דו"ח חדש של Verizon: ארגונים שאינם תואמים ל-PCI סבלו מיותר אירועי דליפת מידע

ניתוח ממצאי PCI Assessments אשר נערכו על ידי חברת Verizon מעלה כי ארגונים וחברות אשר סבלו מפרצות ואירועי אבטחת מידע הינם ארגונים אשר בסבירות גבוהה אינם עומדים בתקן ה-PCI.

הדו"ח, בו נותחו ממצאים של PCI Assessments מהשנים 2008-2009 מעלה עוד כי רק כ-20% מן הארגונים הראו תאימות מלאה להוראה בתהליך ה-Audit הראשון.

בדו"ח דליפות המידע של Verizon, אשר התפרסם מוקדם יותר השנה, נמצא כי שלוש הסיבות העיקריות לדליפות מידע הינן הגנה לקויה על המידע הרגיש המאוחסן על מערכות ה-IT הארגוניות; ניטור לוקה בחסר (או לא קיים) של גישות אל משאבי רשת קריטיים; ואי-ביצוע מבדקים על מערכות ההגנה הארגוניות. על פי ממצאי הדו"ח החדש, אלו הן בדיוק הנקודות בהן מתקשים הארגונים לבצע את ההטמעות והתהליכים בכדי להיות תואמים לתקן.

"מצאנו מתאם חזק בין אי-תאימות בשלוש הדרישות הללו לבין אירועי דליפות המידע", אומרת ג'ן מאק, מנהלת ייעוץ ה-PCI הגלובלי של Verizon. "תקן ה-PCI דורש הגנה על המידע, ניטור מתמיד, וביצוע סריקות ומבדקי חדירה... וראינו שאי-הקפדה על דרישות אלו היוותה את הסיבה העיקרית לדליפות המידע שפורטו בדו"ח הדליפות.

מאק מדגישה כי ניתוח הממצאים מראה בבירור כי חברות אשר נמצאות בתאימות ל-PCI, הינן בסבירות נמוכה באופן משמעותי לדליפות מידע. "אלו הן חדשות טובות מאוד ל-PCI", אומרת מאק. "הדבר נותן דחיפה משמעותית להטמעת נהלי אבטחה חזקים".

בדו"ח נותחו ממצאים מכ-200 PCI DSS Assessments אשר נערכו ע"י חברת Verizon שהיא PCI QSA. נתונים אלו נותחו אל מול נתוני דו"ח דליפות המידע שפורסם מוקדם יותר השנה.

חברת Verizon ממליצה על הטמעת אבטחת המידע אל תוך התהליכים העסקיים-ארגוניים, תוך שילוב Compliance ואבטחת מידע בתהליך מאוחד. כן מומלץ לאמץ את גישת ה"תהליך המתמשך" לתאימות לתקן, וזאת בניגוד לפרוייקט חד-פעמי אשר לא יספק תאימות ואבטחה נאותה לאורך זמן.

הדו"ח המלא (אנגלית) -
http://www.verizonbusiness.com/resources/reports/rp_2010-payment-card-industry-compliance-report_en_xg.pdf

לידיעות בנושא (אנגלית) -
http://www.darkreading.com/security_monitoring/security/app-security/showArticle.jhtml?articleID=227600072&cid=nl_DR_daily_2010-10-05_html