'Strikse' PCI-krav reddede ikke datasikkerhed hos Nets

Selvom Nets som alle andre skal leve op til et stramt regelsæt fra de store betalingskortselskaber for at kunne behandle Visa og Mastercard, er det ikke en garanti for sikkerheden generelt, siger ekspert i PCI-tjek af virksomheder.

Skandalen om læk af data fra Nets har fået diskussionerne om sikkerhed til at blomstre – og et af punkterne er værdien af fine sikkerhedsstandarder, årlige audits og fine certifikater med stempler til samlingen på væggen.

Nets skal nemlig ligesom alle andre, der formidler betalinger med internationale betalingskort hvert år bestå et tjek, hvor et eksternt firma kontrollerer, at alle krav i standarden ’PCI DSS’ bliver overholdt. PCI DSS står for Payment Card Industry Data Security Standard, og Nets bliver årligt og senest i september 2013 certificeret efter de mange krav i PCI-reglerne.

Men at det ikke har stoppet skandalen om læk af data, overrasker ikke Lars Syberg fra sikkerhedsfirmaet Fortconsult.

»PCI-standarden handler kun om at beskytte kortnumrene. Alt det andet, inklusive transaktioner på kortet, er mindre relevant. Men det hele ligger normalt på de samme systemer,« siger Lars Syberg, der er leder af Fortconsults afdeling for PCI DSS-audits.

Reglerne for de internationale betalingskort kan også betyde, at for eksempel kundeservice-medarbejdere ikke må få adgang til kortnumrene, men godt kan følge med i transaktioner på en persons kort.

Beskyttelse mod hackere - ikke mod insidere

Det er ikke Fortconsult, men britiske Foregenix, der har udstedt et PCI-’diplom’ til Nets, og Lars Syberg udtaler sig derfor generelt ud fra sine erfaringer, og ikke konkret om forholdene og sikkerheden hos Nets. Men afsløringerne i de forløbne uger har ført til mange diskussioner med kolleger om, hvordan en PCI-godkendelse kan beskytte mod den slags datalæk, der er sket hos Nets.

Den grundlæggende forskel er, at PCI-reglerne er skabt for at beskytte kortnumre mod at falde i it-kriminelles hænder og i mindre grad beskæftiger sig med at beskytte data mod insider-misbrug. Det slår for eksempel igennem i kravene om logning.

»Der skal logges en masse, og der skal overvåges og samles op. Men det er ikke særlig klart defineret, kun på nogle enkelte områder, mens resten er op til virksomheden selv. Fokus er ikke så meget på autoriserede medarbejdere, som slår data op som en del af deres arbejde, så man kan sagtens være helt compliant, og alligevel kan sådan noget som hos Nets ske,« siger Lars Syberg.

Kravet om beskyttelse af kortnumrene betyder også, at der ikke i logfilerne må være kortnumre.

»Derfor kan man ikke lige gå ind og søge på kortnumre i logfilerne og se, hvem der har forespurgt på dette betalingskort. Man kan bruge andre nøgler, for eksempel navn, men det kommer an på, hvordan logningen er lavet,« siger sikkerhedseksperten.

I Nets-sagen har der ikke været tale om salg af kortoplysninger – det er i hvert fald ikke offentligt kendt – men fordi det er en insider med systemadgang, ville PCI-standarden heller ikke beskytte Nets her.

»Standarden er bygget op om, at man har nogle folk med fingrene i maskinen, og at man bliver nødt til at stole på dem. Så det er ret sandsynligt, at kilde kunne have solgt kortdata, hvis han ville det,« vurderer Lars Syberg.

Selvom PCI-reglerne og kravet om årlige audits måske globalt set er en forbedring og gør det mere trygt at svinge sit Visa-kort, kan effekten også hurtigt blive den modsatte ude hos de firmaer, som skal leve op til reglerne, vurderer Lars Syberg.

»Nogle gange giver PCI-compliance en forkert fornemmelse af sikkerhed. Så mener man, at man gør nok, når man lever op til PCI-standarden, og det er dejligt for firmaer som Nets at kunne pege på, at de er compliant. Men standarden er et minimumsniveau, som kun handler om, at ejerne af disse kortnumre vil sikre, at de er beskyttet,« siger han.

Krypterer kortnumre - men ikke navne

Selvom Fortconsult anbefaler kunderne en stribe andre tiltag, udover hvad PCI-standarden kræver, vælger en del kunder at nøjes med PCI-audits og den sikkerhed, der skal til for at leve op til reglerne her.

»Der er mange, som siger ’vi tager PCI – det er godt nok’. Vi ser for eksempel, at det kun er kortnumrene i databasen, som er krypterede, og ikke de andre data, som navn. Det er ellers nemt at kryptere og beskytte hele databasen i stedet for kun kortnumrene. Men det ser vi desværre tit,« siger Lars Syberg.

Et andet problem er, at et firma dumper et PCI-audit, hvis bare én ting er galt. Derfor bliver kortene holdt tæt ind til kroppen, når de eksterne konsulenter kommer ud for at tjekke, om alt er som det skal være.

»Hvis du fejler på ét lille punkt, har du fejlet det hele. Derfor har du som virksomhed ikke nogen interesse i at lægge alt for meget frem, for tænk nu hvis det betyder, at du fejler? Det er især, hvis du lever af at processere kort. I princippet må bankerne ikke bruge firmaer, som ikke er PCI-compliant, men i praksis er det ikke realistisk, at det får den konsekvens,« siger Lars Syberg.

Hele Nets-sagen har altså handlet meget mere om privacy og sikkerhed generelt, end det har handlet om PCI-standarden, der koncentrerer sig om at forhindre hackere i at løbe med kortnumrene og misbruge dem. Men på et område kan der være overlap, nemlig reaktionen på den advarsel, som Nets fik om misbrug af interne data i januar 2013.

»Får man sådan en henvendelse, så bør man undersøge det ret grundigt. I et firma som Nets vil man ikke miste en masse kortdata, der kan blive svindlet med. Det ville jeg tage meget seriøst, hvis jeg fik sådan en henvendelse,« siger Lars Syberg.

Version2 har forsøgt at tale med Foregenix, firmaet som har foretaget seneste audit hos Nets, men her var eneste besked, at man ikke ville sige noget, hvorefter røret blev smækket på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

"»PCI-standarden handler kun om at beskytte kortnumrene. Alt det andet, inklusive transaktioner på kortet, er mindre relevant."

Det er faktisk endnu simplere: PCI handler om at beskytte Visa/MasterCard og bankerne imod økonomiske tab og kun det.

Det er derfor det er så vigtigt at bankerne skal betale for alt kortsvindel der skyldes utilstrækkelige sikkerhedsbeslutninger: Ellers har de intet encitament til at forbedre sikkerheden.

Christian Schmidt

Derfor har du som virksomhed ikke nogen interesse i at lægge alt for meget frem, for tænk nu hvis det betyder, at du fejler?

Jeg har en kammerat i oliebranchen, der fortæller, at man der gør meget ud af at fremavle en sikkerhedskultur, hvor folk råber op, hvis sikkerhedsforskrifter ikke bliver overholdt. Det gælder fra boreplatformen til hovedkontoret. Et stort antal dagligdags gøremål bliver udført på særlige måder af sikkerhedshensyn, helt ned til at orientere om nødudgange forud for alle møder med eksterne deltagere. Folk anerkendes for at påpege, hvis noget ikke er i overstemmelse med sikkerhedsreglerne, også selvom det skaber stort postyr.

Det lyder måske lidt rigidt, men tiltag til en sådan kultur kunne være meget nyttigt og tiltrængt mange steder i it-branchen.

Hvis en audit skal nytte noget, skal medarbejdere kunne udtale frit uden frygt for at påkalde sig chefens irritation. Det kræver, at en lille overtrædelse det ikke får uproportionalt store konsekvenser for virksomheden.

Søren Jensen

Det lyder måske lidt rigidt, men tiltag til en sådan kultur kunne være meget nyttigt og tiltrængt mange steder i it-branchen.

Nu er der lidt forskel på oliebranchen og så IT branchen. ;)
Hvis du dummer dig oliebranchen så risikere du at folk dør, sådan går det heldigvis ikke i denne sag hvor det drejer sig som uautoriseret adgang til data.

Det kræver en holdningsændring at ændre it-branchen; måske ikke så meget på udviklingsniveau *) men mere på beslutningstagerniveau hvor det skal tages med ind i kravsspecifikationen!

*) Det meste kode sikkert bliver lavet i udlandet hvor de kun laver det der står i kravsspecifikationen så skal man huske at starte der.

