Shoda s předpisy bezpečnost nezajistí

9. 3. 2010

Sdílet

Rok poté, co došlo k obřímu úniku dat od provozovatelů platebního systému Heartland, ukazuje šetření, že soulad s regulačními předpisy i oborovými standardy není totéž jako adekvátní zabezpečení.

Jaikumar Vijayan na americkém Computerworldu dokonce uvádí, že shoda s předpisy může vést k falešnému pocitu bezpečí. Systém Heartlandu byl totiž plně kompatibilní se standardem Payment Card Industry Data Security Standard (PCI DSS) a měl na to příslušné certifikáty. To dává společnosti šanci zastavit velké množství soudních řízení obviňujících ji z nedbalosti, nicméně ukazuje, že shoda s předpisy nestačí pro zajištění ochrany dat.

CEO Heartlandu Robert Carr uvedl, že útok byl prostě velmi sofistikovaný, mluvčí organizace PCI Security Council naproti tomu tvrdí, že šlo o „normální“ průnik metodou SQL injection (viz také: Největší únik dat způsobil útok SQL injection)

Firmy by, tvrdí alespoň analytik společnosti Gartner Avivah Litan, každopádně pro lepší zabezpečení příslušných údajů měly zavést technologie nad rámec normy PCI DSS, například end-to-end šifrování citlivých dat. Heartland se nyní skutečně snaží nasadit tento typ šifrování (tzv. E3) a bude dodávat i příslušné terminály.

Jiní konzultanti tvrdí, že dodržování normy nemá být statické, má smysl pouze v případě, že současně existuje mechanismus, který soulad kontroluje průběžně. PCI DSS ale nijak negarantuje, že podnik bude normu plnit i den po udělení certifikátu.

K obřímu úniku dat došlo právě před rokem – ze systému Heartland tehdy získali útočníci údaje o 130 milionech platebních kartách. Byl tím překonán rekord z roku 2007, kdy bylo kompromitováno 94 milionů platebních karet ze systému společnosti TJX Companies.

ICTS24

Firma Heartland nedávno souhlasila s mimosoudním vyrovnáním se společností  VISA, v rámci které za incident zaplatí 60 milionů dolarů. Dřivější vyrovnání s American Express přišlo na 3,6 milionů dolarů.

Jeden z útočníků Albert Gonzalez dostal za svůj podíl na incidentu v rposinci loňského roku 17 let.

Autor článku