Bản cập nhật tiêu chuẩn bảo mật thanh toán mới thiếu cảm giác khẩn cấp (Donnie MacColl)

Khi COVID tấn công các doanh nghiệp trên toàn thế giới và các cửa hàng đóng cửa hoặc không còn chấp nhận tiền mặt làm phương thức thanh toán ưu tiên, chúng tôi đã thấy khối lượng dữ liệu thẻ thanh toán tăng lên đáng kể. Chuyển nhanh đến ngày hôm nay, khối lượng giao dịch trực tuyến và
việc sử dụng máy bán hàng tiếp tục tăng cao. Vì hầu hết dữ liệu được lưu trữ trên đám mây nên cơ hội cho các cuộc tấn công mạng cũng tăng lên cùng lúc, điều đó có nghĩa là phiên bản trước của Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS)
không còn đủ.

Từ năm 2004, PCI DSS đã đảm bảo rằng các tổ chức xử lý hoặc lưu trữ thông tin thẻ tín dụng có thể thực hiện việc đó một cách an toàn. Sau đại dịch, hướng dẫn về kiểm soát an ninh cần được cập nhật khẩn cấp. Đây là lúc phiên bản mới – PCI DSS v4.0 –
đã được công bố. Trong khi các công ty có hai năm để lên kế hoạch thực hiện, hầu hết các doanh nghiệp tài chính phải chuẩn bị sẵn sàng mọi thứ trước tháng 2025 năm XNUMX. Tuy nhiên, sẽ có rủi ro khi làm việc theo thời hạn dài vì nó không tạo được cảm giác cấp bách và nhiều công ty phải chuẩn bị sẵn sàng mọi thứ.
trong số các bản cập nhật bảo mật có trong tiêu chuẩn mới là những biện pháp mà các doanh nghiệp đáng lẽ phải triển khai.

Ví dụ: “8.3.6 – Mức độ phức tạp tối thiểu đối với mật khẩu khi được sử dụng làm yếu tố xác thực” hoặc “5.4.1 – Có sẵn các cơ chế để phát hiện và bảo vệ nhân viên khỏi các cuộc tấn công lừa đảo” được liệt kê là “các bản cập nhật không khẩn cấp cần triển khai trong 36 tháng”.
Với mức độ đe dọa mạng cao sau cuộc xung đột Nga-Ukraina, khung thời gian này không đủ nhanh để nâng cao mức độ bảo vệ mạng cần thiết cho các tổ chức tài chính và doanh nghiệp bán lẻ, gây ra mối đe dọa thực sự đối với dữ liệu và quyền riêng tư của khách hàng.

Để chia nhỏ hơn nữa, có một số con số quan trọng và thú vị minh họa cả phạm vi và giới hạn của nó:

• 51 và 2025 minh họa các vấn đề cốt lõi xung quanh PCI DSS V4.0 - 51 là số lượng các thay đổi được đề xuất được xếp vào loại “phương pháp hay nhất” từ nay đến năm 2025 khi chúng được thực thi, tức là còn ba năm nữa!

Chúng ta hãy xem xét kỹ hơn 13 thay đổi ngay lập tức đối với tất cả các đánh giá V4.0, bao gồm các mục như “Vai trò và trách nhiệm thực hiện các hoạt động được ghi lại, phân công và hiểu rõ”. Những thay đổi này bao gồm 10 trong số 13 thay đổi ngay lập tức, có nghĩa là
phần lớn các “cập nhật khẩn cấp” về cơ bản là các điểm giải trình, nơi các công ty chấp nhận rằng họ nên làm điều gì đó.

Và bây giờ chúng ta hãy xem xét các bản cập nhật “cần có hiệu lực vào tháng 2025 năm XNUMX”:

• 5.3.3: Quét chống phần mềm độc hại được thực hiện khi sử dụng phương tiện điện tử có thể tháo rời

• 5.4.1: Có các cơ chế để phát hiện và bảo vệ nhân viên chống lại các cuộc tấn công lừa đảo.

• 7.2.4: Xem xét tất cả các tài khoản người dùng và các đặc quyền truy cập liên quan một cách thích hợp.

• 8.3.6: Mức độ phức tạp tối thiểu của mật khẩu khi được sử dụng làm yếu tố xác thực.

• 8.4.2: Xác thực đa yếu tố cho tất cả quyền truy cập vào CDE (Môi trường dữ liệu chủ thẻ)

• 10.7.3: Các lỗi của hệ thống kiểm soát an ninh quan trọng được phản hồi kịp thời

Đây chỉ là sáu trong số 51 bản cập nhật “không khẩn cấp” và tôi thấy thật khó tin rằng việc phát hiện các cuộc tấn công lừa đảo và sử dụng tính năng quét chống phần mềm độc hại lại nằm trong danh sách đó. Ngày nay, với các cuộc tấn công lừa đảo ở mức cao nhất mọi thời đại, tôi mong đợi bất kỳ hoạt động tài chính toàn cầu nào
tổ chức có dữ liệu nhạy cảm cần bảo vệ để có được những dữ liệu này như những yêu cầu thiết yếu, không phải thứ gì đó phải có trong thời gian ba năm.

Bất chấp mối đe dọa về các khoản tiền phạt khổng lồ và nguy cơ bị rút thẻ tín dụng làm phương thức thanh toán nếu các tổ chức không tuân thủ các tiêu chuẩn PCI, cho đến nay chỉ có một số hình phạt được thực hiện. Chờ thêm 3 năm nữa mới thực hiện được yêu cầu mới
có trong V4.0 dường như ngụ ý thiếu quyền sở hữu đối với một số thay đổi xứng đáng và quá rủi ro.

Tôi đánh giá cao điều đó không có nghĩa là các công ty chưa triển khai một số hoặc tất cả các bản cập nhật. Tuy nhiên, đối với những người chưa có, việc thực hiện các bản cập nhật đó sẽ cần phải đầu tư và lập kế hoạch, và vì những mục đích này, PCI DSS V4.0 cần phải cụ thể hơn.
Ví dụ: nếu lỗi bảo mật cần được phản hồi “kịp thời”, điều đó có nghĩa là 24 giờ, 24 ngày hay 24 tháng? Tôi tin rằng các bên liên quan sẽ được phục vụ tốt hơn nhiều với thời hạn cụ thể hơn.

Mặc dù PCI DSS V4.0 là cơ sở tốt để phát triển tiêu chuẩn này nhưng lẽ ra nó phải được triển khai với mức độ khẩn cấp cao hơn. Đúng là có rất nhiều thay đổi cần giải quyết, nhưng chiến lược tốt hơn sẽ là áp dụng cách tiếp cận theo từng giai đoạn, tức là ưu tiên những thay đổi
được yêu cầu ngay lập tức, trong 12 tháng, 24 tháng và 36 tháng kể từ bây giờ thay vì nói rằng tất cả chúng phải có hiệu lực trong thời gian ba năm.

Nếu không có hướng dẫn này, rất có thể một số tổ chức sẽ gác lại các dự án này để xem xét sau hai năm nữa khi thời hạn kế hoạch thực hiện đến gần. Tuy nhiên, trong thời đại mà tội phạm thẻ thanh toán tiếp tục là một rủi ro phổ biến, có rất ít
thu được từ sự chậm trễ.