17 августа 2012, 16:17
Количество просмотров 172

PCI DSS и реальная безопасность платежных карт

Максим Кузин, к.т.н., преподаватель кафедры Информационная безопасность банковских систем НИЯУ МИФИ  Данная статья, в основу которой...
PCI DSS и реальная безопасность платежных карт


Максим Кузин, к.т.н., преподаватель кафедры Информационная безопасность банковских систем НИЯУ МИФИ


Компрометация данных платежных карт: что, где, когда?

В 2009 г. компания Verizon Business, специализирующаяся на комплексных решениях в таких областях, как IT, IT-безопасность, связь и сетевые решения, опубликовала отчет о компрометации данных «2009 Data Breach Investigations Report» по результатам расследования 150 инцидентов в 2008г., связанных с компрометацией данных. По 90 инцидентам (60%) информация о компрометации оказалась подтвержденной. Именно эти факты и статистика, собранная и обработанная с 2004 по 2007 г., легли в основу проведенного исследования [1].

Среди компаний, подвергшихся атакам, 31% относится к предприятиям розничной торговли и услуг, 30% – к сфере финансовых услуг, 14% – предприятия отрасли общественного питания, по 6% – производство, бизнес-услуги и гостиницы. Всего в результате успешных атак оказались скомпрометированы 285 млн записей, представляющих собой отдельные элементы данных, таких как номер платежной карты или данные по конкретному счету, персональные данные клиента, учетная запись в некоторой системе и т.д.

Основные выводы данного исследования [2] выглядят следующим образом:

1. Подавляющее большинство (93%) скомпрометированных данных относится к финансовому сектору.

2. Данные держателей платежных карт скомпрометированы в 81% инцидентов и составляют 98% от общего числа скомпрометированных данных.

3. С использованием вредоносного ПО была связана треть всех атак и 9 из 10 записей, оказавшихся скомпрометированными.

4. По сравнению с 2007г. число специализированных вредоносных программ увеличилось более чем в 2 раза, причем 85% скомпрометированных данных из общего числа в 285 млн были получены с использованием таких программ.

5. Сложные по реализации атаки позволили злоумышленникам получить доступ к 95% скомпрометированных данных, намеренные атаки на выбранные системы – к 90%.

6. Данные, находящиеся в сетевом доступе (online), были скомпрометированы в 94% атак и составили 99,9% от общего количества скомпрометированных данных.

7. Суммарная величина скомпрометированных данных в 2008 г. превосходит общее число скомпрометированных данных за предыдущие четыре года, при этом 93% скомпрометированных данных относятся всего лишь к пяти крупным инцидентам.

Полный текст статьи читайте в журнале ПЛАС Дайджест’ 2009 сc. 16 - 18

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube