PCI DSS = безопасность платежных карт?
PCI DSS = безопасность платежных карт?
В связи с приведенными фактами возникает ряд вопросов. Во-первых, способен ли Стандарт обеспечить безопасность платежных карт?
Во-вторых, почему его внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных? Эти вопросы волнуют в настоящий момент всех специалистов по безопасности в отрасли, они же явились предметом особого рассмотрения в Комитете национальной безопасности палаты представителей США (House of Representatives Committee on Homeland Security) 31 марта 2009 г. в слушаниях на тему «Приводят ли Стандарты безопасности индустрии платежных карт к снижению киберпреступности?» («Do the PCI Standards Reduce Cybercrime?»).
Позиция представителей PCI SSC и VISA на слушаниях заключалась в том, что сертифицированная на соответствие требованиям Стандарта организация соответствует этим требованиям на момент сертификации, но в дальнейшем нельзя гарантировать, что это соответствие сохранится. При этом после успешного взлома ранее сертифицированных организаций во всех случаях аудит показал, что организация уже не соответствует требования безопасности.
Представители торговых компаний отметили, что следование требованиям Стандарта вовсе не приводит к состоянию уверенности в безопасности данных держателей карт, при этом реализация требований на практике связана с существенными затратами. А поскольку данные платежных карт все равно должны быть обработаны, т. е. как минимум в этот момент они представляются в незашифрованном виде, то компрометация остается возможной. Кроме того, торговые компании США расценивают Стандарт как некую «заплатку» (patch) безопасности, целью которого является перенос потерь на торговые предприятия. Член палаты представителей Иветта Кларк (Yvette Clark) заявила, что выполнение Стандарта не гарантирует безопасности, призвала к его изменению и переходу на новые защищенные технологии, например «ЧИП и ПИН» (Chip&PIN).
Председатель слушаний обозначила важную позицию отсутствия метрик эффективности Стандарта, которые в принципе должны быть неотъемлемой его частью. Целью Стандарта является защита данных платежных карт. В случае если такая защита будет обеспечена, логично ожидать снижения киберпреступности, мошенничества с платежными картами — такое снижение может являться объективным измерителем эффективности Стандарта. Если же снижения числа преступлений и объема скомпрометированных данных платежных карт не происходит, очевидно, безопасность данных не обеспечивается.
В результате слушаний были сделаны два основных вывода:
1. Стандарт не является достаточным для защиты данных держателей карт и следование его требованиям не обеспечивает в настоящий момент адекватной безопасности.
2. Стандарт скорее переносит бремя ответственности по мошенничеству, чем реально препятствует компрометации данных.
В результате слушаний оказалось, что цели заинтересованных сторон различаются. Так, PCI SSC является организацией, обеспечивающей разработку Стандарта и обучение, но не играющей действительной роли в его адаптации и эволюции. Целью платежной системы является продвижение Стандарта среди своих членов. Торговые предприятия стремятся расширить свой бизнес, предоставляя товары и услуги покупателям, и они не только не заинтересованы в реализации требований Стандарта, но и считают его инструментом давления со стороны платежных систем.
Особую озабоченность сертифицируемых на соответствие требованиям Стандарта организаций вызывает тот факт, что успешное прохождение сертификации не гарантирует реальной безопасности. На практике часто имеет место такой сценарий развития событий.
1. Торговое предприятие А проходит сертификацию на соответствие Стандарту, что подтверждается QSA (Qualified Security Assessor)[78].
2. Через некоторое время торговое предприятие А признается точкой компрометации данных платежных карт после успешной атаки со стороны злоумышленников.
3. PCI SSC выпускает поправки для аудиторов по процедурам проведения оценки на соответствие требованиям Стандарта по результатам данного инцидента.
4. При проверке торгового предприятия А по новым процедурам оно уже не соответствует требованиям.
Практика внедрения Стандарта показала, что одного формулирования требований безопасности недостаточно. Внедрение требований, управление требованиями, учет практических аспектов оказались недостаточно продуманными, что и привело к ряду обозначившихся проблем. По результатам исследования, проведенного Society of Payment Security Professionals, почти 24 % организаций, участвовавших в исследовании, потратили более 100 тыс. долл. США в год на оценку и соответствие требованиям Стандарта. А торговые предприятия уровня 1 (Level 1), по оценке Подкомитета, могут столкнуться с необходимостью ежегодных затрат в 18 млн долл. США на внедрение требований Стандарта, что превысит возможные потери от мошенничества. Компания Gartner оценила в 2008 г. затраты для приведения автоматизированной системы к соответствию требованиям Стандарта: уровень 1 — 2,7 млн долл. США, уровень 2 — 1,1 млн долл. США, уровень 3 — 155 тыс. долл. США. По оценке компании UCS (Россия), приведение системы к соответствию Стандарту составило 1 млн долл. США, поддержание соответствия — еще 100 тыс. долл. США ежегодно. Только ежегодные обязательные затраты на проведение аудита, пентеста[79] и четырех ежеквартальных сканирований составят около 1 млн руб.
Эти оценки свидетельствуют о том, что при условии превышения стоимости обеспечения безопасности величины потерь от инцидентов такая защита становится нецелесообразной.
Организации, вынужденные тратить существенные средства для обеспечения соответствия требованиям Стандарта, будут включать данные затраты в себестоимость, что в конечном итоге скажется на держателях карт, иначе бизнес будет нерентабельным.