Пратима Харигунани

Публикувана на: 22 г
Споделете го!
Карти и кражба - Плъзнете, нацупете, страдайте, повторете
By Публикувана на: 22 г


Магнитна лента, EMV или поведенчески AI – когато става въпрос за кражба на карти, банките лаят ли погрешното дърво? Кога ще погледнем надолу към някои истински мокри подове? Централизация, KYC и поверителност. При някои нови дръжки за обувки? Блокчейн

Известна руска банка – наскоро гледаше с широко отворени очи голямо нарушение на данните на своите клиенти благодарение на няколко уязвими кредитни карти.

Това може да звучи познато за сценария отпреди няколко години, когато се случиха масови кражби на POS (място на продажба) на дребно в САЩ. EMV (Europay, Mastercard, Visa) трябваше да бъде решението. Но престъпниците успяха да заблудят и тази ограда. Те започнаха да комбинират чипове за смарт карти с миниатюрни микропроцесори и скоро започнаха да произвеждат фалшиви платежни карти за POS плъзгане. Само вижте какво разкри докладът на Gemini Advisory – цели 93 процента от откраднатите карти са с новата технология с чип.

Разбира се, надеждата за EMV остава, когато чуем какво казват данните от Visa (юни 2019 г.) – над 3.7 милиона търговски обекта приеха EMV карта и това преминаване към EMV позволи (на тези, които се извършват с надграждане на чип) радостта от 87 на цент спад на загубите в долари от измами, свързани с фалшиви карти (между септември 2015 г. и март 2019 г.).

Но какво да кажем за онези престъпници, които лесно кандидатстват и (уф!) получават истински, законни, почти истински кредитни карти McCoy с активни EMV чипове от банките? Всичко, от което се нуждаят, са синтетични самоличности (добавете реални социалноосигурителни номера с фалшиви възрасти и адреси).

McAfee изчислява, че киберпрестъпността струва на световната икономика около 600 милиарда долара или 0.8% от глобалния брутен вътрешен продукт.

Самир Патил, сътрудник, Програма за международни изследвания на сигурността и Сагник Чакраборти, изследовател, Програма за изследвания на киберсигурността, Gateway House посочиха наскоро как индийската икономика се е превърнала от базирана до голяма степен на пари в брой, в по-редовно разчитаща на системи за цифрови плащания. И как тази промяна доведе до финансово включване и намаляване на корупцията, но също така разшири обхвата на кибератаките в платежната инфраструктура от организирани престъпни синдикати и хакери, чужди правителства и техните пълномощници.

Всъщност цената на всеки долар загуби от измами на дребно се е преместила от $2.94 на $3.13 между 2018 г. и 2019 г. (казва друг доклад – LexisNexis Risk Solutions проучване). Цели 86 процента от загубите от измами, които са дошли в джобовете на средни до големи търговци на дребно за електронна търговия с цифрови стоки, се дължат на приятелски (първа страна) и синтетични ID акаунти.

Загуба на данни и човешка намеса – не толкова трудни за свързване точки. За сегмента на кредитните карти – загубата на данни може да се случи по много начини. Можете да видите някои банки да се снабдяват с кредитни карти чрез своите DSA (Агенти за директни продажби) или FoS (Feet on Street) договорна работна сила на общи места – като търговски центрове, търговски обекти или във всеки офис кампус и т.н., следователно е доста податливи на загуба на данни, тъй като PII (лична информация) и понякога данните за съществуващата кредитна карта (на други банки) се споделят с агентите или представителите за продажба на кредитни карти на банката, за да получат нов кредит от тази нова банка, обяснява Дхармарадж Рамакришнан, Старши директор - Банкиране и плащания, FIS.

Оказва се, че виновникът за скорошната измама с руска банка е имал достъп до бази данни като част от работата си.

Всички ключове на един ключ, около един пръст

Службата за сигурност на Сбербанк приключи вътрешното си разследване и Херман Греф, главен изпълнителен директор, председател на Изпълнителния съвет на Сбербанк се извини в изявление, в което се казва – „Научихме много от случилото се и преосмислихме нашите системи, за да смекчим ефектите от човешки надеждност. Бих искал да благодаря на всички наши клиенти за голямото доверие, което ни гласуват.”

Да, клиентите имат голямо доверие в тези институции и технологии. Въпросът е – колко непроницаеми са те – в крайна сметка? Какво ще стане, ако самата идея за доверие и данни може да се промени и да разтърси начина, по който гледаме на нарушенията на данните?

Нека започнем с хигиената KYC (или Know Your Customer) – това също е ключова част от доверието от страна на банката. Дали централизираният характер на тези KYC данни е голяма уязвима точка по някакъв начин?

Всяко централизирано съхранение на данни е уязвимо, защото дава една точка на целта за злонамерени участници, твърдят експерти от Gateway House.

Алтаф Халде, глобален бизнес ръководител, PurpleTeam също е съгласен. „Да, в този момент всички сме в ситуация, която ни принуждава да дублираме ключови процеси и да съхраняваме личните си документи/дигитални идентичности в множество услуги и в множество услуги. Това води до много лошо клиентско изживяване. Но по-важното е, че увеличава многократно риска от атаки и пробиви на данни.”

Но Рамакришнан от FIS предпочита да се различава. „Бизнес рамката, вградена в рамката за защита на данните, е важна за защитата на системата. От моя гледна точка централизираната проверка на данните е правилният начин, тъй като е единственият източник на истина, при условие че централизираната база данни е актуална. С напредването на технологиите трябва да използваме правилната технология за правилния случай на употреба с правилната архитектура за извличане и валидиране на точките от данни.“

Той обаче изразява мнение за използването на нови подходи за KYC. „Регулаторът може да изиска от банката да не събира PII или данни за кредитна карта от потенциални клиенти, на свой ред да събира използва технология за валидиране на точките от данни в реално време чрез интегриране с други опции.“

Убийственият трик с игла и възглавница

Банки или финансови институции или играчи в разплащателната индустрия, има повече от финансови щети, които се разкриват, когато картите бъдат нарушени. Има загуба на данни и нарушаване на поверителността – има причина черният пазар на данни за самоличност да е в такъв разрив.

„Нарушението на данните може да включва PII, бизнес тайни, финансова информация или дори интелектуална собственост. Във финансовия сегмент често срещаните разкрития за нарушаване на данните включват лична информация на клиентите, както и тяхната демографска информация. Тези видове нарушения могат да доведат до финансови измами, загуба на бизнес или дори загуба на клиенти. Рамакришнан го изписва.

И така, ако не EMV, тогава какво следва? Новините съобщават, че Visa работи върху платформа, която да помогне на своите инженери да изберат скорост при тестване на усъвършенствани алгоритми с изкуствен интелект (AI), които могат да откриват и предотвратяват измами с кредитни карти.

Банките могат да похарчат до 12.4 милиарда долара през 2023 г. за AI – за инициативи като анализ на измами – според оценки на IDC

Но какво ще стане, ако данните, които AI алгоритмите обработват, все още се намират на сървърите или инфраструктурата на финансов играч? Отново еднократна афера за всеки, който иска да я открадне. Нека също така не оставаме слепи за бурния възход на конкурентния ИИ. Нападателите стават още по-сложни, за да измамят системите за дълбоко обучение с течение на времето.

Халде напомня как всички сме свидетели на факта, че в последно време тези рискове нарастват с всяка секунда. Ако се случи пробив, всички данни или част от данните, които са в централното хранилище, се компрометират. Следователно винаги се препоръчва да се използват предстоящи технологии, включително блокчейн, за да се изправят срещу тези предстоящи технологични заплахи. Блокчейн може да бъде въведен поетапно, за да децентрализира процеса KYC, експертите на Gateway House предлагат същото.

Рамакришнан също така препоръчва технологично базиран процес, който може да избегне ръчното събиране на данни и да защити точките с данни чрез криптиране на данни на ниво база данни.

Както се подчертава в доклада на McAfee, финансовият свят трябва да премине към отворени архитектури на данни, стандартизация на данните за заплахи, средства за по-бързо и по-задълбочено сътрудничество между органите по сигурността и играчите по целия свят. Средствата за много от тези решения – дори отчитането, което е интересно, могат да лежат на едно място – блокчейн.

Важно е да се разбере, че платежната индустрия не иска данните да бъдат откраднати, следователно в повечето случаи на кибератаки банките и доставчиците на платежни решения са прозрачни, както твърдят и експертите на Gateway House. „Необходимо е обаче нарушенията на данните и инцидентите с киберсигурността да бъдат докладвани незабавно.“

Политика изследвания хартия от Gateway House в сътрудничество с института Swift също имаше интересна препоръка в същия дух: Процесорите на плащания трябва да позволят на потребителите да контролират данните чрез табло за съгласие, чрез което те могат да преглеждат, променят или изтриват своите лични данни и данни за плащания на уебсайтове, като e - търговски сайтове.

Освен това се отбелязва, че платежната индустрия трябва да създаде платформа за цялата индустрия за споделяне на класифицирана, некласифицирана и информация с отворен код за кибератаки и вектори на заплахи.

Подобно на умен убиец, който убива повече от една цел на едно и също място, за да затрудни проследяването кой е убил някого и защо – една умна стратегия за сигурност може също да използва този децентрализиран ефект в своя полза. Разпръснете целите и отслабете силата. Направете системата без доверие и вкарайте истинско доверие. Върнете силата на контрол на тези, които страдат най-много, когато се случват големи кражби.

Появата на блокчейн прави всичко това не само правдоподобно, но и практически лесно сега. Това не е единственият отговор, но може да бъде добър за начало.

Единственото нещо, което го прави трудно, е волята да се освободите от контрола на данните. Това не е основен ремонт на технологията, а на твърдо вкоренен начин на мислене.

Не е толкова лесно да се изтрие. Все пак не е кредитна карта.