Платёжная инфраструктура как цель: чему учит рынок ритейла

В ритейле уже несколько лет фиксируются инциденты, связанные с компрометацией платёжных данных покупателей. Часть из них получила широкую огласку, часть осталась внутри компаний. Общая черта почти всех - злоумышленники находились внутри сети значительно дольше, чем кто-либо подозревал, прежде чем их обнаружили.

Это важно понимать правильно. Проблема не только в том, что карточные данные утекли. Проблема в том, что компании с развитой операционной инфраструктурой - тысячи терминалов, сложные цепочки поставок, интеграции с процессингом - оказались неспособны обнаружить присутствие постороннего в своей сети в течение недель или месяцев.

Почему ритейл стал привлекательной целью

Платёжная инфраструктура ритейла устроена так, что в ней одновременно есть несколько факторов риска.

Большое количество точек входа. Каждый POS-терминал в каждом магазине - это устройство, подключённое к сети. Масштаб означает, что невозможно контролировать каждую точку с той же строгостью, что центральные системы.

Смешанные сети. В типичном ритейлере одна и та же сеть часто обслуживает и кассовые терминалы, и административные рабочие места, и системы управления складом. Компрометация одного сегмента открывает доступ к другим.

Долгий цикл обновлений. Замена парка терминалов - дорогостоящее мероприятие. Устройства работают годами, и обновление программного обеспечения на них - непростая логистика. Это означает, что уязвимости в старых версиях ПО живут дольше, чем в корпоративных средах.

Данные в реальном времени. Карточные данные проходят через терминал в момент транзакции. Если в этот момент на терминале работает вредоносный код - данные перехватываются до шифрования.

Что на самом деле решает проблему

Стандарты PCI DSS существуют именно для этой отрасли и содержат разумные требования. Но сертификация на соответствие и реальная защита - это разные вещи. Компании, которые проходили аудит успешно, становились жертвами серьёзных инцидентов.

Три вещи работают не как галочки в чеклисте, а как реальные механизмы защиты.

Сегментация сети - разделение инфраструктуры на зоны с контролем трафика между ними. Если платёжный сегмент изолирован от административного, компрометация кассового терминала не даёт автоматического доступа к центральной базе данных. Аргумент в пользу того, что сегментация АСУ ТП - это уже не опция, применим здесь в равной мере, хотя отрасль совсем другая.

Централизованные журналы событий - сбор логов с устройств в центральную систему, которую нельзя удалить с самого устройства. Злоумышленник, который стирает следы локально, не может стереть то, что уже ушло в центр.

Мониторинг аномалий - не аудит после инцидента, а реакция в реальном времени на нетипичное поведение. Если терминал в Новосибирске начинает передавать данные на внешний адрес в 3 ночи - это сигнал, который должен быть виден кому-то прямо сейчас.

Применимость за пределами ритейла

Все три механизма - сегментация, журналирование, мониторинг аномалий - универсальны. Ритейл даёт яркие примеры потому, что масштаб инцидентов и количество скомпрометированных карт делает их публичными. Но те же принципы применимы везде, где есть чувствительные данные и распределённая инфраструктура.

Вопросы для самопроверки

Несколько вопросов, которые помогают оценить реальное состояние защиты:

1. Изолированы ли сегменты сети, в которых обрабатываются чувствительные данные, от остальной инфраструктуры?
2. Куда идут логи с периферийных устройств - хранятся локально или централизованно?
3. Есть ли у нас возможность обнаружить нетипичное поведение в сети в течение часов, а не недель?
4. Кто в организации отвечает за мониторинг - и делает ли он это активно, а не только по запросу?
5. Как давно мы последний раз проверяли, что изоляция между сегментами реально работает, а не только задекларирована?

Инциденты в ритейле - не только про платёжные карты. Они про то, что атакующие ведут себя терпеливо, а время обнаружения - важнейший параметр, который многие организации не измеряют.