A múlt év végének egyik emlékezetes botránya volt, amikor kiderült, hogy az amerikai Target áruházlánc rendszerből több tízmillió ügyfelük bank- és hitelkártyájának adatát lopták el. A további problémák elkerüléséhez a Target minden ügyfelének előfizetett egy hitelkártya-monitorozó szolgáltatásra is. Nem sokkal később jött a Target-ügyhöz kísértetiesen hasonló incidens, ami a Neiman Marcus rendszereit sújtotta. A Magyarországra is szállító online divatcikk cégtől 1,1 millió bankkártyát adatait lopták el, és közülük több mint kétezerrel már történtek is visszaélések.

PCI DSS: drága és semmit sem garantál?

Ezek az incidensek érzékenyen érintik mind a kereskedő cégeket, mind pedig a felhasználókat. Ugyanakkor van néhány, a konkrét incidensen túlmutató probléma is. Mindenekelőtt felmerült a kérdés: vajon mit ér a PCI DSS (Payment Card Industry Data Security Standard) megfelelőség és az erre a célra fordított jelentős anyagi és emberi erőforrások, ha egy kártékony program mindenen átjutva éppen azokat az adatokat teheti teljesen kiszolgáltatottá, amelyek fokozott védelem alatt állnak? A PCI DSS-sel kapcsolatos kételyek persze nem újak, a kérdéskörrel közel egy éve a Bitport hasábjain is foglalkoztunk.

„A biztonsági incidensek jól mutatják a PCI, valamint a teljes biztonsági ipar gyengeségét” – nyilatkozta Avivah Litan, a Gartner elemzője. Litan szerint a PCI DSS szabványban semmi sem segített a Targetnek, hogy felismerje és blokkolja a támadást. „A PCI ugyan kötelezővé teszi a vírusellenőrzést, de a hagyományos vírusvédelmi megoldások nem találhatták meg a Targetnél problémákat okozó kártékony programot. A PCI nem is írja elő következő generációs antivírus technológiák használatát.” De az is problémát jelent az elemző szerint, hogy a megfelelőséget sokszor korábbi támadási vektorok alapján értékelik. Csakhogy a fenyegetettségek folyamatosan megújulnak, de arra már a szervezetek nincsenek felkészülve. Tehát paradigmaváltásra lenne szükség, különösen a fizetéseket lebonyolító rendszerek esetében – állítja Litan.

Végponttól végpontig kell titkosítani

Máshol látja a neuralgikus pontokat James Huguelet független PCI-tanácsadó. Szerinte a legnagyobb problémát az jelenti, hogy a PCI elsősorban az adattárolás kapcsán fogalmaz meg komoly követelményeket a titkosítás vonatkozásában. Csakhogy ez kevés, hiszen a tranzakciók, adatfeldolgozások során számos ponton maradnak védtelenek az adatok.

A kiberbűnözés pedig pontosan ezt használja ki, ahogy a Target-ügyben is láthattuk. Huguelet szerint a titkosításnak a tranzakciós folyamatok teljes láncolatát le kellene fednie. A végpontól végpontig terjedő titkosítás megvalósítása természetesen drága, cserébe megnehezíti az adatlopásokat.

A szabvány jó, de az értékelési mechanizmusokon lehetne javítani

Nem a PCI DSS szabvány a hibás – állítja határozottan John Pescatore, a információbiztonsági kutatásokra és oktatásokra szakosodott SANS Institute egyik igazgatója és egyben a Gartner egyik alelnöke: „a mostani biztonsági incidensek a PCI követelmények implementálási visszásságaira mutatnak rá, és nem a szabványban szereplő kontrollok hiányosságaira.” Szerinte a PCI előírásai között több olyan is van, amikkel a Target és a Neiman Marcus is megakadályozhatta volna a támadásokat. Egyet azonban elismert: a PCI folyamatok közül az értékelési mechanizmusokon változtatni kellene.

Egyre inkább úgy tűnik ugyanis, nem elégségesnek az évenkénti vizsgálatok, ellenőrzések, valamint a negyedévente elvégzett sérülékenységi tesztek.

A képet árnyalja, hogy idén a szervezeteknek át kell állniuk a PCI DSS 3.0-ra, melyet elvileg jövő év janurá 1-étől már alkalmazniuk is kell. Az új verzió az utóbbi időszakban megjelent fenyegetettségek kivédésében is segítene, ezért több ponton szigorították, de arra is törekedtek, hogy a követleményrendszerét rugalmasabban lehessen illeszteni a szervezetek kockázatkezelési stratégiájához. Az új szabvány amellett, hogy nagy hangúlyt fektet a felhasználók oktatására és a biztonságtudatosság fokozásával kapcsolatos előírások kidolgozására, vagy például a külső partnerekkel kapcsolatos biztonsági kockázatok kezelése, pontosabban definiálja a sebezhetőségi teszteket is.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}