ციფრულმა უსაფრთხოებამ ახალი წესები შეიძინა და ბარათების მონაცემების დამმუშავებელ კომპანიებს ადაპტაცია სჭირდებათ. PCI უსაფრთხოების სტანდარტების საბჭოს (PCI SSC) მიერ დადგენილი გადახდის ბარათების ინდუსტრიის მონაცემთა უსაფრთხოების სტანდარტის (PCI DSS) 4.0 ვერსიის გამოსვლით, ცვლილებები მნიშვნელოვანია და პირდაპირ გავლენას ახდენს მომხმარებლის მონაცემების დაცვაზე და გადახდის მონაცემების შენახვის, დამუშავებისა და გადაცემის წესზე. მაგრამ რა იცვლება სინამდვილეში?
მთავარი ცვლილება ციფრული უსაფრთხოების კიდევ უფრო მაღალი დონის აუცილებლობაა. კომპანიებს მოუწევთ ინვესტიციების ჩადება ისეთ მოწინავე ტექნოლოგიებში, როგორიცაა ძლიერი დაშიფვრა და მრავალფაქტორიანი ავთენტიფიკაცია. ეს მეთოდი მოითხოვს მინიმუმ ორ დამადასტურებელ ფაქტორს მომხმარებლის ვინაობის დასადასტურებლად, სანამ სისტემებზე, აპლიკაციებზე ან ტრანზაქციებზე წვდომას მიანიჭებთ, რაც ჰაკერულ შეტევებს ართულებს, მაშინაც კი, თუ დამნაშავეები პაროლებზე ან პერსონალურ მონაცემებზე წვდომას მოიპოვებენ.
გამოყენებულ ავტორიზაციის ფაქტორებს შორისაა:
- რაღაც, რაც მომხმარებელმა იცის : პაროლები, PIN კოდები ან პასუხები უსაფრთხოების კითხვებზე.
- რაღაც, რაც მომხმარებელს აქვს : ფიზიკური ტოკენები, SMS დამადასტურებელი კოდებით, ავთენტიფიკატორის აპლიკაციები (მაგალითად, Google Authenticator) ან ციფრული სერთიფიკატები.
- რაღაც, რასაც მომხმარებელი აკეთებს : ციფრული, სახის, ხმის ან ფერადი გარსის ამოცნობის ბიომეტრია.
„დაცვის ეს ფენები არაავტორიზებული წვდომის მოპოვებას გაცილებით ართულებს და მგრძნობიარე მონაცემების უსაფრთხოებას უფრო მეტს უზრუნველყოფს“, - განმარტავს ის.
„მოკლედ რომ ვთქვათ, ჩვენ უნდა გავაძლიეროთ მომხმარებლის მონაცემების დაცვა დამატებითი ზომების განხორციელებით არაავტორიზებული წვდომის თავიდან ასაცილებლად“, - განმარტავს ვაგნერ ელიასი, Conviso-ს აღმასრულებელი დირექტორი, რომელიც აპლიკაციების უსაფრთხოების გადაწყვეტილებების შემმუშავებელია. „საქმე აღარ არის „საჭიროების შემთხვევაში ადაპტაციაში“, არამედ პრევენციულ მოქმედებაში“, - ხაზს უსვამს ის.
ახალი წესების თანახმად, განხორციელება ორ ეტაპად ხორციელდება: პირველი, 13 ახალი მოთხოვნით, 2024 წლის მარტამდე იყო განსაზღვრული. მეორე, უფრო მომთხოვნი ფაზა, დამატებით 51 მოთხოვნას მოიცავს და 2025 წლის 31 მარტამდე უნდა დაკმაყოფილდეს. სხვა სიტყვებით რომ ვთქვათ, მათ, ვინც მომზადებას ვერ მოახერხებს, შესაძლოა მკაცრი ჯარიმები დაეკისროთ.
ახალ მოთხოვნებთან ადაპტაციის მიზნით, რამდენიმე ძირითადი ქმედება მოიცავს: firewall-ების და ძლიერი დაცვის სისტემების დანერგვას; მონაცემთა გადაცემისა და შენახვისას დაშიფვრის გამოყენებას; საეჭვო წვდომისა და აქტივობის მუდმივ მონიტორინგსა და თვალყურის დევნებას; პროცესებისა და სისტემების მუდმივ ტესტირებას დაუცველობის გამოსავლენად; და ინფორმაციული უსაფრთხოების მკაცრი პოლიტიკის შექმნასა და შენარჩუნებას.
ვაგნერი ხაზს უსვამს, რომ პრაქტიკაში ეს ნიშნავს, რომ ნებისმიერ კომპანიას, რომელიც ბარათით გადახდებს ახორციელებს, მოუწევს მთელი თავისი ციფრული უსაფრთხოების სტრუქტურის გადახედვა. ეს გულისხმობს სისტემების განახლებას, შიდა პოლიტიკის გაძლიერებას და გუნდების ტრენინგს რისკების მინიმიზაციის მიზნით. „მაგალითად, ელექტრონული კომერციის კომპანიამ უნდა უზრუნველყოს, რომ მომხმარებლის მონაცემები იყოს ბოლომდე დაშიფრული და მხოლოდ ავტორიზებულ მომხმარებლებს ჰქონდეთ წვდომა მგრძნობიარე ინფორმაციაზე. მეორეს მხრივ, საცალო ქსელს მოუწევს მექანიზმების დანერგვა შესაძლო თაღლითობის მცდელობებისა და მონაცემთა გაჟონვის უწყვეტი მონიტორინგისთვის“, - განმარტავს ის.
ბანკებსა და ფინტექ კომპანიებს ასევე დასჭირდებათ ავთენტიფიკაციის მექანიზმების გაძლიერება, ისეთი ტექნოლოგიების გამოყენების გაფართოებით, როგორიცაა ბიომეტრია და მრავალფაქტორიანი ავთენტიფიკაცია. „მიზანია ტრანზაქციების უფრო უსაფრთხო გახადოს მომხმარებლის გამოცდილების კომპრომისის გარეშე. ეს მოითხოვს ბალანსს დაცვასა და გამოყენებადობას შორის, რასაც ფინანსური სექტორი ბოლო წლებში აუმჯობესებდა“, - ხაზგასმით აღნიშნავს ის.
მაგრამ რატომ არის ეს ცვლილება ასეთი მნიშვნელოვანი? გაზვიადება არ იქნება თუ ვიტყვით, რომ ციფრული თაღლითობა სულ უფრო დახვეწილი ხდება. მონაცემთა დარღვევამ შეიძლება მილიონობით დოლარის ზარალი და მომხმარებელთა ნდობისთვის გამოუსწორებელი ზიანი მიაყენოს.
ვაგნერ ელიასი აფრთხილებს: „ბევრი კომპანია კვლავ რეაქტიულ მიდგომას იყენებს და უსაფრთხოებაზე მხოლოდ შეტევის შემდეგ ზრუნავს. ეს ქცევა შემაშფოთებელია, რადგან უსაფრთხოების დარღვევამ შეიძლება მნიშვნელოვანი ფინანსური დანაკარგები და ორგანიზაციის რეპუტაციისთვის გამოუსწორებელი ზიანი გამოიწვიოს, რაც პრევენციული ზომებით შეიძლება თავიდან იქნას აცილებული“.
ის ასევე ხაზს უსვამს, რომ ამ რისკების თავიდან ასაცილებლად, მთავარია, ახალი აპლიკაციის შემუშავების დასაწყისიდანვე დანერგოთ აპლიკაციის უსაფრთხოების პრაქტიკები, იმის უზრუნველსაყოფად, რომ პროგრამული უზრუნველყოფის შემუშავების ციკლის თითოეულ ფაზას უკვე ჰქონდეს დამცავი ზომები. ეს უზრუნველყოფს, რომ დამცავი ზომები დანერგილი იყოს პროგრამული უზრუნველყოფის სასიცოცხლო ციკლის ყველა ეტაპზე, რაც გაცილებით უფრო ეკონომიურია, ვიდრე ინციდენტის შემდეგ დაზიანების აღმოფხვრა.
აღსანიშნავია, რომ ეს მსოფლიო მასშტაბით მზარდი ტენდენციაა. Mordor Intelligence-ის მონაცემებით, აპლიკაციების უსაფრთხოების ბაზარი, რომლის ღირებულება 2024 წელს 11.62 მილიარდ დოლარს შეადგენდა, 2029 წლისთვის 25.92 მილიარდ დოლარს მიაღწევს.
ვაგნერი განმარტავს, რომ DevOps-ის მსგავსი გადაწყვეტილებები საშუალებას იძლევა კოდის ყველა ხაზი შემუშავდეს უსაფრთხო პრაქტიკის გამოყენებით, გარდა ისეთი სერვისებისა, როგორიცაა შეღწევადობის ტესტირება და დაუცველობის შემცირება. „უსაფრთხოების უწყვეტი ანალიზისა და ტესტირების ავტომატიზაციის ჩატარება კომპანიებს საშუალებას აძლევს დაიცვან რეგულაციები ეფექტურობის შემცირების გარეშე“, - ხაზს უსვამს ის.
გარდა ამისა, ამ პროცესში მნიშვნელოვანია სპეციალიზებული საკონსულტაციო მომსახურება, რომელიც კომპანიებს ეხმარება ახალი PCI DSS 4.0 მოთხოვნებთან ადაპტაციაში. „ყველაზე მოთხოვნად მომსახურებას შორისაა შეღწევადობის ტესტირება, Red Team და მესამე მხარის უსაფრთხოების შეფასებები, რომლებიც ხელს უწყობს დაუცველობის იდენტიფიცირებას და გამოსწორებას, სანამ ისინი დამნაშავეების მიერ იქნება გამოყენებული“, - განმარტავს ის.
ციფრული თაღლითობის სულ უფრო დახვეწილი მეთოდების გამო, მონაცემთა უსაფრთხოების იგნორირება აღარ არის ვარიანტი. „კომპანიები, რომლებიც პრევენციულ ზომებში ინვესტირებას ახდენენ, უზრუნველყოფენ თავიანთი მომხმარებლების დაცვას და აძლიერებენ თავიანთ საბაზრო პოზიციას. ახალი სახელმძღვანელო პრინციპების დანერგვა, უპირველეს ყოვლისა, აუცილებელი ნაბიჯია უფრო უსაფრთხო და საიმედო გადახდების გარემოს შექმნისკენ“, - ასკვნის ის.
