Luottokorttien käsittelijät pihalla uudesta turvastandardista
Sovelluspalomuuri vahtii, mm. ettei tietokannasta viedä liikaa tietoa.
Kuva: Timo Poropudas
30.10.2007 (päivitetty 31.10.2007 09:33) Luottokorttitapahtumien käsittelijöillä ei ole tietoa eikä valmiuksia ottaa käyttöön menetelmiä, joita vaaditaan kesällä voimaantulevissa pci-tietoturvastandardin uudistuksissa.
Standardin muutokset edellyttävät, että verkkosovellukset ovat suojattu tunnettuja hyökkäyksiä vastaan.
Ohjelmistotalo Citrixin tekninen myyntiasiantuntija Asger Milling haluaa muotoilla asian niin, ettei loukkaa suuria asiakkaitaan:
- Huomaan, että tämä on heille uutta aluetta.
Myös Suomessa käytettävä maksukorttialan kansainvälinen pci-tietoturvastandardi (Payment Card Industry Data Security Standard) edellyttää, että verkkosovellukset on suojattu tunnettuja hyökkäyksiä vastaan. Tähän on kaksi tapaa, sanoo Milling.
Yksi on se, että sovellusten tietoturvaan erikoistunut organisaatio tarkistaa räätälöidyn koodin haavoittuvuuksien varalta. Toinen tapa on hankkia verkkosovellusten eteen niin sanottu sovelluspalomuuri (application layer firewall), joka suojaa sovelluksia tutuilta ja tuntemattomilta hyökkäyksiltä.
Pci-standardilla säännellään maksukorttien tili- ja tapahtumatietojen vastaanottamista, käsittelyä, tallentamista ja välittämistä. Standardissa ovat mukana muun muassa Visa International, MasterCard Worldwide ja American Express.
Millingin myyntikenttä on koko Eurooppa. Hänen myyntikohteinaan ovat kaikki yritykset, jotka ottavat vastaan netissä maksukorttitapahtumia ja käsittelevät niitä. Käytännössä tämä tarkoittaa kaikkia pankkeja, luottokorttiyhtiöitä ja korttimaksupalvelua tarjoavia yrityksiä.
Suomeen Milling arvaa toimittavansa 50-100 sovelluspalomuuria 10-20 eri asiakkaalle seuraavan 12 kuukauden aikana.
Vain muutamat suuret yritykset ovat järjestäneet netissä tapahtuvan maksukorttitapahtumien vastaanoton itse, useimmat ohjaavat asiakkaat palveluntarjoajan portaaliin, joka puolestaan tarkistaa maksuun liittyvät tiedot Luottokunnalta tai muulta luottokorttien selvitysyritykseltä.
Citrix on ympännyt sovelluspalomuurinsa NetScaler-internetkiihdyttimeensä. Yhtiö arvioi, että 75 prosenttia kaikista internetin käyttäjistä kulkee päivittäin Citrix NetScaler -järjestelmän kautta, sillä sitä käytetään maailman suosituimpien verkkopalveluiden sovellusten toimitusalustana.
Milling sanoo, että Citrix pitää avainetunaan sitä, että sen sovelluspalomuuri ei tarvitse erillistä laitetta ja että sitä voidaan hallita osana NetScaler-järjestelmää. Hän myöntää, että kilpailijat pystyvät toimittamaan erittäin hyviä sovelluspalomuureja ja nettiliikenteen hallintatyökaluja, mutta kenelläkään muulla ei vastaavanlaista integroitua ratkaisua.
Tavalliset palomuurit ja virustorjuntaratkaisut perustuvat pitkästi tunnettujen haittaohjelmien sormenjälkiin. Sovelluspalomuuri ei ole niistä riippuvainen. Sille kerrotaan säännöillä tai esimerkkitoiminnalla mitä kukin sovellus saa tehdä. Sen jälkeen se seuraa sovelluksen jokaista liikettä ja pitää huolen siitä, että sovellus ei tuo järjestelmään kutsumattomia vieraita, ei tee laittomia kyselyjä eikä myöskään lähetä ulos muuta kuin sallitun määrän tietoa.
