Carte di credito, ecco come difendersi dagli hacker
Carte di credito, il Payment Security Report 2017 di Verizon mostra il legame tra conformità ai requisiti di sicurezza e capacità di difendersi dagli hacker
Dato che gli attacchi informatici sono in costante aumento, la sicurezza delle carte di credito è un argomento sempre più sentito, sia dalle aziende che dai clienti. I requisiti di sicurezza dei dati per il settore carte di credito (Payment Card Industry Data Security Standard, PCI DSS) sono stati introdotti come supporto alle aziende che usufruiscono di carte di credito, per proteggere i propri sistemi di pagamento dal rischio di violazioni e furto dei dati dei titolari di queste carte. I dati del Payment Security Report 2017 di Verizon (2017 PSR) svelano che il rispetto di questi criteri da parte delle organizzazioni e la loro capacità di difendersi dagli attacchi hacker sono effettivamente correlati.
Tutti i casi di violazione di dati di una carta di credito su cui Verizon ha indagato erano legati alla mancata applicazione di questi requisiti al momento dell’attacco, e hanno dimostrato anzi una conformità incompleta per 10 dei 12 requisiti PCI DSS basilari.
In generale, la conformità ai requisiti PCI da parte delle aziende, a livello mondiale, è aumentata, infatti il 55,4% delle organizzazioni prese in considerazione da Verizon nel 2016 ha superato questa verifica provvisoria. Questi dati rappresentano un miglioramento rispetto al 2015, quando le organizzazioni che rispettavano tutti i requisiti secondo la verifica provvisoria erano il 48,4%. Questo significa che quasi la metà dei retailer, dei ristoratori, degli hotel e molte altre attività che si basano su pagamenti con carta di credito sono ancora in difficoltà nel rispettare questi requisiti minimi di sicurezza di anno in anno.
“Il rispetto dei requisiti PCI DSS e la capacità di un’organizzazione di difendersi dagli attacchi informatici sono aspetti chiaramente legati,” commenta Rodolphe Simonetti, global managing director for security consulting di Verizon. “Se da un lato un maggior rispetto dei requisiti PCI è positivo, rimane il fatto che più del 40% delle organizzazioni di tutte le dimensioni esaminate a livello globale ancora non applica i criteri PCI DSS. E, tra quelle che hanno superato quest’analisi, quasi la metà non è più conforme nel giro di un anno, e altre ancora prima.”
Rispetto dei criteri da parte delle aziende: insight principali e casi reali
Secondo il report, il settore dei servizi IT, tra tutti i settori chiave analizzati, è quello che ha raggiunto il livello più alto e completo di conformità a questi requisiti. A livello globale, più della metà (61.3%) delle organizzazioni IT, in occasione della verifica provvisoria del 2016, ha raggiunto un’adesione completa ai criteri, seguito dal 59.1% delle organizzazioni dei servizi finanziari (tra cui le compagnie assicurative), del retail (50%) e del settore hospitality (42.9%).
Il report PSR 2017, inoltre, fa luce sulle sfide che i diversi settori devono affrontare per applicare questi criteri, tra cui:
● Retail: test di sicurezza, trasmissione di dati crittografati e autenticazione.
● Hospitality e travel: rafforzamento della sicurezza, protezione dei dati in transito e sicurezza fisica.
● Servizi finanziari: procedure di sicurezza, configurazioni sicure, protezione dei dati in transito, gestione delle vulnerabilità e gestione dei rischi in generale.
Alcuni Esempi di casi reali illustrano situazioni in cui l’adesione ai requisiti fondamentali non è stata rispettata. Ad esempio – un’organizzazione di servizi finanziari che cercava di aggirare i criteri di sicurezza PCI DSS per i Wi-Fi ha scoperto, con sua grande sorpresa, che effettivamente era presente una rete wireless presso la propria sede - e questa mancanza di informazioni è stata la base dell’errore. Dato che la stanza dei server si trovava infatti nel seminterrato, mentre il reparto IT era collocato al terzo piano, il responsabile IT era stanco del su e giù per le scale, così aveva deciso di installare un router per avere accesso ai server direttamente dalla propria scrivania.
Attenzione al ‘control gap’ – la chiave per la sostenibilità dei requisiti di sicurezza
Se si considerano i criteri di sicurezza PCI che le aziende dovrebbero applicare (ad esempio i test di sicurezza, di penetrazione, ecc), il report ha evidenziato un ‘control gap’ sempre più ampio, e questo significa che molti di questi requisiti base erano assenti. Nel 2015, ad esempio, le aziende che non hanno superato la verifica provvisoria non avevano applicato il 12.4% dei criteri di sicurezza; questa cifra, nel 2016, è salita al 13%.
Simonetti specifica, “La questione non è più ‘se’ i dati debbano essere protetti, ma ‘come’ arrivare ad una protezione dei dati davvero sostenibile. Molte organizzazioni concepiscono ancora i criteri di sicurezza PCI DSS come fini a se stessi, e non capiscono come siano invece interconnessi – il concetto di gestione del ciclo di vita della sicurezza, fin troppo spesso, è completamente inesistente. E, spesso, questo è il risultato della mancanza di personale interno specializzato - ma, nella nostra esperienza, le competenze interne possono trarre ampi spazi di miglioramento grazie alla consulenza costante di esperti esterni.”
Il report PSR 2017 suggerisce cinque linee guida principali per la gestione del ciclo di vita della sicurezza:
Consolidare per una gestione più semplice – Non sempre aumentare i controlli di sicurezza è la risposta giusta – lo Standard PCI DSS comprende già di per sé numerosi requisiti e normative per la protezione dei dati, tutti interconnessi tra loro. Le organizzazioni dovrebbero perciò riuscire a utilizzarlo per consolidare la sicurezza, semplificandone, in generale, la gestione.
Investire nello sviluppo del know-how – Le organizzazioni dovrebbero investire nelle risorse umane, per sviluppare e mantenere le conoscenze su come migliorare, monitorare e misurare l’efficacia dei controlli di sicurezza già in atto.
Adottare una strategia equilibrata – Le aziende devono basarsi su un ambiente di controllo interno che sia solido e resiliente al tempo spesso, se vogliono restare in linea con i requisiti di sicurezza vigenti.
Automatizzare il più possibile – Applicare il flusso di lavoro della protezione dei dati e l’automazione può essere un grande vantaggio in termini di gestione della sicurezza – ma ogni automazione deve essere ispezionata frequentemente.
Progettare, applicare e gestire l’ambiente dei controlli di sicurezza interni – Le performance di tutti i controlli di sicurezza sono interconnesse. Se a monte si verifica una criticità, si ripercuoterà sul rendimento dei controlli di sicurezza a valle. E’ quindi essenziale capire questo aspetto, per acquisire e mantenere un programma di protezione dei dati efficace e sostenibile.
Troy Leach, chief technology officer del PCI Security Standards Council commenta: “Il report sottolinea le sfide che le organizzazioni devono affrontare per applicare coerentemente e costantemente gli standard di sicurezza, molto spesso infatti gli ambienti dati dei titolari delle carte di credito rimangono in una situazione di vulnerabilità agli attacchi informatici. Questo trend è stato uno dei driver di cambiamento introdotti nella versione 3.2 del PCI Data Security Standard, che si concentra sul supporto alle organizzazioni nell’accertarsi che i requisiti di sicurezza dei dati più critici vengano applicati per tutto l’arco dell’anno, e che questi criteri vengano testati nel contesto di un procedimento costante di monitoraggio della sicurezza”.
Il Payment Security Report 2017 di Verizon
L’obiettivo del report PSR 2017 non è convincere il lettore della necessità di rispettare gli standard di sicurezza PCI, ma monitorare i risultati misurabili del rispetto di questi criteri. L’edizione di quest’anno del report racchiude i risultati delle verifiche sugli standard PCI effettuate da un team di Verizon dedicato, il team PCI Qualified Security Assessors per Fortune 500 e altre grandi multinazionali, in più di 30 paesi diversi. Proprio come nel caso del Data Breach Investigations Report di Verizon, il PSR 2017 si basa su casi reali, con focus specifici relativi ai settori dei servizi finanziari (47.5%); servizi IT (22.3%), hospitality (15.1%) e retail (14.4%). Le aree geografiche analizzate comprendono America (42.4%), Europa (28.1%) e APAC (29.5%).
Il Payment Security Report 2017 di Verizon può essere scaricato qui.
I servizi di sicurezza professionale di Verizon
Nel panorama della comunità della PCI Security, la voce di Verizon è quella di un consulente conosciuto e rispettato in materia. Dal 2009, infatti, Verizon ha condotto più di 15.000 test di sicurezza, anche per aziende della lista Fortune 500. Verizon gestisce le reti di più di 4.000 clienti a livello mondiale, e l’azienda stessa opera una delle reti IP globali più estese del mondo, per questo vanta uno sguardo unico sulla sicurezza. Verizon offre un ampio ventaglio di programmi di consulenza e test sulla sicurezza dei pagamenti e sulla conformità agli standard principali (PCI-DSS, PA-DSS, P2PE, EI3PA, PIN and ECB) e sulla sicurezza del settore sanitario e i relativi standard (HIPAA, ONC Health IT, ConCert by HIMSS); inoltre, offre test di sicurezza e certificazioni per la sicurezza di hardware, software, soluzioni e IoT, oltre a test relativi alle minacce e alla vulnerabilità.