CrowdStrike 事件导致全球 IT 中断,影响数百万台设备,这给我们带来了什么教训?需要采取哪些措施来确保安全的支付环境?
莎拉·科赫,营销和传播总监 艾维, 一家面对面支付平台提供商,深入研究了这次全球 IT 故障所暴露的漏洞。
她研究了该事件如何暴露出全球支付基础设施的严重弱点,并讨论了企业如何加强其系统以防止未来发生中断,确保数字交易在日益无现金的世界中保持安全和弹性。
仅在两个月前,我们经历了历史上最大的全球 IT 中断,近 900 万台设备受到影响,全球数字交易受到影响,导致个人和企业都恢复使用现金。
这一事件凸显了全球数字支付基础设施的弱点,随着现金使用量的持续下降,这一基础设施比以往任何时候都更加重要。
CrowdStrike:警钟
2024 年 7 月 19 日,网络安全公司 CrowdStrike 的一次错误软件更新导致 850 万用户 微软设备在全球 IT 系统中引发连锁反应,最终导致软件和物理设备瘫痪,影响范围远远超过最初受影响的 1% Windows 设备。至关重要的是,全球各地的支付系统都报告了故障,从零售到银行等各个行业的损失也在不断增加。
这清楚地提醒我们,我们的全球互联系统可能会受到连锁反应的影响,最终导致大面积破坏。这对需要确保支付系统等关键数字基础设施免受网络威胁的企业来说是一个警示。
虽然此次中断及其规模向我们展示了全球系统在网络威胁面前的脆弱性,但这并不是一个孤立事件:大量网络威胁(无论是意外的还是故意的)一直在发生,对个人和实体造成了巨大的破坏。
超越 CrowdStrike:过时的基础设施带来的危险
这并不奇怪,但 CrowdStrike 事件并不是支付行业第一次面临中断,尽管规模较小,但一些值得注意的例子包括:
- 2022 年德国终端提供商中断,影响了 Aldi、Netto 和 Rossman 等主要零售商
- 2024 年,荷兰支付系统发生三小时中断,约 40% 的 PIN 码交易受到影响
- 2024 年,CrowdStrike 之前不久,英国又发生了一次系统中断,导致零售商首次谨慎对待信用卡交易#
上述所有事件都有一个根本原因:过度依赖僵化、不灵活的系统,而这些系统不适合当今的技术速度。几十年前设计的传统支付终端虽然本身并不不安全,但缺乏我们这个高度互联的世界所需的灵活性和弹性。
这些系统的设计也非常复杂,这就是为什么许多商家在处理大多数安全协议时必须依赖第三方提供商。对于中小型企业来说尤其如此,因为它们可能没有资源雇用自己的 IT 部门来处理系统故障或故障。
面对面支付行业可以学到什么?
从最近的 CrowdStrike 事件中可能得到的最明显的教训是,软件更新应该首先在有限数量的系统上进行测试,然后才能逐步推广到其他系统。
然而,一个不太明显的问题是这些流程固有的设计挑战,这导致过度依赖少数核心提供商。高管控制的过度集中和流程的僵化可能导致单点故障,一旦受到影响,整个支付流程就会停止。那么我们所说的“流程僵化”是什么意思呢?
以终端和处理器为例,这是一种单向通信,如果其中一个出现故障,整个非现金交易将不再可用。
因此,该行业必须实现多元化,提供更多支付系统选择,实现访问民主化并分配所有权。此类参与者可以提供高度灵活的系统,无论使用何种方法,都可以快速付款,同时保证安全。
SoftPOS(软件销售点)等解决方案能够将我们的智能手机等设备变成支付终端并提供更高的灵活性,然而,它带来了包括数据泄露和恶意软件在内的安全风险。
迈向更安全的面对面支付
为了在“开放性”、灵活性和安全性之间取得平衡,我们需要注重合规性并采用高安全性协议。通过加密、安全身份验证和设备安全遵守 PCI DSS 标准对于减轻这些风险和确保安全交易至关重要。
点对点加密 (P2PE) 可确保信用卡支付的安全,从交易时起直至到达支付处理器时,对敏感数据进行加密,防止第三方拦截。这还可简化 PCI 合规性,并确保商家永远不会存储持卡人数据,这对于安全的当面支付至关重要。
至关重要的是,为了确保支付基础设施的安全性和现代化,面对面支付编排允许在选择终端提供商和支付方式时具有更大的灵活性。其托管微服务架构和 ISO 20022 等开放标准能够降低中断风险,同时使公司能够高效管理设备并确保无缝、安全的交易。
结论
毫无疑问,支付的未来是数字化的,但如果我们希望未来的交易高度安全,多样性和弹性是唯一的出路,然而,在努力实现急需的网络安全时,企业不应该在开放世界的好处上妥协,在开放世界里,企业可以轻松地跨多个司法管辖区运营并使用多种不同的支付方式,因为这使企业及其客户的生活变得轻松。
关键词: