Verkkopetoksien tehokkaampaa torjuntaa

Marraskuun lopussa hotelliketju Marriot ilmoitti joutuneensa historian suurimpiin kuuluvan tietovuodon uhriksi. Ketjun varausjärjestelmä oli hakkeroitu, ja hakkerit saivat käsiinsä yli 500 miljoonan hotellivieraan henkilötiedot, kuten luottokorttien ja passien numerot, nimet, osoitteet ja matkatiedot.

Vuoto oli muistutus kyberrikollisuuden kasvavasta uhasta. Jan Olsson on rikoskomisario ja kansallisen IT-rikollisuuskeskuksen toiminnan kehittäjä, jonka mukaan petokset tulevat maksamaan yli 3 biljoonaa euroa vuosittain, ja yhä suurempi osa petoksista tehdään verkossa. Sähköisiä petoksia on montaa eri tyyppiä, mutta yleisimpiä ovat ns. ”Card Not Present” -petokset, joissa käytetään Marriotin tietomurron kaltaisista tietovuodoista saatuja varastettuja korttitietoja.

”Petosten määrä kasvaa vuosittain n. 10 prosenttia, mutta ”Card Not Present” -petokset lisääntyvät paljon nopeammin, n. 40 prosentin vuosivauhdilla”, Jan Olsson kertoo.

Ruotsin poliisin tilastojen mukaan CNP-petokset lisääntyivät Ruotsissa 269 prosenttia vuosina 2011–2017, n. 20 000:stä lähes 80 000:een. Kehitys on huolestuttavaa myös koko Euroopan tasolla. Euroopan keskuspankin tilastot osoittavat, että CNP-petokset ovat lisääntyneet Euroopassa 66 prosenttia viimeisen viiden vuoden aikana, ja vaikka kuluttajajien edut on suojattu, nämä petokset maksoivat vuonna 2016 Euroopan taloudelle 1,38 miljardia euroa.

”Tämä on uhka koko rahoitusjärjestelmälle. Jos ihmiset ovat huolissaan siitä, mitä heidän korttitiedoilleen tapahtuu, he eivät enää halua käyttää korttejaan verkko-ostoihin. Se on uhka myös yhteiskunnalle, sillä olemme synnyttämässä sukupolvea, joka tekee näitä rikoksia eikä edes varsinaisesti pidä niitä rikoksina. Tekijät vain käyttävät numeroita verkko-ostoihinsa”, Jan Olsson sanoo.

CNP-petoksia voidaan torjua
Huolestuttavasta kehityksestä huolimatta Jan Olssonin mukaan on myös syytä toiveikkuuteen. CNP-petoksia voidaan nimittäin torjua, ja parhaillaan tehdään suuria aloitteita ongelman selättämiseksi.

EU:n uusi tietosuoja-asetus, GDPR, asettaa yrityksille suurempia vaatimuksia arkaluonteisten tietojen, kuten korttitietojen, suojaamiseksi hakkereilta. Uuden maksupalveludirektiivin (PSD2) mukaisesti eurooppalaisten verkkokauppiaiden on käytettävä verkkokaupoissaan ”vahvaa asiakastunnistautumista”, kuten 3D Securea. Sen myötä Euroopassa on teoriassa mahdotonta tehdä verkko-ostoksia varastetuilla korttitiedoilla.

EU:n vaatimus vahvasta asiakastunnistautumisesta tulee voimaan huhtikuussa 2019, mutta Olssonin mukaan suuret kortteja myöntävät pankit toteuttavat jo nyt muita toimia CNP-petosten torjumiseksi. Esimerkkinä hän mainitsee ruotsalaisen pankin, joka onnistui vähentämään petoksia 60 prosenttia vaatimalla asiakkailtaan korttinsa lukituksen vapauttamista, ennen kuin kortilla voi tehdä verkko-ostoja.

CNP-ongelmaan on siis jo olemassa ratkaisuja. Jan Olssonin mukaan kauppiaiden keskuudessa esiintyy kuitenkin vastustusta menetelmien käyttöönottoa kohtaan. Syynä tähän on se, että aiempaa tehokkaampien turvamenetelmien, kuten 3D Securen, käytön pelätään vaikuttavan negatiivisesti kaupankäyntiin, koska ostoprosessista tulee monimutkaisempi. Olssonin mielestä tämä on kuitenkin lyhytnäköistä suhtautumista turvallisuuteen, sillä kauppiaat menettävät eniten, jos kuluttajien usko verkkokauppaan hiipuu. Siksi hän toivoo, että kauppiaat ryhtyvät nyt toimenpiteisiin löytääkseen ja ottaakseen käyttöön tehokkaat ratkaisut petostentorjuntaan.

”Ei riitä, että näitä rikoksia selvitetään. Niitä on torjuttava ennalta, ja se meidän on tehtävä yhdessä. Pankit tekevät jo suuria panostuksia, joten nyt on verkkokauppiaiden vuoro tehdä aiempaa enemmän”.