Bedrijven leven PCI-veiligheidsstandaards niet na

Het bedrijf noemt deze ontwikkeling vooral zorgwekkend omdat het onderzoek ook aantoont dat er een causaal verband is tussen het niet naleven van de standaards en beveiligingsincidenten. Bij geen van de door Verizon onderzochten beveiligingsincidenten voldeed de betrokkene organisatie aan de veiligheidseisen.

Beveiligingsbeleid op basis van veerkracht

Het volledige PCI-rapport verschijnt pas volgende maand. “Het cybersecurity-landschap is aan verandering onderhevig”, zegt Rodolphe Simonetti, directeur van Verizon Enterprise Solutions. “Met als resultaat dat organisaties hun beveiligingsbeleid moeten veranderen. Organisaties moeten een model invoeren dat is gebaseerd op veerkracht. Dat betekent dat ze zullen moeten accepteren dat hun data nooit meer volledig beschermd zullen zijn.”

Simonetti adviseert bedrijven om aanvallen zo goed mogelijk te voorkomen met behulp van geavanceerde middelen, maar tegelijkertijd te accepteren dat inbreuken nou eenmaal plaatsvinden en dat er dan zo snel en adequaat als mogelijk gereageerd moet worden. Dit kan volgens hem door de impact van de inbreuk zo veel mogelijk binnen de perken te houden, de verdediging weer op orde te krijgen en de normale gang van zaken zo snel mogelijk te hervatten.

Verhoogde kans op gegevensdiefstal en reputatieverlies

Het rapport van Verizon analyseerdt PCI Data Security assessment, met bijzondere aandacht voor de retail en de financiële dienstverlening in de VS, Europa en delen van Azië en komt in februari beschikbaar. Vorig jaar bleek ook al dat bedrijven die betalingen per creditcard accepteren, het niet altijd even nauw nemen met de normen van de PCI. Het gaat dan vooral om de richtlijn Data Security Standard (DSS) van de Payment Card Industry (PCI). Bedrijven die die richtlijn links laten liggen stellen hun organisaties bloot aan een verhoogde kans op gegevensdiefstal, financiële schade en reputatieverlies.

Het rapport van vorig jaar kan hier worden bekeken.