Праціма Харыгунані
Магнітная паласа, EMV або паводніцкі штучны інтэлект - калі справа даходзіць да крадзяжу картак, банкі гаўкаюць не на тое дрэва? Калі мы паглядзім на сапраўдную мокрую падлогу? Цэнтралізацыя, KYC і прыватнасць. У нейкіх новых ручках для абутку? Блокчейн
Вядомы расійскі банк нядаўна шырока расплюшчыў вочы на ўцечку вялікіх даных сваіх кліентаў дзякуючы пары ўразлівых крэдытных карт.
Гэта можа здацца знаёмым па сцэнары некалькі гадоў таму, калі масавыя крадзяжы адбыліся ў гандлёвых кропках рознічнага гандлю (Point of Sale) у ЗША. EMV (Europay, Mastercard, Visa) павінен быў стаць выпраўленнем. Але злачынцам удалося падмануць і гэтую агароджу. Яны пачалі аб'ядноўваць абрэзаныя чыпы смарт-карт з мініяцюрнымі мікрапрацэсарамі і неўзабаве пачалі выпускаць падробленыя плацежныя карты для праходжання POS. Проста паглядзіце, што высветлілася ў справаздачы Gemini Advisory - каласальныя 93 працэнты скрадзеных картак мелі новую тэхналогію чыпа.
Безумоўна, надзея на EMV захоўваецца, калі мы чуем, што кажуць дадзеныя Visa (чэрвень 2019 г.) - больш за 3.7 мільёна гандлёвых кропак прымаюць карты EMV, і гэты пераход на EMV дазволіў (тым, якія зрабілі з абнаўленнем чыпа) радасць 87 за падзенне страт у далярах, звязаных з махлярствам з падробленымі карткамі (з верасня 2015 г. па сакавік 2019 г.).
Але як быць з тымі злачынцамі, якія лёгка падаюць заяўкі і (фу!) атрымліваюць у банках сапраўдныя, законныя, амаль сапраўдныя крэдытныя карты McCoy з актыўнымі чыпамі EMV? Усё, што ім трэба, гэта сінтэтычныя ідэнтыфікацыйныя дадзеныя (падкіньце рэальныя нумары сацыяльнага страхавання з падробленымі ўзростам і адрасамі).
McAfee Паводле ацэнак, кіберзлачыннасць каштуе сусветнай эканоміцы каля 600 мільярдаў долараў, або 0.8% сусветнага валавога ўнутранага прадукту.
Самір Паціл, супрацоўнік Праграмы вывучэння міжнароднай бяспекі, і Сагнік Чакрабарці, даследчык Праграмы вывучэння кібербяспекі, Gateway House, нядаўна адзначылі, як індыйская эканоміка перайшла ад у асноўным грашовай эканомікі да больш рэгулярнай залежнасці ад лічбавых плацежных сістэм. І як гэты зрух прывёў да фінансавай інтэграцыі і памяншэння карупцыі, а таксама пашырыў аб'ём кібератак на плацежную інфраструктуру з боку арганізаваных злачынных сіндыкатаў і хакераў, замежных урадаў і іх давераных асоб.
Сапраўды, кошт кожнага даляра страт ад махлярства ў рознічным гандлі вырас з 2.94 да 3.13 даляра ў перыяд з 2018 па 2019 год (гаворыцца ў іншай справаздачы - LexisNexis Risk Solutions вучыцца). Цэлых 86 працэнтаў страт ад махлярства, якія патрапілі ў кішэні сярэдніх і буйных рознічных гандляроў лічбавымі таварамі, адбыліся з-за дружалюбных (першай асобы) і сінтэтычных уліковых запісаў.
Страта даных і маніпуляцыя чалавекам - не такія складаныя кропкі, каб злучыць. Для сегмента крэдытных карт - страта дадзеных можа адбыцца рознымі спосабамі. Вы можаце бачыць, што некаторыя банкі шукаюць крэдытныя карты праз сваіх DSA (агентаў па прамых продажах) або FoS (Feet on Street) кантрактных супрацоўнікаў у звычайных месцах - такіх як гандлёвыя цэнтры, гандлёвыя кропкі або ў любым офісным гарадку і г.д., такім чынам, гэта даволі успрымальныя да страты даных, таму што PII (інфармацыя, якая дазваляе ідэнтыфікаваць асобу) і часам існуючыя дадзеныя крэдытнай карты (іншых банкаў) перадаюцца агентам або прадстаўнікам банка па продажы крэдытных карт, каб атрымаць новы крэдыт ад гэтага новага банка, тлумачыць Дхармарадж Рамакрышнан, Старэйшы дырэктар па банкаўскіх справах і плацяжах, FIS.
