A hitelkártyaadat-lopás lesz a kiberbűnözők legjövedelmezőbb "üzletága"?

A kiberbűnözők legjövedelmezőbb üzletágává növi ki magát a hitelkártyaadatok illetéktelen megszerzése. Az ebből származó jövedelem mértéke megközelíti az illegális drogkereskedelem bevételeit - derül ki a PCI Community Meeting 2009 szakmai felméréséből.

Bár nincs pontos adatunk arról, hogy évente mennyi hitelkártyaadat kerül illetéktelen kezekbe, következtethetünk rá a nyilvánosságra kerülő adatokból: az eddig ismert legnagyobb mértékű egyszeri adatvesztés során 94 millió hitelkártyaadatot tulajdonítottak el. Egy-egy ilyen adatot a kiberbűnözők 150 dollár körüli áron értékesítenek. A hitelkártyaadat-lopások visszaszorítására még 2006-ban a vezető kártyakibocsátók - MasterCard, Visa, JCB, Discover, AmEx - közösen kialakítottak egy átfogó biztonsági követelménylistát, a PCI DSS-t (Payment Card Industry Data Security Standards), a hitelkártyák adatait kezelő szervezetek számára. A PCI DSS audit ma Magyarországon még nem kötelező, de a hitelesített szervezeteknek akár versenyelőnyt is jelenthet, hogy a megfelelő biztonsággal kezelik ügyfeleik adatait. A Noreg Kft., mint független IT-biztonsági tanácsadó vállalat, az auditra való felkészítésben segíti ügyfeleit, többek között az IBM-ISS biztonsági megoldásainak és PCI szolgáltatásainak felhasználásával.

A PCI DSS szabvány betartásának fontosságát a Verizon üzleti kockázati csoport szakmai felmérése is alátámasztja, miszerint a kártyacsalások több mint 87 százaléka elkerülhető lett volna egy egyszerű vagy közepes szintű ellenőrzéssel. Az esetek 67 százalékában az adatkezelők (bankok, kereskedők, szolgáltatók) informatikai
rendszerében történt hiba, és 64 százalékban okozta külső hackertámadás a kárt. Érdekes tény, hogy az adatlopás tényét az esetek 74 százalékában csak hetekkel az esemény után fedezték fel.

A PCI DSS szabvány már kötelező előírás például az Egyesült Államokban, ahol komoly büntetést von maga után azoknak be nem tartása: a bírság általában 25 000 dollár és 500 000 dollár között mozog, de ennél magasabb összeget is elérhet. A szabályok figyelmen kívül hagyása akár hússzor annyiba kerülhet, mint az előírásoknak való megfelelés biztosítása. Míg a PCI DSS előírásainak betartása évente körülbelül 3 dollárba kerül kártyánként, addig az adatvesztés költsége alkalmanként és adatonként 300 és 600 dollár közötti összeget jelent, nem is beszélve az adatokat hanyagul kezelő cég presztízsvesztéséről.

„A hitelkártya napjaink online korának fizetőeszköze. Mivel a szervezett bűnözés a bankkártyaadatok ellopására, eladására és az adatokkal történő visszaélésre koncentrál, a fizetőkártya iparágnak is reagálnia kell ezekre a kihívásokra, ez a PCI-DSS szabvány” - mondta Martin W. Murhammer, az IBM Internet Security Systems senior IT-biztonsági szakértője. „A probléma abból ered, hogy a kártyaadatok kezelői ma is ugyanazokat a hibákat követik el, amelyekre a biztonsági szakértők már évekkel ezelőtt felhívták a figyelmet. A PCI DSS szabvány előírásai józan ésszel egyszerűen átgondolhatók és megérthetők, az ezt betartó vállalatok jelentősen növelni tudják ügyfeleik bizalmát” - tette hozzá Murhammer.

„A Noreg Kft. 1998-as alapítása óta, több mint egy évtizede foglalkozik IT-biztonsági technológiákkal, melyek a hitelkártyaadatok kezelésére vonatkozó PCI DSS szabványhoz is kapcsolódnak. Ezzel egyidejűleg kezdtünk foglalkozni ISS (ma már IBM-ISS) technológiákkal is” - mondta Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója. „A PCI DSS auditok során független biztonsági tanácsadóként az a feladatunk, hogy az audit 12 követelmény pontját megvizsgáljuk, és javaslatot tegyünk azok költséghatékony javítására” - tette hozzá Kőrös Zsolt.

Kikre vonatkozik a PCI DSS szabvány? Alapvetően minden kártya tranzakcióban érintett félnek meg kell felelnie (aki bankkártyaadatot tárol, kezel vagy továbbít), például a kereskedők (web áruházak, hagyományos áruházak), kártyaelfogadók (bankok, kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal), szolgáltatók (több webáruházat üzemeltetők, illetve akik bankkártyaadatokat gyűjtenek). A különbség csak az érvényesítés (külső, belső audit, kérdőív) szintjében van, ami alapvetően a tranzakció számon alapul.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció