الامتثال ليس الأمن الحقيقي. بطاقات الائتمان لدينا تستحق أفضل

أثبتت خروقات البيانات الحديثة في Target و Neiman Marcus ومنافذ البيع بالتجزئة الأخرى أن الالتزام بمعايير الصناعة لا يترجم إلى تحسين الأمان. فلماذا نضيع وقتنا مع قائمة مراجعة؟

اعترض المهاجمون تفاصيل بطاقة الدفع حيث تم تمرير البطاقات وقبل أن يتم تشفير المعلومات ، شهد المديرون التنفيذيون لـ Target و Neiman Marcus في 5 فبراير في الجلسة الفرعية للجنة التجارة والتصنيع والتجارة بوزارة الطاقة. وقال مايكل كينجستون ، كبير نواب الرئيس والمدير التنفيذي للمعلومات في نيمان ماركوس: "تم إلغاء المعلومات مباشرة بعد التمرير - بالميلي ثانية قبل إرسالها عبر أنفاق مشفرة للمعالجة".

عندما يتم تمرير البطاقات ، لا يتم تشفير المعلومات من الشريط المغناطيسي. الطريقة الوحيدة لإحباط البرامج الضارة على أجهزة نقاط البيع لدى تجار التجزئة من الاستيلاء على المعلومات هي تشفير البيانات من البداية. الشيء المهم هو أن التشفير من طرف إلى طرف لا يتم حاليًا فرضه وفقًا للوائح الصناعة ، مما يعني أن هذه الفجوة لن تزول قريبًا.

حتى الانتقال من بطاقات الشريط الممغنطة إلى بطاقات شرائح EMV لن يحل مشكلة التشفير من طرف إلى طرف ، لأن البيانات لا تزال تنتقل بنص واضح في النقطة التي يتم فيها تمريرها. يعد اعتماد بطاقات EMV ضروريًا ، لكنه لن يكون كافيًا إذا لم تفكر المنظمات أيضًا في تعزيز جميع جوانب دفاعاتها الأمنية.

PCI-DSS لا يعمل

يُطلب من تجار التجزئة - أي منظمة تتعامل مع بيانات الدفع ، فعليًا - الامتثال لمعايير أمان صناعة بيانات بطاقة الدفع (PCI-DSS) لضمان تخزين معلومات العميل ونقلها بشكل آمن. يحتوي PCI-DSS على الكثير من القواعد ، مثل التأكد من تشفير البيانات وتثبيت جدار الحماية وعدم استخدام كلمات المرور الافتراضية ، من بين أمور أخرى. يبدو الأمر فكرة جيدة على الورق ، ولكن كما أظهرت العديد من خروقات البيانات الحديثة ، فإن الالتزام بهذه الواجبات الأمنية لا يعني أن الشركة لن تتعرض للانتهاك أبدًا.

"من الواضح أن امتثال PCI لا يعمل بشكل جيد للغاية - على الرغم من مليارات الدولارات التي أنفقها التجار ومعالجو البطاقات في الجهود المبذولة لتحقيق ذلك" ، كتب Avivah Litan ، نائب الرئيس والمحلل المتميز في Gartner ، في منشور بالمدونة الشهر الماضي.

يركز المعيار على التدابير الدفاعية التقليدية ولم يواكب أحدث متجهات الهجوم. استخدم المهاجمون في الجولة الأخيرة من انتهاكات متاجر التجزئة برامج ضارة تهربت من الكشف عن الفيروسات والبيانات المشفرة قبل نقلها إلى خوادم خارجية. وقال ليتان: "لا شيء يمكن معرفته في معيار PCI كان يمكن أن يكتشف هذه الأشياء".

وضع Litan اللوم على المخالفات بشكل مباشر على البنوك التي أصدرت البطاقات وشبكات البطاقات (Visa و MasterCard و Amex و Discover) "لعدم بذل المزيد من الجهد للحيلولة دون وقوع الأزمات". على الأقل ، ينبغي أن يكونوا قد قاموا بترقية البنية الأساسية لأنظمة الدفع لدعم تشفير البيانات من البداية إلى النهاية (من البائع إلى المصدر) ، بنفس الطريقة التي تتم بها إدارة أرقام التعريف الشخصية في أجهزة الصراف الآلي ، على حد تعبير Litan.

متوافقة ليس الأمن

لا يبدو أن أحداً يأخذ الملصق المتوافق مع PCI على محمل الجد. وجد تقرير التوافق مع PCI الصادر من Verizon 2014 أن 11 بالمائة فقط من المؤسسات كانت متوافقة تمامًا مع معايير صناعة بطاقات الدفع. لقد وجد التقرير أن العديد من المنظمات تقضي الكثير من الوقت والجهد في اجتياز التقييم ، ولكن بمجرد القيام بذلك ، لم تقم - أو لم تستطع - بمواكبة مهام الصيانة لتظل متوافقة.

في الواقع ، دعا جي دي شيري ، مدير التكنولوجيا والحلول العامة في تريند مايكرو ، مايكلز ونيمان ماركوس بوصفهما "كرروا المخالفين".

والأمر الأكثر إثارة للقلق هو أن حوالي 80 في المائة من المؤسسات التقت "80 في المائة على الأقل" من قواعد الامتثال في عام 2013. كونها متوافقة مع "معظمها" تبدو مثيرة للريبة مثل "ليست في الواقع" متوافقة ، حيث توجد فجوة في مكان ما في البنية التحتية.

وقال فيليب سميث ، نائب الرئيس الأول في Trustwave ، في جلسة استماع في مجلس النواب: "هناك اعتقاد خاطئ شائع بأن PCI صُمم ليكون أداة جذابة للأمن".

إذن لماذا لا نزال نتمسك بـ PCI؟ كل ما تفعله هو جعل البنوك و VISA / MasterCard في مأزق من الاضطرار إلى القيام بأي شيء لتحسين أمننا العام.

التركيز على الأمن الفعلي

حذر خبراء الأمن مرارًا وتكرارًا من أن التركيز على قائمة المتطلبات يعني أن المؤسسات لا تلاحظ الثغرات ، ولا يمكنها التكيف مع أساليب الهجوم المتطورة. "هناك فرق بين الامتثال والأمان" ، لاحظت النائب مارشا بلاكبيرن (R-Tenn) في جلسة استماع مجلس النواب.

نحن نعلم أن Target قد استثمر في التكنولوجيا وفريق أمان جيد. كما أنفقت الشركة الكثير من الوقت والمال في تحقيق وتأكيد الامتثال. ماذا لو كان الهدف ، بدلاً من ذلك ، أن ينفق كل هذا الجهد على تدابير الأمان غير المذكورة في PCI ، مثل تبني تقنيات الصندوق الرملي أو حتى تجزئة الشبكة حتى يتم عزل الأنظمة الحساسة؟

ماذا لو بدلاً من قضاء الأشهر القليلة المقبلة في توثيق وإظهار كيفية تخطيط أنشطتهم لقائمة التحقق الخاصة بـ PCI ، يمكن لبائعي التجزئة التركيز على تبني طبقات متعددة من الأمان تتسم بالذكاء ويمكنها التكيف مع الهجمات المتطورة؟

ماذا لو بدلًا من تجار التجزئة والمؤسسات الفردية القلقين بشأن PCI ، فإننا نحمل البنوك وشبكات البطاقات المسؤولية؟ حتى ذلك الحين ، سوف نستمر في رؤية المزيد من هذه الانتهاكات.