Morten Siebuhr

"»PCI-standarden handler kun om at beskytte kortnumrene. Alt det andet, inklusive transaktioner på kortet, er mindre relevant."

Det er faktisk endnu simplere: PCI handler om at beskytte Visa/MasterCard og bankerne imod økonomiske tab og kun det.

Så sandt. ePay.dk leverer eks. en PCI-certificeret betalingskort-løsning uden krav om end-to-end SSL. Navnlig sker betalingen i en iframe (hvor siden fra epay.dk er leveret med SSL), men hvis ikke siden der indeholder iframe'en selv er krypteret, er det nemt at skifte iframe-URL'en ud.

Prøv det her:

http://www.epay.dk/eksempler/proev-epay-standard-betalingsvinduet.asp

Åbn derefter browserens JS-konsol og indtast flg. linje:

$("iframe#epay_frame")[0].src = 'http://v2.dk';
  • Det er ikke svært at skrive en proxy der optimistisk sætter den linje ind i alle hentede HTML sider
  • Brugerne ser aldrig den famøse hængelås i adressebaren. ePay.dk's support siger at deres del er PCI-certificeret og at iframe-delen ikke gør noget.
Povl H. Pedersen

en American Express CEO der sagde noget i retningen med, at så længe svindelen var under $100 mio om dagen (?), så kunne han hælde udgifterne over på de andre kunder i form af flere renter/gebyrer.

Så medmindre det er rigtigt dyrt at svine med kunders data, eller ikke beskytte dem, så er de store ligeglade. Hvis NETS skal betale erstatning, så stiger transaktionsgebyret med folketingets velsignelse, for de har jo haft flere udgifter. Nu da de er solgt kunen folketinget selvfølgelig sige, at omkostninger til bøder m.m. ikke må fradrages indkomsten før gebyrets størrelse udregnes.

Lars Larsson

Umiddelbart er det op til e-handelsbutikken at wrappe løsnigen ind på den rigtige måde. Det er ligegyldigt om det er e-pay eller andre. Mange tror at der er intet man som e-handelsbutik skal gøre, hvis man benytter en PCI compliant betalingsudbyder.
Dette er ikke rigtigt, da PCI faktisk pålægger at butikker også har styr på deres del (men bliver ikke rigtig håndhævet i dk). Der er rigtig mange andre scenarier som også kan være problematisk i sammenhængen mellem en betalingsudbyder og en butik.
I løbet af iår kommer der sandsynligvis en skærpelse på området i forhold til hvad de enkelte parter skal sikre - noget som sandsynligvis vil pålægge butikken at udvikle deres løsning således at man undgår de værste integrationsproblemer - f.eks. den nævnte. Det er ikke PCI SSC, men VISA som indskærper dette.
I forhold til en hængelås kan man overveje den problemstilling i forhold til mobilapps. Prøv f.eks. at se mobilepay, eller alle andre som faktisk har en betalingsgateway bagi. Her er ingen hængelås, som brugeren kan se - heller ikke selvom det er indlejret html. Kun hvis app udvikleren har implementeret certificate pinning undgår man dette, men dette kan man ikke selv se som bruger. Så der må man bare krydse sine fingre.

Gert Madsen

Det kræver en holdningsændring at ændre it-branchen


Ja, det gør det.
Men når vi snakker om arbejdsmiljø og personsikkerhed, så har man indført objektivt ansvar. Dvs. at der falder en hammer, hvis der sker personskade, uanset hvad.
Derfor har alle en interesse i at procedurerne rent faktisk virker.
I betalingsoverførselsbranchen, virker det til at handle om at få et officielt stempel, så billigt så muligt.

Emil Lassen

Hvorfor kan en medarbejder hos Nets i gennem flere år kan lække fortrolig information selvom Nets er plevet PCI-godkendt gennem flere år? Det burde vel ikke kunne ske! Og noget andet som jeg kom til at tænke på:
Har Nets fået nogen dispensationer til at håndtere data efterhånden som de er skiftet fra BS til PBS til Nets? Hvor mange? Og er det kutyme at man bare giver disse dispensationer?

Heine Hansen

Tak for input til ePays løsninger.

Fair skal være fair: Hvis en hjemmeside bliver hacket, står det jo hackeren frit for at gøre, som han vil med hjemmesiden, herunder at skifte iframe-URL'en ud. Det bliver ikke mindre sikkert med en iframe frem for en overlay- eller fuldskærmsløsning. Som Lars Larsson siger, er det op til forretningen selv at stå for sikkerheden på deres side.

