Безопасность платежной экосистемы в ритейле: основные проблемы и кейс Эльдорадо

В недавнем исследовании потребительской лояльности компания Gemalto выявила, что более половины респондентов не считают, что компании относятся достаточно серьёзно к защите и безопасности данных потребителей. Даже более пугающим является то, что 65% респондентов отметили, что не будут вести бизнес с компаниями, у которых случаются утечки данных с финансовой информацией.

Их соображения понятны – как ритейлерам, так и финансовым организациям пришло время задуматься о защите персональной информации и данных транзакций клиентов с надёжным шифрованием и многофакторной аутентификацией. Уже недостаточно «поставить галочку» о соответствии требованиям PCI DSS. Компаниям необходимо сфокусироваться на безопасных решениях для ритейл-транзакций или рисковать проиграть конкурентам, которые будут это делать.

Платежная экосистема в ритейле является сложной и весьма уязвимой для атак. Есть шесть основных точек уязвимости всей экосистемы, каждая со своей собственной слабостью, методами противодействия и ответственными за безопасность. Каждая часть экосистемы играет определенную роль в общей безопасности сделок клиентов, личной информации, а также покупательском поведении и предпочтениях. Экосистема крепка настолько, насколько сильно ее самое слабое звено, и каждый ответственный за безопасность должен удостовериться, что защищены не только данные транзакции, но также и устройства, приложения, сети, центры обработки данных, которые также используются в процессе.


Проблема: Когда один из ваших клиентов использует для транзакции свою кредитную карту, данные карты попадают в сложную платежную экосистему, где устройства и приложения различных уровней безопасности отвечают за то, что платежи дойдут до назначенного адресата. Этот процесс начинается, когда карта проводится через считывающее устройство или подносится к NFC устройству, и оно получает данные. Отсюда данные перемещаются по экосистеме, начиная со считывающего устройства и заканчивая платежным шлюзом. Данные шифруются и дешифруются во время этого процесса несколько раз, на короткое время оставляя их уязвимыми для атаки. В дополнение к этому сложному процессу ситуация осложняется тем, что различные элементы этой платежной системы могут принадлежать различным компаниям.

---

Читайте также: Деньги потекут рекой: выбираем агрегатор приема платежей

---

Вопрос: Как я могу быть уверен, что этот сложный процесс безопасен, когда я не могу контролировать стандарты безопасности на каждом этапе?

Решение: Стандарт шифрования P2PE предлагает решение этой проблемы. Со стандартом шифрования P2PE платежные реквизиты карты шифруются специально генерируемым сессионным ключом, как только карта соприкасается со считывающим устройством. После осуществления транзакции одноразовый ключ шифрования уничтожается. Информация о карте остается в зашифрованном состоянии, пока она перемещается к терминалу в точке продаж и через локальный сервер, где данные безопасно дешифруются для дальнейшей обработки. Мастер-ключ шифрования, с использованием которого создаются сессионные ключи, хранится в изолированном аппаратном модуле безопасности или HSM (hardware security module), который находится у платежного шлюза.

Стандарт шифрования P2PE – это лучшая гарантия того, что данные кредитной карты останутся постоянно зашифрованными в течение всего платежного процесса, сохраняя ваши данные и данные ваших клиентов защищенными. Если аппаратный модуль шифрования выполняет требования PCI-P2PE и имеет описанные выше механизмы поддержки генерации одноразовых сессионных ключей DUKPT, то это может сэкономить сотни часов работы по разработке и интеграции. Брандон Бенсон (Brandon Benson), старший аналитик по безопасности SecuryMetrics, считает, что вместо того, чтобы платить персоналу или аутсорсерам за настройки сетевых экранов, сегментацию сетей, отслеживание логов и управление доступом, можно просто внедрить технологию Р2РЕ и платежный терминал. В этом случае все требования PCI сведутся к терминалу вместо всего сегмента сети между ритейлером и эквайером.

Проблема: Две наиболее слабые точки в платежной системе ритейла – это считыватели карт (или точка взаимодействия) и программные системы в точке продаж. Эти устройства и приложения высокочувствительны к угрозам внедрения вредоносного кода. В случае, если хакеры получат доступ к ключам и сертификатам, они смогут маскировать свои действия под легитимные, распространяя вредоносные коды далее по платежной экосистеме и позволяя атакующему управлять клиентскими транзакциями.

Вопрос: Как я могу предотвратить появление вредоносного кода в своих системах и защитить данные от компрометации?

Решение: В качестве основополагающего элемента любой системы, которая распространяет или получает обновления ПО, сертификат подтверждает, кто является издателем определенного программного продукта или системы, и предоставляет инструмент проверки целостности кода. Сертификаты доставляются вместе с обновлением ПО для того, чтобы пользователь перед установкой мог убедиться, что новый код происходит из легитимного источника и производителя.

Особенно серьезно ритейлеры должны относиться к использованию методов и решений безопасности, в частности, активно применять инфраструктуру подписания кода и аппаратные модули безопасности, чтобы защитить ключи и сертификаты. Это помогает защитить целостность процесса подписания кода и гарантирует, что все обновления ПО легитимны.


Проблема: В соответствии с отчетом об исследовании утечек данных Verizon 2014, использование украденных учетных записей было атакой №1 в 2013 году. В течение всего 2015 года негативная динамика не изменилась. Хакеры сканируют интернет, разыскивая системы точек продаж, которые обычно защищены слабыми паролями либо стандартными паролями (устанавливаемыми производителями по умолчанию, например, password123). Как только хакер получает доступ к узлу или системе, защищенной стандартным паролем, он может атаковать других клиентов, работающих через эту систему, или по аналогии попытаться получить контроль над другими узлами и системами тех же производителей и, вероятно, использующих тот же самый стандартный пароль. Получив доступ, а в худшем случае и полный контроль, хакер может сделать практически что угодно: от получения клиентской информации, до внедрения вредоносного ПО, которое, в том числе сможет корректировать транзакции пользователей с целью незаконного вывода денег на счета злоумышленника.

---

Читайте также: Как защититься от негативного SEO

---

Вопрос: Как я могу защитить свои пароли и гарантировать, что данные клиентов, находящиеся в наших системах, безопасны?

Решение: Есть различные пути защитить ваши устройства и приложения от этого типа атак. В первую очередь, убедитесь, что те пароли, которые высылает вам поставщик, уникальны и не используются для нескольких клиентов. Помимо этого, убедитесь, что вы не используете стандартные пароли, а вместо этого создаете сложные для доступа к вашим системам и для разных систем используете разные пароли. Во-вторых, рассмотрите возможность использования усиленной аутентификации и разграничения доступа. Это защитит информацию ваших клиентов и упорядочит доступ к классифицированным данным, и, вообще, к любым данным. С многофакторной аутентификацией вы можете сделать кражу паролей доступа бесполезной, защищая доступ к данным ваших клиентов и вашу репутацию. На текущий момент использование многофакторной аутентификации стало де-факто стандартом, как в банковском секторе, так и в других отраслях. Следует посоветовать выбирать проверенные, а в идеале, сертифицированные системы, поскольку далеко не всякая предлагаемая система аутентификации действительно ей является.


Проблема: Данные, требующие защиты и представляющие потенциальный интерес для злоумышленников, могут находиться практически в любой части вашей организации: от файлов, баз данных, приложений и веб-серверов, до хранилищ данных, например, с сетевым подключением. При этом и структурированные, и неструктурированные данные являются привлекательными и легкодоступными целями для мошенников, благодаря их объёму и релевантности. В дополнение к этому, есть потенциал угроз от инсайдеров, которые, по статистике, превалируют в общем объеме инцидентов, т.к. привилегированные аккаунты имеют беспрецедентный доступ к данным.

Традиционный периметр, который раньше позволял решить вопрос утечек данных и защитить от атак извне, больше не существует, а, значит, утечки возможны. При этом доступ неавторизованного пользователя или инсайдера к данным в месте их хранения или из доверенного сегмента сети, где работают легитимные пользователи, должен рассматриваться как вероятный сценарий атаки.

Вопрос: Смогу ли я защитить свои данные в случае внутренней или внешней атаки и предотвратить утечку важной информации?

Решение: Единственный способ защитить уязвимую информацию ваших клиентов и ваши персональные данные – это зашифровать их. Определите, где именно хранятся ваши самые ценные структурированные и неструктурированные данные. Затем внедрите надёжную стратегию шифрования данных, которая сделает файлы, содержащие ценную информацию, непригодными для использования в случае нападения, злоупотребления, хищения привилегированных учетных записей, физической кражи серверов и других потенциальных угроз. При этом должны быть учтены варианты хранения данных в традиционных или виртуальных ЦОД и в облаке.

Конечно, это звучит проще, чем выполнение всех требований и рекомендаций стандарта PCI DSS, который постоянно развивается с ростом угроз и их изощренности. Например, недавно опубликованная третья редакция стандарта помимо рекомендации шифрования ввела требования к хранению мастер-ключей, которые теперь предписано хранить в специальных аппаратных модулях.  

Хотя идея шифрования данных и может показаться очевидной, но, к сожалению, далеко не для всех. По данным сайта BreachLevelIndex.com, за первую половину 2015 года среди скомпрометированной информации процент зашифрованных данных возрос незначительно – всего до 4% от общего объема. В первой половине 2014 года этот показатель составлял около 1%.


Проблема: В процессе перемещения данных от одного участника обработки к другому, они могут подвергаться таким угрозам, как перехват, осуществляемый, например, через подсоединение к оптоволокну. Хакеры могут прикрепить к оптоволокну незаметное устройство, которое даже не потребует нарушения целостности оптовокна. Достаточно просто небольшого изгиба кабеля и специального пассивного устройства, считывающего передаваемую информацию. При использовании более интеллектуального устройства считывания можно не только снимать (воровать) информацию, но и изменять ее, что может дать злоумышленнику контроль над критичными транзакциями.

Вопрос: Как я могу защитить свои данные, даже если они выходят из-под моего контроля?

Решение: Шифрование ваших данных при передаче гарантирует, что важная информация защищена и остается неизменной. Через шифрование вы можете предотвратить чтение или просмотр документа хакерами, включая метаданные во время передачи по сети. Будь то данные, голос, видео или все вышеперечисленное, ваши данные и метаданные должны быть зашифрованы, чтобы защитить не только вашу организацию, но также ваших клиентов и сотрудников. При этом шифрование защищает не только конфиденциальность передаваемой информации, но ее целостность, что особенно важно при передаче метаданных и другой управляющей информации. Алгоритмы шифрования данных на уровне канала передачи могут быть настолько продуманными, что атакующий не сможет понять, передаются ли какие-либо данные в текущий момент времени или нет, что особенно важно, когда передается конфиденциальная или управляющая информация.

Не ждите нападения на ваши данные и ваши интересы. Начните защищать ваши каналы связи.
 
Атака: Хакеры не остановятся ни перед чем, чтобы получить контроль над межбанковскими транзакциями. Их тактика – мониторинг сетей в попытке перехватить, перенаправить или изменить данные транзакций в то время, как они перемещаются между отправляющим и принимающим банком. 

Вопрос: Как вы можете убедиться в том, что ваши данные транзакций защищены и направлены туда, куда нужно?

Предотвращение: Гарантии целостности данных потребителей и данных транзакций очень важны для операций межбанковских сетевых платежей, электронных взаимозачетов между банками, мобильных платежей и транзакций по кредитным картам. Организации должны пользоваться доверенными средами для защиты целостности цифровых приложений и транзакций. Специальные финансовые аппаратные модули безопасности используются для того, чтобы гарантировать защиту передаваемой информации, передачу корректной информации тем, кому она нужна, и только авторизованным получателям. Более того, организации должны использовать верификацию транзакций, например, такой способ, как отметка времени, для дальнейшего подтверждения, что данные не были перехвачены во время передачи.

Ключевым параметром для организаций является построение надежного криптографического фундамента, чтобы в полной мере использовать преимущества и возможности, предоставляемые банковскими приложениями, и в то же время сохранять целостность и безопасность транзакций. Отличным примером для подражания могут служить международные платежные системы, которые используют весь доступный арсенал защитных средств и считаются эталоном безопасности в мире электронных платежей.




Решения SafeNet компании Gemalto помогли «Эльдорадо», одному из крупнейших ритейл-игроков нашей страны, решить важную задачу по получению защищенного доступа к корпоративной инфраструктуре через VPN-соединения. Одна из решенных задач была связана с устранением опасности перехвата паролей при установлении удаленного доступа к корпоративным ресурсам компании.

Для того чтобы сделать перехват паролей бесполезным для злоумышленников, в процедуру аутентификации добавляется второй фактор – в данном случае одноразовый пароль (OTP – one time password). Поскольку OTP уникален для каждой сессии, даже при перехвате им нельзя воспользоваться для повторной аутентификации и несанкционированного доступа. Двухфакторная аутентификация позволяет использовать удаленный доступ, гарантируя, что доступ к корпоративной информации надежно защищен.

---

Читайте также: Без сбоев: как внедрить комплексную систему безопасности

---

Решение SafeNet Authentication Service было легко интегрировано в существующую инфраструктуру компании «Эльдорадо» – в межсетевой экран Cisco ASA, обеспечивающий доступ через VPN-соединение. Для получения доступа к корпоративной сети через ПО Cisco AnyConnect сотрудник вводит привычный логин и пароль Microsoft Active Directory, а также OTP, сгенерированный аппаратным токеном eToken Pass. Решение eToken pass представляет собой компактный брелок, содержащий генератор одноразовых паролей (OTP). Наличие отдельного аппаратного устройства – генератора случайных величин – увеличивает безопасность системы.

Для удаленно работающих контент-редакторов для защиты доступа к веб-сайту «Эльдорадо» было использовано решение SafeNet Authentication Service c программным аутентификатором GrIDSure, которое также легко и быстро интегрировалось с платформой «1С-Битрикс», на которой и работает сайт компании. Помимо безопасности решения и наличия требуемых сертификаций, включая сертификацию ФСТЭК, решение было выбрано за прекрасную возможность интеграции в используемые системы, высокий уровень автоматизации и масштабирования и естественную простоту.