Wat hebben Home Depot, UPS en Target met elkaar gemeen? Behalve dat ze budgetvriendelijke meubels leveren, zijn ze alle drie recentelijk het doelwit geweest van datalekken waarbij Point-Of-Sale (POS) units betrokken waren die financiële informatie van klanten bevatten.
Wanneer er een datalek plaatsvindt, moet er altijd iemand de schuld krijgen. "Het is de schuld van de winkels. Hun security de normen. Ze hadden duidelijk x moeten repareren en zich moeten voorbereiden op y..." Nou, ik geloof niet dat het productief is om dit soort kwesties vanuit die invalshoek te benaderen. Security nooit onfeilbaar en er gebeuren nu eenmaal *dingen*, dus zet een helm op en wen eraan, of stap uit de branche.
Als je iets de schuld wilt geven, geef dan de schuld aan het vertrouwen dat wordt gesteld in regelgeving als middel om klantgegevens te beveiligen. Regelgeving is geen allesomvattende oplossing en is dat ook nooit geweest. Een chef-kok maakt geen lekker eten omdat zijn restaurant een gezondheidsinspectie heeft doorstaan, maar in security gooien mensen met het soort compliance dat ze hebben alsof dat iets belangrijks is. Zo werkt het niet. Als je in de retail-IT werkt, is PCI-compliance geen erebadge, maar eerder een bevestiging dat je niet incompetent bent. Als je een kamer vol mensen had en je wilde de meest geschoolde persoon vinden, zou je niet beginnen met te vragen wie de basisschool heeft afgerond. Als je een bedrijf dat slachtoffer is geworden van een inbreuk alleen beoordeelt op basis van het al dan niet naleven van de regelgeving, stel je dus de verkeerde vragen. Compliance is een minimale vereiste en, zoals bij de meeste minimale vereisten, volgt daar logischerwijs uit dat alles wat daarboven ligt beter is. Wat we ons dan moeten gaan afvragen is: "Had dit beveiligingslek redelijkerwijs voorkomen kunnen worden?"
Deze bedrijven waren wettelijk verplicht om PCI-compliant te zijn, maar security omvat veel meer security het volgen van een aantal standaard security . Het belangrijkste aspect van security dat je het risico nooit volledig kunt elimineren, maar alleen kunt beperken. Dat roept één vraag op: had het datalek bij Home Depot redelijkerwijs voorkomen kunnen worden?
Ik kan daar niet gemakkelijk antwoord op geven. Afhankelijk van hoe je het bekijkt, was het lek zowel vermijdbaar als onvermijdelijk. Het is onmogelijk om dat te weten, omdat we niet weten of Home Depot de gegevens van hun klanten goed heeft beveiligd, want die informatie is nog niet vrijgegeven. Wat ik wel kan zeggen, is dat als meer banken chipgebaseerde creditcards hadden ingevoerd, de inbreuk niet zo erg zou zijn geweest. Chipkaarten zijn moeilijker en duurder om te "klonen", waardoor ze minder waardevol zijn voor criminelen. Zou dit de inbraak hebben voorkomen? Waarschijnlijk niet. Zou het de schade hebben beperkt? Ja, aanzienlijk.
Als je er echter over nadenkt, is dat security een notendop security . Absolute security bestaat niet. Het enige absolute in security de absolute kans dat een systeem wordt gehackt. P(Breach) ≠ 0 en wat al niet meer. Als iemand genoeg resources zou willen inzetten, zou hij elk systeem kunnen hacken. Om dit tegen te gaan, security voortdurend controleren en bevestigen dat hun systemen in orde zijn. Het is een proces waarbij wordt gecontroleerd of kwetsbaarheden worden beveiligd zodra ze worden ontdekt.
Samengevat:
Had er meer gedaan kunnen worden om het Home Depot lek te voorkomen?
Natuurlijk kan er altijd meer worden gedaan om security te verbeteren.
Is de status van hun PCI compliance belangrijk?
Niet zoveel, behalve vanuit juridisch oogpunt.
Zou strengere security een verschil security ?
Niet per se, maar het had het niet erger kunnen maken.
Nu ben ik niet het type dat zichzelf promoot na een groot datalek, maar we hebben een gratis e-book over hoe AuthAnvil helpen bij het beveiligen van IT in de detailhandel. Hierin wordt beschreven hoe veel van onze functies kunnen helpen om te voldoen aan de vereisten van PCI DSS en deze zelfs te overtreffen.
