Video: P3 forklarer: Er det smart å bruke penger man ikke har? (Oktober 2024)
De nylige datainnbruddene hos Target, Neiman Marcus og andre utsalgssteder har vist seg at å overholde bransjestandardene ikke betyr bedre sikkerhet. Så hvorfor kaster vi bort tiden vår med en sjekkliste?
Angriperne avskjermet betalingskortdetaljer da kortene ble sveipet og før informasjon kunne krypteres, vitnet ledere av Target og Neiman Marcus 5. februar på House Energy & Commerce Committee 's underutvalg for handel, produksjon og handelshøring. "Informasjonen ble skrapt umiddelbart etter sveipen - millisekunder før den ble sendt gjennom krypterte tunneler for behandling, " sa Michael Kingston, senior visepresident og CIO ved Neiman Marcus.
Når kortene blir sveipt, blir ikke informasjonen fra magnetstripen kryptert. Den eneste måten å hindre skadelig programvare på forhandlernes salgsstedsterminaler fra å ta tak i informasjonen, er å ha kryptert data helt fra starten. Saken er at kryptering fra ende til ende for øyeblikket ikke er pålagt av bransjeforskrifter, noe som betyr at dette gapet ikke vil forsvinne når som helst.
Til og med å skifte fra magnetstripekort til EMV-chipkort ville ikke løse krypteringsproblemet fra ende til annen, siden dataene fremdeles blir overført i klartekst på det tidspunktet det blir sendt. Det er nødvendig å vedta EMV-kortene, men det kommer ikke til å være nok hvis organisasjoner ikke også tenker på å beseire alle aspekter av sikkerhetsforsvaret.
PCI-DSS fungerer ikke
Forhandlere - enhver organisasjon som håndterer betalingsdata, virkelig - er pålagt å overholde Payment Card Industry-Data Security Standard (PCI-DSS) for å sikre at forbrukerinformasjon blir lagret og overført sikkert. PCI-DSS har mange regler, for eksempel å sørge for at dataene er kryptert, installere en brannmur og ikke bruke standardpassord, blant andre. Det høres ut som en god idé på papiret, men som flere nyere datainnbrudd har vist, betyr ikke å overholde disse sikkerhetsmandatene at selskapet aldri vil bli brutt.
"Det er klart at PCI-samsvar ikke fungerer veldig bra - til tross for milliarder av dollar brukt av selgere og kortbehandlere i arbeidet med å oppnå det, " skrev Avivah Litan, visepresident og fremtredende analytiker i Gartner, i et blogginnlegg forrige måned.
Standarden fokuserer på konvensjonelle defensive tiltak og har ikke holdt følge med de siste angrepsvektorene. Angriperne i den siste runden med forhandlerbrudd brukte skadelig programvare som unngikk antivirusdeteksjon og kryptert data før de overførte dem til eksterne servere. "Ingenting jeg kjenner til i PCI-standarden kunne ha fanget dette, " sa Litan.
Litan la skylden for bruddene på firkant av bankene og kortnettverkene (Visa, MasterCard, Amex, Discover) "for ikke å gjøre mer for å forhindre krangel." I det minste skal de ha oppgradert infrastrukturen for betalingssystemer for å støtte ende-til-ende (forhandler til utsteder) -kryptering for kortdata, omtrent på samme måte som PIN-koder administreres i minibanker, sa Litan.
Overensstemmende er ikke sikkerhet
Det ser ut til at ingen tar det PCI-kompatible klistremerket på alvor. Den nettopp utgitte Verizon 2014 PCI Compliance Report fant at bare 11 prosent av organisasjonene fulgte bransjestandardene for betalingskort. Rapporten fant at mange organisasjoner bruker mye tid og energi på å bestå vurderingen, men når de først var gjort, ikke - eller ikke kunne - følge med vedlikeholdsoppgavene for å holde seg etterlevende.
Faktisk kalte JD Sherry, direktør for offentlig teknologi og løsninger hos Trend Micro Michaels og Neiman Marcus som "gjentatte lovbrytere."
Enda mer urovekkende møtte rundt 80 prosent av organisasjonene "minst 80 prosent" av overholdelsesreglene i 2013. Å være "stort sett" kompatibel høres mistenkelig ut som "ikke faktisk" kompatibel, ettersom det er et gap hull et sted i infrastrukturen.
"En vanlig misforståelse er at PCI ble designet for å være en fange for sikkerhet, " vitnet Phillip Smith, seniordirektør i Trustwave, under høringen av huset.
Så hvorfor holder vi oss fortsatt med PCI? Alt det gjør er å få bankene og VISA / MasterCard fra kroken fra å måtte gjøre noe for å forbedre vår generelle sikkerhet.
Fokus på faktisk sikkerhet
Sikkerhetseksperter har flere ganger advart om at fokusering på en liste med krav betyr at organisasjoner ikke legger merke til hullene, og ikke er i stand til å tilpasse seg utviklende angrepsmetoder. "Det er en forskjell mellom etterlevelse og å være sikker, " bemerket rep. Marsha Blackburn (R-Tenn) under høringen av huset.
Vi vet at Target har investert i teknologien og et godt sikkerhetsteam. Selskapet har også brukt mye tid og penger på å oppnå og bevise etterlevelse. Hva om i stedet Target kunne brukt all den innsatsen på sikkerhetstiltak som ikke er nevnt i PCI, for eksempel å ta i bruk sandboxing-teknologier eller til og med segmentere nettverket slik at sensitive systemer blir muret av?
Hva om, i stedet for å bruke de neste månedene på å dokumentere og vise hvordan deres aktiviteter kartlegges til PCIs sjekkliste, kunne detaljister fokusere på å ta i bruk flere lag med sikkerhet som er kvikk og kan tilpasse seg utviklende angrep?
Hva om i stedet for at detaljister og enkeltorganisasjoner bekymrer seg for PCI, holder vi banker og kortnettverk ansvarlige? Inntil da kommer vi til å se flere av disse bruddene.
