Heartland CEO: Kredittkortkryptering nødvendig

Kredittkortstransaksjoner i USA er ofte ikke kryptert, og kredittkortleverandører, betalingsprosessorer og forhandlere trenger å omfavne en krypteringsstandard for å beskytte kredittkortnumre, sier administrerende direktør for en bruddbetalingsprosessor mandag.

Kredittkortsnumre er ikke nå påkrevd i betalingskortindustrien Retningslinjer som skal krypteres i transitt mellom forhandlere, betalingsprosessorer og kortutstedere, fortalte Robert Carr, styreformann og administrerende direktør i Heartland Payment Systems, en amerikansk senatkomite. Heartland i januar kunngjorde oppdagelsen av et datautbrudd som forlot titusenvis av kredittkortnumre utsatt for hackere.

"Jeg vet nå at denne industrien trenger og kan gjøre mer for å bedre beskytte den mot Ever-more-sofistikerte metoder som brukes av disse cyberkriminelle, sier Carr til senatets hjemlandssikkerhets- og regjeringsutvalg. "Jeg tror det er kritisk å implementere ny teknologi, ikke bare på Heartland, men industrielt." Formålet med komiteens høring var dels å avgjøre om ny lovgivning er nødvendig for å bekjempe nettkriminalitet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Heartland presser for kredittkortindustrien til å vedta en slutt-til-ende krypteringsstandard, sa han, og selskapet bruker distribusjonsbestandige terminal-terminaler på sine medlemsforhandlere. "Vårt mål er å helt fjerne betalingskontonumre for kreditt- og debetkort og magnetiske stripe-data, slik at de aldri er tilgjengelige i et brukbart format i handels- eller prosessorsystemene," sa Carr.

Heartland har bedt kredittkortselskapene om å akseptere krypterte transaksjoner og selskapet har engasjert standardorganer og krypteringsleverandører, sier Carr. Selskapet har også bidratt til å danne et informasjonsdelsråd for betalingsprosessorer, hvor selskapene kan dele informasjon om trusler, sårbarheter og beste praksis, sa han.

"Vi jobber med disse løsningene, både teknologiske og samarbeidende, fordi Jeg vil ikke ha noen andre i vår bransje eller våre kunder eller deres kunder … å bli offer for disse cyberkriminelle, sier han.

Carr ga ikke detaljer om Heartland-bruddet, der selskapet ble kompromittert i omtrent et år og et halvt. Selskapet er fortsatt involvert i undersøkelser og rettssaker som involverer bruddet, sa han.

Heartland betalte imidlertid om 32 millioner dollar i første halvår 2009 for rettsmedisinske undersøkelser, juridisk arbeid og andre anklager knyttet til bruddet, sa han.

Senatorer spurte Carr noen spisse spørsmål om bruddet. Senator Susan Collins, en republikan i Maine, ønsket å vite hvordan selskapet kunne bli kompromittert fra oktober 2006 til mai 2008 uten å oppdage bruddet. "Jeg var forbløffet over hvor lenge en lang periode var gått der disse hackerne klarte å stjele disse kredittkortnummerene," sa hun. "Forklar meg hvordan et brudd på denne størrelsen kunne gå uoppdaget så lenge."

Kortinnehavere rapporterte ikke store brudd, svarte Carr. "Brudd på brudd er normalt oppdaget, er at bedragerisk bruk av kort er bestemt," sa han. "Det var ingen antydning om bedragerisk bruk av kort som ble oppmerksom på til mot slutten av 2008."

Collins presset ham videre. "Men er det ingen dataprogrammer som man kan bruke til å sjekke for å se om et innbrudd har skjedd?" spurte hun.

"Det er, og de cyberkriminelle er veldig gode til å maskere seg selv," sa Carr.

Senator Joe Lieberman, en uavhengig av Connecticut, spurte Carr om omfanget av bruddet., Ble Albert Gonzalez av Miami anklaget i New Jersey for tyveri på mer enn 130 millioner kreditt- og debetkort, ifølge det amerikanske justisdepartementet. Han ble belastet, sammen med to unavngitte samspillere, ved å bruke SQL-injeksjonsangrep for å stjele kreditt- og debetkortinformasjon fra Heartland, 7-Eleven og Hannaford Brothers, en Maine-basert supermarkedskjede. Gonzalez påtalte seg skyldig i forrige uke for å skille frakt i Massachusetts og New York.

Det er for tidlig å fortelle hvor mange kredittkortnumre som ble behandlet av Heartland, ble kompromittert, sa Carr. "Vi vet ikke omfanget av bedrageri på dette tidspunktet," sa han. "Det er et betydelig kompromiss."