hu 
Chooseus Life Insurance elvesztette ügyfelei személyes kártyaadatait és ezzel bizalmukat is
2019 Augusztusábn riporterek csődültek össze a Chooseus Life Insurance központi irodájában Detroitban, közvetlenül azután, hogy kiszivárgott hogy több ezer ügyfelük vesztette el pénzét egy biztonsági rés miatt. A vállalat vezérigazgatója a következő közleményt adta ki. “Két év bizalom után, mindössze 48 órát kérünk még, hogy hogy felderítsük a probléma forrását és a szükséges intézkedéseket megtegyük, hogy ezt rendbe tehessük”
Az új geneációs fejlödő kibertámadások esetén, nehéz felderíteni a támadók kilétét. Állhat a háttérben egy professzionális támadó, vagy egy ártatlan ügyfél aki tudta nélkül malwaret installált a készülékére, vagy bármely más eshetőség. Minnél több az ügyfél, aki elvesziti a pénzét, a helyzet úgy válik egyre kezelhetetlenebbé.
Egy csapat kiválló IT biztonsági szakértőt kértek fel, hogy elemezzék a helyzetet, és mivel Chooseus Life Insurance, egy új szereplő a piacon mindennek teljes mértékig meg kell felelnie a Pénzintézetek egységes Biztonsági elvárásainak – ‘’Payment Card Industry Data Security Standard’’ (PCI DSS). PCI DSS amely egségesen vonatkozik azokra a vállalkozásokra, amelyek a bank és hitelkártyák adatainak tárolásával és biztonságos környezetben való kezelésével és a felhasználók védelmével foglalkozik. Ezek a biztonsági szabványok elvárják a kereskedőktől, hogy miként kezeljék a kártyatulajdonosok adatait, és gyakorlatban alkalmazza a sebezhetőség védelméről szoló egységes programot. Betartja a szigorú hozzáférés-ellenőrzési intézkedéseket, rendszeresen ellenőrzi és teszteli a hálózatokat, és fenntartja az információbiztonsági politikát.
A kirívó problémát tapasztaltak a Chooseus Life Insurance-nál, miszerint minden dolgozónak volt elllenőrizetlen hozzáférése minden céges adathoz, beleértve azokat a szenzitiv információkat, mint példáúl a kártyatulajdonosi ’ adatok. Ezen kivül nem volt hozzáférési kontrol a „kritikus adatokhoz, ami nem összeeggyeztethető a PCI DSS 7.1.vonatkozó szabályaival.
Egy gyors átvilágitást követően IT biztonsági szakértőknek sikerült azonositani a támadás forrását—a kompromitálodott számlát illetően, amely a kereskedelmi igazgatóhoz volt köthető. A további vizsgálatok után kiderült, hogy, a kereskedelmi igazgató egy hotel lobbyban örizetlenűl és bekapcsolva felejtette a számitógépét az üzleti út során,amelyhez egy számítógép „szakértő”, rosszindulatú szándékkal hozzá fért a fiókjához és az érzékeny adatokhoz is. A hacker megszerezte a hozzáféréseket az igazgató számlájához, és ellopták az ügyfelek kártyaadatait. Másszóval bárki bizalas adatokkal férhetett hozzá, megsértve a PCI DSS 8.3.2.-t.
Ez felvetette a kérdést: Tudják-e a társaságok (bárhol is vannak a világon), hogy teljes mértékben be kell tartaniuk a PCI DSS-t? A Verizon 2019. évi fizetésbiztonsági jelentése szerint a vállalkozások 63,3% -a nem teljesítette teljes mértékben a PCI DSS-t 2018-ban. Ennek egyik fő oka az, hogy a PCI DSS-megfelelés nemcsak technikai szempontból fontos. Meg kell érteni az előírásokat és fontossági sorrendet kell felállítani. Néhány olyan társaság, közvetlenül az ellenőrzés után már nem követi az előírásokat.
A szervezeteknek meg kell érteniük, hogy közvetlen kapcsolat van a PCI DSS-nek való megfelelőség és a szervezet azon képessége között, hogy megvédje azt a kibertámadásokat szemben.Az ADAudit Plus segíti a vállalatokat olyan paraméterek ellenőrzésében mint például a bejelentkezés sikere és kudarca, a privilegizált felhasználók által végrehajtott változtatások, a fájlhozzáférés, a fájlok létrehozása és törlése, amelyek mindegyike fontos a PCI DSS-nek való megfelelés szempontjából.
A valós idejű riasztások különbséget tehetnek a biztonságos hálózat és sérülékeny hálózat között. Az ADAudit Plus alkalmazásban engedélyezhető a valós idejű riasztások a testreszabott feltételek és küszöbértékek alapján, és e-mailben vagy szöveges üzenetben továbbíthatók. Ezenkívül, a fenyegetés észlelésekor, a helyreállítási intézkedések automatikusan kezdeményezhetők az egyedi szkriptek használatával.
Megjegyzés: Chooseus Life Insurance csak egy kitalált vállalat
