Новая цель: совместимость со стандартами обеспечения безопасности данных

Третий ежегодный опрос в области IT-безопасности SITA Global Airline IT Security Survey* указывает на необходимость обеспечения совместимости со стандартами онлайн-платежей

IT Security 2009

Исследование SITA демонстрирует обнадеживающие признаки повышения внимания к угрозам безопасности в отрасли. Оно выявляет ряд направлений, которые должны оказаться полезными для авиакомпаний, планирующих усовершенствовать в ближайшие 1-2 года свою стратегию безопасности, а также устанавливает точку отсчета по текущему уровню автоматизации обеспечения IT-безопасности, позволяя авиакомпаниям оценить общее состояние безопасности IT-инфраструктуры отрасли.

Вопрос совместимости находился в фокусе проводившегося анкетирования, так как он все больше волнует специалистов по ИТ и обеспечению безопасности. Среди тех респондентов, кто отвечает за обеспечение совместимости, этот процесс считается важным с точки зрения бизнеса как для корпоративной (73%), так и для клиентской (68%) информации. Однако в то время, когда авиакомпании постоянно изыскивают способы наращивания объемов бронирования в онлайне, только 34% считают совместимость со стандартами онлайн-платежей «очень важной», что вызывает глубокую озабоченность специалистов SITA.

Следует напомнить, что стандарт защиты данных PCI DSS отраслевой ассоциации платежных систем, разработанный основными компаниями по обслуживанию кредитных карт в качестве руководящего материала по борьбе с различными видами мошенничества, станет обязательным для компаний, принимающих платежи по кредитным картам. Компания, которая обрабатывает, хранит или передает данные платежных карт, должна выполнять требования стандарта PCI DSS. Компании, которые не выполняют требования стандарта, и при этом работают с кредитными картами как напрямую, так и через посредника, могут быть лишены права работы с кредитными картами, подвергнуты аудиту и оштрафованы.

Мы попросили прокомментировать ситуацию на российском рынке Андрея Черемных, Директора департамента транспорта и авиации компании Астерос:

 

«Российские авиаперевозчики преодолевают те же трудности, что и зарубежные коллеги. С ростом продаж через интернет практически все крупные российские авиакомпании столкнулись с мошенничеством при платежах, осуществляемых с помощью кредитных карт. С развитием киосков самостоятельной регистрации вопросы защиты информации, которая передается с их помощью, станут еще более актуальными.

Не менее значимы вопросы IT-безопасности для аэропортовых служб, которые должны отслеживать пассажиров, находящихся в «черных» списках. Здесь необходима координация усилий авиакомпаний и аэропортов, увязка с данными систем бронирования и дистрибуции.

 

Наконец, как и в любой другой области, актуальными остаются задачи по защите корпоративных сетей и информации.

Реализуя ряд проектов в России и СНГ, мы обращаем внимание на постоянный рост требований по обеспечению безопасности и на стремление наших клиентов в полной мере удовлетворить этим требованиям, и это является обнадеживающей тенденцией.»

Ключевые инициативы по обеспечению совместимости требуют внимания не только к мероприятиям, но и к срокам выполнения. Основные платежные системы объявили о сроках завершения внедрения стандарта PCI DSS в части процедур хранения и проверки правильности данных. Так, Visa установила конечные сроки на сентябрь 2009 и 2010 соответственно, и международная авиаиндустрия должна к этому отнестись со всем вниманием.

Опрос показал, что основными препятствиями на пути обеспечения совместимости являются недостаток ресурсов (54%), нехватка бюджета (49%) и отсутствие квалификации в этой области (47%). В условиях, когда такие ключевые вопросы, как защита данных и обеспечение транзакций по кредитным и дебетовым картам, все больше регулируются законами о совместимости, существует риск того, что все больше установившихся процедур обеспечения общей безопасности не будут соответствовать требованиям совместимости.

Также исследование показывает распределение затрат на IT-безопасность в 2008 году. 34% респондентов отметили стабильность бюджета, 25% указали рост в пределах 1-5%, у 9% респондентов рост составил 6% и более. Интересно отметить рост количества компаний, указавших сокращение затрат как основной фактор перехода к аутсорсингу: в 2007 таких было 36%, а в 2008 — уже 58%, что свидетельствует о повышении роли экономической эффективности в принятии решений для этого направления бизнеса.

В этом году также отмечено значительное улучшение положения в области рекомендаций и методик по обеспечению IT-безопасности. Наличие стандартизованных процедур отметили в среднем на 14% больше авиакомпаний, чем в прошлом году, и хотя 66% считают, что в их организациях необходимо дальнейшее улучшение качества информации по управлению безопасностью, это все же на 10 процентных пунктов меньше, чем в прошлом году, и на 19 процентных пунктов меньше, чем в 2007, когда анкетирование поводилось в первый раз, что свидетельствует о значительном прогрессе в этой области. Это обнадеживающий знак для всей отрасли, так как внедрение стандартизованных процедур приносит преимущества и в других областях управления IT-безопасностью.