Разделы

Цифровизация ИТ в банках

9 проблем соответствия стандарту PCI DSS

Результаты исследования показали, что 32% компаний, имеющих дело с данными о владельцах банковских карт, не имеются четкой политики информационной безопасности, 12,6% - используют простые пароли для доступа к ИС, 15,3% передают данные о держателях платежных карт в незашифрованном виде по электронной почте.

Компании, которые обрабатывают, передают или хранят данные о владельцах банковских карт, обязательно должны обладать средствами контроля и управления безопасностью в соответствии с требованиями стандарта PCI DSS. Специалисты компании WatchGuard Technologies провели исследование, в котором участвовали1000 компаний России, стран СНГ и Восточной Европы. По результатам этого исследования определились 9 основных проблем реализации требований стандарта. И рекомендовали, как этих проблем можно избежать.

Отсутствие четкой политики по информационной безопасности

Чтобы соответствовать требованиям стандарта PCI DSS, компании обязаны создать четкую политику информационной безопасности, которая должна включать правила по операционной безопасности, использованию систем, управлению безопасностью и многое другое. У 32% респондентов она полностью отсутствует.

Обезьяна или дракон?

12,6% респондентов указали, что при доступе к информационным ресурсам очень часто используются простые пароли, которые система имеет по умолчанию. Они легко могут быть скомпрометированы. При начальной настройке межсетевого экрана необходимо все эти пароли изменить. Согласно недавно опубликованным данным, наиболее распространенными паролями являются: слова "Пароль", "Обезьяна", "Дракон"; простые наборы цифр и букв 123456, 1234567, 12345678, abc123; стандартное расположение букв на клавиатуре, такое как "QWERTY"; жаргонизмы Letmein, trustno1.

Попытки защитить данные о владельцах банковских карт при отключенной IPS-системе или ее отсутствии

8,1% из опрошенных отметили, что одной из главных проблем является отсутствие системы предотвращения сетевых вторжений (IPSIntrusion Prevention System). Существует несколько способов обеспечения безопасности данных владельцев банковских карт. Система IPS является одной из ключевых технологий защиты, про которую часто забывают. Для хакеров IPS то же, что антивирус для вирусов. Система блокирует попытки хакеров проникнуть в систему и помогает надежно защитить данные о владельцах банковских карт. Для обеспечения максимальной защиты конфиденциальной информации систему IPS необходимо всегда держать в активном режиме.

Передача данных о владельцах банковских карт в незашифрованном виде через открытые сети общего пользования

15,3% компаний сказали, что зачастую данные о держателях платежных карт передаются в незашифрованном виде через обычную электронную почту. Подобные действия могут привести к краже и нарушению конфиденциальности ценной информации. Для того чтобы этого не произошло, при передаче данных рекомендуется всегда использовать шифрование, в особенности шифрование электронной почты, что является ключевым компонентом для соответствия требованиям стандарта PCI DSS.

Открытый доступ к данным о владельцах банковских карт

По мнению 10,2% компаний, приблизительно 80% всех нарушений правил безопасности происходят по вине сотрудников компании. Имея беспрепятственный доступ к конфиденциальной информации, они могут спокойно использовать ее в личных целях, что подвергает данные о держателях пластиковых карт высокому риску. Чтобы уменьшить количество нарушений, компании должны использовать "правило наименьшего количества привилегий". Пользователям необходимо предоставлять доступ к минимальному числу ресурсов, необходимых для работы. Если же доступ к данным не ограничен, это может привести к утечке данных о держателях банковских карт. В таких случаях рекомендуется использовать модель RBAC (контроль доступа на основе "ролей"), разделение обязанностей и другие формы "правила наименьшего количества привилегий". Выполнение правил даст компании уверенность в том, что пользователи имеют доступ только к тем данным, которые им действительно необходимы.

Нарушение правил установки и конфигурирования межсетевого экрана

6,3% опрошенных отметили, что большинство нарушений правил безопасности – результат неправильной настройки межсетевого экрана. Вывод – настройку должны осуществлять только сертифицированные технические специалисты. Кроме того, необходимо регулярно проводить аудит настройки межсетевых экранов, поскольку ИТ-ресурсы и информационная среда компании постоянно меняются.

Отсутствие антивирусных систем или нерегулярное обновление антивирусных баз

6,9% опрошенных отметили, что отсутствие шлюзового антивируса мешает им полностью соответствовать требованиям PCI DSS. В отличие от антивирусного программного обеспечения, которое используется на пользовательских рабочих станциях, шлюзовой антивирус блокирует угрозы на периметре сети. Шлюзовой антивирус – это дополнительный уровень защиты информационных ресурсов и конфиденциальных данных. Его важным преимуществом является то, что антивирус работает на периметре сети, а не на рабочей станции. Таким образом, производительность локальных компьютеров пользователей не снижается. Чтобы добиться максимального уровня защиты, нужно использовать шлюзовой антивирус вместе с дополнительным антивирусным программным обеспечением, установленным на пользовательских станциях.

Отсутствие системы контроля и управления приложениями

5,1% респондентов используют устаревшие межсетевые экраны, которые не способны отличить web-приложения от web-сайтов. В ответ злоумышленники часто создают специальные web-приложения, которые позволяют им "обойти" межсетевой экран и украсть данные о владельцах банковских карт. В связи с этим подходить к задаче защиты информационных ресурсов компании нужно комплексно и использовать для этого межсетевые экраны нового поколения, которые обладают функционалом контроля и управления приложениями.

Отсутствие системы контроля и управления доступом к сетевым ресурсам и данным о владельцах банковских карт

Некоторые компании (3,5%) не совсем правильно понимают принцип сетевой безопасности "Установил и забыл" (Set it and Forget it). После того как межсетевой экран установлен в сеть, сотрудники компании забывают о нем и перестают проверять отчеты системы безопасности, что совершенно неверно. Многие нарушения политик безопасности можно достаточно легко блокировать, для этого достаточно на регулярной основе проверять отчеты и журналы системы безопасности.

Марк Романо