Kreditkort-sikkerhedskrav overser interne trusler

Sikkerhedskravene omkring lagring af kreditkortdata er utilstrækkelige, når det gælder om at forhindre tyveri af data indefra i en virksomhed.

Kravene i Payment Card Industry Data Security Standard er hovedsageligt rettet mod webbaserede forretninger, og det efterlader huller i systemerne hos de almindelige butikskæder, advarer databasesikkerhedsfirmaet Secerno ifølge VNUnet.

»Standarden siger intet om at sikre data på interne netværk eller om at sikre databasen. Desværre er de interne trusler standardens blinde punkt«, siger stifter Paul Davie fra Secerno til VNUnet.

Typisk blot omtalt PCI er det compliance-krav, som påvirker flest virksomheder, da standarden er blevet udvidet til at omfatte alle virksomheder, der håndterer kreditkort. Men ifølge Paul Davie er det et problem, at standarden kun har internetrelaterede krav til sikkerheden på netværket.

Standarden stiller således krav om firewalls, men kun i forhold til at forhindre ekstern adgang til et system med kreditkortdata. Det betyder, at selvom en virksomhed overholder kravene, kan der stadig ske et brud på sikkerheden, hvis en medarbejder lader sig friste af muligheden for at kopiere eller på anden måde kompromittere dataene.

Mens PCI-kravene vil give en god sikkerhed for eksempelvis webbutikker, så vil fysiske butikker fortsat være udsatte. I den hidtil største sag med stjålne kreditkortdata fra den amerikanske butikskæde TJ Maxx fik hackerne således i første omgang adgang til systemerne via et usikkert trådløst netværk.

Samtidig var der ingen sikkerhed, som stillede væsentlige forhindringer i vejen for hackerne, efter de først havde fået adgang til det interne netværk via den trådløse forbindelse. Derfor kunne hackerne i flere omgang over omkring halvandet år stjæle blandt andet kreditkortdata fra TJ Maxx's centrale systemer, der behandlede transaktionerne fra butikkerne.