Nowa aktualizacja standardów bezpieczeństwa płatności nie ma poczucia pilności (Donnie MacColl)

Ponieważ COVID uderzył w firmy na całym świecie, a sklepy zostały zamknięte lub przestały akceptować gotówkę jako preferowaną metodę płatności, zaobserwowaliśmy dramatyczny wzrost ilości danych kart płatniczych. Przewiń do dzisiaj i wolumen transakcji online i
wykorzystanie maszyn w punktach sprzedaży nadal rośnie. Ponieważ większość danych jest przechowywana w chmurze, możliwości cyberataków rosną w tym samym czasie, co oznacza, że ​​poprzednia wersja Payment Card Industry Data Security Standard (PCI DSS)
już nie wystarcza.

Od 2004 r. PCI DSS zapewnia, że ​​organizacje przetwarzające lub przechowujące informacje o kartach kredytowych mogą to robić w bezpieczny sposób. Po pandemii wytyczne dotyczące kontroli bezpieczeństwa wymagały pilnej aktualizacji. To wtedy nowa wersja – PCI DSS v4.0 –
został ogłoszony. Chociaż firmy mają dwa lata na zaplanowanie ich wdrożenia, większość firm finansowych musi mieć wszystko gotowe do marca 2025 r. Istnieje jednak ryzyko, że dotrzymają długiego terminu realizacji, ponieważ nie stwarza to poczucia pilności, a wiele
aktualizacji zabezpieczeń zawartych w nowym standardzie to praktyki, które firmy powinny już wdrożyć.

Na przykład „8.3.6 – Minimalny poziom złożoności haseł używanych jako czynnik uwierzytelniania” lub „5.4.1 – Istnieją mechanizmy wykrywania i ochrony personelu przed atakami typu phishing” są wymienione jako „niepilne aktualizacje do wdrożenia za 36 miesięcy”.
Ze względu na wysoki poziom cyberzagrożeń po konflikcie rosyjsko-ukraińskim, te ramy czasowe nie są wystarczająco szybkie, aby podnieść poziom cyberochrony potrzebnej instytucjom finansowym i firmom detalicznym, co stanowi realne zagrożenie dla danych i prywatności klientów.

Aby to rozbić jeszcze bardziej, jest kilka ważnych i interesujących liczb, które ilustrują zarówno jego zakres, jak i ograniczenia:

• 51 i 2025 ilustrują podstawowe problemy związane z PCI DSS V4.0 – 51 to liczba proponowanych zmian, które są klasyfikowane jako „najlepsze praktyki” od chwili obecnej do 2025 roku, kiedy zostaną wprowadzone w życie, czyli za trzy lata!

Przyjrzyjmy się bliżej 13 natychmiastowym zmianom dla wszystkich ocen V4.0, które obejmują takie pozycje jak „Role i obowiązki związane z wykonywaniem czynności są udokumentowane, przypisane i zrozumiane”. Obejmują one 10 z 13 natychmiastowych zmian, co oznacza:
większość „pilnych aktualizacji” to w zasadzie punkty odpowiedzialności, w których firmy akceptują, że powinny coś robić.

A teraz spójrzmy na aktualizacje, które „muszą wejść w życie do marca 2025 roku”:

• 5.3.3: Skanowanie w poszukiwaniu złośliwego oprogramowania jest wykonywane, gdy używane są wymienne nośniki elektroniczne

• 5.4.1: Istnieją mechanizmy wykrywania i ochrony personelu przed atakami typu phishing.

• 7.2.4: Przejrzyj odpowiednio wszystkie konta użytkowników i związane z nimi uprawnienia dostępu.

• 8.3.6: Minimalny poziom złożoności haseł używanych jako czynnik uwierzytelniania.

• 8.4.2: Uwierzytelnianie wieloskładnikowe dla wszystkich dostępów do CDE (środowisko danych posiadacza karty)

• 10.7.3: Awarie krytycznych systemów kontroli bezpieczeństwa są szybko reagowane

To tylko sześć z 51 „niepilnych” aktualizacji i wydaje mi się niewiarygodne, że wykrywanie ataków phishingowych i korzystanie ze skanowania w poszukiwaniu złośliwego oprogramowania jest częścią tej listy. Dzisiaj, przy rekordowym poziomie ataków phishingowych, spodziewałbym się jakichkolwiek globalnych finansów
instytucji posiadającej wrażliwe dane w celu ich ochrony, aby mieć je jako podstawowe wymogi, a nie coś, co trzeba mieć za trzy lata.

Pomimo groźby ogromnych grzywien i ryzyka wycofania kart kredytowych jako metody płatności, jeśli organizacje nie spełnią standardów PCI, do tej pory nałożono tylko kilka kar. Czekam kolejne trzy lata na wdrożenie nowych wymagań
zawarte w V4.0 wydaje się sugerować brak własności, na który niektóre zmiany zasługują i jest zbyt ryzykowne.

Rozumiem, że nie oznacza to, że firmy nie wdrożyły jeszcze niektórych lub wszystkich aktualizacji. Jednak dla tych, którzy tego nie zrobili, działanie tych aktualizacji będzie wymagało inwestycji i planowania, a do tych celów PCI DSS V4.0 musi być bardziej szczegółowy.
Na przykład, jeśli na awarie zabezpieczeń trzeba reagować „niezwłocznie”, czy oznacza to 24 godziny, 24 dni czy 24 miesiące? Uważam, że interesariusze byliby znacznie lepiej obsługiwani przy bardziej precyzyjnych terminach.

Chociaż PCI DSS V4.0 stanowi dobrą podstawę do dalszego rozwoju standardu, powinien zostać wdrożony z większą pilnością. To prawda, że ​​istnieje wiele zmian, którymi należy się zająć, ale lepszą strategią byłoby przyjęcie podejścia etapowego, tj. ustalenie priorytetów zmian
wymagane natychmiast, za 12 miesięcy, 24 miesiące i 36 miesięcy od teraz, zamiast mówić, że wszystkie muszą być skuteczne za trzy lata.

Bez tych wskazówek jest prawdopodobne, że niektóre organizacje odłożą te projekty na półkę za dwa lata, gdy zbliża się termin realizacji planu wdrożenia. Jednak w dobie, gdy przestępczość kart płatniczych nadal stanowi wszechobecne ryzyko, niewiele jest
do zdobycia z opóźnień.