Milling puhuu keskiviikkona Tieturin järjestämässä kaksipäiväisessä Turvallisuusjohtaminen-tapahtumassa Helsingissä.
Timo Poropudas
timo.poropudas@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10.2. Facebook-kaverin poisto johti kaksoismurhaan
- 10.2. Googlen lompakko hakkeroitiin helposti
- 10.2. Google pystyttää kilpailijaa Dropboxille
- 10.2. Alcatel-Lucent lopettaa työpaikkoja
- 10.2. Pirate Bay uhmaa muistitikulla estoja
- 10.2. Comptel puolittaa osingon
- 10.2. Kodak keskittyy kuvien tulostamiseen
- 10.2. Yle: Piraattiradio häiriköi Turun seudulla
- 10.2. Windows XP:lle harvinaisen vähän korjauksia
- 10.2. Itsemurhatehtaan johtajalta vohkittiin salasana
- 10.2. Googlen ensimmäinen työntekijä lähtee
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Kolme vuotta sitten
Mobiili-tv-verkko pätkii koko viikon
11.02.2009 Digita ilmoittaa tekevänsä verkon päivitystöitä viime perjantaista ensi perjantaihin 13. helmikuuta asti, mikä vaikuttaa mobiilitelevision katseluun.
Taloussanomat
- Kilpailuta asuntolaina, voit säästää 3 300 euroa 06:01
- Helsingissä marssittiin verkon vapauden puolesta 16:29
- Osuusliike myy samppanjaa alle Alkon hintojen 06:06
- Kymmenien italialaispankkien luottoluokitus laski 16:05
- Älä sano näin kehityskeskustelussa 17:08
- Skoda somisti Roomsterinsa partiopoikatyylillä 06:10
- Kreikan hallitus hyväksyi säästöt uudestaan 15:29
- HS: SAK ei enää torju eläkeiän nostoa 10:13
- Professori Ylelle: Valtiollisten lentoyhtiöiden aika on ohi 10:31
- TS: "Luonnonkalojen lääkejäämien riskit selvitettävä" 11:13
- » Taloussanomat.fi
-
177 e
Lenovo ThinkCentre M81 TW (Core I5-2400, 2 GB, 320 GB, Windows 7 Professional), keskusyksikkö
-
65 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
55 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
37 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
Kommentit (13)
PCI standardi on lyhesti näin (http://www.luottokunta.fi/fi/pci/) :
Standardin pääkohdat:
1. Suojaa tiedot asentamalla palomuuriratkaisu ja ylläpitämällä sitä.
2. Älä käytä ohjelmistotoimittajan määrittämiä oletussalasanoja tai muita tietoturva-asetuksia.
3. Suojaa tallennetut kortinhaltijatiedot.
4. Siirrä kortinhaltijoiden tiedot ja muut luottamukselliset tiedot julkisissa tietoverkoissa salattuina.
5. Käytä virustorjuntaohjelmistoa ja päivitä se säännöllisesti.
6. Kehitä turvallisia järjestelmiä ja sovelluksia sekä ylläpidä niitä.
7. Rajoita pääsy tietoihin koskemaan vain niitä, jotka tarvitsevat niitä liiketoiminnallisiin tarkoituksiin.
8. Luo jokaiselle tietojärjestelmän käyttäjälle yksilöllinen käyttäjätunnus.
9. Rajoita fyysinen pääsy kortinhaltijoiden tietoihin.
10. Seuraa ja valvo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä.
11. Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti.
12. Luo työntekijöitä ja alihankkijoita koskeva tietoturvakäytäntö.
Eli ei pelkästään palomuuri auta yrityksiä PCI-standardiin, jos käyttäjiä ei ole koulutettu ja muut rajoitukset/ohjelmistot kohdallaan...
Jopa postimiehet tietävät osaavat kirjautua koneille, sillä he ovat nähneet, miten homma tapahtuu niiden melkein kymmenen vuoden aikana, minkä he ovat täällä ravanneet. Luoja tietää, kuinka moni tuntee käyttäjätunnukset ja salasanat...
Olen ottanut asian esille, mutta johtajan mielestä homman pitää luistaa helposti ja hän on valmis menemään vaikka linnaan ennemmin kuin muuttamaan toimintatapoja.
Tässä ei ole liioittelua pätkääkään. Rauhattomille lohdutukseksi voin sanoa, että ette taatusti ole tämän yrityksen asiakkaita, sillä sen asiakaskunta on muualta kuin Suomesta. Suomalaisia asiakkaita on vain yksi ainoa. En kuitenkaan kerro, kuka.
Olen kuitenkin melkoisen varma, että tämä yritys ei ole laatuaan ainoa, sillä itsekin olen vuoden sisällä joutunut luottokorttitietojen varkauden uhriksi, vaikka olen käyttänyt luottokorttia tuona aikana suunnilleen kymmenen kertaa.
Hän on pitänyt kuusi vuotta samaa verkkopankin salasanaa vain, koska ei ole kehdannut opetella uutta. Totesin vain hänelle, että omapahan on tilisi.
Palomuurilla voidaan estää liikennöiminen epäturvallisiin palveluportteihin. Tämä on turhaa koneissa, joista turvattomat palvelut on poistettu, tai niitä ei koskaan ole asennettu.
Windows piireissä palomuuria pidetään jotenkin maagisena turvatekijänä, koska windossit ovat aina turvattomia verkossa.
Unix koneissa ja Mac koneissa palomuuria ei oletuksena ole päällä, koska ei ole palveluitakaan, mitä tulisi suojata. Miksi niitä pitäisi olla oletuksena, jos niitä ei voi käyttää turvallisesti..
Esim. tuo kuvan kommentti "Ettei tietokannasta viedä liikaa tietoa" on suorastaan absurdi. Softapalomuuri ei ole mikään ajatteleva olento, joka tietää mikä on liikaa ja mikä ei.. Tietoja joko päästetään läpi tai ei päästetä. Ehkä tässä tapauksessa ei päästetä.
Standardin muutokset edellyttävät, että verkkosovellukset ovat suojattu tunnettuja hyökkäyksiä vastaan.
Tietoturva ei ole itseisarvo, se ei tuota yhtään rahaa, se on kulu ja näin ollen siihen ei panosteta yhtään ennen kuin on aivan pakko panostaa.
Salaamattomat VNC yhteydet internetin yli esim kottitietoja säilyttäville palvelimille on kyllä käteviä, mutta itse en ottaisi sitä riskiä. Mutta onneksi on johdon valtuutus sähköpostissa noinkin järjettömiin käytäntöihin.
Käytettäisiin edes VPN yhteyksiä, mutta ei. Siitä on ylimääräistä vaivaa. Käytettäisiin edes tiukkoja IP blokkauksia, mutta ei. Sitten koneille ei pääse reissunpäältä ja koteihin ja pikkukonttoreihin pitäisi hankkia kiinteät IP:t.
Näin nää hommat vaan toimii.
Palomuurilla voidaan estää liikennöiminen epäturvallisiin palveluportteihin. Tämä on turhaa koneissa, joista turvattomat palvelut on poistettu, tai niitä ei koskaan ole asennettu.
Hän on pitänyt kuusi vuotta samaa verkkopankin salasanaa vain, koska ei ole kehdannut opetella uutta. Totesin vain hänelle, että omapahan on tilisi.
En tiedä pystyykö tuo mainostettu palomuuri tällaisiin temppuihin, mutta noista voisi olla ihan oikeasti lisähyötyä.
Ja yritykselle vielä helpompi vaihtoehto on käyttää luottokunnan web-liittymää luottokorttitietojen kyselyynkin, jolloin yritys ei joudu koskaan mihinkään tekemisiin salattavien tietojen kanssa.