基本層面防禦欠奉:維持 PCI DSS 項目及格十分困難!專家分享致勝之道
基本層面防禦欠奉:維持 PCI DSS 項目及格十分困難!專家分享致勝之道
提到網絡安全,PCI DSS 可以說是企業不可或缺的,尤其是對於某些行業!當企業能通過 PCI DSS 認證,整體來說其安全防禦能力往往會比一般企業高,不過要取得相關認證,並在評測時及格卻絕非易事!本文將會為大家淺談一下 PCI DSS 安全標準與防禦網絡攻擊能力的關係,同時亦會分享一下幫助管理控制項生命週期方法。
近年網絡罪案猖獗,企業和消費者亦隨之益發關注付款卡安全。支付卡產業資料安全標準(PCI DSS)能為接納付款卡的商舖提供保障,以免商舖的付款系統受數據失竊和資料盜取等威脅。而根據 Verizon 2017 年《付款安全報告》(Payment Security Report)顯示,企業是否達標,將與其防禦網絡攻擊能力掛勾。
在所有經 Verizon 調查的付款卡數據失竊個案中,沒有一間機構在事發時是完全達至安全標準,在 12 個 PCI DSS 主要控制項中,僅有 10 個達標。
環觀全球,符合 PCI 標準的企業整體上有顯著上升。據評測結果所得,55.4% 的機構通過 2016 年的中期測試,與 2015 年的 48.4% 相比可見明顯改善。但這亦代表近半的零售商、餐廳、酒店和其他接納付款卡的企業在過去兩年仍未能完全達至安全標準。
行業相關的重要結果及真實例子
IT 服務行業為是次研究中,最能達至安全標準的主要行業。在全球,有近六成(61.3%)IT 服務企業在 2016 年中期評測均能達標。其次為達 59.1% 的金融服務機構(包括保險業)、零售業(50%)和餐旅業(42.9%)。
就以下行業,亦重點列出多個行業相關的安全控制項中最常見的缺失:
● 零售業:進行安全檢測、加密數據傳送及身份驗證
● 酒店業及旅遊業:安全加固、保障傳輸中的數據及實體數據安全
● 金融服務業:制訂安全程序、安全設置、保障傳輸中數據、漏洞管理及整體風險管理
提到企業未能遵從安全標準的真實例子,其中之一就是一間正為其無線網絡申請 PCI DSS 標準豁免的金融服務機構,當中他們竟發現,其大廈內已存有另一個無線網絡,而由於有此疏忽,因而最終令該公司申請失敗。事發後發現,由於該公司的伺服器設於最底層,而 IT 部門位於三樓,該部門有員工為免除經常上落樓層的麻煩,自行安裝了路由器以便由桌上直接操控伺服器。
達標數目為持續合格的關鍵
儘管企業理應能達至如安全檢測、滲透測試等 PCI 控制項目,但報告發現,很多企業連基本層面的設置亦欠奉。在 2015 年中期評測不及合的企業當中,平均有 12.4% 未達控制項目的要求,而在 2016 年更稍升至 13%。
現在問題已經不是在於是否需要保護數據,而是如何能持續地保護數據。很多企業依然獨立地看待 PCI DSS 的控制項目,而忽略這些控制項目之間的關連。企業亦往往缺乏管理控制項生命週期的概念。公司內缺乏這方面的專業人士為常見問題。
2017 年的《付款安全報告》報告提出以下五個指引幫助管理控制項生命週期:
1. 統一系統方便管理:不停增加不同安全方案並不是解決方法。現有的 PCI DSS 標準已經包含多個互連的數據保護標準和規定。企業應藉此合併及簡化控制措施管理。
2. 為發展專才進行投資:企業應適當地投資在員工上,培訓及維持他們對改善、監察或評估已有安全控制措施的知識。
3. 套用平衡策略:企業需要對內維持強大和彈性的控制項環境,以防控制措施表現不符合規格。
4. 儘量自動化程序:實施數據保護程序及自動化模式可為管理控制項帶來極大好處,但留意所有自動化程序均需要經常覆核。
5. 設計及管理對內的控制措施環境:每個 PCI DSS 控制措施的表現都有相互影響。假如其中一個控制措施出現問題,其他控制措施的表現亦會繼而受影響。因此企業必須明白這一關連以達至有效和可持續的數據保障計劃。
企業要持續維持安全控制項目及格十分困難,而稍一不慎持卡人資料將會曝露在網絡攻擊的風險之中。這個趨勢亦是促使 PCI 數據安全標準版本 3.2 改變的主因之一,改變集中幫助企業全年都能保持達到一定數目的數據安全控制項,以及確保這些控制項通過定期有效測試,並成為日常安全管理過程的一部分。
這份 2017 報告的目的並不是說服讀者符合 PCI 標準的需要,而是根據可量度的參數以評測 PCI 標準的實際表現。今年報告的結果均由 Verizon 經認證、為超過 30 個國家的財富 500 及大型跨國公司作安全評估的團隊所評核的。
《付款安全報告》為基於真實案例而且集中在金融服務(47.5%)、資訊科技服務(22.3%)、餐旅業(15.1%)和零售業(14.4%)而編制。報告覆蓋的地區包括美國(42.4%)、歐洲(28.1%)及亞太地區(29.5%)的資料。
