Introducere in comertul electronic

Daca cu patru-cinci ani in urma practic comertul Internet nici nu exista, astazi acesta reprezinta un loc de atragere a unor enorme interese financiare; ca urmare tot mai multe firme de calculatoare se intrec in a oferi echipamentele si programele necesare acestor servicii.

                Comertul electronic este un concept integrat, creat pentru a unifica o mare varietate de servicii in domeniul afacerilor, plecand de la posta electronica transmisa intre diferite organizatii, registre de adrese, sisteme electronice pentru efectuarea de plati la distanta, informatii de ordin managerial, rapoarte statistice etc. Unii oameni folosesc insa termenul cu un sens mult lai restrictiv, reducandu-l la tranzactii comerciale electronice si magazine electronice; altii folosesc termeni generali, cum ar fi afaceri electronice. Exista tendinta de a se reduce scopul comertului electronic la achizitionare de bunuri si servicii; este insa necesar sa generalizam acest scop, pentru a include orice fel de tranzactie ce presupune o afacere, o relatie interorganizationala, ce se realizeaza prin mijloace electronice.

                Dar ce se intelege la ora actuala prin comert Internet?

• Pentru multe firme, comertul Internet reprezinta posibilitatea de a se efectua cumparaturi prin retea, consultand cataloage electronice "on" pe Web sau cataloage "off" pe CD-ROM si platind prin intermediul cartilor de credit sau, in viitorul foarte apropiat, prin intermediul unor portmonee electronice.
• Pentru altii, comertul Internet reprezinta relatiile de afaceri care se deruleaza prin retea intre furnizori si clienti, ca o alternativa la variantele de comunicatii "traditionale" prin fax, linii de comunicatii dedicate sau EDI pe retele cu valoare adaugata. Aceasta utilizare se mai numeste retea privata virtuala.
• O alta forma a comertului Internet, care le include pe cele anterioare, dar si multe alte utilizari inca neexploatate, o reprezinta autentificarea digitala. Ea implica o serie variata de documente, de la contacte sau comenzi pro forma, pana la imagini sau inreg 959c22j istrari vocale.

1.1. Tipuri si faze ale tranzactiilor comerciale

Termenul mai larg de afaceri electronice (Electronic Business) desemneaza multimea afacerilor asistate si bazate pe telecomunicatii si informatica. In acest context, comertul electronic (Electronic Commerce sau e-commerce) este definit ca multimea activitatilor de vanzare/cumparare a unor bunuri si servicii, folosind mijloace de telecomunicatii si informatice. Scopul comertului electronic poate fi definit ca fiind tranzactia electronica. Cea mai mare parte a discutiilor referitoare la comertul electronic raman focalizate in zona achizitionarii, a cumpararii de bunuri si servicii. In general, in comertul traditional deosebim doua tipuri de tranzactii de cumparare:

Ø       Cumparaturile majore. Constau din acel tip de procese practicat de (mari) firme atunci cand urmaresc achizitii majore. Sunt bazate pe o succesiune de faze. In multe cazuri din lumea reala, aceste faze pot fi rapid identificate, insa in altele, unele dintre ele pot sa lipseasca sau presupun si alte secvente.

Faza precontractuala: Cumparatorul cauta informatii despre vanzatorii de bunuri si serviciile pe care si le doresc si despre preturi, facilitati, termene si conditii aplicabile in cazul cumpararii. Vanzatorul cauta informatii prospective despre potentialii cumparatori ai bunurilor si serviciilor de care dispune. Aceasta este o zona comuna cu stiinta marketingului, incluzand si reclama comerciala.

Faza contractuala: Pe parcursul acestei faze se stabileste o relatie formala intre cumparator si vanzator, se includ termeni si conditii ce vor fi aplicate in tranzactie, prin incheierea unui contract.

Faza realizarii comenzii: Implica procesarea ordinelor de cumparare (in termeni contractuali: oferta) si a raspunsurilor la acestea din partea vanzatorului, care se pregateste pentru livrare (in termeni contractuali acceptarea). Unele tranzactii pot implica amendamente  la ordinele de cumparare, renegocieri si anulari.

Faza logistica: In aceasta faza a afacerii se livreaza bunurile sau se realizeaza serviciile. IN plus, pot fi implicate unele servicii post-livrare, cum ar fi inspectii sau returnari.

Faza de achitare: In timpul acestei faze, bunul sau serviciul este platit. Tranzactiile relevante includ autorizari pentru efectuarea platii, plata si un raspuns pentru confirmarea efectuarii tranzactiei. Particularitati intalnim in cazul contractelor ce impun plati partiale, ce se succed la perioade definite de timp. Asociata la aceasta faza este institutia financiara a cumparatorului, pentru confirmarea tranzactiei ce afecteaza contul sau si pentru stabilirea tranzactiei si a balantei.

Faza post-proces: Dupa ce afacerea de baza a fost terminata, sunt necesare un numar de activitati aditionale. Cea mai intalnita este colectarea si raportarea informatiilor manageriale. In unele cazuri, poate exista obligatia de a memora si raporta aceste statistici la o asociatie industriala sau o autoritate statistica nationala. Aditional, vanzarea unui bun sau serviciu poate crea o relatie intre vanzator si cumparator prin, service intretinere, aducere la zi (upgrade) si, eventual, inlocuirea cu un alt bun sau serviciu.

Acest model, compus din sase faze, are avantajul de a asigura procurarea rationala si efectiva a bunurilor si serviciilor importante. Modelul este abstract si necesita specializare atunci cand se doreste sa fie aplicat intr-o situatie particulara.

1. Cumparaturile spontane (directe). O mare parte din achizitiile efectuate de firme sau persoane, implicand sume relativ mici de bani, ce nu ofera pericolul platii unui pret prea mare sau al cumpararii unui bun impropriu calitativ, poarta denumirea de procurare spontana de bunuri si servicii. Aceste cumparaturi sunt practicate in general intuitiv sau spontan, cu un minimum de decizii rationale.

2. Cumparaturi spontane (directe). O mare parte din achizitiile efectuate de firme sau persoane, implicand sume relativ mici de bani, ce nu ofera pericolul platii unui pret prea mare sau al cumpararii unui bun impropriu calitativ, poarta denumirea de procurare spontana de bunuri si servicii. Aceste mici cumparaturi sunt practicate in general intuitiv sau spontan, cu minimum de decizii rationale.

1.2.  Clasificarea articolelor tranzactionate

Prin termenul de articole tranzactionate se inteleg entitatile vandute si cumparate. Ele sunt un determinant major al formei mecanismului de tranzactionare. Articolele tranzactionate pot fi clasificate avand in vedere urmatoarele criterii:

• Bunuri sau servicii: Bunul este o entitate ce poate fi identificata fizic si poate fi livrata, pe cand serviciul este o actiune ce poate fi intreprinsa;
• Articole tranzactionate digital sau fizic: Un articol digital este acela ce poate fi livrat printr-o retea de telecomunicatii (de exemplu Internet). Pe de alta parte, livrarea unui articol fizic implica activitati logistice, cum ar fi transportul bunului, sau facilitati, acolo unde trebuie realizat serviciul.
• Rangul de productivitate al articolelor tranzactionate: este important sa distingem articolele tranzactionate prin modul in care sunt produse. Un produs este o oferta a unui vanzator, care poate fi comandat simplu sau printr-un identificator de produs.

Printr-o  analiza a comertului, inclusiv cel electronic, se pot identifica urmatoarele patru categorii de produse tranzactionate:

• Produse standard: Revolutia industriala a implicat automatizarea proceselor repetitive si standardizarea bunurilor si serviciilor intr-un numar limitat de forme, cu trasaturi prestabilite. Folosim termenul de produse standard pentru acele articole care au un identificator de produs si care pot fi comandate din cataloagele vanzatorilor.
• Marfurile: Aceasta este o clasa particulara de produse care exista intr-o forma identificabila, in cantitati considerabile si in forme identice, disponibile la surse variate. Exemple cunoscute sunt capitalul, instrumente financiare impartite si derivate, cum sunt contractele, schimbul valutar, precum si produse primare, cum ar fi cafeaua sau uleiul brut.
• Produse specializate: Acestea sunt proiectate sa satisfaca anumite nevoi, pentru anumiti clienti si pentru anumite scopuri. Fabricile, vapoarele, dar si unele sisteme de programe la cheie sunt exemple de astfel de bunuri.
• Produse configurabile: Exista multe cazuri in care produsele de baza sau specificatiile standard trebuie modificate pentru a fi in acord cu nevoile unui anumit cumparator. Se obtin astfel produse semispecializate. Configuratiile care pot fi realizate includ:
• optiuni asupra produsului: culoare, dimensiune;
• extensii optionale;
• parametrizari;
• specializari;
• modificari optionale;
• servicii suplimentare.

Bunuri si servicii digitale

Comertul electronic poate cuprinde majoritatea proceselor ce implica achizitionari de bunuri si servicii fizice, cu exceptia fazei logistice din modelul achizitionarii consultative. Spre deosebire de acestea, bunurile si serviciile digitale sunt acele articole care pot fi livrate utilizand infrastructura informationala. Rezulta ca pentru bunurile si serviciile digitale, piata a promovat contextul necesar pentru intreg procesul de achizitionare, inclusiv livrarea. Bunurile si serviciile digitale includ, de exemplu:

• documente, inclusiv carti si articole;
• baze de date, inclusiv statistici;
• publicatii electronice, care se adreseaza "consumului" spiritului uman;
• informatii de referinta, cum ar fi dictionare si enciclopedii;
• stiri;
• informatii meteo;
• fisiere audio cu muzica, discursuri etc.;
• fisiere video, video-audio, ce teleconferinte, TV, videoclipuri;
• voce interactiva, cum ar fi conversatia telefonica;
• video interactiv, cum ar fi videoconferintele;
• imagini;
• cursuri multimedia on-line;
• bilete la evenimente "live" pe Internet;
• software, biblioteci;
• asigurari;
• bani, inclusiv schimb monetar;
• afaceri la burse;
• comert de marfuri derivate.

1.3.  Piata electronica (marketspace)

Conceptul de marketspace este utilizat pentru a desemna locul in care este practicat comertul electronic, avand drept corespondent in lumea reala piata de bunuri si servicii (marketspace). Marketspace-ul se refera la contextul virtual in care cumparatorii si vanzatorii se descopera reciproc si in care se dezvolta, intr-o lume bazata pe servicii si unelte de comunicatii, complexe si in continua dezvoltare, precum si pe o solida infrastructura informationala.

1.4.  Schimbul de date electronice (EDI)

Conceptul EDI (Electronic Data Interchange) schimbul de date electronice, este usor de inteles ca un inlocuitor al ordinelor de plata bazate pe hartie cu echivalentul lor electronic. In realitate este un termen mult mai cuprinzator, impactul EDI asupra e-commerce-ului fiind foarte mare. EDI ofera perspectiva unei comunicari usoare si ieftine a informatiei intre firme si organizatii. Altfel definit, EDI reprezinta schimbul de documente in forma electronica standardizata, intre firme si organizatii, intr-o maniera automatizata, direct de la o aplicatie pe calculatorul unei organizatii/firme la o alta aplicatie pe calculatorul altei organizatii/firme.

Istoria EDI arata ca primele aplicatii a ceea ce va deveni EDI au fost facute in SUA. La originea ideii sta o necesitate internationala care a inceput sa se contureze in anul 1948, la Transportul Aerian din Berlin (Berlin Airlift), unde munca de coordonare a formelor de consemnare a transporturilor de mancare si consumabile (care soseau in diferite limbi, forme si numar de copii) a impus o standardizare a acestor acte. Transmisia electronica a inceput in jurul anului 1960, initial in industria transporturilor pe cai ferate si drumuri, unde standardizarea documentelor devenise necesara. In 1968 s-a format TDCC (Comitetul de Coordonare a Datelor despre Transport al SUA), care a coordonat dezvoltarea unor reguli referitoare la setul de standarde existent, cu specificul industriei. Urmatoarea mutare semnificativa pentru standardizare vine cu standardul X. 12 al ANSI, care inlocuieste si extinde standardele elaborate de TDCC.

Aproape in acelasi timp, Departamentul Vamilor si Taxelor din Marea Britanie, asistat de SITPRO (Departamentul Britanic de Simplificare a Procedurilor Comerciale), a dezvoltat propriile sale standarde pentru documentele utilizate in comertul international, numit Tradacoms. Acesta a fost mai tarziu extins de Comisia Economica pentru Europa in ceea ce a devenit GTDI (Propunerea Generala de Standarde pentru Schimbul de Date Comerciale), care a fost treptat acceptat de 2000 de organizatii de export Britanice.

Problemele create de utilizarea transatlantica a doua tipuri diferite de standarde (de cele mai multe ori incompatibile), au fost rezolvate printr-o consfatuire intre Uniunea Europeana si cea Nord-Atlantica (UN-JEDI). Aceasta a elaborat un set de standarde pentru translatia documentelor - EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport). Impactul direct rezulta reducerea incidentelor provocate de erori, minimizarea timpului petrecut cu repararea exceptiilor cauzate de erori, micsorarea intarzierilor in procesele de afaceri.

EDI poate fi comparat prin diferentiere cu posta electronica. Posta electronica cuprinde formate libere, mesaje textuale care sa fie transmise electronic de la o persoana la alta. In schimb, EDI accepta mesaje de afaceri structurate, care pot sa gaseasca sub diferite forme predefinite: copii hard, forme preimprimate sau documente de afaceri, care sunt transmise electronic intre aplicatii de calculator.

Elementele esentiale ale arhitecturii EDI sunt:

• un mediu de transmisie electronic (o retea locala sau Internet), care este preferat pentru a trimite depozite fizice de informatii;
• o baza de mesaje formatate, structurate in acord cu standardele; aceste mesaje pot fi translatate, interpretate si parcurse in conformitate cu niste reguli explicite;
• o livrare rapida a documentelor electronice de la emitator la receptor;
• o comunicare directa intre aplicatii si nu intre persoane.

EDI depinde de infrastructura tehnologiei informationale. Aceasta poate include managementul datelor si posibilitati de comunicare in retea, poate cuprinde captarea eficienta de date in format electronic, procesarea si conservarea datelor, accesul controlat la acestea si o transmisie viabila, sigura si eficienta intre locuri diferite. EDI ofera posibilitatea unor comunicatii ieftine si usoare a informatiilor structurate intre organizatii guvernamentale, agentii guvernamentale, vanzatori si clienti. EDI poate fi folosit pentru a rationaliza proceduri, a reduce costuri si a implementa servicii rapide si de calitate, fiind un set de servicii strans legate de comertul electronic.

1.5.  Vulnerabilitati ale Internetului ce afecteaza comertul electronic

Un factor principal care franeaza dezvoltarea actuala a e-commerce-ului il constituie insecuritatea. Internetul original a fost proiectat pentru cercetare si nu pentru desfasurarea unor tranzactii comerciale. Se pot identifica mai multe probleme specifice de securitate, care pot fi considerate adevarate obstacole in dezvoltarea comertului Internet.

1. Noutatea domeniului

                Se poate vorbi despre comertul Internet ca fiind un adevarat nou domeniu de cunoastere. Desigur ca el are anumite similitudini cu alte zone ale experientei umane: schemele obisnuite de vanzare/cumparare bazate pe cartelele de credit, sistemele EDI (Electronic Data Interchange), metodele traditionale de protectie criptografica a datelor, gestiunea securitatii site-urilor. Dar exista si unele deosebiri esentiale, care fac comertul Internet un domeniu nou si de mare viitor: factorul global al comertului Internet, care face sa fie implicate firme si clienti din toata lumea, cu legi, obiceiuri si atitudini diferite,  factorul inteligenta, care face sa se angajeze in gasirea unor solutii forte intelectuale deosebite, factorul de insecuritate, care deriva din faptul ca Internetul nu a fost proiectat sa suporte tranzactii sigure, fiind tinta permanenta a unor atacuri ale hacker-ilor. Dar cum orice masuri de securitate sunt relative, solutiile practice in acest domeniu reprezinta un compromis intre vulnerabilitati si riscuri. Este evident ca exista o multime de vulnerabilitati, ca unele sunt mai cunoscute si preferate de atacatori si, ca urmare, solutiile de securitate si cheltuielile aferente trebuie focalizate catre acestea.

