Nyckelfrasen från Heartlands VD och och CFO Robert H.B. Baldwin Jr. "were grabbing numbers with sniffer malware as it went over our processing platform..." Avslöjar att det handlar om kortinformationj "in transit" alltså inte lagrad kortdata som stals. Tex. har Microsoft lösningar för diskkrypton, vilket i detta fall inte skulle ha hjälpt. All transport över "öppna" nätverk (internet) ska ju skyddas enligt PCI DSS, men i det här fallet verkar det som att man sniffat trafik in transit på Hartlands interna nätverk. Det här verkar vara ett bra exempel varför man inte ska stirra sig blind på ett krav i taget i PCI DSS. Att fylla kravet att bara skydda data över öppna nätverk när det transporteras räcker alltså inte alltid. Att sikta på att bara fylla kraven för att bli "compliant" är inte det bästa sättet att undvika att råka ut för kortdataförlust. Ett informationssäkerhetsperspektiv där man utgår från informationen och bygger skydd i lager-på-lager, kan även likans vid en "lök" med inforamtionen i mitten och skyddande "ringar" av säkerhetsmekanismer runt om. Det är ett mycket mer effektivt sätt för företag att skydda sin käsnliga information.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Prenumerera på:
Kommentarer till inlägget (Atom)
Inga kommentarer:
Skicka en kommentar