BIS Journal №1(16)/2015

12 мая, 2015

Безопасность данных в системе платёжных карт

Окинуть взглядом прошедший богатый на события 2014 год и привести его итоги к общему знаменателю меня побудили регулярные кулуарные разговоры с коллегами, клиентами и партнерами. Период информационной турбулентности не обошел стороной платежную индустрию. Слухи, дезинформация, панические домыслы перемешались с фактами, официальными пресс-релизами и кулуарными заверениями высокопоставленных лиц. Попробуем разобраться в сложившейся ситуации.


Начать рассказ имеет смысл не с описания какого-то конкретного события или уточнения взглядов отраслевых регуляторов, но с факта гораздо менее заметного, при этом по важности своей занимающего, пожалуй, первое место. Переход количества в качество редко отмечается как красный день календаря, и порой бывает так, что осознать этот переход можно лишь спустя какое-то время — после того, как это событие осталось далеко за спиной. На сегодняшний день стандарт безопасности данных индустрии платежных карт PCI DSS в России стал массовым, а успешное прохождение аудита на соответствие этому стандарту превратилось из события в обыденность. Подавляющее большинство платежных стартапов закладывают в техническое задание требование о соответствии разрабатываемой системы стандарту PCI DSS на ранних этапах проектирования. 

Процесс подтверждения соответствия PCI DSS через QSA-аудит или путём заполнения листа самооценки SAQ уверенно охватил не только поставщиков услуг платежной инфраструктуры, но и торгово-сервисные предприятия. В российских дата-центрах стартовали проекты по сертификации, в том числе облачных сервисов. Выполняя требования PCI DSS, российские компании реально обрабатывают многие риски, которые ранее просто принимались или не учитывались вовсе. Помимо прочего, отмечу также растущий интерес представителей отрасли к нашему ежеквартальному бесплатному семинару по PCI DSS, где каждые три месяца мы видим новые лица. Для нас это является важным свидетельством роста интереса к вопросам безопасности индустрии платежных карт, перешедших из кулуарных обсуждений внутри полузакрытого клуба банковских безопасников в широкие круги ИТ-специалистов, бизнес-аналитиков и риск-менеджеров.

Прошедший год был отмечен событиями, обойти которые при рассмотрении вопросов безопасности платежной индустрии просто невозможно. Это существенно изменившийся геополитический контекст и связанные с ним новые риски. Это активизация информационных баталий и соответствующее увеличение потоков информации, дезинформации, слухов и неверно истолкованных фактов.  Международные платежные системы продолжают свою работу в России, и сворачивать её не собираются, хотя схемы подключения и взаиморасчетов между участниками видоизменяются. Требование о необходимости подтверждения соответствия PCI DSS сохранится, поскольку, с точки зрения информационной безопасности, риски в отношении обрабатываемой, хранимой или передаваемой информации мало зависят от маршрутов потоков данных между субъектами карточного бизнеса. Защищать платежные данные следует в любом случае, этого требует сама архитектура платежной индустрии, включившая в процесс авторизации и взаиморасчетов множество разнородных участников: банков, независимых процессингов, платежных шлюзов, и самое главное — торгово-сервисных предприятий.

Массовое внедрение чиповой технологии EMV и механизма 3-D Secure, к сожалению, не снижает риски, связанные с утечкой карточных данных. До сих пор существуют, и в обозримом будущем никуда не денутся торгово-сервисные предприятия, не поддерживающие 3-D Secure. Тем более, что реализация атаки на 3-D Secure в подавляющем большинстве случаев сводится к несанкционированному копированию SIM-карты мобильного телефона, что для киберпреступников давно является вполне решаемой задачей. Все это значит, что каналы сбыта краденных массивов номеров платёжных карт будут существовать еще долго. Общий уровень рисков для российской карточной индустрии возрос, в том числе и потому, что на сопредельных территориях, где правоохранительная функция в силу известных событий не исполняется должным образом, нашли прибежище многие кардеры. Они ощущают комфорт не только из-за отсутствия правоохранителей, но и из-за наличия возможности простого идеологического обоснования своей криминальной деятельности против российских граждан и организаций.

Учитывая все указанные обстоятельства, а также не по дням, а по часам увеличивающийся рынок электронной коммерции, потенциал роста которого, по оценкам ведущих игроков, далеко не исчерпан, самое время задуматься о его безопасности. К сожалению, внутренней мотивации у большинства участников индустрии платежных карт не всегда бывает достаточно для того, чтобы внедрить эффективные меры по снижению рисков компрометации карточных данных в стиле ISO 27001 или СТО БР ИББС-1.0. Однако, дело даже не в этом. Мы помним о том, что безопасность всей цепочки компаний, вовлеченной в бизнес-процесс эквайринга, напрямую зависит от каждого её звена, одним из которых всегда является торгово-сервисное предприятие, или мерчант, если употребить более привычный для индустрии термин. 

Прямой бизнес-выгоды от защиты карточных данных мерчанты не имеют, а масштаб возможных потерь от их компрометации едва ли сознают. Наш опыт показывает, что если в банках и процессинговых центрах мы, QSA-аудиторы, встречаем своих коллег — специалистов по информационной безопасности, то в торгово-сервисных предприятиях наличие такого сотрудника является крайне редким исключением.  Следует признать, что подавляющее большинство торгово-сервисных предприятий не обладают ни необходимыми компетенциями, ни должной мотивацией для того, чтобы эффективно снижать риски компрометации платежных карт, следовательно, становятся тем самым слабым звеном всей эквайринговой цепочки. Следует признать, что киберпреступникам этот факт не менее известен, и именно информационные инфраструктуры мерчантов регулярно становятся объектами их атак.

Выход из ситуации подсказывают правила международных платежных систем, которые возлагают всю ответственность за утечки карточных данных на банки-эквайеры и наделяют их правом оказывать регулирующее воздействие на всех участников индустрии вниз по эквайринговой ветви. Именно эквайеры обладают правом и обязанностью требовать от торгово-сервисных предприятий подтверждения соответствия стандарту PCI DSS через внешний аудит или заполнение листа самооценки. Действительно, механизм регулирования вопросов безопасности индустрии платежных карт существует, и в начале статьи я делал акцент на то, что он уже прижился на российском рынке. Стандарт PCI DSS является средством, которое позволяет в условиях недостаточной компетенции и отсутствия мощной риск-ориентированной системы менеджмента информационной безопасности внедрить базовые процессы защиты данных по принципу чек-листа. Это в большинстве случаев позволит избежать самых распространенных ошибок при разработке, внедрении и эксплуатации платежных информационных систем. В повседневной деятельности злоумышленники редко прибегают к изощренным способам взлома информационных систем.

Наиболее частыми причинами компрометации карточных данных являются ошибки конфигурирования, слабая поддержка информационной инфраструктуры, низкое качество программирования. Поэтому, внедрив базовые процессы обеспечения информационной безопасности, пусть даже методом «делай раз, делай два… и так далее до последней страницы стандарта PCI DSS», компания лишит подавляющее большинство потенциальных киберпреступников легких путей для наживы, и они пойдут искать менее защищенные объекты, потому что для них выражение «время — деньги» верно, как ни для кого другого. Проблемы обеспечения безопасности платежной отрасли в её массовом сегменте существуют. Базовый механизм их решения — система сертификации по стандарту PCI DSS — тоже существует. Он регламентирован правилами международных платежных систем и уже успешно привит в России. 


Дело осталось за малым — банкам-эквайерам следует очень аккуратно, но при этом очень настойчиво пользоваться своими правами и добиваться создания такой атмосферы в отрасли, когда каждое торгово-сервисное предприятие, желающее получать услуги эквайринга, будет обязано выполнить базовые требования PCI DSS и подтвердить соответствие через заполнение листа самооценки или прохождение внешнего аудита, в зависимости от количества обрабатываемых транзакций. Это в равной степени относится и к электронной коммерции, и к розничным сетям, и к небольшим магазинам. Думаю, что хорошим подспорьем здесь послужит официально согласованный международным регулятором — Советом PCI SSC — русский перевод стандарта PCI DSS 3.0.



Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
29.03.2024
«Когда мы говорим об учителях, то подошли бы и китайские планшеты»
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных