P C I D S S S T A N D A R D
M A T E J S A K S I D A , S & T S L O V E N I J A
Podatki o plačilnih karticah so
najbolj iskano blago
Na vrhu seznama kraj in zlorab podatkov plačilnih kartic se je z 31 odstotki vseh kraj in
zlorab znašla trgovina na drobno. Regulatorji so zato nekaterim podjetjem, ki pri poslovanju
zbirajo, hranijo, obdelujejo ali prenašajo podatke plačilnih kartic, zadali rok za zagotovitev
združljivosti z varnostnim standardom PCI DSS. 31. junij 2011 je zadnji dan, ko bi morala
obramba pred napadalci na podatke o plačilnih karticah strniti svoje vrste in varnostni nivo
dvigniti letvico ali dve višje.
Hekerji so v zadnjih letih predvsem finančno motivirani, med najbolj iskanimi podatki pa
so seveda informacije o plačilnih karticah. V dobi digitalnega in plastičnega plačevanja je
namreč ukradene podatke kartic moč izredno hitro pretvoriti v denarno ali blagovno korist.
Za eno ukradeno plačilno kartico je potrebno na črnem trgu odšteti povprečno zgolj 20
centrov.
Zaradi vse večjih zlorab na področju kartičnega poslovanja, vodilni izdajatelji plačilnih
kartic (Visa, MasterCard, American Express, Discover in JBC) podjetjem, ki sodelujejo v
kartičnem plačilnem prometu (bankam, zavarovalnicam, trgovinam, proizvodnim podjetjem
in drugim), narekujejo izpolnjevanje standarda Payment Card Industry Data Security
Standard, krajše PCI DSS.
PCI DSS standard
PCI DSS je mednarodni standard o varovanju podatkov na področju kartičnega
poslovanja. Omenjeni standard obravnava tako tehnološki kot organizacijski vidika
varovanje podatkov. Za doseganje združljivosti z njim torej ni dovolj zgolj urejeno IT-okolje,
temveč mora organizacija poskrbeti še za ustrezno implementacijo politike varovanja
informacij.
Podjetja, ki so ponudnik plačilnih storitev s karticami, morajo zagotoviti polno
združljivost s standardom PCI DSS, sicer jim grozijo ne le kazni, temveč celo prenehanje
kartičnega poslovanja. Tudi v primeru sodelovanja z zunanjimi ponudniki teh storitev velja
poslovati le s podjetji, ki so sama skladna s standardom PCI DSS.
Statistika ne laže
Pri denarju navadno ni šale. Samo v letu 2008 (zadnji aktualni podatki) je bilo v svetu
ukradenih več kot 285 milijonov podatkov imetnikov plačilnih kartic. Povzročena škoda se
meri v stotinah in tisočih milijard – v poljubni svetovni valuti. Napadalci seveda najprej
poiščejo lahke žrtve, torej podjetja brez ustrezne zaščite. Kar 81 odstotkov vdorov so v letu
2008 utrpele organizacije, ki niso bile polno združljive s standardom PCI DSS. Še bolj strašljiv
je podatek, da so kar tri izmed štirih napadenih organizacij vdor odkrile šele po več mesecih,
ko je bilo napadalce praktično nemogoče najti.
Celovito pokrivanje varnosti
Zahteve standarda PCI DSS obsegajo vzpostavitev in vzdrževanje varnega omrežja,
varovanje podatkov imetnikov kartic, vzdrževanje programa upravljanja ranljivosti,
vzpostavitev ustreznih pristopnih kontrol, redni nadzor in preizkušanje omrežja ter
vzdrževanje informacijske varnostne politike. Skladnost z varnostnim standardom se
zahteva na vseh naštetih področjih.
Implementacija varnostnega standarda PCI DSS omogoča tudi višji nivo informacijske
varnosti, ohranjanje zaupanja, zaščito pred številnimi škodnimi dogodki (zlorabami) in
posledično zaščito pred finančnimi izgubami ter izgubo ugleda organizacije. Seštevek
omenjenih stroškov je seveda krepko višji od višine naložbe v skladnost z varnostnimi
standardi.
Koliko stane združljivost?
Danes živimo v časih, ko se poslovne odločitve merijo predvsem skozi številke in
finančne izkaze. Jasno je, da je naložba v združljivost s strožjim varnostnim standardom
vedno povezana tako z enkratnimi kot stalnimi stroški, a tudi na drugi strani enačbe stojijo
prežeči minusi. Le redka podjetja imajo opravljene izračune, koliko bi jih stala povrnitev
škode in ugleda, če bi dejansko prišlo do kraje podatkov. Koliko torej stane združljivost?
Odvisno od stopnje razvitosti organizacije, v katero se vpeljuje, in obsega kartičnega
poslovanja, navadno pa se giblje na intervalu med 10 tisoč in milijon evri. Prav tako je težko
določiti natančno ceno za posamezen napad, pogosto gre vsaj za šestmestne številke. Manj
ohlapna je cena nezdružljivosti, ki je enaka kazni, katero podjetje plača regulatorju – v
slovenskem primeru Uradu informacijskega pooblaščenca.
Povsem jasno je, da vzdrževanje stalne združljivosti s standardom PCI DSS stane podjetja
veliko manj kot posamezen napad in/ali kraja podatkov. Na kratek rok si morebiti podjetje
lahko privošči tudi plačilo kazni, vendar si sodobnega poslovanja brez podpore plačilnim
karticam le ne morem predstavljati.
Kje začeti?
Podjetje mora najprej ugotoviti, v kateri »razred« standarda sodi glede na obseg
kartičnega prometa in zahtevano varnost. Zato mora najprej opraviti temeljito analizo
prometa, nato pa še procesov in opreme. V predhodno fazo, pred samim opravljanjem
sprememb v poslovanju in varnostnih rešitvah, sodi tudi analiza organizacije in okolja, v
katerem le-ta deluje. Že opravljanje vseh zahtevanih analiz ni mačji kašelj, brez ustreznih
strokovnjakov pa je nemogoče pripraviti kakovosten načrt izvedbe prenove in doseganja
skladnosti.
Podjetja pogosto delajo to napako, da želijo hraniti vse podatke v nedogled. To je
izredno drago, pa tudi nevarno. Precej bolj zdrav recept v primeru kartičnega poslovanja je
hramba le najnujnejših podatkov za kar najkrajši možen čas. Kot sistemski integrator v
družbi S&T Slovenija ugotavljamo, da največji problem pri zagotavljanju združljivosti s
standardom PCI DSS podjetjem predstavljata sistemska dokumentacija in uvedba jasnih
pravil igre.
Po pomoč k zunanjemu izvajalcu
Podjetja se pri implementaciji standarda PCI DSS v praksi pogosto obrnejo na
specializirane zunanje izvajalce. Zunanji izvajalec navadno lažje in bolj neodvisno opravi
presojo varnosti v organizaciji ter poskrbi za pripravo
konkretnih rešitev za odpravo odkritih neskladnosti. Ker je veliko zahtev skladnosti tudi z
organizacijskega področja, je zelo pomembna tudi priprava celovite informacijske varnostne
politike, dobrodošla pa je tudi pomoč pri njeni vpeljavi v prakso. Prva leta zagotavljanja
združljivosti z varnostnimi standardi namreč zahtevajo malce več napora s strani zaposlenih,
da ti spremenijo svoje (navadno brezbrižne) delovne navade in znajo prepoznati morebitne
nevarnosti. Pri izbiri zunanjega partnerja je poleg njegovih izkušenj in znanja zelo
pomembna tudi njegova odzivnost, najboljši ponudniki denimo zagotavljajo 24-
urni odziv na varnostne incidente vse dni v letu.
Skladnost s standardom PCI DSS zahteva stalno varovanje kartičnih podatkov in
periodično preverjanje varnosti omrežja pred notranjimi in zunanjimi vdori ter pripravo
konkretnih rešitev za zaščito pred napadalci. Izobraževanje tehničnega in ostalega osebja
mora zato biti visoko na spisku prioritet organizacij, saj so napadalci navadno najuspešnejši
ob uporabi metod socialnega inženiringa, s katerimi pretentajo svoje žrtve.
Dejstva
1. Standard nas ne zadeva
»Standard PCI DSS nas ne obvezuje, saj smo majhno podjetje, šolska ustanova, trgovina,
neprofitna organizacija …«
Dejansko stanje je seveda nasprotno. Standard velja za vse, ki shranjujejo, prenašajo ali
procesirajo številke kreditnih kartic – brez izjem.
2. Standard je nejasen
»Standard PCI je nejasen in ohlapen. Ne vemo, kaj narediti, koga vprašati in kaj spremeniti«
Standard PCI je eden najbolj jasnih in specifičnih v industriji. Vsebuje natančne razlage, kako
urediti strojno in programsko okolje ter vpeljati potrebne organizacijske spremembe.
Vsebuje tudi opis postopkov, s katerimi lahko podjetje preveri skladnost.
3. Združljivost je draga
»Standard PCI je drag, zapleten, preveč tehnološko usmerjen, obremenjujoč, preveč
obširen …«
Standard PCI vsebuje le najnujnejše varnostne ukrepe s področja varovanja informacij.
Standard ni nič zahtevnejši od zagotavljanja poslovanja ali ustreznega okolja IT.
4. Standard ni varen
»Uspešni napadi na ustanove s certifikatom PCI dokazujejo, da ta ne pripomore k večji
varnosti.«
Standard PCI za zagotavljanje varnosti sam po sebi ni dovolj. Predstavlja osnovo, na kateri
se lahko prične graditi »varnost poslovanja«.
5. Za doseganje zahtev je dovolj že izpolnitev vprašalnika
»Standard PCI-DSS je preveč enostaven. Zadostuje že izpolnitev vprašalnika.«
Standard PCI poleg vprašalnika zahteva še preverjanje varnosti omrežja. Poleg tega je
izpolnjevanje vsake postavke na vprašalniku potrebno dokazati.
6. Združljivost zagotavlja proizvajalec opreme
»Moja orodja so certificirana s standardom PCI-DSS. To mi je zagotovil proizvajalec.«
Orodje ne more biti certificirano s standardom PCI-DSS. Ta zahteva še ustrezne procese,
varnostne politike, upravljanje z napakami, izobraževanje in predvsem »prakso«.
7. Standard omogoča varno delovno okolje
»Standard PCI-DSS je dovolj varen. Vsebuje čisto vse, kar potrebujemo za varno delovno
okolje.«
Standard PCI-DSS je zgolj in samo osnova. Konkretno standard PCI-DSS pokriva le kartično
poslovanje.
8. Standard ne vpliva na poslovanje
»Četudi bomo napadeni in ne bomo skladni s standardom PCI-DSS, se to ne bo poznalo na
našem poslovanju.«
Kaj takega lahko trdijo le podjetja, ki so opravila izračun možnih kazni, pregonov,
pogodbenih stroškov … V praksi takšna enačba ne obstaja.