Pratima Harigunani
Strip magnetik, EMV atau AI perilaku – jika menyangkut pencurian kartu, apakah bank salah pilih? Kapan kita akan melihat ke bawah pada lantai basah yang sesungguhnya? Sentralisasi, KYC dan privasi. Pada beberapa pegangan sepatu baru? Blockchain
Sebuah Bank terkemuka di Rusia – baru-baru ini terbelalak melihat pelanggaran data besar-besaran yang terjadi pada kliennya akibat beberapa kartu kredit yang rentan.
Hal ini mungkin terdengar familiar dalam skenario beberapa tahun yang lalu ketika pencurian besar-besaran terjadi di lokasi POS (Point of Sale) ritel di AS. EMV (Europay, Mastercard, Visa) seharusnya menjadi solusinya. Namun penjahat juga berhasil mengelabui pagar itu. Mereka mulai menyatukan chip kartu pintar dengan mikroprosesor mini dan segera mengeluarkan kartu pembayaran palsu untuk gesekan POS. Lihat saja apa yang diungkapkan dalam laporan Gemini Advisory – 93 persen kartu yang dicuri memiliki teknologi chip baru.
Tentu saja, harapan terhadap EMV tetap ada ketika kita mendengar data dari Visa (Juni 2019) – lebih dari 3.7 juta lokasi pedagang menerima kartu EMV dan peralihan ke EMV ini telah memungkinkan (yang dilakukan dengan peningkatan chip) kegembiraan sebesar 87 per penurunan kerugian dolar akibat penipuan kartu palsu (antara September 2015 hingga Maret 2019).
Namun bagaimana dengan para penjahat yang dengan mudah mengajukan permohonan dan (Fiuh!) menerima kartu kredit McCoy yang asli, sah, dan hampir Asli dengan chip EMV aktif dari bank? Yang mereka butuhkan hanyalah identitas sintetis (memasukkan nomor jaminan sosial asli dengan usia dan alamat palsu).
McAfee memperkirakan kejahatan dunia maya merugikan ekonomi global sekitar $600 miliar, atau 0.8 persen dari produk domestik bruto global.
Sameer Patil, Rekan, Program Studi Keamanan Internasional dan Sagnik Chakraborty, Peneliti, Program Studi Keamanan Siber, Gateway House baru-baru ini menunjukkan bagaimana perekonomian India telah berubah dari yang sebagian besar berbasis uang tunai menjadi lebih bergantung pada sistem pembayaran digital. Dan perubahan ini tidak hanya membawa inklusi keuangan dan mengurangi korupsi, tetapi juga memperluas cakupan serangan siber pada infrastruktur pembayaran yang dilakukan oleh sindikat kriminal terorganisir dan peretas, pemerintah asing, dan kuasanya.
Memang benar, biaya setiap dolar kerugian penipuan ritel telah berubah dari $2.94 menjadi $3.13 antara tahun 2018 dan 2019 (laporan lain – LexisNexis Risk Solutions) belajar). Sebanyak 86 persen kerugian akibat penipuan yang terjadi di kantong pengecer e-commerce menengah hingga besar dengan barang digital terjadi karena akun ID ramah (pihak pertama) dan sintetis.
Kehilangan data dan campur tangan manusia – bukanlah titik yang sulit untuk dihubungkan. Untuk segmen kartu kredit – kehilangan data dapat terjadi melalui berbagai cara. Anda dapat melihat beberapa bank mencari kartu kredit Bisnis melalui tenaga kerja kontrak DSA (Direct Selling Agent) atau FoS (Feet on Street) di tempat-tempat umum – seperti pusat perbelanjaan, gerai ritel atau di kampus perkantoran mana pun, dll., oleh karena itu, hal ini cukup rentan terhadap kehilangan data, karena PII (Informasi Identifikasi Pribadi) dan terkadang rincian Kartu Kredit yang ada (bank lain) dibagikan kepada agen atau perwakilan penjual kartu kredit bank untuk mendapatkan kredit baru dari bank baru ini, jelas Dharmaraj Ramakrishnan, Direktur Utama- Perbankan & Pembayaran, FIS.
