Ритейлеры виноваты в каждой второй утечке данных банковских карт

В каждой второй утечке данных о банковских картах в 2012 г. были виноваты ритейлеры, говорится в исследовании InfoWatch. Многие из них нарушают правила, собирая данные своих клиентов и храня их в одной базе с информацией о картах.

Почти половина (49%) утечек данных о банковских пластиковых картах в 2012 г. связана с потерей платежных данных ритейлерами. Еще 31% утечек приходится на платежные данные в процессинговых компаниях, тогда как в банках с утечкой платежных данных связано меньше трети (29%) от всех утечек.

Об этом говорится в новом отчете «Глобальное исследование утечек данных о пластиковых картах в 2012 г.» от компании InfoWatch. Как отмечают его авторы, многие ритейлеры зачастую собирают платежную информацию своих клиентов в нарушение требований и предписаний регуляторов, а иногда и хранят ее в одной базе с персональными данными. В результате заявленные утечки данных часто означают, что в руки злоумышленников попала база со всеми персональными данными клиента, включая не только информацию о карте, но и историю транзакций по ней.

Ритейлеры давно превратились в излюбленную мишень киберпреступников. «Преступники легко получают доступ к агрегированной информации о клиентах, включая персональные и платежные данные. Ритейлеры в большинстве случаев просто не воспринимают всерьез возможные последствия утечек в виде репутационных и финансовых потерь, не принимают усилий для повышения уровня защищенности данных клиентов», – подчеркивают эксперты.

Большинство утечек связывают с незаконной деятельностью инсайдеров – то есть сотрудников пострадавших от утечек компаний. Но также распространены и случаи утечек по вине процессинговых компаний, сотрудники которых занимаются воровством данных банковских карт.

Кроме того, авторы отчета пришли к выводу, что утечки платежных данных, как правило, носят злонамеренный характер. Так, в процессинговых компаниях доля злонамеренных утечек составила 75% от их общего числа. В банковских организациях соотношение умышленных и случайных утечек составило 68% против 20%.

Ситуация с низким процентом случайных утечек в банках легко объяснима. «Небольшая доля случайных утечек вообще характерна для сегментов с высоким уровнем развития информационной безопасности. Требования регуляторов и понимание важности защиты данных клиента обусловливают постоянное совершенствование систем защиты. Неудивительно, что практически в каждом сообщении СМИ об утечке платежных данных из банков фигурирует и сам злоумышленник, и способ совершения преступления. Современные системы защиты информации (класс DLP и им подобных) позволяют провести тщательное расследование инцидента», – говорится в отчете.

Основной причиной утечек платежных данных исследователи назвали кражу оборудования. В частности, это характерно для банков, где доля случайных утечек незначительна, в распределении преобладают характерные для умышленных утечек каналы: потеря или кража оборудования (включая ноутбуки) – 42%, утечки по сети – 21%, через съемные носители – 6%. В процессинговых компаниях на долю потери или кражи оборудования приходится 34% утечек, тогда как у ритейлеров их доля составляет 24%.