                2. Probleme de piata

                Limitarea curenta a tehnologiei comertului Internet este paradoxala: desi exista instrumente criptografice puternice pentru asigurarea confidentialitatii, integritatii, autenticitatii si a nerepudierii, atat din categoria cifrurilor cu cheie secreta (DES, IDEA, Triple DES, RC4, RC5 etc.), cat si a cifrurilor cu chei publice (RSA, DSA, PGP, SEEK), totusi raspandirea acestor tehnologii este obstructionata de unele forte de piata, care fac presiuni puternice asupra companiilor de a realiza noi si noi produse , de a realiza noi si noi aliante. In aceste conditii, chiar daca algoritmii si mecanismele criptografice sunt suficient de puternice, calitatea standardelor si, mai ales, a implementarilor (de multe ori simplificate inadecvat) fac ca tehnologiile de criptare folosite in comertul Internet sa aiba unele slabiciuni inacceptabile. O alta problema legata de piata o reprezinta lipsa unor standarde privitoare la securitatea tranzactiilor. Doua tehnologii, SSL (Security Socket Layer) si S-HTTP (Secure HTTP), au primit o oarecare acceptare in ultimii ani, cand Visa, MasterCard si Microsoft au intrat in competitie. Istoric vorbind, Internetul a fost creat avand la baza software public (liber) si o cooperare mutuala intre domeniile academic si de cercetare. Mediul utilizatorilor, al administratorilor si al programatorilor Unix, s-a bazat pe o politica deschisa, discutii si cooperare privind vulnerabilitatile si contracararea lor. Astazi divizarea pietei in producatori si utilizatori de mainframe-uri si de PC-uri, a creat interese deosebite in elaborarea standardelor, a redus din consensul initial, a condus la unele practici comerciale agresive, in special la gigantii IBM sau Microsoft. In comunitatea PC-urilor, in cadrul careia opereaza majoritatea utilizatorilor, securitatea a fost si este inca mult ignorata. Sistemele de operare ale acestor tipuri de calculatoare au serioase (si cunoscute) brese de securitate. Chiar daca sistemele de operare ale retelelor in care sunt conectate PC-urile au implementate masuri sofisticate de securitate, ele nu inlatura vulnerabilitatea masinilor conectate, care induc si retelei o anumita insecuritate. Trei lumi "culturale" deosebite, Unix, PC-uri si Mainframe-uri, converg pe Internet intr-un moment in care securitatea tranzactiilor si a datelor a crescut in constiinta utilizatorilor; acestia cer masuri din ce in ce mai eficiente in acest domeniu. Istoria sugereaza ca si in acest caz viitorul apartine unor standarde deschise, care sa nu fie blocate de drepturi de proprietate inhibitorii. Ultimii ani au subliniat viitorul deosebit al unei arhitecturi de securitate deschise, intens cercetata si discutata in momentul de fata, care sa fie libera de taxe de licenta si care sa stea la baza standardelor de securitate Internet ce vor fi folosite si in comertul electronic.

                3. Probleme ale guvernelor

            Datorita reglementarilor existente in unele tari puternic industrializate, si in special in SUA, guvernele exercita un control strict al exporturilor de criptografie "puternica". Se fac unele exceptii in domeniul criptografiei utilizate in banci sau pentru procedurile de autentificare. Acest lucru creeaza un impact financiar negativ asupra companiilor de software care nu pot exporta programe ce sunt vandute curent in viata lor. Desigur insa ca, in alte tari, unde aceste restrictii nu exista, se poate cumpara usor software criptografic ca DES, Triple DES, IDEA etc. De asemenea, exista numeroase site-uri pe Internet unde astfel de programe  sunt disponibile liber si exista multe carti care invata programatorii sa creeze mecanisme criptografice puternice. Aceste restrictii guvernamentale, cu precadere in SUA, impiedica utilizarea unor mecanisme de securitate puternice, raspandite in toata lumea si compatibile intre ele. Recenta licenta de export obtinuta de firma TIS pentru firewall-ul sau, care permite inglobarea unor metode puternice de cifrare, fara existenta unui tert de incredere, arata o posibila reorientare a politicii Washington-ului in acest domeniu.

                4. Probleme de conceptie

                Internetul opereaza intr-un mediu de incredere, in care era permis tuturor utilizatorilor situati la distanta sa acceseze, prin r-comenzi BSD (rlogin sau rsh), , fisiere si resurse critice de pe calculatoare importante. Totodata, securitatea era lasata mai mult pe respectul reciproc al utilizatorilor, pe "gentelmen agreement-ul" stabilit intre acestia decat pe puternice masuri tehnice si administrative. O protectie minima, considerata mult timp suficienta, dar dovedita ulterior cu slabiciuni de conceptie, au constituit-o sistemele de parole care creau o anumita "bariera" la patrunderea pe un sistem distant. Pe masura insa ce Internetul s-a extins, comunitatea utilizatorilor a crescut foarte mult, iar intre acestia se gasesc numeroase persoane care nu mai respecta regulile de comportament stabilite initial de cercetatori. Numai in ultimii am asistat la numeroase atacuri in Internet, dintre care unele cu un caracter foarte extins:

• viermele Internet, care a afectat cateva mii de calculatoare in 1988;
• incidentul "Berferd" de la AT&T, din 1991;
• furtul de parole ale furnizorilor, de servicii Internet din anii 1993, 1994;
• interceptarea pachetelor IP la Centrul de supercalculatoare de la San Diego, din 1994;
• furturile de fonduri de la Citibank, din 1995.

