براتيما هاريجوناني
الشريط المغناطيسي أو EMV أو الذكاء الاصطناعي السلوكي – عندما يتعلق الأمر بسرقة البطاقات، هل البنوك تلجأ إلى الشجرة الخطأ؟ متى سننظر إلى بعض الأرضيات المبتلة الحقيقية؟ المركزية، KYC والخصوصية. في بعض مقابض الأحذية الجديدة؟ بلوكتشين
كان أحد البنوك الروسية البارزة - يحدق مؤخرًا بعيون واسعة في حدوث اختراق كبير لبيانات عملائه بفضل بضع بطاقات ائتمان ضعيفة.
قد يبدو هذا مألوفًا للسيناريو الذي حدث قبل بضع سنوات عندما حدثت سرقات هائلة في نقاط البيع بالتجزئة (POS) في الولايات المتحدة الأمريكية. كان من المفترض أن يكون الحل هو EMV (Europay وMastercard وVisa). لكن المجرمين تمكنوا من خداع هذا السياج أيضًا. لقد بدأوا في تجميع شرائح البطاقات الذكية المقطوعة باستخدام معالجات دقيقة مصغرة، وسرعان ما بدأوا في إنتاج بطاقات دفع مزيفة للتمرير السريع على نقاط البيع. ما عليك سوى إلقاء نظرة على ما كشفه تقرير Gemini Advisory - حيث أن 93% من البطاقات المسروقة كانت تحتوي على تقنية الرقائق الجديدة.
بالطبع، يستمر الأمل في EMV عندما نسمع ما تقوله بيانات Visa (يونيو 2019) - أكثر من 3.7 مليون موقع تجاري قبلوا بطاقة EMV وهذا التحول إلى EMV أتاح (أولئك الذين قاموا بترقية الشريحة) متعة 87 لكل موقع انخفاض بنسبة 2015% في خسائر الاحتيال بالدولار المرتبطة بالبطاقات المزيفة (بين سبتمبر 2019 ومارس XNUMX).
ولكن ماذا عن هؤلاء المجرمين الذين يتقدمون بسهولة للحصول على بطاقات ائتمان ماكوي الحقيقية والشرعية وشبه الحقيقية مع شرائح EMV النشطة من البنوك ويحصلون عليها (Phew!)؟ كل ما يحتاجون إليه هو هويات اصطناعية (إدخال أرقام الضمان الاجتماعي الحقيقية بأعمار وعناوين مزيفة).
McAfee وتشير تقديرات الأمم المتحدة إلى أن الجرائم الإلكترونية تكلف الاقتصاد العالمي نحو 600 مليار دولار، أو 0.8 في المائة من الناتج المحلي الإجمالي العالمي.
أشار سمير باتيل، زميل برنامج دراسات الأمن الدولي وساغنيك تشاكرابورتي، باحث في برنامج دراسات الأمن السيبراني في Gateway House، مؤخرًا إلى كيف تحول الاقتصاد الهندي من الاعتماد إلى حد كبير على النقد إلى اقتصاد يعتمد بشكل أكثر انتظامًا على أنظمة الدفع الرقمية. وكيف أدى هذا التحول إلى الشمول المالي والحد من الفساد، ولكنه أدى أيضًا إلى توسيع نطاق الهجمات السيبرانية في البنية التحتية للمدفوعات من قبل العصابات الإجرامية المنظمة والقراصنة والحكومات الأجنبية ووكلائها.
في الواقع، انتقلت تكلفة كل دولار من خسائر الاحتيال في قطاع التجزئة من 2.94 دولارًا إلى 3.13 دولارًا بين عامي 2018 و2019 (وفقًا لتقرير آخر – وهو LexisNexis Risk Solutions) دراسة). ما يصل إلى 86 في المائة من خسائر الاحتيال التي جاءت في جيوب تجار التجزئة في التجارة الإلكترونية المتوسطة والكبيرة الذين لديهم سلع رقمية، حدث بسبب حسابات الهوية الودية (الطرف الأول) وحسابات الهوية الاصطناعية.
فقدان البيانات والتلاعب البشري – ليس من الصعب ربط النقاط ببعضها. بالنسبة لقطاع بطاقات الائتمان – يمكن أن يحدث فقدان البيانات بعدة طرق. يمكنك أن ترى بعض البنوك تقوم بتوفير أعمال بطاقات الائتمان من خلال القوى العاملة التعاقدية DSA (وكلاء البيع المباشر) أو FoS (Feet on Street) في الأماكن المشتركة - مثل مراكز التسوق أو منافذ البيع بالتجزئة أو في أي حرم جامعي وما إلى ذلك، وبالتالي، يعد الأمر مناسبًا تمامًا عرضة لفقدان البيانات، لأن معلومات التعريف الشخصية (PII) وفي بعض الأحيان تفاصيل بطاقة الائتمان الحالية (للبنوك الأخرى) تتم مشاركتها مع وكلاء أو ممثلي بيع بطاقات الائتمان بالبنك للحصول على ائتمان جديد من هذا البنك الجديد، كما يوضح دارماراج راماكريشنان، مدير أول - الخدمات المصرفية والمدفوعات، FIS.
تبين أن الجاني في قضية الاحتيال المصرفي الروسي الأخيرة كان لديه حق الوصول إلى قواعد البيانات كجزء من وظيفته.
جميع المفاتيح في فوب واحد, حول إصبع واحد
أنهت خدمة الأمن في سبيربنك تحقيقها الداخلي واعتذر هيرمان جريف، الرئيس التنفيذي ورئيس المجلس التنفيذي لسبيربنك في بيان يقول - "لقد تعلمنا الكثير مما حدث وأعدنا التفكير في أنظمتنا للتخفيف من آثار الهجمات البشرية". مصداقية. وأود أن أشكر جميع عملائنا على الثقة الكبيرة التي وضعوها فينا."
نعم، يضع العملاء الكثير من الثقة في هذه المؤسسات والتقنيات. والسؤال هو – ما مدى عدم قابليتهم للاختراق – في النهاية؟ ماذا لو كان من الممكن أن تتغير فكرة الثقة والبيانات، وتغير الطريقة التي ننظر بها إلى انتهاكات البيانات؟
لنبدأ بنظافة KYC (أو اعرف عميلك) - والتي تعد جزءًا أساسيًا من الثقة من جانب البنك أيضًا. هل تعتبر الطبيعة المركزية لبيانات "اعرف عميلك" نقطة ضعف كبيرة بطريقة أو بأخرى؟
يعتبر أي تخزين مركزي للبيانات عرضة للخطر لأنه يوفر نقطة واحدة من الهدف للجهات الفاعلة الضارة، على عكس الخبراء من Gateway House.
ويوافقه الرأي أيضًا ألطاف هالدي، رئيس الأعمال العالمية في PurpleTeam. "نعم، في هذا الوقت، نحن جميعًا في موقف يجبرنا على تكرار العمليات الرئيسية وتخزين مستنداتنا الشخصية / هوياتنا الرقمية عبر خدمات متعددة وعبر خدمات متعددة. وهذا يؤدي إلى تجربة عملاء سيئة للغاية. ولكن الأهم من ذلك أنه يزيد من خطر الهجمات وانتهاكات البيانات المتعددة.
لكن راماكريشنان من الجبهة الإسلامية للإنقاذ يفضل الاختلاف. "إن إطار العمل المضمن في إطار حماية البيانات مهم لحماية النظام. من وجهة نظري، فإن التحقق المركزي من البيانات هو الطريق الصحيح لأنه المصدر الوحيد للحقيقة، بشرط أن تكون قاعدة البيانات المركزية محدثة. ومع تقدمنا في مجال التكنولوجيا، يجب علينا استخدام التكنولوجيا المناسبة لحالة الاستخدام المناسبة مع البنية المناسبة لجلب نقاط البيانات والتحقق من صحتها.
ومع ذلك، فهو يرى استخدام أساليب جديدة لـ KYC. "يمكن للجهة التنظيمية أن تطلب من البنك عدم جمع معلومات تحديد الهوية الشخصية أو تفاصيل بطاقة الائتمان من العملاء المحتملين، وفي المقابل، جمع تكنولوجيا الاستخدام للتحقق من صحة نقاط البيانات في الوقت الفعلي من خلال التكامل مع الخيارات الأخرى."
خدعة القتل ذات الوسادة الدبوسية
البنوك أو المؤسسات المالية أو الجهات الفاعلة في صناعة الدفع، هناك ما هو أكثر من الضرر المالي الذي يتكشف كلما تم اختراق البطاقات. هناك فقدان البيانات وانتهاك الخصوصية - هناك سبب وراء تدهور السوق السوداء لبيانات الهوية.
"قد يشمل خرق البيانات معلومات تحديد الهوية الشخصية أو أسرار العمل أو المعلومات المالية أو حتى الملكية الفكرية. في القطاع المالي، تتضمن عمليات الكشف عن خرق البيانات الشائعة المعلومات الشخصية للعملاء بالإضافة إلى معلوماتهم الديموغرافية. يمكن أن تؤدي هذه الأنواع من الانتهاكات إلى عمليات احتيال مالي أو خسارة أعمال أو حتى خسارة العملاء. راماكريشنان يوضح ذلك.
فإذا لم يكن EMV فماذا بعد؟ تشير الأخبار إلى أن Visa تعمل على منصة لمساعدة مهندسيها على اختيار السرعة في اختبار خوارزميات الذكاء الاصطناعي المتقدمة (AI) التي يمكنها اكتشاف الاحتيال على بطاقات الائتمان ومنعه.
يمكن للبنوك أن تنفق ما يصل إلى 12.4 مليار دولار في عام 2023 على الذكاء الاصطناعي – لمبادرات مثل تحليل الاحتيال – وفقًا لتقديرات IDC
ولكن ماذا لو كانت البيانات التي تعالجها خوارزميات الذكاء الاصطناعي لا تزال موجودة على الخوادم أو البنية التحتية للاعب مالي؟ مرة أخرى، قضية ضربة واحدة لأي شخص يريد سرقتها. دعونا أيضًا لا نغفل عن الصعود السريع للذكاء الاصطناعي المنافس. أصبح المهاجمون أكثر تطوراً في خداع أنظمة التعلم العميق مع مرور الوقت.
تذكر هالدي كيف أننا جميعًا نشهد حقيقة أن هذه المخاطر تتزايد كل ثانية في الآونة الأخيرة. في حالة حدوث خرق، يتم اختراق البيانات بأكملها أو البيانات الجزئية الموجودة في المستودع المركزي. ومن ثم، يُنصح دائمًا بالاستفادة من التقنيات القادمة بما في ذلك blockchain لمواجهة هذه التهديدات التكنولوجية القادمة. يمكن تقديم تقنية Blockchain بطريقة تدريجية لتحقيق اللامركزية في عملية اعرف عميلك (KYC)، كما يقترح خبراء Gateway House نفس الشيء.
يوصي راماكريشنان أيضًا بعملية قائمة على التكنولوجيا يمكنها تجنب جمع البيانات يدويًا وحماية نقاط البيانات باستخدام تشفير البيانات على مستوى قاعدة البيانات.
وكما أكد تقرير McAfee، يحتاج العالم المالي إلى الانتقال إلى هياكل البيانات المفتوحة، وتوحيد بيانات التهديدات، ووسائل التعاون الأسرع والأعمق بين السلطات الأمنية والجهات الفاعلة المنتشرة في جميع أنحاء العالم. إن وسائل الكثير من هذه الحلول - حتى إعداد التقارير، ومن المثير للاهتمام، يمكن أن تكمن في مكان واحد - blockchain.
من المهم أن نفهم أن صناعة الدفع لا تريد سرقة البيانات، وبالتالي في معظم حالات الهجمات الإلكترونية، تتمتع البنوك ومقدمو حلول الدفع بالشفافية، كما يقول خبراء Gateway House أيضًا. "ومع ذلك، هناك حاجة إلى الإبلاغ فورًا عن خروقات البيانات وحوادث الأمن السيبراني."
سياسة ورقة بحثية قدمت Gateway House بالتعاون مع Swift Institute أيضًا توصية مثيرة للاهتمام في نفس السياق: يجب على معالجي الدفع تمكين المستهلكين من التحكم في البيانات من خلال لوحة معلومات الموافقة حيث يمكنهم مراجعة أو تعديل أو حذف بياناتهم الشخصية وبيانات الدفع على مواقع الويب، مثل البريد الإلكتروني. -مواقع التجارة.
بالإضافة إلى ذلك، أشارت إلى أن صناعة الدفع يجب أن تنشئ منصة على مستوى الصناعة لمشاركة المعلومات السرية وغير السرية والمفتوحة المصدر حول الهجمات السيبرانية ونواقل التهديد.
مثل القاتل الذكي الذي يقتل أكثر من هدف واحد في نفس المكان ليجعل من الصعب تعقب من قتل شخصًا ما ولماذا - يمكن لاستراتيجية أمنية ذكية أيضًا استخدام هذا التأثير اللامركزي لصالحها. نشر الأهداف وإضعاف القوة. جعل النظام أقل ثقة وحقن الثقة الحقيقية. أعد قوة التحكم إلى أولئك الذين يعانون أكثر من غيرهم عند حدوث سرقات باهظة الثمن.
إن وصول blockchain يجعل كل هذا ليس فقط معقولاً ولكنه سهل من الناحية العملية الآن. إنها ليست الإجابة الوحيدة، ولكنها يمكن أن تكون إجابة جيدة للبدء بها.
الشيء الوحيد الذي يجعل الأمر صعبًا هو الرغبة في التخلي عن التحكم في البيانات. إنه ليس إصلاحًا شاملاً للتكنولوجيا ولكنه عقلية راسخة.
ليس من السهل التمرير بعيدًا. إنها ليست بطاقة ائتمان، بعد كل شيء.
