Joe Christensen去年6月在CardSystems Solutions辦公室裡來回踱步,臨危受命建立一套資訊安全管理程序,以便協助諸多問題的交易處理公司可以合乎PCI(Payment Card Industry)的安全標準。
我們來了解一下事情的來龍去脈:約莫二個月前,CardSystems Solutions不僅被駭客偷走26萬3千多筆的客戶信用卡卡號資料,而且Visa和MasterCard二大公司還要中止對它的交易代理權。隨著時間一分一秒地流逝,現在執行長John Perry終於確認之前在國會證詞中的某些事。在那裡他說過,因為Visa和MasterCard所採取的行動,使得這間公司即將面臨倒閉的危機!
一股壓力、恐懼還有對未來充滿不確定性的氣氛,彌漫在CardSystems Solutions亞特蘭大的辦公室。不知怎麼的,新任的安全處理部副總裁Christensen,並沒有在這個節骨眼上選擇放棄。
CardSystems Solutions如果沒有關門大吉,至少是有機會再次取得代理權的。但是,在資安問題未解決前,再加上也未符合PCI規範的時候,這事可是一點機會也沒有!事實上,為了要讓CardSystems Solutions取得代理權,Visa和MasterCard曾二度延長處理期限,一次是在2005年10月31日,第二次則是在今年的1月31日。
幸運地是,Christensen說,補強的工作正順利在進行當中。CardSystems Solutions雇用了AmbironTrustWave公司幫忙作了一場鑑識分析,並協助提供法規遵循上的諮詢。至此,終於對CardSystems Solutions本身的弱點,以及要處理的優先順序有明確的了解。之後,Christensen的首要任務就是要去了解信用卡資料要保存在何處?要如何存取?才能確保駭客無法複製到這些資料。
回顧2004年9月,駭客在CardSystems Solutions的應用程式平台上,種下了一隻惡意程式,並滲透到客戶用來存取帳戶資料的Web應用程式當中。這隻程式,每隔4天會自動執行一次,它不僅取得用戶的記錄,並且將資料壓縮起來,傳送到某一個FTP站台。它的功能在於只搜尋會遺留資料的伺服器,資料範圍包含姓名、信用卡卡號,信用卡到期日,還有信用卡背面磁條上的CVV檢查碼。Perry在國會上報告說,唯一一次將資料成功匯出的日期是在3月22日當天,外洩的資料都是失敗的交易記錄,為的只是作研究目的;不過,卻是存成一種可讀的格式,這明顯不符合PCI的安全規範。
過了良久,Christensen才說,CardSystems Solutions致力於遞送它的核心交易至商業市場上-安排交易授權的訊息,將其從POS終端機送到帳款處理網路,然後再將款項扣給商家-在整個過程中,並沒有顧及到資料安全的問題。雖然安全是IT科技的一項功用,但倘若欠缺專責的安全人員,壞事情就是特別容易找上你。「維護系統安全的認知,不是在於要到達那一個等級。」,Christensen繼續說,「而是安全倘若無法有其獨特性的話,那就不是一種安全的文化了!」
數月間的徹底改頭換面之後,由於管理高層的支持,Christensen和他的小組,終於將公司的後端系統完全地加密,這也是只有少數交易處理代理商才有辦到的事情。不僅如此,他們也將作業程序置於適當處,在進行處理作業之前,所有流經的程式都得通過「開放性Web應用程式安全專案」(OWASP, Open Web Application Security Project) 的前十大嚴重弱點的測試才行!再加上每個月的弱點掃描,還有集中式弱點修補系統的提升強化,嚴格把關可存取用戶帳戶資料的內部存取控制機制,讓整體更有如磐石般的堅固。另外,筆記型電腦的安全問題也廣為宣傳,並且強化的安全政策也能兼容未來的代理對象的需要。更進一步地,Christensen計畫一個行動:將磁帶備份轉換成遠端加密資料的備份。另外,他也想藉由新的雇用訓練、年更新訓練課程、安排安全認知日,還有處理資料態度的政策-特別是將文件遺留在開放式的桌子上和傳真機裡面的事情,以此來提高員工對安全的重視。經過這些努力,不但使得CardSystems Solutions合乎PCI的規範(免除與Visa和MasterCard中止合作),而且也將部份資產保存下來。另外,此舉還間接引來PayByTouch,同意在2005年10月收購CardSystems Solutions。
「先前所經歷過的事情完全改變公司的整體文化!」,Christensen說,「遵循PCI標準是一個必要的底線,是安全基礎,而非所要挑戰的最高限度!」
對於CardSystems Solutions舊系統來說,這場教訓來的是稍嫌晚了點!?