Aranyvasárnap hétvégéjén kerültek bajba a kártyatulajdonosok

A kiberbűnözés, azaz a számítógépes bűnözés terén eseménydús évet tudhatunk magunk mögött. Elég, ha csak a Citigroup és a Sony 2011-ben nyilvánosságra hozott eseteire gondolunk, illetve az elmúlt héten a bankkártyás fizetőeszközök ellen irányuló újabb sikeres hackertámadásra. Utóbbi esetében a Román Bankszövetség és a román CEC bank már múlt hét szerdán közleményt adott ki arról, hogy bankkártya-információk kerülhettek illetéktelenek kezébe és sajtóértesülések szerint a CEC bank 17.000 bankkártya azonnali letiltásáról gondoskodott. Csütörtökön már a hazai internetes médiában is olvashattunk a hírről, pénteken pedig a hazai pénzintézetek is letiltották a csalás áldozatául esett bankkártyákat.

 „Vélhetőleg sokakat érintett kellemetlenül a hackertámadás következményeként tett intézkedés péntek délután, a karácsonyi bevásárlás előtt.  Azokat sem lehet irigyelni, akik késő este hazafelé az autópályán megálltak tankolni és csak a kasszánál szembesültek azzal, hogy kártyájuk letiltásra került.”- nyilatkozza Major Andrea, a PwC cégtársa.

Mi a teendő bankkártyánk biztonságának megőrzése érdekében?

- Szükséges átgondolni vásárlási szokásainkat a saját biztonságunk érdekében. Válogassuk meg, hogy mely kereskedőnek adjuk meg adatainkat.

- Internetes vásárlásainkhoz használjunk egy külön erre a célra fenntartott bankkártyát. Egyre több bank kínál az internetes vásárlások számára ún. virtuális bankkártyát és egy ehhez tartozó elkülönített alszámlát. Az ilyen virtuális bankkártyák használatával növelhetjük internetes vásárlásaink biztonságát, hiszen még ha illetéktelen kézbe kerül is a kártyánk, egy rendszerint üres bankszámla áll csupán a csalók rendelkezésére.

- Az internetes vásárlásaink biztonságát tovább fokozhatjuk azzal, ha adatainkat nem adjuk meg minden egyes kereskedőnek, hanem csupán egy internetes vásárlásokat lebonyolító cégnek.

- Kérjünk SMS értesítést a bankkártya használatról és rendelkezzünk a napi vásárlási és készpénzfelvételi értékhatárokról is a vásárlási szokásainknak megfelelően.

- Illetéktelen hozzáférés gyanúja esetén legyünk felkészülve a bankkártyánk vásárlási limitjeinek azonnali nullázására, vagy a kártya azonnali letiltására, a bank ügyfélszolgálatán, vagy a netbank rendszeren keresztül.

- Tartsunk magunknál valamennyi készpénzt is arra az esetre, ha a bankkártya nem használható.

A fenti javaslatok megfogadásával a múlt heti incidens persze nem lett volna megelőzhető, azonban az incidensről szóló hírek hallatán, de legkésőbb a bankkártya forgalmat jelző SMS beérkezését követően lehetőségünk van letiltani a kártyánkat és csökkenteni az esetleges károkat.

Szabályozás és figyelemfelhívás

Nem egyedi eset tehát a fenti, és ezt már a szabályozók is figyelembe vették. Viviane Reding, a Európai Unió igazságügyi biztosa a Citigroup, a Sony és más elhíresült esetek kapcsán júniusban ismét figyelmeztette a bankokat és a pénzügyi szektor képviselőit, hogy időben értesíteniük kell ügyfeleiket, amennyiben adataik illetéktelen kézbe kerülhettek. Reding az EU adatvédelmi szabályainak átdolgozását is szorgalmazta, amely szerint minden, az EU-ban működő vállalatnak kötelessége lenne értesíteni ügyfeleit az adatbiztonság súlyos megsértéséről.

