Когда в сентябре 2006 г. появился стандарт Card Industry Security, он включал в себя целый ряд требований, специально направленных на обеспечение безопас-ности беспроводных сетей. Однако многие из них несли в себе бесполезные указа-ния.
В этом году ожидается новая версия стандарта PCI, и я надеюсь увидеть в ней дальнейшие рекомендации по беспроводным сетям, которые действительно бу-дут служить адекватной защите данных и сетей. Но пока остается неясным, до какой степени PCI Security Council сделает улучшения, а значит, повисает в воздухе и во-прос о том, какие именно торговые компании должны будут привести свои сети в со-ответствие с новыми стандартами.
С одной стороны, не так уж много изменений произошло с Wi-Fi после выхода версии 1.1. Спецификации 802.11i и WPA2 оказались очень прочными и действен-ными стандартами в этой области. А вот WEP на сегодня уже не один раз был взло-ман.
Хотя нам усиленно демонстрируют, что беспроводная связь может быть взломана простым подключением к устройству, атаки такого типа редко встречаются в реальной жизни. Главной опасностью остаются приборы злоумышленников, пере-хватывающие отправляемые пользователями данные.
Чтобы бороться с угрозой прослушивания или подсоединения к сети, можно было бы внести предложение, чтобы в стандарте PCI больше внимания уделялось использованию схем шифрования. Современные рекомендации касаются длины ключа, сложности и интервала ротации предварительно определенных ключей с пользовательским уровнем шифрования (WPA-PSK или WPA2-PSK). Однако я не считаю, что новый стандарт зайдет так далеко, чтобы требовать использования схем шифрования корпоративного уровня на основе сертификатов, поскольку такой уровень обеспечения безопасности еще, к сожалению, не стал общепринятым для большинства типов карманных клиентских устройств.
Кроме того, из-за особенностей клиентской базы, в частности в торговом сек-торе, будет запрещено применение WEP. Но в следующем стандарте должно быть четко сказано, что WEP сам по себе не может обеспечить безопасность и должен использоваться вместе с другими средствами защиты.
Я считаю, что следующая версия стандарта потребует наличия беспроводной аналитики, скорее всего постоянного включения анализа и записи истории всех дей-ствий.
Для многих инфраструктурное оборудование не будет предоставлять доста-точно детальные отчеты, но новый слой в сети окажется слишком дорогим и слож-ным проектом.
