Korttitietojen murto oli odotettavissa
Helsinkiläisestä kahvilasta vietiin 100 000 maksukortin tiedot tietomurrossa haittaohjelman ja etäyhteyden aiheuttaman tietoturva-aukon avulla. Itähelsinkiläisen kauppakeskuksen kahvilayrittäjä kertoi Aamulehdelle yllättyneensä asiasta, mutta ainakaan luottoyhtiölle tapaus ei voinut tulla täysin odottamatta. Maailmalla vastaavia murtoja on sattunut aiemminkin, ja jo pari vuotta sitten Luottokunnasta sanottiin, että monet kaupat siirtävät ja säilyttävät tietoa ilman korttimaksamisen edellyttämiä salauksia.
Turvallisuuspäällikkö Jani Kallio Luottokunnasta myönsi Tietokoneelle maaliskuussa 2008, että kaupoilla on parantamisen varaa tietoturvassa. “Edelleen tilanne on se, että pci dss -standardin asiat eivät ole kaikilla kaupoilla toteutuneet”, Kallio kertoi. Kyse oli siitä, että kaupat siirtävät ja säilyttävät maksutietoja ilman salauksia.
Tammikuussa 2010 paljastuneen kaltaisia tietomurtoja ei Suomessa ole kuitenkaan tapahtunut, tai tullut ainakaan julkisuuteen. Luottokunnasta toivotaan, että se kertoo tietoturvan laiminlyöntien olevan harvinaisia. ”Toivottavasti vakavien tapausten vähäisyys kuvastaa sitä, että keskimääräisesti suojaukset olisivat kaupoissa hyvässä kunnossa”, sanoi viime viikolla Luottokunnan johtaja Henry Kylänlahti.
Luottoyhtiön kannalta kyse on tietysti siitä, mikä on siedettävä riskitaso suhteessa siihen, että korttimaksamisen halutaan onnistuvan niin monessa paikassa kuin mahdollista. Luottamuskysymys on oikeastaan kaupan ja luottoyhtiön välinen, koska tällaisten tietomurtojen tapauksessa ne jakavat vahingot. Ulospäin kyse on imagosta ja siltä, että korttimaksaminen vaikuttaa suurelle yleisölle turvalliselta.
* * *
Pitäisikö tässä nyt sitten olla kuluttajana erityisen huolissaan korttimaksamisen turvallisuudesta? Muutamasta syystä en osaa olla yhtään huolissani. Maksuaika- tai luottokortilla maksamisen verraton etu on se, ettei raha mene epäselvissä tapauksissa suoraan asiakkaan tililtä.
Kun on ostanut jotain, se on vasta merkintä seuraavassa laskussa. Pankkien e-maksamista pidän kuluttajansuojan kannalta paljon turvattomampana, kun katevaraus tehdään pankkitililtä saman tien.
Jos kauppias ei toimita tavaraa tai jopa kaatuu kesken tilauksen, on huomattavasti mukavampaa neuvotella siitä, joutuuko maksamaan tulevan laskun, vai saako jo menettämänsä rahat ehkä takaisin tililleen.
Käytännön esimerkkejä on saatu Suomessakin. Kun iso Töölön matkatoimisto meni konkurssiin, luottokortilla maksaneet saivat rahansa takaisin tai eivät välttämättä ehtineet menettää mitään. Käteisellä maksaneet olivat pitkässä jonossa muiden konkurssipesän velkojien kanssa ja aika heikossa asemassa.
Maksuaika- tai luottokortin käytössäkin pitää säilyttää normaali järki. Kortttinumeroa ei pidä antaa esimerkiksi “iän tarkistamiseen” tai “käyttäjän tunnistamiseen” muka ilmaisessa palvelussa. Ja kannattaa katsoa, että kauppa vaikuttaa luotettavalta.
Pidän kortilla maksamista myös helpompana ja mukavampana netissä kuin pankkien e-maksuja. Täytyy vain muistaa ulkoa kortin numero, cvc-koodi ja voimassaoloaika, niin kaksaminen onnistuu. Verkkopankkitunnuksilla kirjautuminen pankkien e-maksuja varten vaatii vaihtuvien tunnusten kaivamisen esille ja moniportaisen vahvistuksen.
Sen verran olen varuillani aktiivisena luottokortin käyttäjänä, että seuraan noin kerran viikossa laskujen maksamisen yhteydessä, ettei kummallakaan luottokortilla näy olevan tuloillaan asiattomia veloituksia. Toistaiseksi ainoa epäselvyys on ollut Espanjasta turistirysän kaupan tuplaveloitus, ei siis mikään nettikaupan ostos.
Kertokaapa mielipiteenne. Luotatteko maksuaika- ja luottokortteihin internetissä tai mitä maksutapoja suositte?
