Рубрикатор |
Все новости | Новости отрасли |
Сертификация не «качает» – хакер качает
31 марта 2014 |
Банки Trustmark National Bank и GreenBank, пострадавшие в результате атаки на Target, подали в суд на ритейлера и компанию Trustwave. Эта компания занималась вопросами безопасности безналичных платежей и, в частности, сертифицировала информационную систему Target на соответствие стандарту PCIDSS.
Trustwave впервые напрямую связали с масштабной атакой Target, пишетCrain’sChicagoBusiness. Компания проводила сканирование компьютерных систем ритейлера 20 сентября 2013 года, и не обнаружила никаких уязвимостей в компьютерных системах.Кроме того, Trustwave предоставляет сети Target услуги круглосуточного мониторинга, который включает в себя обнаружение вторжения в системы и компрометации персональных данных или другой информации ограниченного доступа. Получается, что во время атаки (с 27 ноября по 15 декабря 2013 года) злоумышленники действовали «под наблюдением» Trustwave, говорится в тексте иска.
Trustwave также обвиняют в том, что компания вовремя не уведомила Target и общественность об атаке, как требует законодательство.
Затраты пострадавших банков только на перевыпуск кредитных карт составят около 172 млн долл., общие потери, в том числе от мошеннических операций по счетам, могут достичь 18 млрд. долл. Банки намерены компенсировать за счет Target и Trustwave понесенный ущерб.
Эдвард Феррара (EdwardFerrara) аналитик ForresterResearchInc. считает, что данный иск лишь вершина айсберга. Многие ритейлеры формально соответствуют требованиям регуляторов платежных систем, однако имеют те же проблемы с безопасностью, что и Target.
Причина довольно низкого уровня безопасности ритейлеров кроется в сложившейся практике, когда за утечку платежных данных отвечает не ритейлер, а банк, эмитировавший пластиковую карту, уверен Фрэнк Киттинг, (FrankKeating) президент Американской ассоциации банков.
Вице-президент, аналитик GartnerАвиваЛитан (AvivahLitan) считает, что сложившаяся в сфере пластиковых карт система не при чем, а сам стандарт PCIDSS неплох. Но, по аналогии с консалтинговым бизнесом, заниматься сертификацией и предоставлением услуг должны разные компании. Или хотя бы разные подразделения. Иначе возникает конфликт интересов.
Директор компании DigitalSecurity и организатор конференции PCI DSS Russia Илья Медведовский в своем твиттере обращает внимание на другой аспект этой истории. «Это хороший урок и предостережение всем любителям сертифицировать за деньги даже электровеник», пишет эксперт.
Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch комментирует: «Не стоит ставить знак равенства между «Сертификацией» компании по международным стандартам информационной безопасности и «Безопасностью». Сертификат подтверждает лишь то, что компания выполняет обязательные требования, прописанные в стандарте. Да, PCIDSS довольно хороший и комплексный стандарт, обязывающий компании внедрять правильные механизмы информационной безопасности (к примеру, управлять уязвимостями, использовать средства криптографической защиты и регулярно проводить тесты на проникновение). Компании, которые следуют ему, зачастую чуть более защищены, чем те, кто его игнорирует. Но это вовсе не значит, что первые находятся в абсолютной безопасности.
В данной ситуации вина Trustwave,вероятно, не будет доказана, но доверие к ней как к аудитору, скорее всего, снизится».
Читайте также:
Объем «слитых» персональных данных в РФ вырос на 60%
44% операторов персональных данных поддерживают введение оборотных штрафов за утечки
Объем утечек в финансовом секторе вырос в 3,2 раза
Компания Linx прошла аудит на соответствие стандарту PCI DSS
Принят законопроект об усилении ответственности за утечку персональных данных
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.