Cybercrime04.10.2010

Diefstal creditcardgegevens door niet naleven van beveiligingsrichtlijnen


diefstal-creditcardgegevens-door-niet-na.jpg
diefstal-creditcardgegevens-door-niet-na.jpg

Hoewel diefstal van creditcardgegevens aan de orde van de dag is, blijkt uit een nieuw onderzoeksrapport van Verizon Business (PDF) dat het naleven van de beveiligingsrichtlijnen van de creditcardbranche voor een drastische reductie van dergelijke incidenten kan zorgen.

In de eerste uitgave van het ‘Verizon Payment Card Industry Compliance Report’ biedt Verizon Business een overzicht van de stand van zaken met betrekking tot de naleving van de Payment Card Industry Data Security Standard (PCI DSS).

Deze standaard werd in 2006 ontwikkeld met het doel om de gegevens van creditcardhouders te beschermen en het aantal gevallen van creditfraude terug te dringen. De onderzoekers wijzen op een kans van 50% dat bedrijven die ten prooi zijn gevallen aan gegevensdiefstal niet aan de PCI-richtlijnen voldoen. Tijdens een eerste evaluatie van de compliance-status van de onderzochte bedrijven bleek slechts 22% aan de richtlijnen te voldoen.

Naast een beoordeling van de effectiviteit van de PCI DSS-standaard biedt het rapport een overzicht van de populairste aanvalsmethoden en aanbevelingen die bedrijven helpen om aan de PCI-richtlijnen te (blijven) voldoen.

Het compliance-rapport is gebaseerd op de bevindingen van PCI DSS-audits die in 2008 en 2009 door het team van PCI Qualified Security Assessors (QSA’s) van Verizon werden uitgevoerd en een analyse van een steekproef van circa 200 auditdossiers. In zijn hoedanigheid van QSA houdt verzorgt Verizon audits voor bedrijven met betrekking tot de gevestigde PCI DSS-standaard, die voortdurend wordt verbeterd door de PCI Council, het bestuursorgaan voor de PCI-beveiligingsstandaarden en -compliance.

Het ‘Verizon Payment Card Industry Compliance Report’ biedt bedrijven een unieke kijk op de staat van zaken op het gebied van PCI-compliance voor de gehele branche, en geeft specifiek aan welke richtlijnen het moeilijkst blijken om aan te voldoen“, aldus Peter Tippett, vicepresident Technology & Innovation bij Verizon Business. “We hopen dat dit rapport bedrijven in staat zal stellen om op een beter geïnformeerde en effectievere manier met de naleving van de PCI-richtlijnen om te gaan. Uiteindelijk willen we hetzelfde als de rest van de branche: minder gevallen van gestolen creditcardgegevens en gegevenslekken.

Uit de onderzoeksresultaten blijkt dat de naleving van de PCI-richtlijnen de kans op gegevenslekken vermindert. Om een grondiger inzicht te verkrijgen heeft Verizon zijn auditdossiers aangevuld met informatie over onderzoeken naar gevallen van diefstal van creditcardgegevens uit het “Verizon 2010 Data Breach Investigations Report” (DBIR) en de gecombineerde gegevens vervolgens geanalyseerd op gemeenschappelijke kenmerken. De belangrijkste bevindingen zijn onder meer:

* Slechts 22 procent van alle bedrijven blijkt voldoet in eerste instantie aan de richtlijnen. De meeste bedrijven bleken niet aan de vereisten van de PCI-richtlijnen te voldoen ten tijde van het Initial Report on Compliance, toen de QSA’s van Verizon de onderneming in kwestie voor het eerst op de naleving van de standaard beoordeelden. De meerderheid van de bedrijven die volledig aan de richtlijnen voldeden, had reeds jarenlange ervaring op dit gebied of was niet verplicht om aan alle vereisten te voldoen.

