Slutet av red hat 6 livscykel, hur påverkar det PCI DSS efterlevnad?

I november 2020 nådde operativsystemet Red Hat 6 slutet på sin livscykel efter en tio år aktiv underhållsfas. Red Hat 6 är nu i en ettårs fas, förlängd livscykel, som kommer att slutföras i november 2021; den fasen är redan halvvägs avklarad.

Under den förlängda livscykeln kommer det inte att utföras mer arbete på Red Hat 6 versionen. Det kommer inte att finnas fler buggfixar, säkerhetsfixar, programvaruförbättringar eller mindre utgåvor. Det tekniska stödet kommer också att vara begränsat under denna fas och är begränsat till befintliga installationer. Om en paketuppdatering krävs för att lösa ett problem är endast paket som släpps under underhållsfasen tillgängliga. Observera att den förlängda livscykeln är en betald prenumeration och endast tillgänglig för dem med en aktiv prenumeration.

Om er plattform omfattas av PCI DSS och ni ännu inte har migrerat till Red Hat Enterprise Linux (RHEL) 7 eller 8, kan det leda till efterlevnadsproblem. Särskilt I krav 6.2 som anger: ”Säkerställ att alla systemkomponenter och programvara är skyddade från kända sårbarheter genom att installera tillämpliga säkerhetsuppdateringar från leverantören. Installera kritiska säkerhetsuppdateringar inom en månad efter utgivningen.” Att installera kritiska säkerhetsuppdateringar inom 30 dagar är nu inte längre möjligt då de nya säkerhetsuppdateringar inte kommer att släppas.

Krav 5 i PCI DSS kräver att antivirusprogram installeras på system som ”ofta påverkas av skadlig kod”. Min erfarenhet av QSA´er (Qualified Security Assessors) är att dom anser att RHEL-system generellt inte kategoriseras som system som “ofta påverkas av skadlig kod” till skillnad från Windows-operativsystem. Men trots detta kan ett mycket gammalt RHEL 6-operativsystem som har nått slutet av sin livscykel mycket väl kategoriseras som “ofta påverkas av skadlig kod”. Detta kräver att ni installerar antivirusprogram från tredje part då det inte finns något inbyggt virusskydd i RHEL 6.

Krav 3 och 4 i PCI DSS kräver att ni krypterar lagring och överföring av kortdata med branschaccepterad kryptering. Eftersom krypteringsalgoritmer och protokoll ständigt utvecklas, kan ett äldre system som RHEL 6 leda till att en branschaccepterad kryptering blir ett problem i framtiden. Särskilt då PCI DSS går mot kryptering av all intern nätverkstrafik.

Sammanfattningsvis rekommenderar jag starkt att ni migrerar till den senaste stora versioner av RHEL 6 så snart som möjligt. Framförallt om ni verkar inom betalkortsindustrin och måste följa PCI DSS, då det finns stora efterlevnadsproblem att ta i beaktning. Kraven som nämns ovan är bara toppen av isberget.

Andra Blogginlägg

Person working on laptop and looking at online secure file sharing and inspection
Blogg

Säker lagring: Del 4

Tydlig spårbarhet genom loggning av alla åtkomstförsök och datatransaktioner är en avgörandekomponent för att förhindra säkerhetsincidenter.

Läs mer »
Person working on laptop and looking at online secure file sharing
Blogg

Säker lagring: Del 3

Att kunna dela information säkert är en kritisk funktion för många organisationer, särskilt de somarbetar i projekt med externa partners

Läs mer »