תחקיר: כרטיס האשראי שלכם בסכנה

תחקיר של AP מצא כי בנקים וחברות אחרות אינם מתמודדים עם המידע העובר בצינורות האלו בזהירות הראויה. הממשלות מותירות את המלאכה של גיבוש כללי האבטחה בידי חברות האשראי, כאשר בארצות הברית, החוקים האלו שטחיים במקרה הטוב - וחסרי כל משמעות במקרה הרע.

בכל פעם ש"מגהצים" את כרטיס הפלסטיק, חברות האשראי מהמרות על המידע האישי של לקוחותיהן. אם האקרים יצותתו למידע, הלקוח ייאלץ לבלות שבועות בתיקון הנזק שנגרם, אך גם מי שפרטי האשראי שלו לא נגנבו, מפסיד: החברות מפילות על הלקוחות את העלויות של ההפסדים שלהן מגניבות.

יותר מ-70 רשתות שיווק וחברות סליקה חשפו כי מידע שעבר דרכן נחשף לגורמים חיצוניים ב-2006, טוען ארגון העוסק בשמירה על פרטיות האזרח, אך ייתכן כי היו מקרים נוספים שלא התפרסמו. אפילו חברות שמצטיינות באבטחה של רשתות מחשוב ונהנות מתו תקן בתחום, נפלו קורבן לגניבות אשראי כאלו.

חברות שלא תואמות את תקן ה-PCI (תקן מוסכם של חברות האשראי לאבטחה), בערך אחת מתוך עשר בארה"ב - עשוייה להיקנס, אבל יכולה להמשיך ולגבות תשלומים באמצעות אשראי. רוב רשתות השיווק בודקות את עצמן, ובדיקות האבטחה של ה-PCI נדירות. חברות האשראי לא ממהרות להקשיח את החוקים - הן מחשיבות את ההונאות כעניין שחייבים לקחת בחשבון כשעושים עסקים. הקשחה עלולה להאט את המערכת, שמבוססת על נוחות, עלות נמוכה וכמובן, מהירות.

ההאקרים גרמו לאוברדראפט

לקח לפמלה למונט, בת 46 מקולצ'סטר, ורמונט, כמה חודשים טובים לתקן את הנזק שנגרם לה אחרי שפרטיהם של שני כרטיסי האשראי שלה הגיע לידי האקרים. מקור הדליפה היה חנות מכולת של האחים האנפורד.

למונט, שהייתה מובטלת אז, אומרת כי נאלצה ללוות כסף מאמה ומהחבר שלה כדי לכסות את האוברדראפט בגובה 500 דולר שגרמו הגנבים, ואת ריביות הפיגור בתשלומים. בסופו של דבר הכסף הוחזר לה, אחרי חקירה של הבנק.

"אם זה היה קורה למישהו שלא חי ממשכורת למשכורת, אולי הוא לא היה שם לב בכלל. אבל אותי זה הרס לגמרי", אמרה. מאז התקרית הזו, היא משתדלת לשלם באמצעות מזומן וצ'קים. רשת חנויות המכולת אכן עונה על תקן האבטחה, אך מישהו התקין תוכנת ריגול על שרתי החברה וגנב את פרטי הלקוחות, לפני שנשלחו לבנק לאישור העסקה. חברות אחרות שזכו לתקן, כמו הרת'לנד ו-וורלדפיי, דיווחו כי גם אצלן דלף מידע רגיש בשיטה דומה.

ב-2006 החליטו חברות האשראי ויזה, מאסטרקארד, אמריקן אקספרס, דיסקבר ו-JCB לייסד את מועצת הסטנדרטים לאבטחת אשראי (PCI), שיצרה כללים אחידים. אביבה ליטן, אנליסטית בחברת גרטנר, אמרה כי קמעונאיות הוציאו שני מיליארד דולר כדי להיות תואמות PCI.

