You are here: TUTWiki>Tietoturva/Tutkielmat>TalvitieT?>2008-21
-- HansAhrenberg? - 23 Sep 2009

Kotikäyttäjän tieto verkkokaupan tietoturvasta

1 Johdanto

Tämän työn pohjana on TaY?:n seminaariraportin Kunnarin (2004) kirjoittama osa Peruskäyttäjän tietoturva, jossa on käsitelty kotikäyttäjän suomenkielisiä tietoturvan tiedonlähteitä. Tarkoituksena on tarkastella nykypäivän tilannetta, eli millaista tietoa kotikäyttäjällä on ja millaista tietoa hänellä on saatavillaan verkkokaupan tietoturvasta. Työssä tarkastellaan ensin yleisesti, millaisia riskejä käyttäjä saattaa kohdata verkkokauppa-asioinnissaan, minkä jälkeen tarkastellaan, millaisilla toimilla ja tiedoilla käyttäjä saa turvallisen tunteen käyttämiensä palveluiden turvallisuudesta. Tämän jälkeen perehdytään joihinkin tunnettuihin verkkopalveluihin ja verrataan hieman tilannetta vuoden 2004 tilanteeseen, sekä lopuksi pohditaan mahdollisia kehittämismahdollisuuksia verkkopalveluiden tietoturvassa ja siitä tiedottamisessa.

2 Verkkokauppa-asioinnin riskit

Verkkokaupoissa asiointi ei ole riskitöntä, vaan siihen liittyy erilaisia tietoturvariskejä. Kapanen et al.:n (2007) tutkimuksen mukaan käyttäjät tiedostavat hyvin verkko-ostamisen sisältävän tiettyjä riskejä, sillä jopa 97 prosenttia kyselyyn vastanneista koki verkko-ostamiseen liittyvän kielteisiä piirteitä tai uhkatekijöitä. Merkittävimmiksi käyttäjien kokemiksi uhkatekijöiksi verkkokauppa-asioinnissa osoittautuivat tutkimuksessa tuotteen kokeilemisen tai sovittamisen mahdottomuus, vaikeus varmistaa tuotteiden tai palveluiden laatu, palveluntarjoajien tuntemattomuus, mahdollisuus henkilötietojen joutumisesta vääriin käsiin, maksamisen turvattomuus, ongelmien ratkaisemiseen avunsaannin vaikeus ja tilausten palauttamisen hankaluus. Erityisesti käyttäjän aiempi kokemus verkossa asioinnista vaikuttaa koettuun turvallisuuteen ja kokeneemmat käyttäjät mieltävät verkko-ostamisen turvallisemmaksi kuin uudet käyttäjät. Kapanen et al:n (2007) tutkimuksen mukaan myös koulutus, ikä ja yleinen riskeihin suhtautuminen vaikuttaa huolestumiseen ja jotain eroja turvallisuudentunteessa saattaa olla myös sukupuolten välillä. Tästä esimerkkinä enemmistö niistä, jotka eivät halua hoitaa arkaluontoisia asioita Internetissä, ei antaisi pankki- tai luottokorttitietojaan Internet-sivulla (Kytö 2007). Sähköiseen asiointiin liittyvissä tutkimuksissa on tullut esille, että kuluttujat pitävät verkko-ostamista riskialttiimpana kuin perinteistä kaupassa asiointia. Siksi verkko-ostamisessa ja maksamisessa ollaan yleisesti ottaen varovaisia. Käyttäjät eivät ole valmiita ostamaan tuotteita miltä tahansa sivustolta ja ostokset halutaan mieluiten maksaa jälkikäteen laskulla. (Kytö 2007.)

Verkkokaupan tietoturva saattaa olla riittämätön, käyttäjä saattaa toimia itse tietoturvansa vaarantaen, käyttäjä saattaa joutua huijauksen uhriksi tai hänen tietonsa saatetaan kaapata kesken verkkoasioinnin. Yksi kotikäyttäjän kohtaama riski on tietojen varastaminen. Tietoviikon (2008) haastatteleman Viestintäviraston tietoturvayksikön päällikkö Erkka Koivusen mukaan yli 460:ltä suomalaiselta on varastettu verkkoasioinnissa käytettyjä tietoja. Koivusen mukaan tietoja varastavat haittaohjelmat ovat verkkorikollisuuden uusin trendi. Toistaiseksi haittaohjelmien tekijät ovat tyytyneet yksittäisten tietojen, kuten pankkitunnusten keräämiseen, mutta todennäköisesti tulevaisuudessa verkkorikolliset ryhtyvät kaappaamaan kokonaisia verkkopankki-istuntoja. Cert.fi:n (katso Tietoviikko 2008) tietoon tulleista verkkovarkauksista noin 10% on koskenut pankkitunnuksia ja kaikkiaan noin puolet verkkokauppojen tunnuksia. Loput varkauksista ovat olleet muun muassa sähköpostiin ja keskustelufoorumeihin liittyviä.

