Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS и реальная безопасность платежных карт

(Нет голосов)

11.02.2010 Количество просмотров 711 просмотров


Максим Кузин, к.т.н., преподаватель кафедры Информационная безопасность банковских систем НИЯУ МИФИ


Данная статья, в основу которой положены результаты слушаний на тему «Приводят ли Стандарты безопасности индустрии платежных карт к снижению киберпреступности?», прошедших в уходящем году в Комитете национальной безопасности палаты представителей США, посвящена проблемам обеспечения безопасности технологии платежных карт на современном этапе на фоне внедрения стандарта PCI DSS. Решает ли следование требованиям стандарта существующие в индустрии проблемы информационной безопасности? Какие цели преследует введение стандарта? Каковы сложности его внедрения? Почему этот процесс сопровождается заметным увеличением числа компрометаций и объема скомпрометированных данных держателей платежных карт?


Компрометация данных платежных карт: что, где, когда?

В 2009 г. компания Verizon Business, специализирующаяся на комплексных решениях в таких областях, как IT, IT-безопасность, связь и сетевые решения, опубликовала отчет о компрометации данных «2009 Data Breach Investigations Report» по результатам расследования 150 инцидентов в 2008г., связанных с компрометацией данных. По 90 инцидентам (60%) информация о компрометации оказалась подтвержденной. Именно эти факты и статистика, собранная и обработанная с 2004 по 2007 г., легли в основу проведенного исследования [1].

Среди компаний, подвергшихся атакам, 31% относится к предприятиям розничной торговли и услуг, 30% – к сфере финансовых услуг, 14% – предприятия отрасли общественного питания, по 6% – производство, бизнес-услуги и гостиницы. Всего в результате успешных атак оказались скомпрометированы 285 млн записей, представляющих собой отдельные элементы данных, таких как номер платежной карты или данные по конкретному счету, персональные данные клиента, учетная запись в некоторой системе и т.д.

Основные выводы данного исследования [2] выглядят следующим образом:

1. Подавляющее большинство (93%) скомпрометированных данных относится к финансовому сектору.

2. Данные держателей платежных карт скомпрометированы в 81% инцидентов и составляют 98% от общего числа скомпрометированных данных.

3. С использованием вредоносного ПО была связана треть всех атак и 9 из 10 записей, оказавшихся скомпрометированными.

4. По сравнению с 2007г. число специализированных вредоносных программ увеличилось более чем в 2 раза, причем 85% скомпрометированных данных из общего числа в 285 млн были получены с использованием таких программ.

5. Сложные по реализации атаки позволили злоумышленникам получить доступ к 95% скомпрометированных данных, намеренные атаки на выбранные системы – к 90%.

6. Данные, находящиеся в сетевом доступе (online), были скомпрометированы в 94% атак и составили 99,9% от общего количества скомпрометированных данных.

7. Суммарная величина скомпрометированных данных в 2008 г. превосходит общее число скомпрометированных данных за предыдущие четыре года, при этом 93% скомпрометированных данных относятся всего лишь к пяти крупным инцидентам.

Полный текст статьи читайте в журнале ПЛАС Дайджест’ 2009 сc. 16 - 18


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

…первая система бесконтактной оплаты в мире была внедрена в США в 1997 г., она называлась Speedpass, использовалась на АЗС, а форм-фактором платежного инструмента был RFID-брелок для ключей автомобиля?