Bloggfærslur mánaðarins, maí 2011
4.5.2011 | 02:03
Sony uppvíst að brotum á PCI DSS öryggisreglum - Notendur vakti kortafærslur og netsöluaðilar hafi varann á sér
Miklar fréttir berast frá Sony raftækjaframleiðandanum. Yfir 100 milljónum notendaupplýsingum var stolið við innbrot inn á Sony Playstation Network. Það sem verra er, að tugir milljóna kreditkortupplýsinga var stolið og þegar er orðið vart við að kort hafi verið misnotuð.
"Unglingar" um allan heim fengu áfall, enda átti PlayStation Network að vera alveg öruggt. Annað hefur komið á daginn og þeir hafa verið vaktir til meðvitundar um að svo bregðast krosstré sem önnur tré.
Hvernig getur það gerst að fyrirtæki sem á að vera búið að innleiða PCI DSS öryggisstaðalinn (Payment Card Industry Data Security Standard) var annað hvort ekki búið að því eða gerði það svo illa að það var engin fyrirstaða fyrir hakkara? Öryggissérfræðingar um allan heim eru að velta þessu fyrir sér. Vissulega hefur komið í ljós, að notendaaðgangur kerfisstjóra var notaður til illvirkisins, en það á ekki að skipta máli. Sé PCI DSS rétt innleitt, þá á kerfisstjóri einmitt EKKI að hafa aðgang að kortaupplýsingum. PCI DSS reglurnar kveða alveg skýrt á um að þeir einir eiga að hafa aðgang að korta- og korthafagögnum sem þurfa þess starfs síns vegna. Kerfisstjórar hafa ALDREI þörf á því að hafa slíkan aðgang. ALDREI. Ástæðan er hættan sem felst í því að aðili með víðtæk réttindi hafi aðgang að viðkvæmum upplýsingum.
Ég hef margoft reynt að vekja athygli á PCI DSS öryggisreglunum, þar sem ég held að staða þeirra mála sé langt frá því að vera fullnægjandi hér á landi. Eitt stórt innbort hefur á sér stað hér á landi og er talið að það hafi snert jafnvel nokkra tugi þúsunda korta, þó ekki hafi orðið vart við misnotkun nema takmarkaðs fjölda. Auk þess hefur umtalsverður fjöldi íslenskra korta orðið "fórnarlömb" stórinnbrota hjá erlendum aðilum. Ég hef ekki upplýsingar um hve mörg íslensk kort voru í safninu sem stolið var frá Sony, en er nokkuð viss um að þau voru talsvert mörg.
Mér dettur ekki í hug að ráðleggja mönnum frá því að nota greiðslukort í netviðskiptum. Hættan á misnotkun þeirra í slíkum viðskiptum er hvorki meiri né minni en notkun greiðslukorta erlendis. Hættan er heldur ekki meiri en að láta stela af sér seðlaveski fullu af peningum. Hættur leynast alls staðar. Jafnvel hin traustverðustu fyrirtæki lenda í innbrotum.
Eina sem notendur greiðslukorta geta gert og eiga alltaf að gera, er að fylgjast með færslum sem framkvæmdar eru á kortið sitt. Flestir, ef ekki allir, bankar bjóða upp á að fólk fái skilaboð ef kort er notað út frá gefnum forsendum. Þannig væri hægt að fá tölvupóst, ef kort er notað í útlöndum eða upphæð færslu er yfir tiltekinni upphæð. Síðan hafa kortafyrirtækin í einhverjum tilfellum greiningarbúnað sem lætur vita um grunsamlegar færslur og gefur jafnvel ekki út heimild, ef kort er notað í mörgum löndum á stuttum tíma. Slíkt virkar stundum, en ekki í önnur skipti.
Þó svo að kortaupplýsingum hafi verið stolið í þessu innbroti hjá Sony, þá er ekki víst að nokkurn tímann komi til þess að kort verði misnotað. Það getur líka gerst á morgun eða eftir eitt eða tvö ár. Viðskipti með kortaupplýsingar eru mjög mikil og oft eru kort "seld" í knippum. Almennt verð, samkvæmt því sem hægt er að finna á netinu, er 2 - 5 USD á hvert kort. Algengast er að kaupendur kaupi knippi með 20 -50 kort, nema þeir ætli að vera "endursöluaðilar", þá kaupa þeir þúsundir ef ekki tugþúsundir númera. Hakkararnir sem stela kortaupplýsingum í miklu magni nota þær nær aldrei sjálfir. Mun arðsamara er að selja þær áfram.
Eftir að kortaupplýsingar eru komnar í hendur þess, sem ætlar að misnota þær, þá er algengast að fyrst sé athugað hvort kortið sé í lagi. Tekin eru út lág upphæð, t.d. á bensínstöð eða sjoppu. Heppnist sú úttekt, þá er stærri úttekt reynd og gjarnan keypt vara sem auðvelt er að koma í verð.
Á mínu heimili höfum við þrisvar lent í því að kortaupplýsingum hafi verið stolið og þær misnotaðar. Í fyrsta skiptið í Englandi árið 2000, þá á Spáni árið 2002 og síðasta skiptið í Bandaríkjunum árið 2009. Þjófarnir á Spáni gengu frekar hreint til verks og tóku strax út háa upphæð í bílavarahlutum. Þjófarnir í England og í Bandaríkjunum keyptu fyrst fyrir lága upphæð. Þeir í Englandi notuðu kortaupplýsingarnar bara einu sinni áður en ég uppgötvaði hvað var í gangi og lokaði kortinu. Um var að ræða kortalaus viðskipti, þ.e. þar sem eingöngu kortanúmerið var gefið upp í gegn um síma. Þjófarnir í Bandaríkjunum tæmdu aftur kortið á nokkrum mínútum eftir að í ljós kom að það var virkt. Þeir prófuðu það fyrst í New Jersey, en tæmdu það í Kaliforníu. Augljóst var að þeir höfðu vitorðsmann í versluninni sem þeir fóru í, þar sem teknir voru tvisvar út 800 USD, en þegar það var reynt í þriðja sinn fékkst ekki heimild. Var upphæðin þá lækkuð uns tókst að bæta við 100 USD. Alls tók þetta 15 mínútur, þ.e. frá því að fyrsta færslan var gerð í New Jersey og þar til búið var að tæma kortið í Kaliforníu. Svindlið uppgötvaðist vegna þess að ekki fékkst heimild á kortið þegar átti að nota það nokkrum dögum síðar.
Hvorki við né kortafyrirtækið biðum skaða af þessu og féll allt tjónið á söluaðilann sem tók við kortinu. Þannig er það oftast. Söluaðilar verða að vera á varðbergi gagnvart hugsanlegu svindli. Fái þeir of góða pöntun frá útlöndum, þá er því miður oft maðkur í mysunni. Þetta hafa mjög margir ferðaþjónustuaðilar orðið varir við. Grundvallarregla er að endurgreiða aldrei fé inn á annað kort en greitt var með og helst ekki fyrr en staðfest er að upprunalega greiðslan hafi farið í gegn. Hafi hún ekki farið í gegn, þá er ekki þörf á endurgreiðslu. Annað er að sannreyna eins og hægt er að kort sé gott og gilt sem gefið er upp í netviðskiptum, sérstaklega ef kaupandinn er frá vafasömum svæðum. Mestu umsvif svindlara eru í gömlu Sovétríkjunum og þá sérstaklega Úkraínu, Hvíta-Rússlandi og Rússlandi. Óvænt pöntun í dýra vöru í netverslun frá þessum löndum ber að taka með varúð. Einnig komi hún frá löndum Mið-Ameríku og í Karabíahafi. Ekki er þar með sagt að svindlið geti ekki átt sér upptök í öðrum löndum, en þetta eru helstu sökudólgarnir í netverslun. Ferðaþjónustuaðilar hafa aftru lent í svindlurum frá Bandaríkjunum og Bretlandi, enda má búast við því að ferðamenn komi frá slíkum löndum.
PCI DSS staðlinum er ætlað að draga úr líkum á því (ekki koma í veg fyrir) að kortaupplýsingar komist í rangar hendur, en þá verða söluaðilar líka að fara eftir kröfum staðalsins. Lítið gagn er að hafa reglur, ef menn hunsa þær eða telja allt sé í lagi hjá þeim án þess leita álits sérfræðinga. Hér á landi er enginn aðili (að ég best veit) sem vottar innleiðingu á PCI DSS og er það fyrst og fremst vegna þeirra trygginga sem slíkir aðilar þurfa að leggja fram. Fjölmargir aðilar veita ráðgjöf og skönnun. Greiðsluveitan hf. (áður Fjölgreiðslumiðlun hf. /FGM) á að hafa eftirlit með stöðu PCI DSS innleiðinga hér á landi. Ef farið er inn á vef fyrirtækisins www.greidsluveitan.is, þá er vísað þaðan yfir á vefinn www.kortaoryggi.is. Sé sá vefur skoðaður, þá kemur í ljós að honum hefur ekki verið haldið nógu vel við. T.d. er vísað í gamla (og úrelta) útgáfu af staðlinum í skjalasafni og er fólk því bent á opinberan vef PCI Security Standards Council til þess að fá nýjustu upplýsingar.
Nú, ég vil síðan taka fram, að Betri ákvörðun, ráðgjafaþjónusta Marinós G. Njálssonar, veitir ráðgjöf í tengslum við kortaöryggi, bæði hvað varðar PCI DSS staðalinn og síðan almennt öryggi upplýsinga. Fyrirspurnum má beina til mín á tölvupóstfangið oryggi@internet.is eða hafa samband símleiðis í síma 898-6019.
25 milljónir fleiri notendur í hættu | |
Tilkynna um óviðeigandi tengingu við frétt |
Bloggar | Slóð | Facebook | Athugasemdir (11)
2.5.2011 | 00:17
Stórhættuleg hugsanaskekkja varðandi erlendar skuldir - Ekki er hægt að treysta á erlendar eignir til að greiða erlendar skuldir
Ég hef tekið eftir því að eftir að grein Haraldar Líndals Haraldssonar birtist í Morgunblaðinu í dag og viðtalið við hann bæði í útvarpi og sjónvarpi, þá hafa menn komið fram sem segja Harald fara með rangt mál, þar sem hann gleymi erlendum eignum. Skoða eigi verga stöðu, en ekki brúttó stöðu. Þetta er rangt og vil ég færa hér örfá rök fyrir því.
Í fyrsta lagi gleyma menn því að eigendur erlendra eigna eru aðrir en greiðendur erlendra skulda. Þannig er stærsti hluti erlendra eigna annarra aðila en fjármálastofnana í slitameðferð í eigu lífeyrissjóðanna. Þeir munu ekki selja sínar erlendur eignir til að fjármagna greiðslu erlendra skulda annarra. Í þessu felst sjónhverfining sem menn halda sífellt á lofti. Ætli menn ekki hreinlega að þjóðnýta erlendar eignir lífeyrissjóðanna, þá skipta þær ekki máli, þegar kemur að því að greiða af skuldum. Erlendu skuldirnar þarf að greiða án þess að hægt sé að treysta á erlendar eignir. Það er mergur málsins. Lífeyrissjóðirnir munu ekki flytja ávöxtun erlendra eigna til landsins, þar sem ávöxtunin verður að mestu leiti ekki að raunveruleika fyrr en við sölu eignanna.
Við Haraldur Líndal fórum yfir þessa talnaleikfimi með fjárlaganefnd í júní 2009. Þetta tal um að staðan væri ekki svo slæm, þar sem erlendar eignir komi á móti, er hættuleg hugsanavilla.