Sophos uutisoi vuonna 2006, että eniten tunnusten kalastelua tapahtui PayPal?:n ja eBay:n käyttäjiä kohtaan. Kalastelusähköpostit saattoivat johtaa käyttäjän aidon näköisille verkkosivuille, joiden tarkoituksena oli vain ja ainoastaan saada selville käyttäjän käyttäjätunnus ja salasana. Seurauksena tällaisesta kalastelusta saattaa olla identiteettivarkaus, joka lopulta jättää alkuperäisen käyttäjän taloudelliseen ahdinkoon. (Sophos 2006.) Tietojenkalasteluyritykset ovat merkittävä riski, sillä muun muassa Aamulehti uutisoi vuonna 2013 että tietoturvayhtiö Kaperskyn mukaan tietojenkalasteluyritysten määrä internetissä oli kasvanut jopa 87 prosenttia edellisen vuoden aikana. Sähköpostihuijaukset olivat yhtiön arvion mukaan vaikuttaneet yli 37 miljoonan ihmisen netinkäyttöön maailmanlaajuisesti ja siitä oli tullut suosituin verkkorikollisten harjoittama huijaustapa. (Aamulehti 2013.)

Verkkokauppojen tietoturvaongelmat ja näistä uutisoiminen vähentävät käyttäjien luottamusta verkkokauppojen luotettavuuteen. Erityisesti luotto- ja henkilötietojen luovuttaminen arveluttaa käyttäjiä ja myös salasanojen väärinkäytökset aiheuttavat huolta. Nurmela et al.:n (2007) mukaan tietoturvaongelmat ovat jopa jarruttaneet sähköisten palveluiden kehitystä. Monet pelkäävät tietosuojan vaarantumista ja muita uhkatekijöitä, mikä vähentää halukkuutta käyttää näitä palveluita.

3 Turvallista kaupankäyntiä - mitä käyttäjän pitäisi tietää ja ymmärtää

Poliisin mukaan verkkokauppaan liittyvien huijausten määrä on huolestuttavassa kasvussa, ja useat ihmiset ovatkin liian hyväuskoisia asioidessaan verkossa ja tehdessään kauppoja (Nikulainen 2008). Esimerkiksi huutokauppasivuilla on helppo kaupata rikkinäisiä tai muuten sovitusta poikkeavia tai jopa olemattomia tuotteita, ja tällaiset huijaukset tai petosyritykset kattavat suurimman osan poliisille tehdyistä verkkohuijausyrityksistä. Poliisi myös varoittaa, että pankki- tai luottokorttitietojen luovuttamisessa pitää aina noudattaa erityistä varovaisuutta, ennakkomaksuja kannattaa yrittää välttää ja myyjältä kannattaa pyrkiä tarkistamaan yhteystietoja varmuuden vuoksi, jotta myyjä voidaan tarvittaessa tavoittaa jälkeenpäin. (Nikulainen 2008.) Todella tärkeää on siis tietää varmuudella kenen kanssa asioi ja ovatko esimerkiksi maksutapahtumat toteutettu salatusti (Tieke 2009).

Toisaalta Talvisalo (2008) kehottaa tarkistamaan verkkokauppaa käytettäessä, että kyseinen kauppa on luotettava. Yrityksen virallisen nimen avulla voi esimerkiksi tarkistaa YTJ:n sivuilta, että kyseinen yritys on ylipäänsä olemassa. Myös se, miten maksutapahtuma hoidetaan, kertoo hieman yrityksen luotettavuudesta. PayPal?-tilillä on Talvisalon mukaan helppo huijata verrattuna siihen, että yrityksellä on sopimukset pankkien kanssa, jolloin maksutapahtuma suoritetaan pankille ulkoistetulla palvelulla. Maksuvaihtoehtoja on hyvä olla useita. Vastaavasti Talvisalo kehoittaa varovaisuuteen, jos verkkokaupan sivut eivät vaikuta luotettavilta tai yritykselle ei esimerkiksi löydy kunnon osoitetta vaan pelkkä postilaatikko. (Talvisalo 2008.)

Jotta käyttäjä voisi luottaa käyttämiensä verkkopalveluiden turvallisuuteen, tarvitsee hän näistä palveluista erilaisia tietoja. Edellä mainittujen lisäksi käyttäjän on hyvä tietää, mitä hänen tietojaan verkkoasioinnin yhteydessä siirtyy palvelun tarjoajalle ja miksi näin tapahtuu. Tällaisia tietoja ovat yleisesti erilaiset henkilötiedot sekä sähköpostitunnukset. Lisäksi se, mihin palvelun tarjoaja käyttää näitä tietoja sekä mitä tietoja ja miten niitä säilytetään, pitäisi kiinnostaa asiakasta. Näihin asiakkaan pitäisi myös saada vastaus palvelun tarjoajan verkkosivuilta, jotta hänelle ei jää epäselväksi, mikä tietoturvan tilanne on esimerkiksi tilattaessa tuotteita Anttilasta.

Sen lisäksi, että verkkopalvelun tarjoajan sivuilta pitäisi löytyä tietoa tietoturvasta ja sivustolta saatetaan johtaa yleisiin tietoturvaoppaisiin, kotikäyttäjä saattaa saada turvallisuuden tunnetta erilaisista yleisistä tunnusmerkeistä. Esimerkiksi VR on ulkoistanut maksupalveluitaan pankeille, eli asiakas voi maksaa lippunsa suurimpien pankkien verkkopankkien kautta. Tällöin maksaminen on turvallista, turvallisuuden perustuessa asiakkaan ja pankin suhteeseen. Myös käyttäjän näytön reunaan ilmestyvä lukkosymboli kertoo suojatusta yhteydestä, jolloin asiakkaalle jää kuva tietoturvallisesta palvelusta. Palveluun tunnistautuminen onkin yksi tärkeä verkkokaupan tietoturvan ja käyttäjän turvallisuuden tunteen osa. Todennetusti käyttäjien luottamus on silloin suuri, kun palveluun kirjaudutaan verkkopankkitunnuksilla (Kytö 2007). Toisaalta vahva tunnistautuminen lisää monimutkaisuutta ja se saattaa kääntyä itseään vastaan, jos käyttäjä kokee sen liian hankalaksi. Siksi tunnistautuminen pitää suunnitella palvelun käyttötarkoitukseen sopivaksi. Heikko tunnistautuminen käyttäjätunnuksella ja salasanalla voi monissa palveluissa olla riittävä. Toisaalta ongelmana näissä on käyttäjän kannalta suuri erilaisten tunnusten ja salasanojen määrä. (Kytö 2007.) Tästä syystä salasanat voivat helposti unohtua, jolloin ne joudutaan esimerkiksi tilaamaan uudelleen sähköpostiin tai käyttäjät voivat käyttää samaa tai samankaltaista tunnusta ja salasanaa monessa paikassa. Nämä puolestaan huonontavat tietoturvaa.

Kaiken kaikkiaan terve maalaisjärki ja perustietämys merkittävimmistä tietoturvariskeistä riittää kotikäyttäjän turvalliseen kaupankäyntiin verkossa. Kotikäyttäjän tulisi hallita myös perustiedot turvallisista toimintatavoista sähköisessä kaupankäynnissä. Internetissä on saatavilla erilaisia oppaita verkkokauppaostamiseen, joista kuluttajat voivat oppia turvallisesta e-ostamisesta. Esimerkiksi TIEKE Tietoyhteiskunnan kehittämiskeskus ry on julkaissut Ostoksilla verkkokaupassa - Kansalaisen opas onnistuneisiin ostoksiin -oppaan jossa kerrotaan muun muassa yleisesti verkkokaupoista sekä tietoturvasta. Sen mukaan turvallisessa ostamisessa pitäisi kiinnittää huomiota ainakin seuraaviin asioihin:

  • Tieto ja varmuus siitä, kenen kanssa asioidaan. Ainakin yhteystiedot on hyvä olla tiedossa.
  • Onko maksutapahtumat oikein salattu ja käyttäjätiedot turvassa kolmansilta osapuolilta.
  • Kuinka verkkokaupasta poistutaan asianmukaisella tavalla.
  • Tieto hyvän salasanan ominaisuuksista ja sen oikeaoppisesta säilyttämisestä.
  • Tieto siitä, kehen ottaa yhteyttä ongelmatilanteissa.
  • Kaiken kauppaan liittyvän tiedon tallentaminen vahinkojen varalle. Käyttäjällä pitäisi olla siis tiedot tilauksesta itsellään esimerkiksi sähköisessä muodossa.
  • Käyttäjän tulisi tietää, onko tietokoneella toimivaa ja ajantasaista virustentorjuntaohjelmistoa.
  • Verkkokaupan tietoturvaohjeistukset. Niitä on myös ymmärrettävä noudattaa esimerkiksi päivittämällä käyttöjärjestelmä tai selain vaaditulla tavalla. (Tieke 2009.)

Nämä käytännön ohjeistukset riittävät varmasti monelle tavalliselle käyttäjälle. Jos haluaa varmistua turvallisuudesta kuitenkin vielä paremmin, Kapersky tarjoaa hyviä vinkkejä turvallisuuden parantamiseen. Sen mukaan kannattaa ensinnäkin kiinnittää huomiota hakukoneiden käyttöön. Rikolliset saattavat käyttää hakukoneoptimointia houkutellakseen käyttäjiä huijausverkkokauppoihin. Toiseksi, yhtiö kehottaa kirjoittamaan suoraan verkkokaupan URL:n osoite selaimen osoitekenttään sen sijaan, että seuraisi kauppaan vievää linkkiä. Myös väliaikaisen luottokortin hankkiminen voi olla harkitsemisen arvoista kertaostoksissa. Kaperskyn yksi vinkki on omistaa verkko-ostamiselle ja pankkiasioinnille oma tietokone, jota ei käytetä muuhun netissä surffailuun. Näin voidaan varmistaa paremmin, että kone on puhdas viruksista. Verkko-ostamiseen kannattaa myös varata erillinen sähköpostiosoite. Salasanojen ja käyttötunnusten hallintaan on myös olemassa hallintaohjelmia, joihin salasanoja voi tallentaa kryptatussa muodossa. Julkisessa verkossa ostosten tekeminen on erityisen riskialtista ja Kaperskyn mielestä turvallisempaa on luottaa omaan mobiiliverkkoon. Myös päätelaite vaikuttaa ostosturvallisuuteen. Jos omistaa Linux-käyttöjärjestelmällä toimivan tabletin tai iPadin, Kapersky mukaan kannattaa harkita sen käyttämistä verkko-ostamiseen. (Kapersky.)

4 Verkkokauppojen tietoturva ja siitä tiedottaminen

Verkkokauppoja koskevat erilaiset lait ja säädökset siinä missä niin sanottua perinteistäkin kaupankäyntiä. Osittain lainsäädäntö on sama, mutta verkkokauppaa koskevat myös omat säädöksensä, kuten se, että kauppiaan velvollisuus on lähettää vahvistusviesti tilauksesta sähköpostilla (Kiviniemi, katso Talvisalo 2008). Sitä, miten verkkokaupan pitää tiedottaa asiakastaan tietoturvastaan, ei ole säädelty. Verkkokaupat kertovatkin tietoturvastaan, laitteistovaatimuksista ja muista kotikäyttäjää koskettavista tietoturva-asioista hyvin eri tavoin.

4.1 VR:n verkkokauppa ja tietoturvasta tiedottaminen

Erilaisten matkojen varaaminen internetin kautta on yleistynyt viime vuosina merkittävästi, ja myös VR:ltä on mahdollista ostaa matkalippuja VR:n verkkokaupasta. Verkkokauppa vaikuttaa melko selkeältä, ja tiedot verkkokaupan tietoturvasta löytyvät suhteellisen nopeasti seurattaessa verkkokauppaan johtavia linkkejä. Ensin asiakkaalle selvitetään lipun ostamiseen liittyvät käytännön asiat ja opastetaan verkkokaupan käyttöön. Asiakkaalle kerrotaan selvästi miten lipun voi maksaa, sekä mistä lipun voi lunastaa. Tämän jälkeen asiakkaalle kerrotaan selkokielisesti tietosuojaan ja -turvallisuuteen liittyvistä seikoista. Lopuksi asiakkaalle kerrotaan vielä verkkokaupassa asioinnin teknisiä vaatimuksia selainversioiden osalta. (VR 2008.)

VR:n verkkokaupan tiedonsiirrossa ja maksuohjelmissa on käytössä SSL-salaus, jonka selvitetään estävän tiedon joutuminen vääriin käsiin. Junalipun osto ei vaadi rekisteröitymistä, ja asiakkaalle kerrotaan selvästi, mihin häneltä kerättäviä henkilötietoja käytetään. VR:n verkkokaupassa voi maksaa suurimpien pankkien verkkopankkien kautta tai yleisemmillä luottokorteilla. Sivustolla kerrotaankin VR:n olevan mukana Verified by Visa palvelussa, jonka logo tulee näkyviin siirryttäessä maksamaan lippuja verkkopankissa. Sivustolla kerrotaan myös, että verkkopankin palveluavaimien tiedot eivät välity VR:lle. (VR 2008.)

