Skandalen om læk af data fra Nets har fået diskussionerne om sikkerhed til at blomstre – og et af punkterne er værdien af fine sikkerhedsstandarder, årlige audits og fine certifikater med stempler til samlingen på væggen.
Nets skal nemlig ligesom alle andre, der formidler betalinger med internationale betalingskort hvert år bestå et tjek, hvor et eksternt firma kontrollerer, at alle krav i standarden ’PCI DSS’ bliver overholdt. PCI DSS står for Payment Card Industry Data Security Standard, og Nets bliver årligt og senest i september 2013 certificeret efter de mange krav i PCI-reglerne.
Men at det ikke har stoppet skandalen om læk af data, overrasker ikke Lars Syberg fra sikkerhedsfirmaet Fortconsult.
»PCI-standarden handler kun om at beskytte kortnumrene. Alt det andet, inklusive transaktioner på kortet, er mindre relevant. Men det hele ligger normalt på de samme systemer,« siger Lars Syberg, der er leder af Fortconsults afdeling for PCI DSS-audits.
Reglerne for de internationale betalingskort kan også betyde, at for eksempel kundeservice-medarbejdere ikke må få adgang til kortnumrene, men godt kan følge med i transaktioner på en persons kort.
Beskyttelse mod hackere – ikke mod insidere
Det er ikke Fortconsult, men britiske Foregenix, der har udstedt et PCI-’diplom’ til Nets, og Lars Syberg udtaler sig derfor generelt ud fra sine erfaringer, og ikke konkret om forholdene og sikkerheden hos Nets. Men afsløringerne i de forløbne uger har ført til mange diskussioner med kolleger om, hvordan en PCI-godkendelse kan beskytte mod den slags datalæk, der er sket hos Nets.
Den grundlæggende forskel er, at PCI-reglerne er skabt for at beskytte kortnumre mod at falde i it-kriminelles hænder og i mindre grad beskæftiger sig med at beskytte data mod insider-misbrug. Det slår for eksempel igennem i kravene om logning.
»Der skal logges en masse, og der skal overvåges og samles op. Men det er ikke særlig klart defineret, kun på nogle enkelte områder, mens resten er op til virksomheden selv. Fokus er ikke så meget på autoriserede medarbejdere, som slår data op som en del af deres arbejde, så man kan sagtens være helt compliant, og alligevel kan sådan noget som hos Nets ske,« siger Lars Syberg.
Kravet om beskyttelse af kortnumrene betyder også, at der ikke i logfilerne må være kortnumre.
»Derfor kan man ikke lige gå ind og søge på kortnumre i logfilerne og se, hvem der har forespurgt på dette betalingskort. Man kan bruge andre nøgler, for eksempel navn, men det kommer an på, hvordan logningen er lavet,« siger sikkerhedseksperten.
I Nets-sagen har der ikke været tale om salg af kortoplysninger – det er i hvert fald ikke offentligt kendt – men fordi det er en insider med systemadgang, ville PCI-standarden heller ikke beskytte Nets her.
»Standarden er bygget op om, at man har nogle folk med fingrene i maskinen, og at man bliver nødt til at stole på dem. Så det er ret sandsynligt, at kilde kunne have solgt kortdata, hvis han ville det,« vurderer Lars Syberg.
Selvom PCI-reglerne og kravet om årlige audits måske globalt set er en forbedring og gør det mere trygt at svinge sit Visa-kort, kan effekten også hurtigt blive den modsatte ude hos de firmaer, som skal leve op til reglerne, vurderer Lars Syberg.
»Nogle gange giver PCI-compliance en forkert fornemmelse af sikkerhed. Så mener man, at man gør nok, når man lever op til PCI-standarden, og det er dejligt for firmaer som Nets at kunne pege på, at de er compliant. Men standarden er et minimumsniveau, som kun handler om, at ejerne af disse kortnumre vil sikre, at de er beskyttet,« siger han.
Krypterer kortnumre – men ikke navne
Selvom Fortconsult anbefaler kunderne en stribe andre tiltag, udover hvad PCI-standarden kræver, vælger en del kunder at nøjes med PCI-audits og den sikkerhed, der skal til for at leve op til reglerne her.
»Der er mange, som siger ’vi tager PCI – det er godt nok’. Vi ser for eksempel, at det kun er kortnumrene i databasen, som er krypterede, og ikke de andre data, som navn. Det er ellers nemt at kryptere og beskytte hele databasen i stedet for kun kortnumrene. Men det ser vi desværre tit,« siger Lars Syberg.
Et andet problem er, at et firma dumper et PCI-audit, hvis bare én ting er galt. Derfor bliver kortene holdt tæt ind til kroppen, når de eksterne konsulenter kommer ud for at tjekke, om alt er som det skal være.
»Hvis du fejler på ét lille punkt, har du fejlet det hele. Derfor har du som virksomhed ikke nogen interesse i at lægge alt for meget frem, for tænk nu hvis det betyder, at du fejler? Det er især, hvis du lever af at processere kort. I princippet må bankerne ikke bruge firmaer, som ikke er PCI-compliant, men i praksis er det ikke realistisk, at det får den konsekvens,« siger Lars Syberg.
Hele Nets-sagen har altså handlet meget mere om privacy og sikkerhed generelt, end det har handlet om PCI-standarden, der koncentrerer sig om at forhindre hackere i at løbe med kortnumrene og misbruge dem. Men på et område kan der være overlap, nemlig reaktionen på den advarsel, som Nets fik om misbrug af interne data i januar 2013.
»Får man sådan en henvendelse, så bør man undersøge det ret grundigt. I et firma som Nets vil man ikke miste en masse kortdata, der kan blive svindlet med. Det ville jeg tage meget seriøst, hvis jeg fik sådan en henvendelse,« siger Lars Syberg.
Version2 har forsøgt at tale med Foregenix, firmaet som har foretaget seneste audit hos Nets, men her var eneste besked, at man ikke ville sige noget, hvorefter røret blev smækket på.
Leave a Reply