Siber Güvenlik ve PCI DSS

Bilgi Teknolojileri Denetim, Güvenlik ve Danışmanlık Hizmetleri Bölüm Direktörümüz Ateş Sünbül Kaleme aldı: Siber Güvenlik ve PCI DSS.

SİBER GÜVENLİK VE PCI DSS

Siber Güvenlik önemli bir kaygı haline geldi

Günümüzde teknolojik ilerlemelerin hiç olmadığı kadar hızlanmasıyla birlikte birey olarak bizler de interneti ve mobil cihazlarımızı kullarak devlet ödemelerimizi, market alışverişlerimizi ve benzeri pek çok hizmeti interneti kullanarak almaya başladık. Şirketlerin de daha çok müşteriye ulaşma stratejisiyle sistemlerini internet ortamına açmasıyla birlikte siber güvenlik şirketler için önemli bir kaygı haline gelmeye başladı. Buna karşın 90’lı yıllarda birey olarak gördüğümüz bilgisayar korsanları artık ordu olarak karşımıza çıkıyor ve bu durum güvenlik kaygılarımızı arttırdı.

Peki kaygılarımız ne kadar gerçek ?

• 2015 yılı itibariyle veri sızmalarının ortalama maliyeti 3,79 M $ oldu (2013 yılına göre %23 arttı)[1].
• Ortalama 154 $ sızan kayıt başına maliyet1
• 2014 yılında 43 milyon güvenlik olayı gerçekleşti[2]
• İncelemeye tabi olan hiçbir şirket saldırılar gerçekleşirken tam PCI DSS uyumlu değildi[3]
• Dünya Ekonomik Forumu tarafından yayınlanan 2015 Küresel Risk raporunda “Dünyadaki şirketlerin %90’nının siber saldırılara karşı yeterince hazır olmaması” kaygı verici bir uyarı niteliğindedir.
• Potansiyel tehdit büyümeye devam ediyor.

PCI DSS ve kredi kartının korunması

Ödeme Kart Endüstrisi Veri Güvenliği Standartı (PCI DSS), küresel olarak kabul görmüş ve kurumlarında kredi kartı bilgilerini korumasında yardımcı olacak kontroller bütününü tanımlayan bir standarttır. 12 ana kontrol hedefinden oluşmaktadır ve çok katmanlı olarak kontrolleri içermektedir:

Söz konusu kontroller tam anlamıyla uygulandığında veri sızmaları risklerini kabul edilebilir seviyelere kadar düşürmektedir. Bununla birlikte PCI DSS gelişen ve yenilenen bir standarttır. 15 Nisan 2015 tarihinde PCI Güvenlik Konseyi yeni sürüm olan PCI DSS v3.1’i yayınlamıştır. Konsey standartta büyük bir değişikliği normalde 36 ay periyodunda gerçekleştirmekte ve bu sayede güvenlik tedarikçilerinin yeniliklere uyum sağlaması için makul süre sağlamaktadır. Baktığımızda 2.0 sürümünden yakın zamanda 3.0 sürümüne geçilmişken ve değerlendirme formlarında (SAQ) büyük değişiklikler yapılmışken yeni sürüme geçme ihtiyacı neden kaynaklanmıştı? Burada sihirli kelime POODLE.

Güvenliğin ve en iyi uygulamaların yaşam döngüsünde unutulmaması gereken, tehditler evrimleşir ve gelişirken standartlarında evrimleşme ihtiyacı olduğudur, PCI standartındaki bu değişiklik buna güzel bir örnek teşkil etmektedir.

Güvenlik evrimini takip ederken risk bazlı yaklaşım

Üye işyerleri ve servis sağlayıcılar PCI uyumluluğuna çeşitli farklı yöntemlerle yaklaşmaktadır. Genelde görülen yaklaşım uyumluluk esaslıdır ve artık risk (Residual Risk) üzerine yoğunlaşılan bir yaklaşım sergilenmektedir. Bununla birlikte veri sızma riskini bertaraf edecek şekilde yol haritası çıkarılması, uyumun sağlanmasında ve gizli bilgilerin korunmasında devamlılık vaat etmektedir.

Risk bazlı yaklaşımın başarıya ulaşması için aynı zamanda;

ü  Risk envanterinin kapsamdaki sistemleri içermesine dikkat edilmesi.

ü  PCI DSS’in her zaman genel risk yaklaşımında bir kontrol yaklaşımı olarak benimsenmesi.

ü  Gerekli önceliklendirme yapılarını kullanarak risk giderme planları hazırlanması.

Önem arz etmektedir.

 

Doğru kararı vermek çok önemli

Risklere istinaden her zaman doğru kararları veremeyebiliyoruz. Bunu da bazı bilindik nedenlerle yapamamaktayız.

Standart incelendiğinde, pek çok noktada risk bazlı karar almamıza bizleri zorluyor ve bu kararı verirken risk süreçlerimizin işlerliği çok önem kazanıyor.

Örnek vermek gerekirse 6.1 maddesinde “Güvenlik açığı bilgisi için tanınmış dış kaynakları kullanarak, güvenlik açıklarını belirlemeye yönelik bir süreç oluşturun ve yeni keşfedilen güvenlik açıklarına bir risk derecelendirmesi atayın.”  Hatalı risk atamalarının yapılması pek çok noktada zafiyetlerin oluşmasına neden olacaktır.

Siber güvenliği üst seviyeye çıkarmak için öneriler

Son olarak PCI DSS kontrolleri özelinde 365 gün güvenliğin sağlanabilmesi için birkaç notumuz olacak;

• Güvenlik standartını kısıtlı alanda düşünmeyin, ana güvenlik prensiplerini kurum geneline yayın.
• Standartlar güvenlik kontrolleri için genel kriter noktasıdır, üstünde güvenlik sağlamak düşünülebilmelidir.
• Devamlı önemlerinizi alın ve düzenli izleme yapın. Unutmayın ki PCI DSS denetiminde ikinci yıl ve sonrası uyumluluk oranları düşebilmekte ve her zaman denetim sonucu başarılı olarak gelmemektedir.
• Hedefiniz, kurumun yasal yükümlülükleri gereği PCI DSS sertifikasını almaktan öte ana prensip olarak kredi/banka kartı güvenliğinin sağlanması olmalıdır.
• Standartta olan değişiklikleri ve haber gruplarını takip edin.
• Doküman ve süreçlerinizi hep güncel tutun ve tüm çalışanlarınızın onları anladığından emin olun. Güvenlik bir zincir gibidir ve en zayıf halkası kadar kuvvetlidir.

[1] 2015 Veri Sızma Maliyet Çalışması: Küresel Analiz (IBM and Ponemon Enstitüsü) – PCI konseyi

[2] PwC anketi - Verizon 2015 PCI Uyumluluk Raporu

[3] Verizon 2015 PCI DSS Uyumluluk Raporu