Безопасность платежных карт

Безопасность  платежных карт — два пути

Очевидно, что данные факты свидетельствуют о существенных уязвимостях применяемых в настоящее  время платежных технологий, раз  такие массовые атаки и случаи компрометации данных становятся возможны из года в год. Принципиальных решений  в этой связи может быть два:

1) замена уязвимых технологий более безопасными;

2) сохранение существующих уязвимых технологий и защита их дополнительными методами и системами.

Первый путь связан с миграцией на микропроцессорные  карты стандарта EMV для предотвращения несанкционированного копирования (скимминга) магнитной полосы карты (защита от Counterfeit Fraud — 34 % всех потерь в мире за 2009 г.) и посредством внедрения более надежных систем аутентификации держателя карты при проведении операций без присутствия карты (противодействие Card Not Present Fraud — 41 % всех потерь в мире за 2009 г.), причем в последнем случае в ряде решений также может использоваться EMV-карта. Повсеместного перехода на микропроцессорные карты до сих пор не произошло, и хотя уже более 60 стран мира начали процесс миграции, США являются пока единственной страной G20 («Большая двадцатка» наиболее экономически развитых стран мира), официально даже не начавшей его.

К настоящему моменту  отказ от использования микропроцессорных  карт стоит США весьма дорого —  так, потери от мошенничества с платежным  картами в 2009 г. составили 6,89 млрд долл. США и к 2015 г. могут достигнуть 10 млрд долл. США. По некоторым оценкам стоимость принятия мер по каждому факту компрометации данных платежной карты в США составляет 202 долл. США, так что только в 2008 г. на устранение последствий атак был потрачен 1 трлн долл. США. По оценкам экспертов стоимость миграции на EMV для США составляет 8,6 млрд долл. США, т. е. вполне сопоставима с ежегодными потерями от мошенничества в 6,89 млрд долл. США! Тем не менее США, а вместе с ними и весь остальной мир по требованиям международных платежных систем пошли по второму пути.

Второй путь состоит, как мы уже определили выше, в  защите существующих уязвимых технологий (прежде всего — платежных карт с магнитной полосой). Для разработки повышенных требований к обеспечению  безопасности данных платежных карт в 2006 г. был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, VISA International. Стандарт Payment Card Industry Data Security Standard (PCI DSS, в настоящий момент версия 2.0, далее — Стандарт) определяет требования безопасности для защиты информации, относящейся к платежной карте, и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается.

Приведенные в Стандарте  требования^[77] призваны обеспечить безопасность данных платежных карт за счет повышения защищенности автоматизированных систем, в которых эти данные обрабатываются. Соответствие требованиям Стандарта должно означать, что система защищена и компрометация данных в ней произойти не может. Однако вышеназванные компании, в которых были скомпрометированы данные, — Card Systems Solutions, RBS WorldPay, Heartland Payment Systems, — до этого проходили аудит и получили статус соответствия Стандарту. Примечательно, что компании RBS WorldPay и Heartland Payment Systems в марте 2009 г. были исключены VISA из списка соответствующих стандарту, но сразу же заявили, что надеются вновь пройти сертификацию уже в апреле и мае 2009 г. соответственно, и достигли этого соответствия.

 
PCI DSS = безопасность платежных карт?

В связи с приведенными фактами возникает ряд вопросов. Во-первых, способен ли Стандарт обеспечить безопасность платежных карт?

Во-вторых, почему его  внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных? Эти  вопросы волнуют в настоящий  момент всех специалистов по безопасности в отрасли, они же явились предметом  особого рассмотрения в Комитете национальной безопасности палаты представителей США (House of Representatives Committee on Homeland Security) 31 марта 2009 г. в слушаниях на тему «Приводят ли Стандарты безопасности индустрии платежных карт к снижению киберпреступности?» («Do the PCI Standards Reduce Cybercrime?»).

Позиция представителей PCI SSC и VISA на слушаниях заключалась  в том, что сертифицированная на соответствие требованиям Стандарта организация соответствует этим требованиям на момент сертификации, но в дальнейшем нельзя гарантировать, что это соответствие сохранится. При этом после успешного взлома ранее сертифицированных организаций во всех случаях аудит показал, что организация уже не соответствует требования безопасности.

Представители торговых компаний отметили, что следование требованиям Стандарта вовсе  не приводит к состоянию уверенности  в безопасности данных держателей карт, при этом реализация требований на практике связана с существенными  затратами. А поскольку данные платежных  карт все равно должны быть обработаны, т. е. как минимум в этот момент они представляются в незашифрованном виде, то компрометация остается возможной. Кроме того, торговые компании США расценивают Стандарт как некую «заплатку» (patch) безопасности, целью которого является перенос потерь на торговые предприятия. Член палаты представителей Иветта Кларк (Yvette Clark) заявила, что выполнение Стандарта не гарантирует безопасности, призвала к его изменению и переходу на новые защищенные технологии, например «ЧИП и ПИН» (Chip&PIN).

Председатель слушаний обозначила важную позицию отсутствия метрик эффективности Стандарта, которые  в принципе должны быть неотъемлемой его частью. Целью Стандарта является защита данных платежных карт. В  случае если такая защита будет обеспечена, логично ожидать снижения киберпреступности, мошенничества с платежными картами  — такое снижение может являться объективным измерителем эффективности  Стандарта. Если же снижения числа преступлений и объема скомпрометированных данных платежных карт не происходит, очевидно, безопасность данных не обеспечивается.

В результате слушаний были сделаны два основных вывода:

1. Стандарт не является достаточным для защиты данных держателей карт и следование его требованиям не обеспечивает в настоящий момент адекватной безопасности.

2. Стандарт скорее переносит бремя ответственности по мошенничеству, чем реально препятствует компрометации данных.

В результате слушаний оказалось, что цели заинтересованных сторон различаются. Так, PCI SSC является организацией, обеспечивающей разработку Стандарта и обучение, но не играющей действительной роли в его адаптации  и эволюции. Целью платежной системы  является продвижение Стандарта  среди своих членов. Торговые предприятия  стремятся расширить свой бизнес, предоставляя товары и услуги покупателям, и они не только не заинтересованы в реализации требований Стандарта, но и считают его инструментом давления со стороны платежных систем.

Особую озабоченность  сертифицируемых на соответствие требованиям  Стандарта организаций вызывает тот факт, что успешное прохождение  сертификации не гарантирует реальной безопасности. На практике часто имеет  место такой сценарий развития событий.

1. Торговое предприятие А проходит сертификацию на соответствие Стандарту, что подтверждается QSA (Qualified Security Assessor)^[78].

2. Через некоторое время торговое предприятие А признается точкой компрометации данных платежных карт после успешной атаки со стороны злоумышленников.

3. PCI SSC выпускает поправки для аудиторов по процедурам проведения оценки на соответствие требованиям Стандарта по результатам данного инцидента.

4. При проверке торгового предприятия А по новым процедурам оно уже не соответствует требованиям.

Практика внедрения  Стандарта показала, что одного формулирования требований безопасности недостаточно. Внедрение требований, управление требованиями, учет практических аспектов оказались  недостаточно продуманными, что и  привело к ряду обозначившихся проблем. По результатам исследования, проведенного Society of Payment Security Professionals, почти 24 % организаций, участвовавших в исследовании, потратили более 100 тыс. долл. США в год на оценку и соответствие требованиям Стандарта. А торговые предприятия уровня 1 (Level 1), по оценке Подкомитета, могут столкнуться с необходимостью ежегодных затрат в 18 млн долл. США на внедрение требований Стандарта, что превысит возможные потери от мошенничества. Компания Gartner оценила в 2008 г. затраты для приведения автоматизированной системы к соответствию требованиям Стандарта:уровень 1 — 2,7 млн долл. США, уровень 2 — 1,1 млн долл. США, уровень 3 — 155 тыс. долл. США. По оценке компании UCS (Россия), приведение системы к соответствию Стандарту составило 1 млн долл. США, поддержание соответствия — еще 100 тыс. долл. США ежегодно. Только ежегодные обязательные затраты на проведение аудита, пентеста^[79] и четырех ежеквартальных сканирований составят около 1 млн руб.

Эти оценки свидетельствуют  о том, что при условии превышения стоимости обеспечения безопасности величины потерь от инцидентов такая  защита становится нецелесообразной.

Организации, вынужденные  тратить существенные средства для  обеспечения соответствия требованиям  Стандарта, будут включать данные затраты  в себестоимость, что в конечном итоге скажется на держателях карт, иначе бизнес будет нерентабельным.

 
Недостатки и противоречия PCI DSS

Стандарт следует  рассматривать относительно цели его  создания как инструмент для защиты данных, а не последнюю линию защиты. Практика показывает, что следование Стандарту не обеспечивает достаточной  защиты данных платежных карт. Кроме  того, сам Стандарт имеет ряд недостатков  и противоречий.

1. Попытка сокрытия идентификатора (номера карты) принципиально невыполнима. Безопасность доступа к счету карты не основывается на сокрытии идентификатора, а должна находиться в области усовершенствования процедур и средств аутентификации.

Стандарт предназначен для тех организаций и процессов, в которых номер карты передается, обрабатывается или хранится. Номер  карты предназначен для обеспечения  соответствия счету держателя карты, т. е. является его идентификатором. Безопасность такого доступа обеспечивается процедурами аутентификации держателя карты, которые должны препятствовать несанкционированному доступу к счету. Логично предположить, что для обеспечения безопасности доступа к счету при наличии фактов несанкционированного использования карты как инструмента доступа необходимо усовершенствовать процедуры аутентификации. Такое усовершенствование может включать в себя внедрение механизмов многофакторной аутентификации, например Chip&PIN, CAP-EMV. Однако Стандарт предполагает сокрытие идентификатора (номера карты) как обязательное условие обеспечения безопасности доступа. Очевидно, что принципиально невозможно отказаться от полного сокрытия идентификатора — для проведения транзакции по карте номер необходим, так как является идентификатором счета держателя карты.

