Verizon 發表最新2017年《付款安全報告》 

九月 19th, 2017 | Categories: Latest News

揭示付款卡符合安全標準與防禦網絡攻擊能力之間的重大關連

Verizon 2017年《付款安全報告》報告重點:

● 支付卡產業資料安全標準(PCI DSS)有助保障付款系統免受數據失竊及用戶資料盜取的問題影響

● 在所有經Verizon調查的付款卡數據失竊個案中,沒有一所機構在事發時是完全達至安全標準,在12項PCI DSS要求中,僅有10個達標

● 在Verizon評測的機構當中,符合PCI標準的機構達55.4%,比2015年的48.4%有所上升。但維持達標狀態則仍是一個挑戰

近年網絡罪案猖獗,企業和消費者亦隨之益發關注付款卡安全。支付卡產業資料安全標準(PCI DSS) 能為接納付款卡的商舖提供保障,以免商舖的付款系統受數據失竊和資料盜取等威脅。Verizon 2017年《付款安全報告》(Payment Security Report)的結果發現,企業是否達標,將與其防禦網絡攻擊能力掛勾。

是次報告顯示,在所有經Verizon調查的付款卡數據失竊個案中,沒有一間機構在事發時是完全達至安全標準,在12個PCI DSS主要控制項中,僅有10個達標。

環觀全球,符合PCI標準的企業整體上有顯著上升。根據Verizon的評測,55.4%的機構通過2016年的中期測試,與2015年的48.4%相比可見明顯改善。但這亦代表近半的零售商、餐廳、酒店和其他接納付款卡的企業在過去兩年仍未能完全達至安全標準。

Verizon環球安全顧問總裁Rodolphe Simonetti說:「企業符合PCI DSS與否和他們抵禦網絡攻擊的能力有明顯的關連。雖然符合PCI標準的企業數字有所上升,但全球仍有超過40%受評測、各種規模的企業未能完全達到PCI DSS安全要求。而在原先合格的企業當中,近半在一年內或更短的時間內已下跌為『不達標』。」

行業相關的重要結果及真實例子

根據報告結果,IT服務行業為是次研究中,最能達至安全標準的主要行業。在全球,有近六成(61.3%)IT服務企業在2016年中期評測均能達標。其次為達59.1%的金融服務機構(包括保險業)、零售業(50%)和餐旅業(42.9%)。

2017年報告更就以下行業,重點列出多個行業相關的安全控制項中最常見的缺失:

● 零售業:進行安全檢測、加密數據傳送及身份驗證

● 酒店業及旅遊業:安全加固、保障傳輸中的數據及實體數據安全

● 金融服務業:制訂安全程序、安全設置、保障傳輸中數據、漏洞管理及整體風險管理

報告亦重點展示企業未能遵從安全標準的真實例子。其中一個例子顯示,一間正為其無線網絡申請PCI DSS標準豁免的金融服務機構竟發現,其大廈內已存有另一個無線網絡──此疏忽令該公司申請失敗。事發後發現,由於該公司的伺服器設於最底層,而IT部門位於三樓,該部門有員工為免除經常上落樓層的麻煩,自行安裝了路由器以便由桌上直接操控伺服器。

達標數目為持續合格的關鍵

儘管企業理應能達至如安全檢測、滲透測試等PCI控制項目,報告發現,很多企業連基本層面的設置亦欠奉。在2015年中期評測不及合的企業當中,平均有12.4%未達控制項目的要求,而在2016年更稍升至13%。

Simonetti補充:「現在問題已經不是在於『是否』需要保護數據,而是『如何』能持續地保護數據。很多企業依然獨立地看待PCI DSS的控制項目,而忽略這些控制項目之間的關連。企業亦往往缺乏管理控制項生命週期的概念。公司內缺乏這方面的專業人士為常見問題,但透過第三方專業團隊指導可有效提升公司處理這問題的能力。」

2017年的《付款安全報告》報告提出以下五個指引幫助管理控制項生命週期:

1. 統一系統方便管理:不停增加不同安全方案並不是解決方法。現有的PCI DSS標準已經包含多個互連的數據保護標準和規定。企業應藉此合併及簡化控制措施管理。

為發展專才進行投資:企業應適當地投資在員工上,培訓及維持他們對改善、監察或評估已有安全控制措施的知識。
套用平衡策略:企業需要對內維持強大和彈性的控制項環境,以防控制措施表現不符合規格。
儘量自動化程序:實施數據保護程序及自動化模式可為管理控制項帶來極大好處,但留意所有自動化程序均需要經常覆核。
設計及管理對內的控制措施環境:每個PCI DSS控制措施的表現都有相互影響。假如其中一個控制措施出現問題,其他控制措施的表現亦會繼而受影響。因此企業必須明白這一關連以達至有效和可持續的數據保障計劃。
PCI 安全標準協會技術總監Troy Leach說:「這份Verizon 報告顯示了企業要持續維持安全控制項目及格的困難,使持卡人資料曝露在網絡攻擊的風險之中。這個趨勢亦是促使PCI數據安全標準版本3.2改變的主因之一,改變集中幫助企業全年都能保持達到一定數目的數據安全控制項,以及確保這些控制項通過定期有效測試,並成為日常安全管理過程的一部分。」

關於2017年《付款安全報告》報告

這份2017報告的目的並不是說服讀者符合PCI標準的需要,而是根據可量度的參數以評測PCI標準的實際表現。今年報告的結果均由Verizon 經認證、為超過30個國家的財富500及大型跨國公司作安全評估的團隊所評核的。

《付款安全報告》報告與Verizon 的《數據失竊調查報告》相似,而前者為基於真實案例而且集中在金融服務(47.5%)、資訊科技服務(22.3%)、餐旅業(15.1%)和零售業(14.4%)而編制。報告覆蓋的地區包括美國(42.4%)、歐洲(28.1%)及亞太地區(29.5%)的資料。

關於Verizon Security Professional Services

Verizon是備受尊敬的安全顧問和PCI Security社區中可信賴的組織,自2009年以來,已經進行了超過15,000次安全評估,其中包括財富500強企業。 Verizon在全球管理著超過4000個客戶網絡,並且擁有世界上最大的全球IP網絡之一,為公司提供了安全操作的獨特視角。 Verizon提供與付款安全和合規相關的各種諮詢和評估程序(PCI-DSS,PA-DSS,P2PE,EI3PA,PIN和ECB); 和醫療保安和合規(HIPAA,ONC Health IT,HIMSS的ConCert); 並為安全硬件,軟件,解決方案和物聯網以及威脅和漏洞測試提供安全測試和認證。

關於 Verizon

Verizon Communications Inc. (紐約證券交易所及納斯達克股票代號:VZ)的總部設於紐約,其多元化的團隊達163,400人,2016年的綜合收入超過1,260億美元。Verizon 營運全美國最穩健可靠的無線網絡,為全球企業提供整合方案。其分支Oath更擁有超過50個多媒體及科技品牌,藉此連接全球10憶人口。

Comments are closed.