מאובטחים לכאורה

התעודות הדיגיטליות וסמלי המנעולים שמוצגים בחלקו התחתון של הדפדפן בעת ביקור באתרי מסחר אלקטרוני עלולים להטעות גולשים ולגרום להם להאמין שאתרים אלה מאובטחים מכפי שהם בפועל, על פי סקר שרתי האינטרנט האחרון של חברת נטקראפט (Netcraft).

עורכי סקר שרתי האינטרנט התקופתי של "נטקראפט" מזכירים כי על אף שהתעודות הדיגיטליות וסמלי המנעולים מעידים על רמת אבטחה, אין בהם כדי להבטיח לגולשים כי האתרים שמציגים אותם בטוחים לקנייה ונטולי כשלי אבטחה.

למעשה, כשלי האבטחה שהתגלו בחודשים האחרונים בשרתי Commerce Server ו-IIS של מיקרוסופט מצביעים על כך על כך שאתרים רבים שמשתמשים בפרוטוקולי אבטחה חשופים להתקפות מהאינטרנט, על פי הסקר. עורכי הסקר מעריכים כי חצי מהאתרים שמוגנים באמצעות פרוטוקול האבטחה SSL חשופים למתקפה מרוחקת מהאינטרנט.

כתוצאה מכך, גולשים אינם יכולים לקבוע בוודאות אם הם יכולים לבטוח באתרי מסחר אלקטרוני ולמסור להם פרטים אישיים ומספרי כרטיס אשראי, קובעים עורכי הסקר. לדעתם, בעיית האבטחה באינטרנט עדיין חמורה, על אף הפתרונות ואמצעי האבטחה השונים שהוכנסו לשימוש בשנים האחרונות, במטרה לשכנע יותר גולשים לקנות ברשת.

שיעור קונים נמוך יחסית באינטרנט

על אף ששיעור העסקות בכרטיסי אשראי באמצעות האינטרנט מצוי בגידול מתמיד, חלקן בכלל העסקות החודשיות של חברת "ויזה" באירופה עומד על כשלושה אחוזים בלבד, נכון לדצמבר, 2001. השיעור בישראל נמוך יותר מהממוצע העולמי ועומד על פחות מאחוז אחד מסך העסקות, על פי הערכות.

אנשי "נטקראפט" חוזים כי לנוכח דאגות האבטחה והפרטיות של גולשי האינטרנט, יותר ויותר אתרי מסחר יתבססו בעתיד על מערכות אבטחה של חברות מעוררות אמון בתחום התשלומים, כמו חברות אשראי.

בעיית האבטחה הנמשכת מחד והפופולריות הגוברת של האינטרנט מנגד הביאה את חברות האשראי הגדולות להיכנס לעובי הקורה. ויזה ומאסטרקארד הציגו בשנה האחרונה תקני אבטחה חדשים למערכות תשלומים באינטרנט.

ויזה העולמית הכריזה בתחילת השנה על תקן האבטחה Verified by Visa, שמאפשר ללקוחות ויזה לאשר כל קניה באינטרנט באמצעות סיסמא סודית אישית. מאסטרקארד העולמית הכריזה על תקן דומה, שקרוי SPA (קיצור של Secure Payment Application).

תקני האבטחה החדשים

הגולש שמבצע רכישה באתר אינטרנט שתומך באחד מתקני האבטחה החדשים מתבקש להקליד את מספר כרטיס האשראי שלו ולאחר מכן יופיע חלון, בו יתבקש הרוכש להקליד סיסמה סודית, שניתנה לו בעת ההצטרפות לשירות. הרכישה תאושר רק לאחר הזנת הסיסמה הנכונה.

במספר בנקים בעולם, למשל בנק אוף אמריקה, קיימת חוליית הגנה נוספת: גולשים שרוכשים באמצעות התקנים החדשים מתבקשים לאמת את זהותם גם באמצעות כרטיס חכם, נוסף על סיסמה (תהליך שקרוי "אימות זהות באמצעות שני גורמים").

"כאשר אדם ניגש לכספומט הוא מכניס את כרטיסו ומתבקש להקליד קוד אישי", מסביר אורי ריבנר, מנהל פיתוח עסקי באיזור אסיה פסיפיק בחברת "סאיוטה" (Cyota) הישראלית, אשר מציעה פתרונות אבטחה למערכות תשלומים באינטרנט.

"התקנים החדשים של ויזה ומאסטרקארד מבקשים מהגולש להזין סיסמה, שמקבילה לסיסמה שדורש ממנו מכשיר הכספומט", אומר ריבנר, "הזנת הסיסמה תאפשר לחברת כרטיסי האשראי ולאתר הקניות לאמת את זהות הרוכש".

ריבנר צופה כי יותר גולשים יטו לבטוח באתרי אינטרנט שיתמכו בתקנים החדשים. "אימות זהותו של הגולש באמצעות התקנים החדשים תתבצע ישירות בינו לבין חברת כרטיסי האשראי, כאשר הסיסמה אינה נמסרת לאתר הקניות", הוא אומר.

מאסטרקארד וויזה משקיעות משאבים רבים במטרה לשכנע אתרי קניות בינלאומיים, ובעיקר בארה"ב ובאירופה, לתמוך בתקנים החדשים שלהן. על פי ויזה העולמית, כ-100 חברות מובילות בעולם כבר שילבו את התקן החדש שלה. חברת התשלומים Paypal, שנרכשה לאחרונה על ידי אתר המכירות הפומביות "איביי", מסתמנת כגורם המשמעותי השלישי בענף התשלומים המקוונים.

הציפייה: האינטרנט יהפוך למקום בטוח יותר לקניות

"בסופו של תהליך, ויזה ומאסטרכארד יחייבו את כל אתרי אינטרנט שמעונינים לאפשר לגולשים לשלם באמצעות כרטיס אשראי ליישם את התקנים החדשים", אומר ריבנר. המשמעות: חברות כרטיסי האשראי לא יתירו רכישה באינטרנט מבלי שהרוכש יזין את הסיסמה הסודית של בעל הכרטיס. חברות האשראי צופות כי כתוצאה מכך, האינטרנט יהפוך למקום בטוח יותר לקניה ושיעור הרוכשים ברשת יגדל בהתאם.

לאומי קארד היא החברה הראשונה בישראל שמציעה למחזיקי כרטיס הוויזה שלה לשלם באינטרנט באמצעות התקן החדש. החברה החלה להציע את השירות בחודש שעבר אך עד כה ניתן לרכוש באמצעותו באתרי אינטרנט בינלאומיים בלבד. "בימים אלו מותקן שירות קניה בטוחה באינטרנט באתרים ישראליים מובילים", על פי הודעה באתר האינטרנט של "לאומי קארד", "רשימת האתרים תפורסם בקרוב, ובינתיים אתם מוזמנים ליהנות מקניה בטוחה באתרים הבינלאומיים התומכים בשירות".

ריבנר צופה כי כל חברות אשראי בישראל שמשווקות כרטיסי ויזה יציעו בחודשים הקרובים שירותים המבוססים על התקן החדש של ויזה, כאשר גולשים שמחזיקים בכרטיסי "מאסטרכארד" יוכלו ליהנות משירותים אלה תוך חצי שנה עד שנה.