Diena jau rakstīja, ka ASV tika aizturētas 11 personas, kas no ASV veikalu un restorānu tīklu sistēmām izzaga daudzu miljonu maksājumu karšu datus, kurus izmantoja, lai tukšotu karšu īpašnieku kontus. Apsūdzēto vidū ir tikai trīs ASV pilsoņi, pārējie ir — viens Igaunijas iedzīvotājs, krievi, ukraiņi un baltkrievs. Nozagtie karšu dati tika glabāti uz diviem serveriem, no kuriem viens atradās Latvijā. Zaudējumi tika nodarīti vairāk nekā 600 000 ASV dolāru apjomā.
Datus parasti neglabā
Noziegums ASV tika izdarīts, caur bezvadu interneta tīklu ielaužoties
veikalu un restorānu sistēmās, kur glabājās pircēju ievadītie maksājumu
karšu dati. "Cik var spriest pēc medijos esošās informācijas, jautājums
ir nevis par IT tehnoloģiju darbu, bet par cilvēku prasmi to lietot.
Dati ir nozagti no tirgotāju nepietiekami aizsargātiem bezvadu tīkliem.
Tas būtu tāpat kā veikalam katru reizi pie kases pacelt lielu plakātu
ar viņu klientu kredītkartes datiem," saka Hansabankas Produktu
attīstības un informācijas tehnoloģiju pārvaldes vadītājs Dainis
Bērziņš.
Kā norāda Z.Brīvule, ASV tika nozagti gan PIN kodi, gan CVV kodi, taču Latvijā tas nav iespējams, jo šeit sistēmās nonāk tikai kartes numurs, ar ko vien nodarīt ļaunumu kartes īpašnieka kontam nevarot. Lai arī karšu numuriem tirdzniecības vietu sistēmās glabāties nevajadzētu un lielākajā daļā veikalu tas tiek ievērots, Z.Brīvule norāda, ka tomēr ir veikali, kuru sistēmās vienas dienas robežās pircēju maksājumu karšu dati tomēr uzglabājas, līdz tiek nosūtīti apstrādei. Konkrētus veikalus viņa gan atteicās atklāt, vēlreiz uzsverot, ka zādzības gadījumā galu galā zaudējumus ciestu pats veikals. Vienīgais par ko jārūpējas pircējam — vismaz reizi mēnesī jāpārskata konta stāvoklis, lai konstatētu, vai tur nav parādījušies kādi mīklaini maksājumi. Ja tādi tiek konstatēti, jāvēršas ar iesniegumu bankā.
Lielveikalu tīkla Maxima pārstāvis Ivars Andiņš stāsta, ka Maxima sistēma, kurā nonāk karšu dati, nav savienota ar ārējiem tīkliem. Tāpat kā citi tirgotāji, Maxima slēdz līgumu ar banku par karšu maksājumu sistēmas nodrošināšanu.
Konkurences jautājums
Saistībā ar kredītkaršu drošību svarīgi runāt ne tikai par banku, bet
par citu lietotāju, piemēram, veikalu atbildību, norāda D.Bērziņš. "Ja
klients seifa atslēgu pakar pie seifa durvīm, nekādi bankas drošības
pasākumi nelīdz," saka D.Bērziņš.
Kā stāsta Z.Brīvule, First Data, kas veic maksājumu karšu datu apstrādi, mēģinājumus uzlauzt sistēmu piedzīvo katru dienu, tādēļ par drošību tiek gādāts ļoti augstā līmenī. Starptautiskie nosacījumi paredz, ka tirdzniecības uzņēmumiem, kuri veic vairāk nekā sešus miljonus transakciju dienā, jāievēro tādas pašas drošības prasības kā datu apstrādātājam. Šiem tirgotājiem First Data arī prasot tās ievērot, taču no ārpuses tas kontrolēts netiek un starptautiskie nosacījumi nav saistoši likuma priekšā. Parasti drošības jautājumi tiek atrunāti līgumos, kurus slēdz bankas ar tirgotājiem par maksājumu karšu apkalpošanu, vēsta Z.Brīvule. Viņa norāda, ka banku starpā ir sīva konkurence un tirgotājiem izvirzīto drošības prasību īstenošana nozīmē lielus izdevumus, tādējādi mīkstinātu drošības prasību izvirzīšana tirgotājiem tiek izmantota par konkurences ieroci banku starpā. Nekāda regulējuma, ne arī kontrolējoša institūcija, kas būtu atbildīga par konkrētu prasību ievērošanu, nav, tādēļ nekas netraucē šādi rīkoties. Šī situācija arī ir viens no iemesliem, kādēļ Maksājumu karšu komiteja rosinās prasības noteikt likumā. Pagaidām iniciatīva gan ir pašā sākumposmā un, tā kā likumu izmaiņas ir ilgstošs process, grūti prognozēt, kad prasības varētu stāties spēkā.