С учетом того, что по прогнозам специалистов степень распространенности мобильных и иных новых способов оплаты в течение ближайших двух лет увеличится вдвое, новое глобальное исследование, посвященное проблемам безопасности, свидетельствует о том, что организациям следует оптимизировать практикуемые ими подходы в отношении защиты платежных данных. Таковы результаты недавнего исследования, в ходе которого было опрошено более 3700 практикующих специалистов по ИТ-безопасности из более чем десятка основных секторов экономики. Исследование проводилось аналитическим центром Ponemon Institute по заказу компании Gemalto.
Согласно результатам независимого исследования, посвященного проблемам безопасности платежных данных, более половины (54%) опрошенных подтвердили, что в их компаниях происходили утечки данных, затрагивающие информацию о платежных транзакциях. За последние два года в среднем это число увеличилось в четыре раза, и это неудивительно, учитывая инвестиции в безопасность, практикуемые подходы и процедуры, о которых стало известно благодаря ответам респондентов.
Основные выводы исследования
• 57% опрошенных ИТ-специалистов из России не чувствуют, что защита данных о платежных транзакциях является одним из пяти основных приоритетов в их организациях.
• 68% считают, что новые методы оплаты, в том числе мобильные платежи, бесконтактные платежи и оплата с помощью цифровых бумажников (e-wallets) создаёт определённую угрозу для платежных данных в России.
• Только 39% респондентов-россиян уверены, что технологии обеспечения безопасности, применяемые в их компаниях для защиты платежных данных, являются эффективными. Что касается респондентов из других стран, то 55% опрошенных заявили, что им не известно, где хранятся или размещаются все данные о платежных транзакциях.
• Ответственность за безопасность платежных данных не закреплена за каким-либо единым подразделением: 28% опрошенных утверждают, что за безопасность данных отвечает ИТ-директор, 26% опрошенных говорят, что ответственность лежит на бизнес-подразделении, 19% — на отделе нормативно-правового соответствия, 15% — на директоре по ИТ-безопасности, и 14% опрошенных считают, что ответственность лежит на других подразделениях.
• Только 31% опрошенных считают, что их компании выделяют достаточно ресурсов для защиты данных о платежных транзакциях.
• 59% респондентов заявили, что их компании разрешают доступ сторонним лицам к платежным данным, и только 34% из них использует средства многофакторной аутентификации для защиты доступа.
• Менее половины всех респондентов (44%) заявили, что в их компаниях используется сквозное шифрование для повсеместной защиты платежных данных, с момента генерирования этих данных в точках продаж, до их хранения и/или передачи в финансовые учреждения.
• 74% опрошенных заявили, что в их компаниях не полностью соблюдаются требования стандарта PCI DSS (стандарт безопасности данных индустрии платёжных карт, учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover).
«Результаты этого исследования должны стать своего рода призывом к действию для руководителей компаний, — говорит Сергей Кузнецов, региональный директор подразделения Identity and Data Protection компании Gemalto. — С учетом всего того, что мы наблюдали в сфере традиционных платежей и безопасности данных, сегодня компаниям пора осознать, что одного лишь соблюдения правовых норм уже недостаточно, и необходимо полностью пересмотреть свои подходы к обеспечению безопасности. Фактически целая треть опрошенных заявила, что для обеспечения безопасности и целостности платежных данных уже нельзя ограничиваться лишь соблюдением требований стандарта PCI DSS. Растущие финансовые издержки, обусловленные утечкой данных, а также урон, наносимый корпоративной репутации, и ухудшение взаимоотношений с заказчиками теперь становятся еще более актуальными в связи с ростом популярности новых методов оплаты», — говорит Сергей.
Респонденты из России также считают, что:
• Сотрудники службы безопасности не имеют достаточно опыты и знаний для эффективной защиты платежных данные — 59%
• Соблюдение стандарта PCI DSS не является достаточным для обеспечения безопасности и целостности платежных данных — 69%
• Риски, связанные с аутентификацией, создают проблемы при реализации новых методы оплаты — 75%
• Количество ресурсов, вкладываемых в защиту платежных данных, недостаточно — 66%
• EMV и чип и пин карты значительно повысят безопасность платежей данных — 51%
• Не уверены, где хранятся или находятся платежные данные их организации — 60%
• Риск потери или кражи данных в результате незнания того, где хранятся или расположены платежные данные высоким или очень высоким — 74%
Новые методы оплаты набирают популярность, а вместе с ней растёт и беспокойство по поводу вопросов безопасности Согласно результатам исследования, распространённость новых методов оплаты, таких как мобильные платежи, бесконтактные платежи и e-wallets, в течение следующих двух лет удвоится. Если сегодня, по мнению опрошенных ИТ-специалистов, на долю мобильных платежей приходится всего лишь 9% всего объёма платежей, то через два года респонденты ожидают, что эта цифра увеличится до 18%. С учетом тех угроз, с которыми сталкиваются компании при защите платежных данных при использовании традиционных способов оплаты, вероятнее всего компании столкнутся с еще большими трудностями при обеспечении безопасности новых способов оплаты. Согласно результатам исследования, по мнению примерно трех четвертей (72%) всех опрошенных эти новые методы оплаты создают дополнительные угрозы для платежных данных, при этом 54% респондентов не верят или не уверены в достаточности используемых в их компаниях протоколов безопасности для надежной реализации новых платформ оплаты.
«В будущем, по мере того, как компании внедряют новые методы оплаты, их уверенность в способности должным образом защищать платежные данные снижается. По ощущениям большинства респондентов, защита платежных данных даже не входила в число ключевых приоритетов их компаний, а выделяемых ресурсов, имеющихся технологий и специалистов недостаточно для эффективной защиты данных. Несмотря на наблюдаемую тенденцию к расширению методов оплаты, те, кто хорошо разбирается в ИТ-безопасности, не считают, что их организации готовы к этому. Для компаний важно изучать и инвестировать в новые решения, которые позволяют в оперативном порядке ликвидировать эти пробелы в защите данных», — подытожил Кузнецов.