Факты о PCI DSS

В конце 2010г. по заказу Cisco аналитическая компания Insight-Express опросила 500 американских руководителей, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту PCI DSS через пять лет после его разработки и в момент выхода его новой, второй версии.

В опросе приняли участие ИТ-руководители, отвечающие за соблюдение PCI в организациях сферы образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли США. Исследователи хотели оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и выявить проблемы, связанные с соблюдением этих нормативных требований, а также оценить распространение определенных технологий, чтобы лучше понять, чем организации руководствуются при выполнении спецификации PCI DSS. Выяснилось следующее:

•70% процентов опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;

•87% процентов опрошенных полагают, что требования стандарта PCI DSS необходимы для защиты данных держателей платежных карт;

•из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта;

•67% процентов опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;

•60% процентов опрошенных предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать другие проекты, связанные с сетями и сетевой безопасностью.

Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт.

По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37%), разработке и поддержке безопасных систем и приложений (32%) и защите хранимых данных держателей карт (30%).

Еще один интересный отчет Global Security Report 2011 подготовила компания Trustwave, базируясь на данных более чем 200 расследований случаев компрометации данных и около 2300 проведенных тестирований на проникновение (имитаций взлома системы) за 2010г. по всему миру (но основная масса случаев была зафиксирована в Северной Америке).

Как и раньше, данные платежных карт были основной целью злоумышленников в 85% расследованных случаев. В 8% случаев целью была конфиденциальная информация компании и около 3% — сведения, составляющие коммерческую тайну.

В целом выводы в отчете приводятся следующие:

•более 95% скомпрометированных организаций не выполняли требования PCI DSS в полном объеме;

•почти 98% организаций нарушали требования, относящиеся к межсетевому экранированию;

•60% случаев компрометации было выявлено в ходе ежегодного аудита по требованиям PCI DSS.

Факты компрометации сами компании выявили не более чем в 20% случаев, при этом информация о факте компрометации была опубликована в 13% случаев, а правоохранительные органы привлекались в 7% случаев.

Среднее время между фактом компрометации и его обнаружением составило 156,5 дня, в случае если выявление происходило в рамках ежегодного аудита, и 87,5 дня, 51,5 дня и 28 дней, в случае если источником обнаружения были публикация в прессе, расследование правоохранительных органов и самостоятельное обнаружение соответственно.

Эти и многие другие цифры красноречиво говорят о том, что реальный уровень безопасности в организациях, обрабатывающих платежи, в среднем достаточно низок, и даже наличие сертификата об успешном прохождении ежегодного аудита по PCI DSS не дает гарантий того, что требования по безопасности продолжат выполнять после того, как проверка закончится[73].