“За четыре года, прошедшие со времени первой конференции, уровень зрелости российских компаний существенно вырос, они перестали пугаться нового для них стандарта, а многие уже сертифицировались по PCI DSS”, — заявил в своем выступлении на IV международной конференции по безопасности платежных систем PCI DSS Russia 2013 директор компании Digital Security Илья Медведовский. Данный стандарт был разработан и принят в 2006 г. советом Payment Card Industry Security Standards Council, учрежденным ведущими международными платежными системами Visa, MasterCard, American Express и др. Он включает 12 базовых требований, которым должны удовлетворять продукты и услуги всех субъектов платежных систем, включая эмитентов карт и обслуживающих их банков, торговые, сервисные и иные организации. Соответствие стандарту подтверждается сертификатом, получению которого предшествует аудит и сканирование сетей, выполняемые независимой авторизованной организацией. Вопросы подготовки и прохождения сертификации и были в центре внимания форума.
В своем двухчасовом докладе руководитель департамента аудита банков и платежных систем компании Digital Security Павел Федоров подробно осветил многие детали процесса подготовки к аудиту и сертификации. Особое внимание он обратил на необходимость жесткого контроля за данными о владельце карты, поскольку отдельные их элементы нередко остаются незащищенными. По словам вице-президента MasterCard по вопросам борьбы с мошенничеством Майкла Грина, 90% компаний хранят данные такого рода, которые на самом деле для ведения операций им не нужны. Павел Федоров порекомендовал даже проводить сканирование всех незашифрованных файлов, присутствующих в ИС, и, если в них обнаруживаются номера кредитных карт, безжалостно их удалять.
Надо сказать, аудитория оказалась весьма дотошной, и некоторые вопросы загоняли докладчика в тупик. К примеру, как быть, если процессы, связанные с защитой информации платежных карт, меняются в организации достаточно часто, а аудит — согласно требованиям PCI DSS — проводится лишь раз в год? Совет Павла Федорова в этой ситуации сводился к тому, что при обновлении какого-либо процесса защищенность данных не должна уменьшаться. Правда, кто это будет проверять и подтверждать, не совсем ясно.
Слушая отдельные выступления, трудно было отделаться от мысли, что на первом месте в списке приоритетов у многих компаний стоит собственно факт получения сертификата, а не реальная гарантия защищенности данных. В частности, директор департамента контроля информации банка SIAB Валерий Кобак, обратил внимание на то, что из всех банковских подразделений меньше всего мотивированы на внедрение стандарта PCI DSS сотрудники ИТ-отдела, которым приходится вносить существенные изменения в ИС и согласовывать свои действия со службой безопасности, но реально на их финансовых результатах (в отличие от других департаментов) это никак не сказывается. В SIAB проблему решили, приведя процессы ИТ-депаратамента в соответствие с требованиями ITIL и Cobit, благодаря чему многие требования PCI DSS стали выполняться автоматически.
Обращает на себя внимание тот факт, что докладчики на конференции являлись представителями банков, платежных систем, поставщиков средств защиты и консалтинговых фирм, но среди них не было потребителей этих продуктов и услуг — торговых и сервисных организаций, принимающих карточные платежи. А ведь согласно требованиям PCI DSS их системы должны быть защищены столь же надежно. Иначе оборона будет преодолена в самом слабом звене, сколь бы хорошо ни были защищены банковские системы.
Как рассказал Майкл Грин, стандарт PCI DSS постоянно развивается, что, в частности, связано с широким распространением мобильных устройств, используемых в роли платежных терминалов. К сожалению, защищены они крайне слабо. Этот тезис подкрепляется и результатами исследования защищенности мобильных банковских приложений для платформ Android и iOS, проведенного компанией Digital Security. Полностью безопасным не было признано ни одно из них, а в первой десятке оказались в основном приложения кредитных учреждений второго ряда. Лидером на обеих мобильных платформах было признано приложение банка SIAB, а к примеру, ПО “Сбербанка” заняло “почетное” восьмое место только на платформе iOS. Возможно ситуацию исправит выпуск в конце прошлого — начале нынешнего года серии стандартов PCI Mobile Payment Acceptance Security Guidelines, о котором сообщил Майкл Грин.
Еще одна активно развивающаяся технология — виртуализация, хотя и не имеет прямого отношения к PCI DSS, также требует самого пристального внимания со стороны финансовых учреждений, поскольку ее безопасность по настоящему не гарантирована. Этой теме посвятил свое выступление начальник отдела методологического обеспечения безопасности Банка России Андрей Выборнов. В данной организации инициирована работа, призванная сформулировать требования к виртуализованным системам в плане безопасного применения в финансовой сфере. На первых порах требования эти будут предъявляться только к информационным системам самого ЦБ РФ, но не исключено, что впоследствии они станут обязательными для всех кредитных учреждений. Сегодня, как убежден Андрей Выборнов, виртуальные среды еще не пригодны для развертывания в них наиболее ответственных приложений. Одна из основных причин в том, что ни один популярный гипервизор не сертифицирован отечественными регулирующими органами.