Magnéitsträifen, EMV oder Verhalens-AI - wann et ëm d'Kaartenklau geet, blaffen d'Banken de falsche Bam? Wéini kucke mir op e puer richteg naass Biedem erof? Zentraliséierung, KYC a Privatsphär. Bei e puer neie Schonggrippen? Blockchain
Eng prominent russesch Bank - war viru kuerzem mat grousser Aen op eng grouss Dateverletzung vu senge Clienten duerch e puer vulnérabel Kreditkaarten.
Dëst kléngt vläicht vertraut mam Szenario e puer Joer zréck, wéi massiv Déifstall am Retail POS (Point of Sale) Foussofdréck an den USA geschitt sinn. EMV (Europay, Mastercard, Visa) sollt de Fix sinn. Awer Krimineller hunn et fäerdeg bruecht dat Zait och ze narren. Si hunn ugefaang geschniddene Smart-Card Chips mat Miniaturmikroprozessoren zesummenzestellen a si séier gefälschte Bezuelkaarte fir POS Swipes erausgeschloen. Kuckt just wat de Gemini Advisory Bericht opgeléist huet - e ganz 93 Prozent vun de geklauten Kaarten haten déi nei Chiptechnologie.
Natierlech, d'Hoffnung op EMV hält wa mir héieren wat Daten vu Visa (Juni 2019) erzielen - iwwer 3.7 Milliounen Händlerplazen akzeptéiert EMV Kaart an dës Verréckelung op EMV huet erlaabt (déi, déi mam Chip Upgrade gemaach ginn) d'Freed vun enger 87 pro Cent falen an gefälschte Kaart-verbonne Bedruch Dollar Verloschter (tëscht September 2015 bis Mäerz 2019).
Awer wéi ass et mat deene Krimineller, déi einfach an (Phew!) real, legitim, bal-Real McCoy Kredittkaarte mat aktiven EMV Chips vu Banken kréien? Alles wat se brauchen sinn synthetesch Identitéiten (werfen an real Sozialversécherungsnummeren mat gefälschte Alter an Adressen).
McAfee schätzt datt d'Cyberkriminalitéit d'Weltwirtschaft ongeféier $ 600 Milliarde kascht, oder 0.8 PC vum globale Bruttoinlandsprodukt.
De Sameer Patil, Fellow, International Security Studies Program a Sagnik Chakraborty, Fuerscher, Cybersecurity Studies Programm, Gateway House huet viru kuerzem drop higewisen wéi d'indesch Wirtschaft vu gréisstendeels Cash-baséiert gaang ass fir eng méi reegelméisseg op digitale Bezuelsystemer ofhängeg ze sinn. A wéi dës Verréckelung finanziell Inklusioun a reduzéiert Korruptioun bruecht huet, awer och den Ëmfang vun Cyberattacken an der Bezuelungsinfrastruktur vun organiséierte kriminellen Syndikater an Hacker, auslännesche Regierungen an hir Proxyen erweidert huet.
Tatsächlech sinn d'Käschte vun all Dollar vu Geschäftsbedruchverloschter vun $ 2.94 op $ 3.13 tëscht 2018 an 2019 geplënnert (seet en anere Bericht - e LexisNexis Risk Solutions studéieren). Sou vill wéi 86 Prozent vu Bedruchverloschter, déi an d'Taschen vu mëttlere bis grouss E-Commerce Händler mat digitale Wueren koumen, ass geschitt wéinst frëndlechen (1. Partei) a syntheteschen ID Konten.
Dateverloscht a mënschlecht Tamperen - net sou schwéier Punkte fir ze verbannen. Fir Kreditkaarten Segment - den Dateverloscht kann op vill Manéiere geschéien. Dir kënnt e puer Banke gesinn, déi Kreditkaarte Business duerch hir DSA (Direct Selling Agents) oder FoS (Feet on Street) kontraktuell Aarbechtskräften op gemeinsame Plazen ubidden - sou wéi Akafszentren, Retail Outlets oder op all Bürocampus etc., dofir ass et ganz ufälleg fir Dateverloscht, well de PII (Perséinlech Identifizéierbar Informatioun) an heiansdo déi existent Kredittkaartdetailer (vun anere Banken) mat de Kredittkaarte vun der Bank gedeelt Agenten oder Vertrieder fir nei Kreditt vun dëser neier Bank ze kréien, erkläert den Dharmaraj Ramakrishnan, Sr Direkter- Banking & Paiementer, FIS.
Et stellt sech eraus datt den Täter am Fall vun der rezenter russescher Bankbedruch Zougang zu Datenbanken am Kader vu senger Aarbecht hat.
All Schlësselen op engem Fob, ëm ee Fanger
De Sberbank Sécherheetsservice huet seng intern Enquête ofgeschloss an den Herman Gref, CEO, President vum Executive Board vun Sberbank huet sech an enger Ausso entschëllegt déi seet - "Mir hu vill geléiert vu wat geschitt ass a mir hunn eis Systemer nei iwwerluecht fir d'Effekter vum Mënsch ze reduzéieren. Zouverlässegkeet. Ech soen all eise Clientë Merci fir dat grousst Vertrauen, dat si an eis stellen.
Jo, Clienten setzen vill Vertrauen an dës Institutiounen an Technologien. D'Fro ass - wéi impenetrabel si se - schlussendlech? Wat wann d'ganz Iddi vu Vertrauen an Daten kéint änneren, an d'Art a Weis wéi mir op Dateverstéiss kucken?
Loosst eis mat der KYC (oder Know Your Client) Hygiène ufänken - dat ass och e Schlësseldeel vum Vertrauen op der Säit vun der Bank. Ass déi zentraliséiert Natur vun dëse KYC Daten e grousse vulnérable Punkt, iergendwéi?
All zentraliséiert Datelagerung ass vulnérabel well et en eenzege Punkt vum Zil fir béisaarteg Akteuren gëtt, aver Experten vum Gateway House.
Altaf Halde, Global Business Head, PurpleTeam ass och d'accord. "Jo, zu dësem Zäitpunkt si mir all an enger Situatioun déi eis forcéiert Schlësselprozesser ze duplizéieren an eis perséinlech Dokumenter / digital Identitéiten iwwer verschidde Servicer an iwwer verschidde Servicer ze späicheren. Dëst féiert zu enger ganz schlechter Clientserfarung. Awer méi wichteg, et erhéicht de Risiko vun Attacken an Dateverletzungen vill.
Awer de Ramakrishnan vum FIS ënnerscheet sech léiwer. "De Geschäftskader, dee mam Dateschutz Kader agebonne gëtt, ass wichteg fir de System ze schützen. Aus menger Perspektiv ass déi zentraliséiert Dateverifikatioun de richtege Wee fir ze goen well et déi eenzeg Quell vun der Wourecht ass, virausgesat datt déi zentraliséiert Datebank aktuell ass. Wéi mir op Technologie virukommen, sollte mir déi richteg Technologie fir de richtege Benotzungsfall mat der richteger Architektur benotze fir d'Datepunkten ze sichen an ze validéieren.
Hien, awer, mengt d'Benotzung vun neie Approche fir KYC. "De Reguléierer kann d'Bank ufroen fir d'PII oder d'Kreditkaartdetailer vun de potenzielle Clienten net ze sammelen, am Tour sammelen d'Benotzungstechnologie fir d'Datepunkten an Echtzäit ze validéieren andeems se mat anere Optiounen integréiert sinn."
De Pin-Cushion Murder Trick
Banken oder Finanzinstituter oder Bezuelungsindustrie Spiller, et gëtt méi wéi finanzielle Schued, deen entfält wann d'Kaarte verletzt ginn. Et gëtt Datenverloscht a Privatsphär-Abrieche - et gëtt e Grond firwat de schwaarze Maart vun Identitéitsdaten op sou enger Tréin ass.
"Dateverletzung kann PII, Geschäftsgeheimnisser, finanziell Informatioun oder souguer intellektuell Propriétéit involvéieren. Am finanzielle Segment enthalen déi allgemeng Dateverletzungsoffenbarunge perséinlech Informatioun vun de Clienten souwéi hir demographesch Informatioun. Dës Aarte vu Verstéiss kënnen zu finanzielle Bedruch, Geschäftsverloscht oder souguer Clientsverloscht féieren. Ramakrishnan Zauber et aus.
Also wann net EMV, wat dann? News huet et datt Visa un enger Plattform schafft fir seng Ingenieuren ze hëllefen d'Geschwindegkeet ze testen fir fortgeschratt Kënschtlech Intelligenz (AI) Algorithmen ze testen déi Kredittkaartbedruch entdecken a verhënneren.
