تعمیل اصلی سیکیورٹی نہیں ہے۔ ہمارے کریڈٹ کارڈ بہتر کے مستحق ہیں

ہدف ، نییمن مارکس ، اور دیگر خوردہ فروشوں میں حالیہ اعداد و شمار کی خلاف ورزیوں نے ثابت کیا ہے کہ صنعت کے معیار کے مطابق ہونا بہتر سیکیورٹی کا ترجمہ نہیں کرتا ہے۔ تو ہم چیک لسٹ کے ساتھ اپنا وقت ضائع کیوں کررہے ہیں؟

حملہ آوروں نے ادائیگی کارڈ کی تفصیلات میں رکاوٹ پیدا کردی کیونکہ کارڈ سوئپ ہوچکے تھے اور معلومات کو خفیہ کرنے سے پہلے ہی ٹارگٹ اور نییمن مارکس کے ایگزیکٹوز نے 5 فروری کو ہاؤس انرجی اینڈ کامرس کمیٹی کی سب کمیٹی برائے تجارت ، مینوفیکچرنگ اور تجارت کی سماعت پر گواہی دی۔ نییمن مارکس کے سینئر نائب صدر اور سی آئی او ، مائیکل کنگسٹن نے کہا ، "معلومات کو سوائپ - ملی سیکنڈ کے بعد فوری طور پر کھوج لگا دیا گیا تھا ، اس سے پہلے کہ خفیہ سرنگوں کے ذریعے پروسیسنگ کے لئے بھیجا گیا تھا۔"

جب کارڈ سوئپ ہوجاتے ہیں تو ، مقناطیسی پٹی سے ملنے والی معلومات کو خفیہ نہیں کیا جاتا ہے۔ خوردہ فروشوں کے پوائنٹ آف سیل ٹرمینلز پر معلومات حاصل کرنے سے روکنے کا واحد طریقہ یہ ہے کہ شروع سے ہی ڈیٹا کو خفیہ بنایا جائے۔ بات یہ ہے کہ ، آخر میں آخر میں خفیہ کاری کو فی الحال صنعت کے ضوابط کے ذریعہ لازمی نہیں قرار دیا گیا ہے ، جس کا مطلب ہے کہ یہ خلا جلد ہی کسی بھی وقت دور نہیں ہوگا۔

یہاں تک کہ مقناطیسی پٹی کارڈز سے EMV چپ کارڈوں میں منتقل کرنا بھی آخر کار سے آخر میں خفیہ کاری کا مسئلہ حل نہیں کرے گا ، کیوں کہ اس نقطہ پر ڈیٹا ابھی بھی واضح متن میں منتقل ہوتا ہے۔ EMV کارڈز کو اپنانا ضروری ہے ، لیکن اگر تنظیمیں اپنے حفاظتی دفاع کے تمام پہلوؤں کو بہتر بنانے کے بارے میں بھی نہیں سوچتی ہیں تو یہ کافی نہیں ہوگا۔

PCI-DSS کام نہیں کرتا ہے

خوردہ فروشوں - کوئی بھی ادارہ جو ادائیگی کے اعداد و شمار کو سنبھالتا ہے ، واقعی طور پر اسے ادائیگی کارڈ انڈسٹری - ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI-DSS) کی تعمیل کرنے کی ضرورت ہوتی ہے تاکہ صارفین کی معلومات کو محفوظ طریقے سے محفوظ اور منتقل کیا جا سکے۔ پی سی آئی-ڈی ایس ایس کے بہت سارے اصول ہیں ، جیسے کہ دوسروں کے درمیان اس بات کو یقینی بنانا کہ ڈیٹا کو خفیہ بنایا گیا ہے ، فائر وال لگانا ، اور ڈیفالٹ پاس ورڈ کا استعمال نہ کرنا۔ یہ کاغذ پر ایک اچھ ideaا خیال کی طرح لگتا ہے ، لیکن جیسا کہ حالیہ اعداد و شمار کی خلاف ورزیوں نے ظاہر کیا ہے ، ان سکیورٹی مینڈیٹ پر عمل پیرا ہونے کا مطلب یہ نہیں ہے کہ کمپنی کی کبھی خلاف ورزی نہیں ہوگی۔

گذشتہ ماہ گارٹنر کے نائب صدر اور ممتاز تجزیہ کار ، ایویوا لیٹن نے لکھا ، "واضح طور پر ، پی سی آئی کی تعمیل بہت اچھی طرح سے کام نہیں کر رہی ہے - تاجروں اور کارڈ پروسیسروں کے اربوں ڈالر کے حصول کے لئے کوششوں میں خرچ کرنے کے باوجود۔"

معیار روایتی دفاعی اقدامات پر مرکوز ہے اور اس نے تازہ ترین حملہ کرنے والے ویکٹروں کے ساتھ کام نہیں کیا ہے۔ خوردہ فروشوں کی خلاف ورزیوں کے تازہ ترین دور میں حملہ آوروں نے میلویئر کا استعمال کیا جس نے اینٹیوائرس کا پتہ لگانے سے انکار کردیا اور ڈیٹا کو بیرونی سرورز میں منتقل کرنے سے پہلے انکرپٹ ڈیٹا کو استعمال کیا۔ لیٹن نے کہا ، "مجھے پی سی آئ کے معیار کے بارے میں کچھ نہیں معلوم جس میں اس چیز کو پکڑا جاسکتا تھا۔"

