Bảo mật ATM: Giữ tiền của bạn an toàn

Ông Rob Leiponis của Parabit đã có cuộc trò chuyện với ông Chris Beck của Security Buyer về các xu hướng hiện tại trong lĩnh vực bảo mật ATM và cách chúng sẽ thay đổi trong những năm tới.

Tác giả:

Chris Beck

securitybuyer.com

[Chris Beck] Hãy cho chúng tôi biết về các giải pháp ATM của Parabit

[Rob Leiponis] Tôi thành lập Parabit Systems cách đây 19 năm với sứ mệnh cung cấp các giải pháp an ninh và tự phục vụ, vì đây là những ngành công nghiệp không ngừng phát triển. Chúng tôi bắt đầu với tư cách là một tổ chức tích hợp/cung cấp sản phẩm an ninh ATM và nhanh chóng phát triển thành nhà sản xuất các sản phẩm nâng cao an ninh và tự phục vụ ATM. Thế giới ngày càng trở nên an toàn hơn và mọi người luôn tìm cách tự động hóa ngay cả những quy trình đơn giản nhất trong cuộc sống của họ. Đó chính là bản chất của Parabit. Chúng tôi cung cấp nhiều giải pháp cho các ngành Tài chính, Chăm sóc sức khỏe, Giáo dục, Chính phủ và Giao thông vận tải. Parabit thiết kế các sản phẩm và giải pháp chuyên biệt đáp ứng các ứng dụng độc đáo phục vụ các thị trường này. Là một công ty nhỏ, nơi mọi sản phẩm đều được thiết kế và sản xuất nội bộ, chúng tôi có thể thích ứng rất nhanh với nhu cầu của khách hàng. Tại Hoa Kỳ, nơi chúng tôi có phạm vi hoạt động lớn nhất, chúng tôi cung cấp giải pháp cho 25 trong số 50 tổ chức tài chính lớn nhất.

Kể từ khi thành lập, chúng tôi đã cung cấp các sản phẩm bảo mật và tự phục vụ ATM của mình trên toàn thế giới, và trong những năm gần đây đã định vị mình để phát triển đáng kể hoạt động kinh doanh tại cộng đồng châu Âu. Vào tháng 10, Parabit đã tham gia triển lãm Hội nghị Bảo mật ATM tại Anh lần thứ 2, nơi chúng tôi nhận được sự đón nhận rất nồng nhiệt đối với bộ giải pháp bảo mật ATM của mình.

[CB] Các mối đe dọa an ninh chính xung quanh máy ATM là gì và chúng đã thay đổi như thế nào trong những năm gần đây?

[RL] Tình hình khác nhau tùy thuộc vào thị trường. Tại thị trường châu Âu, có nhiều vụ tấn công bằng khí gas và đột nhập vật lý vào máy ATM, trong khi ở Mỹ, chúng ta thấy nhiều vụ tấn công mạng và đánh cắp thông tin thẻ. Điều đó không có nghĩa là đánh cắp thông tin thẻ là vấn đề nghiêm trọng hơn ở Mỹ so với châu Âu, nhưng đánh cắp thông tin thẻ là loại tấn công phổ biến nhất mà chúng ta gặp phải ở Mỹ. Kẻ trộm đặt camera ẩn trên mặt trước máy ATM hoặc phủ lên bàn phím ATM để ghi lại mã PIN. Trong vài năm qua, chúng ta cũng thấy các vụ tấn công gia tăng vào đầu đọc thẻ ở khu vực sảnh chờ ATM, nơi thiết bị đánh cắp thông tin thẻ được đặt trên Hệ thống Kiểm soát Truy cập Thẻ Sảnh chờ ATM để đánh cắp thông tin dải từ. Hoặc, kẻ trộm có thể đặt đầu đọc thẻ giả trên khung cửa để thu thập dữ liệu khách hàng. Các vụ tấn công đánh cắp thông tin thẻ đã xuất hiện ở nhiều khu vực của máy ATM cũng như hệ thống truy cập thẻ ở sảnh chờ ATM.

[CB] Các sản phẩm của Parabit đã phải thích ứng như thế nào để đối phó với những mối đe dọa đang thay đổi này?

[RL] Chúng tôi cung cấp một bộ sản phẩm giúp khách hàng cảm thấy an tâm hơn trong môi trường ATM. Các giải pháp của chúng tôi đã phát triển từ hệ thống kiểm soát truy cập thẻ ATM “ACS-1” đầu tiên – một đầu đọc thẻ đơn giản để cấp quyền truy cập vào khu vực ATM, và nó đã trở thành tiêu chuẩn trong ngành. Chỉ trong vài năm, ACS-1 đã phát triển thành “ACS-2”, một giải pháp kiểm soát truy cập bằng thẻ chỉ cho phép thẻ ATM, thẻ tín dụng và thẻ ghi nợ vào khu vực ATM, đồng thời cung cấp các tính năng quản lý cơ sở từ xa. Sau đó, khi tình trạng đánh cắp thông tin thẻ (skimming) trở nên phổ biến tại các máy ATM, chúng tôi đã thiết kế tính năng phát hiện đánh cắp thông tin thẻ trong đầu đọc thẻ của mình.

