Ny uppdatering av betalningssäkerhetsstandarder saknar känsla av brådska (Donnie MacColl)

När covid drabbade företag runt om i världen, och butiker antingen stängdes eller inte längre accepterade kontanter som den föredragna betalningsmetoden, såg vi en dramatisk ökning av betalkortsdatavolymen. Snabbspolning framåt till idag, och volymen av onlinetransaktioner och
användningen av kassamaskiner fortsätter att öka. Eftersom det mesta av data lagras i molnet ökar möjligheterna för cyberattacker samtidigt, vilket innebär att den tidigare versionen av Payment Card Industry Data Security Standard (PCI DSS)
är inte längre tillräckligt.

Sedan 2004 har PCI DSS sett till att organisationer som bearbetar eller lagrar kreditkortsinformation kan göra det säkert. Efter pandemin var vägledningen om säkerhetskontroller i akut behov av en uppdatering. Det är då den nya versionen – PCI DSS v4.0 –
tillkännagavs. Medan företag har två år på sig att planera sin implementering måste de flesta finansiella företag ha allt på plats senast i mars 2025. Det finns dock en risk att arbeta till en lång tidsfrist eftersom det inte skapar en känsla av brådska, och många
av säkerhetsuppdateringarna som ingår i den nya standarden är praxis som företag redan borde ha implementerat.

Till exempel, "8.3.6 – Minsta komplexitetsnivå för lösenord när de används som en autentiseringsfaktor" eller "5.4.1 - Mekanismer finns på plats för att upptäcka och skydda personal mot nätfiskeattacker" listas som "icke-brådskande uppdateringar att implementera" på 36 månader”.
Med den höga nivån av cyberhot efter den rysk-ukrainska konflikten är denna tidsram inte tillräckligt snabb för att höja nivån på cyberskydd som behövs av finansiella institutioner och detaljhandelsföretag, vilket utgör ett verkligt hot mot kunddata och integritet.

För att bryta ner det ytterligare finns det några viktiga och intressanta siffror som illustrerar både dess omfattning och begränsningar:

• 51 och 2025 illustrerar kärnproblemen kring PCI DSS V4.0 – 51 är antalet föreslagna ändringar som klassas som "best practice" mellan nu och 2025 när de tillämpas, vilket är tre år bort!

Låt oss titta närmare på de 13 omedelbara förändringarna för alla V4.0-bedömningar, som inkluderar poster som "Roller och ansvar för att utföra aktiviteter dokumenteras, tilldelas och förstås". Dessa omfattar 10 av de 13 omedelbara förändringarna, vilket innebär
Huvuddelen av de "brådskande uppdateringarna" är i grunden ansvarspunkter, där företag accepterar att de borde göra något.

Och låt oss nu titta på uppdateringarna som "måste vara effektiva i mars 2025":

• 5.3.3: Anti-malware skanningar utförs när flyttbara elektroniska medier används

• 5.4.1: Mekanismer finns på plats för att upptäcka och skydda personal mot nätfiskeattacker.

• 7.2.4: Granska alla användarkonton och relaterade åtkomstbehörigheter på lämpligt sätt.

• 8.3.6: Lägsta komplexitetsnivå för lösenord när de används som autentiseringsfaktor.

• 8.4.2: Flerfaktorsautentisering för all åtkomst till CDE (Kortinnehavarens datamiljö)

• 10.7.3: Fel i kritiska säkerhetskontrollsystem åtgärdas omedelbart

Det här är bara sex av de 51 "icke-brådskande" uppdateringarna, och jag tycker att det är otroligt att upptäckten av nätfiskeattacker och användning av skanningar mot skadlig programvara är en del av den listan. I dag, med nätfiskeattacker på den högsta nivån någonsin, skulle jag förvänta mig alla globala finanser
institution med känsliga uppgifter att skydda för att ha dessa på plats som väsentliga krav, inte något att ha på plats om tre år.

Trots hoten om enorma böter och risken att få kreditkort som betalningsmetod indragna om organisationer misslyckades med att följa PCI-standarder, har bara ett fåtal påföljder vidtagits hittills. Väntar ytterligare tre år på att implementera de nya kraven
som finns i V4.0 verkar innebära en brist på ägande som vissa av ändringarna förtjänar och är alldeles för riskfyllda.

Jag förstår att det inte betyder att företag inte redan har implementerat några eller alla uppdateringarna. Men för dem som inte har gjort det kommer det att kräva investeringar och planering för att genomföra dessa uppdateringar, och för dessa ändamål måste PCI DSS V4.0 vara mer specifik.
Till exempel, om säkerhetsfel måste åtgärdas "prompt", betyder det 24 timmar, 24 dagar eller 24 månader? Jag tror att intressenter skulle vara mycket bättre betjänta med mer specifika tidsfrister.

Även om PCI DSS V4.0 utgör en bra grund för att flytta standarden framåt, borde den ha implementerats med större brådska. Visst, det finns många förändringar att ta itu med, men en bättre strategi vore att anta ett stegvis tillvägagångssätt, dvs prioritera förändringar
krävs omedelbart, om 12 månader, 24 månader och 36 månader från och med nu i stället för att säga att de alla måste träda i kraft om tre år.

Utan denna vägledning är det troligt att vissa organisationer kommer att lägga ned dessa projekt för att ses över om två år när tidsfristen för genomförandeplanen närmar sig. Men i en tid då betalkortsbrott fortsätter att vara en allmänt förekommande risk finns det lite
att vinna på förseningar.