ATM Güvenliği: Paranızı güvende tutmak

Parabit'ten Rob Leiponis, Security Buyer'dan Chris Beck ile ATM güvenliğindeki güncel trendler ve bunların önümüzdeki yıllarda nasıl değişeceği hakkında konuştu.

Yazan:

Chris Beck

güvenlikalıcısı.com

[Chris Beck] Parabit'in ATM çözümleri hakkında bize bilgi verir misiniz?

Parabit Systems'ı kurdum . Bir ATM güvenlik ürünü/entegratörü kuruluşu olarak başladık ve hızla ATM Güvenlik ve Self-Servis geliştirme ürünleri üreticisi haline geldik. Dünya daha güvenli hale gelmiyor ve insanlar hayatlarındaki en basit süreçleri bile otomatikleştirmeye çalışıyorlar. Parabit'in özü de bu. Finans, Sağlık, Eğitim, Devlet ve Ulaşım sektörlerine birçok çözüm sunuyoruz. Parabit, bu pazarlara hizmet eden benzersiz uygulamaları ele alan niş ürünler ve çözümler tasarlıyor. Her ürünün şirket içinde tasarlanıp üretildiği küçük bir şirket olarak, müşterilerimizin ihtiyaçlarına çok hızlı bir şekilde uyum sağlayabiliyoruz. En büyük varlığımızın bulunduğu ABD'de, en büyük 50 finans kurumunun 25'ine çözüm sunuyoruz.

Kuruluşumuzdan bu yana, ATM güvenlik ve self-servis ürünlerimizi dünyanın dört bir yanına gönderdik ve son yıllarda Avrupa topluluğunda işimizi önemli ölçüde büyütmek için kendimizi konumlandırdık. Ekim ayında Parabit, İngiltere'deki ATM Güvenlik Konferansı'nda ikinci kez yer aldı ve ATM güvenlik çözüm paketimiz çok sıcak bir karşılama gördü.

[CB] ATM'lerle ilgili başlıca güvenlik tehditleri nelerdir ve bunlar son yıllarda nasıl değişti?

[RL] Bu, pazara göre değişiyor. Avrupa pazarında ATM makinelerine yönelik birçok gaz saldırısı ve fiziksel hırsızlık vakası yaşanırken, ABD'de daha çok siber saldırılar ve kart kopyalama (skimming) görüyoruz. Bu, kart kopyalamanın ABD'de Avrupa'ya göre daha büyük bir sorun olduğu anlamına gelmiyor, ancak ABD'de en sık karşılaştığımız saldırı türü kart kopyalama. Hırsızlar, PIN verilerini kaydetmek için ATM ön yüzüne veya ATM tuş takımının üzerine gizli kameralar yerleştiriyor. Son birkaç yıldır, ATM lobisi giriş kart okuyucusuna yönelik saldırıların da arttığını görüyoruz; burada manyetik şerit bilgilerini kopyalamak için ATM Lobi Kart Erişim Kontrol Sistemi üzerine bir kopyalama cihazı yerleştiriliyor. Veya hırsızlar, müşteri verilerini ele geçirmek için kapı çerçevesine sahte bir kart okuyucu yerleştirebiliyor. Kart kopyalama saldırıları, ATM'nin birçok alanında ve ATM Lobi kart giriş erişim sisteminde ortaya çıktı.

[CB] Parabit'in ürünleri bu değişen tehditlerle başa çıkmak için nasıl bir uyarlama yapmak zorunda kaldı?

[RL] ATM ortamında müşterinin kendini daha güvende hissetmesine yardımcı olacak bir dizi ürün sunuyoruz. Çözümlerimiz, sektör standardı haline gelen ilk "ACS-1" ATM kart giriş erişim kontrol sistemimizden (ATM lobilerine erişim izni veren basit bir kart okuyucu) evrimleşti. Birkaç yıl içinde ACS-1, lobiye yalnızca ATM, kredi ve banka kartlarının girmesine izin veren ve uzaktan tesis yönetimi özellikleri sağlayan bir kart giriş erişim kontrol çözümü olan "ACS-2"ye dönüştü. Daha sonra, ATM'lerde kart kopyalama (skimming) yaygınlaştığında, kart okuyucumuza kopyalama algılama özelliği ekledik.

, özellikle dış mekan ortamlarına monte edilen manyetik kart okuyucuları için tasarlanmış SkimGard™ oluşturarak gerçekleştirdik MMR ) Temassız EMV / NFC / Manyetik Şerit Okuyucu w/ SkimGard™ teknolojisini destekleyecek ve bu da ACS-1E kart giriş erişim kontrol sistemlerimize kolay bir yükseltme sağlayacaktır. ABD'de, eyalet ve federal kurumlar, ATM kart giriş erişim kontrol sistemine yönelik bir kart kopyalama saldırısı soruşturması sonrasında bankalara SkimGard™ ürünümüzü önermektedir.

Ürünümüzle çok başarılı olduk; Bank of America, Capital Once, Citizens Bank, HSBC, JPMorgan Chase, PNC, TD Bank, US Bank, Wells Fargo ve diğerleri gibi müşterilerle iş birliği yaparak, basit bir kart giriş ürününden gelişmiş bir erişim kontrolü / tesis yönetimi / kart kopyalama tespit aracına dönüştürmeyi başardık.

ACS-1E ve SkimGard™ çözümümüzle, bu finans kuruluşları artık ATM lobilerini uzaktan sistem teşhisi, veri analizi, sistem durum mesajları, şube/ATM lobi kapılarının açık kalma sürelerinin kontrolü ve daha birçok özellik ile etkin bir şekilde yönetebilirler. ACS-1E ayrıca, aynı anda yalnızca bir kişinin lobiye girmesine izin verilen "tuzak" ortamlarının yapılandırılmasını da destekler.

ACS-1E sistemimizin, müşterilerimizin lobi erişimini ve güvenliğini yönetmelerine olanak tanıyan birçok özelliği bulunmaktadır.

Bankacılık sektörü, tüketicilerine sunmak üzere daha fazla self-servis teknolojisine (örneğin gelişmiş ATM'ler, kiosklar ve uzaktan vezne sistemleri) yatırım yaparak şubesiz bankacılığa doğru ilerlerken, ACS-1E ürünümüz ve diğer ATM güvenlik geliştirme çözümlerimiz ile yatırımlarının güvenliğini sağlamak isteyecektir.

Son birkaç yıldır ABD'de, bankaların daha fazla self-servis teknolojisi kurduğu yaklaşık 500 yeni şube inşaatı gördük. Ayrıca, daha fazla banka, daha önce ATM lobisi bulunmayan şube yenilemeleri sırasında ATM lobisi ortamlarına geri dönüyor. Bu durum, ortalama banka şubesinin boyutunun yaklaşık 1.500 - 2.000 metrekareye düşmesiyle ilişkilidir. Bu durumlarda, self-servis teknolojisine olan bağımlılık artmaktadır, bu nedenle ACS-1E ürünümüz en uygun güvenlik çözümüdür.

[CB] Ödeme yöntemleri NFC ve temassız ödemeye doğru kaydıkça, nakit paraya ve dolayısıyla ATM'lere olan ihtiyaç devam edecek mi?

[RL] Nakit para henüz ortadan kalkmayacak. Bu konuda, insanların esasen hükümetin radarı altında ve vergisiz yaşadığını, düşük ücretli işlerde çalıştığını ve "kayıt dışı" olarak istihdam edildiğini belirten birçok makale var. Dünyadaki çeşitli hükümetler, haftadan haftaya sadece nakit parayla yaşayan bireyleri takip etmeyi başardığında, ATM'lere olan ihtiyaç ortadan kalkabilir. Ancak, son birkaç yıldır nakit paranın yakın zamanda ortadan kalkmayacağını belirten birçok makale okudum.

[CB] ATM güvenliğiyle ilgili çok fazla yasal düzenleme var mı?

[RL] Şu anda ABD'de 26 eyalette ATM'lere özgü düzenlemeler mevcut ve bu yasalar her yıl diğer eyaletler tarafından da benimseniyor. Yasaların çoğu, ATM'lerde güvenlik uyarı levhaları ve aynaların bulundurulması, ATM lobisi ve şube çevresinde minimum aydınlatma seviyesinin (ayak mum aydınlatması) sağlanması ve ATM'nin içine ve çevresine kamera yerleştirilmesi zorunluluğuna yöneliktir.

