ملخص
- ينتمي اختراق نظام معالجة Global Payments في 2012 إلى ملف المخاطر والمساءلة لأن اختراق المعالج يمكن أن يجعل التجار والمصدرين والمستهلكين والمستحوذين وشبكات البطاقات يتحملون أعمال العلاج على الرغم من أنهم لا يديرون بيئة المعالج.
- من الذي كان لديه السيطرة العملية على تقسيم بيئة المعالج، ومعالجة بيانات البطاقة، وكشف التسلل، والإبلاغ لشبكات البطاقات، والتواصل مع التجار، والدليل على استعادة الثقة في معالجة المدفوعات بعد الاختراق؟
- قال تحديث الشركة فيhttps://www.prnewswire.com/news-releases/global-payments-provides-updated-information-regarding-unauthorized-system-access-145706085.htmlإن الوصول غير المصرح به أثر على جزء محصور من نظام المعالجة في أمريكا الشمالية، وربما تم تصدير أقل من 1.5 مليون رقم بطاقة، وربما تم سرقة بيانات المسار 2، ولم يتم الحصول على الأسماء والعناوين وأرقام الضمان الاجتماعي.
- سجل هيئة الأوراق المالية والبورصات فيhttps://www.sec.gov/Archives/edgar/data/1123360/000112336013000025/gpn20130531-10k.htmمهم لأنه كشف عن تكاليف اختراق نظام المعالجة، والإزالة من قبل بعض شبكات البطاقات من قوائم مقدمي الخدمات المتوافقين مع PCI DSS، ومراجعة QSA، وبيانات العلاج، والوصول المحتمل المنفصل إلى المعلومات الشخصية لطلبات التجار.
- تتعامل هذه المقالة مع إفصاحات شركة Global Payments وملفات هيئة الأوراق المالية والبورصات كأدلة عامة أولية، وتستخدم التقارير فيhttps://krebsonsecurity.com/2012/03/mastercard-visa-warn-of-processor-breach/وhttps://krebsonsecurity.com/2012/04/global-payments-1-5mm-cards-exported/وhttps://krebsonsecurity.com/2012/05/global-payments-breach-window-expands/وhttps://www.wired.com/2012/04/global-payments-breachكسياق معاصر للحادث، وتستخدم مواد Visa و PCI و NIST لمفردات التحكم بدلاً من الأدلة الجنائية الخاصة.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي Global Payments إلى ملف المخاطر والمساءلة لأن معالج المدفوعات ليس مجرد شركة أخرى تم اختراقها. إنها خدمة تشبه البنية التحتية داخل نظام البطاقات. يرسل التجار المعاملات من خلالها. يساعد المستحوذون والمعالجات في ربط التجار بشبكات البطاقات. يعتمد المصدرون على البيانات من الشبكات والمعالجات لتقييم التعرض للاحتيال. يرى المستهلكون الرسوم واستبدال البطاقات، وليس البنية التحتية وراء التفويض. لذلك يختبر اختراق المعالج ما إذا كانت المساءلة يمكن أن تتبع السيطرة من خلال نظام متعدد الأطراف.
تحديث الشركة الذي تم توزيعه عبر PR Newswire فيhttps://www.prnewswire.com/news-releases/global-payments-provides-updated-information-regarding-unauthorized-system-access-145706085.htmlهو أنظف بيان عام للشركة من فترة الحدث. قال إن Global Payments قد حددت وأبلغت ذاتيًا عن وصول غير مصرح به إلى نظام المعالجة الخاص بها، وأن الجزء المتضرر كان محصورًا في أمريكا الشمالية، وأن أقل من 1.5 مليون رقم بطاقة ربما تم تصديرها، وأن بيانات المسار 2 ربما تم سرقتها، وأن الأسماء والعناوين وأرقام الضمان الاجتماعي لم يتم الحصول عليها من قبل المجرمين. كما ذكرت أن الشركة تعتقد أن الحادث تم احتواؤه بناءً على التحليل الجنائي ومراقبة الشبكة وتدابير أمنية إضافية، وأنها تعمل مع أطراف الصناعة والجهات التنظيمية وإنفاذ القانون وشركات جنائية متعددة.
هذا الإفصاح مهم لأنه يحدد حدود المساءلة. إنه يميز أرقام البطاقات عن الأسماء وأرقام الضمان الاجتماعي. إنه يميز جزءًا من نظام المعالجة في أمريكا الشمالية عن الشركة بأكملها. إنه يحدد بيانات المسار 2 كمسألة مثيرة للقلق. إنه يقول إن الاحتواء استند إلى التحليل الجنائي والمراقبة. إنه يقول إن الشركة أبلغت ذاتيًا. كل ادعاء مهم، ولكن كل منها يتطلب أيضًا دليلًا لا يمكن لمعظم التجار والمستهلكين فحصه.
التقرير السنوي لهيئة الأوراق المالية والبورصات فيhttps://www.sec.gov/Archives/edgar/data/1123360/000112336013000025/gpn20130531-10k.htmيحول الحدث إلى سجل مالي وسيطرة. يقول إن Global Payments حددت وأبلغت ذاتيًا عن وصول غير مصرح به إلى جزء محدود من نظام معالجة البطاقات في أمريكا الشمالية في أوائل مارس 2012. كما يقول إن التحقيق كشف عن وصول غير مصرح به محتمل إلى خوادم تحتوي على معلومات شخصية تم جمعها من التجار في الولايات المتحدة الذين تقدموا بطلبات للحصول على خدمات المعالجة. يقول نفس الملف إن بعض شبكات البطاقات أزالت Global Payments من قائمتها لمقدمي الخدمات المتوافقين مع PCI DSS، وأن أعمال العلاج اكتملت، وأن مقيمًا أمنيًا مؤهلًا (QSA) أجرى مراجعة مستقلة للامتثال لـ PCI DSS. كما يسجل 84.4 مليون دولار من نفقات اختراق نظام المعالجة في السنة المالية 2012 و 36.8 مليون دولار في السنة المالية 2013.
