Heikoilla jäillä…

      No Comments on Heikoilla jäillä…

Eräs ystäväni soitti minulle viime viikolla (olen ystäväpiirissäni se IT?/tietoturvatyyppi). Hän kysyi, mitä pitäisi tehdä, jos on saanut alla olevan ilmoituksen, sillä hän ei ollut nähnyt vastaavaa aikaisemmin. Kuten alla näkyy, ilmoituksessa varoitetaan, ettei kyseinen sivusto ole välttämättä enää turvallinen, koska sen SSL?varmenne on vanhentunut.

expired-certificates.jpg

Vastasin välittömästi, ettei hänen pitäisi missään tapauksessa jatkaa eteenpäin. Jos epäilyttää, voi siirtyä toiselle sivustolle, käydä liikkeessä paikan päällä, yrittää soittaa tai lähettää yritykselle sähköpostia, mutta verkkosivustoa ei kannata käyttää. Ystäväni vastaus oli melko yllättävä: Tiedusteltuaan ongelmasta Twitterissä hän oli saanut kyseisen sivuston edustajalta neuvon, jonka mukaan ”tästä varoituksesta ei ole mitään syytä huolestua”. Pohdittuani asiaa hetken tajusin, että neuvo oli varsin kauhistuttava. Miksi luotettavalta sivustolta annettaisiin noin kummallisia ohjeita?

Syy numero 1: Sivusto ei halua menettää yhtäkään asiakasta.

Syy numero 2: Sivustolla ei ymmärretä edes perusasioita sen suhteen, kuinka kuluttajien luottamus rakentuu, mistä syystä asiakkaille annetaan vääriä neuvoja.

Syy numero 3: Sivustolla ei olla tietoisia, mitkä ovat seuraamukset, jos ihmiset noudattavat tämänkaltaisia huonoja neuvoja.

Oletin, että kysymyksessä oli syy numero kolme, joten soimasin sivuston omistajia. Sitten aloin tutkia tätä nimenomaista ongelmaa ja sivustoa tarkemmin selvittääkseni, mitä oikein oli tapahtunut. Tällä kertaa oli kyse verkkokauppasivuston ylläpitotiimin tarkkaamattomuudesta. Varmenne oli ehtinyt vanhentua huomaamatta, joten he yrittivät paikata tilannetta ja lieventää epähuomiossa sattuneen virheen vaikutuksia. Se, että asiakkaita käsketään ohittamaan varoitus, ei kuitenkaan ole minkään järkeenkäyvän parhaan käytännön mukaista. Antaisivatko he saman neuvon seuraavan kerran kun jotakuta asiakasta pyydetään sähköpostitse paljastamaan luottokorttitietonsa ja kotiosoitteensa? Toivottavasti eivät. Entäpä jos heidän sivustoonsa olisi tarttunut haittaohjelma? Tiettävästi 61 prosenttia haitallisista sivustoista on todellisuudessa aitoja verkkosivustoja, joiden tietoturva on vaarantunut tai joille on tartutettu haitallista koodia. Vuonna 2012 verkkosivustotyypeistä, jotka isännöivät haittaohjelmia, yritys?, teknologia? ja ostossivustot olivat viiden yleisimmän joukossa (lähde: englanninkielinen Symantec ISTR 2013 -raportti). Jos tietokoneeni virustorjuntaohjelma havaitsisi haitallisen sivuston ja estäisi sen, kehotettaisiinko minua ohittamaan sekin varoitus ja jatkamaan vain eteenpäin?

Esimerkit edustavat ehkä ääripäätä, mutta jos käyttäjiä kehotetaan ohittamaan heidän suojakseen tarkoitetut tietoturvavaroitukset, kyseessä on huono käytäntö, eikä verkkokauppiaiden pitäisi missään tapauksessa heikentää asiakkaiden luottamusta tällä tavoin.

Minkä neuvon antaisin siis itse sekä ystävälleni että suurelle yleisölle? Valittakaa! Ja valittakaakin kunnolla. Käyttäkää live chat ?keskustelutoimintoa, muualla verkossa julkaistua puhelinnumeroa ja sosiaalista mediaa. Laittakaa häpeämään ne ihmiset, jotka käyttävät luottamustanne hyväkseen ja saattavat teidät mahdollisesti vaaraan. Vaatikaa, että sivuston on vakuutettava teidät, jotta voitte käyttää sitä: sivustolla tulee olla näkyvissä Norton Secured Seal ?tunnus tai muu luotettavuusmerkki, josta käyttäjät tietävät, että sivusto on tarkistettu, eikä sillä ole haittaohjelmia. Tehkää myös selväksi, ettette aio käydä kauppaa kyseisen yrityksen kanssa niin kauan kuin selaimessanne näkyy sivuston turvallisuutta tai tietoturvaa koskevia varoituksia. Kuluttajilla on paljon valtaa, ja jos valitamme ja äänestämme jaloillamme, viestimme tämänkaltaisten sivustojen omistajille pitäisi kyllä mennä perille. Toki monet meistä sulkevat epäilyttävän sivuston heti varoituksen nähtyään, mutta on myös käyttäjiä, jotka eivät vain ole varmoja, kuinka toimia, tai joita vedätetään kylmästi käskemällä ohittamaan asianmukaiset tietoturvavaroitukset tai antamalla muita huonoja neuvoja.

Jos me tällä alalla kehotamme toistuvasti käyttäjiä ohittamaan varoitukset, me saatamme aliarvioida luottamuksen ja verkkoturvallisuuden merkityksen – ja miksipä ottaisimme sen riskin, sillä verkko on täynnä mahdollisuuksia (ks. englanninkielinen blogikirjoitus).

Tietoturva?alan toimijat tekevät parhaansa luodakseen varoituksia ja kehittääkseen suojausmenetelmiä työkaluihin, joiden avulla verkossa harjoitetaan liiketoimintaa. Kenenkään tällä alalla työskentelevän ei pitäisi ikinä neuvoa ketään ohittamaan varoituksia. Verkkokauppasivusto, joka antaa asiakkaalle huonoja neuvoja, ansaitseekin menettää kyseisen asiakkaan, sillä kun luottamus on kerran menetetty, sitä on lähes mahdoton voittaa takaisin. Ja siinä vaiheessa tappio on meidän kaikkien yhteinen.

Leave a Reply