Vídeo: Pub Credit Mutuel (toby le chien) (Setembre 2024)
Els recents incompliments de dades a Target, Neiman Marcus i altres punts de venda han demostrat que el compliment dels estàndards de la indústria no es tradueix en una millor seguretat. Per què perdem el temps amb una llista de comprovació?
Els atacants van interceptar els detalls de la targeta de pagament mentre es van arrossegar i abans que la informació es pogués xifrar, els executius de Target i Neiman Marcus van testificar el 5 de febrer a la Subcomissió de Comerç, Fabricació i Comerç del Comitè Energy and Commerce House. "La informació es va raspar immediatament després de la presa de mil·lisegons abans de ser enviada a través de túnels xifrats per a la seva tramitació", va dir Michael Kingston, vicepresident i CIO a Neiman Marcus.
Quan es fa saltar les targetes, la informació de la banda magnètica no es xifra. L’única manera de frustrar el programari maliciós dels terminals punt de venda dels comerciants per agafar la informació és tenir les dades xifrades des del primer moment. El cas és que actualment el xifratge de punta a punt no està obligat per la normativa de la indústria, la qual cosa significa que aquesta bretxa no desapareixerà aviat.
Fins i tot passar de targetes de banda magnètica a targetes de xip EMV no resoldria el problema de xifratge de punta a extrem, ja que les dades encara es transmeten en text clar en el punt que es passa a l’altre. L’adopció de les targetes EMV és necessària, però no serà suficient si les organitzacions no pensen també en reforçar tots els aspectes de les seves defenses de seguretat.
PCI-DSS no funciona
Els minoristes (qualsevol organització que gestiona les dades de pagament, de debò) han de complir l'estàndard de seguretat de dades de la indústria de targetes de pagament (PCI-DSS) per assegurar que la informació del consumidor s'emmagatzema i es transmet de forma segura. PCI-DSS té moltes normes, com ara assegurar-se que les dades es xifren, instal·lar un tallafoc i no utilitzar contrasenyes per defecte, entre d’altres. Sembla una bona idea al paper, però com han demostrat diverses infraccions de dades recents, el fet d’adherir-se a aquests mandats de seguretat no significa que l’empresa mai s’incompleixi.
"És evident que el compliment de PCI no funciona gaire bé, malgrat els milers de milions de dòlars gastats pels comerciants i els processadors de targetes en els seus esforços", va escriure Avivah Litan, vicepresident i distingit analista de Gartner el mes passat.
L’estàndard se centra en les mesures defensives convencionals i no ha estat al dia dels últims vectors d’atac. Els atacants de la darrera ronda d’incompliments al detall han utilitzat programari maliciós que evatava la detecció d’antivirus i xifraven les dades abans de transferir-ho a servidors externs. "Res del que sé de l'estàndard PCI podria haver capturat aquestes coses", va dir Litan.
Litan va acusar totalment els incompliments als bancs emissors de targetes i a les xarxes de targetes (Visa, MasterCard, Amex, Discover) "per no fer més coses per evitar les debates". Com a mínim, haurien d'haver actualitzat la infraestructura de sistemes de pagament per donar suport al xifratge de final de finalitat (distribuïdor a emissor) per a les dades de la targeta, de la mateixa manera que es gestionen els PIN en els caixers automàtics, va dir Litan.
El compliment no és seguretat
Ningú sembla que es prengui seriosament l’adhesiu que compleix PCI. El recent llançat informe de compliment de PCI Verizon 2014 va comprovar que només un 11 per cent de les organitzacions complien plenament els estàndards de la indústria de targetes de pagament. L'informe va trobar que moltes organitzacions dediquen molt temps i energia a aprovar l'avaluació, però un cop realitzades, no van seguir -o no van poder- seguir les tasques de manteniment per mantenir-se en compliment.
De fet, JD Sherry, director de tecnologia i solucions públiques de Trend Micro, va cridar a Michaels i a Neiman Marcus com a "reincidents".
Encara més inquietant, al voltant del 80 per cent de les organitzacions van complir "almenys el 80 per cent" de les normes de compliment el 2013. Ser "majoritàriament" conformes sona de manera sospitosa com "no" realment conforme, ja que hi ha un forat obert en algun lloc de la infraestructura.
"Una concepció errònia comuna és que PCI va ser dissenyat com a solució per a la seguretat", va declarar Phillip Smith, vicepresident sènior de Trustwave a la vista de la casa.
Llavors, per què seguim mantenint el PCI? Tot el que fa és aconseguir que els bancs i VISA / MasterCard no hagin de fer res per millorar la nostra seguretat global.
Centrat en la seguretat real
Els experts en seguretat han advertit repetidament que centrar-se en una llista de requisits significa que les organitzacions no es veuen les llacunes i no es poden adaptar als mètodes d’atac en evolució. "Hi ha una diferència entre el compliment i la seguretat", va assenyalar la representant Marsha Blackburn (R-Tenn) a la vista de la casa.
Sabem que Target ha invertit en la tecnologia i un bon equip de seguretat. L’empresa també ha dedicat molt temps i diners a aconseguir i demostrar el seu compliment. Què passaria si, en canvi, Target hauria invertit tot aquest esforç en mesures de seguretat no mencionades en PCI, com ara l’adopció de tecnologies de sandboxing o fins i tot la segmentació de la xarxa de manera que els sistemes sensibles es barrinquen?
Què passa si, en lloc de passar els pròxims mesos documentant-se i mostrant com s’assignen les seves activitats a la llista de comprovació de PCI, els minoristes podrien dedicar-se a l’adopció de múltiples capes de seguretat que siguin àgils i s’adaptin als atacs en evolució?
Què passa si, en lloc dels minoristes i organitzacions individuals preocupades per PCI, responsabilitzem els bancs i les xarxes de targetes? Fins llavors, seguirem veient més d’aquests incompliments.
