Hva skal dere som en nettbutikk bruke kryptering til
Kryptering er nødvendig i netthandel for å beskytte informasjon som utveksles mellom kunde og selger. Informasjon som utveksles kan være personlig informasjon som bank/kredittkortinformasjon. Det er viktig å hindre at uvedkommende får tilgang til dataen som utveksles når en transaksjon skjer via Internett. Hvis kriminelle hackere får tilgang til informasjonen kan den brukes til å begå økonomisk svindel, identitetstyveri eller for andre kriminelle formål.
Nettbutikker er pålagt å følge lover og regler som Personopplysningsloven (LOV-2018-06-15-38) og EU’s General Data Protection Regulation (GDPR) som skal sikre personvernet. Kryptering kan også være viktig for omdømmet til en nettbutikk. Kunder ønsker å benytte tjenester de vet beskytter deres personlige informasjon. Manglende kryptering betyr at det er lettere å bli utsatt for et dataangrep, som igjen kan føre til både omdømmetap og økonomisk tap for en bedrift.
Som sagt, er det avgjørende å benytte kryptering for å opprettholde høy sikkerhet og beskytte både kundens personvern og integriteten til transaksjoner. Noen av hovedgrunnene til å benytte kryptering i en nettbutikk er:
- Sikker overføring av data: kryptering spiller en nøkkelrolle i å beskytte all informasjon som utveksles mellom nettbutikkens servere og den besøkendes nettleser. Dette innebærer konfidensielle data som brukernavn, passord, personlig identifiserbar informasjon (PII), kredittkortnummer og andre betalingsopplysninger. Ofte brukes det SSL/TLS-protokoller for å kryptere dataene under overføringen. Dette kan man kjenne igjen og undersøke om nettsider benytter ved å se at nettadressen starter med «https» og viser et hengelåsikon i nettleseren.
- Sikring av betalingstransaksjoner: kryptering er nødvendig for å trygge betalingstransaksjoner, dette inkluder også inntasting av kredittkortdetaljer. Kryptering kan hindre uvedkommende fra å snappe opp sensitiv finansiell informasjon.
- Sikre lagrede kundeopplysninger: kryptering hindrer uautorisert tilgang til verdifull kundedata som er lagret i nettbutikkens databaser. Dette kan være personlig data som navn, adresser og tidligere bestillingshistorikk.
- Sikring av dataintegritet: kryptering bidrar til å opprettholde integriteten til data ved å forhindre at de endres eller manipuleres under overføring. Dette er spesielt viktig for å hindre uautoriserte endringer i priser, ordreinformasjon eller andre transaksjonsdata hos nettbutikken.
Hva kan manglende kryptering føre til? Eksempler
Manglende kryptering i nettbedrift kan føre til flere alvorlige konsekvenser og sikkerhetsrisikoer, blant annet:
- Mer utsatt for cyberangrep: uten kryptering er nettbedriften mer sårbar for skadelig programvare og dataangrep, inkludert phishing, ransomware og identitetstyveri. Angripere kan utnytte sårbarhetene ved å stjele data, installere skadelig programvare eller påføre skade på nettbedriftens infrastruktur.
- Mistillit fra kunder og manglende konkurranseevne: dagens marked forutsetter at bedrifter tar personvern og datasikkerhet på alvor. Manglende kryptering kan føre til tap av konkurranseevne, siden det blir vanskeligere å vinne nye kunder og samarbeidspartnere.
- Finansielle tap: et sikkerhetsbrudd kan føre til betydelige økonomiske tap, og kan kreve store ekstrakostnader for å håndtere et sikkerhetsbrudd, gjenopprette data, etterforskning og eventuelle søksmål fra berørte parter.
- Regelbrudd og bøter: en rekke lover og forskrifter krever at personlige og sensitive data beskyttes. Hvis disse ikke overholdelse kan det føre til juridiske konsekvenser og bøter for bedriften.
Eksempel med e-Bay
I 2014 opplevde eBay en alvorlig hendelse med tap av data som påvirket millioner av brukere. Dette ble oppdaget i mai 2014, men det er indikasjoner på at angriperne kunne hatt tilgang til selskapets systemer flere måneder før det ble oppdaget.
Angriperne klarte å få tilgang til en database som inneholdt brukerdata, inkludert brukernavn, passord, e-postadresser, adresser og telefonnumre til eBay-brukere. De fikk ikke tilgang til finansiell informasjon, som kredittkortnumre, siden disse dataene ble lagret separat og kryptert.
Angriperne fikk tilgang ved å stjele innloggingsinformasjonen til eBay-ansatte. Med denne informasjonen klarte de å komme seg inn i selskapets database.
I reaksjon på datatapet ba eBay alle brukere om å endre passordene sine, selv om de forsikret dem med at finansiell informasjonen var trygg. Selskapet samarbeidet også tett med justismyndigheter for å etterforske hendelsen.
Andre eksempler på manglende kryptering fra eksterne lenker
The Exactis Debacle: Reklamebyrå med manglende kryptering av database.