Payment Card Industry Data Security Standard был разработан PCI Security Standards Council и является набором рекомендаций и "лучших практик" по обеспечению безопасности информации о платежных картах (номер, дата истечения, данные о владельце, параметры магнитной полоски и т.д.). Любой бизнес, так или иначе занимающийся обработкой платежных карт, "обязан"следовать этому стандарту в той части своей ИТ-инфраструктуры, которая непосредственно задействована в обработке подобной информации. Это значит, что под требования стандарта подпадают только те сетевые сегменты и ИТ-системы, которые хранят, обрабатывают или передают информацию о пластиковых картах. Слово "обязан" заключено в кавычки потому, что PCI:DSS является т.н. индустриальным стандартом и его несоблюдение не преследуется по закону (пока).
Противоречивость PCI:DSS состоит в том, что не смотря на целесообразность его требований, некоторые громкие кражи информации о платежных картах в последние годы были совершены как раз в компаниях, имеющих статус соответствия этому стандарту. Причины этого, на первый взгляд, недоразумения могут показаться неявными или даже мистическими. Первое что приходит обычно в голову: наши сертифицированные аудиторы (aka Qualified Security Assessors) нас обманули. У некоторых жертв кардеров были даже порывы судиться с QSA, но на моей памяти дальше эмоциональных заявлений дело не шло, видать обломалось что-то... Но не суть. В этом посте я хочу поделиться своими соображениями на тему почему PCI:DSS это полный облом и кто в этом виноват.
Первая причина -- это традиционное отношение бизнеса к ИБ. С точки зрение менеджмента, безопасность бизнесу не только не помогает, а зачастую даже вредит. Бизнес на подъеме не хочет безопасности, потому что она затормозит его бурное развитие. Бизнес на спаде не хочет безопасности, потому что... да потому что денег нет вообще, а не то, что на вашу безопасность. Единственное, что нужно бизнесу -- это тот business enabler, который дает соответствие тем или иным стандартам в области ИБ. Например, соответствие SOX позволяет размещать акции на бирже, а соответствие PCI:DSS -- принимать платежи через электронные платежные системы. То есть, все что по сути нужно бизнесу -- это заключение внешнего аудитора о его (бизнеса) соответствии стандарту. Красивые галочки в симпатичном чек-листе. К сожалению, для безопасности этого мало.
Вторая причина -- это отношение к безопасности как проекту, а не как к процессу. Проект это нечто разовое, после завершения которого бизнес становится сертифицированным и может забыть о безопасности до следующего периодического аудита. А за пару недель до этого аудита админы немного понервничают, все прилижут и будут готовы в "внезапному" визиту, после которого -- еще пол года спокойной и радостной жизни. Процесс же -- это непрерывное поддержание инфраструктуры в "боевом" состоянии. В этой форме безопасность максимально эффективна, а визит внешнего аудитора превращается в сущую формальность. К сожалению, зачастую бизнес все еще мыслит категориями проектов, а не процессов. Согласитесь, нам это очень свойственно: срубить бабла по-бырику, а потом хоть трава не расти.
Третья причина -- неправильное трактование самого стандарта. PCI:DSS -- это описание тех процессов, выполняя которые компания будет хранить и обрабатывать клиентские данные в сравнительной безопасности. Описание на достаточно высоком уровне, без глубокой детализации. К сожалению, такой подход порождает полную неразбериху в головах менеджеров. Руководство ориентируется не на проблемы, а на решения; ищет панацею и решительно шагает дальше. Давайте купим файерволл (с), установим антивирус, зашифруем диски на лаптопах и окажемся в безопасности. Как, этого мало? Да вам, ребята, не угодить...
Менеджеры -- это еще только пол беды. Вторая половина -- это некомпетентные кадры в сфере ИТ и ИБ, либо же их отсутствие. Маленькой компании, принимающей к оплате пластиковые карты, отдельное подразделение, занимающееся ИБ, просто не по карману. В большой же корпорации, в силу необразованности высшего руководства в вопросах информационной безопасности, а так же по причине дефицита квалифицированного персонала, возникает риск "воцарения" в компании ложного ощущения безопасности. Казлось бы и служба ИБ есть, и люди там работают вроде бы неглупые, а в итоге бюджет на ИБ уходит на "решения" несуществующих проблем. При этом актуальные проблемы остаются нерешенными, а для возникающих факапов всегда находятся объяснения типа "у нас мало людей", "у нас мало денег" и т.п. Как вы думаете, такие люди способны реализовать прогрессивные веяния PCI:DSS в конкретных контролях и контр-мерах? Очень вряд ли, одна надежда на то, что продавец-интегратор порекомендует адекватное "решение".
Есть еще четвертая причина, она созвучна с третьей, но только шишки полетят в сторону PCI SSC. Во-первых, стандарт не безупречен. Вот вам пример , когда соблюдение требований стандарта привносит уязвимость. Во-вторых, его действительно следовало сделать более приземленным и детализированным, спуститься как можно ниже по лестнице абстракции. До конкретных настроек ОС и ПО, если хотите. В таком случае следовать ему смогли бы даже самые мелкие компании. К сожалению, -- это утопия, так как никому это не нужно. Существует мнение, что основной целью PCI:DSS является не защита клиентских данных, а трансфер рисков ИБ с могучих плеч VISA, Mastercard & AmEx на тощие плечики мерчантов и сервис-провайдеров. В каждой шутке, как говориться, есть доля шутки. И я не склонен полагать, что в ближайшем будущем ситуация с ИБ в бизнесе электронных платежей существенно улучшится.
