Miklar fréttir berast frá Sony raftækjaframleiðandanum.  Yfir 100 milljónum notendaupplýsingum var stolið við innbrot inn á Sony Playstation Network.  Það sem verra er, að tugir milljóna kreditkortupplýsinga var stolið og þegar er orðið vart við að kort hafi verið misnotuð. 

"Unglingar" um allan heim fengu áfall, enda átti PlayStation Network að vera alveg öruggt.  Annað hefur komið á daginn og þeir hafa verið vaktir til meðvitundar um að svo bregðast krosstré sem önnur tré.

Hvernig getur það gerst að fyrirtæki sem á að vera búið að innleiða PCI DSS öryggisstaðalinn (Payment Card Industry Data Security Standard) var annað hvort ekki búið að því eða gerði það svo illa að það var engin fyrirstaða fyrir hakkara?  Öryggissérfræðingar um allan heim eru að velta þessu fyrir sér.  Vissulega hefur komið í ljós, að notendaaðgangur kerfisstjóra var notaður til illvirkisins, en það á ekki að skipta máli.  Sé PCI DSS rétt innleitt, þá á kerfisstjóri einmitt EKKI að hafa aðgang að kortaupplýsingum.  PCI DSS reglurnar kveða alveg skýrt á um að þeir einir eiga að hafa aðgang að korta- og korthafagögnum sem þurfa þess starfs síns vegna.  Kerfisstjórar hafa ALDREI þörf á því að hafa slíkan aðgang.  ALDREI.  Ástæðan er hættan sem felst í því að aðili með víðtæk réttindi hafi aðgang að viðkvæmum upplýsingum.

Ég hef margoft reynt að vekja athygli á PCI DSS öryggisreglunum, þar sem ég held að staða þeirra mála sé langt frá því að vera fullnægjandi hér á landi.  Eitt stórt innbort hefur á sér stað hér á landi og er talið að það hafi snert jafnvel nokkra tugi þúsunda korta, þó ekki hafi orðið vart við misnotkun nema takmarkaðs fjölda.  Auk þess hefur umtalsverður fjöldi íslenskra korta orðið "fórnarlömb" stórinnbrota hjá erlendum aðilum.  Ég hef ekki upplýsingar um hve mörg íslensk kort voru í safninu sem stolið var frá Sony, en er nokkuð viss um að þau voru talsvert mörg.

Mér dettur ekki í hug að ráðleggja mönnum frá því að nota greiðslukort í netviðskiptum.  Hættan á misnotkun þeirra í slíkum viðskiptum er hvorki meiri né minni en notkun greiðslukorta erlendis.  Hættan er heldur ekki meiri en að láta stela af sér seðlaveski fullu af peningum.  Hættur leynast alls staðar.  Jafnvel hin traustverðustu fyrirtæki lenda í innbrotum.  

Eina sem notendur greiðslukorta geta gert og eiga alltaf að gera, er að fylgjast með færslum sem framkvæmdar eru á kortið sitt.  Flestir, ef ekki allir, bankar bjóða upp á að fólk fái skilaboð ef kort er notað út frá gefnum forsendum.  Þannig væri hægt að fá tölvupóst, ef kort er notað í útlöndum eða upphæð færslu er yfir tiltekinni upphæð.  Síðan hafa kortafyrirtækin í einhverjum tilfellum greiningarbúnað sem lætur vita um grunsamlegar færslur og gefur jafnvel ekki út heimild, ef kort er notað í mörgum löndum á stuttum tíma.  Slíkt virkar stundum, en ekki í önnur skipti.

Þó svo að kortaupplýsingum hafi verið stolið í þessu innbroti hjá Sony, þá er ekki víst að nokkurn tímann komi til þess að kort verði misnotað.  Það getur líka gerst á morgun eða eftir eitt eða tvö ár.  Viðskipti með kortaupplýsingar eru mjög mikil og oft eru kort "seld" í knippum.  Almennt verð, samkvæmt því sem hægt er að finna á netinu, er 2 - 5 USD á hvert kort.  Algengast er að kaupendur kaupi knippi með 20 -50 kort, nema þeir ætli að vera "endursöluaðilar", þá kaupa þeir þúsundir ef ekki tugþúsundir númera.  Hakkararnir sem stela kortaupplýsingum í miklu magni nota þær nær aldrei sjálfir. Mun arðsamara er að selja þær áfram. 

Eftir að kortaupplýsingar eru komnar í hendur þess, sem ætlar að misnota þær, þá er algengast að fyrst sé athugað hvort kortið sé í lagi.  Tekin eru út lág upphæð, t.d. á bensínstöð eða sjoppu.  Heppnist sú úttekt, þá er stærri úttekt reynd og gjarnan keypt vara sem auðvelt er að koma í verð. 

Á mínu heimili höfum við þrisvar lent í því að kortaupplýsingum hafi verið stolið og þær misnotaðar.  Í fyrsta skiptið í Englandi árið 2000, þá á Spáni árið 2002 og síðasta skiptið í Bandaríkjunum árið 2009.  Þjófarnir á Spáni gengu frekar hreint til verks og tóku strax út háa upphæð í bílavarahlutum.  Þjófarnir í England og í Bandaríkjunum keyptu fyrst fyrir lága upphæð.  Þeir í Englandi notuðu kortaupplýsingarnar bara einu sinni áður en ég uppgötvaði hvað var í gangi og lokaði kortinu.  Um var að ræða kortalaus viðskipti, þ.e. þar sem eingöngu kortanúmerið var gefið upp í gegn um síma.  Þjófarnir í Bandaríkjunum tæmdu aftur kortið á nokkrum mínútum eftir að í ljós kom að það var virkt.  Þeir prófuðu það fyrst í New Jersey, en tæmdu það í Kaliforníu.  Augljóst var að þeir höfðu vitorðsmann í versluninni sem þeir fóru í, þar sem teknir voru tvisvar út 800 USD, en þegar það var reynt í þriðja sinn fékkst ekki heimild.  Var upphæðin þá lækkuð uns tókst að bæta við 100 USD.  Alls tók þetta 15 mínútur, þ.e. frá því að fyrsta færslan var gerð í New Jersey og þar til búið var að tæma kortið í Kaliforníu.  Svindlið uppgötvaðist vegna þess að ekki fékkst heimild á kortið þegar átti að nota það nokkrum dögum síðar. 

Hvorki við né kortafyrirtækið biðum skaða af þessu og féll allt tjónið á söluaðilann sem tók við kortinu.  Þannig er það oftast.  Söluaðilar verða að vera á varðbergi gagnvart hugsanlegu svindli.  Fái þeir of góða pöntun frá útlöndum, þá er því miður oft maðkur í mysunni.  Þetta hafa mjög margir ferðaþjónustuaðilar orðið varir við.  Grundvallarregla er að endurgreiða aldrei fé inn á annað kort en greitt var með og helst ekki fyrr en staðfest er að upprunalega greiðslan hafi farið í gegn.  Hafi hún ekki farið í gegn, þá er ekki þörf á endurgreiðslu.  Annað er að sannreyna eins og hægt er að kort sé gott og gilt sem gefið er upp í netviðskiptum, sérstaklega ef kaupandinn er frá vafasömum svæðum.  Mestu umsvif svindlara eru í gömlu Sovétríkjunum og þá sérstaklega Úkraínu, Hvíta-Rússlandi og Rússlandi.  Óvænt pöntun í dýra vöru í netverslun frá þessum löndum ber að taka með varúð.  Einnig komi hún frá löndum Mið-Ameríku og í Karabíahafi.  Ekki er þar með sagt að svindlið geti ekki átt sér upptök í öðrum löndum, en þetta eru helstu sökudólgarnir í netverslun.  Ferðaþjónustuaðilar hafa aftru lent í svindlurum frá Bandaríkjunum og Bretlandi, enda má búast við því að ferðamenn komi frá slíkum löndum.

PCI DSS staðlinum er ætlað að draga úr líkum á því (ekki koma í veg fyrir) að kortaupplýsingar komist í rangar hendur, en þá verða söluaðilar líka að fara eftir kröfum staðalsins. Lítið gagn er að hafa reglur, ef menn hunsa þær eða telja allt sé í lagi hjá þeim án þess leita álits sérfræðinga.  Hér á landi er enginn aðili (að ég best veit) sem vottar innleiðingu á PCI DSS og er það fyrst og fremst vegna þeirra trygginga sem slíkir aðilar þurfa að leggja fram.  Fjölmargir aðilar veita ráðgjöf og skönnun.  Greiðsluveitan hf. (áður Fjölgreiðslumiðlun hf. /FGM) á að hafa eftirlit með stöðu PCI DSS innleiðinga hér á landi.  Ef farið er inn á vef fyrirtækisins www.greidsluveitan.is, þá er vísað þaðan yfir á vefinn www.kortaoryggi.is.  Sé sá vefur skoðaður, þá kemur í ljós að honum hefur ekki verið haldið nógu vel við.  T.d. er vísað í gamla (og úrelta) útgáfu af staðlinum í skjalasafni og er fólk því bent á opinberan vef PCI Security Standards Council til þess að fá nýjustu upplýsingar.

Nú, ég vil síðan taka fram, að Betri ákvörðun, ráðgjafaþjónusta Marinós G. Njálssonar, veitir ráðgjöf í tengslum við kortaöryggi, bæði hvað varðar PCI DSS staðalinn og síðan almennt öryggi upplýsinga.  Fyrirspurnum má beina til mín á tölvupóstfangið oryggi@internet.is eða hafa samband símleiðis í síma 898-6019.

	25 milljónir fleiri notendur í hættu
Ábyrgðarmaður færslu Tilkynna um óviðeigandi tengingu við frétt