Video: Insinööri tietää mm. kaiken! Rakennustuotteiden kelpoisuuden osoittaminen ja CE-merkintä rakentamise (Lokakuu 2024)
Viimeaikaiset tietorikkomukset Targetissa, Neiman Marcusissa ja muissa vähittäismyymälöissä ovat osoittaneet, että teollisuusstandardien noudattaminen ei tarkoita parempaa tietoturvaa. Joten miksi tuhlamme aikamme tarkistusluettelolla?
Hyökkääjät sieppasivat maksukorttitiedot korttien pyyhkäisemällä ja ennen kuin tiedot salattiin. Target ja Neiman Marcus -johtajat todistivat 5. helmikuuta talon energia- ja kauppakomitean kaupan, valmistuksen ja kaupan alakomitean kuulemistilaisuudessa. "Tiedot kaavittiin heti pyyhkäisemisen jälkeen - millisekunteja ennen lähettämistä salattujen tunneleiden läpi käsittelyä varten", Neiman Marcus -yrityksen johtaja Michael Kingston sanoi.
Kun kortteja pyyhkäistään, magneettinauhasta saatuja tietoja ei ole salattu. Ainoa tapa estää haittaohjelmia vähittäiskauppiaiden myyntipisteissä tarttumalla tietoon on tietojen salaus heti alusta alkaen. Asia on, että päästä päähän -salaus ei ole tällä hetkellä teollisuusmääräysten mukaista, mikä tarkoittaa, että tämä aukko ei katoa pian.
Jopa siirtyminen magneettinauhakorteilta EMV-sirukorteille ei ratkaise päästä loppuun -salausongelmaa, koska tiedot siirretään silti selkeänä tekstinä siinä kohdassa, jossa sitä siirretään. EMV-korttien käyttöönotto on välttämätöntä, mutta se ei riitä, jos organisaatiot eivät myöskään ajattele turvallisuuspuolustustensa kaikkia näkökohtia.
PCI-DSS ei toimi
Jälleenmyyjien - kaikkien organisaatioiden, jotka todella käsittelevät maksutietoja - on noudatettava maksukorttiteollisuuden tietoturvastandardia (PCI-DSS) varmistaakseen, että kuluttajatiedot tallennetaan ja siirretään turvallisesti. PCI-DSS: llä on paljon sääntöjä, kuten tietojen salaamisen varmistaminen, palomuurin asentaminen ja muun muassa oletussalasanojen käyttämättä jättäminen. Se kuulostaa hyvältä idealta paperilla, mutta kuten useat viimeaikaiset tietosuojarikkomukset ovat osoittaneet, näiden turvallisuusvaltuuksien noudattaminen ei tarkoita, että yritystä ei koskaan rikottu.
"On selvää, että PCI-vaatimustenmukaisuus ei toimi kovin hyvin - huolimatta kauppiaiden ja kortinjalostajien käyttämistä miljardeista dollareista pyrkiessään tavoitteeseen", Avivah Litan, varapuheenjohtaja ja Gartnerin tunnustettu analyytikko, kirjoitti blogikuvauksessa viime kuussa.
Standardi keskittyy tavanomaisiin puolustustoimenpiteisiin, eikä se ole pysynyt viimeisimpien hyökkäysvektoreiden kanssa. Viimeisimmän jälleenmyyjäkierroksen hyökkääjät käyttivät haittaohjelmia, jotka välttivät virustorjunta-havainnot ja salatut tiedot ennen siirtämistä ulkoisille palvelimille. "Mikään, mitä tiedän PCI-standardissa, ei olisi voinut saada näitä juttuja", Litan sanoi.
Litan syytti rikkomuksista yksiselitteisesti kortteja myöntäviä pankkeja ja korttiverkkoja (Visa, MasterCard, Amex, Discover) "siitä, että se ei ollut tehnyt enemmän estääkseen väittelyä". Ainakin heidän olisi pitänyt päivittää maksujärjestelmien infrastruktuuri tukemaan korttitietojen koodausta (jälleenmyyjältä liikkeeseenlaskijalle), samalla tavalla PIN-koodeja hallitaan pankkiautomaatteissa, Litan sanoi.
Yhteensopiva ei ole tietoturva
Kukaan ei näytä ottavan PCI-yhteensopivaa tarraa vakavasti. Juuri julkaistun Verizon 2014 PCI -yhteensopivuusraportin mukaan vain 11 prosenttia organisaatioista noudatti täysin maksukorttiteollisuusstandardeja. Raportissa todettiin, että monet organisaatiot viettävät paljon aikaa ja energiaa arvioinnin suorittamiseen, mutta suoritettuaan ne eivät - tai eivät pystyneet - pitämään yllä huoltotehtäviä pysyäkseen vaatimusten mukaisina.
Itse asiassa Trend Micro -yrityksen julkisen teknologian ja ratkaisujen johtaja JD Sherry kutsui Michaels ja Neiman Marcus "toistuviksi rikoksentekijöiksi".
Vieläkin huolestuttavampaa, noin 80 prosenttia organisaatioista täytti "ainakin 80 prosenttia" sääntöjen noudattamista koskevista säännöistä vuonna 2013. Ollessaan "enimmäkseen" yhteensopivia kuulostaa epäilyttävästi kuin "ei todellakaan" yhteensopivia, koska jossain infrastruktuurissa on aukko.
"Yleinen väärinkäsitys on, että PCI oli suunniteltu kattavaksi turvallisuudelle", Trustwaven vanhempi varapuheenjohtaja Phillip Smith todisti parlamentin kuulemistilaisuudessa.
Joten miksi pysymme edelleen PCI: n kanssa? Tarvitaan vain se, että pankit ja VISA / MasterCard eivät tarvitse tehdä mitään yleisen turvallisuuden parantamiseksi.
Keskity todelliseen tietoturvaan
Turvallisuusasiantuntijat ovat toistuvasti varoittaneet, että vaatimusluetteloon keskittyminen tarkoittaa, että organisaatiot eivät huomaa aukkoja eivätkä pysty sopeutumaan kehittyviin hyökkäysmenetelmiin. "Säännösten noudattamisen ja turvallisuuden välillä on ero, " edustaja Marsha Blackburn (R-Tenn) totesi parlamentin kuulemistilaisuudessa.
Tiedämme, että Target on investoinut tekniikkaan ja hyvään turvallisuustiimiin. Yhtiö on myös viettänyt paljon aikaa ja rahaa saavuttaakseen ja todistaakseen vaatimustenmukaisuuden. Entä jos Target olisi sen sijaan voinut käyttää kaiken tämän turvatoimiin, joita ei ole mainittu PCI: ssä, kuten hiekkalaatotekniikan käyttöönotto tai jopa verkon segmentointi niin, että arkaluontoiset järjestelmät poistetaan käytöstä?
Entä jos jälleenmyyjät sen sijaan, että viettävät muutaman seuraavan kuukauden dokumentoimalla ja osoittamalla, miten heidän toimintaan sisältyy PCI: n tarkistuslista, myyjät voisivat keskittyä ottamaan käyttöön useita turvallisuuskerroksia, jotka ovat ketterät ja voivat mukautua kehittyviin hyökkäyksiin?
Entä jos PCI: tä huolestuttavien jälleenmyyjien ja yksittäisten organisaatioiden sijaan pidämme pankit ja korttiverkot vastuullisina? Siihen asti näemme jatkuvasti lisää näitä rikkomuksia.
