Глобальную безопасность платежей обсудили на конференции Payment Security 2017

Стратегия безопасности Интеграция Конференции
мобильная версия

29 -30 июня в Санкт-Петербурге прошла международная конференция #PAYMENTSECURITY 2017, в которой приняли участие порядка 250 специалистов из двух отраслей: финтеха и информационной безопасности. В трёх параллельных залах они обменивались информацией о том, как делать платёжные технологии удобными и безопасными.

Присоединение платежной системы «Мир» к Совету PCI SSC

Одним из самых важных стал доклад генерального директора АО НСПК Владимира Комлева. Весной 2017 г. Национальная система платежных карт (оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) и приняла стандарты, выпускаемые Советом, включая стандарт PCI DSS. По словам Владимира Комлева, платежная система «Мир» вступила в эту организацию не только как платёжная система, но и как представитель Российской Федерации в целом.

С вступлением ПС «Мир» в Совет PCI SSC НСПК получает возможность использовать все существующие институты, созданные и развиваемые Советом, и, в том числе, признавать заключения QSA-аудиторов. «Мы не будем придумывать новые аудиты и создавать новые издержки для участников рынка», — заявил Владимир Комлев. В новых условиях отчеты об аудите будут отсылаться участниками рынка в сторону платежной системы «Мир» наравне с другими платежными системами, такими как VISA и MasterCard.

29 июня на площадке #PAYMENTSECURITY, в отдельном зале, состоялось заседание созданной при НСПК рабочей группы по представлению интересов Российской Федерации в Совете PCI SSC. В состав рабочей группы вошли представители всех российских QSA-компаний, а также представители НСПК. В этот раз в заседании принял участие Джереми Кинг (Jeremy King) — международный директор Совета PCI SSC.

На заседании обсуждался проект дополнения к стандарту PCI DSS. Планируется, что на первом этапе это дополнение должно быть принято и введено в действие на уровне НСПК. На следующем этапе НСПК планирует вести работу с Советом PCI SSC по включению требований из этого дополнения в текст самого стандарта PCI DSS. Джереми Кинг положительно оценил инициативу рабочей группы и активно участвовал в обсуждении требований, включенных в проект дополнения.

О проекте дополнения говорил и Владимир Комлев в своем докладе. По его словам, ожидается, что в этот документ будут включаться только точечные и выверенные предложения по адаптации международных стандартов PCI к российской практике и требованиям российских регуляторов, «без переписывания 382-П целиком».

Глобальная безопасность платежей

Джереми Кинг традиционно выступил на #PAYMENTSECURITY с наиболее актуальной информацией о состоянии платёжной безопасности в мире. Он рассказал о беспрецедентном росте масштабов мошенничества, связанного с удаленными методами оплаты (card-not-present): c £220,9 млн в 2011 г. до £432,3 млн. в 2016 г. Совет активно противодействует возрастающим угрозам. В последнее время выпущено множество руководств по различным аспектам обеспечения безопасности платёжных технологий: по облачным вычислениям, виртуализации, беспроводным технологиям, противодействию скиммингу, повышению осведомленности и оценке рисков — все они доступны на сайте Совета. Относительно новый стандарт PCI P2PE, призванный сократить область применимости PCI DSS в среде торгово-сервисных предприятий и снизить издержки на защиту карточных данных, набирает популярность. На данный момент в мире сертифицировано уже 33 P2PE-решения и 69 P2PE-приложений. Кроме того, в Совете ведется активная разработка в области обеспечения безопасности бесконтактных платежных технологий.

По словам Джереми Кинга, Совет PCI SSC всерьез занят пересмотром подходов к защите данных в среде мелких торгово-сервисных предприятий, на долю которых приходится существенное количество фактов компрометации карточных данных. Можно ожидать, что в ближайшие годы станут заметны результаты этой работы, в том числе и в новых способах подтверждения соответствия требованиям PCI DSS, применимых к интернет-магазинам.

Джереми Кинг заявил, что Совет PCI SSC гордится присоединением к нему платежной системы «Мир» в качестве аффилированного члена. Он уверен, что совместная работа организаций усилит безопасность карточных платежей. Кинг также отметил факт принятия и публикации Советом PCI SSC официального русскоязычного перевода стандарта PCI DSS и поблагодарил Ассоциацию АБИСС за качественно выполненный перевод.

Новое в стандартах безопасности PCI

Кристина Андреева — QSA-аудитор компании Deiteriy — рассказала об основных нововведениях в стандартах PCI и о том, к чему всем следует подготовиться до 1 февраля и 30 июня 2018 г. По ее мнению, тестирование на проникновение в целях проверки сегментации по стандарту PCI DSS следует выполнять не реже 1 раза в 6 мес., а не раз в год, как это было ранее. Требование применимо только к поставщикам услуг. Требование вступает в силу с 1 февраля 2018 г.

Кроме того, необходимо иметь в компании документацию, описывающую применяемые в целях PCI DSS криптографические решения. Требование применимо только к поставщикам услуг. Требование также вступает в силу с 1 февраля 2018 г.

Помимо этого, не позднее 30 июня 2018 г. все компании, к которым применимы требования стандарта PCI DSS, должны полностью отказаться от применения устаревшего протокола SSL любых версий, а также протокола TLS устаревшей версии 1.0. Это весьма болезненное требование, поскольку до сих пор в мире используется довольно много устройств, не поддерживающих современные версии протоколов шифрования, таких как TLS версии 1.2.

В новые листы самооценки SAQ версии 3.2 Советом PCI SSC включено больше требований из стандарта PCI DSS, чем было в их предыдущих версиях. Например, в листе самооценки SAQ-A появились некоторые элементарные требования к безопасной конфигурации веб-сервера, что особенно актуально для интернет-магазинов, применяющих технологию iFrame или переадресацию покупателя на страницу платежного шлюза для ввода карточных данных.

Также советом PCI SSC выпущено несколько новых пояснительных документов, в частности документ о сегментации, документ о мультифакторной аутентификации и документ о безопасности электронной коммерции.

Официальный русскоязычный перевод стандарта PCI DSS версии 3.2, выполненный Ассоциацией АБИСС и компанией Deiteriy, теперь доступен на сайте Совета.

О мире киберпреступности

Алексей Лукацкий в своем докладе «Становление финансовой корпорации «Киберкрайм и сыновья»: от подворотни до транснационального гиганта» на живых примерах и цифрах рассказал о современном состоянии черного хакерского рынка. Киберпреступность, по утверждению Алексея Лукацкого, — это хорошо организованное сообщество, жестко подчиненное одной цели — заработать. И для этой цели выбираются лучшие из представленных на рынке бизнес-моделей, которые не просто копируют, а иногда и превосходят то, что происходит в легальном бизнесе. Ведь киберпреступники не скованы никакими ограничениями. Им не надо платить налоги, получать лицензии и проходить проверки. Они динамичны, скрытны и умны. И чтобы с ними бороться, надо это понимать.

Поможет ли искусственный интеллект в борьбе с мошенничеством?

Два практических доклада были посвящены теме машинного обучения и применения искусственного интеллекта для борьбы с мошенничеством в платёжной индустрии — это доклады Дмитрия Петухова и Рустэма Хайретдинова. По мнению Рустэма Хайретдинова, безоглядное применение алгоритмов, ассоциированных с искусственным интеллектом в системах информационной безопасности, лишь ради модного тренда, может скорее ухудшить эффективность систем защиты. Применять машинное обучение и глубокое обучение стоит только там, где они могут уменьшить количество ложных срабатываний сравнительно с системами с обратной связью.

Эффективны системы с элементами искусственного интеллекта там, где они могут заменить человека в рутинных операциях: защита веб-приложений, противодействие мошенничеству, реагирование на инциденты информационной безопасности и др. Каждая из описанных задач требует отдельного подхода, подготовки данных и настройки своих алгоритмов, поскольку эти системы очень чувствительны к доле ложных срабатываний, которые могут быть приемлемы, например, при распознавании лиц, но катастрофичны при решении задач ИБ.

54-ФЗ и онлайн-кассы

1 июля 2017 г. — непростая дата для участников российского рынка электронной коммерции. Согласно требованиям относительно нового федерального закона №54-ФЗ, все они должны начать применять онлайн-кассы и предоставлять покупателям электронные чеки в момент совершения покупки. С одной стороны, это весьма болезненно для рынка: требование есть, его соблюдение стоит денег, технологии для его реализации только начинают появляться, а в формулировках от регуляторов многое пока непонятно, и есть вопросы, на которые регуляторы пока не дают ответов. С другой стороны, это новый рынок не только для производителей кассовой техники, но и для поставщиков онлайн-сервисов, которые могут избавить интернет-магазины от хлопот по реализации требований и предложить им облачные онлайн-кассы как сервис с удобным интерфейсом подключения и посильной абонентской платой. А главное — онлайн-кассы избавляют интернет-магазины от обязанности отправлять каждому покупателю бумажный чек о покупке, которой, в прочем, ранее многие пренебрегали.

Как рассказал Олег Седов, ведущий круглого стола «Что принес платежной отрасли 54-ФЗ», ему не пришлось использовать ни один из заранее заготовленных вопросов к докладчикам, поскольку вопросов из зала оказалось более, чем достаточно. Диалог по этой теме получился горячий и конструктивный, из чего можно сделать предположение, что рано или поздно рынок её освоит и научится работать в условиях обязательного применения онлайн-касс.

Также на конференции прошли мастер-классы по взлому и защите корпоративных систем, доклады о мошенничестве с топливными картами, о безопасной разработке платежных приложений, о защите баз данных, о защите персональных данных в Европе и в России, о строительстве SOC, об устройстве безопасных облачных дата-центров со встроенным соответствием PCI DSS, обучающий семинар PCI DSS Training и многое другое.