В конце мая стало известно, что компания CardSystems предъявляет иск своему бывшему аудитору QSA – компании Savvis, с требованием взыскать с последней убытки, в размере 16 млн. долларов, нанесенных предприятию. Как заявлено в исковом заявлении: ”аудиторское заключение Savvis было “ложным и вводящим в заблуждение” и утверждается, что Savvis был не в состоянии оценить и обеспечить “должный уровень и компетентность при проведении аудита на соответствие стандарту CISP”.

Это - один из первых подобных судебных процессов в индустрии платежных карт, где банки или предприятия торгово-сервисной сети предъявляют иски к компаниям, выполняющим проверки на соответствие стандартам безопасности. 

Трудно спорить с данным исковым заявлением, но очевидно, что в некоторых случаях, Savvis допустил ошибки. Давайте оценим это утверждение в свете требований программы  CISP:

1. Компания CardSystems, по данным  FTC в нарушение требований платежной системы, продолжала хранить критичные данные авторизации (sensitive authentication data) и сохраняла содержимое полного трека (full track) магнитной полосы.

2. Утечка данных платежных карт произошла с использованием  злонамеренного программного обеспечения, так называемого «троянского коня».  Но в требованиях CISP явно было определено, что антивирусное программное обеспечение:

• должно быть установлено на всех системах, подверженных воздействию вредоносных программ;
• антивирусная защита должна быть включена постоянно;
• механизмы обеспечения антивирусной защиты должны регулярно обновляться;
• механизмы обеспечения антивирусной защиты должны обладать возможностью генерации журналов регистрации событий.

Правда непонятно,  стояло ли антивирусное программное обеспечение на сервере, на котором был установлен «троянский конь», и  могло  ли бы оно выявить  эту программу.

Таким образом, можно предположить, что при проведении проверки аудиторы допустили ошибки, однако отчет о соответствии был представлен платежной системе, и был ею принят.

Окончательную точку в данной ситуации все же поставит суд.

Историческая справка:

В конце Мая 2005 г. MasterCard предупредила свои банки-агенты, что из-за взлома системы безопасности преступники могли получить доступ к личным данным 40 млн. держателей карт разных платежных систем.

Взлом выявила сама MasterCard: мониторинг, который компания проводит с целью предотвращения мошенничества, зафиксировал большое количество подозрительных транзакций с пластиковыми картами обрабатываемых CardSystems. Вскоре от банков стали поступать сообщения о  мошенничествах. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что утечка данных держателей карт происходит на участке CardSystems.

Злоумышленники смогли проникнуть в сеть и получить доступ к личным данным держателей карт из-за несовершенства системы защиты CardSystems. Операционный центр компании пострадал от компьютерного вируса, который запустили хакеры. Обнаружив взлом, MasterCard начала расследование, в котором также участвовали банки-агенты, процессинговая компания и ФБР.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности  была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах, номерах счетов и кодах подтверждения.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании «троянского коня» , перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. После скандала CardSystems объявила о начале работ над совершенствованием защиты данных, но так легко отделаться ей не удалось.

Поскольку компания халатно отнеслась к безопасности, Федеральной торговой комиссией США (FTC) назначила ей ежегодный аудит систем защиты независимыми экспертами в течение 20 лет. CardSystems согласилась выполнять это постановление.

Компания CardSystems Solutions и ее филиал Solidus Networks, работающий под брендом Pay By Touch, также обязались представить и внедрить в  более  адекватную угрозам политику информационной безопасности.

FTC постановила, что CardSystems, во-первых, хранила данные безосновательно, а, во-вторых, не обеспечивала их защиту. Несанкционированный доступ к базе данных CardSystems привел к краже нескольких миллионов долларов с кредитных карт, а также затратам банков на издание тысяч новых кредитных карт, неудобству, беспокойству и потере времени клиентов.

В результате глобальные платежные системы Visa и American Express приняли решение лишить права на работу с картами их систем компанию CardSystems Solutions, которая, стала виновником утечки данных о 40 миллионах платежных карт разных систем, которые проходили через ее процессинговый центр.

Компания признала, что не только допустила утечку сведений о финансовых координатах владельцев карт, но и, в целом, не должна была хранить данные о картах, операции по которым были завершены.