Video: PNŚ (Pytanie na śniadanie) - Nie jedzą, nie piją - kim są bretarianie? (November 2024)
Nedávne porušenia údajov v spoločnosti Target, Neiman Marcus a ďalšie maloobchodné predajne dokázali, že súlad s priemyselnými normami neprináša lepšiu bezpečnosť. Prečo strácate čas kontrolným zoznamom?
Útočníci zachytili údaje o platobných kartách, keď boli karty prebraté, a predtým, ako mohli byť informácie zašifrované, vedúci pracovníci Target a Neiman Marcus dosvedčili 5. februára v podvýbore Výboru pre obchod, výrobu a obchod House Energy & Commerce Committee. „Informácie boli zoškrabané ihneď po prejdení prstom - milisekundy, potom boli odoslané cez šifrované tunely na spracovanie, “ uviedol Michael Kingston, senior viceprezident a CIO v spoločnosti Neiman Marcus.
Keď karty prejdú, informácie z magnetického prúžku nebudú šifrované. Jediným spôsobom, ako zmariť škodlivý softvér na termináloch predaja v maloobchodných sieťach po získaní informácií, je mať šifrované údaje hneď od začiatku. Ide o to, že šifrovanie typu end-to-end v súčasnosti nie je nariadené priemyselnými predpismi, čo znamená, že táto medzera sa neodstráni v dohľadnej dobe.
Dokonca ani prechod z kariet s magnetickým pruhom na čipové karty EMV by nevyriešil problém šifrovania end-to-end, pretože údaje sa stále prenášajú v čistom texte v okamihu, keď sa prehodia. Prijatie kariet EMV je nevyhnutné, ale nebude stačiť, ak organizácie nepremýšľajú o posilňovaní všetkých aspektov svojej bezpečnostnej ochrany.
PCI-DSS nefunguje
Maloobchodníci - akákoľvek organizácia, ktorá skutočne spracúva platobné údaje - sú povinní dodržiavať štandard bezpečnosti údajov v priemysle platobných kariet (PCI-DSS), aby sa zabezpečilo bezpečné uloženie a prenos informácií o spotrebiteľoch. PCI-DSS má veľa pravidiel, ako napríklad zabezpečenie šifrovania údajov, inštalácia brány firewall a nepoužívanie predvolených hesiel. Znie to ako dobrý nápad v papierovej podobe, ale ako ukazuje niekoľko nedávnych porušení údajov, dodržiavanie týchto bezpečnostných mandátov neznamená, že spoločnosť nebude nikdy porušená.
„Je zrejmé, že dodržiavanie PCI nefunguje veľmi dobre - napriek miliardám dolárov, ktoré obchodníci a spracovatelia kariet minú v snahe dosiahnuť tento cieľ, “ napísala minulý mesiac na blogovom blogu Avivah Litan, viceprezidentka a významná analytička spoločnosti Gartner.
Norma sa zameriava na konvenčné obranné opatrenia a neponechávala krok s najnovšími útokovými vektormi. Útočníci v poslednom kole porušení maloobchodných predajcov používali škodlivý softvér, ktorý sa vyhnul antivírusovej detekcii a šifroval údaje pred ich prenosom na externé servery. „Nič, o čom v štandarde PCI viem, nemohlo tieto veci chytiť, “ povedal Litan.
Litan umiestnil vinu za porušenia priamo na banky vydávajúce karty a na kartové siete (Visa, MasterCard, Amex, Discover) „za to, že sa im nedarí urobiť viac, aby zabránili debetám“. Prinajmenšom by mali modernizovať infraštruktúru platobných systémov tak, aby podporovali end-to-end (od maloobchodníka k emitentovi) šifrovanie údajov o kartách, podobne ako sa spravujú PINy v bankomatoch, uviedol Litan.
Kompatibilné nie je bezpečnosť
Zdá sa, že nikto neberie nálepku kompatibilnú s PCI vážne. V práve vydanej správe Verizon 2014 PCI Compliance Report sa zistilo, že iba 11 percent organizácií bolo plne v súlade s priemyselnými štandardmi platobných kariet. V správe sa zistilo, že mnoho organizácií trávi veľa času a energie, aby prešli hodnotením, ale akonáhle bude hotová, nevykonávala - alebo nemohla - držať krok s údržbovými úlohami, aby zostala v zhode.
JD Sherry, riaditeľ verejnej technológie a riešení v spoločnosti Trend Micro, v skutočnosti vyhlásil Michaelsa a Neimana Marcacha za „opakovaných páchateľov“.
Ešte viac znepokojujúce je, že okolo 80 percent organizácií splnilo v roku 2013 „najmenej 80 percent“ pravidiel dodržiavania predpisov. Zhoda „väčšinou“ znie podozrivo ako „skutočne nie“, pretože niekde v infraštruktúre existuje medzera.
„Bežná mylná predstava spočíva v tom, že PCI bol navrhnutý tak, aby zabezpečoval bezpečnosť, “ vypovedal Phillip Smith, senior viceprezident spoločnosti Trustwave, pri vypočutí v dome.
Tak prečo sa stále držíme PCI? Jediné, čo robí, je dostať banky a karty VISA / MasterCard z háčika, aby nemuseli robiť všetko pre zlepšenie našej celkovej bezpečnosti.
Zamerajte sa na skutočnú bezpečnosť
Odborníci na bezpečnosť opakovane varovali, že zameranie sa na zoznam požiadaviek znamená, že organizácie si nevšimnú medzery a nedokážu sa prispôsobiť vyvíjajúcim sa metódam útoku. „Existuje rozdiel medzi dodržiavaním a bezpečnosťou, “ poznamenala na pojednávaní House Rep. Marsha Blackburn (R-Tenn).
Vieme, že spoločnosť Target investovala do technológie a do dobrého bezpečnostného tímu. Spoločnosť tiež strávila veľa času a peňazí dosahovaním a preukazovaním zhody. Čo keby namiesto toho mohla spoločnosť Target vynaložiť všetko úsilie na bezpečnostné opatrenia, ktoré nie sú uvedené v PCI, ako je napríklad prijatie technológií sandboxu alebo dokonca segmentácia siete, aby sa citlivé systémy odstránili?
Čo keď by sa maloobchodníci mohli namiesto toho, aby strávili niekoľko mesiacov dokumentovaním a ukazovaním toho, ako sa ich činnosti zmapujú na kontrolný zoznam PCI, mohli maloobchodníci zamerať na prijatie viacerých vrstiev zabezpečenia, ktoré sú hbité a môžu sa prispôsobiť vyvíjajúcim sa útokom?
Čo keď namiesto maloobchodníkov a jednotlivých organizácií, ktoré sa obávajú PCI, nesú banky a siete kariet zodpovednosť? Dovtedy budeme naďalej vidieť viac týchto porušení.