Chuẩn bảo mật PCI DSS


 

Tuy mới xuất hiện ở thị trường Việt Nam nhưng tiêu chuẩn bảo mật PCI DSS đã thu hút sự quan tâm của các ngân hàng cùng các website có hoạt động thanh toán trực tuyến.

12 yêu cầu

Tiêu chuẩn PCI DSS được hình thành bởi Hội đồng Tiêu chuẩn Bảo mật (Security Standards Council) dành cho thẻ thanh toán, bao gồm các thành viên ban đầu như: Visa, MasterCard, American Express (AMEX), Discover Financial Services, JCB International. Đây là các tổ chức cung cấp thẻ thanh toán quốc tế phổ biến trên thế giới.

Các doanh nghiệp (DN) muốn áp dụng tiêu chuẩn bảo mật PCI DSS phải sẵn sàng đáp ứng 12 yêu cầu dành cho hệ thống. Đó là các yêu cầu về chính sách an ninh thông tin, quy trình xử lý dữ liệu, cấu trúc mạng máy tính… nhằm đáp ứng các chuẩn mực về an ninh (Security).

Yêu cầu trên nhằm đảm bảo an toàn cho dữ liệu thẻ trong suốt quá trình xử lý và lưu trữ tại các ngân hàng hoặc các đơn vị có chức năng thanh toán trực tuyến. Đây là tiêu chuẩn về bảo mật thông tin thẻ thanh toán và được áp dụng trên toàn cầu với sự hỗ trợ từ Hội đồng Tiêu chuẩn Bảo mật các loại thẻ thanh toán PCI (Payment Card Industry).

Theo kết quả khảo sát của Viện Nghiên cứu Ponemon (Mỹ), trong 2009 – 2010 các tổ chức/doanh nghiệp áp dụng chuẩn bảo mật PCI DSS đã giảm thiểu số lần bị đánh cắp dữ liệu so với trước kia. Khoảng 64% DN có áp dụng chuẩn này cho biết họ đã không bị tấn công về dữ liệu thẻ thanh toán trong vòng 2 năm vừa qua. Trong khi đó, chỉ có 38% DN không áp dụng chuẩn PCI DSS cho biết họ không bị tấn công.

Lợi ích của PCI DSS?

Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp cho các DN hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ. Tiêu chuẩn này được áp dụng cho tất cả các tổ chức có lưu trữ, xử lý hoặc truyền tải dữ liệu lưu trữ trên thẻ và các tổ chức này bắt buộc phải bảo vệ dữ liệu lưu trên thẻ khi họ thực hiện giao dịch.

Ông Walter Lee, Tổng Giám đốc Công ty e-Cop Group (Singapore), nhà cung cấp giải pháp bảo mật thông tin nói: việc tuân thủ PCI DSS là một quá trình liên tục và các DN phải thường xuyên áp dụng các chính sách – quy định về an toàn thông tin đã đặt ra theo tiêu chuẩn. Các DN muốn áp dụng tiêu chuẩn cũng không cần sử dụng phần mềm của đơn vị thứ 3 vì e-Cop có phát triển các phần mềm dành cho hệ thống bảo mật theo tiêu chuẩn PCI DSS.

Với tiêu chuẩn PCI DSS, DN tăng cường mức độ an toàn khi giao dịch trực tuyến thông qua các thẻ thanh toán quốc tế thông dụng

Hiện nay tại Việt Nam, e-Cop Group có 2 đối tác cung cấp việc tư vấn – thiết kế hệ thống theo tiêu chuẩn PCI DSS là Công ty Misoft và Sao Bắc Đẩu. Bên cạnh đó, còn có đội ngũ chuyên gia tư vấn về PCI DSS của Công ty Vectra Information Security (Singapore).

Tổ chức thẻ thanh toán quốc tế Visa đã đưa ra kỳ hạn áp dụng tiêu chuẩn PCI DSS đối với các thành viên của hệ thống thanh toán thẻ VisaNet cùng các đối tác kết nối trực tiếp với VisaNet là 30/9/2010. Hiện nay, hầu hết các đơn vị có hoạt động thanh toán trực tuyến tại Việt Nam đều chưa áp dụng tiêu chuẩn PCI DSS và vượt quá kỳ hạn này.

Theo ông Nguyễn Việt Phương, Phó Giám đốc Trung tâm Tư vấn ngân hàng FIS Bank (thuộc Tập đoàn FPT): Các đơn vị chưa kịp áp dụng tiêu chuẩn PCI DSS có thể bị xử phạt đến 500.000 USD (trên 10 tỉ đồng) tuỳ theo tính chất vụ việc; hoặc xử phạt 90 – 300 USD (1,8 triệu – 6 triệu đồng) cho mỗi dữ liệu thẻ thanh toán bị đánh cắp. Các thành viên chấp nhận hệ thống thẻ thanh toán VisaNet Processors phải chứng minh các dữ liệu thẻ nhạy cảm được bảo vệ an toàn trước thời hạn 30/9/2010. Và đến 30/9/2011 phải gửi báo cáo mức độ đáp ứng với tiêu chuẩn PCI DSS.

12 yêu cầu về bảo mật thông tin của PCI DSS:

1. Xây dựng và duy trì hệ thống tường lửa nhằm bảo vệ dữ liệu thẻ thanh toán

2. Không dùng các tham số hoặc mật khẩu được thiết lập sẵn từ các nhà cung cấp hệ thống (thiết bị mạng, đường truyền Internet…)

3. Bảo vệ dữ liệu thẻ thanh toán khi lưu trữ trên hệ thống

4. Mã hóa thông tin thẻ trên đường truyền trong quá trình giao dịch

5. Sử dụng và cập nhật thường xuyên phần mềm phòng chống virus

6. Xây dựng – duy trì hệ thống và các ứng dụng đảm bảo an ninh mạng

7. Hạn chế việc tiếp cận với dữ liệu thẻ thanh toán

8. Cấp phát và theo dõi các tài khoản truy nhập hệ thống

9. Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ

10. Kiểm tra và lưu trữ tất cả các truy nhập vào hệ thống và dữ liệu thẻ

11. Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống

12. Xây dựng chính sách bảo vệ thông tin tại doanh nghiệp.

Trong một số trường hợp nghiêm trọng, nếu các ngân hàng thành viên của các tổ chức cung ứng thẻ thanh toán quốc tế không đáp ứng được tiêu chuẩn PCI DSS, có thể không được thực hiện các giao dịch thanh toán trên mạng. Các ngân hàng thành viên có trách nhiệm đảm bảo các đối tác kết nối thanh toán trực tuyến phải đáp ứng được tiêu chuẩn PCI DSS.

Áp dụng ra sao?

Chi hội An toàn Thông tin (VNISA) phía Nam trong tháng 5/2011 đã tổ chức hội thảo giới thiệu về Tiêu chuẩn Bảo mật PCI DSS. Ông Euegene Chai, Giám đốc Phát triển Kinh doanh của Vectra Information Security, đơn vị tư vấn về PCI DSS cho biết: PCI DSS đề cập đến các nhóm vấn đề như: Xây dựng và duy trì hệ thống bảo mật; Bảo vệ dữ liệu thẻ thanh toán; Theo dõi và đánh giá hệ thống… Các tổ chức/doanh nghiệp có thể mất khoảng 2-4 năm cho việc đánh giá hệ thống, xử lý các vấn đề bảo mật, triển khai tiêu chuẩn PCI DSS…

Các DN muốn áp dụng tiêu chuẩn PCI DSS cần tiến hành đánh giá môi trường làm việc và xác định việc tuân thủ các quy định về bảo mật. Kế đến, phải dựa trên kết quả đánh giá của các chuyên gia kiểm định hệ thống thông tin (Auditor) để vá các lỗ hổng bảo mật (nếu có). Sau đó, DN bắt đầu triển khai các chính sách an toàn thông tin, xây dựng tường lửa bảo vệ dữ liệu thẻ, thiết lập hệ thống phòng chống xâm nhập trái phép…

Từ cuối năm 2008, các ngân hàng thành viên của hệ thống Smartlink tại Việt Nam đã kết nối với hệ thống thanh toán thẻ quốc tế VisaNet. Điều này giúp cho cả 2 hệ thống thanh toán có thể tận dụng số lượng trạm rút tiền tự động bằng thẻ ATM và thẻ tín dụng hiện có. Đây cũng là một điều kiện cần để hướng đến việc các ngân hàng Việt Nam bắt đầu áp dụng tiêu chuẩn PCI DSS.

