Verizon Business Payment Security Report (PSR) 2020 belyser globala företags brist på långsiktiga säkerhetsstrategier.
Företag fortsätter att bli sämre på att uppfylla betalsäkerhetskraven, för tredje året i rad.
Globala organisationer fortsätter att äventyra säkerheten för sina kunders betalkortsdata på grund av brister i sina långsiktiga betalningssäkerhetsstrategier och utförande av dessa, visar Verizon Business Payment Security Report (PSR) för 2020 . När många företag kämpar för att behålla kvalificerade CISOer (Chief Information Security Officer) eller säkerhetschefer påverkar bristen på långsiktigt säkerhetstänk allvarligt deras utsikter att leva upp till kraven på PCI DSS (Payment Card Industry Data Security Standard).
Betalningsdata är fortfarande ett av de mest eftertraktade och lukrativa målen för cyberbrottslingar, då 9 av 10 dataintrång är ekonomiskt motiverade, vilket framgår av den senaste Verizon Business 2020 Data Breach Investigations Report. Bara inom detaljhandeln var 99 procent av de säkerhetsincidenter som analyserades av DBIR 2020 inriktade på att komma över betalningsdata för kriminellt bruk.
PSR 2020 fann att i genomsnitt endast 27,9 procent av globala företag helt levde upp till PCI DSS-kraven, som utvecklades för att hjälpa företag som erbjuder kortbetalningslösningar att skydda sina betalningssystem från intrång och stöld av kortinnehavardata. Ännu mer oroande är att detta är tredje året i rad med en nedgång på 27,5 procentenheter i företagens uppfyllelse av säkerhetskraven, sedan toppnoteringen 2016 (vilket framgick i PSR 2017).
”Tyvärr ser vi många företag som saknar resurser och engagemang från seniora företagsledare för att stödja långsiktiga initiativ kring datasäkerhet och för att uppfylla kraven på denna. Detta är oacceptabelt.” säger Sampath Sowmyanarayan, VD, Global Enterprise, Verizon Business. ”Den senaste coronaviruspandemin har drivit konsumenter från traditionell kontantanvändning till kontaktlösa betalningsmetoder med betalkort och mobila enheter. Detta har genererat mer elektroniska betalningsdata och konsumenter litar på att företagen skyddar deras data. Betalningssäkerhet måste ses som en kontinuerlig affärsprioritet av alla företag som hanterar betalningsuppgifter, då de har ett grundläggande ansvar gentemot sina kunder, leverantörer och konsumenter.”
Ytterligare resultat från PSR 2020 belyser säkerhetstester, där endast drygt hälften av organisationerna (51,9 procent) framgångsrikt testar såväl säkerhetssystem och processer som oövervakad systemåtkomst, samt där cirka två tredjedelar av alla företag spårar och övervakar åtkomst till affärskritiska system på ett adekvat sätt. Dessutom upprätthåller endast 7 av 10 finansinstitut (70,6 procent) nödvändiga säkerhetskontroller.
”Denna rapport är en välkommen väckarklocka för organisationer om att starkt ledarskap krävs för att åtgärda misslyckanden i att hantera betalningssäkerheten på ett adekvat sätt. Verizon Business-rapporten stämmer väl överens med Omdias uppfattning att en anpassning av säkerhetsstrategin till organisationsstrategin är avgörande för att organisationer ska kunna leva upp till kraven, som i detta fall för PCI DSS 3.2.1, för att tillhandahålla lämpliga nivåer av betalningssäkerhet. Detta klargör att långsiktig datasäkerhet, och att leva upp till denna, kombinerar ansvarsområdena för ett antal olika roller, inklusive Chief Information Security Officer, Chief Risk Officer och Chief Compliance Officer, som Omdia instämmer med”, kommenterar Maxine Holt, senior research director vid Omdia (tidigare känt som Ovum).
Att inte uppfylla kraven påverkar alla företag, oavsett storlek
Små och medelstora företag flaggades som att ha sina egna unika kamper för att säkra betalningsdata. Medan mindre företag i allmänhet har mindre kortdata att bearbeta och lagra än större företag, har de färre resurser och mindre säkerhetsbudgetar, vilket påverkar de tillgängliga medlen som krävs för att leva upp till PCI DSS-kraven. Ofta upplevs de åtgärder som behövs för att skydda känsliga betalkortsdata som alltför tidskrävande och kostsamma för dessa mindre organisationer, men eftersom sannolikheten att de drabbas av ett dataintrång är fortsatt hög är det absolut nödvändigt för dem att leva upp till PCI DSS-kraven.
Den pågående CISO-utmaningen
Rapporten undersöker också de utmaningar som CISOer står inför kring utformning, implementering och upprätthållande av en effektiv och hållbar säkerhetsstrategi och hur dessa i slutändan kan bidra till uppdelningen av kravuppfyllelse och datasäkerhetshantering. Dessa problem fanns inte vara av teknisk karaktär, utan som ett resultat av organisatoriska svagheter som kunde lösas genom mer mogna ledaregenskaper, inklusive att skapa formaliserade processer; utforma en affärsmodell för säkerhet, samt att definiera en sund säkerhetsstrategi med verksamhetsmodeller och ramverk.
Om Verizon Business 2020 Payment Security Report
Verizon har publicerat en Payment Security Report (PSR) sedan 2010, vilket var den första studien någonsin om det faktiska värdet och prestandan för PCI DSS (Payment Card Industry Data Security Standard). Rapporten baseras på global data som samlats in av PCI DSS-kvalificerade säkerhetsbedömare (QSA) från Verizon och fem externa bidragsgivare.