การปฏิบัติตามกฎระเบียบไม่ใช่ความปลอดภัยที่แท้จริง บัตรเครดิตของเราสมควรได้รับดีกว่า

การเจาะข้อมูลล่าสุดที่ Target, Neiman Marcus และร้านค้าปลีกอื่น ๆ ได้พิสูจน์แล้วว่าการปฏิบัติตามมาตรฐานอุตสาหกรรมนั้นไม่ได้แปลความปลอดภัยที่ดีขึ้น เหตุใดเราจึงเสียเวลากับรายการตรวจสอบ

ผู้บุกรุกสกัดรายละเอียดบัตรชำระเงินเมื่อการ์ดถูกรูดและก่อนที่ข้อมูลจะถูกเข้ารหัสผู้บริหารของเป้าหมายและ Neiman Marcus ให้การเป็นพยานเมื่อวันที่ 5 กุมภาพันธ์ที่คณะอนุกรรมการพลังงานและการพาณิชย์ของคณะกรรมาธิการพลังงานพาณิชย์และการค้า ไมเคิลคิงส์ตันรองประธานอาวุโสและ CIO ของ Neiman Marcus กล่าวว่าข้อมูลดังกล่าวถูกคัดลอกทันทีหลังจากการกวาดนิ้ว - มิลลิวินาทีก่อนส่งผ่านอุโมงค์ที่เข้ารหัสเพื่อการประมวลผล

เมื่อรูดบัตรข้อมูลจากแถบแม่เหล็กจะไม่ถูกเข้ารหัส วิธีเดียวที่จะป้องกันมัลแวร์ที่จุดขายของผู้ค้าปลีกจากการจับข้อมูลคือการมีการเข้ารหัสข้อมูลตั้งแต่เริ่มต้น สิ่งนี้คือการเข้ารหัสแบบ end-to-end ไม่ได้อยู่ภายใต้ข้อบังคับของอุตสาหกรรมซึ่งหมายความว่าช่องว่างนี้จะไม่หายไปในไม่ช้าทุกเวลา

แม้แต่การเปลี่ยนจากบัตรแถบแม่เหล็กไปเป็นชิปการ์ด EMV ก็ไม่สามารถแก้ปัญหาการเข้ารหัสแบบครบวงจรได้เนื่องจากข้อมูลยังคงส่งเป็นข้อความที่ชัดเจน ณ จุดที่มีการรูด การใช้บัตร EMV นั้นเป็นสิ่งที่จำเป็น แต่ก็ไม่เพียงพอหากองค์กรต่างๆไม่คิดที่จะปกป้องความปลอดภัยของพวกเขาในทุกด้าน

PCI-DSS ใช้งานไม่ได้

ผู้ค้าปลีก - องค์กรใด ๆ ที่จัดการข้อมูลการชำระเงินจะต้องปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI-DSS) เพื่อให้มั่นใจว่าข้อมูลผู้บริโภคได้รับการจัดเก็บและส่งอย่างปลอดภัย PCI-DSS มีกฎมากมายเช่นตรวจสอบให้แน่ใจว่ามีการเข้ารหัสข้อมูลติดตั้งไฟร์วอลล์และไม่ใช้รหัสผ่านเริ่มต้นรวมทั้งอื่น ๆ ดูเหมือนความคิดที่ดีบนกระดาษ แต่เมื่อมีการรั่วไหลของข้อมูลเมื่อไม่นานมานี้ได้แสดงให้เห็นว่าการปฏิบัติตามคำสั่งด้านความปลอดภัยเหล่านี้ไม่ได้หมายความว่า บริษัท จะไม่ถูกละเมิด

Avivah Litan รองประธานและนักวิเคราะห์ที่มีชื่อเสียงของ Gartner เขียนไว้ในบล็อกโพสต์เมื่อเดือนที่แล้วว่าการปฏิบัติตาม PCI นั้นทำงานได้ไม่ดีนักแม้ว่าผู้ค้าและผู้ประมวลผลบัตรหลายพันล้านดอลลาร์จะพยายามใช้งานให้สำเร็จ

มาตรฐานมุ่งเน้นไปที่มาตรการป้องกันทั่วไปและไม่ได้ติดตามการโจมตีของเวกเตอร์ล่าสุด ผู้โจมตีในการค้าปลีกรอบล่าสุดใช้มัลแวร์ที่หลบเลี่ยงการตรวจจับไวรัสและข้อมูลที่เข้ารหัสก่อนที่จะถ่ายโอนไปยังเซิร์ฟเวอร์ภายนอก “ ไม่มีสิ่งใดที่ฉันรู้ในมาตรฐาน PCI สามารถจับสิ่งนี้ได้” Litan กล่าว

Litan วางโทษสำหรับการละเมิดอย่างเต็มที่ในธนาคารผู้ออกบัตรและเครือข่ายบัตร (Visa, MasterCard, Amex, Discover) "สำหรับการไม่ทำมากขึ้นเพื่อป้องกันการเสียชีวิต" อย่างน้อยที่สุดพวกเขาควรจะอัพเกรดโครงสร้างพื้นฐานของระบบการชำระเงินเพื่อรองรับการเข้ารหัสแบบ end-to-end (ผู้ค้าปลีกถึงผู้ออกบัตร) สำหรับข้อมูลบัตรในลักษณะเดียวกับการจัดการ PIN ที่ ATM

มาตรฐานไม่ปลอดภัย

ดูเหมือนว่าไม่มีใครสนใจสติ๊กเกอร์ที่สอดคล้องกับ PCI อย่างจริงจัง Verizon 2014 PCI Compliance Report ที่เพิ่งเปิดตัวพบว่ามีองค์กรเพียง 11 เปอร์เซ็นต์เท่านั้นที่ปฏิบัติตามมาตรฐานอุตสาหกรรมบัตรชำระเงิน รายงานพบว่าหลาย ๆ องค์กรใช้เวลาและพลังงานจำนวนมากในการผ่านการประเมิน แต่เมื่อทำไปแล้วก็ทำไม่ได้ - หรือทำไม่ได้ - ติดตามงานบำรุงรักษาเพื่อให้เป็นไปตามมาตรฐาน

ในความเป็นจริง JD Sherry ผู้อำนวยการเทคโนโลยีและโซลูชั่นสาธารณะของ Trend Micro เรียก Michaels และ Neiman Marcus ว่าเป็น "ผู้กระทำผิดซ้ำ"

น่ารำคาญยิ่งกว่านั้นประมาณ 80% ขององค์กรพบกับ "อย่างน้อย 80 เปอร์เซ็นต์" ของกฎการปฏิบัติตามในปี 2013 การเป็นไปตาม "ส่วนใหญ่" ฟังดูน่าสงสัยเหมือน "ไม่จริง" เป็นไปตามที่มีช่องโหว่บางแห่งในโครงสร้างพื้นฐาน

“ ความเข้าใจผิดที่พบบ่อยคือ PCI ได้รับการออกแบบให้เป็นสิ่งที่ปลอดภัยสำหรับทุกคน” ฟิลลิปสมิ ธ รองประธานอาวุโสของ Trustwave เป็นพยานในการพิจารณาคดีของบ้าน

เหตุใดเราจึงยังคงยึดติดกับ PCI สิ่งที่ทำได้ก็คือทำให้ธนาคารและบัตรวีซ่า / มาสเตอร์การ์ดไม่ต้องทำอะไรเพื่อปรับปรุงความปลอดภัยโดยรวมของเรา

เน้นความปลอดภัยที่แท้จริง

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนซ้ำ ๆ ว่าการมุ่งเน้นไปที่รายการข้อกำหนดหมายความว่าองค์กรไม่สังเกตเห็นช่องว่างและไม่สามารถปรับให้เข้ากับวิธีการโจมตีที่พัฒนาขึ้นได้ "มีความแตกต่างระหว่างการปฏิบัติตามและความปลอดภัย" ตัวแทน Marsha Blackburn (R-Tenn) ตั้งข้อสังเกตในการพิจารณาคดีในบ้าน

เรารู้ว่า Target ได้ลงทุนด้านเทคโนโลยีและทีมรักษาความปลอดภัยที่ดี บริษัท ได้ใช้เวลาและเงินจำนวนมากในการบรรลุและพิสูจน์การปฏิบัติตาม จะเกิดอะไรขึ้นหาก Target สามารถใช้ความพยายามทั้งหมดในมาตรการด้านความปลอดภัยที่ไม่ได้กล่าวถึงใน PCI เช่นการนำเทคโนโลยี sandbox หรือการแบ่งกลุ่มเครือข่ายเพื่อให้ระบบที่มีความอ่อนไหวถูกปิด

ถ้าหากแทนที่จะใช้เวลาสองสามเดือนข้างหน้าในการบันทึกและแสดงให้เห็นว่ากิจกรรมของพวกเขาทำแผนที่ในรายการตรวจสอบของ PCI ได้อย่างไรผู้ค้าปลีกสามารถให้ความสำคัญกับการรักษาความปลอดภัยหลายระดับที่คล่องแคล่วว่องไว

จะเป็นอย่างไรถ้าหากแทนที่จะเป็นผู้ค้าปลีกและองค์กรเอกชนที่กังวลเกี่ยวกับ PCI เราจะต้องรับผิดชอบต่อธนาคารและเครือข่ายการ์ด ก่อนหน้านั้นเราจะได้เห็นการละเมิดเหล่านี้มากขึ้นเรื่อย ๆ