Video: WHAT’S IN MY WALLET 2020 + MY CREDIT CARDS 💳| Metrobank, Unionbank, Citibank, BDO | Credit Cards Ph (November 2024)
De recente datalekken bij Target, Neiman Marcus en andere verkooppunten hebben aangetoond dat het voldoen aan industriële normen niet leidt tot betere beveiliging. Dus waarom verspillen we onze tijd met een checklist?
De aanvallers onderschepten betaalkaartgegevens terwijl de kaarten werden geveegd en voordat informatie kon worden gecodeerd, getuige de directeurs van Target en Neiman Marcus op 5 februari in de Subcommissie voor handel, productie en handel van de House Energy & Commerce Committee. "De informatie werd onmiddellijk na het vegen geschraapt - milliseconden voordat ze via gecodeerde tunnels werden verzonden voor verwerking, " zei Michael Kingston, senior vice president en CIO bij Neiman Marcus.
Wanneer de kaarten worden geveegd, wordt de informatie van de magneetstrip niet gecodeerd. De enige manier om malware op de betaalautomaten van de detailhandelaar tegen te houden door de informatie op te halen, is door gegevens vanaf het begin te versleutelen. Het punt is dat end-to-end-codering momenteel niet verplicht is door industriële regelgeving, wat betekent dat deze kloof niet snel zal verdwijnen.
Zelfs het overschakelen van magneetstripkaarten naar EMV-chipkaarten zou het end-to-end coderingsprobleem niet oplossen, omdat de gegevens nog steeds in duidelijke tekst worden verzonden op het moment dat ze worden geveegd. Het is noodzakelijk om de EMV-kaarten aan te nemen, maar het zal niet voldoende zijn als organisaties er ook niet aan denken alle aspecten van hun beveiligingsverdediging te versterken.
PCI-DSS werkt niet
Detailhandelaren - elke organisatie die eigenlijk met betalingsgegevens omgaat - moeten voldoen aan de Payment Card Industry-Data Security Standard (PCI-DSS) om ervoor te zorgen dat consumenteninformatie veilig wordt opgeslagen en verzonden. PCI-DSS heeft veel regels, zoals ervoor zorgen dat de gegevens worden gecodeerd, een firewall installeren en geen standaardwachtwoorden gebruiken. Het klinkt als een goed idee op papier, maar zoals verschillende recente datalekken hebben aangetoond, betekent het naleven van deze beveiligingsmandaten niet dat het bedrijf nooit zal worden overtreden.
"Het is duidelijk dat PCI-compliance niet erg goed werkt - ondanks miljarden dollars uitgegeven door handelaren en kaartverwerkers om dit te bereiken", schreef Avivah Litan, vice-president en vooraanstaand analist bij Gartner, vorige maand in een blogpost.
De standaard richt zich op conventionele verdedigingsmaatregelen en heeft de nieuwste aanvalsvectoren niet bijgehouden. De aanvallers in de laatste ronde van inbreuken op retailers gebruikten malware die antivirusdetectie en gecodeerde gegevens ontweken voordat ze deze overdroegen naar externe servers. "Niets dat ik ken in de PCI-standaard had dit soort dingen kunnen bevatten, " zei Litan.
Litan legde de schuld voor de inbreuken op de kaartuitgevende banken en de kaartnetwerken (Visa, MasterCard, Amex, Discover) "omdat ze niet meer deden om de debacles te voorkomen." Op zijn minst hadden ze de betaalsysteeminfrastructuur moeten upgraden om end-to-end-codering (van detailhandelaar tot uitgever) voor kaartgegevens te ondersteunen, ongeveer op dezelfde manier als pincodes worden beheerd bij geldautomaten, zei Litan.
Compliant is geen beveiliging
Niemand lijkt de PCI-conforme sticker serieus te nemen. In het zojuist uitgebrachte Verizon PCI Compliance Report 2014 werd vastgesteld dat slechts 11 procent van de organisaties volledig voldoet aan de industrienormen voor betaalkaarten. Uit het rapport bleek dat veel organisaties veel tijd en energie besteden om te slagen voor de beoordeling, maar eenmaal gedaan, niet - of niet konden - de onderhoudstaken bijbenen om compliant te blijven.
JD Sherry, directeur van openbare technologie en oplossingen bij Trend Micro, riep Michaels en Neiman Marcus zelfs als "recidivisten".
Nog verontrustender is dat ongeveer 80 procent van de organisaties in 2013 aan 'tenminste 80 procent' van de complianceregels voldeed. 'Meestal' compliant klinkt verdacht veel als 'niet echt' compliant, want er is ergens een gat in de infrastructuur.
"Een veel voorkomende misvatting is dat PCI is ontworpen als een alles-in-één voor veiligheid", getuigde Phillip Smith, senior vice president bij Trustwave, tijdens de hoorzitting van het Huis.
Dus waarom blijven we nog steeds bij PCI? Het enige wat het doet, is de banken en VISA / MasterCard van de haak krijgen om alles te doen om onze algehele veiligheid te verbeteren.
Focus op werkelijke beveiliging
Beveiligingsexperts hebben herhaaldelijk gewaarschuwd dat de focus op een lijst met vereisten betekent dat organisaties de lacunes niet opmerken en zich niet kunnen aanpassen aan zich ontwikkelende aanvalsmethoden. "Er is een verschil tussen naleving en veiligheid, " merkte Marsha Blackburn (R-Tenn) op de hoorzitting van het Parlement op.
We weten dat Target heeft geïnvesteerd in de technologie en een goed beveiligingsteam. Het bedrijf heeft ook veel tijd en geld besteed aan het bereiken en bewijzen van compliance. Wat als Target in plaats daarvan al die inspanningen had kunnen besteden aan beveiligingsmaatregelen die niet in PCI worden genoemd, zoals het toepassen van sandboxing-technologieën of zelfs het segmenteren van het netwerk zodat gevoelige systemen worden ommuurd?
Wat als, in plaats van de komende maanden te besteden aan het documenteren en laten zien hoe hun activiteiten op de checklist van PCI aansluiten, retailers zich zouden kunnen concentreren op het toepassen van meerdere beveiligingslagen die wendbaar zijn en zich kunnen aanpassen aan zich ontwikkelende aanvallen?
Wat als we, in plaats van retailers en individuele organisaties die zich zorgen maken over PCI, de banken en kaartnetwerken verantwoordelijk houden? Tot die tijd blijven we meer van deze inbreuken zien.
