Ads 468x60px

maanantai 24. lokakuuta 2011

Maksukorttialan tietoturvapäivät Lontoossa, osa 2


Nykytrendin mukaisesti konferenssissa oli sosiaalinen media myös hyvin käytössä. #PCICM hashtagilla kommentoitiin puheenvuoroja reaaliajassa ja mielenkiintoisia pointteja ja esiinnostoja viserrettiin eteenpäin myös maksukorttialan turvallisuudesta vähemmän kiinnostuneiden seuraajien iloksi. Jopa itse Jeremy King (PCI SSC:n European Director) että vielä legendaarisempi Bob Russo (PCI SSC:n General Manager) olivat aktivoituneet twitterissä. Bob Russon voi bongata oheisesta Councilin vuonna 2010 julkaisemasta promomusiikkivideosta, jossa tiivistetysti hauskalla tavalla käydään läpi myös itse PCI DSS -standardin vaatimukset:

http://www.youtube.com/watch?v=OceYWri86Ts

Mutta sitten niihin luvattuihin muihin mielenkiintoisiin puheenvuoroihin:

Johtaja David Evans Ison-Britannian "tietosuojatoimistosta" ja konsultti Matthias Hauss SRC Security Research and Consulting Gmbh:sta kertoivat mielenkiintoisia esimerkkejä sekä Britannian että Saksan raportointivaatimuksista tietomurtotapauksissa. Britanniassa paikallinen tietosuojatoimisto alkaa ylläpitämään listaa tietomurroista ja tietomurron kohteeksi joutuneista organisaatioista. Jatkossa ennen asiointia verkkokaupassa kannattaakin tsekata onko organisaatio tietosuojatoimiston listalla. Saksassa käytäntö on toisenlainen, tietomurron kohteeksi joutunut organisaatio joutuu antamaan asiasta ilmoituksen kahdessa maanlaajuisessa lehdessä. Lisäksi Hauss omassa puheenvuorossaan otti kantaa Euroopan tietosuojadirektiiviin sekä Saksan vastaavaan lainsäädäntöön ja totesi, että PCI DSS:n näkökulmasta suojattavat tiedot ovat yksi suojattavien henkilötietojen ilmentymä. Hauss kehottikin kaikkia tietosuojadirektiivin ja vastaavan lainsäädännön alaisia organisaatioita ottamaan PCI DSS:n perustasoksi tietojensa suojaamiseen.

Kuten Hauss, mekin KPMG:llä olemme jo useiden vuosien ajan suositelleet PCI DSS:n käyttöönottoa myös maksukorttialan ulkopuolisille toimijoille hyvänä tietoturvan kehittämistyökaluna. PCI DSS on ilmainen standardi, jonka toteuttamisvaatimukset sekä paljon ohjeistusta vaatimusten toteuttamiseksi ovat ilmaiseksi kaikkien käytettävissä.

Lontoon yliopiston professori Fred Piper piti todella mielenkiintoisen, hauskan ja mukaansatempaavan luennon kryptografiasta. Uusien salausmenetelmien keksimisen ja vanhojen salausmenetelmien murtamisen kilpajuoksusta huolimatta sirulla varustettua maksukorttia ei ole vielä onnistuttu murtamaan. Maksukorttien väärinkäytökset ovat aina perustuneet muihin menetelmiin, kuten esim. shoulder surfing tai perinteiset tietomurtomenetelmät. Fred Piper kiteytti asian lauseeksi: "Chip and PIN is not Broken!", josta muodostui varmasti yksi #PCICM-hashtagin eniten retweetattu lausahdus. Lisäksi puheenvuorossa käytiin läpi salausmenetelmien historiaa kymmenien vuosien takaa aina tähän päivään asti. Mielenkiintoista oli myös spekulaatiot siitä, miten menetelmien luomiseen ja murtamiseen on ajansaatossa suhtauduttu. Riippuen näkökulmasta aina ei ole ollut yksiselitteistä onko murtaja ollut se hyvä vaiko paha kaveri. Fred myös spekuloi sitä, mitkä asiat olisivatkaan muuttuneet, jos tietyt salausalgoritmit olisivat tulleet aikoinaan murretuksi. Vaikutuksia olisi saattanut olla hyvinkin suoraan esimerkiksi juuri pankkimaailmaan. Matematiikan ja kryptografian suurena guruna hän myös naureskeli sitä, kuinka usein algoritmin luojat olettavat kaikkien potentiaalisten ihmisten haluavan käyttää aikaansa uuden algoritmin murtamiseen. Tiivistettynä voidaan siis sanoa, että vaikka algoritmia ei puoleen vuoteen ole joku taho murtanut, se ei tarkoita sitä, että se olisi turvallinen. Ihmisillä on saattanut olla "parempaakin tekemistä", kuin viettää yöt ja päivät murtopuuhissa.

Troy Leach PCI SSC:stä antoi Councilin "ohjeita" vaatimustenmukaisuuden elinkaaren hallintaan ja vaatimustenmukaisuuden saavuttamisen nopeuttamiseen. Ideana oli lyhentää tietä (tai siltaa, kuten he asiasta puhuivat) vaatimustenmukaisuuteen käyttämällä PA-DSS (Payment Application Data Security Standard ), PCI PTS (PIN transaction security) jne. sertifioituja laitteita, palveluita jne. Myös mm. tuleva P2PE (Point-to-Point Encryption) -salaus ja sen sertifiointimahdollisuus auttavat PCI DSS vaatimustenmukaisuuden kanssa painivia organisaatioita. Tiivistetysti: ulkoista kaikki minkä voit, jolloin sinulle itsellesi jää vain murto-osa vaatimuksista toteutettavaksi. Monet suomalaisetkin organisaatiot ovat tämän jo huomanneet ja sitä toteuttaneet.

...ja vielä se tärkein huomio tietoturva-asiantuntijoiden näkökulmasta. Suurin osa tietomurroista tehdään edelleen web-pohjaisina hyökkäyksinä ja erityisesti pitkäaikaisen OWASP TOP10 – listallakin mainittujen SQL-injektioiden kautta. Herätys! :)



Mika Iivari & Olli Knuuti

Ei kommentteja:

Lähetä kommentti