近年信用卡敏感資訊外泄事件頻繁,企業與客戶損失。付款卡數據安全標準(Payment Card Industry Data Security Standard,PCI DSS)是全球性付款卡資料安全規範,旨在推動相關企業保護帳戶敏感訊息。但Verizon二〇一一年付款卡業界數據法規遵循報告顯示,僅有21%企業能於初步評估(IROC)時完全遵循PCI DSS,與去年IROC階段情況相若。
Verizon Business亞太區調查回應總經理Mark Goudie表示,「許多企業將PCI DSS視作一年僅須一次的審核。其實PCI DSS遵循如同學校期末考,若平日認真應對,自然不愁成績不佳;臨時抱佛腳,則會疲於應付。」
報告列出常見攻擊手法。惡意程式透過網絡外傳機密資料,成為今年頭號威脅。PCI DSS第一項即詳列關於防火牆安裝要求,不少企業雖設有入站過濾(Ingress Filtering),卻忽略了輸出過濾(Egress Filtering)。黑客亦常利用後門(Backdoor)繞開保安措施,遠程存取或控制所感染系統。
實體環境篡改(Physical Tampering)也列入前五大威脅。不法者將數據快讀器(Skimmer),置入自動櫃員機或油機付款設備,以竊取付款卡敏感資料,令終端成為薄弱環節。提及逐漸升溫的手機內建NFC(Near Field Communication)流動付款,Goudie認為,「NFC是一門新興技術,普及尚待時日。目前不法者仍傾向利用現有伎倆竊取支付卡訊息。」
重在持續
Verizon調查發現,PCI針對常見威脅所定十二項安全標準中,企業較易達成加密公共網絡傳輸、使用及更新防病毒軟件、限制實體資料存取等基本要求;而保護所存儲持卡人資料、追蹤及監管存取行為、定期測試系統與程式,以及維持保安政策四項要求,則令企業倍感頭痛。企業須意識到,其內部系統與外部威脅環境皆不斷演進,並非一成不變,持續維護、更新、定期檢測尤為重要。
「Verizon報告一直顯示,多數有數據外泄困擾的公司,未能較好執行PCI要求。帳號、姓名、有效日期等數據一旦泄露,不但補救措施成本更高,亦須面對信用卡公司罰款、調高交易手續費等懲罰性措施,更有企業因頻繁資料外泄,失去顧客信任,而以結業告終,其實得不償失。」
Goudie指企業若能委託第三方PCI安全評審員,不僅可令評估更趨客觀,亦能大為減輕企業負擔。優秀PCI QSA能對業務流程提出優化建議,從而為企業省去不必要部署投資。
亞洲須跟上
此次調查除歐美企業外,亦覆蓋亞洲區。Goudie說,因亞太區PCI推行時間較短,影響有限,發展普遍較美國落後一至二年。
「Verizon在香港、新加坡、台灣、澳洲等亞洲大部分地區,皆能提供當地的QSA。此外也有諸如入侵防禦及檢測(IPS/IDS)、防火牆及記錄檔監測管理服務、應用安全評估等服務,助企業降低資訊外泄風險。」Goudie亦提醒,PCI DSS v1.2.1年末將過渡到v2.0,要求更為嚴苛,企業須做好準備。
該報告可於http://www.verizonbusiness.com/go/2011pci/us下載完整版本。
沒有留言:
發佈留言