Sikkerhedschefen hos Nets: Dårlige programmer giver usikker databehandling i e-handlen

Datalækager hos aktører, der ikke står for betalingstransaktionen, men som alligevel håndterer data på vegne af netbutikker, er et større sikkerhedsproblem end forbrugernes adfærd, lyder det fra sikkerhedschefen hos Nets. Machine learning og større fokus hos leverandørerne skal stikke en kæp i hjulet på svindlerne.

Betaling SCA  mobil pc og kort

Nets sikkerhedschef løftede en advarende pegefinger på FDIHs E-handelskonference, da han advarede mod de mange lækager af data om forbrugere og betalingskort, der ofte følger af ”usikre” tredjepartsprogrammer.

 "Datalækager er den største årsag til svindel i de sager, hvor kortet i sig selv ikke er til stede. Problemet ligger ofte hos nogle aktører, der ikke står for betalingstransaktionen, men som alligevel kommer til at håndtere data forbundet med en betalingstransaktion. Det er et største problem," siger Sune Gabelgård, der er Head of Digital Fraud, Intelligence & Research i Nets Group.

Selvom om det ligger lige for at konkludere, at forbrugerne fortsat skal passe bedre på betalingskort og PIN-koder, er det faktisk lækagerne, der udløser mest svindel med betalingskort.

Tredjeparts-programmer åbner døren for svindlere

Ifølge Sune Gabelgaard er virksomheder, der eksempelvis leverer tredjepartsløsninger til webbutikker som f.eks. chatfunktioner, tag managers eller andre funktioner, ikke gode nok til at passe på kundernes informationer. Enten fordi deres sikkerhedsprocedurer, der skal beskytte kundernes informationer, ikke er gode nok, eller fordi de bliver hacket, så kundernes kortdata bliver stjålet.

Derfor bør tredjeparterne ifølge Sune Gabelgård gå i gang med at højne sikkerheden for at undgå de store datalækager, hvor brugernes informationer pludselig ligger på nettet.

"Selvfølgelig skal forbrugeren stadig være årvågen og fortsat opdrages i god sikkerhedskultur. Men det handler lige så meget om, at alle de virksomheder, der tilbyder digitale løsninger, skal huske at indbygge sikkerhed til forbrugeren" siger han.

Sune Gabelgård beskrev i sit indlæg på E-handelskonferencen, hvordan grupper af kriminelle systematisk høster data via nettet, og videresælger kort- og persondata, som andre så bruger til svindel. FaaS, Fraud as a Service, som han betegnede det.

Centerchef Trine Møller fra LCIK, Politiets Center for Landsdækkende økonomisk IT-kriminalitet, gav på konferencen et eksempel. Et hjælpesystem i en netbutik til automatisk udfyldelse af navn mm. gav adgang til for mange oplysninger, som uvedkommende kunne aflæse. Butikken ændrede systemet, da LCIK kontaktede butikken.

FDIHs public affairs chef Henrik Theil peger på, at netbutikkerne selv løbende dels skal sikre tjek af egne sikkerhedsforanstaltninger og sikre, at de programmer, som købes af andre, er sikre, så de ikke giver svindlere adgang til data og forretningssystemer.

Det nye trusselsbillede

”Vi skal gentænke, hvordan sikkerheden fungerer i betalingskortene i dag, og vi bør sammen gentænke sikkerheden omkring betalinger, så der bliver flere lag af sikkerhed, siger Sune Gabelgård.

”Datalækager kan ikke undgås, og derfor skal vi i fremtiden lave nye løsninger, der er så robuste, at de kan tåle en datalækage. Alt kan hackes, og det er mere sandsynligt, at en bruger er hacket end hele systemer. Derfor skal systemsikkerheden også kunne rumme, at brugerens oplysninger måske er hacket, men at brugeren stadig kan bruge kortet og verificere sig udover almindeligt brugernavn og kodeord.”

De nye krav til netbetalinger, SCA, Secure Customer Authentification, afspejler den virkelighed med flere sikkerhedsfaktorer, bl.a. en sms med en engangskode, som Dankort Secured by Nets allerede har taget hul på.

Machine Learning som det nye våben

Selv om Dankort Secured by Nets og andre løsninger har gjort det sværere for svindlerne, så er det ikke nok, forklarer Sunes Gabelgård.

"Derfor skal der investeres på alle fronter både på teknologisiden med data og Machine Learning, men også på medarbejdersiden skal der gøres en indsats i at opbygge ekspertviden. At bekæmpe svindel er en fælles indsats hvor alle aktører skal på banen, lige fra forbrugeren og autoriteter til forretninger, banker og teknologivirksomheder."

Nets har som led i det arbejde sammen med KPMG udviklet ”Nets Fraud Ensemble”, der baseret på algoritmer kan afsløre svindel i realtid. I løbet af de første par uger med modellen er kortsvindlen reduceret med 25 %, og Sune Gabelgaard forventer, at modellen på sigt vil reducere svindlen med 40 %.

”Det nye er, at vi opdaterer vores model hurtigere, og at vi selv overvåger markante ændringer i adfærden.”

Den nye løsning vækker selvsagt begejstring hos FDIH, men vi er langt fra i mål, pointerer Henrik Theil.

”Erfaringen med de digitale tyveknægte er, at de både er kreative og stædige, så derfor skal vi ikke forvente, at de bare opgiver ævred og dropper den kriminelle karriere. Det betyder, at vi hele tiden skal knokle for at være på forkant med nye svindelmetoder.”

Skriv kommentar

Har du et spørgsmål?

Niels Ralund
Adm. Direktør
Tina Morell Nielsen
Jurist & Chefkonsulent
Henrik Theil
Kommunikationschef
Søren Willemoes
Kommunikationsmedarb.
Niels Preysz
Medlemschef
Micha Hansson
Webmaster & Medlemservice-ansvarlig
Esben Carbac Hansen
Salgsansvarlig
Simon Bjerremann
Analysechef
Anne K. Hansen
Eventchef
Pernille Trieb
Projektleder - er pt. på barsel
Birgitte Warming Juul
Projektleder
Magnus Glenn Hansen
Projektleder
Anna Risbjerg Omann
Studentermedhjælper - medlemsservice
Andrea Skou Pojezny
Studentermedhjælper - event
Frederik Holmershøj
Juridisk studentermedhjælper
Har du brug for hjælp?
?
Send os et spørgsmål

Hvis du har et spørgsmål, så efterlad os en besked og vi vil svare tilbage hurtigst muligt.

Tak for din besked! Der skete en fejl, prøv igen