Информация о платежных картах утекает отовсюду

Информация о платежных данных держателей банковских карт особенно ценится в среде киберпреступников. В 2012 году доля утечек именно такой информации составила треть от всех украденных из компаний данных. Больше всего данных о картах пропадает из магазинов.

Более трети всех утечек информации в банках, розничных магазинах и процессинговых компаниях приходится на платежные данные владельцев банковских карт. К такому выводу пришли аналитики компании Infowatch (бывшая «дочка» «Лаборатории Касперского») в своем «Глобальном исследовании утечек данных о пластиковых картах в 2012 году» (есть в распоряжении «Ъ»). В нем отражена мировая статистика киберпреступлений. При этом по количеству утечек Россия занимает третье место вслед за США и Великобританией.

«Реквизиты карты, позволяющие осуществлять электронные платежи,— один из наиболее ликвидных товаров на внутреннем рынке киберпреступности»,— отмечают аналитики, добавляя, что, по оценкам McAfee, одна запись о кредитной карте может стоить $15-200. При этом совокупные доходы киберпреступников от мошенничества с использованием платежных данных только в России оцениваются в $446 млн, отмечают эксперты со ссылкой на данные компании Group-IB.

Основная цель киберпреступников — ритейлеры, принимающие к оплате пластиковые карты, в особенности игровые сервисы и крупные офлайн-ритейлеры. Они обладают большим объемом платежных данных, но уровень информационной безопасности у них невысок. Так, если в банках доля утечек платежных данных составляет 29% от всех утечек информации, у процессинговых компаний — 31%, то у ритейлеров — почти 50%. «Ритейлеры в большинстве случаев не предпринимают усилий для повышения уровня защищенности данных клиентов»,— считают аналитики. Кроме того, эксперты Infowatch уверены, что некоторые из них агрегируют данные с магнитной полосы карты, CVC-код для онлайн-платежей, PIN-код, хотя хранить их после авторизации запрещено.

Ритейлеры с этими обвинениями не согласны. «Стандарту PCI DSS (определяет порядок хранения данных.— «Ъ») соответствует наш банк-эквайер — Газпромбанк, он же обрабатывает все трансакции в магазине и интернет-магазине, мы не храним никаких персональных данных, связанных с кредитными картами и оформлением заказов»,— заявляют в «М.Видео». Однако другой собеседник «Ъ» в одной из ритейловых сетей отметил, что проблемы с защитой платежных данных чаще встречаются у небольших ритейлеров, которые не видят в этом особой необходимости. Впрочем, на фоне законодательных ужесточений к платежному рынку последние два года ритейлеры активно подстраиваются под те требования, которые описаны в законе «О персональных данных», говорит он.

В то же время в банках и процессинговых компаниях, по мнению Infowatch, с хранением конфиденциальных данных ситуация обстоит лучше. Доля случайных утечек у них не превышает 20%. При этом доля злонамеренных операций с участием сотрудников достигает 75% у процессинговых компаний и 68% у банков. И искоренить проблему внутреннего мошенничества не удается.

В банках неофициально проблему признают. Число попыток сотрудников воспользоваться доступом к данным клиентов не сокращается, отмечает сотрудник службы информационной безопасности банка из топ-100. «Мы, со своей стороны, пытаемся бороться с этой проблемой, в частности, разделяя функции по обработке платежных данных между разными сотрудниками,— говорит он.— В то же время меняется сама архитектура платежных карт, которая также должна ограничить несанкционированный доступ к данным клиента,— это чипы, технология 3D-Secure и т. д.».

Участники рынка считают приведенные данные в целом корректными. «Доля злонамеренных операций в 75%, например, для процессинговых компаний вполне нормальная ситуация и вовсе не означает большого числа внутреннего фрода, когда злоумышленниками выступают сотрудники компаний,— отмечает гендиректор процессинговой компании UCS Владимир Комлев.— Речь идет о том, что доля случайных утечек, которые характеризуют систему защиты информации, очень низкая, и просто так данные из компании не исчезают». Со своей стороны, эквайринговые компании, предоставляющие ритейлерам возможность проводить безналичные расчеты, обеспечивают и гарантируют работы системы, при которой у ритейлера не остается платежных данных клиентов, поясняет господин Комлев. В то же время остается открытым вопрос о добросовестности самих сотрудников торговых точек — гарантировать, что продавец не «прокатает» карту через другое устройство, которое сохранит конфиденциальные данные, банк-эквайер не может, отмечает один из собеседников «Ъ» на условиях анонимности.
Ольга Шестопал, Ксения Леонова, www.kommersant.ru