Video: Kartu Kredit Dibobol? Lakukan 3 Hal Ini! (Desember 2024)
Pelanggaran data baru-baru ini di Target, Neiman Marcus, dan outlet ritel lainnya telah membuktikan bahwa kepatuhan terhadap standar industri tidak berarti keamanan yang lebih baik. Jadi mengapa kita membuang-buang waktu dengan daftar periksa?
Para penyerang mencegat detail kartu pembayaran ketika kartu-kartu itu digesek dan sebelum informasi dapat dienkripsi, eksekutif Target dan Neiman Marcus bersaksi pada 5 Februari di Subkomite Komite Energi & Perdagangan Dewan untuk Perdagangan, Manufaktur, dan Dengar Pendapat. "Informasi itu dihapus segera setelah gesekan - milidetik sebelum dikirim melalui terowongan terenkripsi untuk diproses, " Michael Kingston, wakil presiden senior dan CIO di Neiman Marcus, mengatakan.
Ketika kartu digesek, informasi dari strip magnetik tidak dienkripsi. Satu-satunya cara untuk menggagalkan malware di terminal titik penjualan pengecer agar tidak mengambil informasi adalah memiliki data yang dienkripsi sejak awal. Masalahnya, enkripsi ujung ke ujung saat ini tidak diamanatkan oleh peraturan industri, yang berarti kesenjangan ini tidak akan hilang dalam waktu dekat.
Bahkan bergeser dari kartu strip magnetik ke kartu chip EMV tidak akan menyelesaikan masalah enkripsi end-to-end, karena data masih ditransmisikan dalam teks yang jelas pada titik itu sedang digesek. Mengadopsi kartu EMV diperlukan, tetapi itu tidak akan cukup jika organisasi tidak juga berpikir untuk meningkatkan semua aspek pertahanan keamanan mereka.
PCI-DSS Tidak Bekerja
Pengecer - organisasi mana pun yang menangani data pembayaran, benar-benar - diharuskan untuk mematuhi Standar Keamanan Industri Data Kartu (PCI-DSS) untuk memastikan informasi konsumen disimpan dan dikirim dengan aman. PCI-DSS memiliki banyak aturan, seperti memastikan data dienkripsi, menginstal firewall, dan tidak menggunakan kata sandi default, antara lain. Kedengarannya seperti ide bagus di atas kertas, tetapi seperti yang ditunjukkan oleh beberapa pelanggaran data baru-baru ini, mematuhi mandat keamanan ini tidak berarti perusahaan tidak akan pernah dilanggar.
"Jelas, kepatuhan PCI tidak berfungsi dengan baik - meskipun miliaran dolar dihabiskan oleh pedagang dan pemroses kartu dalam upaya untuk mencapainya, " Avivah Litan, wakil presiden dan analis terkemuka di Gartner, menulis dalam sebuah posting blog bulan lalu.
Standar ini berfokus pada langkah-langkah pertahanan konvensional dan belum mengikuti vektor serangan terbaru. Para penyerang di babak terakhir melakukan pelanggaran terhadap peritel menggunakan malware yang menghindari deteksi antivirus dan data terenkripsi sebelum mentransfernya ke server eksternal. "Tidak ada yang saya ketahui dalam standar PCI yang dapat menangkap hal ini, " kata Litan.
Litan menyalahkan kesalahan pada bank penerbit kartu dan jaringan kartu (Visa, MasterCard, Amex, Discover) "karena tidak berbuat lebih banyak untuk mencegah kehancuran." Paling tidak, mereka harus meningkatkan infrastruktur sistem pembayaran untuk mendukung enkripsi ujung-ke-ujung (pengecer ke penerbit) untuk data kartu, banyak cara yang sama dengan PIN yang dikelola di ATM, kata Litan.
Compliant Bukan Keamanan
Sepertinya tidak ada yang menganggap serius stiker yang mematuhi PCI. Laporan Kepatuhan PCI Verizon 2014 yang baru saja dirilis menemukan bahwa hanya 11 persen organisasi yang sepenuhnya mematuhi standar industri kartu pembayaran. Laporan tersebut mendapati bahwa banyak organisasi menghabiskan banyak waktu dan energi untuk lulus penilaian, tetapi begitu selesai, tidak - atau tidak bisa - mengikuti tugas pemeliharaan agar tetap patuh.
Bahkan, JD Sherry, direktur teknologi publik dan solusi di Trend Micro menyebut Michaels dan Neiman Marcus sebagai "pelanggar berulang."
Yang lebih meresahkan lagi, sekitar 80 persen organisasi memenuhi "setidaknya 80 persen" dari peraturan kepatuhan pada 2013. Menjadi "sebagian besar" patuh terdengar mencurigakan seperti "tidak benar-benar" patuh, karena ada celah di suatu tempat di infrastruktur.
"Kesalahpahaman yang umum adalah bahwa PCI dirancang untuk menjadi segalanya bagi keamanan, " Phillip Smith, wakil presiden senior di Trustwave, bersaksi di sidang DPR.
Jadi mengapa kita masih menggunakan PCI? Yang perlu dilakukan adalah membebaskan bank dan VISA / MasterCard dari keharusan melakukan apa pun untuk meningkatkan keamanan keseluruhan kami.
Fokus pada Keamanan Aktual
Pakar keamanan telah berulang kali memperingatkan bahwa fokus pada daftar persyaratan berarti organisasi tidak memperhatikan kesenjangan, dan tidak dapat menyesuaikan diri dengan metode serangan yang berkembang. "Ada perbedaan antara kepatuhan dan keamanan, " kata Marsha Blackburn (R-Tenn) dalam sidang DPR.
Kita tahu bahwa Target telah berinvestasi dalam teknologi dan tim keamanan yang baik. Perusahaan juga telah menghabiskan banyak waktu dan uang untuk mencapai dan membuktikan kepatuhan. Bagaimana jika, sebaliknya, Target bisa menghabiskan semua upaya pada langkah-langkah keamanan yang tidak disebutkan dalam PCI, seperti mengadopsi teknologi sandboxing atau bahkan segmentasi jaringan sehingga sistem sensitif terhalang?
Bagaimana jika, alih-alih menghabiskan beberapa bulan ke depan untuk mendokumentasikan dan menunjukkan bagaimana kegiatan mereka memetakan ke daftar periksa PCI, pengecer dapat fokus pada penerapan beberapa lapis keamanan yang gesit dan dapat beradaptasi dengan serangan yang berkembang?
Bagaimana jika, alih-alih pengecer dan organisasi individual yang mengkhawatirkan PCI, kami meminta pertanggungjawaban bank dan jaringan kartu? Sampai saat itu, kita akan terus melihat lebih banyak pelanggaran ini.