لیٹن نے خلاف ورزیوں کا الزام کارڈ جاری کرنے والے بینکوں اور کارڈ نیٹ ورک (ویزا ، ماسٹر کارڈ ، ایمیکس ، دریافت) پر لگایا۔ "خرابی کی روک تھام کے لئے زیادہ کام نہ کرنے کے لئے۔" لیٹن نے کہا ، بہت کم سے کم ، انہیں کارڈ کے ڈیٹا کے لئے آخر سے اختتام (خوردہ فروش سے جاری کرنے والے) انکرپشن کی مدد کے لئے ادائیگی کے نظام کے انفراسٹرکچر کو اپ گریڈ کرنا چاہئے تھا ، زیادہ تر اسی طرح اے ٹی ایم میں پنوں کا انتظام کیا جاتا ہے۔

کمپلینٹ یہ سیکیورٹی نہیں ہے

لگتا ہے کہ کوئی بھی پی سی آئی کے موافق اسٹیکر کو سنجیدگی سے نہیں لے رہا ہے۔ ابھی جاری کردہ ویریزون 2014 پی سی آئی کی تعمیل رپورٹ میں بتایا گیا ہے کہ صرف 11 فیصد تنظیمیں ادائیگی کارڈ انڈسٹری کے معیارات کے ساتھ پوری طرح تعمیل کر رہی ہیں۔ اس رپورٹ میں پتا چلا ہے کہ بہت ساری تنظیمیں تشخیص کو منظور کرنے کے لئے بہت زیادہ وقت اور توانائی صرف کرتی ہیں ، لیکن ایک بار ہو جانے کے بعد ، تعمیری رہنے کے لئے بحالی کے کاموں کو برقرار نہیں رکھ سکتی ہے۔

در حقیقت ، ٹرینڈ مائیکرو کے پبلک ٹکنالوجی اور حل کے ڈائریکٹر جے ڈی شیری نے مائیکلز اور نییمن مارکس کو "مجرم دہندگان" کہا۔

اس سے بھی زیادہ پریشان کن بات یہ ہے کہ تقریبا around 80 فیصد تنظیموں نے 2013 میں تعمیل کے قواعد میں "کم از کم 80 فیصد" کو پورا کیا۔ "زیادہ تر" تعمیل ہونے کی وجہ سے یہ مشکوک طور پر "حقیقت میں نہیں" کی طرح لگتا ہے ، کیونکہ انفراسٹرکچر میں کہیں فاصلاتی سوراخ موجود ہے۔

ٹرسٹ ویو کے سینئر نائب صدر ، فلپ اسمتھ نے ایوان کی سماعت میں گواہی دی ، "ایک عام غلط فہمی یہ ہے کہ پی سی آئی کو سیکیورٹی کے ل a ایک کیچ آؤٹ بنانا تھا۔"

تو پھر ہم پی سی آئی کے ساتھ کیوں قائم ہیں؟ یہ سب کچھ بینکوں اور ویزا / ماسٹر کارڈ کو ہماری پوری سیکیورٹی کو بہتر بنانے کے لئے کچھ کرنے سے روکنا ہے۔

اصل سیکیورٹی پر توجہ دیں

سیکیورٹی ماہرین نے بار بار متنبہ کیا ہے کہ تقاضوں کی فہرست پر توجہ مرکوز کرنے کا مطلب یہ ہے کہ تنظیمیں خالی جگہوں کو محسوس نہیں کرسکتی ہیں ، اور وہ حملے کے طریقوں کو تیار کرتے ہوئے ایڈجسٹ کرنے کے قابل نہیں ہیں۔ "تعمیل اور محفوظ رہنے میں فرق ہے ،" نمائندہ مارشا بلیک برن (آر ٹین) نے ایوان کی سماعت میں نوٹ کیا۔

ہم جانتے ہیں کہ ٹارگٹ نے ٹیکنالوجی اور ایک اچھی سکیورٹی ٹیم میں سرمایہ کاری کی ہے۔ کمپنی نے تعمیل کے حصول اور ثابت کرنے میں بہت زیادہ وقت اور رقم خرچ کی ہے۔ کیا ہوتا ، اگر اس کے بجائے ، ہدف سکیورٹی کے ان تمام اقدامات پر خرچ کر سکتا ہے جن کا ذکر PCI میں نہیں کیا گیا ہے ، جیسے سینڈ باکسنگ ٹکنالوجیوں کو اپنانا یا حتی کہ نیٹ ورک کا حص seہ بنانا تاکہ حساس نظام کو بند کردیا جائے؟

کیا ہوگا ، اگر آئندہ چند ماہ دستاویزات کرنے اور ان کی سرگرمیوں کو PCI کی چیک لسٹ میں نقشہ بنانے کے بجائے خرچ کرنے کے بجائے ، خوردہ فروش سیکیورٹی کی متعدد پرتوں کو اپنانے پر توجہ مرکوز کرسکتے ہیں جو قابل تقلید ہیں اور تیار حملوں میں ڈھل سکتے ہیں۔

کیا ہوگا اگر ، خوردہ فروشوں اور انفرادی تنظیموں کے بجائے ، جو PCI کے بارے میں فکر مند ہیں ، ہم بینکوں اور کارڈ نیٹ ورک کو جوابدہ رکھتے ہیں؟ تب تک ، ہم ان مزید خلاف ورزیوں کو دیکھتے رہیں گے۔