12 мая, 2015, BIS Journal №1(16)/2015

Безопасность данных в системе платёжных карт


Шустиков Сергей

аудитор информационных систем, CISA, PCI QSA, PCI PA-QSA, генеральный директор (Компания Deiteriy)

Внедрение базовых процессов стандарта PCI DSS лишает киберпреступников легких путей для наживы

Окинуть взглядом прошедший богатый на события 2014 год и привести его итоги к общему знаменателю меня побудили регулярные кулуарные разговоры с коллегами, клиентами и партнерами. Период информационной турбулентности не обошел стороной платежную индустрию. Слухи, дезинформация, панические домыслы перемешались с фактами, официальными пресс-релизами и кулуарными заверениями высокопоставленных лиц. Попробуем разобраться в сложившейся ситуации.


Начать рассказ имеет смысл не с описания какого-то конкретного события или уточнения взглядов отраслевых регуляторов, но с факта гораздо менее заметного, при этом по важности своей занимающего, пожалуй, первое место. Переход количества в качество редко отмечается как красный день календаря, и порой бывает так, что осознать этот переход можно лишь спустя какое-то время — после того, как это событие осталось далеко за спиной. На сегодняшний день стандарт безопасности данных индустрии платежных карт PCI DSS в России стал массовым, а успешное прохождение аудита на соответствие этому стандарту превратилось из события в обыденность. Подавляющее большинство платежных стартапов закладывают в техническое задание требование о соответствии разрабатываемой системы стандарту PCI DSS на ранних этапах проектирования. 

Процесс подтверждения соответствия PCI DSS через QSA-аудит или путём заполнения листа самооценки SAQ уверенно охватил не только поставщиков услуг платежной инфраструктуры, но и торгово-сервисные предприятия. В российских дата-центрах стартовали проекты по сертификации, в том числе облачных сервисов. Выполняя требования PCI DSS, российские компании реально обрабатывают многие риски, которые ранее просто принимались или не учитывались вовсе. Помимо прочего, отмечу также растущий интерес представителей отрасли к нашему ежеквартальному бесплатному семинару по PCI DSS, где каждые три месяца мы видим новые лица. Для нас это является важным свидетельством роста интереса к вопросам безопасности индустрии платежных карт, перешедших из кулуарных обсуждений внутри полузакрытого клуба банковских безопасников в широкие круги ИТ-специалистов, бизнес-аналитиков и риск-менеджеров.

Прошедший год был отмечен событиями, обойти которые при рассмотрении вопросов безопасности платежной индустрии просто невозможно. Это существенно изменившийся геополитический контекст и связанные с ним новые риски. Это активизация информационных баталий и соответствующее увеличение потоков информации, дезинформации, слухов и неверно истолкованных фактов.  Международные платежные системы продолжают свою работу в России, и сворачивать её не собираются, хотя схемы подключения и взаиморасчетов между участниками видоизменяются. Требование о необходимости подтверждения соответствия PCI DSS сохранится, поскольку, с точки зрения информационной безопасности, риски в отношении обрабатываемой, хранимой или передаваемой информации мало зависят от маршрутов потоков данных между субъектами карточного бизнеса. Защищать платежные данные следует в любом случае, этого требует сама архитектура платежной индустрии, включившая в процесс авторизации и взаиморасчетов множество разнородных участников: банков, независимых процессингов, платежных шлюзов, и самое главное — торгово-сервисных предприятий.

Массовое внедрение чиповой технологии EMV и механизма 3-D Secure, к сожалению, не снижает риски, связанные с утечкой карточных данных. До сих пор существуют, и в обозримом будущем никуда не денутся торгово-сервисные предприятия, не поддерживающие 3-D Secure. Тем более, что реализация атаки на 3-D Secure в подавляющем большинстве случаев сводится к несанкционированному копированию SIM-карты мобильного телефона, что для киберпреступников давно является вполне решаемой задачей. Все это значит, что каналы сбыта краденных массивов номеров платёжных карт будут существовать еще долго. Общий уровень рисков для российской карточной индустрии возрос, в том числе и потому, что на сопредельных территориях, где правоохранительная функция в силу известных событий не исполняется должным образом, нашли прибежище многие кардеры. Они ощущают комфорт не только из-за отсутствия правоохранителей, но и из-за наличия возможности простого идеологического обоснования своей криминальной деятельности против российских граждан и организаций.

