Թվային անվտանգությունը նոր կանոններ է ձեռք բերել, և քարտային տվյալներ մշակող ընկերությունները պետք է հարմարվեն դրանց: PCI անվտանգության ստանդարտների խորհրդի (PCI SSC) կողմից սահմանված վճարային քարտերի արդյունաբերության տվյալների անվտանգության ստանդարտի (PCI DSS) 4.0 տարբերակի գալուստով փոփոխությունները նշանակալի են և անմիջականորեն ազդում են հաճախորդների տվյալների պաշտպանության և վճարային տվյալների պահպանման, մշակման և փոխանցման վրա: Բայց ի՞նչն է իրականում փոխվում:
Հիմնական փոփոխությունը թվային անվտանգության ավելի բարձր մակարդակի անհրաժեշտությունն է։ Ընկերությունները ստիպված կլինեն ներդրումներ կատարել առաջադեմ տեխնոլոգիաների մեջ, ինչպիսիք են հուսալի կոդավորումը և բազմագործոն նույնականացումը։ Այս մեթոդը պահանջում է առնվազն երկու ստուգման գործոն՝ համակարգերին, հավելվածներին կամ գործարքներին մուտք գործելու թույլտվությունից առաջ օգտատիրոջ ինքնությունը հաստատելու համար, ինչը դժվարացնում է հաքերային հարձակումը, նույնիսկ եթե հանցագործները մուտք են գործում գաղտնաբառերի կամ անձնական տվյալների։
Օգտագործված նույնականացման գործոնների շարքում են՝
- Ինչ-որ բան, որ օգտատերը գիտի ՝ գաղտնաբառեր, PIN կոդեր կամ անվտանգության հարցերի պատասխաններ։
- Ինչ-որ բան, որ օգտատիրոջ մոտ կա ՝ ֆիզիկական տոկեններ, հաստատման կոդերով SMS, նույնականացման հավելվածներ (օրինակ՝ Google Authenticator) կամ թվային վկայականներ։
- Ինչ-որ բան, որին օգտատերն է պատկանում ՝ թվային, դեմքի, ձայնի կամ ծիածանաթաղանթի ճանաչման կենսաչափական տվյալներ։
«Պաշտպանության այս շերտերը շատ ավելի դժվար են դարձնում չարտոնված մուտքը և ապահովում են զգայուն տվյալների ավելի մեծ անվտանգություն», - բացատրում է նա։
«Հակիրճ ասած, մենք պետք է ուժեղացնենք հաճախորդների տվյալների պաշտպանությունը՝ իրականացնելով լրացուցիչ միջոցառումներ՝ չարտոնված մուտքը կանխելու համար», - բացատրում է Վագներ Էլիասը, Conviso-ի գործադիր տնօրենը, որը ծրագրային անվտանգության լուծումների մշակող է: «Այլևս խոսքը «անհրաժեշտության դեպքում հարմարվելու» մասին չէ, այլ կանխարգելիչ գործողությունների մասին», - ընդգծում է նա:
Նոր կանոնների համաձայն, ներդրումը տեղի է ունենում երկու փուլով. առաջինը՝ 13 նոր պահանջներով, վերջնաժամկետ ուներ մինչև 2024 թվականի մարտը: Երկրորդ, ավելի պահանջկոտ փուլը ներառում է 51 լրացուցիչ պահանջ և պետք է կատարվի մինչև 2025 թվականի մարտի 31-ը: Այլ կերպ ասած, նրանք, ովքեր չեն նախապատրաստվի, կարող են ենթարկվել խիստ պատժամիջոցների:
Նոր պահանջներին հարմարվելու համար հիմնական գործողություններից մի քանիսն են՝ firewall-ների և հուսալի պաշտպանության համակարգերի ներդրումը, տվյալների փոխանցման և պահպանման մեջ կոդավորման կիրառումը, կասկածելի մուտքի և գործունեության անընդհատ մոնիթորինգը և հետագծումը, խոցելիությունները հայտնաբերելու համար գործընթացների և համակարգերի անընդհատ փորձարկումը, ինչպես նաև խիստ տեղեկատվական անվտանգության քաղաքականության ստեղծումը և պահպանումը։
Վագները ընդգծում է, որ գործնականում սա նշանակում է, որ քարտային վճարումներ կատարող ցանկացած ընկերություն պետք է վերանայի իր ամբողջ թվային անվտանգության կառուցվածքը: Սա ներառում է համակարգերի թարմացում, ներքին քաղաքականության ամրապնդում և թիմերի վերապատրաստում՝ ռիսկերը նվազագույնի հասցնելու համար: «Օրինակ, էլեկտրոնային առևտրի ընկերությունը պետք է ապահովի, որ հաճախորդների տվյալները լինեն ծայրից ծայր կոդավորված, և որ միայն լիազորված օգտատերերը հասանելիություն ունենան զգայուն տեղեկատվությանը: Մյուս կողմից, մանրածախ առևտրի ցանցը պետք է ներդնի մեխանիզմներ՝ հնարավոր խարդախության փորձերի և տվյալների արտահոսքի անընդհատ մոնիթորինգի համար», - բացատրում է նա:
Բանկերը և ֆինանսական տեխնոլոգները նույնպես պետք է ամրապնդեն իրենց նույնականացման մեխանիզմները՝ ընդլայնելով այնպիսի տեխնոլոգիաների օգտագործումը, ինչպիսիք են կենսաչափական և բազմագործոն նույնականացումը: «Նպատակն է գործարքներն ավելի անվտանգ դարձնել՝ առանց հաճախորդի փորձը վտանգելու: Սա պահանջում է հավասարակշռություն պաշտպանության և օգտագործելիության միջև, ինչը ֆինանսական ոլորտը վերջին տարիներին կատարելագործել է», - ընդգծում է նա:
Բայց ինչո՞ւ է այս փոփոխությունն այդքան կարևոր։ Առանց չափազանցության կարելի է ասել, որ թվային խարդախությունը գնալով ավելի բարդ է դառնում։ Տվյալների արտահոսքը կարող է հանգեցնել միլիոնավոր դոլարների կորուստների և անդառնալի վնասի հաճախորդների վստահությանը։
Վագներ Էլիասը զգուշացնում է. «Շատ ընկերություններ դեռևս որդեգրում են ռեակտիվ մոտեցում՝ անվտանգության մասին մտահոգվելով միայն հարձակման տեղի ունենալուց հետո։ Այս վարքագիծը մտահոգիչ է, քանի որ անվտանգության խախտումները կարող են հանգեցնել զգալի ֆինանսական կորուստների և անդառնալի վնասի կազմակերպության հեղինակությանը, որը կարելի է կանխել կանխարգելիչ միջոցառումներով»։
Նա նաև ընդգծում է, որ այս ռիսկերից խուսափելու համար գլխավորը նոր ծրագրի մշակման սկզբից կիրառական անվտանգության գործելակերպեր ներդնելն է՝ ապահովելով, որ ծրագրային ապահովման մշակման ցիկլի յուրաքանչյուր փուլ արդեն ունենա պաշտպանիչ միջոցառումներ: Սա ապահովում է, որ պաշտպանիչ միջոցառումները ներդրվեն ծրագրային ապահովման կյանքի ցիկլի բոլոր փուլերում, ինչը շատ ավելի արդյունավետ է ծախսարդյունավետության առումով, քան միջադեպից հետո վնասի վերականգնումը:
Հարկ է նշել, որ սա ամբողջ աշխարհում աճող միտում է։ Mordor Intelligence-ի տվյալներով՝ հավելվածների անվտանգության շուկան, որը 2024 թվականին գնահատվել է 11.62 միլիարդ դոլար, կանխատեսվում է, որ մինչև 2029 թվականը կհասնի 25.92 միլիարդ դոլարի։
Վագները բացատրում է, որ DevOps-ի նման լուծումները թույլ են տալիս մշակել կոդի յուրաքանչյուր տող՝ օգտագործելով անվտանգ մեթոդներ, բացի ներթափանցման թեստավորումից և խոցելիության նվազեցման նման ծառայություններից: «Անվտանգության անընդհատ վերլուծություն և թեստավորման ավտոմատացում անցկացնելը թույլ է տալիս ընկերություններին համապատասխանել կանոնակարգերին՝ առանց արդյունավետությունը վտանգելու», - ընդգծում է նա:
Ավելին, մասնագիտացված խորհրդատվական ծառայությունները կարևոր են այս գործընթացում, որոնք օգնում են ընկերություններին հարմարվել նոր PCI DSS 4.0 պահանջներին: «Ամենապահանջված ծառայությունների շարքում են Penetration Testing-ը, Red Team-ը և երրորդ կողմի անվտանգության գնահատումները, որոնք օգնում են բացահայտել և շտկել խոցելիությունները, նախքան դրանք կարող են շահագործվել հանցագործների կողմից», - բացատրում է նա:
Քանի որ թվային խարդախությունը գնալով ավելի բարդանում է, տվյալների անվտանգությունը անտեսելը այլևս տարբերակ չէ: «Կանխարգելիչ միջոցառումների մեջ ներդրումներ կատարող ընկերությունները ապահովում են իրենց հաճախորդների պաշտպանությունը և ամրապնդում իրենց շուկայական դիրքը: Նոր ուղեցույցների ներդրումը, առաջին հերթին, կարևոր քայլ է ավելի անվտանգ և ավելի հուսալի վճարային միջավայր կառուցելու ուղղությամբ», - եզրափակում է նա:
