В МИРОВОМ ФИНАСОВОМ ЦЕНТРЕ
12 − 13 марта 2013 года выставка Retail Business Technology Expo прошла в третий раз, обширная деловая программа включала презентации, семинары и заседания на актуальные темы. Место её проведения в определённом смысле символично: Лондон – один из ведущих мировых финансовых центров, в которых сосредоточены банки и специализированные кредитно-финансовые институты, осуществляющие международные валютные, кредитные и финансовые операции и сделки.
На форуме были, как обычно, широко представлены технологии бесперебойной и безопасной электронной коммерции и карточных платежей. На этот раз организаторы сделали особый акцент на электронной коммерции, проведя в рамках выставки двухдневную конференцию Vfendorcom, посвящённую электронным платежам, в частности, пластиковым картам.
Ник Филд, директор выставки, так пояснил новый формат мероприятия: «Тема эта интересна в первую очередь для финансовых подразделений компаний. Но она важна также для сотрудников подразделений управления рисками, борьбы с мошенничеством, электронной коммерции, маркетинга, складирования, и, конечно же, IT-департаментам. Поэтому тема электронных платежей и пластиковых карт является важнейшей и неотъемлемой частью выставки». Особое внимание организаторами и участниками мероприятия уделялось вопросам информационной безопасности, как технической устойчивости работы платёжных систем, так и их защите от мошенников.
GLOBAL SECURITY REPORT 2013
В своих выступлениях на выставке представители PCI Security Standards Council ссылались на Trustwave Global Security Report 2013 (Отчет по результатам исследования рисков и угроз информационной безопасности в 2012 году). Исследование проводилось авторитетной компанией Trustwave Holdings, Inc. Ниже приведены основные мысли из этого отчёта и комментарии Павла Владимировича Гениевского.
В 2012 году, – констатируют эксперты Trustwave, – инциденты информационной безопасности затронули почти все отрасли экономики во всём мире. Были скомпрометированы почти все существующие типы и классы систем обработки и передачи данных. Нейтрализация стремительно растущих информационных угроз обходится компаниям недёшево. Задача усложняется необходимостью задействовать в бизнес-процессах новые технологии – виртуализацию, облачные сервисы, а также учитывать такие факторы как мобильность пользователей и разнородность устройств и операционных платформ.
В этих непростых условиях остро стоит необходимость найти пути защиты процессов обработки и передачи огромных объёмов важных данных, в том числе конфиденциальных. Растущие и всё более разнообразные угрозы информационной безопасности, новые требования государственных регуляторов и нормы стандартов ставят серьёзные задачи перед организациями, компаниями и специалистами самых разных профилей. Никто не может оставаться в стороне – ни государственные учреждения, ни транснациональные корпорации, ни компании.
Первоочередная задача, – утверждают авторы исследования, – определение актуальных трендов угроз безопасности и выявление типичных уязвимостей информационных систем. Результаты анализа сводных данных за 2012 год таковы. Среди финансовых IT-сервисов по количеству инцидентов лидирует розничная торговля – 45% зарегистрированных случаев. До 48% инцидентов, расследовавшихся в 2012 году, относятся к электронным торговым площадкам.
Злоумышленники, отмечено в Trustwave Global Security Report 2013, не сокращают своей активности. Главной целью информационных атак остаются web-приложения. Спам, объёмы которого в 2012 году снизились до уровня 2007 года, по-прежнему составляет 75% входящей электронной корреспонденции в компаниях, до 10% его угрожают заражением вредоносным программным обеспечением. Статистика видов наиболее распространённого инструментария информационных атак, выявленных в ходе расследования инцидентов информационной безопасности в 2012 году, такова:
Традиционный инструментарий информационных атак, отмечают аналитики, пополняется новинками для финансовых IT-сервисов на новых технологических платформах. Например, количество вредоносных приложений для мобильных приложений операционной системы Android выросло на 400%.
Жизнь злоумышленникам, к сожалению, облегчает как рост популярности финансовых IT-сервисов, так и недостаточное внимание к повышению информационной безопасности со стороны компаний. Ответственность лежит как на компаниях-пользователях, так и разработчиках и поставщиках решений.
В компаниях часто игнорируются даже простейшие меры информационной безопасности: анализ 3 млн паролей показал, что половина пользователей пользуется наиболее простыми сочетаниями знаков, среди которых лидирует... «password1». Низка оперативность реагирования на инциденты, во многих компаниях информационные атаки выявляются слишком поздно. В среднем с момента атаки до её выявления в 2012 году проходило 210 дней. А в 5% компаний обнаруживали, что стали жертвами киберпреступников, только спустя 3 года и ещё позднее.
Всё более активное обращение к IT-аутсорсингу, в том числе обеспечения информационной безопасности, не может полностью нейтрализовать угрозы. В 63% проанализированных случаев инциденты происходили в компаниях, значительная доля поддержки IT-процессов которых осуществлялась внешними исполнителями. Доля ответственности лежит и на разработчиках, которые не предвидели уязвимости «нулевого дня» и не успевали вовремя выпускать обновления, устраняющие выявленные уязвимости.
НАПРАВЛЕНИЯ СОТРУДНИЧЕСТВА НП «АБИСС» И PCI COUNCIL
В рамках выставки прошла запланированная встреча представителей НП «АБИСС» и PCI Security Standards Council (PCI SSC). От PCI Security Standards Council − Совета по стандартам безопасности индустрии платёжных карт в переговорах участвовали Джереми Кинг – директор европейского отделения, и Трой Лич – технический директор штаб-квартиры. НП «АБИСС» представляли Председатель – П.В. Гениевский и эксперт – А.В. Дроздов.
Дискуссия началась с обсуждения статуса проекта по подготовке официального перевода Стандарта PCI DSS и сопутствующих документов на русский язык, заказчиком которого является Банк России. От имени PCI Council Джереми Кинг сообщил о принятии правок со стороны российских экспертов по итогам встречи рабочей группы НП «АБИСС» 28 февраля 2013 года, и о подготовке новой редакции с учетом согласованных правок в течение двух недель. Джереми Кинг особенно поблагодарил экспертов рабочей группы НП «АБИСС», участвующих в данной работе, и отметил их высокий профессиональный уровень.
В ходе встречи представители PCI Security Standards Council анонсировали дату выхода стандарта версии 3.0, которая запланирована на 7 ноября 2013 года. Джереми Кинг выразил готовность Совета принимать предложения российских экспертов для внесения правок и в обновленную англоязычную версию стандарта.
Обсуждая тему запросов по поддержке перевода дальнейших версий стандарта PCI DSS, и в рамках повышения качества услуг, проводимых аудиторами, Совет выразил готовность предоставлять всю информацию в НП «АБИСС», в том числе по запросам, полученным от QSA-компаний, в части трактования требований оригинального стандарта и дальнейшего информирования проверяемых организаций.
Далее участниками встречи были обозначены перспективы дальнейшего сотрудничества между Советом и НП «АБИСС» по проведению в России авторизованных курсов PCI Council:
На фотоснимке: PCI Security Standards Council представляли Джереми Кинг − директор европейского отделения и Трой Лич − технический директор Штаб-квартиры, а НП «АБИСС» − председатель сообщества П.В. Гениевский и эксперт А.В. Дроздов.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных