Jalur magnetik, EMV atau AI tingkah laku – apabila melibatkan kecurian kad, adakah bank menyalak pokok yang salah? Bilakah kita akan melihat ke bawah pada beberapa lantai basah sebenar? Pemusatan, KYC dan privasi. Pada beberapa pegangan kasut baharu? Rantaian sekat
Sebuah Bank Rusia yang terkenal – baru-baru ini membulat mata melihat pelanggaran data besar pelanggannya hasil daripada beberapa kad kredit yang terdedah.
Ini mungkin terdengar biasa dengan senario beberapa tahun lalu apabila kecurian besar-besaran berlaku di tapak kaki POS (Point of Sale) runcit di AS. EMV (Europay, Mastercard, Visa) sepatutnya menjadi penyelesaiannya. Tetapi penjenayah berjaya memperbodohkan pagar itu juga. Mereka mula menyusun cip kad pintar terpotong dengan mikropemproses kecil dan tidak lama kemudian mengeluarkan kad pembayaran palsu untuk leretan POS. Lihat sahaja laporan Gemini Advisory yang dibongkar - 93 peratus daripada kad yang dicuri mempunyai teknologi cip baharu.
Sudah tentu, harapan untuk EMV berkekalan apabila kita mendengar data daripada Visa (Jun 2019) memberitahu – lebih 3.7 juta lokasi pedagang menerima kad EMV dan peralihan kepada EMV ini telah membenarkan (yang dilakukan dengan naik taraf cip) kegembiraan sebanyak 87 setiap sen kejatuhan dalam kerugian dolar penipuan berkaitan kad palsu (antara September 2015 hingga Mac 2019).
Tetapi bagaimana pula dengan penjenayah yang mudah memohon dan (Fuh!) menerima kad kredit McCoy sebenar, sah, hampir Real dengan cip EMV aktif daripada bank? Apa yang mereka perlukan hanyalah identiti sintetik (masukkan nombor keselamatan sosial sebenar dengan umur dan alamat palsu).
McAfee menganggarkan bahawa jenayah siber menjejaskan ekonomi global sekitar $600 bilion, atau 0.8 pc keluaran dalam negara kasar global.
Sameer Patil, Fellow, Program Pengajian Keselamatan Antarabangsa dan Sagnik Chakraborty, Penyelidik, Program Kajian Keselamatan Siber, Gateway House baru-baru ini menunjukkan bagaimana ekonomi India telah berubah daripada sebahagian besar berasaskan tunai kepada satu yang lebih bergantung pada sistem pembayaran digital. Dan bagaimana peralihan ini telah membawa rangkuman kewangan dan mengurangkan rasuah, tetapi juga telah memperbesar skop serangan siber dalam infrastruktur pembayaran oleh sindiket dan penggodam jenayah terancang, kerajaan asing dan proksi mereka.
Sesungguhnya, kos setiap dolar kerugian penipuan runcit telah beralih daripada $2.94 kepada $3.13 antara 2018 dan 2019 (kata laporan lain – Penyelesaian Risiko LexisNexis mengkaji). Sebanyak 86 peratus kerugian penipuan yang datang dalam poket peruncit e-dagang pertengahan hingga besar dengan barangan digital berlaku disebabkan oleh akaun ID yang mesra (pihak pertama) dan sintetik.
Kehilangan data dan gangguan manusia – titik yang tidak begitu sukar untuk disambungkan. Untuk segmen kad kredit – kehilangan data boleh berlaku dalam pelbagai cara. Anda boleh melihat beberapa bank mendapatkan sumber kad kredit Perniagaan melalui tenaga kerja kontrak DSA (Ejen Jualan Langsung) atau FoS (Feet on Street) mereka di tempat biasa – seperti pusat beli-belah, kedai runcit atau di mana-mana kampus pejabat dsb., oleh itu, ia agak terdedah kepada kehilangan data, kerana PII (Maklumat Pengenalan Peribadi) dan kadangkala butiran Kad Kredit sedia ada (bank lain) dikongsi kepada ejen atau wakil penjual kad kredit bank untuk mendapatkan kredit baharu daripada bank baharu ini, jelas Dharmaraj Ramakrishnan, Sr. Pengarah- Perbankan & Pembayaran, FIS.
Ternyata pelaku dalam kes penipuan bank Rusia baru-baru ini mempunyai akses kepada pangkalan data sebagai sebahagian daripada tugasnya.
Semua kunci pada satu fob, sekitar satu jari
Perkhidmatan Keselamatan Sberbank telah menyelesaikan siasatan dalamannya dan Herman Gref, Ketua Pegawai Eksekutif, Pengerusi Lembaga Eksekutif Sberbank telah memohon maaf dalam satu kenyataan yang mengatakan – “Kami telah belajar banyak daripada apa yang berlaku dan kami memikirkan semula sistem kami untuk mengurangkan kesan manusia. kebolehpercayaan. Saya ingin mengucapkan terima kasih kepada semua pelanggan kami atas kepercayaan besar yang mereka berikan kepada kami.”
Ya, pelanggan meletakkan banyak kepercayaan kepada institusi dan teknologi ini. Persoalannya - sejauh manakah mereka tidak dapat ditembusi - akhirnya? Bagaimana jika idea tentang kepercayaan dan data boleh berubah, dan mengubah cara kita melihat pelanggaran data?
Mari kita mulakan dengan kebersihan KYC (atau Kenali Pelanggan Anda) - itu juga merupakan bahagian penting kepercayaan di pihak bank. Adakah sifat terpusat data KYC ini merupakan titik terdedah yang besar, entah bagaimana?
Sebarang storan data terpusat terdedah kerana ia memberikan satu titik sasaran untuk pelakon berniat jahat, pakar daripada Gateway House.
Altaf Halde, Ketua Perniagaan Global, PurpleTeam juga bersetuju. “Ya, pada ketika ini, kita semua berada dalam situasi yang memaksa kita untuk menduplikasi proses utama dan menyimpan dokumen peribadi/identiti digital kita merentas pelbagai perkhidmatan dan merentasi pelbagai perkhidmatan. Ini mengakibatkan pengalaman pelanggan yang sangat buruk. Tetapi, yang lebih penting, ia meningkatkan risiko serangan dan pelanggaran data berlipat kali ganda.”
Tetapi Ramakrishnan dari FIS lebih suka berbeza. “Rangka kerja perniagaan yang dibenamkan dengan rangka kerja perlindungan data adalah penting untuk melindungi sistem. Dari perspektif saya, pengesahan data berpusat adalah cara yang betul untuk dilakukan kerana ia merupakan satu-satunya sumber kebenaran, dengan syarat pangkalan data terpusat dikemas kini. Semasa kami memajukan teknologi, kami harus menggunakan teknologi yang betul untuk kes penggunaan yang betul dengan seni bina yang betul untuk mengambil dan mengesahkan titik data."
Beliau bagaimanapun berpendapat penggunaan pendekatan baharu untuk KYC. "Pengawal selia boleh meminta bank untuk tidak mengumpul butiran PII atau kad kredit daripada bakal pelanggan, seterusnya mengumpul teknologi penggunaan untuk mengesahkan titik data dalam masa nyata dengan menyepadukan dengan pilihan lain."
Helah Pembunuhan Kusyen Pin
Bank atau institusi kewangan atau pemain industri pembayaran, terdapat lebih daripada kerosakan kewangan yang berlaku apabila kad dilanggar. Terdapat kehilangan data dan pencerobohan privasi - ada sebab mengapa pasaran gelap data identiti mengalami kehancuran sedemikian.
“Pelanggaran data mungkin melibatkan PII, rahsia perniagaan, maklumat kewangan atau malah harta intelek. Dalam segmen kewangan, pendedahan pelanggaran data biasa termasuk maklumat peribadi pelanggan serta maklumat demografi mereka. Pelanggaran jenis ini boleh membawa kepada penipuan kewangan, kerugian perniagaan atau kehilangan pelanggan.” Ramakrishnan menguraikannya.
