Ασφάλεια πληρωμών: Ποιες είναι οι μεγαλύτερες προκλήσεις;
Με την αύξηση της εγκληματικότητας στον κυβερνοχώρο, η ασφάλεια των καρτών πληρωμών επικεντρώνεται όλο και περισσότερο τόσο στις εταιρείες όσο και στους καταναλωτές. Το πρότυπο ασφαλείας δεδομένων βιομηχανικής κάρτας πληρωμών (PCI DSS) είναι εκεί για να βοηθήσει τις επιχειρήσεις που λαμβάνουν πληρωμές με κάρτα να προστατεύουν τα συστήματα πληρωμών τους από παραβιάσεις και κλοπές δεδομένων κατόχου κάρτας. Τα ευρήματα από την Έκθεση Ασφάλειας Πληρωμών Verizon 2017 (2017 PSR) αποδεικνύουν τη σύνδεση μεταξύ των οργανισμών που συμμορφώνονται με το πρότυπο και την ικανότητά τους να αμυνθούν εναντίον του κυβερνοεπιταχθέντος.
Από όλες τις παραβιάσεις δεδομένων καρτών πληρωμής, η Verizon διερεύνησε και διαπίστωσε πως κανένας οργανισμός δεν συμμορφώθηκε πλήρως κατά τη στιγμή της παραβίασης και έδειξε χαμηλότερη συμμόρφωση με 10 από τις 12 βασικές απαιτήσεις PCI DSS.
Η συνολική συμμόρφωση με την PCI έχει αυξηθεί μεταξύ των παγκόσμιων επιχειρήσεων, ενώ το 55,4% των οργανισμών Verizon αξιολόγησαν την επιτυχία της ενδιάμεσης αξιολόγησής τους το 2016. Πρόκειται για μια αύξηση από το 2015, όταν μόνο το 48,4% των οργανισμών πέτυχε πλήρη συμμόρφωση κατά την ενδιάμεση επικύρωση. Αυτό σημαίνει ότι σχεδόν οι μισοί έμποροι λιανικής πώλησης, τα εστιατόρια, τα ξενοδοχεία και άλλες επιχειρήσεις που λαμβάνουν πληρωμές με κάρτα εξακολουθούν να μην τηρούν τη συμβατότητα από έτος σε έτος.
“Υπάρχει σαφής σύνδεση μεταξύ της συμμόρφωσης PCI DSS και της ικανότητας μιας επιχείρησης να υπερασπιστεί τον εαυτό της ενάντια στις επιθέσεις των hackers”, σχολιάζει ο Rodolphe Simonetti, παγκόσμιος διευθύνων σύμβουλος για θέματα ασφάλειας της Verizon. “Ενώ είναι καλύτερο να αυξάνεται η συμμόρφωση με PCI, παραμένει γεγονός ότι πάνω από το 40% των παγκόσμιων εταιρειών που αξιολογήσαμε – μεγάλες και μικρές – εξακολουθούν να μην πληρούν τα πρότυπα συμμόρφωσης PCI DSS. Από εκείνους που πέρασαν την πιστοποίηση και την επικύρωση, σχεδόν οι μισοί πέφτουν από τα όρια της συμμόρφωσης μέσα σε ένα χρόνο και αρκετοί εξ αυτών πολύ νωρίτερα”.
Ορισμένα παραδείγματα συμμόρφωσης του επιχειρηματικού τομέα
Σύμφωνα με την έκθεση, η βιομηχανία υπηρεσιών πληροφορικής πέτυχε την υψηλότερη πλήρη συμμόρφωση όλων των βασικών βιομηχανικών ομάδων που μελετήθηκαν. Σε παγκόσμιο επίπεδο, τα τρία πέμπτα (61,3%) των οργανισμών παροχής υπηρεσιών πληροφορικής πέτυχαν πλήρη συμμόρφωση κατά την ενδιάμεση επικύρωση το 2016, ακολουθούμενη από το 59,1% των οργανισμών χρηματοπιστωτικών υπηρεσιών (που περιλαμβάνει ασφαλιστικές εταιρείες), λιανικής πώλησης (50%) και νοσοκομείων (42,9%).
Το PSR 2017 επισημαίνει επίσης τις προκλήσεις συμμόρφωσης που αντιμετωπίζουν συγκεκριμένοι επιχειρηματικοί τομείς, όπως:
- Retail: δοκιμές ασφαλείας, κρυπτογραφημένες μεταδόσεις δεδομένων και έλεγχος ταυτότητας.
- Φιλοξενία και ταξίδια: Θωράκιση ασφαλείας, προστασία δεδομένων κατά τη μεταφορά και φυσική ασφάλεια.
- Χρηματοπιστωτικές υπηρεσίες: διαδικασίες ασφάλειας, ασφαλείς διαμορφώσεις, προστασία των δεδομένων κατά τη διαμετακόμιση, διαχείριση ευπάθειας και γενική διαχείριση κινδύνων.
Τα παραδείγματα της πραγματικής ζωής επισημαίνουν περιπτώσεις όπου δεν τηρούνται οι έλεγχοι συμμόρφωσης. Για παράδειγμα – ένας οργανισμός χρηματοπιστωτικών υπηρεσιών που ζητούσε εξαίρεση από τις απαιτήσεις Wi-Fi του PCI DSS έκπληκτος έμαθε ότι στην πραγματικότητα είχε ένα ασύρματο δίκτυο που λειτουργούσε στο κτίριο του, το οποίο θεωρείται μέγα σφάλμα, διότι οι χάκερς μπορούν εύκολα να εκμεταλλευτούν αυτό το τρωτό σημείο, ετούτη η έλλειψη συνέπειας ή γνώσης ήταν αιτία να αποτύχει.
