Исследование Gemalto и Ponemon Institute показало значительный рост угроз безопасности для платежных данных и неуверенности специалистов в защищенности мобильных платежей

26 января 2016 г.

54% опрошенных ИТ-специалистов отметили, что в их компаниях фиксировались случаи утечек данных, которые затрагивали информацию о платежных транзакциях, при этом за минувшие два года это число увеличилось в среднем в четыре раза.

С учетом того, что по прогнозам специалистов степень распространенности мобильных и иных новых способов оплаты в течение ближайших двух лет увеличится вдвое, новое глобальное исследование, посвященное проблемам безопасности, свидетельствует о том, что организациям следует оптимизировать практикуемые ими подходы в отношении защиты платежных данных. Таковы результаты недавнего исследования, в ходе которого было опрошено более 3700 практикующих специалистов по ИТ-безопасности из более чем десятка основных секторов экономики. Исследование проводилось аналитическим центром Ponemon Institute по заказу компании Gemalto (Euronext NL0000400653 GTO).

Согласно результатам независимого исследования, посвященного проблемам безопасности платежных данных, более половины (54%) опрошенных подтвердили, что в их компаниях происходили утечки данных, затрагивающие информацию о платежных транзакциях. За последние два года в среднем это число увеличилось в четыре раза, и это неудивительно, учитывая инвестиции в безопасность, практикуемые подходы и процедуры, о которых стало известно благодаря ответам респондентов.

Основные выводы исследования

• 57% опрошенных ИТ-специалистов из России не чувствуют, что защита данных о платежных транзакциях является одним из пяти основных приоритетов в их организациях.
• 68% считают, что новые методы оплаты, в том числе мобильные платежи, бесконтактные платежи и оплата с помощью цифровых бумажников (e-wallets) создаёт определённую угрозу для платежных данных в России.
• Только 39% респондентов-россиян уверены, что технологии обеспечения безопасности, применяемые в их компаниях для защиты платежных данных, являются эффективными.Что касается респондентов из других стран, то 55% опрошенных заявили, что им не известно, где хранятся или размещаются все данные о платежных транзакциях.
• Ответственность за безопасность платежных данных не закреплена за каким-либо единым подразделением: 28% опрошенных утверждают, что за безопасность данных отвечает ИТ-директор, 26% опрошенных говорят, что ответственность лежит на бизнес-подразделении, 19% — на отделе нормативно-правового соответствия, 15% — на директоре по ИТ-безопасности, и 14% опрошенных считают, что ответственность лежит на других подразделениях.
• Только 31% опрошенных считают, что их компании выделяют достаточно ресурсов для защиты данных о платежных транзакциях.
• 59% респондентов заявили, что их компании разрешают доступ сторонним лицам к платежным данным, и только 34% из них использует средства многофакторной аутентификации для защиты доступа.
• Менее половины всех респондентов (44%) заявили, что в их компаниях используется сквозное шифрование для повсеместной защиты платежных данных, с момента генерирования этих данных в точках продаж, до их хранения и/или передачи в финансовые учреждения.
• 74% опрошенных заявили, что в их компаниях не полностью соблюдаются требования стандарта PCI DSS (стандарт безопасности данных индустрии платёжных карт, учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover).

«Результаты этого исследования должны стать своего рода призывом к действию для руководителей компаний, — говорит Сергей Кузнецов, региональный директор подразделения Identity and Data Protection компании Gemalto. — С учетом всего того, что мы наблюдали в сфере традиционных платежей и безопасности данных, сегодня компаниям пора осознать, что одного лишь соблюдения правовых норм уже недостаточно, и необходимо полностью пересмотреть свои подходы к обеспечению безопасности. Фактически целая треть опрошенных заявила, что для обеспечения безопасности и целостности платежных данных уже нельзя ограничиваться лишь соблюдением требований стандарта PCI DSS. Растущие финансовые издержки, обусловленные утечкой данных, а также урон, наносимый корпоративной репутации, и ухудшение взаимоотношений с заказчиками теперь становятся еще более актуальными в связи с ростом популярности новых методов оплаты.»

Респонденты из России также считают, что:

• Сотрудники службы безопасности не имеют достаточно опыты и знаний для эффективной защиты платежных данные — 59%.
• Соблюдение стандарта PCI DSS не является достаточным для обеспечения безопасности и целостности платежных данных — 69%.
• Риски, связанные с аутентификацией, создают проблемы при реализации новых методы оплаты — 75%.
• Количество ресурсов, вкладываемых в защиту платежных данных, недостаточно — 66%.
• EMV и чип и пин карты значительно повысят безопасность платежей данных — 51%.
• Не уверены, где хранятся или находятся платежные данные их организации — 60%.
• Риск потери или кражи данных в результате незнания того, где хранятся или расположены платежные данные высоким или очень высоким — 74%.

Новые методы оплаты набирают популярность, а вместе с ней растёт и беспокойство по поводу вопросов безопасности

Согласно результатам исследования, распространённость новых методов оплаты, таких как мобильные платежи, бесконтактные платежи и e-wallets, в течение следующих двух лет удвоится. Если сегодня, по мнению опрошенных ИТ-специалистов, на долю мобильных платежей приходится всего лишь 9% всего объёма платежей, то через два года респонденты ожидают, что эта цифра увеличится до 18%. С учетом тех угроз, с которыми сталкиваются компании при защите платежных данных при использовании традиционных способов оплаты, вероятнее всего компании столкнутся с еще большими трудностями при обеспечении безопасности новых способов оплаты. Согласно результатам исследования, по мнению примерно трех четвертей (72%) всех опрошенных эти новые методы оплаты создают дополнительные угрозы для платежных данных, при этом 54% респондентов не верят или не уверены в достаточности используемых в их компаниях протоколов безопасности для надежной реализации новых платформ оплаты.

«В будущем, по мере того, как компании внедряют новые методы оплаты, их уверенность в способности должным образом защищать платежные данные снижается. По ощущениям большинства респондентов, защита платежных данных даже не входила в число ключевых приоритетов их компаний, а выделяемых ресурсов, имеющихся технологий и специалистов недостаточно для эффективной защиты данных. Несмотря на наблюдаемую тенденцию к расширению методов оплаты, те, кто хорошо разбирается в ИТ-безопасности, не считают, что их организации готовы к этому. Для компаний важно изучать и инвестировать в новые решения, которые позволяют в оперативном порядке ликвидировать эти пробелы в защите данных», — подытожил Кузнецов.

Источник: Пресс-служба компании Gemalto