Líklegt er að um helmingur íslenskra fyrirtækja uppfylli ekki öryggisstaðla vegna kortaviðskipta til að minnka hættu á að tölvuþrjótar geti stolið kortanúmerunum. Þetta segir Davíð Guðjónsson, framkvæmdastjóri greiðslulausnarfyrirtækisins Handpoint. Þá segir hann að kæruleysi fyrirtækja geti leitt til hárra sekta, en möguleiki er á að Bandaríska verslunarkeðjan Target þurfi að greiða 3,6 milljarða Bandaríkjadali í sektir vegna þess að tölvuþrjótar náðu yfir 40 milljónum kortanúmerum í desembermánuði.
Kortanúmer hafa lengi verið eitthvað sem svikahrappar og hakkarar sækjast í að komast yfir. Auðvelt er að misnota kortanúmerin í viðskiptum á netinu eða til að búa til samskonar kort og nota í verslunum. Vegna þessa vandamála var farið í að gera örgjörvakort í stað korta með segulrönd, en örgjörvakortin eru að mestu komin í notkun hér á landi. Davíð segir í samtali við mbl.is að enn sem komið er hafi ekki náðst að falsa örgjörvakort, enda sé þá sér einkenni fyrir hverja færslu, meðan segulrandarkortin hafi bara eitt auðkenni sem er númerið á kortinu.
Þessi nýja tegund korta leysir þó aðeins vandamálið varðandi að stela upplýsingum þegar verslað er yfir búðarborðið og kortið sjálft afhent við afgreiðslu. Enn er til staðar ógnin við notkun korta á netinu og segir Davíð að mikil vitundarvakning sé að verða hjá fyrirtækjum um allan heim á því vandamáli. Ein helsta ógnin í því sambandi er þegar fyrirtæki geyma kortaupplýsingar viðskiptavina í ódulkóðuðum gagnagrunnum. Ef hakkarar komast inn á tölvuþjóna viðkomandi fyrirtækis er ekkert mál fyrir þá að sækja númerin, að sögn Davíðs.
Til að sporna við þessari vá og til að reyna að vernda kortanúmer stofnuðu öll stærstu kortafyrirtæki og greiðslugáttir í heiminum PCI staðalinn sem er einskonar öryggisvottun um að fyrirtæki geymi ekki ódulkóðuð númer og hugi að öðrum öryggismálum. Jafnframt er öllum fyrirtækjum sem taka við greiðslukortum gert að gæta vel að upplýsingnum og í samningum við kortafyrirtækin samþykkja þau að kæruleysi geti varðað sektum. Nýlegt dæmi um þetta er frá Bandaríkjunum þar sem tölvuhakkari fór inn á tölvukerfi Target verslunarinnar og stal 40 milljón kortanúmerum. Ef hámarkssekt, sem nemur 90 dölum á númer, verður beitt gæti Target þurft að greiða 3,6 milljarði dala, en það eru um 400 milljarðar íslenskra króna. „Þetta er mál sem menn vilja ekki tala um,“ segir Davíð og bætir við að það sé nauðsynlegt að horfast í augu við þetta vandamál, enda geti eitt svona innbrot ekki bara skilað sér í tapaðri viðskiptavild, heldur einnig með sektum sem geti sett fyrirtæki á hliðina.
Meðal lausna sem eru í boði er að fyrirtæki hýsi öll kreditkortanúmer hjá vottuðum fyrirtækjum, en Handpoint var fyrst íslenskra fyrirtækja til að bjóða þá þjónustu. Segir Davíð að þá sé búið til sýndarnúmer sem sé sent á milli fyrirtækisins og söluaðila í stað þess að senda kreditkortanúmerið sjálft. Þetta sýndarnúmer hafi því enga þýðingu þó það sé hakkað, nema fyrir rétta aðila. Fagaðilar passi svo upp á að kortanúmerin sjálf séu dulkóðuð og í öruggri geymslu.
Ástæðan fyrir því að kortanúmer eru geymd ódulkóðuð er meðal annars sú að mörg kerfi voru smíðuð áður en árásir urðu vandamál. Kerfin geymdu svo upplýsingarnar jafnvel á fleiri en einum stað, án þess að starfsmenn fyrirtækisins gerðu sér grein fyrir því. Þetta skapar í dag mikla hættu á því að gögn séu óvarin að sögn Davíðs, en hann segir það bara spurningu um tíma áður en gögnum verður stolið, ef það hafi ekki gerst nú þegar. „Þetta er að gerast allstaðar í heiminum og Ísland getur ekki verið nein undantekning þar á,“ segir hann.