Высветлілася, што вінаваты ў нядаўнім махлярстве з расійскім банкам у рамках сваёй працы меў доступ да баз дадзеных.
Усе ключы на адным брелоке, вакол аднаго пальца
Служба бяспекі Ашчадбанка скончыла ўнутранае расследаванне, і Герман Грэф, генеральны дырэктар, старшыня праўлення Ашчадбанка, прынёс прабачэнні ў заяве, у якой гаворыцца: «Мы шмат чаму навучыліся з таго, што здарылася, і пераасэнсавалі нашы сістэмы, каб змякчыць наступствы чалавечага надзейнасць. Я хацеў бы падзякаваць усім нашым кліентам за вялікі давер, які яны нам аказваюць».
Так, кліенты вельмі давяраюць гэтым інстытутам і тэхналогіям. Пытанне ў тым, наколькі яны непранікальныя ў рэшце рэшт? Што, калі сама ідэя даверу і даных можа змяніцца і пахіснуць наш погляд на ўцечку даных?
Давайце пачнем з гігіены KYC (або "Ведай свайго кліента") - гэта таксама ключавая частка даверу з боку банка. Ці з'яўляецца цэнтралізаваны характар гэтых даных KYC вялікім уразлівым месцам?
Любое цэнтралізаванае сховішча дадзеных уразлівае, таму што яно дае адну кропку мэты для зламыснікаў, сцвярджаюць эксперты з Gateway House.
Альтаф Халдэ, кіраўнік глабальнага бізнесу PurpleTeam, таксама згодны. «Так, на дадзены момант мы ўсе знаходзімся ў сітуацыі, якая прымушае нас дубляваць ключавыя працэсы і захоўваць нашы асабістыя дакументы/лічбавыя ідэнтыфікацыйныя дадзеныя ў розных службах і ў розных сэрвісах. Гэта прыводзіць да вельмі дрэннага вопыту кліентаў. Але, што больш важна, гэта ў разы павялічвае рызыку нападаў і ўзлому даных».
Але Рамакрышнан з FIS аддае перавагу іншаму. «Бізнэс-структура, убудаваная ў структуру абароны даных, важная для абароны сістэмы. З майго пункту гледжання, цэнтралізаваная праверка даных - гэта правільны шлях, паколькі гэта адзіная крыніца праўды, пры ўмове, што цэнтралізаваная база дадзеных актуальная. Па меры развіцця тэхналогій мы павінны выкарыстоўваць правільную тэхналогію для правільнага варыянту выкарыстання з правільнай архітэктурай для атрымання і праверкі кропак даных».
Аднак ён выступае за выкарыстанне новых падыходаў для KYC. «Рэгулятар можа запатрабаваць ад банка не збіраць ідэнтыфікацыйную інфармацыю або дадзеныя крэдытнай карты ад патэнцыйных кліентаў, у сваю чаргу, выкарыстоўваць тэхналогію збору для праверкі кропак даных у рэжыме рэальнага часу шляхам інтэграцыі з іншымі опцыямі».
Выкрут забойства на падушачцы
Банкі або фінансавыя ўстановы або гульцы плацежнай індустрыі, кожны раз, калі карты парушаюцца, наносяць больш, чым фінансавы ўрон. Ёсць страта даных і парушэнне канфідэнцыяльнасці - ёсць прычына, чаму чорны рынак ідэнтыфікацыйных даных знаходзіцца ў такім разрыве.
«Уцечка даных можа ўключаць ідэнтыфікацыйную інфармацыю, камерцыйныя сакрэты, фінансавую інфармацыю ці нават інтэлектуальную ўласнасць. У фінансавым сегменце агульныя выкрыцці парушэння даных ўключаюць асабістую інфармацыю кліентаў, а таксама іх дэмаграфічную інфармацыю. Такога роду парушэнні могуць прывесці да фінансавых махлярстваў, страт бізнесу або нават страты кліентаў». Рамакрышнан расказвае гэта.
