A hitelkártya-adat lopás lesz a legjövedelmezőbb?

A kiberbűnözők legjövedelmezőbb üzletágává növi ki magát a hitelkártya-adatok illetéktelen megszerzése.

Az ebből származó jövedelem mértéke megközelíti az illegális drogkereskedelem bevételeit - derül ki a PCI Community Meeting 2009 szakmai felméréséből. Bár nincs pontos adatunk arról, hogy évente mennyi hitelkártya-adat kerül illetéktelen kezekbe, következtethetünk rá a nyilvánosságra kerülő adatokból: az eddig ismert legnagyobb mértékű egyszeri adatvesztés során 94 millió hitelkártya-adatot tulajdonítottak el. Egy-egy ilyen adatot a kiberbűnözők 150 dollár körüli áron értékesítenek.

A hitelkártya-adat lopások visszaszorítására még 2006-ban a vezető kártyakibocsátók - MasterCard, Visa, JCB, Discover, AmEx - közösen kialakítottak egy átfogó biztonsági követelménylistát, a PCI DSS-t (Payment Card Industry Data Security Standards), a hitelkártyák adatait kezelő szervezetek számára. A PCI DSS audit ma Magyarországon még nem kötelező, de a hitelesített szervezeteknek akár versenyelőnyt is jelenthet, hogy a megfelelő biztonsággal kezelik ügyfeleik adatait.

A PCI DSS szabvány betartásának fontosságát a Verizon üzleti kockázati csoport szakmai felmérése is alátámasztja, miszerint a kártyacsalások több mint 87 százaléka elkerülhető lett volna egy egyszerű vagy közepes szintű ellenőrzéssel. Az esetek 67 százalékában az adatkezelők (bankok, kereskedők, szolgáltatók) informatikai rendszerében történt hiba, és 64 százalékban okozta külső hackertámadás a kárt. Érdekes tény, hogy az adatlopás tényét az esetek 74 százalékában csak hetekkel az esemény után fedezték fel.

A PCI DSS szabvány már kötelező előírás például az Egyesült Államokban, ahol komoly büntetést von maga után azoknak be nem tartása: a bírság általában 25 000 dollár és 500 000 dollár között mozog, de ennél magasabb összeget is elérhet. A szabályok figyelmen kívül hagyása akár hússzor annyiba kerülhet, mint az előírásoknak való megfelelés biztosítása. Míg a PCI DSS előírásainak betartása évente körülbelül 3 dollárba kerül kártyánként, addig az adatvesztés költsége alkalmanként és adatonként 300 és 600 dollár közötti összeget jelent, nem is beszélve az adatokat hanyagul kezelő cég presztízsvesztéséről.