PCI-standarden som Nets er underlagt giver falsk sikkerhed

At leve op til PCI-standarden som tilfældet er for Nets, er ikke det samme som at sikre data, lyder budskabet fra Verizon, der ligefrem mener, standarden kan resultere i falsk sikkerhed.

Ikke alene siger PCI-compliance og lignende standarder ikke meget om det reelle it-sikkerhedsniveau i en virksomhed, som Version2 tidliger har kunnet fortælle, det kan ligefrem give en falsk sikkerhedsfølelse. Det mener Eddie Schwartz, vice-precident inden for cybersikkerhed ved netværksvirksomheden Verizon.

PCI DSS står for Payment Card Industry Data Security Standard er for nyelig blevet aktuel i forbindelse med sagen om Se & Hørs såkaldte tys-tys kilde, da Nets, hvor kilden havde adgang til følsomme data, årligt bliver certificeret efter de mange krav i PCI-reglerne - senest i september 2013. Blandt andet finansielle institutioner skal lave op til PCI-kravene, der ifølge Better Business Bureau kunne være

  • Overvåg og test netværk og systemer, der indeholder data om betalingskort
  • Implementer og håndhæv en virksomhedspolitik for informationssikkerhed
  • Installer og opdater en firewall der beskytter kortholderdata i virksomhedens systemer
  • Tildel hver eneste ansatte med computeradgang et unikt brugerid og brug robust kodeord (eksempelvis en blanding af bogstaver, tal og symboler), som bliver skiftet ofte (hver 45-60 dage).
  • Begræns den fysiske adgang til virksomehdens systemer og filer med kortholderdata udelukkende til de ansatte med et forretningsmæssigt behov for at kunne tilgå dem.

Version2 mødte Eddie Schwartz til et pressearrangement i Amsterdam, som Verizon havde inviteret til.

»Hvis du siger: Jeg har bestået kravene til PCI-standarden, og nu er jeg sikker, så giver det en falsk følelse af sikkerhed,« siger han.

Og ifølge Eddie Schwartz har mange virksomheder haft en tendens til at tro, hvis de lever op til de såkaldte compliance krav, såsom PCI, så nyder de også godt af en medfølgende sikkerhed. Men det er den forkerte måde at anskue det på, påpeger Schwartz:

»Man skal vende det 180 grader og sige: Lad os starte med at få god sikkerhed på plads, og så fokusere på PCI efterfølgende eller andre compliance-standarder.«

Læs også: 'Strikse' PCI-krav reddede ikke datasikkerhed hos Nets

Han påpeger, at hvis en virksomhed starter med at få sikkerheden på plads, så vil resultatet være, at virksomheden per definition vil leve op til de fleste af eksempelvis PCI-kravene. Men det er ikke nok bare af fokusere på disse krav i forhold til sikkerhed.

»Compliance er grundlæggende bare en checkliste over minimumskrav inden for en standard,« siger Eddie Schwartz og tilføjer:

»Sikkerhed er et større billede. Ja, det kan godt være, du lever op til disse minimumskrav, men under visse omstændigheder, eksempelvis i forbindelse med behandling af følsomme data, skal man op på et langt højere niveau, end det, der lægges op til i minimumskravene.«

Men hvis ikke PCI siger noget reelt om sikkerhedsniveauet, hvad skal man så fokusere på, hvis man er på udkig efter en it-leverandør?

»Når du er på udkig efter en 3. parts leverandør, så skal du spørge dig selv: Har denne leverandør de samme standarder indenfor sikkerhed, som jeg selv anvender?,« siger Eddie Schwarz og fortsætter:

»Lad os sige, der er tale om en offentlig myndighed. Denne gruppe har altid høje sikkerhedsstandarder, hvad angår privacy, i forhold til at beskytte deres egne data. Den samme standard skal bruges i forhold til enhver leverandør, de arbejder med. Uanset om det er en stor eller en lille leverandør, skal de leve op til disse standarder,« siger Eddie Schwartz.

Og hvis der er tale om en mindre leverandør, som kan have svært ved selv at leve op til den sikkerhedsstandard, myndigheden forventer, så må myndigheden assistere virksomheden med at komme op på det niveau - såfremt det produkt leverandøren kan levere, er uundværligt for myndigheden, mener Schwartz.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakub Nielsen

Hvordan kan det være en cover my ass for bankerne? Hvis nogen hacker din bank, uanset om banken har et antal certificeringer så lider den stadig et stort tillidsbrud over for dens kunder.
PCI DSS har ikke alverden i sig, men der er flere ting i dens end blot de overskrifter som er med i artiklen. Den står aldrig alene i et finansielt firma, så jeg må have misset hvorfor Version2 fokuserer så meget på det aspekt.

Per Gøtterup

PCI DSS står faktisk ret alene, bortset fra små bidder fra diverse andre standarder (ISO27001-2 m.v.), og der er meget fokus på lige præcis at overholde PCI og ikke mere. Dette skyldes selvfølgelig at tingene allerede ved PCI er ret tunge og besværlige, og at ekstra sikkerhed blot vil komplicere tingene i langt højere grad og dermed kraftigt fordyre (i tid) alle arbejdsprocesser, og så har man simpelt hen afvejet risikoen for hacking mod denne ekstra omkostning og valgt at 'PCI er rigeligt'.

Jarle Knudsen

Lad mig lige sætte ting i et perspektiv:

Eksamen efter endt uddannelse som skoler/universiteter er underlagt giver falsk sikkerhed i den fagligviden.

At leve op til eksamenskrav er ikke det samme som at sikre at få nødvendig kompetence og faglig viden, lyder budskabet fra eksperter, der ligefrem mener, et diplom kan resultere i et falskt kompetencegrundlag.

Ikke alene siger eksamenspapirer og lignende diploma ikke meget om det reelle uddannelsesniveau, som Version2 tidliger har kunnet fortælle, det kan ligefrem give en falsk sikkerhedsfølelse.

Med andre ord: nogle studerer for at få en reel uddannelse, andre for at blot bestå eksamen.

Kompetencer og fagligniveau er også derefter.

Michael Christensen

... er vel, at det er den certificering, og den alene, du bliver målt på.

Er du compliant eller ej. Hvis man ensidigt fra ledelsen fokuserer på PCI, så kan man forledes til at glemme, at der er andre ting indenfor Informationsikkerhed, der bør tages højde for. ISO2700x for eksempel.

Det er lidt som med KPI'er. Hvis det er dem, du får din løn efter, så indsnævres scopet, og man reagerer måske ubalanceret.

Log ind eller Opret konto for at kommentere