Í öðru lagi þarf að greiða af erlendum skuldum með tekjuinnstreymi í gjaldeyri vegna vöruskipta og þjónustujöfnuðar (eða hvað þetta nú heitir). Ekki vegna ávöxtunar á verðbréfum sem ekki er greidd út. Gleymið því, að lífeyrissjóðirnir fari að flytja pening til landsins í miklu mæli. Þeim sveið alveg nóg að kaupa bréf Landsbankans af Seðlabanka Lúxemborgar. Meðan gjaldeyrishöftin eru við líði, þá hafa sjóðirnir enga möguleika á að færa pening úr landi, sem þeir nauðsynlega þurfa, þar sem hér á landi eru ekki næg fjárfestingatækifæri án þess að hætta sé á brenglun á samkeppnisumhverfi.
Í þriðja lagi gleymist í þessu og er líka hluti af blekkingunni, að hluti þeirra eigna fjármálafyrirtækja í slitameðferð sem nota á til að greiða erlendar skuldir þeirra, eru í íslenskum krónum hér á landi. Það er því hreinlega rangt að stilla þessu svona upp eins og menn gera að ekki þurfi að taka með erlendar skuldir fjármálafyrirtækja í slitameðferð. Vissulega mun ekki þurfa að taka tillit til allra skulda þeirra, þar sem þær greiðast með erlendum eignum, en annað greiðist með eignum hér á landi. Vil ég þar nefna 288 milljarða kr. skuldabréf sem NBI hf. gaf út til Landsbanka Íslands hf. Þá eiga kröfuhafar bæði Arion banka og Íslandsbanka. Virði þeirra er á þriðja hundrað milljarðar. Síðan er það hlutdeild erlendra kröfuhafa í betri innheimtum á innlendum kröfum. Þá er það innheimta fjármálafyrirtækja í slitameðferð á innlendum kröfum, en sá peningur mun að hluta renna til erlendra kröfuhafa.
Í fjórða lagi eru það innlendar eignir erlendra aðila hér á landi. Fjármunir sem muna fyrr eða síðar leita úr landi.
Í fimmta lagi eru það Icesave skuldbindingarnar, hverjar sem þær verða að lokum.
Í sjötta lagi er það Actavis. Ekki er ljóst hvert nettó streymið er þar.
Síðan skulum við ekki gleyma því að hér vilja menn fara í framkvæmdir. Höfum í huga að 70% af kostnaði við flest verk er uppruninn erlendis og þetta þarf að greiða. Slíkar fjárfestingar munu því líklega auka á skuldabyrðina eða draga úr líkum okkar til að greiða niður þær sem eru fyrir, a.m.k. þar til nýja fjárfestingin fer að skila gjaldeyristekjum.
Ég bara bið menn um að hætta að blekkja þjóðina. Ástandið er grafalvarlegt og við lögum það ekki með því að sópa því undir teppið, eins og reynt er að gera af þeim sem kjósa að horfa á vandamálið með blinda auganu.
Ég sé ekki nema tvær leiðir út úr þessum vanda. Önnur er að útflutningur vöru og þjónustu verði það mikill umfram innflutning, að þjóðin nái að vinna smátt og smátt á erlendum skuldum. Það þýðir nánast að hér verði tekin um innflutningshöft. Þau eru vissulega í gangi með gjaldeyrishöftunum, en líklegast yrði að herða ólina enn frekar. Hin er að hér á landi verði í notkun alþjóðlega viðurkenndur gjaldmiðill. Ég sé ekki fyrir mér að krónan nái þeirri stöðu í bráð, þannig að við verðum að taka upp einhvern annan gjaldmiðil án þess að ég taki afstöðu til þess hvaða gjaldmiðill það ætti að vera.
Bloggar | Breytt s.d. kl. 14:22 | Slóð | Facebook | Athugasemdir (11)
Heimsóknir
Flettingar
- Í dag (21.11.): 3
- Sl. sólarhring: 9
- Sl. viku: 37
- Frá upphafi: 1680018
Annað
- Innlit í dag: 3
- Innlit sl. viku: 33
- Gestir í dag: 3
- IP-tölur í dag: 3
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði