В течение ближайших двух недель Совет по стандартам безопасности данных PCI должен принять новый стандарт PCI Data Security Standard версия 3.2. Нововведения коснутся всех участников финансового рынка, имеющих отношение к сетям передачи данных банковских карт. Согласно новым правилам, доступ к картам будет предоставляться только при соблюдении требований многофакторной аутентификации.
Своими комментариями по новой версии стандарта поделился представитель Совета PCI Трой Лич, который отвечает за технологическую часть. По его оценкам, новый стандарт позволит решить многие накопившиеся проблемы, связанные с защитой персональных данных.
Тема многофакторной аутентификации касается в первую очередь перехода финансовой сферы на использование банковских карт, оснащенных чипом EMV. Если оценить ситуацию на рынке, то еще полгода назад, в сентябре 2015 г., уровень распространения чипованных карт был далек от идеального.
По данным Visa, к этому моменту времени она выпустила эмитировать 151,8 млн. карт (22% от общего объема эмитированных компанией) с поддержкой чипа EMV. Годом раньше их было всего 20 млн. — рост на 655% за последний год можно считать успехом.
Состояние дел у MasterCard немного лучше. В настоящее время 40% эмитированных ею банковских карт поддерживают технологию EMV. За прошедший год количество финансовых транзакций, совершенных с использованием карт MasterCard с чипованной защитой, выросло на 446%.
Как отметил Лич, внедрение новой версии стандарта PCI DSS не предусматривает одномоментный переход на многофакторную аутентификацию. Совет PCI предусмотрел необходимость существования переходного периода, который продлится 18 месяцев. За это время участники рынка должны успеть тщательно подготовиться для работы в новых условиях. Им потребуется внимательно спланировать свои инвестиции.
Новый стандарт также расширит полномочия администраторов защищенных сетей. Они смогут вносить необходимые изменения в настройки как сетевых систем, так и сопутствующих элементов сетевой инфраструктуры, если это необходимо чтобы избежать возможной компрометации передающей среды. Ответственность за управление сетями может быть возложена на штатных сетевых администраторов, находящихся в подчинении руководству управляющей компании, и на сторонние компании.
Как отметил Трой Лич, выход нового стандарта PCI DSS произойдет с опережением традиционного графика. До сих пор Совет PCI строго придерживался следующего правила: новая версия стандарта выпускалась один раз в три года, а официальный анонс приходился на IV квартал завершающего года. Нынешний анонс состоится более чем на полгода раньше.
«Внеочередной выпуск новой версии стандарта PCI DSS, — объяснил Лич, — это сигнал для отрасли. В ней намечены серьезные изменения, связанные с переходом на новые стандарты шифрования, о чем было объявлено в конце прошлого года. Для их внедрения потребует много времени, но приступать к работе надо немедленно».
Речь идет об отказе от использования протоколов SSL-шифрования и TLS-представления данных. В последнее время стремительно нарастали сомнения в их полной надежности. Бреши в безопасности появились несколько лет назад. Однако реальным ударом по их репутации стало публичное обнародование этой информации. Эти события произошли в течение последних двух лет.
Первая из уязвимостей, о которой стало широко известно — Heartbleed. Она связана с возникновением ошибки при переполнении буфера в криптографическом компоненте OpenSSL. Используя эту брешь, злоумышленники могут получить возможность для несанкционированного чтения содержимого памяти на сервере или клиенте. При удачном стечении обстоятельств они могут извлечь закрытый ключ сервера и получить полный доступ к сохраненной информации.
Инициализация ошибки для проведения атаки Heartbleed может происходить через любой элемент сетевой инфраструктуры, в том числе через сетевые принтеры. Каждый из этих элементов может оказаться уязвимым для вторжения, потому что на подготовку и установку заплаток в драйверах требуется время.
Еще одна серьезная уязвимость, о которой стало известно в последние годы — это Poodle. Она позволяет злоумышленникам считывать пользовательские данные, защищенные средствами SSL 3.0. Самым неприятным оказалось то, что уязвимость затронула спецификацию протокола. Это позволило ей распространиться на все реализации SSL 3.0 — от свободной OpenSSL до всех коммерческих библиотек, поставляемых с ОС.
Эти события привели к тому, что специалисты по безопасности, в частности, Национальный институт стандартов и технологий США, сошлись во мнении, что необходимо срочно отказываться от применения протокола SSL как устаревшего. В результате ими была согласована дата полного отказа от SSL. Этой датой был назван июнь 2016 года.
«Но оказалось, что выдержать намеченные сроки затруднительно, — заявил Лич. — Это связано с рядом технических и организационных проблем, возникающих при внедрении новых систем в финансовой отрасли. Поэтому потребовалось скорректировать дату окончания поддержки SSL».
В соответствие с новым стандартом PCI DSS 3.2, SSL будет поддерживаться вплоть до 2018 г. Но поскольку многие участники рынка до сих пор не знают о переносе даты, было решено выпустить новую версию стандарта раньше срока, не дожидаясь ноября 2016 г.