Vuonna 2014 VR 2008-linkki ei enää toiminut. VR:n tietosuojaosiosta (VR 2014a) ei löydy tietoturvallisuustietoa vaan vain VR:n tietosuojaseloste, verkkopalvelun yleiset tekniset tiedot ilman teknisiä turvallisuustietoja sekä lipputietoja ja kauppa- ja kuljetusehdot. Verrattuna vuoteen 2008, tuntui, että tietoja tietoturvasta oli vaikeampi löytää. Ne löydettiin vasta, kun sivuston hakukenttään kirjoitettiin "turvallisuus". Tämä johti Lipun ostaminen-sivulle, jossa oli osio Tietosuoja ja tietoturvallisuus, jossa oli kerrottu samat asiat kuin vuoden 2008 lähteessä (VR 2014b). Itse turvallisuusmekanismit eivät siis ole muuttuneet. Myös usein kysyttyä-osiosta löytyi kysymys siitä, onko verkkokaupasta ostaminen turvallista, mihin VR on vastannut, seuraavasti: "Käytämme tiedon siirrossa ja maksuohjelmissa aina suojattua yhteyttä (SSL), joka estää tiedon joutumisen vääriin käsiin. Tämä takaa ostamisen turvallisuuden." (VR 2014c.) Kuten voi huomata, VR:n argumentit turvallisuudesta perustuvat yksinomaan salatun yhteyden käyttämiseen. Kun otetaan huomioon VR:n valta-asema Suomen junaliikennöinnissä, olisi toivottavaa, että tämänkaltaisen yhtiön verkkokaupan hyvä tietoturva perusteltaisiin kattavammin. Voidaan sanoa, että näiden muutamien vuosien aikana tiedottaminen tietoturvasta ei ole VR:llä mennyt ainakaan parempaan suuntaan. Päinvastoin, vaikuttaisi siltä, että tietoa tietoturvasta on jopa vaikeampi löytää.

4.2 Verkkokauppa.com - onko tiedottaminen tietoturvasta lisääntynyt neljässä vuodessa?

Verkkokauppa.com on tunnettu sähköinen atk-alan kauppa, jonka tuotevalikoimaan kuuluvat erilaiset elektroniikkatuotteet. Verkkokaupassa voi asioida rekisteröitymättä, jolloin tilauksen yhteydessä asiakkaalta tiedustellaan perustietoja, kuten nimeä, osoitetta, puhelinnumeroa ja sähköpostiosoitetta. Vaihtoehtoisesti asiakas voi rekisteröityä verkkokaupan asiakkaaksi, jolloin hänen ei tarvitse jokaisella tilauskerralla antaa tietojaan uudelleen, sillä rekisteröitynyt asiakas kirjautuu palveluun sähköpostiosoitteella ja salasanalla. Asiakkaan tehtyä tilauksensa, verkkokauppa lähettää tilausvahvistuksen sähköpostiin ja gsm-numeroon. Maksutapoja verkkokaupassa on useita, aina postiennakosta luottokortilla maksamiseen. Verkkokaupassa voi maksaa myös suurimpien pankkien verkkopankkipalvelulla. Jotta asiakkaalla olisi kaikki maksuvaihtoehdot käytettävissään, tulee hänen rekisteröityä palveluun, sillä esimerkiksi verkkomaksuvaihtoehto tarjotaan vain rekisteröityneille asiakkaille. (Verkkokauppa.com 2008a.)

Verkkokauppa.com:ssa asiointi kuulostaa turvalliselta, sillä se on tunnettu yritys alallaan. Varsinaista tietoa Verkkokauppa.com:n tietoturvasta käyttäjä saa kuitenkin etsiä turhaan. Kunnari (2004) on seminaariraportissaan tutkinut Verkkokauppa.com:n tietoturvaa ja siitä tiedottamista, eikä hänen tekemiensä havaintojen jälkeen ole nähdäkseni tapahtunut merkittäviä muutoksia tietoturvasta tiedottamisessa. Kuten Kunnarikin on havainnut, verkkosivuilla tarjotaan muutamassa vaiheessa linkkiä "Lisätietoa tietoturvapolitiikastamme". Kyseistä linkkiä saa tosin hieman etsiä. Linkin takaa ei avaudu suurta tietomäärää, vaan ainoastaan kerrotaan, että tilaus- ja tilinhallinta on toteutettu 128-bittisellä SSL-suojauksella . Lisäksi Verkkokauppa.com vakuuttaa, että kaikki asiakkaan tiedot siirtyvät salattuina, ja että asiakasrekisteri on luottamuksellinen (Verkkokauppa.com 2008b).

Vuoteen 2014 mennessä tiedottamisessa ei ollut tapahtununut myönteistä kehitystä. Tällöin ei pitkän etsinnän jälkeen edes löydetty linkkiä yrityksen tietoturvapolitiikkaan, joten voidaankin katsoa että tilanne on mennyt jopa huonompaan suuntaan. Toisaalta koska jo aikaisempina vuosina linkkiä on joutunut jonkin verran etsimään, voi olla, että se nytkin oli jossain olemassa mutta sitä ei vain onnistuttu löytämään.

4.3 NetAnttila? - muutosta tietoturvatiedottamisessa neljässä vuodessa?

Myös NetAnttilan? verkkosivuilta löytyy kohtuullisen vaivattomasti tietoa verkkokaupan tietoturvasta. Vuonna 2008 tekniset ohjeet löytyivät etusivulta "Info"-linkin kautta (NetAnttila? 2008a). Vuoteen 2014 mennessä puolestaan linkki oli muuttunnut Ohjeet-nimiseksi, jonka takaa löytyy Käyttäjäehdot ja rekisteriseloste-osio ja tämän takaa tekniset ohjeet (NetAnttila? 2014a). Ensimmäiseksi asiakkaalle kerrotaan asiointiin tarvittavista yhteyksistä ja selaimista, sekä tarjotaan muutama linkki, joista asiakas voi päivittää yleisimpien selainten versioita. Tämän jälkeen asiakkaalle selvitetään, mihin verkkokauppa käyttää evästeitä, ja millaista tietoa niillä kerätään. Evästeet kieltämällä verkkosivut eivät välttämättä toimi. (NetAnttila? 2008a.)

Lopuksi asiakkaalle vielä kerrotaan NetAnttilassa? asioinnin turvallisuudesta. Asioinnin vakuutetaan olevan turvallista suojatun yhteyden yli, mutta sitä miten yhteys on suojattu, ei asiakkaalle kerrota. Asiakasta lähinnä muistutetaan asioista, joita hän voi itse tehdä parantaakseen turvallisuuttaan, eli tyhjentämällä välimuistin, kirjautumalla palvelusta ulos ja sulkemalla selaimen. Asiakasta myös muistutetaan, ettei tämä tallenna tunnustaan ja salasanaansa selaimen muistiin. (NetAnttila? 2008a.) Vuoteen 2014 mennessä teknisten ohjeiden rakenne ei ollut muuttunut ja niissä tarjottiin edelleen myös samat tietoturvaohjeet (NetAnttila? 2014a). Info/Ohjeet-linkin takaa avautuu myös "Usein kysyttyä"-osio, josta asiakas saa nopeasti tietoa muutamiin itseään askarruttaviin kysymyksiin, kuten "Entä jos asiakastietojani käytetään väärin?" (NetAnttila? 2008b). Kysymyksistä yksi liittyy verkkokaupan turvallisuuteen ja NetAnttila? on perustellut hyvän turvallisuuden toteamalla, että tilausten siirroissa ja maksuohjelmissa käytetään aina SSL-suojattua yhteyttä ja käyttäjä voi itse valita haluamansa maksutavan, joista kaikki ovat suojattuja ja turvallisia käyttää (NetAnttila? 2014b).

NetAnttilan? sivuilta löytyi vuonna 2008 myös pienellä selauksella tiedot erilaisista maksutavoista, joita oli kaikkiaan seitsemän vaihtoehtoa aina perinteisestä postiennakosta verkkopankkiin (NetAnttila? 2008c). Sivustolta löytyi myös hieman tietoa siitä, mitä tietoja asiakkaalta tarvitaan palvelun käyttämiseen, sekä mihin ne tallennetaan ja miten niitä hyödynnetään (NetAnttila? 2008d, 2008e). Näitä tietoja tosin löytyi useasta paikasta, jolloin käyttäjä joutuu tutkimaan sivustoja runsaasti, eikä tieto siis ollut helposti saatavilla. Vuoteen 2014 mennessä tässä suhteessa tiedottamisessa oli kenties tapahtunut kehitystä, sillä tiedot eri maksutavoista löytyivät helposti, sillä niihin on linkki jo etusivun alalaidassa. Myös pakollisista asiakastiedoista ja tietojen käyttämisestä löytyi tiedot suhteellisen helposti Ohjeet-osion käyttäjäsopimus (NetAnttila? 2014c)- ja rekisteröityminen ja verkkotunnusten luominen (NetAnttila? 2014d)-kohdista.

Kunnari (2004) totesi NetAnttilan? ohittavan tietoturvallisuuden hyvin kevyesti, eikä tilanne ollut juurikaan muuttunut vuoteen 2008 mennessä. Kunnari (2004) ei tosin mainitse, että NetAnttila? yrittää kevyesti opastaa asiakasta kohti turvallisempaa verkon käyttöä, muistuttelemalla välimuistin tyhjentämisestä ja uloskirjautumisesta (NetAnttila? 2008a). Nämä ovat pieniä asioita, joilla kotikäyttäjä voi pyrkiä parantamaan tietoturvaansa. Tässä oli siis tapahtunut pientä parannusta NetAnttilan? osalta neljän vuoden aikana. Seuraavan kuuden vuoden aikana tiedottaminen oli myös mennyt parempaan suuntaan ja tuntui siltä, että tiedot olivat selkeämpiä, kattavampia ja helpommin löydettävissä verrattuna edelliseen katsantokertaan. Tiedot olivat myös selkeästi ryhmitelty, mikä helpottaa halutun ja tarvitun tiedon löytämistä.

