Aranyvasárnap hétvégéjén kerültek bajba a kártyatulajdonosok

2011. december 20.

Támad a kiberbűnözés (számítógépes bűnözés), de lehet védekezni ellene

Ismét aggodalomra adott okot a múlt héten minden bankkártyával rendelkező számára az a hír, miszerint sajtóértesülések szerint bankkártya-információk kerülhettek illetéktelenek kezébe adatszivárgás következtében. A karácsonyi vásárlás és készülődés közepette ez az incidens ijedelmet okozhatott a vásárlóknak.

A kiberbűnözés, azaz a számítógépes bűnözés terén eseménydús évet tudhatunk magunk mögött. Elég, ha csak a Citigroup és a Sony 2011-ben nyilvánosságra hozott eseteire gondolunk, illetve az elmúlt héten kiszivárgott bankkártya információkra. Utóbbi esetében a Román Bankszövetség és a román CEC bank már múlt hét szerdán közleményt adott ki arról, hogy bankkártya-információk kerülhettek illetéktelenek kezébe és sajtóértesülések szerint a CEC bank 17.000 bankkártya azonnali letiltásáról gondoskodott. Csütörtökön már a hazai internetes médiában is olvashattunk a hírről, majd ezt követően pedig a hazai pénzintézetek is megfelelő óvintézkedéseket tettek az illegális bankkártya használat ellen.

 „Többeket érintett közülünk is kellemetlenül a vélhetően hackertámadás következményeként vagy egyéb okból tett intézkedés múlt hét végén, a karácsonyi bevásárlás előtt.  Azokat sem lehet irigyelni, akik késő este hazafelé az autópályán megálltak tankolni és csak a kasszánál szembesültek azzal, hogy kártyájuk letiltásra került.”- nyilatkozza Major Andrea, a PwC cégtársa.

Mi a teendő bankkártyánk biztonságának megőrzése érdekében?

  • Szükséges átgondolni vásárlási szokásainkat a saját biztonságunk érdekében. Válogassuk meg, hogy mely internetes kereskedőnek adjuk meg adatainkat.
  • Internetes vásárlásainkhoz használjunk egy külön erre a célra fenntartott bankkártyát. Egyre több bank kínál az internetes vásárlások számára ún. virtuális bankkártyát és egy ehhez tartozó elkülönített alszámlát. Az ilyen virtuális bankkártyák használatával növelhetjük internetes vásárlásaink biztonságát, hiszen még ha illetéktelen kézbe kerül is a kártyánk, egy rendszerint üres bankszámla áll csupán a csalók rendelkezésére.
  • Az internetes vásárlásaink biztonságát tovább fokozhatjuk azzal, ha adatainkat nem adjuk meg minden egyes kereskedőnek, hanem csupán egy internetes vásárlásokat lebonyolító cégnek.
  • Kérjünk SMS értesítést a bankkártya használatról és rendelkezzünk a napi vásárlási és készpénzfelvételi értékhatárokról is a vásárlási szokásainknak megfelelően.
  • Illetéktelen hozzáférés gyanúja esetén legyünk felkészülve a bankkártyánk vásárlási limitjeinek azonnali nullázására, vagy a kártya azonnali letiltására, a bank ügyfélszolgálatán, vagy a netbank rendszeren keresztül.
  • Tartsunk magunknál valamennyi készpénzt is arra az esetre, ha a bankkártya nem használható.

A fenti javaslatok megfogadásával a múlt heti incidens persze nem lett volna megelőzhető, azonban az incidensről szóló hírek hallatán, de legkésőbb a bankkártya forgalmat jelző SMS beérkezését követően lehetőségünk van letiltani a kártyánkat és csökkenteni az esetleges károkat.

Szabályozás és figyelemfelhívás
2009-ben a Heartland Payment System hozott nyilvánosságra egy hackertámadást, amelyet minden idők egyik legnagyobb számítógépes csalásának neveznek. Körülbelül 130 millió bankkártya adatai kerültek a csalók kezébe. A Heartland óriási kártérítést fizetett. Csupán a kártyakibocsátó társaságoknak több, mint 100 millió dollárt. A támadásért többek között Albert Gonzalest tették felelőssé, aki az Interneten fellelhető cikkek szerint az Amerikai Titkosszolgálatnak is dolgozott, informátorként. Gonzalest 2010-ben 20 év börtönre ítélték tettéért.

Nem egyedi eset tehát a mostani, és ezt már a szabályozók is figyelembe vették. Viviane Reding, a Európai Unió igazságügyi biztosa a Citigroup, a Sony és más elhíresült esetek kapcsán júniusban ismét figyelmeztette a pénzügyi szektor képviselőit, hogy megfelelő időben értesíteniük kell ügyfeleiket, amennyiben adataik illetéktelen kézbe kerülhettek. Reding az EU adatvédelmi szabályainak átdolgozását is szorgalmazta, amely szerint minden, az EU-ban működő vállalatnak kötelessége lenne értesíteni ügyfeleit az adatbiztonság súlyos megsértéséről. A csalások nyilvánosságra hozására irányuló törekvés tehát alapvető elvárássá vált. Magyarországon is további feladatokat jelent még az adatvédelmi és a törvénykezési szerveknek.


A "bankkártya ipar" adatbiztonsági szabványa (PCI DSS) a készpénzkímélő fizetőeszközök használatához szükséges IT infrastruktúrával szemben támasztott IT biztonsági követelményrendszert foglalja össze. A bankkártyával történő vásárlás során a tranzakció feldolgozásában részt vevő szervezeteknek ezen követelményrendszernek történő megfelelősége segít a hasonló incidensek megelőzésében. A követelményrendszer végigvezeti a szervezetet a lehetséges veszélyeken és útmutatót ad az infrastruktúra és az alkalmazások biztonságossá tételéhez. A PCI DSS megfelelő alkalmazásával a bankkártyák használatának teljes folyamata kellőképpen biztonságosabbá tehető. (Tévhitek a PCI DSS-ről lásd lent.)

Az IT rendszerek biztonságának buktatói

Aki valamit el akar lopni, az el is lopja – szól a mondás. Hiába rendelkeznek cégek a szükséges eszközökkel és ismeretekkel rendszereik biztonságos üzemeltetéséhez, mégis szinte kivétel nélkül lehet találni legalább egy olyan gyenge pontot a rendszerben, amelyet kihasználva viszonylag gyorsan át lehet venni az irányítást a rendszer felett. Ezért az IT rendszerek üzemeltetőinek számos kihívással kell megküzdeniük, ha az adatok és rendszereik biztonsága kerül szóba, módszereiket és védelmi módszereiket is folyamatosan modernizálniuk kell.

A problémás területek egyik példája a szoftverfrissítések kezelése. Tapasztalataink azt mutatják, hogy az esetek többségében ezek a frissítések nincsenek megfelelően kezelve, olykor több éves lemaradásban vannak a rendszer üzemeltetői a frissítések telepítésével a hackerekkel szemben. Egy másik példa az adatszivárgás elleni védekezés. Egyre több vállalatnál létezik adatkezelési szabályzat, vagy éppen USB kulcsok használatára vonatkozó szabályzat. Azonban bármilyen kiterjedt is egy szervezet védekezése, akkor még mindig ki van téve a leggyengébb láncszem, az emberi tényező elleni támadással szemben. Léteznek már olyan védekező mechanizmusok, melyek fő célja az emberi tényező gyengeségének kimutatása.

Összegezve az információs rendszerek és az adatok védelméhez elengedhetetlenül szükséges egy többszintű védelmi rendszer kiépítése és rendszeres tesztelése, emellett alapos biztonságtudatossági oktatás szükséges az alkalmazottak számára. Nem utolsó sorban pedig a bankkártya használók részéről a tudatos felhasználói magatartás segít a hasonló kellemetlen incidensek megelőzésében.

Szerkesztői megjegyzések:

Tévhitek a PCI DSS-ről:

"Kitöltöttük az önértékelő kérdőívet, tehát most már biztonságban vagyunk."

Való igaz, hogy bizonyos esetekben a PCI DSS lehetőséget ad az önértékelő kérdőívek kitöltésére és nem követeli meg a független szakértő által elvégzett biztonsági tesztelést. Ahogy az is előfordulhat, hogy a PCI DSS megfelelőség csak a kérdőív kitöltésekor érvényes, egy következő rendszermódosítás során pedig sérül a megfelelőség, sérülékennyé válik az informatikai rendszer, amely sérülékenység miatt hacker támadás áldozatául eshet a rendszer és az ügyfelek is. Az önértékelő kérdőív kitöltése ilyen esetben hamis biztonságérzetet nyújt csupán. A kártyabirtokosok adatainak biztonsága a rendszerek folyamatos ellenőrzését és felügyeletét igényli. – Idézet a pcisecuritystandards.org oldalról.

"A PCI miatt kell eltárolnunk a kártyabirtokosok adatait."

Mind a PCI DSS mind pedig a bankkártya kibocsátók határozottan ellenzik a kártyabirtokosok adatainak eltárolását a kereskedők, vagy a kártyaműveletek feldolgozóinak számítógépes rendszerein. Szükségtelen, sőt tilos a mágneses adathordozó adatainak eltárolása. Ha a kereskedőnek, vagy a kártyaműveletek feldolgozójának szüksége van egyes kártyainformációk eltárolására, a PCI DSS alapján ezeket az adatokat csak titkosítva szabad eltárolni. - Idézet a pcisecuritystandards.org oldalról.

A PwC Globális Gazdasági Bűnözés Felmérése felhívja a figyelmet a számítógépes bűnözés veszélyeire Magyarországon:

•  A magyarországi válaszadók még mindig alábecsülik a számítógépes bűnözéssel kapcsolatos veszélyeket. Míg globális szinten a válaszadók 39%-a érezte úgy, hogy a számítógépes bűnözéssel kapcsolatos veszélyek emelkedtek a vállalatra nézve az elmúlt 12 hónapban, addig a magyar válaszadók pusztán 14%-a érezte úgy, hogy a számítógépes bűnözés kockázatai növekedtek a vállalatukra nézve.

• A felmérés azt is megállapította, hogy a magyar résztvevők kevésbé aggódnak a számítógépes bűnözés okozta károk és anyagi veszteségek miatt, mint a regionális és nemzetközi társaik. Míg nemzetközi szinten a válaszadók 40%-a, addig Magyarországon a válaszadók csupán 27%-a aggódik nagyon a számítógépes bűnözés hírnévnek okozott káraitól.

• A félelem hiánya a tudatosság hiányával is összefügghet. Aggasztó, hogy a válaszadók 42%-a semmilyen számítógépes bűnözés kockázataira felhívó oktatást nem kapott az elmúlt 12 hónapban

– ami arra utalhat, hogy potenciálisan nem is ismerik a vállalatukat fenyegető számítógépes bűnözésből fakadó kockázatokat.

• A hazai válaszadók több mint fele (58%) érzi úgy, hogy a számítógépes bűncselekmények főként külső veszélyforrást jelentenek a vállalatra, és csak 21% állította azt, hogy mind belső mind külső kockázatnak érzi a számítógépes bűnözést. Ez jóval alacsonyabb a régiós (43%) és globális (42%) aránynál. A tapasztalatok azt mutatják, hogy a belső kockázatok elhanyagolása igen veszélyes lehet, gondoljunk csak a vállalaton belüli számítógépes betörőkre, akik saját céljaikra próbálják a vállalat adatait ellopni.

• A magyar válaszadók 36%-a állítja, hogy vállalatuk nem rendelkezik a számítógépes bűnözés megelőzéséhez és felderítéséhez szükséges belső erőforrásokkal, 73%-uk pedig jelezte, hogy vállalatuk vagy nem követi figyelemmel a közösségi média oldalak használatát vagy a válaszadó nem tud erről.

A PwC-ről

A világ 158 országában jelenlévő PwC hálózat 169 ezer szakértője minőségi könyvvizsgálati, adó és tanácsadási szolgáltatásokat nyújt, hozzásegítve ügyfeleit a számukra fontos értékek megteremtéséhez.