السؤال الأساسي هو بالتالي عملي: من كان لديه السيطرة العملية على تقسيم بيئة المعالج، ومعالجة بيانات البطاقة، وكشف التسلل، والإبلاغ لشبكات البطاقات، والتواصل مع التجار، والدليل على استعادة الثقة في معالجة المدفوعات بعد الاختراق؟ يتحكم المعالج في النظام الذي تتم فيه معالجة بيانات البطاقة. يعتمد التجار على المعالج لكنهم لا يديرون بيئة الإنتاج الخاصة به. يمكن لشبكات البطاقات تغيير حالة الامتثال وشروط الوصول إلى الشبكة. يتعامل المصدرون مع قرارات الاحتيال وإعادة الإصدار. يمكن للمستهلكين مراقبة الحسابات لكنهم لا يستطيعون فحص أمان المعالج. يجب أن تتبع المساءلة هذا اللا تناظر.
اختراق المعالج له نصف قطر انفجار أكبر من اختراق تاجر واحد
عادةً ما يرتبط اختراق مدفوعات التاجر بمتجر أو متجر إلكتروني أو علامة فندقية أو سلسلة مطاعم أو بيئة تاجر محددة. يقع اختراق المعالج على طبقة أعمق. يمكن أن يلمس العديد من التجار والمصدرين لأن المعاملات من العديد من البائعين تمر عبر نفس البنية التحتية للمعالجة. حتى عندما يكون عدد أرقام البطاقات المصدرة أصغر من بعض اختراقات التجزئة، يمكن أن تكون عواقب الثقة أكبر لأن البيئة المتأثرة هي خدمة مشتركة.
لهذا السبب تناسب القضية موضوع اعتماد الخدمة السحابية، حتى لو كان سجل 2012 يتعلق بمعالجة المدفوعات وليس الاستضافة السحابية الحديثة. يستعين التجار بوظيفة حاسمة لمزود الخدمة. قد لا يسمونها اعتمادًا سحابيًا، لكن هيكل المساءلة مشابه: منصة خارجية مشتركة تؤدي عملًا حاسمًا للأعمال، وتحمل أو تعالج بيانات حساسة، وتخلق خطر الاستمرارية للعملاء الذين لا يستطيعون فحص ضوابطها بشكل مباشر. بالنسبة للتجار الصغار والمتوسطين، يكون هذا الاعتماد أكثر وضوحًا. لا يمكنهم بناء مجموعة معالجة بطاقات من الصفر. يعتمدون على أمان المعالج، وحالة شبكة البطاقات، ودقة الإبلاغ، وانضباط التعافي.
تقرير Krebs on Security في مارس 2012 فيhttps://krebsonsecurity.com/2012/03/mastercard-visa-warn-of-processor-breach/قال إن Visa و MasterCard كانتا تحذران البنوك من اختراق كبير للمعالج. تقرير Krebs في أبريل فيhttps://krebsonsecurity.com/2012/04/global-payments-1-5mm-cards-exported/ربط الحدث بتحديث Global Payments ورقم أقل من 1.5 مليون بطاقة. تقرير مايو فيhttps://krebsonsecurity.com/2012/05/global-payments-breach-window-expands/وصف مؤشرات على أن نافذة الاختراق أو تأثير الأسئلة كانت أوسع مما اقترحه الملخص العام الأول. تلك التقارير ليست ملفات شركة، لكنها جزء من التسلسل الزمني العام لأنها تظهر كيف تفاعلت قنوات تحذير المصدرين والإفصاح العام.
تغطية Wired فيhttps://www.wired.com/2012/03/global-payments-breachedوhttps://www.wired.com/2012/04/global-payments-breachالتقطت القلق الفوري لمجتمع أمن المدفوعات: اختراقات المعالجات هي أحداث في النظام البيئي. عندما يتم اختراق معالج، قد يتساءل التجار عما إذا كان بإمكانهم مواصلة المعالجة دون انقطاع، قد يختار المصدرون بين المراقبة المستهدفة وإعادة الإصدار الواسعة، قد تغير شبكات البطاقات حالة الامتثال، وقد يرى المستهلكون احتيالًا دون معرفة أي تاجر أو معالج كان مسؤولاً.
نصف قطر الانفجار ليس فقط أرقام البطاقات. ملف هيئة الأوراق المالية والبورصات يقول إن الوصول غير المصرح به المحتمل شمل أيضًا خوادم تحتوي على معلومات شخصية تم جمعها من التجار في الولايات المتحدة الذين تقدموا بطلبات للحصول على خدمات المعالجة. هذا يقدم مجموعة بيانات ثانية: المتقدمون من التجار، وليس فقط حاملي البطاقات. قالت الشركة إنها لم تستطع التحقق مما إذا كانت أي من هذه المعلومات قد تم تصديرها وأبلغت الأفراد المتضررين المحتملين. نقطة المساءلة هي أن بيئات المعالجات يمكن أن تحتوي على فئات متعددة من البيانات الحساسة. قد تتطلب ضوابط معالجة البطاقات وضوابط طلبات التجار أدلة مختلفة.
عدد البطاقات هو فقط مقام مساءلة واحد
أصبح الرقم "أقل من 1.5 مليون" الاختصار العام لاختراق Global Payments. إنه مهم، لكنه ليس كافيًا. يشير هذا الرقم إلى أرقام البطاقات التي ربما تم تصديرها من نظام المعالجة المتأثر. إنه لا يصف بشكل كامل التجار المتضررين، أو عدد المراقبة من قبل المصدرين، أو إجراء الامتثال لشبكة البطاقات، أو المعلومات الشخصية لطلبات التجار، أو التكاليف الجنائية، أو عبء عمل خدمة العملاء، أو مراجعة QSA، أو الوقت اللازم لاستعادة الثقة.
تتطلب حوادث المدفوعات مقامات متعددة. مقام واحد هو أرقام البطاقات المصدرة. آخر هو البطاقات التي يراقبها المصدرون بسبب التعرض المشتبه به. آخر هو البطاقات التي تم إعادة إصدارها. آخر هو المعاملات الاحتيالية المرتبطة بالتعرض. آخر هو التجار الذين مرت معاملاتهم عبر المعالج. آخر هو المتقدمون من التجار الذين ربما كانت معلوماتهم الشخصية على خوادم تم الوصول إليها من قبل المهاجمين. آخر هو تكلفة العلاج. آخر هو الوقت خارج قائمة مقدمي الخدمات المتوافقين لشبكة البطاقات.
