Kylänlahti kertoo, että kansainvälisillä korttiyhtiöillä on omat menettelynsä kauppiaalle lankeavien sanktioiden määrittelyyn. Sanktioiden määrä riippuu tapauskohtaisesta arviosta siitä, missä kunnossa maksujärjestelmä on ollut ja miten siitä on huolehdittu, eli onko turvallisuudesta huolehdittu asiaankuuluvasti.

Kylänlahti toteaa, että periaatteessa isokin lasku on mahdollinen, jos liike ei ole huolehtinut maksujärjestelmästään.

Suomessa paljastuneen suuren korttimurron osalta Kylänlahti ei pysty tutkinnan tässä vaiheessa sanomaan, miten vastuu tulee jakautumaan. Asiasta varmasti keskustellaan jatkossa, hän sanoo.

Tietomurtojen määrä kasvussa maailmalla

Kylänlahden mukaan tietomurtojen määrä on ollut viime vuosina kasvussa maailmalla. Luottokuntaan tulee viikottain tietoja eri puolilla maailmaa tapahtuneista tietomurroista, jotka vaikuttavat suomalaisiinkin asiakkaisiin enemmän tai vähemmän.

Korttimurtojen estämisessä on hänen mukaansa avainasemassa maksujärjestelmän ylläpito ja turvallisuussovellusten päivittäminen. Tällä hetkellä kehitetään PCI-standardia järjestelmän turvaamiseksi.

Kylänlahti toteaa, ettei mikään järjestelmä ole täysin aukoton, mutta tietomurtojen tekijät pyrkivät hekin pääsemään helpolla. Siksi murrot tyypillisesti kohdistuvat tahoihin, joissa on merkittävämpiä määriä korttidataa saatavilla tai joku heikkous tai haavoittuvuus järjestelmässä.

Nykyaikaisissa maksujärjestelmissä korttitietoja ei tallenneta eivätkä ne viivy kauempaa maksuympäristössä kuin on tarpeen maksutapahtuman toteuttamiseksi. Tuoreessa tapauksessa tietoja oli puolestaan tallennettu huomattavan pitkältä ajalta, johon ei ollut mitään perusteita, Kylänlahti toteaa. Tämä aiheutti sen, että kohtuullisen iso määrä korttitietoja joutui vääriin käsiin.

Hän arvioi, että suurin syy korttimurtojen lisääntymiseen on ehkä se, ettei maksujärjestelmän ylläpito ei välttämättä ole kauppojen ydinliiketoimintaa. Nyt paljastuneen tietomurron osalta Kylänlahti toteaa, ettei hän tiedä miksi ja minkälaisista haavoittuvuuksista johtuen murto on onnistuttu tekemään.

Kylänlahti ei myöskään osaa arvioida, miten hyvässä kunnossa Luottokunnan suomalaisten kauppiasasiakkaiden maksujärjestelmät yleisesti ottaen ovat. Hän toteaa, että Luottokunnalla on vajaat 100 000 kauppaisasiakasta, ja heitä pyritään ohjastamaan järjestelmän suojaamisessa. Hän pitää korttimaksamista edelleen turvallisena.

Kaupan liitto toivoo vastuuta myös järjestelmätoimittajille

Myöskään Kaupan liitossa ei osata arvioida, miten hyvin suomalaiskauppiaiden maksujärjestelmät on yleisesti ottaen turvattu. Asiamies Matti Räisänen siirtäisi tulevaisuudessa vastuuta järjestelmien toimittajille, sillä pienkauppiaat eivät ole asiassa asiantuntijoita.

Vaikka vastuu maksujärjestelmän turvallisuudesta onkin kauppiaan, Räisäsen mukaan teoria on eri asia kuin käytäntö.- Ei kukkakauppias voi tietää, mitä tietoja hänen järjestelmänsä kerää, hän toteaa.

Räisänen toivookin, että järjestelmäntoimittajilta saataisiin tulevaisuudessa kauppiaille vakiomuotoinen sopimus, joka takaisi, että järjestelmä täyttää turvallisuusvaatimukset.

Tekijöitä vaikea saada kiinni

Kylänlahden mukaan korttimurtojen tekijöitä ei ole helppoa saada kiinni. Toiminta on verkottunutta ja globaalia, ja jälkiä on kohtuullisen helppo muokata tai hävittää.

Silloin tällöin on kuitenkin tullut uutisia siitä, että merkittäviinkin tietomurtoihin liittyen on tehty pidätyksiä ja tekijöitä on saatu tilille teoistaan. Se on eri asia, saadaanko heiltä rahallista korvausta, Kylänlahti toteaa.