Nieuws
Slechts een kwart van de organisaties houdt betalingsgegevens kaarthouders veilig
13 oktober 2020 - Organisaties wereldwijd blijven de kaarthoudergegevens van hun klanten in gevaar brengen. Volgens het Verizon Business 2020 Payment Security Report (2020 PSR) is dit te wijten aan een gebrekkige security-strategie en uitvoering hiervan op de lange termijn. Doordat veel bedrijven moeite hebben om gekwalificeerde CISO's of security-managers te behouden, is het ontbreken van een langetermijnvisie op het gebied van security zeer schadelijk voor de consequente naleving van de Payment Card Industry Data Security Standard (PCI DSS).
Betalingsgegevens blijven een van de meest gewilde en lucratieve doelwitten van cybercriminelen met negen van de tien gegevensinbreuken die financieel gemotiveerd zijn, zoals blijkt uit Verizons meest recente Data Breach Investigations Report. Alleen al binnen de retailsector was 99 procent van de door het DBIR 2020 geanalyseerde beveiligingsincidenten gericht op het verkrijgen van betalingsgegevens voor crimineel gebruik.Betaalsystemen beschermen
Het 2020 PSR toont aan dat gemiddeld slechts 27,9 procent van de organisaties wereldwijd volledig voldeed aan de PCI DSS. Dit is de standaard die ontwikkeld is om bedrijven te helpen om hun betaalsystemen te beschermen tegen inbreuken en diefstal van gegevens van kaarthouders. Nog verontrustender is het feit dat dit het derde opeenvolgende jaar is dat er een daling in de naleving is opgetreden met een daling van 27,5 procentpunten sinds de naleving in 2016 op zijn hoogtepunt was (zoals te zien is in de PSR van 2017).
"Helaas zien we dat veel bedrijven niet over voldoende middelen en de toewijding van hogere managers beschikken om initiatieven op het gebied van gegevensbeveiliging en compliance op de lange termijn te ondersteunen. Dit is onaanvaardbaar," aldus Sampath Sowmyanarayan, President Global Enterprise bij Verizon Business. "De recente coronavirus-pandemie heeft de consument ertoe aangezet om van contant geld over te stappen op contactloze betaalmethoden met betaalkaarten en mobiele apparaten. Dit zorgt voor meer elektronische betalingsgegevens en consumenten vertrouwen erop dat bedrijven hun informatie beschermen. De veiligheid van betalingen moet door alle bedrijven die met betalingsgegevens omgaan worden gezien als een doorlopende bedrijfsprioriteit. Zij hebben een fundamentele verantwoordelijkheid tegenover hun klanten, leveranciers en consumenten."
Aanvullende uitkomsten van het 2020 PSR werpen licht op security-testen, waarbij slechts iets meer dan de helft van de organisaties (51,9 procent) met succes security-systemen en -processen en ongecontroleerde systeemtoegang test. Ongeveer twee derde van alle bedrijven traceert en monitort de toegang tot bedrijfskritische systemen adequaat. Daarnaast voeren slechts zeven van de tien financiële instellingen (70,6 procent) essentiële beveiligingscontroles aan de rand van de onderneming uit.
"We zien dit rapport als een welkome wake-up-call voor organisaties omdat het benadrukt dat sterk leiderschap nodig is om tekortkomingen in het adequaat beheren van de betalingsbeveiliging aan te pakken. Het rapport van Verizon Business sluit goed aan bij het standpunt van Omdia dat het voor organisaties essentieel is om de securitystrategie af te stemmen op de strategie van de organisatie om de compliance te handhaven. In dit geval met PCI DSS 3.2.1 om de juiste niveaus van betalingsbeveiliging te kunnen bieden. Het maakt duidelijk dat voor de beveiliging van gegevens en voor compliance op lange termijn meerdere functies verantwoordelijk zijn, waaronder de Chief Information Security Officer, de Chief Risk Officer en de Chief Compliance Officer. Hier sluit Omdia zich bij aan," aldus Maxine Holt, senior research director bij internationaal onderzoeks- en adviesbureau Omdia.
Gebrek aan compliance heeft gevolgen voor alle bedrijven
Het midden- en kleinbedrijf (mkb) ondervond zijn eigen unieke problemen met het beveiligen van de betalingsgegevens. Hoewel kleinere bedrijven over het algemeen minder kaartgegevens verwerken en opslaan dan grotere bedrijven, hebben ze minder middelen en minder budget voor security. Dit heeft gevolgen voor de middelen die beschikbaar zijn om de naleving van PCI DSS te handhaven. Vaak worden de maatregelen die nodig zijn om gevoelige betaalkaartgegevens te beschermen door deze kleinere organisaties als te tijdrovend en duur ervaren. Maar omdat de kans op een datalek voor het mkb groot blijft, is het absoluut noodzakelijk dat PCI DSS-compliance wordt gehandhaafd.
De voortdurende uitdaging voor CISO’s
Het rapport onderzoekt ook de uitdagingen waarmee CISO's worden geconfronteerd bij het ontwerpen, implementeren en onderhouden van een effectieve en duurzame security-strategie. En hoe deze uiteindelijk bijdraagt aan het onderscheid tussen het beheren van compliance en gegevensbeveiliging. Deze problemen bleken niet technologisch van aard te zijn, maar het gevolg van organisatorische zwakheden. Deze konden worden opgelost met behulp van meer geavanceerde managementvaardigheden, zoals geformaliseerde processen ontwikkelen; een bedrijfsmodel voor security ontwerpen en een gedegen security-strategie met operationele modellen en frameworks formuleren.