Chúng tôi đã hoàn thành việc tích hợp thiết kế này khoảng bốn năm trước, tạo ra SkimGard™ của chúng tôi, được thiết kế đặc biệt cho các đầu đọc thẻ từ được lắp đặt trong môi trường ngoài trời. Giải pháp ACS-1E mới nhất của chúng tôi sẽ sớm hỗ trợ Đầu đọc thẻ đa phương tiện (MMR) không tiếp xúc EMV/NFC/thẻ từ với công nghệ SkimGard™ sắp ra mắt, đây sẽ là một bản nâng cấp dễ dàng cho hệ thống kiểm soát truy cập thẻ ACS-1E của chúng tôi. Tại Hoa Kỳ, các cơ quan tiểu bang và liên bang quảng bá sản phẩm SkimGard™ của chúng tôi cho các ngân hàng khi họ điều tra một vụ tấn công đánh cắp thông tin thẻ ATM.

Chúng tôi đã rất thành công với sản phẩm này, khi đã phát triển nó từ một sản phẩm nhập thẻ đơn giản thành một công cụ kiểm soát truy cập/quản lý cơ sở vật chất/phát hiện gian lận thẻ tín dụng tinh vi với sự hợp tác của các khách hàng như Bank of America, Capital Once, Citizens Bank, HSBC, JPMorgan Chase, PNC, TD Bank, US Bank, Wells Fargo và nhiều khách hàng khác.

Với giải pháp ACS-1E và SkimGard™ của chúng tôi, các tổ chức tài chính giờ đây có thể quản lý hiệu quả khu vực sảnh ATM của mình – từ xa; chẩn đoán hệ thống, phân tích dữ liệu, thông báo trạng thái hệ thống, kiểm soát thời gian mở cửa sảnh chi nhánh/ATM và nhiều hơn nữa. ACS-1E cũng hỗ trợ cấu hình môi trường “mantrap”, nơi chỉ một người được phép vào tiền sảnh tại một thời điểm.

Hệ thống ACS-1E của chúng tôi có nhiều tính năng cho phép khách hàng quản lý việc ra vào và an ninh khu vực sảnh chờ.

Khi ngành ngân hàng chuyển dịch sang mô hình ngân hàng không cần chi nhánh bằng cách đầu tư vào công nghệ tự phục vụ nhiều hơn để cung cấp cho người tiêu dùng (như máy ATM hiện đại, ki-ốt và hệ thống giao dịch viên từ xa), họ sẽ muốn đảm bảo an ninh cho các khoản đầu tư của mình với ACS-1E của chúng tôi, cũng như bộ giải pháp tăng cường bảo mật ATM khác của chúng tôi.

Trong vài năm trở lại đây tại Mỹ, chúng ta đã chứng kiến ​​khoảng 500 chi nhánh ngân hàng mới được xây dựng, trong đó các ngân hàng lắp đặt nhiều công nghệ tự phục vụ hơn. Bên cạnh đó, nhiều ngân hàng đang quay trở lại với môi trường sảnh ATM trong quá trình cải tạo chi nhánh, nơi trước đây họ không có sảnh ATM. Điều này tương ứng với việc giảm diện tích trung bình của các chi nhánh ngân hàng xuống còn khoảng 1.500 – 2.000 feet vuông. Trong những trường hợp này, sự phụ thuộc là vào công nghệ tự phục vụ, vì vậy sản phẩm ACS-1E của chúng tôi là giải pháp bảo mật tối ưu.

[CB] Liệu nhu cầu về tiền mặt, và do đó, máy ATM, có tiếp tục tồn tại khi các phương thức thanh toán chuyển dần sang NFC và thanh toán không tiếp xúc?

[RL] Tiền mặt sẽ chưa biến mất hoàn toàn. Có rất nhiều bài báo về vấn đề này cho thấy nhiều người đang sống chui lủi, không phải đóng thuế – họ làm những công việc lương thấp và được tuyển dụng “không chính thức”. Một khi các chính phủ trên thế giới có thể theo dõi được những cá nhân sống dựa vào tiền mặt hàng tuần, thì nhu cầu về máy ATM có thể sẽ biến mất. Tuy nhiên, tôi đã đọc một số bài báo trong vài năm qua cho thấy tiền mặt sẽ không biến mất trong thời gian tới.

[CB] Có nhiều quy định pháp luật liên quan đến an ninh máy ATM không?

[RL] Hiện tại, 26 tiểu bang ở Mỹ có các quy định cụ thể về máy ATM và các luật này đang được các tiểu bang khác áp dụng hàng năm. Nhiều luật hướng đến yêu cầu duy trì các biển báo an toàn và gương soi trên máy ATM, duy trì mức độ chiếu sáng tối thiểu (độ sáng tính bằng foot-candle) bên trong và xung quanh khu vực đặt máy ATM và xung quanh chi nhánh, cũng như lắp đặt camera bên trong và xung quanh máy ATM.

