Токенизация не спасла бы розничные сети от массовых взломов

Специалисты по информационной безопасности предостерегают: кибермошенники орудуют не только в супермаркетах, но и в аэропортах, на станциях метро и на парковках.

Источник: Википедия


По данным экспертов, информацию по кредитным картам крадут, пока она не зашифрована, из кассовых аппаратов

13:45 05.05.2015   |   2841 |  Мария Королов |  CSO Magazine, США

Рубрика Предприятие



Токенизация — замена номеров платежных карт и других конфиденциальных данных на случайные цепочки символов — во многих случаях может быть надежной альтернативой шифрованию, однако она не помогла бы предотвратить большинство происшедших за последние два года взломов сетей розничной торговли.

Совет по стандартам безопасности ведущей международной организации индустрии платежных карт, Payment Card Industry, недавно опубликовал рекомендации для поставщиков технологий и торговых компании, как с помощью токенизации уменьшить объем хранимой в их системах информации по картам.

«Токенизация — один из способов ограничить количество мест, где хранятся данные о держателях карт, — объясняет директор совета по технологиям Трой Лич. — Если уменьшить подмножество систем, которые надо защищать, это позволит укрепить безопасность в целом и упростить выполнение нормативных требований».

Но, как указывалось в недавнем докладе компании Creative Breakthroughs, если бы у всех 22 организаций розничной торговли, ставших жертвами утечек, была система токенизации, 59% брешей устранить было бы нельзя, и 97% украденных записей (в общей сложности 154 млн) все равно были бы похищены.

Причина? Большинство утечек произошло на кассовом аппарате — еще до того, как данные можно было токенизировать.

«Токенизация происходит после того, как карту вставят в терминал; когда она завершится, данные защищены, — говорит Вольфганг Герлих, директор по стратегии кибербезопасности Creative Breakthroughs. — Но в памяти аппарата данные присутствуют в открытом виде».

Только 41% инцидентов в торговых сетях было связано с атаками на базы данных или серверы, где токенизация позволила бы защитить данные.

«Подобное происходит всегда, когда повсеместно вводится какое-либо новое средство контроля: атакующие переключают внимание от защищенного участка системы на самое слабое место», — отмечает Герлих.

Вредоносы, используемые для кражи данных с кассовых аппаратов и платежных терминалов, получили название «RAM-скрейперы» (RAM scraper).

По информации Trend Micro, за первые девять месяцев 2014 года было выявлено больше новых RAM-скрейперов, чем за все предыдущие три года. Кроме того, только за март было найдено два новых семейства этих вредоносов.

После прошлогодних атак на крупные торговые сети вроде Target и Home Depot злоумышленники расширили свою активность, отмечает старший исследователь угроз Trend Micro Нумаан Хук в докладе, опубликованном компанией в этом году: «Мошенники уже орудуют не только в супермаркетах, но и в аэропортах, на станциях метро и на парковках».

В платежной системе ApplePay применяется токенизация, но уязвимости на точке продажи нет, поскольку в оплате не участвует физическая карта.

Данные токенизируются, когда карту регистрируют в iPhone, и это как раз тот момент, на который нацелены взломщики: они научились регистрировать в смартфонах информацию по картам, похищенную в других системах.

«Чем раньше в цепочке обработки происходит токенизация данных, тем менее уязвим процесс оплаты, — указывает Герлих. — Благодаря выполнению токенизации еще на этапе регистрации и избавлению от физической карты ApplePay защищена от большинства традиционных способов кражи информации».


Теги: Информационная безопасность торговля Платежные системы PCI DSS
На ту же тему: