В неофициальных беседах представители платежных систем также подтверждают, что санкции начнут применять тогда, когда основная масса банков достигнет соответствия стандарту. Да и в нормативных документах сказано, что члены платежных систем МОГУТ быть оштрафованы за нарушение требований программы соответствия. «Могут» не означает «обязательно будут». Вот все и ждут, пока кого-нибудь (видимо, не очень крупного) не оштрафуют в назидание всем и, может быть, даже лишат лицензии.
3. Относительно низкий уровень мошенничества в российском сегменте сети Интернет и отсутствие публичных серьезных утечек информации в процессинговых центрах российских банков.
Ни для кого уже не секрет, что существенную часть подпольного карточного бизнеса контролируют выходцы из России и стран СНГ, в первую очередь Украины. До недавнего времени существовало негласное правило не трогать банки в своем регионе — в основном не из патриотических, конечно, убеждений, а исходя из вопросов личной безопасности — ведь достать же могут и правоохранительные органы, и службы безопасности банков, что может быть хуже. Тем более когда через Интернет легко получить доступ к базам данных мерчантов и процессинговых компаний США, Европы. Карточные лимиты у клиентов западных банков побольше, а уровень взаимодействия российских правоохранительных органов с зарубежными далек от совершенства. В результате мошенничество по картам на территории России в основном сводится к скиммингу в банкоматах и получению наличных с использованием поддельных карт. А если и взломают какой процессинг — так не для получения данных платежных карт, а скорее для устрашения и передела нелегального рынка.
4. Относительно низкая степень развития российского рынка эквайринга в целом по сравнению с Европой и США.
Количество транзакций по картам в России в несколько раз меньше, чем в Европе, и на порядки меньше, чем в США. Наши крупнейшие торговые сети только доходят до уровня 6 млн транзакций в год и могут быть посчитаны по пальцам одной руки, тогда как безопасность мерчантов 1 уровня (выше 6 млн транзакций в год) в США, которых там насчитываются сотни, — основной приоритет последних четырех лет работы консула по безопасности США.
Стандарт PCI DSS, следует признать, во многом был написан именно с учетом специфики работы крупных мерчантов, и в связи с этим иногда возникают сложности при его внедрении в банках, самостоятельно выпускающих карты. Ведь стандарт призван защищать данные платежных карт после авторизации, а что делать с данными платежных карт, эмитированных банком, в стандарте сказано мало. В целом низкий уровень развития эквайринга в торговых сетях приводит к тому, что уровень общих потерь от мошенничества на собственных эквайринговых сетях небольшой, что, конечно, не дает достаточного импульса к внедрению дополнительных мер безопасности и/или внедрению требований стандарта PCI DSS.
С учетом всех обстоятельств какой ответ можно дать на главный вопрос: является ли стандарт PCI DSS панацеей от всех бед, связанных с мошенничеством, или, наоборот, отвлекает ресурсы компании и не дает ожидаемого эффекта? Мнения по данному вопросу у экспертов по безопасности и участников рынка различны, порой диаметрально противоположны.
Многие представители российского бизнеса считают внедрение стандарта бессмысленной тратой денег, навязанной международными платежными системами. Если банки готовы взять на себя риск, связанный с мошенничеством, считают они, то должны сами определять требования по безопасности. Заниматься этими вопросами серьезно стоит лишь тогда, когда потери от мошенничества составят ощутимый процент от оборота. У представителей западного бизнеса позиция гораздо более активная — они стараются сами войти в Совет по безопасности PCI (PCI SSC) и непосредственно участвовать в развитии стандарта и практике его применения. На текущий момент в Совет по безопасности PCI, помимо пяти платежных систем, входят более 1300 банков и торговых организаций со всего мира, но, к сожалению, российского бизнеса там пока еще незаметно.
Также среди специалистов существует мнение, что сама технология авторизации по картам с магнитной полосой в существующем виде ущербна сама по себе, и сколько ее ни защищай, мошенничество все равно будет происходить. И только переход на новые технологии (например, EMV) существенно снизит потери. При этом часто ставится под сомнение эффективность стандарта PCI DSS как инструмента снижения рисков ИБ.
С другой стороны, многие известные эксперты по информационной безопасности считают стандарт PCI DSS достаточно современным, содержащим вполне конкретные реализуемые требования и позволяющим достичь определенного минимального уровня безопасности.
Многочисленные расследования случаев компрометации данных показали, что компании не выполняли многие требования стандарта на момент компрометации.
Конечно, не может быть стопроцентной уверенности в том, что если бы требования стандарта выполнялись, то компрометации бы не произошло. Но ущерб как минимум был бы намного меньше, хотя бы в результате того, что в ходе мониторинга событий ИБ и/или регулярных проверок безопасности, предписанных стандартом, компрометация была бы обнаружена существенно быстрее. В реальности же среднее время обнаружения факта компрометации — более 6 месяцев после взлома, а инициатором расследования часто служат внешние источники, такие как платежные системы, обманутые клиенты или СМИ.
Переход на новые технологии авторизации (EMV, 3D Secure и т. п.) может существенно понизить уровень мошенничества по существующим схемам. Но вопросы безопасности инфраструктуры, обеспечивающей прохождение платежей, безопасности разрабатываемых прикладных приложений, разграничение доступа сотрудников, мониторинг и реагирование на инциденты ИБ и прочие вопросы информационной безопасности, изменение технологии авторизации решить не сможет, а как раз для этого и предназначен стандарт PCI DSS. Для переноса интересов преступности из сферы мошенничества с использованием пластиковых карт на другие способы незаконного получения и/или отмывания денег в особо крупных размерах необходимо одновременно и переходить на новые технологии авторизации, и защищать инфраструктуру путем внедрения стандарта PCI DSS, а также разрабатывать защищенные приложения в соответствии со стандартом PA DSS.
PCI DSS и реальная безопасность платежной системы банковских карт
В 2010 г. компания Verizon Business опубликовала очередной отчет о компрометации данных «2010 Data Breach Investigations Report». В основу исследования, проведенного подразделением Verizon RISK Team совместно с United States Secret Service, легли данные за последние 6 лет о более чем 900 взломах различных автоматизированных систем и свыше 900 млн скомпрометированных элементов данных (compromised records).