Toate atacurile speculeaza proasta configurare a unor sisteme, unele erori in scrierea programelor, administrarea neglijenta a unor noduri sau chiar neglijenta unor utilizatori autorizati. De asemenea, unele atacuri mai sofisticate profita de lipsa totala a unor servicii de securitate in ierarhia de protocoale TCP/IP, folosita de toate calculatoarele conectate la Internet.

De exemplu, multe protocoale la nivelul de jos al ierarhiei TCP/IP, inclusiv Ethernet, sunt de tip difuzare (broadcast). Ca urmare, este posibil pentru orice masina conectata la un LAN sa "asculte" traficul destinat altor masini. In acelasi context, este posibil pentru orice calculator conectat la Internet, cum ar fi de exemplu un furnizor de servicii, sa "asculte" legatura de comunicatii ce se stabileste intre doua alte calculatoare. Aceste "ascultari", insotite de memorarea traficului, sunt destinate atat incercarilor de aflare a unor parole de conectare, cat si de inregistrare a unor date confidentiale. De asemenea, nici un protocol din suita TCP/IP nu contine mijloace de autentificare reciproca a partilor comunicante. Ca urmare, este imposibil sa se determine cu precizie daca adresa de pe un pachet de date este originala sau nu. Acest lucru creeaza posibilitatea ca un sistem sa se dea drept altul si sa obtina informatii cu caracter privat. Protocoalele mentionate nu contin nici mijloace de autentificare a continutului pachetelor. Se folosesc doar niste simple sume de control pentru detectarea erorilor de transmisie. Se folosesc doar niste simple sume de control pentru detectarea erorilor de transmisie. Ca urmare, se pot opera modificari in continutul pachetelor, cu urmari dezastruoase, de exemplu, pentru niste tranzactii comerciale. De asemenea, multe implementari TCP utilizeaza algoritmi usor predictibili de generare a numerelor de secventa a pachetelor. Acest lucru, corelat cu incapacitatea de autentificare, creeaza premisele unor fraude privind interceptarea, modificarea sau furtul unor pachete. De asemenea, se pot stabili conexiuni frauduloase la sisteme, pentru accesarea unor fisiere importante sau, mai subtil, pentru instalarea unor "trape" pregatitoare ale unor accese ulterioare nestingherite pe acel sistem.

In contextul comertului electronic, atacurile la securitate se manifesta cu preponderenta prin urmatoarele chei:

• Ascultarea comunicatiilor. Acest tip de atac poate conduce la furtul unor informatii importante ale clientilor, cum ar fi numarul cartelei de credit, numarul de cont bancar, note de plata sau balante financiare. De asemenea, atacurile de acest tip conduc la furtul unor servicii, accesibile in mod normal doar celor care platesc, cum ar fi cele de informare sau de distribuire de software. Aceste lucruri pot, de exemplu, informa o firma despre tratativele de afaceri ale altor firme competitoare sau pot genera deconspirarea unor date cu caracter personal ale cumparatorilor, date transmise doar pentru firmele cu care acestia fac afaceri.
• Furtul parolelor. Atacurile de acest tip pot fi folosite pentru a permite accesul la sisteme unde se afla informatii sau servicii importante. Folosirea unor algoritmi criptografici tot mai puternici pentru protejarea acestor date a mutat tinta atacurilor de la incercarile de a "sparge" protocolul la incercarile de obtinere a unor informatii in clar de la nodurile mai putin protejate.
• Modificarea datelor. Aceste atacuri folosesc la schimbarea continutului unor tranzactii, ca de exemplu suma transferata in contul unei banci, persoana platita pe un cec electronic, valoarea unor comenzi pro forma etc.
• Inregistrarea. Acest tip de atac poate fi folosit pentru a permite unei parti comunicante sa se dea drept alta. Atacatorul plaseaza in Internet un calculator destinat colectarii a sute de mii de numere de cartele de credit, numere de cont sau alte informatii, atacatorii pot executa plati importante in numele unor persoane care nici nu banuiesc sau pot colecta taxe de la diversi comercianti.
• Repudierea. Repudierea sau refuzul de cunoastere a unor tranzactii facute prin retea creeaza serioase daune partilor implicate. De exemplu situatia unui cec bancar, refuzat nu pentru ca nu are acoperire in cont, ci pentru simplu fapt ca banca nu are mijloace de autentificare a acestuia.

Comertul Internet intereseaza in mod esential atat marile, cat si in micile companii. Conform unor date publicate recent, 50% dintre firmele care au peste 1000 de lucratori au in momentul de fata cel putin un site Web, in timp ce 80% dintre firmele ce poseda un astfel de site au sub 100 de angajati. Internetul devine foarte atractiv pentru micile firme, care pot fi foarte active pe retea, se pot face mult mai rapid cunoscute si isi pot promova mai ieftin politica de piata. In acest context, multe afaceri au migrat in ultimii ani pe Internet. Practic, nu exista firma intr-o tara cu o dezvoltare cel putin medie care sa nu aiba create pagini Web, pe care se gasesc informatii despre serviciile si produsele oferite. De asemenea, consumatorii si producatorii pot comunica instantaneu prin e-mail, ceea ce le confera posibilitatea unei informari reciproce si a unor comunicatii foarte ieftine. Si totusi acestia nu s-au "aruncat" inca sa faca comert la scara mare pe Internet. De ce oare aceasta retinere? Motivele invocate cel mai adesea sunt legate de securitatea tranzactiilor comerciale si a platilor.

Impactul spargerii securitatii sistemelor

            In afara de pierderi insemnate sau pierderea unor secrete importante, exista si alte cateva efecte negative datorate spargerii sistemelor:

- pierderi de afaceri - accesul la date confidentiale permite competitorilor sa castige locuri importante pe piata;

- reputatie compromisa - daca datele pierdute erau de mare importanta, se pierde si imaginea, reputatia organizatiei al carui nume era indicat in informatiile respective;

- pierderi depozitare - daca organizatia avea responsabilitati de depozitare a bunurilor, este responsabila nu doar pentru pierderea bunurilor, ci si pentru pierderea relatiei de confidentialitate; poate aduce pierderi extraordinare de bunuri si afaceri, precum si pierderea reputatiei;

- pierderi de bunuri - poate lua mai multe forme: de bani si de echipamente, de servicii, de capacitati in retele publice;

- pierderi de secrete comerciale - compromiterea secretelor comerciale poate avea un efect dramatic asupra profitului organizatiei; de exemplu, in domeniul farmaceutic, o pierdere de genul acesta include ani de cercetare, resurse (oameni, materiale, capital) etc.

Analiza riscului

            Dupa ce a fost identificata natura amenintarilor, impactul spargerii sistemelor de securitate si caracteristicile intrusilor, se pot determina acele resurse care trebuie protejate.

Analiza riscului intr-un mediu de retea, implica patru sarcini de baza:

- determinarea obiectelor care trebuie protejate - variaza in functie de profilul organizatiei in cauza (comercial sau nu); exemple de obiecte ce pot fi protejate sunt: informatii despre echipamente, personal, bunurile personalului, consumabile, bani, timp de procesare a procesorului, servicii de retea (cum ar fi e-mail) etc.

- identificarea surselor de risc - (clasele de intrusi) - fiecare clasa de intrusi trebuie examinata in contextul spargerii retelei, de la accidental pana la intentionat.

- stabilirea probabilitatii riscului - vazuta nu ca o activitate stiintifica, o estimare rezonabila permite o privire generala asupra riscului de spargere a retei.

- evaluarea costului unei actiuni de spargere - exista trei tipuri de costuri de baza care se iau in considerare:

cost primar - costul inlocuirii resurselor pierdute, reintroducerii datelor in baza de date;

cost secundar - afacerile pierdute; este destul de greu de evaluat si cuantificat inainte de incident; o cale poate fi revederea afacerilor din anul anterior, din aceeasi perioada;

cost proportional pentru valori statistice - acest tip de analiza este important in cazul in care pierderile resurselor retelei au un efect negativ asupra afacerilor clientilor.