Такім чынам, калі не EMV, то што далей? У навінах паведамляецца, што Visa працуе над платформай, каб дапамагчы сваім інжынерам паскорыць тэставанне перадавых алгарытмаў штучнага інтэлекту (AI), якія могуць выяўляць і прадухіляць махлярства з крэдытнымі картамі.
Паводле ацэнак IDC, у 12.4 годзе банкі могуць выдаткаваць на штучны інтэлект да 2023 мільярда долараў на такія ініцыятывы, як аналіз махлярства.
Але што, калі дадзеныя, якія апрацоўваюць алгарытмы штучнага інтэлекту, усё яшчэ знаходзяцца на серверах або ў інфраструктуры фінансавага гульца? Зноў жа, аднаразовая справа для тых, хто хоча яе скрасці. Давайце таксама не будзем закрываць вочы на хуткі рост спаборніцкага ІІ. З цягам часу зламыснікі становяцца яшчэ больш дасканалымі, каб падмануць сістэмы глыбокага навучання.
Халдэ нагадвае, што мы ўсе з'яўляемся сведкамі таго, што ў апошні час гэтыя рызыкі растуць з кожнай секундай. У выпадку ўзлому ўсе даныя або іх частка, якія знаходзяцца ў цэнтральным сховішчы, становяцца пад пагрозу. Такім чынам, заўсёды рэкамендуецца выкарыстоўваць будучыя тэхналогіі, уключаючы блокчейн, каб супрацьстаяць гэтым будучым тэхналагічным пагрозам. Эксперты Gateway House мяркуюць тое ж самае, што блокчейн можа быць уведзены паэтапна для дэцэнтралізацыі працэсу KYC.
Рамакрышнан таксама рэкамендуе тэхналагічны працэс, які дазваляе пазбегнуць ручнога збору даных і абараніць пункты даных з дапамогай шыфравання даных на ўзроўні базы дадзеных.
Як падкрэсліваецца ў справаздачы McAfee, фінансавы свет павінен перайсці да адкрытых архітэктур дадзеных, стандартызацыі дадзеных аб пагрозах, сродкаў больш хуткага і глыбокага супрацоўніцтва паміж органамі бяспекі і гульцамі па ўсім свеце. Сродкі многіх з гэтых рашэнняў - нават справаздачнасці, што цікава, могуць ляжаць у адным месцы - блокчейне.
Важна разумець, што аплатная індустрыя не хоча, каб дадзеныя былі скрадзеныя, таму ў большасці выпадкаў кібератак банкі і пастаўшчыкі плацежных рашэнняў празрыстыя, як сцвярджаюць эксперты Gateway House. «Аднак аб парушэннях дадзеных і інцыдэнтах кібербяспекі неабходна неадкладна паведамляць».
Палітыка Навукова-даследчая праца Gateway House у супрацоўніцтве з Інстытутам Свіфта таксама далі цікавую рэкамендацыю ў тым жа ключы: апрацоўшчыкі плацяжоў павінны дазваляць спажыўцам кантраляваць дадзеныя праз панэль згоды, з дапамогай якой яны могуць праглядаць, змяняць або выдаляць свае асабістыя і плацежныя даныя на вэб-сайтах, такіх як электронная - камерцыйныя сайты.
Акрамя таго, адзначаецца, што плацежная індустрыя павінна стварыць агульнаіндустрыяльную платформу для абмену сакрэтнай, несакрэтнай і інфармацыяй з адкрытых зыходных кодаў аб кібератаках і вектарах пагроз.
Як спрытны забойца, які забівае некалькі мэтаў у адным і тым жа месцы, каб было цяжка адсачыць, хто кагосьці забіў і чаму, разумная стратэгія бяспекі таксама можа выкарыстоўваць гэты дэцэнтралізаваны эфект у сваіх інтарэсах. Развядзіце мэты і аслабце сілы. Зрабіце сістэму менш давернай і ўвядзіце сапраўдны давер. Вярніце кантроль тым, хто найбольш пакутуе ад буйных крадзяжоў.
З'яўленне блокчейна робіць усё гэта не проста праўдападобным, але і практычна простым. Гэта не адзіны адказ, але ён можа быць добрым для пачатку.
Адзінае, што робіць гэта жорсткім, - гэта воля адмовіцца ад кантролю дадзеных. Гэта не перабудова тэхналогій, а жорстка ўкаранёнага мыслення.
Не так проста змахнуць. У рэшце рэшт, гэта не крэдытная карта.