Vi råder de af vores kunder, der bruger iframe, til at anvende eget SSL-certifikat, så deres kunder præsenteres for en hængelås på siden, hvor iframen vises. Det har ikke noget med sikkerhed at gøre, men er kun for at gøre betalingen mere tryg for kunden.

Mvh.
Heine Hansen
ePay

Niklas Pedersen

Sådan som det er nu, så tjener VISA, MasterCard og bankerne umiddelbart godt på svindel. Hvis en forbruger for misbrugt sit kort, så laver han en indsigelse hos sin kortudsteder, som trækker pengene tilbage fra den butik, hvor kortet er blevet misbrugt i. Hvis butikken allerede har leveret varen, så mister butikken både varen og pengene. Og udover det, så medfølger der et fint indsigelsesgebyr på 250kr (i PBS' tilfælde), som butikken også skal dække. Så bankerne har ingen udgift udover at sende et automatisk girokort til indehaverne af netbutikkerne, når svindel opstår.

Hvorfor skulle de være interesseret i at stoppe denne svindel?

Morten Siebuhr

Fair skal være fair: Hvis en hjemmeside bliver hacket, står det jo hackeren frit for at gøre, som han vil med hjemmesiden, herunder at skifte iframe-URL'en ud. Det bliver ikke mindre sikkert med en iframe frem for en overlay- eller fuldskærmsløsning.

Du mangler en væsentlig detalje: Hvis der ikke bruges SSL skal hackeren skaffe sig adgang til systemet bag eller et vilkårligt punkt i netværket mellem butikken og brugeren, hvilket er nogle størrelsesordner nemmere.

(Prøv eks. at sætte et ubeskyttet trådløst net op med samme SSID som en af de populære gratis-netværk, eks. s-tog, en lokal uddannelses-institution eller tilsvarende.)

Som Lars Larsson siger, er det op til forretningen selv at stå for sikkerheden på deres side.

Så nu skal alle danske e-butikker være PCI certificeret? Jeg troede det var en del af jeres forretningsmode at hjælpe butikker af med det ansvar/besvær mod betaling?

Vi råder de af vores kunder, der bruger iframe, til at anvende eget SSL-certifikat, så deres kunder præsenteres for en hængelås på siden, hvor iframen vises. Det har ikke noget med sikkerhed at gøre, men er kun for at gøre betalingen mere tryg for kunden.

Det var ikke svaret jeg fik, hverken fra Jer eller gennem den kunde jeg oprindeligt gjorde opmærksom på problemet.

Det er dog dejligt at se at Jeres dokumentation ikke længere kun nævner HTTPS i sammenhængen "... http eller https.".

Jacob Andersen

Vi råder de af vores kunder, der bruger iframe, til at anvende eget SSL-certifikat, så deres kunder præsenteres for en hængelås på siden, hvor iframen vises. Det har ikke noget med sikkerhed at gøre, men er kun for at gøre betalingen mere tryg for kunden.


Hvis jeg nu skulle indtaste mine kortoplysninger på https://fuskogsvindel.dk med fin grøn hængelås baseret på et SSL certifikat udstedt til samme tvivlsomme foretagende, så ville jeg stille bakke ud af den pågældende webshop og løbe skrigende væk, uanset om der er tale om en Epay iframe eller ej. Hvis jeg skal handle på nettet, så er det den PCI-ansvarlige betalingsudbyder, der skal lægge grøn hængelås til betalingssiden, ellers er det goodbyerut herfra!

Tobias Tobiasen

Men når vi snakker om arbejdsmiljø og personsikkerhed, så har man indført objektivt ansvar. Dvs. at der falder en hammer, hvis der sker personskade, uanset hvad.
Derfor har alle en interesse i at procedurerne rent faktisk virker.


Næsten uanset hvordan reglerne er så kræves der stadig den rigtige kultur.
Arbejdsmiljøreglerne i et godt eksempel på det. Reglerne er indført med bedste intentioner, men nogle byggepladser har virkelig dårlig kultur. Det betyder så at der ikke bliver ringet efter en ambulance hvis folk kommer til skade....
Pointen er at hvis firmaets kultur ikke tager sikkerhed alvorligt så kan regler ikke redde noget.

Log ind eller Opret konto for at kommentere