Рассмотрим возможные  действия злоумышленника, имеющего доступ к данным карты или ее реквизитам. Для проведения операции с реальной (физически существующей) картой необходима информация, записанная в чип (для  микропроцессорных карт) либо на магнитную  полосу. Знания только номера карты  явно недостаточно, чтобы изготовить поддельную микропроцессорную карту. Для осуществления операции с  использованием магнитной полосы кроме  номера карты злоумышленнику дополнительно  необходимо получить дату действия карты, код проверки подлинности карты (CVV/CVC) и сервис-код, который у аналогичных  типов карт обычно одинаковый. Дату действия карты получить достаточно просто — путем хищения из того же источника, где был похищен  сам номер карты, от держателя  карты с использованием технологий фишинга, перебором. Код CVV/CVC получить гораздо сложнее — он записан  на магнитной полосе карты, хранение данных которой любым участником платежной системы после проведения авторизации запрещено. Таким образом, похитить CVV/CVC при хранении нельзя, так как эти данные просто нигде  не должны храниться. С помощью фишинга  данный код получить невозможно, поскольку  держатель его не знает. При использовании  злоумышленником техники перебора всех возможных вариантов кода (три  цифры дают 1000 вариантов) современный  уровень систем мониторинга транзакций в режиме реального или псевдореального  времени позволяет выявить данную атаку на ранней стадии и заблокировать  карту. В случае же если эмитент записывает на магнитную полосу карты и код  проверки подлинности ПИН (PVV), состоящий  из четырех цифр (10 000 вариантов), то задача по подбору злоумышленником  кодов безопасности становится существенно  более трудоемкой (подобрать нужно  комбинацию из семи цифр — 10 000 000 вариантов). Дополнительно необходимо отметить, что с учетом темпов EMV-миграции как  со стороны эмиссии, так и со стороны  эквайринга, особенно в Европе, и  с отменой возможности проведения операции по микропроцессорной EMV-карте  в EMV-терминале по магнитной полосе вероятность финансовых потерь в  случае компрометации трека снижается  с каждым годом. Смещение таких мошеннических  операций в мировом масштабе происходит в регионы, где EMV-миграция не начиналась или проходит неактивно.

Второй сферой технологии платежных карт, где несанкционированно может быть использован похищенный номер карты, является интернет-коммерция. Действительно, в последнее время  в данной области потери во всем мире стремительно возрастают. Сократить  их должна безопасная технология проведения платежей 3D Secure, которая предусматривает  дополнительную аутентификацию держателя  со стороны эмитента. При реализации данной схемы (как со стороны эмитента, так и со стороны эквайрера) знание злоумышленником только номера платежной  карты становится недостаточным. Следовательно, для минимизации потерь необходимо дальнейшее развитие технологии 3D Secure, особенно со стороны эмитентов. Однако в данном вопросе необходимо отметить следующие аспекты. Если интернет-транзакция проводится по традиционной схеме, без  использования технологии 3D Secure, то для авторизации необходим номер  карты, срок ее действия и код проверки подлинности карты CVV2/CVC2 — эти  данные могут быть достаточно легко  скомпрометированы. Учитывая перенос  ответственности за несанкционированные  держателями платежных карт операции, эквайреры повсеместно применяют  более защищенную технологию 3D Secure, где перечисленных выше данных будет уже недостаточно. Но проблема заключается в трудности привлечения держателей карт для использования данной технологии даже в случае сертификации банка эмитента как 3D Secure. Во-первых, предлагаемые платежными системами методы Verified by VISA — Token Based Authentication и Secure Code — Chip Authentication Program не нашли в настоящий момент широкого распространения среди держателей, так как требуют от последних дополнительных затрат на приобретение оборудования, необходимости посещения банка, затрат на обучение. Во-вторых, если интернет-операция проводится между эквайрером, поддерживающим 3D Secure, и эмитентом, не поддерживающим 3D Secure, либо на 3D Secure, не подписан данный держатель, то согласно требованиям платежных систем уровень безопасности такой транзакции оказывается даже ниже, чем при классической операции. Дело в том, что такая операция может быть осуществлена только по номеру карты и дате ее действия, код проверки подлинности карты CVV2/CVC2 эквайрером может не запрашиваться. При этом, как правило, эмитент проверяет, что введенная дата действия карты больше текущей и в базе данных эмитента срок действия карты не закончился. А для обеспечения возможности работы двух карт одновременно при плановом перевыпуске не сравниваются даты из базы данных и транзакции. Таким образом, для осуществления успешной мошеннической операции необязательно даже знать срок действия карты — достаточно, чтобы он был больше текущей даты. То есть при реализации транзакции с поддержкой 3D Secure только со стороны эквайрера необходимо знать только номер карты и интернет-потери возрастают! Для обеспечения уровня безопасности при таких операциях, равного стандартному, эквайреру необходимо запрашивать код CVV2/CVC2. Для решения проблемы нежелания держателей подписываться на технологию 3D Secure для дополнительной аутентификации держателей, вероятно, нужно использовать технологию мобильной связи как наиболее распространенную и доступную клиентам.