כ-93 אחוז מהרשתות הגדולות בארה"ב ו-88 אחוז מהבינוניות תואמות. הרבה מאוד משווקים נשארו בחוץ, והאמצעי היחיד נגדם הוא קנס בגובה 25 אלף דולר לקמעונאיות גדולות, על כל חודש של אי-ציות ל-PCI, או 5000 דולר לבינוניות. מומחי אבטחה טוענים כי ההנחיות של PCI שטחיות, כוללות דרישות כמו "להתקין תוכנות אנטיווירוס ופיירוול" שברורות מאליו.

"תאימות ל-PCI זה עניין שיכול לעלות כמה מאות דולרים", אמר ג'רמיה גרוסמן, מייסד חברת האבטחה ווייטהאט. "המשווקים נוטים לבחור בפתרון הכי זול שנותן להם את החותמת הזו".

אין פיקוח

הבודקים של PCI לומדים קורס מזורז תוך סופשבוע אחד, ועוברים בחינה בספר פתוח. המועמדים חייבים בנסיון כלשהו באבטחת מיחשוב, אך ברגע שהם יוצאים לדרך, יש מעט מאוד פיקוח על עבודתם. חנויות שיש להן פחות מ-6 מיליון עסקאות אשראי בשנה - קבוצה הכוללת 99 אחוז מהמשווקים בארה"ב - אינן זוכות לביקורי המפקחים כלל. הן יכולות לבחון ולהעריך את עצמן.

ראש מחלקת אבטחת המידע של ויזה, אדוארדו פרז, אמר כי החברה שינתה את שיטת בדיקות ה-PCI שלה כי הן לקחו יותר מדי זמן ועבודה, וכן אמר כי הסטנדרטים של PCI שיפרו את האבטחה בתעשייה במידה משמעותית. "אני חושב שהשגנו התקדמות משמעותית", אמר. "אמנם היו כמה פשרות רציניות, אבל חסכנו בכמה פשרות כאלו כשהורינו על דרישות המינימום".

נציגים מטעם מאסטרקארד, אמריקן אקספרס, דיסקבר ו-JCB - שיחד עם ויזה, אחראיות על המדיניות של PCI - לא השיבו לפניות AP בנושא, או שהפנו את הבקשה בחזרה ל-PCI. מנהל PCI, בוב רוסקו, אמר כי הבדיקות לרישוי שהקבוצה עורכת הן "קשיחות", אך הכיר בכך שהביקורים של הבודקים בעיתיים, ובכך שגופים שסבלו מדליפת מידע לא היו ראויים לתקן שניתן להם.

הפתרון: כרטיס עם שבב

אז מדוע הפריצות עדיין ממשיכות לקרות? סיבה אחת היא הפושעים, שהופכים יותר ויותר מתוחכמים בדרכיהם לגנוב מידע אשראי. גניבת המידע כשהוא נשלח ברשת מהחנות לבנק נחשבת קשה יותר לעצירה. מומחי אבטחה טוענים כי ניתן להצפין את המידע באופן שייראה חסר משמעות לגורם חיצוני שגונב אותו.

חברת TJX Cos, הבעלים של רשתות טי.ג'יי מקס ומרשלז, נפגעה בעבר מגניבת מידע ומאז עובדת רק מול בנקים שניתן לשלוח אליהם את מידע האשראי כשהוא מוצפן. אפשרות אחרת היא שהבנקים יקחו אחריות ויקימו גוף מקביל ל-PCI, שיפקח על הבדיקות שהגוף הזה עורך לעסקים. הבעיה היא שגם הם לא רוצים את הנטל הזה על הגב שלהם. המדינה עצמה לא רוצה לבצע את הרגולציה הזו.

אפשרות נוספת היא שארצות הברית, בדומה לאירופה, תעבור לשימוש במערכות אשראי שדורשות שבב קטן בתוך הכרטיס ומספר סודי ומקשות על זיופים.