80 procent van bedrijven kwetsbaar voor cyberaanvallen

Het 2015 PCI compliance Report van Verizon wijst erop dat het nodig is voortdurend de focus op compliance te houden; gebrekkige compliance vergroot de kans op gegevensdiefstal

Bijna 80 procent van alle bedrijven slaagt niet voor de tussentijdse evaluatie van hun PCI-compliance en zijn daarmee kwetsbaar voor cyberaanvallen. Dit blijkt uit het 2015 PCI Compliance Report van Verizon dat vandaag gepubliceerd is (12 maart). In een tijd waarin meer dan twee derde van alle betalingen met een betaalpas wordt gedaan, en creditcardtransacties naar verwachting een totale waarde van meer dan 20 biljoen dollar zullen vertegenwoordigen in 2015, wordt voor organisaties die deze betalingsgegevens verwerken de beveiliging belangrijker dan ooit.

In de vierde editie van zijn jaarlijkse rapport evalueert Verizon de huidige stand van zaken op het gebied van Payment Card Industry Data Security Standard (PCI DSS)-compliance en hoe dit verband houdt met gegevenslekken bij internationale organisaties in de financiële dienstverlening, detailhandel, reisbranche en horeca.

Verizon’s cyber security onderzoek heeft sinds 2009 meerdere keren aangegeven dat organisaties die slachtoffer waren van een gegevenslek minder dan een gemiddelde compliance hadden met verschillende PCI DSS controles. 

 

Door het verminderen van de kans op het lekken van gegevens kunnen bedrijven hun merken beter beheren, het vertrouwen van de klanten veilig stellen en uiteindelijk hoge kosten vermijden. Sterker nog, 69 procent van alle klanten is minder snel geneigd om zaken te doen met organisaties die slachtoffer zijn geworden van een datalek.

“Het cyber security landschap van dit moment is voortdurend aan het veranderen,” zegt Rodolphe Simonetti, managing director, professional services van Verizon Enterprise Solutions. “Het huidige landschap van cyberbedreigingen verandert constant”, aldus Simonetti. “Periodieke compliance is niet voldoende om betalingsgegevens effectief te beschermen. Het is van cruciaal belang om duurzame compliance te waarborgen. Dit moet onderdeel vormen van de dagelijkse activiteiten en de bredere beveiligingsstrategie.”

De onderzoeksresultaten van dit jaar geven aan dat slechts 29 procent van alle bedrijven minder dan een jaar na hun succesvolle PCI DSS-audit nog steeds volledig aan de eisen voldoet. Hoewel de compliance en het voortdurende toezicht daarop het afgelopen jaar op een laag niveau bleven, heeft het nieuwe rapport ook positief nieuws te melden. In 2014 werden bijna twee keer zoveel bedrijven in overeenstemming met de PCI-standaard bevonden als in 2013.

Simonetti: “De drie belangrijkste gebieden waar organisaties hun compliance-status verliezen zijn het regelmatig testen van de beveiligingssystemen, het onderhouden van beveiligde systemen en het beveiligen van opgeslagen data. Uit alle gegevenslekken die Verizon onderzocht, blijkt duidelijk dat geen enkel bedrijf op het moment van een incident volledig aan de PCI-eisen voldeed.”

Verdere belangrijke onderzoeksresultaten van het rapport zijn onder meer:

 – Tussen 2013 en 2014 steeg op 11 van de 12 eisen de overeenstemming, 60 procent van de onderzochte bedrijven voldeed aan tenminste een van de eisen.

– De gemiddelde stijging bedroeg 18 procentpunten.

– De grootste verbetering vond plaats op het gebied van authenticatie (eis 8).

– Het enige gebied waarin sprake was van een daling, was het testen van beveiligingssystemen (eis 11). De gemiddelde compliance daalde hier van 40 naar 33 procent.

 

“Een ander zorgwekkende trend die in het 2015 PCI-rapport wordt gesignaleerd, is dat de databeveiliging nog altijd veel te wensen overlaat”, legt Simonetti uit. Het aantal gegevenslekken in de afgelopen 12 maanden en de omvang daarvan maken duidelijk dat de huidige technieken ontoereikend zijn om aanvallers een halt toe te roepen. In veel gevallen kunnen ze aanvallen niet eens vertragen. Organisaties zouden PCI DSS-compliance moeten beschouwen als een uitgebreide strategie voor informatiebeveiliging en risicobeheer. Een PCI DSS-evaluatie kan belangrijke beveiligingslacunes blootleggen die verholpen moeten worden, maar biedt geen garanties dat betalingsgegevens veilig is tijdens een aanval.