Wouter Hoeffnagel - 31 augustus 2017

Onderzoek: Verband tussen PCI DSS-compliance en weerbaarheid tegen cyberaanvallen

Nu cybercriminaliteit toeneemt, vormt de beveiliging van creditcardgegevens een steeds belangrijker aandachtspunt voor zowel bedrijven als consumenten. De Payment Card Industry Data Security Standard (PCI DSS) helpt bedrijven die betalingen met creditcards accepteren om hun betalingssystemen te beschermen tegen hacks en diefstal van creditcardgegevens. Het Verizon 2017 Payment Security Report (2017 PSR) signaleert een verband tussen PCI DSS-compliance en de weerbaarheid van bedrijven tegen cyberaanvallen.

Bij alle gevallen van diefstal van creditcardgegevens die Verizon onderzocht, bleek geen van de getroffen bedrijven volledig aan de eisen van de PCI DSS te voldoen. Gemiddeld voldeden ze slechts aan tien van de twaalf belangrijkste eisen.

Bedrijven voldoen vaker aan PCI DSS

Al met al nam de PCI DSS-compliance toe onder wereldwijde bedrijven. 55,4 procent van alle bedrijven die in 2016 door Verizon werden getoetst, slaagden voor hun tussentijdse evaluatie. Dit is een toename ten opzichte van 2015, toen slechts 48,4 procent van alle organisaties in volledige overeenstemming werd bevonden. Dit betekent dat bijna de helft van alle winkeliers, restaurants, hotels en andere bedrijven die betalingen met creditcards accepteren nog altijd niet volledig aan de eisen voldoet.

“Er is sprake van een duidelijk verband tussen PCI DSS-compliance en de weerbaarheid van bedrijven tegen cyberaanvallen”, zegt Rodolphe Simonetti, global managing director Security Consulting bij Verizon. “Hoewel het bemoedigend is om te zien dat de PCI-compliance toeneemt, bleek ruim 40 procent van de wereldwijde grote en kleine bedrijven die we evalueerden nog altijd niet aan de eisen van de PCI DSS te voldoen. Bijna de helft van de bedrijven die wel slaagden, voldeed binnen een jaar tijd niet langer aan de eisen.”

ICT-dienstverleners zijn vaker volledig compliant

Volgens het rapport was er in de sector voor ICT-dienstverlening sprake van het grootste aantal bedrijven dat volledig aan de eisen van de PCI DSS voldeed. Wereldwijd gaf circa drie vijfde (61,3 procent) van alle ICT-dienstverleners blijk van volledige compliance tijdens de tussentijdse evaluatie in 2016. Daarop volgden 59,1 procent van alle financiële dienstverleners (met inbegrip van verzekeraars), retailbedrijven (50 procent) en horecabedrijven (42,9 procent).

Het 2017 PSR wijst daarnaast op compliance-uitdagingen die specifiek zijn binnen bepaalde bedrijfssectoren, waaronder:

  • Detailhandel: beveiligingstests, versleutelde gegevensoverdracht en authenticatie.
  • Horeca en reisbranche: versterken van de beveiliging, bescherming van data tijdens de overdracht en fysieke beveiliging.
  • Financiële dienstverlening: beveiligingsprocedures, veilige configuraties, bescherming van data tijdens de overdracht, beheer van kwetsbaarheden en risicobeheer.

Praktijkvoorbeeld

Er is een praktijkvoorbeeld beschikbaar die bijvoorbeeld de compliance-procedures niet volgden. Een voorbeeld hiervan is een financiële dienstverlener die de noodzaak wilde voorkomen om aan de eisen van de PCI DSS voor Wi-Fi te voldoen door geen gebruik te maken van Wi-Fi, merkte tot zijn verbazing dat er wel degelijk een draadloos netwerk binnen zijn kantoorgebouw aanwezig was. Als gevolg hiervan zakte het bedrijf voor de audit. Omdat de serverruimte zich in de kelder bevond en de ICT-afdeling op de derde verdieping was gevestigd, had de beheerder er genoeg van gekregen om voortdurend trappen op en af te lopen. Hij had een draadloze router geïnstalleerd om vanaf zijn bureau toegang tot de servers te krijgen.

Groeiende controlekloof

Volgens het rapport is er sprake van een groeiende ‘controlekloof’ van de PCI-controlemechanismen die bedrijven eigenlijk moeten toepassen, zoals beveiligingstests en penetratietests. Dit houdt in dat veel basismaatregelen voor compliance niet worden getroffen. In 2015 hadden bedrijven die niet voor hun tussentijdse evaluatie slaagden, de toepassing van 12,4 procent van de controlemechanismen achterwege gelaten. In 2016 steeg dit percentage tot 13 procent.

Simonetti: “Het is niet langer de vraag of data moeten worden beschermd, maar hoe. Veel bedrijven staren zich nog altijd dood op de afzonderlijke mechanismen. Ze hebben geen oog voor de onderlinge verbanden. Maar al te vaak schort het aan levenscyclusbeheer voor controlemechanismen. Dit is vaak te wijten aan een tekort aan vakkundige interne professionals. Uit onze ervaring blijkt echter dat de interne expertise drastisch kan worden opgevoerd met levenscyclusadvies van externe experts.”

Aanbevelingen

Het 2017 PSR bevat vijf belangrijke aanbevelingen voor het levenscyclusbeheer van controlemechanismen:

  • Consolideren voor het gemak van het management – De PCI DSS omvat reeds diverse onderling verbonden standaards en richtlijnen voor databescherming. Dat betekent dat bedrijven hun controlemechanismen kunnen consolideren, zodat ze eenvoudiger kunnen worden beheerd.
  • Investeer in interne expertise – Bedrijven zouden in hun medewerkers moeten investeren, zodat ze kennis kunnen opdoen van manieren om de controlemechanismen te verbeteren, in de gaten te houden en op effectiviteit te meten, en die kennis op peil kunnen houden.
  • Hanteer een evenwichtige aanpak – Bedrijven moeten een robuuste en veerkrachtige interne controle-omgeving creëren om te voorkomen dat controlemechanismen niet aan de eisen voldoen.
  • Zorg voor zoveel mogelijk automatisering – Het automatiseren en in een workflow gieten van procedures voor databescherming kan een groot verschil maken voor het beheer van PCI DSS-compliance. Houd er wel rekening mee dat ook alle automatiseringsprocessen regelmatig aan een audit moeten worden onderworpen.
  • Ontwerp, gebruik en beheer de interne controle-omgeving – De prestaties van elk controlemechanisme staan met elkaar in verband. Als er sprake is van een probleem met de controlemechanismen bovenin de kolom, zal dat ook van invloed zijn op de prestaties van de controlemechanismen onderin de kolom. Dit inzicht is van cruciaal belang voor de ontwikkeling en uitvoering van een effectief en duurzaam programma voor databescherming.

Troy Leach, hoofdtechnisch medewerker van de PCI Security Standards Council, stelt: "Het rapport wijst op de uitdagingen voor organisaties om voortdurend beveiligingscontroles te moeten onderhouden, waardoor hun kaarthouder gegevensomgevingen kwetsbaar zijn voor een aanval. Deze trend was een belangrijke aandrijving voor veranderingen die werden ingevoerd in PCI Data Security Standard versie 3.2., Die zich richten op het helpen van organisaties om te bevestigen dat de kritieke gegevensbeveiligingscontroles door het hele jaar door worden gehouden. En dat ze effectief getest worden als onderdeel van het lopende beveiligingsmonitoringsproces.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024