Ассоциация производителей банкоматов (ATM Industry Association) и Совет по разработке стандартов безопасности индустрии платежных карт (PCI Security Standarts Council) выступили с совместным официальным заявлением на тему прекращения обеспечения технической поддержки операционной системы Windows XP 8 апреля корпорацией Microsoft.
«Все в индустрии задаются вопросом, будут ли банкоматы, использующие XP, соответствовать стандартам безопасности PCI DSS после завершения поддержкисистемы», — отметил генеральный директор ATMIA Майк Ли.
Стандарт PCI Data Security Standard Version 3.0, вступивший в силу 1 января, предоставляет действенную основу для разработки надёжного процесса защиты информации с платёжных карт, в том числе предотвращения, обнаружения и соответствующей реакции на инциденты.
Он применяется к любой организации, хранящей, передающей или обрабатывающей данные держателей карт. Пункты требований PCI DSS 6.1 и 6.2 обращают отдельное внимание на необходимость поддержки актуальности систем посредством направленных против известных уязвимостей обновлений от разработчика.
«В ситуации, когда операционные системы не поддерживаются, обновления, способные защитить системы от новых уязвимостей, могут быть недоступны, — сказал Трой Лич, технический директор PCI SSC. — Пунктам 6.1 и 6.2 требований PCI DSS невозможно соответствовать без, как минимум, использования дополнительных механизмов контроля».
Существует возможность применить дополнительные механизмы контроля, направленные на предотвращение рисков, связанных с работой неподдерживаемой операционной системы, и обеспечить соответствие смыслу требований. Чтобы механизмы дополнительного контроля были эффективны, они должны защищать систему от уязвимостей, которые могут привести к эксплуатации неподдерживаемого программного кода.
По информации с официального сайта Совета PCI, отдельные элементы контроля могут быть объединены, чтобы внести свой вклад в общий механизм дополнительного контроля. Некоторые примеры включают: активный мониторинг системных журналов и сетевого трафика; правильно настроенные белые списки приложений, позволяющие запускаться только доверенным системным файлам; изолирование неподдерживаемых систем от других систем и сетей.
Эти примеры могут дополнять полный механизм дополнительного контроля, но сами по себе они не могут обеспечить достаточной безопасности. Кроме того, если неподдерживаемая операционная система имеет доступ в интернет, это может быть обнаружено и автоматически классифицировано как не соответствующая требованиям в процессе сканировании утвержденным поставщиком сканирования на соответствие.
Обнаружение неподдерживаемых операционных систем при сканировании должно быть отдельно рассмотрено в соответствии с разделом «Addressing Vulnerabilities with Compensating Controls» в руководстве по ASV.
Для получения помощи и консультаций на тему дополнительных механизмами контроля и определения, насколько каждое конкретное применение этого метода соответствует требованиям PCI DSS, организациям следует обращаться к компаниям, представляющим PCI DSS в вопросах безопасности.
«Сейчас идет множество разговоров о прекращении поддержки Windows XP компанией Microsoft, — рассказал Станислав Шевченко, технический директор SafenSoft. — Подавляющее большинство банкоматов работает под управлением именно этой операционной системы, и банки серьезно обеспокоены заявлением о прекращении поддержки Windows XP с 8 апреля. Много внимания к сложившейся ситуации уделяется компаниями PCI SSC и ATMIA, которые определяют параметры для сертификации системы банкоматов на предмет безопасности. Однако стоит разделять вопросы получения сертификата соответствия требованиям PCI SSC и непосредственно обеспечения безопасности. С точки зрения сертификации, я думаю, PCI SSC необходимо переработать сертификационные документы в связи с решением Microsoft о прекращении поддержки Windows XP, несмотря на то, что они уже выпустили новую версию совсем недавно, в конце прошлого года. Сертифицирующие компании однозначно должны считаться со сложившейся ситуацией. Вопрос, связанный с безопасностью непосредственно банкоматов, можно решить с помощью использования операционной системы Windows Embedded, поддержку которой Microsoft продлил до 2019 года, а также развития дополнительных систем контроля, что, опять же, рекомендовано стандартом PCI SSC. Отдельно хочется отметить, что в требованиях PCI SSC указана необходимость использования антивирусного ПО, однако сейчас известны и реализованы другие принципы защиты, например, использование белых списков. Такой подход нельзя назвать антивирусным, так как это — технология, обеспечивающая защиту. Это несоответствие в формулировках создает серьезные проблемы реализации соответствия требованиям PCI SSC для банков и еще раз указывает на необходимость актуализации имеющихся документов».