Kuidas vältida e-poes andmeleket?

Hiljuti leidis aset ulatuslik e-poe andmeleke, kui avalikult olid kättesaadavad ca 14 000 e-poe kasutaja andmed. Lekke käigus võis veebist leida hulganisti kasutajate isiklikke andmeid (nt nimi, isikukood, meiliaadress, e-poe konto parool jne).

Tegemist oli tõenäoliselt inimlikust veast tingitud lekkega, mis on praeguseks kõrvaldatud. Siinkohal kutsume e-poe omanikke üles antud teemaga tõsisemalt tegelema.

‍Siin on RIA soovitused, kuidas hoida oma e-pood turvalisena:

• Testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi;
• Kasutage usaldusväärset e-poe platvormi, kus on tagatud regulaarne tarkvara uuendamine;
• Veenduge, et e-pood ja selle alamlehed kasutavad üksnes HTTPS ja HSTS protokolle. Kontrollige üle, et lehtedel ei oleks komponente, mis on ligipääsetavad HTTP protokolliga;
• Veenduge, et paroole ei salvestataks kunagi ning paroolid oleks räsitud (parooli on võimalik kontrollida, aga mitte välja lugeda). Teised tundlikud andmed peaksid olema e-poe süsteemis krüpteeritud. Kui klient on oma parooli unustanud ei tohi e-poe tarkvara talle saata parooli lahtise tekstina e-kirjas;
• Veenduge, et krüpteerimisel kasutatavad sertifikaadid on piisavalt tugeva võtmega ja kasutusel on turvalised algoritmid (TLSv1.2 või TLSv1.2/TLSv1.3);
• Veenduge, et e-poe lahenduses kasutatavate küpsiste turvalisus on piisavalt tagatud;Veenduge, et e-poe e-kirja süsteem on usaldusväärne ning e-poe nimel saabunud e-kiri on saadetud ka e-poe poolt (rakendage SPF/DKIM/DMARC standardid);
• Eelistatud on sertifikaadid, mis võimaldavad e-poe autentsust täiendavalt kontrollida (Extended Validation sertifikaadid);
• Järgige e-poe turvalisuse parandamiseks OWASP (Open Web Application Security Project) soovitusi;
• Varundage andmeid regulaarselt ja testige andmete taastamist varukoopiast;
• Teatage lekkest Andmekaitse Inspektsiooni ja Riigi Infosüsteemi Ametit (cert@cert.ee) ja usaldusvääruse hoidmiseks ka enda kliente;
• Veebilehe turvalisuse ülevaateks soovitame kasutada ka avalikke tööriistu, seal hulgas Hardenize’i: https://www.hardenize.com. See tööriist näitab ja kirjeldab kõige elementaarsemaid asju ehk millised sammud on veebilehe turvalisuse jaoks astutud, millised mitte.