top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

PCI DSS: quando la catena della fiducia si spezza

La qualità vs. la propagazione delle responsabilita'.


Il Payment Card Industry Security Standard Council, meglio noto con l’acronimo PCI SSC (http://www.pcisecuritystandards.org), è l’Ente nato dall’iniziativa dei cinque principali marchi di pagamento, American Express, VISA, Mastercard, Discover e JCB (i c.d. Brand) per garantire adeguati livelli di sicurezza nell’utilizzo delle carte di debito e credito. A questo fine, il PCI SSC ha stilato il Payment Card Industry Data Security Standard (PCI DSS), un insieme di regole volte a disciplinare il trattamento dei dati delle carte di pagamento, secondo best practice riconosciute per la sicurezza delle informazioni.

Poiché il PCI SSC è un organo residente sul territorio statunitense, il controllo nei diversi paesi aderenti (tutti quelli che effettuano transazioni con i marchi citati) è demandato ad Organizzazioni locali, operanti nel settore della sicurezza delle informazioni. Per ottenere tale accreditamento, le suddette Organizzazioni devono dimostrare le proprie competenze in materia di information security attraverso un percorso di valutazione e mediante la formazione e certificazione del proprio personale1.
 

 

i principali meccanismi di trust
Figura 1 - I principali meccanismi di trust

 

 

Nella catena della fiducia (trust) evidenziata dalla figura soprastante, PCI SSC esercita un triplo controllo per garantire alla clientela il livello qualitativo richiesto e la corretta valutazione delle misure di sicurezza applicate:

  • In prima istanza, mediante l’individuazione, la valutazione e l’accreditamento di Organizzazioni con una provata competenza e standing nell’ambito dell’information security;
  • In secondo luogo, formando e certificando il personale tecnico (Approved Scanning Vendor - PCI ASV) dedicato alle verifiche tecnologiche (vulnerability assessment) ed il personale che svolgerà invece le verifiche di tipo ispettivo (Qualified Security Assessor – PCI QSA);
  • Ultimo punto, ma non in ordine di importanza, il controllo sistematico delle attività svolte da ASV e QSA Company, l’aderenza ai principi etici ed ai modelli operativi suggeriti da PCI DSS, valutazioni attuate mediante l’impiego dell’Assessor Quality Management Program (AQM Program) di PCI SSC.

 

Un modello di trust quindi ben rodato che consente di stabilire ruoli e responsabilità ben precisi, in accordo con i marchi delle carte di pagamento (Brand) e accettato anche dagli istituti di credito locali (Acquirer). Fin qui tutto bene.

Poi accade l’imprevisto.

Sì, perché uno dei più recenti data breach2 ha comportato la sottrazione di circa 40 milioni di record relativi ai dati delle carte di pagamento dei clienti e 70 milioni di record con altri dati identificativi dei Clienti. Questa operazione, condotta tra novembre e dicembre 2013 da un gruppo criminale di non ben identificata matrice (probabilmente russa, secondo l’analisi post mortem di Aviv Raff di Seculert), è stata perpetrata sui sistemi di trattamento dei dati delle carte di pagamento di Target Brands Inc., uno dei giganti della grande distribuzione USA, certificato PCI DSS.

Per quanto non esistano sufficienti informazioni per delineare un quadro preciso ed attendibile di come questo attacco si sia originato, poche infatti le notizie riportate dai diversi giornali, è invece noto quello che è accaduto successivamente. Cerchiamo quindi di far luce sull’accaduto e sulle ricadute.
 

 

scenari di attacco e conseguenze
Figura 2 - Scenari di attacco e conseguenze

 

 

Come descritto in figura 2, con tutta probabilità l’attacco è stato originato da un gruppo di malintenzionati che è riuscito a guadagnare l’accesso ai sistemi del Cliente, direttamente o transitando da una terza parte, ovvero che ha inoculato malware nei dispositivi POS di Target (pare si tratti di Trojan.POSRAM, secondo iSight Partners e l’U.S. Secret Service), sottraendo in ogni caso le informazioni di interesse.

Di per sé questo evento, seppur molto grave quanto a volume di informazioni trafugate, non è stato molto diverso da altri resi noti dai media. Comunque si tratta pur sempre di un evento di rilevanza tale da riuscire ad arrecare un danno di immagine importante, capace di creare disaffezione nella clientela e quindi indebolire in modo consistente soggetti privi di una posizione consolidata sul mercato. A tal proposito si ricordi l’impatto che ebbe, sui media prima e in borsa poi, il data leak che colpì Sony nel 2011.

La sottrazione di milioni di dati di carte di debito e credito ha ovviamente obbligato Trustmark National Bank e Green Bank NA (anche in nome e per conto di altri istituti coinvolti nel data breach), a dover bloccare, ritirare e riemettere un numero altissimo di carte, con costi diretti e indiretti molto consistenti: si parla infatti di 172 milioni di dollari per la sola riemissione delle carte, con un danno complessivo di circa 18 miliardi di dollari (Fonte: American Banker e Yahoo Finance).

Avendo quindi subito un danno di tale entità, le due banche hanno ritenuto di avviare una class-action nei confronti di Target e, evento abbastanza inusuale, nei confronti di Trustwave Holdings Inc., la QSA Company che ha condotto la verifica della conformità verso PCI DSS.

