Idén január 1-jéig kellett bevezetni a PCI DSS (Payment Card Industry Data Security Standard) új verzióját a szabvány hatálya alá eső szervezeteknek. Maga a szabvány tavaly január 1-jén lépett életbe, azaz a szervezeteknek egy évük volt a bevezetésre. Ehhez képest az NTT Com Security egy tavaly nyári felmérése szerint csupán harmaduknak voltak tervei a bevezetésre, a Verizon előzős PC DSS-re vonatkozó kutatása pedig azt állapította meg, hogy mindössze az érintettek tizede érte volt olyan szinten, hogy idén januárban nagy biztonsággal megfeleljen az új verzió minden előírásának.

A szervezetek biztonsági kérdései is terítékre kerülnek az idei CIO Hungary-n.

Mint arról korábban beszámoltunk, szakmai körökben egyébként arról is vita folyt, hogy egyáltalán kifizetődő-e a szabvány előírásainak meglehetősen költséges megfelelés. Ráadásul a 3.0-s verzió számos biztonsági területen ír elő új, a korábbiaknál szigorúbb, vagy éppen a szervezetek kockázatkezelési stratégiájához rugalmasabban illeszthető követelményeket.

Így állunk most

A Verizon legfrissebb globális kutatása, melyről a Biztonságportál készített összefoglalót, a tavalyi állapothoz képest jelentős előrelépést mutat. Míg tavaly megközelítőleg minden tizedik szervezet (a válaszadók 11,1 százaléka) állt száz százalékos felkészültségi szinten, az idei felmérés szerint minden ötödik teljes mértékben felkészült.

De mi lesz a maradék 80 százalékkal? Bár az átlagos felkészültségi szint is javult, a kutatás szerint a bevezetésnél visszaköszön egy ősrégi probléma: a vállalatok egy jó részénél nem a kockázatokat kezelik, hanem az auditokat. Mint azt egy két évvel ezelőtti RSA konferencián egy szakember kifejtette – komoly visszhangot keltve véleményével – a szervezeteknek rengeteg biztonsági követelménynek kell megfelelniük, ami irdatlan pénzeket köt le az informatikai büdzséből. De mivel az auditok miatt ezeket nem tudják megspórolni, az IT-büdzsé pedig véges, máshonnan veszik el az erőforrásokat.

Ezért aztán "az audit iparág egy szörnyeteggé vált" – mondta akkor a szakember –, azaz a szervezetek nem a valós fenyegetésekre koncentrálnak, hanem arra, hogy átmenjenek az auditon.

Ugyanakkor a szabványnak való megfelelés nem kidobott pénz a Verizon szerint. A kutatók ugyanis találtak összefüggést a compliance és a sikeres támadások között. Azoknál a vállalatoknál ugyanis, melyeknél az elmúlt időszakban jelentősebb incidensek történtek, igencsak voltak ezen a téren hiányosságok. 45 százalékuknál nem volt megfelelő patchmenedzsment, 72 százalékuknál a a monitorozás és a naplókezelés gyengélkedett, ami ráadásul a felderítést és az incidensreagálást is lassította.

Két év nagy idő...

Nos, a Verizon tanulmánya szerint két év alatt nem sok minden változott: a szervezetek többsége a megfelelőséget még mindig az auditokhoz köti, és ilyen módon egy adott pillanatban (pár nap erejéig) törekszik arra, hogy elnyerje az auditorok tetszését. Valószínűleg ők teszik ki a 80 százalék egy jelentős részét.

Andi Baritchi, a Verizon Enterprise Solutions igazgatója úgy fogalmazott, hogy az auditokra való koncentrálás egyik következménye az lehet, hogy csorbát szenved a környezet folyamatos monitorozása és a változásokra való reagálás.

Eltérő a felkészültség az egyes területeken

A kutatók a szabvány tizenkét követelménycsoportjánál külön-külön is vizsgálták, hogy hogyan változott az elmúlt év során a szervezetek felkészültsége. Az adatokhoz történő hozzáférés árnyalt szabályozása terén a vállalatok 89 százaléka vallotta magát felkészültnek (tavaly 60 százalék). 82 százalékuk (tavaly 64 százalék) oldotta meg a titkosított adatátvitelt, amikor az adatok nyilvános hálózaton továbbítódnak, és ugyanennyien biztosítanak megfelelő fizikai védelmet a kártyatulajdonosok adataihoz történő hozzáférésnél (tavaly 76 százalék). Sokan javítottak a – 76 százalék vallotta magát felkészültnek – a kártyabirtokosok adataihoz és a hálózathoz való hozzáférés monitorozásán (tavaly csak 44 százalék).

A válaszadók több mint 70 százaléka vallotta magát (tavaly 44 százalék) felkészültnek a tűzfalak folyamatos frissítésére és dokumentáltságára vonatkozó előírások terén, és nagyon nagy előrelépés történ (33-ról 69 százalékra) a hozzáférés-kezelés és hitelesítés terén.

A kártyás fizetés volumenének alakulása régiónként, 2012-2018
(ezer milliárd USD)

Forrás: Verizon 2015 PCI Compliance Report

A kutatók egyelőre csak a jövő nagy lehetőségeként foglalkoztak a mobilfizetési technológiákkal. Egyelőre a kártyás fizetés a legfontosabb, de úgy látják, csak idő kérdése, hogy az alternatív fizetési módok teljes mértékben átvegyék a helyüket.

Bár a PCI PA-DSS (Payment Application Data Security Standard) jelenlegi verziója nem tér ki mélyrehatóan a mobil eszközökre és alkalmazásokra, attól még teljes mértékben vonatkoznak rájuk a PCI DSS biztonságos alkalmazásfejlesztéssel összefüggő elvárásai.

Az összes követelményre egyébként a tanulmány 78. oldalán található melléklet pontos leírást és menetrendet is ad az egyes követelményekre.