Эксперты говорят о крайне низком уровне защищенности платежных данных

 Аналитический Центр InfoWatch представил первое глобальное исследование утечек информации о банковских счетах и пластиковых картах, которое выявило крайне низкий уровень защищенности платежных данных. Аналитики InfoWatch приходят к выводу о том, что мировой уровень защищенности платежных данных в целом довольно низок. Исследование показало, что более трети утечек в коммерческих компаниях, оперирующих банковскими картами, приходится именно на платежные данные – 34% случаев.

В отчете рассматриваются банки, процессинговые компании и организации, принимающих к оплате пластиковые карты (т.н. «ритейлеры»).

В банках с платежными данными связано немногим меньше трети всех утечек – 29%. Чуть большая доля (31%) приходится на платежные данные в процессинговых компаниях, и у «ритейлеров» утечки платежных данных составляют почти половину (49%) от общего числа инцидентов. «Ритейлеры» в большинстве случаев просто не воспринимают всерьез возможные последствия утечек в виде репутационных и финансовых потерь, и, как следствие, не предпринимают усилий для повышения уровня защищенности данных клиентов. В результате «ритейлеры» превратились в излюбленную мишень киберпреступников. Последние легко получают доступ к агрегированной информации о клиентах, включая персональные и платежные данные. Аналитики InfoWatch прогнозируют, что если отношение «ритейлеров» к защите информации не изменится, в перспективе оно может привести к серьезным последствиям вплоть до подрыва доверия к системе платежных карт со стороны клиентов.

Ситуация усугубляется тем, что утечки платежных данных носят, в основном, злонамеренный характер. Особенно ярко это проявляется в отношении процессинговых компаний, где ¾ утечек совершаются умышленно, а доля случайных не превышает 19%. Аналогичная ситуация сложилась в банковских организациях – 68% умышленного разглашения конфиденциальной информации против 20% случайного. Для сравнения можно сказать, что в мире распределение общего числа инцидентов по умыслу уже несколько лет находится на уровне примерно 50/50. Высокий процент умышленных утечек через давно известные и теоретически контролируемые каналы говорит о том, что данные организации излишне полагаются на технические средства защиты и уделяют недостаточно внимания мерам организационного характера, работе с психологией сотрудников.

Каналы утечек платежной информации серьезно различаются в зависимости от типа организации. В банках, где доля случайных инцидентов незначительна, преобладают каналы, характерные для умышленных утечек: потеря или кража оборудования (в том числе ноутбуков) – 42%, утечки по сети – 21% и через съемные носители – 6%. В 20% случаев канал определить невозможно. Практически та же картина наблюдается в процессинговых компаниях, разве что на кражу и потерю оборудования приходится несколько меньше – 34%. У «ритейлеров» распределение более однородное – каналы передачи информации в данных организациях защищаются одинаково плохо, но большинство «ритейлеров» продолжает фактически закрывать глаза на слабость собственных систем защиты платежных данных клиентов.

Несмотря на то, что противодействие внутренним нарушителям – одна из самых сложных задач ИБ, аналитики InfoWatch отмечают, что ущерб от мошенничества с платежными данными все же можно снизить. Безусловно, наиболее действенными были бы меры по решению проблемы, принятые на государственном уровне, – ужесточение требований к порядку обработки и хранения платежных данных. Строгое выполнение участниками рынка (в особенности «ритейлерами») правила PCI DSS, предписывающего не хранить платежные данные в информационных системах, способствовало бы кардинальному изменению ситуации в лучшую сторону.

«Операторам по переводу денежных средств пора всерьез задуматься о том, как противодействовать внутреннему нарушителю. Как мы видим, в подавляющем большинстве случаев утечки платежной информации происходят при непосредственном участии сотрудников пострадавших компаний, – говорит Наталья Касперская, генеральный директор ГК InfoWatch. – Средства DLP могут с легкостью блокировать утечку номеров кредитных карт и контролировать действия потенциальных инсайдеров. Однако те же «ритейлеры» совсем не используют DLP-системы, опасаясь их высокой стоимости, и в результате платежные данные продолжают утекать. Такую ситуацию нельзя считать нормальной».

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Глава Apple: У Google есть проблемы конфиденциальности, но они лучшие

В вопросе недавних претензий к корпорации Google и использовании соответствующей поисковой системы Тим Кук встал на сторону интернет-гиганта. Отвечая журналистам, глава Apple признал наличие у Google проблем конфиденциальности, однако выступил также в защиту использования поисковой системы на корпоративных устройствах.

Заданный Куку вопрос касался миллиардов долларов, которые Google якобы платит Apple за установку ее поисковой системы по умолчанию в продуктах компании. Журналист подчеркнул, что политики Apple и Google в отношении обращения с персональными данными не совпадают.

«На мой взгляд, их поисковая система — лучшая на данный момент», — ответил Кук в интервью Axios.

Глава Apple также добавил, что браузер Safari, используемый по умолчанию во всех операционных системах компании, оснащен специальными возможностями, которые не позволят корпорациям вроде Google отслеживать активность пользователей.

Кук согласился с тем, что даже столь серьезные настройки конфиденциальности — не панацея, и компании все еще предстоит долгий путь борьбы со сбором информации о пользователях и отслеживанию их поведения в Сети.

Другой основатель «яблочной» корпорации Стив Возняк также высказался по поводу отношения современных интернет-гигантов к пользователям. Под критику знаменитого программиста попали методы Facebook и Марка Цукерберга.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru