Archiwa: News

Rada Standardów Bezpieczeństwa PCI (PCI SSC) opublikowała pod koniec marca wersję 4.0 standardu bezpieczeństwa danych PCI (DSS), rozpoczynając tym samym przejście z wersji PCI DSS v3.2.1, która zostanie wycofana 31 marca 2024 roku. Niektóre nowe wymagania mogą wejść w życie dopiero w 2025 roku, ale to nie powód, aby je odkładać. PCI DSS v4.0 został zaprojektowany tak, aby uwzględnić pojawiające się zagrożenia, wprowadzając szereg zmian – 77 z nich oznaczono jako zmieniające się i/lub nowe wymagania.

Chociaż wiele uwagi poświęca się bardziej technicznym wymogom, takim jak utwardzanie sieci (wymagania 1 i 2), ochrona danych kont (wymagania 3 i 4) oraz nakaz wdrożenia wieloczynnikowego uwierzytelniania (MFA) dla wszystkich dostępów do środowiska danych posiadaczy kart (wymaganie 8), istnieją inne sekcje, które należy rozważyć. W szczególności należy zwrócić szczególną uwagę na wymaganie 12, które określa wymagania dotyczące polityki bezpieczeństwa informacji. W rzeczywistości istnieje wiele synergii pomiędzy wymaganiami 8 i 12 – synergia, na którą naszym zdaniem organizacje z branży detalicznej i hotelarskiej powinny zwrócić szczególną uwagę.

Co PCI DSS v4.0 mówi o MFA?

Najpierw przyjrzyjmy się wymaganiu 8 PCI DSS v4.0, które rozszerza wymagania MFA o co najmniej jeden czynnik dla użytkowników i administratorów oraz co najmniej dwa czynniki MFA dla wszystkich dostępów do środowiska danych posiadacza karty (CDE). Te nowe wytyczne są zgodne z NIST Special Publication 800-63. Wymóg w szczególności odwołuje się do FIDO Alliance przy wyborze czynników uwierzytelniania.

Jeśli brzmi to jak „MFA odporne na phishing”, to masz rację. Język w PCI DSS v4.0 w szczególności odnosi się do aktualizacji NIST SP 800-63 dotyczącej MFA odpornej na phishing. Wytyczne te stwierdzają, że wszystkie procesy MFA wykorzystujące współdzielone sekrety są podatne na ataki phishingowe – w tym wspólne czynniki, takie jak hasła, pytania bezpieczeństwa, uwierzytelnianie mobilne (SMS) i karty z paskiem magnetycznym. NIST definiuje silne MFA poprzez wykorzystanie kryptografii klucza asymetrycznego w celu ochrony przed atakami phishingowymi.

Odporne na phishing MFA jest przedmiotem zainteresowania wielu agencji regulacyjnych: niedawny przykład pochodzi od amerykańskiej Federalnej Komisji Handlu (FTC), która podjęła działania przeciwko firmie Drizly za naruszenie danych, które naraziło dane 2,5 miliona konsumentów. FTC wyraźnie zasugerowała wymogi bezpieczeństwa, które należy wziąć pod uwagę – wdrażając MFA, które „nie może obejmować metod uwierzytelniania opartych na telefonie lub SMS-ach i musi być odporne na ataki phishingowe.”

Obecnie jedyne dwa procesy uwierzytelniania, które spełniają powyższe wymagania uwierzytelniania odpornego na phishing dla dostępu do CDE, to:

Firmy z branży detalicznej i hotelarskiej muszą teraz wdrożyć uwierzytelnianie odporne na phishing dla całego dostępu do CDE i muszą dokładnie rozważyć czynniki uwierzytelniania dla innych użytkowników i dostępu administracyjnego.

Obecnie jedynym wyłączeniem z wymogu 8 są konta użytkowników w terminalach POS, którzy mają dostęp tylko do jednego numeru karty w danym momencie, aby ułatwić pojedynczą transakcję. Jednak w tym miejscu musimy uważniej przyjrzeć się wymaganiu 12 – ponieważ wybór czynników uwierzytelniających na każdym poziomie ma ogromny wpływ na to, jak łatwa lub trudna będzie zgodność z wymaganiem 12.

Jak wymagania 8 i 12 są powiązane?

Wymóg 12 PCI DSS v4.0 wyszczególnia potrzebę stworzenia polityki i programów bezpieczeństwa informacji, w tym szkolenia użytkowników, nadzoru nad kontrolą techniczną oraz bieżącej analizy ryzyka. W połączeniu z innymi obszarami PCI (takimi jak mechanizmy antyphishingowe), celem wymogu 12 jest stworzenie i egzekwowanie zasad zarządzania zmieniającymi się zagrożeniami.

Jednym z takich zagrożeń są dane uwierzytelniające (12.3.1), które są podatne na zagrożenia zewnętrzne, niewłaściwe użycie lub dużą rotację personelu. Ponadto, w przypadkach, w których używane są hasła/wyrazy hasłowe, wzrastają wymagania dotyczące zgodności. W handlu detalicznym oznacza to zaznaczanie pola wyboru dla każdego nowego użytkownika POS, że rozumie on w pełni standardy bezpieczeństwa informacji.

Krótko mówiąc: im słabsze MFA, tym większe obciążenie związane z przestrzeganiem przepisów. Dłuższe polityki. Więcej szkoleń dla użytkowników. Więcej kontroli do zarządzania ryzykiem.

Rozwiązanie? Zastosuj silne, odporne na phishing MFA dla wszystkich użytkowników.

Uzasadnienie dla odpornego na phishing MFA dla użytkowników POS

Handel detaliczny i branża hotelarska znajdują się obecnie w pierwszej trójce najbardziej narażonych na ataki branż, przy czym 75% przypadków naruszenia bezpieczeństwa w punktach sprzedaży jest bezpośrednio związanych z atakami socjotechnicznymi lub phishingiem. Podczas gdy niektórzy (nie wszyscy) użytkownicy POS mogą być zwolnieni z wymogów PCI DSS v4.0 dotyczących silnego MFA odpornego na phishing, istnieje potrzeba optymalizacji uwierzytelniania w środowiskach POS i współdzielonych kiosków w celu zapewnienia bezpieczeństwa i łatwości uwierzytelniania.

Stosowanie mniej bezpiecznych metod uwierzytelniania wiąże się ze zwiększonym ryzykiem powodzenia ataków – ataków, które mają wysoką cenę (średnio 3,28 mln USD w handlu detalicznym i 2,94 mln USD w branży hotelarskiej za naruszenie). Teraz organizacje muszą również wziąć pod uwagę wysokie koszty szkoleń z zakresu bezpieczeństwa informacji, kontroli i oceny ryzyka w ramach PCI DSS v4.0.

Wreszcie, istnieje silne dążenie do tego, aby uwierzytelnianie było łatwe dla użytkowników POS, a jednocześnie bardzo bezpieczne. Nie ma ryzyka zapomnienia hasła, codziennego otrzymywania nowego kodu kreskowego w celu zalogowania się do terminali POS lub poświęcania czasu klientowi na uwierzytelnianie. Wyobraź sobie, na przykład, jak czułby się gość, gdyby przedstawiciel recepcji musiał odwołać się do swojego telefonu komórkowego, aby nawiązać kontakt z mobilną aplikacją podczas interakcji z klientem?

Aby dowiedzieć się więcej o dążeniu do modernizacji MFA w handlu detalicznym i hotelarstwie, a w szczególności o tym, jak bezpieczeństwo może pomóc w zwiększeniu lojalności klientów i podniesieniu poziomu ich doświadczenia, przeczytaj naszą broszurę Ochrona przed nowoczesnymi zagrożeniami cybernetycznymi w handlu detalicznym i hotelarstwie.

Oryginalny tekst znajduje się na stronie Yubico.

Nie jest tajemnicą, że wysoka dostępność zarówno informacji o kartach płatniczych (PCI), jak i innych wrażliwych informacji sprawia, że organizacje detaliczne i hotelarskie są lukratywnym celem cyberataków. Handel detaliczny jest drugą branżą najczęściej wybieraną przez ransomware, a raport IBM Cost of a Data Breach 2022 ujawnił, że 2,94 mln USD to średni całkowity koszt naruszenia danych w branży hotelarskiej w latach 2021-2022.

