Nova posodobitev varnostnih standardov plačil nima občutka nujnosti (Donnie MacColl)

Ko je COVID prizadel podjetja po vsem svetu in so bile trgovine zaprte ali pa niso več sprejemale gotovine kot prednostnega načina plačila, smo opazili dramatično povečanje količine podatkov o plačilnih karticah. Hitro naprej v današnji čas in obseg spletnih transakcij ter
uporaba avtomatov na prodajnih mestih še naprej strmo narašča. Ker je večina podatkov shranjenih v oblaku, se hkrati povečujejo možnosti za kibernetske napade, kar pomeni, da prejšnja različica standarda za varnost podatkov industrije plačilnih kartic (PCI DSS)
ne zadostuje več.

Od leta 2004 PCI DSS zagotavlja, da lahko organizacije, ki obdelujejo ali shranjujejo podatke o kreditnih karticah, to počnejo varno. Po pandemiji je bilo treba smernice o varnostnem nadzoru nujno posodobiti. Takrat je nova različica – PCI DSS v4.0 –
je bil napovedan. Medtem ko imajo podjetja dve leti časa, da načrtujejo svojo izvedbo, mora večina finančnih podjetij imeti vse pripravljeno do marca 2025. Vendar pa obstaja tveganje, da bodo delali v dolgotrajnem roku, saj ne ustvarijo občutka nujnosti in veliko
varnostnih posodobitev, vključenih v novi standard, so prakse, ki bi jih podjetja morala že izvajati.

Na primer, »8.3.6 – Najmanjša stopnja kompleksnosti za gesla, kadar se uporabljajo kot dejavnik preverjanja pristnosti« ali »5.4.1 – Obstajajo mehanizmi za odkrivanje in zaščito osebja pred napadi z lažnim predstavljanjem«, so navedeni kot »nenujne posodobitve za izvedbo v 36 mesecih«.
Zaradi visoke stopnje kibernetskih groženj po rusko-ukrajinskem konfliktu ta časovni okvir ni dovolj hiter, da bi dvignil raven kibernetske zaščite, ki jo potrebujejo finančne institucije in maloprodajna podjetja, kar predstavlja resnično grožnjo za podatke in zasebnost strank.

Da bi ga še bolj razčlenili, je nekaj pomembnih in zanimivih številk, ki ponazarjajo tako njegov obseg kot omejitve:

• 51 in 2025 ponazarjata glavne težave v zvezi s PCI DSS V4.0 – 51 je število predlaganih sprememb, ki so razvrščene kot »najboljša praksa« od zdaj do leta 2025, ko bodo uveljavljene, kar je čez tri leta!

Oglejmo si podrobneje 13 takojšnjih sprememb za vse ocene V4.0, ki vključujejo elemente, kot je »Vloge in odgovornosti za izvajanje dejavnosti so dokumentirane, dodeljene in razumljene«. Ti obsegajo 10 od 13 takojšnjih sprememb, kar pomeni
večina »nujnih posodobitev« so v bistvu točke odgovornosti, kjer se podjetja strinjajo, da bi morala nekaj narediti.

Zdaj pa si poglejmo posodobitve, ki »morajo začeti veljati do marca 2025«:

• 5.3.3: Pregledi proti zlonamerni programski opremi se izvajajo, ko je v uporabi izmenljivi elektronski medij

• 5.4.1: Vzpostavljeni so mehanizmi za odkrivanje in zaščito osebja pred lažnim predstavljanjem.

• 7.2.4: Ustrezno preglejte vse uporabniške račune in povezane privilegije dostopa.

• 8.3.6: Najmanjša stopnja zapletenosti gesel, kadar se uporabljajo kot faktor avtentikacije.

• 8.4.2: Večfaktorska avtentikacija za vse dostope do CDE (podatkovno okolje imetnika kartice)

• 10.7.3: Na napake kritičnih varnostnih nadzornih sistemov se odzove takoj

To je samo šest od 51 "nenujnih" posodobitev in zdi se mi neverjetno, da sta zaznavanje napadov lažnega predstavljanja in uporaba pregledov proti zlonamerni programski opremi del tega seznama. Danes, ko so napadi lažnega predstavljanja na najvišji ravni vseh časov, bi pričakoval kakršno koli svetovno finančno
institucijo z občutljivimi podatki, ki jih je treba zaščititi, da so ti vzpostavljeni kot bistvene zahteve, ne pa nekaj, kar je treba vzpostaviti čez tri leta.

Kljub grožnjam z velikimi globami in tveganjem umika kreditnih kartic kot plačilnega sredstva, če organizacije ne bodo spoštovale standardov PCI, je bilo do zdaj izrečenih le nekaj kazni. Na uveljavitev novih zahtev čakajo še tri leta
Vsebovan v V4.0, se zdi, da pomeni pomanjkanje lastništva, ki si ga nekatere spremembe zaslužijo, in je veliko preveč tvegano.

Vem, da to ne pomeni, da podjetja še niso uvedla nekaterih ali vseh posodobitev. Vendar pa bodo za tiste, ki tega niso storili, izvajanje teh posodobitev zahtevalo naložbo in načrtovanje, zato mora biti PCI DSS V4.0 za te namene bolj specifičen.
Na primer, če se je treba na varnostne napake odzvati "takoj", ali to pomeni 24 ur, 24 dni ali 24 mesecev? Menim, da bi bilo zainteresiranim stranem veliko bolje, če bi imeli natančnejše roke.

Medtem ko PCI DSS V4.0 predstavlja dobro osnovo za napredek standarda, bi ga bilo treba uvesti bolj nujno. Res je, da je treba obravnavati veliko sprememb, vendar bi bila boljša strategija sprejeti postopen pristop, tj.
zahtevati takoj, čez 12 mesecev, 24 mesecev in 36 mesecev, namesto da bi rekli, da morajo vsi začeti veljati čez tri leta.

Brez teh navodil je verjetno, da bodo nekatere organizacije te projekte odložile in jih pregledale čez dve leti, ko se bo približal rok izvedbe načrta. Vendar je v dobi, ko je kriminal s plačilnimi karticami še vedno vseprisotno tveganje, le malo
pridobiti z zamudo.