Лев Фисенко Информзащита
Лев Фисенко: «Если вы владелец успешно работающего бизнеса, то есть вероятность, что вы подвергнетесь целенаправленной атаке»

По словам Льва Фисенко, директора департамента «Информзащиты» по работе с финансовыми организациями, наиболее опасными для компаний в 2013 году были целенаправленные атаки. Защититься от них непросто, а угрозу они представляют немалую.

В частности, именно из-за таких атак в прошлом году произошло несколько крупных утечек данных платежных карт из терминалов ряда американских торговых сетей — Target, Neiman Marcus и некоторых других. Как показало расследование, атака на Target была целенаправленной и проводилась через портал для партнеров и сервер работы c POS-терминалами. Троянец был загружен на POS-терминалы, работающие под управлением Windows, и собирал данные платежных карт из памяти программы, обрабатывающей платежи, а затем отправлял их злоумышленникам. Атаки были выполнены практически одновременно против нескольких торговых сетей, но при этом нет никаких доказательств, что все они проведены одной группой. Очевидно одно — хакеры научились устанавливать троянские программы на POS-терминалы, что чревато увеличением числа подобных инцидентов в будущем.

После проведения атак платежные системы очень озаботились безопасностью уже и торговых сетей, которая оставляет желать лучшего. По словам Алексея Бабенко, руководителя направления компании «Информзащита», стандарт PCI DSS был создан именно для того, чтобы обеспечить безопасность покупок в магазинах с помощью пластиковых карт. Изначально предполагалось, что защитой торговых предприятий должны заниматься банки, которые их обслуживают. На деле же банки с трудом привели в соответствие со стандартом собственные сети и транслировать требования PCI DSS обслуживаемым ими магазинам уже не решаются — лишние расходы могут отпугнуть клиентов.

В то же время крупные торговые сети все чаще подключаются напрямую к платежным системам, создавая собственные процессинговые центры. В этом случае торговая сеть не зависит от действий банка и не платит тому комиссию при обслуживании платежных карт, но ей приходится соблюдать все требования платежной системы, в том числе выполнять и требования по PCI DSS. Примером может служить такой крупный ретейлер, как «Ашан»: он уже прошел проверку на соответствие требованиям PCI DSS. Вполне возможно, что другие крупные сетевые торговые предприятия также будут стремиться к обеспечению защиты своих информационных систем.

Впрочем, Target, из которого была совершена утечка данных, также имел сертификат PCI DSS; правда, выяснилось, что некоторые требования стандарта были нарушены, и это позволило злоумышленникам подключиться извне к системе управления POS-терминалами. А стандарт, если точно исполнить его предписания, позволит построить достаточно надежную систему безопасности. В этом году вступила в силу очередная версия стандарта PCI DSS 3.0 — все новые системы должны сертифицироваться уже по ней. При этом вполне возможно, что платежные системы будут более жестко настаивать на выполнении требований PCI DSS именно от торговых организаций.