Trustwave, предъявленный иск в нарушении Target: поставщики систем обеспечения безопасности должны быть взволнованы?

АНАЛИЗ НОВОСТЕЙ: эксперта DSS PCI для Target называют в судебном процессе. Где ответственность находится?

Со всеми утечками данных IT существует общий цикл. Сначала существует страх по тому, кто находится в опасности, затем теории о том, как нарушение произошло, и наконец обвинение и судебные процессы начинают сыпаться. В нарушении ритейлера Target теперь входят судебные процессы, но в удивительном перемещении, один судебный процесс только следует за Target; это также следует за поставщиком систем обеспечения безопасности Trustwave.

Target сначала показал, что был нарушен атакующими 9 декабря 2013, и с тех пор, была большая спекуляция на том, что пошло не так, как надо. Все американские ритейлеры обязаны быть соответствующими Отраслевому Стандарту по защите данных Платежной карты (DSS PCI) для безопасной обработки операций по кредитной карте.

Вопросом состояния соответствия DSS PCI Target была важная часть переговоров, окружающих утечку данных, и теперь компанию, которая провела испытание на соответствие DSS PCI для Target, называют в правовом действии.В коллективном иске, зарегистрированном 24 марта в американском Окружном суде, Северный Округ Иллинойса, Национального банка Trustmark и Зеленого Банка назвал Trustwave вместе с Target в их жалобе.Согласно юридической жалобе, «Target осуществил путем аутсорсинга свои обязательства безопасности данных перед Trustwave, которому не удалось принести системам Target до промышленных стандартов».

Траствав отказался комментировать к eWEEK о заявлении или даже признавать, был ли Target фактически клиентом Траствава.Юридическая жалоба утверждает, что Траствав отсканировал Сеть назначения 20 сентября 2013, и в это время сказанный Target, что не было никаких уязвимостей в системах Target.

«Кроме того, на информации и вере, Trustwave также предоставил круглосуточные контрольные услуги Target, какой контроль был предназначен для обнаружения проникновений в системы Target и компромиссы PII (Соотносимая с личностью информация) или другие уязвимые данные», заявляет жалоба. «Фактически, однако, Утечка данных продолжалась в течение почти трех недель на часах Траствава».Обвинение, что ключевой поставщик систем обеспечения безопасности для Target так или иначе также виновен в утечке данных, очень серьезно. Проблема со многими оценками соответствия DSS PCI долго была то, что оценки являются галочками момента времени для соответствия. Это – урок, который более новый DSS PCI 3,0 стандарта, которые вошли в силу в январе этого года, принимает близко к сердцу с более сильным акцентом на процесс и непрерывные контрольные усилия.

Если организация, как сертифицируют, является соответствующим DSS PCI, это не обязательно означает, что это неуязвимо для нападения также. Это означает, что в моменте времени, организация имела средства обеспечения безопасности на месте, которые сделали его соответствующим. Идея, что эксперт DSS PCI мог нести ответственность в случае нарушения, является опасной.

Эксперт обычно не выполняет ежедневные операции безопасности, несмотря на то, что в этом случае, юридическая жалоба утверждает, что Trustwave фактически обеспечивал «круглосуточный» контроль. Если поставщик управляемых услуг (в этом случае, Trustwave) находится на работе, и нарушение происходит, действительно ли это ответственно в этом случае?

Каждый договор безопасности, который я когда-либо видел, имел свою добрую долю условий и соглашений. Редко, если когда-нибудь, имейте меня замеченный управляемый договор на обслуживание, который может гарантировать, что предприятие будет 100 процентов не быть нарушенным. Как правило, договоры включают соглашения об уровне обслуживания (SLAs) и соглашения времени отклика и не бронированные отчеты о создании неуязвимой организации.

Действительность – то, что абсолютная истина о нарушении Target не была полностью раскрыта публично. Было ли это поставщиком управляемых услуг как Trustwave или собственный штат Target, который находится в первопричине нарушения, все еще еще неизвестно.

Нарушение Target уже требовало прежнего директора по информационным технологиям Target как жертва. Это будет теперь требовать репутации Trustwave также?Никакой поставщик систем обеспечения безопасности или технология не могут сделать организацию неуязвимой. Безопасность является комбинацией людей, процесса и технологии и никогда не должна быть доменом всего одного частного лица, поставщика или продукта.

Время покажет, где фактические отказы должны быть найдены в инфраструктуре Target и кто фактически несет ответственность за те отказы.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.

Следуйте за ним в Твиттере @TechJournalist.


11 комментариев к “Trustwave, предъявленный иск в нарушении Target: поставщики систем обеспечения безопасности должны быть взволнованы?

  1. Ахаха) Шо, аленина, мы опять замерзнем а США развалится?))) Клоун, хавай это хавнецо) Этот закон показал вам, дырявым, кто такие бояре, а кто вы)))

  2. СЫРЦОЗНА?)))) Никя ты амЭрыку открыл? А легально за деньги не в состоянии купить? У тебя же зп 90000р))))) Я лично пользуюсь только лицензиями. Это касается и фильмов, музыки и игр.

  3. Т.е. у меня высеры, а у тебя "питор, сколько лет, и т.д" – это высокоинтеллектуальные посты)) Тупое, пока))) Я с имбиками не желаю общаться. Или к севе и фунфырику – он твоя ровня и твой круг общения

  4. Хех, та не. Вот тут уж как-раз включили классический госдепа. Сами то предлагают верить ютубовским видосикам. Это настоящие обломки томагавков.

Добавить комментарий