Стратегии безопасности, в основе которых лежат данные::БИТ 10.2014

Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Редакционная подписка

Через подписные агентства

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

июль

2024

показать все

Новости партнеров

11.07.2024

Конференция «Практическая польза региональных информационных систем в сфере здравоохранения» собрала организаторов здравоохранения и экспертов из 44 регионов страны

02.07.2024

Ай-Форс принимает участие в пилотном проекте по тестированию технологии контроля симптомов при болезни Паркинсона

21.06.2024

RAMAX Group расскажет об инструментах повышения операционной эффективности на «RPA Connect: Магия притяжения»

21.06.2024

Коллаборация ARZip с DLP-системой InfoWatch Traffic Monitor позволяет компаниям повысить свою защищенность

показать все

Статьи

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

05.04.2024

Мотивируй, не то проиграешь!

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR

показать все

Стратегии безопасности, в основе которых лежат данные

Главная / Архив номеров / 2014 / Выпуск №10 (43) / Стратегии безопасности, в основе которых лежат данные

Рубрика: БИТ.Банки / Защита данных

Пол Хэмптон, эксперт компании SafeNet по платежным системам и управлению шифрованием

Стратегии безопасности,
в основе которых лежат данные

За последние годы популярность онлайн-банкинга и интернет-покупок значительно выросла, что, в свою очередь, привело к существенному росту различных угроз для подобных сервисов. Каждый день мы читаем новости об очередных утечках данных, при этом только за первое полугодие 2014-го было похищено около 375 миллионов записей

Однако, несмотря на сохраняющуюся потребность в защите платежных транзакций и данных, улучшения ситуации в ближайшем будущем не предвидится.

Сегодня специалистам службы безопасности приходится бороться со все более изощренными атаками, приспосабливаться к стремительно развивающемуся технологическому окружению и требованиям всевозможных стандартов и регламентов. Кроме того, при осуществлении любой транзакции используется сложная экосистема, в которой представлено множество точек потенциальных угроз, поэтому защита финансовых данных – далеко не самая простая задача.

Так какие же шаги следует предпринять бизнесу для того, чтобы защитить конфиденциальные данные?

Где находятся уязвимости?

Что такое SafeNet, Inc.?

Основанная в 1983 году компания SafeNet, Inc. является одним из мировых лидеров в области информационной безопасности.

Решения SafeNet ориентированы на защиту высокоценной конфиденциальной информации на всем протяжении ее жизненного цикла, от центра обработки данных до облачной инфраструктуры.

Более 25 тысяч заказчиков, среди которых как коммерческие предприятия, так и правительственные учреждения, пользуются решениями SafeNet для защиты и управления доступом к конфиденциальным данным, управления рисками, обеспечения соответствия нормативным требованиям и безопасности виртуальных и облачных окружений.

Предприятиям для начала необходимо осознать природу уязвимостей. В частности, они могут возникать и в платежной экосистеме. Для успешной транзакции используется сложнейшая экосистема с множеством различных точек уязвимости и с участием сразу нескольких сторон, в том числе продавца, банка-эквайера, коммутатора и банка-эмитента карты. Степень защищенности всей экосистемы ограничена уровнем защиты ее наиболее слабого звена.

Еще одна крупная точка уязвимости – это Интернет. Сегодня многие крупные компании содержат интернет-магазин, который должен в безопасном режиме собирать и обрабатывать данные о заказчиках. Но как только заказчик совершает какую-либо покупку на таком сайте, компания теряет контроль над большей частью транзакции и не может гарантировать защиту всех его данных, поскольку при осуществлении покупок в интернет-магазине заказчики могут использовать самые разные устройства, операционные системы и браузеры. Поэтому для компаний становится все более важно защитить данные своих заказчиков на максимально раннем этапе осуществления транзакции.

Следующая уязвимость заключается в расхождении между требованиями стандартов и регламентов и уровнем безопасности. Продавцам приходится выполнять требования различных регламентов, связанных с хранением пользовательских данных и обработкой транзакций, таких как стандарт Payment Card Industry Data Security Standard (PCI DSS).

