• Thứ Tư, 03/09/2014 15:34 (GMT+7)

    Bảo mật thanh toán sẽ sớm được thắt chặt

    Huy Thắng
    Người dùng có thể sẽ an tâm hơn khi ngành công nghiệp bán lẻ bắt đầu nâng cấp hệ thống thanh toán lên chuẩn bảo mật PCI-DSS phiên bản 3.0 an toàn hơn.

    Trong khi tiến hành thử nghiệm xâm nhập vào một nhà bán lẻ lớn của Canada, nhà tư vấn Rob VandenBrink của công ty dịch vụ CNTT Metafore đã mua một thứ gì đó từ cửa hàng này và sau đó ông tìm thấy số thẻ tín dụng của mình bị chôn vùi trong các hệ thống của nó. Nhà bán lẻ này có hàng trăm cửa hàng trên khắp Canada, nhưng lại không trang bị hệ thống bảo mật phù hợp với các nguyên tắc bảo mật được gọi là các tiêu chuẩn bảo mật dữ liệu của ngành công nghiệp thanh toán thẻ PCI-DSS (Payment Card Industry's Data Security Standards), VandenBrink nói.

    Tuy nhiên, một lỗi cấu hình đơn giản cho phép ông có thể truy cập từ xa. Từ đó, ông đã tìm thấy cửa hàng này dễ bị xâm nhập tương tự các trang bán hàng trực tuyến khác như Target, Neiman Marcus, Michaels, UPS Store… Dữ liệu thẻ tín dụng được lưu trữ trong bộ nhớ và dễ bị khai thác bởi các phần mềm độc hại (malware). Vấn đề đang ngày càng tồi tệ hơn. Bộ An ninh Nội địa của Mỹ tháng trước cảnh báo rằng khoảng 1.000 doanh nghiệp có thể bị nhiễm malware trên máy tính tiền điện tử POS (point-of-sale) của họ.

    Chuẩn bảo mật thanh toán mới sẽ giúp bảo vệ thông tin thẻ người dùng chặt chẽ hơn.
    Vậy tại sao những tên trộm dữ liệu có thể chiến thắng? Các nhà phân tích an ninh nói rằng malware trên POS không phải là mới và cũng không đặc biệt tinh vi. Các chương trình như Backoff, BlackPOS và JackPOS có thể săn lùng thông tin thẻ thanh toán trong một mớ bòng bong dữ liệu của bộ nhớ máy tính, một quá trình được gọi là "RAM scraping".

    Những cửa hàng bán lẻ xử lý dữ liệu thẻ tín dụng thường được yêu cầu phải tuân thủ các tiêu chuẩn PCI-DSS hoặc phải chịu trách nhiệm nếu rò rỉ dữ liệu chủ thẻ. Tuy nhiên, đặc tả kỹ thuật bảo mật mới nhất PCI-DSS phiên bản 3.0 không ủy quyền cho các trang web bán hàng sử dụng công nghệ mã hóa dữ liệu thẻ từ thời điểm thẻ của một người được cà, mà lại dùng công nghệ mã hóa point-to-point.

    Sử dụng công nghệ này sẽ giúp loại bỏ các vấn đề malware trong bộ nhớ, các chuyên gia bảo mật cho biết. Hội đồng Tiêu chuẩn Bảo mật PCI, là cơ quan phát triển PCI-DSS, đã đề nghị rằng các hãng bán lẻ nên chuyển sang sử dụng loại công nghệ mã hóa này. Tuy nhiên, các nhà bán lẻ thường có chu kỳ làm mới công nghệ dài hơn, có thể là từ 5-7 năm trước khi chuyển sang công nghệ mới nhất. "Nói chung, chúng ta sẽ phải đối mặt với tình trạng này trong nhiều năm nữa", một nhà phân tích từ hãng tư vấn Gartner nói.

    Các nhà bán lẻ cũng đang thiếu các dấu hiệu chính trong nhật ký mạng của họ để nhận biết rằng họ đang bị tấn công. Hầu hết các hoạt động xâm nhập đều được phát hiện bởi bên thứ ba, chẳng hạn như khi bọn tội phạm xuất trình thẻ giả, theo Bryan Sartin, Giám đốc quản lý rủi ro của Verizon. Nhiều nhà bán lẻ đang sử dụng "công nghệ của năm 1990 để chống lại các cuộc tấn công hiện đại thời đại", Sartin nói.

    Các nhà bán lẻ có thể bị phạt bởi các công ty thẻ về các khoản thanh toán bị vi phạm và phải trả chi phí cho việc điều tra (có thể lên đến 100.000 USD), Nick Economidis, nhà tư vấn pháp luật của hãng Beazley Group cho biết.

    Trong những năm gần đây, các hãng bán lẻ cũng thường xuyên kiện lại các nhà cung cấp và tích hợp hệ thống POS. Những vụ kiện nói chung cho rằng các nhà cung cấp phải chịu trách nhiệm cho hành vi vi phạm do các lỗi về thiết lập và bảo trì.

    PCI đang yêu cầu các hãng bán lẻ tuân theo yêu cầu đặc tả kỹ thuật bảo mật mới nhất PCI-DSS phiên bản 3.0", Pam Galligan, Giám đốc Tiêu chuẩn của hệ thống thanh toán Mercury Payment Systems nói. "Tuy nhiên, một số họ có vẻ đều không muốn dành nhiều thời gian và công sức để bảo vệ cho thông tin thẻ khách hàng của họ". Trong khi đó, hầu hết các doanh nghiệp đều nỗ lực để đẩy nhanh quá trình nâng cấp lên chuẩn PCI-DSS 3.0, sẽ bắt đầu có hiệu lực từ ngày 1/1 năm sau.