Сегодня, когда я обращаюсь в торговую точку с расчетным терминалом и предъявляю свою пластиковую карту, я передаю продавцу (через длинную цепочку посредников) номер карты, срок ее действия и код безопасности CCV2, указанный на оборотной стороне карты. Фактически я передаю секретные ключи. Я передаю коды доступа к моему счету. Это конфиденциальная информация. Если она будет перехвачена, мой счет окажется в опасности. С него могут неоднократно запрашиваться средства, это может сделать как продавец, так и один из посредников, а также любой хакер, который сумеет украсть информацию через разных посредников. Данные моей пластиковой карты необходимо очень тщательно охранять.

С момента, когда я достал карточку из кармана, и до момента, когда деньги поступят на счет продавца, информация фактически передается по сети через виртуальные «инкассаторские машины». Шифрование начинается с кассового терминала продавца, затем информация о транзакции в зашифрованном виде поступает в систему Visa для пакетной обработки. От системы Visa, опять в зашифрованном виде, информация поступает в банк-инициатор данной транзакции и в банк-получатель, вся информация шифруется на каждом этапе прохождения, поскольку везде передаются секретные ключи. Если шифрование на любом этапе будет взломано, то моя карта окажется в опасности.

Данные карты также хранятся во многих транзитных базах, для истории. Это просто ужасная идея, поскольку создаются централизованные секретные тайники, которые атакуют хакеры. О них мы уже не раз слышали. Достаточно вспомнить, как в США у крупных ритейлеров Target и Home Depot в результате кражи данных были скомпрометированы 50–60 миллионов карт. У фирмы JPMorgan Chase недавно были скомпрометированы 75 миллионов счетов! Всё это произошло не потому, что эти компании не выполнили своих обязательств по защите данных карт клиентов.

На сегодняшний день все компании можно разделить на два типа: те, которым не удалось предпринять адекватных мер для безопасности кредитных карт, и те, которым в ближайшем будущем не удастся обеспечить необходимые меры безопасности. Либо вас уже «хакнули», либо вас скоро «хакнут», – есть лишь две категории. Никто не обладает иммунитетом. Никто не может изобрести способ защиты миллионов секретных кодов доступа от заинтересованных в наживе хакеров. Это просто невозможно. Никто не знает, как это сделать. В информационной безопасности нет метода, который сможет защитить от всех возможных видов и типов атак. Сама технология расчетов по пластиковым картам содержит в себе конструктивную брешь, так как сам токен является секретным ключом. И если вы передаете этот токен, то вы подвергаете риску весь счет, к которому он относится.