เนื่องจากโควิดส่งผลกระทบต่อธุรกิจทั่วโลก และร้านค้าต่าง ๆ ปิดตัวลงหรือไม่รับเงินสดเป็นวิธีการชำระเงินที่ต้องการอีกต่อไป เราพบว่าปริมาณข้อมูลบัตรสำหรับชำระเงินเพิ่มขึ้นอย่างมาก กรอไปข้างหน้าถึงวันนี้และปริมาณธุรกรรมออนไลน์และ
การใช้เครื่องจักร ณ จุดขายยังคงเพิ่มขึ้นอย่างต่อเนื่อง เนื่องจากข้อมูลส่วนใหญ่ถูกเก็บไว้ในคลาวด์ โอกาสในการโจมตีทางไซเบอร์จึงเพิ่มขึ้นพร้อมๆ กัน ซึ่งหมายความว่าเวอร์ชันก่อนหน้าของ Payment Card Industry Data Security Standard (PCI DSS)
ไม่เพียงพออีกต่อไป
ตั้งแต่ปี 2004 เป็นต้นมา PCI DSS ได้รับรองว่าองค์กรที่ประมวลผลหรือจัดเก็บข้อมูลบัตรเครดิตสามารถทำได้อย่างปลอดภัย หลังการแพร่ระบาด คำแนะนำในการควบคุมความปลอดภัยจำเป็นต้องได้รับการปรับปรุงอย่างเร่งด่วน นี่คือเมื่อเวอร์ชันใหม่ – PCI DSS v4.0 –
ได้รับการประกาศ ในขณะที่บริษัทต่างๆ มีเวลาสองปีในการวางแผนการดำเนินงาน ธุรกิจทางการเงินส่วนใหญ่ต้องมีทุกอย่างภายในเดือนมีนาคม 2025 อย่างไรก็ตาม มีความเสี่ยงในการทำงานจนถึงเส้นตายที่ต้องรอนาน เนื่องจากไม่สามารถสร้างความรู้สึกเร่งด่วนได้ และหลายๆ
ของการอัปเดตความปลอดภัยที่รวมอยู่ในมาตรฐานใหม่นั้นเป็นแนวทางปฏิบัติที่ธุรกิจต่างๆ ควรดำเนินการไปแล้ว
ตัวอย่างเช่น “8.3.6 – ระดับความซับซ้อนขั้นต่ำสำหรับรหัสผ่านเมื่อใช้เป็นปัจจัยรับรองความถูกต้อง” หรือ “5.4.1 – มีกลไกในการตรวจจับและปกป้องบุคลากรจากการโจมตีแบบฟิชชิ่ง” ถูกระบุว่าเป็น “การอัปเดตที่ไม่เร่งด่วนเพื่อนำไปใช้ ใน 36 เดือน”
ด้วยภัยคุกคามทางไซเบอร์ในระดับสูงหลังจากความขัดแย้งระหว่างรัสเซียและยูเครน กรอบเวลานี้จึงไม่เร็วพอที่จะยกระดับการป้องกันทางไซเบอร์ที่จำเป็นสำหรับสถาบันการเงินและธุรกิจค้าปลีก ซึ่งก่อให้เกิดภัยคุกคามต่อข้อมูลลูกค้าและความเป็นส่วนตัวอย่างแท้จริง
เพื่อแยกย่อยให้ดียิ่งขึ้นไปอีก มีตัวเลขที่สำคัญและน่าสนใจบางส่วนที่แสดงให้เห็นทั้งขอบเขตและข้อจำกัด:
-
51 และ 2025 แสดงให้เห็นปัญหาหลักที่อยู่รอบ ๆ PCI DSS V4.0 – 51 คือจำนวนของการเปลี่ยนแปลงที่เสนอซึ่งจัดอยู่ในประเภท "แนวปฏิบัติที่ดีที่สุด" ระหว่างตอนนี้และปี 2025 เมื่อมีผลบังคับใช้ ซึ่งอยู่ห่างออกไปสามปี!
มาดูการเปลี่ยนแปลงในทันทีทั้ง 13 ประการสำหรับการประเมิน V4.0 ทั้งหมด ซึ่งรวมถึงรายการต่างๆ เช่น “บทบาทและความรับผิดชอบในการดำเนินกิจกรรมได้รับการจัดทำเป็นเอกสาร มอบหมาย และทำความเข้าใจ” เหล่านี้ประกอบด้วยการเปลี่ยนแปลงในทันที 10 จาก 13 ประการ ซึ่งหมายความว่า
"การอัปเดตอย่างเร่งด่วน" ส่วนใหญ่เป็นประเด็นเกี่ยวกับความรับผิดชอบ ซึ่งบริษัทต่างๆ ยอมรับว่าควรทำอะไรบางอย่าง
และตอนนี้เรามาดูการอัปเดตที่ “จำเป็นต้องมีผลภายในเดือนมีนาคม 2025”:
-
5.3.3: การสแกนป้องกันมัลแวร์จะดำเนินการเมื่อมีการใช้งานสื่ออิเล็กทรอนิกส์แบบถอดได้
-
5.4.1: มีกลไกในการตรวจจับและปกป้องบุคลากรจากการโจมตีแบบฟิชชิ่ง
-
7.2.4: ตรวจสอบบัญชีผู้ใช้ทั้งหมดและสิทธิ์การเข้าถึงที่เกี่ยวข้องอย่างเหมาะสม
-
8.3.6: ระดับความซับซ้อนขั้นต่ำสำหรับรหัสผ่านเมื่อใช้เป็นปัจจัยรับรองความถูกต้อง
-
8.4.2: การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับการเข้าถึง CDE ทั้งหมด (สภาพแวดล้อมข้อมูลผู้ถือบัตร)
-
10.7.3: ความล้มเหลวของระบบควบคุมความปลอดภัยที่สำคัญได้รับการตอบกลับทันที
นี่เป็นเพียงหกจาก 51 การอัปเดต "ไม่เร่งด่วน" และฉันพบว่าไม่น่าเชื่อว่าการตรวจจับการโจมตีแบบฟิชชิ่งและการใช้การสแกนป้องกันมัลแวร์เป็นส่วนหนึ่งของรายการนั้น ทุกวันนี้ ด้วยการโจมตีแบบฟิชชิ่งที่สูงเป็นประวัติการณ์ ฉันคาดหวังทางการเงินจากทั่วโลกได้เลย
สถาบันที่มีข้อมูลที่ละเอียดอ่อนเพื่อปกป้องให้มีสิ่งเหล่านี้เป็นข้อกำหนดที่จำเป็น ไม่ใช่สิ่งที่ต้องมีในเวลาสามปี
แม้จะมีการคุกคามของค่าปรับจำนวนมากและความเสี่ยงในการถูกเพิกถอนบัตรเครดิตเป็นวิธีการชำระเงินหากองค์กรไม่ปฏิบัติตามมาตรฐาน PCI แต่ยังคงมีการลงโทษเพียงไม่กี่ครั้งเท่านั้น รออีกสามปีเพื่อดำเนินการตามข้อกำหนดใหม่
ที่มีอยู่ใน V4.0 ดูเหมือนจะบ่งบอกถึงการขาดความเป็นเจ้าของที่การเปลี่ยนแปลงบางอย่างสมควรได้รับและมีความเสี่ยงมากเกินไป
ฉันขอขอบคุณที่ไม่ได้หมายความว่าบริษัทต่างๆ ยังไม่ได้ดำเนินการอัปเดตบางส่วนหรือทั้งหมด อย่างไรก็ตาม สำหรับผู้ที่ไม่มี การดำเนินการอัปเดตเหล่านั้นจะต้องมีการลงทุนและการวางแผน และสำหรับวัตถุประสงค์เหล่านี้ PCI DSS V4.0 จะต้องมีความเฉพาะเจาะจงมากขึ้น
ตัวอย่างเช่น หากจำเป็นต้องตอบสนองต่อความล้มเหลวด้านความปลอดภัย "ทันที" นั่นหมายความว่า 24 ชั่วโมง 24 วันหรือ 24 เดือนหรือไม่ ฉันเชื่อว่าผู้มีส่วนได้ส่วนเสียจะได้รับบริการที่ดีกว่ามากโดยมีกำหนดเวลาที่เฉพาะเจาะจงมากขึ้น
แม้ว่า PCI DSS V4.0 จะเป็นพื้นฐานที่ดีในการขับเคลื่อนมาตรฐานไปข้างหน้า แต่ก็ควรได้รับการดำเนินการด้วยความเร่งด่วนที่มากขึ้น จริงอยู่ มีการเปลี่ยนแปลงมากมายในการแก้ไข แต่กลยุทธ์ที่ดีกว่าคือการใช้แนวทางแบบแบ่งระยะ นั่นคือ จัดลำดับความสำคัญของการเปลี่ยนแปลง
บังคับทันที ใน 12 เดือน 24 เดือน และ 36 เดือนต่อจากนี้ แทนที่จะบอกว่าทุกอย่างต้องมีผลภายในเวลาสามปี
หากไม่มีคำแนะนำนี้ เป็นไปได้ว่าบางองค์กรจะระงับโครงการเหล่านี้เพื่อพิจารณาในอีกสองปีเมื่อกำหนดเส้นตายของแผนการดำเนินงานใกล้ถึง อย่างไรก็ตาม ในยุคที่อาชญากรรมบัตรชำระเงินยังคงมีความเสี่ยงอยู่ทุกหนทุกแห่งมีน้อย
ที่จะได้รับจากความล่าช้า