Дорогие уроки по защите данных

Утечка данных о кредитных картах, которые хранились в информационных системах Global Payments, не стала самой крупной в истории подобных происшествий.

Исполнительный директор компании через три дня после первых сообщений об утечке уточнил, что злоумышленники получили доступ к 1,5 млн записей данных Track 2.

Как успокоили представители компании, имена держателей карт, номера их телефонов и адреса остались нетронутыми. И хотя аналитики обсуждают и большие цифры — от трех до десяти миллионов скомпрометированных карт — скорее всего, потери от инцидента не станут сокрушительными для компании.

На слуху цифры ожидаемых потерь в районе 9 млн USD, а это не так уж много на фоне обеспеченного провайдером в прошлом году объема транзакций (более 120 млрд USD). Для сравнения напомним, что к крупнейшим относят такие утечки данных у процессинговых операторов, как взлом CardSystems Solutions в 2005 году. Тогда были похищены данные 40 млн карт. А также хищение 130 млн платежных карт компании Heartland Payment Systems в конце 2008-начале 2009 года, когда ущерб составил порядка 140 млн USD. Кстати, если говорить о размере ущерба, а не только о количестве похищенной информации, то неприятности Heartland Payment Systems тоже не рекордные. В 2005-2007 годах TJX из-за утечки данных 45,6 млн карт потеряла до 250 млн USD.

На фоне происшествий прошлых лет событие, как видим, не чрезвычайное, особенно если учесть объемы транзакций этого провайдера. Тем не менее, инцидент привлек к себе внимание, а крупнейшая платежная система Visa отказалась от сотрудничества с Global Payments. Visa удалила компанию из списка совместимых и надежных сервис-провайдеров, о чем на следующий же день сообщил The Wall Street Journal. Чтобы подчеркнуть значимость этого, отметим, что Heartland Payment Systems сегодня присутствует в List of Compliant Service Providers. Представители MasterCard заявили, что сами наняли спецслужбы по информационной безопасности для расследования инцидента. JPMorgan Chase & Co, а также American Express и Discover сообщили о своем намерении промониторить счета клиентов и выпустить новые карты для тех, чья информация, возможно, была украдена. Citigroup Inc заявила, что не была уведомлена процессинговыми компаниями о нарушениях. Банк America Corp отказался от комментариев по данному вопросу, а Wells Fargo & Co заявили, что слишком рано говорить о каких-либо результатах. Причину столь пристального внимания к инциденту отметило агентство Reuters — мы имеем дело с первым масштабным событием такого плана в текущем году. К тому же, инцидент произошел после относительно спокойных последних лет.

diagr-1

В прошлом году компания Verizon совместно с Секретной Службой США и Национальной группой по борьбе с кибер-преступностью Нидерландов представила на всеобщее обозрение свой масштабный отчет об IT-безопасности, кибер-преступности и рисках за последние годы в мире. Отчет представляет обзор ситуации последних семи лет, включая 1700 нарушений с участием более 900 миллионов украденных карт. Исследование Verizon показало, что потеря данных в результате кибер-атак существенно сократилась в 2010 году, но общее число нарушений было выше, чем когда-либо. Отсутствие в 2010 году столь крупных инцидентов, как у Heartland Payment Systems привело к тому, что число скопрометированных учетных записей пользователей резко сократилось с 144 млн в 2009 году до 4 млн в 2010 году и составило самый низкий объем потерь данных с момента запуска исследовательского проекта.

По мнению исследователей, причиной таких тенденций стала изменившаяся тактика злоумышленников. Они решили собирать, образно говоря, низко висящие плоды, используя простейшие методики проникновения в организации. Впрочем, число нарушений безопасности снова резко возросло в 2011 году и составило более 174 млн случаев, что связано, скорее, с увеличением количества кибер-преступных групп в мире.

Самыми распространенными видами преступлений за отслеживаемый период были взлом (50%) и вредоносные программы (49%).

Как итог, из доклада Verizon можно отметить следующие пункты:
— Количество масштабных нарушений за 7 лет резко сократилось. Среди возможных причин нужно отметить то, что в настоящий момент средние и малые предприятия представляют собой главные цели кибер-преступников.
— Большинство организаций, подвергшихся атакам и взломам, не соответствовали стандарту безопасности PCI DSS.
— 92% данных нарушений были вызваны внешними источниками.
— Отмечается подъем количества нападений с применением физических мер.
— Отмечается высокая степень автоматизации внешних атак.

Столь пристальное внимание к инциденту с Global Payments и резкая реакция Visa, скорее всего, стали следствием того, что у данного процессингового оператора были сконцентрированы данные пользователей различных платежных систем и множества эмитентов. Ведь после совсем спокойного 2010 года в прошлом году крупнейшие атаки были на отдельные, пусть и крупнейшие в своих отраслях, компании — Citibank и Sony. Citibank пострадал в середине 2011, достоянием хакеров стали имена владельцев платежных карт, их контактная информация и номера счетов. Инцидент затронул около 1% от 21 млн пользователей системы. А у Sony злоумышленники украли личную информацию 77 миллионов зарегистрированных пользователей PlayStation Network.

Было бы несправедливо обсуждать лишь далекие от нас неприятности, хотя “хвастаться” масштабом, к счастью, пока нет причин. Из недавних примеров вспомним — в конце 2010 года злоумышленники взломали сайт онлайн-процессинговой компаний Рунета ChronoPay. В течение двух дней сотни ничего не подозревающих пользователей при посещении сайта перенаправлялись на поддельную страницу ChronoPay, в результате чего злоумышленники украли около 800 номеров и CVV-кодов карт клиентов.

В Украине количество случаев мошеннических операций по платежным картам растет. Как сообщили в Национальном банке, за 2011 год количество мошеннических операций выросло до 7,6 тыс по сравнению с 2,9 тыс в 2010, а сумма потерь составила 9,1 млн грн ($1,1 млн) против 6,3 млн грн ($784 тыс). Больше всего неправомерных операций было совершено с платежными картами Visa, которые являются лидерами на рынке — в 2011 году их количество составило 5735 шт., а объем убытков по ним — 6,22 млн грн ($774 тыс). Проблемные ситуации с картами MasterCard случались в два раза чаще, чем в 2010 году — их количество составило 1883 операции, а объем потерь оценивается в 2,84 млн грн ($353 тыс).

Материалы по теме