PAYMENTSECURITY 2017: ключевые итоги форума
Присоединение платежной системы «Мир» к Совету PCI SSC
Пожалуй, одним из самых важных стал доклад генерального директора АО НСПК Владимира Комлева. Весной 2017 года Национальная система платежных карт (оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) и приняла стандарты, выпускаемые Советом, включая стандарт PCI DSS. По словам Владимира, платежная система «Мир» вступила в эту организацию не только как платёжная система, но и как представитель Российской Федерации в целом. С вступлением ПС «Мир» в Совет PCI SSC НСПК получает возможность использовать все существующие институты, созданные и развиваемые Советом, и, в том числе, признавать заключения QSA-аудиторов. «Мы не будем придумывать новые аудиты и создавать новые издержки для участников рынка», - заявил Владимир Комлев. В новых условиях отчеты об аудите будут отсылаться участниками рынка в сторону платежной системы «Мир» наравне с другими платежными системами, такими как VISA и MasterCard.
29 июня на площадке #PAYMENTSECURITY, в отдельном зале, состоялось заседание созданной при НСПК рабочей группы по представлению интересов Российской Федерации в Совете PCI SSC. В состав рабочей группы вошли представители всех российских QSA-компаний, а также представители НСПК. В этот раз в заседании принял участие Джереми Кинг (Jeremy King) – международный директор Совета PCI SSC. На заседании обсуждался проект дополнения к стандарту PCI DSS. Планируется, что на первом этапе это дополнение должно быть принято и введено в действие на уровне НСПК. На следующем этапе НСПК планирует вести работу с Советом PCI SSC по включению требований из этого дополнения в текст самого стандарта PCI DSS. Джереми положительно оценил инициативу рабочей группы и активно участвовал в обсуждении требований, включенных в проект дополнения. О проекте дополнения говорил и Владимир Комлев в своем докладе. По его словам, ожидается, что в этот документ будут включаться только точечные и выверенные предложения по адаптации международных стандартов PCI к российской практике и требованиям российских регуляторов, «без переписывания 382-П целиком».
Глобальная безопасность платежей
Джереми Кинг традиционно выступил на #PAYMENTSECURITY с наиболее актуальной информацией о состоянии платёжной безопасности в мире. Он рассказал о беспрецедентном росте масштабов мошенничества, связанного с удаленными методами оплаты (card-not-present): c 220,9 млн. фунтов стерлингов в 2011 году до 432,3 млн. фунтов стерлингов в 2016 году. Совет активно противодействует возрастающим угрозам. В последнее время выпущено множество руководств по различным аспектам обеспечения безопасности платёжных технологий: по облачным вычислениям, виртуализации, беспроводным технологиям, противодействию скиммингу, повышению осведомленности и оценке рисков – все они доступны на сайте Совета. Относительно новый стандарт PCI P2PE, призванный сократить область применимости PCI DSS в среде торгово-сервисных предприятий и снизить издержки на защиту карточных данных, набирает популярность. На данный момент в мире сертифицировано уже 33 P2PE-решения и 69 P2PE-приложений. Кроме того, в Совете ведется активная разработка в области обеспечения безопасности бесконтактных платежных технологий.
По словам Джереми, Совет PCI SSC всерьез занят пересмотром подходов к защите данных в среде мелких торгово-сервисных предприятий, на долю которых приходится существенное количество фактов компрометации карточных данных. Можно ожидать, что в ближайшие годы мы увидим результаты этой работы, в том числе и в новых способах подтверждения соответствия требованиям PCI DSS, применимых к интернет-магазинам.
Джереми заявил, что Совет PCI SSC гордится присоединением к нему платежной системы «Мир» в качестве аффилированного члена. Он уверен, что совместная работа организаций усилит безопасность карточных платежей. Джереми отметил факт принятия и публикации Советом PCI SSC официального русскоязычного перевода стандарта PCI DSS и поблагодарил Ассоциацию АБИСС за качественно выполненный перевод.
Новое в стандартах безопасности PCI
Кристина Андреева – QSA-аудитор компании Deiteriy – рассказала об основных нововведениях в стандартах PCI и о том, к чему всем следует подготовиться до 1 февраля и 30 июня 2018 года. Основные тезисы:
- Тестирование на проникновение в целях проверки сегментации по стандарту PCI DSS следует выполнять не реже 1 раза в 6 месяцев, а не раз в год, как это было ранее. Требование применимо только к поставщикам услуг. Требование вступает в силу с 1 февраля 2018 года.
- Необходимо иметь в компании документацию, описывающую применяемые в целях PCI DSS криптографические решения. Требование применимо только к поставщикам услуг. Требование вступает в силу с 1 февраля 2018 года.
- Не позднее 30 июня 2018 года все компании, к которым применимы требования стандарта PCI DSS, должны полностью отказаться от применения устаревшего протокола SSL любых версий, а также протокола TLS устаревшей версии 1.0. Это весьма болезненное требование, поскольку до сих пор в мире используется довольно много устройств, не поддерживающих современные версии протоколов шифрования, таких как TLS версии 1.2.
- В новые листы самооценки SAQ версии 3.2 Советом PCI SSC включено больше требований из стандарта PCI DSS, чем было в их предыдущих версиях. Например, в листе самооценки SAQ-A появились некоторые элементарные требования к безопасной конфигурации веб-сервера, что особенно актуально для интернет-магазинов, применяющих технологию iFrame или переадресацию покупателя на страницу платежного шлюза для ввода карточных данных.
- Советом PCI SSC выпущено несколько новых пояснительных документов, в частности документ о сегментации, документ о мультифакторной аутентификации и документ о безопасности электронной коммерции.
- Официальный русскоязычный перевод стандарта PCI DSS версии 3.2, выполненный Ассоциацией АБИСС и компанией Deiteriy, теперь доступен на сайте Совета по адресу https://ru.pcisecuritystandards.org.
О мире киберпреступности
Алексей Лукацкий в своем докладе «Становление финансовой корпорации «Киберкрайм и сыновья»: от подворотни до транснационального гиганта» на живых примерах и цифрах рассказал о современном состоянии черного хакерского рынка. Киберпреступность, по утверждению Алексея, - это хорошо организованное сообщество, жестко подчиненное одной цели – заработать. И для этой цели выбираются лучшие из представленных на рынке бизнес-моделей, которые не просто копируют, а иногда и превосходят то, что происходит в легальном бизнесе. Ведь киберпреступники не скованы никакими ограничениями. Им не надо платить налоги, получать лицензии и проходить проверки. Они динамичны, скрытны и умны. И чтобы с ними бороться, надо это понимать.
Поможет ли искусственный интеллект в борьбе с мошенничеством?
Два практических доклада были посвящены теме машинного обучения и применения искусственного интеллекта для борьбы с мошенничеством в платёжной индустрии – это доклады Дмитрия Петухова и Рустэма Хайретдинова. По мнению Рустэма, безоглядное применение алгоритмов, ассоциированных с искусственным интеллектом в системах информационной безопасности, лишь ради модного тренда, может скорее ухудшить эффективность систем защиты. Применять машинное обучение и глубокое обучение стоит только там, где они могут уменьшить количество ложных срабатываний сравнительно с системами с обратной связью. Эффективны системы с элементами искусственного интеллекта там, где они могут заменить человека в рутинных операциях: защита веб-приложений, противодействие мошенничеству, реагирование на инциденты информационной безопасности и др. Каждая из описанных задач требует отдельного подхода, подготовки данных и настройки своих алгоритмов, поскольку эти системы очень чувствительны к доле ложных срабатываний, которые могут быть приемлемы, например, при распознавании лиц, но катастрофичны при решении задач ИБ.
54-ФЗ и онлайн-кассы
1 июля 2017 года – непростая дата для участников российского рынка электронной коммерции. Согласно требованиям относительно нового федерального закона №54-ФЗ, все они должны начать применять онлайн-кассы и предоставлять покупателям электронные чеки в момент совершения покупки. С одной стороны, это весьма болезненно для рынка: требование есть, его соблюдение стоит денег, технологии для его реализации только начинают появляться, а в формулировках от регуляторов многое пока непонятно, и есть вопросы, на которые регуляторы пока не дают ответов. С другой стороны, это новый рынок не только для производителей кассовой техники, но и для поставщиков онлайн-сервисов, которые могут избавить интернет-магазины от хлопот по реализации требований и предложить им облачные онлайн-кассы как сервис с удобным интерфейсом подключения и посильной абонентской платой. А главное – онлайн-кассы избавляют интернет-магазины от обязанности отправлять каждому покупателю бумажный чек о покупке, которой, в прочем, ранее многие пренебрегали.
Как рассказал Олег Седов – ведущий круглого стола «Что принес платежной отрасли 54-ФЗ» – ему не пришлось использовать ни один из заранее заготовленных вопросов к докладчикам, поскольку вопросов из зала оказалось более, чем достаточно. Диалог по этой теме получился горячий и конструктивный, из чего можно сделать предположение, что рано или поздно рынок её освоит и научится работать в условиях обязательного применения онлайн-касс.
По материалам оргкомитета PAYMENTSECURITY