Jadi jika bukan EMV maka apa seterusnya? Berita menyatakan bahawa Visa sedang mengusahakan platform untuk membantu juruteranya memilih kelajuan dalam menguji algoritma Kecerdasan Buatan (AI) lanjutan yang boleh mengesan dan mencegah penipuan kad kredit.
Bank boleh membelanjakan sebanyak $12.4 bilion pada 2023 untuk AI – untuk inisiatif seperti analisis penipuan – mengikut anggaran IDC
Tetapi bagaimana jika data yang dipecahkan oleh algoritma AI masih berada pada pelayan atau infrastruktur pemain kewangan? Sekali lagi, urusan satu pukulan untuk sesiapa yang ingin mencurinya. Janganlah kita juga buta terhadap kebangkitan pesat AI musuh. Penyerang semakin canggih untuk menipu sistem pembelajaran mendalam apabila masa berlalu.
Halde mengingatkan bagaimana kita semua menyaksikan fakta bahawa sejak kebelakangan ini, risiko ini semakin meningkat sedetik. Jika pelanggaran berlaku, keseluruhan data atau data separa akan terjejas yang berada dalam repositori pusat. Oleh itu, ia sentiasa dinasihatkan untuk menggunakan teknologi yang akan datang termasuk blockchain untuk menghadapi ancaman teknologi yang akan datang ini. Blockchain boleh diperkenalkan secara berperingkat untuk mendesentralisasikan proses KYC, pakar Gateway House mencadangkan perkara yang sama.
Ramakrishnan juga mengesyorkan proses berasaskan teknologi yang boleh mengelakkan pengumpulan data manual dan melindungi titik data menggunakan penyulitan data di peringkat pangkalan data.
Seperti yang digariskan oleh laporan McAfee, dunia kewangan perlu beralih kepada seni bina data terbuka, penyeragaman data ancaman, cara kerjasama yang lebih pantas dan mendalam di kalangan pihak berkuasa dan pemain keselamatan yang tersebar di seluruh dunia. Cara untuk banyak penyelesaian ini - malah pelaporan, secara menarik, boleh terletak di satu tempat - rantaian blok.
Adalah penting untuk memahami bahawa industri pembayaran tidak mahu data dicuri, oleh itu dalam kebanyakan kes serangan siber, bank dan penyedia penyelesaian pembayaran adalah telus, seperti yang dikatakan oleh pakar Gateway House. “Bagaimanapun, keperluan untuk pelanggaran data dan insiden keselamatan siber dilaporkan dengan segera.”
Satu dasar kertas penyelidikan oleh Gateway House dengan kerjasama Swift Institute juga mempunyai cadangan yang menarik dalam nada yang sama: Pemproses pembayaran harus membolehkan pengguna mengawal data melalui papan pemuka persetujuan di mana mereka boleh menyemak, mengubah suai atau memadam data peribadi dan pembayaran mereka di tapak web, seperti e -tapak perdagangan.
Selain itu, ia menyatakan bahawa industri pembayaran mesti mencipta platform seluruh industri untuk berkongsi maklumat terperingkat, tidak terperingkat dan sumber terbuka mengenai serangan siber dan vektor ancaman.
Seperti pembunuh upahan yang bijak yang membunuh lebih daripada satu sasaran di tempat yang sama untuk menyukarkan untuk mengesan siapa yang membunuh seseorang dan mengapa – strategi keselamatan yang bijak juga boleh menggunakan kesan terdesentralisasi ini untuk kelebihannya. Sebarkan sasaran dan lemahkan daya. Jadikan sistem kurang amanah dan suntikan kepercayaan sebenar. Berikan kuasa kawalan kembali kepada mereka yang paling menderita apabila berlaku kecurian tiket besar.
Kedatangan blockchain menjadikan semua ini bukan sahaja munasabah tetapi boleh dikatakan mudah sekarang. Ia bukan satu-satunya jawapan, tetapi ia boleh menjadi jawapan yang baik untuk dimulakan.
Satu-satunya perkara yang menjadikannya sukar ialah keinginan untuk melepaskan kawalan data. Ia bukan rombakan teknologi tetapi pemikiran yang berakar umbi.
Tidak begitu mudah untuk dileret. Lagipun ia bukan kad kredit.