Video: Recenzija Revolut kartice (Oktober 2024)
Nedavne kršitve podatkov v podjetju Target, Neiman Marcus in drugih prodajnih mestih so dokazale, da skladnost z industrijskimi standardi ne pomeni večje varnosti. Zakaj torej zapravljamo čas s kontrolnim seznamom?
Napadalci so prestregli podatke o plačilnih karticah, ko so bile kartice prebrisane in preden so bile informacije lahko šifrirane, voditelji Target in Neiman Marcus pričali 5. februarja v pododboru za trgovino, proizvodnjo in trgovino odbora za energetiko in trgovino House House. "Informacije so bile posnete takoj po poteku - milisekunde, preden so bile poslane skozi šifrirane predore za obdelavo, " je dejal Michael Kingston, višji podpredsednik in direktor CIO pri Neiman Marcusu.
Ko kartice potegnete, informacije z magnetne črte niso šifrirane. Edini način za preprečitev zlonamerne programske opreme na prodajnih mestih prodajalcev na prodajnih mestih je, da se podatki šifrirajo že od samega začetka. Stvar je v tem, da šifriranje od konca do konca trenutno ne nalaga industrijskih predpisov, kar pomeni, da se ta vrzel ne bo kmalu odpravila.
Tudi prehajanje z kartic z magnetnimi črtami na kartice EMV s čipom ne bi rešilo težave s šifriranjem od konca do konca, saj se podatki še vedno pošiljajo v jasnem besedilu v trenutku, ko jih potegnete. Sprejem kartic EMV je nujen, vendar ne bo dovolj, če organizacije tudi ne razmišljajo o izboljšanju vseh vidikov svoje varnostne obrambe.
PCI-DSS ne deluje
Trgovci na drobno - vsaka organizacija, ki v resnici obdeluje podatke o plačilih - morajo izpolnjevati standard za varnost podatkov o industriji plačilnih kartic (PCI-DSS), da se zagotovi varno shranjevanje in prenos podatkov o potrošnikih. PCI-DSS ima veliko pravil, na primer zagotavljanje šifriranja podatkov, namestitev požarnega zidu in ne uporabo privzetih gesel. Na papirju se sliši kot dobra ideja, a kot kaže več nedavnih kršitev podatkov, upoštevanje teh varnostnih mandatov še ne pomeni, da se družba nikoli ne bo kršila.
"Jasno je, da skladnost s PCI ne deluje zelo dobro - kljub milijardam dolarjev, ki so jih trgovci in procesorji kartic porabili za to, " je prejšnji mesec v blogu zapisal podpredsednik Avivah Litan in ugledni analitik pri Gartnerju.
Standard se osredotoča na običajne obrambne ukrepe in ni bil v koraku z najnovejšimi vektorji napadov. Napadalci so v zadnjem krogu prodajalcev na drobno uporabili zlonamerno programsko opremo, ki se je izognila protivirusnemu odkrivanju in šifriranih podatkov, preden jih je prenesla na zunanje strežnike. "Ničesar, kar poznam v standardu PCI, tega ne bi mogel ujeti, " je dejal Litan.
Litan je krivdo za kršitve v celoti nakazal na banke, ki izdajajo kartice in omrežja s karticami (Visa, MasterCard, Amex, Discover), "da niso storile več za preprečitev napak." Vsaj bi morali nadgraditi infrastrukturo plačilnih sistemov, da bi podprli šifriranje končnih podatkov (prodajalcev na prodajalce do izdajateljev) za šifriranje podatkov s kartic, podobno kot na PIN-ju upravljajo PIN-ji na bankomatih, je dejal Litan.
Skladno ni varnostno
Na videz nihče ne jemlje nalepke PCI resno. Pravkar objavljeno poročilo o skladnosti PCI Verizon 2014 je ugotovilo, da je le 11 odstotkov organizacij v celoti ustrezalo standardom industrije plačilnih kartic. Poročilo je pokazalo, da številne organizacije porabijo veliko časa in energije za presojo ocene, vendar enkrat, ko so bile opravljene, niso - ali niso mogle - slediti nalogam vzdrževanja, da ostanejo skladne.
V resnici je JD Sherry, direktor javne tehnologije in rešitev pri Trend Microu, Michaela in Neimana Marcusa označil za "ponavljalca".
Še bolj moteče je, da je približno 80 odstotkov organizacij v letu 2013 izpolnilo "vsaj 80 odstotkov" pravil o skladnosti. Če je "večinoma" skladen, se zdi sumljivo, kot da "ni dejansko" skladen, saj nekje v infrastrukturi obstaja luknja.
"Pogosta napačna percepcija je, da je bil PCI zasnovan tako, da je varnostno sredstvo, " je na zaslišanju Parlamenta pričal Phillip Smith, višji podpredsednik Trustwave-a.
Zakaj se torej še vedno držimo PCI-ja? Vse to je, da banke in VISA / MasterCard umaknemo, da ne bi morali storiti ničesar za izboljšanje naše splošne varnosti.
Osredotočite se na dejansko varnost
Varnostni strokovnjaki že večkrat opozarjajo, da osredotočenost na seznam zahtev pomeni, da organizacije ne opazijo vrzeli in se ne morejo prilagoditi razvijajočim se metodam napada. "Obstaja razlika med skladnostjo in varnostjo, " je na zaslišanju Parlamenta zapisala predstavnica Marsha Blackburn (R-Tenn).
Vemo, da je Target vložil v tehnologijo in dobro varnostno ekipo. Podjetje je tudi porabilo veliko časa in denarja za doseganje in dokazovanje skladnosti. Kaj pa, če bi namesto tega Target lahko vložil ves trud za varnostne ukrepe, ki niso omenjeni v PCI, kot je na primer uporaba tehnologij peskovnika ali celo segmentiranje omrežja, tako da so občutljivi sistemi odstranjeni?
Kaj pa, če bi se trgovci na drobno, namesto da bi naslednjih nekaj mesecev porabili za dokumentiranje in prikazovanje, kako se njihove dejavnosti uvrstijo na kontrolni seznam PCI, osredotočile na sprejem več varnostnih plasti, ki se lahko prilagodijo razvijajočim se napadom?
Kaj pa, če namesto trgovcev na drobno in posameznih organizacij, ki skrbijo za PCI, odgovarjamo bankam in omrežjem kartic? Do takrat bomo še več videli te kršitve.
