Как история связана с рисками информационной безопасности?
Да очень просто. Взять, например, историю становления международных платежных систем. Первой такой системой, в относительно современном её понимании, была Diner’s Club, появившаяся в 1950 году. Будущая Visa – BankAmericard – не заставила себя долго ждать, появилась восьмью годами позже. Затем на рынок вышли JCB, Discover и прочие.
Изначально это всё было совсем не про информационные технологии. Людям нужно было средство, позволяющее быстро оплатить что-то в кредит ровно в тот момент, когда они увидели это на прилавке, не прибегая к громоздкой чековой книжке. Первые платёжные карты были картонными, представляя собой лишь нечто идентифицирующее факт наличия кредитного счёта в банке у держателя карты. После такой «оплаты» продавец мог обратиться к платёжной системе и урегулировать все вопросы, связанные с получением реальных денег от банка-эмитента за свой товар или услугу. Это сделало подобную схему максимально универсальной.
В конце 50-х годов карты стали пластиковыми, с эмбоссированными (выпуклыми) символами номера карты и срока её действия. Это позволило ускорить процесс оплаты: при помощи копирки и механического устройства – импринтера – с карты делался отпечаток на бумажном слип-чеке, который в последствии использовался для целей клиринга и взаиморасчёта.
Электроника пришла в эту отрасль только в 70-е годы, когда общая архитектура информационного обмена и поля данных были в общем виде уже сформированы. Телеком привнёс повышение сетевой связности участников индустрии, клиентов и злоумышленников. Развитие вычислительной техники дало невиданные ранее мощности для обработки, хранения и передачи информации. Широкий охват эмиссией состоятельных людей сделал отрасль привлекательной для любителей быстрой незаконной наживы.
Эти факторы встретились с архитектурой платёжной системы, уходящей корнями в 50-е годы, когда никто и помыслить не мог о подобных технологиях. Но поменять архитектуру уже никто не был в силах: платёжные системы расширяли охват торговых точек по всему миру. Поставить бизнес на паузу, радикально поменяв подход к авторизации транзакции, клирингу и взаиморасчёту, означало бы проигрыш в конкурентной борьбе. Поэтому все методы снижения рисков информационной безопасности применялись к архитектурно уязвимой системе, где до сих пор для авторизации транзакции по платёжной карте может быть достаточно лишь её номера и даты окончания срока её действия. Эти поля данных циркулируют по всей индустрии платёжных карт, делая вопрос обеспечения конфиденциальности краеугольным камнем в управлении рисками международных платёжных систем.