Но есть и менее очевидный, хотя и значимый нюанс отлучения страны от мировой финансовой экосистемы. Российские компании больше не могут подтверждать статус квалифицированных оценщиков безопасности платежей по банковским картам. Ранее оценка процессов проводилась по международному стандарту PCI DSS. Если в стране сократится число сертифицированных экспертов - значит ли это, что вся система проверки начнет пробуксовывать? Стоит ли беспокоиться обычным владельцам карт? Как банки и маркетплейсы могут обеспечить безопасность платежей вне международной сертификации? Можно ли оперативно придумать взамен другие, национальные нормы? Разбираемся вместе с экспертом по информационной безопасности в финансовой сфере, гендиректором Itglobal.com Security Александром Зубриковым.
Что представляет собой стандарт PCI DSS?
Александр Зубриков: Этот стандарт возник как ответ на сложности, связанные с подтверждением безопасности разных платежных систем. Компании-разработчики (те же VISA и Mastercard) выработали единый подход, приведя свои требования к общему знаменателю.
Управляющий орган - Совет PCI SSC - разрабатывает новые версии стандарта, адаптирует его под бизнес-процессы по отраслям (для банков, онлайн-магазинов и так далее), а также следит за подтверждением соответствия стандарту. В частности, сертифицирует тех, кто проверяет компании на соответствие нормам PCI DSS.
Претендовать на статус оценщика (Quality Security Assessor) можно было, уже обладая двумя независимыми статусами в области информационной безопасности - например, CISA и CISSP. Подходящих по этим критериям представителей компаний приглашали сдать экзамен. В случае успеха новоиспеченный оценщик уплачивал страховой взнос (на случай если допустит ошибку), а затем подтверждал квалификацию раз в год. После введения санкций это стало невозможно.
Если стандарт надежный, то откуда утечки?
Александр Зубриков: Утечки данных о банковских картах мелькают в новостях регулярно. Но к PCI DSS эти провалы в безопасности отношения не имеют. Хакерам настолько сложно обойти защиту данных о платежных картах, что они организуют атаки по другим векторам. Утечки становятся возможны и в случаях, когда организация, однажды пройдя аттестацию по PCI DSS, перестает следить за соответствием стандарту. Часто это связано с развитием бизнеса: организация выходит на новые рынки или осваивает перспективные каналы привлечения клиентов, но не считает нужным распространять на них практики PCI DSS.
А что не так с PCI DSS в России?
Александр Зубриков: Санкции в одночасье лишили российские компании из сферы информационной безопасности доступа к получению и продлению статуса QSA. С каждым днем рынок таких услуг сжимается: сертификаты оценщиков имеют срок годности. Чем это чревато? Например, если банк или онлайн-магазин решат пройти сертификацию по актуальному стандарту PCI DSS 4.0 (принят весной 2022 года), они столкнутся с тем, что компетентных экспертов надо еще поискать. Условно, в мае оценщиков со статусом QSA в России будет 10, а в сентябре - уже семь.
Но это полбеды. Основные риски лежат в иной плоскости. Совету PCI SSC ничто не мешает отозвать действующие статусы QSA у аудиторов из нашей страны и полностью перекрыть отечественным компаниям пути к получению сертификатов. Таким образом, безопасность карточных транзакций в России полностью зависит от позиции иностранного регулятора.
Что произойдет, если статусы оценщиков отзовут?..
Александр Зубриков: Платежи по банковским картам могут стать менее надежными. Когда проверять процессы на безопасность некому, компаниям будет сложно устоять перед соблазном применить фрагментированный подход к защите транзакций. С безопасностью будут работать либо на отдельных участках IT-инфраструктуры, либо идя по пути наименьшего сопротивления: "Сделаем то, что легко обеспечить своими силами!"
Лоскутный подход размывает зоны ответственности. Если в рамках монолитного исполнения стандартов участникам процессов понятно, кто и за что отвечает, то избирательное применение допускает крайне широкий простор для назначения виновных в инциденте: ими могут стать даже те, кто реально не имеет отношения к происшествию. При этом никто не возместит потери пользователям карт, пострадавшим от такого подхода к безопасности платежей.
Как бы то ни было, отсутствие надзора приведет к деградации качества защиты данных банковских карт. Мы все как пользователи увидим это по новым утечкам. В "слитых" базах появится информация, ранее недоступная хакерам как раз потому, что она была защищена по стандартам PCI DSS.
Как скоро можно сделать свой стандарт безопасности платежей?
Александр Зубриков: Достаточно нескольких месяцев - до полугода. Эта оценка исходит из трех факторов.
Первый - понимание, что стандарты безопасности для России нужны и важны: большая страна не может зависеть от настроений в Совете PCI SSС. К слову, платежная система "Мир" в него также входит, ее руководители прекрасно понимают проблематику и актуальность вопроса.
Второй - технологичность. Речь не идет о разработке с чистого листа. Основные положения актуальной версии PCI DSS тайной не являются и доступны в виде подробнейших документов. Организации, которая возьмет на себя лидирующую функцию, потребуется адаптировать эти материалы под наши реалии. Задача не самая сложная - если учесть, что до недавнего времени Россия была глубоко интегрирована в глобальную финансовую систему. Сформированный таким образом стандарт может стать базой для совершенствования национальной безопасности карточных платежей.
Да, второй фактор имеет и психологическую сторону: есть надежда, что российские банки и корпорации снова станут частью мировой финансовой индустрии. Тогда альтернативная система сертификации, действующая параллельно PCI DSS, окажется больше препятствием, чем подспорьем. Компаниям придется готовить свою инфраструктуру к аттестации и по национальному стандарту, и по PCI DSS. И хорошо, если между двумя сводами правил не будет противоречий. Но вот что делать, если в стандартах окажутся взаимоисключающие пункты, - совершенно непонятно.
Третий фактор - присутствие в России нескольких платежных систем. Их как минимум две: национальная "Мир" и китайская Union Pay. Вероятно, их общая заинтересованность может породить инициативу, аналогичную той, благодаря которой в свое время родился стандарт PCI DSS. Почему бы не повторить этот опыт ради абсолютно практической цели - обезопасить платежи граждан в России?