В прошлую пятницу я читал дневную порцию блога Брайана Кребса, KrebsOnSecurity.com, и читал его рассказ о взломанной компании Global Payments Inc. В пятницу он не назвал компанию, как позже написал статью в Wall Street Journal . В любом случае, теперь мы знаем название компании.
Global Payments Inc. является обработчиком платежей по кредитным картам, или «приобретателем», или «покупателем-покупателем» в отраслевом выражении. Такие фирмы в основном являются посредниками между различными розничными или другими коммерческими учреждениями, которые берут кредитные карты, и банками, которые их выпускают. У индустрии кредитных карт есть слои. Банки выдают кредитные карты людям. Люди хотят использовать свои карты для покупки вещей, поэтому ритейлеры открывают счета для «покупателей», чтобы иметь возможность брать кредитные карты. Visa управляет определенной сетью VisaNet, которая связывает все эти различные объекты вместе.
Когда вы используете свою кредитную карту, вы, по сути, говорите: «Я обещаю вернуть свой банк». Вы обещаете вернуть свой банк, потому что на самом деле это банк, который будет платить бизнесу, в котором вы использовали свою карту. Теперь банк не может путешествовать по всему миру, пытаясь оплатить все места, где вы использовали свою карту. Ну, я полагаю, они могли, но они этого не делают. Войдите в следующий слой … банк-эквайер, и в этой истории нарушенная сущность.
Банк-эквайер тратит свое время на заключение торговых договоров с различными организациями, которые хотели бы принимать кредитные карты. Затем они выполняют обычную задачу по сбору денег в вашем банке, чтобы заплатить продавцу, за исключением, конечно, небольшой комиссии.
Единственная реальная роль, которую играют Visa, MasterCard или American Express (кредитные карты, если хотите), в том, чтобы облегчить общение между соответствующими сторонами. Конечно, они скажут вам, что именно их бренды заставляют весь безналичный мир развиваться. И в какой-то степени они верны. Когда ваша карта будет считана, VisaNet отправит в банк сообщение с вопросом, можно ли использовать вашу карту, VisaNet также может ответить на этот вопрос, если банк не ответит достаточно быстро. (помните, вы стоите там, надеясь, что вы оплатили свой последний счет … ожидая ответа этой машины)
Чтобы еще больше усложнить ситуацию, может быть еще один слой между фактическим магазином, желающим взять кредитные карты, и покупателем. Поскольку это не имеет отношения к этому обсуждению, я оставлю полный анализ отрасли кредитных карт на другой день. Достаточно сказать, что если в индустрии кредитных карт есть способ заработать, то компании это выяснили.
Этот конкретный покупатель довольно большой. Большинство из них. Они делают очень мало на отдельных транзакциях, поэтому им нужно много транзакций, чтобы заработать реальные деньги. Global Payments зарабатывает реальные деньги . Они являются публичной компанией, зарегистрированной на Нью-Йоркской фондовой бирже. Посмотрите на этот график, который показывает цену акций Global до, во время и после того, как они объявили о нарушении. ( Граф )
Потери накапливались настолько быстро, что NYSE прекратил торги акциями Global примерно в полдень в пятницу. Вслед за объявленным нарушением VISA объявила о том, что они отбросят Global как процессор. Ну, не совсем, по-видимому, «отбрасывание» их, а скорее исключение их из «реестра» процессоров (приобретателей, торговых посредников и т.д.), Которые отвечают определенным требованиям безопасности данных. Видите ли, VISA, MasterCard и остальные «бренды» держат все карты. Они решают, кто является процессором, и что более важно, а кто нет. Или в этом случае, кто в хорошем списке, а кто в плохом списке. Очень Санта-Клаус из них.
Количество номеров кредитных карт, украденных в результате этого нарушения, либо неизвестно, либо устанавливается, либо управляется, чтобы нанести наименьший ущерб. Global говорит, что «было экспортировано менее 1,5 миллионов». Интересный выбор слов. Пожалуйста, ознакомьтесь с историей Брайана Кребса по этому вопросу здесь . Эта компания, вероятно, обрабатывает (ред?) Миллиарды транзакций в день … узнают ли они когда-нибудь, что на самом деле было сделано?
Все это имеет значение из-за затрат, которые будут дальше. Допустим, потеряно 2 миллиона карт. Если каждая карта стоит 3 доллара, то это 6 миллионов долларов. Теперь, скажем, половина из них хочет кредитную защиту. При 6 долларов на человека это еще 6 миллионов долларов. Если Global потеряет бизнес из-за того, что Visa «исключит его из списка», это еще одна цена (сумма неизвестна). Не проверяйте мою математику, это очень грубые цифры, и каждая ситуация имеет свои издержки. Я уверен, что затраты будут глубокими, однако. Ponemon Inc. оценивает среднюю стоимость пляжа данных в 214 долларов за запись. (х 1 мил? х 2 мил? х 10мил?)
И давайте не будем забывать о графике цен акций, который я вам показал. Глобал потерял около 14% своей стоимости акций. Исходя из того, что я знаю об их годовом доходе, цене акций и их рыночной капитализации — (что почти ничего) — я предполагаю, что 14% — это много, очень много денег.
Юридическая фирма Levi & Korsinsky объявила, что «расследует возможные претензии к совету директоров Global Payments, Inc.»
Если у меня есть акции в компании, и эта компания так плохо работает из-за ее управления, я могу подать в суд на компанию — ну, на самом деле, я подаю в суд на Совет директоров от имени компании — вы видите, что акционеры владеют компанией. Я не претендую на то, чтобы быть экспертом по так называемым искам по производным акциям или действиям класса Федеральных ценных бумаг, но я знаю, что было бы разумно нанять адвоката (или многих из них), если один из них появится на вашем порог компании. Похоже, что люди в Леви и Корсинском что-то готовят.
После утечки данных возникают огромные расходы, связанные с очисткой, уведомлениями затрагиваемых сторон, потерями бизнеса или торговой марки, судебными или потенциальными судебными разбирательствами, нормативными действиями и другими связанными с этим расходами. Нижняя сторона здесь довольно внизу.
Но посмотрите на светлую сторону … Степень информатики становится все более популярной с каждым днем. Вы можете быть хорошим или плохим, но определенно богатым.
Послесловие:
Уважаемая индустрия кредитных карт:
Мне все равно, если каждый процессор кредитных карт на планете взломан. Я просто хотел бы быть уверенным, что даже если они это сделают, расходы не сократятся до меня. Я буду участвовать в вашем безналичном обществе до тех пор, пока эти неприятные вещи, связанные с утечкой данных, не повлияют на мою прибыль. Пожалуйста, скажи мне, что небо не падает.
Подписанный, заинтересованный клиент
Уважаемый заинтересованный клиент:
Небо не падает. Мы стремимся обеспечить максимально безопасную среду для транзакций по кредитным картам, но, увы, наш мир наводнен определенным элементом, намеревающимся нанести ущерб нашим усилиям. Поскольку мы все в этом мире вместе, мы все должны разделить расходы. Мы, безусловно, сделаем все возможное, чтобы казалось, что это вам ничего не стоит, хотя на самом деле это так. Вы ведь не ожидаете, что мы заплатим за эти преступления?
Подписано, Аноним (мы снова забили!)