Küberbluffijad kimbutavad e-poode

Eesti E-kaubanduse Liidu juhatuse esimees Signe Kõiv selgitas Äripäevale, et liit saab iga päev koostööpakkumisi ettevõtetelt, kes oma teenuseid soovivad liikmetele pakkuda.

“Markantseim näide on küberturvalisuse lahendusi pakkuv ettevõte, kes soovis saada liidu ametlikuks koostööpartneriks, et suunata kõik usaldusmärgise "Turvaline ostukoht" kandjad kolm korda aastas neilt tasulisi turvaraporteid tellima,” rääkis Kõiv.

Kõiv selgitas, et liitu ei huvitanud idee olla müügitoru ning seetõttu keelduti alguses ka pakkumisest. Seejärel üritas sama ettevõte liikmeid nurka suruda ebaturvaliste e-poodide musta nimekirjaga ähvardades.

“Sellised omaalgatuslikud mustad nimekirjad võivad olla käsitletavad isiku majandus- või kutsetegevusse sekkumisena. Kui hüperaktiivsed müügimehed lähenevad jutuga "osta kohe kaheaastane leping supersoodsa hinnaga", mida ilmestavad sõnapaarid nagu "kõrgelt kvalifitseeritud spetsialistid" ja "väga hinnatud turvaeksperdid", soovitan tungivalt koostööd mitte kaaluda,” manitses Kõiv.

IT-spetsialist Peeter Marvet märkis, et on samuti kuulnud juhustest, kui teenusepakkuja surub e-poele oma teenust peale ning loobumise korral ähvardab poe panna musta nimekirja. “Alati tuleb uurida, kes nad on ning mis teenust pakuvad. Turvalisuse asi on selline, kus ainus, mis loeb, on kogemus. Sinust ei saa probleemilahendajat, kui sa pole kohtunud suure hulga probleemidega,” soovitab Marvet ettevõtetel olla julged küsimusi esitama ning vastuseid nõudma.

Äripäev saatis Eesti e-poodidele ka üleskutse jagada oma kogemusi väljapressivate teenusepakkujatega. Pärast pikka ootamist paraku ükski pood oma kogemusest rääkida ei soovinud. Kõiv märkis, et ilmselt on selle taga soov endast mitte avalikult rääkida, kuna inimestel võib tekkida tunne, et tegu ongi ebaturvalise ostukohaga ning seeläbi võivad ettevõtte müüginumbrid kannatada saada.

Konkreetseid bluffijate nimesid ei soovinud avaldada ka Kõiv ja Marvet.

Riigi Infosüsteemide Ameti analüütik Anto Veldre märkis, et kübermaailmas on välja kujunenud rusikareegel: paigaldatud platvorm püsib turvaparandusteta keskmiselt kuu, maksimaalselt kolm kuud. “Statistiliselt umbes selle sagedusega avastatakse turvavigu, mille kaudu on häkkeritel võimalik e-pood üle võtta. Mis tähendab, et ilma pideva turvapaikamiseta kompromiteeritakse e-pood peagi,” võttis ka kokku.

Marvet märkis, et Eestis on praegu ainult käputäis ettevõtteid, kes tunnevad küberturvalisuse valdkonda ning suudavad tagada, et e-pood või veebileht ka tegelikult turvalised oleks. “Tegemist on suurte ettevõtetega, kelle jutule oma butiigiga pääseda on raske,” viitas ta probleemile, et väiksemate e-poodide jaoks võib suurfirmalt turvateenuse ostmine olla liiga kulukas. “Ja siis tulevadki väiksemad tegijad odavama pakkumisega,” ütles ta.

Marvet selgitas probleemsete teenusepakkujate tausta. “Nende metoodika ei vii selleni, et veeb puhtaks saada. Olen näinud, et kui veeb on nii-öelda puhtaks tehtud, on see ikkagi hiljem maha võetud. Ja kui see kõik on süsteemne, on probleem,” ütles ta.

IT-inimeste kommuunides sotsiaalvõrgustikus Facebook olla küberturbeteenuste võltspakkujate teema juba mõnda aega aktuaalne. Marveti sõnul on sageli tegu ettevõtetega, kes on oma pakutavad veebikaitsemeetmed kelleltki pihta pannud ehk otseselt varastanud. Ta on sageli kohanud juhtumeid, kus vabatarkvara muudetakse veidi ning seejärel võetakse vabavara märkiv litsents küljest ära. Sisuliselt tähendab see, et ettevõte ütleb, et kellegi teise töö on tegelikult teinud nemad.

Ka Veldre nentis, et on probleemiga kursis. “Tõepoolest, ka Eestist on teada juhuseid, kus sisuliselt koolipoiste tasemel on asutatud "küberfirma" ning asutud "teenust" pakkuma. Ühest küljest on meeldiv, et noored IT-inimesed tunnevad küberturvalisuse vastu huvi, ning selmet kuritahtlikule teele asuda, üritavad oma mõningaid oskusi kommertsialiseerida,” arutles ta. 

“Teisalt, on olnud juhuseid, kus teenuse sisu on kas kasutu, kaitseb vaid osade küberohtude vastu või on suisa ohtlik, kuivõrd "teenuse" koodis on täiendavad turvaaugud, mis ohustavad teenust enamgi kui algsed vead. Rääkimata olukorrast, kus vabavaralist toodet pakutakse omaenda väljatöötluse pähe,” juhtis ka Veldre Marveti mainitud probleemile tähelepanu.

Veldre rõhutab, et küberkaitseblufi läbinägemiseks on paratamatult vaja sügavaid tehnilisi teadmisi ja ülevaadet juba toimivast küberturbeturust. Siiski tasub mõningaid asju arvesse võtta. 

Erista selgelt oma äri erisused ning ehita üles vastav turvastrateegia. Tuleb aru saada, et võõraste isikuandmete ning rahaliste tehingute vahendamine võib osutuda reguleeritud tegevusalaks. Veebipoes on turvalisus vähemalt sama tähtis kui kujundus ja funktsionaalsus.Mõista, et standardne müügiplatvorm, näiteks mõni vabavaraline, püsib turvalisena maksimaalselt üks kuni kolm kuud. Kui selle aja jooksul pidevale turvapaikamisele ei asutud, võib olla lootusetult hilja.Mõista, et ilma teadmisteta küberkaitsest ei püsi veebipood kuigi kaua elus. Kui endal teadmisi ja oskusi pole, tuleb need teenusena sisse osta väljastpoolt.Küberkaitseteenust ostes tuleb enne hoolikalt tutvuda pakkuja tausta ja mainega. Võiks olla sama kriitiline kui valveteenust või turvateenust hankides. Vajadusel tuleks läbi rääkida mitme konkurendiga. Turvale peaks mõtlema enne, kui üldse e-poe platvormi valida. Ise kodus “põlve otsas” kirjutatud e-pood ei saa olla turvaline.