Stafrænt öryggi hefur nýlega fengið nýjar reglur og fyrirtæki sem vinna úr kortagögnum þurfa að aðlagast. Með tilkomu útgáfu 4.0 af gagnaöryggisstaðlinum fyrir greiðslukort (PCI DSS), sem PCI Security Standards Council (PCI SSC) setti, eru breytingarnar verulegar og hafa bein áhrif á vernd viðskiptavinagagna og hvernig greiðslugögn eru geymd, unnin og send. En hvað breytist í raun og veru?
Helsta breytingin er þörfin fyrir enn hærra stig stafræns öryggis. Fyrirtæki verða að fjárfesta í háþróaðri tækni eins og öflugri dulkóðun og fjölþátta auðkenningu. Þessi aðferð krefst að minnsta kosti tveggja staðfestingarþátta til að staðfesta auðkenni notanda áður en aðgangur er veittur að kerfum, forritum eða viðskiptum, sem gerir tölvuárásir erfiðari, jafnvel þótt glæpamenn fái aðgang að lykilorðum eða persónuupplýsingum.
Meðal auðkenningarþátta sem notaðir eru eru:
- Eitthvað sem notandinn veit : lykilorð, PIN-númer eða svör við öryggisspurningum.
- Eitthvað sem notandinn hefur : líkamleg tákn, SMS með staðfestingarkóðum, auðkenningarforrit (eins og Google Authenticator) eða stafræn vottorð.
- Eitthvað sem notandinn er : stafræn líffræðileg tölfræði, andlits-, radd- eða augnlitsgreining.
„Þessi verndarlög gera óheimilan aðgang mun erfiðari og tryggja meira öryggi fyrir viðkvæmar upplýsingar,“ útskýrir hann.
„Í stuttu máli þurfum við að styrkja vernd viðskiptavinagagna með því að innleiða frekari ráðstafanir til að koma í veg fyrir óheimilan aðgang,“ útskýrir Wagner Elias, forstjóri Conviso, sem þróar öryggislausnir fyrir forrit. „Þetta snýst ekki lengur um að ,aðlagast þegar þörf krefur‘ heldur að bregðast við með fyrirbyggjandi hætti,“ leggur hann áherslu á.
Samkvæmt nýju reglunum fer innleiðingin fram í tveimur áföngum: sá fyrsti, með 13 nýjum kröfum, hafði frest til mars 2024. Sá seinni, krefjandi áfangi, inniheldur 51 viðbótarkröfu og verður að uppfylla hana fyrir 31. mars 2025. Með öðrum orðum, þeir sem ekki undirbúa sig geta átt yfir höfði sér alvarlegar refsingar.
Til að aðlagast nýjum kröfum eru meðal lykilaðgerða: innleiðing eldveggja og öflugra verndarkerfa; notkun dulkóðunar í gagnaflutningi og geymslu; stöðugt eftirlit og rekja grunsamlegan aðgang og virkni; stöðugar prófanir á ferlum og kerfum til að bera kennsl á veikleika; og mótun og viðhald strangra upplýsingaöryggisstefnu.
Wagner leggur áherslu á að í reynd þýði þetta að öll fyrirtæki sem sjá um kortgreiðslur þurfi að endurskoða alla stafræna öryggisuppbyggingu sína. Þetta felur í sér að uppfæra kerfi, styrkja innri stefnu og þjálfa teymi til að lágmarka áhættu. „Til dæmis þarf netverslunarfyrirtæki að tryggja að gögn viðskiptavina séu dulkóðuð frá upphafi til enda og að aðeins viðurkenndir notendur hafi aðgang að viðkvæmum upplýsingum. Verslunarkeðja þarf hins vegar að innleiða aðferðir til að fylgjast stöðugt með hugsanlegum svikatilraunum og gagnaleka,“ útskýrir hann.
Bankar og fjártæknifyrirtæki þurfa einnig að styrkja auðkenningarkerfi sín og auka notkun tækni eins og líffræðilegrar auðkenningar og fjölþátta auðkenningar. „Markmiðið er að gera viðskipti öruggari án þess að skerða upplifun viðskiptavina. Þetta krefst jafnvægis milli verndar og notagildis, eitthvað sem fjármálageirinn hefur verið að bæta á undanförnum árum,“ leggur hann áherslu á.
En hvers vegna er þessi breyting svona mikilvæg? Það er engin ýkja að segja að stafræn svik eru að verða sífellt flóknari. Gögnalekar geta leitt til milljóna dollara í tapi og óbætanlegu tjóni á trausti viðskiptavina.
Wagner Elias varar við: „Mörg fyrirtæki tileinka sér enn viðbragðsaðferðir og hafa aðeins áhyggjur af öryggi eftir að árás hefur átt sér stað. Þessi hegðun er áhyggjuefni, þar sem öryggisbrot geta leitt til verulegs fjárhagstjóns og óbætanlegs tjóns á orðspori fyrirtækisins, sem hægt væri að forðast með fyrirbyggjandi aðgerðum.“
Hann leggur enn fremur áherslu á að til að forðast þessa áhættu sé lykilatriði að innleiða öryggisráðstafanir forrita frá upphafi þróunar nýs forrits og tryggja að hvert stig hugbúnaðarþróunarferlisins hafi þegar verndarráðstafanir. Þetta tryggir að verndarráðstafanir séu innleiddar á öllum stigum hugbúnaðarlíftímans, sem er mun hagkvæmara en að bæta úr tjóni eftir atvik.
Það er vert að taka fram að þetta er vaxandi þróun um allan heim. Samkvæmt Mordor Intelligence er gert ráð fyrir að markaðurinn fyrir forritaöryggi, sem var metinn á 11,62 milljarða Bandaríkjadala árið 2024, muni ná 25,92 milljörðum Bandaríkjadala árið 2029.
Wagner útskýrir að lausnir eins og DevOps geri kleift að þróa hverja einustu kóðalínu með öruggum aðferðum, auk þjónustu eins og öryggisprófana og varúðarráðstafana. „Með því að framkvæma stöðuga öryggisgreiningu og sjálfvirkni prófana geta fyrirtækjum fylgt reglugerðum án þess að skerða skilvirkni,“ leggur hann áherslu á.
Þar að auki eru sérhæfð ráðgjafarþjónusta mikilvæg í þessu ferli og hjálpar fyrirtækjum að aðlagast nýju PCI DSS 4.0 kröfunum. „Meðal eftirsóttustu þjónustunnar eru öryggisprófanir, Red Team og öryggismat þriðja aðila, sem hjálpa til við að bera kennsl á og leiðrétta veikleika áður en glæpamenn geta nýtt sér þá,“ útskýrir hann.
Þar sem stafræn svik verða sífellt flóknari er ekki lengur möguleiki að hunsa gagnaöryggi. „Fyrirtæki sem fjárfesta í fyrirbyggjandi aðgerðum tryggja vernd viðskiptavina sinna og styrkja markaðsstöðu sína. Innleiðing nýju leiðbeininganna er umfram allt nauðsynlegt skref í átt að því að byggja upp öruggara og áreiðanlegra greiðsluumhverfi,“ segir hann að lokum.
