ბრაზილიაში, სადაც საკრედიტო ბარათები გადახდის ერთ-ერთი მთავარი ფორმაა და ციფრული მონაცემების ღირებულება ნაღდ ფულთან შედარებით მაღალია, ონლაინ თაღლითობის რისკები სულ უფრო გავრცელებული ხდება, რაც როგორც მომხმარებლების, ასევე ბიზნესების მხრიდან სიფხიზლის გაზრდას მოითხოვს.
პრობლემის მასშტაბის წარმოსაჩენად, ბრაზილიის ათიდან ოთხი უკვე გამხდარა თაღლითობისა და ფინანსური თაღლითობის მსხვერპლი ქვეყანაში, რაც ბრაზილიელთა 42%-ს შეადგენს. ეს მონაცემები მოპოვებულია „ციფრული იდენტობისა და თაღლითობის ანგარიშიდან 2024“, რომელიც სერასა ექსპერიანის მიერ ჩატარებულმა კვლევამ ჩაატარა.
კიდევ ერთი კვლევა, რომელიც ამჯერად საცალო ვაჭრობის ლიდერების ეროვნული კონფედერაციის (CNDL) და კრედიტების დაცვის სამსახურის (SPC Brasil) მიერ Sebrae-სთან პარტნიორობით ჩატარდა, აჩვენებს, რომ ბოლო 12 თვის განმავლობაში დაახლოებით 8.4 მილიონმა მომხმარებელმა ფინანსურ ინსტიტუტებში თაღლითობის შესახებ განაცხადა. თაღლითობებს შორის, საკრედიტო და სადებეტო ბარათების კლონირება თაღლითობის ძირითადი სახეობაა.
მიუხედავად იმისა, რომ ბრაზილიელების დაახლოებით 70%-ს სამი ან მეტი საკრედიტო ბარათი აქვს, სერასას თქმით, რისკის აღქმა მაინც დაბალია. ბრაზილიელების დაახლოებით 69% კვლავაც არასაკმარისად აფასებს ვებსაიტებსა და აპლიკაციებში ფინანსური მონაცემების რეგისტრაციის საფრთხეს, რაც მოსახლეობის დიდ ნაწილს ციფრული თაღლითობებისა და კიბერშეტევების მსხვერპლს ხდის.
ციფრული უსაფრთხოების შესახებ მზარდი შეშფოთების ფონზე, კარგი ამბავი ჩნდება: ახალი ინიციატივები და ტექნოლოგიური მიღწევები ონლაინ გარემოს ყოველდღიურად უფრო უსაფრთხოს ხდის.
ცოტა ხნის წინ, PCI-ის უსაფრთხოების სტანდარტების საბჭომ (PCI SSC) შემოგვთავაზა ახალი სახელმძღვანელო პრინციპები უსაფრთხოების სტანდარტების უწყვეტი განვითარებისა და გაუმჯობესებისთვის, რომლებიც გამოიყენება იმ კომპანიებისთვის, რომლებიც ინახავენ, ამუშავებენ ან გადასცემენ გადახდის მონაცემებს, ასევე ტრანზაქციებში გამოყენებული პროგრამული უზრუნველყოფისა და მოწყობილობების შემქმნელებსა და მწარმოებლებისთვის. PCI არის გლობალური ორგანიზაცია, რომელიც აერთიანებს გადახდების ინდუსტრიის ძირითად მოთამაშეებს, რათა ხელი შეუწყოს რესურსების გამოყენებას უსაფრთხო ტრანზაქციებისთვის.
„საფრთხეებისა და ტექნოლოგიების განვითარებასთან ერთად, PCI DSS სტანდარტებიც განახლდება. ამიტომ, აუცილებელია ყურადღება მიაქციოთ ახალ მოთხოვნებს და შეიტანოთ საჭირო კორექტირება“, - აფრთხილებს ვაგნერ ელიასი, Conviso-ს აღმასრულებელი დირექტორი, რომელიც აპლიკაციების უსაფრთხოების გადაწყვეტილებების შემმუშავებელია.
განახლებებს შორისაა გადახდის ბარათების ინდუსტრიის მონაცემთა უსაფრთხოების სტანდარტის (PCI DSS) განახლებები, რომელიც შექმნილია ბარათით გადახდების მთელი ღირებულებათა ჯაჭვის დასაცავად. მისი შესაბამისობის მოთხოვნები მოიცავს ყველაფერს, ბარათის მფლობელის მონაცემების შენახვიდან დაწყებული, გადახდის მგრძნობიარე ინფორმაციაზე უსაფრთხო წვდომით დამთავრებული.
„მოკლედ, აუცილებელია მომხმარებელთა მონაცემების დაცვის გაძლიერება არაავტორიზებული წვდომის თავიდან ასაცილებლად დამატებითი ზომების განხორციელებით“, - ამბობს ექსპერტი.
ამიტომ, კომპანიებს მოუწევთ ახალ ტექნოლოგიებში ადაპტირება და ინვესტიციების განხორციელება. წარმოდგენის შესაქმნელად, ზოგიერთი ასეთი გადაწყვეტა უზრუნველყოფს თითოეულ აპლიკაციასთან დაკავშირებული რისკების სრულ ხედვას. „ეს ინსტრუმენტები აერთიანებს სხვადასხვა სისტემებს, ახდენენ ინფორმაციის ცენტრალიზებას და ხელს უწყობენ ქმედებების პრიორიტეტულობის განსაზღვრას, ყველაფერი ეს უწყვეტად“, - განმარტავს Conviso-ს აღმასრულებელი დირექტორი 2010 წელს გამოშვებულ Conviso Platform Application Security Posture Management (ASPM) პლატფორმასთან დაკავშირებით.
თუმცა, ექსპერტი აღნიშნავს, რომ ბევრი კომპანია კვლავ რეაქტიულ პოზიციას ინარჩუნებს თავისი სისტემების უსაფრთხოებასთან დაკავშირებით და საკითხს მხოლოდ თავდასხმის შემდეგ ანიჭებს პრიორიტეტს. მისი თქმით, ეს ქცევა შემაშფოთებელია, რადგან უსაფრთხოების დარღვევამ შეიძლება გამოიწვიოს მნიშვნელოვანი ფინანსური ზარალი და ორგანიზაციის რეპუტაციისთვის გამოუსწორებელი ზიანი, რომლის თავიდან აცილებაც პრევენციული ზომებით შეიძლება.
მისი თქმით, ახალი პროგრამული უზრუნველყოფის შექმნის განხილვისას აუცილებელია, რომ კომპანიამ უსაფრთხოების სისტემები დანერგოს შექმნის ციკლის ყველა ეტაპზე, მოთხოვნების შეგროვებიდან (პირველი ფაზა, რომელიც აანალიზებს, თუ რას გააკეთებს აპლიკაცია) დანერგვამდე (წარმოება და საბოლოო მიწოდება).
„ამ რისკების თავიდან ასაცილებლად, მთავარი განსხვავება ახალი აპლიკაციის შემუშავების დასაწყისიდანვე აპლიკაციის უსაფრთხოების პრაქტიკის დანერგვაა. ეს უზრუნველყოფს დაცვის ზომების ჩართვას პროგრამული უზრუნველყოფის სასიცოცხლო ციკლის ყველა ეტაპზე. გარდა იმისა, რომ ინციდენტის შემდეგ ზიანის აღმოფხვრაზე გაცილებით ეკონომიურია, პრევენციულ უსაფრთხოებაში ინვესტირება გაცილებით ეფექტურია. ეს საშუალებას გაძლევთ თავიდან აიცილოთ შეტევები, დაიცვათ მგრძნობიარე მონაცემები, უზრუნველყოთ კანონებისა და სახელმძღვანელო პრინციპების დაცვა და გარანტირებული გქონდეთ, რომ აპლიკაცია თავიდანვე უსაფრთხო და საიმედოა მომხმარებლებისთვის“, - ამბობს ექსპერტი.
ვაგნერი განმარტავს, რომ კომპანია ავითარებს გადაწყვეტილებებს, რომლებიც აერთიანებს უსაფრთხოებას DevOps-თან, რაც საშუალებას იძლევა კოდის თითოეული ხაზი შემუშავდეს დაცვის პრაქტიკით, გარდა ისეთი სერვისებისა, როგორიცაა შეღწევადობის ტესტირება და დაუცველობის შემცირება. „უსაფრთხოების უწყვეტი ანალიზისა და ტესტირების ავტომატიზაციის განხორციელება კომპანიებს საშუალებას აძლევს დააკმაყოფილონ სტანდარტები ეფექტურობის შელახვის გარეშე“, - ხაზგასმით აღნიშნავს ვაგნერი.
ძლიერი ტექნოლოგიების დანერგვის გარდა, Conviso-ს აღმასრულებელი დირექტორი ხაზს უსვამს სპეციალიზებული საკონსულტაციო ფირმების მნიშვნელობას, რომლებიც კომპანიებს ეხმარებიან PCI DSS 4.0-ის და სხვა რეგულაციების მოთხოვნებთან ადაპტაციაში. ისეთი შეტევითი სერვისები, როგორიცაა შეღწევადობის ტესტირება, Red Team და მესამე მხარის უსაფრთხოების შეფასებები, ხელს უწყობენ პროაქტიულ და ყოვლისმომცველ უსაფრთხოების მიდგომას, დაუცველობების იდენტიფიცირებას და გამოსწორებას მათ ექსპლუატაციამდე.
ინვესტიციები უნდა დაჩქარდეს.
ციფრული უსაფრთხოების ეს ტრანსფორმაცია არა მხოლოდ აძლიერებს მომხმარებლის ნდობას უსაფრთხო ონლაინ გარემოს მიმართ, არამედ ტემპში აჰყვება აპლიკაციების უსაფრთხოების ბაზრის დაჩქარებულ ზრდას, რომელიც, Mordor Intelligence-ის მონაცემებით, სავარაუდოდ, 2024 წლის 11.62 მილიარდი აშშ დოლარიდან 2029 წლისთვის 25.92 მილიარდ აშშ დოლარამდე გაიზრდება. „უახლესი ტექნოლოგიების დანერგვა ციფრული დაცვის სფეროში გარდამტეხ მომენტს აღნიშნავს და აძლიერებს ნდობას ბაზარზე, რომლის აყვავებაც უფრო მეტად არის დამოკიდებული უსაფრთხოებაზე“, - ასკვნის ვაგნერი.
გაეცანით PCI DSS-ის 12 მოთხოვნის სიას, რომლებიც უნდა დააკმაყოფილოს შესაბამისობის ვერიფიკაცია 4.0-მა:
- firewall-ის ინსტალაცია და მოვლა
- წაშალეთ მომწოდებლის ნაგულისხმევი კონფიგურაცია.
- დაიცავით ბარათის მფლობელის შენახული მონაცემები.
- გადახდის მონაცემების გადაცემის დაშიფვრა
- რეგულარულად განაახლეთ თქვენი ანტივირუსული პროგრამა.
- უსაფრთხო სისტემებისა და აპლიკაციების დანერგვა
- საჭიროების შემთხვევაში, შეზღუდეთ ბარათის მფლობელის მონაცემებზე წვდომა.
- მომხმარებლის წვდომის იდენტიფიკატორის მინიჭება
- მონაცემებზე ფიზიკური წვდომის შეზღუდვა
- ქსელზე წვდომის თვალყურის დევნება და მონიტორინგი.
- მუდმივად შეამოწმეთ პროცესები და სისტემები დაუცველობაზე.
- შექმენით და შეინარჩუნეთ ინფოსეფრექტის პოლიტიკა.
PCI DSS 4.0 სახელმძღვანელო პრინციპების დანერგვა ორ ეტაპად ხორციელდება:
- პირველი ფაზის, 13 ახალი მოთხოვნის, ბოლო ვადა 2024 წლის 31 მარტი იყო.
- მეორე ფაზა, რომელიც დამატებით 51 მოთხოვნას მოიცავს, 2025 წლის 31 მარტამდე უნდა განხორციელდეს.
