Kryptert overføring av fortrolig data som innloggingsinformasjon, fødselsnummer, samt informasjon om betalingskort og banktransaksjoner, blir stadig viktigere. Nå har Yngve N. Pettersen testet 243 norske nettbutikker. Han har jobbet med sikkerhet og sikkerhetsprotokoller i nettlesere siden 1997, og regnes som en ekspert på området.
Hans test av norske nettbutikker viser usikker registrering av persondata i mange nettbutikker:
- Bare 6% av nettbutikkene krypterte hele nettbutikken
- Bare 16% krypterte innlogging til konto
- Bare 10% krypterte vising av handlekurven
- Bare 30% krypterte steget hvor man begynte prosessen med å registrere adresse og betaling
Det vil si at 70% av nettbutikkene ikke krypterte den delen av handleprosessen der man enten logger inn eller registrerer navn og adresse, samt starter prosessen for å betale. I tillegg viser Pettersens gjennomgang at minst 26% av nettbutikkene ba om fødselsnummer via en usikret nettside, noe som Pettersen mener at sannsynligvis er et brudd på den norske personvernloven.
På Vivaldi.net skriver han:
- Riktignok, der hvor jeg kunne undersøke dette, gjennomfører de fleste av nettbutikkene som har betaling på nett med kredittkort dette på en kryptert side, men i de fleste tilfeller er dette snakk om en tredjeparts tjener, ofte Nets eller Dibs. I mange andre tilfeller er det leverandøren av nettbutikkløsningen som står for dette, selv om andre betalingsformidlere også benyttes. I to tilfeller fant jeg imidlertid nettbutikker som ba om kredittkort informasjonen på en ukryptert side!
Norske nettbutikker synes altså å slurve med sikkerheten. Nå ber han både nettbutikkene og leverandørene om å «ta seg sammen»:
- Hovedsaklig mener jeg at nettbutikkeierne og -leverandørene bør "ta seg sammen" og starte bruk av kryptering av nettbutikker snarest mulig. De bør starte med å kryptere kassen, registrering og innlogging, og deretter gjennomføre kryptering av hele nettbutikken. Disse aktørene bør også ta med i vurderingen at i løpet av 2015 eller 2016 planlegger Google å endre brukergrensesnittet i Google Chrome, fortrinnsvis i samarbeid med andre nettleserleverandører, og gi klarere advarsel til brukeren når nettsiden er ukryptert. Kundene bør også våkne, og bli mer observante når de skal ut å handle, og forsikre seg om at nettbutikkene krypterer informasjonen deres, hovedsaklig ved å gjøre seg kjent med, og kontrollere nettleserens «hengelås» når de ankommer nettbutikken, og når de holder på med kassesteget.
På lengre sikt ber han bransjen sammen med fageksperter gå sammen for å definere visse minimumskrav til sikkerhetselementer i en nettbutikk og hvordan nettbutikkens interne systemer bør sikres. På enda lengre sikt bør også norske forbrukermyndigheter og Datatilsynet definere klarere krav til hvordan norske nettbutikker skal håndtere sensitiv informasjon.
Denne avsløringen kommer kun få dager etter at Raskesider.no avslørte SSL-svakheter i norske banker. Tiden vil vise hvordan nettbutikkene og nettbankene håndterer dette videre.
(Foto: Yaymicro.com)
