamak amacıyla çeşitli internet güvenlik protokolleri geliştirilmiştir. Bunlardan yaygın olarak kullanılan SET ve SSL protokolleridir.
Elektronik ticarette alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet üzerinden iletilirken üçüncü şahısların eline geçmesi riski vardır. . Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur.
İnternette alışveriş yaparken, ödeme ekranlarında öncelikle kredi kartı ve şahsi bilgilerinizi paylaştığınız ortamların sayfa açılımlarının "http:// " yerine "https://" ile başlamasına dikkat etmek gerekir. Normal şartlarda bu tip sayfalara ulaştığınızda güvenli sayfalara erişmektesiniz gibi bir uyarı notu görüntüye gelir. Sayfa açılınca da ekranınızın alt bölümünde bir asma kilit görünür. Öncelikle bu asma kilitli tıklayarak, söz konusu güvenli sayfanın kime ait olduğunu kontrol edin. Normal şartlarda söz konusu sayfanın alışveriş yaptığınız firmaya ait olması gerekmektedir.
Güvenlik İçin Kullanılan Yaygın Protokoller İnternet üzerinde dolaşan bilgi paketleri, bir takım güvenlik protokolleri yardımıyla "şifrelenerek" gönderilir. Bunlardan en popülerleri SSL (güvenlikli web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET (kredi kartı uygulamaları) dir. SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi güvenli bir şekilde "sadece" doğru kişiye iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar arasında güvenli bir veri iletişimi kurulur.
Böylece, kredi kartı numarası, isim, adres vb gibi bilgiler güvenli olarak iletilir. İnternet üzerinde alışveriş yapılan tüm merkezlerde alışveriş yapılırken bu tip güvenlik sistemleri kullanılır. 128 bit şifreleme algoritmaları kullanan bu sistemler, e-ticaret için gerekli "güvenli iletişim" ortamını sağlarlar.
SSL (Secure Sockets layer) SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli bilgi aktarımının temini için "Netscape" firması tarafından geliştirilmiş bir program katmanıdır . Burada, bilgi iletiminin güvenliği, uygulama programı ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. SSL, hem istemci hem de sunucu bilgisayarda bir doğrulama mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir. SSL, bugün için yaygınlıkla kullanılan ve birçok yazılımın desteklediği bir stantart haline gelmiştir. Özellikle internet üzerinden bankacılık, elektronik kimlik belgesi çıkartma gibi hizmetler veren siteler SSL kullanmaktadırlar.
SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır
SET nasıl işliyor? SET (Secure Electronic Transaction), elektronik ticarette, internet üzerinde güvenli bilgi aktarımını sağlamak amacıyla aralarında VISA, MasterCard ve IBM’in de olduğu kuruluşlar tarafından geliştirilen bir protokoldür. SET uyumlu ilk alışveriş, 18 Temmuz 1997’de San Francisco’da yapılan tanıtımla İspanya ve Singapur’da bulunan sanal mağazalardan gerçekleştirilmiştir. Garanti Bankası Şubat 1998’de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü kullanmaya başlayan Dünya’da yedinci, Avrupa’da dördüncü ve Türkiye’de ilk kuruluş olmuştur.
Amaç, internet üzerinden kredi kartıyla güvenli ödeme yapabilmektir Amaç, internet üzerinden kredi kartıyla güvenli ödeme yapabilmektir. Diğer bir deyişle, kullanıcının kredi kartı ikinci taraflarca okunmamalı ve ödeme emrindeki mal miktarı, ödeme miktarı zaman bilgisi vb. diğer bilgiler, hem alıcı, hem satıcı hem de aracı kurum olanbanka tarafından inkar edilemez nitelikte olmalıdır. SET, özellikle on-line (gerçek zamanda) kredi kartı bilgileri iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu sağlar. SET protokolü sadece müşteri (ürün siparişi veren kredi kartı sahibi) ile sanal dükkan (e-dükkan) ve kredi kartı şirketi arasındaki ödeme fazını şifreler.
Mevcut güvenlik sistemlerinden SET’i farklı kılan sebep; alıcı ile satıcıyı bir finansal kurum ile ilişkilendiren sertifikaların varlığıdır. SET güvenli bir iletişim altyapısı sağlamasına karşın, beklendiği hızda yaygınlaşamamıştır. Bunun nedenleri uzmanlar tarafından , kullanıcı kolaylığında yaşanan sıkıntılar ve bahsedilen yazılımların dağıtımı ile ilgili zorluklar olarak tespit edilmiştir.
HAZIRLAYANLAR 0621.05046 Zeynep ÇETİN 0621.05047 Gülendam ÇETİN 0621.05048 Amine ÇETİN