Uues maksete turvastandardite värskenduses puudub kiireloomulisus (Donnie MacColl)

Kuna COVID tabas ettevõtteid üle maailma ja poed olid suletud või ei aktsepteerinud enam eelistatud makseviisina sularaha, suurenes maksekaartide andmemaht järsult. Edasikerimine tänasesse ning veebitehingute maht ja
müügikoha masinate kasutus kasvab jätkuvalt hüppeliselt. Kuna enamik andmeid hoitakse pilves, on küberrünnakute võimalused samal ajal hüppeliselt kasvamas, mis tähendab, et maksekaarditööstuse andmeturbestandardi (PCI DSS) eelmine versioon
ei ole enam piisav.

Alates 2004. aastast on PCI DSS taganud, et krediitkaarditeavet töötlevad või talletavad organisatsioonid saavad seda turvaliselt teha. Pärast pandeemiat vajasid turvakontrolli juhised kiiresti värskendamist. See on siis, kui uus versioon – PCI DSS v4.0 –
kuulutati välja. Kui ettevõtetel on rakendamise kavandamiseks aega kaks aastat, siis enamikul finantsettevõtetel peab olema kõik paigas 2025. aasta märtsiks. Siiski on oht töötada pika tähtajaga, kuna see ei tekita kiireloomulisuse tunnet ja paljud
uues standardis sisalduvatest turvavärskendustest on tavad, mida ettevõtted peaksid olema juba rakendanud.

Näiteks „8.3.6 – paroolide minimaalne keerukuse tase, kui neid kasutatakse autentimistegurina” või „5.4.1 – on olemas mehhanismid töötajate tuvastamiseks ja kaitsmiseks andmepüügirünnakute eest” on loetletud kui „mittekiireloomulised värskendused juurutamiseks”. 36 kuu jooksul”.
Kuna Vene-Ukraina konfliktile järgnenud küberohtude tase on kõrge, ei ole see ajavahemik piisavalt kiire, et tõsta finantsasutuste ja jaemüügiettevõtete jaoks vajalikku küberkaitse taset, mis kujutab endast tõelist ohtu klientide andmetele ja privaatsusele.

Selle veelgi paremaks jaotamiseks on mõned olulised ja huvitavad numbrid, mis illustreerivad nii selle ulatust kui ka piiranguid:

• 51 ja 2025 illustreerivad PCI DSS V4.0 põhiprobleeme – 51 on kavandatud muudatuste arv, mis on liigitatud "parimateks tavadeks" ajavahemikus praegusest kuni 2025. aastani, mil need jõustatakse, mis on kolm aastat hiljem!

Vaatame lähemalt kõigi V13 hindamiste 4.0 vahetut muudatust, mis hõlmavad selliseid elemente nagu „Rollid ja kohustused tegevuste läbiviimisel on dokumenteeritud, määratud ja arusaadavad“. Need hõlmavad 10 vahetut muudatust 13-st, mis tähendab
Suurem osa kiireloomulistest uuendustest on põhimõtteliselt vastutuspunktid, kus ettevõtted nõustuvad, et nad peaksid midagi tegema.

Ja nüüd vaatame värskendusi, mis peavad kehtima 2025. aasta märtsiks:

• 5.3.3: Pahavaratõrje skannimised tehakse eemaldatava elektroonilise andmekandja kasutamisel

• 5.4.1: On olemas mehhanismid töötajate tuvastamiseks ja kaitsmiseks andmepüügirünnakute eest.

• 7.2.4: vaadake kõik kasutajakontod ja nendega seotud juurdepääsuõigused asjakohaselt üle.

• 8.3.6: paroolide minimaalne keerukusaste, kui neid kasutatakse autentimistegurina.

• 8.4.2: mitmefaktoriline autentimine kogu juurdepääsuks CDE-le (kaardiomaniku andmekeskkond)

• 10.7.3: Kriitiliste turvakontrollisüsteemide tõrgetele reageeritakse viivitamatult

Need on vaid kuus 51 mittekiireloomulisest värskendusest ja minu arvates on uskumatu, et andmepüügirünnakute tuvastamine ja pahavaravastaste kontrollide kasutamine on selle loendi osa. Tänapäeval, kui andmepüügirünnakud on kõigi aegade kõrgeimal tasemel, ootaksin ma mis tahes ülemaailmset finantsolukorda
asutusele, kellel on delikaatsed andmed kaitsta, et need oleksid paigas kui olulised nõuded, mitte midagi, mida kolme aasta pärast kehtestada.

Hoolimata suurte trahvide ähvardustest ja riskist, et kui organisatsioonid ei järgi PCI-standardeid, võetakse krediitkaardid makseviisina tagasi, on seni rakendatud vaid üksikuid karistusi. Uute nõuete rakendamiseks tuleb oodata veel kolm aastat
V4.0 sisalduv näib viitavat omandiõiguse puudumisele, mida mõned muudatused väärivad ja on liiga riskantsed.

Mõistan, et see ei tähenda, et ettevõtted poleks mõnda või kõiki värskendusi juba rakendanud. Neile aga, kes seda pole teinud, nõuab nende värskenduste kasutamine investeeringuid ja planeerimist ning nendel eesmärkidel peab PCI DSS V4.0 olema täpsem.
Näiteks kui turvatõrgetele tuleb reageerida "viivitamatult", kas see tähendab 24 tundi, 24 päeva või 24 kuud? Usun, et täpsemate tähtaegadega oleks sidusrühmadele palju parem kasu.

Kuigi PCI DSS V4.0 kujutab endast head alust standardi edasiliikumiseks, oleks tulnud seda kiiremini rakendada. Tõsi, muudatusi tuleb lahendada palju, kuid parem strateegia oleks järkjärguline lähenemine, st muudatuste tähtsuse järjekorda seadmine.
nõuda kohe, 12 kuu, 24 kuu ja 36 kuu pärast, selle asemel, et öelda, et need kõik peavad kehtima kolme aasta pärast.

Ilma selle juhiseta jätavad mõned organisatsioonid tõenäoliselt need projektid riiulile, et neid vaadataks kahe aasta pärast, kui läheneb rakendusplaani tähtaeg. Kuid ajastul, mil maksekaardikuritegevus on jätkuvalt üldlevinud risk, on seda vähe
viivitusest kasu saada.