Компания MasterCard International 17 июня 2005 года сообщила о том, что в результате бреши в системе ИТ-безопасности ее партнера, отвечающего за обработку транзакций по кредитным картам, были скомпрометированы 40 млн. кредитных карт, выпущенных под всеми известными торговыми марками. Утечку допустила компания CardSystems Solutions. Эта компания обслуживает транзакции половины финансовых институтов и торговых организаций США, поэтому в ее распоряжении оказалась действительно огромная база данных.

Представленный случай с утечкой информации о владельцах платежных карт (держателях карт в терминах VISA и MasterCard) является ярким примером того, что может случиться, если не уделять достаточно внимания защите информации. Особенно если эта информация — финансовая. При этом такая утечка — явление достаточно обычное в случае с кредитными картами. Все мы время от времени слышим в новостях или читаем в интернете о том, как та или иная хакерская группировка крадет номера кредитных карт и данные о их владельцах. Возможно некоторым из читателей даже “посчастливилось” столкнуться с повторным получением банковской карты в связи с компрометацией предыдущей.

Данные о держателях карт являются ключевым элементом любой платежной системы. Имея доступ к этим данным можно свободно расплачиваться в электронных магазинах, пользоваться платными услугами в интернете, можно, в конце концов, нанести их на чистую магнитную полосу нигде не использовавшейся приобретенной на “черном” рынке карты. Пустые карты в банковской среде даже получили свое название — “белый пластик”.

Из всего вышесказанного понятно, что защита данных о держателях карт — дело чрезвычайно важное. От этого зависит финансовое благополучие рядовых граждан, репутация банка, обслуживающего карты, стабильность его бизнеса, честное имя платежной системы.

В реальности компании, имеющие доступ к данным владельцев карт — от интернет-магазина до межбанковского процессингового центра, не всегда могут, а главное, не всегда хотят самостоятельно обеспечить адекватную защиту информации о держателях карт. Понимая это, крупнейшие ассоциации платежных карт — VISA и MasterCard — стремятся принудить все финансовые организации, имеющие членство в ассоциации, соблюдать элементарные требования по безопасности. Результатом этого стремления стал общий стандарт VISA и MasterCard по безопасности данных держателей платежных карт — Payment Card Industry (PCI) Data Security Standard, который увидел свет в январе 2005 года. Еще задолго до этой даты каждая ассоциация платежных карт неоднократно разрабатывала требования по защите данных. Например, у VISA существовала программа CISP (Cardholder Information Security Program). Сейчас она превратилась в общий стандарт PCI Data Security, но название сохранилось, и web-ресурс http://usa.visa.com/cisp является источником всей информации о новом стандарте.

Стоит отметить, что все попытки стандартизации в области информационной безопасности в мире на сегодняшний день имеют или обязательно-запретительный характер или обобщенно-рекомендательный. Они или принуждают определенную группу участников рынка следовать строгим требованиям, пускай не всегда понятным и очень редко полезным самим компаниям, или создаются с целью упорядочить взаимоотношения между компаниями и внутри компаний, предлагая им в качестве результата следования требованиям стандарта определенную выгоду. К первому типу, например, относится большинство нормативных документов украинского регулирующего органа — ДСТСЗИ СБУ. Ко второму типу — международный стандарт ISO 17799, стандарт ISACA COBIT и рекомендации библиотеки ITIL.

Стандарт PCI Data Security Standard отличается и от первых и от вторых. Он организован в виде набора четких “инструкций к действию”. Его положения однозначно регламентируют шаги, которые должны предпринять службы безопасности организаций, каким-либо образом обслуживающих платежные карты, для того чтобы не допустить их компрометации и тем самым защитить свой бизнес и имидж платежной системы.

Стандарт PCI Data Security Standard предназначен для всех членов ассоциаций VISA и MasterCard, торговых организаций, обслуживающих карты этих платежных систем, и провайдеров услуг, которые хранят, обрабатывают или передают по своим сетям данные о держателях карт. Требования безопасности касаются всех системных компонент ИТ-инфраструктуры участвующих в обслуживании данных держателей карт или подключенных к таким компонентам. К этим компонентам стандарт относит межсетевые экраны, маршрутизаторы, коммутаторы, точки беспроводного доступа, другие сетевые устройства, web-серверы, базы данных, серверы аутентификации, трансляции имен (DNS), почты, фильтрации, определения точного времени, различного рода прикладные системы. Фактически перечисляя все компоненты ИТ-инфраструктуры, авторы стандарта тем не менее не забывают добавить, что этот список не является исчерпывающим. Организация, внедряющая у себя положения стандарта, должна применить его требования на все устройства, приложения и системы, имеющие отношение к процессам обработки данных держателей карт.

Требования стандарта, а их всего 12, разбиты на 6 групп, подразумевающих определенные комплексы мер по защите. Например, такой мерой может быть разработка политики безопасности или программа управления уязвимостями.

Самой главной частью данного стандарта является требование о создании и поддержке политики информационной безопасности. Несмотря на то, что авторы отодвинули это требование на двенадцатую позицию, политика безопасности является ключевым элементом системы защиты данных о держателях карт.

К сожалению, многие компании упускают столь важный шаг в построении систем защиты, как формализация требований по защите в документе “Политика информационной безопасности”. В результате получается так, что межсетевой экран настроен, система обнаружения атак работает, вирусам доступ в сеть надежно закрыт, а данные остаются уязвимыми, потому что никто не проводил анализ угроз и не пытался формализовать и оценить саму систему защиты.

Требование 12 стандарта PCI Data Security определяет необходимость не только создания политики информационной безопасности, но и регламентирует ее наполнение. Так обязательно должны быть расписаны обязанности и ответственность по защите информации внутри компании, все изменения в конфигурацию сети, серверов и приложений должны вноситься только с санкции руководства и службы безопасности, все способы доступа к данным держателей карт, кроме определенных политикой, должны быть запрещены. Каждый пользователь должен знать и соблюдать положения политики информационной безопасности. Свое согласие с этим требованием все пользователи должны выразить в письменном виде.

Важным требованием также является обязательное закрепление обязанностей по защите информации и следованию стандарту PCI Data Security на уровне договоров с подрядчиками и обслуживающими организациями. Подрядчики должны нести прямую ответственность за компрометацию данных о держателях карт, произошедшую по их вине.

Кроме политики информационной безопасности у компании, обслуживающей платежные карты, должен быть план реагирования на инциденты, который определяет процедуры, процессы, роли и ответственность, действующие при компрометации системы.

Особое внимание в стандарте уделяется настройке межсетевых экранов (файрволов). Организация обязана контролировать все входящие и исходящие сетевые соединения с сетью, в которой обрабатываются данные держателей карт. Такой контроль возможен только при использовании надежных средств фильтрации соединений, блокирования трафика, не являющегося необходимым для функционирования бизнеса, не разрешенного явно политикой безопасности. Все правила фильтрации и изменения в них должны проходить через формальный процесс документирования, согласования, утверждения и обязательной проверки. Рекомендуется использовать такие технологии, как SSL, SSH, VPN, демилитаризованные зоны (DMZ), NAT, PAT. Кроме того, правила файрволов должны регулярно пересматриваться и проверяться.

Второе требование стандарта указывает на довольно распространенную проблему систем защиты — пароли, учетные записи и параметры защиты, оставленные администраторами со значениями по умолчанию. Почти каждая программная и аппаратная система поставляется с некоторыми настройками, которые могут представлять уязвимость. Задача службы безопасности — определить формальный процесс ввода новых систем в эксплуатацию, который позволит удалить все учетные записи и пароли, установленные по умолчанию, перенастроить все заводские установки и устранить все возможные уязвимости. Это напрямую связано с разделением функциональности — когда на одном сервере работает не более одного системного или прикладного приложения (например, web-сервер, база данных, DNS), и с отключением излишней функциональности — когда удаляются все не использующиеся скрипты, драйверы, модули, файловые системы, конфигурации и т.д.

Подходы стандарта по защите хранящихся и передаваемых данных выражаются в требованиях не хранить пароли, PIN-коды и другие критичные данные, использовать методы хеширования, индексирования, ограничения длины хранящихся данных, шифрования, технологии SHA-1, Triple-DES, AES-256, SSL, PPTP, IPSEC, WPA.

При передаче данных о держателях карт через беспроводные сети рекомендуется использовать только технологию шифрования WPA (Wi-Fi Protected Access) и никогда не надеяться на надежность протокола WEP. Этот стандарт можно использовать только совместно с шифрованием на основе AES или 3DES с длиной ключа не менее 128 бит.

Для устранения потенциальных уязвимостей и предотвращения их использования злонамеренными программами или злоумышленниками стандарт предписывает установить на все компьютеры и серверы антивирусное программное обеспечение, следить за своевременной установкой программных “заплат”, контролировать все изменения, вносимые в конфигурацию систем, следовать принципам “безопасного программирования” при разработке собственных корпоративных и web-приложений.

Надежная защита информации всегда связана с ограничениями — ограничиваются способы хранения и обработки, ограничиваются методы шифрования, ограничивается доступ из внешних сетей. Также должен быть ограничен логический доступ пользователей и администраторов и физический доступ к оборудованию, базам данных, сетевой инфраструктуре. Эти ограничения определяются требованиями 7, 8 и 9, которые обязывают компании внедрять у себя надежную аутентификацию, авторизацию, контроль физического доступа, системы управления доступом, прописывать в корпоративной политике безопасности требования к парольной защите, правила создания, блокирования и удаления учетных записей в системах, порядок прохождения на охраняемую территорию посетителей, правила обращения с внешними носителями информации, порядок уничтожения информации. Во всех случаях доступ к важной информации, которой несомненно являются данные о держателях карт, должен предоставляться только тем лицам, которым такой доступ требуется для выполнения служебных обязанностей. Все остальные доступ к данным иметь не должны.

Для того чтобы убедиться в соответствии предпринятых мер требованиям стандарта и политики безопасности, необходимо определить формальный процесс для мониторинга системы защиты информации, мониторинга доступа и действий пользователей, тестирования компонентов системы защиты. Стандарт рекомендует регулярно проводить сканирование сети на наличие уязвимостей как изнутри, так и снаружи (ежеквартально), проводить тестирование на проникновение (не реже раза в год). Администраторы безопасности вручную или с помощью автоматизированных средств должны ежедневно просматривать все системные журналы, анализировать их на предмет инцидентов безопасности, которые могут привести к компрометации системы. Все журналы должны храниться минимум 1 год для доступа к ним аудиторов или рабочих групп по расследованию инцидентов.

Все эти требования изложены в стандарте PCI Data Security всего на двенадцати страницах, что делает этот стандарт одним их самых лаконичных. Кроме набора требований авторами стандарта были разработаны дополнительные документы, объясняющие его положения и определяющие процедуры, через которые необходимо пройти компании, решившей получить сертификат соответствия. Такими процедурами являются: сканирование сети, самостоятельная оценка и аудит, проводимый внешними консультантами. Причем компания может самостоятельно выбрать способ оценки соответствия, ориентируясь на требования ассоциаций Visa и MasterCard, разработанные для компаний различного масштаба. Выделяется четыре уровня соответствия для торговых организаций и три уровня — для провайдеров.

Для каждого уровня соответствия определяются свои требования к процедурам оценки соответствия стандарту. Так, для небольших организаций достаточно раз в квартал провести сетевое сканирование с помощью аккредитованного программного сканера из списка на https://sdp.mastercardintl. com/ vendors/vendor_list.shtml. Для крупных же организаций, обрабатывающих миллионы транзакций по платежным картам в год, потребуется более дорогостоящий аудит, на который надо приглашать внешних консультантов, аттестованных платежной ассоциацией. Список аттестованных аудиторов можно найти по ссылке http://usa.visa.com/download/business/accepting_visa/ops_risk
_management/cisp_Qualified_Data_Security_Company_List.pdf.
На сегодняшний день стандарт PCI Data Security работает только в США. Там его требования обязательны для исполнения всеми членами ассоциаций платежных карт, торговыми организациями и провайдерами. Для остальных регионов, включая Украину, порядок введения стандарта в действие находится в процессе доработки. Несмотря на это, уже определены основные этапы его внедрения в регионе CEMEA, к которому относится и наша страна. На первом этапе, который уже пройден, требуется соответствие положениям стандарта от всех эквайреров и торговых организаций, которые вовлечены в продажи через интернет (e-commerce). Торговые организации также должны использовать для организации платежей через интернет только аккредитованное ассоциацией программное обеспечение. На втором этапе разрабатываются специфические для нашего региона требования для аккредитации аудиторов, порядок оценки и сертификации процессинговых центров. На третьем, финальном этапе обязательства по соответствию стандарту будут распространяться уже на все банки, которые являются членами ассоциаций VISA и MasterCard, провайдеров, обслуживающих карточные транзакции, и торговые организации.

В заключение хочется отметить, что стандарт PCI Data Security, хоть и ориентирован на банковский и финансовый сектор, может с легкостью применяться в компаниях любого профиля и любого размера. Если компания серьезно занимается вопросами защиты своей информации и информации своих клиентов, стремится обеспечить высокое качество услуг или производства, ориентируется на лучшие отраслевые практики, то стандарт PCI Data Security является незаменимым инструментом для достижения высокого уровня безопасности. Нужно только найти время, выделить ресурсы или обратиться к профессиональному консультанту, который поможет оценить информационную систему компании с точки зрения безопасности, внедрить положения стандарта и тем самым защитить критичную информацию от злонамеренного вмешательства извне или изнутри компании.