Maqnit zolaq, EMV və ya davranış AI – kart oğurluğuna gəldikdə, banklar yanlış ağaca hürürlər? Bəzi real yaş mərtəbələrə nə vaxt baxacağıq? Mərkəzləşdirmə, KYC və məxfilik. Bəzi yeni ayaqqabı tutacaqlarında? Blockchain
Tanınmış Rusiya Bankı - bu yaxınlarda bir neçə həssas kredit kartı sayəsində müştərilərinin böyük məlumatlarının pozulmasına geniş gözlərlə baxırdı.
Bu, bir neçə il əvvəl ABŞ-da pərakəndə POS (Satış Nöqtəsi) izlərində kütləvi oğurluqların baş verdiyi ssenariyə tanış görünə bilər. EMV (Europay, Mastercard, Visa) həll yolu olmalı idi. Lakin cinayətkarlar o hasarları da aldada biliblər. Onlar miniatür mikroprosessorlarla kəsilmiş smart-kart çiplərini birləşdirməyə başladılar və tezliklə POS-da çalmaq üçün saxta ödəniş kartlarını çıxarmağa başladılar. Sadəcə Əkizlər Məsləhətinin hesabatında nələrin açıldığına baxın – oğurlanmış kartların 93 faizində yeni çip texnologiyası var.
Əlbəttə ki, Visa-dan (iyun 2019) məlumatların nə dediyini eşitdiyimiz zaman EMV üçün ümid davam edir – 3.7 milyondan çox tacir yeri EMV kartını qəbul etdi və EMV-ə bu keçid (çip yeniləməsi ilə həyata keçirilənlərə) hər bir 87-nin sevincini yaşamağa imkan verdi. saxta kartla bağlı fırıldaqçılıq dollar itkiləri (2015-ci ilin sentyabrından 2019-cu ilin martına qədər) sent azalıb.
Bəs banklardan aktiv EMV çipləri olan real, qanuni, demək olar ki, Real McCoy kredit kartları üçün asanlıqla müraciət edən və (Phew!) alan cinayətkarlar haqqında nə demək olar? Onlara lazım olan tək şey sintetik şəxsiyyətlərdir (saxta yaş və ünvanlarla real sosial təminat nömrələrini atın).
McAfee Hesablamalara görə kibercinayətkarlıq qlobal iqtisadiyyata təxminən 600 milyard dollar və ya qlobal ümumi daxili məhsulun 0.8 faizi qədər ziyan vurur.
Sameer Patil, Beynəlxalq Təhlükəsizlik Araşdırmaları Proqramının əməkdaşı və Gateway House Kibertəhlükəsizlik Tədqiqatları Proqramının Tədqiqatçısı Sagnik Chakraborty, Hindistan iqtisadiyyatının əsasən nağd pula əsaslanan iqtisadiyyatdan daha müntəzəm olaraq rəqəmsal ödəniş sistemlərindən asılı vəziyyətə necə keçdiyini göstərdilər. Və bu dəyişiklik maliyyə inklüzivliyini və korrupsiyanı necə azaltdı, eyni zamanda mütəşəkkil cinayətkar sindikatlar və hakerlər, xarici hökumətlər və onların etibarlı nümayəndələri tərəfindən ödəniş infrastrukturunda kiberhücumların əhatə dairəsini genişləndirdi.
Həqiqətən, pərakəndə fırıldaqçılıq itkilərinin hər bir dollarının dəyəri 2.94-3.13-cu illər arasında 2018 dollardan 2019 dollara qədər dəyişdi (başqa bir hesabatda deyilir - LexisNexis Risk Solutions öyrənmək). Rəqəmsal mallarla orta və böyük e-ticarət pərakəndə satıcılarının cibinə gələn fırıldaqçılıq itkilərinin 86 faizi dost (1-ci tərəf) və sintetik şəxsiyyət vəsiqələri hesabına baş verib.
Məlumat itkisi və insan müdaxiləsi – qoşulmaq o qədər də çətin nöqtələr deyil. Kredit kartları seqmenti üçün - məlumat itkisi bir çox şəkildə baş verə bilər. Bəzi bankların DSA (Birbaşa Satış Agentləri) və ya FoS (Feet on Street) müqaviləli işçi qüvvəsi vasitəsilə ümumi yerlərdə - ticarət mərkəzlərində, pərakəndə satış məntəqələrində və ya hər hansı ofis şəhərciyində və s. Dharmaraj Ramakrishnan izah edir ki, PII (Şəxsi İdentifikasiya edilə bilən Məlumat) və bəzən mövcud Kredit Kartı rekvizitləri (digər bankların) bu yeni bankdan yeni kredit almaq üçün bankın kredit kartları satan agentləri və ya nümayəndələri ilə paylaşılır, çünki məlumat itkisinə məruz qalır. Cənab Direktor- Bankçılıq və Ödənişlər, FIS.
Məlum olub ki, bu yaxınlarda Rusiya bankı fırıldaqçılığı işinin günahkarı öz işinin bir hissəsi kimi məlumat bazalarına giriş əldə edib.
Bütün açarlar bir fobda, bir barmağın ətrafında
Sberbank-ın Təhlükəsizlik Xidməti daxili araşdırmanı başa çatdırıb və Sberbank-ın Baş Direktoru, İdarə Heyətinin Sədri Herman Qref üzr istəyib: “Biz baş verənlərdən çox şey öyrəndik və insanların təsirlərini azaltmaq üçün sistemlərimizi yenidən nəzərdən keçirdik. etibarlılıq. Bizə göstərdikləri böyük etimada görə bütün müştərilərimizə təşəkkür etmək istərdim”.
Bəli, müştərilər bu qurumlara və texnologiyalara çox güvənirlər. Sual budur ki, onlar nə qədər keçilməzdirlər? Bəs güvən və məlumat ideyası dəyişə bilərsə və məlumat pozuntularına baxış tərzimizi silkələyə bilərsə?
Gəlin KYC (və ya Müştərinizi Tanıyın) gigiyenasından başlayaq – bu da bankın etibarının əsas hissəsidir. Bu KYC məlumatlarının mərkəzləşdirilmiş təbiəti böyük bir həssas nöqtədirmi?
İstənilən mərkəzləşdirilmiş məlumat yaddaşı həssasdır, çünki o, Gateway House-un ekspertləri olan zərərli aktyorlar üçün hədəfin bir nöqtəsini verir.
PurpleTeam-in Qlobal Biznes rəhbəri Altaf Halde də bu fikirdədir. “Bəli, indiki məqamda hamımız elə bir vəziyyətdəyik ki, bizi əsas prosesləri təkrarlamağa və şəxsi sənədlərimizi/rəqəmsal şəxsiyyətlərimizi çoxsaylı xidmətlər və bir çox xidmətlər arasında saxlamağa məcbur edir. Bu, çox pis müştəri təcrübəsi ilə nəticələnir. Ancaq daha da əhəmiyyətlisi, bu, hücumlar və məlumatların pozulması riskini çoxaldır."
Lakin FIS-dən Ramakrişnan fərqli olmağa üstünlük verir. “Məlumatların qorunması çərçivəsi ilə birləşdirilən biznes çərçivəsi sistemi qorumaq üçün vacibdir. Mənim nöqteyi-nəzərimə görə, mərkəzləşdirilmiş verilənlər bazası yeni olduqda, mərkəzləşdirilmiş məlumatların yoxlanılması düzgün yoldur, çünki həqiqətin yeganə mənbəyidir. Texnologiyada irəlilədikcə, məlumat nöqtələrini əldə etmək və təsdiqləmək üçün düzgün arxitektura ilə düzgün istifadə halı üçün düzgün texnologiyadan istifadə etməliyik."
Bununla belə, o, KYC üçün yeni yanaşmaların istifadəsini düşünür. "Tənzimləyici bankdan potensial müştərilərdən PII və ya kredit kartı detallarını toplamamağı tələb edə bilər, öz növbəsində, digər variantlarla inteqrasiya edərək, real vaxt rejimində məlumat nöqtələrini təsdiqləmək üçün istifadə texnologiyasını toplaya bilər."
Pin-Cushion qətl hiyləsi
Banklar və ya maliyyə qurumları və ya ödəniş sənayesi oyunçuları, kartlar pozulduqda ortaya çıxan maddi zərərdən daha çox şey var. Məlumat itkisi və məxfiliyə müdaxilə var – şəxsiyyət məlumatlarının qara bazarının belə cırılmasının bir səbəbi var.
“Məlumatların pozulması PII, biznes sirləri, maliyyə məlumatları və ya hətta əqli mülkiyyəti əhatə edə bilər. Maliyyə seqmentində ümumi məlumat pozuntusu aşkarlamalarına müştərilərin şəxsi məlumatları, eləcə də onların demoqrafik məlumatları daxildir. Bu cür pozuntular maliyyə fırıldaqlarına, biznes itkisinə və hətta müştəri itkisinə səbəb ola bilər”. Ramakrishnan bunu açıqlayır.
Əgər EMV deyilsə, onda nə olacaq? Xəbərlərə görə, Visa öz mühəndislərinə kredit kartı fırıldaqlarını aşkarlaya və qarşısını ala bilən qabaqcıl Süni İntellekt (AI) alqoritmlərini sınaqdan keçirməyə kömək etmək üçün platforma üzərində işləyir.
