Kryptert overføring av fortrolig data som innloggingsinformasjon, fødselsnummer, samt informasjon om betalingskort og banktransaksjoner, blir stadig viktigere i dagens digitale verden.
Yngve N. Pettersen testet ifjor 243 norske nettbutikkers bruk av kryptert forbindelse (HTTPS). Han har jobbet med sikkerhet og sikkerhetsprotokoller i nettlesere siden 1997, og regnes som en ekspert på området.
Han har nå kommet med en oppdatert versjon av de 205 nettbutikkene som fortsatt eksisterer av de opprinnelige 243 nettbutikkene han undersøkte i fjor.
LES OGSÅ: Nordmenn nettsvindlet for 75 millioner kroner i løpet av få måneder
Her er hans nyeste funn:
- 33 prosent av de testede nettbutikkene er nå helt krypterte
- Nettbutikker som ber om fødselsnummer i et skjema som sendes ukryptert har økt fra 26 til 28 prosent siden begynnelsen av 2015
- 45 prosent av nettbutikkene har kryptert kasse. I begynnelsen av 2015 var andelen på 30 prosent, mens den hadde vokst til 37 prosent i juli
Den store, stygge ulven
Netthandel.no har vært i dialog med Pettersen per e-post.
På spørsmål om hva som peker seg ut som den store, stygge, ulven blant norske nettbutikker per dags dato, svarer han følgende:
- Hovedutfordringen ser fremdeles ut til å være i det segmentet som består av små butikker. Disse vil nok sjelden ha web-ekspertise in-house, men vil i stedet kjøpe en løsning fra en nettbutikkleverandør. Det virker imidlertid som om disse leverandørene altfor sjelden lager fullt krypterte løsninger. Selv om kortbetaling nok er kryptert gjennom ulike betalingsløsninger, og noen tilbyr en kryptert kasse, er det fremdeles for mange som ikke passer på kryptering av kassesteget. Så jeg tror at mye kan oppnås hvis man får butikkleverandørene til å prioritere kryptering, skriver Pettersen, før han påpeker at det kun er full kryptering som er godt nok.
- Jeg vet ikke om det er en ren forglemmelse, eller om det er den gamle, dårlige unnskyldningen «men vi sender jo kortdetaljene kryptert, så da er alt sikkert», uten å tenke på at hvis startpunktet er ukryptert, har man ingen kontroll på hvor brukerens data, inkludert kortdetaljene, havner. Man vet ikke en gang om kunden blir sendt til den riktige krypterte betalingsleverandøren, fordi en angriper kan endre det til hva som helst.
Google-grep fra neste år
Google vil fra neste år sette hardt mot hardt og gjøre livet surere for de som ikke prioriterer kundenes sikkerhet.
De vil prioritere nettsider som benytter HTTPS - ganske enkelt fordi de ønsker seriøse og trygge sider for sine brukere. For nettsidene som bruker dette betyr det høyere SEO-score, noe som vil være helt essensielt med tanke på at veldig mange kjøp starter på nett.
I tillegg vil brukerne av Google Chrome få opp en melding dersom de befinner seg på usikker nettgrunn av typen: «Du er nå på et usikkert nettsted. Er du sikker på at du vil fortsette?»
Bare denne advarselen alene vil trolig skremme mange potensielle kunder vekk fra enkelte nettsteder som tar for lett på sikkerheten.
Pettersen sier til Netthandel.no at dersom man vil være med på Google-toget, så nytter det ikke kun med kryptert kasse.
- Man må kryptere hele butikken. Tross alt, det er varene som skal trekke inn kundene - ikke kassen. Men en god kasse er nødvendig for å få kundene til å betale, skriver Pettersen.