Безопасность карточного бизнеса - страница 63

— 2,7 млн долл. США, уровень 2 — 1,1 млн долл. США, уровень 3 — 155 тыс. долл. США. По оценке компании UCS (Россия), приведение системы к соответствию Стандарту составило 1 млн долл. США, поддержание соответствия — еще 100 тыс. долл. США ежегодно. Только ежегодные обязательные затраты на проведение аудита, пентеста[79] и четырех ежеквартальных сканирований составят около 1 млн руб.

Эти оценки свидетельствуют о том, что при условии превышения стоимости обеспечения безопасности величины потерь от инцидентов такая защита становится нецелесообразной.

Организации, вынужденные тратить существенные средства для обеспечения соответствия требованиям Стандарта, будут включать данные затраты в себестоимость, что в конечном итоге скажется на держателях карт, иначе бизнес будет нерентабельным.

Стандарт следует рассматривать относительно цели его создания как инструмент для защиты данных, а не последнюю линию защиты. Практика показывает, что следование Стандарту не обеспечивает достаточной защиты данных платежных карт. Кроме того, сам Стандарт имеет ряд недостатков и противоречий.

1. Попытка сокрытия идентификатора (номера карты) принципиально невыполнима. Безопасность доступа к счету карты не основывается на сокрытии идентификатора, а должна находиться в области усовершенствования процедур и средств аутентификации.

Стандарт предназначен для тех организаций и процессов, в которых номер карты передается, обрабатывается или хранится. Номер карты предназначен для обеспечения соответствия счету держателя карты, т. е. является его идентификатором. Безопасность такого доступа обеспечивается процедурами аутентификации держателя карты, которые должны препятствовать несанкционированному доступу к счету. Логично предположить, что для обеспечения безопасности доступа к счету при наличии фактов несанкционированного использования карты как инструмента доступа необходимо усовершенствовать процедуры аутентификации. Такое усовершенствование может включать в себя внедрение механизмов многофакторной аутентификации, например Chip&PIN, CAP-EMV. Однако Стандарт предполагает сокрытие идентификатора (номера карты) как обязательное условие обеспечения безопасности доступа. Очевидно, что принципиально невозможно отказаться от полного сокрытия идентификатора — для проведения транзакции по карте номер необходим, так как является идентификатором счета держателя карты.

Рассмотрим возможные действия злоумышленника, имеющего доступ к данным карты или ее реквизитам. Для проведения операции с реальной (физически существующей) картой необходима информация, записанная в чип (для микропроцессорных карт) либо на магнитную полосу. Знания только номера карты явно недостаточно, чтобы изготовить поддельную микропроцессорную карту. Для осуществления операции с использованием магнитной полосы кроме номера карты злоумышленнику дополнительно необходимо получить дату действия карты, код проверки подлинности карты (CVV/CVC) и сервис-код, который у аналогичных типов карт обычно одинаковый. Дату действия карты получить достаточно просто — путем хищения из того же источника, где был похищен сам номер карты, от держателя карты с использованием технологий фишинга, перебором. Код CVV/CVC получить гораздо сложнее — он записан на магнитной полосе карты, хранение данных которой любым участником платежной системы после проведения авторизации запрещено. Таким образом, похитить CVV/CVC при хранении нельзя, так как эти данные просто нигде не должны храниться. С помощью фишинга данный код получить невозможно, поскольку держатель его не знает. При использовании злоумышленником техники перебора всех возможных вариантов кода (три цифры дают 1000 вариантов) современный уровень систем мониторинга транзакций в режиме реального или псевдореального времени позволяет выявить данную атаку на ранней стадии и заблокировать карту. В случае же если эмитент записывает на магнитную полосу карты и код проверки подлинности ПИН (PVV), состоящий из четырех цифр (10 000 вариантов), то задача по подбору злоумышленником кодов безопасности становится существенно более трудоемкой (подобрать нужно комбинацию из семи цифр — 10 000 000 вариантов). Дополнительно необходимо отметить, что с учетом темпов EMV-миграции как со стороны эмиссии, так и со стороны эквайринга, особенно в Европе, и с отменой возможности проведения операции по микропроцессорной EMV-карте в EMV-терминале по магнитной полосе вероятность финансовых потерь в случае компрометации трека снижается с каждым годом. Смещение таких мошеннических операций в мировом масштабе происходит в регионы, где EMV-миграция не начиналась или проходит неактивно.