Информация о платежных данных держателей банковских карт особенно ценится в среде киберпреступников. В 2012 году доля утечек именно такой информации составила треть от всех украденных из компаний данных. Больше всего данных о картах пропадает из магазинов.
Более трети всех утечек информации в банках, розничных магазинах и процессинговых компаниях приходится на платежные данные владельцев банковских карт. К такому выводу пришли аналитики компании Infowatch (бывшая "дочка" "Лаборатории Касперского") в своем "Глобальном исследовании утечек данных о пластиковых картах в 2012 году" (есть в распоряжении "Ъ"). В нем отражена мировая статистика киберпреступлений. При этом по количеству утечек Россия занимает третье место вслед за США и Великобританией.
"Реквизиты карты, позволяющие осуществлять электронные платежи,— один из наиболее ликвидных товаров на внутреннем рынке киберпреступности",— отмечают аналитики, добавляя, что, по оценкам McAfee, одна запись о кредитной карте может стоить $15-200. При этом совокупные доходы киберпреступников от мошенничества с использованием платежных данных только в России оцениваются в $446 млн, отмечают эксперты со ссылкой на данные компании Group-IB.
Основная цель киберпреступников — ритейлеры, принимающие к оплате пластиковые карты, в особенности игровые сервисы и крупные офлайн-ритейлеры. Они обладают большим объемом платежных данных, но уровень информационной безопасности у них невысок. Так, если в банках доля утечек платежных данных составляет 29% от всех утечек информации, у процессинговых компаний — 31%, то у ритейлеров — почти 50%. "Ритейлеры в большинстве случаев не предпринимают усилий для повышения уровня защищенности данных клиентов",— считают аналитики. Кроме того, эксперты Infowatch уверены, что некоторые из них агрегируют данные с магнитной полосы карты, CVC-код для онлайн-платежей, PIN-код, хотя хранить их после авторизации запрещено.
Ритейлеры с этими обвинениями не согласны. "Стандарту PCI DSS (определяет порядок хранения данных.— "Ъ") соответствует наш банк-эквайер — Газпромбанк, он же обрабатывает все трансакции в магазине и интернет-магазине, мы не храним никаких персональных данных, связанных с кредитными картами и оформлением заказов",— заявляют в "М.Видео". Однако другой собеседник "Ъ" в одной из ритейловых сетей отметил, что проблемы с защитой платежных данных чаще встречаются у небольших ритейлеров, которые не видят в этом особой необходимости. Впрочем, на фоне законодательных ужесточений к платежному рынку последние два года ритейлеры активно подстраиваются под те требования, которые описаны в законе "О персональных данных", говорит он.
В то же время в банках и процессинговых компаниях, по мнению Infowatch, с хранением конфиденциальных данных ситуация обстоит лучше. Доля случайных утечек у них не превышает 20%. При этом доля злонамеренных операций с участием сотрудников достигает 75% у процессинговых компаний и 68% у банков. И искоренить проблему внутреннего мошенничества не удается.
В банках неофициально проблему признают. Число попыток сотрудников воспользоваться доступом к данным клиентов не сокращается, отмечает сотрудник службы информационной безопасности банка из топ-100. "Мы, со своей стороны, пытаемся бороться с этой проблемой, в частности, разделяя функции по обработке платежных данных между разными сотрудниками,— говорит он.— В то же время меняется сама архитектура платежных карт, которая также должна ограничить несанкционированный доступ к данным клиента,— это чипы, технология 3D-Secure и т. д.".
Участники рынка считают приведенные данные в целом корректными. "Доля злонамеренных операций в 75%, например, для процессинговых компаний вполне нормальная ситуация и вовсе не означает большого числа внутреннего фрода, когда злоумышленниками выступают сотрудники компаний,— отмечает гендиректор процессинговой компании UCS Владимир Комлев.— Речь идет о том, что доля случайных утечек, которые характеризуют систему защиты информации, очень низкая, и просто так данные из компании не исчезают". Со своей стороны, эквайринговые компании, предоставляющие ритейлерам возможность проводить безналичные расчеты, обеспечивают и гарантируют работы системы, при которой у ритейлера не остается платежных данных клиентов, поясняет господин Комлев. В то же время остается открытым вопрос о добросовестности самих сотрудников торговых точек — гарантировать, что продавец не "прокатает" карту через другое устройство, которое сохранит конфиденциальные данные, банк-эквайер не может, отмечает один из собеседников "Ъ" на условиях анонимности.