Νέα ενημέρωση προτύπων ασφάλειας πληρωμών δεν έχει αίσθηση επείγοντος (Donnie MacColl)

Καθώς ο COVID έπληξε επιχειρήσεις σε όλο τον κόσμο και τα καταστήματα είτε έκλεισαν είτε δεν δέχονταν πλέον μετρητά ως προτιμώμενη μέθοδο πληρωμής, είδαμε μια δραματική αύξηση στον όγκο δεδομένων των καρτών πληρωμής. Γρήγορη μετάβαση στο σήμερα, και ο όγκος των ηλεκτρονικών συναλλαγών και
η χρήση των μηχανών σημείων πώλησης συνεχίζει να αυξάνεται στα ύψη. Καθώς τα περισσότερα δεδομένα διατηρούνται στο cloud, οι ευκαιρίες για κυβερνοεπιθέσεις αυξάνονται ταυτόχρονα, πράγμα που σημαίνει ότι η προηγούμενη έκδοση του Προτύπου Ασφάλειας Δεδομένων της Βιομηχανίας Πληρωμής (PCI DSS)
δεν είναι πλέον επαρκής.

Από το 2004, το PCI DSS έχει εξασφαλίσει ότι οι οργανισμοί που επεξεργάζονται ή αποθηκεύουν πληροφορίες πιστωτικών καρτών μπορούν να το κάνουν με ασφάλεια. Μετά την πανδημία, η καθοδήγηση σχετικά με τους ελέγχους ασφαλείας χρειαζόταν επειγόντως ενημέρωση. Αυτό συμβαίνει όταν η νέα έκδοση – PCI DSS v4.0 –
ανακοινώθηκε. Ενώ οι εταιρείες έχουν στη διάθεσή τους δύο χρόνια για να προγραμματίσουν την εφαρμογή τους, οι περισσότερες χρηματοοικονομικές επιχειρήσεις πρέπει να έχουν τα πάντα στη θέση τους μέχρι τον Μάρτιο του 2025. Ωστόσο, υπάρχει ο κίνδυνος να εργαστούν σε μια μακροπρόθεσμη προθεσμία, καθώς δεν δημιουργεί την αίσθηση του επείγοντος και πολλές
από τις ενημερώσεις ασφαλείας που περιλαμβάνονται στο νέο πρότυπο είναι πρακτικές που οι επιχειρήσεις θα έπρεπε να έχουν ήδη εφαρμόσει.

Για παράδειγμα, το "8.3.6 – Ελάχιστο επίπεδο πολυπλοκότητας για κωδικούς πρόσβασης όταν χρησιμοποιείται ως παράγοντας ελέγχου ταυτότητας" ή "5.4.1 - Υπάρχουν μηχανισμοί για τον εντοπισμό και την προστασία του προσωπικού από επιθέσεις ηλεκτρονικού ψαρέματος" αναφέρονται ως "μη επείγουσες ενημερώσεις για εφαρμογή σε 36 μήνες».
Με το υψηλό επίπεδο απειλών στον κυβερνοχώρο μετά τη ρωσο-ουκρανική σύγκρουση, αυτό το χρονοδιάγραμμα δεν είναι αρκετά γρήγορο για να αυξήσει το επίπεδο προστασίας στον κυβερνοχώρο που απαιτείται από τα χρηματοπιστωτικά ιδρύματα και τις επιχειρήσεις λιανικής, γεγονός που αποτελεί πραγματική απειλή για τα δεδομένα των πελατών και το απόρρητο.

Για να το αναλύσουμε ακόμη περισσότερο, υπάρχουν μερικοί σημαντικοί και ενδιαφέροντες αριθμοί που απεικονίζουν τόσο το εύρος όσο και τους περιορισμούς του:

• 51 και 2025 απεικονίζουν τα βασικά προβλήματα γύρω από το PCI DSS V4.0 – 51 είναι ο αριθμός των προτεινόμενων αλλαγών που ταξινομούνται ως «βέλτιστη πρακτική» από τώρα έως το 2025 όταν θα εφαρμοστούν, δηλαδή τρία χρόνια μακριά!

Ας δούμε πιο προσεκτικά τις 13 άμεσες αλλαγές για όλες τις αξιολογήσεις του V4.0, οι οποίες περιλαμβάνουν στοιχεία όπως «Οι ρόλοι και οι ευθύνες για την εκτέλεση δραστηριοτήτων τεκμηριώνονται, ανατίθενται και κατανοούνται». Αυτά περιλαμβάνουν 10 από τις 13 άμεσες αλλαγές, που σημαίνει
Το μεγαλύτερο μέρος των «επείγουσας ενημέρωσης» είναι βασικά σημεία λογοδοσίας, όπου οι εταιρείες αποδέχονται ότι πρέπει να κάνουν κάτι.

Και τώρα ας δούμε τις ενημερώσεις που «πρέπει να τεθούν σε ισχύ έως τον Μάρτιο του 2025»:

• 5.3.3: Εκτελούνται σαρώσεις κατά του κακόβουλου λογισμικού όταν χρησιμοποιούνται αφαιρούμενα ηλεκτρονικά μέσα

• 5.4.1: Υπάρχουν μηχανισμοί για τον εντοπισμό και την προστασία του προσωπικού από επιθέσεις phishing.

• 7.2.4: Ελέγξτε όλους τους λογαριασμούς χρηστών και τα σχετικά δικαιώματα πρόσβασης κατάλληλα.

• 8.3.6: Ελάχιστο επίπεδο πολυπλοκότητας για τους κωδικούς πρόσβασης όταν χρησιμοποιούνται ως παράγοντας ελέγχου ταυτότητας.

• 8.4.2: Έλεγχος ταυτότητας πολλαπλών παραγόντων για κάθε πρόσβαση στο CDE (περιβάλλον δεδομένων κατόχου κάρτας)

• 10.7.3: Οι βλάβες κρίσιμων συστημάτων ελέγχου ασφαλείας αντιμετωπίζονται άμεσα

Αυτές είναι μόνο έξι από τις 51 «μη επείγουσες» ενημερώσεις και θεωρώ απίστευτο ότι ο εντοπισμός επιθέσεων phishing και η χρήση σαρώσεων κατά του κακόβουλου λογισμικού αποτελούν μέρος αυτής της λίστας. Σήμερα, με τις επιθέσεις phishing σε υψηλό όλων των εποχών, θα περίμενα οποιαδήποτε παγκόσμια οικονομική
ίδρυμα με ευαίσθητα δεδομένα για προστασία, ώστε να υπάρχουν αυτά ως βασικές απαιτήσεις, όχι κάτι που πρέπει να υπάρχει σε τρία χρόνια.

Παρά τις απειλές για τεράστια πρόστιμα και τον κίνδυνο απόσυρσης των πιστωτικών καρτών ως τρόπου πληρωμής, εάν οι οργανισμοί δεν συμμορφωθούν με τα πρότυπα PCI, έχουν επιβληθεί μόνο λίγες κυρώσεις μέχρι στιγμής. Αναμονή για άλλα τρία χρόνια για την εφαρμογή των νέων απαιτήσεων
που περιέχεται στο V4.0 φαίνεται να υποδηλώνει έλλειψη ιδιοκτησίας που αξίζουν ορισμένες από τις αλλαγές και είναι πολύ επικίνδυνο.

Εκτιμώ ότι αυτό δεν σημαίνει ότι οι εταιρείες δεν έχουν ήδη εφαρμόσει ορισμένες ή όλες τις ενημερώσεις. Ωστόσο, για όσους δεν το έχουν κάνει, η ενεργοποίηση αυτών των ενημερώσεων θα απαιτήσει επενδύσεις και προγραμματισμό και για αυτούς τους σκοπούς, το PCI DSS V4.0 πρέπει να είναι πιο συγκεκριμένο.
Για παράδειγμα, εάν οι αστοχίες ασφαλείας πρέπει να αντιμετωπιστούν "άμεσα", αυτό σημαίνει 24 ώρες, 24 ημέρες ή 24 μήνες; Πιστεύω ότι τα ενδιαφερόμενα μέρη θα εξυπηρετούνταν πολύ καλύτερα με πιο συγκεκριμένες προθεσμίες.

Ενώ το PCI DSS V4.0 αντιπροσωπεύει μια καλή βάση για την προώθηση του προτύπου, θα έπρεπε να είχε εφαρμοστεί με μεγαλύτερη επείγουσα ανάγκη. Ομολογουμένως, υπάρχουν πολλές αλλαγές που πρέπει να αντιμετωπιστούν, αλλά μια καλύτερη στρατηγική θα ήταν η υιοθέτηση μιας σταδιακής προσέγγισης, δηλαδή να δοθεί προτεραιότητα στις αλλαγές
απαιτείται άμεσα, σε 12 μήνες, 24 μήνες και 36 μήνες από τώρα αντί να πούμε ότι πρέπει να τεθούν όλα σε ισχύ σε τρία χρόνια.

Χωρίς αυτήν την καθοδήγηση, είναι πιθανό ορισμένοι οργανισμοί να βάλουν στο ράφι αυτά τα έργα για να εξεταστούν σε δύο χρόνια, όταν πλησιάσει η προθεσμία του σχεδίου υλοποίησης. Ωστόσο, σε μια εποχή που το έγκλημα με κάρτες πληρωμής συνεχίζει να είναι ένας πανταχού παρών κίνδυνος, υπάρχει ελάχιστος κίνδυνος
να κερδηθεί από την καθυστέρηση.