IDC hesablamalarına görə, banklar 12.4-cü ildə süni intellektə – fırıldaqçılıq təhlili kimi təşəbbüslər üçün – 2023 milyard dollar xərcləyə bilər.
Bəs süni intellekt alqoritmlərinin sındırdığı məlumatlar hələ də maliyyə oyunçusunun serverlərində və ya infrastrukturunda qalırsa? Yenə onu oğurlamaq istəyən hər kəs üçün tək vuruşlu bir əlaqə. Gəlin rəqib süni intellektin sürətlə artmasına da kor olmayaq. Təcavüzkarlar zaman keçdikcə dərin öyrənmə sistemlərini aldatmaq üçün daha da təkmilləşirlər.
Halde xatırladır ki, son vaxtlar bu risklər saniyə-saniyə artır. Əgər pozuntu baş verərsə, mərkəzi depoda olan bütün məlumatlar və ya qismən məlumatlar təhlükə altına düşür. Buna görə də, həmişə bu qarşıdan gələn texnoloji təhlükələrlə üzləşmək üçün blokçeyn də daxil olmaqla gələcək texnologiyalardan istifadə etmək tövsiyə olunur. Blockchain KYC prosesini mərkəzsizləşdirmək üçün mərhələli şəkildə təqdim edilə bilər, Gateway House mütəxəssisləri də bunu təklif edirlər.
Ramakrishnan, həmçinin verilənlər bazası səviyyəsində məlumatların şifrələnməsindən istifadə edərək əl ilə məlumatların toplanmasından qaça və məlumat nöqtələrini qoruya bilən texnologiyaya əsaslanan prosesi tövsiyə edir.
McAfee hesabatında vurğulandığı kimi, maliyyə dünyası açıq məlumat arxitekturasına, təhlükə məlumatlarının standartlaşdırılmasına, bütün dünyaya yayılmış təhlükəsizlik orqanları və oyunçular arasında daha sürətli və dərin əməkdaşlıq vasitələrinə keçməlidir. Bu həllərin bir çoxu üçün vasitələr - hətta hesabat vermək də maraqlıdır ki, bir yerdə ola bilər - blokçeyn.
Ödəniş sənayesinin məlumatların oğurlanmasını istəmədiyini başa düşmək vacibdir, buna görə də əksər kiberhücum hallarında banklar və ödəniş həlli provayderləri Gateway House ekspertlərinin də iddia etdiyi kimi şəffafdır. “Lakin məlumatların pozulması və kibertəhlükəsizlik insidentləri barədə dərhal məlumat verilməsinə ehtiyac var”.
Bir siyasət tədqiqat kağız Gateway House tərəfindən Swift İnstitutu ilə əməkdaşlıqda eyni məzmunda maraqlı bir tövsiyə də var: Ödəniş prosessorları istehlakçılara razılıq tablosu vasitəsilə məlumatlara nəzarət etmək imkanı verməlidirlər ki, bu yolla onlar internet saytlarında şəxsi və ödəniş məlumatlarını nəzərdən keçirə, dəyişdirə və ya silə bilərlər. -ticarət saytları.
Üstəlik, o qeyd edib ki, ödəniş sənayesi kiberhücumlar və təhlükə vektorları haqqında məxfi, təsnifləşdirilməmiş və açıq mənbəli məlumatları paylaşmaq üçün sənaye miqyasında platforma yaratmalıdır.
Kimi və niyə öldürdüyünü izləməyi çətinləşdirmək üçün eyni yerdə birdən çox hədəfi öldürən ağıllı bir sui-qəsdçi kimi – ağıllı təhlükəsizlik strategiyası da bu mərkəzləşdirilməmiş effektdən öz xeyrinə istifadə edə bilər. Hədəfləri yayın və qüvvələri zəiflədin. Sistemi daha az etibar edin və real inamı aşılayın. Böyük bilet oğurluqları baş verəndə ən çox əziyyət çəkənlərə nəzarət gücünü geri verin.
Blockchain-in gəlişi bütün bunları nəinki inandırıcı edir, həm də indi praktiki olaraq asanlaşdırır. Bu yeganə cavab deyil, lakin başlamaq üçün yaxşı bir cavab ola bilər.
Onu çətinləşdirən yeganə şey məlumatlara nəzarəti buraxmaq istəyidir. Bu, texnologiyanın əsaslı təmiri deyil, möhkəm zehniyyətdir.
Çalmak o qədər də asan deyil. Axı bu, kredit kartı deyil.