Video: 7 LUCRURI DESPRE CARDURILE DE CREDIT (Noiembrie 2024)
Recentele încălcări ale datelor de la Target, Neiman Marcus și alte puncte de vânzare cu amănuntul au dovedit că respectarea standardelor din industrie nu se traduce într-o mai bună securitate. Deci, de ce ne pierdem timpul cu o listă de verificare?
Atacatorii au interceptat detaliile cardului de plată în timp ce cardurile au fost transferate și înainte ca informațiile să poată fi criptate, directorii de la Target și Neiman Marcus au depus mărturie în 5 februarie la Subcomisia Comitetului pentru Comerț, Fabricare și Comerț al Comitetului pentru energie și comerț. "Informatiile au fost razuite imediat dupa glisare - milisecunde inainte de a fi trimise prin tuneluri criptate pentru procesare", a declarat Michael Kingston, vicepresedinte senior si CIO la Neiman Marcus.
Când cardurile sunt glisate, informațiile din banda magnetică nu sunt criptate. Singura modalitate de a zădărnici malware-ul de pe terminalele de vânzare cu amănuntul de la preluarea informațiilor este de a avea datele criptate chiar de la început. Cert este că, în prezent, criptarea end-to-end nu este mandatată de reglementările din industrie, ceea ce înseamnă că acest decalaj nu va dispărea în curând.
Chiar și trecerea de la cardurile cu bandă magnetică la cardurile cu cip EMV nu ar rezolva problema de criptare end-to-end, deoarece datele sunt încă transmise în text clar în punctul în care sunt trecut. Adoptarea cardurilor EMV este necesară, dar nu va fi suficient dacă organizațiile nu se gândesc, de asemenea, să îmbunătățească toate aspectele apărărilor lor de securitate.
PCI-DSS nu funcționează
Comercianții cu amănuntul - orice organizație care se ocupă cu datele de plată, într-adevăr - trebuie să respecte Standardul de securitate a datelor cu cardul de plată (PCI-DSS) pentru a se asigura că informațiile consumatorilor sunt stocate și transmise în siguranță. PCI-DSS are o mulțime de reguli, cum ar fi asigurarea datelor criptate, instalarea unui firewall și folosirea parolelor implicite, printre altele. Pare o idee bună pe hârtie, dar după cum au arătat mai multe încălcări recente ale datelor, respectarea acestor mandate de securitate nu înseamnă că compania nu va fi încălcată niciodată.
"În mod cert, conformitatea PCI nu funcționează foarte bine - în ciuda a miliarde de dolari cheltuiți de comercianți și procesatori de carduri în eforturile de realizare", a scris Avivah Litan, vicepreședinte și distins analist la Gartner, într-un post pe luna trecută.
Standardul se concentrează pe măsuri de apărare convenționale și nu a ținut pasul cu cei mai noi vectori de atac. Atacatorii din ultima rundă de încălcări cu amănuntul au folosit programe malware care au sustras detectarea antivirusului și au criptat date înainte de a le transfera pe servere externe. "Nimic din ce stiu in standardul PCI nu ar fi putut prinde aceste lucruri", a spus Litan.
Litan a dat vina pentru încălcările pe băncile emitente de carduri și pe rețelele de carduri (Visa, MasterCard, Amex, Discover) „pentru că nu a făcut mai mult pentru a preveni dezbaterile”. Cel puțin, ar fi trebuit să modernizeze infrastructura sistemelor de plată pentru a sprijini criptarea end-to-end (retailer to emitent) pentru datele cardului, în același mod PIN-urile sunt gestionate la bancomate, a spus Litan.
Conformitatea nu este securitate
Nimeni nu pare să ia serios stickerul compatibil PCI. Raportul recent de conformitate PCI Verizon 2014 a descoperit că doar 11 la sută dintre organizații respectă pe deplin standardele din industria cardurilor de plată. Raportul a constatat că multe organizații cheltuiesc mult timp și energie pentru a trece evaluarea, dar, odată efectuate, nu au reușit - sau nu au putut să țină pasul cu sarcinile de întreținere pentru a rămâne conforme.
De fapt, JD Sherry, directorul tehnologiei publice și soluții la Trend Micro i-a chemat pe Michaels și pe Neiman Marcus drept „infractori repetiți”.
Și mai deranjant, în jur de 80 la sută dintre organizații au îndeplinit „cel puțin 80 la sută” din regulile de conformitate în 2013. Fiind „majoritatea” conforme sună bănuitor ca „nu de fapt” conform, deoarece există o gaură undeva în infrastructură.
„O concepție greșită comună este că PCI a fost conceput pentru a fi o problemă de securitate”, a mărturisit Phillip Smith, vicepreședinte senior la Trustwave, la audierea Camerei.
Deci de ce rămânem în continuare cu PCI? Tot ce face este să scoată băncile și VISA / MasterCard să nu fie nevoite să facă orice pentru a îmbunătăți securitatea noastră generală.
Concentrați-vă pe securitatea reală
Experții în securitate au avertizat în mod repetat că concentrarea pe o listă de cerințe înseamnă că organizațiile nu observă lipsurile și nu se pot adapta la metodele de atac în evoluție. "Există o diferență între respectarea și siguranța", a menționat Rep. Marsha Blackburn (R-Tenn) la audierea Camerei.
Știm că Target a investit în tehnologie și o echipă bună de securitate. De asemenea, compania a cheltuit mult timp și bani pentru realizarea și dovedirea conformității. Și dacă, în schimb, Target ar fi putut cheltui tot acest efort pe măsuri de securitate nemenționate în PCI, cum ar fi adoptarea tehnologiilor de sandboxing sau chiar segmentarea rețelei, astfel încât sistemele sensibile să fie închise?
Ce se întâmplă dacă, în loc să petreacă următoarele luni documentându-se și arătând modul în care activitățile lor se potrivesc în lista de verificare a PCI, comercianții cu amănuntul s-ar putea concentra pe adoptarea mai multor straturi de securitate, care pot fi adaptate la atacuri în evoluție?
Ce se întâmplă dacă, în loc de comercianții cu amănuntul și organizațiile individuale care se îngrijorează de PCI, am răspunde băncile și rețele de carduri? Până atunci, vom continua să vedem mai multe dintre aceste încălcări.