به‌روزرسانی جدید استانداردهای امنیت پرداخت فاقد حس فوریت است (دانی مک کول)

تمبر زمان: 13 اکتبر 2022، 3:25 صبح
گره منبع: 1722615

از آنجایی که کووید به مشاغل در سراسر جهان رسید و مغازه‌ها یا بسته بودند یا دیگر پول نقد را به عنوان روش ترجیحی پرداخت نمی‌پذیرفتند، شاهد افزایش چشمگیری در حجم داده‌های کارت پرداخت بودیم. سریع به امروز، و حجم معاملات آنلاین و
استفاده از ماشین های نقطه فروش همچنان رو به افزایش است. از آنجایی که بیشتر داده‌ها در فضای ابری نگهداری می‌شوند، فرصت‌های حملات سایبری به طور همزمان افزایش می‌یابد، به این معنی که نسخه قبلی استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)
دیگر کافی نیست

از سال 2004، PCI DSS تضمین کرده است که سازمان هایی که اطلاعات کارت اعتباری را پردازش یا ذخیره می کنند، می توانند این کار را به صورت ایمن انجام دهند. پس از همه گیری، راهنمایی در مورد کنترل های امنیتی نیاز فوری به به روز رسانی داشت. این زمانی است که نسخه جدید - PCI DSS v4.0 -
اعلام شد. در حالی که شرکت‌ها دو سال فرصت دارند تا اجرای خود را برنامه‌ریزی کنند، اکثر کسب‌وکارهای مالی باید همه چیز را تا مارس 2025 آماده کنند. با این حال، خطر کار تا یک ضرب‌الاجل طولانی وجود دارد، زیرا احساس فوریت ایجاد نمی‌کند، و بسیاری از آنها
از به‌روزرسانی‌های امنیتی موجود در استاندارد جدید، شیوه‌هایی هستند که کسب‌وکارها باید قبلاً آن را اجرا می‌کردند.

به عنوان مثال، "8.3.6 - حداقل سطح پیچیدگی برای گذرواژه‌ها هنگام استفاده به عنوان یک عامل احراز هویت" یا "5.4.1 - مکانیسم‌هایی برای شناسایی و محافظت از پرسنل در برابر حملات فیشینگ وجود دارد" به عنوان "به‌روزرسانی‌های غیر فوری برای پیاده‌سازی" فهرست شده‌اند. در 36 ماه».
با سطح بالای تهدیدات سایبری پس از درگیری روسیه و اوکراین، این بازه زمانی به اندازه کافی سریع نیست تا سطح حفاظت سایبری مورد نیاز مؤسسات مالی و مشاغل خرده‌فروشی را افزایش دهد که تهدیدی واقعی برای داده‌ها و حریم خصوصی مشتریان است.

برای تجزیه بیشتر آن، اعداد مهم و جالبی وجود دارد که هم دامنه و هم محدودیت‌های آن را نشان می‌دهند:

  • 51 و 2025 مشکلات اصلی پیرامون PCI DSS V4.0 را نشان می دهد - 51 تعداد تغییرات پیشنهادی است که از هم اکنون تا سال 2025 که اجرا می شوند، یعنی سه سال دیگر به عنوان "بهترین عمل" طبقه بندی می شوند!

بیایید به 13 تغییر فوری برای همه ارزیابی‌های V4.0 که شامل مواردی مانند «نقش‌ها و مسئولیت‌های انجام فعالیت‌ها مستند، اختصاص داده شده و درک شده‌اند» نگاه دقیق‌تری داشته باشیم. اینها 10 مورد از 13 تغییر فوری را شامل می شوند که به این معنی است
بخش عمده ای از "به روز رسانی های فوری" اساساً نقاط پاسخگویی هستند، جایی که شرکت ها می پذیرند که باید کاری انجام دهند.

و اکنون بیایید به به روز رسانی هایی که "باید تا مارس 2025 موثر باشند" نگاه کنیم:

  • 5.3.3: اسکن های ضد بدافزار زمانی انجام می شود که از رسانه الکترونیکی قابل جابجایی استفاده می شود

  • 5.4.1: مکانیسم هایی برای شناسایی و محافظت از پرسنل در برابر حملات فیشینگ وجود دارد.

  • 7.2.4: تمام حساب های کاربری و امتیازات دسترسی مرتبط را به طور مناسب بررسی کنید.

  • 8.3.6: حداقل سطح پیچیدگی برای رمزهای عبور زمانی که به عنوان عامل احراز هویت استفاده می شود.

  • 8.4.2: احراز هویت چند عاملی برای همه دسترسی به CDE (محیط داده دارنده کارت)

  • 10.7.3: خرابی های سیستم های کنترل امنیتی حیاتی به سرعت پاسخ داده می شود

اینها تنها شش مورد از 51 به‌روزرسانی «غیر فوری» هستند، و به نظر من غیرقابل باور است که شناسایی حملات فیشینگ و استفاده از اسکن‌های ضد بدافزار بخشی از این فهرست است. امروز، با حملات فیشینگ در بالاترین حد خود، انتظار هر گونه مالی جهانی را دارم
مؤسسه ای با داده های حساس برای محافظت از آنها به عنوان الزامات ضروری، نه چیزی که در مدت سه سال باید وجود داشته باشد.

با وجود تهدید جریمه های هنگفت و خطر حذف کارت های اعتباری به عنوان روش پرداخت در صورت عدم رعایت استانداردهای PCI، تنها چند جریمه تا کنون اعمال شده است. منتظر سه سال دیگر برای اجرای الزامات جدید
به نظر می رسد موجود در V4.0 به معنای عدم مالکیت است که برخی از تغییرات مستحق آن هستند و بسیار خطرناک است.

من قدردانی می کنم که این بدان معنا نیست که شرکت ها قبلاً برخی یا همه به روز رسانی ها را اجرا نکرده اند. با این حال، برای کسانی که این کار را نکرده‌اند، انجام این به‌روزرسانی‌ها نیازمند سرمایه‌گذاری و برنامه‌ریزی است و برای این منظور، PCI DSS V4.0 باید دقیق‌تر باشد.
به عنوان مثال، اگر نیاز به پاسخگویی سریع به نقص های امنیتی باشد، آیا این به معنای 24 ساعت، 24 روز یا 24 ماه است؟ من معتقدم که با مهلت‌های مشخص‌تر به ذینفعان خدمات بهتری داده می‌شود.

در حالی که PCI DSS V4.0 مبنای خوبی برای پیشبرد استاندارد است، باید با فوریت بیشتری اجرا می شد. مسلماً تغییرات زیادی وجود دارد که باید به آنها پرداخته شود، اما یک استراتژی بهتر اتخاذ یک رویکرد مرحله‌ای، یعنی اولویت‌بندی تغییرات است.
لازم است بلافاصله، در 12 ماه، 24 ماه و 36 ماه آینده به جای اینکه بگوییم همه آنها باید در مدت سه سال موثر باشند.

بدون این راهنما، به احتمال زیاد برخی از سازمان‌ها این پروژه‌ها را تا دو سال دیگر با نزدیک شدن به مهلت برنامه اجرایی، به حالت تعلیق در خواهند آورد. با این حال، در عصری که جرایم کارت های پرداخت همچنان یک خطر فراگیر است، کمی وجود دارد
از تاخیر به دست می آید

تمبر زمان:

بیشتر از فینسترا