2009-ben a Heartland Payment System hoztak nyilvánosságra egy hackertámadást, amelyet minden idők egyik legnagyobb számítógépes csalásának neveznek, mert körülbelül 130 millió bankkártya adatai kerültek a csalók kezébe. A Heartland óriási kártérítést fizetett. Csupán a kártyakibocsátó társaságoknak több, mint 100 millió dollárt. A támadásért többek között Albert Gonzalest tették felelőssé, aki az Interneten fellelhető cikkek szerint az Amerikai Titkosszolgálatnak is dolgozott, informátorként. Gonzalest 2010-ben 20 év börtönre ítélték tettéért. A csalások nyilvánosságra hozására irányuló törekvés tehát alapvető elvárássá vált. Magyarországon is további pontosítást jelent még az adatvédelmi és a törvénykezési szerveknek.

A "bankkártya ipar" adatbiztonsági szabványa (PCI DSS) a készpénzkímélő fizetőeszközök használatához szükséges IT infrastruktúrával szemben támasztott IT biztonsági követelményrendszert foglalja össze. A bankkártyával történő vásárlás vagy automatából történő készpénzfelvétel során a tranzakció feldolgozásában részt vevő szervezeteknek meg kell felelniük ezen követelményrendszernek. A követelményrendszer végigvezeti a szervezetet a lehetséges veszélyeken és útmutatót ad az infrastruktúra és az alkalmazások biztonságossá tételéhez. A PCI DSS megfelelő alkalmazásával a bankkártyák használatának teljes folyamata kellőképpen biztonságossá tehető. (Tévhitek a PCI DSS-ről lásd lent.)

Az IT rendszerek biztonságának buktatói

Aki valamit el akar lopni, az el is lopja – szól a mondás. Hiába rendelkeznek cégek a szükséges eszközökkel és ismeretekkel rendszereik biztonságos üzemeltetéséhez, mégis szinte kivétel nélkül lehet találni legalább egy olyan gyenge pontot a rendszerben, amelyet kihasználva viszonylag gyorsan át lehet venni az irányítást a rendszer felett. Ezért az IT rendszerek üzemeltetőinek számos kihívással kell tehát megküzdeniük, ha az adatok és rendszereik biztonsága kerül szóba, módszereiket és folyamatosan modernizálniuk kell védelmi.

A problémás területek egyik példája a szoftverfrissítések kezelése, mert a tapasztalatok azonban azt mutatják, hogy az esetek túlnyomó többségében ezek a frissítések nincsenek megfelelően kezelve, mert olykor több éves lemaradásban vannak a rendszer üzemeltetői a frissítések telepítésével a hackerekkel szemben. Egy másik példa az adatszivárgás elleni védekezés. Egyre több vállalatnál létezik adatkezelési szabályzat, vagy éppen USB kulcsok használatára vonatkozó szabályzat. Azonban bármilyen kiterjedt is egy szervezet védekezése, akkor még mindig ki van téve a leggyengébb láncszem, az emberi tényező elleni támadással szemben. Azonban léteznek már olyan védekező mechanizmusok, melyek fő célja az emberi tényező gyengeségének kimutatása. Ezek ellen csak jól szervezett biztonsági előírásokkal és alapos oktatással, biztonságtudatossági tréningekkel lehet védekezni.

Annak érdekében, hogy minél kevésbé legyünk kiszolgáltatva a különböző támadásoknak és kiszűrhetővé váljon az emberi mulasztásból eredő bármilyen hiba lehetősége, jól szervezett biztonsági előírások és alapos biztonságtudatossági oktatás szükséges. Az információs rendszerek és az adatok védelméhez elengedhetetlenül szükséges egy többszintű védelmi rendszer kiépítése és rendszeres tesztelése. Ezek fejlesztésével nem fordulhat majd elő, hogy fedezet nélkül vág neki bárki is a karácsonyi nagybevásárlásnak.