Heartland málið er grafalvarlegt

Færslan var fyrst birt á Moggabloggi höfundar 13.2.2009.

Það er stutt á milli stóru kortasvika málanna.  Heartland málið er búið að vera mikið í umfjöllun erlendra fjölmiðla, þó það hafi ekki ratað hingað fyrr en nú.  Fyrirtækið tilkynnti um öryggisbrotið daginn áður en Obama tók við embætti og var gert grín að því, að menn ætluðu að fela það í havaríinu í kringum embættistökuna.

Brot þetta er alvarlegra en fyrri innbrot í leit að kortaupplýsingum, vegna þess að Heartland er svo kallaður "processor" eða vinnsluaðili.  Það þýðir að hann safnar saman færslum frá söluaðilum og sendir síðan áfram til færsluhirðanna, en eitt af hlutverkum færsluhirða er að veita heimildir fyrir úttektum.  (Hér á landi er VALITOR dæmi um færsluhirði, en Median dæmi um "processor".)

Beitt var svipaðri aðferð og hafði verið notuð hjá TXJ verslunarkeðjunni fyrir nokkrum árum, þ.e. komið var fyrir laumurás eða Trójuhesti í kerfinu sem síðan sendi upplýsingar um kortanúmer til svikaranna. Mjög illa gekk að finna óværuna og höfðu nokkrir hópar sérfræðinga skannað kerfi Heartland áður en óværan fannst á "ónotuðum" hluta diskastæðu fyrirtækisins.  Þetta er til marks um hversu háþróaðar þessar árásir eru orðnar.  En alvarleiki brotsins reyndist meiri, en í TXJ málinu, þar það kom í ljós að Heartland skráði hjá sér meiri upplýsingar um kort, en fyrirtækið mátti gera.  Það skráði hjá sér innihald segulrandar korta.  Þetta er algjört tabú í kortaöryggismálum og mun leiða til þess að fyrirtækið mun fá hærri sektir en nokkur dæmi eru um og þó voru sektir TXJ háar.

Fyrir nokkrum árum ákváðu samtök greiðslukortafyrirtækja (Payment Card Industry eða PCI) að gefa út gagnaöryggisstaðal (Data Security Standard eða DSS).  Er hann þekktur undir skammstöfuninni PCI DSS. Heartland uppfyllti að eigin sögn kröfur staðalsins og hafði hlotið vottun um það.  En PCI DSS bannar fortakalaust að upplýsingar af segulröndum séu vistaðar.  Fyrirtækið hefur því silgt undir fölsku flaggi hvað þetta varðar.  Að hér sé um að ræða einn stærsta processor í heimi og hann hafi kosið að brjóta PCI DSS reglurnar á jafn ófyrirleitan hátt, er alveg út í hött.  Það sem er síðan ennþá fáránlegra, er að fyrirtækið stærir sig af því að vera fullkomlega öruggt!  Menn kunna ekki að skammast sín.  (Minnir þetta mig óneitanlega á íslenska fjármála- og stjórnmálamenn, sem gerðu ekkert rangt, en settu samt allt á hliðina.)

PCI DSS nær líka til Íslands

PCI DSS nær einnig til Íslands.  Fyrirtæki sem taka við kortum þurfa að uppfylla staðalinn, þó gerðar séu mismunandi kröfur eftir stærð fyrirtækja. Hvort það eru þessar reglur eða einhverjar aðrar, þá verða menn að hafa í huga að ástæður fyrir innleiðingu öryggisráðstafana eiga fyrst og fremst að koma frá rekstrinum sjálfum.  Öll fyrirtæki eiga sér viðskiptaleg og rekstrarleg markmið.  Til þess að ná þessum markmiðum, þá þarf ýmislegt að ganga upp og sneiða þarf hjá ýmsum hindrunum.  Í viðskiptalegu og rekstrarlegu umhverfi eru ýmsar ógnir sem getað valdið tjóni og dregið úr líkum á að markmiðin náist.  Við þurfum ekki annað en að horfa á íslenskt þjóðfélag í dag.  Hér á landi er í gangi hamfarastormur sem að talsverðu leiti er hægt að rekja til fyrirhyggjuleysis og þess að mönnum sást ekki fyrir í ákafa sínum.

Stjórnendur fyrirtækja kvarta oft hástöfum yfir eftirlitsaðilum þjóðfélagsins.  Hvort það er Persónuvernd, Heilbrigðiseftirlit, Vinnueftirlit, Fjármálaeftirlit, Samkeppnisstofnun eða Póst- og fjarskiptastofnun, mönnum vex í augum kostnaðurinn sem af öllu þessu eftirliti hlýst.  Ja, mig langar að benda mönnum á, að þessu eftirliti hefur ekki verið komið á að ástæðulausu.  Ástæðan var eftirlitsleysi stjórnenda með starfsemi fyrirtækja sinna.  Ástæðan er að menn voru ekki að innleiða sjálfsagðar ráðstafanir til að tryggja hollustu í matvælaframleiðslu, vernd persónuupplýsinga eða fjárhagsupplýsinga.  Eftirlitsiðnaðurinn er orðinn það sem hann er orðinn vegna vanrækslu allt of margra í að passa sjálfan sig.  Ég tek á mig hluta af ábyrgðinni.  Ég hef ekki verið nógu duglegur að selja mönnum þjónustu mína.  Mér hefur allt of oft mistekist að sannfæra stjórnendur fyrirtækja að þeir eigi að taka áhættustjórnun og stjórnun rekstrarsamfellu nógu alvarlega til að vilja framkvæma áhættumat og áhrifagreiningu, til að innleiða ráðstafanir, til að viðhalda ráðstöfunum í takt við breytingar á rekstrarumhverfi og til að stunda innra eftirlit.

Mér finnst það ótrúlegt að mörg íslensk fyrirtæki hafa ennþá ekki séð ástæðu til að innleiða ráðstafanir vegna PCI DSS, þrátt fyrir að kortafyrirtækin og Fjölgreiðslumiðlun hafi ítrekað gengið á eftir þeim og varað þau við.  Önnur fyrirtæki hafa innleitt eitthvað sem þau telja fullnægjandi, en átta sig svo ekki á því að þau skyldu bakdyrnar eftir opnar.  Að tugur eða hundruð þúsund kortanúmera hafi verið eða séu berskjölduð í upplýsingakerfum fyrirtækja er gjörsamlega óásættanlegt, en það er samt hinn íslenski raunveruleiki.  Það sem mér þykir samt verst í þessu, er að stjórnendur fyrirtækja álíta að þessi mál séu viðfangsefni upplýsingatæknimanna, þegar þetta er í raun og veru viðfangsefni rekstrarins.  Það getur verið að upplýsingatæknifólk þurfi að aðstoða við innleiðingu úrræða, en viðfangsefnið er rekstrarins og þar liggur ábyrgðin líka.  (Tekið skal fram að þessi sofandi háttur gagnvart öryggismálum nær til mun fleiri þátta og t.d. held ég að fjöldi fyrirtæki átti sig ekki á því að þau þurfa að innleiða öryggiskerfi persónuupplýsinga og hafa því ekki gert það.)

Nánari upplýsingar um PCI DSS er hægt að nálgast hér.

Því má svo bæta við, að kreditkortanúmer ganga kaupum og sölu á netinu.  Algengt verð er á bilinu 5 - 50 USD, en segulrandarupplýsingar seljast 500 - 2500 USD.  Kaupi menn kippu, þá býðst afsláttur.  Nýjum seljendum er almennt tekið með mikilli varúð og er því haldið fram að um einokunarmarkað sé að ræða.  Þróun undanfarinna ára, er að þrjótarnir beita hnitmiðuðum vírusaárásum á tiltekinn aðila, þar til að þeir finna leið inn í kerfið.  Gögnum er þá gjarnan hlaðið niður.  Næst er haft samband við aðilann, sem varð fyrir árásinni og honum boðið að kaupa hinar stolnu upplýsingar.  Verði hann við því, er greiðslan innt af hendi og gögnunum eytt.  Vilji hann ekki eiga viðskipti, eru kortanúmerin sett í sölu.  Flestir þrjótarnir eru  þekktir af yfirvöldum á vesturlöndum, en þeir búa á móti í fyrrum lýðveldum Sovétríkjanna.  Einnig er nokkur hópur þeirra Bandaríkjamenn.  Þeir halda reglulega ráðstefnur, þar sem þeir skiptast á upplýsingum um aðferðir og árangur.  Talið er að sá hópur sem er virkastur í þessum svikum telji eingöngu milli 20 - 30 manns.  (Upplýsingarnar eru fengnar frá fyrirlesurum á ráðstefnunni CISO Executive Summit 2008 sem haldin var í Búdapest í Ungverjalandi sl. sumar.)