Кому сообщить об инцидентах ИБ или кому нужна защита персональных данных?

Не секрет, что покопавшись на управляющих серверах бот-сетей можно найти много интересного, но вот что делать человеку, который не желает использовать разного рода ключики в корыстных целях? Можно ли сообщить о скомпрометированных данных их владельцам или собственникам сервисов? Как показал последний скандал с Group-IB, компании далеко не всегда настроены на прием данных об инцидентах.

И вот новое исследование, которое сделали ребята из Украины, говорит о том, что некоторые очень известные компании также не всегда создают систему сбора сведений об инцидентах от «добрый людей». Среди тех кому пытались сообщить об инцидентах: Ebay, Google, LinkedIn, Facebook, MSN, VISA, Mastercard, а также ряд украинских банков. Исследование действительно занятное, рекомендую.

Безопасность терминалов опаты. Диалог на СИТИ-FM

Слушать программу
Про деньги Про деньги
от 23 января
на Сити-FM

Пригласили в программу «Про деньги» на радио СИТИ-FM. Проходила она в воскресенье. Прослушать можно по ссылке вверху. Это моя первая программа в прямом эфире так что не обессудьте. Суть передачи сводилась к безопасности терминалов оплаты и банкоматов. Если с банкоматами все более или менее ясно, то проблемы безопасности терминалов не так очевидны. Собственно об этом сегодняшний пост.

Начнем со схемы работы «терминального» рынка.

Цепочка операторов следующая:

Терминальные сети – Платежная система – Компании, чьи услуги оплачиваются.

Начнем с первых — терминальные сети. Как организована их работа?:

Когда пользователь вводит деньги в терминал и набирает реквизиты для оплаты, вся сумма мгновенно падает на счет поставщика услуг (сотовому оператору, интернет-провайдеру или поставщику услуг ЖКХ) в безналичном виде. Перевод происходит при посредничестве платежной системы, с которой у владельца терминальной сети заключен договор. Наличные остаются в терминале до тех пор, пока собственник приходит освобождать купюроприемник и отвозит деньги в банк. Обычно периодичность выемки денег 1 раз в неделю. Однако большинство терминальных сетей небольшие – несколько единиц, десятков или сотен терминалов. Владельцы таких терминалов экономят на инкассации и предпочитают возить деньги в банк сами (иногда на метро). Себе владелец оставляет небольшие комиссионные, остальные деньги переводит платежной системе.

Теперь техническая часть:

В основном в платежных терминалах устанавливается пиратская Windows Embedded, иногда лицензионная Windows XP Home Edition (которая дешевле). Также собственники не гнушаются установкой ее пиратской копии. Для легальной же работы аппарата требуется лицензионная «Windows Embedded», стоящая дороже, чем «Home Edition». Очевидно, что за счет своих особенностей, Windows Embedded значительнее безопаснее обычной XP. Тоже самое касается пиратского антивируса, который не обновляется.

Почему собственники платежных терминалов не обращают много внимания на информационную безопасность? Можно выделить 2 основные причины:

1) Самые распространенные инциденты – физические взломы терминалов.
2) Жесткая конкуренция

В первом случая все понятно, число физических взломов просто колоссальное. По статистике, подавляющее число терминалов, которые устанавливают на улице, переживают хотя бы один взлом.
Что касается высокой конкуренции, то согласно экономической теории это хорошо. Однако это утверждение справедливо только для тех экономик, где ценят «правила игры» (платят налоги, покупают лицензионный софт, выполняют обязательства и т.п.). У нас же «игра не по правилам» создает конкурентное преимущество. Если владелец терминальной сети сокращает статьи расходов вроде лицензионного ПО, то у него появляется возможность, например, заниматься демпингом и продолжать свой бизнес. «Честный» конкурент с рынка уходит, т.к. его бизнес не работает даже на самоокупаемости. В результате вопросами ИБ терминальные сети занимаются очень слабо.

Отдельный разговор — номер телефона владельца. Он должен быть на каждом аппарате, однако сплошь  и рядом встречаются терминалы без указания номеров телефонов поддержки. Очень удобно для собственника, особенно, если деньги на счет клиента не дойдут (таких случаев немало).

Платежная система.

С платежными системами ситуация значительно лучше. На рынке появились монополии. Сегодня крупнейшие игроки рынка моментальных платежей — ОСМП, с маркой Qiwi (36%,), «Киберплат» (25%), E-port (13%). Они имеют хорошие обороты, прибыль и серьезно вкладываются в репутацию, поэтому инцидентов в этой части цепочки немного.

В результате самым слабым звеном остается терминальная сеть и ее собственник.

Что говорит Закон?

В настоящий момент действует закон «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами». Принимался он с большим трудом. Был редкий случай, когда Дума приняла закон в 3-х чтениях, а Совет Федерации дал отказ, после чего была создана совместная комиссия по доработке законопроекта. В результате закон вступил в действие только с 1 января 2010 года. По сути, этот закон стал первой ласточкой в регуляции этого рынка. К плюсам можно отнести:

• Определение того, что если гражданин внес моментальную оплату через терминал, то свою обязанность по оплате услуги он уже выполнил. И услуга должна быть ему предоставлена.
• Требование к собственникам терминала предоставлять информацию о размере комиссии.
• Требования к выдаваемым чекам.

Раньше эти вопросы регулировались только гражданским законодательством (ГК РФ).

Сейчас принимается новый законопроект, за которым давно и очень внимательно следит сообщество ИБ – законопроект «О национальной платежной системе» (об очередном скандале с которым я недавно говорил). Новый законопроект предполагает отмену закона «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами» и, по сути, платежные терминалы превращаются в один из элементов национальной платежной системы. По этой же причине рынок платежных терминалов начинает выглядеть более «банковским».

Итого

Все-таки технология платежных терминалов очень «нишевая». Сеть платежных терминалов в России разветвлена необычайно сильно. В сравнении с Европой у нас слишком много платежных терминалов и они значительно слабее защищены. Комиссии очень высокие. Все это делает их непривлекательными для оплаты крупных счетов (например, квартплаты). Кроме того, сегодня есть альтернативные более удобные, безопасные и безкомиссионные способы оплаты услуг.