PCI DSS 4.0 kommer - Er du klar?
Ransomware i dag er en milliardindustri og har lammet næringer som f.eks. helsetjenesten. I 2017 ble store deler av Storbritannias nasjonale helsetjeneste satt ute av spill som følge av WannaCry utnyttelsen av EternalBlue-sårbarheten. Kun få uker senere utnyttet NotPetya den samme sårbarheten for å angripe mange bransjer.
Disse angrepene og andre angrep lik disse ble mulig som følge av svake sikkerhetskontroller og utdaterte operativsystemer. Ser vi framover er det sannsynlig at ondsinnede aktører vil fortsette å bruke ransomware for å angripe målrettet mot en rekke ulike bransjer. De vil sannsynligvis også gå etter individuelle organisasjoners Point of Sale (POC)-systemer, ettersom EMV-chipkort har gjort dataskraping nesten umulig.
Er redningen PCI DSS?
Heldigvis kan organisasjoner bidra til å beskytte kortholdermiljøene sine mot ransomware og andre digitale trusler ved å oppå compliance med PCI DSS (Payment Card Industry Data Security Standard). Denne standarden er opprettet av PCI Security Standards Council og er et sett med krav som organisasjoner kan bruke for å beskytte kortholderdataene sine. Det begrenser også kortutsteders og bankens ansvar i tilfelle noen blir utsatt for datainnbrudd.
Introduksjon av PCI DSS v4.0
Akkurat nå ser det ut til at PCI Security Standards Council vil fullføre versjon 4.0 en gang sent i 2021. Foreløpig vet vi ikke så mye om den nye versjonen, men vi kjenner noen av målene med de reviderte standarden. Dette inkluderer:
- Den reviderte standarden vil fortsatt møte behovene til betalingsindustrien i takt med at teknologier og løsninger utvikles.
- PCI DSS v4.0 vil legge til fleksibilitet og support for ytterligere metodikk for å oppnå bedre sikkerhet. (Historisk sett har standarden vært god på dette. Det er tidligere introduserte metoder som File Integrity Monitoring (FIM) og Vulnerability Management (VM).)
- Et av de primære målene med PCI DSS v4.0 vil være å fremme sikkerhet som en kontinuerlig prosess, slik at organisasjoner forblir compliant over tid.
- Til slutt vil PCI DSS v4.0 fortsette å forbedre valideringsmetoder og prosedyrer med mål om å hjelpe organisasjoner med deres compliance-arbeid.
Når PCI DSS v4.0 er klar vil det være en utvidet overgangsperiode der organisasjoner kan oppdatere til den nyeste versjonen av standarden. Den forrige versjonen, PCI DSS v.3.2.1, vil forbli aktiv i 18 måneder etter v4.0 er fullført. Dette vil gi organisasjoner en mulighet til å bli kjent med standarden, support-dokumenter og andre endringer, samt planlegge oppdateringsprosessen. For å opprettholde compliance må organisasjoner fullføre oppdateringsplanene innen 1. kvartal 2024.
Utfordringer man må tenke på
Overgangsperioden kan skape større utfordringer knyttet til det å oppnå og opprettholde compliance med PCI DSS. For det første er det trusselen om konfigurasjonsdrift. Organisasjoner må ha et mål i tankene for miljøet og holde seg til det for å sikre at systemer i kortholdermiljøene holder seg til den ønskede tilstanden.
Organisasjoner må gå gjennom den kjedelige oppgaven med å demonstrere compliance ovenfor revisor. Det krever mye tid og krefter for å gjennomføre en revisjon avhengig av antall eiendeler, tester og kontroller. (Organisasjoner må tross alt ha historiske data for å påvise compliance over tid.) Avhengig av tilgjengelig ressurser og størrelsen på kortinnehaverens datamiljøer, kan det hende at organisasjoner heller ikke synes det er praktisk å revidere alle systemene deres. En slik avgjørelse kan gjøre at man etterlater digitale trusler som lurer rundt i systemene.
Organisasjoner kan velge å investere i en PCI DSS-løsning, men ikke utnytte den. PCI DSS krever at organisasjoner har loggstyring, FIM og VM-funksjoner på plass, men alt dette kan vise seg å være kostbart om organisasjoner implementerer en annen løsning fra en annen leverandør for hver sikkerhetsfunksjon. Selv da er det ikke sikkert funksjonene fremmer organisasjonens sikkerhet utover en «checkbox»-funksjon. En FIM-løsning kan varsle om endringer, men gir ikke nødvendigvis sammenheng. En VM-løsning kan utføre regelmessige skanninger og identifisere svakheter, men gir ikke nødvendigvis veiledning eller info om hvem som er ansvarlig for å fikse disse sikkerhetshullene.
Hvordan Tripwire kan hjelpe
Tripwire kan hjelpe organisasjoner med å gjøre seg klare for PCI DSS v4.0.
Tripwire hjelper organisasjoner å demonstrere compliance, ikke bare med PCI DSS, men andre viktige standarder som CIS, ISO 27001 og mange andre. Dette gjør de ved å tilby maler for revisjonsrapporter som er «out-of-the-box» i tilleg til automatiserte compliance-rapporter. Tripwire kobler sammen og tester alle eiendeler utvalgt og avgjør om de består testen for compliance eller ikke. Dermed sparer organisasjonen den tiden de ellers ville brukt på manuell revisjon av alt. Deretter vil det produseres en rapport som ikke bare omhandler compliance, men også loggendringer for eiendelene i utvalget.
Med en slik synlighet kan organisasjoner holde oversikten over eiendelene, adressere forekomst av konfigurasjoner raskt og derav opprettholde compliance over tid.
Denne artikkelen ble først publisert på bloggen til Tripwire av Paul Norris, Senior Sales Engineer at Tripwire - "PCI DSS 4.0 Is Coming – Are You Ready?"