Безопасность карточного бизнеса - страница 60

Многочисленные расследования случаев компрометации данных показали, что компании не выполняли многие требования стандарта на момент компрометации.

Конечно, не может быть стопроцентной уверенности в том, что если бы требования стандарта выполнялись, то компрометации бы не произошло. Но ущерб как минимум был бы намного меньше, хотя бы в результате того, что в ходе мониторинга событий ИБ и/или регулярных проверок безопасности, предписанных стандартом, компрометация была бы обнаружена существенно быстрее. В реальности же среднее время обнаружения факта компрометации — более 6 месяцев после взлома, а инициатором расследования часто служат внешние источники, такие как платежные системы, обманутые клиенты или СМИ.

Переход на новые технологии авторизации (EMV, 3D Secure и т. п.) может существенно понизить уровень мошенничества по существующим схемам. Но вопросы безопасности инфраструктуры, обеспечивающей прохождение платежей, безопасности разрабатываемых прикладных приложений, разграничение доступа сотрудников, мониторинг и реагирование на инциденты ИБ и прочие вопросы информационной безопасности, изменение технологии авторизации решить не сможет, а как раз для этого и предназначен стандарт PCI DSS. Для переноса интересов преступности из сферы мошенничества с использованием пластиковых карт на другие способы незаконного получения и/или отмывания денег в особо крупных размерах необходимо одновременно и переходить на новые технологии авторизации, и защищать инфраструктуру путем внедрения стандарта PCI DSS, а также разрабатывать защищенные приложения в соответствии со стандартом PA DSS.

В 2010 г. компания Verizon Business опубликовала очередной отчет о компрометации данных «2010 Data Breach Investigations Report». В основу исследования, проведенного подразделением Verizon RISK Team совместно с United States Secret Service, легли данные за последние 6 лет о более чем 900 взломах различных автоматизированных систем и свыше 900 млн скомпрометированных элементов данных (compromised records).

Основные выводы данного исследования по фактам компрометации данных в 2009 г. следующие:

1) скомпрометированы 143 млн элементов данных;

2) подавляющее большинство (94 %) скомпрометированных данных относится к финансовому сектору, хотя на долю финансовых организаций приходится лишь 33 % от общего числа компаний, принявших участие в исследовании. Организованные преступные группы были задействованы в компрометации в 85 % всех данных;

3) в результате действий сторонних лиц взломы осуществлялись в 70 % случаев, внутренние нарушители были задействованы в 48 % инцидентов. Злоупотребление привилегиями было использовано в 48 % всех атак, взлом (hacking) применялся в 40 % случаев, вредоносное ПО — в 38 %;

4) почти все атаки на данные (98 %) осуществлялись на серверы, на серверы баз данных — 92 %;

5) сложность атак была невысокой в 85 % случаях, а 96 % атак могло быть предотвращено с помощью применения простых и средних по сложности мер защиты;

6) 79 % организаций, к которым применимы требования стандарта PCI DSS, участвовавшие в исследовании, не достигли соответствия его требованиям;

7) данные платежных карт скомпрометированы в 54 % инцидентов и составляют 83 % от общего числа скомпрометированных данных.

Результаты других исследований и проведенных расследований также не очень утешительны. Так, в 2005 г. в результате взлома процессингового центра Card Systems Solutions было скомпрометировано 40 млн платежных карт. Компания необоснованно хранила треки (данные с магнитных полос карт) и при этом не защищала их должным образом, в результате международные платежные системы VISA и Ameх отозвали свои лицензии. В 2007 г. хакеры похитили 45 млн записей с данными платежных карт в результате атаки на крупную розничную сеть TJX.

В 2008 г. был взломан RBS Worldpay, что привело к компрометации данных 1,5 млн держателей карт. А в 2009 г. злоумышленники получили доступ к более чем 100 млн платежных карт в результате взлома процессингового центра