Nell’attuale quadro di crescente evoluzione e pericolosità delle minacce informatiche a livello globale, oggi le organizzazioni che forniscono servizi di elaborazione, trasmissione o archiviazione di dati relativi a transazioni con carte di pagamento – come possono essere i fornitori di servizi o gli istituti finanziari – sono tenute a soddisfare i requisiti di conformità allo standard PCI DSS (Payment Card Industry Data Security Standard). Ottemperare a questi criteri di compliance, definiti dal PCI Security Standards Council, è obbligatorio, per instaurare nei sistemi informativi dell’ente interessato livelli di protezione adeguati a garantire la sicurezza delle transazioni sul circuito di pagamento, mettendolo al riparo da attività fraudolente sulle carte di credito.
La complessità dei sistemi informativi, e la dinamicità dei servizi all’interno delle diverse organizzazioni, rende però non banale per gli IT manager adempiere ai requisiti PCI DSS, sia da un punto di vista tecnico, sia organizzativo.
Conformità PCI, percorso complesso verso la certificazione
Come principale gestore dei servizi di issuing e acquiring, attraverso la propria controllata CartaSi, il Gruppo ICBPI deve evitare intoppi o ritardi nelle modalità e nelle tempistiche di adeguamento alle linee guida PCI. «La certificazione PCI DSS tocca dodici punti cardine della sicurezza – spiega Luca Bertoglio, Head of ICT Security del Gruppo ICBPI – e il percorso per mantenerla è complesso. Per noi comporta mesi di lavoro e il coinvolgimento di un certo numero di persone su questa attività, che per arrivare in tempo parte con largo anticipo rispetto alla data di scadenza».
In particolare vi sono due aspetti. Il primo è dimostrare di avere configurato e “segregato” opportunamente gli ambienti che gestiscono i dati delle carte, attraverso l’illustrazione della topologia della rete e dei sistemi. I revisori esterni addetti a verificare la conformità PCI DSS dell’organizzazione chiedono all’IT manager di fornire gli schemi aggiornati della topologia, di come sono configurati i sistemi, le connessioni e le regole dei firewall. E da questo punto di vista, mostrare documentazione aggiornata e mappe recenti della rete, in un contesto in cui sistemi e servizi IT vengono modificati frequentemente, per il responsabile IT risulta un’operazione onerosa.
L’altro aspetto critico, e ancora più importante, riguarda i test di vulnerabilità. Gli auditor addetti a questo compito eseguono con i propri strumenti i ’vulnerability assessment’ sulla rete, presentando poi i risultati e indicando alla direzione IT tutti i punti da sistemare sui sistemi analizzati su cui sono stati rilevati falle e punti deboli in termini di sicurezza e protezione. «Agli auditor non interessa entrare nel merito del reale grado di rischio a cui è esposto un sistema, quindi quanto sia raggiungibile da un potenziale hacker. Per loro l’importante, ai fini della certificazione PCI DSS, è che la falla venga risolta».
Dal rilevamento del problema, il tempo che si ha a disposizione per chiudere la falla è spesso molto contenuto, ma non ci sono alternative. «Come operatore di servizi di pagamento, dobbiamo superare questa certificazione, che va rinnovata annualmente – continua Bertoglio -. Il mancato superamento della certificazione annuale può causare problemi e sanzioni sia al Gruppo, sia ai clienti che si troverebbero nella condizione di utilizzare i servizi di un operatore non certificato. «Ma a prescindere dall’entità delle sanzioni – sottolinea – è chiaro che non certificarsi per noi significherebbe andare incontro a un problema reputazionale molto forte». La lista degli operatori certificati è infatti pubblica e accessibile da tutti gli addetti ai lavori e le aziende di settore.
Per il Gruppo ICBPI, l’obbligo di ottemperare alla conformità PCI DSS si scontrava tuttavia, sul versante dell’analisi delle regole del firewall, con un processo ancora ’manuale’ e inefficiente, dato l’elevato numero di regole da controllare. Anche il metodo di rilevamento delle vulnerabilità risultava inefficiente, per il fatto di utilizzare uno scanner standard che, individuando i buchi di sicurezza nella loro totalità, non rispondeva all’esigenza di evidenziare solo quelli più critici e da indirizzare immediatamente.
Più automazione nel processo: la soluzione Skybox
Per gestire in maniera razionale tale processo di adeguamento, chiarisce Bertoglio, senza spreco di tempo e risorse, era necessario adottare un approccio diverso, basato sulla valutazione dei reali rischi di sicurezza. In particolare, occorreva presentare con rapidità agli auditor una documentazione esauriente, trasparente e aggiornata sullo stato delle connessioni e configurazioni di rete, nonché un’analisi filtrata delle vulnerabilità più critiche e urgenti riscontrate nei sistemi IT appartenenti al perimetro ’cardholder data’, quella componente della rete che elabora, memorizza o trasmette i dati degli utenti e di autenticazione delle carte di pagamento.
Con l’obiettivo di realizzare queste funzionalità, circa tre anni fa il Gruppo ICBPI ha avviato, in collaborazione con la società di consulenza e system integration DIGI International, un progetto basato sull’implementazione della soluzione di security risk management (SRM) Skybox, sviluppata dall’azienda californiana Skybox Security.
Nel progetto, che si è concluso nell’arco di sei mesi, DIGI ha curato in particolare la fase di analisi dei processi chiave del Gruppo ICBPI per la gestione della rete, procedendo poi all’installazione e configurazione della soluzione.
Skybox ha consentito al Gruppo ICBPI di automatizzare i processi di assessment, analisi e mitigazione dei rischi di IT security, facendo risparmiare molto tempo e risorse.
Ad esempio, a livello di rilevamento delle vulnerabilità, il modulo Vulnerability Control di Skybox prioritizza in automatico le falle più critiche in base al contesto di rete, indicando le opportune azioni correttive per neutralizzare le minacce emergenti. «Tra le migliaia di vulnerabilità segnalate dagli auditor – sottolinea Bertoglio – ora Skybox ci consente di dimostrare, attraverso un metodo che il revisore riconosce come valido, quali sono quelle che costituiscono una reale fonte di rischio, e questo per noi significa un saving di tempo, costi, risorse». In aggiunta, altri moduli della suite integrata Skybox rendono possibile una gestione centralizzata delle policy di sicurezza, mostrando a colpo d’occhio i punti di esposizione e assicurando che i firewall e i dispositivi di rete siano effettivamente configurati per rispettare i requisiti di protezione e compliance.
Constatati i benefici, l’idea nei prossimi due anni è estendere il controllo realizzato con Skybox sul perimetro ’cardholder data’ a tutti gli altri servizi della rete e del data center.