* Compliance is echter in handbereik. Hoewel 78 procent van de onderzochte bedrijven in eerste instantie niet aan de richtlijnen bleek te voldoen, blijkt uit het onderzoek dat bedrijven gemiddeld 81 reeds procent van de voorgeschreven PCI-procedures hebben opgevolgd. Driekwart van de bedrijven wist zelfs minimaal 70 procent van de testprocedures met succes te doorstaan. Dit houdt in dat zij met een extra inspanning een goede kans maken om aan de richtlijnen te voldoen. Slechts 11 procent van de ondernemingen wist ten tijde van de eerste beoordeling minder dan de helft van de testprocedures te doorstaan.

* Er bestaat een kans van 50 procent dat bedrijven die aan gegevensdiefstal ten prooi vallen niet aan de PCI-richtlijnen voldoen. Na afloop van forensische onderzoeken of analyses van gegevenslekken brengen de onderzoekers van Verizon in kaart tot op welke hoogte de desbetreffende organisatie aan de PCI-richtlijnen voldoet. Na het vergelijken van deze gegevens tegen officiële PCI-auditdossiers stelden de analisten van Verizon vast dat de kans dat bedrijven waar een gegevenslek was opgetreden aan de PCI-richtlijnen voldeden, 50 procent lager uitviel. Daaruit blijkt dat bedrijven gegevenslekken kunnen voorkomen door ervoor te zorgen dat ze aan de PCI-richtlijnen voldoen.

* Er is sprake van een verband tussen gegevenslekken en de moeilijkheden die bedrijven hebben om aan bepaalde PCI-vereisten te voldoen. Van de 12 vereisten van de PCI DSS-standaard hebben er drie – het beschermen van opgeslagen creditcardgegevens, het loggen en bewaken van de toegang tot netwerkbronnen en creditcardgegevens en het regelmatig testen van beveiligingssystemen en -processen –betrekking op gebieden die volgens het DBIR het meest vatbaar zijn voor beveiligingslekken. En het zijn juist deze drie vereisten waarmee bedrijven die aan de PCI DSS-standaard willen voldoen de meeste moeite hebben.

...

Verder lezen over Security

Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!

We gaan in sneltreinvaart richting de feestdagen. Black Friday, Cyber Monday, Sinterklaas en Kerstmis volgen elkaar in rap tempo op. En dus gaan we ook met zijn allen weer op zoek naar de leukste cadeaus en scherpste aanbiedingen. Maar daar spelen ook kwaadwillenden slim op in. En dus komt Autoriteit Consument & Markt nu alvast met een waarschuwing voor onbetrouwbare webshops in aanloop naar de feestdagen.

Online31.10.2024

Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!

Nieuwe campagne tegen onbetrouwbare webshops
Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023

Niet alleen lokale documenten, ook clouddocumenten worden op slot gezet en een proces van chantage volgt: ransomware.

Cybercrime23.10.2024

Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Het zit al sinds 2016 in Jetpack en het zorgt dat gebruikers die ingelogd zijn kunnen lezen wat er in ingediende formulieren staat.

Cybercrime15.10.2024

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Deze week meerdere waarschuwingscampagnes over phishing: waarom?

Pas op voor phishing! Je wordt er volop door gewaarschuwd door meerdere campagnes, is dat wel zo effectief?

Cybercrime09.10.2024

Deze week meerdere waarschuwingscampagnes over phishing: waarom?

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Jim Stolze is een campagne gestart om de digitale weerbaarheid van Nederlanders te vergroten. Samen met KPN, ING en Microsoft is het platform 'Unlock Digitale Weerbaarheid' opgezet, met gratis lessen die online en bij jou in de buurt gevolgd kunnen worden.

Cybercrime08.10.2024

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

In ieder geval doet LEGO geen uitspraken over hoe dit is gebeurd. Het zegt alleen: “Op 5 oktober 2024 verscheen er kort een ongeautoriseerde banner op LEGO.com.'

Cybercrime07.10.2024

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

De gratis cursus is bedoeld om je bewuster te maken van wat er allemaal alarmbellen moet doen rinkelen in de toekomst.

Cybercrime02.10.2024

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

Hoe bescherm je de data in je brein?

Het is niet ondenkbaar dat er straks ook mensen die geen lichamelijke beperkingen hebben met een breinchip rondlopen. Maar: hoe zorg je dat je breindata beschermd blijft?

Cybercrime30.09.2024

Hoe bescherm je de data in je brein?