Video: *MAMMA SKÄLLER UT MIG* | Använde MAMMAS bankkort till V-BUCKS på FORTNITE (September 2024)
De senaste dataöverträdelserna hos Target, Neiman Marcus och andra butiker har visat att det inte är bättre säkerhet att uppfylla branschstandarder. Så varför slösar vi vår tid med en checklista?
Angriparna avlyssnade betalningskortsuppgifter när korten svepts och innan information kunde krypteras vittnade cheferna för Target och Neiman Marcus 5 februari vid House Energy & Commerce Committee: s underkommitté för handel, tillverkning och handelsförhandling. "Informationen skrapades omedelbart efter svepet - millisekunder innan de skickades genom krypterade tunnlar för bearbetning, " sa Michael Kingston, senior vice president och CIO på Neiman Marcus.
När korten dras är informationen från magnetbandet inte krypterad. Det enda sättet att hindra skadlig programvara på detaljisternas försäljningsterminaler från att ta tag i informationen är att ha data krypterade redan från början. Saken är att kryptering från ände till ände för närvarande inte är obligatorisk av branschregler, vilket innebär att detta gap inte försvinner när som helst snart.
Även om man flyttar från magnetband till EMV-chipkort skulle det inte lösa krypteringsproblemet från slutet till slut, eftersom uppgifterna fortfarande överförs i tydlig text vid den tidpunkt då den svepas. Det är nödvändigt att anta EMV-kort, men det kommer inte att räcka om organisationer inte också tänker på att förstärka alla aspekter av deras säkerhetsförsvar.
PCI-DSS fungerar inte
Återförsäljare - varje organisation som hanterar betalningsdata, verkligen - måste följa betalningskortsindustrisäkerhetsstandard (PCI-DSS) för att säkerställa att konsumentinformation lagras och överförs säkert. PCI-DSS har många regler, till exempel att se till att data är krypterade, installera en brandvägg och att inte använda standardlösenord, bland andra. Det låter som en bra idé på papper, men som flera senaste dataöverträdelser har visat innebär det inte att följa dessa säkerhetsmandat att företaget aldrig kommer att brytas.
"Det är uppenbart att PCI-efterlevnaden inte fungerar särskilt bra - trots miljarder dollar som spenderats av köpmän och kortprocessorer för att uppnå det, " skrev Avivah Litan, vice ordförande och utmärkt analytiker på Gartner, i ett blogginlägg förra månaden.
Standarden fokuserar på konventionella defensiva åtgärder och har inte höll jämna steg med de senaste attackvektorerna. Angriparna i den senaste omgången av återförsäljarbrott använde skadlig programvara som undgick antivirusdetektering och krypterad data innan de överfördes till externa servrar. "Inget jag känner till i PCI-standarden kunde ha fångat det här, " sa Litan.
Litan lade skylden för överträdelserna kvadratiskt på de kortutgivande bankerna och kortnätverket (Visa, MasterCard, Amex, Discover) "för att inte göra mer för att förhindra debakterna." Åtminstone borde de ha uppgraderat infrastrukturen för betalningssystem för att stödja kryptering för kortdata (återförsäljare till utgivare) för kortdata, ungefär på samma sätt som PIN-koder hanteras i bankomater, sa Litan.
Överensstämmelse är inte säkerhet
Ingen verkar ta PCI-kompatibla klistermärken på allvar. Den just släppta Verizon 2014 PCI Compliance Report fann att endast 11 procent av organisationerna uppfyllde alla branschstandarder för betalkort. Rapporten fann att många organisationer spenderar mycket tid och energi för att klara bedömningen, men när de gjort det, inte - eller inte kunde - följa med underhållsuppgifterna för att förbli kompatibla.
I själva verket utropade JD Sherry, chef för offentlig teknik och lösningar på Trend Micro Michaels och Neiman Marcus som "upprepade gärningsmän."
Ännu mer oroande mötte cirka 80 procent av organisationerna "minst 80 procent" av reglerna för efterlevnad 2013. Att vara "mestadels" kompatibelt låter misstänkt som "inte faktiskt" kompatibelt, eftersom det finns ett gapande hål någonstans i infrastrukturen.
"En vanlig missuppfattning är att PCI var utformat för att vara en övergripande säkerhet, " vittnade Phillip Smith, senior vice president på Trustwave, vid House-förhandlingen.
Så varför håller vi oss fortfarande med PCI? Allt det är att få bankerna och VISA / MasterCard från kroken från att behöva göra något för att förbättra vår totala säkerhet.
Fokus på faktisk säkerhet
Säkerhetsexperter har upprepade gånger varnat för att fokusera på en lista med krav innebär att organisationer inte märker luckorna och inte kan anpassa sig till utvecklande attackmetoder. "Det finns en skillnad mellan efterlevnad och att vara säkert", konstaterade rep. Marsha Blackburn (R-Tenn) vid förhandlingen.
Vi vet att Target har investerat i tekniken och ett bra säkerhetsteam. Företaget har också spenderat mycket tid och pengar på att uppnå och bevisa efterlevnad. Vad händer om Target istället skulle ha använt all den ansträngningen på säkerhetsåtgärder som inte nämns i PCI, till exempel att anta sandlådningstekniker eller till och med segmentera nätverket så att känsliga system muras bort?
Vad händer om, i stället för att spendera de närmaste månaderna på att dokumentera och visa hur deras aktiviteter kartas till PCI: s checklista, återförsäljare skulle kunna fokusera på att anta flera säkerhetslager som är smidiga och kan anpassa sig till att utveckla attacker?
Vad händer om, i stället för att detaljhandlare och enskilda organisationer oroar sig för PCI, vi håller bankerna och kortnätverket ansvariga? Fram till dess kommer vi att fortsätta se fler av dessa överträdelser.
