Kansainvälinen PCI-toimielin PCI Council on julkaissut tiedot ensimmäisistä muutoksista lähiaikoina päivittyviin PCI DSS - ja PA-DSS -standardeihin. Dokumentti Summary of Changes - Hihglights löytyy pdf-muodossa täältä. Dokumentin tarkoituksena on auttaa eri osapuolia valmistautumaan uuteen standardiin, joka samalla syrjäyttää nykyisen 1.2-version.

Samalla kun uusi standardi julkaistaan 28. lokakuuta astuu voimaan myös uudistunut elinkaari PCI-standardeille. Nykyisen kahden vuoden sijaista elinkaari pitenee kolmeen vuoteen. Mallin mukaan uusi standardi julkaistaan lokakuussa, se astuu voimaan ensi tammikuussa ja seuraava versio julkaistaan vuonna 2013. Tällä välin toimielin implementoi uuden standardin, ottaa vastaan palautetta sekä kehittää uutta standardia.

Uuden standardin muutokset näyttäisivät olevan suoraviivaisia eikä mitään kovin mullistavaa ole luvassa. Monessa tapauksessa muutokset liittyvät tarkennuksiin ja vaatimuksen tarkoituksen avaamiseen. Nixua ilahduttaa erityisesti tieto siitä, että PCI-ympäristön (scope) määrittelyyn on luvassa lisätietoa. Myös virtualisointiin on tulossa tarkennuksia. Standardi pyrkii myös lisäämään riskipohjaisen lähestymistavan käyttöä, ja siten antamaan organisaatiolle enemmän vaihtoehtoja vaatimusten toteuttamiseen.

Nixu seuraa tilannetta aktiivisesti ja kerromme prosessin etenemisestä tässä blogissa.

Vastikään julkisuudessa käsiteltyyn, tutkintavaiheessa olevaan tammikuiseen verkkopankkihuijaukseen liittyvät oleellisesti ns. muulit, jotka ovat osa verkkorikollisuutta. Nyt muuleja on havaittu värvätyn myös Suomesta.

Yleisimmät muulilajit ovat rahamuuli, tavaramuuli ja huumemuuli. Näistä tavaramuulit toimittavat esimerkiksi varastettuja esineitä rikollisorganisaation seuraavan tahon kaupiteltavaksi.

Rahamuuli on välikädeksi ryhtyvä henkilö, jonka tehtäväksi annetaan esimerkiksi ottaa verkkopankkiin hyökkäävän haittaohjelman tekemät tilisiirrot vastaan. Muulilta edellytetään usein päivystämistä tietokoneella – muulin tulee pystyä nostamaan rahat käteisenä mahdollisimman nopeasti kiinnijäämistä välttääkseen. Lyhyesti muuli on siis rikosketjussa rahat eteenpäin toimittava henkilö.

Välikäsiä käytetään mm. rikoksen organisoijien suojaamiseksi. Rahamuulin henkilöllisyys tulee tilinumeron myötä ilmi, mutta koko rikosketju ei katkea muulin jäädessä kiinni.

Tehtäväänsä rahamuulit värvätään yleensä sähköpostiviesteillä, jotka toistaiseksi ovat olleet englanninkielisiä. Myös Facebook-ryhmillä muuleja on värvätty. Ryhmissä linkitetään myös sivustoille, joista itse värväytymisohjeet löytyvät.

Syy miksi muuleja värvätään myös Suomesta on melko selkeä – muuli pystyy nostamaan varat saman tien pankkiautomaatista ja toimittamaan esimerkiksi käteisenä toimeksiantajalleen, otettuaan ensin palkkion “riihikuivana” itselleen.

Rahamuulina toimiva henkilö voidaan Suomen lain mukaan tuomita rahanpesurikoksesta. Mistään mitättömästä rikoksesta ja seuraamuksista ei siis puhuta.

Kuten Keskusrikospoliisin edustaja hiljattain kertoi, ovat värvätyt henkilöt jopa esittäneet kuulusteluissa työsopimuksia rahoitusyhtiöiksi luulemiltaan “työnantajilta”.