Журнал ПЛАС » Мнения экспертов » 54 просмотра

Компрометация карточных данных. Как ее избежать сегодня?

Несмотря на то что в сфере банковских операций и услуг, связанных с платежными картами, происходит постоянное развитие технологий, достаточно одной утечки карточных данных, чтобы клиенты начали сомневаться в безопасности компании. Ни для кого не секрет, какой ущерб репутации наносят публикации в СМИ о произошедших утечках карточных данных. Юлия Данилова, инженер по защите информации компании Deiteriy, рассказывает о том, как защитить свой бизнес от компрометации карточных данных и что делать, если утечка все же произошла

Данная статья будет полезна прежде всего специалистам информационной безопасности и тем, кто заинтересован в организации эффективной СМИБ (системы менеджмента информационной безопасности). Описанные процедуры соответствуют требованиям международного Стандарта безопасности данных индустрии платежных карт (далее – стандарт PCI DSS). Внедрение этих процедур в компании поспособствует успешному прохождению сертификации по требованиям стандарта PCI DSS.

На сайте платежной системы Mastercard можно ознакомиться с рекомендациями по управлению инцидентами, связанными с компрометацией данных платежных карт (“Account Data Compromise Event Management Best Practices”). Mastercard подробно описывает стратегию реагирования на инциденты и меры по снижению рисков возникновения неблагоприятных событий. Данные рекомендации относятся к организациям, работающим с данными платежных карт либо влияющим на их безопасность, например, к поставщикам услуг эквайринга и эмиссии, центрам обработки данных, а также к торгово-сервисным предприятиям, принимающим оплату картами. Ряд ключевых тезисов данного документа я и предлагаю рассмотреть в настоящей статье.

Перед описанием предлагаемых процедур безопасности необходимо понять, что и от чего мы защищаем. В таб. 1 приведен перечень данных платежных карт, являющихся объектом защиты согласно стандарту PCI DSS.

Таб. 1. Виды данных платежных карт, являющихся объектом защиты согласно стандарту PCIDSS

Данные платежных карт, как и любую критическую информацию, необходимо защищать от несанкционированного доступа или незаконного раскрытия – т. е. компрометации. Современные злоумышленники не заинтересованы в краже платежной карты непосредственно у ее владельца. Куда эффективнее проникнуть в инфраструктуру финансовой компании и получить данные сразу значительного количества платежных карт. Очень важно, чтобы сами компании эффективно реагировали на такие инциденты и делали все возможное для предотвращения компрометации данных платежных карт.

Реагирование на инциденты

Группа реагирования

Компании, которые обеспечивают передачу, обработку или хранение карточных данных, должны быть готовы к быстрым и эффективным действиям в случае возникновения инцидента. Подготовка к эффективному реагированию на инциденты начинается с создания группы реагирования. Группа реагирования на инциденты – команда профессионалов, обладающих достаточным опытом и знаниями для расследования инцидентов информационной безопасности. Необходимы знания различных направлений: финансовые и юридические аспекты банковской системы, администрирование сетей и систем, мониторинг событий информационной безопасности, анализ рисков и многие другие направления. Создавать группу нужно заранее, а не тогда, когда инцидент уже произошел.

Следует разделить обязанности таким образом, чтобы за каждым членом группы были закреплены определенные функции. Невозможно достичь эффективного и производительного труда без его правильного разделения между сотрудниками и подразделениями компании. В группу реагирования на инциденты рекомендуется включить:

  • руководителя группы;
  • специалиста информационной безопасности;
  • специалиста службы поддержки клиентов;
  • специалиста по управлению рисками;
  • специалиста финансового отдела.

Для решения вопросов на уровне законодательства, бизнеса и общественности в группу реагирования также рекомендуется включить:

  • юриста;
  • представителя руководства компании;
  • представителей регулирующих органов (если применимо);
  • специалиста по связям с общественностью.

Конечно, такой широкий состав группы реагирования более уместен для крупных организаций со сложной организационной структурой. На приведенный перечень стоит смотреть скорее как на перечень необходимых компетенций, и формировать группу из имеющихся в компании работников. Групп реагирования может быть несколько, в зависимости от возможных видов инцидентов.

Цикл управления инцидентами

Для эффективного реагирования на инциденты в компании должен быть реализован системный подход к управлению инцидентами информационной безопасности (см. рис. 1).  Процесс управления инцидентами можно разделить на четыре этапа:

  1. подготовка мероприятий по реагированию;
  2. обнаружение и анализ;
  3. сдерживание, устранение инцидента и восстановление работы систем;
  4. определение мер по повышению безопасности.

