Vídeo: Orientação profissional parte 2? (Novembro 2024)
As recentes violações de dados na Target, Neiman Marcus e outros pontos de venda provaram que a conformidade com os padrões do setor não se traduz em melhor segurança. Então, por que estamos perdendo tempo com uma lista de verificação?
Os atacantes interceptaram os detalhes do cartão de pagamento quando os cartões foram passados e antes que as informações pudessem ser criptografadas, os executivos da Target e Neiman Marcus testemunharam em 5 de fevereiro na audiência do Subcomitê de Comércio, Manufatura e Comércio do Comitê de Energia e Comércio da Câmara. "As informações foram coletadas imediatamente após o furto - milissegundos antes enviados por túneis criptografados para processamento", disse Michael Kingston, vice-presidente sênior e CIO da Neiman Marcus.
Quando os cartões são passados, as informações da tarja magnética não são criptografadas. A única maneira de impedir o malware nos terminais de ponto de venda dos varejistas de capturar as informações é ter os dados criptografados desde o início. O problema é que atualmente a criptografia de ponta a ponta não é obrigatória pelos regulamentos do setor, o que significa que essa lacuna não desaparecerá tão cedo.
Mesmo mudar de cartões de tarja magnética para cartões de chip EMV não resolveria o problema de criptografia de ponta a ponta, pois os dados ainda são transmitidos em texto não criptografado no momento em que estão sendo transferidos. A adoção dos cartões EMV é necessária, mas não será suficiente se as organizações também não pensarem em reforçar todos os aspectos de suas defesas de segurança.
O PCI-DSS não funciona
Os varejistas - qualquer organização que lida com dados de pagamento, na verdade - devem cumprir o PCI-DSS (Padrão de segurança de dados do setor de cartões de pagamento) para garantir que as informações do consumidor sejam armazenadas e transmitidas com segurança. O PCI-DSS possui muitas regras, como garantir que os dados sejam criptografados, instalar um firewall e não usar senhas padrão, entre outras. Parece uma boa idéia no papel, mas como várias violações recentes de dados mostraram, o cumprimento dessas exigências de segurança não significa que a empresa nunca será violada.
"Claramente, a conformidade com o PCI não está funcionando muito bem - apesar dos bilhões de dólares gastos pelos comerciantes e processadores de cartões nos esforços para alcançá-lo", escreveu Avivah Litan, vice-presidente e destacado analista do Gartner, em uma publicação no blog no mês passado.
O padrão se concentra nas medidas defensivas convencionais e não acompanhou os últimos vetores de ataque. Os invasores da última rodada de violações de varejistas usavam malware que evitava a detecção de antivírus e os dados criptografados antes de transferi-los para servidores externos. "Nada que eu saiba no padrão PCI poderia ter pego essas coisas", disse Litan.
Litan atribuiu a culpa pelas violações diretamente aos bancos emissores de cartões e às redes de cartões (Visa, MasterCard, Amex, Discover) "por não fazer mais para evitar os desastre". No mínimo, eles deveriam ter atualizado a infraestrutura dos sistemas de pagamento para oferecer suporte à criptografia de ponta a ponta (do varejista ao emissor) dos dados do cartão, da mesma forma que os PINs são gerenciados nos caixas eletrônicos, disse Litan.
A conformidade não é segurança
Ninguém parece levar a sério o adesivo compatível com PCI. O recém-lançado Verizon 2014 PCI Compliance Report constatou que apenas 11% das organizações eram totalmente compatíveis com os padrões do setor de cartões de pagamento. O relatório constatou que muitas organizações gastam muito tempo e energia para passar na avaliação, mas, uma vez feitas, não acompanharam - ou não puderam - acompanhar as tarefas de manutenção para manter a conformidade.
De fato, JD Sherry, diretor de tecnologia e soluções públicas da Trend Micro, chamou Michaels e Neiman Marcus como "reincidentes".
Ainda mais perturbador, cerca de 80% das organizações cumpriram "pelo menos 80%" das regras de conformidade em 2013. Ser "compatível" na maioria das vezes parece suspeito como "não compatível", pois há um buraco na infraestrutura.
"Um equívoco comum é que o PCI foi projetado para ser um elemento essencial para a segurança", testemunhou Phillip Smith, vice-presidente sênior da Trustwave, na audiência.
Então, por que ainda mantemos o PCI? Tudo o que faz é tirar os bancos e o VISA / MasterCard do gancho de fazer qualquer coisa para melhorar nossa segurança geral.
Foco na segurança real
Especialistas em segurança alertaram repetidamente que o foco em uma lista de requisitos significa que as organizações não percebem as lacunas e não conseguem se adaptar aos métodos de ataque em evolução. "Há uma diferença entre obediência e segurança", observou a deputada Marsha Blackburn (R-Tenn) na audiência.
Sabemos que a Target investiu na tecnologia e em uma boa equipe de segurança. A empresa também gastou muito tempo e dinheiro alcançando e comprovando a conformidade. E se, em vez disso, a Target pudesse ter gasto todo esse esforço em medidas de segurança não mencionadas no PCI, como a adoção de tecnologias de sandboxing ou até mesmo a segmentação da rede para que sistemas sensíveis sejam isolados?
E se, em vez de passar os próximos meses documentando e mostrando como suas atividades são mapeadas para a lista de verificação da PCI, os varejistas possam se concentrar em adotar várias camadas de segurança que sejam ágeis e possam se adaptar a ataques em evolução?
E se, em vez de varejistas e organizações individuais se preocuparem com o PCI, responsabilizarmos os bancos e as redes de cartões? Até lá, continuaremos vendo mais dessas violações.