Учитывая все указанные обстоятельства, а также не по дням, а по часам увеличивающийся рынок электронной коммерции, потенциал роста которого, по оценкам ведущих игроков, далеко не исчерпан, самое время задуматься о его безопасности. К сожалению, внутренней мотивации у большинства участников индустрии платежных карт не всегда бывает достаточно для того, чтобы внедрить эффективные меры по снижению рисков компрометации карточных данных в стиле ISO 27001 или СТО БР ИББС-1.0. Однако, дело даже не в этом. Мы помним о том, что безопасность всей цепочки компаний, вовлеченной в бизнес-процесс эквайринга, напрямую зависит от каждого её звена, одним из которых всегда является торгово-сервисное предприятие, или мерчант, если употребить более привычный для индустрии термин. 

Прямой бизнес-выгоды от защиты карточных данных мерчанты не имеют, а масштаб возможных потерь от их компрометации едва ли сознают. Наш опыт показывает, что если в банках и процессинговых центрах мы, QSA-аудиторы, встречаем своих коллег — специалистов по информационной безопасности, то в торгово-сервисных предприятиях наличие такого сотрудника является крайне редким исключением.  Следует признать, что подавляющее большинство торгово-сервисных предприятий не обладают ни необходимыми компетенциями, ни должной мотивацией для того, чтобы эффективно снижать риски компрометации платежных карт, следовательно, становятся тем самым слабым звеном всей эквайринговой цепочки. Следует признать, что киберпреступникам этот факт не менее известен, и именно информационные инфраструктуры мерчантов регулярно становятся объектами их атак.

Выход из ситуации подсказывают правила международных платежных систем, которые возлагают всю ответственность за утечки карточных данных на банки-эквайеры и наделяют их правом оказывать регулирующее воздействие на всех участников индустрии вниз по эквайринговой ветви. Именно эквайеры обладают правом и обязанностью требовать от торгово-сервисных предприятий подтверждения соответствия стандарту PCI DSS через внешний аудит или заполнение листа самооценки. Действительно, механизм регулирования вопросов безопасности индустрии платежных карт существует, и в начале статьи я делал акцент на то, что он уже прижился на российском рынке. Стандарт PCI DSS является средством, которое позволяет в условиях недостаточной компетенции и отсутствия мощной риск-ориентированной системы менеджмента информационной безопасности внедрить базовые процессы защиты данных по принципу чек-листа. Это в большинстве случаев позволит избежать самых распространенных ошибок при разработке, внедрении и эксплуатации платежных информационных систем. В повседневной деятельности злоумышленники редко прибегают к изощренным способам взлома информационных систем.

Наиболее частыми причинами компрометации карточных данных являются ошибки конфигурирования, слабая поддержка информационной инфраструктуры, низкое качество программирования. Поэтому, внедрив базовые процессы обеспечения информационной безопасности, пусть даже методом «делай раз, делай два… и так далее до последней страницы стандарта PCI DSS», компания лишит подавляющее большинство потенциальных киберпреступников легких путей для наживы, и они пойдут искать менее защищенные объекты, потому что для них выражение «время — деньги» верно, как ни для кого другого. Проблемы обеспечения безопасности платежной отрасли в её массовом сегменте существуют. Базовый механизм их решения — система сертификации по стандарту PCI DSS — тоже существует. Он регламентирован правилами международных платежных систем и уже успешно привит в России. 


Дело осталось за малым — банкам-эквайерам следует очень аккуратно, но при этом очень настойчиво пользоваться своими правами и добиваться создания такой атмосферы в отрасли, когда каждое торгово-сервисное предприятие, желающее получать услуги эквайринга, будет обязано выполнить базовые требования PCI DSS и подтвердить соответствие через заполнение листа самооценки или прохождение внешнего аудита, в зависимости от количества обрабатываемых транзакций. Это в равной степени относится и к электронной коммерции, и к розничным сетям, и к небольшим магазинам. Думаю, что хорошим подспорьем здесь послужит официально согласованный международным регулятором — Советом PCI SSC — русский перевод стандарта PCI DSS 3.0.



 

Смотрите также

Время доверять

24 марта, 2015
Подпишись на новости!
Подписаться