Zuhause Sicherheitsuhr Compliance ist keine wirkliche Sicherheit. Unsere Kreditkarten verdienen es besser

Compliance ist keine wirkliche Sicherheit. Unsere Kreditkarten verdienen es besser

Video: Kreditkarte Erklärung: Wozu gibt es Kreditkarten? Lohnt es sich? (Dezember 2024)

Video: Kreditkarte Erklärung: Wozu gibt es Kreditkarten? Lohnt es sich? (Dezember 2024)
Anonim

Die jüngsten Datenschutzverletzungen bei Target, Neiman Marcus und anderen Einzelhandelsgeschäften haben gezeigt, dass die Einhaltung von Industriestandards keine bessere Sicherheit bedeutet. Warum verschwenden wir also unsere Zeit mit einer Checkliste?

Die Angreifer haben die Zahlungskartendaten abgefangen, als die Karten gestohlen wurden und bevor die Informationen verschlüsselt werden konnten, sagten die Führungskräfte von Target und Neiman Marcus am 5. Februar vor dem Unterausschuss für Handel, Produktion und Handel des House Energy & Commerce Committee aus. "Die Informationen wurden unmittelbar nach dem Wischen gescrappt - Millisekunden, bevor sie zur Verarbeitung durch verschlüsselte Tunnel geschickt wurden", sagte Michael Kingston, Senior Vice President und CIO bei Neiman Marcus.

Wenn die Karten geklaut werden, werden die Informationen vom Magnetstreifen nicht verschlüsselt. Die einzige Möglichkeit, Malware auf den Kassenterminals der Einzelhändler daran zu hindern, die Informationen abzurufen, besteht darin, die Daten von Anfang an zu verschlüsseln. Die Sache ist, dass die Ende-zu-Ende-Verschlüsselung derzeit nicht durch Branchenvorschriften vorgeschrieben ist, was bedeutet, dass diese Lücke nicht so schnell beseitigt wird.

Selbst die Umstellung von Magnetstreifenkarten auf EMV-Chipkarten würde das Problem der Ende-zu-Ende-Verschlüsselung nicht lösen, da die Daten zum Zeitpunkt des Swipens immer noch im Klartext übertragen werden. Die Einführung der EMV-Karten ist notwendig, aber es wird nicht ausreichen, wenn Unternehmen nicht darüber nachdenken, alle Aspekte ihrer Sicherheitsvorkehrungen zu verbessern.

PCI-DSS funktioniert nicht

Einzelhändler - jede Organisation, die tatsächlich Zahlungsdaten verarbeitet - müssen den PCI-DSS (Payment Card Industry-Data Security Standard) einhalten, um sicherzustellen, dass Kundeninformationen sicher gespeichert und übertragen werden. In PCI-DSS gibt es viele Regeln, z. B. die Verschlüsselung der Daten, die Installation einer Firewall und die Nichtverwendung von Standardkennwörtern. Es klingt nach einer guten Idee auf dem Papier, aber wie mehrere kürzlich erfolgte Datenschutzverletzungen gezeigt haben, bedeutet die Einhaltung dieser Sicherheitsmandate nicht, dass das Unternehmen niemals verletzt wird.

"Die PCI-Konformität funktioniert eindeutig nicht sehr gut - trotz Milliarden von Dollar, die Händler und Kartenverarbeiter dafür ausgeben", schrieb Avivah Litan, Vizepräsident und angesehener Analyst bei Gartner, letzten Monat in einem Blogbeitrag.

Der Standard konzentriert sich auf konventionelle Abwehrmaßnahmen und hat mit den neuesten Angriffsmethoden nicht Schritt gehalten. Die Angreifer in der letzten Runde der Sicherheitsverletzungen bei Einzelhändlern verwendeten Malware, die sich der Virenerkennung entzog, und verschlüsselte Daten, bevor sie auf externe Server übertragen wurden. "Nichts, was ich im PCI-Standard kenne, hätte dieses Zeug fangen können", sagte Litan.

Litan gab den kartenausgebenden Banken und den Kartennetzwerken (Visa, MasterCard, Amex, Discover) die Schuld, "nicht mehr zu tun, um die Debakel zu verhindern". Zumindest hätten sie die Zahlungssysteminfrastruktur aufrüsten sollen, um die End-to-End-Verschlüsselung (vom Einzelhändler zum Aussteller) für Kartendaten zu unterstützen, ähnlich wie PINs an Geldautomaten verwaltet werden, sagte Litan.

Konform ist keine Sicherheit

Niemand scheint den PCI-konformen Aufkleber ernst zu nehmen. Der kürzlich veröffentlichte PCI-Compliance-Bericht von Verizon 2014 ergab, dass nur 11 Prozent der Unternehmen die Standards der Kreditkartenbranche vollständig einhalten. In dem Bericht wurde festgestellt, dass viele Unternehmen viel Zeit und Energie aufwenden, um die Prüfung zu bestehen, aber nach Abschluss der Prüfung nicht mit den Wartungsaufgaben Schritt halten oder diese nicht ausführen konnten, um die Konformität zu gewährleisten.

Tatsächlich bezeichnete JD Sherry, Direktor für öffentliche Technologien und Lösungen bei Trend Micro, Michaels und Neiman Marcus als "Wiederholungstäter".

Noch beunruhigender ist, dass im Jahr 2013 rund 80 Prozent der Unternehmen "mindestens 80 Prozent" der Compliance-Regeln erfüllten. "Meistens" -kompatibel zu sein, klingt verdächtig nach "nicht wirklich" -kompatibel, da irgendwo in der Infrastruktur eine Lücke besteht.

"Ein weit verbreitetes Missverständnis ist, dass PCI als Allheilmittel für die Sicherheit konzipiert wurde", sagte Phillip Smith, Senior Vice President bei Trustwave, bei der Anhörung im Repräsentantenhaus aus.

Warum bleiben wir also immer noch bei PCI? Es reicht aus, die Banken und VISA / MasterCard von der Leine zu nehmen, um unsere allgemeine Sicherheit zu verbessern.

Tatsächliche Sicherheit im Fokus

Sicherheitsexperten haben wiederholt gewarnt, dass die Konzentration auf eine Liste von Anforderungen dazu führt, dass Unternehmen die Lücken nicht bemerken und sich nicht an sich entwickelnde Angriffsmethoden anpassen können. "Es gibt einen Unterschied zwischen Compliance und Sicherheit", stellte Marsha Blackburn (R-Tenn) bei der Anhörung im Repräsentantenhaus fest.

Wir wissen, dass Target in die Technologie und ein gutes Sicherheitsteam investiert hat. Das Unternehmen hat auch viel Zeit und Geld aufgewendet, um Compliance zu erreichen und nachzuweisen. Was wäre, wenn Target all diese Anstrengungen für Sicherheitsmaßnahmen aufgewendet hätte, die in PCI nicht erwähnt wurden, wie zum Beispiel die Einführung von Sandbox-Technologien oder sogar die Segmentierung des Netzwerks, damit sensible Systeme abgeschottet werden?

Was wäre, wenn sich Einzelhändler, anstatt die nächsten Monate damit zu verbringen, zu dokumentieren und zu zeigen, wie ihre Aktivitäten auf die PCI-Checkliste abgebildet werden, darauf konzentrieren könnten, mehrere Sicherheitsebenen zu übernehmen, die flexibel sind und sich an sich entwickelnde Angriffe anpassen können?

Was ist, wenn wir anstelle von Einzelhändlern und einzelnen Organisationen, die sich Sorgen um PCI machen, die Banken und Kartennetzwerke zur Rechenschaft ziehen? Bis dahin werden wir mehr von diesen Verstößen sehen.

Compliance ist keine wirkliche Sicherheit. Unsere Kreditkarten verdienen es besser