Ошибки ценой в миллиарды

“Хорошо там, где нас нет,” как часто мы слышали эту фразу и произносили сами? Но ситуация такова, что иногда кажется, что настали времена когда у нас стало все-таки лучше, чем у них. По мнению экспертов, из кризиса, который пожирает мировую экономику, победителями выйдут именно Россия и Китай. Но и помимо этого зверя, который сметает все и вся есть еще куча других факторов, которые говорят не в “их” пользу. Одним из таких факторов является киберпреступность и увеличивающиеся объемы краж и взломов. Так, в этом году компания Heartland Payment Systems (HPS), являющаяся шестым по величине крупнейшим процессинговым центром в Соединенных Штатах объявила об утечке данных, возможно, самой крупнейшей за всю историю США, да и мира как такового.

Фактически, сам взлом системы был обнаружен еще в октябре месяце, когда компании Visa и MasterCard сообщили руководству HPS о подозрительной активности по транзакциям, однако компания предпочла промолчать, известив лишь надлежащие органы. Нарушить свой обет молчания система решилась только 20 января, который “не нарочно”, “совершенно случайно” совпал с днем инаугурации Барака Обамы. Как заявил финансовый менеджер компании и ее президент Робин Болвин в своем интервью Вашингтон Пост у компании и мысли не было ничего утаивать, а такая задержка была вызвана тем, что перед объявлением о произошедшем было необходимо все внимательно изучить, поговорить с компаниями, которые стали жертвами данного инцидента. Все эти процедуры окончились аккурат в день инаугурации, и компания решила, что больше невозможно срывать сей факт, так как это было «недопустимо». Слабые отговорки, откровенно говоря…

Согласно официальному заявлению компании злоумышленникам удалость проникнуть в систему и установить специальное ПО, позволяющее получить данные владельцев кредитных карт. HPS не называет никаких конкретных цифр, однако, принимая во внимания обороты компании и то, что до сих пор неизвестно, когда именно было установлено данное ПО, всем становится ясно, что счет идет не на десятки, не на сотни, и даже не на тысячи, а на целые миллионы скомпрометированных данных. Говоря о сроках, многие эксперты называют май 2008, а значит, у программы было полгода на то, чтобы скопировать информацию о клиентах. Heartland Payment Systems обслуживала более 250 тысяч организаций, среди которых были и именитые западные коммерческие банки, включая такого гиганта как Банк Америки (Bank of America). Ежемесячно компания проводила около 100 миллионов транзакций, 40% от которых приходилось на долю мелких и средних ресторанов и кафе.

К расследованию данного дела уже были привлечены спецслужбы США, которым и удалось обнаружить вредоносный код, созданный конкретно под HPS. По заявлениям экспертов обнаруженный код является гораздо совершеннее, а главное, опаснее тех, которые обычно распространяются по Интернету, что вероятно и позволило ему оставаться незамеченным какое-то время. Данный прецедент вызвал огромный резонанс в обществе, поставив под сомнение эффективность PCI стандарта. "Миллиарды долларов тратятся на соответствие стандарту PCI, однако, на самом деле, он не работает,” говорит аналитик агентства Gartner Эвива Литан. "Маленький секрет PCI, который не принято афишировать это то, что PCI не позволяет шифрование внутри частных сетей, потому что потом придется шифровать все процессоры". Компания Heartland соответствовала стандарту PCI, и прошла аккредитацию еще в апреле, однако наличие сертификата соответствия не останавливает волну атак на процессинговые компании, говорит Ливан. Она также отмечает, что стандарт PCI не требует еженедельных проверок целостности системы, что позволяет вредоносным программам долгое время оставаться незамеченными. Аналитик Gartner также с иронией отмечает, что сегодня, несмотря на запреты, некоторые розничные торговцы все-таки шифруют данные внутри своих частных сетей, но им приходится обратно расшифровывать все данные перед тем, как отправлять информацию в процессинговые центры.

В день официального пресс-релиза, известившего о произошедшем, компания запустила сайт, чтобы держать всех в курсе событий, сообщая обо всем происходящем и о ходе расследования - http://www.2008breach.com. Однако, надо признать, что сам сайт очень плохо грузится, а порой и не грузится вообще. Может быть всему виной является IP компьютера, который не попадает под категорию возможных жертв.

Кстати о жертвах. Представители компании HPS подчеркнули, что владельцы карт не будут нести ответственность за операции, произведенные третьими лицами, с оговоркой, что эти меры будут приняты только при подтверждении факта, что владелец карты пострадал в результате взлома системы.

На сегодняшний день на компанию уже поданы несколько исков. Расследование все еще продолжается. Как HPS намерена выкручиваться из данной передряги пока неизвестно.

Самое печальное то, что компании не хотят учиться на ошибках других, ведь случай с взломом HPS хоть и масштабный, но далеко не первый.

Так, 17 марта 2008 года сеть супермаркетов Hannaford Brothers Co., сообщила о том, что каким-то хакерам удалось взломать систему и украсть данные, по крайней мере, 4.2 миллиона кредитных и дебитных карт.

В декабре 2008 года платежная система Королевского Банка Шотландии RBS WorldPay сообщила о взломе системы в результате которой данные почти 1,5 млн человек были скомпрометированы. Слоган компании, "20 лет безопасности в платежном бизнесе", которым она так гордилась, стал неактуален и был очень быстро забыт.

Годом ранее американский розничный гигант TJX Companies Inc., являющийся материнской компанией таких известных фирм как Marshalls и TJ Maxx, шокировал американцев известием о краже более 45 миллионов счетов кредитных и дебетовых карт, произошедшей в результате взлома системы. Причем, нужно сказать, что утечка данных у этого гиганта происходила неоднократно в течение 3 лет.

В 2005 году процессинговая компания CardSystems Solutions подвергла риску данные почти 40 миллионов владельцев кредитных и дебитных карт.

Почему обладая такой богатой анти-историей, компании до сих пор наступают на все те же грабли? Потери самих компаний исчисляются миллионами и миллиардами долларов. Неужели им это выгодно? Не дешевле ли нанять команду профессионалов, которые будут следить за системами? Почему зная несовершенность PCI стандарта его не пытаются усовершенствовать? Хотя надо признать, что случай HPS все-таки обратил на себя внимание властей, которые решились таки вмешаться в этот омут двоичных кодов, файерволов и прочих заморочек компьютерного мира.

Так, только что “взошедший на престол” 44 президент США Барак Обама решил инициировать масштабную борьбу против хакеров и прочей нечести, обнародовав программу борьбы с киберпреступностью, в которой одним из пунктов является установление единого стандарта безопасности сетей.

В России таких масштабных случаев утери данных пока не происходило, хотя этому причина вовсе не совершенство наших систем, а непопулярность пластиковых карточек. В России все еще господствует его величество нал и люди предпочитают носить с собой привычные на ощупь и более близкие к сердцу хрустящие банкнотки, в том числе и с изображениями американских президентов. Возможно, и к нам придет эта чума, но явно не в ближайшие годы, хотя присмотреться к сертификатам и стандартам можно было бы уже сейчас. Приготовить сани с лета, так сказать…

Сказать свое слово