Skaitmeniniam saugumui ką tik įsigaliojo naujos taisyklės, ir įmonės, tvarkančios kortelių duomenis, turi prie jų prisitaikyti. Pasirodžius PCI saugumo standartų tarybos (PCI SSC) nustatytai 4.0 versijai „Payment Card Industry Data Security Standard“ (PCI DSS), pokyčiai yra reikšmingi ir tiesiogiai veikia klientų duomenų apsaugą bei mokėjimo duomenų saugojimo, tvarkymo ir perdavimo būdą. Tačiau kas iš tikrųjų pasikeičia?
Pagrindinis pokytis – dar aukštesnio skaitmeninio saugumo lygio poreikis. Įmonės turės investuoti į pažangias technologijas, tokias kaip patikimas šifravimas ir daugiafaktorinis autentifikavimas. Šiam metodui reikalingi bent du patvirtinimo veiksniai, patvirtinantys vartotojo tapatybę prieš suteikiant prieigą prie sistemų, programų ar operacijų, todėl įsilaužimą apsunkina net ir tuo atveju, jei nusikaltėliai gauna prieigą prie slaptažodžių ar asmens duomenų.
Tarp naudojamų autentifikavimo veiksnių yra šie:
- Kažkas, ką žino vartotojas : slaptažodžiai, PIN kodai arba atsakymai į saugos klausimus.
- Kažkas, ką turi vartotojas : fiziniai žetonai, SMS žinutės su patvirtinimo kodais, autentifikavimo programėlės (pvz., „Google Authenticator“) arba skaitmeniniai sertifikatai.
- Vartotojo savybė : skaitmeniniai, veido, balso ar rainelės atpažinimo biometriniai duomenys.
„Šie apsaugos sluoksniai gerokai apsunkina neteisėtą prieigą ir užtikrina didesnį neskelbtinų duomenų saugumą“, – aiškina jis.
„Trumpai tariant, turime sustiprinti klientų duomenų apsaugą, įdiegdami papildomas priemones, skirtas užkirsti kelią neteisėtai prieigai“, – aiškina Wagneris Eliasas, programų saugumo sprendimų kūrėjos „Conviso“ generalinis direktorius. „Tai nebėra „prisitaikymo prireikus“, o prevencinio veikimo klausimas“, – pabrėžia jis.
Pagal naująsias taisykles įgyvendinimas vyksta dviem etapais: pirmojo, kuriame nustatyti 13 naujų reikalavimų, terminas buvo 2024 m. kovo mėn. Antrasis, sudėtingesnis etapas apima 51 papildomą reikalavimą ir turi būti įvykdytas iki 2025 m. kovo 31 d. Kitaip tariant, tiems, kurie nepasiruoš, gali būti skirtos griežtos baudos.
Siekiant prisitaikyti prie naujų reikalavimų, kai kurie pagrindiniai veiksmai apima: ugniasienių ir patikimų apsaugos sistemų diegimą; šifravimo naudojimą duomenų perdavime ir saugojime; nuolatinį įtartinos prieigos ir veiklos stebėjimą ir sekimą; nuolatinį procesų ir sistemų testavimą siekiant nustatyti pažeidžiamumus; ir griežtos informacijos saugumo politikos sukūrimą bei palaikymą.
Wagneris pabrėžia, kad praktiškai tai reiškia, jog bet kuri įmonė, tvarkanti mokėjimus kortelėmis, turės peržiūrėti visą savo skaitmeninio saugumo struktūrą. Tai apima sistemų atnaujinimą, vidaus politikos stiprinimą ir komandų mokymą, siekiant sumažinti riziką. „Pavyzdžiui, elektroninės prekybos įmonė turės užtikrinti, kad klientų duomenys būtų šifruojami nuo pradžios iki galo ir kad tik įgalioti vartotojai turėtų prieigą prie neskelbtinos informacijos. Kita vertus, mažmeninės prekybos tinklas turės įdiegti mechanizmus, skirtus nuolat stebėti galimus sukčiavimo bandymus ir duomenų nutekėjimą“, – aiškina jis.
Bankai ir finansinių technologijų įmonės taip pat turės sustiprinti savo autentifikavimo mechanizmus, plėsdamos tokių technologijų kaip biometriniai duomenys ir daugiafaktorinis autentifikavimas naudojimą. „Tikslas – padaryti operacijas saugesnes nepakenkiant klientų patirčiai. Tam reikia pusiausvyros tarp apsaugos ir naudojimo patogumo, ką finansų sektorius pastaraisiais metais tobulino“, – pabrėžia jis.
Bet kodėl šis pokytis toks svarbus? Neperdėsiu teigdamas, kad skaitmeninis sukčiavimas tampa vis sudėtingesnis. Duomenų nutekėjimas gali sukelti milijonų dolerių nuostolių ir nepataisomą žalą klientų pasitikėjimui.
Wagneris Eliasas įspėja: „Daugelis įmonių vis dar taiko reaktyvų požiūrį, susirūpindamos saugumu tik po atakos. Toks elgesys kelia nerimą, nes saugumo pažeidimai gali sukelti didelių finansinių nuostolių ir nepataisomą žalą organizacijos reputacijai, kurios būtų galima išvengti imantis prevencinių priemonių.“
Jis taip pat pabrėžia, kad norint išvengti šių rizikų, svarbiausia yra taikyti programų saugumo praktikas nuo pat naujos programos kūrimo pradžios, užtikrinant, kad kiekviename programinės įrangos kūrimo ciklo etape jau būtų numatytos apsaugos priemonės. Tai užtikrina, kad apsaugos priemonės būtų įdiegtos visuose programinės įrangos gyvavimo ciklo etapuose, o tai yra daug ekonomiškiau nei žalos šalinimas po incidento.“
Verta paminėti, kad tai auganti tendencija visame pasaulyje. „Mordor Intelligence“ duomenimis, programų saugumo rinka, kuri 2024 m. buvo įvertinta 11,62 mlrd. JAV dolerių, iki 2029 m. turėtų pasiekti 25,92 mlrd. JAV dolerių.
Wagneris aiškina, kad tokie sprendimai kaip „DevOps“ leidžia kurti kiekvieną kodo eilutę laikantis saugių praktikų, be to, teikiamos tokios paslaugos kaip įsiskverbimo testavimas ir pažeidžiamumų mažinimas. „Nuolatinė saugumo analizė ir testų automatizavimas leidžia įmonėms laikytis reglamentų nepakenkiant efektyvumui“, – pabrėžia jis.
Be to, šiame procese svarbios specializuotos konsultavimo paslaugos, padedančios įmonėms prisitaikyti prie naujųjų PCI DSS 4.0 reikalavimų. „Tarp labiausiai pageidaujamų paslaugų yra įsiskverbimo testavimas, „Red Team“ ir trečiųjų šalių saugumo vertinimai, kurie padeda nustatyti ir ištaisyti pažeidžiamumus, kol jais nepasinaudos nusikaltėliai“, – aiškina jis.
Skaitmeniniam sukčiavimui tampant vis sudėtingesniam, duomenų saugumo ignoravimas nebėra išeitis. „Įmonės, investuojančios į prevencines priemones, užtikrina savo klientų apsaugą ir stiprina savo pozicijas rinkoje. Naujųjų gairių įgyvendinimas, visų pirma, yra esminis žingsnis kuriant saugesnę ir patikimesnę mokėjimų aplinką“, – apibendrina jis.
