A Westminster Forum Project legutóbbi eForum nevű rendezvénye egyebek mellett az online fizetés jövőjével is foglalkozott. A kérdésnek számos biztonsági vetülete is van, melyekkel többek között Dave Birch, a Consult Hyperion egyik igazgatója foglalkozott. Az igazgató olyannyira meglepő állításokat fogalmazott meg, hogy a témát nemzetközi sajtó is felkapta.

A PCI DSS nem elegendő! ■ Dave Birch elsősorban a PCI DSS (Payment Card Industry Data Security Standard) mindenhatóságát kérdőjelezte meg. Előadásában elmondta, hogy Nagy-Britanniában a csalások jelentős része az úgynevezett adatvezérelt azonosságlopásokra vezethető vissza, és ha ezt figyelembe vesszük, szerinte nyilvánvaló, hogy hosszú távon nem a PCI DSS jelenti a legjobb megoldást az online fizetések védelmére. Ráadásul, állította a Consult Hyperion igazgatója, a PCI DSS megfelelőség költségei kapcsán kiderült, hogy a gyógymód rosszabb, mint maga a betegség – hihetetlenül drágán lehet csak megfelelni a szabványnak. „Újra kell gondolni a PCI DSS-t” – összegezte a véleményét a szakember.

A PCI Security Standards Council nem is hagyta szó nélkül a kritikát, melyre európai igazgatója, Jeremy King reagált. Nem meglepő módon ő megvédte a szabványt, mégpedig számításokkal is alátámasztotta, hogy igenis érdemes költeni a szabványnak való megfelelésre. Véleménye szerint egy kártyabirtokoshoz tartozó adatrekord elvesztése átlagosan 79 fontnyi kárt okoz. Ha egy vállalat elveszít 50 ezer rekordot – ez viszonylag kis mennyiség –, akkor a károk elérhetik a 4 millió fontot. Ezzel szemben a PCI DSS bevezetésének költségei vállalatmérettől függően mindössze 2-2,6 millió fontra tehetők.

Az emlékezetes Sony-incidens ■ De King nem csak számokkal igyekszik meggyőzni a kétkedőket. Szerinte ugyanis az incidensek valódi költségeit nagyon nehéz mérni, hiszen a számszerűsíthető veszteségek mellett komoly kiesést okozhat a hírnéven esett csorba is. „Egy brand helyreállítása lényegesen drágább, mint az incidens egyéb költségei” – fogalmazott King, aki erre a Sony elleni 2011. április-májusi hackertámadással példálózott. Akkor a céget 179 millió dolláros konkrét veszteség érte. Amellett, hogy három hétre le kellett állítani a PlayStation Network és a Sony Online Entertainment rendszerét, ráadásul az újraindulás után ismét biztonsági rést fedeztek fel a rendszerben, épp a támadásban érintett több mint 24 millió felhasználó számár új jelszót generáló oldalon. Akkor a cég ellen kongresszusi vizsgálat is indult az Egyesült Államokban. Az incidens igencsak megtépázta a cég tekintélyét.


Dave Birch persze másként látja: szerinte a biztonsági incidensek nem befolyásolták jelentősen a vállalat részvényeinek árfolyamát, és a költségek egy jelentős része a büntetésekből származott. „Nincs tudomásom olyan statisztikai összefüggésekről, amelyek a veszteségek és a bankkártya-csalások pontos kapcsolatára utalnának" – tette hozzá.

Jeremy Kingnek azonban van még egy nyomós érve a PCI DSS mellett, mégpedig a szabvány és az Európai Bizottság által nemrégen közzétett (http://www.bitport.hu/biztonsag/szigorubb-kiberbiztonsagi-szabalyozast-akar-az-eu) hálózat- és információbiztonságra vonatkozó irányelvjavaslat közötti kapcsolat. Az igazgató szerint ugyanis a PCI DSS segítséget nyújt a szervezetek számára az EU jövőbeni előírásaira való felkészüléshez. Ráadásul az ügyfelek összes adatára kiterjedő európai szabályozás jóval nagyobb kihívást jelent majd, mint a PCI DSS, és nem utolsó sorban a szankciók is szigorúbbak lesznek.

(A Biztonságportálon megjelent cikk szerkesztett változata.)