Pratima Xarigunani

Nashr etilgan sana: 22
Buni ulashish!
Kartalar va o'g'irlik - surish, so'kish, azoblanish, takrorlash
By Nashr etilgan sana: 22


Magnit chiziq, EMV yoki xulq-atvorli AI - karta o'g'irlanishi haqida gap ketganda, banklar noto'g'ri daraxtni ko'taradimi? Haqiqiy nam pollarga qachon qaraymiz? Markazlashtirish, KYC va maxfiylik. Yangi poyafzal tutqichlari bormi? Blokcheyn

Taniqli Rossiya banki - yaqinda bir nechta zaif kredit kartalari tufayli o'z mijozlarining katta ma'lumotlarining buzilishiga katta ko'z bilan qaradi.

Bu bir necha yil oldin AQShdagi chakana savdo nuqtalarida (Sotish nuqtasi) katta o'g'irliklar sodir bo'lgan stsenariyga tanish tuyulishi mumkin. EMV (Europay, Mastercard, Visa) tuzatish bo'lishi kerak edi. Ammo jinoyatchilar o'sha panjarani ham aldashga muvaffaq bo'lishdi. Ular miniatyura mikroprotsessorlari bilan kesilgan smart-karta chiplarini birlashtira boshladilar va tez orada POS-ni surish uchun soxta to'lov kartalarini chiqara boshladilar. Gemini Advisory hisobotida nima aniqlanganiga qarang - o'g'irlangan kartalarning 93 foizi yangi chip texnologiyasiga ega edi.

Albatta, Visa (2019-yil iyun) maʼlumotlari nimani anglatishini eshitganimizda EMVga boʻlgan umid saqlanib qoladi – 3.7 milliondan ortiq savdogarlar EMV kartasini qabul qildilar va bu EMVga oʻtish (chipni yangilash bilan amalga oshirilganlar) har bir kishi uchun 87 ta quvonchga imkon berdi. soxta kartalar bilan bog'liq firibgarlik bilan bog'liq dollar yo'qotishlari foizga kamaydi (2015 yil sentyabridan 2019 yil martigacha).

Ammo banklardan faol EMV chiplari bo'lgan haqiqiy, qonuniy, deyarli real McCoy kredit kartalariga osonlik bilan murojaat qilayotgan va (Phew!) oladigan jinoyatchilar haqida nima deyish mumkin? Ularga faqat sintetik identifikatorlar kerak bo'ladi (soxta yosh va manzillar bilan haqiqiy ijtimoiy xavfsizlik raqamlarini tashlang).

McAfee hisob-kitoblariga ko'ra, kiberjinoyatlar global iqtisodiyotga 600 milliard dollar yoki global yalpi ichki mahsulotning 0.8 foizini tashkil etadi.

Sameer Patil, Xalqaro xavfsizlik tadqiqotlari dasturi xodimi va Sagnik Chakraborti, tadqiqotchi, kiberxavfsizlikni o'rganish dasturi, Gateway House, Hindiston iqtisodiyoti asosan naqd pulga asoslangan holda raqamli to'lov tizimlariga doimiy ravishda bog'liq bo'lgan iqtisodiyotga o'tganini ta'kidladilar. Va bu o'zgarish moliyaviy inklyuzivlikni keltirib chiqardi va korruptsiyani kamaytirdi, lekin uyushgan jinoiy sindikatlar va xakerlar, xorijiy hukumatlar va ularning ishonchli vakillari tomonidan to'lov infratuzilmasidagi kiberhujumlar ko'lamini kengaytirdi.

Darhaqiqat, chakana firibgarlik yo'qotishlarining har bir dollarining qiymati 2.94 va 3.13 yillar orasida 2018 dollardan 2019 dollargacha ko'tarildi (boshqa hisobotda aytilishicha - LexisNexis Risk Solutions). o'rganish). Raqamli tovarlar bilan o'rta va yirik elektron tijorat chakana sotuvchilari cho'ntagiga tushgan firibgarlik yo'qotishlarining 86 foizi do'stona (birinchi tomon) va sintetik ID hisoblari tufayli sodir bo'lgan.

Ma'lumotlar yo'qolishi va odamning o'zgarishi - ulanish uchun unchalik qiyin nuqtalar emas. Kredit kartalari segmenti uchun - ma'lumotlar yo'qolishi ko'p jihatdan sodir bo'lishi mumkin. Siz ba'zi banklarni o'zlarining DSA (To'g'ridan-to'g'ri sotish agentlari) yoki FoS (ko'chadagi oyoqlar) shartnoma bo'yicha ishchi kuchi orqali biznes kredit kartalarini xarid qilishlarini ko'rishingiz mumkin, masalan, savdo markazlari, chakana savdo do'konlari yoki har qanday ofis kampusida va hokazo. Ma'lumotlar yo'qolishi mumkin, chunki PII (shaxsiy identifikatsiya qilinadigan ma'lumotlar) va ba'zida mavjud Kredit karta ma'lumotlari (boshqa banklarning) ushbu yangi bankdan yangi kredit olish uchun bankning kredit kartalarini sotuvchi agentlari yoki vakillariga baham ko'riladi, deb tushuntiradi Dharmaraj Ramakrishnan, Sr. Direktor - Bank va to'lovlar, FIS.

Ma'lum bo'lishicha, yaqinda Rossiya bankidagi firibgarlik ishida aybdor o'z ishining bir qismi sifatida ma'lumotlar bazalariga kirish huquqiga ega bo'lgan.

Barcha kalitlar bitta fobda, bir barmoq atrofida

Sberbankning Xavfsizlik xizmati ichki tekshiruvini yakunladi va Sberbank Bosh direktori, Ijroiya kengashi raisi Herman Gref uzr so'radi, unda shunday dedi: “Biz sodir bo'lgan voqeadan ko'p narsa o'rgandik va insoniyat ta'sirini yumshatish uchun tizimlarimizni qayta ko'rib chiqdik. ishonchlilik. Bizga bildirgan katta ishonch uchun barcha mijozlarimizga minnatdorchilik bildirmoqchiman.”

Ha, mijozlar ushbu muassasalar va texnologiyalarga katta ishonch bildiradilar. Savol shundaki, ular qanchalik o'tib bo'lmaydi - oxir-oqibat? Ishonch va ma'lumotlar g'oyasi o'zgarib, ma'lumotlar buzilishiga qarashimizni o'zgartirsa nima bo'ladi?

Keling, KYC (yoki mijozingizni biling) gigienasidan boshlaylik - bu ham bank tarafidagi ishonchning asosiy qismidir. Ushbu KYC ma'lumotlarining markazlashtirilgan tabiati qandaydir tarzda katta zaif nuqtami?

Har qanday markazlashtirilgan ma'lumotlarni saqlash zaifdir, chunki u Gateway House kompaniyasining aver ekspertlari uchun zararli aktyorlar uchun maqsadning yagona nuqtasini beradi.

PurpleTeam global biznes rahbari Altaf Halde ham rozi. “Ha, ayni paytda biz barchamizni asosiy jarayonlarni takrorlashga va shaxsiy hujjatlarimizni/raqamli identifikatorlarimizni bir nechta xizmatlarda va bir nechta xizmatlarda saqlashga majbur qiladigan vaziyatdamiz. Bu juda yomon mijozlar tajribasiga olib keladi. Ammo, eng muhimi, bu hujumlar va ma'lumotlarning buzilishi xavfini oshiradi."

Ammo FISdan Ramakrishnan farq qilishni afzal ko'radi. "Ma'lumotlarni himoya qilish tizimi bilan o'rnatilgan biznes doirasi tizimni himoya qilish uchun muhimdir. Mening nuqtai nazarimga ko'ra, markazlashtirilgan ma'lumotlarni tekshirish to'g'ri yo'ldir, chunki markazlashtirilgan ma'lumotlar bazasi yangilangan bo'lsa, u haqiqatning yagona manbai hisoblanadi. Texnologiyani rivojlantirar ekanmiz, ma'lumotlar nuqtalarini olish va tasdiqlash uchun to'g'ri arxitektura bilan to'g'ri foydalanish holati uchun to'g'ri texnologiyadan foydalanishimiz kerak."

Biroq, u KYC uchun yangi yondashuvlardan foydalanishni o'ylaydi. "Regulator bankdan potentsial mijozlardan PII yoki kredit karta ma'lumotlarini yig'maslikni so'rashi mumkin, o'z navbatida, boshqa variantlar bilan integratsiyalashgan holda real vaqt rejimida ma'lumotlar nuqtalarini tekshirish uchun texnologiyadan foydalanishni to'plashi mumkin."

Pin-Cushion qotillik hiylasi

Banklar yoki moliya institutlari yoki to'lov sanoati o'yinchilari, kartalar buzilganda yuzaga keladigan moliyaviy zarardan ko'proq narsa bor. Ma'lumotlarning yo'qolishi va maxfiylik - buzg'unchilik mavjud - identifikatsiya ma'lumotlarining qora bozorida bunday yirtiq bo'lishining sababi bor.

"Ma'lumotlarning buzilishi PII, biznes sirlari, moliyaviy ma'lumotlar yoki hatto intellektual mulkni o'z ichiga olishi mumkin. Moliyaviy segmentda ma'lumotlar buzilishining keng tarqalgan vahiylari mijozlarning shaxsiy ma'lumotlarini, shuningdek ularning demografik ma'lumotlarini o'z ichiga oladi. Bunday qoidabuzarliklar moliyaviy firibgarliklarga, biznes yo‘qotilishiga yoki hatto mijozlarning yo‘qolishiga olib kelishi mumkin”. Ramakrishnan buni ta'kidlaydi.

Agar EMV bo'lmasa, keyin nima bo'ladi? Yangiliklar Visa o‘z muhandislariga kredit kartalaridagi firibgarlikni aniqlash va oldini olish mumkin bo‘lgan ilg‘or sun’iy intellekt (AI) algoritmlarini sinovdan o‘tkazishda tezlikni tanlashda yordam beradigan platforma ustida ishlamoqda.

IDC hisob-kitoblariga ko'ra, banklar 12.4 yilda sun'iy intellektga - firibgarlik tahlili kabi tashabbuslar uchun 2023 milliard dollar sarflashi mumkin.

Ammo AI algoritmlari buzilgan ma'lumotlar hali ham moliyaviy o'yinchining serverlarida yoki infratuzilmasida bo'lsa-chi? Shunga qaramay, uni o'g'irlamoqchi bo'lgan har bir kishi uchun bir zarbali ish. Keling, raqib sun'iy intellektning tez o'sishiga ham ko'r bo'lmaylik. Vaqt o'tishi bilan tajovuzkorlar chuqur o'rganish tizimlarini aldash uchun yanada murakkablashmoqda.

Xolde, so'nggi paytlarda bu xavflar soniya sayin ortib borayotganiga barchamiz guvoh ekanligimizni eslatadi. Agar buzilish sodir bo'lsa, markaziy ombordagi barcha ma'lumotlar yoki qisman ma'lumotlar buziladi. Shu sababli, ushbu yaqinlashib kelayotgan texnologik tahdidlarga qarshi turish uchun har doim yaqinlashib kelayotgan texnologiyalardan, shu jumladan blokcheyndan foydalanish tavsiya etiladi. Blockchain KYC jarayonini markazsizlashtirish uchun bosqichma-bosqich joriy etilishi mumkin, Gateway House mutaxassislari xuddi shunday taklif qilishadi.

Ramakrishnan, shuningdek, ma'lumotlar bazasi darajasida ma'lumotlarni shifrlash yordamida qo'lda ma'lumotlarni yig'ishdan qochish va ma'lumotlar nuqtalarini himoya qiladigan texnologiyaga asoslangan jarayonni tavsiya qiladi.

McAfee hisobotida ta'kidlanganidek, moliyaviy dunyo ochiq ma'lumotlar arxitekturasiga, tahdid ma'lumotlarini standartlashtirishga, butun dunyo bo'ylab tarqalgan xavfsizlik organlari va o'yinchilar o'rtasida tezroq va chuqurroq hamkorlik qilish vositalariga o'tishi kerak. Ushbu echimlarning ko'pchiligi uchun vositalar - hatto hisobot berish ham, qiziqki, bir joyda - blokcheynda yotishi mumkin.

Toʻlov sanoati maʼlumotlarning oʻgʻirlanishini istamasligini tushunish muhim, shuning uchun koʻpchilik kiberhujum holatlarida banklar va toʻlov yechimlari provayderlari shaffof boʻladi, chunki Gateway House mutaxassislari ham bahslashadi. "Biroq, ma'lumotlarning buzilishi va kiberxavfsizlik hodisalari to'g'risida zudlik bilan xabar berish zarurati".

Siyosat tadqiqot qog'oz Gateway House tomonidan Swift instituti bilan hamkorlikda xuddi shunday qiziqarli tavsiya ham bor edi: toʻlov protsessorlari isteʼmolchilarga maʼlumotlarni rozilik paneli orqali nazorat qilish imkonini berishi kerak, bu orqali ular shaxsiy va toʻlovlar haqidagi maʼlumotlarni veb-saytlarda koʻrib chiqish, oʻzgartirish yoki oʻchirish mumkin, masalan, e. - tijorat saytlari.

Bundan tashqari, toʻlov sanoati kiberhujumlar va tahdidlar vektorlari boʻyicha tasniflangan, tasniflanmagan va ochiq manba maʼlumotlarini almashish uchun tarmoq platformasini yaratishi kerakligini taʼkidladi.

Birovni kim va nima uchun o'ldirganini aniqlashni qiyinlashtirish uchun bir joyda bir nechta nishonlarni o'ldiradigan aqlli qotil kabi - aqlli xavfsizlik strategiyasi ham ushbu markazlashtirilmagan effektdan o'z foydasiga foydalanishi mumkin. Maqsadlarni yoyib, kuchni zaiflashtiring. Tizimni ishonchsiz qiling va haqiqiy ishonchni kiriting. Katta chipta o'g'irlanishi sodir bo'lganda, eng ko'p azob chekayotganlarga nazorat kuchini qaytaring.

Blokcheynning paydo bo'lishi bularning barchasini nafaqat mantiqiy, balki amalda ham oson qiladi. Bu yagona javob emas, lekin boshlash uchun yaxshi bo'lishi mumkin.

Uni qiyinlashtiradigan yagona narsa - bu ma'lumotlarni boshqarishdan voz kechish istagi. Bu texnologiyani qayta tiklash emas, balki qattiq o'rnashgan fikrlashdir.

Supurib tashlash unchalik oson emas. Axir, bu kredit karta emas.