Nel documento che costituisce la base del procedimento legale di class-action, depositato il 24 marzo 2014 dai due Acquirer presso il Tribunale dell’Illinois, Ken Stasiak, CEO di una delle società delegate da PCI SSC alle attività di Investigazione Forense, dichiara che “(…) Al momento in cui si è verificato il data breach, Target non risultava aver effettivamente applicato diversi controlli dello standard e quindi non si trovava nelle condizioni di prevenire efficacemente le diverse azioni che hanno portato al data breach (…)”. Target si è poi difesa affermando che la non conformità è stata causata dal piano aziendale di riduzione dei costi e da problematiche di tipo operativo, elementi che l’hanno portata a dover differire nel tempo l’implementazione di diversi requisiti.

Nonostante nei primi giorni di aprile le banche abbiano deciso di interrompere l’azione legale in corso verso Target e Trustwave, questo caso di rivalsa ha creato un precedente veramente delicato che fa emergere alcuni spunti e riflessioni:
 

  • In prima istanza, essere conformi ad uno standard, seppur riconosciuto a diversi livelli, non significa assolutamente essere sicuri. Certo, riduce i rischi e previene l’utilizzo delle tecniche di frode e hacking più semplici o comuni, ma ha solo un effetto “ritardante” per gli attacchi più evoluti. Su questo aspetto, si può condividere l’approccio della metodologia OSSTMM di ISECOM (http://www.isecom.org) la quale puntualizza che “(…) la compliance è una cosa differente dalla sicurezza. E’ possibile essere conformi ma non sicuri, così come è possibile essere relativamente sicuri ma non conformi (…)“;
  • la conformità a PCI DSS non può essere di tipo teorico o “cosmetico”, né parziale (solo tecnologica o documentale) ma deve rispettare tutti i requisiti previsti per la sicurezza organizzativa, logica e fisica. Al manifestarsi, infatti, di eventi di frode, probabili e fisiologici per le imprese più grandi, si può facilmente incorrere in sanzioni economiche e anche il coinvolgimento in procedimenti di risarcimento non ha probabilità così remote;
  • è buona norma, in fase di selezione della QSA/ASV Company:

    • prediligere QSA/ASV Company che si dimostrino parti neutrali ed indipendenti, capaci cioè di focalizzarsi sulle sole attività di valutazione della conformità, poiché laddove sussistano altri interessi (ad esempio la rivendita di prodotti o soluzioni, come nel caso delle IT Company) potrebbero sussistere conflitti di interesse;
    • approfondire e valutare a fondo i progetti volti al conseguimento della conformità, prodotti da QSA/ASV Company, al fine di rilevare la presenza di elementi specifici, privilegiando aspetti quali: la trasparenza, l’impiego di  metodologie di lavoro riconosciute e il possesso di certificazioni di sicurezza (ad es. ISO/IEC 27001);
    • valutare in modo approfondito anche gli aspetti relativi alle necessarie verifiche tecnologiche: ad esempio la metodologia utilizzata per condurle e le certificazioni possedute dal personale che le esegue, ma anche la capacità di queste verifiche (PCI DSS a parte) di fornire indicazioni significative per la sicurezza del business;
    • non ultimo, poiché il costo aziendale del personale QSA/ASV è più o meno allineato (anche in conseguenza dei costi necessari a conseguire e mantenere le qualifiche di ASV e QSA verso il PCI SSC), occorre valutare con attenzione offerte economiche che presentino significative differenze tra loro a parità di obiettivo, evitando possibili indesiderati compromessi sulla qualità e l’efficacia del servizio reso

Per concludere, poiché in occasione del Bcom di Torino del marzo scorso (http://www.bcomexpo.com/en/2014to) l’Osservatorio e-commerce del Politecnico di Milano ha presentato diversi dati significativi circa la crescita del commercio elettronico in Italia (circa 12 miliardi di Euro transati nel 2013, con un incremento del 175% nell’ultimo anno e mezzo) dobbiamo aspettarci nei prossimi due o tre anni un allineamento con il resto dell’Europa, che al momento produce volumi cinque o sei volte superiori.

Questa crescita comporterà ovviamente un interesse sempre maggiore da parte dei gruppi della criminalità anche per il mercato italiano. Quindi, nell’ottica di utilizzare tutti gli strumenti a nostra disposizione per tutelare il business da potenziali eventi di perdita (di immagine, economica, di competitività, ecc.) anche lo standard PCI DSS, se adeguatamente implementato e mantenuto, può costituire un eccellente punto di partenza.
 

 

Per approfondimenti:



07/04/2014 - Angelo Chiarot, PCI DSS QSA, Security Advisory Team @ Mediaservice.net


1 Per la tipologia di contenuti di questo articolo, saranno trattate le sole figure di Approved Scanning Vendor (ASV) e Qualified Security Assessor (QSA). Per completezza, si segnala che il programma di accreditamento e certificazione di PCI SSC, per le aziende e il personale che deve operare sullo standard, prevede inoltre: Payment Application Qualified Security Assessor (PA-QSA), Internal Security Assessor (ISA), Payment Card Industry Professional (PCIP), Point-to-point Encryption Qualified Security Assessor (QSA P2PE), Qualified Integrator and Resellers (QIR) e PCI Forensic Investigator (PFI).

2 Per chi, eventualmente, non fosse familiare col termine, per data breach si intende “un evento involontario o fraudolento che comporta la diffusione non autorizzata di informazioni”. Tipologia di eventi, peraltro, che, per la legislazione vigente negli Stati Uniti, implicano anche la comunicazione degli estremi del singolo incidente ai consumatori finali.