2014年4月2日 星期三

史上少見 資安稽核員被提起訴訟

史上少見 資安稽核員被提起訴訟

在2013年12月,美國連鎖零售商店業者Target證實遭到駭客入侵,駭客在POS系統中植入了惡意程式,攔截了短暫存在記憶體中的未加密持卡人資料,導致眾多消費者的交易資料,包括姓名、信用卡號、有效日期及卡片背面的安全碼,估計約有四千萬張信用卡資料已經被竊取外洩。

對此,Target除了面臨來自客戶的訴訟官司之外,根據國外媒體指出,目前已有兩家銀行(Trustmark National Bank, Green Bank N.A.)正式對提供Target安全服務的廠商Trustwave,提出了損害賠償和法律責任告訴,因為Trustwave在2013年9月20日曾經為 Target執行了網路安全掃瞄,並且告知Target並未發現任何安全弱點,但是後來卻發生了此一嚴重的資料外洩事件,這也就顯示Trustwave的資安稽核員,在進行遵循支付卡行業資料安全標準(PCI DSS)的安全評估時,有過失且未盡到其應有的責任來確認Target的系統安全。

PCI DSS是由五家知名的電子支付與信用卡業者所共同組成的PCI安全標準協會提出,讓所有提供信用卡交易服務的商店可以共同遵守,以預防可能發生資料外洩事件的資料安全標準。在PCI DSS的要求中,Trustwave是一家合格認可的安全評估廠商,負責對於需要遵循PCI DSS標準的商店實施安全稽核評估。在這個事件中,Trustwave除了提供Target安全掃瞄服務之外,還提供了其他安全產品,以協助其能夠符合PCI DSS中的12項安全要求。

依據PCI DSS的規定,提供信用卡交易服務的店家必須接受合格的安全評估廠商,實施每年一次的資安稽核,並且在每一季針對其網路環境進行弱點掃瞄,以確認是否遵循了PCI DSS的要求。但是近年來,即使店家通過了安全評估廠商定期的安全掃瞄,確認已符合了PCI DSS的要求,卻還是發生了資訊安全事件,對此,許多店家認為,這些進行安全評估與稽核的人員,也應該要對資安事件負起責任。

以Target事件為例,兩家銀行控訴Trustwave作為PCI安全標準協會所認可的安全評估服務供應商,但是卻未盡到應有的安全稽核責任,在評估過程中並未識別出Target可能具有的安全弱點與風險,因而導致了此一嚴重入侵事件的發生,讓駭客可以非法取得四千萬筆的信用卡資料,以及其他七千萬筆的個人資訊。

對於這樣的指控,有安全專家表示不以為然,因為對資安稽核員來說,所獲得的相關資料大都是由受稽方所提供,如果Target並未提供足夠且明確關於其網路組態和安全措施的資訊,在沒有實際進行廣泛且需耗費成本的詳盡測試之下,Trustwave很難僅憑資安稽核員的一己之力,就可以獲得完整的稽核證據,並以此來作出其專業判斷。同時,如果安全評估廠商每次都要求高額的費用來進行定期且徹底的安全掃瞄,這種作法恐怕也很難被客戶和市場所接受。

不過,也有其他專家認為,這個事件正好突顯出了某些提供安全評估服務的廠商,因為礙於時間和成本的壓力,而採取了不夠嚴謹的檢核表勾選作法,並無法反映出店家實際的安全現況,此次鬧上法庭的官司訴訟,對於提供安全服務和產品的廠商而言,無疑是正式敲響了一記警鐘。

註:2014/4/1兩家銀行已經撤回對於Trustwave所提出的告訴。

轉載自《資安人》