La capacità di difendere le carte di credito dagli attacchi hacker dipende strettamente dal rispetto dei requisiti di sicurezza dei dati (Pci Dss). Non è l’unica arma a disposizione, ma è una delle più importanti. È questa la conclusione a cui giunge il Payment Security Report 2017 di Verizon, svelando che il rispetto di questi criteri da parte delle organizzazioni e la loro capacità di difendersi dagli attacchi hacker sono effettivamente correlati.
La scoperta è importante perché gli attacchi informatici sono in costante aumento e il tema della sicurezza delle carte di credito è sempre più sentito, sia dalle aziende che dai clienti. Tutti i casi di violazione di dati di una carta di credito indagate da Verizon erano infatti legati alla mancata applicazione degli standard al momento dell’attacco. E hanno dimostrato anzi una conformità incompleta per 10 dei 12 requisiti Pci Dss basilari.
“Molto spesso gli ambienti dati dei titolari delle carte di credito rimangono in una situazione di vulnerabilità agli attacchi informatici – commenta Troy Leach, chief technology officer del Pci Security Standards Council -. Questo trend è stato uno dei driver di cambiamento introdotti nella versione 3.2 del Pci Data Security Standard, che si concentra sul supporto alle organizzazioni nell’accertarsi che i requisiti di sicurezza dei dati più critici vengano applicati per tutto l’arco dell’anno, e che questi criteri vengano testati nel contesto di un procedimento costante di monitoraggio della sicurezza”.
Oltre il 50% delle aziende non rispetta gli standard
La buona notizia riguarda l’aumento generale della conformità, che può essere vantata dal 55,4% delle organizzazioni prese in considerazione da Verizon nel 2016. Meglio del 2015, quando le organizzazioni che rispettavano tutti i requisiti secondo la verifica provvisoria erano il 48,4%. Se l’aumento è positivo, il dato assoluto testimonia però la difficoltà di quasi la metà dei retailer, dei ristoratori, degli hotel e di molte altre attività che si basano su pagamenti con carta di credito nel rispettare questi requisiti minimi di sicurezza di anno in anno.
“Il rispetto dei requisiti Pci Dss e la capacità di un’organizzazione di difendersi dagli attacchi informatici sono aspetti chiaramente legati – commenta Rodolphe Simonetti, global managing director for security consulting di Verizon -. Se da un lato un maggior rispetto dei requisiti Pci è positivo, rimane il fatto che più del 40% delle organizzazioni di tutte le dimensioni esaminate a livello globale ancora non applica i criteri. E, tra quelle che hanno superato quest’analisi, quasi la metà non è più conforme nel giro di un anno, e altre ancora prima”.
IT, finanza e hospitality i mercati più attenti alla sicurezza
Dal punto di vista settoriale, il mercato dei servizi IT è tra tutti i settori chiave analizzati quello che ha raggiunto il livello più alto e completo di conformità a questi requisiti (61,3%), seguito dal 59.1% delle organizzazioni dei servizi finanziari (tra cui le compagnie assicurative), dal 50% del retail e dal 42,9% del del comparto hospitality. Il report di Verizon individua inoltre alcune delle sfide specifiche che i singoli settori si trovano ad affrontare. Test di sicurezza, trasmissione di dati crittografati e autenticazione per il retail; rafforzamento della sicurezza, protezione dei dati in transito e sicurezza fisica per l’hospitality; procedure di sicurezza, configurazioni sicure, protezione dei dati in transito, gestione delle vulnerabilità e gestione dei rischi in generale per i servizi finanziari.
“La questione non è più se i dati debbano essere protetti, ma come arrivare ad una protezione dei dati davvero sostenibile – spiega Simonetti -. Molte organizzazioni concepiscono ancora i criteri di sicurezza Pci Dss come fini a se stessi e non capiscono come siano invece interconnessi. Il concetto di gestione del ciclo di vita della sicurezza è fin troppo spesso completamente inesistente”. Secondo il manager di Verizon questa assenza è da imputare in gran parte dei casi alla mancanza di personale interno specializzato.
Carte di credito, come evitare le frodi e il furto dei dati
Il rapporto di Verizon suggerisce infine cinque linee guida principali per la gestione del ciclo di vita della sicurezza: consolidare per una gestione più semplice, investire nello sviluppo del know-how, adottare una strategia equilibrate, automatizzare il più possibile e progettare, applicare e gestire l’ambiente dei controlli di sicurezza interni.