Illinois, New Jersey và New York hiện là ba tiểu bang duy nhất yêu cầu các tổ chức tài chính phải có hệ thống kiểm soát truy cập thẻ để vào khu vực máy ATM. Các luật yêu cầu mức độ chiếu sáng tối thiểu cụ thể tại máy ATM được thiết kế để ngăn khách hàng tự gây nguy hiểm cho mình bằng cách bước vào môi trường ATM thiếu sáng hoặc tối. Trung bình mỗi đêm, khoảng chục người bị cướp tại máy ATM do ánh sáng kém. Khách hàng bước vào khu vực tối om và gặp phải kẻ trộm, buộc phải rút tối đa hạn mức của mình. Cảm biến ánh sáng kết nối với hệ thống ACS-1E hoặc các hệ thống báo động hiện có để thông báo cho hệ thống giám sát báo động của ngân hàng về tình trạng thiếu sáng hoặc không có sáng. Theo tôi, sự không nhất quán hiện tại trong luật an toàn ATM ở Mỹ không mang lại nhiều sự bảo vệ cho người tiêu dùng. Có sự chênh lệch lớn giữa số tiền chi cho an ninh để bảo vệ khách hàng trong chi nhánh so với việc bảo vệ khách hàng sử dụng máy ATM và các công nghệ tự phục vụ khác trong môi trường hoạt động 24/7 không có người giám sát.

[CB] Theo ông/bà, các mối đe dọa đối với máy ATM sẽ thay đổi như thế nào trong tương lai?

[RL] Chừng nào còn có máy ATM và chừng nào hệ thống chống sao chép thông tin thẻ được lắp đặt trên mọi máy ATM, máy bơm xăng và mọi thiết bị đọc thẻ tự phục vụ liên quan đến giao dịch tài chính, chúng ta sẽ tiếp tục chứng kiến ​​các vụ tấn công sao chép thông tin thẻ.

Trong khi tham dự Hội nghị An ninh ATM, tôi được biết một số ngân hàng đã tháo đầu đọc thẻ khỏi cửa tiền sảnh để giảm nguy cơ bị đánh cắp thông tin thẻ từ đầu đọc thẻ ATM tại sảnh. Tuy nhiên, nếu bạn tháo đầu đọc thẻ nhưng không tháo cửa, thì điều gì có thể ngăn cản kẻ trộm gắn thiết bị đánh cắp thông tin thẻ (Skimmer) có còi báo động ngay trên khung cửa tiền sảnh? Đầu đọc thẻ giả này sẽ trông và phát ra âm thanh giống như đầu đọc thẻ ATM thật đối với khách hàng, và sau đó mã PIN của họ sẽ bị đánh cắp từ thiết bị thu thập mã PIN được lắp đặt trên hoặc xung quanh mặt tiền ATM.

Lời khuyên của tôi dành cho bất kỳ ngân hàng nào có máy ATM ở sảnh và đã gỡ bỏ hệ thống kiểm soát ra vào bằng thẻ là hãy gỡ bỏ cánh cửa để loại bỏ nguy cơ lắp đặt đầu đọc thẻ giả mạo – hoặc lắp đặt SkimGard™ với hệ thống ACS-1E của chúng tôi.

Các vụ tấn công bằng khí gas và tấn công bằng cách đâm xe vẫn còn phổ biến, đặc biệt là ở EU. Tại Mỹ, các loại tấn công này thường nhắm vào các máy ATM ở những địa điểm xa xôi như siêu thị và cửa hàng tiện lợi. Các ngân hàng được bảo vệ tốt bằng một số giải pháp mạnh mẽ – một trong số đó được sản xuất bởi công ty Lok-Tec; họ sản xuất các giải pháp chống tấn công bằng khí gas và đâm xe cho máy ATM.

Tóm lại, khi các ngân hàng đang chuyển mình theo hướng thu nhỏ chi nhánh – và người tiêu dùng đang chuyển sang sử dụng công nghệ tự phục vụ và ứng dụng ngân hàng di động – thì việc giảm thiểu quy mô chi nhánh truyền thống có lẽ sẽ không bao giờ thực sự hiệu quả do yếu tố thương hiệu. Khi công nghệ phát triển, nhiều công nghệ hơn sẽ được triển khai để phục vụ và đáp ứng nhu cầu tự phục vụ và sử dụng thiết bị di động của khách hàng ngân hàng. Tại Mỹ, chúng ta không thấy các sảnh giao dịch truyền thống biến mất như ở Anh. Các sảnh ATM đang trở lại mạnh mẽ để chứa và bảo vệ quyền truy cập 24/7 vào công nghệ mới nhất mà các ngân hàng đang lắp đặt trong sảnh giao dịch 24/7. Khi các ngân hàng phát triển cùng với tự động hóa trong môi trường 24/7, các giải pháp của chúng tôi là sự bổ sung tuyệt vời.