PCI DSS и реальная безопасность платежной системы банковских карт
PCI DSS и реальная безопасность платежной системы банковских карт
В 2010 г. компания Verizon Business опубликовала очередной отчет о компрометации данных «2010 Data Breach Investigations Report». В основу исследования, проведенного подразделением Verizon RISK Team совместно с United States Secret Service, легли данные за последние 6 лет о более чем 900 взломах различных автоматизированных систем и свыше 900 млн скомпрометированных элементов данных (compromised records).
Основные выводы данного исследования по фактам компрометации данных в 2009 г. следующие:
1) скомпрометированы 143 млн элементов данных;
2) подавляющее большинство (94 %) скомпрометированных данных относится к финансовому сектору, хотя на долю финансовых организаций приходится лишь 33 % от общего числа компаний, принявших участие в исследовании. Организованные преступные группы были задействованы в компрометации в 85 % всех данных;
3) в результате действий сторонних лиц взломы осуществлялись в 70 % случаев, внутренние нарушители были задействованы в 48 % инцидентов. Злоупотребление привилегиями было использовано в 48 % всех атак, взлом (hacking) применялся в 40 % случаев, вредоносное ПО — в 38 %;
4) почти все атаки на данные (98 %) осуществлялись на серверы, на серверы баз данных — 92 %;
5) сложность атак была невысокой в 85 % случаях, а 96 % атак могло быть предотвращено с помощью применения простых и средних по сложности мер защиты;
6) 79 % организаций, к которым применимы требования стандарта PCI DSS, участвовавшие в исследовании, не достигли соответствия его требованиям;
7) данные платежных карт скомпрометированы в 54 % инцидентов и составляют 83 % от общего числа скомпрометированных данных.
Результаты других исследований и проведенных расследований также не очень утешительны. Так, в 2005 г. в результате взлома процессингового центра Card Systems Solutions было скомпрометировано 40 млн платежных карт. Компания необоснованно хранила треки (данные с магнитных полос карт) и при этом не защищала их должным образом, в результате международные платежные системы VISA и Ameх отозвали свои лицензии. В 2007 г. хакеры похитили 45 млн записей с данными платежных карт в результате атаки на крупную розничную сеть TJX.
В 2008 г. был взломан RBS Worldpay, что привело к компрометации данных 1,5 млн держателей карт. А в 2009 г. злоумышленники получили доступ к более чем 100 млн платежных карт в результате взлома процессингового центра Heartland Payment Systems.