تقرير هيئة الأوراق المالية والبورصات لـ Global Payments يساعد في توسيع المقام. يسجل تكاليف اختراق نظام المعالجة بقيمة 84.4 مليون دولار في السنة المالية 2012 و 36.8 مليون دولار في السنة المالية 2013. تظهر هذه التكاليف أن الحدث لم يكن مجرد تمرين إخطار. لقد أثر على العمليات والعمل القانوني والعمل الجنائي والعلاج والتقييم وحالة الشبكة والمخاطر التجارية. يلاحظ الملف أيضًا دعوى جماعية رفعها مدعٍ زعم أن Global Payments فشلت في حماية المعلومات الشخصية وأن رسومًا احتيالية ظهرت على بطاقتها الائتمانية. لا تتعامل المقالة مع مزاعم الشكوى كحقائق جنائية مثبتة. إنها تستخدم الملف لإظهار أن التقاضي والعلاج أصبحا جزءًا من الذيل الطويل للحدث.
تقارير BankInfoSecurity فيhttps://www.bankinfosecurity.com/statements-on-global-payments-breach-a-4640وhttps://www.bankinfosecurity.com/global-payments-breach-manageable-a-4644وhttps://www.bankinfosecurity.com/global-payments-breach-tab-94-million-a-5415توفر سياقًا صناعيًا حول بيانات الاختراق واهتمامات المصدرين ومناقشة الأثر المالي. تلك القطع هي مصادر ثانوية، لكنها تساعد في إظهار العمل العملي الذي كان على مصدري البطاقات وقادة الأمن تقييمه في الوقت الفعلي.
مشكلة المقام هي مشكلة مساءلة لأن كل رقم يخدم جمهورًا مختلفًا. يريد المستهلكون معرفة ما إذا كانت بطاقاتهم مكشوفة وما الإجراء الذي يجب اتخاذه. يريد المصدرون قائمة بطاقات موثوقة وتواريخ التعرض وثقة في عناصر البيانات. يريد التجار معرفة ما إذا كانت المعالجة يمكن أن تستمر وما إذا كان عملاؤهم آمنون. تريد شبكات البطاقات معرفة ما إذا كان المعالج لا يزال متوافقًا. يريد المنظمون والمستثمرون معرفة التكلفة وإصلاح السيطرة. المعالج الذي يبلغ عن مقام واحد فقط يترك الأطراف الأخرى لاستنتاج الباقي.
حالة PCI تحول الثقة الخاصة إلى ثقة النظام البيئي
بيان ملف هيئة الأوراق المالية والبورصات بأن بعض شبكات البطاقات أزالت Global Payments من قائمتها لمقدمي الخدمات المتوافقين مع PCI DSS هو أمر محوري. حالة PCI ليست شهادة عامة على الكمال، لكنها إشارة ثقة مشتركة. يستخدم التجار والمستحوذون والشبكات والمشاركون الآخرون في النظام البيئي حالة امتثال مقدم الخدمة لتحديد ما إذا كانت ضوابط المعالج تلبي الحد الأدنى المتوقع لبيانات حساب الدفع. فقدان تلك الحالة يغير الموقف التجاري والمساءلة للمعالج.
السجل العالمي لـ Visa لمقدمي الخدمات فيhttps://www.visa.com/splisting/وصفحة المعلومات ذات الصلة فيhttps://www.visa.com/splisting/LearnMore.htmlتوضح سبب أهمية قوائم مقدمي الخدمات العامة. إنها تعطي الأطراف المعتمدة طريقة للتحقق مما إذا كان مقدم الخدمة قد تحقق من الامتثال لمتطلبات PCI DSS المطبقة كجزء من برنامج Visa. السجل الحالي ليس سجلًا جنائيًا لعام 2012 ولا ينبغي قراءته كدليل على Global Payments اليوم أو آنذاك. إنه سياق مفيد لكيفية عمل حالة امتثال شبكة البطاقات كدليل للنظام البيئي.
صفحة PCI Security Standards Council لـ PCI DSS فيhttps://www.pcisecuritystandards.org/standards/pci-dss/تشرح أن PCI DSS يوفر خطًا أساسيًا من المتطلبات التقنية والتشغيلية لحماية بيانات حساب الدفع. صفحة المعايير الأوسع فيhttps://www.pcisecuritystandards.org/standards/تضع PCI DSS ضمن عائلة معايير أمن المدفوعات. تلك المعايير مهمة لأن عملاء المعالج لا يمكنهم جميعًا إجراء عمليات تدقيق كاملة خاصة بهم لبيئة المعالج. يعتمدون على المقيمين وشبكات البطاقات والإقرارات والتمثيلات التعاقدية والمراقبة.
عندما يتم إزالة معالج من قائمة مقدمي الخدمات المتوافقين، فإن سؤال المساءلة ليس مجرد سمعة. إنه تشغيلي. أي التجار يمكنهم الاستمرار في المعالجة؟ ما هو الضمان الإضافي المطلوب؟ ما هي خطوات العلاج التي يجب إكمالها؟ من يقرر أن ثقة المعالجة قد استعيدت؟ ما هي الأدلة التي يقيمها QSA؟ ما الذي تتطلبه شبكات البطاقات قبل تغيير حالة الإدراج؟ السجل العام يقول إن Global Payments استأجرت QSA وأن QSA أكمل تقييمًا لأعمال العلاج. لا ينشر تقرير QSA. الطبيعة السرية للتقرير قد تكون مناسبة، لكنها تترك الجمهور يعتمد على بيانات الشركة والشبكة.
هذه هي نسخة نظام المدفوعات من المساءلة المشتركة للسيطرة. يملك المعالج بيئته. تمتلك شبكات البطاقات أجزاء من إطار الامتثال وحالة الإدراج. يقيم QSA وفقًا للمعايير. يعتمد التجار على النتيجة. يستجيب المصدرون للتعرض. المستهلكون في المراحل النهائية. يجب أن يربط ملف إصلاح موثوق به كل هذه الطبقات.
بيانات المسار 2 تغير عبء عمل المصدر
قال تحديث شركة Global Payments إن بيانات المسار 2 للبطاقة ربما تكون قد سرقت. هذا المصطلح مهم. ترتبط بيانات المسار 2 ببيانات معاملات الشريط المغناطيسي ويمكن أن تكون مفيدة لاحتيال البطاقات المزيفة في السياقات التي يمكن فيها إعادة تشغيلها أو ترميزها. قالت الشركة أيضًا إن أسماء حاملي البطاقات وعناوينهم وأرقام الضمان الاجتماعي لم يتم الحصول عليها. هذه القيود مهمة ويجب أن تُنسب. لكن التعرض للمسار 2 لا يزال يشكل مخاطر جدية على المصدرين.
بالنسبة للمصدرين، السؤال ليس فقط ما إذا كان اسم المستهلك مكشوفًا. إنه ما إذا كان يمكن استخدام بيانات البطاقة لإجراء معاملات احتيالية، وما إذا كان يجب مراقبة حسابات حاملي البطاقات، وما إذا كان يجب إعادة إصدار البطاقات، وما إذا كانت قواعد التفويض تحتاج إلى تعديل، وما إذا كانت خسائر الاحتيال محتملة. يمكن للمعالج أن يقول إن الحادث تم احتواؤه، لكن المصدرين يحتاجون إلى تفاصيل قابلة للتنفيذ: قوائم البطاقات، تواريخ التعرض، عناصر البيانات، مستويات الثقة، والتحديثات مع تغير التحقيق.
لذلك فإن قناة تحذير شبكة البطاقات التي وصفها Krebs هي جزء من سجل المساءلة. إذا حذرت Visa و MasterCard البنوك قبل أو بالتزامن مع إفصاح الشركة، كانت البنوك تقوم بالفعل بأعمال المخاطرة. هذا ليس غير معتاد في أمن المدفوعات. قد تظهر إشارات الاحتيال قبل أن تكمل الشركة الاتصال العام. لكنه يوضح أن اختراق المعالج يخلق استجابة موزعة قبل تسوية جميع الحقائق العامة.
عبء عمل المصدر يظهر أيضًا لماذا لا ينهي قيد "لا أسماء أو أرقام ضمان اجتماعي" الاستفسار. قد يكون خطر سرقة الهوية أقل من اختراق المعلومات الشخصية الكامل، لكن الاحتيال في المدفوعات وتكاليف إعادة الإصدار تبقى. قد يتلقى حاملو البطاقات بطاقات جديدة، ويحدثون المدفوعات التلقائية، ويراقبون الكشوفات، ويتصلون بالبنوك. قد يتحمل المصدرون الاحتيال، وطباعة وإرسال بطاقات الاستبدال، وتعديل المراقبة، وتزويد مراكز الاتصال بالموظفين، والتواصل مع العملاء. قد يواجه التجار أسئلة العملاء حتى لو لم يتم اختراق أنظمتهم الخاصة.
أدوات تقليل قيمة بيانات الحساب التي وصفتها مواد PCI ذات صلة هنا. سياق التشفير من نقطة إلى نقطة فيhttps://listings.pcisecuritystandards.org/documents/P2PE_At_a_Glance_v3.pdfوصفحة معيار نقطة التفاعل PCI فيhttps://www.pcisecuritystandards.org/standards/pts-point-of-interaction-poi/تظهر الهدف الأوسع لأمن المدفوعات: تقليل الأماكن التي توجد فيها بيانات البطاقة القابلة للاستخدام وحماية البيانات عند الالتقاط. بالنسبة للمعالج، السؤال المكافئ هو أين يتم فك تشفير بيانات البطاقة، وتخزينها، وتسجيلها، ونقلها، وتكون متاحة للتطبيقات أو المشغلين. إذا كانت بيانات المسار 2 موجودة في أماكن كثيرة جدًا أو لفترة طويلة جدًا، فإن تكلفة النظام البيئي ترتفع.
التواصل مع التجار هو جزء من الاستمرارية
يتضمن الملف استمرارية خدمات المؤسسات الصغيرة والمتوسطة، واختراق Global Payments هو حالة مفيدة لأن العديد من التجار يعتمدون على المعالجات للإيرادات اليومية. لا يمكن لتاجر صغير ببساطة إيقاف قبول البطاقات لمدة أسبوع بينما يكمل المعالج العمل الجنائي. قد يحتاج إلى مواصلة البيع، وطمأنة العملاء، وفهم ما إذا كانت التزاماته الخاصة تتغير. هذا يجعل تواصل المعالج عنصر تحكم في الاستمرارية.
قال تحديث الشركة إن Global Payments مفتوحة للعمل وتستمر في معالجة المعاملات لجميع علامات البطاقات. كانت تلك رسالة استمرارية الخدمة. أخبرت التجار والشركاء أن الشركة لم توقف معالجة المعاملات. لكن الاستمرارية وحدها ليست كافية. احتاج التجار أيضًا إلى معرفة ما إذا كان عملاؤهم مكشوفين، وما إذا كان موقف الامتثال الخاص بهم متأثرًا، وما إذا كانوا بحاجة إلى تغيير المحطات أو الإجراءات، وما إذا كان ينبغي عليهم توقع استرداد المبالغ أو شكاوى العملاء، وما إذا كانت ترتيبات المعالجة البديلة ضرورية.
يقول ملف هيئة الأوراق المالية والبورصات إن المتقدمين من التجار الذين ربما تكون معلوماتهم الشخصية على الخوادم التي تم الوصول إليها قد تأثروا محتملين، وأن الشركة أبلغت الأفراد المتضررين المحتملين وأتاحت مراقبة الائتمان والتأمين على حماية الهوية. هذه مشكلة اتصال تجار مختلفة عن التعرض لحاملي البطاقات. إنها تتعلق بالأشخاص الذين تقدموا بطلبات للحصول على خدمات المعالجة، وليس فقط التجار الذين يستخدمون نظام المعاملات. يجب أن تميز خطة اتصال المعالج بين التجار العاملين، والمتقدمين من التجار، والمؤسسات المالية، وشبكات البطاقات، والجهات التنظيمية، والمستهلكين.
يجب أن يتوافق اتصال المعالج أيضًا مع الإبلاغ لشبكة البطاقات. إذا أخبر المعالج التجار بشيء بينما تحذر شبكات البطاقات المصدرين بتفاصيل مختلفة، تتآكل الثقة. إذا قلل المعالج من النطاق ووسع النافذة لاحقًا، يجب على المصدرين والتجار إعادة العمل على القرارات السابقة. إذا بالغ في النطاق، فقد يتسبب في إعادة إصدار غير ضرورية واحتكاك بالعملاء. يجب أن يحتفظ ملف الاتصال المسؤول بموعد إخطار كل طرف، وما هي الحقائق التي كانت معروفة، وما هو عدم اليقين الذي بقي، ومتى غيرت التحديثات الاستجابة التشغيلية.
بالنسبة للشركات الصغيرة، المشكلة هي الاعتماد دون نفوذ. قد يكون لدى التاجر الكبير علاقات شبكية مباشرة، ومستشارون، وفرق حوادث، وخيارات معالجة بديلة. قد يكون لدى التاجر الصغير بائع تجزئة، و ISO، ورقم دعم، وقدرة تفاوض محدودة. يمكن أن يصبح فشل أمان المعالج مشكلة خدمة عملاء التاجر. لهذا السبب التزامات الإفصاح المشددة للخدمات المشتركة. يجب أن تشمل الاستمرارية قدرة التاجر التابع على شرح المخاطر ومواصلة المدفوعات الآمنة، وليس فقط وقت تشغيل المعالج.
يجب أن تنتج أتمتة الأمن أدلة، وليس فقط الثقة
ربط تحديث الشركة ثقة الاحتواء بالتحليل الجنائي ومراقبة الشبكة وتدابير أمنية إضافية. هذه اللغة تنتمي إلى موضوع أتمتة الأمن. تعالج معالجات المدفوعات أنظمة عالية الحجم. لا يمكنها الاعتماد على المراقبة اليدوية البحتة. كشف التسلل، وجمع السجلات، واكتشاف الشذوذ، وقياس النقاط النهائية، ومراقبة الشبكة، وتحليل أنماط المعاملات، وضوابط الوصول كلها تحتاج إلى أتمتة. لكن الأتمتة يجب أن تنتج أدلة يمكن استخدامها من قبل المقيمين وشبكات البطاقات والجهات التنظيمية وصناع القرار الداخليين.
السؤال الرئيسي ليس ما إذا كانت أداة المراقبة موجودة. إنه ما إذا كانت الأداة رأت البيئة المتأثرة، وما إذا كانت اكتشفت الوصول غير المصرح به في وقت مبكر بما فيه الكفاية، وما إذا تم فرز التنبيهات، وما إذا تم الاحتفاظ بالسجلات، وما إذا كان يمكن لمستجيبي الحوادث إعادة بناء الوصول، وما إذا كانت ادعاءات الاحتواء مرتبطة بأدلة محددة. قول المعالج إن الحادث تم احتواؤه مفيد فقط إذا كان البيان يستند إلى حقائق سيطرة قابلة للإثبات: الخوادم المتأثرة معزولة، الوصول غير المصرح به مغلق، بيانات الاعتماد مدورة، البرامج الضارة تمت إزالتها أو استمرارها، تغطية المراقبة موسعة، وقنوات تصدير البيانات تم تقييمها.
إطار الأمن السيبراني من NIST فيhttps://www.nist.gov/cyberframeworkيوفر لغة مفيدة لسلسلة الأدلة هذه: تحديد الأصول والتبعيات، حماية الأنظمة والبيانات، اكتشاف النشاط الشاذ، الاستجابة بأدوار محددة، واستعادة العمليات العادية. NIST SP 800-53 Rev. 5 فيhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalيوفر مفردات أكثر تفصيلاً حول التحكم في الوصول، التدقيق والمساءلة، إدارة التكوين، الاستجابة للحوادث، سلامة النظام والمعلومات، التخطيط للطوارئ، وتقييم المخاطر. هذه ليست قواعد بطاقات الدفع، ولا تثبت ما فعلته Global Payments داخليًا. إنها تساعد في تحديد ما سيتضمنه ملف أدلة قوي.
يجب أن تتصل أتمتة الأمن أيضًا بالإبلاغ لشبكة البطاقات. إذا حددت مراقبة الشبكة وصولًا غير مصرح به، يحتاج المعالج إلى تحويل الأدلة التقنية إلى تقرير تأثير على البطاقة يمكن للشبكات والمصدرين استخدامه. السجلات الأولية لا تساعد المصدرين ما لم يمكن تعيينها لأرقام البطاقات والتواريخ وعناصر البيانات ومستويات الثقة ونوافذ التعرض. تلك الترجمة هي وظيفة حوكمة. يجب أن يتفق المهندسون وفرق الاحتيال وموظفو الامتثال والمستشارون ومديرو علاقات شبكة البطاقات والمديرون التنفيذيون على ما يمكن الإبلاغ عنه ومتى.
يظهر سجل Global Payments أن الشركة عملت مع العديد من شركات أمن المعلومات والطب الشرعي. غالبًا ما تكون الأدلة الجنائية الخارجية ضرورية لأن شبكات الدفع والجهات التنظيمية تحتاج إلى ثقة مستقلة. لكن الأدلة الجنائية الخارجية تكون جيدة فقط بقدر الأدلة التي يمكنها الوصول إليها. يجب على المعالج الاحتفاظ بالسجلات ولقطات الشبكة وصور النظام وسجلات الوصول وتاريخ التكوين وتوثيق تدفق البيانات بطرق تدعم تحقيقًا موثوقًا.
سجل التكلفة في هيئة الأوراق المالية يظهر أن الإصلاح حدث تجاري
الأثر المالي المسجل في 10-K مهم لأنه ينقل الاختراق خارج مسار الأمن الضيق. تكاليف اختراق نظام المعالجة بقيمة 84.4 مليون دولار في السنة المالية 2012 و 36.8 مليون دولار في السنة المالية 2013 هي أحداث تجارية. إنها تؤثر على المصاريف التشغيلية، وإبلاغ المستثمرين، واهتمام الإدارة، والتأمين، والاستراتيجية القانونية، وثقة العملاء. لذلك فإن الاختراق في معالج هو قضية حوكمة مؤسسية، وليس فقط حادثًا تقنيًا.
