PCI DSS и российская действительность
PCI DSS и российская действительность
Внедрение стандарта PCI DSS в России идет непросто. Во многих банках оно находится в активной фазе[76], но ряд крупных банков еще даже не начинали активных действий по внедрению стандарта. Почему же сложилась такая ситуация — ведь стандарт является обязательным для российских компаний аж с далекого 2007 г.?
Автору с 2007 по 2011 г. удалось понаблюдать (с позиции сертифицированного аудитора QSA), как трудно происходит проникновение стандарта в умы и бюджеты банков и сервисных провайдеров в России и странах СНГ. Основных причин возникающих проблем, по мнению автора, несколько.
1. Относительно низкий уровень обеспечения информационной безопасности и управления ИБ в большинстве российских банков по сравнению с банками Западной Европы и США.
На момент сдачи книги в печать.
Исторически сложилось так, что подавляющее большинство российских банков строили свои системы обеспечения и управления ИБ, ориентируясь в первую очередь на нормативные документы и лучшие практики ФСТЭК, ФСБ, которые были разработаны без учета современного уровня развития информационных технологий и повсеместного проникновения Интернета и мобильной связи. При этом часть современных угроз безопасности остаются «незакрытыми».
Перестройка же системы управления безопасностью по новым, процессно-ориентированным западным стандартам менеджмента представляет собой очень сложную задачу. В итоге внедренные суперсовременные системы мониторинга безопасности, анализа защищенности, обнаружения вторжений и т. п., разработанные западными вендорами с прицелом на западные системы менеджмента безопасности, в российских условиях начинают работать с меньшей эффективностью, не так, как было задумано производителем.
2. Многократный перенос сроков внедрения стандарта и отсутствие фактов наложения штрафов за несоответствие стандарту PCI DSS для российских банков в совокупности с небезызвестным российским менталитетом.
Совершенно понятна позиция платежных систем, заключающаяся в том, чтобы «не рубить сук, на котором сидишь», т. е не трогать банки, приносящие хороший доход платежной системе. Очевидно, это понимают и банки, позиция руководства которых в этом вопросе может быть довольно резка. «Пусть попробуют штрафануть — уйдем в другую платежную систему», «Пока кого-нибудь из топ 20 не оштрафуют, мы на это деньги тратить не будем», «Да мы входим в правление платежной системы, пусть попробуют нам что-нибудь сказать», «Сроки уже три раза переносили, так и еще перенесут скорее всего» — это реальные высказывания серьезных банков образца 2007–2008 гг. Ближе к 2011 г. большинство банков смирились с необходимостью рано или поздно соответствовать стандарту и начали движение в сторону его изучения и выполнения требований.
В неофициальных беседах представители платежных систем также подтверждают, что санкции начнут применять тогда, когда основная масса банков достигнет соответствия стандарту. Да и в нормативных документах сказано, что члены платежных систем МОГУТ быть оштрафованы за нарушение требований программы соответствия. «Могут» не означает «обязательно будут». Вот все и ждут, пока кого-нибудь (видимо, не очень крупного) не оштрафуют в назидание всем и, может быть, даже лишат лицензии.
3. Относительно низкий уровень мошенничества в российском сегменте сети Интернет и отсутствие публичных серьезных утечек информации в процессинговых центрах российских банков.
Ни для кого уже не секрет, что существенную часть подпольного карточного бизнеса контролируют выходцы из России и стран СНГ, в первую очередь Украины. До недавнего времени существовало негласное правило не трогать банки в своем регионе — в основном не из патриотических, конечно, убеждений, а исходя из вопросов личной безопасности — ведь достать же могут и правоохранительные органы, и службы безопасности банков, что может быть хуже. Тем более когда через Интернет легко получить доступ к базам данных мерчантов и процессинговых компаний США, Европы. Карточные лимиты у клиентов западных банков побольше, а уровень взаимодействия российских правоохранительных органов с зарубежными далек от совершенства. В результате мошенничество по картам на территории России в основном сводится к скиммингу в банкоматах и получению наличных с использованием поддельных карт. А если и взломают какой процессинг — так не для получения данных платежных карт, а скорее для устрашения и передела нелегального рынка.
4. Относительно низкая степень развития российского рынка эквайринга в целом по сравнению с Европой и США.
Количество транзакций по картам в России в несколько раз меньше, чем в Европе, и на порядки меньше, чем в США. Наши крупнейшие торговые сети только доходят до уровня 6 млн транзакций в год и могут быть посчитаны по пальцам одной руки, тогда как безопасность мерчантов 1 уровня (выше 6 млн транзакций в год) в США, которых там насчитываются сотни, — основной приоритет последних четырех лет работы консула по безопасности США.
Стандарт PCI DSS, следует признать, во многом был написан именно с учетом специфики работы крупных мерчантов, и в связи с этим иногда возникают сложности при его внедрении в банках, самостоятельно выпускающих карты. Ведь стандарт призван защищать данные платежных карт после авторизации, а что делать с данными платежных карт, эмитированных банком, в стандарте сказано мало. В целом низкий уровень развития эквайринга в торговых сетях приводит к тому, что уровень общих потерь от мошенничества на собственных эквайринговых сетях небольшой, что, конечно, не дает достаточного импульса к внедрению дополнительных мер безопасности и/или внедрению требований стандарта PCI DSS.
С учетом всех обстоятельств какой ответ можно дать на главный вопрос: является ли стандарт PCI DSS панацеей от всех бед, связанных с мошенничеством, или, наоборот, отвлекает ресурсы компании и не дает ожидаемого эффекта? Мнения по данному вопросу у экспертов по безопасности и участников рынка различны, порой диаметрально противоположны.
Многие представители российского бизнеса считают внедрение стандарта бессмысленной тратой денег, навязанной международными платежными системами. Если банки готовы взять на себя риск, связанный с мошенничеством, считают они, то должны сами определять требования по безопасности. Заниматься этими вопросами серьезно стоит лишь тогда, когда потери от мошенничества составят ощутимый процент от оборота. У представителей западного бизнеса позиция гораздо более активная — они стараются сами войти в Совет по безопасности PCI (PCI SSC) и непосредственно участвовать в развитии стандарта и практике его применения. На текущий момент в Совет по безопасности PCI, помимо пяти платежных систем, входят более 1300 банков и торговых организаций со всего мира, но, к сожалению, российского бизнеса там пока еще незаметно.
Также среди специалистов существует мнение, что сама технология авторизации по картам с магнитной полосой в существующем виде ущербна сама по себе, и сколько ее ни защищай, мошенничество все равно будет происходить. И только переход на новые технологии (например, EMV) существенно снизит потери. При этом часто ставится под сомнение эффективность стандарта PCI DSS как инструмента снижения рисков ИБ.
С другой стороны, многие известные эксперты по информационной безопасности считают стандарт PCI DSS достаточно современным, содержащим вполне конкретные реализуемые требования и позволяющим достичь определенного минимального уровня безопасности.
Многочисленные расследования случаев компрометации данных показали, что компании не выполняли многие требования стандарта на момент компрометации.
Конечно, не может быть стопроцентной уверенности в том, что если бы требования стандарта выполнялись, то компрометации бы не произошло. Но ущерб как минимум был бы намного меньше, хотя бы в результате того, что в ходе мониторинга событий ИБ и/или регулярных проверок безопасности, предписанных стандартом, компрометация была бы обнаружена существенно быстрее. В реальности же среднее время обнаружения факта компрометации — более 6 месяцев после взлома, а инициатором расследования часто служат внешние источники, такие как платежные системы, обманутые клиенты или СМИ.
Переход на новые технологии авторизации (EMV, 3D Secure и т. п.) может существенно понизить уровень мошенничества по существующим схемам. Но вопросы безопасности инфраструктуры, обеспечивающей прохождение платежей, безопасности разрабатываемых прикладных приложений, разграничение доступа сотрудников, мониторинг и реагирование на инциденты ИБ и прочие вопросы информационной безопасности, изменение технологии авторизации решить не сможет, а как раз для этого и предназначен стандарт PCI DSS. Для переноса интересов преступности из сферы мошенничества с использованием пластиковых карт на другие способы незаконного получения и/или отмывания денег в особо крупных размерах необходимо одновременно и переходить на новые технологии авторизации, и защищать инфраструктуру путем внедрения стандарта PCI DSS, а также разрабатывать защищенные приложения в соответствии со стандартом PA DSS.