Şu anda yalnızca Illinois, New Jersey ve New York eyaletleri, bir ATM lobisine girmek için finans kuruluşunun kart erişim kontrol sistemine sahip olmasını zorunlu kılıyor. ATM'lerde belirli bir minimum aydınlatma miktarını gerektiren yasalar, müşterilerin düşük ışıklı veya karanlık bir ATM ortamına girerek kendilerini tehlikeye atmalarını önlemek için tasarlanmıştır. Ortalama bir gecede, yetersiz aydınlatma nedeniyle yaklaşık bir düzine insan ATM'lerde soyuluyor. Müşteri karanlık bir lobiye giriyor, bir hırsızla karşılaşıyor ve maksimum limitini çekmek zorunda kalıyor. LS-1 Işık Sensörümüz , ACS-1E sistemimize veya mevcut alarm sistemlerine bağlanarak bankaların alarm izleme sistemine düşük veya hiç ışık olmadığını bildirir. ABD'deki ATM güvenlik yasalarındaki mevcut tutarsızlıklar -bence- şu anda tüketiciyi pek korumuyor. Şube içindeki müşterileri korumak için harcanan güvenlik parası miktarı ile 7/24 gözetimsiz bir ortamda ATM'leri ve diğer self servis teknolojilerini kullanan müşterileri korumak için harcanan para miktarı arasında büyük bir eşitsizlik var.

[CB] Gelecekte ATM'lere yönelik tehditlerin nasıl değişeceğini düşünüyorsunuz?

[RL] ATM'ler var olduğu sürece ve her ATM'ye, benzin istasyonuna ve finansal işlemle ilişkili her self servis kart okuyucusuna kart kopyalama önleme sistemleri kurulana kadar, kart kopyalama saldırıları görmeye devam edeceğiz.

ATM Güvenlik Konferansı'ndayken, bazı bankaların ATM lobisindeki kart okuyucusunun çalınma riskini azaltmak için giriş kapısından kart okuyucuyu kaldırdığını öğrendim. Ne yazık ki, kart okuyucuyu kaldırırsanız ama kapıyı kaldırmazsanız, bir hırsızın giriş kapısı çerçevesine piezo sesli bir kart okuyucu cihazı takmasını ne engelleyebilir? Bu sahte kart okuyucu, müşteriye gerçek bir ATM lobisi kart giriş okuyucusu gibi görünecek ve ses çıkaracak, ardından ATM ön yüzüne veya çevresine monte edilmiş bir PIN yakalama cihazından PIN'i çalınacaktır.

Lobilerinde ATM bulunan ve giriş kart erişim sistemini kaldırmış olan tüm bankalara tavsiyem, sahte kart okuyucu cihazının takılma olasılığını ortadan kaldırmak için kapıyı kaldırmaları veya ACS-1E sistemimizle birlikte SkimGard™'ı kurmalarıdır.

Gaz saldırıları ve RAM saldırıları, özellikle AB'de hala yaygın. ABD'de ise bu tür saldırılar genellikle süpermarketler ve bakkallar gibi uzak yerlerde bulunan ATM'lere yönelik oluyor. Bankalar, sağlam çözümlerle iyi bir şekilde korunuyor; bunlardan biri de İngiltere merkezli Lok-Tec üretilen gaz ve RAM saldırı çözümleri.

Özetle, bankalar kendilerini daha küçük şubelere doğru dönüştürürken ve tüketiciler daha fazla self-servis teknolojisine ve mobil bankacılık uygulamalarına yönelirken, şube bankacılığı markalaşmaları nedeniyle muhtemelen hiçbir zaman gerçek anlamda ayak izini azaltmayacaktır. Teknoloji geliştikçe, banka müşterilerinin self-servis ve mobil ihtiyaçlarını karşılamak için daha fazla teknoloji kullanılacaktır. ABD'de, İngiltere'de olduğu gibi geleneksel giriş hollerinin ortadan kalktığını görmüyoruz. ATM lobileri, bankaların 7/24 lobiye kurduğu en son teknolojiye 24 saat erişimi sağlamak ve korumak için güçlü bir geri dönüş yapıyor. Bankalar 7/24 ortamda otomasyonla birlikte gelişirken, çözümlerimiz mükemmel bir tamamlayıcı niteliğindedir.