Mit ér a megfelelőség, ha zsákszám lopják az adatokat?

Az elmúlt hetekben, hónapokban bekövetkezett nagyszabású adatlopások egyre több szakértőt bizonytalanítanak el a biztonsági szabványok és előírások hatékonyságát illetően.
 

A múlt év végen az amerikai Target áruházlánc jelezte, hogy több tízmillió ügyfelének bank- és hitelkártya adatát érintő biztonsági incidensre derült fény. Ennek során olyan információk is kikerültek a vállalat adatbázisaiból, amelyek visszaélésekre és végső soron a felhasználók megkárosítására adhatnak módot. Ezért a Target minden ügyfele számára hitelkártya-monitorozó szolgáltatásra fizetett elő, ugyanakkor azt még csak megbecsülni sem lehet, hogy a támadások következtében mekkora károk érték a céget. A Target ügy után nem sokkal egy újabb jelentős – kísértetiesen hasonló – eset borzolta a kedélyeket, amely a Neiman Marcus rendszereit sújtotta. Az eddigi vizsgálati eredmények szerint az incidens következtében további 1,1 millió bankkártya válhatott kiszolgáltatottá, és az is biztos, hogy több mint kétezer kártya kapcsán már történtek visszaélések.

A megfelelőség nem jelent garanciát

Az említett adatlopási események nem kizárólag az érintett vállalatok, felhasználók és ügyfelek szempontjából hoztak felszínre aggályokat, hanem egyes biztonsági szakértők szemszögéből is. Felmerült ugyanis, hogy vajon mit ér például a PCI DSS (Payment Card Industry Data Security Standard) megfelelőség és az erre a célra fordított jelentős anyagi és emberi erőforrások, ha egy kártékony program mindenen átjutva éppen azokat az adatokat teheti teljesen kiszolgáltatottá, amelyek fokozott védelem alatt állnak.

„A biztonsági incidensek jól mutatják a PCI, valamint a teljes biztonsági ipar gyengeségét” - nyilatkozta Avivah Litan, a Gartner elemzője. Majd hozzátette, hogy a PCI DSS szabványon belül semmi nem segített a Targetnek, hogy felismerje és blokkolja a támadást. „A PCI ugyan kötelezővé teszi a vírusellenőrzést, azonban a hagyományos vírusvédelmi megoldások nem találhatták meg a Targetnél problémákat okozó kártékony programot. A PCI nem írja elő következő generációs antivírus technológiák használatát” - vélekedett Litan. A szakértő szerint az is problémát jelent, hogy sokszor korábbi támadási vektorok alapján kerül sor a megfelelőség értékelésére. Eközben a fenyegetettségek folyamatosan újulnak meg, amikre viszont a szervezetek nincsenek felkészülve. Emiatt paradigmaváltásra lenne szükség, különösen a fizetéseket lebonyolító rendszerek esetében.

Hiányos titkosítás

James Huguelet, független PCI-tanácsadó egy másik hiányosságra világított rá az előírásokat illetően. Véleménye szerint a legnagyobb problémát az jelenti, hogy a PCI elsősorban az adattárolás kapcsán fogalmaz meg komoly követelményeket a titkosítás vonatkozásában, miközben a tranzakciók, adatfeldolgozások során számos ponton maradnak védtelenek az adatok, amit a kiberbűnözés kihasználhat. Ezt láthattuk a Target esetében is. A szakember szerint a titkosításnak a tranzakciós folyamatok teljes láncolatán meg kellene történnie. A végpontól-végpontig terjedő titkosítás megvalósítása természetesen komoly költségekkel járna, viszont az adatlopásokat jelentősen megnehezítené.

Nem a szabvánnyal van a baj

Természetesen nem mindenki ért egyet azzal, hogy a PCI DSS-ben gyökereznek a problémák. John Pescatore, a SANS Institute egyik igazgatója határozottan cáfolta, hogy önmagában a szabvánnyal lennének gondok. „A mostani biztonsági incidensek a PCI követelmények implementálási visszáságaira mutatnak rá, és nem a szabványban szereplő kontrollok hiányosságaira” - nyilatkozta a szakember. Úgy látja, hogy a PCI előírásai között sok minden szerepel, amik révén a Target és a Neiman Marcus is megakadályozhatta volna a támadásokat. „A biztonság megteremtése és fenntartása nem egyszerű feladat. Azonban a problémákat nem a PCI DSS követelményei között kell keresni. A PCI folyamatok közül viszont az értékelési mechanizmusokon változtatni kellene” - mondta Pescatore. Nem tűnnek ugyanis elégségesnek az évente elvégzett vizsgálatok, ellenőrzések, illetve a negyedévente esedékes sérülékenységi tesztek.