Многие аналитики, а также эксперты по защите информации, в течение последних нескольких месяцев буквально забросали Сеть фразами «стандарту PCI DSS приходит конец». Дошло до того, что по запросу «PCI DSS» в Google первой появлялась ссылка на запись в блоге западного специалиста в области безопасности под названием «Смерть PCI DSS». Почему возникла паника? Что послужило причиной такого ажиотажа?
 |
Gartner назвал 2008 г. «самым уязвимым» за последнее десятилетие. Причин тому несколько. В это время особенно активно рос уровень киберпреступности во всем мире. Также можно отметить ряд очень громких и крупных утечек информации: тон событиям задавали американская розничная сеть Hannaford и подразделение Королевского банка Шотландии, RBS WorldPay. Но, безусловно, наибольшее внимание общественности привлек недавний случай с Heartland Payment Systems.
О чем говорят цифры?
В ноябре прошлого года одной из крупнейших компаний, предоставляющих услуги для банков и розничных сетей (процессинг, хранение и многие другие), Heartland Payment Systems, пришлось признать компрометацию порядка 150 млн платежных транзакций с соответствующими персональными данными клиентов. Методов взлома называли несколько, но официальным каналам эта информация не сообщалась. Наиболее вероятным инструментом было заражение вредоносным ПО системы управления базами данных предприятия.
При чем тут PCI DSS (Payment Card Industry Data Security Standard)? Дело в том, что в марте 2008 г. Heartland получила сертификат соответствия требованиям стандарта. Именно наличие этого документа и последующее происшествие дали повод общественности усомниться, работает ли стандарт и стоит ли тратить время и ресурсы на подобные проекты. Многие участники рынка задались вопросом: «Почему Heartland не подала в суд на аудитора, который выполнял процесс сертификации?».
Прежде чем ответить на вопрос о целесообразности и эффективности требований стандарта PCI DSS, давайте немного поговорим о статистике. Verizon Business RISK team, уважаемая в отрасли аналитическая компания, в своем отчете 2009 Data Breach Investigations Report приводит весьма любопытные сведения. Следует отметить, что отчеты данной команды представляют ценность благодаря методу сбора информации – она поступает исключительно от компаний, которые подверглись компрометации данных, и непосредственно после подобных инцидентов. В последнем отчете эксперты утверждают, что наибольший рост среди способов, приводящих к утечкам информации, демонстрируют мошенничество (внутреннее), взлом злоумышленников, эксплуатация небезопасного или вредоносного ПО и некорректное использование информационных ресурсов. Нового ничего, но факт остается фактом. В этом же документе приведен интересный анализ уровня соответствия отдельным положениям стандарта PCI DSS компаний, подвергшихся компрометации. Общая картина удручающая, и некоторые моменты хочется выделить особо. В части обеспечения защиты хранимой информации (требование № 3) показатель соответствия составил около 11%, в части безопасности приложений и систем (требование № 6) и в вопросах мониторинга доступа к сетевым ресурсам и важным данным (требование № 10) – по 5%. Из всего этого напрашивается вывод, что можно было вообще ничем не заниматься и иметь такой же уровень соответствия.
Другое масштабное исследование утечек за 2008 г., проведенное компанией InfoWatch, засвидетельствовало, что среди всевозможной информации, которая интересует злоумышленников, лидирующее положение (97%) занимают именно персональные данные, а не какие-либо ноу-хау, государственные или коммерческие тайны. На персональные данные и рассчитан PCI DSS, но, как показала практика, наличие этого сертификата не препятствует утечкам…
Стоимость недопонимания
Означает ли все это, что механизмы стандарта неэффективны или не работают вовсе? Отнюдь. По всей видимости, причина кроется в неверном понимании PCI DSS. Уже столько написано и сказано по этому поводу (в том числе и на сайте программы безопасности Visa AIS), но повторимся еще раз: стандарт PCI DSS – это комплекс норм «соответствия» (compliance), а не обеспечения информационной безопасности. В его основу положены лучшие отраслевые практики (ISO 27001/27002), но сам документ содержит требования для контроля, а не защиты. Именно этот факт и позволяет найти ответ на вопрос «Почему Heartland в итоге не подала иск на своего аудитора?». Представьте себе, что в понедельник в 9 утра вы получили сертификат соответствия PCI DSS. В дружеской обстановке распивается бутылка шампанского, и все идут на рабочие места. Администратор локальной сети открывает протокол, который удобен ему для работы, но считается небезопасным с точки зрения стандарта. Таким образом, всего за 15–20 минут ваша компания теряет фактическое соответствие требованиям данного документа. Именно поэтому крайне важно воспринимать сертификацию по PCI DSS не как проект, а как процесс, который необходимо построить и который будет функционировать круглый год, от сертификации к сертификации.
Нельзя забывать и об аудиторе, компании, обладающей статусом QSA (Qualified Security Assessor) и предлагающей услуги сертификации. В нынешнем году сообщество платежных систем PCI Security Standards Council, создавшее стандарт, ужесточило контроль качества выполнения работ сертифицированными аудиторами. Как результат, уже за I квартал три компании потеряли свой статус и находились в состоянии переквалификации. Проблема заключается в разнице в подходах к выполнению проектов в разных фирмах. К сожалению, отдельные аудиторы смотрят сквозь пальцы на несоответствие требованиям и выдают сертификаты направо и налево. В США в свое время даже существовала организация, которая за $500 продавала подобные документы. Такой вариант может показаться приемлемым для компаний, полагающих, что имиджевые потери и риск утечки информации им не грозят. Но ведь уважающая себя фирма, которая заботится о своих клиентах, вряд ли станет так рисковать. Вот почему ведущие в своих отраслях компании со всей дотошностью и требовательностью подходят к выполнению проектов по сертификации.
Открывающиеся перспективы
Основываясь на различных точках зрения, имеющих отношение к PCI DSS, можно сделать ряд предположений. Прежде всего, ожидается развитие стандарта в направлении обеспечения безопасности СУБД. Горький опыт Heartland показал, что данный вопрос весьма актуален. Наряду с этим необходимо будет уделять внимание управлению уязвимостями в информационных активах (в связи с участившимися атаками злоумышленников эта проблема выходит на первый план). Наиболее эффективным для решения таких задач является построение процесса управления уязвимостями, который опирался бы на определенное технологическое решение. Для заблаговременного обнаружения и устранения возможных уязвимостей требуются наличие комплекса адекватных мер и эксплуатация системы автоматизации.
Еще одно прогнозируемое направление развития стандарта связано с аутсорсинговыми услугами и новыми моделями построения информационных инфраструктур. Скорее всего, в следующих версиях PCI DSS появятся определения понятий «ПО как услуги» (Software-as-a-Service) и «облачных» вычислений (cloud computing). В настоящий момент данные положения больше нужны западным компаниям, чем представителям отечественного бизнеса, но все же стоит готовиться к тому, что стандарт будет регламентировать требования для использования услуг, предоставляемых третьими сторонами.
Наконец, основным направлением станет интеграция PCI DSS со стандартом PA DSS (Payment Application Data Security Standard). Последний, являясь «братом» первого, устанавливает требования к используемым компаниями платежным приложениям. В нашей стране о нем практически никто сейчас не говорит, но в Соединенных Штатах Америки Visa USA уже определила дату, к которой все организации, хранящие, обрабатывающие и передающие персональную информацию держателей платежных карт, должны начать использовать в своей работе ПО, сертифицированное на соответствие стандарту PA DSS. Поэтому при выборе платежного приложения уже сейчас стоит обратить внимание на эту особенность и обезопасить себя от головной боли в дальнейшем.
В заключение хотелось бы все же ответить на вопрос из заголовка. Со стандартом ничего не случилось. Сейчас проходит абсолютно естественный этап формирования данной области. И во избежание множества проблем при получении сертификата компаниям стоит посоветовать заручиться поддержкой внутри организации и привлечь внешнего консультанта (именно консультанта, а не аудитора), который сможет оказать квалифицированную помощь в реализации данного начинания.
e-mail автора: [email protected]