Еще один консультант, который обеспечивает безопасность данных по кредитным картам, пожелавший остаться анонимным, сообщил, что ему известно об 11-12 млн. счетов, подвергшихся риску только за один месяц текущего года.

«Постоянно случаются крупные происшествия, однако в процессе работы я замечаю и мелкие бреши, которые усугубляют и без того серьезную проблему», - говорит он. «Общеизвестно, что тенденции здесь неутешительные. Думаю, людям пора осознать масштабность проблемы».

Фактический уровень фрода уменьшается

С января 2000 г., когда произошла первая связанная с Интернет утечка информации о кредитных картах, репортажи в СМИ о счетах, подвергшихся риску, стали обыденностью и перешли в разряд фонового шума. Банки и ассоциации кредитных карт быстро реагируют на утечки; зачастую, счета закрываются еще до того, как случится фрод. Да и Фергюсон называет утешительным тот факт, что только 1% подвергшихся риску кредитных карт используются для фрода до их закрытия. Исследователь из Gartner Авива Литан (Avivah Litan) подтверждает подобное мнение, добавляя, что согласно последним исследованиям, фактический уровень фрода по кредитным картам за последний год стабилизировался, и даже немного понизился.

Однако когда счета подвергаются риску, это вызывает проблемы для пользователей. Автоматические платежи и их отмена больше не работают, их нужно авторизовать по-новому. Новая карта должна быть активирована. Прибавьте сюда и неприятные мысли: «А что еще они знают обо мне?»

Проблема большая, об этом никто не спорит. В текущем году, Visa и Mastercard вводят новые, более строгие стандарты для мерчантов по контролю персональных данных потребителей, которые они хранят у себя. К примеру, стандарты требуют криптования хранимых номеров кредитных карт. В этом случае, даже если данные будут украдены, вор не сможет ими воспользоваться. Обе ассоциации заявляют, что они будут проводить аудиты мерчантов, и налагать штрафы на фирмы, которые не соответствуют требованиям. Mastercard запустил в июне программу Site Data Protection, а программа Visa Cardholder Information Security начала функционировать 30 сентября. American Express и Discover также готовят подобные программы.

Проблема состоит в том, что даже сами ассоциации кредитных карт не выполняют свои правила, говорит Литан. Общаясь с банками и мерчантами, она выяснила, что около 50 процентов мерчантов Visa получают разрешение не криптовать данные.

«Обычно они говорят мерчантам, что им не нужно криптовать данные, если они введут так называемые «сдерживающие» средства контроля», говорит она. Большинство исключений предоставляется старым фирмам, которые хранят данные на древних мейнфреймах, и внедрение криптования данных становится для них дорогостоящим мероприятием.

Однако настоящая проблема, говорит Фергюсон, состоит в мелких мерчантах, которые хранят данные о пользователях, но при этом не платят за установку достойных защитных систем. Недавнее исследование показало, что девять из десяти мерчантов внедряют защиту «сделай сам», то есть, пытаются защитить персональную информацию собственными силами. Допустим, что Фергюсон заинтересована в убеждении мерчантов воспользоваться услугами сторонних специалистов по безопасности, однако изобилие незащищенных данных не вызывает сомнения. Во многих рассылках по компьютерной безопасности описывалось, как просто найти в Google огромные массивы номеров кредитных карт, расположенные на незащищенных компьютерах, подключенных к сети Интернет.

Литан говорит, что еще одна сторона проблемы, которая зачастую не принимается во внимание, состоит в том, что взломать могут мерчантов, у которых нет торгового вебсайта. Обычная бакалейная лавка, к примеру, может стать причиной утечки данных, потому что обычные розничные продавцы хранят данные на компьютерах, а компьютеры зачастую подключены к Интернет тем или иным способом. Так что старая присказка «Не используй кредитку онлайн и спи спокойно», вряд ли верна.

Аналитики выражают надежду, что новые правила безопасности Visa и Mastercard возымеют должное действие, особенно на фоне того, что финансовые структуры, на которые ложится груз проблемы, выражают все большее нетерпение. Повторная эмиссия кредитной карты может стоить 20$ и более для каждого пользователя – довольно дорогое удовольствие, если учесть, что таких пользователей могут быть тысячи. Sovereign Bank из Филадельфии, к примеру, заявил The Associated Press, что ему пришлось дважды перевыпустить 81 000 карт после проблем с данными BJ, и обошлось это в 1 млн. долларов.

В исходном письме содержится и маркетинговый ход - Washington Mutual своим письмом дает понять, что он не имеет отношения к утечке данных. «Однако многие пользователи все равно будут связывать утечку данных с банком, который сообщил им об этом», - говорит Хатчинсон.