Siber suçla mücadelede ABD ve Avrupa’dan öndeyiz

Veri hırsızları artık kart kopyacılığı yerine kart bilgilerini ele geçirip internetten işlem yapıyor

2013 yılının son günlerinde Amerika’da kartlı ödeme sistemlerine yönelik gerçekleşen veri hırsızlığı olayı ödeme sistemleri sektörünün önemli gündem maddesiydi. Amerika’nın “Black Friday” (Kara Cuma) olarak adlandırdığı büyük indirim gününü de kapsayan noel öncesi indirim dönemi olan 27 Kasım -15 Aralık 2013 tarihleri arasında Amerika’nın en büyük parakende mağazalar zincirlerinden biri olan Target’tan işlem yapan 70 milyon müşterinin kişisel bilgileri ve 40 milyon müşterinin kredi ve banka kartı bilgisi çalındı. Bu olay, son dönemde kartlı ödeme sektöründe yaşanan en büyük data hırsızlıkları arasındaki yerini aldı.
Olayın hemen ardından perakende zinciri Target ilk yaptığı açıklamada kart numarası,son kullanma tarihi, müşteri adı, kartın arka yüzünde yer alan 3 haneli güvenlik kodunun (CVV2) çalındığını açıkladı. Bu açıklamayı daha sonra şifrelenmiş kart şifresi bilgisinin (PIN) de veri hırsızlığı kapsamında dolandırıcıların eline geçtiğini fakat şifrenin kullanılan güvenlik algoritmaları sebebiyle güvende olduğunu belirtti.
Konuyla ilgili araştırmalar hala devam ederken Target, ocak ayında ilk bulguların POS cihazlarına yüklenen korsan bir yazılım sonucu data hırsızlığının yaşandığına işaret ettiğini açıkladı. Target yaşanan bu sızıntı sebebiyle zarar gören itibarını düzeltmek ve müşteri güvenini tekrar sağlamak için milyonlarca dolarlık reklam faaliyetlerine başlamış durumda ve firmanın yüklü miktarda cezalarla da karşılaşabileceği bekleniyor.

Sahteciliğin yüzde 45’i ABD kaynaklı

Bu olay, kartlı ödeme sektöründe yaşanan dolandırıcılıklar açısından gözleri yeniden Amerika’ya çevirdi. Amerika, kartlı ödeme sistemlerinde sahtecilik ve dolandırıcılık olaylarının artmaya devam ettiği neredeyse tek bölge. Dünyadaki kartlı ödeme sistemleri cirosunun yüzde 24’ü Amerika’da gerçekleşirken, toplam dolandırıcılıkların yüzde 45’i Amerika kaynaklı. Amerika’da her 100 dolarlık harcama karşısında 6 cent’lik dolandırıcılık yaşanıyor.

Amerika chip&PIN’e geçmekte geç kaldı

Amerika’da sahteciliğin bu kadar yoğun yaşanmasının en önemli sebeplerinden biri halen chip&PIN teknolojisine geçilmemiş olması. 2015 sonbaharında Amerika’daki yaklaşık 8 milyon işyerinin chip&PIN’li işlem kabul edebilecek EMV teknolojisine uyumlu cihazlara geçiş yapması gerekiyor. Bugün bu işyerlerinin yüzde 10 kadarının EMV uyumlu olduğu tahmin ediliyor. Bunun yanında bugün itibariyle Amerika’daki kartların sadece yüzde 1’i çipli. İşyerleri EMV uyumlu olsa bile Amerika’da dolaşımda bulunan tüm kartların çipli olması daha uzun bir vadeye yayılacak. Bugün 80’den fazla ülke çip (chip) teknolojisini kullanıyor. Avrupa’da 2002 yılında başlayan geçiş halen devam ederken, bölgede EMV uyum oranı yüzde 80’ler civarına yükselmiş durumda.

Türkiye 2007 yılında şifreli sistemi tamamladı

Türkiye ise bu anlamda gelişmiş birçok ülkeyi geride bıraktı. Ülkemizde chip&PIN geçişi 2006 yılında başladı ve 2007 Haziran ayında tamamlandı. Bugün ülkemizde tüm kredi kartlar çipli basılırken, kart kabul eden tüm terminaller de EMV uyumlu. Bankalararası Kart Merkezi (BKM) ve BKM üyesi bankaların hayata geçirdiği chip&PIN uygulaması sayesinde Türkiye’de yüz yüze yapılan işlemlerde yaşanan dolandırıcılıklar önemli bir düşüş kaydetti.

Sahtecilik şekil değiştirdi

Kart kullanım alanlarının yaygınlaşması ve e-ticaret hacmindeki artışla birlikte gerek Türkiye’de gerekse gelişmiş birçok ülkede ödeme sistemlerine yönelik sahtecilikte şekil değiştirdi. Bugün kart kopyacılığı yerine kart bilgilerini ele geçiren veri hırsızları, internet üzerinden yapılan işlemlerde dikkat çekmeye başladı. Türkiye bu anlamda da yaptığı çalışmalarla sahteciliğin minimum düzeyde yaşanması için gerekli önlemleri alarak ödeme sistemlerindeki başarısını sürdürüyor.

Firmalara büyük iş düşüyor

Bilindiği gibi kartlı ödeme sektöründeki işyerleri için işyerlerinin uymak zorunda olduğu bilgi güvenliği standartları PCI Konseyi tarafından belirleniyor. PCI-DSS (Payment Card Industry Data Security Standarts) olarak adlandırılan bu standartlara kart bilgisini işleyen, ileten ve saklayan her işyerinin uyumluluklarını yıllık işlem adetlerine göre belirlenen seviyeleri kapsamında belgelemeleri gerekiyor. 2013 Mayıs ayından beri PCI Konsey Danışma Kurulu üyesi olan Bankalararası Kart Merkezi, Türkiye’de PCI-DSS uyumlu işyeri sayısının ve sektördeki bilgi güvenliği farkındalığının arttırılması için birçok çalışmaya imza atmaya devam ediyor.

Ödeme sistemlerinde yaşanan bu tür olaylar nedeniyle tüm firmalar gibi kartlı ödeme sektöründe faaliyet gösteren işyerlerinin de siber suçlulara imkan vermeyecek siber güvenlik önlemlerini hayata geçirmeleri, bu konuda yatırım yapmaları ve çalışanlarının da bu tip ataklara karşı farkındalıklarını arttırmaları konusunda çalışmalar yapması gerekiyor.

Target örneğinde olduğu gibi yaşanacak olumsuz bir olayda müşteri güveninin kolayca sarsılabileceği ve firmalarla beraber tüm ödeme sistemleri sektörünün de itibarının ve imajının bozulabileceği düşünülürse, sektördeki tüm paydaşların güvenlik algısını en üst düzeyde tutmak için ortak çaba göstermeleri ve rekabetçi ortamda işyerlerinin güvenlikle ilgili konuları bir maliyet unsuru olarak görmeden hareket etmeleri hem kart kullanıcıları hem de kart kabul eden işyerleri açısından büyük önem taşıyor.

Bugün 80’den fazla ülke çip teknolojisini kullanıyor. Avrupa'da 2002 yılında başlayan geçiş halen devam ederken, bölgede EMV uyum oranı yüzde 80'lere yükselmiş durumda. Amerika'daki kartların sadece yüzde 1'i çipli. Türkiye ise 2006 yılında başladığı chip&PIN geçişini Haziran 2007'de tamamladı.

YORUM YAP

YORUMLAR (0)

Yandex.Metrica