ملخص
- ينتمي اختراق بطاقات الدفع في نيمان ماركوس إلى ملف المخاطر والمساءلة لأن نشاط البرمجيات الخبيثة في أنظمة الدفع في المتاجر حوّل معاملات التجزئة الفاخرة العادية إلى عمل لمصدري البطاقات والعملاء والجهات التنظيمية والاستجابة الجنائية استمر طويلاً بعد انتهاء زيارة الخروج.
- من كان لديه السيطرة العملية على تقسيم بيئة الدفع، والكشف عن البرمجيات الخبيثة، وتصعيد التنبيهات، وإخطار العملاء، والتنسيق مع شبكات البطاقات، والدليل على أن بائع التجزئة قلل من التعرض المتكرر للدفع؟
- أقوى دليل عام هو سجل التسوية المتعددة الولايات فيhttps://oag.dc.gov/release/ag-racine-announces-neiman-marcus-pay-15-millionوتأكيد الامتثال الطوعي فيhttps://oag.dc.gov/sites/default/files/2019-01/Neiman-Marcus-AVC.PDF، والذي يترجم الاختراق إلى التزامات أمن الدفع، ومتطلبات المراقبة، وواجبات صيانة البرامج، والتقييم المستقل، والاستعداد للمحقق الجنائي.
- سجل الدائرة السابعة فيhttps://law.justia.com/cases/federal/appellate-courts/ca7/14-3122/14-3122-2015-07-20.htmlوhttps://media.ca7.uscourts.gov/cgi-bin/rssExec.pl?Path=Y2015%2FD07-20%2FC%3A14-3122%3AJ%3AWood%3Aaut%3AT%3AfnOp%3AN%3A1590360%3AS%3A0&Submit=Displayيظهر لماذا يهم ضرر الدفع طويل الأمد حتى عندما تعوض جهات إصدار البطاقات الرسوم الاحتيالية.
- تتعامل هذه المقالة مع مواد النائب العام للولاية، وقرار الاستئناف في ريميجاس، والتقارير المعاصرة فيhttps://krebsonsecurity.com/2014/01/hackers-steal-card-data-from-neiman-marcus/,https://www.wired.com/2014/01/neiman-marcus-hack/, وhttps://www.keranews.org/business/2014-02-04/up-to-1-1-million-credit-cards-exposed-during-neiman-marcus-breachكأدلة على الحادث، بينما تُستخدم مواد PCI وNIST لمفردات التحكم وليس كدليل جنائي خاص.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي نيمان ماركوس إلى ملف المخاطر والمساءلة لأن القضية لا تتعلق فقط بأرقام البطاقات المسروقة. إنها تتعلق بمن يتحكم في بيئة الدفع بالتجزئة في اللحظة التي لا يملك فيها المتسوق طريقة ذات معنى لتقييم حالة الجهاز الطرفي، أو شبكة المتجر، أو اتصال المعالج، أو نظام المراقبة، أو مسار الأدلة الجنائية. يرى العميل عملية بيع. يرى المصدر التفويض وإشارات الاحتيال لاحقًا. يرى بائع التجزئة الأنظمة، والبائعين، والسجلات، والمتاجر، وعلاقات العلامات التجارية للبطاقات. هذا التباين هو مشكلة المساءلة الأساسية.
السجل العام قوي بما يكفي لتحديد سطح التحكم. إعلان النائب العام لمقاطعة كولومبيا لعام 2019 علىhttps://oag.dc.gov/release/ag-racine-announces-neiman-marcus-pay-15-millionينص على أن نيمان ماركوس دفعت 1.5 مليون دولار ووافقت على سياسات أمنية لتسوية تحقيق متعدد الولايات. تقول نفس الصفحة أن الاختراق أثر على بيانات بطاقات الدفع في 77 متجراً في الولايات المتحدة وأن حوالي 370,000 بطاقة دفع تعرضت للخطر، مع استخدام 9,200 منها على الأقل احتيالياً. إعلان النائب العام لنيويورك علىhttps://ag.ny.gov/press-release/2019/attorney-general-james-announces-15m-settlement-retailer-neiman-marcus-over-dataيكرر الهيكل المتعدد الولايات ويسرد الأحكام الزجرية، بما في ذلك الامتثال لـ PCI DSS، ومراقبة الشبكة، وصيانة البرامج، واتفاقيات المحقق الجنائي، ومراجعة تقنيات أمن الدفع، وتقليل قيمة البيانات من خلال التشفير أو الترميز.
