13.2.2009 | 12:15
Heartland málið er grafalvarlegt
Það er stutt á milli stóru kortasvika málanna. Heartland málið er búið að vera mikið í umfjöllun erlendra fjölmiðla, þó það hafi ekki ratað hingað fyrr en nú. Fyrirtækið tilkynnti um öryggisbrotið daginn áður en Obama tók við embætti og var gert grín að því, að menn ætluðu að fela það í havaríinu í kringum embættistökuna.
Brot þetta er alvarlegra en fyrri innbrot í leit að kortaupplýsingum, vegna þess að Heartland er svo kallaður "processor" eða vinnsluaðili. Það þýðir að hann safnar saman færslum frá söluaðilum og sendir síðan áfram til færsluhirðanna, en eitt af hlutverkum færsluhirða er að veita heimildir fyrir úttektum. (Hér á landi er VALITOR dæmi um færsluhirði, en Median dæmi um "processor".)
Beitt var svipaðri aðferð og hafði verið notuð hjá TXJ verslunarkeðjunni fyrir nokkrum árum, þ.e. komið var fyrir laumurás eða Trójuhesti í kerfinu sem síðan sendi upplýsingar um kortanúmer til svikaranna. Mjög illa gekk að finna óværuna og höfðu nokkrir hópar sérfræðinga skannað kerfi Heartland áður en óværan fannst á "ónotuðum" hluta diskastæðu fyrirtækisins. Þetta er til marks um hversu háþróaðar þessar árásir eru orðnar. En alvarleiki brotsins reyndist meiri, en í TXJ málinu, þar það kom í ljós að Heartland skráði hjá sér meiri upplýsingar um kort, en fyrirtækið mátti gera. Það skráði hjá sér innihald segulrandar korta. Þetta er algjört tabú í kortaöryggismálum og mun leiða til þess að fyrirtækið mun fá hærri sektir en nokkur dæmi eru um og þó voru sektir TXJ háar.
Fyrir nokkrum árum ákváðu samtök greiðslukortafyrirtækja (Payment Card Industry eða PCI) að gefa út gagnaöryggisstaðal (Data Security Standard eða DSS). Er hann þekktur undir skammstöfuninni PCI DSS. Heartland uppfyllti að eigin sögn kröfur staðalsins og hafði hlotið vottun um það. En PCI DSS bannar fortakalaust að upplýsingar af segulröndum séu vistaðar. Fyrirtækið hefur því silgt undir fölsku flaggi hvað þetta varðar. Að hér sé um að ræða einn stærsta processor í heimi og hann hafi kosið að brjóta PCI DSS reglurnar á jafn ófyrirleitan hátt, er alveg út í hött. Það sem er síðan ennþá fáránlegra, er að fyrirtækið stærir sig af því að vera fullkomlega öruggt! Menn kunna ekki að skammast sín. (Minnir þetta mig óneitanlega á íslenska fjármála- og stjórnmálamenn, sem gerðu ekkert rangt, en settu samt allt á hliðina.)
PCI DSS nær líka til Íslands
PCI DSS nær einnig til Íslands. Fyrirtæki sem taka við kortum þurfa að uppfylla staðalinn, þó gerðar séu mismunandi kröfur eftir stærð fyrirtækja. Hvort það eru þessar reglur eða einhverjar aðrar, þá verða menn að hafa í huga að ástæður fyrir innleiðingu öryggisráðstafana eiga fyrst og fremst að koma frá rekstrinum sjálfum. Öll fyrirtæki eiga sér viðskiptaleg og rekstrarleg markmið. Til þess að ná þessum markmiðum, þá þarf ýmislegt að ganga upp og sneiða þarf hjá ýmsum hindrunum. Í viðskiptalegu og rekstrarlegu umhverfi eru ýmsar ógnir sem getað valdið tjóni og dregið úr líkum á að markmiðin náist. Við þurfum ekki annað en að horfa á íslenskt þjóðfélag í dag. Hér á landi er í gangi hamfarastormur sem að talsverðu leiti er hægt að rekja til fyrirhyggjuleysis og þess að mönnum sást ekki fyrir í ákafa sínum.
Stjórnendur fyrirtækja kvarta oft hástöfum yfir eftirlitsaðilum þjóðfélagsins. Hvort það er Persónuvernd, Heilbrigðiseftirlit, Vinnueftirlit, Fjármálaeftirlit, Samkeppnisstofnun eða Póst- og fjarskiptastofnun, mönnum vex í augum kostnaðurinn sem af öllu þessu eftirliti hlýst. Ja, mig langar að benda mönnum á, að þessu eftirliti hefur ekki verið komið á að ástæðulausu. Ástæðan var eftirlitsleysi stjórnenda með starfsemi fyrirtækja sinna. Ástæðan er að menn voru ekki að innleiða sjálfsagðar ráðstafanir til að tryggja hollustu í matvælaframleiðslu, vernd persónuupplýsinga eða fjárhagsupplýsinga. Eftirlitsiðnaðurinn er orðinn það sem hann er orðinn vegna vanrækslu allt of margra í að passa sjálfan sig. Ég tek á mig hluta af ábyrgðinni. Ég hef ekki verið nógu duglegur að selja mönnum þjónustu mína. Mér hefur allt of oft mistekist að sannfæra stjórnendur fyrirtækja að þeir eigi að taka áhættustjórnun og stjórnun rekstrarsamfellu nógu alvarlega til að vilja framkvæma áhættumat og áhrifagreiningu, til að innleiða ráðstafanir, til að viðhalda ráðstöfunum í takt við breytingar á rekstrarumhverfi og til að stunda innra eftirlit.
Mér finnst það ótrúlegt að mörg íslensk fyrirtæki hafa ennþá ekki séð ástæðu til að innleiða ráðstafanir vegna PCI DSS, þrátt fyrir að kortafyrirtækin og Fjölgreiðslumiðlun hafi ítrekað gengið á eftir þeim og varað þau við. Önnur fyrirtæki hafa innleitt eitthvað sem þau telja fullnægjandi, en átta sig svo ekki á því að þau skyldu bakdyrnar eftir opnar. Að tugur eða hundruð þúsund kortanúmera hafi verið eða séu berskjölduð í upplýsingakerfum fyrirtækja er gjörsamlega óásættanlegt, en það er samt hinn íslenski raunveruleiki. Það sem mér þykir samt verst í þessu, er að stjórnendur fyrirtækja álíta að þessi mál séu viðfangsefni upplýsingatæknimanna, þegar þetta er í raun og veru viðfangsefni rekstrarins. Það getur verið að upplýsingatæknifólk þurfi að aðstoða við innleiðingu úrræða, en viðfangsefnið er rekstrarins og þar liggur ábyrgðin líka. (Tekið skal fram að þessi sofandi háttur gagnvart öryggismálum nær til mun fleiri þátta og t.d. held ég að fjöldi fyrirtæki átti sig ekki á því að þau þurfa að innleiða öryggiskerfi persónuupplýsinga og hafa því ekki gert það.)
Nánari upplýsingar um PCI DSS er hægt að nálgast hér.
Því má svo bæta við, að kreditkortanúmer ganga kaupum og sölu á netinu. Algengt verð er á bilinu 5 - 50 USD, en segulrandarupplýsingar seljast 500 - 2500 USD. Kaupi menn kippu, þá býðst afsláttur. Nýjum seljendum er almennt tekið með mikilli varúð og er því haldið fram að um einokunarmarkað sé að ræða. Þróun undanfarinna ára, er að þrjótarnir beita hnitmiðuðum vírusaárásum á tiltekinn aðila, þar til að þeir finna leið inn í kerfið. Gögnum er þá gjarnan hlaðið niður. Næst er haft samband við aðilann, sem varð fyrir árásinni og honum boðið að kaupa hinar stolnu upplýsingar. Verði hann við því, er greiðslan innt af hendi og gögnunum eytt. Vilji hann ekki eiga viðskipti, eru kortanúmerin sett í sölu. Flestir þrjótarnir eru þekktir af yfirvöldum á vesturlöndum, en þeir búa á móti í fyrrum lýðveldum Sovétríkjanna. Einnig er nokkur hópur þeirra Bandaríkjamenn. Þeir halda reglulega ráðstefnur, þar sem þeir skiptast á upplýsingum um aðferðir og árangur. Talið er að sá hópur sem er virkastur í þessum svikum telji eingöngu milli 20 - 30 manns. (Upplýsingarnar eru fengnar frá fyrirlesurum á ráðstefnunni CISO Executive Summit 2008 sem haldin var í Búdapest í Ungverjalandi sl. sumar.)
2.000 íslensk Visakort í athugun | |
Tilkynna um óviðeigandi tengingu við frétt |
Heimsóknir
Flettingar
- Í dag (21.11.): 4
- Sl. sólarhring: 4
- Sl. viku: 38
- Frá upphafi: 1680019
Annað
- Innlit í dag: 4
- Innlit sl. viku: 34
- Gestir í dag: 4
- IP-tölur í dag: 4
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Helvíti góð grein.
eysi, 13.2.2009 kl. 12:40
Gott að þú skulir benda á mikilvægi PCI staðlanna. Það er vissulega sorglegt hversu margir trassa að láta votta sín greiðslukerfi, og enn verri eru tilfelli þar sem menn þykjast vera með vottun og hafa hana jafnvel án þess að kerfi þeirra uppfylli einu sinni allar kröfur sem gerðar eru í vottunarferlinu. Það gefur ekki bara falska öryggiskennd heldur getur það grafið undan trúverðugleika öryggisstaðalsins og netviðskipta almennt.
Ég hef bæði unnið við forritun greiðslukerfa og skoðað hugbúnað sem aðrir hafa skrifað í þeim tilgangi. Ég tel óhætt að fullyrða að það heyri algerlega til undantekninga að íslensk fyrirtæki séu með þessa hluti nálægt því í lagi. Ég veit t.d. um tilfelli þar sem kortafyrirtækin sjálf hafa ráðlagt fyrirtækjum að geyma kortanúmer viðskiptavina til þess að geta gert hluti eins og að skipta greiðslum niður á nokkra mánuði eða innheimta notkunargjöld o.þ.h. með reglulegu millibili. Slík innheimta er fullkomlega leyfileg ef rétt er að henni staðið, en að geyma öll kortanúmerin á einum stað er hinsvegar snargalið nema maður sé hreinlega með lið manna í vinnu við að verja þau.
Kortaþjónustan, sem að mínu mati er lengst á veg komin í þessum málum (og ljósárum á undan Valitor/Kreditkort!) býður upp á lausn þar sem hægt er að útfæra þetta án þess að nokkursstaðar þurfi að geyma nein kortanúmer og þá eru raðgreiðslurnar "garanteraðar" jafn öruggar og venjulegar eingreiðslur. Ég vil eindregið mæla með því að þeir sem ætla að útfæra slík kerfi kynni sér þjónustuna hjá þeim, húna er bæði tæknilega fremri og ódýrari en þjónustu stóru risanna. Ég tek það fram að ég hef engra hagsmuna að gæta og hef engin sérstök tengsl við Kortaþjónustuna, heldur er þetta aðeins byggt á faglegu mati. Ef einhvern vantar hinsvegar ráðgjöf eða þjónustu við forritun greiðslukerfa þá er ég á lausu, og því má kannski segja að ég sé að plögga sjálfan mig alveg skammarlaust með þessu! ;)
Guðmundur Ásgeirsson, 13.2.2009 kl. 14:21
Bestu þakkir fyrir góðar og vel fram settar upplýsingar.
Kreditkort geta verið varhugaverð og sérstaklega þegar um háar fjárhæðir er að ræða.
Spurning hvort notkun kreditkorta geta ekki einnig haft góða kosti, t.d. auðveldað skattyfirvöldum að haldgóðum upplýsingum um stórfé sem skotið hefur verið undan skatti. Nú hefur verið gríðarlegum fjármunum verið beint út úr landinu af bröskurum í skattaparadísir. Þegar þessir sömu aðilar leggja út stórfé þá er eðlilegt að skattyfirvöld vilji fá upplýsingar um uppruna og not þess fjár. Þar gætu tölvutækar upplýsingar kreditkorta verið mjög ganlegar ti að styrkja rökstuddan grun um afbrot sem tengist einnig peningaþvætti og skattsvikum.
Mosi
Guðjón Sigþór Jensson, 13.2.2009 kl. 14:47
Guðmundur, ég veit svo sem ekki hvernig Kortaþjónustan hefur þetta, en ég veit að breski pósturinn fór þessa leið til að komast hjá of viðamikilli innleiðingu. Hver afgreiðsla var bara það, en gögnin voru vistuð miðlægt. Þannig var komist hjá því að innleiða PCI á hverjum stað. Þeir töldu sig hafa sparað háar upphæðir á því og minnkað flækjustigið mikið.
Marinó G. Njálsson, 14.2.2009 kl. 00:11
Sæll Marinó,
Góður pistill eins og venjulega. Kortaþjófnaður er hið versta mál. Við höfum selt hugbúnað á vefnum í tæp 8 ár og höfum nú viðskipti við 4 "process" fyrirtæki sem taka við greiðslum fyrir okkur. Við höfum lent í því að selja aðilum sem hafa verið með stolin kort og það hefur komið niður á sölu hjá okkur.
Við lentum í því fyrir rúmum 4 árum að það var brotist inn í gagnagrunn sem var tengdur innkaupakörfu (shopping cart) kerfi hjá öðrum aðila. Körfu forritið var ekki nægilega vel hannað þannig að ef hætt var við kaup eða pöntun fór ekki í gegn af einhverjum ástæðum þá var pöntunin ásamt korta númeri og persónuupplýsingum viðkomandi geymd í gagnagrunninum, þrátt fyrir að karfan væri sett upp til að geyma EKKI kortanúmer! Einhver "hakkaði" sig inn og náði þessum upplýsingum og gat þar með farið um vefinn og keypt hvað sem fyrir var! Við og aðrir forritarar í þessum bransa töpuðum tugum þúsunda dollara á þessu ævintýri og þetta kom niður á sölu hjá okkur í marga mánuði á eftir. Þetta olli vantrausti bæði hjá kaupendum gagnvart seljendum og eins hjá seljendum gagnvart kaupendum og maður var að tékka hverja sölu til að vera nú alveg viss hvort allt væri í lagi.
Kveðja frá Port Angeles:)
Arnór Baldvinsson (IP-tala skráð) 14.2.2009 kl. 07:08
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.