سجل التكلفة يساعد أيضًا في فصل الاحتواء الفوري عن الإصلاح الكامل. قال تحديث الشركة في أبريل 2012 إن الشركة تعتقد أن الحادث تم احتواؤه. التقرير السنوي لعام 2013 سجل تكاليف اختراق كبيرة للسنة المالية 2013. قد يوقف الاحتواء الوصول غير المصرح به، لكن العلاج والتقييم والتقاضي والإخطار ومراقبة الائتمان واستعادة الامتثال والتغييرات التشغيلية تستمر. يجب أن يميز الجدول الزمني المسؤول تلك المراحل.
يقول ملف هيئة الأوراق المالية والبورصات إن أعمال العلاج اكتملت وتقييم QSA اكتمل. هذه بيان أقوى من سطر عام "لقد عززنا الأمان" لأنه يربط الإصلاح بمراجعة مستقلة لـ PCI DSS. لكن الملف العام لا يكشف عن النطاق الكامل للتقييم، أو القصور المحددة، أو نتائج اختبار السيطرة، أو عملية قرار شبكة البطاقات. لذلك كان على المستثمرين والتجار الاعتماد على الملف وحالة الشبكة وإشارات استمرارية الأعمال.
سجل التكلفة يظهر أيضًا لماذا تحتاج المعالجات إلى ملكية مخاطر على مستوى مجلس الإدارة. المنتج الأساسي للمعالج هو الثقة في معالجة المعاملات. إذا كان الاختراق يمكن أن ينتج عشرات الملايين من الدولارات من النفقات وعواقب الامتثال لشبكة البطاقات، فإن الأمن السيبراني ينتمي إلى الرغبة في المخاطرة، وتخطيط رأس المال، وإدارة البائعين، وضوابط الإفصاح، وإعداد التقارير التنفيذية. لا يمكن تركه كمشروع أمني بعد العمل.
يؤثر البعد التجاري أيضًا على المستحوذين و ISOs. خدمت Global Payments التجار من خلال علاقات مباشرة وغير مباشرة، بما في ذلك مؤسسات المبيعات المستقلة. عندما يحدث حادث في معالج، قد يضطر هؤلاء الشركاء إلى الإجابة على أسئلة التجار حتى لو لم يديروا النظام المخترق. يمكن أن تتأثر سمعتهم وإيراداتهم بجودة أدلة المعالج. هذا هو المضاعف التجاري الخفي لاختراق المعالج.
حدود الأدلة مهمة لأن السجلات العامة جزئية
السجل العام مفيد لكنه غير كامل. يتضمن إفصاح الشركة، وملفات هيئة الأوراق المالية والبورصات، والتقارير المعاصرة، والتعليقات الصناعية، وسياق المعايير الحالية. لا يتضمن التقرير الجنائي الكامل، أو رسومات الشبكة الكاملة، أو سجلات المراقبة الداخلية، أو مراسلات شبكة البطاقات، أو جميع تنبيهات المصدرين، أو سجلات التصدير الدقيقة، أو تقرير QSA الكامل، أو خطة العلاج الكاملة. يجب أن تكون تلك الحدود صريحة.
تشمل الحقائق العامة المؤكدة بيان الشركة بأن الوصول غير المصرح به أثر على جزء محصور من نظام المعالجة في أمريكا الشمالية وأن أقل من 1.5 مليون رقم بطاقة ربما تم تصديرها. تشمل الحقائق العامة المؤكدة أيضًا بيان ملف هيئة الأوراق المالية والبورصات بالتحديد في أوائل مارس والإبلاغ الذاتي، والوصول المحتمل إلى خوادم طلبات التجار، وإزالة شبكة البطاقات من بعض قوائم مقدمي الخدمات المتوافقين مع PCI DSS، ومراجعة QSA، وبيان العلاج، وتكاليف اختراق نظام المعالجة المسجلة. السياق العام المؤكد يشمل معايير أمن المدفوعات وآليات إدراج مقدمي الخدمات.
يشمل الاستدلال المدعوم الاستنتاج بأن التقسيم والتحكم في تدفق البيانات والمراقبة والإبلاغ لشبكات البطاقات والتواصل مع التجار ودعم المصدرين والتحقق من PCI والأدلة الجنائية المستقلة كانت أسطح مساءلة مركزية. هذا الاستدلال يتبع من نوع بيئة المعالج المعنية وسجل الإصلاح العام. لا يتطلب الادعاء بالوصول إلى أدلة خاصة.
تبقى مجهولات. لا يمكن للجمهور تحديد بالضبط كيف دخل المهاجمون، أو بالضبط أي الخوادم تم الوصول إليها، أو جميع أسباب عدم اكتشاف المراقبة للاقتحام في وقت أبكر، أو كل متطلبات شبكة البطاقات المفروضة بعد الحدث، أو كل اتصال تاجر، أو كل قرار إعادة إصدار من المصدر، أو إجمالي الاحتيال الدقيق، أو نتائج اختبار السيطرة النهائية. تلك المجهولات ليست فجوات تحريرية يجب ملؤها بالتخمين. إنها فئات الأدلة التي سيحتاج ملف المساءلة الكامل إلى الاحتفاظ بها.
هذا الانضباط في الحدود مهم لأن اختراقات المعالجات يمكن بسهولة تبسيطها بشكل مفرط. اختصار واحد يقول "1.5 مليون بطاقة". آخر يقول "المسار 2 فقط". آخر يقول "تم الاحتواء". آخر يقول "قضية PCI". كل اختصار مفيد وغير كامل. السجل الأفضل يتبع السلسلة من الوصول غير المصرح به إلى التعرض للبيانات، واستجابة شبكة البطاقات، واعتماد التاجر، وعبء عمل المصدر، ومخاطر المستهلك، والتحقق من QSA، والتكلفة التجارية.
