Citibank, 2.7 miljoner dollar stulna och PCI DSS

För ett par veckor sedan tillkännagav Citibank ett intrång i sina system där delar av 360 000 kunders information förlorades. Informationen som stals saknade viktiga detaljer så som CVV-kod och utgångsdatum för kortnummer, men har alltså trots det resulterat i att 2,7 miljoner dollar försvunnit från kundernas kort. Pengar som Citibank naturligtvis nu ersätter.


Det är inte första gången som Citibank råkat ut för intrång. Vad som gjorde mig förbluffad den här gången var dock sättet det gjordes på, och de senaste veckorna har många i min omgivning fått höra mig försöka komma till freds med att en bank ännu år 2011 kan ha såna rudimentära sårbarheter. Det där är liksom inte några avancerade buffer overflows vi pratar om, det är grejer som är så konceptuellt enkla och genomförbara att jag på 2 minuter kan lära min svärfar göra det!

Hur som helst, som min gamla kollega Stefan Pettersson sa så kanske bankerna har tjänat massor på att skita i att ta tag i såna här problem och istället ta eventuella kostnader i efterhand. Vi vet helt enkelt inte. Men det är i det här sammanhanget som kortbolagens sätt att hantera sin ekonomi på blir så intressant.

Sedan ett antal år tillbaka har kortbolagen ett gemensamt regelverk (PCI DSS) för hur informationssäkerheten runt kortnummer skall skötas. Att få alla spelare att leva upp till de kraven är en historia i sig, men för sakens skull kan vi säga att de påtryckningsmedel som används alla syftar till en och samma sak: att kortbolagen ska tjäna pengar och slippa kostnader eller uteblivna inkomster relaterade till dålig säkerhet kring korthantering. Det finns förstås diverse avtal runt ämnet också, och dessa utnyttjas både i förebyggande syfte, och i händelse av en incident.

Kortbolagen ser numera till att om en incident sker som skadar kortbolagen ekonomiskt, så kommer kortbolagen se till att skjuta ner den här kostnaden på den som hade kunnat förhindra incidenten. Genom det så eliminerar kortbolagen en externalitet.

Vad betyder det rent praktiskt för korthanterarnas approach till riskhantering? Jo, att även om det en gång i tiden varit lönsamt för dem att skita i säkerheten, så kommer det nu vara mindre lönsamt för dem om det kommer en incident. Frågan är vad som kommer vara Citibanks största kostnad när räkningen för den senaste incidenten summeras: utredningen, åtgärderna, de stulna pengarna, eller... kortbolagens "böter".

Det är fortfarande möjligt att det är ekonomiskt lönsamt för Citibank att fortsätta på samma väg som tidigare, och då är det något vi som samhälle skall omfamna för det kommer sannolikt vara den bästa vägen för samhället i stort. Det vi ska slå ner på är externaliteter, inte enskilda aktörers brist på säkerhet.