Kortbetalningar inte garanterat säkra
Verizon arbetar bland annat med att göra årliga revisioner av systemen hos handelsföretag för att se om de lever upp till Payment card industry data security standards, PSI-DSS.
Kim Haverblad på Verizon förklarar att företag som gör årliga revisioner inte alltid följer upp och underhåller sina system. Av de företag som reviderats ett år tidigare var det bara 28 procent som fortfarande uppfyllde kraven.
Kim Haverblad har under åren varit med om att utreda många attacker. Minsta gemensamma nämnare för allihop har varit att företagen inte uppfyllt PSI DSS-kraven fullt ut. Därför vill han inskärpa betydelsen av att hålla datamiljön fräsch mellan revisionerna.
– Medvetenheten hos företagen måste höjas. Den högsta ledningen i företaget måste förstå att det är deras ansvar, inte något som kan läggas på en leverantör eller en it-avdelning och sedan glömmas bort, framhåller Kim Haverblad.
Orsakerna till att två tredjedelar av de reviderade företagen låter sina system förfalla är flera. En viktig faktor är att miljöerna hela tiden förändras. I sin strävan att skapa en miljö som gör det lika lätt för kunden att shoppa från både mobila enheter och datorer, som i butik, byggs systemen om.
– När man ändrar i systemen är det viktigt att testa de nya lösningarna noga. Om integreringen inte görs på rätt sätt är det lätt att det uppstår säkerhetsluckor, där hackare kan ta sig in och stjäla kortuppgifter och annan känslig information.
Han har sett exempel på att de nya enheterna saknar lösenord, eller har leverantörens lösenord kvar. Det kan ibland bero på att lösenord återställs till det ursprungliga när man gör uppdateringar av brandväggar och annan nätverksutrustning.
– Därför är det viktigt att det finns en process för att testa att utrustningen ordentligt, framhåller Kim Haverblad.
Han vill inskärpa hur viktigt det är att ha complianceprogram, alltså program som kontrollerar att en åtgärd inte bryter mot lagar och regler. Det räcker inte med en årlig översyn, implementeringen måste göras som en planerad återkommande aktivitet med avstämningspunkter löpande under året. Alltså – varje gång en förändring görs är det nödvändigt att se till att systemet fortfarande uppfyller PSI-DSS- standarden. Detta minskar också den stress på den egna organisationen som det innebär att sitta och kolla systemen ett par veckor innan den stora genomgången ska göras.
Kim Haverblad anser att Sverige har ett ganska gott säkerhetsläge eftersom vi har chip och pin, men att detta inte skyddar mot allt:
– Den som känner till en persons namn, kort- och cvv nummer kan använda detta till att handla på utländska sajter som inte kräver pinkod eller använder sig av 3D secure. Därför kan det vara förödande om kortinformation kommer på avvägar.
Han ser påfallande ofta att en PSI-DSS-revision görs som en avprickning på en checklista. Man ser till att brandväggar och rutiner finns på plats, men varken ledning eller personal förstår på djupet varför vissa rutiner måste följas.
Han råder företagen att ändra attityd och se revisionen som en spännande och lärorik riskanalysövning.
– Utmana den som gör granskningen. Ifrågasätt och passa på att lära i stället för att huka i rädsla för att inte bli godkänd. Testarna besitter ofta en enorm kunskap kring typiska problemställningar och hur man kan hantera dem.
Att många företag vill försöka tolka kraven till sin fördel, för att slippa vidta dyra åtgärder är enligt Kim Haverblad ett kortsiktigt riktigt dumsnålt tänk.
För frågan är inte om en attack kommer att ske, utan när det kommer att hända.
När det händer är det viktigt att det finns en dokumentation, att allt är loggat så att det går att upptäcka attacken snabbt och minimera skadorna.
Det kan visa sig många gånger dyrare att råka ut för en attack som drabbar kunder än att gradera upp systemen. Den badwill som det ger när kunden måste byta kort eller får sin identitet kapad kan vara omätbart hög.
PCI-DSS-revisioner har hittills mest gjorts på stora företag med riktigt många transaktioner.
Nu börjar kortföretag och banker även titta på mindre företag och kommer troligen på sikt kräva samma välordnade system även hos dem.
– Om ett mindre företag har råkat ut för en attack står banken i dag inte för utredningen, utan det blir handlaren själv som får betala för att utreda hur attacken skedde. Det blir svårutrett om det inte finns loggar och dokumenterade processer, berättar Kim Haverblad.
Därför råder han även mindre handlare att se till att säkra sina system. En attack kan bli en dyr historia.