По данным нашего опроса о безопасности платежей Secure Payments Survey, треть респондентов тратит более шести недель в год на то, чтобы обеспечить соответствие своих бизнес-процессов требованиям регламентов в отношении работы с платежными картами, при этом в регламентах не учтен ряд основных зон уязвимостей в платежной экосистеме. В итоге это приводит к катастрофическим последствиям.

Почему наилучшим подходом является подход «безопасных утечек»?

Цифры говорят о многом

В третьем квартале 2014 года потребители столкнулись с большим числом различных угроз безопасности и конфиденциальности данных – хакерам удалось осуществить крупномасштабные атаки на организации, предоставляющие финансовые услуги, на предприятия розничной торговли, а также на учетные записи и персональную информацию пользователей.

Таковы лишь некоторые результаты Индекса критичности утечек данных (BLI) за третий квартал 2014 года, опубликованного в середине ноября этого года.

За период с июля по сентябрь этого года в мире было зафиксировано 320 утечек данных, что на 25% выше числа утечек за аналогичный период прошлого года.

При этом было похищено или утеряно более 183 миллионов учетных записей пользователей или пользовательских данных, содержащих персональную или финансовую информацию.

Произошедшие утечки связаны главным образом с работой пользователей с онлайн-банками, осуществлением покупок и с их учетными записями в онлайн-сервисах.

По количеству скомпрометированных учетных записей и пользовательских данных на первом месте среди всех отраслей находятся компании, оказывающие финансовые услуги (42%), и предприятия розничной торговли (31%).

Следующей по распространенности сферой утечек стали утечки учетных записей в различных персональных и технологических сервисах (20%), в том числе от электронной почты, игровых учетных записей и прочих сервисов облачных вычислений.

По типу скомпрометированных данных наиболее распространенным видом утечек стало хищение идентификационных данных (Identity Theft) – на их долю пришлось 46% от всего количества утечек.

К сожалению, в указанном исследовании Индекса критичности утечек данных (BLI) не использовались данные по России, т.к. SafeNet учитывала только те данные, которые были в открытом доступе.

Использование данных преимущественно из Европы и США объясняется прежде всего особенностями законодательства. Так, в США компании в соответствии с законом обязаны сообщать обо всех утечках данных (иначе они подпадают под запрет сокрытия важной информации от инвесторов и клиентов), которые случаются.

В РФ такие правовые нормы не закреплены, что объясняет отсутствие данных по России в открытом доступе и соответственно в нашем исследовании.

С учетом столь большого количества точек уязвимости организациям следует реализовывать стратегии, строящиеся вокруг данных. Это означает использование подхода «безопасных утечек» для защиты конфиденциальных данных, даже если они находятся в ненадежном окружении, не поддающемся контролю.

Сегодня наиболее действенным методом защиты является технология сквозного шифрования Point-to-Point Encryption (P2PE).

Вместо того, чтобы сосредоточиться на отдельных точках уязвимостей, технология P2PE использует специальные платежные терминалы для шифрования данных платежных карт на максимально ранних этапах их получения, тем самым гарантируя, что данные остаются в зашифрованном виде до своего поступления в платежный шлюз.

Это означает, что даже если внешнему злоумышленнику удается обойти защиту периметра или неавторизованный пользователь изнутри организации пытается организовать утечку или похитить данные, то данные будут защищены.

Этот подход позволяет не только повысить уровень безопасности, но и значительно сузить область применения стандартов PCI DSS для предприятий любых размеров. Фактически недавние утечки в розничной торговле, в том числе в розничной сети Office и в eBay, могли быть в значительной степени смягчены за счет использования сквозного шифрования.

И тем не менее согласно результатам нашего исследования только 24% респондентов в настоящее время внедряют решения P2PE.

Уделять внимание деталям

Организациям, работающим с конфиденциальными данными, необходимо обеспечивать определенные гарантии как для защиты от угроз безопасности, так и для обеспечения соответствия требованиям конфиденциальности и безопасности.

Однако внедрение шифрования – это только часть общего решения. Ключи шифрования необходимо хранить в безопасном и надежном окружении. Удивительно, но одна из наиболее частых ошибок, совершаемых организациями, заключается в том, что они хранят ключи шифрования там же, где хранятся сами данные, в результате чего конфиденциальная информация подвергается значительному риску.

Возможно, проблема заключается в том, что сегодня многие команды, отвечающие за управление ключами, либо сами по себе очень невелики и рассредоточены, либо создают значительную нагрузку для компаний с точки зрения обеспечения соответствия законодательным нормам.

Согласно полученным результатам нашего исследования в двух третях опрошенных компаний управлением ключами занимаются до четырех человек. Поэтому для успешного выполнения административных требований и целей безопасности необходимо, чтобы команды безопасности начинали использовать более централизованные, эффективные и защищенные платформы для управления ключами.

Индекс критичности данных

Он универсален. Любая компания может пройти по ссылке http://www.breachlevelindex.com/#!risk-assessment и, заполнив табличку, рассчитать индекс.

Для этого надо ввести следующие данные: количество записей данных, которые подверглись утечке, тип данных (email, учетные записи пользователей, банковские аккаунты, ID и др.), источник утечки, как были использованы украденные данные, место положения компании и сфера ее деятельности.

Расчет индекса критичности утечки данных, как и весь сайт, является общедоступным и абсолютно бесплатным.

Оценка происходит по 10-балльной шкале, в зависимости от критичности: так, показатель 1-2.9 означает, что риск минимальный, в то время как 9-10 свидетельствует о катастрофической угрозе.

Организациям следует инвестировать в стандартизированную корпоративную платформу управления ключами или в стратегию, которая может использоваться для управления ключами на всем протяжении их жизненного цикла. Такая стратегия должна включать определенные методы для ограничения доступа к ключам, порядок выпуска и распределения этих ключей, а также меры защиты этих ключей при их хранении.

В отсутствие таких мер профессиональный хакер имеет возможность скопировать, модифицировать или даже подделывать ключи, чтобы затем получить доступ к данным о платежных картах.

Стратегия безопасности, в основе которой лежат данные

Поскольку попытки взлома фактически становятся повседневным явлением, основной вопрос заключается уже не в том, смогут ли злоумышленники вообще взломать систему, а скорее в том, когда это произойдет. Поэтому крайне важно применять передовые методы защиты данных. ИТ-директора уже давно считают, что когда речь заходит о защите от угроз безопасности, то лучшая защита – это нападение. Но в новых реалиях безопасности ключевым фактором в стратегии защиты является шифрование.

Конфиденциальную информацию компаниям необходимо защищать на всем протяжении ее жизненного цикла, а это означает, что применение подхода централизованного управления ключами и внедрение технологии P2PE будет иметь особое значение. Только использование подобного подхода, в основе которого лежат данные, позволяет компаниям оставаться в безопасности и быть уверенными, что их данные защищены, даже в случае безопасной утечки.

***

Если вы опасаетесь, что ваша компания может пострадать от утечки данных, предлагаем вам ознакомиться с нашим опубликованным индексом критичности утечек данных: http://www.breachlevelindex.com.

Мнение эксперта.
Сквозное шифрование – перспективная хотя пока не массовая технология

СЕРГЕЙ ПОТАНИН, начальник управления информационной безопасности банка «СОЮЗ»

Безусловно, технология сквозного шифрования P2PE будет востребована отечественными банками, так как ее использование рекомендовано в Стандарте PCI DSS для передачи данных по эквайринговой сети, в сети банкоматов и POS-терминалов.

Но пока она применяется не часто. Хотя, поскольку это требование в Стандарте уже есть, многие банки присматриваются к решениям, которые есть на рынке, и через какое-то время использование сквозного шифрования станет массовым.

Надо отметить, что сейчас все еще остается открытым вопрос, насколько целесообразно вообще использование или приобретение банками нового импортного программного обеспечения, произведенного в странах, участвующих в санкционном режиме, примененном к нашей стране.

Думаю, у отечественных разработчиков программного обеспечения есть хороший шанс заполнить нишу подобных технологий в ближайшей перспективе.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи