Lecciones aprendidas de la violación de datos de Heartland Payment Systems en 2008

El 20 de enero de este año, Heartland Payment Systems informó que sufrió una violación de datos en 2008 (identificada no por ellos, sino por los programas de monitoreo de Visa y MasterCard). Esto fue muy significativo porque Heartland procesa más de 100 millones de transacciones con tarjetas al mes para unos 250,000 clientes.

También es importante para todos nosotros porque, según su CEO, Heartland había recibido una calificación aprobatoria en su cumplimiento de la Industria de Tarjetas de Pago (PCI) y se basaba en esa auditoría externa.

Los miembros de la junta directiva, ejecutivos, profesionales de seguridad informática, oficiales de riesgos, oficiales de cumplimiento y auditores internos deben entender lo que sucedió y hay valiosas lecciones que aprender.

Primero, revisemos lo sucedido. Este es un extracto de Computerworld.

"Una violación de datos revelada hoy, el 20 de enero, por Heartland Payment Systems Inc. bien podría desplazar la violación de enero de 2007 de TJX Companies Inc. en los libros de récords como la más grande jamás registrada que involucra datos de pago con potencialmente más de 100 millones de tarjetas comprometidas.

"Heartland, un proveedor con sede en Princeton, Nueva Jersey, de servicios de procesamiento de tarjetas de crédito y débito, dijo que intrusos desconocidos habían ingresado a sus sistemas en algún momento del año pasado y habían instalado software malicioso para robar datos de tarjetas transportados en las redes de la compañía.

"Visa y MasterCard alertaron a Heartland sobre actividad sospechosa, lo que llevó a la compañía a realizar una investigación por ‘varios investigadores forenses', durante la cual se descubrió la intrusión, dijo Robert Baldwin Jr., presidente y director financiero de Heartland, en un comunicado. La compañía dijo que la intrusión podría haber sido el resultado de una "operación global de ciberfraude generalizada".

"Heartland afirmó que no se comprometieron datos de comerciantes, números de Seguro Social de los titulares de tarjetas ni números de identificación personal (PIN) no encriptados, direcciones o números de teléfono.

"Pero dado que Heartland procesa más de 100 millones de transacciones con tarjetas al mes, es muy posible que el número de tarjetas de crédito y débito comprometidas sea al menos ese, si no más, dijo Avivah Litan, analista de Gartner Inc. "Parece ser el más grande hasta ahora", dijo Litan.

"'Se deben tomar medidas de seguridad más radicales' por toda la industria de pagos para abordar el problema, agregó. Tales incidentes muestran que los requisitos de seguridad del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago impulsado por las principales compañías de tarjetas claramente no son suficientes, agregó Litan."

En agosto, el CEO de Heartland respondió a preguntas sobre la violación de seguridad de datos. A continuación se presentan extractos de CSO Online.

El CEO de Heartland Payment Systems Inc., Robert Carr, habla sobre la violación de seguridad de datos de su compañía, cómo los auditores de cumplimiento no identificaron los vectores de ataque clave y cuáles son las grandes lecciones para otras compañías.

Para el CEO de Heartland Payment Systems Inc., Robert Carr, el año no comenzó bien, por decir lo menos.

En enero, el proveedor con sede en Princeton, Nueva Jersey, de servicios de procesamiento de crédito y débito, pagos y gestión de cheques se vio obligado a reconocer que había sido el objetivo de una violación de datos, en retrospectiva, posiblemente la más grande hasta la fecha con 100 millones de tarjetas de crédito y débito expuestas al fraude.

En la siguiente sesión de preguntas y respuestas, Carr habla sobre la violación de seguridad de datos de su compañía. Explica cómo, en su opinión, los auditores de cumplimiento PCI fallaron a la compañía, cómo informar a los clientes sobre la violación antes de que los medios tuvieran la oportunidad fue la mejor respuesta, y cómo otras compañías pueden evitar el dolor que ha experimentado Heartland.

¿Qué has aprendido en los últimos meses sobre cómo exactamente los ladrones lograron ingresar? ¿Qué han señalado los investigadores en términos de los grandes agujeros de seguridad que fueron explotados?
Carr: "Las auditorías realizadas por nuestros QSAs (Evaluadores de Seguridad Calificados) no tenían ningún valor en absoluto. En la medida en que nos decían que estábamos seguros previamente, que cumplíamos con PCI, fue un problema importante. Los QSAs en nuestra empresa ni siquiera sabían que este era un vector de ataque común utilizado contra otras compañías. Aprendimos que otras 300 compañías habían sido atacadas por el mismo malware. Pensé, ‘No puedes estar hablando en serio. Que la gente conociera el vector de ataque exacto y no informara a los principales jugadores de la industria es impensable para mí'. Todavía no puedo conciliar eso."

¿Cómo respondieron los QSAs cuando expresaste esta opinión?
Carr: "En el entorno posterior a Enron, los auditores tienen contratos con clientes que esencialmente los eximen de negligencia grave. Los informes falsos que recibimos durante 6 años, no tenemos recurso. No hay motivos para litigar. Fue sorprendente descubrir eso. En defensa de los QSAs