Verkkokaupan tietoturva

Eeva Ylimartimo

Verkkokaupan tietoturva on yksi suurimmista huolenaiheista, joita kuluttaja verkko-ostoksilla miettii. Näillä ohjeilla hoidat verkkokauppasi tietoturvan kuntoon.

Suojaa verkkokaupan laitteet ja verkot palomuureilla

Kaikkein ilmiselvin tietoturvan osa on suojautuminen suorilta hyökkäyksiltä. Kaikki verkkokaupan tietokoneet pitää suojata ajantasaisella palomuurilla, joka rajoittaa liikennettä tietokoneiden ja netin välillä. Muista myös huolehtia päivityksistä.

Anna henkilöstölle tietoturvakoulutusta

Usein verkkokaupan tietoturvan heikoin lenkki löytyy ihmisistä. Vaikka järjestelmä olisi teknisesti ottaen suojattu, työntekijät voivat käsitellä esimerkiksi asiakastietoja huolimattomasti. Henkilöstön tietoturvakoulutus on tärkeä osa verkkokaupan tietoturvaa.

Hanki verkkokaupalle TSL-sertifikaatti

TSL-sertifikaatti (ent. SSL) kertoo sivuston käyttäjälle, että verkkosivun taustalla oleva palvelin on se, mikä se väittää olevansa. Näin verkkokaupan asiakas voi luottaa siihen, ettei kyseessä ole huijaussivusto.

TSL-sertifikaattiin kuuluva HTTPS-liikenne salaa asiakkaan ja verkkokaupan välisen tiedonsiirroon ulkopuolisilta. Se on merkittävä parannus tietoturvaan, kun verrataan perinteiseen, suojaamattomaan HTTP-protokollaan.

TSL-sertifikaatti paitsi parantaa verkkokaupan tietoturvaa myös lisää asiakkaan tuntemaa luottamusta. Turvallisuus ja luotettavuus ovat kotimaisten verkkokauppojen kilpailuvaltteja.

Verkkokaupan tietoturva ei ole koskaan valmis

Tietoturvan varmistaminen ei lopu koskaan. Verkkokaupan pitää uhrata jatkuvasti resursseja uhkien torjumiseen.

Hakkeroitujen sivujen korjaaminen on paljon kalliimpaa kuin tietoturvasta huolehtiminen.

Tästä syystä etenkin isossa verkkokaupassa niin sanottu jatkuva kehitys on usein paras tapa ylläpitää järjestelmää. Jatkuvassa kehityksessä sama tiimi huolehtii sekä järjestelmän kehittämisestä että ylläpidosta.

Verkkokaupan pystyttäminen ei ole vain yksi projekti, vaan yrityksen liiketoiminnan mukana kehittyvä pysyvä prosessi.

Näin ongelmatilanteita voidaan ennakoida koko ajan järjestelmää kehitettäessä, sen sijaan että reagoitaisiin ainoastaan virhetilanteisiin. Uusimpiin tietoturvauhkiin on helppo vastata, kun järjestelmää muutenkin parannetaan koko ajan.

Näin hakkeri iskee verkkokauppaan

Alla on muutama esimerkki siitä, millaisia hakkeria kiinnostavia haavoittuvuuksia verkkokaupassa voi olla. Kunnon ammattilainen osaa rakentaa sivuston niin, ettei tällaisia aukkoja tietoturvaan jää.

  • Suojaamaton suora olioon viittaus (engl. direct object reference) on haavoittuvuus, joka sallii hakkerin päästä käsiksi muiden verkkosivun käyttäjien tietoihin esimerkiksi erilaisilla lomakesivuilla. Hakkeri voi onnistua tässä esimerkiksi vaihtamalla verkko-osoitteeseen toisen käyttäjän tunnuksen. Haavoittuvuudelta voi suojautua sillä, ettei viittaa objekteihin suoraan, ja varmentaa, että käyttäjällä on oikeus päästä käsiksi kyseiseen objektiin.
  • SQL-injektio tapahtuu puutteellisen syöttötietotarkistuksen vuoksi, ja sen avulla hakkeri voi antaa SQL-komentoja. Näin hän voi onkia tietokannasta esiin muun muassa käyttäjien tunnuksia ja salasanoja tai jopa poistaa haluamiaan tietoja.
  • XSS-hyökkäys (engl. cross sprite scripting) on tapa upottaa haitallista koodia verkkokaupan sisältöön. Esimerkiksi jos tuotteen arvosteluun käytetty tekstikenttä sallii html-koodin, hakkeri voi upottaa arvostelutekstiinsä haitallisen skriptin, joka ajetaan aina, kun sivu latautuu. Tällä tapaa voi aiheuttaa paljon vahinkoa.

Voit lukea tarkempia teknisiä selostuksia erilaisista haavoittuvuuksista ja suojautumiskeinoista Janne Kuusniemen insinöörityöstä ”Verkkokaupan tietoturvan perusteet”.

Verkkokaupan tietoturvan bonusvinkit:

  • Päivitä säännöllisesti kaikki sivuston käyttämät ohjelmistot ja lisäosat – myös mahdollinen verkkokaupan blogialusta, kuten WordPress.
  • Kaikissa järjestelmissä vaihda pääkäyttäjän tunnus ja etenkin salasana. Jos tunnus on ”admin” ja salasana ”admin123”, hakkerin tai tunkeilevan botin ei tarvitse käyttää paljoakaan aikaa sisäänkirjautumiseen.
  • Älä anna käyttäjille enempää valtaa kuin he tarvitsevat. Eli älä esimerkiksi tarjoa jokaiselle blogialustan tai verkkokauppajärjestelmän käyttäjälle ylläpitäjän valtuuksia. Rajoita käyttöoikeuksia mahdollisuuksien mukaan.