Рис.1. Процесс управления инцидентами

Подготовка мероприятий по реагированию

Сотрудникам необходимо знать, что они должны делать в случае возникновения нештатной ситуации. Поэтому на этапе подготовки мероприятий по реагированию на инциденты необходимо разработать планы реагирования на наиболее вероятные типы инцидентов. Рекомендуется организовать работу группы реагирования на инциденты, в ходе которой будут рассмотрены распространенные и вероятные векторы атак и проанализированы уже произошедшие инциденты. В результате должен быть сформирован перечень возможных типов инцидентов, для которых необходимо разработать планы реагирования. В таких планах должны быть указаны члены группы реагирования, согласно ролям, приведенным выше, и основные действия по реагированию.

Важно отразить в планах реагирования следующую контактную информацию:

  • контакты для связи с членами группы реагирования;
  • контакты для информирования платежных систем и регуляторов, в зависимости от типа инцидента;
  • контакты компаний, которые могут помочь при устранении и расследовании инцидента. Например, консультанты в области информационной безопасности, специалисты в области тестирования на проникновение (пентестеры), компьютерные криминалисты, лаборатории по восстановлению поврежденных данных.

Для удобства приведу в таб. 2 ниже контактные данные некоторых платежных систем, предназначенные для подачи информации об инцидентах информационной безопасности:

Таб. 2. Контакты платежных систем, предназначенные для подачи информации об инцидентах ИБ

Для остальных международных и национальных платежных систем контакты можно найти в правилах платежных систем.

Просто написать планы реагирования недостаточно, их необходимо регулярно тестировать. Во-первых, таким способом работники начинают лучше понимать свою роль в данном сценарии. Во-вторых, так можно выявить недочеты.

Помимо тестирования планов реагирования необходимо следить за осведомленностью работников в области информационной безопасности. Для множества инцидентов причиной возникновения является человеческий фактор. В связи с этим очень важно предоставлять работникам внутренние или внешние ресурсы для обучения и постоянного развития.

Обнаружение и анализ инцидентов

Компания должна быть готова к инцидентам, возникающим из-за наиболее вероятных векторов атак. Разные типы инцидентов требуют различных стратегий выявления и реагирования. Например, для выявления вредоносной активности в сети организации необходимо четко понимать, какой трафик для данной сети является нормальным. Тогда любые отклонения от нормы будут сразу определены и обработаны как инциденты.

О возникновении атак могут свидетельствовать следующие события:

  • повторяющиеся безуспешные попытки входа в систему в короткие сроки;
  • несогласованная активность, регистрируемая в журналах аудита;
  • несогласованная активность в нерабочее время;
  • ID неизвестных пользователей или нестандартные для данной системы команды, найденные в журналах аудита;
  • несогласованное повышение прав доступа, регистрируемое в журналах аудита;
  • сообщения в журналах аудита веб-приложений, свидетельствующие о попытках эксплуатации типовых уязвимостей веб-приложений, например, SQL-инъекции;
  • атаки типа «отказ в обслуживании» (DoS и DDoS) или нарушения работы веб-служб;
  • сбои системы по неустановленным причинам;
  • необъяснимые добавления или изменения файлов, изменения имен файлов или удаление данных в информационных системах;
  • появление подозрительных файлов в информационных системах, например, зашифрованных файлов, скрытых файлов, файлов .zip, .rar, .7z и других файлов неустановленного назначения, либо файлов, содержащих данные платежных карт;
  • обнаружение анализаторов трафика (sniffers), программного обеспечения, регистрирующего действия пользователя (keylogger), сканеров памяти устройств (memory scrapers) или иных программ, часто используемых злоумышленниками;
  • обнаружение инструментов удаленного доступа, неиспользуемых в компании или неиспользуемых конкретно на тех компонентах информационной инфраструктуры, на которых они обнаружены;
  • автоматический запуск неопознанных приложений при перезагрузке системы;
  • несогласованные сетевые подключения (входящие или исходящие) к IP-адресам в интернете, а также несогласованная передача файлов;
  • сигналы тревоги о срабатывании системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS), правил блокирования пакетов на межсетевом экране и предупреждения антивирусного программного обеспечения;
  • сбои в процессе осуществления платежей.

Если группа реагирования предполагает, что инцидент имеет место, необходимо выполнить первичный анализ и определить затронутую область (сегмент сети, системы, приложения и даже помещения, если речь о физической атаке), инструменты и методы атаки. В результате такого анализа следует определить следующие этапы по сдерживанию и обработке инцидента.

Все действия, принятые в процессе выявления инцидента и его последующей обработки, должны быть задокументированы.

Сдерживание, устранение инцидента и восстановление работы систем

В случае возникновения инцидента необходимо обеспечить оперативное выполнение мероприятий по его сдерживанию. Для этого понадобятся компетенции всех членов группы реагирования, которые должны будут оперативно спланировать необходимые мероприятия и организовать их исполнение.

В целях эффективного реагирования на инцидент может потребоваться выполнить следующие действия:

  • определить атакующие или зараженные серверы, рабочие станции или приложения;
  • ограничить доступ в интернет затронутым системам;
  • продолжать отслеживать весь трафик в сети;
  • воздержаться от любых действий, которые могут уничтожить или изменить информацию, выступающую в качестве свидетельств при расследовании инцидента;
  • обеспечить безопасное хранение свидетельств;
  • оповестить все затронутые инцидентом третьи стороны, например, платежные системы, регуляторов, клиентов;
  • провести анализ защищенности для выявления существующих уязвимостей.

Во время устранения инцидента важно определить все затронутые устройства и системы, чтобы избежать повторной атаки. Для восстановления работы систем компания должна выявить все изменения, возникшие вследствие инцидента, и спланировать работы по возвращению систем к исходному состоянию. Например, может потребоваться выполнить следующие действия:

  • использовать резервные копии систем или восстановить их с нуля;
  • заменить скомпрометированные файлы;
  • установить обновления безопасности;
  • сменить скомпрометированные пароли, сертификаты и другие аутентификационные данные;
  • удалить появившиеся учетные записи;
  • изменить, добавить или удалить правила межсетевого экранирования.

Силами группы реагирования на инцидент следует определить и зарегистрировать следующую информацию:

  • размер нанесенного ущерба;
  • количество скомпрометированных карт отдельно по каждой платежной системе;
  • типы карточных данных, которые были скомпрометированы (содержимое магнитной полосы или чипа (TRACK), проверочное значение (CVC2/CVV2/ППК2), ПИН-код или ПИН-блок, номер карты (PAN), дата окончания срока действия карты (EXPIRATION DATE), имя держателя карты (CARDHOLDER NAME), сервисный код);
  • иные скомпрометированные данные, например, персональные данные (паспортные данные владельца карты, адрес, адрес электронной почты, дата рождения и другие данные);
  • критичные системы, которые были повреждены или скомпрометированы во время атаки;
  • необходимость и способ уведомления пострадавших держателей платежных карт и СМИ.

Незамедлительно (в течение 24 часов) следует сообщить о случившемся инциденте в платежную систему, данные которой скомпрометированы, или в банк-эквайрер.

Меры по повышению безопасности

Информация, полученная в результате расследования инцидента, должна использоваться для повышения безопасности информационной инфраструктуры компании. Если в ходе анализа инцидента не удалось установить реальные причины его возникновения, то высока вероятность повторения подобного инцидента в будущем.

Для повышения эффективности реагирования на инциденты необходимо регулярно тестировать принятые в компании процедуры и вносить в них соответствующие изменения.

Снижение рисков возникновения инцидентов

Кроме знания различных способов, с помощью которых злоумышленники могут получить доступ к платежным картам, компании должны понимать, как правильно обрабатывать потенциальные уязвимости информационной инфраструктуры и приложений. В инфраструктуру любой компании периодически вносятся изменения в работу приложения, сети или в конфигурации компонентов. К тому же рост количества пользователей обязательно приводит к расширению инфраструктуры: добавлению устройств, учетных записей, приложений, сетевых каналов и т. д. Все эти действия повышают вероятность возникновения новых уязвимостей и рисков. В целях снижения рисков необходимо обеспечить выполнение как минимум следующих процедур по шести направлениям:

  1. Инфраструктура
  • Фильтрация трафика. При этом межсетевые экраны должны разрешать входящий и исходящий трафик только надежным и необходимым для бизнеса соединениям.
  • Использование систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), средств антивирусной защиты.
  • Регулярный мониторинг журналов аудита таких систем, как межсетевой экран, SIEM, средства антивирусной защиты, IPS/IDS.
  • Регулярная установка обновлений безопасности на компоненты информационной инфраструктуры для закрытия уязвимостей.
  • Регулярное тестирование на проникновение с целью выявления уязвимостей.
  • Отключение или удаление учетных записей по умолчанию, установленных поставщиком.
  • Изменение паролей по умолчанию, установленных поставщиком, на новые сложные пароли.
  • Применение многофакторной аутентификации для административного доступа к области обработки и хранения карточных данных.
  • Строгий контроль удаленного доступа для сторонних поставщиков услуг.
  • Незамедлительное оповещение ответственных сотрудников обо всех аномальных событиях.
  1. Физическая безопасность
  • Периодические проверки на подмену либо несанкционированное изменение конфигурации POS-терминалов и устройств ввода ПИН-кода.
  • Внедрение антискимминговых технологий на банкоматах и POS-терминалах.
  • Установка камер видеонаблюдения в местах использования касс, POS-терминалов и банкоматов.
  • Проведение инвентаризации устройств (рабочие станции, серверы, сетевые устройства, ноутбуки, POS-терминалы, банкоматы), которые хранят, передают или обрабатывают данные платежных карт.
  • Ограничение доступа к помещениям, где расположено критичное оборудование.
  • Хранение бумажной документации с конфиденциальной информацией в запираемых сейфах или иных местах ограниченного доступа.
  1. Система менеджмента информационной безопасности
  • Выполнение оценки рисков.
  • Распределение обязанностей и зон ответственности между работниками компании и третьими сторонами.
  • Периодическое повышение осведомленности сотрудников о видах мошенничества и возможных атаках.
  • Обмен информацией между сотрудниками об известных уязвимостях в программном и аппаратном обеспечении.
  • Регулярный пересмотр порядка действий при реагировании на инциденты.
  • Регулярное проведение аудита соответствия требованиям стандарта PCI DSS квалифицированным аудитором со статусом QSA.
  • Применение устройств с поддержкой PIN-кода (POS-терминалы и банкоматы) только сертифицированных по требованиям стандарта PCI PTS.
  1. Социальная инженерия
  • В компании должна быть разработана политика в отношении публикации внутренней информации в общедоступных социальных сетях и на иных медиасайтах.
  • Для работников компании необходимо проводить обучение по вопросам угроз фишинга (например, рассылки вредоносных программ и URL-адресов по электронной почте).
  • На почтовые шлюзы следует установить средства антивирусной защиты и защиты от спама.

Сторонние поставщики услуг

Перед началом взаимодействия с новыми поставщиками услуг важно собрать как можно больше информации о такой организации. Многие пострадавшие финансовые организации даже не подозревают, что злоумышленник проник в их инфраструктуру через средства удаленного доступа для третьей стороны. Иначе говоря, если сторонний поставщик услуг не обеспечивает информационную безопасность на должном уровне, нападение может произойти именно через его информационную инфраструктуру.

Чтобы снизить данные риски, важно изначально ознакомиться с политикой информационной безопасности сторонней компании и убедиться в соответствии требованиям международных стандартов, таких как PCI DSS.

При выдаче права доступа третьей стороне для удаленного подключения к инфраструктуре необходимо удостовериться в использовании безопасных технологий и многофакторной аутентификации.

Осведомленность держателей карт

Компании должны выделять ресурсы для обучения методам обеспечения информационной безопасности своих сотрудников, продавцов, сторонних агентов, поставщиков услуг. Помимо этого рекомендуется сосредоточиться на повышении осведомленности самих держателей карт. Следует рекомендовать держателям карт:

  • вводить данные своих платежных карт только на доверенных сайтах и доверенных устройствах;
  • проводить регулярные проверки платежных счетов;
  • сообщать о подозрительных событиях в банк-эмитент;
  • использовать надежные пароли для онлайн-банкинга;
  • использовать инструменты сетевой безопасности, такие как антивирус и межсетевой экран.

Важно предоставлять образовательную информацию о текущих тенденциях мошенничества, таких как фишинг и скимминг, и о том, что делать, если держатель карты стал жертвой мошенников.

P.S.

В заключение хотелось бы еще раз акцентировать внимание на таком очевидном и вместе с тем ключевом тезисе, что все стороны, задействованные в процессе обработки платежей, должны обеспечивать безопасность данных платежных карт. Основой защиты данных платежных карт является постоянная бдительность и мониторинг. Обязательным для финансовых организаций является не только однократное достижение соответствия требованиям стандарта PCI DSS, но и постоянное поддержание такого соответствия, с помощью регулярного выполнения процедур безопасности, внутренних и внешних аудитов. Любое изменение в системе или несоблюдение определенной политики приводит к возникновению рисков. Следовательно, обеспечение безопасности данных платежных карт является непрерывным процессом, требующим постоянного внимания.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных