Video: HO PUBBLICATO LA MIA CARTA DI CREDITO: COSA AVETE COMPRATO? | GIANMARCO ZAGATO (Novembre 2024)
Le recenti violazioni dei dati presso Target, Neiman Marcus e altri punti vendita hanno dimostrato che la conformità agli standard del settore non si traduce in una migliore sicurezza. Quindi perché stiamo sprecando il nostro tempo con una lista di controllo?
Gli aggressori hanno intercettato i dettagli delle carte di pagamento mentre le carte venivano spostate e prima che le informazioni potessero essere crittografate, i dirigenti Target e Neiman Marcus hanno testimoniato il 5 febbraio alla sottocommissione per il commercio, la produzione e il commercio del comitato per l'energia e il commercio della Camera. "Le informazioni sono state raccolte immediatamente dopo lo scorrimento: millisecondi prima di essere trasmesse attraverso tunnel crittografati per l'elaborazione", ha affermato Michael Kingston, vicepresidente senior e CIO di Neiman Marcus.
Quando le carte vengono trascinate, le informazioni dalla banda magnetica non vengono crittografate. L'unico modo per contrastare il malware sui terminali dei punti vendita dei rivenditori dall'acquisizione delle informazioni è quello di avere i dati crittografati fin dall'inizio. Il fatto è che la crittografia end-to-end non è attualmente richiesta dalle normative del settore, il che significa che questo divario non andrà via in qualunque momento presto.
Anche il passaggio da schede a banda magnetica a schede a chip EMV non risolverebbe il problema della crittografia end-to-end, poiché i dati vengono comunque trasmessi in chiaro nel punto in cui vengono spostati. È necessario adottare le carte EMV, ma non sarà sufficiente se le organizzazioni non pensano anche a rafforzare tutti gli aspetti delle loro difese di sicurezza.
PCI-DSS non funziona
I rivenditori - qualsiasi organizzazione che gestisce i dati di pagamento, in realtà - sono tenuti a rispettare lo standard di sicurezza dei dati dell'industria dei pagamenti (PCI-DSS) per garantire che le informazioni dei consumatori vengano archiviate e trasmesse in modo sicuro. PCI-DSS ha molte regole, come assicurarsi che i dati siano crittografati, installare un firewall e non usare password predefinite, tra gli altri. Sembra una buona idea sulla carta, ma come hanno dimostrato diverse recenti violazioni dei dati, aderire a questi mandati di sicurezza non significa che la società non verrà mai violata.
"Chiaramente, la conformità PCI non funziona molto bene, nonostante miliardi di dollari spesi dai commercianti e dai processori di carte negli sforzi per raggiungerlo", ha scritto Avivah Litan, vicepresidente e illustre analista di Gartner, in un post del blog il mese scorso.
Lo standard si concentra sulle misure difensive convenzionali e non ha tenuto il passo con gli ultimi vettori di attacco. Gli aggressori nell'ultima serie di violazioni dei rivenditori hanno utilizzato malware che ha eluso il rilevamento antivirus e i dati crittografati prima di trasferirli su server esterni. "Nulla di ciò che so nello standard PCI avrebbe potuto catturare questa roba", ha detto Litan.
Litan ha dato la colpa per le violazioni direttamente alle banche emittenti e alle reti di carte (Visa, MasterCard, Amex, Discover) "per non aver fatto di più per prevenire i debacles". Per lo meno, avrebbero dovuto aggiornare l'infrastruttura dei sistemi di pagamento per supportare la crittografia end-to-end (dal rivenditore all'emittente) per i dati delle carte, più o meno allo stesso modo in cui i PIN sono gestiti dagli sportelli automatici, ha detto Litan.
Conforme non è sicurezza
Nessuno sembra prendere sul serio l'adesivo conforme PCI. Il rapporto di conformità PCI Verizon 2014 appena pubblicato ha rilevato che solo l'11% delle organizzazioni era pienamente conforme agli standard del settore delle carte di pagamento. Il rapporto ha rilevato che molte organizzazioni impiegano molto tempo ed energie per passare la valutazione, ma una volta fatto, non hanno potuto o non sono riusciti a tenere il passo con le attività di manutenzione per rimanere conformi.
In effetti, JD Sherry, direttore della tecnologia e delle soluzioni pubbliche di Trend Micro, ha definito Michaels e Neiman Marcus come "recidivi".
Ancora più inquietante, circa l'80 percento delle organizzazioni ha incontrato "almeno l'80 percento" delle regole di conformità nel 2013. Essere "per lo più" conformi suona sospettosamente come "non realmente" conforme, poiché esiste un buco spalancato da qualche parte nell'infrastruttura.
"Un malinteso comune è che PCI è stato progettato per essere un vero toccasana per la sicurezza", ha testimoniato Phillip Smith, vicepresidente senior di Trustwave, in udienza.
Quindi perché continuiamo a rimanere con PCI? Tutto ciò che fa è togliere le banche e VISA / MasterCard dal dovere di fare qualsiasi cosa per migliorare la nostra sicurezza complessiva.
Focus sulla sicurezza effettiva
Gli esperti di sicurezza hanno ripetutamente avvertito che concentrarsi su un elenco di requisiti significa che le organizzazioni non notano le lacune e non sono in grado di adattarsi ai metodi di attacco in evoluzione. "Esiste una differenza tra conformità e sicurezza", ha osservato il rappresentante Marsha Blackburn (R-Tenn) all'udienza della Camera.
Sappiamo che Target ha investito nella tecnologia e un buon team di sicurezza. La società ha anche speso molto tempo e denaro per raggiungere e dimostrare la conformità. E se invece Target avesse potuto dedicare tutto questo sforzo a misure di sicurezza non menzionate in PCI, come l'adozione di tecnologie sandboxing o addirittura la segmentazione della rete in modo tale che i sistemi sensibili fossero murati?
E se invece di passare i prossimi mesi a documentare e mostrare come le loro attività si associano alla lista di controllo PCI, i rivenditori potrebbero concentrarsi sull'adozione di più livelli di sicurezza agili e in grado di adattarsi agli attacchi in evoluzione?
Che cosa succede se, invece dei rivenditori e delle singole organizzazioni che si preoccupano del PCI, riteniamo responsabili le banche e le reti di carte? Fino ad allora, continueremo a vedere più di queste violazioni.