Turvallinen ohjelmisto

Turvallisuusilmapiirin kiristyminen maailmalla on vaikuttanut ohjelmiston turvallisuuteen positiivisella tavalla. Ohjelmistoon toteutetut turvallisuusratkaisut ylittävät reippaasti perustason.

Muun muassa Deutsche Telekom näyttää kyberhyökkäykset kartalla.

Turvallisuusriskit ohjelmiston ulkopuolella

Käyttäjät ovat minkä tahansa tietojärjestelmän suurimpia riskejä. Verkkokauppiaat saattavat esimerkiksi säilyttää salasanaa näytön vierellä tai tallentaa sähköpostiviestejä yhdysvaltalaiselle pilvipalvelimelle... salasanan ollessa yrityksen katuosoitteen muunnelma tyyliin M@nnerheImitie. Verkkokaupan asiakkaat saattavat esimerkiksi käyttää samaa salasanaa kymmenissä verkkopalveluissa tai ilmoittaa tilauslomakkeella henkilötunnuksensa, vaikka sitä ei kysytä. Huolimattomuus, osaamattomuus, välinpitämättömyys ja kiire ovat kaikkialla läsnä.

Turvallisuusriskin toteutuminen edellyttää yleensä, että jokin kolmas toimija rikkoo lakia. Näitä henkilöitä kutsutaan krakkereiksi. Krakkerit joko murtautuvat suoraan verkkopalvelimelle, tietokantaan tai käyttäjän tietokonelle, eli itse asiassa ohjelmiston ulkopuolelle. Pienemmässä mittakaavassa verkkokauppiaan muistitikku varastetaan.

Toimi seuraavasti

• Älä kerro esimerkiksi kyselytutkimuksissa tietoja käyttämistäsi ohjelmistoista.
• Älä kerro esimerkiksi puhelimessa käyttäjätunnuksia ja salasanoja.
• Älä kerro esimerkiksi puhelimessa työkaverisi asuinpaikkaa, ikää, loma-aikaa tai parisuhdetta.
• Käytä eri verkkopalveluissa vaikeasti arvattavia salasanoja, kuten esimerkiksi Fn34V###Xi7D tai oonamenihyllylleistumaanjaSOI3omenaa.
• Käytä eri verkkopalveluissa eri salasanoja.
• Vaihda salasanasi edes kerran vuodessa.
• Vältä salasanan tallentamista minkään ohjelman muistiin.
• Aseta tietokoneesi käyttöjärjestelmä (esim. Windows) päivittymään automaattisesti.
• Aseta tietokoneellasi olevat ohjelmistot päivittymään automaattisesti.
• Aseta tietokoneesi tietosuoja-asetukset "tiukaksi ja niukaksi".
• Asenna tietokoneellesi tietoturvaohjelmisto (Bitdefender, F-Secure tms.).
• Asenna puhelimeesi tietoturvaohjelmisto (Bitdefender, F-Secure tms.).
• Poista puhelimestasi sovellukset ja tilit, joita et käytä usein.
• Älä avaa sähköpostin liitetiedostoja, vaikka lähettäjänä olisi tuttu henkilö, ellet odota kyseistä liitettä.

Ohjelmiston turvallisuus

Olemme suunnitelleet verkkokauppaohjelmistoja yli 20 vuoden ajan. Neljännen ohjelmistosukupolven Clover Shopin turvallisuus perustuu muun muassa asennusten hajauttamiseen, turvallisuuskerroksiin, salattuun lähdekoodiin, salausalgoritmien hajontaan, ennalta-arvaamattomuuteen, harhaanjohtavuuteen ja käyttäytymismallien tuntemukseen.

Tässä ohjelmistomme turvallisuudesta yleisesti tiedossa olevia seikkoja:

• Emme tarjoa verkkokauppapalvelua. Meillä ei ole palvelimia ja tietokantoja, jotka voisivat kiinnostaa hyökkääjiä.
• Ohjelmisto ei ole koskaan päällä. Siksi hyökkääjä ei voi kytkeä sitä myöskään pois päältä.
• Ohjelmisto koostuu salatuista ohjelmatiedostoista. Tiedoston pienikin muokkaus rikkoo salauksen. Siksi ohjelmiston lähdekoodia ei voi injektoida vaan hyökkääjän on sijoitettava haittakoodi ohjelmiston lähdekoodin ulkopuolelle.
• Ohjelmisto tallentaa salasanoista ainoastaan niiden tiivisteet, joita ei ole laskettu koulukirjaesimerkeillä.
• Ohjelmisto ei käsittele henkilötunnuksia, korttitietoja, pankkitunnuksia tai maksuja.
• Ohjelmisto voidaan asentaa salattuun (https://) yhteyteen.
• Sähköpostiviestit voidaan lähettää omilla SMTP-tunnuksilla autentikoidusti ja salatusti.
• Lomakkeissa on sekä esitarkistus (pattern) että vastaanottotarkistus (POST).
• Sähköpostiosoitetta ei hyväksytä käyttäjätunnuksena.
• Usean tekijän todentaminen (MFA) hallintaliittymään kirjauduttaessa.
• Hallintaliittymän käyttäjillä on rajoitetut toimialueet.

Toimi seuraavasti

• Asenna ohjelmisto salattuun yhteyteen (https://)
• Päivitä ohjelmisto säännöllisesti tai tilaa maksuton päivitystyö.