Ο διαχειριστής του συστήματος βαρέθηκε μάλλον να τραβήξει ένα καλώδιο από το δωμάτιο πού βρισκόταν το ρούτερ, από τον τρίτο όροφο κάτω στο υπόγειο που βρισκόταν τα γραφεία και έτσι είχε την φαεινή ιδέα να ανοίξει ελεύθερα το WiFi, στο οποίο ένας γνώστης θα μπορούσε να το εκμεταλλευτεί για κακό σκοπό.
Το κλειδί για τη βιωσιμότητα της συμμόρφωσης.
Όταν εξετάζουμε τους ελέγχους PCI που αναμένεται να εφαρμόσουν οι εταιρείες (όπως δοκιμές ασφαλείας, δοκιμές διείσδυσης κ.λπ.), η έκθεση βρήκε ένα αυξημένο «χάσμα ελέγχου», που σημαίνει ότι πολλά από αυτά τα βασικά στοιχεία απουσίαζαν. Το 2015, οι εταιρείες που αποτύπωσαν την προσωρινή εκτίμησή τους δεν παρουσίασαν κατά μέσο όρο 12,4% των ελέγχων. Αυτό έχει αυξηθεί σε 13 τοις εκατό το 2016.
Ο Simonetti συνεχίζει: «πρέπει πλέον να προστατεύονται τα δεδομένα για να επιτευχθεί η βιώσιμη προστασία των δεδομένων». Πολλές εταιρείες εξακολουθούν να εξετάζουν μεμονωμένα τους ελέγχους PCI DSS και δεν εκτιμούν ότι είναι αλληλένδετες – η έννοια της διαχείρισης του κύκλου ζωής του ελέγχου είναι πολύ συχνά απούσα. Αυτό είναι συχνά το αποτέλεσμα της έλλειψης ειδικευμένων επαγγελματιών στο εσωτερικό της επιχείρησης – ωστόσο, από την εμπειρία μας, η εσωτερική επάρκεια μπορεί να βελτιωθεί δραματικά με την καθοδήγηση του κύκλου ζωής από εξωτερικούς εμπειρογνώμονες ».
Το 2017 PSR προσφέρει πέντε βασικές κατευθυντήριες γραμμές για να βοηθήσει στη διαχείριση του κύκλου ζωής του ελέγχου:
- Ενσωμάτωση για ευκολία διαχείρισης – Η προσθήκη περισσότερων ελέγχων ασφαλείας δεν είναι πάντα η απάντηση – το πρότυπο PCI DSS περιέχει ήδη πολλά πρότυπα και κανονισμούς διασυνδεδεμένων δεδομένων προστασίας. Οι οργανισμοί θα πρέπει να μπορούν να το χρησιμοποιήσουν για να ενοποιήσουν τους ελέγχους, διευκολύνοντας έτσι τη γενικότερη διαχείριση τους.
- Επενδύστε στην ανάπτυξη εμπειρογνωμοσύνης – Οι οργανισμοί θα πρέπει να επενδύσουν στο λαό τους για να αναπτύξουν και να διατηρήσουν τις γνώσεις τους σχετικά με τον τρόπο ενίσχυσης, παρακολούθησης και μέτρησης της αποτελεσματικότητας των ελέγχων που εφαρμόζονται.
- Εφαρμογή ισορροπημένης προσέγγισης – Οι επιχειρήσεις πρέπει να διατηρούν ένα περιβάλλον εσωτερικού ελέγχου που να είναι εξαιρετικά ανθεκτικό όσο, εάν θέλει να αποφύγει τη μη συμμόρφωση των ελέγχων.
- Αυτοματοποιήστε τα πάντα – Η εφαρμογή της ροής εργασίας και της αυτοματοποίησης προστασίας δεδομένων μπορεί να αποτελέσει τεράστιο πλεονέκτημα στη διαχείριση ελέγχου – αλλά όλοι οι αυτοματισμοί πρέπει επίσης να ελέγχονται συχνά.
- Σχεδιάστε, λειτουργήστε και διαχειριστείτε το περιβάλλον εσωτερικού ελέγχου – Η απόδοση κάθε ελέγχου είναι αλληλένδετη. Αν υπάρχει κάποιο πρόβλημα στην κορυφή, αυτό θα επηρεάσει την απόδοση των στοιχείων ελέγχου στο κάτω μέρος. Είναι σημαντικό να γίνει κατανοητό αυτό προκειμένου να επιτευχθεί και να διατηρηθεί ένα αποτελεσματικό και βιώσιμο πρόγραμμα προστασίας δεδομένων.
Ο κ. Troy Leach, επικεφαλής του τμήματος τεχνολογίας PCI για τα πρότυπα ασφάλειας PCI, σχολιάζει: “Η έκθεση υπογραμμίζει τις προκλήσεις που αντιμετωπίζουν οι οργανισμοί να διατηρούν συνεχώς τους ελέγχους ασφαλείας σε συνεχή βάση, αφήνοντας κατόχους καρτών ευάλωτους σε επίθεση. Αυτή η τάση αποτέλεσε βασική κινητήρια δύναμη για τις αλλαγές που εισήχθησαν στο πρότυπο PCI Data Security Standard 3.2, το οποίο επικεντρώνεται στην παροχή βοήθειας στους οργανισμούς που επιβεβαιώνουν ότι οι κρίσιμοι έλεγχοι ασφαλείας των δεδομένων παραμένουν σε ισχύ καθ ‘όλη τη διάρκεια του έτους και ότι ελέγχονται αποτελεσματικά ως μέρος της τρέχουσας διαδικασίας παρακολούθησης της ασφάλειας “.