Банк России: держатели карт национальной платежной системы «Мир» могут пострадать от действий хакеров

    Злоумышленники могут узнать информацию о карте через системы дистанционного обслуживания



    ЦБ предупредил о том, что держатели карт национальной платежной системы «Мир» на первых порах работы этой системы могут стать жертвами злоумышленников, пишет «РБК». Консультант центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовый сфере (FinCERT) Банка России Александр Чебарь на заседании комитета Торгово-промышленной палаты по финансовым рынкам и кредитным организациям сообщил, что такие карты могут быть уязвимы на начальном этапе использования через дистанционные каналы обслуживания.

    По словам Александра Чебаря, уровень защиты карт национальной платежной системы соответствует уровню безопасности международных платежных систем. «Однако с точки зрения работы самих пользователей карт да, возможен небольшой провал в течение первого времени использования этих карт. То есть явный провал с точки зрения хищения денежных средств. Атака будет не на саму карту, а на какие-то системы, которые дополняют эту карту, например на системы дистанционного банковского обслуживания, чтение информации о платежной карте», — сообщил он.

    В то же время начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка Николай Пятиизбянцев утверждает, что особой защиты у карты нет. «Для снятия средств с карты «Мир» надо знать всего лишь номер карты и ПИН-код. Ни о каких защищенных технологиях речи нет», говорит он. Более того, если данные карт станут известны злоумышленникам, то похищено может быть «в разы больше».

    Заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев заявил следующее: «НСПК соответствует требованиям международного стандарта безопасности индустрии платежных карт (PCI DSS) и закона «О национальной платежной системе». Технологии, применяемые в платежной карте «Мир», разрабатывались с учетом требований безопасности и в тесном взаимодействии с уполномоченными государственными органами в области безопасности».

    По его мнению, карта «Мир» подвержена рискам, связанным с недостаточным уровнем понимания и финансовой грамотности ее пользователей, не более, чем прочие финансовые инструменты. «Мы абсолютно уверены, что при соблюдении стандартных правил безопасности (не записывать PIN-код на карте, не сообщать посторонним конфиденциальную информацию, включая CVV-код), держатели карт «Мир» надежно защищены», — комментирует ситуацию Сычев.

    Закон РФ обязывает торговые точки с выручкой от 120 млн руб. в год принимать карты национальной платежной системы. Если выручка меньше, но компания при этом принимает другие карты, банк-эквайер должен подключить и ее к «Миру». Отечественные банки должны обеспечить прием карт «Мир» до 1 июля 2016 года.

    Недавно выяснилось, что Роспотребнадзор начал штрафовать торговцев за отказ принимать карты «Мир» еще в мае 2015 года. На тот момент Национальная система платёжных карт (НСПК) ещё не выпустила ни одной карты, не было ни названия для карт, ни даже конкурса на бренд.

    В марте этого года ЦБ направил 51 банку требование начать принимать карты «Мир» во всех обслуживаемых торговых точках. Банки также обязали выпускать карты для госслужащих с 1 июля.

    Only registered users can participate in poll. Log in, please.

    Являетесь ли вы держателем карты «Мир»?

    • 0.4%Да, у меня уже есть такая карта3
    • 3.7%Нет, но вскоре обещали выдать25
    • 95.8%Нет, у меня такой карты нет и, вероятно, не будет643

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 26

      0
      Юлит чиновник, не договаривает
        +5
        Вот и я подумал — нет в опросе варианта:
        «Нет, у меня такой карты нет, но возможно, других скоро и не будет»
        +1
        «держатели» — почему во множественном числе?
          +13
          В системе недавно зарегистрирован второй пользователь
          +2
          «Однако с точки зрения работы самих пользователей карт да, возможен небольшой провал в течение первого времени использования этих карт. То есть явный провал с точки зрения хищения денежных средств.»

          «Денег на карте нет, но вы держитесь здесь, вам всего доброго, хорошего настроения и здоровья.»
            +2
            В то же время начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка Николай Пятиизбянцев утверждает, что особой защиты у карты нет. «Для снятия средств с карты «Мир» надо знать всего лишь номер карты и ПИН-код. Ни о каких защищенных технологиях речи нет», говорит он. Более того, если данные карт станут известны злоумышленникам, то похищено может быть «в разы больше».


            Интересно, зачем он врет? Да еще так откровенно.

            Сразу скажу, что не работаю на "НСПК" и более того, на данный момент, чисто из лично шкурных интересов было бы для меня "полезнее" что бы НСПК и Мир почили как УЭК…
            Но такое откровенное вранье ну просто возмущение вызывает.

            Требование по сертификационным тестам у НСПК довольно суровы, с документацией и пр. дело постепенно движется… (не без огрехов, но кто не без греха — пусть первый кинет камень).
            Обычная EMV карта (на основе EMV CCD). Правила приема не сильно отличаются от Visa, MC, UPI…
            Какой еще PAN+PIN достаточный для выдачи наличных! Что за бред.
              0
              А что-то типа 3d secure есть?
                0

                3D secure относится больше к интернет платежам. Но вообще то есть и правилами предусмотрен. Что в этом такого сложного? Технология далеко не нова и правила устоявшиеся. Правила НСПК — принципиально от правил остальных ПС не отличаются.

                  0
                  Будет осенью (этой)
                  –2
                  Надеюсь, что здесь ситуация вида «ученый изнасиловал журналиста» иначе — грустно.

                  Я тоже не работаю на «НСПК» и не приветсвую насильственные методы, но своя ПС нужна как ни крути. И МИР полетит, не 1 июля конечно. Осенью эквайринг задышит, к концу года нелокальная эмиссия будет иметь смысл. Потом сбер подтянется… ) А потом и карты сделаем на своем Зеленоградском чипе с красивой криптографией на элептических кривых. Все лучше чем шубохранилища…
                    0

                    Вот только бы НСПК вела бы себя как бы это сказать… без снобизма.
                    Насколько легче было подключатся и проводить сертификацию с UPI! И доброжелательны и даже могут внести изменения в сертификационные тесты, если это изменение обосновать однозначными ссылками на спеки EMV и Visa и уже выполненные сертификации в Visa & MC.


                    А НСПК со своими странными, высосанными из пальца требованиями вызывает раздражение и мыслишку "чтоб она сдохла как ПРО100 и УЭК". Да еще стиль общения и ответов на вопросы "зачем вы это сделали!?" навевает на такие мысли.
                    Возможно комментарий Николая Пятиизбянцева целиком основан на эмоциях после прочтения очередного документа от НСПК или общения с ними.


                    К слову, НСПК делает все, что бы Мир была чисто локальной ПС. Ни один иностранный вендор ПО не будет прогибаться под дополнительные требования НСПК к карточной транзакции/авторизации. И не один иностранный банк не будет вносить изменения под эти "особенности".

                      0
                      К слову, НСПК делает все, что бы Мир была чисто локальной ПС. ...
                      Да, что-то знаете ли не заметил каких-то принципиальных отличий. За основу взят MCI — это видно. Про эллептическую криптографию я загнул конечно, но это же дело далеко не ближайших лет.

                      По поводу снобизма: про UPI ничего не скажу — не знаю. А в VISA и MCI снобизма, да и идиотизма тоже, хватает.

                      И не один иностранный банк не будет вносить изменения под эти «особенности».
                      Любой банк сделает что угодно, что принесет доход.
                        0
                        Да, что-то знаете ли не заметил каких-то принципиальных отличий.


                        Дьявол кроется в мелки деталях в документации. Из за которых приходится вносить изменения в ПО, уже прошедшее сертификацию в Visa, MC, UPI (и работающее и обслуживающее). Причем НСПК никогда не затрудняет себя объяснениями зачем введено то или иное ограничение.
                        Любой банк сделает что угодно, что принесет доход.


                        Иностранная платежная сетка с 100000 устройств не будет производить апгрейд инфраструктуры, заказывая у вендора новый соф. (включая сертификацию по кругу в EMVco и пр.) из за потенциального приема 1000 карт в месяц Российских туристов.
                        Апгрейд и изменения в софте, потому что какой сотрудник в НСПК решил, например, что… (не буду вдаваться в детали) должно быть сделано ровно так и не иначе. Причем с точки зрения EMVco этот кусок логики не специфицирован и в общем то не имеет значения как вендор реализует.
                          0
                          VISA и MCI дважды в год (апрель, октябрь) выпускают мандаторные изменения из-за которых приходиться модифицировать работающие продакшен системы (порой очень серьезно, свежий пример — «инкрементальные транзакции»), и не затрудняют себя объяснениями зачем введено то или иное изменение.
                          Изменения кстати год от года все менее и менее формализованные, создается полное впечатления, что технарей сменяют успешные менеджеры.
                          Это, к сожалению, общая тенденция в мире разработки ПО.
                          С другой стороны — всегда есть чем заняться )
                            0

                            Ну да. Всегда есть чем заняться. Везде нужно находить плюсы.


                            Китайцы с UPI поступают мудро. "У вас принимается Visa? Вам ничего менять не нужно."
                            Хотя конечно их требования насчет 6 цифр PIN многих заставило адаптироваться.

                              0
                              Сui prodest. Китайцы безусловно мудры, поключили вас к VISA (заодно прикрыв от закидонов: сами за вас сформируют нужные поля и данные, кому нафиг надо что-то тестировать/пересертифицировать), но с условием принимать так же и UnionPay.

                                0

                                Не совсем так.
                                Просто UPI документация цельнотянута с Visa спецификаций.
                                Даже до смешного. Кое где используют свои придуманные термины (наверное что бы в суд не подали), но кое где забывшись используют Visa терминологию.

                                0
                                Угу. А также заставило постигать дзен от Pre-authorization completion cancellation reversal advice.
                      0
                      > кто не без греха — пусть первый кинет камень.

                      Вы так желаете быть закиданным камнями?
                      Кто не без греха… это же все грешники. В первоисточнике частице «не» отсутствует.
                      На правах уточнения.
                        0

                        видимо подсознание добавило частичку "не" и не заметило ее :)
                        Однако да....

                      +1
                      >Нет, но вскоре обещали выдать
                      Звучит как угроза.

                      Хотелось бы верить, что это всё делают для того, чтобы обеспечить конкуренцию, а не получить больше контроля, но кредит доверия к гос проектам уже давно кончился, даже ушёл в минус и пробивает дно за дном.
                        –2
                        вы так говорите, что можно подумать, что у вас остался кредит доверия к Эпплу, Гуглу, Майкрософту и прочим Ватсапам.
                          +1
                          Причём здесь Google и Apple? Они не являются ПС, не выпускают карт и не требуют от продавцов и банков их принимать.
                            0
                            Пока не являются
                        0
                        Набор вариантов ответов неполный, и какой-то нервный.

                        Да, у меня уже есть такая карта — у меня нет
                        Нет, но вскоре обещали выдать — никто ничего не обещал, и сам не заказывал
                        Нет, у меня такой карты нет и, вероятно, не будет — вероятно, будет, когда система станет более зрелой и распространенной.

                        В общем, выглядит не как опрос, а как намек автора, что система никому не нужна.

                        А вы перестали пить коньяк по утрам?
                          0
                          Если карта взлетит, то почему бы ей не пользоваться?
                          Например, если тот же Сбер её начнёт выпускать и на неё можно будет по номеру перечислять деньги с любой другой карты того же Сбера будет очень даже удобно.
                          Ну и обслуживание однозначно должно быть дешевле, скажем, рублей 150 в год.
                          Карту Мир было бы удобно использовать в качестве кредитки, или карты привязанной к лицевому счёту кредита для удобного его погашения. Для этого, в принципе, достаточно, чтобы карта работала в России. А то сейчас годовое обслуживание золотой визы нефига не дёшево выходит.
                          Вообще, для платежей внутри страны, вполне логично использовать свою платёжную систему, кормить левую страну своими платежами как-то бессмысленно.
                          Если Мир выйдет зарубеж и будет приниматься везде, то и тоже хорошо будет, тогда смысл использовать визу или мк вообще отпадёт, а что касается надёжности, карта, она и в африке карта, уровень безопасности у всех одинаковый, главное, чтобы карта не была безконтактной, а что касается вероятности слежки от государства, то можно подумать, что наши банки не видят всех трансферов по картам и не сливают эту информацию при необходимости.
                          Когда всё получится, будем иметь хорошую новость, а то ГТ уж сильно стал похож на бложик как у нас в стране всё хреново.

                          Only users with full accounts can post comments. Log in, please.