هذه ليست وعود مجردة. إنها تحدد الأشياء العملية التي تهم بعد اختراق دفع المتجر: ما إذا كانت بيئة بيانات حامل البطاقة محددة النطاق، وما إذا كانت السجلات تُجمع وتُراجع في الوقت الفعلي تقريباً، وما إذا كانت البرامج التي تحمي المعلومات الشخصية تُصان، وما إذا كان يمكن الاستعانة بالمستجيبين الجنائيين الخارجيين بسرعة، وما إذا كانت بيانات بطاقة الدفع مقومة القيمة، وما إذا كان التقييم المستقل ينتج أدلة. لذلك فإن تأكيد الامتثال الطوعي علىhttps://oag.dc.gov/sites/default/files/2019-01/Neiman-Marcus-AVC.PDFهو وثيقة المساءلة المركزية لأنه يحول الحدث إلى ملف إصلاح.
السؤال لهذه المقالة هو السؤال الواضح: من كان لديه السيطرة العملية على تقسيم بيئة الدفع، والكشف عن البرمجيات الخبيثة، وتصعيد التنبيهات، وإخطار العملاء، والتنسيق مع شبكات البطاقات، والدليل على أن بائع التجزئة قلل من التعرض المتكرر للدفع؟ لا يمكن أن تكون الإجابة أن الاحتيال يظهر في النهاية في البنوك أو في كشوفات حاملي البطاقات. بائع التجزئة كان يتحكم في بيئة دفع المتجر. ماركات البطاقات والمعالجون يتحكمون في أجزاء من نظام الدفع البيئي. المصدرون يتحكمون في إعادة الإصدار والتعويض. العملاء يتحكمون في القليل جداً إلى جانب مراقبة الكشوفات بعد الحادث. يجب أن تتبع المساءلة خريطة السيطرة هذه.
القضية مهمة أيضاً لأنها كانت جزءاً من موجة اختراقات أوسع للتجزئة. نشر Krebs on Security الإقرار الأولي علىhttps://krebsonsecurity.com/2014/01/hackers-steal-card-data-from-neiman-marcus/بينما كان اختراق تارجت لا يزال نقطة مرجعية عامة. وصف تقرير Wired في يناير 2014 علىhttps://www.wired.com/2014/01/neiman-marcus-hack/بيان الشركة بأن البرمجيات الخبيثة حاولت جمع بيانات الدفع من 16 يوليو إلى 30 أكتوبر 2013، وأن حوالي 1.1 مليون بطاقة ربما كانت مرئية للبرمجيات الخبيثة. تقرير KERA علىhttps://www.keranews.org/business/2014-02-04/up-to-1-1-million-credit-cards-exposed-during-neiman-marcus-breachحمل نفس تفسير الشركة. استخدمت تسوية الولاية اللاحقة رقماً أضيق للبطاقات المخترقة. الفجوة بين البطاقات التي يحتمل أن تكون مرئية، والمخترقة، والمستخدمة احتيالياً هي بالضبط لماذا حدود الأدلة مهمة.
مشكلة المقام هي مشكلة مساءلة
غالباً ما تنتقل مناقشات اختراق التجزئة بين عدة أرقام: البطاقات التي يحتمل أن تكون مرئية للبرمجيات الخبيثة، والبطاقات التي يُعتقد أنها مخترقة بعد التحليل الجنائي، والبطاقات المؤكد استخدامها احتيالياً، والأشخاص الذين تم إخطارهم، والأشخاص الذين أمضوا وقتاً في استبدال البطاقات أو مراقبة الحسابات. تظهر نيمان ماركوس لماذا لا ينبغي دمج هذه الأرقام. كل مقام يجيب على سؤال تحكم مختلف. عدد السكان الذين يحتمل أن يكونوا مرئيين يختبر التقسيم ومدى وصول البرمجيات الخبيثة. عدد السكان المخترقين يختبر الثقة الجنائية. عدد السكان المستخدمين احتيالياً يختبر التحويل النقدي الإجرامي وتأثير المصدر. عدد السكان الذين تم إخطارهم يختبر اكتمال الاتصال.
