Kun hver 4. globale virksomhed har styr på betalingskort-data

Kun hver 4. globale virksomhed har styr på betalingskort-data

Den årlige undersøgelse af betalingssikkerhed Verizon Business 2020 Payment Security Report (PSR 2020) offentliggøres i dag og fremhæver, at manglen på langsigtede sikkerhedsstrategier er årsagen til, at overholdelsen af standarder for betalingssikkerhed falder for 3. år i træk

Globale virksomheder har fortsat ikke helt styr på sikkerheden med deres kunders kortholderdata. Det fremgår af rapporten Verizon Business 2020 Payment Security Report  (PSR), der i år udkommer for 10. gang. Mange virksomheder kæmper med at fastholde kvalificerede CISO'er eller sikkerhedschefer, og manglen på langsigtet sikkerhedstænkning påvirker evnen til at sikre en vedvarende overholdelse af sikkerhedsstandarden for betalingskort, PCI DSS (Payment Card Industry Data Security Standard).

Betalingsdata er fortsat et af de mest lukrative mål for cyber-kriminelle. 9 ud af 10 databrud er økonomisk motiverede, påviser rapporten om IT-sikkerhed Verizon Business 2020 Data Breach Investigations Report (2020 DBIR). Når det gælder detailhandelen, så var 99 procent af alle brud på datasikkerheden rettet mod at indhente betalingsdata med et kriminelt motiv for øje.

Ifølge PSR 2020 formår kun 27,9 procent af de globale virksomheder at leve op til PCI DSS-standarden, som er skabt for at hjælpe virksomheder, der tilbyder deres kunder kortbetaling-services, med at beskytte deres betalingssystemer mod tyveri af kortholderdata. Bekymrende er det, at det er tredje år i træk, der sker et fald i compliance. Siden 2016 er der registreret en tilbagegang på 27,5 procentpoint (ifølge PSR-rapporten fra 2017).

"Desværre ser vi, at mange virksomheder mangler ressourcerne og engagement fra den øverste ledelse til at understøtte det langsigtede indsats, når det gælder initiativer, der skal fremme datasikkerhed og compliance. Dette er uacceptabelt,” siger Sampath Sowmyanarayan, President, Global Enterprise, Verizon Business. ”Den igangværende Corona-pandemi har medført, at færre forbrugere anvender kontanter, og at flere bruger kontaktløse betalingsmetoder med betalingskort såvel som mobile enheder. Det har genereret flere elektroniske betalingsdata, og forbrugerne har tillid til, at virksomhederne beskytter deres data. Betalingssikkerhed bør ses som en løbende forretningsprioritet af alle virksomheder, der håndterer betalingsdata. De har et grundlæggende ansvar, de skal leve op til over for deres kunder og leverandører og for forbrugere.”

PSR 2020 retter også fokus på test af sikkerheden. Kun lidt over halvdelen af virksomhederne (51,9 procent) udfører vellykkede test af sikkerhedssystemer og -processer samt af u-monitoreret systemadgang. Ca. to tredjedele af alle virksomheder sporer og monitorerer i tilstrækkelig grad adgangen til forretningskritiske systemer. Derudover opretholder kun 7 ud af 10 finansielle virksomheder (70,6 procent) vigtig perimeter-sikkerhedskontrol.

”Denne rapport er et wake-up call til virksomheder om, at det kræver et stærkt lederskab at imødegå manglen på tilstrækkelig styring af betalingssikkerhed. Denne rapport fra Verizon Business stemmer godt overens med Omdias opfattelse af, at tilpasning af sikkerhedsstrategien med en virksomheds organisationsstrategi er afgørende for evnen til at opretholde compliance -  i dette tilfælde med PCI DSS 3.2.1, der sikrer et tilfredsstillende niveau af betalingssikkerhed. Rapporten gør det klart, at langsigtet datasikkerhed og compliance er et ansvar, der involverer flere roller i en virksomhed, herunder Chief Information Security Officer, Chief Risk Officer og Chief Compliance Officer, og det synspunkt deler Omdia,” kommenterer Maxine Holt, senior forskningsdirektør hos Omdia.

Manglende overholdelse påvirker alle

Små og mellemstore virksomheder har ifølge rapporten særlige udfordringer med sikre betalingsdata. Mindre virksomheder generelt håndterer og lagrer færre kortdata end større virksomheder, men de også færre ressourcer og mindre budgetter allokeret til sikkerhed, hvilket påvirker deres evne til at opretholde compliance af PCI DSS-standarden. De nødvendige foranstaltninger, der skal sikre følsomme betalingskort-data, betragtes ofte som for tidskrævende og for dyre. Men da sandsynligheden for brud for datasikkerheden hos små og mellemstore virksomheder fortsat er stor, er det bydende nødvendigt, at PCI DSS-compliance opretholdes.

Udfordringerne for de sikkerheds-ansvarlige

Rapporten undersøger også de udfordringer, som CISO'erne, dvs. sikkerhedscheferne, står over for, når det gælder design, implementering og vedligeholdelse af en effektiv og bæredygtig sikkerhedsstrategi – og hvordan det i sidste ende kan medvirke til dårligere compliance håndtering af datasikkerheden. Det er ikke tale om tekniske udfordringer, men mere om organisatoriske svagheder, der kan imødekommes gennem styrket ledelse – herunder mere formaliserede processer samt en egentlig forretningsstrategi for sikkerhed med klare modeller for driften.

Om rapporten

Verizon har udgivet Payment Security Report (PSR) siden 2010, og rapporten er den første til at undersøgelse konkrete værdi af PCI DSS (Payment Card Industry Data Security Standard). Rapporten er baseret på globale data indsamlet af PCI DSS qualified security assessors (QSAs) fra Verizon samt fra fem eksterne bidragydere.

- lb