BIS Journal №2(9)/2013

30 мая, 2013

Международное сотрудничество в разработке и продвижении PCI DSS

В Лондоне прошла международная выставка Retail Business Technology Expo 2013 – одно из ведущих отраслевых международных деловых мероприятий. В рамках выставки состоялась запланированная встреча представителей НП «АБИСС» и PCI Security Standards Council (PCI SSC), в ходе которой обсуждался статус работ по официальному переводу на русский язык стандарта PCI DSS и сопутствующих документов, а также были достигнуты важные договорённости о сотрудничестве по ряду ключевых направлений. Отмечалось, что продвижение стандартов индустрии платежных карт в России и участие российских экспертов в их разработке и развитии полностью отвечает современным трендам.

 

В МИРОВОМ ФИНАСОВОМ ЦЕНТРЕ

12 − 13 марта 2013 года выставка Retail Business Technology Expo прошла в третий раз, обширная деловая программа включала презентации, семинары и заседания на актуальные темы. Место её проведения в определённом смысле символично: Лондон – один из ведущих мировых финансовых центров, в которых сосредоточены банки и специализированные кредитно-финансовые институты, осуществляющие международные валютные, кредитные и финансовые операции и сделки.

На форуме были, как обычно, широко представлены технологии бесперебойной и безопасной электронной коммерции и карточных платежей. На этот раз организаторы сделали особый акцент на электронной коммерции, проведя в рамках выставки двухдневную конференцию Vfendorcom, посвящённую электронным платежам, в частности, пластиковым картам.

Ник Филд, директор выставки, так пояснил новый формат мероприятия: «Тема эта интересна в первую очередь для финансовых подразделений компаний. Но она важна также для сотрудников подразделений управления рисками, борьбы с мошенничеством, электронной коммерции, маркетинга, складирования, и, конечно же, IT-департаментам. Поэтому тема электронных платежей и пластиковых карт является важнейшей и неотъемлемой частью выставки». Особое внимание организаторами и участниками мероприятия уделялось вопросам информационной безопасности, как технической устойчивости работы платёжных систем, так и их защите от мошенников.

GLOBAL SECURITY REPORT 2013

В своих выступлениях на выставке представители PCI Security Standards Council ссылались на Trustwave Global Security Report 2013 (Отчет по результатам исследования рисков и угроз информационной безопасности в 2012 году). Исследование проводилось авторитетной компанией Trustwave Holdings, Inc. Ниже приведены основные мысли из этого отчёта и комментарии Павла Владимировича Гениевского.

В 2012 году, – констатируют эксперты Trustwave, – инциденты информационной безопасности затронули почти все отрасли экономики во всём мире. Были скомпрометированы почти все существующие типы и классы систем обработки и передачи данных. Нейтрализация стремительно растущих информационных угроз обходится компаниям недёшево. Задача усложняется необходимостью задействовать в бизнес-процессах новые технологии – виртуализацию, облачные сервисы, а также учитывать такие факторы как мобильность пользователей и разнородность устройств и операционных платформ.

В этих непростых условиях остро стоит необходимость найти пути защиты процессов обработки и передачи огромных объёмов важных данных, в том числе конфиденциальных. Растущие и всё более разнообразные угрозы информационной безопасности, новые требования государственных регуляторов и нормы стандартов ставят серьёзные задачи перед организациями, компаниями и специалистами самых разных профилей. Никто не может оставаться в стороне – ни государственные учреждения, ни транснациональные корпорации, ни компании.

Первоочередная задача, – утверждают авторы исследования, – определение актуальных трендов угроз безопасности и выявление типичных уязвимостей информационных систем. Результаты анализа сводных данных за 2012 год таковы. Среди финансовых IT-сервисов по количеству инцидентов лидирует розничная торговля – 45% зарегистрированных случаев. До 48% инцидентов, расследовавшихся в 2012 году, относятся к электронным торговым площадкам.

Злоумышленники, отмечено в Trustwave Global Security Report 2013, не сокращают своей активности. Главной целью информационных атак остаются web-приложения. Спам, объёмы которого в 2012 году снизились до уровня 2007 года, по-прежнему составляет 75% входящей электронной корреспонденции в компаниях, до 10% его угрожают заражением вредоносным программным обеспечением. Статистика видов наиболее распространённого инструментария информационных атак, выявленных в ходе расследования инцидентов информационной безопасности в 2012 году, такова:

  • в 73% инцидентов по-прежнему лидировали SQL-инъек- ции, перехват удалённого доступа и управления компьютером;
  • свыше 70% информационных атак совершались посредством эксплуатации уязвимостей «нулевого дня» различными версиями набора вредоносного программного обеспечения семейства Blackhole;
  • 61% случаев составили атаки на пользователей Adobe Reader посредством заражённых PDF-файлов;
  • в 50% инцидентов вредоносные программы – причём у каждой пятой среди выявленных были обнаружены соответствующие возможности – использовали хранящиеся и обрабатывающиеся в незашифрованном виде данные;
  • в 25% информационных атак, включая случаи хищения данных, использовались продвинутые технологии дешифрования.

Традиционный инструментарий информационных атак, отмечают аналитики, пополняется новинками для финансовых IT-сервисов на новых технологических платформах. Например, количество вредоносных приложений для мобильных приложений операционной системы Android выросло на 400%.

Жизнь злоумышленникам, к сожалению, облегчает как рост популярности финансовых IT-сервисов, так и недостаточное внимание к повышению информационной безопасности со стороны компаний. Ответственность лежит как на компаниях-пользователях, так и разработчиках и поставщиках решений.

В компаниях часто игнорируются даже простейшие меры информационной безопасности: анализ 3 млн паролей показал, что половина пользователей пользуется наиболее простыми сочетаниями знаков, среди которых лидирует... «password1». Низка оперативность реагирования на инциденты, во многих компаниях информационные атаки выявляются слишком поздно. В среднем с момента атаки до её выявления в 2012 году проходило 210 дней. А в 5% компаний обнаруживали, что стали жертвами киберпреступников, только спустя 3 года и ещё позднее.

Всё более активное обращение к IT-аутсорсингу, в том числе обеспечения информационной безопасности, не может полностью нейтрализовать угрозы. В 63% проанализированных случаев инциденты происходили в компаниях, значительная доля поддержки IT-процессов которых осуществлялась внешними исполнителями. Доля ответственности лежит и на разработчиках, которые не предвидели уязвимости «нулевого дня» и не успевали вовремя выпускать обновления, устраняющие выявленные уязвимости.

НАПРАВЛЕНИЯ СОТРУДНИЧЕСТВА НП «АБИСС» И PCI COUNCIL

В рамках выставки прошла запланированная встреча представителей НП «АБИСС» и PCI Security Standards Council (PCI SSC). От PCI Security Standards Council − Совета по стандартам безопасности индустрии платёжных карт в переговорах участвовали Джереми Кинг – директор европейского отделения, и Трой Лич – технический директор штаб-квартиры. НП «АБИСС» представляли Председатель – П.В. Гениевский и эксперт – А.В. Дроздов.

Дискуссия началась с обсуждения статуса проекта по подготовке официального перевода Стандарта PCI DSS и сопутствующих документов на русский язык, заказчиком которого является Банк России. От имени PCI Council Джереми Кинг сообщил о принятии правок со стороны российских экспертов по итогам встречи рабочей группы НП «АБИСС» 28 февраля 2013 года, и о подготовке новой редакции с учетом согласованных правок в течение двух недель. Джереми Кинг особенно поблагодарил экспертов рабочей группы НП «АБИСС», участвующих в данной работе, и отметил их высокий профессиональный уровень.

В ходе встречи представители PCI Security Standards Council анонсировали дату выхода стандарта версии 3.0, которая запланирована на 7 ноября 2013 года. Джереми Кинг выразил готовность Совета принимать предложения российских экспертов для внесения правок и в обновленную англоязычную версию стандарта.

Обсуждая тему запросов по поддержке перевода дальнейших версий стандарта PCI DSS, и в рамках повышения качества услуг, проводимых аудиторами, Совет выразил готовность предоставлять всю информацию в НП «АБИСС», в том числе по запросам, полученным от QSA-компаний, в части трактования требований оригинального стандарта и дальнейшего информирования проверяемых организаций.

Далее участниками встречи были обозначены перспективы дальнейшего сотрудничества между Советом и НП «АБИСС» по проведению в России авторизованных курсов PCI Council:

  • по подготовке QSA;
  • по подготовке внутренних аудиторов;
  • по внедрению Стандарта PCI DSS;
  • по повышению осведомлённости (Security awareness).

В заключение встречи PCI Council выразил готовность с целью реализации обсужденных инициатив подготовить и передать в НП «АБИСС» перечень и образцы документов, необходимые для получения российскими учебными центрами статуса авторизованного центра. НП «АБИСС», в свою очередь, готово выступить в роли соорганизатора по проведению в России авторизованных обучающих курсов для специалистов по внедрению стандарта PCI DSS и оценке соответствия его требованиям.

 

На фотоснимке: PCI Security Standards Council представляли Джереми Кинг − директор европейского отделения и Трой Лич − технический директор Штаб-квартиры, а НП «АБИСС» − председатель сообщества П.В. Гениевский и эксперт А.В. Дроздов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных