Как обеспечить кибербезопасность банковского оборудования
Сейчас жертвами финансовых мошенничеств становятся не только физические, но и юридические лица. В 2019 году, по данным Центрального Банка России, было совершено 4,609 тыс. операций без согласия юрлица, а общая сумма похищенных средств составила 701 млн руб.
Закон гласит
Начнем с самого главного — к банковскому оборудованию государством предъявляются особые требования. Причем помимо технических требований закон уделяет особое внимание информационной безопасности.
Так, банковское оборудование должно полностью соответствовать требованиям платежных систем по защите личных данных, а именно стандартам EMV и PCI. Первый (EMW level 1) подтверждает соответствие смарт-кардридера терминала или пин-пада требованиям по электрическим, механическим и функциональным параметрам. PCI, в свою очередь, содержит несколько разделов по конструктивной, программной и алгоритмической защите данных. При получении сертификата PCI PED платежное оборудование проходит проверку на попытки взлома, кражи ключей шифрования, личных данных, пин-кодов и так далее.
Эти сертификаты должен получать производитель терминалов и предоставлять их лицам, приобретающим банковское оборудование для своего бизнеса. Помимо этого, сертифицированным должно быть и программное обеспечение. Обязательным является сертификат EMV Level 2, который подтверждает соответствие программной библиотеки стандарту EMV по части функциональных текстов. Желательными, но не обязательными, являются также сертификаты хостовых вендоров, которые подтверждают соответствие программного обеспечения хостовым протоколам. Объясняя IT-подробности простым языком, эти сертификаты подтверждают безопасность передачи сообщения при осуществлении транзакции.
Эти стандартные условия должны быть соблюдены на уровне законодательства, но это не дает гарантий защиты платежного оборудования от кибератак и взломов.