Эксперты говорят о крайне низком уровне защищенности платежных данных

Александр Панасенко 12 Декабря 2013 - 17:27

...

Аналитический Центр InfoWatch представил первое глобальное исследование утечек информации о банковских счетах и пластиковых картах, которое выявило крайне низкий уровень защищенности платежных данных. Аналитики InfoWatch приходят к выводу о том, что мировой уровень защищенности платежных данных в целом довольно низок. Исследование показало, что более трети утечек в коммерческих компаниях, оперирующих банковскими картами, приходится именно на платежные данные – 34% случаев.

В отчете рассматриваются банки, процессинговые компании и организации, принимающих к оплате пластиковые карты (т.н. «ритейлеры»).

В банках с платежными данными связано немногим меньше трети всех утечек – 29%. Чуть большая доля (31%) приходится на платежные данные в процессинговых компаниях, и у «ритейлеров» утечки платежных данных составляют почти половину (49%) от общего числа инцидентов. «Ритейлеры» в большинстве случаев просто не воспринимают всерьез возможные последствия утечек в виде репутационных и финансовых потерь, и, как следствие, не предпринимают усилий для повышения уровня защищенности данных клиентов. В результате «ритейлеры» превратились в излюбленную мишень киберпреступников. Последние легко получают доступ к агрегированной информации о клиентах, включая персональные и платежные данные. Аналитики InfoWatch прогнозируют, что если отношение «ритейлеров» к защите информации не изменится, в перспективе оно может привести к серьезным последствиям вплоть до подрыва доверия к системе платежных карт со стороны клиентов.

Ситуация усугубляется тем, что утечки платежных данных носят, в основном, злонамеренный характер. Особенно ярко это проявляется в отношении процессинговых компаний, где ¾ утечек совершаются умышленно, а доля случайных не превышает 19%. Аналогичная ситуация сложилась в банковских организациях – 68% умышленного разглашения конфиденциальной информации против 20% случайного. Для сравнения можно сказать, что в мире распределение общего числа инцидентов по умыслу уже несколько лет находится на уровне примерно 50/50. Высокий процент умышленных утечек через давно известные и теоретически контролируемые каналы говорит о том, что данные организации излишне полагаются на технические средства защиты и уделяют недостаточно внимания мерам организационного характера, работе с психологией сотрудников.

Каналы утечек платежной информации серьезно различаются в зависимости от типа организации. В банках, где доля случайных инцидентов незначительна, преобладают каналы, характерные для умышленных утечек: потеря или кража оборудования (в том числе ноутбуков) – 42%, утечки по сети – 21% и через съемные носители – 6%. В 20% случаев канал определить невозможно. Практически та же картина наблюдается в процессинговых компаниях, разве что на кражу и потерю оборудования приходится несколько меньше – 34%. У «ритейлеров» распределение более однородное – каналы передачи информации в данных организациях защищаются одинаково плохо, но большинство «ритейлеров» продолжает фактически закрывать глаза на слабость собственных систем защиты платежных данных клиентов.

Несмотря на то, что противодействие внутренним нарушителям – одна из самых сложных задач ИБ, аналитики InfoWatch отмечают, что ущерб от мошенничества с платежными данными все же можно снизить. Безусловно, наиболее действенными были бы меры по решению проблемы, принятые на государственном уровне, – ужесточение требований к порядку обработки и хранения платежных данных. Строгое выполнение участниками рынка (в особенности «ритейлерами») правила PCI DSS, предписывающего не хранить платежные данные в информационных системах, способствовало бы кардинальному изменению ситуации в лучшую сторону.

«Операторам по переводу денежных средств пора всерьез задуматься о том, как противодействовать внутреннему нарушителю. Как мы видим, в подавляющем большинстве случаев утечки платежной информации происходят при непосредственном участии сотрудников пострадавших компаний, – говорит Наталья Касперская, генеральный директор ГК InfoWatch. – Средства DLP могут с легкостью блокировать утечку номеров кредитных карт и контролировать действия потенциальных инсайдеров. Однако те же «ритейлеры» совсем не используют DLP-системы, опасаясь их высокой стоимости, и в результате платежные данные продолжают утекать. Такую ситуацию нельзя считать нормальной».

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 23 Апреля 2026 - 19:00

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее

Совет по кодификации при президенте отклонил закон об ИИ Минцифры

Совет по кодификации при президенте резко раскритиковал и отклонил рамочный законопроект «Об основах государственного регулирования сфер применения технологий искусственного интеллекта в России», подготовленный Минцифры. По мнению Совета, ряд положений документа противоречит Гражданскому кодексу и нормам, регулирующим защиту авторских прав.

Как считают эксперты, входящие в Совет, авторы законопроекта попытались создать параллельное регулирование для отношений, которые уже урегулированы другими правовыми актами.

Если исключить дублирующие нормы, то в документе, по сути, останутся только глоссарий и несколько декларативных положений. Иными словами, самостоятельный предмет регулирования в проекте фактически отсутствует.

«Гражданский кодекс — это фундамент, и пытаться строить на нём отдельные, противоречащие ему конструкции для каждой новой технологии — это путь к правовому хаосу. Если есть несколько здравых идей публично-правового характера — их место в профильном законе, а не в пустой законодательной оболочке, — прокомментировал Интерфаксу итоги заседания Совета его глава Павел Крашенинников. — Закон должен регулировать и давать ясность, а не создавать почву для злоупотреблений. Задача Совета — обеспечивать системность и стабильность гражданского законодательства, а не одобрять юридически пустые, пусть и модно звучащие, инициативы».

Заключения Совета будут направлены в администрацию президента, правительство и палаты Федерального Собрания.

Ранее этот же законопроект не менее жёстко критиковали крупные компании и бизнес-ассоциации. В общей сложности в обсуждении приняли участие более 150 экспертов, представляющих «Роснефть», «Россети», Ассоциацию предприятий компьютерных и информационных технологий (АПКИТ), Ассоциацию цифровых платформ (АЦП), Ассоциацию европейского бизнеса (АЕБ), Торгово-промышленную палату (ТПП), «МегаФон», РВБ (объединённую компанию Wildberries и Russ) и ряд других структур.

По мнению участников обсуждения, часть требований законопроекта попросту невыполнима. В частности, речь идёт об обучении моделей на основе наборов данных, сформированных в России. Однако таких данных недостаточно, а вычислительная база для их обработки отсутствует в необходимом объёме. Кроме того, как напоминают бизнес-ассоциации, в России сейчас нет ИИ-моделей, полностью созданных внутри страны.

Отдельные претензии вызвали положения, которые фактически запрещают использование ИИ для диагностики и лечения. Поскольку медицина относится к критической инфраструктуре, в условиях отсутствия полностью российских моделей под формальные ограничения могут попасть даже изделия, уже зарегистрированные в Росздравнадзоре.

В целом, как считают представители бизнеса, принятие законопроекта приведёт к росту затрат и увеличению сроков внедрения ИИ-проектов. Среди рисков они также называют возможный перенос разработок в другие юрисдикции, где регулирование в этой сфере остаётся менее жёстким.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!