Aercom.by - Новости безопасности в Беларуси и СНГ

17 октября 2017 г., вторник

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Данные о безналичных платежах плохо защищены, предупреждают эксперты
17 декабря, 2013

Количество эмитированных пластиковых карт уже превышает число людей. Популярность этого инструмента расчетов стремительно растет во всем мире и в Беларуси в частности.

Однако, предупреждают эксперты аналитического центра InfoWatch, с точки зрения безопасности платежные карты далеки от совершенства.

Исследователи пришли к такому выводу, проанализировав обнародованные данные об утечках платежных данных за 2004–2012 годы. «Авторы признают, что исследуемая выборка случаев утечек, обнародованных в СМИ, составляет незначительную (не более 1–5%) долю от реального количества утечек платежных данных, произошедших в мире. Однако данное исследование ориентировано на выявление наиболее общих трендов, что не предполагает повышенных требований к полноте выборки», – говорится в отчете аналитического центра.

То, что в данных, которые собрали специалисты, не фигурируют утечки платежных данных белорусов, с одной стороны – хороший знак. Это не говорит об их полном отсутствии (вспомним упомянутые выше 1–5%), однако практически полностью исключает вариант существования масштабной компрометации конфиденциальной информации такого рода.

К слову, в базе данных об утечках, формируемой специалистами InfoWatch, среди нескольких тысяч зарегистрированных инцидентов фигурирует соседняя Россия.

В целом выводы InfoWatch носят глобальный характер, и актуальны, как подчеркивают в аналитическом центре, для всех стран мира.

Сколько стоят у киберпреступников данные вашей банковской карты

«Для оплаты в интернете сама карта вообще не нужна – достаточно платежных данных. Эти данные – реквизиты карты, позволяющие осуществлять электронные платежи (номер и срок действия, фамилия и имя владельца, код CVC), – являются одним из наиболее «ликвидных» товаров на внутреннем рынке киберпреступности», – сообщается в отчете.

Эксперты ссылаются на данные исследования своих коллег – специалистов по онлайн-безопасности McAfee, выяснивших, что одна запись о банковской карте может стоить от $15 до 200, в зависимости от ее типа, наличия сведений о PIN-коде и балансе.

«Злоумышленники всего мира атакуют организации, оперирующие платежными данными – банки, розничные магазины, процессинговые компании, – стремясь заполучить как можно больше записей с данными пластиковых карт. Эти записи легко продать. Имея в распоряжении платежные данные, можно купить товары в интернете, изготовить поддельные карты и обналичить деньги через «дропперов» (преступников, обналичивающих похищенные денежные средства – ИФ)», – подчеркивают эксперты.

Платежные данные сравнительно легко раздобыть, отмечают авторы исследования: «Самый простой случай – официант в кафе фотографирует карту клиента в момент оплаты. Случай сложнее – направленная атака на операторов по переводу денежных средств с целью взлома информационной системы».

Небольшие компании, массово принимающие к оплате пластиковые карты (игровые сервисы, крупные оффлайн-ритейлеры), становятся излюбленной мишенью киберпреступников, – подчеркивают эксперты. У таких компаний в достатке имеются платежные данные, а уровень информационной безопасности ниже, чем, например, в банках: «Большинство «ритейлеров» фактически закрывает глаза на слабость собственных систем защиты платежных данных клиентов, не выполняя даже минимальные требования регулятора и допуская хранение и обработку платежных данных в своей информационной системе».

Аналитики InfoWatch прогнозируют, что если отношение ритейлеров к защите информации не изменится, в перспективе оно может привести к серьезным последствиям вплоть до подрыва доверия к системе платежных карт со стороны клиентов.

Чаще в утечке виноваты не хакеры, а сотрудники банков, магазинов и т.д. 

Внешние атаки широко освещаются в СМИ, каждый факт получает широкую огласку. Однако на практике причиной утечки платежных данных, по оценке InfoWatch, чаще является не внешняя атака, а действия сотрудников оператора по переводу денежных средств – хищение информации и последующее использование в собственных интересах.

Если для глобальной картины утечек считается нормальным распределение умышленных и неумышленных утечек в отношении 50 на 50, то для утечек платежных данных из коммерческих компаний характерно преобладание злонамеренных утечек, сообщили представители InfoWatch. «Особенно ярко это проявляется в отношении процессинговых компаний (75% злонамеренных), где доля случайных утечек совсем небольшая (19%). Аналогично в банковских организациях – 68% умышленных против 20% случайных («лишние» проценты относятся к случаям, когда характер утечки не определен – ИФ)», – говорится в отчете.

Ситуацию с низким процентом случайных утечек в банках эксперты объясняют тем, что это характерно для сегментов с высоким уровнем развития информационной безопасности. Требования регуляторов, с одной стороны, и понимание важности защиты данных клиента, с другой – обусловливают постоянное совершенствование систем защиты.

«Высокий процент умышленных утечек через давно известные и теоретически контролируемые каналы говорит о том, что данные организации излишне полагаются на технические средства защиты и уделяют недостаточно внимания мерам организационного характера, работе с психологией сотрудников», — добавляют эксперты.

В ряде случаев имеют место банальные ошибки – платежные и персональные данные клиентов оказываются скомпрометированными из-за невнимательности сотрудников департамента информационной безопасности, легитимных пользователей баз данных, веб-мастеров. «Доля случайных утечек платежных данных в банках и процессинговых компаниях невысока. Очевидно, что службы информационной и экономической безопасности в банковской сфере научились справляться с ошибками персонала с помощью технических средств защиты и контроля за перемещением данных», – отмечают авторы исследования.

«Самое неприятное, что от утечки платежных данных не застрахованы даже крупнейшие банки. В 2012 году в сообщениях СМИ о мошенничестве с пластиковыми картами и счетами клиентов фигурировали Bank of Montreal, Wachovia Bank, Credit Suisse, Barclays, Bank of America, Citibank, HSBC, JPMorgan Chase & Co, РайффайзенБанк», – подчеркивают авторы отчета.

Что может усилить безопасность платежей с использованием «пластика»

Несмотря на то, что противодействие внутренним нарушителям – одна из самых сложных задач информационной безопасности, аналитики InfoWatch отмечают, что ущерб от мошенничества с платежными данными все же можно снизить. Наиболее действенными, по оценке экспертов, были бы меры по решению проблемы, принятые на государственном уровне, – ужесточение требований к порядку обработки и хранения платежных данных.

Кардинальному изменению ситуации в лучшую сторону способствовало бы строгое выполнение участниками рынка правила PCI DSS, предписывающего не хранить платежные данные в информационных системах.

«Операторам по переводу денежных средств пора всерьез задуматься о том, как противодействовать внутреннему нарушителю, – добавили специалисты по безопасности. – Средства DLP могут с легкостью блокировать утечку номеров кредитных карт по маске, контролировать действия потенциальных нарушителей. Однако платежные данные утекают, средства DLP те же ритейлеры не используют. Такую ситуацию нельзя признать нормальной».

Низкий уровень защищенности пластиковых карт – обратная сторона преимуществ этого платежного инструмента, – резюмируют эксперты. – Идея «пластика» заключалась в том, чтобы осуществлять платежи практически мгновенно, в любом магазине, на любом интернет-сайте. Однако, выбирая между безопасностью и удобством клиента, регуляторы и компании, оперирующие пластиковыми картами, выбрали, к сожалению, удобство».

 Юрий Законников

Источник: www.interfax.by

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.