Diefstal creditcardgegevens door niet naleven van beveiligingsrichtlijnen

In zijn eerste, unieke ‘Verizon Payment Card Industry Compliance Report’ biedt Verizon Business een overzicht van de stand van zaken met betrekking tot de naleving van de Payment Card Industry Data Security Standard (PCI DSS). Deze standaard werd in 2006 ontwikkeld met het doel om de gegevens van creditcardhouders te beschermen en het aantal gevallen van creditfraude terug te dringen. De onderzoekers van Verizon Business wezen op een kans van 50% dat bedrijven die ten prooi zijn gevallen aan gegevensdiefstal niet aan de PCI-richtlijnen voldoen. Tijdens een eerste evaluatie van de compliance-status van de onderzochte bedrijven bleek slechts 22 procent aan de PCI-richtlijnen te voldoen.

Naast een beoordeling van de effectiviteit van de PCI DSS-standaard biedt het rapport een overzicht van de populairste aanvalsmethoden en aanbevelingen die bedrijven helpen om aan de PCI-richtlijnen te (blijven) voldoen.

Het compliance-rapport is gebaseerd op de bevindingen van PCI DSS-audits die in 2008 en 2009 door het team van PCI Qualified Security Assessors (QSA’s) van Verizon werden uitgevoerd en een analyse van een steekproef van circa 200 auditdossiers. In zijn hoedanigheid van QSA houdt verzorgt Verizon audits voor bedrijven met betrekking tot de gevestigde PCI DSS-standaard, die voortdurend wordt verbeterd door de PCI Council, het bestuursorgaan voor de PCI-beveiligingsstandaarden en -compliance.

“Het ‘Verizon Payment Card Industry Compliance Report’ biedt bedrijven een unieke kijk op de staat van zaken op het gebied van PCI-compliance voor de gehele branche, en geeft specifiek aan welke richtlijnen het moeilijkst blijken om aan te voldoen”, aldus Peter Tippett, vicepresident Technology & Innovation bij Verizon Business. “We hopen dat dit rapport bedrijven in staat zal stellen om op een beter geïnformeerde en effectievere manier met de naleving van de PCI-richtlijnen om te gaan. Uiteindelijk willen we hetzelfde als de rest van de branche: minder gevallen van gestolen creditcardgegevens en gegevenslekken.”

Belangrijkste bevindingen

Uit de onderzoeksresultaten blijkt dat de naleving van de PCI-richtlijnen de kans op gegevenslekken vermindert. Om een grondiger inzicht te verkrijgen heeft Verizon zijn auditdossiers aangevuld met informatie over onderzoeken naar gevallen van diefstal van creditcardgegevens uit het “Verizon 2010 Data Breach Investigations Report” (DBIR) en de gecombineerde gegevens vervolgens geanalyseerd op gemeenschappelijke kenmerken. De belangrijkste bevindingen zijn onder meer:

– Slechts 22 procent van alle bedrijven blijkt voldoet in eerste instantie aan de richtlijnen. De meeste bedrijven bleken niet aan de vereisten van de PCI-richtlijnen te voldoen ten tijde van het Initial Report on Compliance, toen de QSA’s van Verizon de onderneming in kwestie voor het eerst op de naleving van de standaard beoordeelden. De meerderheid van de bedrijven die volledig aan de richtlijnen voldeden, had reeds jarenlange ervaring op dit gebied of was niet verplicht om aan alle vereisten te voldoen.
– Compliance is echter in handbereik. Hoewel 78 procent van de onderzochte bedrijven in eerste instantie niet aan de richtlijnen bleek te voldoen, blijkt uit het onderzoek dat bedrijven gemiddeld 81 reeds procent van de voorgeschreven PCI-procedures hebben opgevolgd. Driekwart van de bedrijven wist zelfs minimaal 70 procent van de testprocedures met succes te doorstaan. Dit houdt in dat zij met een extra inspanning een goede kans maken om aan de richtlijnen te voldoen. Slechts 11 procent van de ondernemingen wist ten tijde van de eerste beoordeling minder dan de helft van de testprocedures te doorstaan.
– Er bestaat een kans van 50 procent dat bedrijven die aan gegevensdiefstal ten prooi vallen niet aan de PCI-richtlijnen voldoen. Na afloop van forensische onderzoeken of analyses van gegevenslekken brengen de onderzoekers van Verizon in kaart tot op welke hoogte de desbetreffende organisatie aan de PCI-richtlijnen voldoet. Na het vergelijken van deze gegevens tegen officiële PCI-auditdossiers stelden de analisten van Verizon vast dat de kans dat bedrijven waar een gegevenslek was opgetreden aan de PCI-richtlijnen voldeden, 50 procent lager uitviel. Daaruit blijkt dat bedrijven gegevenslekken kunnen voorkomen door ervoor te zorgen dat ze aan de PCI-richtlijnen voldoen.
– Er is sprake van een verband tussen gegevenslekken en de moeilijkheden die bedrijven hebben om aan bepaalde PCI-vereisten te voldoen. Van de 12 vereisten van de PCI DSS-standaard hebben er drie – het beschermen van opgeslagen creditcardgegevens, het loggen en bewaken van de toegang tot netwerkbronnen en creditcardgegevens en het regelmatig testen van beveiligingssystemen en -processen –betrekking op gebieden die volgens het DBIR het meest vatbaar zijn voor beveiligingslekken. En het zijn juist deze drie vereisten waarmee bedrijven die aan de PCI DSS-standaard willen voldoen de meeste moeite hebben.

De PCI DSS-Standaard biedt bescherming tegen populaire aanvalsmethoden

Door de resultaten van PCI-audits te koppelen aan analyses die naar aanleiding van beveiligingsincidenten werden uitgevoerd, waren de analisten van Verizon in staat om de populairste aanvalsmethoden in kaart te brengen die door cybercriminelen werden gebruikt om kaartgegevens te bemachtigen: malware en hacken (25 procent), SQL-injectie (24 procent) en misbruik van standaard of eenvoudig te raden aanmeldingsgegevens (21 procent).

Uit het rapport bleek dat de PCI DDS-standaard een oplossing biedt voor de aanvalsmethoden die het vaakst worden gebruikt om creditcardgegevens te bemachtigen. De standaard biedt op verschillende terreinen meervoudig gelaagde beveiligingsmechanismen.

“Uit onze onderzoeksbevindingen blijkt dat naleving van de PCI DSS-richtlijnen ondernemingen kan helpen om aanvallen op de beveiliging te voorkomen, detecteren en af te slaan,” aldus Tippett.

Aanbevelingen

Bedrijven die aan de PCI DDS-standaard voldoen, hanteren onder meer de volgende beste praktijken:

– Zorg voor ingebouwde beveiliging. Bedrijven moeten de beveiliging van meet af aan binnen hun bedrijfsprocessen integreren, en niet in een later stadium toevoegen. Bedrijven die deze praktijk hanteren zijn meestal minder tijd en geld aan compliance kwijt en in staat om meer waarde uit hun compliance-activiteiten te putten.
– Breng geen scheiding tussen de compliance en beveiliging aan. Bedrijven die de compliance en beveiliging op elkaar afstemmen, hebben over het algemeen minder problemen om aan beveiligingsrichtlijnen zoals die van de PCI DSS-standaard te voldoen. Bedrijven die aan deze richtlijnen voldoen beschikken daarnaast over een speciaal compliance- en beveiligingsteam of twee teams die zeer nauw met elkaar samenwerken.
– Behandel compliance als een voortdurend proces in plaats van een tijdsgebonden proces. Bedrijven doen er goed aan om PCI-compliance binnen hun dagelijkse bedrijfsactiviteiten te integreren. Ze zullen in de problemen komen wanneer ze PCI op maand-, kwartaal- of jaarbasis aanpakken.
– Houd uw gegevens nauwlettend in de gaten. Een veel voorkomend probleem bij PCI-audits is ‘scope creep’, het fenomeen dat bedrijven activiteiten betrekken die ver buiten het PCI DSS-kader vallen in een poging om compliance te garanderen. Het detecteren, bijhouden en beheren van gegevens is van cruciaal belang. Hoe groter de reikwijdte van een audit, des te kostbaarder en complexer het project voor de onderneming.

Een volledig exemplaar van het Verizon Payment Card Industry Compliance Report is beschikbaar op www.verizonbusiness.com/go/pcireport.