5 Yhteenveto - verkkokauppapalveluiden kehittäminen tietoturvan kannalta

Kun verrataan Kunnarin (2004) havaintoja NetAnttilan? ja Verkkokappa.com:n tarjoamasta tietoturvallisuustiedotuksesta kyseisten verkkokauppojen vuosien 2008 ja 2014 tilanteisiin, voidaan huomata, että muutosta ei koko seuranta-aikana juurikaan ole tapahtunut. Vaikka erilaiset tietomurrot ja tunnusten kalastelut ovatkin olleet lehtien otsikoissa, verkkopalveluiden tarjoajia ne eivät ole juurikaan herättäneet ainakaan parantamaan tiedottamistaan oman verkkopalvelunsa turvallisuudesta. Mitä todennäköisemmin ilmitulleet tietoturvariskit on taustalla otettu huomioon ja korjattu ja tietoturvaa on näiden vuosien aikana kehitetty, mutta tästä ei vain ole asiakkaille tiedotettu, mikä on harmillista. Verkkokaupat eivät luonnollisestikaan halua itse tuoda ilmi puutteitaan tietoturvan saralla maineen menetyksen pelossa, mikä voi olla yksi syy siihen, että tietoturvan kehittämisestäkään ei kerrota. Tämähän tarkottaisi sitä, että ennen kehitystä tietoturva on ollut huonompi, mikä saattaisi heidän näkökulmastaan pelästyttää osan asiakkaista.

Tutkituista verkkokaupoista VR tarjosi vuonna 2008 kattavinta tietoa tietoturvastaan. Kuitenkin hieman huolestuttavaa oli se, että samoja tietoja ei löytynyt ruotsiksi. Kaksikielisessä maassa tietoturvallisuuteen liittyvistä asioista olisi hyvä tiedottaa molemmilla kielillä, jotta kaikilla olisi tasapuolinen mahdollisuus tutustua palvelun tarjoajan tietoturvaan, etenkin kun kyseessä on valtion tarjoama palvelu. Kaksikielisyys voisi parantaa myös muiden verkkokauppojen asiakaspalvelua. VR:llä ei kuitenkaan vuoteen 2014 mennessä ollut tapahtunut mitään kehitystä tietoturvatiedottamisessa, minkä vuoksi NetAnttila? oli seuraavassa katsannassa mennyt jopa VR:n ohi tässä suhteessa. Tällöin katsottiin, että NetAnttilassa? tietoa tietoturvasta oli helpoiten löydettävissä.

Verkkokaupat eivät juurikaan vaivaudu kertomaan, miksi he kysyvät asiakkailtaan runsaasti erilaisia henkilötietoja tai mihin näitä kysyttyjä tietoja käytetään. Olisikin tärkeää, että asiakas halutessaan saisi välittömästi ja helposti tietoa siitä, miksi häneltä kysytään esimerkiksi henkilötunnusta. Nähdäkseni se, että näistä asioista saatetaan kertoa yleisissä sopimusehdoissa ei ole riittävää, sillä kokemukseni mukaan vain harvat vaivautuvat sopimusehtoihin perehtymään niiden pitkällisten ja epäselkeiden sanakäänteiden vuoksi. Esimerkiksi Verkkokauppa.com:n sopimusehdoista löytyy tarpeeksi pitkälle lukemalla tieto siitä, että liittymätuotteiden tilaajilta kysytään henkilötunnus tilauksen yhteydessä ja se toimitetaan tilaustietojen ohessa liittymätuotteen tarjoajalle (Verkkokauppa.com 2008a). Mielestäni verkkopalveluiden tuottajat voisivatkin antaa henkilötietojen tiedustelun välittömässä läheisyydessä tiedon siitä, miksi mitäkin tietoa kysytään, miten sitä käytetään ja kuinka sitä säilytetään. Kun tällaiset tiedot on selkeästi kerrottu, käyttäjälle muodostuu parempi käsitys turvallisuudesta ja hän voi itse näiden tietojen nojalla päättää, mitä tietoja hän haluaa luovuttaa palveluntarjoajalle.

