Kansallisgallerian verkkokauppa murrettiin – pitäisikö huolestua?
Ilta-Sanomat kirjoittaa Kansallisgallerian Museoshop.fi-verkkokaupan murrosta. Hakkerit ovat tiettävästi saaneet käsiinsä suuren määrän henkilötietoja, koska kauppa on ollut toiminnassa useamman vuoden, ja ostoksia on epäilemättä tehnyt kohtuullisen laaja joukko suomalaisia.
”KANSALLISGALLERIA varoittaa, että sen Museoshop.fi -verkkokauppaan on tehty tietomurto.
Murtautujat ovat saaneet haltuunsa verkkokauppaan tallennettuja tietoja, kuten asiakkaiden nimi, osoite, sähköpostiosoite, puhelinnumero ja osto- ja lahjoitushistoria.
– Maksu- tai luottokorttitietoihin murtautujilla ei ole ollut pääsyä. Rekisteriin ei ole kerätty henkilötunnuksia tai muuta arkaluontoista tietoa ja salasanat on kryptattu, Kansallisgalleria muotoilee tiedotteessa.
Kansallisgallerian mukaan selvitystoimet on käynnistetty. Vahinkojen vähentämiseksi Kansallisgalleria sulki verkkokaupan.”
Lähde: Ilta-Sanomat: Kansallisgallerian verkkokaupasta varastettiin asiakastietoja
Nykyisin tällaisista murroista tiedotetaan ja kirjoitetaan aiempaa aktiivisemmin, ja hyvä niin. On erittäin hyvä, että syntyy yleistä tietoisuutta sitä kohtaan mitä haittaa huonosti ylläpidetyistä tai heikosti suojatuista verkkopalveluista voi olla.
Tässä esimerkiksi on kyse WordPress-pohjaisesta verkkokaupasta, joka ainakin toiminnallisen kuvauksen perusteella on sisältänyt melko paljon räätälöityä toiminnallisuutta (alkuperäisen toteutuksen referenssikuvaus kun on saatavilla mm. tästä blogista etsimällä). Tällaisen palvelun kohdalla on asiakkaan syytä huolehtia myös jatkuvan ylläpidon aktiivisuudesta, koska yksikään palvelu ei pysy tietoturvallisena ikuisesti.
On tietysti vaikea sanoa, onko heikkous löytynyt alkuperäisestä toteutuksesta vai onko palvelun ylläpito jäänyt liian vähäiselle huomiolle. Syynä voi olla kumpi tahansa asia, tai sitten syynä voi olla jokin kolmannen osapuolen komponentti, tai huonosti tehty integraatio, joka on mahdollistanut palveluun murtautumisen.
Syynä voi siis olla teknologia tai toimittajan huolimattomuus, mutta aika usein tällaisten juurisyy on asiakkaiden välinpitämättömyys. Syystä tai toisesta, tietoturvaan ei ole panostettu projektissa tai ylläpitovaiheessa riittävästi. Ongelmien syntyessä sitten syytetään tekniikkaa tai toimittajakumppania, vaikka todellisuudessa pitäisi katsoa peiliin.
Tästä kyseisestä tapauksesta on tietenkin ulkopuolelta vaikea sanoa mitään täsmällistä, mutta koska kyse on WooCommerce-verkkokaupasta, on oletettavaa, että jotain on jäänyt asiakkaalta tai ylläpitokumppanilta huolehtimatta. Hyvin hoidettu verkkokauppahan ei tällaisten tietomurtojen kohteeksi yleensä joudu.
Jos kumppanivalinta ja ylläpitosopimus on tehty huolella, ei ongelmia yleensä tule
Kun kyse on erittäin laajasti käytetyistä teknologioista, ongelma ei yleensä ole itse teknologiassa, vaan siinä, miten sitä on käytetty. Siksi esimerkiksi WordPress-maailmassa asiakkaiden tulisi kiinnittää erityisen paljon huomiota valitun kumppanin osaamiseen. Tietoturva on hyvä esimerkki asiasta, joka on erittäin paljon sidoksissa valitun kumppanin osaamiseen.
Joskus osaavankin kumppanin kanssa tosin voidaan ajautua vaikeuksiin. Tällöin on yleensä kyse asiakkaan osaamattomuudesta. Moni verkkokauppa ostetaan halvalla ja kiireessä, ja tekninen kehitys unohdetaan vuosiksi. Tällöin voi syntyä tilanne, että vaikka kumppani tietäisi, mitä pitäisi tehdä, asiakas ei ole halukas investoimaan rahaa järjestelmän päivityksiin.
Osittain tämä johtuu myös siitä, että Suomessa asiakkaiden ei tarvitse pelätä luottokorttitietojen tai pankkitunnusten vuotamista. Käytännössä lähes kaikki verkkokaupat käyttävät joitain verkkomaksuvälittäjiä (kuten Paytrail tai Klarna), jotka ovat rakentaneet integraatiot eri maksutapoihin. Tämän lisäksi EU edellyttää vahvaa tunnistautumista lähes kaikille maksutavoille, lähes kaikissa tilanteissa, joten parhaatkaan murtomiehet eivät yleensä Suomessa pysty tekemään rahasiirtoja, vaikka pääsisivät kiinni jonkun verkkokaupan tekniikkaan.
Nykyisin tosin asiakastietojenkin vuotamisesta voi tulla merkittäviä ongelmia. Tietosuojavaltuutettu voi määrätä Kansallisgalleriallekin korvauksia maksettavaksi, koska EU:n GDPR-lainsäädäntö edellyttää asiakastietojen huolellista suojaamista ja vain sellaisen tiedon tallentamista, johon on vahva liiketoiminnallinen peruste.
Kuten Kansallisgalleriankin tapaus osoittaa, joskus yhteystietojenkin varastaminen voi riittää hakkereille. Jos tiedot ovat tarpeeksi kattavia, voi niiden avulla onnistua murtautumaan jonnekin muualle, tai tekemään oikeita tilauksia muista verkkokaupoista. Esimerkiksi Klarnan avulla voi tehdä tilauksia, ilman vahvaa tunnistautumista, jos tietää vain tarpeeksi yhteystietoja, kuten tässä blogissa on aiemminkin kirjoitettu.
Mitä kokeneempi kumppani, sitä pienemmät riskit
Verkkokauppoja pyörittävien tahojen tulisikin kiinnittää erityistä huomiota oman yhteistyökumppanin tekniseen osaamiseen, erityisesti jos käytetty verkkokauppa-alusta on sellainen, jonka päivittäminen ja huolenpito on asiakkaan itsensä ja valitun kumppanin yhteisvastuulla. Mitä erikoistuneempi ja kokeneempi kumppani, sen parempi. Toimiston suuruuskaan ei ole mikään tae asioiden hyvästä hoitamisesta, fiksumpaa on aina keskittyä siihen, onko toimittajalla kokemusta juuri vastaavanlaisista projekteista ja samoista teknologioista.
Toinen olennainen asia on ylläpitosopimus kumppanin kanssa, sopimuksen tulee kattaa kaikki olennaiset päivitykset sekä sisältää myös jonkinlaisen tietoturvaseurannan, jotta mahdolliset tietoturva-aukot kaikissa käytetyissä komponenteissa ja työkaluissa löytyvät mahdollisimman nopeasti.
Lue lisää: Verkkokaupan alustat ja järjestelmät – kaikki artikkelit Vierityspalkissa