عدد سكان التسوية يختبر الانتصاف القانوني.
يشير سجل الإفصاح المعاصر إلى أن البرمجيات الخبيثة حاولت تجريف بيانات البطاقات من 16 يوليو إلى 30 أكتوبر 2013، مع ما يقرب من 1.1 مليون بطاقة دفع للعملاء يحتمل أن تكون مرئية للبرمجيات الخبيثة. يقول السجل المتعدد الولايات اللاحق أن ما يقرب من 370,000 بطاقة دفع تعرضت للخطر واستخدم 9,200 على الأقل احتيالياً. هذه التصريحات ليست بالضرورة غير متسقة. إنها تقع في مراحل مختلفة من نضج الأدلة. لكن المقال المسؤول يجب أن يسمي التمييز لأن الأشخاص المتأثرين والمصدرين لا يختبرون "مرئي محتمل" بنفس الطريقة التي يختبر بها فريق جنائي.
قرار الدائرة السابعة في ريميجاس مهم لأنه يعامل ضرر ما بعد الاختراق على أنه أكثر من مجرد سؤال دفتر الأستاذ. نسخة Justia علىhttps://law.justia.com/cases/federal/appellate-courts/ca7/14-3122/14-3122-2015-07-20.htmlتلخص أن المحكمة نقضت رفض الدعوى لعدم وجود صفة بعد أن ادعى المدعون إصابات محددة مرتبطة بخرق البيانات. ملف PDF الرسمي للمحكمة علىhttps://media.ca7.uscourts.gov/cgi-bin/rssExec.pl?Path=Y2015%2FD07-20%2FC%3A14-3122%3AJ%3AWood%3Aaut%3AT%3AfnOp%3AN%3A1590360%3AS%3A0&Submit=Displayمفيد لأن سجل الاستئناف أدرك أن العملاء لا ينبغي أن يضطروا إلى انتظار سوء الاستخدام لتكبد تكاليف التخفيف. هذا المنطق مهم لاختراقات الدفع لأن تعويض المصدر لا يمحو وقت حامل البطاقة، أو القلق، أو الإزعاج، أو فقدان استمرارية البطاقة، أو المدفوعات المتكررة الفاشلة، أو الجهد المطلوب لتفسير إشعارات الاختراق.
مشكلة المقام تؤثر أيضاً على المصدرين. المصدر يجب أن يقرر ما إذا كان سيعيد إصدار البطاقات، أو يراقب الحسابات، أو يتحمل خسائر الاحتيال، أو يتعامل مع حجم مركز الاتصال، أو يعدل قواعد التفويض. هذه التكاليف يمكن أن تحدث حتى عندما يكون بيان الشركة الفوري للتجزئة دقيقاً وغير مكتمل. إذا لم يستطع بائع التجزئة تزويد المصدرين بقوائم بطاقات دقيقة وفي الوقت المناسب ونوافذ التعرض، يجب على المصدر أن يقرر في ظل عدم اليقين. هذا هو نقل التكلفة. قد لا يدفع مالك السيطرة جميع التكاليف النهائية مباشرة، لكن الأطراف النهائية تقوم بالعمل.
لهذا السبب يجب أن يحفظ ملف اختراق دفع قوي جدولاً زمنياً من إشارة الاحتيال إلى إخطار المعالج، وتحقيق بائع التجزئة، والتأكيد الجنائي، واحتواء البرمجيات الخبيثة، وإخطار العميل، وتنسيق المصدر، والتسوية القانونية، وتصحيح التحكم. السجل العام يوفر قطعاً من ذلك الجدول الزمني. لا يوفر كل تنبيه خاص، أو كل مراجعة سجل، أو كل قرار تقسيم على مستوى المتجر، أو كل اتصال بعلامة بطاقة. القطع الأثرية المفقودة ليست سبباً لتجاهل المساءلة. إنها فجوات الأدلة التي تحدد ما تتطلبه المساءلة.

