Lições aprendidas com a violação de dados da Heartland Payment Systems em 2008

Em 20 de janeiro deste ano, a Heartland Payment Systems informou que sofreu uma violação de dados em 2008 (identificada não por eles, mas pelos programas de monitoramento da Visa e MasterCard). Isso foi muito significativo porque a Heartland processa mais de 100 milhões de transações com cartões por mês para cerca de 250.000 clientes.

Também é importante para todos nós porque, segundo seu CEO, a Heartland havia recebido uma classificação aprovatória em seu cumprimento do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI) e se baseava nessa auditoria externa.

Os membros do conselho de administração, executivos, profissionais de segurança cibernética, oficiais de risco, oficiais de conformidade e auditores internos precisam entender o que aconteceu e há valiosas lições a serem aprendidas.

Primeiro, vamos revisar o que aconteceu. Este é um trecho da Computerworld.

"Uma violação de dados revelada hoje, 20 de janeiro, pela Heartland Payment Systems Inc. bem poderia superar a violação de janeiro de 2007 da TJX Companies Inc. nos livros de registros como a maior já registrada envolvendo dados de pagamento, com potencialmente mais de 100 milhões de cartões comprometidos.

"A Heartland, um provedor sediado em Princeton, Nova Jersey, de serviços de processamento de cartões de crédito e débito, afirmou que invasores desconhecidos haviam acessado seus sistemas em algum momento do ano anterior e instalado software malicioso para roubar dados de cartões transportados nas redes da empresa.

"Visa e MasterCard alertaram a Heartland sobre atividade suspeita, o que levou a empresa a conduzir uma investigação por 'vários investigadores forenses', durante a qual a intrusão foi descoberta, disse Robert Baldwin Jr., presidente e diretor financeiro da Heartland, em comunicado. A empresa afirmou que a intrusão poderia ter sido resultado de uma 'operação global de cibercrime generalizada'.

"A Heartland afirmou que não foram comprometidos dados de comerciantes, números de Seguro Social dos titulares dos cartões nem números de identificação pessoal (PIN) não criptografados, endereços ou números de telefone.

"Mas, dado que a Heartland processa mais de 100 milhões de transações com cartões por mês, é muito provável que o número de cartões de crédito e débito comprometidos seja pelo menos esse, se não mais, disse Avivah Litan, analista da Gartner Inc. 'Parece ser o maior até agora', disse Litan.

"'Medidas de segurança mais radicais' devem ser tomadas por toda a indústria de pagamentos para lidar com o problema, acrescentou. Tais incidentes mostram que os requisitos de segurança do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, impulsionados pelas principais empresas de cartões, claramente não são suficientes, acrescentou Litan."

Em agosto, o CEO da Heartland respondeu a perguntas sobre a violação de segurança de dados. Abaixo estão trechos da CSO Online.

O CEO da Heartland Payment Systems Inc., Robert Carr, fala sobre a violação de segurança de dados de sua empresa, como os auditores de conformidade não identificaram os vetores de ataque principais e quais são as grandes lições para outras empresas.

Para o CEO da Heartland Payment Systems Inc., Robert Carr, o ano não começou bem, para dizer o mínimo.

Em janeiro, o provedor sediado em Princeton, Nova Jersey, de serviços de processamento de crédito e débito, pagamentos e gestão de cheques foi forçado a reconhecer que havia sido alvo de uma violação de dados, retrospectivamente, possivelmente a maior até então, com 100 milhões de cartões de crédito e débito expostos a fraudes.

Na próxima sessão de perguntas e respostas, Carr fala sobre a violação de segurança de dados de sua empresa. Ele explica como, em sua opinião, os auditores de conformidade PCI falharam com a empresa, como informar os clientes sobre a violação antes que a mídia tivesse a oportunidade foi a melhor resposta, e como outras empresas podem evitar a dor que a Heartland experimentou.

O que você aprendeu nos últimos meses sobre como exatamente os ladrões conseguiram entrar? O que os investigadores apontaram em termos dos grandes buracos de segurança que foram explorados?
Carr: "As auditorias realizadas por nossos QSAs (Avaliadores de Segurança Qualificados) não tinham valor algum. No momento em que nos diziam que estávamos seguros anteriormente, que estávamos em conformidade com o PCI, foi um grande problema. Os QSAs em nossa empresa nem sabiam que este era um vetor de ataque comum usado contra outras empresas. Descobrimos que outras 300 empresas haviam sido atacadas pelo mesmo malware. Pensei, 'Você não pode estar falando sério. Que as pessoas conhecessem o vetor de ataque exato e não informassem os principais jogadores da indústria é inacreditável para mim'. Ainda não consigo conciliar isso."

Como os QSAs responderam quando você expressou essa opinião?
Carr: "No ambiente pós-Enron, os auditores têm contratos com clientes que basicamente os isentam de negligência grave. Os relatórios falsos que recebemos durante 6 anos, não temos recurso. Não há motivos para litigar. Foi surpreendente descobrir isso. Em defesa dos QSAs