Ternyata pelaku dalam kasus penipuan bank Rusia baru-baru ini memiliki akses ke database sebagai bagian dari pekerjaannya.
Semua kunci dalam satu fob, sekitar satu jari
Layanan Keamanan Bank Tabungan telah menyelesaikan penyelidikan internalnya dan Herman Gref, CEO, Ketua Dewan Eksekutif Bank Tabungan telah meminta maaf dalam sebuah pernyataan yang mengatakan – “Kami telah belajar banyak dari apa yang terjadi dan kami memikirkan kembali sistem kami untuk mengurangi dampak dari aktivitas manusia. keandalan. Saya ingin mengucapkan terima kasih kepada semua pelanggan kami atas kepercayaan besar yang mereka berikan kepada kami.”
Ya, pelanggan menaruh kepercayaan besar pada institusi dan teknologi ini. Pertanyaannya adalah – seberapa sulitkah mereka ditembus – pada akhirnya? Bagaimana jika gagasan tentang kepercayaan dan data bisa berubah, dan mengubah cara kita memandang pelanggaran data?
Mari kita mulai dengan kebersihan KYC (atau Kenali Pelanggan Anda) – yang juga merupakan bagian penting dari kepercayaan di pihak bank. Apakah sifat terpusat dari data KYC ini merupakan titik rentan yang besar?
Penyimpanan data terpusat apa pun rentan karena memberikan satu titik target bagi pelaku kejahatan, menurut para ahli dari Gateway House.
Altaf Halde, Kepala Bisnis Global, PurpleTeam juga setuju. “Ya, saat ini, kita semua berada dalam situasi yang memaksa kita untuk menduplikasi proses utama dan menyimpan dokumen pribadi/identitas digital kita di berbagai layanan dan di berbagai layanan. Hal ini menghasilkan pengalaman pelanggan yang sangat buruk. Namun, yang lebih penting, hal ini meningkatkan risiko serangan dan pelanggaran data berkali-kali lipat.”
Namun Ramakrishnan dari FIS lebih memilih untuk berbeda pendapat. “Kerangka kerja bisnis yang tertanam dengan kerangka kerja perlindungan data penting untuk menjaga keamanan sistem. Dari sudut pandang saya, verifikasi data terpusat adalah cara yang tepat karena merupakan satu-satunya sumber kebenaran, asalkan basis data terpusat tersebut mutakhir. Seiring kemajuan teknologi, kita harus menggunakan teknologi yang tepat untuk kasus penggunaan yang tepat dengan arsitektur yang tepat untuk mengambil dan memvalidasi titik data.”
Namun dia berpendapat penggunaan pendekatan baru untuk KYC. “Regulator dapat meminta bank untuk tidak mengumpulkan PII atau rincian kartu kredit dari calon klien, dan pada gilirannya, mengumpulkan penggunaan teknologi untuk memvalidasi titik data secara real-time dengan mengintegrasikan dengan opsi lain.”
Trik Pembunuhan Bantalan Peniti
Bank atau lembaga keuangan atau pelaku industri pembayaran, terdapat lebih dari sekedar kerugian finansial yang terjadi setiap kali kartu dibobol. Ada kehilangan data dan gangguan privasi – ada alasan mengapa pasar gelap data identitas mengalami kehancuran seperti itu.
“Pelanggaran data dapat melibatkan PII, rahasia bisnis, informasi keuangan, atau bahkan kekayaan intelektual. Di segmen keuangan, pengungkapan pelanggaran data yang umum mencakup informasi pribadi pelanggan serta informasi demografis mereka. Pelanggaran semacam ini dapat menyebabkan penipuan keuangan, kerugian bisnis, atau bahkan hilangnya pelanggan.” Ramakrishnan menjelaskannya.
Jadi kalau bukan EMV lalu apa selanjutnya? Kabarnya Visa sedang mengerjakan platform untuk membantu para insinyurnya mempercepat pengujian algoritma Kecerdasan Buatan (AI) canggih yang dapat mendeteksi dan mencegah penipuan kartu kredit.
Bank dapat menghabiskan hingga $12.4 miliar pada tahun 2023 untuk AI – untuk inisiatif seperti analisis penipuan – sesuai perkiraan IDC
Namun bagaimana jika data yang diproses oleh algoritme AI masih berada di server atau infrastruktur pelaku keuangan? Sekali lagi, urusan satu pukulan bagi siapa saja yang ingin mencurinya. Janganlah kita juga menutup mata terhadap pesatnya pertumbuhan AI yang bermusuhan. Penyerang semakin canggih untuk menipu sistem pembelajaran mendalam seiring berjalannya waktu.
Halde mengingatkan bagaimana kita semua menyaksikan fakta bahwa dalam beberapa waktu terakhir, risiko-risiko ini semakin meningkat setiap detiknya. Jika pelanggaran terjadi, seluruh data atau sebagian data yang ada di repositori pusat akan disusupi. Oleh karena itu, selalu disarankan untuk memanfaatkan teknologi yang akan datang termasuk blockchain untuk menghadapi ancaman teknologi yang akan datang. Blockchain dapat diperkenalkan secara bertahap untuk mendesentralisasikan proses KYC, para ahli Gateway House menyarankan hal yang sama.
Ramakrishnan juga merekomendasikan proses berbasis teknologi yang dapat menghindari pengumpulan data manual dan melindungi titik data menggunakan enkripsi data di tingkat database.
Seperti yang digarisbawahi dalam laporan McAfee, dunia keuangan perlu beralih ke arsitektur data terbuka, standarisasi data ancaman, sarana kolaborasi yang lebih cepat dan lebih dalam antara otoritas dan pelaku keamanan di seluruh dunia. Sarana dari banyak solusi ini – bahkan pelaporan, yang menarik, dapat terletak di satu tempat – yaitu blockchain.
Penting untuk dipahami bahwa industri pembayaran tidak ingin datanya dicuri, oleh karena itu dalam sebagian besar kasus serangan siber, bank dan penyedia solusi pembayaran bersikap transparan, sebagaimana pendapat para pakar Gateway House. “Namun, pelanggaran data dan insiden keamanan siber perlu segera dilaporkan.”
Aturan telaahan oleh Gateway House bekerja sama dengan Swift Institute juga memiliki rekomendasi menarik dengan nada yang sama: Pemroses pembayaran harus memungkinkan konsumen mengontrol data melalui dasbor persetujuan sehingga mereka dapat meninjau, mengubah, atau menghapus data pribadi dan pembayaran mereka di situs web, seperti e -situs perdagangan.
Selain itu, industri pembayaran harus menciptakan platform industri yang luas untuk berbagi informasi rahasia, tidak rahasia, dan bersumber terbuka mengenai serangan siber dan vektor ancaman.
Seperti seorang pembunuh cerdas yang membunuh lebih dari satu target di tempat yang sama sehingga sulit untuk melacak siapa yang membunuh seseorang dan alasannya – strategi keamanan yang cerdas juga dapat memanfaatkan efek desentralisasi ini untuk keuntungannya. Sebarkan target dan lemahkan kekuatannya. Jadikan sistem tidak memiliki kepercayaan dan berikan kepercayaan yang nyata. Berikan kembali kekuatan kendali kepada mereka yang paling menderita ketika pencurian besar-besaran terjadi.
Kehadiran blockchain membuat semua ini tidak hanya masuk akal tetapi juga mudah dilakukan secara praktis. Ini bukan satu-satunya jawaban, tetapi bisa menjadi jawaban yang baik untuk memulai.
Satu-satunya hal yang membuatnya sulit adalah keinginan untuk melepaskan kendali data. Ini bukan perombakan teknologi tetapi pola pikir yang sudah mengakar kuat.
Tidak mudah untuk disingkirkan. Ini bukan kartu kredit.
