Боб Карр, CEO печально известной платежной процессинговой системы Heartland, из которой произошла, возможно, крупнейшая в истории утечка банковских данных, выступил с призывом к увеличению безопасности транзакций в индустрии платежных карт, сообщает The Wall Street Journal.
Утечка данных у платежного процессора - очень крупная неприятность: клиентами наиболее крупных из них являются тысячи банков и миллионы покупателей.
Всякий раз, когда совершается покупка по пластиковой карте, данные сначала направляются процессору - и лишь от него банку. Именно процессор ответственен за всю технологическую цепочку, работающую для банковских карт.Большие надежды можно возлагать на новый стандарт PCI DSS (Payment Card Industry Data Security Standard - стандарт защиты данных индустрии платежных карт). Этот стандарт включает в себя 12 требований, охватывающих весь цикл работ по приему и обработке платежей - от построения защищенной процессинговой сети до ее регулярного мониторинга. Старший консультант по информационной безопасности компании Sysnet Алексей Гребенюк сообщил, что действия по внедрению PCI DSS привели к существенному снижению как уровня самих прямых финансовых потерь держателей карт, так и к более эффективному расследованию кардерских преступлений. Именно процессинговые центры - узлы, в которых собирается гигантское количество персональных банковских данных - стали первоочередными объектами для PCI DSS. Как сообщил г-н Гребенюк, основными объектами применения стандарта PCI DSS являются:
• сетевая инфраструктура;
• средства физической безопасности;
• ИТ-инфраструктура;
• прикладное программное обеспечение;
• внутренние политики и процедуры.
Достаточно большое внимание во внедряемом стандарте уделено контролю доступа - из двенадцати требований три посвящены именно ему: предоставление доступа к данным исключительно по служебной необходимости; присвоение уникального идентификационного номера каждому, располагающему доступом к компьютеру; ограничение физического доступа к данным. Это важно, поскольку практически ни одно современное кардерское преступление не обходится без работы инсайдеров.
Появление в последнее время возрастающего количества информации об утечках - как это ни парадоксально, тоже следствие внедрения PCI DSS, который требует про соответствующие случаи сообщать.
По словам г-на Гребенюка, ситуация с утечками на самом деле не столь катастрофична, как можно подумать, читая новости: «Приводимые данные объемов утечек впечатляют – данные о сотнях тысяч или даже миллионе кардхолдеров. Однако надо помнить о том, что и без утечек в процессинговых центрах информацию о кардхолдерах можно купить в Интернете. Видов «кардерского перехвата» данных несколько, не говоря об инсайдерских утечках. Поэтому я бы подождал результатов расследования всех заявленных фактов утечек, хотя мне кажется, что мы будем иметь факты классического «инсайдерского слива информации». Объемы утечек - тоже вопрос непростой. Среди огромного массива данных, о которых обычно сообщают СМИ, кардеров интересуют только определенные платежные карты, с хорошим содержимым и активным использованием. Их не интересуют карты с остатком в 20-30 евро, поскольку в данном случае риск не оправдан. Поэтому объемы реальных потерь оценить достаточно непросто».
Проблемы, возникающие при внедрении DSS, те же, что и всегда - финансовые: работа по приведению систем в соответствие этому стандарту долгая и недешевая. С другой стороны, возрастающее число рисков компрометации держателей карт и реальных взломов, кажется, не оставляет иного варианта.