Video: Credit Cards: Advantages and Disadvantages | Are Credit Cards A Boon or Bane? (Nobyembre 2024)
Ang mga kamakailang paglabag sa data sa Target, Neiman Marcus, at iba pang mga saksakan ng tingi ay napatunayan na ang pagsunod sa mga pamantayan sa industriya ay hindi isasalin sa mas mahusay na seguridad. Kaya bakit natin nasasayang ang ating oras sa isang listahan ng tseke?
Ang mga magsasalakay ay hinarang ang mga detalye ng card ng pagbabayad habang ang mga kard ay na-swip at bago ma-encrypt ang impormasyon, nagpatotoo ang Target at Neiman Marcus executive noong Peb. 5 sa House Energy & Commerce Committee's Subcomm committee for Commerce, Manufacturing, at Trade pagdinig. "Ang impormasyon ay na-scrap kaagad kasunod ng mag-swipe-millisecond bago ipinadala sa pamamagitan ng naka-encrypt na mga tunnels para sa pagproseso, " sinabi ni Michael Kingston, senior vice president at CIO sa Neiman Marcus, .
Kapag ang mga kard ay swiped, ang impormasyon mula sa magnetic stripe ay hindi naka-encrypt. Ang tanging paraan upang hadlangan ang malware sa mga terminal ng point-of-sale ng mga nagtitingi mula sa pag-agaw ng impormasyon ay ang pagkakaroon ng data na naka-encrypt mismo mula sa simula. Ang bagay ay, ang pagtatapos ng pag-encrypt ay kasalukuyang hindi ipinag-uutos ng mga regulasyon sa industriya, na nangangahulugang ang agwat na ito ay hindi mawawala anumang oras sa lalong madaling panahon.
Kahit na ang paglilipat mula sa mga magnetic stripe card sa EMV chip cards ay hindi malulutas ang end-to-end na encryption na problema, dahil ang data ay ipinapadala pa rin sa malinaw na teksto sa puntong ito ay na-swip. Kinakailangan ang pagpasok ng mga EMV card, ngunit hindi ito magiging sapat kung ang mga organisasyon ay hindi rin nag-iisip tungkol sa pagpapadanak ng lahat ng mga aspeto ng kanilang mga panlaban sa seguridad.
Hindi Gumagana ang PCI-DSS
Ang mga nagtitingi - ang anumang samahan na humahawak ng data ng pagbabayad, ay talagang kinakailangan upang sumunod sa Payment Card Industry-Data Security Standard (PCI-DSS) upang matiyak na ang impormasyon ng mamimili ay nakaimbak at ipinadala nang ligtas. Ang PCI-DSS ay may maraming mga patakaran, tulad ng pagtiyak na ang data ay naka-encrypt, pag-install ng isang firewall, at hindi gumagamit ng mga default na password, bukod sa iba pa. Tila isang magandang ideya sa papel, ngunit tulad ng ipinakita ng mga kamakailan-lamang na paglabag sa data, ang pagsunod sa mga utos ng seguridad na ito ay hindi nangangahulugang ang kumpanya ay hindi kailanman masira.
"Malinaw, ang pagsunod sa PCI ay hindi gumagana nang maayos - sa kabila ng bilyun-bilyong dolyar na ginugol ng mga negosyante at mga processors sa card sa mga pagsisikap na makamit ito, " Avivah Litan, bise-presidente at kilalang analyst sa Gartner, sumulat sa isang post sa blog noong nakaraang buwan.
Ang pamantalaan ay nakatuon sa maginoo na nagtatanggol na mga hakbang at hindi napapanatili ang pinakabagong mga vector ng pag-atake. Ang mga umaatake sa pinakabagong pag-ikot ng mga paglabag sa tingi ay gumagamit ng malware na umiwas sa pagtuklas ng antivirus at naka-encrypt na data bago ilipat ito sa mga panlabas na server. "Wala akong alam sa pamantayan ng PCI na maaaring mahuli ang bagay na ito, " sabi ni Litan.
Inilagay ni Litan ang sisihin sa mga paglabag sa mga bangko na naglalabas ng card at mga network ng card (Visa, MasterCard, Amex, Discover) "para sa hindi paggawa ng higit pa upang maiwasan ang mga debread." Sa pinakadulo, dapat nilang na-upgrade ang imprastraktura ng mga sistema ng pagbabayad upang suportahan ang end-to-end (tingi sa nagbebenta) na naka-encrypt para sa data ng card, higit sa parehong paraan pinamamahalaan ang mga PIN sa mga ATM, sinabi ni Litan.
Ang Pagsunod ay Hindi Seguridad
Walang sinuman na seryosong gawin ang sticker ng pagsunod sa PCI. Nalaman lamang ng inilabas na Verizon 2014 na Pagsunod sa Pag-uulat ng PCI ng Pagsubaybay sa Verizon 2014 na 11 porsyento lamang ng mga organisasyon ang ganap na sumusunod sa mga pamantayan sa industriya ng pagbabayad card. Nalaman ng ulat na maraming mga organisasyon ang gumugol ng maraming oras at lakas upang maipasa ang pagtatasa, ngunit sa sandaling nagawa, hindi - o hindi maaaring mapanatili ang mga gawain sa pagpapanatili upang manatiling sumusunod.
Sa katunayan, JD Sherry, direktor ng pampublikong teknolohiya at solusyon sa Trend Micro ay tinawag sina Michaels at Neiman Marcus bilang "paulit-ulit na mga nagkasala."
Kahit na mas nakakagambala, sa paligid ng 80 porsyento ng mga samahan na nakilala ang "hindi bababa sa 80 porsyento" ng mga patakaran sa pagsunod sa 2013. Ang pagiging "karamihan" ay sumusunod sa mga tunog na kahina-hinala tulad ng "hindi talaga" sumunod, dahil may nakangangaang butas sa isang lugar sa imprastruktura.
"Ang isang karaniwang maling kuru-kuro ay ang PCI ay idinisenyo upang maging isang catch-all para sa seguridad, " si Phillip Smith, senior vice president sa Trustwave, ay nagpatotoo sa pagdinig ng House.
Kaya bakit tayo pa rin ang dumikit sa PCI? Ang lahat ng ginagawa nito ay makuha ang mga bangko at VISA / MasterCard mula sa kawit mula sa paggawa ng anumang bagay upang mapabuti ang aming pangkalahatang seguridad.
Tumutok sa Tunay na Seguridad
Ang mga eksperto sa seguridad ay paulit-ulit na nagbabala na ang pagtuon sa isang listahan ng mga kinakailangan ay nangangahulugan na ang mga organisasyon ay hindi napansin ang mga gaps, at hindi magagawang ayusin sa umuusbong na mga pamamaraan ng pag-atake. "May pagkakaiba sa pagitan ng pagsunod at pagiging ligtas, " sabi ni Rep. Marsha Blackburn (R-Tenn) sa pagdinig ng House.
Alam namin na ang Target ay namuhunan sa teknolohiya at isang mahusay na pangkat ng seguridad. Ang kumpanya ay gumugol din ng maraming oras at pera sa pagkamit at nagpapatunay na pagsunod. Paano kung, sa halip, maaaring magastos ng Target ang lahat ng pagsisikap na ito sa mga panukalang pangseguridad na hindi nabanggit sa PCI, tulad ng pag-ampon ng mga teknolohiyang sandbox o kahit na paghiwalayin ang network upang ang mga sensitibong sistema ay nakasarang?
Paano kung, sa halip na paggastos sa susunod na ilang buwan na pagdodokumento at pagpapakita kung paano ang mapa ng kanilang mga aktibidad sa checklist ng PCI, ang mga nagtitingi ay maaaring tumuon sa pag-ampon ng maraming mga patong ng seguridad na walang saysay at maaaring umangkop sa umuusbong na pag-atake?
Paano kung, sa halip ng mga nagtitingi at indibidwal na mga organisasyon na nag-aalala tungkol sa PCI, pinangangasiwaan namin ang mga bangko at mga network ng card? Hanggang sa pagkatapos, patuloy nating makita ang higit sa mga paglabag na ito.
