Платежные сети ритейлеров – легкая цель для взломщиков

Payment Card Industry Security Standards Council (Совет по разработке стандартов безопасности индустрии платежных карт) собирается обновлять стандарты безопасности PCI Data Security Standard. Атаки на платёжные сети с использованием вредоносного кода обращают на себя особенное внимание Совета, сообщил Джереми Кинг (Jeremy King), возглавляющий PCI SSC в Европе.

Взломы в розничных сетях демонстрируют уязвимости в стандартах безопасности PCI по всему миру, считает Кинг. «Преступники до сих пор с лёгкостью вторгаются в чьи угодно системы», - говорит он в интервью Information Security Media Group. «Самая главная проблема для нас сейчас – это слабые пароли. Киберпреступникам ради взлома таких систем далеко ходить не надо».

Атаки на сети – не единственный вызов, с которой сталкиваются эмитенты банковских карт и торговцы по всему миру, добавляет Кинг. Новые платёжные технологии, такие как мобильные и интернет-транзакции, добавляют проблем даже в тех областях рынка, где транзакции с использованием ПИН-кодов и чипов давно являются стандартом. «Мы наблюдаем повышенный интерес к мобильной коммерции, и всё больше розничных продавцов в Европе хочет объединения интернет-платежей и обычных покупок», - продолжает он свою мысль.

Даже в случае соответствия стандартам Europay, Mastercard и Visa продавцы должны учитывать риски компрометации данных на карточках, считает Кинг. «EMV – не панацея для информационной безопасности, - объясняет он. – Эти стандарты, конечно же, отлично работают в случае обычных покупок и предотвращают мошенничество на месте, но они не покрывают транзакции, в которых карта не присутствует физически, как, например, в интернет-платежах».

Непрерывное шифрование способно повлиять на снижение риска потери информации при расчётах без физического присутствия карты, но продавцы всё равно должны постоянно следить за тем, чтобы их методы хранения и передачи данных с карт не увеличивали вероятность компрометации данных держателей карт, уточнил Джереми Кинг.

«К сожалению, в этой области кибермошенники обходят стандарты безопасности на каждом шагу, - рассказывает Денис Гасилин, руководитель отдела маркетинга SafenSoft, компании-разработчика решений для информационной безопасности устройств самообслуживания и банков. – В то время как участники рынка только-только начинают действовать против киберугроз сообща, преступники уже давно находятся в режиме постоянного международного обмена опытом. Разработка и внедрение новых стандартов безопасности зачастую, к сожалению, крайне запоздалый ход. И, естественно, внедрение любого стандарта по безопасности не способно уберечь от нестандартной, целевой атаки, направленной на конкретную организацию или сеть. Свежий пример тому – заражение вредоносным кодом сети POS-терминалов в Луизвиле, Кентуки, которое было обнаружено только в апреле этого года, спустя два месяца после начала атаки, и привело к компрометации сотен счетов кредитных и дебетовых карт – и это после трёх лет, в течение которых подобной атаке подверглось более 150 ресторанов Subway. Если участники рынка не начнут максимально плотно обмениваться опытом в области угроз информационной безопасности и не начнут применять проактивные технологии защиты на всех уровнях ИТ-инфраструктуры – этот процесс будет длиться вечно».