Banke kënne sou vill wéi $ 12.4 Milliarden am Joer 2023 op AI ausginn - fir Initiativen wéi Bedruchanalyse - wéi pro IDC Schätzungen
Awer wat wann d'Donnéeën déi AI Algorithmen crunchen nach ëmmer op de Serveren oder Infrastrukture vun engem Finanzspiller wunnen? Nach eng Kéier, eng eenzeg Schlag Affär fir jiddereen deen et klauen wëll. Loosst eis och net blann sinn fir de séieren Opstig vun der adversarescher AI. Ugräifer ginn nach méi raffinéiert fir Deep-Learning Systemer ze dupe wéi d'Zäit klickt.
D'Halde erënnert, wéi mir all Zeie sinn, datt dës Risiken an der leschter Zäit ëm déi zweet wuessen. Wann e Verstouss geschitt, ginn déi ganz Daten oder deelweis Donnéeën kompromittéiert, déi am zentrale Repository sinn. Dofir ass et ëmmer ugeroden zukünfteg Technologien inklusiv Blockchain ze benotzen fir dës zukünfteg technologesch Bedrohungen ze konfrontéieren. Blockchain kann op eng faséiert Manéier agefouert ginn fir de KYC Prozess ze dezentraliséieren, Gateway House Experten proposéieren datselwecht.
Ramakrishnan recommandéiert och en Technologie-baséiert Prozess deen d'manuell Datesammlung vermeide kann an d'Datepunkte mat Dateverschlësselung um Datebankniveau schützen.
Wéi de McAfee Bericht ënnersträicht, muss d'Finanzwelt op oppen Datearchitekturen, Standardiséierung vu Bedrohungsdaten, Mëttele vu méi séier a méi déif Zesummenaarbecht tëscht Sécherheetsautoritéiten a Spiller iwwerall op der Welt verbreet ginn. D'Moyene fir vill vun dëse Léisungen - och Berichterstattung, interessant, kann op enger Plaz leien - de Blockchain.
Et ass wichteg ze verstoen datt d'Bezuelungsindustrie net wëllt datt Daten geklaut ginn, dofir sinn an de meeschte Cyberattacke Fäll, Banken a Bezuelungsléisungs Ubidder transparent, sou wéi Gateway House Experten och streiden. "D'Bedierfnes ass awer datt Dateverstéiss an Cybersecurity Tëschefäll direkt gemellt ginn."
Eng Politik Fuerschung Pabeier vum Gateway House an Zesummenaarbecht mam Swift Institut hat och eng interessant Empfehlung an der selwechter Aart: Bezuelveraarbechter sollen d'Konsumenten erlaben Daten duerch en Zoustëmmungsdashboard ze kontrolléieren, wouduerch se hir perséinlech a Bezuelungsdaten op Websäiten iwwerpréiwen, änneren oder läschen, wéi z. -commerce Siten.
Plus, et bemierkt datt d'Bezuelungsindustrie eng Industriebreet Plattform muss kreéieren fir klasséiert, onklassifizéiert an Open-Source Informatioun iwwer Cyberattacken a Bedrohungsvektoren ze deelen.
Wéi e schlauen Attentäter dee méi wéi een Zil op der selwechter Plaz ermordet fir et schwéier ze maachen ze verfolgen wien een ëmbruecht huet a firwat - eng clever Sécherheetsstrategie kann och dësen dezentraliséierten Effekt zu sengem Virdeel benotzen. Verbreed d'Ziler a schwächt d'Kraaft. Maacht de System Vertrauensmanner a sprëtzen echt Vertrauen. Gitt d'Kraaft vun der Kontroll zréck un déi, déi am meeschte leiden wann grouss Ticketen Déifstall geschéien.
D'Arrivée vu Blockchain mécht dat alles net nëmme plausibel, awer elo praktesch-einfach. Et ass net déi eenzeg Äntwert, awer et kann eng gutt sinn fir mat ze starten.
Dat eenzegt wat et schwéier mécht ass de Wëllen d'Datekontroll ze loossen. Et ass net eng Reform vun der Technologie, mee vun engem haart verankert Gedanken.
Net sou einfach ewech ze swipen. Et ass jo keng Kreditkaart.