PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.


PA-DSS vs разработчики, или ожидает ли российские банки эпидемия взломов

12 апреля 2011
  
  pdf-

На форуме Сообщества PCIDSS.RU был озвучен вопрос, касающийся наличия в России курсов, посвященных основам безопасного программирования. Насколько мне известно, таких курсов в России нет. Причина, по которой не проводится обучение по данной теме одна - отсутствие спроса. А спрос отсутствует потому, что большинство наших разработчиков не сильно беспокоится о безопасности своих приложений, перекладывая этот вопрос на своих клиентов, покупающих у них программное обеспечение. По крайней мере, до сих пор происходит именно так.

Если решение сделано для собственного использования, то в данном случае бывают исключения, т.к.  налицо постепенная положительная тенденция обеспечить свою безопасность, что не может не радовать, ─ по крайней мере, мы в своей работе видим таких разработчиков, которые понимают риски и стараются обеспечить безопасность созданных и эксплуатируемых ими систем.

Но если решение создается для продажи? В этом случае ситуация в целом крайне печальна (для клиентов, но не для производителей!), что, в частности, подтверждается нашими ежегодными исследованиями безопасности банк-клиентов: http://dsec.ru/press_releases/?news_id=223.

Подобное отсутствие интереса разработчиков к вопросам безопасности вполне логично ─ зачем разработчику тратить свои деньги на безопасность, если их решения покупают и так.

Ниже приведена небольшая выдержка из нашего исследования за 2009-2010 годы:

«Все, что было сказано и продемонстрировано в нашем небольшом исследовании, необходимо лишь для того, чтобы банки и разработчики ПО для банков поняли, что взламывать можно все, включая их продукты. Сейчас очень важно поднять качество кода отечественного ПО, ведь найти ошибку, скажем, в Банк - Клиенте сейчас гораздо легче, чем в популярном западном ПО. Поэтому необходимо обращать внимание на такое положение дел, ведь злоумышленники тоже ищут эти уязвимости и используют их в своих целях, и мы должны максимально усложнить им эту задачу» , - комментирует Алексей Синцов, ведущий аудитор компании Digital Security.
В целом, за 2009-2010 годы исследовательским центром DSecRG были обнаружены ошибки в коде большинства популярных банковских решений таких компаний, как BSS, INIST, ЦФТ, R-Style и Сигнал-КОМ. Производители были своевременно уведомлены о данных уязвимостях и сообщили об их успешном закрытии и отправке обновлений всем клиентам».

Причем в данном случае речь идет не о глубоком исследовании (как в случае заказного платного тестирования продукта или системы), а не более чем о небольшой проверке в рамках волонтерской деятельности нашего исследовательского центра DSecRG ─ мы каждый год выделяем 3-5 чел/дней и проводим ознакомительное тестирование выбранных нами продуктов (1-2 дня на продукт). И результатом является  100% проникновение в продукты, которые составляют ядро российской банковской индустрии! Это говорит не просто о печальной ситуации в области обеспечения банковской безопасности; это форменная катастрофа, когда серьезные уязвимости обнаруживаются через 1-2 дня поверхностного изучения продукта, и здесь нужно называть вещи своими именами. От настоящей эпидемии атак банки пока спасает только то, что пользователи защищены гораздо хуже, и поэтому основной вектор хакерских атак до сих пор направлен именно на пользователей. Но при таком, как показывает практика, халатном отношении разработчиков к вопросам безопасности это, поверьте, ненадолго.

Теперь порассуждаем о перспективах внедрения PA-DSS. Массовое насильное (а здесь никак по-другому ─ самостоятельно никто ничего делать не будет в случае продаваемых продуктов) внедрение стандарта, безусловно, подтолкнет разработчиков, продукты которых попадают под действие PA-DSS, заняться безопасностью. Однако, судя по тому, какие «ляпы» мы наблюдали в решениях, уже сертифицированных по стандарту PA-DSS, я бы не обольщался - здесь ситуация  очень сильно зависит от "хакерской" квалификации аудитора и его умении не просто формально ставить галочки в чек-листе, чем, кстати, грешат многие, а реально разбираться в безопасности приложений и быть высококвалифицированным исследователем. Но, в любом случае, даже плохо сертифицированное приложение лучше, чем то, которое не проходило никакую проверку и выпущено разработчиком, которого вопросы безопасности вообще не волновали. Кстати, существует одна очень серьезная типовая проблема, связанная со стандартизацией в целом, и PA-DSS (как и PCI DSS) не является исключением: как только стандарт становится массовым, часто в течение короткого промежутка времени резко падает качество проводимой оценки. Причин множество: от вынужденной минимальной стоимости работ аудитора и до слабости контролирующей инстанции. Эти причины приводят к появлению низкоквалифицированных аудиторов и откровенной халтуры, что мы довольно активно начинаем наблюдать уже сейчас, хотя Совет PCI SSC и пытается бороться с некачественным аудитом.

Резюмируя вышесказанное: не стоит надеяться, что разработчики продаваемых решений по своей воле займутся безопасностью ─ это утопия. Также и не стоит считать PA-DSS панацеей или гарантией безопасности сертифицированного решения. Однако PA-DSS при любом, даже самом низкоквалифицированном аудиторе, -  это, безусловно, лучше, чем отсутствие каких-либо проверок; а в случае получения сертификата от авторитетного аудитора с большим практическим опытом исследования приложений, подобная сертификация может стать серьезным, в том числе и рыночным аргументом для клиента, приобретающего данное сертифицированное ПО. 


!
,
 









Партнеры