אפשר להגיד תודה להאקרים ממדינות ערב. ההתקפות האחרונות על האינטרנט הישראלי העלו לכותרות מצב בעייתי שקיים בישראל זמן רב: אלפי עסקים בישראל מפעילים מערך מכירות באינטרנט, בטלפון או בנקודות מכירה, אשר מציב בסיכון את פרטי האשראי של הלקוחות שלהם.
גניבה של נתוני אשראי דרך האינטרנט או מערכות מחשוב מקומיות הן לא דבר חדש, ומתרחשות באופן קבוע כבר מספר שנים. העובדה שהגנבים, כמו כל עבריין רגיל, מעוניינים להמשיך ולגנוב ולא לפרסם הפעילות שלהם כמו ההאקר הסעודי, סייעה לשמור על הפריצות בשקט. הרי עסק שגנבו ממנו נתוני אשראי, אם הוא חכם, ינסה לשמור זאת מתחת לראדר. זאת בהנחה שהוא בכלל מודע לכך שדלפו ממנו נתונים. ברוב המקרים, ההאקרים יגנבו את נתוני האשראי ולא ישאירו שום סימן בולט, כשרק צירופי מקרים גורמים לגילוי הגניבה.
קריאה לפעולה
קריאת ההשכמה של ההאקר הסעודי היא ברכה במסווה. הוא העיר עסקים רבים ששאלו את עצמם לפתע האם הם מציבים את הלקוחות שלהם בסיכון. ולא רק את הלקוחות, גם את המוניטין שלהם ואת היחסים עם חברות האשראי.
בארה"ב לדוגמא, המודעות היא הרבה יותר גדולה, עד כי כך שבחלק גדול מהמדינות נחקקו חוקים המחייבים עסקים שדלפו מהם נתונים, לדווח על כך לרשויות וללקוחות.
להימנע בכל מחיר משמירת נתונים
בפני עסקים המועניינים להבטיח את שלמות נתוני האשראי, ולהגן עליהם מפני האקרים וגנבים שונים עומדות שתי אפשרויות. האחת, לשמור את נתוני האשראי במחשבי החברה ולשדר את הנתונים לחברת האשראי. לשם כך החברה תידרש להשקיע במערך אבטחת מידע יקר הכולל רכיבים שונים, ולהפעיל נהלים מאוד מחמירים. הדבר מתאים רק למספר מצומצם של חברות גדולות מאוד. רוב החברות יתקשו להפעיל מערך שכזה לאורך זמן. האפשרות השניה, הנפוצה יותר היא שימוש בספק סליקה חיצוני – הדואג לאבטחת תהליך החיוב מקצה לקצה – כולל הצפנה של העברת הנתונים, אחסון של הנתונים במקום מאובטח ביותר, וניטור של ביצוע העסקה. במקום נתוני האשראי, חברת הסליקה מעבירה לחברה מספר עסקי רנדומלי שישמש לאחר מכן לבקרה ולניהול החשבונות.
כלל המפתח בכל התהליך הוא – להימנע בכל מחיר משמירת נתוני אשראי במחשבי החברה. וכמובן:
– לא להעביר נתוני אשראי לדואר האלקטרוני של החברה
– לא לשמור נתוני עסקאות במחשב
– לא לרשום נתוני אשראי במקום נגיש לעובדים אחרים
– לא להעביר עסקאות בחיבור שאינו מאובטח
להיערך ל- 2013
חברות האשראי הבינלאומיות כבר זיהו את הפשיעה הגוברת ונערכו בשנים האחרונות עם תקן בשם PCI. התקן שנוצר משיתוף פעולה מיוחד בין החברות, מכיל את כל ההגדרות לדרך הנכונה ביותר להגן על נתוני אשראי. החברות קבעו כי החל משנת 2013, כל חברה המשתמשת בכרטיסי אשראי לחיוב – תידרש לעמוד בתקן. כפי שתואר לעיל – רוב החברות אינן מסוגלות לעמוד בכל הדרישות, הכוללות מבדק שנתי של מערך ההגנה. לכן עד 2013 יש להיערך לביצוע חיובים דרך שירות חיצוני העומד בתקן PCI בעצמו – ובכך ליהנות מהגנה מלאה ומעמידה בדרישות, ללא השקעה גדולה.
הכותב הוא מנכ"ל פלאקארד – ספקית פתרונות סליקת אשראי באינטרנט ובעסקים