E-mærket giver ingen sikkerhed

E-handelsfondens kvalitets- og tryghedsstempel, e-mærket, kan ikke tilbyde handlende den garanti for sikkerhed, som mærkets paragraffer foreskriver. 30 procent af de tilmeldte virksomheder har usikre databaser.

? Det elektroniske mærke skal fremme, at erhvervsdrivende udviser god skik og anvender sikre, tekniske løsninger ved handel og markedsføring på internettet.

Sådan lyder første punkt i E-handelsfondens formålsparagraf for det elektroniske kvalitetstempel e-mærket. Men på fondens konference ?Forbrugersikkerhed og Internethandel? i onsdags kom det frem, at e-mærket ikke kan garantere de handlende, at de sider, der er tilmeldt ordningen, også er teknisk sikre.

Adgang til kundeinformation
Det nystartede konsulenthus Evikali har undersøgt de tilmeldte virksomheders websteder og kunne fortælle konferencens deltagere, at 30 procent af virksomhederne ikke sikrer webstedets databaser. Man kan blandt andet finde oplysninger om kunder.

Adgang til online-butikkernes databaser kan betyde, at man som uvedkommende kan opsnappe, manipulere eller slette informationer som kundelisten, passwords, kontonumre og forbrugsmønstre. Den manglende sikkerhed udgør derfor en reel trussel mod kunden og virksomhedens forretningsgrundlag og omdømme.

? Intentionerne er reelle, og initiativet til e-mærket er godt. Men som forbruger minder det lidt om kejserens nye klæder. Der bliver talt om tryghed for forbrugeren, men det er en meget niveaudelt tryghed. For nok garanterer mærket, at man har samme forbrugerrettigheder, som hvis man handler i Brugsen, men den tekniske sikkerhed giver mærket ingen garanti for, siger Ib Nielsen, bestyrelsesformand fra Evikali.


Evikalis afsløring af sikkerhedsbristen i databaserne affødte ingen reaktion blandt konferencens deltagere, men det blev diskuteret, om e-mærket udover forbrugerpolitisk tryghed også skulle stå som et certifikat for teknisk sikre løsninger.

E-handelsfondens repræsentanter siger, at spørgsmålet om de sikre løsninger er på bestyrelsens program.

? Vi har diskuteret problemet om overholdelse af god datasikkerhed og afviser ikke, at man for eksempel kunne gå ind i et formaliseret samarbejde med en virksomhed som Eurotrust, siger advokat Martin von Haller Grønbæk, medstifter af FDIH.

Eurotrust, der udsteder certifikater som for eksempel Verisign, talte også på konferencen, og udviklingsdirektør Birger Hauge erklærede, at Eurotrust er positivt indstillet over for forslaget.

To generelle problemer
Det overrasker ikke sikkerhedseksperten Lars Neupart, at 30 procent af de e-mærkede virksomheder tilsyneladende har sikkerhedsproblemer.

? Det lyder umiddelbart meget realistisk. Vi ser to generelle problemer. Det ene er systemernes konfiguration, og det andet er applikationerne, der jo tit er databaseapplikationer, som har forskellige sikkerhedsproblemer. Det er ikke usædvanligt, at der mangler helt banale ting som inputcheck, længdecheck eller formatcheck, og det betyder, at du vil kunne skrive eller læse noget i den database, der ligger nedenunder. Det er jo i høj grad en alvorlig sårbarhed, siger eks-Vigilante-manden, som i dag driver sit eget sikkerhedsfirma Neupart A/S.
Lars Neupart tror i øvrigt ikke, at der er den store sikkerhedsforskel på virksomheder med og uden e-mærke.

Et psykologisk mærke
Martin Borgen, konsulent i E-handelsfonden, der udsteder og sælger det danske E-mærke:

? Vi har ikke set dokumentation for de 30 procent, som Evikalis undersøgelse angiver, men jeg kan heller ikke afvise, at det kan være sandt. E-mærket er fra starten tænkt som psykologisk mærke, der skal skabe tillid hos forbrugerne. E-handelsfonden kontrollerer ikke kundernes tekniske løsning eller fysiske sikkerhed, og det ser vi heller ikke som vores opgave.

Martin Borgen mener ikke, at den manglende sikkerhed er vildledning af forbrugerne.

? E-mærket er en nødvendighed for at få gang i e-handlen i Danmark. Skal vi være 100 procent klar med sikre tekniske løsninger, så kommer vi aldrig i gang. De væsentligste oplysninger om betaling og personlige data er sikre nok.

Denne artikel stammer fra den trykte udgave af Computerworld




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere