Ny oppdatering av betalingssikkerhetsstandarder mangler følelse av at det haster (Donnie MacColl)

Ettersom COVID rammet bedrifter over hele verden, og butikker enten ble stengt eller ikke lenger godtok kontanter som den foretrukne betalingsmåten, så vi en dramatisk økning i betalingskortdatavolumet. Spol frem til i dag, og volumet av netttransaksjoner og
bruken av salgsautomater fortsetter å øke. Siden mesteparten av dataen holdes i skyen, øker mulighetene for cyberangrep samtidig, noe som betyr at den forrige versjonen av Payment Card Industry Data Security Standard (PCI DSS)
er ikke lenger tilstrekkelig.

Siden 2004 har PCI DSS sørget for at organisasjoner som behandler eller lagrer kredittkortinformasjon kan gjøre det sikkert. Etter pandemien hadde veiledningen om sikkerhetskontroller et presserende behov for en oppdatering. Dette er når den nye versjonen – PCI DSS v4.0 –
ble annonsert. Mens selskaper har to år på seg til å planlegge implementeringen, må de fleste finansielle virksomheter ha alt på plass innen mars 2025. Det er imidlertid en risiko for å jobbe til en lang frist da det ikke klarer å skape en følelse av at det haster, og mange
av sikkerhetsoppdateringene som er inkludert i den nye standarden, er praksis som bedrifter allerede burde ha implementert.

For eksempel, "8.3.6 – Minimumsnivå av kompleksitet for passord når de brukes som en autentiseringsfaktor" eller "5.4.1 - Mekanismer er på plass for å oppdage og beskytte personell mot phishing-angrep" er oppført som "ikke-hastende oppdateringer for å implementere på 36 måneder».
Med det høye nivået av cybertrusler etter den russisk-ukrainske konflikten, er ikke denne tidsrammen rask nok til å heve nivået av cyberbeskyttelse som trengs av finansinstitusjoner og detaljhandelsbedrifter, noe som utgjør en reell trussel mot kundedata og personvern.

For å bryte det ytterligere ned, er det noen viktige og interessante tall som illustrerer både omfanget og begrensningene:

• 51 og 2025 illustrerer kjerneproblemene rundt PCI DSS V4.0 – 51 er antallet foreslåtte endringer som er klassifisert som "beste praksis" mellom nå og 2025 når de håndheves, som er tre år unna!

La oss se nærmere på de 13 umiddelbare endringene for alle V4.0-vurderinger, som inkluderer elementer som "Roller og ansvar for å utføre aktiviteter er dokumentert, tildelt og forstått". Disse utgjør 10 av de 13 umiddelbare endringene, som betyr
hoveddelen av de "hastende oppdateringene" er i utgangspunktet ansvarlighetspunkter, der selskaper aksepterer at de burde gjøre noe.

Og la oss nå se på oppdateringene som "må være effektive innen mars 2025":

• 5.3.3: Skanning mot skadelig programvare utføres når flyttbare elektroniske medier er i bruk

• 5.4.1: Mekanismer er på plass for å oppdage og beskytte personell mot phishing-angrep.

• 7.2.4: Gjennomgå alle brukerkontoer og relaterte tilgangsrettigheter på riktig måte.

• 8.3.6: Minimumsnivå av kompleksitet for passord når det brukes som en autentiseringsfaktor.

• 8.4.2: Multifaktorautentisering for all tilgang til CDE (kortholderdatamiljø)

• 10.7.3: Feil i kritiske sikkerhetskontrollsystemer reageres raskt

Dette er bare seks av de 51 "ikke-haster" oppdateringene, og jeg synes det er utrolig at deteksjon av phishing-angrep og bruk av skanninger mot skadelig programvare er en del av denne listen. I dag, med phishing-angrep på et rekordhøyt nivå, forventer jeg alle globale finanser
institusjon med sensitive data å beskytte for å ha disse på plass som vesentlige krav, ikke noe å ha på plass om tre år.

Til tross for truslene om enorme bøter og risikoen for å få kredittkort som betalingsmetode trukket tilbake hvis organisasjoner ikke overholder PCI-standarder, ble det så langt iverksatt noen få straffer. Venter i ytterligere tre år på å implementere de nye kravene
inneholdt i V4.0 ser ut til å innebære mangel på eierskap som noen av endringene fortjener og er altfor risikabelt.

Jeg forstår at det ikke betyr at selskaper ikke allerede har implementert noen eller alle oppdateringene. Men for de som ikke har gjort det, vil det å utføre disse oppdateringene kreve investeringer og planlegging, og for disse formålene må PCI DSS V4.0 være mer spesifikk.
For eksempel, hvis sikkerhetsfeil må reageres på "raskt", betyr det 24 timer, 24 dager eller 24 måneder? Jeg tror at interessenter ville vært mye bedre tjent med mer spesifikke tidsfrister.

Mens PCI DSS V4.0 representerer et godt grunnlag for å flytte standarden videre, burde den vært implementert med større hast. Riktignok er det mange endringer å ta tak i, men en bedre strategi ville være å ta i bruk en trinnvis tilnærming, det vil si å prioritere endringer
kreves umiddelbart, om 12 måneder, 24 måneder og 36 måneder fra nå i stedet for å si at de alle må være effektive om tre år.

Uten denne veiledningen er det sannsynlig at noen organisasjoner vil skrinlegge disse prosjektene for å bli sett på om to år når tidsfristen for implementeringsplanen nærmer seg. Men i en tid hvor betalingskortkriminalitet fortsetter å være en allestedsnærværende risiko, er det lite
å hente på forsinkelse.