Video: BILL MOYERS JOURNAL | William K. Black | PBS (Oktober 2024)
De nylige dataovertrædelser hos Target, Neiman Marcus og andre detailhandlere har vist, at det ikke er bedre sikkerhed at overholde industristandarder. Så hvorfor spilder vi vores tid med en tjekliste?
Angriberen opsnappede betalingskortdetaljer, da kortene blev vippet, og inden information kunne krypteres, vidste ledere af Target og Neiman Marcus 5. februar på House Energy & Commerce Committee's underudvalg for handel, fremstilling og handelshøring. "Oplysningerne blev skrabet umiddelbart efter svejsen - millisekunder før de blev sendt gennem krypterede tunneler til behandling, " sagde Michael Kingston, senior vice president og CIO i Neiman Marcus.
Når kortene vippes, krypteres informationen fra magnetstriben ikke. Den eneste måde at forhindre malware på detailhandlernes salgssteder i at gribe informationen er at have krypteret data lige fra starten. Sagen er, at ende-til-ende-kryptering i øjeblikket ikke er påbudt af brancheforskrifter, hvilket betyder, at dette hul ikke forsvinder snart.
Selv skift fra magnetstripekort til EMV-chipkort ville ikke løse ende-til-ende-krypteringsproblemet, da dataene stadig overføres i klartekst på det tidspunkt, det bliver sendt. Det er nødvendigt at vedtage EMV-kort, men det vil ikke være nok, hvis organisationer ikke også tænker over at øde alle aspekter af deres sikkerhedsforsvar.
PCI-DSS fungerer ikke
Detailhandlere - enhver organisation, der håndterer betalingsdata, er virkelig - forpligtet til at overholde Payment Card Industry-Data Security Standard (PCI-DSS) for at sikre, at forbrugeroplysninger gemmes og transmitteres sikkert. PCI-DSS har en masse regler, såsom at sikre, at dataene er krypteret, installere en firewall og ikke bruge standardadgangskoder, blandt andre. Det lyder som en god idé på papiret, men som flere nylige dataovertrædelser har vist, at overholdelse af disse sikkerhedsmandater ikke betyder, at virksomheden aldrig vil blive krænket.
"Det er tydeligt, at PCI-overholdelse ikke fungerer meget godt - trods milliarder af dollars brugt af købmænd og kortprocessorer i bestræbelserne på at nå det, " skrev Avivah Litan, vicepræsident og fremtrædende analytiker i Gartner, i et blogindlæg i sidste måned.
Standarden fokuserer på konventionelle forsvarsmidler og har ikke fulgt med i de nyeste angrebsvektorer. Angriberen i den seneste runde af detailhandelsbrud anvendte malware, der undgik antivirusdetektion og krypterede data, før de overførte dem til eksterne servere. "Intet, jeg kender til i PCI-standarden, kunne have fanget dette, " sagde Litan.
Litan lagde skylden for krænkelserne i de kortudstedende banker og kortnetværket (Visa, MasterCard, Amex, Discover) "for ikke at gøre mere for at forhindre debaklerne." I det mindste skulle de have opgraderet betalingssystemets infrastruktur for at understøtte ende-til-ende (forhandler til udsteder) kryptering for kortdata, meget på samme måde som PIN-koder administreres i pengeautomater, sagde Litan.
Overholdelse er ikke sikkerhed
Ingen ser ud til at tage det PCI-kompatible klistermærke alvorligt. Den netop frigivne Verizon 2014 PCI Compliance Report fandt, at kun 11 procent af organisationerne var i fuld overensstemmelse med industristandarder for betalingskort. Rapporten fandt, at mange organisationer bruger en masse tid og energi på at bestå vurderingen, men når de først var gjort, ikke - eller ikke - kunne følge med vedligeholdelsesopgaverne for at forblive kompatible.
Faktisk kaldte JD Sherry, direktør for offentlig teknologi og løsninger hos Trend Micro Michaels og Neiman Marcus som "gentagne lovovertrædere."
Endnu mere foruroligende opfyldte omkring 80 procent af organisationerne "mindst 80 procent" af overholdelsesreglerne i 2013. At være "overvejende" kompatibel lyder mistænkeligt som "ikke faktisk" kompatibel, da der er et hul i et sted i infrastrukturen.
"En almindelig misforståelse er, at PCI var designet til at være en alt for sikkerhed, " vidnede Phillip Smith, senior vice president i Trustwave, under høringen i huset.
Så hvorfor holder vi stadig ved PCI? Det eneste, det gør, er at få bankerne og VISA / MasterCard fra krogen fra at skulle gøre noget for at forbedre vores samlede sikkerhed.
Fokus på faktisk sikkerhed
Sikkerhedseksperter har gentagne gange advaret om, at ved at fokusere på en liste med krav betyder, at organisationer ikke bemærker hullerne og ikke er i stand til at tilpasse sig de udviklende angrebsmetoder. "Der er en forskel mellem overholdelse og at være sikker, " bemærkede rep. Marsha Blackburn (R-Tenn) under høringen i Parlamentet.
Vi ved, at Target har investeret i teknologien og et godt sikkerhedsteam. Virksomheden har også brugt meget tid og penge på at opnå og bevise overensstemmelse. Hvad nu i stedet for, at Target kunne have brugt al den indsats på sikkerhedsforanstaltninger, der ikke er nævnt i PCI, såsom at indføre sandboxing-teknologier eller endda segmentere netværket, så følsomme systemer mures?
Hvad hvis, i stedet for at bruge de næste par måneder på at dokumentere og vise, hvordan deres aktiviteter kortlægger PCIs checkliste, kunne detailhandlere fokusere på at anvende flere lag af sikkerhed, der er kvikk og kan tilpasse sig de udviklende angreb?
Hvad hvis vi i stedet for detailhandlere og individuelle organisationer bekymrer sig om PCI, holder vi banker og kortnetværk ansvarlige? Indtil da vil vi fortsat se flere af disse overtrædelser.