Theo ông Phương, FIS Bank: Các ngân hàng tại Việt Nam cần quyết định sớm trong việc triển khai tiêu chuẩn bảo mật PCI DSS. Họ có thể xác định chiến lược triển khai và sắp xếp thứ tự ưu tiên cho từng giai đoạn thiết lập hệ thống bảo mật. Để triển khai PCI DSS thành công, cần có sự cam kết và hỗ trợ mạnh mẽ từ các cấp lãnh đạo các ngân hàng.

 

Minh Chí-PcworldVN

 

Các nhóm Hacker đình đám trong thời gian qua


Anonymous, Lulz Security, Zeus, Night Dragon, Green Army Corp, Inj3ct0r Team… là những nhóm tin tặc đình đám trong thời gian qua. Chúng có nhiều mục tiêu, phương pháp và gây ra nhiều hậu quả khác nhau.

 Các nhóm tin tặc tấn công hoặc ăn cắp dữ liệu thông qua các hệ thống mạng đang là mối đe dọa nguy hiểm cho bất kỳ doanh nghiệp hay tổ chức nào. Tuy vậy, các mục tiêu tấn công, phương pháp tiến hành, và hậu quả do các nhóm này gây ra rất khác nhau.

Theo số liệu ước tính, hiện có khoảng 6.000 nhóm trực tuyến với “quân số” dao động thường xuyên lên đến 50.000 thành viên trên toàn thế giới.
Khi nổi giận, chúng sẵn sàng tấn công vào hệ thống của các doanh nghiệp và các tổ chức chính phủ nhằm ăn cắp dữ liệu mật và phơi bày thông tin về mục tiêu của chúng, hoặc đơn giản chỉ là để phá hoại với các cuộc tấn công từ chối dịch vụ (DoS). Đây là những tin tặc có cùng tôn chỉ, những “hacktivists” (từ để chỉ những tin tặc tấn công các hệ thống với mục đích chính trị) công khai như nhóm Anonymous hay nhóm “yểu mệnh” Lulz Security (tuyên bố chỉ có 6 thành viên và chỉ hợp lực với nhóm Anonymous).

Những năm qua, Anonymous thường mở các chiến dịch tấn công website của các cơ quan thuộc chính phủ các quốc gia có chế độ kiểm duyệt Internet chặt chẽ. Nhóm này cũng được cho là thường đăng tải các video khiêu dâm trá hình video dành cho trẻ em trên YouTube. Người ta cho là nhóm này đã tham gia vào các cuộc biểu tình của người dân Iran phản đối kết quả cuộc bầu cử tổng thống Iran vào tháng 6/2009.

Anonymous liên quan đến vụ đánh sập trang web của Thủ tướng Úc vào năm 2009 vì chính phủ nước này có kế hoạch bắt buộc các nhà cung cấp dịch vụ Internet (ISP) kiểm duyệt nội dung khiêu dâm trên Internet. Nhóm này bắt đầu thực hiện mục đích chống luật bảo vệ bản quyền tác giả bằng cách tung ra các cuộc tấn công DoS nhằm vào các nhóm chống vi phạm bản quyền và các hãng luật. Anonymous cũng đã từng ra mặt hỗ trợ WikiLeaks, sau sự việc trang này cho xuất bản thông tin nhạy cảm, bao gồm các bức điện mật của Bộ Ngoại giao Mỹ bị rò rỉ từ quân nhân Bradley Manning thuộc quân đội Mỹ, người hiện đang ngồi trong tù chờ một phiên tòa quân sự.

Anonymous, có lẽ liên quan đến cả vụ tấn công Sony, đã phát động các cuộc tấn công DDoS làm ngưng trệ dịch vụ của Amazon, PayPal, MasterCard, Visa và những trang khác khi các nhóm thanh toán thẻ này từ chối xử lý các khoản tiền đóng góp ủng hộ WikiLeaks. Anonymous đã làm nổ bùng các cuộc xung đột, chẳng hạn như những cuộc nổi dậy trong năm nay ở Trung Đông, tấn công vào các website của chính phủ các nước Tunisia, Ai Cập và Libya. Nhóm này gần đây đã tuyên bố cho thế giới biết đang hành động chủ yếu nhắm vào chính phủ và các tập đoàn lớn.

Tuy nhiên, hacktivists kiểu như Anonymous chỉ là một dạng của tin tặc có tổ chức. Những nhóm khác lại đang nhắm tới lợi ích tài chính, được tổ chức bài bản để ăn cắp thẻ thanh toán với số lượng lớn và dữ liệu tài chính cá nhân, cũng như thông tin về các tài khoản ngân hàng. Và có những nhóm hướng tới đánh cắp tài sản trí tuệ hoặc thông tin có giá trị cho lợi ích quốc gia, hay tiền bạc, hoặc cả hai.

Dưới đây là vài nét về các nhóm tin tặc đáng chú ý và những hoạt động của chúng trong thời gian qua – bao gồm cả những nhóm có hoạt động “lặng lẽ”, hiếm khi gửi thông điệp “Tweet” để khoe khoang chiến tích.

Băng đảng Zeus

Malware (phần mềm độc hại) mang tên Zeus – chúa tể của các vị thần trên đỉnh Olympus, được thiết kế để đánh cắp thông tin tài chính trên máy tính của nạn nhân, và thực hiện các lệnh chuyển tiền phi pháp đối với các tài khoản ngân hàng của công ty/tổ chức, kết quả là chúng vét sạch tiền trong các tài khoản mà chúng chiếm được.

Cục điều tra liên bang Mỹ (FBI) và các đối tác bảo vệ pháp luật quốc tế ở Vương quốc Anh, Hà Lan, và Ukraine đã phá vỡ một trong sáu nhóm tin tặc Zeus có qui mô vào mùa Thu năm ngoái trong một đợt truy quét, bắt được khoảng 100 nghi phạm cùng 70 triệu USD trộm cắp đang để trong các tài khoản tại ngân hàng Mỹ. Tuy nhiên, nạn “JabberZeus” (một biến thể của Zeus sử dụng tin nhắn tức thời Jabber để thông báo cho các thành viên băng đảng khi có thông tin ngân hàng trực tuyến của một nạn nhân bị đánh cắp) vẫn còn nguy hiểm tiềm tàng ở mức đáng báo động. Theo Don Jackson, một chuyên gia nghiên cứu bảo mật cấp cao tại SecureWorks Dell, đã làm việc với các doanh nghiệp và FBI, vẫn còn năm nhóm tin tặc Zeus khác trên thế giới đang hoạt động rất mạnh. Các nhóm tin tặc Zeus này liên quan đến “một tỷ USD bị mất”, Jackson nói.

Dogma Millions

Nhóm gồm phần lớn thành viên là người Nga này dụ nạn nhân trả tiền để tải về các phần mềm, mà thực chất là malware do chúng phát triển. Nhóm này được biết là đã phát triển các gói phần mềm chuyên biệt và các bộ bảo vệ để đảm bảo malware của chúng, chẳng hạn như các rootkit, không bị các sản phẩm chống virus phát hiện.

Bí hiểm haker Trung Quốc

Với số lượng ngày càng gia tăng các cuộc tấn công trên không gian mạng có nguồn gốc từ Trung Quốc đại lục, có rất nhiều mối quan tâm tìm hiểu về các nhóm tin tặc (theo dự đoán số nhóm lên tới hàng chục) ở quốc gia đông dân nhất hành tinh này. Hồi đầu năm, hãng bảo mật McAfee đã phát hành một báo cáo có tên “Night Dragon”, tuyên bố các nhóm tin tặc từ Trung Quốc luân phiên nhau tìm cách đột nhập vào các công ty dầu mỏ để ăn cắp dữ liệu.

