Szerző: Bizó Dániel

2010. május 5. 17:32

Hogyan építsünk ki magas biztonsági szintet?

A kártyatársaságok hat évvel ezelőtt létrehozták közös IT-biztonsági sztenderdjüket, amely gyakorlati követelményeket támaszt a bankokkal és kártyaelfogadókkal szemben is. Ezek az előírások ugyanakkor jó vezérfonalat adhatnak bármilyen cég IT-biztonságának megteremtéséhez is, vélik a HP-nál.

HIRDETÉS

Az ezredforduló elején, az elektronikus kereskedelem robbanásakor a különféle kártyatársaságok egyenként saját maguk dolgozták ki és fejlesztették folyamatosan a kártyakezelés informatikai biztonságát. A programok célja az volt, hogy egy világos és lényegre törő biztonsági követelmények kidolgozásával technikailag, valamint a megfelelőség számonkérésével jelentősen emeljen a kártyás fizetések biztonságán.

A Visa, Mastercard, American Express, Discover és JCB azonban úgy döntöttek, feleslegesen redundáns munkát végeznek, így egyesítették erőfeszítéseiket, hogy összehangolják ezeket a programokat. Ennek eredményeként született meg a Payment Card Industry Security Standards Council (PCI SSC) szervezet, amely 2004 végén kiadta a PCI Data Security Standardet (PCI DSS), kodifikálva az előírásokat, amelyeknek a bankoknak, mint kibocsátóknak, a tranzakciókat kezelő szolgáltatóknak és a kereskedőknek is meg kell felelniük - a PCI DSS mindenkire vonatkozik, aki bármilyen formában kártyákat kezel.

Itthon alig ismerik

A rendszeresen frissített PCI DSS az elmúlt évek az egyik leggyakrabban hivatkozott IT-biztonsági sztenderdje, amelynek megléte esetén a mai napig nincs egyetlen ismert eset sem, mikor adatlopás történt volna, mondta el Krasznay Csaba, a HP biztonsági tanácsadója. Ennek ellenére a hazai cégek részéről csekély az érdeklődés a PCI DSS iránt, amit az április végén Budapesten megrendezett nemzetközi PCI DSS képzésen megjelent magyar szakemberek csekély száma is jelez. Ez főként azért is furcsállható, mert a kártyákkal kapcsolatba kerülő cégek, kereskedők, bankok és IT-üzemeltetők súlyos, akár több tíz- vagy százmillió forintos büntetéseket kockáztatnak, ha kiderül, hogy egy adatlopás áldozatául esnek, miközben IT-rendszerük biztonsága nem felelt meg a PCI DSS előírásainak.

A helyzetért az is felelős lehet, hogy miközben Magyarországon rendkívül szigorú szabályozás alakult ki a személyes adatok kezelésével kapcsolatban, addig nem kötelező nyilvánosságra hozni azokat az incidenseket, amelyekben személyes adatokat loptak el, mondta el Wollner László, a HP biztonsági és kockázatkezelési üzletágának vezetője. Az Egyesült Államokban tavaly 1,8 millió személyes rekordot tulajdonítottak el az Identity Theft Resource Center statisztikái szerint. Wollner hozzátette, hogy a döntéshozók hajlamosak ráadásul a biztonsági szintet fokozó aspektusokat elsőként kihúzni a fejlesztési projektekből, mivel úgy érzik, már elegendőt költött a vállalat a területre. Krasznay szerint sok helyen még mindig úgy gondolják, hogy a biztonság egyenesen arányos a telepített tűzfalak számával.

