27 ноября 2020 г., пятница

Отраслевые мероприятия (Беларусь)

12 октября, 2020

О переносе даты проведения VIII международной выставки-форума «Центр безопасности. 2020»

1 июля, 2020

Запись вебинара – разработка BIM моделей АСПС

13 апреля, 2020

«Центр безопасности. 2020» – текущая ситуация

16 февраля, 2020

Новый практический курс «СКУД PERCo» в Образовательном центре АЭРКОМ

2 февраля, 2020

Конференция «СКУД – технологии и практика»

16 января, 2020

Обучение по базовому сертификационному курсу PERCo

Отраслевые мероприятия (зарубежные)

8 апреля, 2020

Премия BIM&SECURITY в деловой программе выставки Securika Moscow

16 марта, 2020

Securika Moscow: Ключевые мероприятия деловой программы

10 сентября, 2019

Конференция «СКУД 2019. Технологии и практика»

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

sfera-kameri-videonabludeniya-125х125
Данные о безналичных платежах плохо защищены, предупреждают эксперты
17 декабря, 2013

Количество эмитированных пластиковых карт уже превышает число людей. Популярность этого инструмента расчетов стремительно растет во всем мире и в Беларуси в частности.

Однако, предупреждают эксперты аналитического центра InfoWatch, с точки зрения безопасности платежные карты далеки от совершенства.

Исследователи пришли к такому выводу, проанализировав обнародованные данные об утечках платежных данных за 2004–2012 годы. «Авторы признают, что исследуемая выборка случаев утечек, обнародованных в СМИ, составляет незначительную (не более 1–5%) долю от реального количества утечек платежных данных, произошедших в мире. Однако данное исследование ориентировано на выявление наиболее общих трендов, что не предполагает повышенных требований к полноте выборки», – говорится в отчете аналитического центра.

То, что в данных, которые собрали специалисты, не фигурируют утечки платежных данных белорусов, с одной стороны – хороший знак. Это не говорит об их полном отсутствии (вспомним упомянутые выше 1–5%), однако практически полностью исключает вариант существования масштабной компрометации конфиденциальной информации такого рода.

К слову, в базе данных об утечках, формируемой специалистами InfoWatch, среди нескольких тысяч зарегистрированных инцидентов фигурирует соседняя Россия.

В целом выводы InfoWatch носят глобальный характер, и актуальны, как подчеркивают в аналитическом центре, для всех стран мира.

Сколько стоят у киберпреступников данные вашей банковской карты

«Для оплаты в интернете сама карта вообще не нужна – достаточно платежных данных. Эти данные – реквизиты карты, позволяющие осуществлять электронные платежи (номер и срок действия, фамилия и имя владельца, код CVC), – являются одним из наиболее «ликвидных» товаров на внутреннем рынке киберпреступности», – сообщается в отчете.

Эксперты ссылаются на данные исследования своих коллег – специалистов по онлайн-безопасности McAfee, выяснивших, что одна запись о банковской карте может стоить от $15 до 200, в зависимости от ее типа, наличия сведений о PIN-коде и балансе.

«Злоумышленники всего мира атакуют организации, оперирующие платежными данными – банки, розничные магазины, процессинговые компании, – стремясь заполучить как можно больше записей с данными пластиковых карт. Эти записи легко продать. Имея в распоряжении платежные данные, можно купить товары в интернете, изготовить поддельные карты и обналичить деньги через «дропперов» (преступников, обналичивающих похищенные денежные средства – ИФ)», – подчеркивают эксперты.

Платежные данные сравнительно легко раздобыть, отмечают авторы исследования: «Самый простой случай – официант в кафе фотографирует карту клиента в момент оплаты. Случай сложнее – направленная атака на операторов по переводу денежных средств с целью взлома информационной системы».

Небольшие компании, массово принимающие к оплате пластиковые карты (игровые сервисы, крупные оффлайн-ритейлеры), становятся излюбленной мишенью киберпреступников, – подчеркивают эксперты. У таких компаний в достатке имеются платежные данные, а уровень информационной безопасности ниже, чем, например, в банках: «Большинство «ритейлеров» фактически закрывает глаза на слабость собственных систем защиты платежных данных клиентов, не выполняя даже минимальные требования регулятора и допуская хранение и обработку платежных данных в своей информационной системе».

Аналитики InfoWatch прогнозируют, что если отношение ритейлеров к защите информации не изменится, в перспективе оно может привести к серьезным последствиям вплоть до подрыва доверия к системе платежных карт со стороны клиентов.

Чаще в утечке виноваты не хакеры, а сотрудники банков, магазинов и т.д. 

Внешние атаки широко освещаются в СМИ, каждый факт получает широкую огласку. Однако на практике причиной утечки платежных данных, по оценке InfoWatch, чаще является не внешняя атака, а действия сотрудников оператора по переводу денежных средств – хищение информации и последующее использование в собственных интересах.

Если для глобальной картины утечек считается нормальным распределение умышленных и неумышленных утечек в отношении 50 на 50, то для утечек платежных данных из коммерческих компаний характерно преобладание злонамеренных утечек, сообщили представители InfoWatch. «Особенно ярко это проявляется в отношении процессинговых компаний (75% злонамеренных), где доля случайных утечек совсем небольшая (19%). Аналогично в банковских организациях – 68% умышленных против 20% случайных («лишние» проценты относятся к случаям, когда характер утечки не определен – ИФ)», – говорится в отчете.

Ситуацию с низким процентом случайных утечек в банках эксперты объясняют тем, что это характерно для сегментов с высоким уровнем развития информационной безопасности. Требования регуляторов, с одной стороны, и понимание важности защиты данных клиента, с другой – обусловливают постоянное совершенствование систем защиты.

«Высокий процент умышленных утечек через давно известные и теоретически контролируемые каналы говорит о том, что данные организации излишне полагаются на технические средства защиты и уделяют недостаточно внимания мерам организационного характера, работе с психологией сотрудников», — добавляют эксперты.

В ряде случаев имеют место банальные ошибки – платежные и персональные данные клиентов оказываются скомпрометированными из-за невнимательности сотрудников департамента информационной безопасности, легитимных пользователей баз данных, веб-мастеров. «Доля случайных утечек платежных данных в банках и процессинговых компаниях невысока. Очевидно, что службы информационной и экономической безопасности в банковской сфере научились справляться с ошибками персонала с помощью технических средств защиты и контроля за перемещением данных», – отмечают авторы исследования.

«Самое неприятное, что от утечки платежных данных не застрахованы даже крупнейшие банки. В 2012 году в сообщениях СМИ о мошенничестве с пластиковыми картами и счетами клиентов фигурировали Bank of Montreal, Wachovia Bank, Credit Suisse, Barclays, Bank of America, Citibank, HSBC, JPMorgan Chase & Co, РайффайзенБанк», – подчеркивают авторы отчета.

Что может усилить безопасность платежей с использованием «пластика»

Несмотря на то, что противодействие внутренним нарушителям – одна из самых сложных задач информационной безопасности, аналитики InfoWatch отмечают, что ущерб от мошенничества с платежными данными все же можно снизить. Наиболее действенными, по оценке экспертов, были бы меры по решению проблемы, принятые на государственном уровне, – ужесточение требований к порядку обработки и хранения платежных данных.

Кардинальному изменению ситуации в лучшую сторону способствовало бы строгое выполнение участниками рынка правила PCI DSS, предписывающего не хранить платежные данные в информационных системах.

«Операторам по переводу денежных средств пора всерьез задуматься о том, как противодействовать внутреннему нарушителю, – добавили специалисты по безопасности. – Средства DLP могут с легкостью блокировать утечку номеров кредитных карт по маске, контролировать действия потенциальных нарушителей. Однако платежные данные утекают, средства DLP те же ритейлеры не используют. Такую ситуацию нельзя признать нормальной».

Низкий уровень защищенности пластиковых карт – обратная сторона преимуществ этого платежного инструмента, – резюмируют эксперты. – Идея «пластика» заключалась в том, чтобы осуществлять платежи практически мгновенно, в любом магазине, на любом интернет-сайте. Однако, выбирая между безопасностью и удобством клиента, регуляторы и компании, оперирующие пластиковыми картами, выбрали, к сожалению, удобство».

 Юрий Законников

Источник: www.interfax.by

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.