Karácsonyi bevásárlás során kerültek bajba a kártyatulajdonosok

Több tízezer magyar bankkártyát is érintett a nemzetközi hackertámadás

Utóbbi esetében a Román Bankszövetség és a román CEC bank már múlt hét szerdán közleményt adott ki arról, hogy bankkártya-információk kerülhettek illetéktelenek kezébe és sajtóértesülések szerint a CEC bank 17 000 bankkártya azonnali letiltásáról gondoskodott.

Pénteken már a hazai pénzintézetek is letiltották a csalás áldozatául esett bankkártyákat. Bizonyossá vált, hogy több tízezer magyarországi bankkártyát is érint az elmúlt héten felmerült nemzetközi adatszerzési eset. Lényegében az összes magyar bankkártya kibocsátó bank ügyfélkörében lehettek érintettek. Részletek>>

Major Andrea, a PwC cégtársa a múlt heti eseményekkel kapcsolatban elmondta, hogy vélhetőleg sokakat érintett kellemetlenül a hackertámadás következményeként tett intézkedés péntek délután, a karácsonyi bevásárlás előtt.  Azokat sem lehet irigyelni, akik késő este hazafelé az autópályán megálltak tankolni és csak a kasszánál szembesültek azzal, hogy kártyájuk letiltásra került.

Virtuális bankkártyával a biztonságos vásárlásért

A szakértő véleménye szerint bankkártyánk biztonságának megőrzése érdekében szükséges átgondolni vásárlási szokásainkat a saját biztonságunk érdekében. Válogassuk meg, hogy mely kereskedőnek adjuk meg adatainkat. Továbbá internetes vásárlásainkhoz használjunk egy külön erre a célra fenntartott bankkártyát. A szakértő felhívta rá a figyelmet, hogy egyre több bank kínál az internetes vásárlások számára ún. virtuális bankkártyát és egy ehhez tartozó elkülönített alszámlát. Az ilyen virtuális bankkártyák használatával növelhetjük internetes vásárlásaink biztonságát, hiszen még ha illetéktelen kézbe kerül is a kártyánk, egy rendszerint üres bankszámla áll csupán a csalók rendelkezésére.

Major Anrea szerint az internetes vásárlásaink biztonságát tovább fokozhatjuk azzal, ha adatainkat nem adjuk meg minden egyes kereskedőnek, hanem csupán egy internetes vásárlásokat lebonyolító cégnek. Mindezek mellett kérjünk SMS értesítést a bankkártya használatról és rendelkezzünk a napi vásárlási és készpénzfelvételi értékhatárokról is a vásárlási szokásainknak megfelelően.

Bankkártyánk védelmének érdekében illetéktelen hozzáférés gyanúja esetén legyünk felkészülve a bankkártyánk vásárlási limitjeinek azonnali nullázására, vagy a kártya azonnali letiltására, a bank ügyfélszolgálatán, vagy a netbank rendszeren keresztül, valamint tartsunk magunknál valamennyi készpénzt is arra az esetre, ha a bankkártya nem használható.

Adatvédelmi szabályozás átgondolását sürgeti az EU

A múlt heti események azonban nem egyediek, Viviane Reding, a Európai Unió igazságügyi biztosa a Citigroup, a Sony és más elhíresült esetek kapcsán júniusban ismét figyelmeztette a bankokat és a pénzügyi szektor képviselőit, hogy időben értesíteniük kell ügyfeleiket, amennyiben adataik illetéktelen kézbe kerülhettek. Reding az EU adatvédelmi szabályainak átdolgozását is szorgalmazta, amely szerint minden, az EU-ban működő vállalatnak kötelessége lenne értesíteni ügyfeleit az adatbiztonság súlyos megsértéséről.

A PwC tájékoztatása szerint a "bankkártya ipar" adatbiztonsági szabványa (PCI DSS) a készpénzkímélő fizetőeszközök használatához szükséges IT infrastruktúrával szemben támasztott IT biztonsági követelményrendszert foglalja össze. A bankkártyával történő vásárlás vagy automatából történő készpénzfelvétel során a tranzakció feldolgozásában részt vevő szervezeteknek meg kell felelniük ezen követelményrendszernek. A követelményrendszer végigvezeti a szervezetet a lehetséges veszélyeken és útmutatót ad az infrastruktúra és az alkalmazások biztonságossá tételéhez. A PCI DSS megfelelő alkalmazásával a bankkártyák használatának teljes folyamata kellőképpen biztonságossá tehető.

Szoftverfrissítés, emberi tényező: az IT rendszerek biztonságának buktatói

A PwC úgy véli, hogy hiába rendelkeznek cégek a szükséges eszközökkel és ismeretekkel rendszereik biztonságos üzemeltetéséhez, mégis szinte kivétel nélkül lehet találni legalább egy olyan gyenge pontot a rendszerben, amelyet kihasználva viszonylag gyorsan át lehet venni az irányítást a rendszer felett.

A problémás területek egyik példája a szoftverfrissítések kezelése, mert a tapasztalatok azt mutatják, hogy az esetek túlnyomó többségében ezek a frissítések nincsenek megfelelően kezelve, mert olykor több éves lemaradásban vannak a rendszer üzemeltetői a frissítések telepítésével a hackerekkel szemben. Egy másik példa az adatszivárgás elleni védekezés. Azonban bármilyen kiterjedt is egy szervezet védekezése, akkor még mindig ki van téve a leggyengébb láncszem, az emberi tényező elleni támadással szemben.

Annak érdekében, hogy minél kevésbé legyünk kiszolgáltatva a különböző támadásoknak és kiszűrhetővé váljon az emberi mulasztásból eredő bármilyen hiba lehetősége, jól szervezett biztonsági előírások és alapos biztonságtudatossági oktatás szükséges. Az információs rendszerek és az adatok védelméhez elengedhetetlenül szükséges egy többszintű védelmi rendszer kiépítése és rendszeres tesztelése. Ezek fejlesztésével nem fordulhat majd elő, hogy fedezet nélkül vág neki bárki is a karácsonyi nagybevásárlásnak.