בלעדי: מנהל אבטחת המידע של מאסטרקארד העולמית בשיחה אחד על אחד

בימים האחרונים ביקר בארץ רולנד גרין, האחראי על תחום ההגנה בסייבר וההגנה הפיזית בחברת מאסטרקארד העולמית בשנתיים וחצי האחרונות, תפסנו אותו לראיון מיוחד

רולנד גרין, מנהל אבטחת המידע של מאסטרקארד העולמית. צילום: עמי רוחקס דומבה

חברת כרטיסי האשראי מאסטרקארד העולמית (לא להתבלבל עם ישראכרט הישראלית) מחפשת פתרונות טכנולגיים גם בישראל, ובימים האחרונים ביקר בארץ רולנד גרין, האחראי על תחום ההגנה בסייבר וההגנה הפיזית בחברת מאסטרקארד העולמית בשנתיים וחצי האחרונות. הספקנו לתפוס אותו לשיחה של אחד על אחד במאיץ של סיטיבנק ברמת החייל בתל אביב על היבטי הסייבר בעולם האשראי.

רק כדי לסבר את האוזן, חברת מאסטרקארד היא חברת טכנולוגיה המספקת תשתית עולמית לביצוע עסקאות אשראי. המחזור העסקי שלה נושק ל-10 מיליארדי דולרים. היא פועלת ב-210 מדינות ותומכת ב-150 סוגי מטבעות.

האם הצ'יפים על הכרטיסים [EMV] הופכים את התשלום לבטוח יותר?

אחד השינויים העיקריים בהיבט אבטחת מידע שמובילה החברה בשנים האחרונות הוא מעבר לכרטיסים עם שבבים חכמים. מדובר בשבב שהוא למעשה מחשב קטן שמוטמע בכרטיס האשראי והוא פותר את אחת הבעיות העיקריות שהיו בכרטיסי אשראי - היכולת של התוקף לקרוא את המספר של הכרטיס מהפס המגנטי.

"ראשית, צריך לזכור שתשלום בכרטיס גם ללא השבב, בטוח יותר לעומת שימוש במזומן", אומר גרין. "באמצעות הכרטיס אנחנו יכולים להבטיח את התשלום בין הספק לצרכן. השבב מוסיף שכבת הגנה חדשה.

"כרטיס אשראי עובד בצורה כזו שהפס המגנטי על הכרטיס מכיל את מספר הכרטיס ועוד פרטים מזהים עליו. המידע נשמר בצורה לא מאובטחת בתצורת Clear Text. כבר בשנות התשעים התחילו להיכנס כל מיני מכשירים תחת הכינוי Skimmers שאפשרו לתוקפים לקרוא את הפרטים מהפס המגנטי. באותה צורה, האקרים הצליחו לקרוא את נתוני הכרטיס מעמדת התשלום [POS].

"עמדת התשלום קוראת את הנתונים ושומרת את מספר הכרטיס שלך אצלה בבסיס נתונים. חלקן מצפינות את המאגרים, חלקן מעבירות את הנתונים בשרשרת האספקה של העסק. בהיבט אבטחת מידע זו בעיה, ותוקפים ניצלו את התשתית הזו. בכל הפריצות בשנים האחרונות התוקפים הצליחו להגיע למאגרי נתונים בהם מאוחסנים מספרי הכרטיסים או להגיע לנקודת התשלום עצמה ולאסוף מספרים של כרטיסים. גם את אתה מצפין את נתונים מעמדת התשלום הלאה, אם התוקף יושב בעמדת התשלום הוא מקבל גישה לנתונים של הכרטיס בתצורת Clear Text. 

"שבב ה-EMV משנה את התהליך בכך שהוא שולח חבילה מוצפנת [קריפטוגרמה] מכרטיס האשראי לעמדת התשלום. העמדה מעבירה את הנתונים למחשב שמדבר ישירות עם השרתים של מאסטרקארד בצורה מוצפנת. בכל הטרנזקציה הזו, אף חוליה בשרשרת לא חושפת את נתוני הכרטיס. במצב כזה, העמדה משמשת כאנטנה שקולטת ומשדרת נתונים מוצפנים. כלומר, גם אם התוקף יושב בעמדת התשלום, הוא מקבל נתונים מוצפנים שאין לו מה לעשות אתם". 

התוקפים עוברים לקניות ברשת

גרין אומר שכניסת הכרטיס לא הפסיקה את ניסיונות ההתקפה. לדבריו, יש התקפות על השבב אבל הן לא מגיעות לקנה מידה גדול כמו אלו שהיו בעבר. "שאתה גונב מספרים מהפס המגנטי, אתה יכול לגנוב הרבה", אומר גרין. "בהתקפות שראינו על השבב, התוקפים ניסו לחבל בקורא השבב על עמדת התשלום כדי לאלץ את העמדה לעבור לשיטה הקודמת של קריאת הפס המגנטי [Fail Over]. ככה הם יכולים לאסוף את המספרים של הכרטיסים. שוב, אלו התקפות נקודתיות, לא בקנה מידה גדול. 

"ראינו שככל שנעשה יותר שימוש בכרטיסים עם שבב, התוקפים עוברים לקניות ברשת איפה שלא צריך את הכרטיס עצמו כמו בעמדת תשלום פיזית. הפשע פשוט עובר לסביבה ללא כרטיס פיזי."

זיהוי ביומטרי תופס תאוצה

בגלל שהפשע עובר לקניות ברשת, במאסטרקארד מחפשים שיטות חדשות להעלות את האבטחה של הקניות במדיום הדיגיטלי. אחת השיטות היא אימות ביומטרי רב ממדי.

"בסביבה המקוונת התחלנו להשתמש בזיהוי ביומטרי באמצעות צילום "סלפי", מסביר גרין. "זה למעשה שירות של אימות באמצעות זיהוי פנים הכולל גם חיווי שהמשתמש ממצמץ כדי לדעת שהוא באמת אדם חי ולא זיוף. אבל זוהי רק שיטה אחת. בעתיד נוכל להשתמש גם בטביעות אצבע ווקטורים נוספים. העולם הולך לכיוון של זיהוי ביומטרי רב מצבי. יש לנו גם פרויקט של צמיד חכם שיודע את דפוס פעימות הלב שלך, והוא משמש כרכיב זיהוי שזה אתה. לכל אדם יש דפוס פעימות לב חד-חד ערכי. "

גרין מדגיש שבמאסטרקארד לא שומרים את הנתונים הביומטריים של המשתמש, אלא מתבססים על הטלפון הסלולארי. בטלפונים תומכים יש סביבה מאובטחת ומוצפנת ששומרת את הנתון הביומטרי של המשתמש כמשוואה מתמטית.

"בעתיד ייתכן וכן נממש על טכנולוגיות זיהוי ביומטרי שלא מבוססות על הטלפון הסלולרי. במקרה כזה, אנחנו נשמור רק פונקציה מתמטית של המידע הביומטרי [כמו HASH], לא את המידע עצמו.", אומר גרין. "זה אלגוריתם שעוזר לנו להכיר משהו בך בצורה מתמטית. בצורה כזו, נצליח לזהות אותך על פי אותה פונקציה.

"שיטה נוספת שאנחנו מיישמים זה טוקניזציה [Tokenization]. כלומר, אנחנו הופכים אצלנו בחברה את המידע של כרטיס האשראי לטוקן, ואז המידע הזה יכול לשמש בשירותי תשלום מקוונים כמו מאסטר פאס, אפל פיי, גוגל-פיי או אחרים.

"הטוקן הוא יישות מידע חדשה שיצרנו שמוצמדת לטלפון הסלולרי של המשתמש. הצימוד הזה מאפשר לנו לדעת שני מרכיבי ידע לגבי המשתמש - הטוקן והטלפון הסלולרי. אנחנו יודעים שתמיד הם הולכים יחד בעת התשלום. הצימוד נשמר אצלנו בחברה כי אנחנו אלו שהפקנו את הטוקן."

שם המשחק: אימות תלוי סיכון

במציאות החדשה, כדי לעשות תשלום מזוייף, התוקף צריך להכיר את הטלפון הסלולרי של הקורבן (IMEI + MAC + נתונים נוספים), את הטוקן שלו, ומעל סכום עסקה מסוים גם את הפרטים הביומטריים שלו ומרכיבי התנהגות שלו. זה אמנם לא פתרון קסם, אבל זה בהחלט מעלה את עלות ההתקפה ומצמצם את מרחב התקיפה האפשרי על הטרנזקציה.

"אם אתה עושה עסקה של 10 דולרים, אני אצטרך רק את הזיהוי הביומטרי. אם תקנה כרטיס טיסה, תצטרך להוסיף גם את הטלפון הנייד, זיהוי התנהגות ווקטורים נוספים של זיהוי.", מסביר גרין. "זה אימות תלוי סיכון. זה שם המשחק. חלק מהזיהוי ההתנהגותי כבר קיים. אנחנו יודעים מה אתה נוהג לקנות. אם אתה קונה כל הזמן קפה וספרים, ופתאום אתה קונה כרטיס טיסה, נבקש ממך הזדהות חזקה יותר כי זו התנהגות שונה."

איך אתם מטפלים באיום הפנימי?

"אנחנו משיגים יתרון גדול בשילוב של ההגנה הפיזית וההגנה בסייבר תחת אותו כובע", אומר גרין. "בעבר, אנשי הסייבר הסתכלו על מה שחשוב להם ואנשי האבטחה הפיזית על שלהם. כאשר איחדנו את שני העולמות האלו יחד, הם חושבים יחד. זה מציף איומים בתוך החברה. כבר היו לנו הצלחות בהקשר זה."

בזמן האחרון היו שמועות על כך שיצרניות הסלולר כמו אפל, גוגל ואחרות רוצות להתחרות בכם ובויזה כדי לגזור קופון על תשלומים שנעשים באמצעות הטלפון. האם אתה רואה את זה כאיום?

"תשתית הסליקה בנויה על אמון. וזה אמון שבנינו במהלך הרבה מאד שנים", אומר גרין. "כדי להבין זאת, צריך להבין איך עובדת תשתית הסליקה בעולם. כאשר אתה משלם עם כרטיס אשראי, מאחורי הקלעים יש תשתית שמורכבת מלפחות שני גורמים מאשרים. אחד זה הבנק שלך. שני זה הבנק של העסק שממנו אתה קונה. אנחנו כמאסטר קארד צריכים לשאול את שני הצדדים אם הם מאשרים את העסקה. תהליך האישור כולל שאלות כמו 'האם אתה בעל הכרטיס?' , 'האם יש לך מספיק כסף לבצע את העסקה?' ועוד. כל זה מתבצע מאחורי הקלעים בתהליך מהיר מאד שלוקח ננו שניות. 

"אם בנוסף לבנקים של שני הצדדים יש חברות שמנפיקות כרטיסים באותה מדינה, כמו ההפרדה שיש בישראל, אז יש בדרך עוד גורמים. היכולת לאשר במהירות כה גבוהה עסקה בנויה בחלקה הגדול על אמון נרכש. נכון, זו פעולה טכנולוגית, אבל היא 'יושבת' על הרבה שנות ניסיון שלנו מול הגורמים המאשרים. ליצרניות הטלפונים לא יהיה קל להיכנס לעולם הזה. זה סף כניסה גבוהה. לכן, גם אם בהתחלה היו שאיפות כאלו, נכון להיום אנחנו עובדים עם יצרניות גדולות כמו גוגל, אפל ואחרות וגם עם חברות טכנולוגיה גדולות אחרות בעולם כמו פייסבוק."

אתם מתכוונים להטמיע טכנולוגיית בלוקצ'יין?

"אנחנו בוחנים כרגע את הטכנולוגיה. היא תכנס איפה שהיא תוסיף ערך", אומר גרין. "צריך לזכור שעבורנו המהירות של הטרנזקציה היא מרכיב קריטי. אנחנו מודדים אותה בננו שניות, אחרת הלקוח לא ישתמש בכרטיס האשראי. טרנזקציה ממוצעת של ביטקוין לצורך השוואה לוקחת היום כ-10 דקות [מקור]."

איך אתם מטמיעים טכונלוגיות חדשות? 

"אנחנו מנהלים סביבות בדיקה קפדניות. הכנסת טכנולוגיות חדשות לתוך הסביבה המבצעית של הטרנזקציות זה אירוע מורכב", מסביר גרין. "כאשר אנחנו מוצאים טכנולוגיות חדשות, הן נכנסות לבחינה בסביבת ניסוי. לאחר תקופה מסוימת, כאשר הן בשלות מספיק, אנחנו מנסים להכניס את חלקן לסביבה כמעט מבצעית. לאחר מכן, חלקן יגיעו לסביבה המבצעית. אלו שנכנסות בסוף לסביבה מבצעית, מוטמעות בצורה כזו שתאפשר לנו להוציא אותן אם משהו לא עובד תקין. שוב, מהירות הטרנקציות היא נר לרגלינו. 

"אני לא רוצה להתחייב לגבי הזמן שלוקח לנו להכניס טכנולוגיה חדשה לתוך הסביבה המבצעית. כן אוכל לומר שבאופן כללי, זה לוקח בערך כשנה עד שאנחנו מרגישים נוח עם הטכנולוגיה החדשה. תזכור שאנחנו בוחנים בסביבת הניסיונית טכנולוגיות חדשות כל הזמן. גם כאלו שלא נכנסות בסוף לסביבה המבצעית." 

איזה טכנולוגיות אתם מחפשים? 

"אנחנו כל הזמן מחפשים טכנולוגיות חדשות", אומר גרין. "בין היתר, זיהוי ביומטרי, הצפנה, ניתוח התנהגות, ודרכים להאיץ את הטרנזקציות שלנו. כל דבר שיהפוך אותנו ליותר יעילים ואת הטרנזקציות שלנו ליותר בטוחות."

מהם אתגרי הסייבר העיקריים בעיניך?

"האתגר העיקרי הוא האיומים הלא ידועים בסייבר. אנחנו מטרה להאקרים מכל העולם", אומר גרין. "מכיוון שאנחנו עוסקים רק בהגנה, היתרון בדרך כלל נמצא בצד השני. אצל התוקף. אנחנו כמגינים לא קובעים את הזמן והמקום שיתקפו אותנו ולכן מגינים על הכל, כל הזמן. התוקפים צריכים להצליח רק פעם אחת. 

"אנחנו בוחנים את עצמנו באופן תדיר. עושים מבחני חדירה ויש לנו גם מחלקת מודיעין סייבר עצמאית. אבל תזכור שהבדיקות האלו לא מכסות את כל קשת האיומים. גם אם ניקח את ההאקרים הלבנים הכי טובים בארה"ב, ונתקן כל מה שהם ימצאו ברשת שלנו, אם ימצאו, זה עדיין לא מבטיח לנו חוסן. מחר ייתכן ויהיה האקר שיתקוף אותנו בצורה אחרת שלא חשבנו עליה. 

"עוד היבט חשוב להגנה בסייבר הוא שיתוף מידע עם מתחרים בתחום שלנו. אנחנו משתפים מידע ופעולה בתחום זה יותר מאשר נהוג לחשוב, למרות התחרות העסקית. כל אחד בתחום שלנו מבין שאם תוקפים אותנו, מחר יתקפו אותו ולהיפך. במציאות, התוקפים מאורגנים ומשתפים פעולה ביניהם. אם אנחנו לא נשתף פעולה בצד ההגנה, לא נוכל להגן מפני התקפות על התשתיות שלנו." 

אולי יעניין אותך גם