零售商和银行必须迅速行动,找出谁应该负责更好地保护支付系统网络,否则就有可能让国会为他们做出决定。
自从a大量的数据违反在零售商Target,银行和零售行业团体一直恶狠狠地指责对方没有采取足够措施来防止此类黑客攻击。最新的争论还在继续已经停滞在努力提高信用卡和借记卡的安全性进步的长期不和。
双方都需要改变态度。
美国银行家协会(ABA)、全国信用社协会(CUNA)、全国联邦信用社协会(NAFCU)等机构再次呼吁制定法规,要求零售商实施更严格的数据安全控制。
美国律师协会主席弗兰克·基廷本月早些时候在给国会的一封信中说:“当像塔吉特这样的零售商说它的客户对欺诈性交易‘零责任’时,那是因为我们国家的银行提供了这种救济,而不是因为遭受这种侵害的零售商。”
在一篇发表的评论文章中AmericanBanker.com上周,NAFCU首席执行长伯格(Dan Berger)指责零售商低估了自己在保护敏感客户数据方面的作用。
他指出,多年来,《格雷姆-里奇·布莱利法案》(Gramm-Leach Bliley Act)一直要求银行和信用合作社实施强有力的数据安全控制,现在是时候对零售商实施类似的规则了。伯杰表示:“如果零售商希望从消费者销售中获得回报,他们也应该积极保护自己的数据。”
CUNA的数据显示,迄今为止,信用合作社已经花费超过3000万美元来召回和重新发行在塔吉特公司违约事件中受到影响的信用卡和借记卡。该协会表示,如果计入欺诈相关成本,信用合作社最终可能会为塔吉特的愚蠢行为付出高得多的代价。
“相反有些人可能会认为,这些费用将不报销信用合作社及其成员的目标或其他零售商,“CUNA总裁兼首席执行官比尔切尼在一份声明中说:“相反,信用合作社必须完全覆盖这些成本卡的项目管理,包括在这些情况下对一个商人数据泄露。”
与此同时,颇具影响力的全国零售联合会(NRF)巧妙地将违规归咎于美国各地银行和信用合作社使用的信用卡技术
“多年以来,银行继续发行fraud-prone磁条卡给美国客户,把风险敏感的财务信息,同时宣扬下一代的安全好处销和芯片卡技术为客户在欧洲和许多其他市场,”美国国家零售联合会主席及首席执行官马修·谢本周在一封给两个议员说。
零售商已经做好准备,也愿意改用PIN卡和芯片卡,但银行却拖了他们的后腿。“事实仍然是,零售商无法单独做到这一点。”
在过去几年中发生的每一起重大数据泄露事件之后,关于谁应该承担数据安全责任的分歧已成为一种社会惯例。同样的问题和关注在目标被攻破后也在aTJX严重违约五年多以前。
零售商继续坚称,他们正在尽其所能确保客户数据的安全,而银行则声称,它们必须承担过多的零售安全违规成本。在过去几年中,缩小差距的努力几乎没有取得什么实际进展。
零售商,尤其是大型零售商,必须将大部分信息安全工作集中在遵守支付卡行业数据安全标准上,这是由Visa、万事达、美国运通和其他信用卡协会规定的一套安全要求。
PCI标准旨在使零售商采用保护信用卡和借记卡数据的最佳实践。多年来,符合标准已经成为许多零售商的安全最终目标。在过去的几年里,塔吉特和其他顶级零售商已经花费了数千万美元来确保PCI的合规性。
迄今为止,这些投资的回报有些喜忧参半。
零售商仍然是数据盗窃的巨大目标。仅塔吉特公司的数据泄露事件就导致4000多万张信用卡和借记卡被盗,约7000多万人的个人数据被泄露。至少其他三家零售商,包括内曼·马库斯(Neiman Marcus),最近也受到了类似的影响。
近年来,数据泄露事件时有发生零售商支付在补救、法律和其他方面花费数千万甚至数亿美元。
尽管如此,支付卡行业并没有像其他主要行业那样,有那么多的信息共享和分析中心来传播恶意软件和威胁相关的数据。
多家符合pci标准的公司遭遇了违规,令人对这些标准的有效性产生了质疑。批评人士表示,这些标准未能跟上快速演变的安全威胁。
Gartner分析师阿维娃·利坦在一份报告中指出博客本周,在PCI标准中没有任何东西可以帮助Target检测用于攻击其销售点系统网络的恶意软件。
提高支付系统安全性的其他努力,如端到端加密和支付卡数据的标记化,由于采用程度相对较低,也取得了有限的成功。采取此类措施的零售商有时会声称,他们被迫在将数据发送给银行之前解密数据。
银行也继续在芯片和PIN技术上拖后腿。
CUNA等组织很快注意到,更新的技术,也被称为欧洲支付万事达信用卡(EMV)智能卡,可能对阻止目标事件没有什么作用。
即便如此,人们普遍认为EMV比磁条技术更好,磁条技术用于对美国发行的大多数信用卡和借记卡中的数据进行编码美国是少数几个不采用EMV的国家之一。
NRF坚持认为零售商已经准备好并愿意进行必要的投资来转换到EMV标准。但到目前为止,银行至少还不愿意进行转换。
目标攻击的范围引起了立法者的注意。美国众议院金融服务委员会(House Financial Services Committee)的成员已呼吁就此事举行听证会,以调查可能发生的情况,并确定是否需要对零售商实施新的数据保护规定。
尽管ABA、CUNA和其它银行集团会欢迎这种联邦干预,但这可能会给零售商带来麻烦。
在TJX于2007年遭到攻击之后,一些议员希望要求零售商实施类似于金融服务公司的数据安全标准。
零售商认为然后这些措施是不必要的,因为它们处理的数据远没有银行和其他金融机构维护的数据敏感。即便如此,这一违约行为仍有可能促使国会大幅扩大已授权的数据保护要求的范围。
长期担任零售顾问的霍特卡(Cathy Hotka)说,现在是全行业讨论数据安全问题的时候了。霍特卡多年前帮助美国零售联合会(NRF)成立了CIO委员会。
霍特卡说,十年前,类似于目标的入侵会被看作是一次不幸的一次性事件。
如今,她说,“我们知道,坏人可以利用这些极其复杂的工具进入任何网络。”他们的装备比以前好得多,所以现在是采取行动的时候了。”
Jaikumar Vijayan涵盖电脑世界的资料保安及私隐问题、金融服务保安及电子投票。关注Jaikumar的推特@jaivijayan,或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
阅读更多关于网络犯罪和黑客的内容在计算机世界的网络犯罪和黑客主题中心。
这篇题为《透视:支付系统安全少说多做》的文章最初由《金融时报》发表《计算机世界》 。