Блог

PCI Middle East Forum 2016

Автор: Кристина Андреева

С 6 по 7 апреля в прекрасном городе Дубай Объединенных Арабских Эмиратов проходил PCI Middle East Forum 2016 (PCIMEF), в котором приняли участие и эксперты компании Deiteriy, Кристина Андреева и Петр Шаповалов, оба практикующие QSA-аудиторы Компании.

Дубай встретил нас полночной теплотой, долгим паспортным контролем и полным отсутствием какой-либо возможности подключения к Интернету во время долгого пребывания в аэропорту. PCIMEF обещал начаться уже ранним утром 6 апреля, и мы надеялись, что он будет таким же жарким, как и погода в Дубае.

И мы не ошиблись. Вступительное слово, по традиции взял Джереми Кинг, директор по международным отношениям Совета PCI SSC, который не первый год подряд акцентирует внимание на командном духе и настрое не только аудиторов, но и всех организаций, чья деятельность косвенно или же напрямую связана с обработкой карточных данных. Эти вдохновляющие слова, сказанные с трибуны, имеют успех, ни один форум не проходит без того, что в перерыве между докладами рядом с Джереми всегда можно увидеть большое количество экспертов из различных организаций и поучаствовать в интересных обсуждениях различных актуальных вопросов безопасности и международного сотрудничества.

Основными темами PCIMEF были статистика по компьютерным преступлениям в регионе Middle East, будущие перспективы платежных технологий, достижение и поддержание соответствия стандарту PCI DSS, а также будущие новинки от Совета. А специалисты из SISA Information Security в онлайн-режиме демонстрировали взлом демоверсии реального сайта одного клиента. Как только разрешение клиента на такую демонстрацию было получено, из демоверсии сайта были удалены все данные об этой организации, а для тестирования загружены только тестовые данные. Зрелище получилось захватывающим и поучительным. Стоит ли говорить о том, что доступ к полной базе тестовых карточных данных был получен менее, чем за 20 минут.

«Большинство атак — предсказуемы,« — с этой фразы начал свою речь генеральный директор Совета PCI SSС Стивен Орфей, и с ним было трудно не согласиться. А причиной этому слабые пароли, низкая осведомленность работников, отсутствие регулярной процедуры обновлений и другие дыры в безопасности. О важности обновлений также говорил и технический директор Совета Трой Лич, ссылаясь на отчеты Verizon, согласно которым довольно много утечек происходит как раз-таки из-за не обновлённого программного обеспечения.

По статистике Verizon, представленной Кристофером Новаком, со-основателем и директором следственной группы реагирования на инциденты компании Verizon, 99% скомпрометированных инфраструктур содержали в себе CVE уязвимости, которые были опубликованы в общедоступных источниках более, чем за год до успешной атаки. Это при том, что как минимум 10 различных CVE используются в 97% эксплоитов.

Трой Лич сравнивал внедрение стандарта PCI DSS с подводным плаваньем, в котором важно использовать правильную технологию погружения, а также уникальные меры безопасности для каждой уникальной среды, заранее планировать свой будущий «заплыв», определять самые критичные меры контроля, чтобы, например, не остаться раньше времени без «воздуха», а также правильно выбрать и обучить «спутников» в этом «погружении».

Что касается будущего в сфере атак, то, по мнению Совета, нас ждет все те же утечки по Card Not Present транзакциям, обнаружение и эксплуатация новых уязвимостей в бесконтактных платежах, перехват аккаунтов и вымогательство. «Безопасность — это процесс, она должна быть обеспечена 24 часа 7 дней в неделю, безопасность — это не просто поставить галочку в листе самооценки и забыть о ней на ближайший год,« — неустанно напоминает Стивен Орфей.

Что касается нововведений от Совета, уже в этом месяце ожидается новая версия стандарта PCI DSS 3.2, которая включит в себя ряд новых требований. Во-первых, будут изменены даты прекращения использования небезопасных версий протоколов SSL 3.0 и TLS 1.0 Напоминаем, что до 30 июня 2016 года все поставщики услуг без каких-либо исключений должны обеспечить своим клиентам возможность работы по протоколу TLS версии 1.1 как минимум. Окончательный переход на безопасные версии протокола TLS (это версии 1.1 и 1.2), необходимо будет завершить до 20 июня 2018 года. В стандарт будет добавлено новое приложение A2, которое включит в себя требования по работе с протоколами SSL и TLS.

Также новинкой будет смена терминологии на более корректную: двухфакторную аутентификацию заменит мультифакторная. Но это вовсе не значит, что использование одного фактора аутентификации при подключении теперь будет возможно. Использование двух факторов аутентификации минимум по-прежнему необходимо. При этом Советом будет введен следующий акцент: мультифакторная аутентификация будет необходима при удаленном подключении любого пользователя, даже не обладающего административными правами доступа, также она останется необходимой при осуществлении любого административного доступа из любого сегмента сети организации.

Для поставщиков услуг станут обязательны пентесты с периодичностью не реже 1 раза в 6 месяцев, а также ряд других мер по усилению защищенности их инфраструктур. Но не стоит паниковать раньше времени, все новые требования стандарта будут обязательны к выполнению с 1 февраля 2018 года, а до этой даты рекомендуется морально готовиться и осуществлять их плавное внедрение.

В новую версию стандарта будет добавлено приложение A3 под названием «Designated Entities Supplemental Validation», которое включит ряд требований уже существующего документа Совета с одноименным названием к организациям зоны повышенного риска.

Старая версия стандарта PCI DSS 3.1 будет действовать на протяжении 6 месяцев со дня выхода новой версии стандарта, таким образом ориентировочно до конца октября 2016 года еще можно будет провести аудит своей организации на соответствие требованиям стандарта PCI DSS версии 3.1.

В мае 2016 года ожидается выход новой версии стандарта PA DSS 3.2, которая включит в себя требования по безопасному хранению и удалению debug-логов приложения, а также по безопасной установке обновлений. Для тех организаций, которые на момент выхода новой версии стандарта уже начнут сертификацию своего приложения по версии 3.1, будет разрешено ее закончить, для остальных же версия 3.2 станет обязательной.

Совет также не забывает и о мобильных технологиях, и уже задумался об исследованиях в этой сфере и изучению лучших практик индустрии. По мнению Троя Лича, мобильные технологии — это наше будущее. Совет давно выпустил ряд рекомендаций по мобильным платежам, это две версии документа «PCI Mobile Payment Acceptance» — одна для мерчантов и конечных пользователей, а вторая для разработчиков.

Но похоже, что скоро появится возможность использования своего мобильного телефона вместо платежной карты и хранение данных карты именно в нем. Оплата будет происходить путем использования технологии бесконтактных платежей NFC, а для ее проведения понадобиться установка на мобильное устройство специального мобильного приложения.

На данный момент Совет видит следующие проблемы в работе с мобильными устройствами: вездесущая неосведомленность пользователей, подключение к небезопасным сетям передачи данных, потеря устройств или же их кража и использование слабых паролей доступа к устройствам. Да и в целом, информацию нетрудно перехватить с использованием сотовой связи, WI-FI-каналов, бесконтактных технологий и путем внедрения различных вредоносов.

В связи с этим, рядом с золотым правилом Совета «не нужно — не храни», появляется новое «сделай информацию бесполезной для злоумышленника». В качестве решения этой задачи предлагается вместо номера карты использовать токены, а именно EMV Payment Token, использование которых не позволит злоумышленнику перехватить полные номера карт, и которые, в случае необходимости, можно просто отвязать от номера своей карты.

Решение будет включать в себя использование элемента безопасности, или Secure Element (SE), а также Host Card Emulation и другие облачные решения. SE — это особый чип в мобильном телефоне, который может быть размещен на съемной microSD карточке, встроен в SIM-карту или же встроен в само устройство, его использование будет необходимо в случае, если вы хотите оплачивать свои покупки путем использования мобильного телефона.

Аутентификация в платежном приложении мобильного устройства предположительно будет происходить по PIN-коду и отпечатку пальца. В общем, ждем появление всех этих вкусных новинок в новой версии стандарта Card Production.

Помимо выхода новых версий стандартов, ожидается также выход новых руководящих документов по использованию шифрования и цифровых сертификатов для мерчантов, третьих сторон и аудиторов. Гарет Боукер, директор по программам обучения Совета, упомянул появление нового руководящего документа для мерчантов по использованию программного шифрования в P2PE-решениях.

Что касается статистики, о ней говорили Издехар Сафарини, заместитель генерального директора компании Middle East Payment Services, и Кристофер Новак. Издехар представила информацию о статистике инцидентов, хотя сама статистика получилась довольно спорной. В ней на Россию пришелся довольно маленький процент утечек, всего примерно 0,4% по миру, в то время, как на Британию их было 9%, а на страны Северной Америки приходилось все 77%. Доверять или не доверять такой статистике — личное дело каждого, мы же отнеслись скептически.

Статистика от Кристофера Новака была направлена на фишинг и оказалась более любопытной. К примеру, по исследованиям Verizon, 23% получателей открывают фишинговые письма, а 11% открывают и вложения к ним. 82 секунды проходят с момента начала фишинговой атаки и до момента, когда первый пользователь попадется на эту удочку. При этом стоимость потерь от успешной атаки в среднем для различных организаций составит от 25 450 долларов для небольших организаций до 8 852 540 долларов для самых крупных. Для примера, для организаций, которые в год сохраняют около 100 000 записей о транзакциях, полноценная успешная атака обойдется в 474 600 долларов. При этом злоумышленнику даже не потребуется много времени на то, чтобы найти уязвимость и скомпрометировать систему.

Рецепт безопасности от Verizon довольно прост:

составьте и обязательно тестируйте планы реагирования на инциденты ИБ;люди — это ваша первая линия защиты, которая примет на себя основной удар, поэтому обучите их;не храните ничего лишнего, только действительно необходимые данные, а если хранить нужно — используйте шифрование;обновляйте системы своевременно;используйте двухфакторную аутентификацию;достигнув соответствия — поддерживайте его.

Второй день был не менее бурным и был посвящен личному опыту работников различных организаций. Тони Чибли, руководитель отдела информационной безопасности Credit Libanais, рассказывал о том, как приводил одну крупную организацию в соответствие требованиям стандарта и с какими проблемами при этом сталкивался. Это номера карт, которые расползлись по всей организации и хранились где надо, и где не надо тоже, полное отсутствие знаний о безопасности в головах работников, отдел информационной безопасности, который находился в постоянной спячке, и QSA-аудитор, воспринимаемый, как страшный и недружелюбный товарищ, требующий от организации каких-то сверхъестественных усилий.

Цели, в общем-то, были понятны — разбудить безопасников, заручиться их поддержкой и доверием, отправить всех работников на хороший тренинг, завести, наконец, программу по обеспечению безопасности, устранить все найденные QSA-аудитором несоответствия и показать его доброжелательность и настрой. И главное, договориться с бизнесом. Договаривались путем простого перевода требований безопасности на понятный язык. Например, требования раздела 2 стандарта PCI DSS звучало, как «Настроить все системы правильно», требование 8 «Убедитесь, что люди те, кем они являются, перед тем, как предоставить им доступ», а требование 10 «Отследить, кто куда идет и что там делает».

Также Тони говорил и о преимуществах, например, конкурентных, об облегчении контроля над рисками, о том, что меры, направленные на их снижение, стали после внедрения требований стандарта достаточными и не избыточными, а у организации появилось гораздо больше клиентов.

О преимуществах говорил и Абдулла Алагха, менеджер ИТ-направления Abu Dhabi Islamic Bank. В его организации преимуществами оказались значительная экономия времени и ресурсов, затрачиваемых на выполнение регулярных процедур, консолидация процессов и контролей, управление рисками в режиме реального времени, уменьшение количества ошибок и упрощение процедуры поддержания соответствия.

В заключительном докладе второго дня Фарид Хусейн, директор по информационным технологиям Habib Bank Ltd, рассказал историю приведения в соответствие своего банка. Банк работал с 1941 года, насчитывал более 5 миллионов держателей платежных карт, более 500 тысяч транзакций в год, более 1900 банкоматов и более 1600 филиалов. Сам проект был начат в 2013 году, работу над ним закончили в январе 2015 года. Главная задача внедрения требований стандарта заключалась в улучшении производительности Банка, выпуска новых продуктов, отказа от допотопных приложений и привлечение большего числа клиентов. Для этого работники банка устранили недостатки в 52 приложениях, конфигурациях 270 серверов и 26 сетевых устройствах, сертифицировали 4 дата-центра по стандарту ISO 27001, обновили около 1000 контрольных процедур, изменили 25 ключевых бизнес-процессов и обновили среду Card Production.

По словам Фарида Хусейна, вне зависимости от сложности инфраструктуры, привести ее в соответствие можно. Главное — это эффективно планировать свою деятельность, определить то, что нужно сделать, чтобы достичь цели, и просто делать это, сфокусироваться на результате и контролировать дисциплину среди работников при его достижении. К слову, для этого банком были остановлены все некритические бизнес-процессы, заморожены нововведения и, при поддержке акционеров, большая часть ресурсов банка направлена на создание в банке реальной безопасности. И банк действительно достиг своих результатов.

Услышать заключительные слова Джереми Кинга было неожиданностью, потому что очень хотелось продолжить. Но мероприятие уже подошло к концу.

«PCI DSS is like making a movie, where your QSA is a Batman. Let’s work together as a superheroes. » Jeremy King

0

Добавить комментарий