Bảo mật thanh toán sẽ sớm được thắt chặt hơn

Người dùng có thể sẽ an tâm hơn khi ngành công nghiệp bán sỉ bắt đầu nâng cấp hệ thống thanh toán lên chuẩn bảo mật PCI-DSS phiên bản 3.0 an toàn hơn.

Trong khi tiến hành thử nghiệm xâm nhập vào một nhà bán lẻ lớn của Canada, nhà tư vấn Rob VandenBrink của công ty dịch vụ CNTT Metafore đã mua một thứ gì đó từ cửa hàng này và sau đó ông tìm thấy số thẻ tín dụng của mình bị chôn vùi trong các hệ thống của nó. Nhà bán lẻ này có hàng trăm cửa hàng trên khắp Canada, nhưng lại không trang bị hệ thống bảo mật hợp với các nguyên tắc bảo mật được gọi là các tiêu chuẩn bảo mật dữ liệu của ngành công nghiệp thanh toán thẻ PCI-DSS (Payment Card Industry’s Data Security Standards), VandenBrink nói.

Tuy nhiên, một lỗi cấu hình đơn giản cho phép ông có thể truy cập từ xa. Từ đó, ông đã tìm thấy cửa hàng này dễ bị xâm nhập tương tự các trang bán hàng trực tuyến khác như Target, Neiman Marcus, Michaels, UPS Store… Dữ liệu thẻ tín dụng được lưu trữ trong bộ nhớ và dễ bị khai thác bởi các phần mềm độc hại (malware). Vấn đề đang càng ngày càng tệ lậu hơn. Bộ An ninh Nội địa của Mỹ tháng trước cảnh báo rằng khoảng 1.000 doanh nghiệp có thể bị nhiễm malware trên máy tính tiền điện tử POS (point-of-sale) của họ.

Vậy tại sao những tên trộm dữ liệu có thể chiến thắng? Các nhà phân tách an ninh nói rằng malware trên POS không phải là mới và cũng không đặc biệt tinh tướng. Các chương trình như Backoff, BlackPOS và JackPOS có thể truy lùng thông tin thẻ thanh toán trong một mớ bòng bong dữ liệu của bộ nhớ máy tính, một quá trình được gọi là “RAM scraping”.

Những cửa hàng bán buôn xử lý dữ liệu thẻ tín dụng thường được đề nghị phải tuân thủ các tiêu chuẩn PCI-DSS hoặc phải chịu nghĩa vụ nếu rò rỉ dữ liệu chủ thẻ. Tuy nhiên, đặc tả kỹ thuật bảo mật mới nhất PCI-DSS phiên bản 3.0 không ủy quyền cho các trang web bán hàng sử dụng công nghệ mã hóa dữ liệu thẻ từ thời khắc thẻ của một người được cà, mà lại dùng công nghệ mã hóa point-to-point.

>>> Xem thêm: Bảo mật và ảo hóa máy chủ

Dùng công nghệ này sẽ giúp loại bỏ các vấn đề malware trong bộ nhớ, các chuyên gia bảo mật cho biết. Hội đồng Tiêu chuẩn Bảo mật PCI, là cơ quan phát triển PCI-DSS, đã yêu cầu rằng các hãng bán sỉ nên chuyển sang dùng loại công nghệ mã hóa này. Tuy nhiên, các nhà bán sỉ thường có chu kỳ làm mới công nghệ dài hơn, có thể là từ 5-7 năm trước khi chuyển sang công nghệ mới nhất. “Nói chung, chúng ta sẽ phải đối mặt với tình trạng này trong nhiều năm nữa”, một nhà phân tách từ hãng tham vấn Gartner nói.

Các nhà bán lẻ cũng đang thiếu các dấu hiệu chính trong nhật ký mạng của họ để nhận biết rằng họ đang bị tấn công. Hầu hết các hoạt động thâm nhập đều được phát hiện bởi bên thứ ba, chẳng hạn như khi bọn tù hãm xuất trình thẻ giả, theo Bryan Sartin, Giám đốc quản lý rủi ro của Verizon. Nhiều nhà bán lẻ đang dùng “công nghệ của năm 1990 để chống lại các cuộc tấn công đương đại thời đại”, Sartin nói.

Các nhà bán lẻ có thể bị phạt bởi các công ty thẻ về các khoản thanh toán bị vi phạm và phải trả phí tổn cho việc điều tra (có thể lên đến 100.000 USD), Nick Economidis, nhà tham mưu pháp luật của hãng Beazley Group cho biết.

Trong những năm gần đây, các hãng bán buôn cũng thường xuyên kiện lại các nhà cung cấp và tích hợp hệ thống POS. Những vụ kiện nói chung cho rằng các nhà cung cấp phải chịu bổn phận cho hành vi vi phạm do các lỗi về thiết lập và bảo trì.

PCI đang đề nghị các hãng bán lẻ tuân theo đề nghị đặc tả kỹ thuật bảo mật mới nhất PCI-DSS phiên bản 3.0″, Pam Galligan, Giám đốc Tiêu chuẩn của hệ thống tính sổ Mercury Payment Systems nói: “Tuy nhiên, một số họ có vẻ đều không muốn dành nhiều thời gian và công sức để bảo vệ cho thông tin thẻ khách hàng của họ”. Trong khi đó, Hầu hết các doanh nghiệp đều vậy để đẩy nhanh quá trình nâng cấp lên chuẩn PCI-DSS 3.0, sẽ bắt đầu có hiệu lực từ ngày 1/1 năm sau.

Theo Pcworld.com.vn