Новый отчет Verizon о безопасности мобильных устройств и розничной торговли и о соблюдении требований Payment Card Industry Data Security Standard (PCI DSS) показывает, что многие компании по завершении соответствующих проектов перестают соответствовать этим требованиям. В результате у них появляются пробелы в защите, чреватые в будущем хищением данных и их утратой, что можно было бы предотвратить.
«Большинство клиентов по-прежнему рассматривают обеспечение соответствия стандарту как проект продолжительностью два-три месяца», — заявил директор Verizon по профессиональным услугам в области выполнения требований регуляторов и управлению Родольфи Симонетти. Где клиенты терпят провал, так это, по его словам, в поддержании соответствия нормативным требованиям по завершении проектов, поскольку не продолжают работу с системами.
Симонетти выступил на мероприятии для прессы, которое Verizon организовала 12 января в Нью-Йорке во время проведения национальной конференции представителей розничной торговли. Он принимал участие в публичном обсуждении соблюдения требований PCI в отеле Ink48 на Манхэттене.
Симонетти привел данные из готовящегося к публикации ежегодного отчета Verizon PCI Report, который, по его словам, показывает, что компании все еще испытывают трудности с надлежащим выполнением требований стандарта PCI DSS и поддержанием их соблюдения корпоративными системами.
В отчете, который будет опубликован в конце февраля, рассмотрены оценки безопасности более чем 5 тыс. компаний из 30 стран за последние пять лет с акцентом на компании из списка Fortune 500. Результаты анализа просто поразительны, сказал Симонетти. Среди прочего было обнаружено, что ни одна из компаний, пострадавших в 2014 г. от вторжения в ее сеть, не соблюдала на момент вторжения имеющиеся требования PCI DSS.
«Большинство компаний действительно и определенно не могут поддерживать соответствие стандарту, — сказал Симонетти. — Это поразительно».
Приводимые в отчете данные показывают, что менее трети компаний соответствует требованиям PCI DSS спустя шесть месяцев [после завершения проекта], продолжил он: «Это очень и очень низкий показатель. Трудно привести все в соответствие со стандартом, но еще труднее поддерживать такое соответствие».
Интересно, что те области, в которых компании не могут длительное время обеспечивать выполнение требований PCI DSS, Симонетти не считает наиболее сложными. Это касается обслуживания брандмауэров, систем установки исправлений и регулярного тестирования защиты и уязвимостей в соответствии с графиком.
«Я считаю это элементарными вопросами безопасности, — сказал он. — Тем не менее, многие компании не способны обеспечить такую простейшую защиту».
Часто проблема заключается в том, что некоторые компании рассматривают выполнение требований PCI в качестве проекта сроком один год, а не как непрерывный процесс поддержания безопасности, продолжил Симонетти. «Никогда не получится обезопасить себя на 100%, — утверждает он. — Поэтому важно всегда быть настороже, чтобы последствия вторжения в сеть были не слишком тяжелыми. Некоторые многое делают для предотвращения вторжения, но если оно все-таки происходит, не могут быстро на него отреагировать».
Грег Бьюзек, главный аналитик фирмы IHL Group, занимающейся аналитикой в области розничной торговли и гостиничного бизнеса (hospitality), заявил, что для большинства компаний ответ на вопрос о соблюдении требований PCI DSS заключается в том, что сегодня для обеспечения безопасности кредитных карт должен применяться комплексный подход, включающий также шифрование данных и использование токенов.
«Честно говоря, PCI DSS — это нескончаемая проблема