Palvellakseen paremmin asiakkaitaan ja erityisesti kotikäyttäjiä, verkkokauppojen olisi hyvä lisätä tiedottamistaan tietoturvasta, mielellään kansanomaisella ja selvällä kielellä, koska tietoteknisten termien ei voida olettaa olevan tuttuja kaikille. Hyvä tiedottaminen on tärkeää, jotta käyttäjä voi arvioida, onko kyseinen verkkokauppa luotettava. Ehdoton edellytys verkkokaupan kehittämiselle turvallisuusnäkökulmasta on käyttäjien tarpeiden ja näkemysten huomioon ottaminen. (Kytö 2007.) Tulevaisuudessa verkossa tehtävä kaupankäynti tulee todennäköisesti vain kasvamaan, arvion mukaan tuplaantumaan vuoteen 2012 mennessä (Talvisalo 2008). Internet on vuosi vuodelta yhä useampien ulottuvilla ja vaikka tietoturvatietoisuus kotikäyttäjienkin keskuudessa kasvaa, joukossa on myös paljon kokemattomia käyttäjiä, jotka kaipaisivat selkokielistä opastusta uskaltaakseen asioida verkossa. Nämä käyttäjät ovat kuitenkin verkkokaupan näkökulmasta katsoen potentiaalisia asiakkaita, joten myös liiketoimintamielessä tietoturvaan ja siitä tiedottamiseen kannattaa panostaa.

6 Lähteet

Aamulehti. 2013. Tietoturvayhtiö: Verkkohuijausten määrä räjähtänyt maailmalla. Luettu 26.2.2014.

Kapersky. Safer Online Shopping. Luettu 26.2.2014.

Kiviniemi, P. Verkkokaupan riskien hallinta. KL 18.8.2008.

Kunnari, A. 2004. Tampereen Yliopisto. Tietojenkäsittelytieteiden laitos. Tietoturvallisuuden erityiskysymyksiä 2004. Peruskäyttäjän tietoturva. Luettu 28.9.

Kytö, H. 2007. Verkkopalvelujen turvallisuus kuluttajan näkökulmasta. Teoksessa: Kuluttajat kehittäjinä. Miten asiakkaat vaikuttavat palvelumarkkinoilla? Kuluttajatutkimuskeskuksen vuosikirja 2007. Toim. Lammi, M., Järvinen, R. & Leskinen, J. Kuluttajatutkimuskeskus. Helsinki. Luettu 26.2.2014

NetAnttila?. 2008a. NetAnttila. Luettu 28.9.2008.

NetAnttila?. 2008b. Info. Usein kysyttyä. Luettu 28.9.2008.

NetAnttila?. 2008c. Maksutavat. Luettu 28.9.2008.

NetAnttila?. 2008d. Käyttäjäsopimus. Luettu 28.9.2008.

NetAnttila?. 2008e. Rekisteriseloste. Luettu 28.9.2008.

NetAnttila?. 2014a. Tekniset ohjeet. Luettu 10.3.2014.

NetAnttila?. 2014b. Usein kysyttyä. Luettu 10.3.2014.

NetAnttila?. 2014c. Käyttäjäsopimus. Luettu 10.3.2014.

NetAnttila?. 2014d. Rekisteröityminen ja verkkotunnusten luominen. Luettu 10.3.2014.

Nikulainen, K. 2008. Digitoday. Poliisi: Suomalaiset liian hyväuskoisia nettikaupoissa.. Luettu 29.9.2008.

Nurmela, J., Sirkiä, T. & Muttilainen, V. 2007. Suomalaiset tietoyhteiskunnassa 2006. Katsauksia 2007/1. Tilastokeskus.

Peura-Kapanen, L., Nenonen, S., Järvinen, R. & Kivistö-Rahnasto, J. 2007. Kuluttajien arkipäivän riskit ja turvallisuus. Riskeihin liittyvät käsitykset, turvallisuuden edistäminen ja suhtautuminen sähköiseen asiointiin turvallisuuskontekstissa. Kuluttajatutkimuskeskus. Luettu 25.2.2014

Sophos. 2006. Over 75% of all phishing emails target PayPal? and eBay users.. Luettu 30.9.2008.

Talvisalo, T. 2008. Verkkokauppablogi. Asiaa sähköisestä kaupankäynnistä.. Luettu 29.9.2008.

Tieke. Tietoyhteiskunnan kehittämiskeskus ry. Tietoturva Luettu 15.11.2009

Tietoviikko. 3.9.2008. Yli 460 suomalaisen tiedot varastettu. Luettu 29.9. 2008.

VR:n verkkokauppa. 2008. Tietosuoja ja turvallisuus. Luettu 28.9.2008.

VR:n verkkokauppa. 2014a. Tietosuoja. Luettu 10.3.2014.

VR:n verkkokauppa 2014b. Lipun ostaminen. Luettu 10.3.2014.

VR:n verkkokauppa 2014c. Usein kysyttyä. Luettu 10.3.2014.

Verkkokauppa.com. 2008a. Sopimusehdot. Luettu 28.9.2008.

Verkkokauppa.com. 2008b. Verkkokauppa.com tietoturvapolitiikka. Luettu 28.9.2008.
Print version |  PDF  | History: r9 < r8 < r7 < r6 | 
Topic revision: r9 - 10 Mar 2014 - 16:05:06 - JennaLehtimaki?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback