У новому оновленні стандартів безпеки платежів бракує відчуття терміновості (Донні МакКолл)

Оскільки COVID-XNUMX вразив компанії в усьому світі, а магазини або закрилися, або більше не приймали готівку як спосіб оплати, ми побачили різке збільшення обсягу даних платіжних карток. Перемотуємось до сьогоднішнього дня, і обсяг онлайн-транзакцій і
використання торговельних автоматів продовжує стрімко зростати. Оскільки більшість даних зберігається в хмарі, можливості для кібератак одночасно зростають, а це означає, що попередня версія стандарту безпеки даних індустрії платіжних карток (PCI DSS)
вже недостатньо.

З 2004 року PCI DSS гарантує, що організації, які обробляють або зберігають інформацію про кредитні картки, можуть робити це безпечно. Після пандемії вказівки щодо засобів контролю безпеки потребували термінового оновлення. Це коли нова версія – PCI DSS v4.0 –
було оголошено. У той час як у компаній є два роки, щоб спланувати їх впровадження, більшість фінансових підприємств повинні мати все на місці до березня 2025 року. Однак існує ризик працювати до довгострокового терміну, оскільки це не створює відчуття терміновості, і багато
оновлень безпеки, включених до нового стандарту, є практиками, які підприємства повинні вже впровадити.

Наприклад, «8.3.6 – Мінімальний рівень складності для паролів, коли вони використовуються як фактор автентифікації» або «5.4.1 – Існують механізми для виявлення та захисту персоналу від фішингових атак» перераховані як «нетермінові оновлення для впровадження». через 36 місяців».
Зважаючи на високий рівень кіберзагроз після російсько-українського конфлікту, цей термін недостатньо швидкий, щоб підвищити рівень кіберзахисту, необхідного фінансовим установам і підприємствам роздрібної торгівлі, що створює реальну загрозу для даних клієнтів і конфіденційності.

Щоб розбити його ще більше, є кілька важливих і цікавих цифр, які ілюструють його масштаб і обмеження:

• 51 і 2025 ілюструють основні проблеми, пов’язані з PCI DSS V4.0 – 51 – це кількість запропонованих змін, які класифікуються як «найкраща практика» від сьогодні до 2025 року, коли вони будуть введені в дію, тобто через три роки!

Давайте детальніше розглянемо 13 негайних змін для всіх оцінок версії 4.0, які включають такі пункти, як «Ролі та обов’язки для виконання діяльності задокументовані, призначені та зрозумілі». Вони включають 10 із 13 негайних змін, що означає
основна частина «термінових оновлень» — це, в основному, пункти підзвітності, коли компанії визнають, що вони повинні щось робити.

А тепер давайте подивимося на оновлення, які «мають набути чинності до березня 2025 року»:

• 5.3.3: Сканування зловмисного програмного забезпечення виконується, коли використовується знімний електронний носій

• 5.4.1: Наявні механізми для виявлення та захисту персоналу від фішингових атак.

• 7.2.4: належним чином перевірте всі облікові записи користувачів і відповідні привілеї доступу.

• 8.3.6: Мінімальний рівень складності для паролів, які використовуються як фактор автентифікації.

• 8.4.2: Багатофакторна автентифікація для всього доступу до CDE (середовище даних власника картки)

• 10.7.3: Негайне реагування на збої критичних систем контролю безпеки

Це лише шість із 51 «нетермінового» оновлення, і я вважаю неймовірним, що виявлення фішингових атак і використання сканування для захисту від шкідливих програм є частиною цього списку. Сьогодні, коли кількість фішингових атак досягла рекордно високого рівня, я б очікував будь-яких глобальних фінансів
інституції з конфіденційними даними, які необхідно захистити, щоб мати їх на місці як основні вимоги, а не те, що має бути на місці через три роки.

Незважаючи на загрози величезних штрафів і ризик вилучення кредитних карток як методу оплати, якщо організації не дотримуватимуться стандартів PCI, наразі було застосовано лише кілька покарань. Чекати ще три роки, щоб запровадити нові вимоги
міститься у версії 4.0, здається, означає відсутність права власності, на що заслуговують деякі зміни, і є надто ризикованим.

Я розумію, що це не означає, що компанії ще не впровадили деякі або всі оновлення. Однак для тих, хто цього не зробив, виконання цих оновлень вимагатиме інвестицій і планування, і для цих цілей PCI DSS V4.0 має бути більш конкретним.
Наприклад, якщо на збої в системі безпеки потрібно реагувати «негайно», чи означає це 24 години, 24 дні чи 24 місяці? Я вважаю, що зацікавленим сторонам було б набагато краще обслуговувати більш конкретні терміни.

Хоча PCI DSS V4.0 є хорошою основою для просування стандарту вперед, його слід було впроваджувати з більшою терміновістю. Звичайно, є багато змін, які потрібно внести, але кращою стратегією було б прийняти поетапний підхід, тобто визначити пріоритети змін
вимагається негайно, через 12 місяців, 24 місяці та 36 місяців, замість того, щоб говорити, що всі вони мають набути чинності через три роки.

Без цих вказівок, імовірно, деякі організації відкладуть ці проекти на полицю, щоб розглянути їх через два роки, коли наближається кінцевий термін впровадження плану. Однак в епоху, коли злочини з платіжними картками залишаються повсюдним ризиком, цього небагато
отримати від затримки.