Основные выводы данного исследования по фактам компрометации данных в 2009 г. следующие:
1) скомпрометированы 143 млн элементов данных;
2) подавляющее большинство (94 %) скомпрометированных данных относится к финансовому сектору, хотя на долю финансовых организаций приходится лишь 33 % от общего числа компаний, принявших участие в исследовании. Организованные преступные группы были задействованы в компрометации в 85 % всех данных;
3) в результате действий сторонних лиц взломы осуществлялись в 70 % случаев, внутренние нарушители были задействованы в 48 % инцидентов. Злоупотребление привилегиями было использовано в 48 % всех атак, взлом (hacking) применялся в 40 % случаев, вредоносное ПО — в 38 %;
4) почти все атаки на данные (98 %) осуществлялись на серверы, на серверы баз данных — 92 %;
5) сложность атак была невысокой в 85 % случаях, а 96 % атак могло быть предотвращено с помощью применения простых и средних по сложности мер защиты;
6) 79 % организаций, к которым применимы требования стандарта PCI DSS, участвовавшие в исследовании, не достигли соответствия его требованиям;
7) данные платежных карт скомпрометированы в 54 % инцидентов и составляют 83 % от общего числа скомпрометированных данных.
Результаты других исследований и проведенных расследований также не очень утешительны. Так, в 2005 г. в результате взлома процессингового центра Card Systems Solutions было скомпрометировано 40 млн платежных карт. Компания необоснованно хранила треки (данные с магнитных полос карт) и при этом не защищала их должным образом, в результате международные платежные системы VISA и Ameх отозвали свои лицензии. В 2007 г. хакеры похитили 45 млн записей с данными платежных карт в результате атаки на крупную розничную сеть TJX.
В 2008 г. был взломан RBS Worldpay, что привело к компрометации данных 1,5 млн держателей карт. А в 2009 г. злоумышленники получили доступ к более чем 100 млн платежных карт в результате взлома процессингового центра Heartland Payment Systems.
Безопасность платежных карт — два пути
Очевидно, что данные факты свидетельствуют о существенных уязвимостях применяемых в настоящее время платежных технологий, раз такие массовые атаки и случаи компрометации данных становятся возможны из года в год. Принципиальных решений в этой связи может быть два:
1) замена уязвимых технологий более безопасными;
2) сохранение существующих уязвимых технологий и защита их дополнительными методами и системами.
Первый путь связан с миграцией на микропроцессорные карты стандарта EMV для предотвращения несанкционированного копирования (скимминга) магнитной полосы карты (защита от Counterfeit Fraud — 34 % всех потерь в мире за 2009 г.) и посредством внедрения более надежных систем аутентификации держателя карты при проведении операций без присутствия карты (противодействие Card Not Present Fraud — 41 % всех потерь в мире за 2009 г.), причем в последнем случае в ряде решений также может использоваться EMV-карта. Повсеместного перехода на микропроцессорные карты до сих пор не произошло, и хотя уже более 60 стран мира начали процесс миграции, США являются пока единственной страной G20 («Большая двадцатка» наиболее экономически развитых стран мира), официально даже не начавшей его.
К настоящему моменту отказ от использования микропроцессорных карт стоит США весьма дорого — так, потери от мошенничества с платежным картами в 2009 г. составили 6,89 млрд долл. США и к 2015 г. могут достигнуть 10 млрд долл. США. По некоторым оценкам стоимость принятия мер по каждому факту компрометации данных платежной карты в США составляет 202 долл. США, так что только в 2008 г. на устранение последствий атак был потрачен 1 трлн долл. США. По оценкам экспертов стоимость миграции на EMV для США составляет 8,6 млрд долл. США, т. е. вполне сопоставима с ежегодными потерями от мошенничества в 6,89 млрд долл. США! Тем не менее США, а вместе с ними и весь остальной мир по требованиям международных платежных систем пошли по второму пути.
Второй путь состоит, как мы уже определили выше, в защите существующих уязвимых технологий (прежде всего — платежных карт с магнитной полосой). Для разработки повышенных требований к обеспечению безопасности данных платежных карт в 2006 г. был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, VISA International. Стандарт Payment Card Industry Data Security Standard (PCI DSS, в настоящий момент версия 2.0, далее — Стандарт) определяет требования безопасности для защиты информации, относящейся к платежной карте, и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается.
Приведенные в Стандарте требования[77] призваны обеспечить безопасность данных платежных карт за счет повышения защищенности автоматизированных систем, в которых эти данные обрабатываются. Соответствие требованиям Стандарта должно означать, что система защищена и компрометация данных в ней произойти не может. Однако вышеназванные компании, в которых были скомпрометированы данные, — Card Systems Solutions, RBS WorldPay, Heartland Payment Systems, — до этого проходили аудит и получили статус соответствия Стандарту. Примечательно, что компании RBS WorldPay и Heartland Payment Systems в марте 2009 г. были исключены VISA из списка соответствующих стандарту, но сразу же заявили, что надеются вновь пройти сертификацию уже в апреле и мае 2009 г. соответственно, и достигли этого соответствия.
PCI DSS = безопасность платежных карт?
В связи с приведенными фактами возникает ряд вопросов. Во-первых, способен ли Стандарт обеспечить безопасность платежных карт?
Во-вторых, почему его внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных? Эти вопросы волнуют в настоящий момент всех специалистов по безопасности в отрасли, они же явились предметом особого рассмотрения в Комитете национальной безопасности палаты представителей США (House of Representatives Committee on Homeland Security) 31 марта 2009 г. в слушаниях на тему «Приводят ли Стандарты безопасности индустрии платежных карт к снижению киберпреступности?» («Do the PCI Standards Reduce Cybercrime?»).
Позиция представителей PCI SSC и VISA на слушаниях заключалась в том, что сертифицированная на соответствие требованиям Стандарта организация соответствует этим требованиям на момент сертификации, но в дальнейшем нельзя гарантировать, что это соответствие сохранится. При этом после успешного взлома ранее сертифицированных организаций во всех случаях аудит показал, что организация уже не соответствует требования безопасности.