Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Перевыпуск карт: как подготовиться к неожиданностям

18.12.2014 Количество просмотров 1674 просмотра

Рэй Визбовски (Ray Wizbowski), вице-президент Entrust Datacard: Быстрый перевыпуск и выдача качественных платежных карт сводит к минимуму перебои в доходах для эмитентов

Нашумевший недавно случай масштабного карточного мошенничества в США – взлом базы данных розничной сети Target, в результате которого были скомпрометированы 10 млн платежных карт, – выявил две ключевые проблемы банков и других крупных эмитентов платежных карт.

Во-первых, профилактика. Изучение недавних атак позволило экспертам по безопасности сделать вывод о том, что более 90% нарушений последних лет можно было предотвратить, если бы применялись правильные стратегии (которые, что весьма показательно, ориентированы больше на правильно выбранную политику безопасности и меры процедурного характера, чем на технологии).

Ясно, что переход к EMV-картам и решениям многофакторной аутентификации позволяет выстроить дополнительные линии обороны от финансовой киберпреступности. Тем не менее, ни один эксперт не возьмет на себя смелость утверждать, что все виды атак можно разом предотвратить. Личные и платежные данные слишком уязвимы, и добиться их стопроцентной защиты вряд ли когда-то удастся. Кроме того, киберпреступ - ники, как правило, обладают способностью быстро адаптироваться к изменяющимся обстоятельствам. Именно поэтому эмитентам сегодня придется делать все возможное, чтобы всегда оставаться на шаг впереди.

Вторая проблема – это необходимость крупномасштабного перевыпуска карт и восстановление доверия среди широкого круга клиентов внутри страны и за ее пределами. Быстрый перевыпуск и выдача качественных платежных карт сохраняет покупательскую способность населения и сводит к минимуму перебои в доходах для финансовых учреж - дений. В чрезвычайных обстоятельствах эта возможность также помогает эмитенту укрепить свой бренд и подтвердить свою клиентоориентированность.

Чем ответить на взрыв потребительского спроса?

В первые дни карточного кризиса в сети Target в конце 2013 года для банков крайне важным было обеспечить работу с миллионами постра - давших потребителей. Судьба многих брендов висела на волоске, поскольку зависела от изменившегося отношения клиентов. Эти события выпали на период непосредственно перед Рождеством, и потребители хотели, чтобы их карты были перевыпущены очень быстро. Необходимость крупномасштабного перевыпуска карт, вызванная крупной утечкой данных, грозила значительным отставанием по принятым срокам и представляла для эмитентов сложную задачу с риском потери доверия со стороны клиентов.

Основным поводом для беспокойства фи - нансовых учреждений был более чем дву - кратный рост объемов ежедневной выдачи карт. Помимо плановых операций выпуска эмитенты должны были думать еще и о мас - совом перевыпуске карт, находящихся в зоне риска. Например, при существующем порядке выдачи ежедневно около 20 тыс. карт объемы некоторых эмитентов скачкообразно росли до 40–50 тыс. карт в день, что представляло собой весьма сложную в реализации задачу.

Такую задачу решить можно, только если заранее подготовиться и выработать стра - тегию увеличения объемов обслуживания и оптимизации ряда операций.

В 2014 году компания Verizon опубликовала исследование, в котором анализировались причины более 600 преступлений, зафиксированных в 2012 году. В отчете были выявлены следующие основные причины нарушения безопасности данных:

  • Слабозащищенные или украденные учетные данные. Действующие учетные данные (пара логин-пароль) используются почти в каждом серьезном преступлении в сфере ИТ. Личные данные, не защищенные методами двухфакторной аутентификации, являются особенно уязвимыми.
  • Плохо информированные сотрудники. Топ-менеджмент часто является мишенью для атак, когда для заражения трояном от пользователя требуется всего лишь открыть документ типа PDF или PowerPoint.
  • Фишинг. Почти четверть всех атак связаны с фишингом. Преступнику достаточно отправить от 3 до 10 фишинговых писем пользователю, чтобы почти гарантированно получить доступ к его критичной информации.
  • Взлом. Кибермошенники часто используют SQL-инъекции, чтобы получить доступ к веб-сайтам и серверам.
  • Malware. Установка вредоносного ПО после получения преступником доступа к системе составляет более 70% процентов всех нарушений.
  • Spyware. Программы-шпионы позволяют получить данные платежных карт с компьютеров в точках продаж, а также учетные данные, вводимые пользователями через онлайн-системы банков.
  • Слишком мало внутренних барьеров. Для кражи большинства данных требуется несколько часов или даже минут. Эксперты рекомендуют создавать искусственные барьеры, которые увеличивают время, необходимое преступнику, чтобы исследовать и найти нужную ему систему.
  • Плохо разграниченные права доступа. В случаях наиболее серьезных нарушений использовались данные, которые хранились в базах данных и на файловых серверах. Большинство других данных было украдено с помощью вредоносных программ, сканирующих память компьютера, шпионских программ и скиммеров.
  • Хранение информации о платежах или отсутствие ее шифрования. Наиболее уязвимой, важной и интересной для мошенников является информация о платежах и учетные данные клиентов. Эти и другие данные необходимо зашифровывать и в принципе нельзя подвергать хранению.
  • Сервисы безопасной оболочки. Злоумышленники, получающие доступ к корпоративным сетям, используют протоколы шифрованного удаленного доступа типа SSH и RPC, что позволяет им незаметно действовать внутри сети организации.

Читать полную электронную версию Журнал ПЛАС № 12 (211) 2014

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первую в мире действующую систему дистанционного банковского обслуживания для юрлиц запустил в Великобритании в 1983 г. Bank of Scotland (для компаний, входящих в National Building Society), причем в системе для приема и отправки дистанционных распоряжений по счетам использовались тогда… телефон и телевизор?