Wszystko to jest spowodowane skradzionymi danymi uwierzytelniającymi przy użyciu phishingu, złośliwego oprogramowania, podmiany kart SIM oraz ataków man-in-the-middle (MiTM) i innych środków. Aby chronić się przed takimi atakami, nowoczesne, silne, odporne na phishing uwierzytelnianie wieloczynnikowe (MFA) powinno być pierwszą linią obrony każdej strategii cyberbezpieczeństwa.

Firma Yubico oferuje YubiKey – sprzętowy klucz bezpieczeństwa służący do uwierzytelniania MFA, odporny na phishing – który umożliwia szybkie i bezpieczne logowanie, zapobiega przejęciu konta, zabezpiecza urządzenia współdzielone, zapewnia zgodność z przepisami i chroni wrażliwe dane, a jednocześnie poprawia jakość obsługi klienta.

Klucze YubiKey spełniają oczekiwania użytkowników na każdym etapie ich podróży w zakresie bezpieczeństwa cybernetycznego.

Więcej można przeczytać na stronie Yubico.

Za tydzień jesteśmy w Katowicach na konferencji, którą organizuje Pancernik.

Sala wykładowa P3, godzina poranna 8:40, nasz kolega, Rafał Rosłaniec przedstawi wykład pt. „Passwordless czy hasło, co przyniesie przyszłość?”

Opowiem, dlaczego hasła są passe i dlaczego powinniśmy zwrócić uwagę na logowanie bez hasłowe, które niesie nam najbliższa, cyfrowa przyszłość.

Jeśli chcecie nas spotkać, porozmawiać o Yubikey i nie tylko, serdecznie zapraszamy!

Starsze uwierzytelnianie wieloczynnikowe (MFA) nie sprawdza się w walce z nowoczesnymi zagrożeniami cybernetycznymi ze względu na niezdolność do powstrzymania ataków phishingowych i innych przypadków przejęcia konta. Udowodniono, że nowoczesne MFA, takie jak YubiKey, zatrzymują ataki phishingowe i przejęcia konta.

Tylko rozwiązania oparte na kartach inteligentnych/PIV lub protokołach FIDO są naprawdę odporne na phishing, ponieważ wymagają od każdej strony dostarczenia dowodu swojej tożsamości, ale także zakomunikowania zamiaru inicjacji poprzez celowe działanie. Dotychczasowe podejścia, takie jak SMS-y, hasła jednorazowe (OTP) i aplikacje mobilne typu push nie sprawdzają się, ponieważ wszystkie są podatne na większość ataków cybernetycznych, takich jak phishing.

Poniżej przedstawiamy pięć sposobów, w jakie Yubico może pomóc Twojej firmie w łatwym i skutecznym wdrożeniu kluczy bezpieczeństwa odpornych na phishing.

Branże podlegające regulacjom prawnym muszą wprowadzić bezpieczną komunikację z audytem i archiwizacją, aby zmniejszyć ryzyko kar i odzyskać kontrolę nad danymi.

Jedenaście najpotężniejszych firm z branży usług finansowych zostało ukaranych grzywną w wysokości prawie 2 mld dolarów za niespełnienie przepisów dotyczących prowadzenia dokumentacji w związku z komunikacją przy użyciu nieautoryzowanych i niemonitorowanych kanałów. Kary zostały nałożone przez amerykańską Komisję Papierów Wartościowych i Giełd (SEC) oraz Komisję Handlu Towarami Futures (CFTC).

Oprócz grzywien, zaangażowane firmy podlegają również nakazom zaprzestania i zaniechania. Przeczytaj pełną historię tutaj.

„Finanse, ostatecznie, zależą od zaufania. Nie wypełniając swoich obowiązków związanych z prowadzeniem dokumentacji oraz ksiąg rachunkowych, uczestnicy rynku, których dziś obciążyliśmy, nie utrzymali tego zaufania” – powiedział przewodniczący SEC Gary Gensler.

Bankierzy tracą pracę

Trwające śledztwa, które po raz pierwszy zostały upublicznione w zeszłym roku, wstrząsnęły Wall Street, gdy niektórzy bankierzy stracili pracę (zobacz nasz poprzedni wpis o JPMorgan Chase). Regulatorzy doszli do wniosku, że korzystanie z komunikacji pozakanałowej, przy użyciu osobistych urządzeń mobilnych i aplikacji takich jak WhatsApp i Signal, było powszechne.

A to nie wszystko – używanie aplikacji konsumenckich do celów biznesowych zazwyczaj narusza GDPR

W Wielkiej Brytanii i Europie każda organizacja, która wykorzystuje aplikacje konsumenckie do celów biznesowych, prawdopodobnie narusza GDPR, ponieważ zgodnie z przepisami, dane osobowe nie mogą być udostępniane bez wyraźnej zgody właścicieli.

Nieodłączna funkcjonalność typowych aplikacji konsumenckich obejmuje udostępnianie kontaktów między użytkownikami (oraz z dostawcą usług), a także przechowywanie dokumentów lub zdjęć w niezabezpieczonych miejscach na urządzeniu bez zabezpieczenia przed udostępnieniem ich innym użytkownikom tej usługi (poza organizacją, z której pochodzą). Warunki takich aplikacji mają klauzule, takie jak „Nie będziesz korzystać (lub pomóc innym w używaniu) z naszej usługi w sposób, który […] wiąże się z korzystaniem z naszych Usług w celach innych niż osobiste, chyba że zostało przez nas upoważnione”, co w języku prawniczym oznacza „Nie możesz używać tej aplikacji do żadnych celów biznesowych”.

Znaczne zmniejszenie ryzyka kar wynikających z przepisów

Odzyskanie kontroli nad komunikacją mobilną poprzez zapewnienie realnej alternatywy dla aplikacji konsumenckich umożliwi instytucjom finansowym udowodnienie, że podejmują odpowiednie kroki w celu zapewnienia zgodności pracowników z przepisami, a tym samym znacząco zmniejszy ryzyko kar lub wycieku danych oraz negatywnego rozgłosu związanego z brakiem zgodności.

Armour Comms został pozycjonowany jako lider w raporcie Secure Communications, Q3 2022 – The 12 Providers that Matter Most and How They Stack Up, przez jednego z głównych analityków branżowych. Nasz flagowy produkt Armour Mobile wraz z Recall by Armour dostarcza wysoce użytecznego rozwiązania, które zastępuje „shadow IT” aplikacji klasy konsumenckiej.

Armour Mobile i Recall, dostępne jako rozwiązanie stacjonarne zapewniające suwerenność danych, zapewniają wszystkie funkcje bezpieczeństwa, monitorowania i archiwizacji wymagane przez regulowane branże. Co więcej, możliwości klasy korporacyjnej oznaczają, że Armour Mobile może być wdrożony w szybkim tempie dzięki jednemu kliknięciu, co sprawia, że użytkownicy szybko i łatwo mogą korzystać z zatwierdzonego kanału komunikacji biznesowej w ciągu kilku minut, nawet na urządzeniach BYOD i niezarządzanych.

Dzięki Armour Mobile pracownicy mają narzędzia, których potrzebują, aby bezpiecznie i efektywnie przekazywać nawet najbardziej wrażliwe informacje rynkowe.

Recall by Armour – Jak to działa

Armour Mobile i Desktop wspierają zintegrowaną i bezpieczną funkcję audytu, umożliwiającą przechwytywanie komunikacji (tekst, dźwięk) w całości w centralnym dzienniku audytu, pozwalając na szczegółową analizę retrospektywną wszystkich rozmów. Każdy wpis w dzienniku audytu jest zaszyfrowany przy użyciu kluczy unikalnych dla użytkownika, którego dotyczy wpis, a dostęp do odszyfrowanej zawartości może uzyskać tylko administrator z prawami dostępu do narzędzi audytu, aby bezpiecznie pobrać kluczowy materiał i wykonać niezbędne zadania deszyfrujące.

Dzięki Recall, cała komunikacja poprzez Armour Mobile jest chroniona i zachowywana automatycznie, użytkownik nie musi robić nic dodatkowego. Wspiera to etos NCSC: Secure by Design, czyniąc bezpieczeństwo łatwym dla użytkownika końcowego.

Na podstawie artykułu ze strony Armour Comms.