Veebipoodide puhul ei saa turvalisust ära unustada, kuna millegi tõsisema juhtumisel mainet ilmselt enam tagasi ei saa, selgitas Voog platvormi müügi- ning turundusjuht Veiko Strauss.
Kui oluline on veebipoodides turvalisuse tagamine?
Ükskõik, millest me veebi kontekstis räägime, on turvalisuse tagamine ülioluline. Turvalisuse küsimuse muudab oluliseks mitu aspekti. Kui me räägime äri kontekstis, siis on usaldus kriitilise tähtsusega. Ilma usalduseta ei tehta ühtegi tehingut. Teise aspektina võiks välja tuua jätkusuutlikkuse. Veebipoest, millel on süsteemist või platvormist tulenevalt turvaaugud, võid sa lihtsalt ilma jääda. See võib tähendada seda, et su serveriteenuse pakkuja keerab poe lihtsalt kinni või hullemal juhul võtab keegi pahatahtlik sõna otseses mõttes sult veebipoe üle ja teeb sellega, mida ise heaks arvab.
Seega turvalisus on oluline ning lihtsustades võib selle küsimuse jagada kahte mõõtmesse.
Esiteks, kuidas on tagatud veebipoe kliente puudutav turvalisus, ennekõike pean silmas nende andmete kaitsmist. Teiseks, kui turvaline on veebipood süsteemi poolt — kas keegi halbade kavatsustega inimene saab poe üle võtta või panna poe tegema midagi, milleks ta mõeldud ei ole.
Mis on kõige lihtsamad viisid, kuidas turvalisust tagada?
Enne kui sellele küsimusele vastata peaks korraks mõtlema, mis see turvalisus ikkagi on.
Pidades silmas kliente puudutavat turvalisust, räägime ilmselt ennekõike klientide andmete kaitsmisest. Iga veebipoe pidaja vastutab täielikult selle eest, et tema klientide andmed kuhugi rändama ei läheks. Muuseas, selles küsimuses tuleb arvestada ka uuel aastal kehtima hakkavast andmekaitse muudatusi.
Kliendiandmete turvalisuse tagamiseks on kõige lihtsam viis kliendilt võimalikult väheste andmete küsimine. Tegelikult on see ka andmekaitse reformi üks juhtmõtetest. Kui sul ei ole kliendiandmeid, ei saa nendega ka midagi halba juhtuda. Näiteks, kui veebipoe tarneviisideks on kauba toimetamine erinevatesse pakiautomaatidesse, ei ole poepidajal tegelikult kliendi füüsilist aadressi vaja. Seega, enne andmete küsimist tasub alati mõelda, kas need ka päriselt vajalikud on.
Peale seda peaks mõtlema selle peale, kuidas need vähesed andmed, mida poepidajal kliendilt vaja on, veebis liiguvad. Seejuures on IT-kaugel inimesel oluline aru saada, et ükskõik millisest informatsioonist me räägime, ei liigu see otse ühe arvuti ekraanilt teise arvuti ekraanile. Nende kahe ekraani vahele jääb veel terve rida vaheetappe, mis on kolmandate isikute valduses. Mõned nendest etappidest on näiteks nii kliendi kui poepidaja WiFi võrk, ruuter, kaablid, mida mööda veebiühendus on veetud ja internetiteenuse pakkuja serverid. Siin on kõige lihtsamaks turvalisuse tagamise viisiks krüpteeritud ühenduse ehk HTTPSi kasutamine. HTTPSi olemusest ja kasutamisest loe lähemalt siit.
Nagu eelnevalt mainitud, puudutab turvalisuse teine mõõde veebipoodi ennast, selle all jooksvat platvormi või tarkvara. Siinkohal on esimesed ja kõige lihtsamad sammud seotud poe haldusega seotud inimeste koolitamisega. Kõigepealt peaks mõtlema veebipoe haldajate paroolide peale, millega halduskeskkonda sisse logitakse. Kas need paroolid on ikka turvalised? Lisaks sellele on oluline mõelda sellele, milliseid võrke ja seadmeid kasutades veebipoe halduskeskkonda sisse logitakse.
Igal juhul peaks vältima avalikke, parooliga kaitsmata WiFi ühendusi. Kui veebipoodi logitakse sisse ka nutitelefonist, siis tekib kohe küsimus, kas üle telefoni logitakse poodi sisse automaatselt ning kas paroolid on mingil kujul telefonis salvestatud? Nutitelefonid ja tahvelarvutid on tegelikult väga suur turvarisk. Mis saab siis, kui nutiseade kaob või varastatakse? Kui seade mäletab veebipoe parooli, siis võib telefoni varas või leidja su veebipoega teha mida iganes. Seega tasub kindlasti oma ettevõttega teatavad reeglid paika panna.
Läbi tasuks arutada:
- milliseid paroole kasutatakse;
- kas, kuidas ja kuhu võib paroole salvestatakse;
- millistest seadmetest ja võrkudest võib veebipoodi sisse logida;
- kas ja millised on nõuded sisselogimiseks kasutatavatele seadmetele, näiteks kas tahvelarvuti aktiveerimiseks on sõrmega libistatav muster või kuuekohaline numbrikombinatsioon.
Kui veel sügavamale minna, siis on turvalisuse juures oluline ka vastutus. Ehk kelle ülesanne on tagada veebipoe tarkvarapoolne turvalisus. Veebipoe platvorme on laias laastus kahte tüüpi — teenuspõhised ja tarkvarapõhised lahendused. Üldiselt vastutab tarkvarapõhise, näiteks WordPressi lahenduse puhul poepidaja kõigil tasanditel turvalisuse eest ise. Teenuspõhise lahenduse puhul nagu Voog jääb suur osa turvalisuse küsimusest teenusepakkuja kanda. Seega poepidaja seisukohast tasuks selles võtmes eelistada teenusepõhiseid lahendusi.
(Kui teenus Sulle ei sobi, siis on võimalik lihtsalt loobuda.)
Kuidas erineb veebipoe turvaliseks muutmine kasutaja ning administraatori poole pealt?
Veebipoe kasutaja ehk poe külastaja saab tegelikult oma turvalisuse eest teatud piirini väga lihtsalt hoolitseda. Esiteks tuleks vältida e-poodlemist suvalistes parooliga turvamata võrkudes. Lisaks sellele ei soovita ma teha ühtegi ostu veebipoes, mis ei jookse HTTPS ühenduse peal — turvalise ühenduse kasutamisest annab märku väike tabalukk või lühend HTTPS veebiaadressi ees. Samuti peaks alati hindama, kas poepidaja küsitavad andmed on päriselt vajalikud ning andma enda kohta välja nii vähe infot kui võimalik.
Administraatori kui poe pidaja poolt tulekski esmajoones hoolitseda selle eest, et pood jookseks HTTPS ühenduse peal. Küsida nii vähe andmeid kui võimalik ning neid väheseid andmeid, mida kogutakse, ei tohiks kolmandatele isikutele välja anda. Ja loomulikult tasub valida omale usaldusväärsed partnerid — soovitan kasutada teenusepõhist poe platvormi ning veenduda selles, et teenusepakkuja suudab ka reaalselt poe turvalisuse tagada. Kui lased oma veebipoe arendada mõnel agentuuril, siis soovitan samuti kriitilise pilguga hinnata, kui palju turvalisusele rõhku pannakse.
Kas suurem turvalisus saab ka majanduslikku kasu tuua?
Loomulikult. See kasu võib väljenduda mitut moodi. Kui kasutaja andmed rändama lähevad, võib sind ühel päev oodata päris mitu kahjunõuet ja mainekahju, mida on tulevikus väga raske usalduseks pöörata. Teise külje pealt võib juhtuda, et pead oma veebipoe olulisel määral ümber ehitama või hoopis nullist alustama. Seega igal juhul on odavam tegeleda probleemidega enne nende tekkimist. Tagajärgedega tegelemine on kordades kulukam ja emotsionaalselt ebameeldivam.
Mida teha, kui turvaintsident on toimunud?
Ole aus. Teavita kõiki, keda see intsident puudutada võib võimalikult kiiresti. Kui su klientide andmed on rändama läinud või poodi sisse häkitud, siis ei ole mõtet seda maha salata, see tuleb varem või hiljem niikuinii välja. Lisaks puudutatud isikutele teavita ka asjakohaseid institutsioone, politseid ja andmekaitse inspektsiooni.
Lisaks sellele on oluline tuvastada, milline on ja kus asub turvaauk, mis intsidendi põhjustas ning see võimalikult kiiresti ära lappida. Oluline on astuda samm edasi ja mõelda, kuidas tulevikus sarnaseid juhtumeid vältida. Kuna need teemad käivad IT-kaugel inimesel üle pea, siis tasuks kindlasti kaasata mõni oma ala ekspert või kohe poodi luues kasutada teenuspõhist lahendust. Viimasel juhul jäävad seda tüüpi probleemid teenusepakkuja vastutusalasse.
Kuhu pöörduda, et saada lisa-abi veebilehe turvalisemaks muutmiseks?
Lihtsama ja pinnapealsemate küsimustega olen valmis ise aitama ning õige suuna kätte näitama. Väga head nõu ja abi saab kindlasti ka Veebimajutuse inimestelt — Veebimajutuse juures saab oma veebipoe püsti panna nii teenuspõhisele platvormile (Voog) kui ka tarkvarapõhistele lahendustele (WordPress, Drupal, Joomla), seega oskavad nad mõlemal juhul juhendada ja nõustada. Suuremate ettevõtete ja veebikaubamajade puhul soovitan ma turvateemaga veelgi tõsisemalt tegeleda ning tellida turvaaudit ning kaaluda tõsiselt ka range sisekorra kehtestamist, tark- ja riistvaraliste turvalahenduste kasutusele võtmist. Üks kodumaine ettevõte, mis sääraste küsimustega tegeleb on näiteks BHC Laboratory.
(Kui teenus Sulle ei sobi, siis on võimalik lihtsalt loobuda.)