Видео: Настя и сборник весёлых историй (Октября 2024)
Недавние утечки данных в Target, Neiman Marcus и других торговых точках доказали, что соответствие отраслевым стандартам не означает повышения безопасности. Так почему же мы тратим время на контрольный список?
Злоумышленники перехватили данные платежной карты, когда карты были украдены, и до того, как информация могла быть зашифрована, руководители Target и Neiman Marcus дали показания 5 февраля на слушаниях подкомитета Комитета по энергетике и коммерции при коммерции, производстве и торговле. «Информация была очищена сразу после считывания - за миллисекунды до отправки через зашифрованные туннели для обработки», - сказал Майкл Кингстон, старший вице-президент и ИТ-директор Neiman Marcus.
При считывании карт информация с магнитной полосы не шифруется. Единственный способ воспрепятствовать захвату информации вредоносным ПО на терминалах торговых точек - это зашифровать данные с самого начала. Дело в том, что сквозное шифрование в настоящее время не предписано отраслевыми правилами, что означает, что этот разрыв не исчезнет в ближайшее время.
Даже переход с карт с магнитной полосой на карты с чипом EMV не решит проблему сквозного шифрования, поскольку данные все еще передаются в виде открытого текста в момент их считывания. Принятие карт EMV необходимо, но этого будет недостаточно, если организации также не задумываются об усилении всех аспектов своей защиты.
PCI-DSS не работает
Розничные продавцы - любая организация, которая на самом деле обрабатывает данные о платежах - обязаны соблюдать стандарт безопасности данных в отрасли платежных карт (PCI-DSS), чтобы обеспечить безопасное хранение и передачу информации о потребителе. PCI-DSS имеет много правил, таких как, в частности, проверка шифрования данных, установка брандмауэра и не использование паролей по умолчанию. На бумаге это звучит как хорошая идея, но, как показали некоторые недавние нарушения данных, соблюдение этих требований безопасности не означает, что компания никогда не будет нарушена.
«Очевидно, что соответствие требованиям PCI работает не очень хорошо - несмотря на миллиарды долларов, потраченных продавцами и процессорами карт на его достижение», - написал в своем блоге в прошлом месяце вице-президент и выдающийся аналитик Gartner Авива Литан.
Стандарт фокусируется на обычных защитных мерах и не поспевает за последними направлениями атаки. Злоумышленники в последнем раунде взлома розничной торговли использовали вредоносное ПО, которое уклонялось от обнаружения антивирусами и шифровало данные перед их передачей на внешние серверы. «Ничто из того, что я знаю в стандарте PCI, не могло бы поймать это», - сказал Литан.
Литан возложил вину за нарушения прямо на банки-эмитенты карт и карточные сети (Visa, MasterCard, Amex, Discover) «за то, что они не сделали больше, чтобы предотвратить катастрофы». По крайней мере, им следовало бы обновить инфраструктуру платежных систем для поддержки сквозного шифрования (от продавца к эмитенту) для данных карты, во многом аналогично тому, как ПИН управляются в банкоматах, сказал Литан.
Соответствует не безопасность
Кажется, никто не воспринимает наклейку, соответствующую PCI. Только что выпущенный отчет о соответствии PCI Verizon 2014 показал, что только 11 процентов организаций полностью соответствуют отраслевым стандартам платежных карт. В отчете говорится, что многие организации тратят много времени и сил на прохождение оценки, но, однажды выполнив, не выполнили - или не смогли - не отставать от задач технического обслуживания, чтобы соответствовать требованиям.
На самом деле, директор по общественным технологиям и решениям Trend Micro Дж. Д. Шерри назвал Майклса и Неймана Маркуса «повторными правонарушителями».
Еще более тревожным является то, что около 80 процентов организаций в 2013 году выполнили «по меньшей мере 80 процентов» правил соответствия. Быть «в основном» соответствует звучит подозрительно как «не соответствует», поскольку где-то в инфраструктуре есть дыра.
«Распространенным заблуждением является то, что PCI был спроектирован как универсальное средство обеспечения безопасности», - заявил на слушаниях в палате представителей старший вице-президент Trustwave Филипп Смит.
Так почему же мы все еще придерживаемся PCI? Все, что он делает, это избавляет банки и VISA / MasterCard от необходимости делать что-либо для повышения нашей общей безопасности.
Сосредоточиться на фактической безопасности
Эксперты по безопасности неоднократно предупреждали, что сосредоточение внимания на списке требований означает, что организации не замечают пробелов и не могут приспособиться к новым методам атак. «Существует разница между соблюдением требований и безопасностью», - отметила на слушаниях в палате представителей Марша Блэкберн (R-Tenn).
Мы знаем, что Target инвестировала в технологию и хорошую команду безопасности. Компания также потратила много времени и денег на достижение и подтверждение соответствия. Что, если вместо этого Target мог бы потратить все эти усилия на меры безопасности, не упомянутые в PCI, такие как внедрение технологий песочницы или даже сегментирование сети так, чтобы чувствительные системы были отключены?
Что если вместо того, чтобы тратить следующие несколько месяцев на документирование и демонстрацию соответствия своей деятельности контрольному списку PCI, ритейлеры могут сосредоточиться на принятии нескольких уровней безопасности, которые являются гибкими и могут адаптироваться к развивающимся атакам?
Что если вместо розничных продавцов и отдельных организаций, которые беспокоятся о PCI, мы возьмем на себя ответственность за банки и карточные сети? До тех пор мы будем продолжать видеть больше этих нарушений.