A 12 pont

1. Tűzfal telepítése és üzemeltetése a kártyabirtokos adatainak védelmében
2. Nem szabad a gyártói alapértelmezett jelszavakat meghagyni
3. A tárolt kártyaadatok védelme
4.  Átvitel során titkosítani kell az adatokat
5. Az érintett rendszereken friss vírusvédelmi eszközök használata
6. Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni
7. Az adatokhoz csak az férjen hozzá, akinek erre szüksége és joga van
8. Minden felhasználónak egyedi azonosítóval kell rendelkeznie
9. A kártyaadatokhoz fizikai hozzáférést korlátozni kell
10. Minden hálózati és adathozzáférést nyomon kell követni
11. Rendszeres tesztelés
12. Információs biztonsági politika kidolgozása

A PCI DSS alkalmazása beoltható az átfogóbb és általánosabb ISO 27002-be, de annál fókuszáltabb és konkrétabb, így sokkal többet segít abban, mit is kellene tenni a biztonság elérése és fenntartása érdekében. Összesen 12 fő pontba (és több mint 300 alpontba) szedi össze a PCI DSS a biztonság alapvető követelményeit, amelyek elvárása valójában triviális, átgondolt implementációja azonban rengeteg átgondolást, tervezést és munkát követelhet meg. A PCI DSS nem terjed ki a biztonság minden területére és részletére, azonban erős alapot jelent.

Az alapok

Wollner szerint a biztonság alappillérei közül az első az átfogó, minden felhasználóra kiterjedő azonosság- és jogosultságkezelés a korlátozás és elszámoltathatóság érdekében. Mint mondja, \"ha ez nincs meg, nem tudni, ki és mit tesz a rendszerben\". A második a kiterjedt naplózás és naplóelemzés, amely az utólagos detektívmunkát teszi lehetővé, a harmadik pedig a biztonságos adatkezelési mechanizmusok kidolgozása - erősen titkosított adattárolás és adatátvitel.

Mint minden biztonsági \"best practice\", úgy a PCI DSS egyik sarkalatos pontja is, hogy a szoftverekhez mindig telepíteni kell a biztonsági foltozásokat, valamint meg kell bizonyosodni, hogy azok nem esnek áldozatul az ismert támadási technikáknak, mint például az SQL injekció, URL paraméterezés vagy a webes XSS támadások. Ehhez kapcsolódik, hogy a biztonságot szem előtt tartó fejlesztési modellt kell követni, Krasznay szerint ez azonban Magyarországon lehetetlen, alig páran vannak, akik a biztonságos szoftverterek tervezésének és fejlesztésének akár minimumával is tisztában lennének, és a cégek sem fizetik meg ezt a tudást.

Ha támadható az alkalmazás, de a szállító nem biztosít még vagy már patchet hozzá, vagy az alkalmazáshoz nem lehet vagy érdemes hozzányúlni, akkor sincs minden veszve. Ekkor az úgynevezett támadási vektorokat kell megszüntetni, vagyis a támadható alkalmazás köré egy védelmi vonalat húzni, amely kiszűri például a rosszindulatú kódokat, parancsokat. Az egyik bevált megoldás, mondta el Wollner, hogy egy vállalati alkalmazást azért alakítanak webes felületűvé, hogy így szigeteljék el azt és akadályozzák meg a nem kívánt működést egy sokkal szigorúbb webes szabályozással.

Bár a PCI DSS megfelelőségnek nincsenek fokozatai, vagyis vagy megfelel a rendszer, vagy nem, rossz válasz, hogy egy adott szoftver vagy hardver sebezhetősége esetén azt azonnal el kell dobni, ha nem teljesíti a követelményeket - különösen igaz ez az előbb említett alkalmazások esetében. A biztonsági szakembereknek tudniuk kell priorizálni, és fejlesztési tervet készíteni, amely fokozatosan csökkenti a kockázatokat, véli Wollner, aki szerint sok helyen látszatbiztonságot tartanak fenn feleslegesen összevásárolt biztonsági termékek telepítésével. Ugyanakkor a HP Magyarország sem rendelkezik PCI DSS megfelelőséggel, mivel nem végez kártyás értékesítési tevékenységet.

A PCI DSS részletes követelményei, valamint az implementációt segítő támogató anyagok szabadon letölthetőek a PCI SSC weblapjáról.

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.

a címlapról

Hirdetés

FinOps: a fájdalommentes diéta titka a felhőben

2021. december 6. 22:13

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.