Artikel top billede

Hvis man kan komme i nærheden af mainframen i en bank, har banken seriøse sikkerhedsproblemer, mener sikkerhedsekspert.

Sikkerhedskrav truer danske bankers mainframes

Ifølge sikkerhedsstandarden PCI må virksomheder ikke gemme ukrypterede kreditkortdata, heller ikke på mainframes. Ekspert mener, at det er umuligt at efterleve og håber, at kravet droppes.

Den nye version af PCI-standarden er på trapperne og forventes at være klar i slutningen af 2008.

PCI-standarden er den it-sikkerhedskontrakt, som virksomheder, der håndterer kreditkortdata, forpligter sig til at overholde, hvis de vil samarbejde med verdens største kreditkortselskaber som Visa og Mastercard.

PCI står for Payment Card Industry.

Det præcise indhold af den reviderede sikkerhedsstandard er endnu ukendt.

Men en dansk sikkerhedsekspert håber på i hvert fald én væsentlig ændring: PCI-konsortiet skal droppe det urealistiske krav om, at banker ikke må gemme ukrypterede kreditkortdata på deres mainframes.

”Vi håber, at de vil opgive det, og vi har protesteret kraftigt imod det. Mange af bankerne herhjemme kører mainframe i deres backend-systemerne, og man krypterer ikke bare sådan lige en mainframe. Det er ikke realistisk. Hvis man kan komme i nærheden af mainframen i en bank, er man i øvrigt så langt inde, at det er helt andre sikkerproblemer man har,” siger Ulf Munkedahl, sikkerhedsekspert og direktør i FortConsult.

Problemet ikke løst

Heller ikke han kender indholdet af den opdaterede PCI-standard, men han forventer, at Visa, Mastercard og de andre kreditkortselskaber vil stramme grebet yderligere om serviceproviderne, der håndterer kortdata for deres kunder.

”Der er stadig seks tilfælde om ugen af forskellige former for brud for kortsikkerheden i Europa. Med PCI har man fået dæmmet op for det værste, men problemet er ikke løst,” siger Ulf Munkedahl.

I Danmark hedder en af de førende serviceprovidere DIBS, Dansk Internet Betalings System.

Herfra udtrykker vicedirektør Jesper Lohmann tilfredshed med PCI-standarden, der har været gældende siden 2005.

”PCI har professionaliseret branchen. Den har øget troværdighed og trygheden ved, at det er professionelle selskaber, der håndterer betalingerne,” siger han.

Han understreger, at der også er hårdt arbejde forbundet med at leve op til PCI-kravene, når man skal ændre procedurer er og investere i mandskab og ny teknologi.

”PCI stiller krav til sikker datakommunikation, men også til de fysiske adgangskrav til servere og driftsmiljøer, og sikring mod hackerangreb. Kravene strækker sig helt til udviklingsmiljøerne, som skal være separeret fra driften,” fortæller han.

PCI-fælden klapper

Før 2005 havde Visa og Mastercard egne sikkerhedsregler.

Selskaberne enedes om at danne et konsortium, der udstikker fælles sikkerhedskrav, som alle virksomheder – uanset branche og størrelse – i en eller anden udstrækning skal efterleve, når de behandler kreditkortoplysninger.

”PCI-standarden gælder for alle, der opbevarer, transporterer eller behandler kreditkortoplysninger. Kan man som virksomhed sige ja til en af de tre, så klapper PCI-fælden,” siger Lars Neupart, sikkerhedsekspert og stifter af virksomheden Neupart.

Den rammer til gengæld ikke alle virksomheder lige hårdt.

Slip for nogle af kravene

Nogle af PCI-kravene giver ikke mening for den lille virksomhed, der tvinges ud i store investeringer i sikkerhed.

”Er man en lille virksomhed, skal man tænke smart, og indrette sig sådan, at man ikke behandler, opbevarer eller transporterer kreditkortdata. Så kan man nemlig nøjes med den lille sikkerhedsselvangivelse,” siger Lars Neupart.

Sikkerhedsselvangivelsen er en formular, som PCI-konsortiet sender ud til virksomheder, der arbejder med betaling.

Den indeholder fire sikkerhedsniveauer, og det er typisk omfanget af betalingstransaktioner, der afgør, hvilket sikkerhedsniveau, virksomheden skal leve op til.

”Måske kan man indrette sig sådan, at PCI-kravene ikke gælder i hele virksomheden, men kun for enkelte dele af forretningen, og på den måde slippe for skulle leve op til nogle af kravene,” siger Lars Neupart.

Helt afhængig af tillid

Virksomheden erklærer på tro og love, at den har sikret sig efter standarden.

PCI er ikke lovgivning, men er en kontraktlig forpligtelse, som alle virksomheder, der befinder sig et eller andet sted i kreditkortkæden, påtager sig

”Gør man ikke de ting, man siger, man gør sikkerhedsmæssigt, og PCI opdager, at der ikke er styr på tingene, er det kontraktbrud,” siger Lars Neupart.

Konsekvensen for ikke at overholde reglerne er forskellige, alt efter hvilken kontrakt virksomheden har med PCI.

”Det er værst, hvis man ikke overholder PCI-standarden og efterfølgende har et sikkerhedsbrud i form af en hacker eller en trojaner, så ens kunders kreditkortoplysninger pludselig er blevet offentliggjort,” mener Lars Neupart.

Hvis en virksomhed vælger at ignorere PCI, vil Mastercard og Visa formentlig trække i nødbremsen og nægte at handle med virksomheden.

”De store kortfirmaer er helt afhængige af kortkundernes tillid. Forsvinder den tillid, mister Mastercard og Visa deres forretning. Der er meget på spil med PCI-standarden,” mener han.

100 millioner datatab

Lars Neupart beretter om den amerikanske virksomhed, TJX, der sælger udstyr til hjemmet, og har over 2.000 butikker i kæden.

Sidste år fik virksomheden kompromitteret formentlig alle sine kundedata, op mod 100 millioner.

”Ifølge TJX-regnskabet koster det sikkerhedsbrud indtil videre 247 millioner dollars. Pengene skal bruges på at rydde op i systemerne og til nyt sikkerhedsudstyr, fortæller Lars Neupart.

Men nogle af pengene er del af et forlig, som TJX har indgået med Visa og Mastercard:

”TJX betaler 25 millioner dollars til Mastercard og cirka 40 millioner dollars til Visa. Det er et eksempel på, hvor galt, det kan gå. TJX levede ikke op til bestemmelserne i PCI, men må have erklæret, at de gjorde. TJX ville efter min vurdering have stået meget bedre i sagen mod Mastercard og Visa, hvis de havde haft ordentlig sikkerhed,” siger Lars Neupart.

Halvdelen er væk

PCI-kravene til sikkerhed i 2005 har betydet, at der i dag er væsentligt færre virksomheder, der håndterer kortdata.

Virksomhederne skal jævnligt undersøges af et sikkerhedsfirma, der er certificeret af PCI til at lave en revision af it-sikkerheden.

Ulf Munkedahls virksomhed, FortConsult, var en af de første, der fik den certificering.

”Da vi startede i 2005 var der 56 serviceprovidere i Danmark. I dag er der 18. PCI-konsortiet har opnået det, det ville. De, der er faldet fra, har ikke haft nok forretning til, at det kunne betale sig for dem at investere i den sikkerhed, som PCI-kravene stiller.”

DIBS’ Jesper Lohmann vurderer, at antallet leverandører af e-handelsbetalinger, er reduceret til cirka halvdelen i Danmark, Norge og Sverige.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere