Магнетна лента, EMV или бихејвиорална вештачка интелигенција – кога станува збор за кражба на картички, дали банките лаат погрешно дрво? Кога ќе погледнеме надолу во некои вистински влажни подови? Централизација, KYC и приватност. На некои нови држачи за чевли? Блокчејн
Истакната руска банка - неодамна зјапаше со ококорени очи во големото нарушување на податоците на своите клиенти благодарение на неколку ранливи кредитни картички.
Ова може да звучи познато за сценариото пред неколку години кога се случија масовни кражби на малопродажните места на ПОС (Под на продажба) во САД. EMV (Europay, Mastercard, Visa) требаше да биде поправка. Но, криминалците успеаја да ја измамат и таа ограда. Тие почнаа да составуваат исечени чипови за паметни картички со минијатурни микропроцесори и набрзо избиваа лажни платежни картички за POS бришење. Само погледнете што откри извештајот на Gemini Advisory – неверојатни 93 отсто од украдените картички ја имаа новата технологија за чипови.
Се разбира, надежта за EMV се одржува кога ќе слушнеме што кажуваат податоците од Visa (јуни 2019 година) - над 3.7 милиони трговски локации прифатија EMV картичка и оваа промена на EMV им овозможи (оние што се направени со надградба на чипот) радост од 87 на цент пад на загубите во долар поради измами поврзани со фалсификувани картички (помеѓу септември 2015 година и март 2019 година).
Но, што е со оние криминалци кои лесно аплицираат и (Фу!) добиваат вистински, легитимни, речиси реални McCoy кредитни картички со активни EMV чипови од банките? Сè што им треба се синтетички идентитети (фрли реални броеви за социјално осигурување со лажни возрасти и адреси).
Ана проценува дека сајбер криминалот ја чини глобалната економија околу 600 милијарди долари, или 0.8 отсто од глобалниот бруто домашен производ.
Самер Патил, соработник, програма за меѓународни безбедносни студии и Сагник Чакраборти, истражувач, Програма за студии за сајбер-безбедност, Gateway House неодамна посочија како индиската економија премина од главно заснована на готовина во поредовно зависна од дигитални платежни системи. И како оваа промена донесе финансиска вклученост и намалена корупција, но исто така го зголеми опсегот на сајбер напади во платежната инфраструктура од организирани криминални синдикати и хакери, странски влади и нивните полномошници.
Навистина, цената на секој долар загуби од малопродажна измама се помести од 2.94 долари на 3.13 долари помеѓу 2018 и 2019 година (се вели во друг извештај - LexisNexis Risk Solutions студија). Дури 86 отсто од загубите од измами што дојдоа во џебовите на малопродажните трговци со е-трговија од средна до голема со дигитална стока се случија поради пријателски (прва страна) и синтетички идентификациски сметки.
Губење на податоци и човечко манипулирање - не толку тешки точки за поврзување. За сегментот на кредитни картички - загубата на податоци може да се случи на многу начини. Може да видите некои банки кои набавуваат кредитни картички преку нивната договорна работна сила DSA (Direct Selling Agents) или FoS (Feet on Street) на вообичаени места - како што се трговски центри, малопродажни места или во канцелариски кампус итн., оттука, тоа е сосема подложни на загуба на податоци, бидејќи PII (Информации за лична идентификација) и понекогаш постојните детали за кредитна картичка (на други банки) се споделуваат со агентите или претставниците за продажба на кредитните картички на банката за да добијат нов кредит од оваа нова банка, објаснува Дармарај Рамакришнан. Постар директор- Банкарство и плаќања, FIS.
Излегува дека виновникот во случајот со неодамнешната руска банкарска измама имал пристап до базите на податоци како дел од неговата работа.
Сите клучеви на еден фоб, околу еден прст
Службата за безбедност на Сбербанк ја заврши својата внатрешна истрага и Херман Греф, извршен директор, претседател на Извршниот одбор на Сбербанк се извини во изјавата во која се вели - „Научивме многу од она што се случи и ги преиспитавме нашите системи за да ги ублажат ефектите на луѓето доверливост. Би сакал да им се заблагодарам на сите наши клиенти за големата доверба што ни ја даваат“.
Да, клиентите имаат голема доверба во овие институции и технологии. Прашањето е - колку се тие непробојни - на крајот? Што ако самата идеја за доверба и податоци би можела да се промени и да го размрда начинот на кој гледаме на прекршувањата на податоците?
Да почнеме со хигиената на KYC (или запознај го твојот клиент) - тоа е клучен дел од довербата и од страната на банката. Дали централизираната природа на овие податоци на KYC е некако голема ранлива точка?
Секое централизирано складирање на податоци е ранливо бидејќи дава единствена точка од целта за злонамерните актери, а не експертите од Gateway House.
Алтаф Халде, шеф на глобален бизнис, PurpleTeam исто така се согласува. „Да, во овој момент, сите ние сме во ситуација која не принудува да ги дуплираме клучните процеси и да ги складираме нашите лични документи / дигитални идентитети низ повеќе услуги и низ повеќе услуги. Ова резултира со многу лошо искуство на клиентите. Но, уште поважно, многукратно го зголемува ризикот од напади и прекршување на податоците“.
Но, Рамакришнан од ФИС претпочита да се разликува. „Бизнис рамката вградена во рамката за заштита на податоците е важна за да се заштити системот. Од моја перспектива, централизираната проверка на податоците е вистинскиот начин да се оди бидејќи тоа е единствениот извор на вистината, под услов централизираната база на податоци да е ажурирана. Како што напредуваме во технологијата, треба да ја користиме вистинската технологија за правилна употреба со вистинска архитектура за преземање и потврдување на точките на податоци“.
Тој, сепак, размислува за употреба на нови пристапи за KYC. „Регулаторот може да побара од банката да не собира податоци за PII или кредитна картичка од потенцијалните клиенти, за возврат да собира технологија за користење за да ги потврди точките на податоци во реално време преку интегрирање со други опции.
Трикот за убиство со пин-перница
Банките или финансиските институции или играчите во платежната индустрија, има повеќе од финансиска штета што се случува секогаш кога се прекршуваат картичките. Има губење на податоци и упад во приватноста - има причина зошто црниот пазар на податоци за идентитетот е на толку солза.
„Прекршувањето на податоците може да вклучи PII, деловни тајни, финансиски информации или дури и интелектуална сопственост. Во финансискиот сегмент, вообичаените откритија за прекршување на податоците вклучуваат лични информации на клиентите, како и нивните демографски информации. Овие видови на прекршувања може да доведат до финансиски измами, загуба на бизнис или дури и загуба на клиенти“. Рамакришнан го кажува тоа.
Значи, ако не ЕМВ тогаш што понатаму? Вестите велат дека Visa работи на платформа за да им помогне на своите инженери да изберат брзина во тестирањето на напредни алгоритми за вештачка интелигенција (ВИ) кои можат да откријат и да спречат измама со кредитни картички.
Банките можат да потрошат дури 12.4 милијарди долари во 2023 година на вештачка интелигенција - за иницијативи како анализа на измами - според проценките на IDC
Но, што ако податоците што ги кршат алгоритмите за вештачка интелигенција сè уште се наоѓаат на серверите или инфраструктурата на финансискиот играч? Повторно, афера со еден удар за секој што сака да го украде. Исто така, да не бидеме слепи на брзиот пораст на противничката вештачка интелигенција. Напаѓачите стануваат уште пософистицирани да ги измамат системите за длабоко учење како што поминува времето.
Халде потсетува како сите сме сведоци на фактот дека во последно време овие ризици растат за секунда. Ако се случи прекршување, се компромитираат сите податоци или делумни податоци кои се во централното складиште. Оттука, секогаш се препорачува да се користат претстојните технологии, вклучително и блокчејн за да се соочите со овие претстојни технолошки закани. Blockchain може да се воведе на фазен начин за да се децентрализира процесот KYC, истото го предлагаат и експертите на Gateway House.
Рамакришнан, исто така, препорачува процес базиран на технологија што може да го избегне рачното собирање податоци и да ги заштити точките на податоци користејќи шифрирање на податоци на ниво на база на податоци.
Како што беше подвлечено во извештајот на McAfee, финансискиот свет треба да премине кон архитектури за отворени податоци, стандардизација на податоците за заканите, средства за побрза и подлабока соработка меѓу безбедносните власти и играчите распространети низ целиот свет. Средствата за многу од овие решенија - дури и известувањето, интересно, може да лежат на едно место - блокчејнот.
Важно е да се разбере дека платежната индустрија не сака податоците да бидат украдени, па затоа во повеќето случаи на сајбер напади, банките и давателите на решенија за плаќање се транспарентни, како што тврдат и експертите на Gateway House. „Сепак, потребата е веднаш да се пријават прекршувања на податоци и инциденти со сајбер безбедноста“.
Политика истражување на хартија од страна на Gateway House во соработка со Институтот Свифт, исто така, имаше интересна препорака во истата насока: Процесорите за плаќања треба да им овозможат на потрошувачите да ги контролираат податоците преку контролната табла за согласност со која тие можат да ги прегледуваат, менуваат или бришат нивните лични податоци и податоци за плаќањата на веб-локациите, како на пр. - трговски сајтови.
Плус, беше забележано дека платежната индустрија мора да создаде платформа ширум индустријата за споделување класифицирани, некласифицирани и информации со отворен код за сајбер-напади и вектори на закани.
Како паметен атентатор кој убива повеќе од една цел на исто место за да го отежне откривањето кој убил некого и зошто – паметната безбедносна стратегија исто така може да го искористи овој децентрализиран ефект во своја полза. Раширете ги целите и ослабнете ја силата. Направете го системот да нема доверба и внесете вистинска доверба. Вратете им ја моќта на контрола на оние кои најмногу страдаат кога се случуваат големи кражби на билети.
Доаѓањето на блокчејн го прави сето ова не само веродостојно, туку и практично лесно сега. Тоа не е единствениот одговор, но може да биде добар за почеток.
Единственото нешто што го прави тешко е волјата да се откаже од контролата на податоците. Тоа не е ремонт на технологијата, туку на тешко вкоренет начин на размислување.
Не е толку лесно да се повлече. На крајот на краиштата, тоа не е кредитна картичка.