Ikke alene siger PCI-compliance og lignende standarder ikke meget om det reelle it-sikkerhedsniveau i en virksomhed, som Version2 tidliger har kunnet fortælle, det kan ligefrem give en falsk sikkerhedsfølelse. Det mener Eddie Schwartz, vice-precident inden for cybersikkerhed ved netværksvirksomheden Verizon.
PCI DSS står for Payment Card Industry Data Security Standard er for nyelig blevet aktuel i forbindelse med sagen om Se & Hørs såkaldte tys-tys kilde, da Nets, hvor kilden havde adgang til følsomme data, årligt bliver certificeret efter de mange krav i PCI-reglerne – senest i september 2013. Blandt andet finansielle institutioner skal lave op til PCI-kravene, der ifølge Better Business Bureau kunne være
- Overvåg og test netværk og systemer, der indeholder data om betalingskort
- Implementer og håndhæv en virksomhedspolitik for informationssikkerhed
- Installer og opdater en firewall der beskytter kortholderdata i virksomhedens systemer
- Tildel hver eneste ansatte med computeradgang et unikt brugerid og brug robust kodeord (eksempelvis en blanding af bogstaver, tal og symboler), som bliver skiftet ofte (hver 45-60 dage).
- Begræns den fysiske adgang til virksomehdens systemer og filer med kortholderdata udelukkende til de ansatte med et forretningsmæssigt behov for at kunne tilgå dem.
Version2 mødte Eddie Schwartz til et pressearrangement i Amsterdam, som Verizon havde inviteret til.
»Hvis du siger: Jeg har bestået kravene til PCI-standarden, og nu er jeg sikker, så giver det en falsk følelse af sikkerhed,« siger han.
Og ifølge Eddie Schwartz har mange virksomheder haft en tendens til at tro, hvis de lever op til de såkaldte compliance krav, såsom PCI, så nyder de også godt af en medfølgende sikkerhed. Men det er den forkerte måde at anskue det på, påpeger Schwartz:
»Man skal vende det 180 grader og sige: Lad os starte med at få god sikkerhed på plads, og så fokusere på PCI efterfølgende eller andre compliance-standarder.«
Han påpeger, at hvis en virksomhed starter med at få sikkerheden på plads, så vil resultatet være, at virksomheden per definition vil leve op til de fleste af eksempelvis PCI-kravene. Men det er ikke nok bare af fokusere på disse krav i forhold til sikkerhed.
»Compliance er grundlæggende bare en checkliste over minimumskrav inden for en standard,« siger Eddie Schwartz og tilføjer:
»Sikkerhed er et større billede. Ja, det kan godt være, du lever op til disse minimumskrav, men under visse omstændigheder, eksempelvis i forbindelse med behandling af følsomme data, skal man op på et langt højere niveau, end det, der lægges op til i minimumskravene.«
Men hvis ikke PCI siger noget reelt om sikkerhedsniveauet, hvad skal man så fokusere på, hvis man er på udkig efter en it-leverandør?
»Når du er på udkig efter en 3. parts leverandør, så skal du spørge dig selv: Har denne leverandør de samme standarder indenfor sikkerhed, som jeg selv anvender?,« siger Eddie Schwarz og fortsætter:
»Lad os sige, der er tale om en offentlig myndighed. Denne gruppe har altid høje sikkerhedsstandarder, hvad angår privacy, i forhold til at beskytte deres egne data. Den samme standard skal bruges i forhold til enhver leverandør, de arbejder med. Uanset om det er en stor eller en lille leverandør, skal de leve op til disse standarder,« siger Eddie Schwartz.
Og hvis der er tale om en mindre leverandør, som kan have svært ved selv at leve op til den sikkerhedsstandard, myndigheden forventer, så må myndigheden assistere virksomheden med at komme op på det niveau – såfremt det produkt leverandøren kan levere, er uundværligt for myndigheden, mener Schwartz.
Leave a Reply