Trong những năm qua, nhiều nhóm tin tặc đã nổi danh ở Trung Quốc như Janker, do Wang Xianbing thành lập, và Green Army Corps, do Gong Wei thành lập, theo nhà nghiên cứu Scott Henderson, người điều hành website Dark Visitor. Phía Mỹ đã bày tỏ sự nghi ngờ tin tặc Trung Quốc nhiều lần làm việc cho chính phủ Trung Quốc ăn cắp bí mật từ các doanh nghiệp và chính phủ Mỹ. Tuy vậy, cũng có những lần các nhà chức trách Trung Quốc tiến hành chiến dịch dập tắt hoạt động của các nhóm tin tặc. Ví dụ, các báo cáo cho biết vào năm ngoái, cảnh sát tỉnh Hồ Bắc đã bám theo nhóm tin tặc “Black Hawk Safety Net” và website của nhóm chuyên cung cấp phần mềm độc hại trojan.

Hoặc như vụ việc đã được tiến hành với nhóm Network Crack Program Hacker Group. Nhóm này đã sử dụng một rootkit gọi là GinWui trong các cuộc tấn công vào hệ thống mạng của Bộ Quốc phòng Mỹ, cùng các cơ quan khác của Mỹ và Nhật Bản khoảng năm năm trước đây. GinWui được cho là phát triển bởi Tan Dailin, thủ lĩnh của nhóm, người đã dùng biệt danh “Wicked Rose” – “Hoa hồng độc” và sau này là ” Withered Rose” – “Hoa hồng héo”.

Network Crack Program Hacker Group được cho là đã truyền một lượng lớn các tài liệu từ Mỹ về Trung Quốc. Nhưng khi Dailin phát động các cuộc tấn công DoS nhắm vào các nhóm tin tặc Trung Quốc khác, bao gồm Hackbase, 3800hk và HackerXfiles, các nhóm này đã tố giác với chính quyền Trung Quốc, khiến Dailin bị bắt vào năm 2009 và hiện đang phải đối mặt với hơn bảy năm tù giam.

“Sao” haker mới: Inj3ct0r Team

Một số nhóm tin tặc, đặc biệt là các hacktivists, có xu hướng công khai các “chiến tích” của chúng bằng cách thông báo trực tuyến hoặc bán phá giá nội dung đã đánh cắp được để thể hiện sức mạnh. Tuần vừa rồi, nhóm Inj3ct0r tuyên bố đã đột nhập một máy chủ thuộc Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO).

Khi IDG liên hệ, nhóm này cho biết đã có được bản sao của các tập tin chứa dữ liệu mật từ máy chủ của NATO.

Theo IDG, trong các tập tin nhóm này công bố có một tài liệu ghi chép đề ngày 3/7, cho biết lâu nay nhóm đã theo dõi các máy chủ của NATO, và tới đây sẽ phơi bày trên WikiLeaks “những tội ác cùng những ý tưởng ngu ngốc” của NATO. Một nguồn tin khi được hỏi về Inj3ct0r cho biết, nhóm này khởi đầu từ một cá nhân muốn tìm kiếm những lỗ hổng trong các website và công bố chúng, và việc này đã lôi kéo nhiều người khác tập hợp thành nhóm.

Các nhóm tin tặc đã có lịch sử từ lâu. Có thể kể đến những nhóm “tiền bối” như “Legion of Doom” hay “Masters of Deception”, và trong những năm 1980 họ chủ yếu là tấn công và làm thiệt hại khá nhiều cho các mạng điện thoại, nhà nghiên cứu Jackson của Dell SecureWorks cho biết. Theo vị này thì các nhóm hiện nay có xu hướng tự động tập hợp, tăng giảm thành viên theo “nhu cầu”, và các nhóm lớn luôn luôn có người “cầm trịch”.

 PHT – PcworldVN