Лічбавая бяспека толькі што атрымала новыя правілы, і кампаніі, якія апрацоўваюць дадзеныя картак, павінны адаптавацца. З з'яўленнем версіі 4.0 Стандарту бяспекі дадзеных індустрыі плацежных картак (PCI DSS), устаноўленага Саветам па стандартах бяспекі PCI (PCI SSC), змены значныя і непасрэдна ўплываюць на абарону дадзеных кліентаў і на тое, як захоўваюцца, апрацоўваюцца і перадаюцца дадзеныя плацяжоў. Але што сапраўды змяняецца?
Асноўнае змяненне — неабходнасць яшчэ больш высокага ўзроўню лічбавай бяспекі. Кампаніям давядзецца інвеставаць у перадавыя тэхналогіі, такія як надзейнае шыфраванне і шматфактарная аўтэнтыфікацыя. Гэты метад патрабуе як мінімум двух фактараў праверкі для пацверджання асобы карыстальніка перад тым, як даць доступ да сістэм, праграм або транзакцый, што ўскладняе ўзлом, нават калі злачынцы атрымліваюць доступ да пароляў або асабістых дадзеных.
Сярод выкарыстоўваных фактараў аўтэнтыфікацыі:
- Нешта, што ведае карыстальнік : паролі, PIN-коды або адказы на пытанні бяспекі.
- Нешта, што ёсць у карыстальніка : фізічныя токены, SMS з кодамі праверкі, праграмы аўтэнтыфікацыі (напрыклад, Google Authenticator) або лічбавыя сертыфікаты.
- Нешта, чым з'яўляецца карыстальнік : лічбавыя біяметрычныя дадзеныя, распазнаванне твару, голасу або вясёлкавай абалонкі рота.
«Гэтыя ўзроўні абароны значна ўскладняюць несанкцыянаваны доступ і забяспечваюць большую бяспеку канфідэнцыйных дадзеных», — тлумачыць ён.
«Карацей кажучы, нам трэба ўзмацніць абарону дадзеных кліентаў, укараніўшы дадатковыя меры для прадухілення несанкцыянаванага доступу», — тлумачыць Вагнер Эліяс, генеральны дырэктар Conviso, распрацоўшчыка рашэнняў для бяспекі прыкладанняў. «Гаворка ідзе ўжо не пра «адаптацыю пры неабходнасці», а пра прафілактычныя дзеянні», — падкрэслівае ён.
Згодна з новымі правіламі, рэалізацыя адбываецца ў два этапы: першы, з 13 новымі патрабаваннямі, меў тэрмін выканання ў сакавіку 2024 года. Другі, больш складаны этап, уключае 51 дадатковае патрабаванне і павінен быць выкананы да 31 сакавіка 2025 года. Іншымі словамі, тыя, хто не падрыхтуецца, могуць сутыкнуцца з сур'ёзнымі штрафамі.
Каб адаптавацца да новых патрабаванняў, некаторыя з ключавых дзеянняў ўключаюць: укараненне брандмаўэраў і надзейных сістэм абароны; выкарыстанне шыфравання пры перадачы і захоўванні дадзеных; пастаянны маніторынг і адсочванне падазронага доступу і актыўнасці; пастаяннае тэставанне працэсаў і сістэм для выяўлення ўразлівасцяў; а таксама стварэнне і падтрыманне строгай палітыкі інфармацыйнай бяспекі.
Вагнер падкрэслівае, што на практыцы гэта азначае, што любой кампаніі, якая апрацоўвае плацяжы па картах, трэба будзе перагледзець усю сваю структуру лічбавай бяспекі. Гэта ўключае ў сябе абнаўленне сістэм, умацаванне ўнутранай палітыкі і навучанне каманд для мінімізацыі рызык. «Напрыклад, кампанія электроннай камерцыі павінна будзе гарантаваць, што дадзеныя кліентаў шыфруюцца ад канца да канца і што толькі аўтарызаваныя карыстальнікі маюць доступ да канфідэнцыйнай інфармацыі. З іншага боку, рознічная сетка павінна будзе ўкараніць механізмы для пастаяннага маніторынгу магчымых спроб махлярства і ўцечак дадзеных», — тлумачыць ён.
Банкам і фінтэх-кампаніям таксама трэба будзе ўмацаваць свае механізмы аўтэнтыфікацыі, пашырыўшы выкарыстанне такіх тэхналогій, як біяметрыя і шматфактарная аўтэнтыфікацыя. «Мэта складаецца ў тым, каб зрабіць транзакцыі больш бяспечнымі без шкоды для абслугоўвання кліентаў. Гэта патрабуе балансу паміж абаронай і зручнасцю выкарыстання, што фінансавы сектар удасканальвае ў апошнія гады», — падкрэслівае ён.
Але чаму гэта змяненне такое важнае? Не будзе перабольшаннем сказаць, што лічбавае махлярства становіцца ўсё больш складаным. Уцечкі дадзеных могуць прывесці да страт на мільёны долараў і непапраўнай шкоды даверу кліентаў.
Вагнер Эліяс папярэджвае: «Многія кампаніі ўсё яшчэ выкарыстоўваюць рэактыўны падыход, турбуючыся пра бяспеку толькі пасля таго, як адбылася атака. Такая паводзіны выклікае занепакоенасць, бо парушэнні бяспекі могуць прывесці да значных фінансавых страт і непапраўнай шкоды рэпутацыі арганізацыі, чаго можна было б пазбегнуць з дапамогай прафілактычных мер».
Ён далей падкрэслівае, што для пазбягання гэтых рызык галоўнае — укараняць практыкі бяспекі прыкладанняў з самага пачатку распрацоўкі новага прыкладання, гарантуючы, што кожны этап цыкла распрацоўкі праграмнага забеспячэння ўжо мае ахоўныя меры. Гэта гарантуе, што ахоўныя меры будуць рэалізаваны на ўсіх этапах жыццёвага цыклу праграмнага забеспячэння, што значна больш эканамічна эфектыўна, чым ліквідацыя шкоды пасля інцыдэнту.
Варта адзначыць, што гэта расце тэндэнцыя ва ўсім свеце. Паводле звестак Mordor Intelligence, рынак бяспекі прыкладанняў, які ў 2024 годзе ацэньваўся ў 11,62 мільярда долараў, да 2029 года, як чакаецца, дасягне 25,92 мільярда долараў.
Вагнер тлумачыць, што такія рашэнні, як DevOps, дазваляюць распрацоўваць кожны радок кода з выкарыстаннем бяспечных практык, а таксама прапануюць такія паслугі, як тэставанне на пранікненне і змякчэнне ўразлівасцей. «Правядзенне пастаяннага аналізу бяспекі і аўтаматызацыі тэставання дазваляе кампаніям выконваць правілы без шкоды для эфектыўнасці», — падкрэслівае ён.
Акрамя таго, у гэтым працэсе важныя спецыялізаваныя кансалтынгавыя паслугі, якія дапамагаюць кампаніям адаптавацца да новых патрабаванняў PCI DSS 4.0. «Сярод найбольш запатрабаваных паслуг — тэсціраванне на пранікненне, Red Team і ацэнкі бяспекі трэцімі асобамі, якія дапамагаюць выяўляць і выпраўляць уразлівасці, перш чым імі змогуць скарыстацца злачынцы», — тлумачыць ён.
Паколькі лічбавае махлярства становіцца ўсё больш складаным, ігнараваць бяспеку дадзеных больш нельга. «Кампаніі, якія інвестуюць у прафілактычныя меры, забяспечваюць абарону сваіх кліентаў і ўмацоўваюць свае пазіцыі на рынку. Укараненне новых рэкамендацый — гэта, перш за ўсё, важны крок да стварэння больш бяспечнага і надзейнага асяроддзя плацяжоў», — робіць выснову ён.