ما يجب أن يثبته الإصلاح الدائم
يجب أن يثبت ملف الإصلاح الدائم بعد حادث من نوع Global Payments عدة أشياء. على طبقة الأصول، يجب أن يظهر الأنظمة الدقيقة التي خزنت أو عالجت أو نقلت أو سجلت أو فككت تشفير أو يمكن أن تؤثر على بيانات البطاقة. على طبقة التقسيم، يجب أن يظهر الحدود بين معالجة المعاملات وبيانات طلبات التجار والأنظمة الإدارية وأنظمة التطوير وأنظمة المراقبة ومسارات وصول الطرف الثالث. على طبقة التحكم في الوصول، يجب أن يظهر أقل امتياز ومصادقة قوية ومراقبة الوصول المميز وتدوير بيانات الاعتماد وتسجيل الجلسات الإدارية.
على طبقة الكشف، يجب أن يظهر أي التنبيهات انطلقت، وأيها لم ينطلق، ومدة استمرار الوصول غير المصرح به، ومصادر السجلات المتاحة، وما إذا تم اكتشاف التصدير أو استنتاجه، وكيف تغيرت المراقبة بعد الاحتواء. على طبقة تأثير البطاقة، يجب أن يظهر عناصر البيانات المعنية وأعداد البطاقات ونوافذ التعرض ومستويات الثقة وتواريخ الإبلاغ لشبكات البطاقات وتسليم قائمة المصدرين وتاريخ التحديث. على طبقة التاجر، يجب أن يظهر أي التجار تم إخطارهم ومن خلال أي قنوات وما إرشادات الاستمرارية المقدمة وكيف تم التعامل مع أسئلة التجار الصغار.
على طبقة الامتثال، يجب أن يظهر الملف متطلبات PCI DSS المتضمنة وخطة العلاج ونطاق اختبار QSA وأدلة الضوابط المكتملة والاستثناءات والضوابط التعويضية وقرارات شبكة البطاقات. على طبقة الحوكمة، يجب أن يظهر الملكية التنفيذية وإعداد التقارير لمجلس الإدارة وتحليل ضوابط الإفصاح وقبول المخاطر والمطالبات التأمينية ومعالجة التقاضي واتصالات المستثمرين. على طبقة المستهلك، يجب أن يظهر منطق الإخطار ومراقبة الاحتيال ودعم إعادة الإصدار من خلال المصدرين ومعالجة الشكاوى.
صفحات معايير PCI فيhttps://www.pcisecuritystandards.org/standards/pci-dss/وhttps://www.pcisecuritystandards.org/standards/توفر لغة أساسية لأمن المدفوعات. صفحات مقدمي الخدمات في Visa فيhttps://www.visa.com/splisting/وhttps://www.visa.com/splisting/LearnMore.htmlتظهر كيف تتحقق الأطراف المعتمدة من حالة التحقق من مقدم الخدمة. توفر مواد NIST تصنيفًا عامًا للتحكم في المخاطر. معًا، تدعم تلك المصادر نموذج إصلاح قائم على الأدلة بدلاً من البيانات.
يجب على المعالج أيضًا إثبات الاستمرارية. هل استمر التجار في المعالجة بأمان؟ هل تمت مقاطعة أي تدفقات معاملات؟ هل تم النظر في ترتيبات الفشل أو المعالجة البديلة؟ هل تعاملت قنوات الدعم مع أسئلة التجار؟ هل تم إطلاع ISOs والمستحوذين بحقائق متسقة؟ الاستمرارية ليست فقط وقت التشغيل. إنها عملية آمنة في ظل عدم اليقين.
يجب أن يميز دليل التاجر أيضًا بين الاستمرارية الفنية للخدمة واستمرارية الثقة. قد يحافظ المعالج على حركة التفويض متحركة بينما لا يزال التجار يفقدون الثقة في بيئة التحكم الخاصة بالمعالج. هذا الاختلاف مهم للشركات الصغيرة لأنها غالبًا ما تتعلم عن مخاطر المدفوعات من خلال كشوفات الدفع أو إشعارات المعالج أو رسائل البائع أو شكاوى العملاء بدلاً من الإحاطات المباشرة للشبكة. سيظهر ملف الإصلاح القوي أن الفرق الموجهة للتجار كان لديها لغة معتمدة ومسارات تصعيد وشروحات للخدمات المتأثرة وطريقة لتصحيح التوجيهات السابقة عندما غيرت الأدلة الجنائية الجديدة النطاق. سيظهر أيضًا كيف دعم المعالج المستحوذين و ISOs الذين كان عليهم الإجابة على نفس الأسئلة من بعد واحد.
بدون هذا الدليل، يمكن للمعالج الادعاء بالاستمرارية بينما يعاني التجار التابعون من عدم اليقين كاضطراب تشغيلي.
ينطبق نفس المبدأ على دعم المصدرين. يحتاج المصدرون إلى قوائم البطاقات ونوافذ التاريخ وثقة عناصر البيانات بسرعة كافية لاتخاذ قرارات مراقبة وإعادة إصدار قابلة للدفاع. يحتاجون أيضًا إلى تحديثات تشرح ما إذا كان عدد السكان قد ضيق أو اتسع أو تغير في ملف المخاطر. المعالج الذي لا يمكنه توفير تلك القطع الأثرية يجبر المصدرين على الاختيار بين إعادة الإصدار المفرط ونقص الحماية. هذه ليست مجرد مشكلة اتصالات. إنها مشكلة أتمتة أمنية وجودة أدلة لأن بيانات تأثير البطاقة يجب أن تُنتج من سجلات المعاملات والاستنتاجات الجنائية وقنوات الإبلاغ للشبكة.
يجب أن يكون الدليل النهائي قابلاً لإعادة التشغيل. يجب أن يكون المراجع قادرًا على إعادة بناء ما حدث، أي الأنظمة تأثرت، أي البيانات غادرت أو ربما غادرت، من تم إخطاره، أي الضوابط تم إصلاحها، وكيف حدث التحقق المستقل. إذا لم يكن الملف قابلاً لإعادة التشغيل، يجب على النظام البيئي قبول الثقة بالادعاء. هذه مساءلة ضعيفة للمعالج.
البديل ليس لا معالجات؛ إنها معالجة مشتركة محدودة
سيكون من غير الواقعي معالجة قضية Global Payments كحجة ضد معالجات المدفوعات. تعتمد التجارة الحديثة بالبطاقات على المعالجات والبوابات والمستحوذين والشبكات والمصدرين والمحطات والرمزنة ومراقبة الاحتيال وأنظمة التسوية وخدمات التسوية. البديل ليس كل تاجر يبني مكدس معاملات آمن خاص به. البديل هو المعالجة المشتركة ببيانات محدودة، وتقسيم مختبر، وكشف سريع، وأدلة جاهزة للشبكة، وإشارات تعافي شفافة.
تبدأ المعالجة المشتركة المحدودة بتقليل البيانات. يجب أن يعرف المعالج أين توجد بيانات المصادقة الحساسة، ومتى تظهر، ومدة بقائها، وكيف يتم حمايتها. يجب أن يتجنب تخزين البيانات غير اللازمة للمعالجة المشروعة، وتقييد الوصول إلى بيانات البطاقة، وتقليل عدد الأنظمة التي تظهر فيها البيانات القيمة. يجب أيضًا حماية المعلومات الشخصية لطلبات التجار بنفس الجدية مثل بيانات بطاقة الدفع لأن ملف هيئة الأوراق المالية والبورصات يظهر أن حوادث المعالجات يمكن أن تشمل كلا المجموعتين.
يتضمن البديل أيضًا عقود سيطرة مشتركة واضحة. يحتاج التجار إلى معرفة ما سيبلغهم به المعالج أثناء الحادث، ومدى سرعة وصول الإشعارات، وما هي الأدلة التي سيتم توفيرها، وما هي خيارات الاستمرارية. يحتاج المستحوذون و ISOs إلى مسارات تصعيد. تحتاج شبكات البطاقات إلى إبلاغ محدد. يحتاج المصدرون إلى قوائم البطاقات وثقة عناصر البيانات. يحتاج المنظمون إلى إفصاح صادق. يحتاج المستهلكون إلى تأطير دقيق للمخاطر. يجب أن توجد تلك الالتزامات قبل الاختراق، وليس التفاوض عليها تحت الضغط.
أتمتة الأمن جزء من البديل، لكن الأتمتة يجب أن تتطابق مع السلطة. يمكن للنظام كشف الوصول الشاذ، لكن يجب على شخص عزل الخوادم، وحظر الحسابات، والاتصال بشبكات البطاقات، وإشراك شركات الطب الشرعي، والموافقة على الإفصاحات. يجب على المعالج تدريب تلك القرارات. يجب أن يعرف أي المديرين التنفيذيين لديهم سلطة إغلاق المسارات المتأثرة، ومتى يتم إخطار الشبكات، ومتى يتم إخطار التجار، وكيفية الحفاظ على الأدلة دون تأخير الاحتواء.
تظهر قضية Global Payments لماذا الاستعادة ليست مجرد تقنية. حالة الامتثال لشبكة البطاقات، والتحقق من QSA، وثقة التاجر، واستجابة المصدر، وإبلاغ المستثمرين كلها تحتاج إلى التعافي. الخادم الذي تم إصلاحه ليس مثل استعادة ثقة النظام البيئي. تعود الثقة عندما يرى كل طرف معتمد أدلة مناسبة لدوره.
المساءلة تتبع السيطرة على بيئة المعالج
يجب أن يتبع التخصيص النهائي للمساءلة السيطرة العملية. سيطرت Global Payments على بيئة المعالجة المتأثرة والأدلة المطلوبة لفهمها. سيطرت شبكات البطاقات على إدراج الامتثال واستجابة الشبكة. سيطر QSAs على التقييم المستقل ضمن إطار PCI. اعتمد التجار على المعالج لاستمرارية المعاملات. استوعب المصدرون قرارات المراقبة وإعادة الإصدار. كان لدى المستهلكين أقل رؤية لكنهم واجهوا مخاطر الاحتيال بالبطاقات واحتكاك استبدال البطاقة.
هذا التخصيص لا يعني أن كل تكلفة لاحقة هي مسؤولية قانونية للمعالج في كل ظرف. إنه يعني أن المعالج يتحمل أعلى عبء لإثبات النطاق والاحتواء والعلاج واستعادة الثقة لأنه سيطر على النظام الذي تم اختراقه. كانت تصريحات المعالج العامة تخدم أطرافًا لا تستطيع رؤية البيئة بنفسها.
سجل Global Payments قيم لأنه يتضمن إفصاح الشركة، وتقارير هيئة الأوراق المالية والبورصات المالية، وعواقب الامتثال لشبكة البطاقات، وبيانات ما بعد الاختراق. يظهر أن اختراق المعالج ليس مجرد حدث رقم بطاقة. إنه حدث اعتماد على الخدمة، وحدث عبء عمل المصدر، وحدث استمرارية تاجر، وحدث حالة امتثال، وحدث إفصاح للمستثمرين.
الدرس الدائم هو أن ثقة معالجة المدفوعات يجب أن تكون مدعومة بأدلة قبل الاختراق ومعاد بناؤها بعده. معالج يتعامل مع بيانات البطاقة للعديد من التجار لا يمكنه الاعتماد على لغة ثقة عامة. يحتاج إلى خرائط تدفق بيانات محددة النطاق، وبيئات مجزأة، وأتمتة مراقبة مرتبطة بسلطة بشرية، وإبلاغ سريع لشبكة البطاقات، وتواصل تجاري يدعم الاستمرارية، وإصلاح قابل للتحقق من QSA، وإفصاح عام يفصل الحقائق المعروفة عن عدم اليقين. هكذا يصبح اختراق المعالج اختبار مساءلة لنظام البطاقات بأكمله.
ينطبق نفس الدرس على تركيز المعالجات في المستقبل. كلما زاد عدد التجار والقنوات والشركاء الذين يعتمدون على عدد صغير من وسطاء المدفوعات، زادت جودة أدلة معالج واحد لتصبح قضية مرونة سوقية. يمكن للتركيز تحسين الاستثمار الأمني، لكنه يرفع أيضًا معيار النطاق والإخطار والتحقق المستقل واستمرارية التاجر. البنية التحتية المشتركة تكسب الثقة فقط عندما يتم قياس المخاطر المشتركة والإبلاغ عنها بانضباط.

