Rambler's Top100
Все новости Новости отрасли

Сертификация не «качает» – хакер качает

31 марта 2014

Банки Trustmark National Bank и GreenBank, пострадавшие в результате атаки на Target, подали в суд на ритейлера и компанию Trustwave. Эта компания занималась вопросами безопасности безналичных платежей и, в частности, сертифицировала информационную систему Target на соответствие стандарту PCIDSS.

Trustwave впервые напрямую связали с масштабной атакой Target, пишетCrain’sChicagoBusiness. Компания проводила сканирование компьютерных систем ритейлера 20 сентября 2013 года, и не обнаружила никаких уязвимостей в компьютерных системах.

Кроме того, Trustwave предоставляет сети Target услуги круглосуточного мониторинга, который включает в себя обнаружение вторжения в системы и компрометации персональных данных или другой информации ограниченного доступа. Получается, что во время атаки (с 27 ноября по 15 декабря 2013 года) злоумышленники действовали «под наблюдением» Trustwave, говорится в тексте иска.

Trustwave также обвиняют в том, что компания вовремя не уведомила Target и общественность об атаке, как требует законодательство.

Затраты пострадавших банков только на перевыпуск кредитных карт составят около 172 млн долл., общие потери, в том числе от мошеннических операций по счетам, могут достичь 18 млрд. долл. Банки намерены компенсировать за счет Target и Trustwave понесенный ущерб.

Эдвард Феррара (EdwardFerrara) аналитик ForresterResearchInc. считает, что данный иск лишь вершина айсберга. Многие ритейлеры формально соответствуют требованиям регуляторов платежных систем, однако имеют те же проблемы с безопасностью, что и Target.

Причина довольно низкого уровня безопасности ритейлеров кроется в сложившейся практике, когда за утечку платежных данных отвечает не ритейлер, а банк, эмитировавший пластиковую карту, уверен Фрэнк Киттинг, (FrankKeating) президент Американской ассоциации банков.

Вице-президент, аналитик GartnerАвиваЛитан (AvivahLitan) считает, что сложившаяся в сфере пластиковых карт система не при чем, а сам стандарт PCIDSS неплох. Но, по аналогии с консалтинговым бизнесом, заниматься сертификацией и предоставлением услуг должны разные компании. Или хотя бы разные подразделения. Иначе возникает конфликт интересов.

Директор компании DigitalSecurity и организатор конференции PCI DSS Russia Илья Медведовский в своем твиттере обращает внимание на другой аспект этой истории. «Это хороший урок и предостережение всем любителям сертифицировать за деньги даже электровеник», пишет эксперт.

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch комментирует: «Не стоит ставить знак равенства между «Сертификацией» компании по международным стандартам информационной безопасности и «Безопасностью». Сертификат подтверждает лишь то, что компания выполняет обязательные требования, прописанные в стандарте. Да, PCIDSS довольно хороший и комплексный стандарт, обязывающий компании внедрять правильные механизмы информационной безопасности (к примеру, управлять уязвимостями, использовать средства криптографической защиты и регулярно проводить тесты на проникновение). Компании, которые следуют ему, зачастую чуть более защищены, чем те, кто его игнорирует. Но это вовсе не значит, что первые находятся в абсолютной безопасности.

В данной ситуации вина Trustwave,вероятно, не будет доказана, но доверие к ней как к аудитору, скорее всего, снизится».

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.