Veracomp.pl  »  O Firmie  »  Centrum Prasowe    Aktualności

O FIRMIE

Logo AirTight Networks

Jak zapobiegać kradzieży danych z kart płatniczych?

Przedstawiamy 10 nauk z raportów bezpieczeństwa dla sprzedawców.

Najnowsze raporty Verizon i Mary Meeker of Kleiner Perkins Caufield & Byers zawierają ważne nauki, które powinni wziąć sobie do serca sprzedawcy na całym świecie. Ten artykuł podsumowuje najważniejsze tezy z obu powszechnie szanowanych źródeł.

Verizon od lat zajmuje się analizą skutków kradzieży danych i zgodności z wymogami PCI (Payment Card Information), zna więc obie strony medalu. Niedawno firma opublikowała dwa raporty bezpieczeństwa:

Mary Meeker potwierdza wiele punktów z raportów Verizon w swojej corocznej prezentacji na Code Conferencje - 2015 Internet Trends Report.

Zebraliśmy tezy w krótką listę, którą każdy sprzedawca powinien traktować jako punkt odniesienia:

  1. Wyliczony koszt wycieku danych.

  2. Włamania POS są najczęstszym źródłem potwierdzonego wycieku danych.

  3. Sztuczki psychologiczne są ciągle stosowanym kierunkiem ataku.

  4. Urządzenia mobilne coraz częściej są stosowane do kradzieży danych.

  5. Utrzymanie zgodności z wymogami PCI jest procesem.

  6. Wrażliwość na włamania jest mocno powiązana z brakiem zgodności z PCI.

  7. … jednak nawet Verizon zauważa błędy w procesie PCI.

  8. Utrzymanie zgodności z PCI DSS jest trudne.

  9. Automatyzacja bezpieczeństwa i zgodności z PCI jest sprawą kluczową.

  10. Bezpieczeństwo popłaca.

Przejdźmy zatem do omówienia poszczególnych punktów.

1. Wyliczony koszt wycieku danych

Verizon Data Breach Report wprowadza nowy model wyliczania kosztów wycieku danych. Jest on dość zawiły, ale jego najważniejsza teza jest następująca:

Przewidywany średni koszt utraty 1000 rekordów obliczany jest między 52, a 87 tysiącami dolarów”.
Źródło: Verizon 2015 Data Breach Investigations Report

Verizon odnotowuje, że większe firmy i instytucje ponoszą większe koszty utraty danych, ale zwykle tracą ich więcej i ponoszą większe koszty ogólne. Dla mniejszych firm, choć jednostkowy koszt włamania jest mniejszy, rezultat utraty może być druzgocący, pochłaniając większą część przychodów.

2. Włamania POS są najczęstszym źródłem potwierdzonego wycieku danych

Według Verizon, włamania POS (point-of-sale) odpowiadają tylko za 7% zgłoszonych naruszeń bezpieczeństwa, ale odpowiadają aż za 29% przypadków utraty danych. Nie jest to zaskoczeniem dla kogoś, kto śledził prasę w 2014 roku.

Verizon zaznacza, że najczęstszymi ofiarami ataków padają firmy z sektora usług kwaterunkowych, rozrywki i sprzedaży – wszędzie, gdzie akceptowane są płatności kartą. (Zgodność z wymogami PCI omawiamy w osobnym podpunkcie).

„Włamania POS odpowiadają za 29% przypadków wycieku danych”
Źródło: Verizon 2015 Data Breach Investigations Report

Małe restauracje i sprzedawcy to od lat najczęstsze “dojne krowy” dla hakerów, ale zwykle nie słyszymy o takich włamaniach. Ataki POS początkowo skupiały się na małych firmach i obejmowały niewielkie kwoty. Z czasem przeniosły się do dużych instytucji odpowiadając za olbrzymie straty danych.

Verizon zaznacza, że atakujący stosują różne sposoby włamań do organizacji, w zależności od ich wielkości:

  • W małych firmach atakowane są bezpośrednio urządzenia POS, zwykle przez ataki brute force.

  • Ataki na większe organizacje mają charakter wielostopniowy, często łamane są zabezpieczenia podrzędnych systemów, zanim włamywacz dotrze do systemu POS.

3. Sztuczki psychologiczne są ciągle stosowanym kierunkiem ataku

Wiele zdarzeń pochodzi z bezpośrednich sztuczek psychologicznych stosowanych na pracownikach, aby zdobyć dane niezbędne do uzyskania zdalnego dostępu do systemu POS.

„W 30% ataków POS wykorzystano skradzione dane”
Źródło: Verizon 2015 Data Breach Investigations Report

Mniej ataków pochodziło z kont o wyższych uprawnieniach. Więcej włamań wykorzystywało konta kasjerów lub operatorów call center niż twórców aplikacji czy administratorów systemu. Powodem jest duża migracja pracowników, mniejszy poziom świadomości zagrożeń i marne polityki bezpieczeństwa, jak np. konta współdzielone.

Wspomniane sztuczki psychologiczne wykorzystywały najprostsze mechanizmy, jak np. telefon do kasjera czy pracownika banku z prośbą o dane do logowania.

Mary Meeker podkreśla braki w zakresie bezpieczeństwa na wszystkich poziomach organizacji:

Co najmniej 30% organizacji zgłasza „problematyczne braki” w następujących dziedzinach:
1. Umiejętności z zakresu bezpieczeństwa wirtualizacji serwerów i przetwarzania w chmurze,
2. Umiejętności z zakresu bezpiecznego korzystania z komputerów,
3. Umiejętności z zakresu bezpieczeństwa sieciowego,
4. Bezpieczeństwa danych,
5. Analityki bezpieczeństwa/informatyki śledczej.

Źródło: 2015 Internet Trends Presentation by Mary Meeker (slide 89)

4. Urządzenia mobilne coraz częściej są stosowane do kradzieży danych

Źródłem ataków może być Adware, zapewniając hakerom dostęp do informacji osobistych, w tym kontaktów, które mogą być użyte do ataków phishingowych czy w ramach sztuczek psychologicznych.

„22% włamań zgłoszonych przez osoby decyzyjne na stanowiskach bezpieczeństwa sieciowego zrealizowanych było przez zgubione lub ukradzione urządzenie”.
Źródło: 2015 Internet Trends Presentation by Mary Meeker (slajd 88)

Jeżeli urządzenia nie są prawidłowo zablokowane i zabezpieczone, mogą być użyte do uzyskania dostępu do poufnych informacji w sieci. Zarządzanie urządzeniami mobilnymi staje się zatem krytyczne.

5. Utrzymanie zgodności z wymogami PCI jest procesem

Verizon odnotowuje, że mniej niż 1/3 firm spełniała wszystkie wymogi rok po zakończonej pozytywnie weryfikacji. Brakuje procedur dotyczących zarządzania i utrzymywania zgodności.

“4 na 5 organizacji ciągle nie przechodzi półrocznej oceny, co oznacza, że nie są w stanie utrzymać zaimplementowanej kontroli bezpieczeństwa”.
Źródło: Verizon 2015 PCI Compliance Report

6. Wrażliwość na włamania jest mocno powiązana z brakiem zgodności z PCI

Wytyczne PCI zmieniały się przez lata, kładąc coraz większy nacisk na bezpieczeństwo i zgodność, jako ciągły proces. Wymuszenie zmian w praktykach biznesowych przyniosło skutek, bowiem raport Verizon wskazuje, że jest istnieje silne powiązanie między zgodnością z PCI i bezpieczeństwem.

„Ze wszystkich włamań analizowanych przez Verizon w ciągu ostatnich 10 lat, żadna z firm, nie spełniała wymogów w chwili ataku”.

„Grupa, która nie padła ofiarą włamania, osiągnęła o 36% lepsze wyniki, co sugeruje, że istnieje silne powiązanie między zgodnością z PCI DSS i podatnością na wyciek danych przy operowaniu informacjami o kartach płatniczych.”
Źródło: Verizon 2015 PCI Compliance Report

7. … jednak nawet Verizon zauważa błędy w procesie PCI

“PCI DSS polega na prewencji i nie przykłada dość uwagi do wykrywania, zapobiegania i identyfikacji istniejących zagrożeń”
Źródło:
Verizon 2015 PCI Compliance Report

8. Utrzymanie zgodności z PCI DSS jest trudne

Verizon podkreśla, że wiele firm nie zdaje sobie sprawy z zakresu, wymaganych zasobów i wpływu procesu dopasowywania zgodności z PCI.

Cóż zatem trudnego w ustalaniu zgodności PCI?

  • Skala i poziom skomplikowania wymogów

  • Niepewność co do zakresu i wpływu

  • Brak zasobów

  • Brak wglądu w istniejące procesy biznesowe

9. Automatyzacja bezpieczeństwa i zgodności z PCI jest sprawą kluczową

Verizon kładzie duży nacisk na automatyzację procesów bezpieczeństwa, aby były trwałe i spójne. Oto jedna z rekomendacji Verizon:

„Zautomatyzuj zapobieganie zagrożeniom i wykrywanie luk. Podejście na zasadzie Planuj-Zrób-Sprawdź do zarządzania podatnościami może poprawić jakość i usprawnić działanie tak, aby było spójne, powtarzalne i przewidywalne”.
Źródło: Verizon 2015 PCI Compliance Report

10. Bezpieczeństwo popłaca

To oczywiste, ale wpływ utraty danych sięga daleko poza koszty materialne, wpływając na zaufanie klientów i chęć dalszej współpracy z firmą.

„47 z 50 amerykańskich stanów wprowadziło obowiązek publikacji informacji o jakiejkolwiek utracie danych”.
„69% klientów nie chce współpracować z organizacją, która utraciła dane”.

Źródło: Verizon 2015 PCI Compliance Report

Podsumowując

Bezpieczeństwo transakcji kartami płatniczymi to skomplikowane zagadnienie. W naszym tekście poruszyliśmy tylko najważniejsze zagadnienia z raportów bezpieczeństwa. Bezpieczeństwo i zgodność z wymogami wykracza poza 10 powyższych nauk, ale to dobry początek dla wszystkich firm, które przetwarzają i akceptują informacje z kart kredytowych.

Opublikowano

Mojo Networks
Mojo Networks

Mojo Networks – prosty przepis na bezpieczne angażowanie użytkowników sieci bezprzewodowej Powszechnie dostępne sieci bezprzewodowe przeszły długą drogę. Obecne rozwiązania muszą sprostać wysokim oczekiwaniom użytkowników dotyczących przede wszystkim szybkości działania. Dodatkowym, prawdopodobnie najważniejszym, kryterium, które muszą brać pod uwagę projektanci ... Więcej »