Intel Security

Möller Insights – ”Sluta beskriv krav på säkerhet som ett straff”

Blogginlägg   •   Sep 04, 2014 10:57 CEST

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om när ökad säkerhet beskrivs som ett straff.


Sluta beskriv krav på säkerhet som ett straff
Jag väntar på mitt flyg från Helsingfors och bläddrar lite slentrianmässigt genom nyhetsflödet på telefonen när jag ser rubriken ”Skärpta kortregler slår mot e-handlare”. Jag, likt många andra uppskattar att stå på Davids sida när de möter Goliat – men inte i den här frågan märker jag snabbt när jag läser artikeln.

Jag skrev tidigare om att kortföretag som VISA och Mastercard kräver att alla butiker måste uppfylla vissa säkerhetskrav för att de ska ha rätt att erbjuda kortbetalning. Det handlar om en skärpt säkerhetsstandard som tagits fram för att införa ett minimumkrav vid betalning med kort för att minimera att kortuppgifter stjäls. Standarden heter Payment Card Industry Data Security Standard eller mer känt som PCI DSS och det är i samband med version 3.0 som detta krav uppstod.

Tidigare har e-handeln varit ett undantag från regeln och har inte själva behövt garantera att standarden uppfylls, men detta blir det nu ändring på från och med den första januari nästa år. I artikel jag läser lyfts ett företag upp som efter de nya kraven varit tvungna att flytta sin drift till Norge där det fanns datacenter som klarade de nya säkerhetskraven.

Jag förstår att det kan vara kostsamt och kanske omständigt för många verksamheter att uppfylla de nya kraven men de införs för att skydda slutkonsumenten, alltså den person som väljer att betala med sitt kort. Att då oja sig över att uppfylla minimum krav för kortbetalning tycker jag är en rätt trist inställning. Om vi tar exemplet med Target som blev bestulna på 40 miljoner betalkort i förra året så kan man snabbt förstå att ökad säkerhet behövs.

Mer nära i tiden är attacken mot Home Depot i USA där bankerna, inte Home Depot, identifierade att varuhuskedjan antagligen blivit hackad och att deras kunders kreditkortsuppgifter nu finns till försäljning på internet. Omfattningen av attacken mot Home Depot vet man ännu inte, men experter tror att den är avsevärt mer omfattande än attacken mot Target. Hacket mot Target pågick i tre veckor medan de tror att attacken mot Home Depot har pågått sedan april eller maj.

Alla blir förlorare om ett företag har svag säkerhet när det gäller betalkort. Kunden blir utsatt för bedrägeri, butiken får bära hundhuvud och har potential att förlora många kunder och bankerna förlora pengar. Attacken mot Target uppskattas ha kostat bank och kreditbolag mer än 200 miljoner USD. Det är mycket pengar och man vill inte vad det har kostat Target i förlorade affärer och minskat börsvärde. Inte helt förvånande så fick även Targets VD avgå – även om han antagligen hade väldigt lite med IT-säkerhet att göra. För att inte tala om det förlorade kundförtroendet Target upplevde och att bygga upp förtroende hos kunder är ett hål som är jobbigt att gräva sig ut ur.

Min kollega bloggade tidigare i veckan om hur IT-säkerhet ofta blir en ”ja just det, vi kanske behöver lite säkerhet också”-lösning, en efterkonstruktion. Jag håller med honom och det är ett långtgående problem i säkerhetsbranschen men vad som gör mig riktigt förbannad är när man framställer ökad säkerhet som ett straff.

Om man inte värnar om sina kunder och deras säkerhet så kanske man helt enkelt inte ska bedriva e-handel, eller för den delen ha kunder.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik