Egyre jövedelmezőbb üzleta hitelkártyaadat-lopás

Martin W. Murhammer, az IBM Internet Security Systems senior it-biztonsági szakértője egy szakmai rendezvényen elmondta, a felmérésből az is kiderül, hogy a hitelkártyaadatok illegális kereskedelméből származó összeg mértéke megközelíti az illegális drogkereskedelemét. Bár nincs pontos adat arról, hogy évente mennyi hitelkártyaadat kerül illetéktelen kezekbe, a nyilvánosságra kerülő adatok szerint az eddig ismert legnagyobb mértékű egyszeri adatlopás során 94 millió hitelkártyaadatot tulajdonítottak el. Egy-egy ilyen adatot a kiberbűnözők 150 dollár körüli áron értékesítenek.

A hitelkártyaadat-lopások visszaszorítására 2006-ban a vezető kártyakibocsátók – MasterCard, Visa, JCB, Discover, AmEx – közösen kialakítottak egy átfogó biztonsági követelménylistát, a PCI DSS-t (Payment Card Industry Data Security Standards) a hitelkártyák adatait kezelő szervezetek számára.

A Verizon üzleti kockázati csoport szakmai felmérése szerint a kártyacsalások több mint 87 százaléka elkerülhető lenne egy egyszerű vagy közepes szintű ellenőrzéssel. Az esetek 67 százalékában az adatkezelők (bankok, kereskedők, szolgáltatók) informatikai rendszerében történt hiba és 64 százalékban okozta külső hackertámadás a kárt. Súlyosbító körülmény, hogy a vizsgálat szerint az adatlopásokat az esetek 74 százalékában csak hetekkel az esemény után fedezték fel.

A PCI DSS szabvány kötelező előírás az Egyesült Államokban, ahol súlyos büntetést von maga után a szabályok be nem tartása: a bírság általában 25 ezer és 500 ezer dollár között mozog, de ennél nagyobb összeget is elérhet. A szabályok figyelmen kívül hagyása akár hússzor annyiba kerülhet, mint az előírásoknak való megfelelés biztosítása. Míg a PCI DSS előírásainak betartása évente körülbelül három dollárba kerül kártyánként, addig az adatvesztés költsége alkalmanként és adatonként 300 és 600 dollár közötti összeget jelent, nem is beszélve az adatokat hanyagul kezelő cég presztízsvesztéséről. Bár a PCI DSS szabvány előírásai józan ésszel egyszerűen átgondolhatók és megérthetők, mégis előfordul, hogy a szabványnak megfelelő intézmények is csalások áldozatai lesznek. A rendszeres auditok között sajnos előfordul, hogy lazít valamelyik kártyakezelő fél és ilyenkor sérül a biztonság – válaszolta a Napi kérdésére Murhammer.

A PCI DSS audit ma Magyarországon még nem kötelező, de a hitelesített szervezeteknek akár versenyelőnyt is jelenthet, hogy a megfelelő biztonsággal kezelik ügyfeleik adatait – mondta Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója. Hozzátette, a Noreg Kft. alapítása óta foglalkozik it-biztonsági technológiákkal, amelyek a hitelkártyaadatok kezelésére vonatkozó PCI DSS szabványhoz is kapcsolódnak. Ezzel egyidejűleg kezdtek foglalkozni ISS (ma már IBM-ISS) technológiákkal is. A PCI DSS auditok során független biztonsági tanácsadóként az a feladatunk, hogy az audit 12 követelménypontját megvizsgáljuk és javaslatot tegyünk azok költséghatékony javítására – közölte Kőrös.

Kártyánként évi három dollárba kerülne a biztonságA PCI DSS szabványnak minden kártyatranzakcióban érintett félnek (aki bankkártyaadatot tárol, kezel vagy továbbít) meg kell felelnie – például kereskedők (webáruházak, hagyományos áruházak), kártyaelfogadók (bankok, kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal), szolgáltatók (több webáruházat üzemeltetők, illetve akik bankkártyaadatokat gyűjtenek). A különbség csak az érvényesítés (külső, belső audit, kérdőív) szintjében van, ami alapvetően a tranzakciószámon alapul.