ציות אינו ביטחון אמיתי. לכרטיסי האשראי שלנו מגיע יותר טוב

הפרות הנתונים האחרונות בטרגט, ניימן מרקוס ושאר חנויות קמעונאיות אחרות הוכיחו כי עמידה בתקני התעשייה אינה מביאה ביטחון טוב יותר. אז למה אנחנו מבזבזים את זמננו עם רשימת ביקורת?

התוקפים יירטו את פרטי כרטיסי התשלום ככל שהכרטיסים נמחקו ולפני שניתן היה להצפין מידע, העידו בכירי Target ו- Neiman Marcus ב -5 בפברואר בוועדת המשנה של ועדת המסחר, הייצור והסחר של ועדת האנרגיה והמסחר. מייקל קינגסטון, סגן נשיא בכיר ומנכ"ל נשיא מרקוס, אמר כי "המידע נגרד מיד לאחר ההחלקה - אלפיות השנייה לפני שנשלח דרך מנהרות מוצפנות לעיבוד.

כאשר הקלפים מוחלפים, המידע מהפס המגנטי אינו מוצפן. הדרך היחידה לסכל תוכנות זדוניות על מסופי נקודת המכירה של הקמעונאים לתפוס את המידע היא להצפין נתונים כבר מההתחלה. העניין הוא שהקידוד מקצה לקצה איננו מחויב בתקנות בענף, מה שאומר שהפער הזה לא ייעלם בקרוב.

אפילו מעבר מכרטיסי פס מגנטי לכרטיסי שבב EMV לא יפתור את בעיית ההצפנה מקצה לקצה, מכיוון שהנתונים עדיין מועברים בטקסט ברור ברגע שהם מועברים. אימוץ כרטיסי ה- EMV הוא הכרחי, אך זה לא יספיק אם ארגונים לא יחשבו גם לבשר את כל תחומי ההגנה הביטחונית שלהם.

PCI-DSS לא עובד

קמעונאים - כל ארגון המטפל בנתוני תשלומים, באמת - נדרשים לעמוד בתקן תעודת כרטיסי התשלום לתעשיית נתונים (PCI-DSS) כדי להבטיח שמידע על הצרכנים מאוחסן ומועבר בצורה מאובטחת. ל- PCI-DSS יש הרבה כללים, כמו לוודא שהנתונים מוצפנים, להתקין חומת אש ולא להשתמש בסיסמאות ברירת מחדל, בין היתר. זה נשמע כמו רעיון טוב על הנייר, אך כפי שהוכחו מספר הפרות נתונים אחרונות, הקפדה על מנדט האבטחה לא אומרת שהחברה לעולם לא תפר.

"ברור שתאימות PCI לא עובדת כל כך טוב - למרות מיליארדי דולרים שהוצאו סוחרים ומעבדי כרטיסים במאמצים להשיג אותה", כתב אביבאה ליטן, סגן נשיא ואנליטיקאי מכובד בגרטנר, שכתב בחודש שעבר.

התקן מתמקד באמצעי הגנה קונבנציונליים ולא התעדכן בווקטורי ההתקפה האחרונים. התוקפים בסבב הפרות הקמעונאיות האחרונות השתמשו בתוכנה זדונית שהתחמקה מאיתור אנטי-וירוס ומוצפן מוצפן לפני שהעבירו אותם לשרתים חיצוניים. "שום דבר שאני מכיר בתקן PCI לא יכול היה לתפוס את הדברים האלה, " אמר ליטן.

ליטן הטיל את האשמה על ההפרות באופן מוחלט על הבנקים המנפיקים את הכרטיסים ואת רשתות הכרטיסים (ויזה, מאסטרקארד, אמקס, גלה) "על כך שלא עשה יותר כדי למנוע את הוויכוחים". לכל הפחות, הם היו צריכים לשדרג את תשתית מערכות התשלום כך שתתמוך בהצפנה מקצה לקצה (קמעונאי למנפיק) לנתוני כרטיסים, באותה דרך שבה מנוהלים מספרי PIN של כספומטים, אמר ליטן.

תואם אינו ביטחון

נראה שאיש לא לוקח את המדבקה התואמת PCI ברצינות. דו"ח התאימות ל- PCI של Verizon שפורסם לאחרונה 2014 מצא כי רק 11 אחוזים מהארגונים עומדים בתקן בענף כרטיסי התשלום. בדו"ח נמצא כי ארגונים רבים משקיעים זמן רב ואנרגיה בכדי לעבור את ההערכה, אך לאחר שנעשו, לא - או לא הצליחו - לעמוד במשימות התחזוקה כדי להישאר תואמים.

למעשה, ג'יי.די שרי, מנהל הטכנולוגיה והפתרונות הציבוריים בטרנד מיקרו קרא את מייקלס וניימן מרקוס כ"עבריינים חוזרים ".

מטרידה עוד יותר, כ -80 אחוז מהארגונים עמדו ב"פחות 80 אחוז "מכללי הציות בשנת 2013. היותם תואמים" לרוב "נשמעים בחשד כמו" לא ממש "תואמים, מכיוון שיש חור פער אי שם בתשתית.

פיליפ סמית ', סגן נשיא בכיר ב Trustwave, העיד בדיון בבית. "תפיסה מוטעית נפוצה היא ש- PCI תוכנן להיות כל דבר לביטחון".

אז מדוע אנחנו עדיין מקפידים על PCI? כל מה שהוא עושה זה להוריד את הבנקים וויזה / מאסטרקארד מההצטרפות לעשות הכל כדי לשפר את הביטחון הכללי שלנו.

התמקד בביטחון בפועל

מומחי אבטחה הזהירו שוב ושוב כי התמקדות ברשימת הדרישות פירושה שארגונים אינם מבחינים בפערים ואינם יכולים להסתגל לשיטות התקיפה המתפתחות. "יש הבדל בין ציות לבין להיות מאובטח", ציין הנציג מרשה בלקברן (ר-טן) בדיון בבית המשפט.

אנו יודעים כי Target השקיעה בטכנולוגיה וצוות אבטחה טוב. החברה גם השקיעה זמן רב וכסף בהשגת והוכחת ציות. מה אם במקום זאת, Target יכול היה לבזבז את כל המאמץ הזה על אמצעי אבטחה שלא הוזכרו ב- PCI, כגון אימוץ טכנולוגיות של ארגזי חול או אפילו פילוח הרשת כך שמערכות רגישות יתגמרו?

מה אם במקום לבזבז את החודשים הקרובים בתיעוד ולהראות כיצד פעילויותיהם ממפות לרשימת הבדיקה של PCI, קמעונאים יכולים להתמקד באימוץ שכבות אבטחה מרובות שהן זריזות ויכולות להסתגל להתקפות מתפתחות?

מה אם במקום קמעונאים וארגונים בודדים שדואגים ל- PCI, אנו מחזיקים באחריות לבנקים ורשתות כרטיסים? עד אז, אנו ממשיכים לראות יותר מהפרות הללו.