"כרטיסי האשראי מבוססים על טכנולוגיה מהמאה ה-20"

מנהל בכיר ברשת קמעונאות גדולה קרא השבוע להקשחת נוהלי האבטחה, מהלך שעלול להגדיל את ההוצאות של תעשיית הקמעונאות, הבנקים והשותפים העסקיים שלה. זאת בעקבות שורה של דליפות נתונים ופריצות אבטחה שנתגלו בקבוצות סחר גדולות - כך דווח בסוכנות רויטרס.

חנויות וחברות כרטיסי אשראי מדווחות מזה שנים על זרם קבוע של פריצות אבטחה אך אינן זוכות לתגובה קשה מצד הצרכנים. כך, לדוגמה, אירעו פריצות ברשת הביגוד והציוד הביתי TJX Cos (בשנת 2007) ובחברת כרטיסי האשראי Heartland Payment Systems (בשנת 2009), שבמהלכן דלפו נתונים אישיים ופיננסיים של מיליוני לקוחות.

מקרי הגניבה האחרונים, ובכלל זה ההתקפות על ענקית המרכולים Target Corp ורשת בתי הכלבו Neiman Marcus, כללו מגוון רחב יותר של קמעונאים, והם עשויים לסמן את קו פרשת המים בנושא נוהלי האבטחה. כך נשמעות יותר ויותר קריאות לבצע שינויים שמטרתם הגנה על המידע והנתונים הפיננסיים של צרכנים.

סיסמה אישית

סימן לשינוי שכזה הוא ההתלהבות מכרטיסי אשראי המאחסנים נתוני צרכנים על שבבי מחשב ומחייבים את המשתמשים להקליד סיסמת זיהוי אישית.

מלורי דנקן, היועץ המשפטי הראשי של ה-National Retail Federation בארה"ב, המאגדת את Target, וול מארט ורשתות גדולות אחרות, אמר השבוע בראיון כי ארגונו האיץ בחבריו לעבור לשימוש בכרטיסי האשראי הבטוחים יותר, למרות שמחירם גבוה יותר מכרטיסים ישנים המאחסנים את המידע על גבי פסים מגנטיים.

פריצות האבטחה "מצערות, אבל אנחנו לא ממש מופתעים", אמר דנקן בכנס השנתי של ה-National Retail Federation, שנערך בימים אלה בניו-יורק.

"הכרטיסים מבוססים על טכנולוגיה מהמאה ה-20, אבל ההאקרים שלנו הם מהמאה ה-21", אומר דנקן.

לדברי דנקן, הארגון הכריז על תמיכתו בכרטיסי האשראי המאובטחים רק לאחר פריצת האבטחה ב-Target. בנקים כבר החלו להציע את הכרטיסים ללא מהלך שיווקי משמעותי, בעיקר לצרכנים המצויים בנסיעות ברחבי היבשת והעולם. חברות כרטיסי אשראי אמריקאיות גדולות, ובראשן ויזה, יחייבו שימוש בכרטיסים החדשים, אולם הדבר לא יחל לפני השנה הבאה.

לא בטוח שכרטיסי השבב והסיסמה החדשים היו מונעים את פריצות האבטחה ב-Target וברשתות נוספות. ברור, עם זאת, שהם היו לכל הפחות מקשים על שימוש בנתונים הגנובים, ומשום כך נעשה שימוש נרחב בטכנולוגיה באירופה ובאסיה.

הכרטיסים התקבלו בהתלהבות פחותה בהרבה בארצות-הברית, בעיקר מכיוון שההפסדים הנובעים מההונאות היו סבירים מבחינת הבנקים והקמעונאים. ההפסדים האלה מסתכמים ב-5 סנט בלבד על כל 100 דולר שמשולמים באמצעות כרטיסי פלסטיק. ואולם, העלייה בהיקף ההונאות והסיכון של גניבת זהויות עשויים לשנות את המשוואה הזאת.

הבדיקה המחודשת של הנושא בקרב חברות אמריקאיות החלה לאחר שחברת Target, שמרכזה במיניאפוליס, דיווחה על פריצת מידע ענקית במהלך עונת הקניות בדצמבר. Target דיווחה בשבוע שעבר כי הפריצה היתה קשה מכפי שהיא סברה בתחילה. על-פי ההודעה, האקרים גנבו מידע אישי של לפחות 70 מיליון לקוחות, בנוסף למספריהם של 40 מיליון כרטיסי אשראי.

תוכנה זדונית

החוקרים סבורים כי ההאקרים עשו שימוש בתוכנה זדונית שהשיגה את נתוני הלקוחות מהפסים המגנטיים שעל כרטיסי האשראי שלהם. מאז הדיווח של Target, גם הרשת היוקרתית Neiman Marcus דיווחה כי הותקפה. מקורות מציינים שלפחות 3 רשתות קמעונאיות ידועות בארה"ב סבלו מפריצות אבטחה, אך עדיין לא דיווחו עליהן.

בראיון הראשון לאחר שנחשפה דליפת הנתונים, יו"ר ומנכ"ל Target, גרג סטיינהאפל, אמר ל-CNBC כי החברה פעלה במהירות לאחר שהתבררה לה בעיית האבטחה ב-15 בדצמבר, למרות שהפריצה לא דווחה לציבור עד ה-19 בדצמבר. על-פי סטיינהאפל, משך הזמן הזה איפשר ל-Target להיפטר מהתוכנה הזדונית שפגעה במערכות שלה ולהכין את החנויות ומרכזי התמיכה שלה להודעת החברה.

סטיינהאפל לא הוסיף פרטים מעבר לכך וציין כי נערכת חקירה פלילית בנושא. "ברור שאנחנו האחראים - אולם נצא מהפרשה הזו חברה טובה יותר ונבצע שינויים משמעותיים", אמר המנכ"ל בראיון.

דאנקן מה-National Retail Federation ציין כי אף חברה אחרת בארגון לא דיווחה על פריצות, ושורה של מנהלים אחרים אמרו בראיונות שנערכו השבוע שלא ידוע להם על פריצות שכאלה בחברות שלהם. בין המנהלים שהתראיינו ודיווחו כי לא אירעה פריצה היו נציגים של הרשתות Sears, JCPenny, Macy's ו-The Gap.

למרות זאת, פריצות האבטחה היו שיחת היום בוועידת הענק שבה השתתפו 29 אלף מאנשי התעשייה במרכז כנסים בניו-יורק. כמה דוברים התייחסו לנושא במהלך דבריהם ואחרים ניסו להרחיק את החברות שלהם מהסוגיה.

דון מורל, העוזר לחשב רשת החנויות Walgreen Co, אמר כי החברה "השקיעה את הזמן ואת הכסף הדרושים" כדי להגן על המידע שלה ושל לקוחותיה.