PCI DSS и другие грани безопасности

17.03.2013

(Оригинал на bankir.ru)

Автор: Алексей Резниченко

13 марта в Москве прошла IV международная конференция по безопасности платежных систем PCI DSS Russia 2013 (организаторы — компания Digital Security, Ассоциация российских членов EUROPAY и PCIDSS.RU – сообщество профессионалов PCI DSS).

Стандарт PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Он разработан и совершенствуется Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был основан ведущими международными платежными системами Visa, MasterCard, American Express, JCB, Discover.

Если на предыдущей конференции выступал представитель Visa, то сейчас Майкл Грин (Michael Green) из Mastercard представил взгляд своей компании на PCC DSS в контексте развития технологической инфраструктуры.

Основное отличие данной конференции от предшествующих, по мнению Ильи Медведковского, директора компании Digital Security, заключается в том, что уже не нужно объяснять, что такое PCI DSS, и почему важно ему следовать и, во многих случаях, проходить сертификацию на соответствие этому стандарту. PCI DSS уже принят на «вооружение» российскими банками и другими участниками российской отрасли платежных карт. Поэтому на конференции основное внимание в части собственно PCI DSS было уделено рабочим моментам его применения, таким как приведение технологической инфраструктуры банка в соответствие требованиям стандарта и организации процессов сертификации и подтверждения соответствия. Об этом подробно говорили в своих выступлениях Павел Федоров, руководитель департамента аудита банков и платежных систем компании Digital Security, и Валерий Кобак, директор департамента контроля информации банка СИАБ.

Дистанционное банковское обслуживание (ДБО) непосредственно связано с платежными картами, и обеспечение его безопасности стало второй темой конференции. Алексей Тюрин, руководитель департамента аудита ИБ компании Digital Security, провел мастер-класс «Критичные, но типичные: примеры эксплуатации уязвимостей систем ДБО». Он дал описание процесса анализа безопасности систем ДБО, в качестве примеров рассмотрел атаки на клиентов, компрометацию ДБО из корпоративной сети, атаки на мобильный банк-клиент. Он также остановился на распространенных ошибках внедрения систем ДБО и способах их предотвращения и, наконец, привел удручающие данные о множестве уязвимостей практически во всех протестированных его компанией АБС и системах ДБО…

С подобными алармистскими сообщениями сотрудники Digital Security выступали и ранее, например, на одном форуме по ИБ почти год назад. Тогда, хотя в зале находились представители ряда компаний-разработчиков АБС и ДБО, полемики не возникло… Зато сейчас завязалась живая дискуссия на тему: Кто виноват? И что делать? Надо отметить, что, по существу, на большинство вопросов этой дискуссии недавно в интервью Bankir.Ru свой ответ дал Илья Медведковский. А из прозвучавшего я выделю мнение, что пресловутая статья 9-я закона «О национальной платежной системе», которая вызвала столько критики со стороны банков и ввод которой в действие отсрочен, все-таки нужна… Она сможет изменить нынешнюю патовую ситуацию с ИБ.

На конференции были представлены основные результаты исследования безопасности приложений для мобильного банкинга, проведенного компанией Digital Security в 2011–2012 годы (полный текст исследования). Положение с ИБ в данном сегменте ДБО не лучше, судя по количеству уязвимостей в протестированном ПО, чем в ДБО в целом. Прозвучало мнение, что и хуже, так как технологическая среда более разнообразна.

Оживленная дискуссия возникла после выступления Павла Головлева, начальника управления безопасности информационных технологий СМП-Банка, который сообщил о разработке группой экспертов, работающих в банках, отраслевой модели угроз для систем ДБО. По его мнению, большинство банков могут выделить весьма ограниченные бюджеты на ИБ — в среднем 5 млн. рублей в год. С таким бюджетом нельзя справиться с обработкой всех рисков, возникающих при классическом моделировании угроз, то есть при определении объектов защиты и возможных уязвимостей у них, анализе возможных способов использования этих уязвимостей, оценке тяжести последствий, оценке вероятности событий, оценке актуальности угроз и выборе защитных мер. Группа экспертов выделила 7 классов угроз и для каждого из них определила эффективность защитных мер. В настоящее время проводится моделирование угроз, возникающих при обслуживании банками пластиковых карт.

И в заключение мнение участника конференции Алексея Ермаченкова, советника председателя правления Промышленного сберегательного банка: «Банковские технологии во многом определяются используемыми в банках ИТ. Это особенно заметно в области платежно-расчетных операций, поскольку большая часть данных операций проводится с использованием ДБО, пластиковых карт, терминалов самообслуживания и т.д., которые основаны на ИТ. Выбор пути развития ИТ и банковских технологий на их основе – это стратегическая задача банковского бизнеса. Банк должен понять, какие технологические элементы, например, процессинговый центр, он может делать лучше рынка, а какие ему целесообразнее отдать на аутсорсинг. При анализе возможных технологических решений следует учитывать не только их стоимость и масштабируемость, но и возникающие риски, и компенсационные меры. Так как стоимость обеспечения ИБ может составлять существенную часть стоимости технологических проектов, то банкам необходимо четкое представление о существующих и перспективных угрозах ИБ, а также об эффективных защитных мерах».