Защищенность платежных данных находится на низком уровне


InfoWatchАналитическим Центром InfoWatch был представлен первый глобальный исследовательский проект "утечек информации о банковских счетах и пластиковых картах". В ходе данного исследования удалось выявить крайне низкий уровень защищенности платежных данных. Так исследование показало, что более трети утечек в коммерческих компаниях, оперирующих банковскими картами, приходится именно на платежные данные – 34% случаев.

В отчете рассматриваются банки, процессинговые компании и организации, принимающие к оплате пластиковые карты.

Согласно цифрам исследования, утечки связаны:

  • в банках с платежными данными – 29%;
  • платежные данные в процессинговых компаниях - 31%;
  • у "ритейлеров" - 49% утечек от общего числа инцидентов.


Такие цифры полностью оправданы. Ведь "ритейлеры" очень часто просто не воспринимают всерьез возможные последствия утечек в виде репутационных и финансовых потерь. В результате они не предпринимают усилий для повышения уровня защищенности данных клиентов. В конечном итоге "ритейлеры" превратились в излюбленную мишень киберпреступников. Именно поэтому если отношение "ритейлеров" к защите информации не изменится, то в будущем оно может привести к серьезным последствиям вплоть до подрыва доверия к системе платежных карт со стороны клиентов.

Ситуация усугубляется еще и тем, что утечки платежных данных носят, в основном, злонамеренный характер. Проявление этого можно увидеть в отношении процессинговых компаний, где ¾ утечек совершаются умышленно, а доля случайных не превышает 19%. Аналогичная ситуация сложилась в банковских организациях, где – умышленно разглашается конфиденциальная информация в 80% случаев, и лишь 20% - случайно. Интересно, но высокий процент умышленных утечек через давно известные и теоретически контролируемые каналы говорит о том, что данные организации излишне полагаются на технические средства защиты и уделяют недостаточно внимания мерам организационного характера, работе с психологией сотрудников.

Каналы утечек платежной информации серьезно различаются в зависимости от типа организации. Например, в банках с незначительным количеством инцидентов, преобладают каналы, характерные для умышленных утечек:

  • потеря или кража оборудования – 42%;
  • утечки по сети – 21%;
  • через съемные носители – 6%;
  • невозможно определить канал - в 20% случаев.


Нечто подобное наблюдается и в процессинговых компаниях, разве что на кражу и потерю оборудования приходится несколько меньше – 34%. У "ритейлеров" каналы передачи информации в данных организациях защищаются одинаково плохо, однако они все равно продолжают закрывать глаза на слабость собственных систем защиты платежных данных клиентов.

Несмотря на противодействие внутренним нарушителям, ущерб от мошенничества с платежными данными все же можно снизить. Так наиболее действенными были бы меры по решению проблемы, принятые на государственном уровне, – ужесточение требований к порядку обработки и хранения платежных данных. Строгое выполнение участниками рынка правила PCI DSS, предписывающего не хранить платежные данные в информационных системах, способствовало бы кардинальному изменению ситуации в лучшую сторону.


Обновлено (13.12.2013 17:10)