Відео: Nnnnnnn (Вересень 2024)
Нещодавні порушення даних у Target, Neiman Marcus та інших торгових точках довели, що відповідність галузевим стандартам не означає кращої безпеки. То чому ми витрачаємо час на контрольний список?
Зловмисники перехопили дані платіжної картки під час перенесення карт і перед тим, як інформація могла бути зашифрована, керівники Target та Neiman Marcus показали 5 лютого в підкомітеті з питань торгівлі, виробництва та торгівлі Комітету з питань торгівлі, виробництва та торгівлі. "Інформація була скреслена відразу після пробігу - мілісекунди, перш ніж надсилатися через зашифровані тунелі на обробку", - сказав Майкл Кінгстон, старший віце-президент і керівник директора по роботі з громадськістю Neiman Marcus.
Коли картки розгортаються, інформація з магнітної смуги не шифрується. Єдиний спосіб запобігти зловмисному програмному забезпеченню на терміналах торгових точок роздрібної торгівлі, щоб захопити інформацію - це зашифровувати дані з самого початку. Справа в тому, що шифрування в кінці в даний час не передбачено галузевими нормами, а це означає, що цей розрив не скоро пройде.
Навіть перехід від карт магнітної смуги до чіпових карт EMV не вирішить проблему шифрування від кінця до кінця, оскільки дані все ще передаються чітким текстом у момент їх перенесення. Прийняття карток EMV є необхідним, але цього буде недостатньо, якщо організації також не замислюються над покращенням усіх аспектів їх захисту.
PCI-DSS не працює
Торговці роздрібної торгівлі - будь-яка організація, яка реально обробляє платіжні дані, зобов’язані дотримуватися стандарту безпеки платіжної картки (PCI-DSS), щоб забезпечити безпечне зберігання та передачу інформації про споживачів. PCI-DSS має безліч правил, наприклад, переконайтеся, що дані зашифровані, встановлення брандмауера та не використання паролів за замовчуванням. Це звучить як гарна ідея на папері, але, як показали кілька останніх порушень даних, дотримання цих мандатів щодо безпеки не означає, що компанія ніколи не буде порушена.
"Зрозуміло, що відповідність PCI працює не дуже добре - незважаючи на мільярди доларів, які витрачаються торговцями та процесорами карт, намагаючись досягти цього", - написала віце-президент і відомий аналітик компанії Gartner Avivah Litan у минулому місяці.
Стандарт зосереджений на звичайних оборонних заходах і не в курсі останніх векторів нападу. Під час останнього раунду зловмисників зловмисники використовували шкідливі програми, які ухилялися від виявлення антивірусу та зашифровували дані, перш ніж переносити їх на зовнішні сервери. "Ніщо, про що я знаю у стандарті PCI, не могло б наздогнати цей матеріал", - сказав Літан.
Літан поклав провину за порушення прямо на банки, що видавали картки, і карткові мережі (Visa, MasterCard, Amex, Discover) "за те, що вони не робили більше для запобігання дебалам". Принаймні, вони повинні були модернізувати інфраструктуру платіжних систем для підтримки шифрування в кінці (роздрібної торгівлі до емітента) шифрування даних картки, майже так само, як PIN-коди управляються в банкоматах, сказав Літан.
Сумісність не є безпекою
Здається, ніхто не сприймає наклейку, сумісну з PCI, серйозно. Щойно випущений звіт про відповідність PCI Verizon 2014 показав, що лише 11 відсотків організацій повністю відповідали стандартам галузі платіжних карток. У звіті встановлено, що багато організацій витрачають багато часу та енергії на те, щоб пройти оцінку, але після того, як вони виконані, не зробили чи не змогли - не відставати від завдань з технічного обслуговування, щоб залишатись дотриманими.
Насправді Дж. Д. Шеррі, директор з питань суспільних технологій та рішень Trend Micro, назвав Майкласа та Неймана Маркуса "повторними правопорушниками".
Ще більше тривожно, близько 80 відсотків організацій відповідали "принаймні 80 відсотків" правил дотримання правил у 2013 році. Бути "в основному" сумісним звучить підозріло, як "не насправді" сумісно, оскільки в інфраструктурі є луна.
"Поширена помилкова думка полягає в тому, що PCI був розроблений як вигадка для безпеки", - свідчив на слуханнях Палати Філіп Сміт, старший віце-президент Trustwave.
То чому ми все-таки дотримуємось PCI? Все, що потрібно зробити - це відмовити банки та VISA / MasterCard від того, щоб робити щось для покращення загальної безпеки.
Зосередьтеся на реальній безпеці
Експерти з питань безпеки неодноразово попереджали, що якщо зосередитися на списку вимог, це означає, що організації не помічають прогалин, і не в змозі налаштуватись на зміни методів атаки. "Існує різниця між дотриманням та безпекою", - зазначила на слуханнях Палати представник Марша Блекберн (R-Tenn).
Ми знаємо, що Target інвестувала в технології та хорошу команду з безпеки. Компанія також витратила багато часу та коштів на досягнення та доведення відповідності. Що робити, якщо натомість Target міг би витратити всі ці зусилля на заходи безпеки, не згадані в PCI, такі як прийняття технологій пісочниці або навіть сегментація мережі, щоб захистити чутливі системи?
Що робити, якщо замість того, щоб витрачати наступні кілька місяців на документування та демонстрацію того, як їхня діяльність відображається до контрольного списку PCI, роздрібні продавці можуть зосередитись на прийнятті декількох шарів безпеки, які є спритними та можуть адаптуватися до нападів, що розвиваються?
Що робити, якщо замість роздрібної торгівлі та окремих організацій, які турбуються про PCI, ми притягнемо до відповідальності банки та карткові мережі? До цього часу ми продовжуємо бачити більше цих порушень.
